Page 1 Administrer StorageGRID StorageGRID 11.5 NetApp April 11, 2024 This PDF was generated from https://docs.netapp.com/fr-fr/storagegrid-115/admin/web-browser- requirements.html on April 11, 2024. Always check docs.netapp.com for the latest.
Page 2 Configuration des connexions des clients S3 et Swift .........
Page 3 Ces instructions expliquent comment utiliser Grid Manager pour configurer des groupes et des utilisateurs, créer des comptes de locataires pour permettre aux applications client S3 et Swift de stocker et récupérer des objets, configurer et gérer des réseaux StorageGRID, configurer AutoSupport, gérer des paramètres de nœud, etc.
Page 4 Navigateur Web Version minimale prise en charge Mozilla Firefox Vous devez régler la fenêtre du navigateur sur une largeur recommandée. Largeur du navigateur Pixels Minimum 1024 Optimale 1280 Connexion au Grid Manager Vous accédez à la page de connexion de Grid Manager en entrant le nom de domaine complet (FQDN) ou l’adresse IP d’un noeud d’administration dans la barre d’adresse d’un navigateur Web pris en charge.
Page 5 où Est un nom de domaine complet ou l’adresse IP d’un nœud FQDN_or_Admin_Node_IP d’administration ou l’adresse IP virtuelle d’un groupe de nœuds d’administration haute disponibilité. Si vous devez accéder à Grid Manager sur un port autre que le port standard pour HTTPS (443), entrez les informations suivantes, où...
Page 6 ii. Saisissez vos identifiants SSO standard sur la page de connexion SSO de votre entreprise. Par exemple : ◦ Si l’authentification SSO est activée pour votre système StorageGRID et que vous avez déjà accédé au Grid Manager ou à un compte de locataire : i.
Page 7 5. Pour vous connecter à un autre nœud d’administration : Option Étapes SSO non activé a. Dans la barre d’adresse du navigateur, entrez le nom de domaine complet ou l’adresse IP de l’autre noeud d’administration. Indiquez le numéro de port requis. b.
Page 8 Informations associées "Navigateurs Web pris en charge" "Contrôle de l’accès par pare-feu" "Configuration des certificats de serveur" "Configuration de l’authentification unique" "Gestion des groupes d’administration" "Gestion des groupes haute disponibilité" "Utilisez un compte de locataire" "Moniteur et amp ; dépannage" Déconnexion du gestionnaire de grille Lorsque vous avez terminé...
Page 9 Option Description SSO activé Vous êtes déconnecté de tous les nœuds d’administration auxquels vous accédiez. La page de connexion StorageGRID s’affiche. Grid Manager est répertorié comme valeur par défaut dans la liste déroulante comptes récents et le champ ID compte affiche 0. Remarque : si SSO est activé...
Page 10 topologie de la grille et les clés de chiffrement pour le système StorageGRID. Ce dont vous avez besoin • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. • Vous devez disposer d’autorisations Maintenance ou accès racine. •...
Page 11 5. Sélectionnez le lien Recovery Package page dans la bannière de réussite. 6. Téléchargez le nouveau package de récupération depuis Grid Manager. Sélectionnez Maintenance > Recovery Package et saisissez la nouvelle phrase de passe d’approvisionnement. Après avoir modifié la phrase de passe de provisionnement, vous devez télécharger immédiatement un nouveau progiciel de restauration.
Page 12 Le délai d’expiration de session utilisateur peut également être contrôlé par les éléments suivants : • Un minuteur StorageGRID séparé non configurable, inclus pour la sécurité du système. Par défaut, le jeton d’authentification de chaque utilisateur expire 16 heures après la connexion de l’utilisateur.
Page 13 Description de la tâche En cas de problème avec la licence logicielle de ce système StorageGRID, le panneau intégrité du tableau de bord inclut une icône d’état de la licence et un lien Licence. Le numéro indique le nombre de problèmes liés à la licence.
Page 14 • Vous devez disposer d’autorisations d’accès spécifiques. • Vous devez disposer de la phrase secrète pour le provisionnement. Étapes 1. Sélectionnez Maintenance > système > Licence. 2. Saisissez le mot de passe de provisionnement de votre système StorageGRID dans la zone de texte phrase de passe de provisionnement.
Page 15 • Comptes — opérations pour gérer les comptes de tenant du stockage, y compris la création de nouveaux comptes et la récupération de l’utilisation du stockage pour un compte donné. • Alarmes — opérations pour répertorier les alarmes en cours (système hérité) et renvoyer des informations sur l’intégrité...
Page 16 • Progiciel de récupération — opérations pour télécharger le progiciel de récupération. • Régions — opérations pour afficher et créer des régions. • s3-Object-lock — opérations sur les paramètres globaux de verrouillage d’objet S3. • Server-Certificate — opérations pour afficher et mettre à jour les certificats de serveur Grid Manager.
Page 17 3. Sélectionnez une action HTTP pour afficher les détails de la demande, notamment l’URL du noeud final, la liste de tous les paramètres obligatoires ou facultatifs, un exemple de l’organisme de demande (si nécessaire) et les réponses possibles. 4. Déterminez si la demande nécessite des paramètres supplémentaires, tels qu’un ID de groupe ou d’utilisateur.
Page 18 8. Cliquez sur Exécuter. 9. Vérifiez le code de réponse pour déterminer si la demande a réussi. Gestion des versions de l’API de gestion du grid L’API de gestion du grid utilise la gestion des versions pour prendre en charge les mises à...
Page 19 GET https://{{IP-Address}}/api/versions "responseTime": "2019-01-10T20:41:00.845Z", "status": "success", "apiVersion": "3.0", "data": [ ] Spécification d’une version d’API pour une requête Vous pouvez spécifier la version de l’API à l’aide d’un paramètre de chemin d’accès (/api/v3) ou un en-tête (Api-Version: 3).
Page 20 curl -X POST --header "Content-Type: application/json" --header "Accept: application/json" -d "{ \"username\": \"MyUserName\", \"password\": \"MyPassword\", \"cookie\": true, \"csrfToken\": true }" "https://example.com/api/v3/authorize" Si vrai, un Le cookie est défini avec une valeur aléatoire pour les connexions dans Grid GridCsrfToken Manager et dans Le cookie est défini avec une valeur aléatoire pour les connexions au...
Page 21 • Un exemple de flux de travail des requêtes Curl. Le flux de travail de boucle risque de s’échapper si vous l’effectuez trop lentement. L’erreur peut s’afficher : aucune confirmation de soumission valide n’a été trouvée dans cette réponse. L’exemple de flux de travail Curl ne protège pas le mot de passe d’être vu par d’autres utilisateurs.
Page 22 Pour accéder à l’API de gestion de grille, utilisez 0 comme TENANTACCOUNTID. b. Pour recevoir une URL d’authentification signée, lancez une demande POST à /api/v3/authorize-saml, Et supprimez le codage JSON supplémentaire de la réponse. Cet exemple montre une demande POST pour une URL d’authentification signée pour TENANTACCOUNTID.
Page 23 <form method="post" id="loginForm" autocomplete="off" novalidate="novalidate" onKeyPress="if (event && event.keyCode == 13) Login.submitLoginRequest();" action="/adfs/ls/? SAMLRequest=fZHRToMwFIZfhb...UJikvo77sXPw%3D%3D&RelayState=12345&clie nt-request-id=00000000-0000-0000-ee02-0080000000de" > e. Enregistrez l’ID de la demande client à partir de la réponse. export SAMLREQUESTID='00000000-0000-0000-ee02-0080000000de' f. Envoyez vos informations d’identification à l’action de formulaire de la réponse précédente. curl -X POST "https://$AD_FS_ADDRESS/adfs/ls/?SAMLRequest=$SAMLREQUEST&RelayState= $TENANTACCOUNTID&client-request-id=$SAMLREQUESTID"...
