本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定租戶帳戶和連線

貢獻者

若要設定StorageGRID 從用戶端應用程式接受連線、需要建立一或多個租戶帳戶並設定連線。

建立及設定S3租戶帳戶

S3 API用戶端必須先有S3租戶帳戶、才能將物件儲存及擷取StorageGRID 到支援區。每個租戶帳戶都有自己的帳戶ID、群組和使用者、以及容器和物件。

S3租戶帳戶是StorageGRID 由使用Grid Manager或Grid Management API的資訊網管理員所建立。建立S3租戶帳戶時、網格管理員會指定下列資訊:

  • 租戶的顯示名稱(租戶的帳戶ID會自動指派、無法變更)。

  • 租戶帳戶是否允許使用平台服務。如果允許使用平台服務、則必須設定網格以支援其使用。

  • 或者、租戶帳戶的儲存配額、也就是租戶物件可用的GB、TB或PB上限。租戶的儲存配額代表邏輯容量(物件大小)、而非實體容量(磁碟大小)。

  • 如果啟用StorageGRID 身分識別聯盟以供支援整個系統、則哪個聯盟群組具有root存取權限可設定租戶帳戶。

  • 如果StorageGRID 不使用單一登入(SSO)進行支援、則租戶帳戶是使用自己的身分識別來源、還是共用網格的身分識別來源、以及租戶本機root使用者的初始密碼。

建立S3租戶帳戶之後、租戶使用者就能存取租戶管理程式來執行下列工作:

  • 設定身分識別聯盟(除非身分識別來源與網格共用)、並建立本機群組和使用者

  • 管理S3存取金鑰

  • 建立及管理S3儲存區、包括已啟用S3物件鎖定的儲存區

  • 使用平台服務(若已啟用)

  • 監控儲存使用量

重要 S3租戶使用者可以使用租戶管理程式來建立和管理S3儲存區、但必須擁有S3存取金鑰、並使用S3 REST API來擷取和管理物件。

如何設定用戶端連線

網格管理員會做出組態選擇、影響S3用戶端連線StorageGRID 至以儲存及擷取資料的方式。建立連線所需的特定資訊取決於所選的組態。

用戶端應用程式可連線至下列任一項目、以儲存或擷取物件:

  • 管理節點或閘道節點上的負載平衡器服務、或是管理節點或閘道節點之高可用度(HA)群組的虛擬IP位址(可選)

  • 閘道節點上的CLB服務、或是閘道節點高可用度群組的虛擬IP位址(可選)

    附註 CLB服務已過時。在發佈版推出之前設定的用戶端StorageGRID 、可以繼續在閘道節點上使用CLB服務。所有其他仰賴StorageGRID 以提供負載平衡的用戶端應用程式、都應該使用負載平衡器服務進行連線。
  • 儲存節點、無論是否有外部負載平衡器

設定StorageGRID 功能時、網格管理員可以使用Grid Manager或Grid Management API來執行下列步驟、這些步驟都是選用的:

  1. 設定負載平衡器服務的端點。

    您必須設定端點以使用負載平衡器服務。管理節點或閘道節點上的負載平衡器服務會將傳入的網路連線從用戶端應用程式分散到儲存節點。建立負載平衡器端點時StorageGRID 、系統管理員會指定連接埠號碼、端點是否接受HTTP或HTTPS連線、使用端點的用戶端類型(S3或Swift)、以及用於HTTPS連線的憑證(若適用)。

  2. 設定不受信任的用戶端網路。

    如果StorageGRID 某個節點的用戶端網路設定為不受信任、則該節點僅接受用戶端網路上明確設定為負載平衡器端點之連接埠的傳入連線。

  3. 設定高可用度群組。

    如果系統管理員建立HA群組、則多個管理節點或閘道節點的網路介面會置於主動備份組態中。用戶端連線是使用HA群組的虛擬IP位址進行。

如需每個選項的詳細資訊、請參閱《關於管理StorageGRID 功能的說明》。

摘要:用於用戶端連線的IP位址和連接埠

用戶端應用程式StorageGRID 會使用網格節點的IP位址和該節點上服務的連接埠號碼來連線至功能區。如果已設定高可用度(HA)群組、用戶端應用程式就可以使用HA群組的虛擬IP位址進行連線。

建立用戶端連線所需的資訊

下表摘要說明用戶端連線StorageGRID 至靜態的不同方式、以及每種連線類型所使用的IP位址和連接埠。如StorageGRID 需更多資訊、請聯絡您的管理員、或參閱《管理StorageGRID 》的說明、以瞭解如何在Grid Manager中找到這些資訊。

連線位置 用戶端連線的服務 IP 位址 連接埠

HA群組

負載平衡器

HA群組的虛擬IP位址

  • 負載平衡器端點連接埠

HA群組

CLB

*附註: CLB服務已過時。

HA群組的虛擬IP位址

預設S3連接埠:

  • HTTPS:8082

  • HTTP:8084

管理節點

負載平衡器

管理節點的IP位址

  • 負載平衡器端點連接埠

閘道節點

負載平衡器

閘道節點的IP位址

  • 負載平衡器端點連接埠

閘道節點

CLB

*附註: CLB服務已過時。

閘道節點的IP位址

**附註:*根據預設、不會啟用CLB和LDR的HTTP連接埠。

預設S3連接埠:

  • HTTPS:8082

  • HTTP:8084

儲存節點

LdR

儲存節點的IP位址

預設S3連接埠:

  • HTTPS:18082

  • HTTP:18084

範例

若要將S3用戶端連線至閘道節點HA群組的負載平衡器端點、請使用結構如下所示的URL:

  • https://VIP-of-HA-group:_LB-endpoint-port_`

例如、如果HA群組的虛擬IP位址為192.0.2.5、而S3負載平衡器端點的連接埠號碼為10443、則S3用戶端可以使用下列URL連線StorageGRID 到SESH:

您可以為用戶端用來連線StorageGRID 到靜態的IP位址設定DNS名稱。請聯絡您的本機網路管理員。

決定使用HTTPS或HTTP連線

使用負載平衡器端點進行用戶端連線時、必須使用為該端點指定的傳輸協定(HTTP或HTTPS)來建立連線。若要在用戶端連線至儲存節點或閘道節點上的CLB服務時使用HTTP、您必須啟用它的使用。

根據預設、當用戶端應用程式連線至閘道節點上的儲存節點或CLB服務時、它們必須使用加密的HTTPS進行所有連線。或者、您也可以選取「Grid Manager(網格管理器)」中的*「Enable HTTP Connection* Grid(啟用HTTP連線*網格)」選項、來啟用較不安全的HTTP連線。例如、用戶端應用程式在非正式作業環境中測試與儲存節點的連線時、可能會使用HTTP。

重要 啟用正式作業網格的HTTP時請務必小心、因為要求會以不加密的方式傳送。
附註 CLB服務已過時。

如果選取*「啟用HTTP連線*」選項、則用戶端的HTTP連接埠必須與HTTPS使用的連接埠不同。請參閱「管理StorageGRID 功能」的說明。

S3要求的端點網域名稱

在用戶端要求使用S3網域名稱之前、StorageGRID 管理員必須先將系統設定為接受在S3路徑樣式和S3虛擬託管樣式要求中使用S3網域名稱的連線。

若要使用S3虛擬託管樣式要求、網格管理員必須執行下列工作:

  • 使用Grid Manager將S3端點網域名稱新增StorageGRID 至整個系統。

  • 請確認用戶端用於HTTPS連線StorageGRID 的驗證書已針對用戶端所需的所有網域名稱簽署。

    例如、如果端點是「3.company.com`」、則網格管理員必須確保用於HTTPS連線的憑證包含「s3.company.com`端點和端點的萬用字元主體替代名稱(SAN):「*.s3.company.com`」。

  • 設定用戶端使用的DNS伺服器、以納入符合端點網域名稱的DNS記錄、包括任何必要的萬用字元記錄。

如果用戶端使用負載平衡器服務連線、則網格管理員設定的憑證是用戶端使用的負載平衡器端點的憑證。

附註 每個負載平衡器端點都有自己的憑證、而且每個端點都可設定為辨識不同的端點網域名稱。

如果用戶端連線至閘道節點上的儲存節點或CLB服務、則網格管理員設定的憑證是用於網格的單一自訂伺服器憑證。

附註 CLB服務已過時。

如StorageGRID 需詳細資訊、請參閱《關於管理功能的說明》。

完成這些步驟之後、您就可以使用虛擬託管樣式的要求(例如「bucket.s3.company.com`」)。

測試S3 REST API組態

您可以使用Amazon Web Services命令列介面(AWS CLI)來測試您與系統的連線、並確認您可以讀取物件並將物件寫入系統。

您需要的是 #8217 ;需要的是什麼
  • 您已從下載並安裝AWS CLI "aws.amazon.com/cli"

  • 您已在StorageGRID 整個系統上建立S3租戶帳戶。

步驟
  1. 設定Amazon Web Services設定、以使用StorageGRID 您在該系統中建立的帳戶:

    1. 進入組態模式:「AWS configure」

    2. 輸入您所建立帳戶的AWS存取金鑰ID。

    3. 輸入您所建立帳戶的AWS秘密存取金鑰。

    4. 輸入要使用的預設區域、例如us-east-1。

    5. 輸入要使用的預設輸出格式、或按* Enter *選取Json。

  2. 建立儲存庫。

    aws s3api --endpoint-url https://10.96.101.17:10443
    --no-verify-ssl create-bucket --bucket testbucket

    如果成功建立了儲存區、則會傳回儲存區的位置、如下列範例所示:

"Location": "/testbucket"
  1. 上傳物件。

    aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl
    put-object --bucket testbucket --key s3.pdf --body C:\s3-test\upload\s3.pdf

    如果物件上傳成功、則會傳回Etag、這是物件資料的雜湊。

  2. 列出儲存區的內容、以驗證物件是否已上傳。

    aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl
    list-objects --bucket testbucket
  3. 刪除物件。

    aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl
    delete-object --bucket testbucket --key s3.pdf
  4. 刪除儲存庫。

    aws s3api --endpoint-url https://10.96.101.17:10443 --no-verify-ssl
    delete-bucket --bucket testbucket