Page 24 curl "https://$AD_FS_ADDRESS/adfs/ls/?SAMLRequest=$SAMLREQUEST&RelayState= $TENANTACCOUNTID&client-request-id=$SAMLREQUESTID" \ --cookie "MSISAuth=$MSISAuth" --include Les en-têtes de réponse contiennent des informations sur la session AD FS pour une utilisation de déconnexion ultérieure et le corps de réponse contient SAMLResponse dans un champ de formulaire masqué. HTTP/1.1 200 OK Cache-Control: no-cache,no-store Pragma: no-cache Content-Length: 5665...
Page 25 curl -X POST "https://$STORAGEGRID_ADDRESS:443/api/saml-response" \ -H "accept: application/json" \ --data-urlencode "SAMLResponse=$SAMLResponse" \ --data-urlencode "RelayState=$TENANTACCOUNTID" \ | python -m json.tool La réponse inclut le jeton d’authentification. "apiVersion": "3.0", "data": "56eb07bf-21f6-40b7-af0b-5c6cacfb25e7", "responseTime": "2018-11-07T21:32:53.486Z", "status": "success" a.
Page 26 "apiVersion": "3.0", "data": "https://adfs.example.com/adfs/ls/?SAMLRequest=fZDNboMwEIRfhZ...HcQ%3D%3 D", "responseTime": "2018-11-20T22:20:30.839Z", "status": "success" 2. Enregistrez l’URL de déconnexion. export LOGOUT_REQUEST='https://adfs.example.com/adfs/ls/?SAMLRequest=fZDNboMwEI RfhZ...HcQ%3D%3D' 3. Envoyez une demande à l’URL de déconnexion pour déclencher SLO et rerediriger vers StorageGRID. curl --include "$LOGOUT_REQUEST" La réponse 302 est renvoyée. L’emplacement de redirection ne s’applique pas à la déconnexion API uniquement.
Page 27 Utilisation des certificats de sécurité StorageGRID Les certificats de sécurité sont de petits fichiers de données utilisés pour créer des connexions sécurisées et fiables entre les composants StorageGRID et entre les composants StorageGRID et les systèmes externes. StorageGRID utilise deux types de certificats de sécurité : •...
Page 28 Certificat Type de certificat Description Emplacement de Détails navigation Certificat du client Client Installé sur chaque Configuration > "Configuration des administrateur client, permettant à contrôle d’accès > certificats client StorageGRID administrateur" certificats client d’authentifier l’accès client externe. • Permet aux clients externes autorisés d’accéder à...
Page 29 Certificat Type de certificat Description Emplacement de Détails navigation Certificat de serveur Serveur et client Authentifie la Configuration > "Ajout d’un serveur de gestion des clés connexion entre de gestion des clés Paramètres (KMS) StorageGRID et un système > serveur (KMS)"...
Page 30 Authentifie la Configuration > • "Configuration de l’équilibreur de connexion entre les des terminaux Paramètres réseau charge clients S3 ou Swift > points d’équilibrage de et le service charge" d’extrémité Load StorageGRID Load Balancer • Création d’un Balancer sur les noeud final nœuds de...
Page 31 Cloud Storage Pool connexion entre le avec ILM" stockage pool de stockage cloud StorageGRID et un emplacement de stockage externe (tel que le stockage Glacier S3 ou Microsoft Azure Blob). Un certificat différent est requis pour chaque type de fournisseur cloud.
Page 32 1. Vous configurez un noeud final de l’équilibreur de charge et téléchargez ou générez un certificat de serveur dans StorageGRID. 2. Vous configurez une connexion client S3 ou Swift au point de terminaison de l’équilibreur de charge et téléchargez le même certificat au client.
Page 33 inclut les données du certificat et une signature basée sur la clé privée. 4. Le serveur KMS valide la signature du certificat et décide qu’il peut faire confiance à StorageGRID. 5. Le serveur KMS répond à l’aide de la connexion validée. Contrôle de l’accès administrateur à...
Page 34 Port Description Si le port est ouvert… 8443 Port restreint de Grid • Les navigateurs Web et les clients d’API de Manager sur les nœuds gestion peuvent accéder à Grid Manager et à d’administration l’API de gestion Grid via HTTPS. •...
Page 35 Server. Ce dont vous avez besoin • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. • Vous devez disposer d’autorisations d’accès spécifiques. • Si vous prévoyez d’activer l’authentification unique (SSO), vous devez utiliser Active Directory comme source d’identité...
Page 36 vous configurez Oracle Directory Server, entrez nsuniqueid. La valeur de chaque utilisateur pour l’attribut spécifié doit être un nombre hexadécimal à 32 chiffres au format 16 octets ou chaîne, où les tirets sont ignorés. ◦ Nom unique de groupe : nom de l’attribut qui contient l’identifiant unique d’un groupe LDAP. Cet attribut est équivalent à...
Page 37 6. Dans la section transport Layer Security (TLS), sélectionnez un paramètre de sécurité. ◦ Utilisez STARTTLS (recommandé) : utilisez STARTTLS pour sécuriser les communications avec le serveur LDAP. Il s’agit de l’option recommandée. ◦ Utilisez LDAPS : l’option LDAPS (LDAP sur SSL) utilise TLS pour établir une connexion au serveur LDAP.
Page 38 Informations associées "Chiffrement pris en charge pour les connexions TLS sortantes" "Conditions requises pour l’utilisation de l’authentification unique" "Création d’un compte de locataire" "Utilisez un compte de locataire" Instructions de configuration d’un serveur OpenLDAP Si vous souhaitez utiliser un serveur OpenLDAP pour la fédération des identités, vous devez configurer des paramètres spécifiques sur le serveur OpenLDAP.
Page 39 Recouvrements de memberOf et de raffint Les recouvrements de membre et de raffinage doivent être activés. Pour plus d’informations, reportez-vous aux instructions relatives à la maintenance de l’adhésion inverse au groupe dans le Guide de l’administrateur pour OpenLDAP. Indexation Vous devez configurer les attributs OpenLDAP suivants avec les mots-clés d’index spécifiés : •...
Page 40 L’alerte échec de synchronisation de la fédération d’identités est déclenchée en cas de problème de synchronisation des groupes fédérés et des utilisateurs à partir du référentiel d’identité. Désactivation de la fédération des identités Vous pouvez désactiver temporairement ou définitivement la fédération des identités pour les groupes et les utilisateurs.
Page 41 • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. • Vous devez disposer d’autorisations d’accès spécifiques. • Si vous envisagez d’importer un groupe fédéré, vous devez avoir configuré la fédération des identités et le groupe fédéré...
Page 42 3. Pour Type de groupe, sélectionnez local si vous souhaitez créer un groupe qui sera utilisé uniquement dans StorageGRID, ou sélectionnez fédéré si vous souhaitez importer un groupe à partir du référentiel d’identité. 4. Si vous avez sélectionné local, entrez un nom d’affichage pour le groupe. Le nom affiché est le nom qui apparaît dans le gestionnaire de grille.
Page 43 Si un utilisateur appartient à plusieurs groupes et qu’un groupe est défini sur lecture seule, l’utilisateur dispose d’un accès en lecture seule à tous les paramètres et fonctions sélectionnés. 7. Sélectionnez une ou plusieurs autorisations de gestion. Vous devez attribuer au moins une autorisation à chaque groupe ; sinon, les utilisateurs appartenant au groupe ne pourront pas se connecter à...
Page 44 Cette autorisation permet d’accéder à la page locataires > tenant Accounts. La version 1 de l’API de gestion du grid (obsolète) utilise cette autorisation pour gérer les règles de groupe de locataires, réinitialiser les mots de passe d’administration Swift et gérer les clés d’accès S3 des utilisateurs root.
Page 45 Modifier le mot de passe racine du locataire Cette autorisation donne accès à l’option changer mot de passe racine de la page comptes de tenant, ce qui vous permet de contrôler qui peut modifier le mot de passe de l’utilisateur racine local du locataire. Les utilisateurs qui ne disposent pas de cette autorisation ne peuvent pas voir l’option Modifier le mot de passe racine.
Page 46 Cette autorisation permet d’accéder aux options de menu ILM suivantes : • Codage d’effacement • Règles • Politiques • * Régions* L’accès aux options de menu ILM > Storage pools et ILM > Storage Grapes est contrôlé par les autres autorisations de configuration de la page de configuration de la grille et de la topologie de la grille.
Page 47 Vous devez contacter le support technique pour restaurer toute fonctionnalité perdue. Pour plus de détails, consultez les instructions d’implémentation des applications client S3 ou Swift. Étapes 1. Accédez à la documentation de swagger pour l’API Grid Management.
Page 48 Modification d’un groupe d’administration Vous pouvez modifier un groupe d’administration pour modifier les autorisations associées au groupe. Pour les groupes d’administration locaux, vous pouvez également mettre à jour le nom d’affichage. Ce dont vous avez besoin • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. •...
Page 49 • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. • Vous devez disposer d’autorisations d’accès spécifiques. Description de la tâche Lorsque vous supprimez un groupe, les utilisateurs affectés à ce groupe perdront tous les privilèges d’accès au gestionnaire de grille, à...
Page 50 La liste des noms de groupes est générée à partir de la table Groups. 5. Cliquez sur Enregistrer. Informations associées "Gestion des groupes d’administration" Modification du compte d’un utilisateur local Vous pouvez modifier le compte d’un administrateur local pour mettre à jour le nom d’affichage de l’utilisateur ou l’appartenance à...
Page 51 4. Cliquez sur OK. Modification du mot de passe d’un utilisateur local Les utilisateurs locaux peuvent modifier leurs propres mots de passe à l’aide de l’option changer mot de passe de la bannière du gestionnaire de grille. En outre, les utilisateurs qui ont accès à la page Admin Users peuvent modifier les mots de passe d’autres utilisateurs locaux.
Page 52 La page de connexion StorageGRID s’affiche. ◦ S’il s’agit de la première fois que vous accédez à l’URL sur ce navigateur, vous êtes invité à entrer un ID de compte : ◦ Si vous avez déjà accédé au Grid Manager ou au tenant Manager, vous êtes invité à sélectionner un compte récent ou à...
Page 53 Connectez-vous à l’aide de vos identifiants SSO. Si vos informations d’identification SSO sont correctes : a. Le fournisseur d’identités fournit une réponse d’authentification à StorageGRID. b. StorageGRID valide la réponse d’authentification. c. Si la réponse est valide et que vous appartenez à un groupe fédéré disposant d’une autorisation d’accès adéquate, vous êtes connecté...
Page 54 Si vous êtes connecté à… Et vous vous déconnectez de… Vous êtes déconnecté de… Grid Manager et tenant Manager Gestionnaire de grille Le Grid Manager uniquement. Vous devez également vous déconnecter du tenant Manager pour vous déconnecter de SSO. Le tableau résume ce qui se passe lorsque vous vous déconnectez si vous utilisez une seule session de navigateur.
Page 55 Vous pouvez accéder au certificat de serveur d’un nœud d’administration en vous connectant au shell de commande du nœud et en allant à répertoire. Un certificat de serveur personnalisé /var/local/mgmt-api est nommé custom-server.crt. Le certificat de serveur par défaut du nœud est nommé server.crt. Informations associées "Contrôle de l’accès par pare-feu"...
Page 56 a. Connectez-vous au Gestionnaire de locataires pour chaque compte de locataire. b. Sélectionnez contrôle d’accès > fédération d’identités. c. Vérifiez que la case à cocher Activer la fédération d’identités n’est pas cochée. d. Si c’est le cas, vérifiez que les groupes fédérés qui pourraient être utilisés pour ce compte de locataire ne sont plus nécessaires, désélectionnez la case à...
Page 57 "Conditions requises pour l’utilisation de l’authentification unique" "Gestion des groupes d’administration" "Utilisez un compte de locataire" Utilisation du mode sandbox Vous pouvez utiliser le mode sandbox pour configurer et tester les approbations de parties utilisatrices Active Directory Federation Services (AD FS) avant d’appliquer l’authentification unique (SSO) pour les utilisateurs StorageGRID.
Page 58 Si les options d’état SSO ne s’affichent pas, confirmez que vous avez configuré Active Directory en tant que référentiel d’identité fédéré. Voir « exigences relatives à l’utilisation d’un seul signe ». 2. Sélectionnez l’option Sandbox mode. Les paramètres fournisseur d’identité et partie de confiance s’affichent. Dans la section Identity Provider, le champ Service Type est en lecture seule.
Page 59 5. Cliquez sur Enregistrer. ◦ Une coche verte apparaît sur le bouton Save pendant quelques secondes. ◦ L’avis de confirmation du mode Sandbox s’affiche, confirmant que le mode sandbox est à présent activé. Vous pouvez utiliser ce mode pendant que vous utilisez AD FS pour configurer une confiance de tiers de confiance pour chaque nœud d’administration et tester les processus d’ouverture de session unique (SSO) et de déconnexion unique (SLO).
Page 60 système. Vous devez créer une confiance en tiers pour chaque nœud d’administration de votre système StorageGRID. Le fait d’avoir une confiance de partie de confiance pour chaque nœud d’administration permet aux utilisateurs de se connecter et de se déconnecter en toute sécurité...
Page 61 b. Cliquez avec le bouton droit de la souris sur la fiducie et sélectionnez Modifier la politique d’émission des sinistres. c. Cliquez sur Ajouter règle. d. Sur la page Sélectionner un modèle de règle, sélectionnez Envoyer attributs LDAP en tant que revendications dans la liste, puis cliquez sur Suivant.
Page 62 3.0, qui est inclus dans Windows 2012 R2, vous remarquerez de légères différences dans la procédure. Pour toute question, consultez la documentation Microsoft AD FS. Étapes 1. Dans le Gestionnaire de serveur Windows, cliquez sur Outils, puis sélectionnez AD FS Management. 2.
Page 63 correcte ou entrez simplement les valeurs manuellement. 9. Répétez ces étapes pour configurer une confiance de tiers pour tous les nœuds d’administration de votre système StorageGRID. 10. Lorsque vous avez terminé, revenez à StorageGRID et "tester toutes les fiducies de la partie qui repose" pour confirmer qu’ils sont correctement configurés.
Page 64 WebSSO. d. Saisissez l’URL du noeud final du service SAML pour le noeud d’administration : https://Admin_Node_FQDN/api/saml-response Pour Admin_Node_FQDN, Entrez le nom de domaine complet du nœud d’administration. (Si nécessaire, vous pouvez utiliser l’adresse IP du nœud à la place. Toutefois, si vous saisissez une adresse IP ici, sachez que vous devez mettre à...
Page 65 vous pouvez utiliser l’adresse IP du nœud à la place. Toutefois, si vous saisissez une adresse IP ici, sachez que vous devez mettre à jour ou recréer cette confiance de partie de confiance si cette adresse IP change.) a. Cliquez sur OK. 9.
Page 66 3. Cliquez sur le lien ou copiez et collez l’URL dans un navigateur pour accéder à la page de connexion de votre fournisseur d’identités. 4. Pour confirmer que vous pouvez utiliser l’authentification SSO pour vous connecter à StorageGRID, sélectionnez connexion à l’un des sites suivants, sélectionnez l’identifiant de partie de confiance pour votre nœud d’administration principal, puis cliquez sur connexion.
Page 67 Activation de l’authentification unique Après avoir utilisé le mode sandbox pour tester toutes vos approbations StorageGRID, vous êtes prêt à activer l’authentification unique (SSO). Ce dont vous avez besoin • Vous devez avoir importé au moins un groupe fédéré du référentiel d’identité et affecté des autorisations de gestion de l’accès racine au groupe.
Page 68 Désactivation de la connexion unique Vous pouvez désactiver l’authentification unique (SSO) si vous ne souhaitez plus utiliser cette fonctionnalité. Vous devez désactiver l’authentification unique avant de pouvoir désactiver la fédération des identités. Ce dont vous avez besoin • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. •...
Page 69 Description de la tâche Après avoir désactivé SSO pour un noeud d’administration, vous pouvez vous connecter à Grid Manager en tant qu’utilisateur racine local. Pour sécuriser votre système StorageGRID, vous devez utiliser le shell de commande du nœud pour réactiver SSO sur le nœud d’administration dès que vous vous déconnectez. La désactivation de SSO pour un nœud d’administration n’affecte pas les paramètres SSO pour les autres nœuds d’administration de la grille.
Page 70 Un message indique que la commande s’applique uniquement à ce nœud d’administration. Confirmez que vous souhaitez activer le SSO. Un message indique que l’authentification unique est activée sur le nœud. ◦ Redémarrez le nœud grid : reboot 8. À partir d’un navigateur Web, accédez à Grid Manager à partir du même nœud d’administration. 9.
Page 71 2. Sélectionnez Ajouter. La page Télécharger le certificat s’affiche. 3. Saisissez un nom entre 1 et 32 caractères pour le certificat. 4. Pour accéder aux metrics Prometheus à l’aide de votre outil de surveillance externe, cochez la case Autoriser Prometheus. 5.
Page 72 a. Sélectionnez Copier le certificat dans le presse-papiers et collez le certificat dans votre outil de surveillance externe. b. Utilisez un outil d’édition pour copier et coller la clé privée dans votre outil de surveillance externe. c. Sélectionnez Enregistrer pour enregistrer le certificat dans Grid Manager. pour générer un certificat : a.
Page 73 a. Sélectionnez Copier le certificat dans le presse-papiers et collez le certificat dans votre outil de surveillance externe. b. Sélectionnez Copier la clé privée dans le presse-papiers et collez la clé dans votre outil de surveillance externe. Vous ne pourrez pas afficher la clé privée après avoir fermé la boîte de dialogue. Copiez la clé...
Page 74 8. Configurez les paramètres suivants sur votre outil de surveillance externe, tels que Grafana. L’exemple de Grafana est présenté dans la capture d’écran suivante : a. Nom : saisissez un nom pour la connexion. StorageGRID ne requiert pas ces informations, mais vous devez fournir un nom pour tester la connexion.
Page 75 b. URL : saisissez le nom de domaine ou l’adresse IP du noeud d’administration. Spécifiez HTTPS et le port 9091. Par exemple : https://admin-node.example.com:9091 c. Activez TLS client Authorization et avec CA Cert. d. Copiez et collez le certificat de serveur d’interface de gestion ou le paquet CA dans le fichier CA Cert sous TLS/SSL Auth Details.
Page 76 2. Sélectionnez le bouton radio à gauche du certificat que vous souhaitez modifier. 3. Sélectionnez Modifier. La boîte de dialogue Modifier le certificat s’affiche. 4. Apportez les modifications souhaitées au certificat. 5. Sélectionnez Enregistrer pour enregistrer le certificat dans Grid Manager. 6.
Page 77 c. Enregistrez et testez le certificat et la clé privée dans votre outil de surveillance externe. 7. Si vous avez généré un nouveau certificat : a. Sélectionnez Copier le certificat dans le presse-papiers pour coller le certificat dans votre outil de surveillance externe.
Page 78 Le certificat a été supprimé. Configuration des serveurs de gestion des clés Vous pouvez configurer un ou plusieurs serveurs de gestion externe des clés (KMS) afin de protéger les données sur les nœuds d’appliance spécialement configurés. Qu’est-ce qu’un serveur de gestion des clés (KMS) ? Un serveur de gestion des clés (KMS) est un système externe tiers qui fournit des clés de chiffrement aux nœuds d’appliance StorageGRID sur le site StorageGRID associé...
Page 79 "Dispositifs de stockage SG6000" "Appliances de stockage SG5700" "Appliances de stockage SG5600" Option de grille de chiffrement L’option Inenregistré Object Les données d’objet S3 et Swift d’objet stocké Encryption peut être activée dans récemment ingérées.les objets Grid Manager (Configuration >...
Page 80 Option de chiffrement Comment cela fonctionne S’applique à Chiffrement côté serveur objet S3 Vous émettez une demande S3 Données d’objet S3 récemment avec clés fournies par le client pour stocker un objet et incluez ingérées uniquement.le chiffrement (SSE-C) trois en-têtes de requête.
Page 81 disques à autocryptage des mêmes dispositifs. • Vous pouvez utiliser un KMS pour sécuriser les données sur les nœuds d’appliance et utiliser l’option GRID de chiffrement d’objet stocké pour chiffrer tous les objets à l’ingestion. Si seule une petite partie de vos objets doit être cryptée, pensez à contrôler le chiffrement au niveau du compartiment ou de l’objet au niveau individuel.
Page 82 L’organigramme présente la configuration du KMS et l’appliance en parallèle. Toutefois, vous pouvez...
Page 83 configurer les serveurs de gestion des clés avant ou après avoir activé le chiffrement des nœuds pour les nouveaux nœuds d’appliance, selon vos besoins. Configuration du serveur de gestion des clés (KMS) La configuration d’un serveur de gestion des clés comprend les étapes générales suivantes. Étape Reportez-vous à...
Page 84 Processus de chiffrement de la gestion des clés (automatique) Le chiffrement de la gestion des clés inclut les étapes générales suivantes qui sont automatiquement effectuées. 1. Lorsque vous installez une appliance sur laquelle le chiffrement de nœud est activé dans le grid, StorageGRID détermine si une configuration KMS existe pour le site qui contient le nouveau nœud.
Page 85 Quels dispositifs sont pris en charge ? Vous pouvez utiliser un serveur de gestion des clés (KMS) pour gérer les clés de cryptage de n’importe quelle appliance StorageGRID de la grille dont le paramètre Node Encryption est activé. Ce paramètre ne peut être activé...
Page 86 Supposons par exemple que votre système StorageGRID possède trois sites de data Center. Vous pouvez configurer un cluster KMS pour que tous les nœuds d’appliance soient essentiels dans le Data Center 1 et un second cluster KMS pour que ces derniers soient essentiels pour que tous les nœuds d’appliance soient disponibles sur les autres sites.
Page 87 Ne tentez jamais de faire pivoter une clé en modifiant le nom de clé (alias) du KMS dans Grid Manager. Faites plutôt pivoter la clé en mettant à jour la version de clé dans le logiciel KMS. Utilisez le même alias de clé pour les nouvelles clés que celles utilisées pour les touches précédentes.
Page 88 2. Lorsque le KMS est enregistré, tous les nœuds de l’appliance dont le paramètre Node Encryption est activé se connectent au KMS et demandent la clé de chiffrement. Cette clé est utilisée pour chiffrer les nœuds de l’appliance sur tous les sites. Cette même clé doit également être utilisée pour décrypter ces dispositifs.
Page 89 Cas d’utilisation pour changer quel KMS est utilisé pour un site Le tableau résume les étapes requises pour les cas les plus courants de modification du KMS pour un site. Cas d’utilisation lors de la modification du KMS Étapes requises d’un site Vous avez une ou plusieurs entrées KMS spécifiques Modifiez le KMS spécifique au site.
Page 90 Cas d’utilisation lors de la modification du KMS Étapes requises d’un site Vous souhaitez que le KMS pour un site utilise un 1. Si les nœuds d’appliance du site ont déjà été serveur différent. chiffrés par le KMS existant, utilisez le logiciel KMS pour copier la version actuelle de la clé...
Page 91 Le certificat du serveur permet au KMS externe de s’authentifier auprès de StorageGRID. ◦ Le certificat doit utiliser le format X.509 encodé au format PEM (Privacy Enhanced Mail) Base-64. ◦ Le champ Subject alternative Name (SAN) de chaque certificat de serveur doit inclure le nom de domaine complet (FQDN) ou l’adresse IP à...
Page 92 1. Sélectionnez Configuration > Paramètres système > serveur de gestion des clés. La page Key Management Server s’affiche avec l’onglet Configuration Details (Détails de la configuration) sélectionné. 2. Sélectionnez Créer. L’étape 1 (entrer les détails KMS) de l’assistant Ajout d’un serveur de gestion de clés s’affiche. 3.
Page 93 Champ Description Nom d’affichage DES KMS Un nom descriptif pour vous aider à identifier ce KMS. Doit comporter entre 1 et 64 caractères. Nom de clé Alias de clé exact pour le client StorageGRID dans le KMS. Doit comporter entre 1 et 255 caractères. Gère les clés pour Le site StorageGRID qui sera associé...
Page 94 s’affiche. Étape 2 : télécharger le certificat du serveur À l’étape 2 (Télécharger le certificat de serveur) de l’assistant Ajout d’un serveur de gestion de clés, vous téléchargez le certificat de serveur (ou le paquet de certificats) pour le KMS. Le certificat du serveur permet au KMS externe de s’authentifier auprès de StorageGRID.
Page 95 Si vous avez téléchargé un ensemble de certificats, les métadonnées de chaque certificat s’affichent sur son propre onglet. 3. Sélectionnez Suivant. L’étape 3 (Téléchargement de certificats client) de l’assistant Ajout d’un serveur de gestion de clés s’affiche. Étape 3 : télécharger des certificats client À...
Page 96 2. Téléchargez le fichier de certificat client. Les métadonnées du certificat client s’affichent. 3. Accédez à l’emplacement de la clé privée pour le certificat client. 4. Téléchargez le fichier de clé privée. Les métadonnées du certificat client et de la clé privée du certificat client s’affichent.
Page 97 5. Sélectionnez Enregistrer. Les connexions entre le serveur de gestion des clés et les nœuds de dispositif sont testées. Si toutes les connexions sont valides et que la clé correcte est trouvée sur le KMS, le nouveau serveur de gestion des clés est ajouté...
Page 98 Si vous sélectionnez forcer l’enregistrement, la configuration KMS est enregistrée, mais il ne teste pas la connexion externe de chaque appliance vers ce KMS. En cas de problème avec la configuration, vous ne pouvez pas redémarrer les nœuds d’appliance pour lesquels le chiffrement de nœud est activé...
Page 99 La configuration KMS est enregistrée mais la connexion au KMS n’est pas testée. Affichage des détails KMS Vous pouvez afficher des informations sur chaque serveur de gestion des clés (KMS) de votre système StorageGRID, notamment l’état actuel des certificats serveur et client. Étapes 1.
Page 100 Champ Description Nom de clé Alias de clé pour le client StorageGRID dans le KMS. Gère les clés pour Site StorageGRID associé au KMS Ce champ affiche le nom d’un site StorageGRID spécifique ou sites non gérés par un autre KMS (KMS par défaut).
Page 101 Vous devez corriger tout problème de certificat dès que possible pour maintenir l’accès aux données. Informations associées "Moniteur et amp ; dépannage" Affichage des nœuds chiffrés Vous pouvez afficher des informations sur les nœuds d’appliance de votre système StorageGRID sur lesquels le paramètre Node Encryption est activé. Étapes 1.
Page 102 3. Vérifiez les informations du tableau pour chaque nœud d’appliance. Colonne Description Nom du nœud Nom du nœud d’appliance. Type de nœud Le type de nœud : stockage, Administrateur ou passerelle. Le site Nom du site StorageGRID sur lequel le nœud est installé. Nom d’affichage DES KMS Nom descriptif du KMS utilisé...
Page 103 ◦ Nom de la clé de cryptage KMS introuvable ◦ Echec de la rotation de la clé de chiffrement KMS ◦ La clé KMS n’a pas réussi à décrypter un volume d’appliance ◦ LES KM ne sont pas configurés Voir les actions recommandées pour ces alertes dans les instructions de surveillance et de dépannage de StorageGRID.
Page 104 3. Vous pouvez également mettre à jour les détails dans étape 1 (entrer les détails KMS) de l’assistant Modifier un serveur de gestion de clés. Champ Description Nom d’affichage DES KMS Un nom descriptif pour vous aider à identifier ce KMS. Doit comporter entre 1 et 64 caractères.
Page 105 4. Si vous configurez un cluster KMS, sélectionnez le signe plus pour ajouter un nom d’hôte pour chaque serveur du cluster. 5. Sélectionnez Suivant. L’étape 2 (Télécharger un certificat de serveur) de l’assistant Modifier un serveur de gestion de clés s’affiche.
Page 106 La configuration KMS est enregistrée mais la connexion au KMS n’est pas testée. Suppression d’un serveur de gestion des clés (KMS) Dans certains cas, vous pouvez supprimer un serveur de gestion des clés. Par exemple, vous pouvez vouloir supprimer un KMS spécifique au site si vous avez désactivé le site. Ce dont vous avez besoin •...
Page 107 Pour stocker et récupérer des objets dans un système StorageGRID avec les deux protocoles, vous devez créer deux comptes de locataire : un pour les compartiments et objets S3, et un pour les conteneurs et objets Swift. Chaque compte de locataire possède son propre ID de compte, groupes et utilisateurs autorisés, compartiments ou conteneurs, et objets.
Page 108 • Quel protocole client sera utilisé par le compte de locataire (S3 ou Swift). • Pour les comptes de locataire S3 : si le compte du locataire est autorisé à utiliser des services de plateforme avec des compartiments S3. Si vous autorisez les comptes locataires à utiliser des services de plateforme, vous devez vous assurer que la grille est configurée pour prendre en charge leur utilisation.
Page 109 Configuration des locataires S3 Une fois le compte de locataire S3 créé, les utilisateurs peuvent accéder au Gestionnaire des locataires pour effectuer les tâches suivantes : • Configuration de la fédération des identités (sauf si le référentiel d’identité est partagé avec la grille) et création de groupes et d’utilisateurs locaux...
Page 110 2. Sélectionnez Créer. La page Créer un compte de tenant s’affiche. Les champs de cette page dépendent de l’activation ou non de l’authentification unique (SSO) pour le système StorageGRID. ◦ Si SSO n’est pas utilisé, la page Créer un compte de locataire ressemble à ceci. ◦...
Page 111 Informations associées "Utilisation de la fédération des identités" "Configuration de l’authentification unique" Création d’un compte de locataire si StorageGRID n’utilise pas SSO Lorsque vous créez un compte de locataire, vous spécifiez un nom, un protocole client et, éventuellement, un quota de stockage. Si StorageGRID n’utilise pas la connexion unique (SSO), vous devez également indiquer si le compte de tenant utilisera son propre référentiel d’identité...
Page 112 2. Sélectionnez le protocole client qui sera utilisé par ce compte locataire, soit S3, soit Swift. 3. Pour les comptes locataires S3, cochez la case Autoriser les services de plateforme, sauf si vous ne souhaitez pas que ce locataire utilise les services de plateforme pour les compartiments S3.
Page 113 ▪ Spécifiez un mot de passe pour l’utilisateur racine local du locataire. 7. Cliquez sur Enregistrer. Le compte de locataire est créé. 8. Vous pouvez également accéder au nouveau locataire. Sinon, passer à l’étape pour accès au locataire ultérieurement. Si vous êtes… Procédez comme ça…...
Page 114 Une coche verte s’affiche sur le bouton, indiquant que vous êtes maintenant connecté au compte de tenant en tant qu’utilisateur racine. a. Cliquez sur les liens pour configurer le compte de tenant. Chaque lien ouvre la page correspondante dans le Gestionnaire de locataires. Pour compléter la page, reportez-vous aux instructions d’utilisation des comptes de tenant.
Page 115 2. Sélectionnez le protocole client qui sera utilisé par ce compte locataire, soit S3, soit Swift. 3. Pour les comptes locataires S3, cochez la case Autoriser les services de plateforme, sauf si vous ne souhaitez pas que ce locataire utilise les services de plateforme pour les compartiments S3.
Page 116 Informations associées "Configuration de l’authentification unique" "Gestion des services de plateforme pour les comptes de locataires S3" "Utilisez un compte de locataire" Modification du mot de passe de l’utilisateur racine local d’un locataire Vous devrez peut-être modifier le mot de passe de l’utilisateur root local d’un locataire si...
Page 117 • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. • Vous devez disposer d’autorisations d’accès spécifiques. Description de la tâche Si l’authentification unique (SSO) est activée pour votre système StorageGRID, l’utilisateur root local ne peut pas se connecter au compte du locataire.
Page 118 4. Saisissez le nouveau mot de passe du compte de tenant. 5. Sélectionnez Enregistrer. Informations associées "Contrôle de l’accès administrateur à StorageGRID" Modification d’un compte de locataire Vous pouvez modifier un compte de tenant pour modifier le nom d’affichage, modifier le paramètre du référentiel d’identité, autoriser ou interdire les services de plate-forme, ou entrer un quota de stockage.
Page 119 Modifiez le paramètre de la case à cocher Autoriser les services de plate-forme pour déterminer si le compte de tenant peut utiliser les services de plate-forme pour ses compartiments S3. Si vous désactivez les services de plateforme pour un locataire qui les utilise déjà, les services qu’ils ont configurés pour leurs compartiments S3 cessent de fonctionner.
Page 120 • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. • Vous devez disposer d’autorisations d’accès spécifiques. • Vous devez avoir supprimé tous les compartiments (S3), les conteneurs (Swift) et les objets associés au compte du locataire.
Page 121 Gestion des services de plateforme pour les comptes de locataires S3 Si vous activez des services de plateforme pour les comptes de locataires S3, vous devez configurer votre grid de manière à ce que les locataires puissent accéder aux ressources externes nécessaires à l’utilisation de ces services.
Page 122 Avant d’utiliser les services de plateforme, vous devez connaître les recommandations suivantes : • Vous ne devez pas utiliser plus de 100 locataires actifs avec les demandes S3 nécessitant la réplication CloudMirror, les notifications et l’intégration de la recherche. Avec plus de 100 locataires actifs, les performances des clients S3 sont plus lentes.
Page 123 Toutes les opérations de services de plateforme sont réalisées sur une base par site. C’est-à-dire que si un locataire utilise un client pour effectuer une opération de création d’API S3 sur un objet en se connectant à un nœud de passerelle sur le site de Data Center 1, la notification concernant cette action...
Page 124 Si le client exécute ensuite une opération de suppression d’API S3 sur ce même objet à partir du site du centre de données 2, la notification concernant l’action de suppression est déclenchée et envoyée depuis le site du centre de données 2.
Page 125 Gestionnaire des locataires. Chaque terminal représente une destination externe pour un service de plateforme unique, par exemple un compartiment StorageGRID S3, un compartiment Amazon Web Services, un thème simple Service de notification ou un cluster Elasticsearch hébergé localement ou sur AWS. Chaque noeud final comprend à...
Page 126 site. Si la validation du noeud final échoue, un message d’erreur explique pourquoi la validation du noeud final a échoué. L’utilisateur locataire doit résoudre le problème, puis essayer de créer à nouveau le noeud final. La création de point final échoue si les services de plate-forme ne sont pas activés pour le compte de locataire.
Page 127 Certains problèmes de service de plateforme peuvent entraîner l’échec des opérations client dans le compartiment S3. Par exemple, les opérations client S3 échouent si le service RSM (Replicated State machine) interne s’arrête ou s’il y a trop de messages de services de plate-forme en file d’attente pour la livraison.
Page 128 Le seul effet visible est que les requêtes S3 entrantes prennent plus de temps à s’exécuter. Si vous commencez à détecter les performances beaucoup plus lentes, vous devez réduire le taux d’entrée ou utiliser un terminal avec une capacité...
Page 129 Alerte de services de plate-forme non disponibles L’alerte Platform services unavailable indique qu’aucune opération de service de plate-forme ne peut être effectuée sur un site car trop de nœuds de stockage avec le service RSM sont en cours d’exécution ou disponibles.
Page 130 HTTP ou HTTPS, le type de client (S3 ou Swift) qui utilisera le noeud final et le certificat à utiliser pour les connexions HTTPS (le cas échéant).
Page 131 StorageGRID directement aux nœuds de stockage ou à l’aide du service CLB (obsolète) et vous pouvez configurer les noms de domaine de points de terminaison de l’API S3 pour les clients S3. Résumé : adresses IP et ports pour les connexions client Les applications client peuvent se connecter à...
Page 132 URL structurée comme illustré ci-dessous : • https://VIP-of-HA-group:LB-endpoint-port Par exemple, si l’adresse IP virtuelle du groupe HA est 192.0.2.5 et le numéro de port d’un terminal S3 Load Balancer est 10443, un client S3 peut utiliser l’URL suivante pour vous connecter à StorageGRID : •...
Page 133 Vous pouvez utiliser les fonctions d’équilibrage de charge StorageGRID pour gérer les workloads d’ingestion et de récupération à partir de clients S3 et Swift. L’équilibrage de la charge optimise la vitesse et la capacité de connexion en distribuant les charges de...
Page 134 Le service Load Balancer sur chaque nœud d’administration et chaque nœud de passerelle fonctionne de manière indépendante lors du transfert du trafic S3 ou Swift vers les nœuds de stockage. Par le biais d’un processus de pondération, le service Load Balancer achemine davantage de requêtes vers des nœuds de...
Page 135 Création de terminaux d’équilibrage de charge Chaque terminal de l’équilibreur de charge spécifie un port, un protocole réseau (HTTP ou HTTPS) et un type de service (S3 ou Swift). Si vous créez un noeud final HTTPS, vous devez télécharger ou générer un certificat de serveur.
Page 136 2. Sélectionnez Ajouter un noeud final. La boîte de dialogue Créer un point final s’affiche. 3. Entrez un nom d’affichage pour le noeud final, qui apparaîtra dans la liste de la page noeuds finaux Load Balancer. 4. Entrez un numéro de port ou laissez le numéro de port pré-rempli tel quel. Si vous entrez le numéro de port 80 ou 443, le noeud final est configuré...
Page 137 ◦ VIP de groupe HA : le noeud final est accessible uniquement via les adresses IP virtuelles définies pour les groupes HA sélectionnés. Les terminaux définis dans ce mode peuvent réutiliser le même numéro de port, tant que les groupes HA définis par ces terminaux ne se chevauchent pas. Sélectionnez les groupes HA avec les adresses IP virtuelles où...
Page 138 7. Sélectionnez Enregistrer. La boîte de dialogue Modifier le point final s’affiche. 8. Sélectionnez S3 ou Swift pour spécifier le type de trafic que ce noeud final servira. 9. Si vous avez sélectionné HTTP, sélectionnez Enregistrer. Le point final non sécurisé est créé. Le tableau de la page des noeuds finaux Load Balancer répertorie le nom d’affichage, le numéro de port, le protocole et l’ID de noeud final du noeud final.
Page 139 Recherchez le certificat du serveur et la clé privée du certificat. Pour permettre aux clients S3 de se connecter à l’aide d’un nom de domaine de terminal de l’API S3, utilisez un certificat multi-domaine ou avec caractère générique correspondant à tous les noms de domaine que le client peut utiliser pour se connecter à...
Page 140 Modification des noeuds finaux de l’équilibreur de charge Dans le cas d’un terminal HTTP non sécurisé, vous pouvez modifier le type de service de terminal entre S3 et Swift. Pour un noeud final sécurisé (HTTPS), vous pouvez modifier le type de service de noeud final et afficher ou modifier le certificat de sécurité.
Page 141 4. Apportez les modifications souhaitées au noeud final. Pour un point final non sécurisé (HTTP), vous pouvez : ◦ Changez le type de service de terminal entre S3 et Swift.
Page 142 ◦ Modifiez le mode de liaison du point final. Pour un point de terminaison sécurisé (HTTPS), vous pouvez : ◦ Changez le type de service de terminal entre S3 et Swift. ◦ Modifiez le mode de liaison du point final.
Page 143 4. Cliquez sur OK. Le noeud final est supprimé. Fonctionnement de l’équilibrage de charge - service CLB Le service Connection Load Balancer (CLB) sur les nœuds de passerelle est obsolète. Le service Load Balancer est désormais le mécanisme d’équilibrage de charge recommandé.
Page 144 Supposons que vous souhaitiez qu’un nœud de passerelle refuse tout trafic entrant sur le réseau client, à l’exception des requêtes HTTPS S3. Vous devez effectuer les étapes générales suivantes : 1. À partir de la page des noeuds finaux Load Balancer, configurez un noeud final Load Balancer pour S3 sur HTTPS sur le port 443.
Page 145 Ce dont vous avez besoin • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. • Vous devez disposer de l’autorisation accès racine. • Si vous souhaitez qu’un nœud d’administration ou un nœud de passerelle accepte le trafic entrant uniquement sur des noeuds finaux configurés explicitement, vous avez défini les noeuds finaux de l’équilibreur de charge.
Page 146 Gestion des groupes haute disponibilité Les groupes haute disponibilité peuvent être utilisés pour fournir des connexions de données hautement disponibles pour les clients S3 et Swift. Les groupes HAUTE DISPONIBILITÉ peuvent également être utilisés pour fournir des connexions haute disponibilité au Grid Manager et au tenant Manager.
Page 147 Vous pouvez utiliser les groupes haute disponibilité (HA) pour plusieurs raisons. • Un groupe haute disponibilité peut fournir des connexions administratives hautement disponibles vers le Grid Manager ou le tenant Manager. • Un groupe haute disponibilité peut fournir des connexions de données extrêmement disponibles pour les clients S3 et Swift.
Page 148 Accès au Gestionnaire de locataires uniquement • Nœuds d’administration primaires ou non primaires Accès client S3 ou Swift — Service Load Balancer • Nœuds d’administration • Nœuds de passerelle Accès client S3 ou Swift — service CLB • Nœuds de passerelle Note: le service CLB est obsolète.
Page 149 Options de configuration pour les groupes haute disponibilité Les schémas ci-dessous fournissent des exemples de différentes façons de configurer les groupes haute disponibilité. Chaque option présente des avantages et des inconvénients. Lors de la création de plusieurs groupes HA redondants, comme illustré dans l’exemple HA actif-actif, le débit total évolue avec le nombre de nœuds et de groupes HA.
Page 150 Configuration Avantages Inconvénients DNS Round Robin • Un débit global supérieur. • Basculement lent, qui peut dépendre du comportement • Aucun hôte inactif. des clients. • Nécessite une configuration matérielle en dehors du StorageGRID. • Nécessite une vérification de l’état implémentée par le client. Actif-actif •...
Page 151 2. Cliquez sur Créer. La boîte de dialogue Créer un groupe haute disponibilité s’affiche. 3. Saisissez un nom et, le cas échéant, une description pour le groupe HA. 4. Cliquez sur Sélectionner interfaces. La boîte de dialogue Ajouter des interfaces au groupe haute disponibilité s’affiche. Le tableau répertorie les nœuds, les interfaces et les sous-réseaux IPv4 éligibles.
Page 152 Les adresses IP seront limitées au sous-réseau le plus petit (celui avec le plus grand préfixe). ◦ Si vous sélectionnez des interfaces sur différents types de nœuds et qu’un basculement se produit, seuls les services communs aux nœuds sélectionnés seront disponibles sur les adresses IP virtuelles. ▪...
Page 153 7. Si vous souhaitez qu’une interface différente soit le maître préféré, sélectionnez cette interface dans la colonne Maître préféré. Le maître préféré est l’interface active, sauf en cas de défaillance qui entraîne la réaffectation des adresses VIP à une interface de sauvegarde. Si le groupe HA donne accès à...
Page 154 9. Cliquez sur Enregistrer. Le groupe haute disponibilité est créé et vous pouvez maintenant utiliser les adresses IP virtuelles configurées. Informations associées "Installez Red Hat Enterprise Linux ou CentOS" "Installez VMware" "Installez Ubuntu ou Debian" "Gestion de l’équilibrage des charges" Modification d’un groupe haute disponibilité...
Page 155 2. Sélectionnez le groupe HA que vous souhaitez modifier et cliquez sur Modifier. La boîte de dialogue Modifier le groupe haute disponibilité s’affiche. 3. Vous pouvez également mettre à jour le nom ou la description du groupe. 4. Vous pouvez également cliquer sur Select interfaces pour modifier les interfaces du groupe HA. La boîte de dialogue Ajouter des interfaces au groupe haute disponibilité...
Page 156 Le service CLB est obsolète. 6. Cliquez sur appliquer. Les interfaces sélectionnées sont répertoriées dans la section interfaces de la page. Par défaut, la première interface de la liste est sélectionnée comme maître préféré. 7. Si vous souhaitez qu’une interface différente soit le maître préféré, sélectionnez cette interface dans la colonne Maître préféré.
Page 157 IP virtuelles du groupe ne pourra plus se connecter à StorageGRID. Pour éviter les interruptions de vos clients, nous vous recommandons de mettre à jour toutes les applications des clients S3 ou Swift affectées avant de supprimer un groupe haute disponibilité. Mettre à jour chaque client pour se connecter à l’aide d’une autre adresse IP, par exemple l’adresse IP virtuelle d’un autre groupe haute disponibilité...
Page 158 Pour permettre aux clients d’utiliser les noms de domaine de terminaux S3, vous devez effectuer toutes les tâches suivantes : • Utilisez le Gestionnaire de grille pour ajouter les noms de domaine de points de terminaison S3 au système StorageGRID.
Page 159 2. À l’aide de l’icône (+) pour ajouter des champs supplémentaires, entrez la liste des noms de domaine de points de terminaison de l’API S3 dans les champs Endpoint. Si cette liste est vide, la prise en charge des demandes de type hébergement virtuel S3 est désactivée. 3. Cliquez sur Enregistrer.
Page 160 • Vous devez disposer d’autorisations d’accès spécifiques. Description de la tâche Cette tâche doit être effectuée uniquement si les clients S3 et Swift doivent établir des connexions HTTP directement vers les nœuds de stockage ou vers le service CLB obsolète sur les nœuds de passerelle.
Page 161 ◦ Supprimer les demandes de compartiment ◦ Toute demande de modification des données d’un objet existant, des métadonnées définies par l’utilisateur ou du balisage d’objets S3 Ce paramètre ne s’applique pas aux compartiments avec la gestion des versions activée. Le contrôle de version empêche déjà les modifications des données d’objet, des métadonnées définies par l’utilisateur et du balisage d’objets.
Page 162 Gestion des réseaux et des connexions StorageGRID Vous pouvez utiliser le Gestionnaire de grille pour configurer et gérer les réseaux et les connexions StorageGRID. Voir "Configuration des connexions des clients S3 et Swift" Pour apprendre à connecter des clients S3 ou Swift. •...
Page 163 Facultatif. Le réseau client est un réseau ouvert généralement utilisé pour fournir l’accès aux applications client S3 et Swift, de sorte que le réseau Grid puisse être isolé et sécurisé. Le réseau client peut communiquer avec tout sous-réseau accessible via la passerelle locale.
Page 164 Ce dont vous avez besoin Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. Description de la tâche Pour plus d’informations sur la modification des adresses IP, reportez-vous aux instructions de reprise et de maintenance. Étapes 1.
Page 165 La liste est plus grande que la liste des chiffrements pris en charge pour une utilisation avec les applications client S3 ou Swift. Les options de configuration TLS telles que les versions de protocole, les chiffrements, les algorithmes d’échange de clés et les algorithmes MAC ne sont pas configurables en...
Page 166 ECDSA (algorithme de signature numérique de courbe elliptique). Pour plus d’informations sur la sécurisation des connexions clients par StorageGRID pour l’API REST, consultez les guides d’implémentation S3 ou Swift. Certificats pour les noeuds finaux de l’équilibreur de charge StorageGRID gère séparément les certificats utilisés pour les terminaux de l’équilibreur de charge. Pour configurer des certificats d’équilibreur de charge, reportez-vous aux instructions de configuration des noeuds...
Page 167 Configuration d’un certificat de serveur personnalisé pour le Grid Manager et le tenant Manager Vous pouvez remplacer le certificat de serveur StorageGRID par défaut par un seul certificat de serveur personnalisé qui permet aux utilisateurs d’accéder au Gestionnaire de grille et au Gestionnaire de locataires sans rencontrer d’avertissements de sécurité. Description de la tâche Par défaut, chaque nœud d’administration est doté...
Page 168 Une fois la configuration terminée sur le serveur, les utilisateurs peuvent également avoir besoin d’installer le certificat d’autorité de certification racine dans le client API S3 ou Swift qu’ils utiliseront pour accéder au système, selon l’autorité de certification racine que vous utilisez.
Page 169 CLB obsolète sur les nœuds de passerelle ou s’ils se connectent directement aux nœuds de stockage. Les clients S3 ou Swift qui se connectent à StorageGRID via le service Load Balancer sur les nœuds d’administration ou les nœuds de passerelle utilisent le certificat configuré pour le terminal de l’équilibreur de charge.
Page 170 Restauration des certificats de serveur par défaut pour les terminaux API REST S3 et Swift Vous pouvez revenir à l’utilisation des certificats de serveur par défaut pour les terminaux API REST S3 et Swift. Étapes 1. Sélectionnez Configuration > Paramètres réseau > certificats serveur.
Page 171 Configuration des certificats StorageGRID pour FabricPool Pour les clients S3 qui effectuent une validation stricte du nom d’hôte et qui ne prennent pas en charge la désactivation de la validation stricte du nom d’hôte, comme les clients ONTAP utilisant FabricPool, vous pouvez générer ou charger un certificat de serveur lors de la configuration du point de terminaison de l’équilibreur de charge.
Page 172 Étapes 1. Configurez également un groupe haute disponibilité (HA) pour FabricPool à utiliser. 2. Créez un terminal d’équilibrage de charge S3 pour FabricPool. Lorsque vous créez un noeud final d’équilibreur de charge HTTPS, vous êtes invité à télécharger votre certificat de serveur, votre clé privée de certificat et votre bundle CA.
Page 173 Si vous utilisez des services de plateforme ou des pools de stockage cloud, vous pouvez configurer un proxy non transparent entre les nœuds de stockage et les terminaux S3 externes. Par exemple, vous aurez peut-être besoin d’un proxy non transparent pour permettre l’envoi de messages de services de plate-forme vers des noeuds finaux...
Page 174 • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. Description de la tâche Vous pouvez configurer les paramètres d’un proxy de stockage unique. Étapes 1. Sélectionnez Configuration > Paramètres réseau > Paramètres proxy. La page Paramètres du proxy de stockage s’affiche. Par défaut, Storage est sélectionné dans le menu de la barre latérale.
Page 175 Si vous devez désactiver un proxy de stockage, décochez la case Activer le proxy de stockage, puis cliquez sur Enregistrer. Informations associées "Réseaux et ports pour les services de plate-forme" "Gestion des objets avec ILM" Configuration des paramètres du proxy d’administration Si vous envoyez des messages AutoSupport via HTTP ou HTTPS, vous pouvez configurer un serveur proxy non transparent entre les nœuds d’administration et le support technique (AutoSupport).
Page 176 4. Entrez le nom d’hôte ou l’adresse IP du serveur proxy. 5. Entrez le port utilisé pour se connecter au serveur proxy. 6. Vous pouvez également saisir le nom d’utilisateur du proxy. Laissez ce champ vide si votre serveur proxy ne nécessite pas de nom d’utilisateur. 7.
Page 177 Règles de mise en correspondance et limites facultatives Chaque règle de classification de trafic contient une ou plusieurs règles de correspondance permettant d’identifier le trafic réseau lié à une ou plusieurs des entités suivantes : • Seaux • Locataires • Sous-réseaux (sous-réseaux IPv4 contenant le client) •...
Page 178 simultanément sur plusieurs équilibreurs de charge, les débits maximaux totaux sont un multiple des limites de débit que vous spécifiez. L’exemple suivant montre trois niveaux d’un SLA. Vous pouvez créer des règles de classification du trafic pour atteindre les objectifs de performances de chaque niveau de contrat de niveau de service. Niveau de service Puissance La protection des...
Page 179 2. Cliquez sur Créer. La boîte de dialogue Créer une stratégie de classification de trafic s’affiche. 3. Dans le champ Nom, entrez un nom pour la stratégie. Entrez un nom descriptif pour reconnaître la stratégie.
Page 180 4. Vous pouvez également ajouter une description de la stratégie dans le champ Description. Par exemple, décrivez à quoi s’applique cette politique de classification de trafic et à quoi elle limite. 5. Créer une ou plusieurs règles de correspondance pour la règle. Les règles de correspondance contrôlent les entités qui seront affectées par cette politique de classification du trafic.
Page 181 Par exemple, si vous souhaitez que cette stratégie s’applique à tous les noeuds finaux de l’équilibreur de charge sauf un, spécifiez le noeud final de l’équilibreur de charge à exclure et sélectionnez inverse. Dans le cas d’une règle contenant plusieurs matcheurs où au moins un est un matcher inverse, veillez à...
Page 182 Dans la liste déroulante Type, sélectionnez le type de limite que vous souhaitez appliquer à la stratégie. Dans la liste suivante, in désigne le trafic des clients S3 ou Swift vers l’équilibreur de charge StorageGRID et OUT désigne le trafic de l’équilibreur de charge vers les clients S3 ou Swift.
Page 183 ▪ Point final ▪ Correspondances CIDR non exactes (pas /32) ▪ Correspondances inverses c. Dans le champ valeur, entrez une valeur numérique pour le type de limite que vous avez choisi. Les unités attendues s’affichent lorsque vous sélectionnez une limite. d.
Page 184 Le trafic client S3 et Swift est désormais géré conformément aux règles de classification du trafic. Vous pouvez afficher les diagrammes de trafic et vérifier que les stratégies appliquent les limites de trafic auxquelles vous vous attendez. Informations associées "Gestion de l’équilibrage des charges"...
Page 185 4. Créez, modifiez ou supprimez des règles et des limites de correspondance selon les besoins. a. Pour créer une règle ou une limite de correspondance, cliquez sur Créer et suivez les instructions pour créer une règle ou créer une limite. b.
Page 186 Suppression d’une stratégie de classification du trafic Si vous n’avez plus besoin d’une règle de classification du trafic, vous pouvez la supprimer. Ce dont vous avez besoin • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. •...
Page 187 • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. • Vous devez disposer de l’autorisation accès racine. Description de la tâche Pour toute règle de classification de trafic existante, vous pouvez afficher les mesures du service Load Balancer afin de déterminer si la stratégie limite le trafic sur le réseau.
Page 188 Les graphiques suivants sont inclus sur la page Web. ◦ Trafic des demandes d’équilibrage de charge : ce graphique fournit une moyenne mobile de 3 minutes du débit des données transmises entre les terminaux d’équilibreur de charge et les clients effectuant les demandes, en bits par seconde.
Page 189 5. Placez le curseur sur une carte de chaleur pour afficher une fenêtre contextuelle indiquant la date et l’heure de l’échantillon, les tailles d’objet agrégées dans le compte et le nombre de demandes par seconde pendant cette période. 6. Utilisez le menu déroulant Policy en haut à gauche pour sélectionner une autre stratégie. Les graphiques de la stratégie sélectionnée s’affichent.
Page 190 pouvez ajuster les coûts de liaison pour refléter la latence entre les sites. • Les coûts des liens permettent de classer par ordre de priorité la copie d’objet utilisée pour les récupérations d’objets. • Les coûts des liaisons sont utilisés par l’API de gestion du grid et l’API de gestion des locataires pour déterminer quels services StorageGRID internes utiliser.
Page 191 Lien Coût des liens Remarques Entre les sites de data 25 (par défaut) Data centers connectés par une liaison WAN. centers physiques Entre des sites de data Data centers logiques dans le même bâtiment centers logiques au physique ou campus connecté par un réseau LAN. même emplacement physique Informations associées...
Page 192 3. Cliquez sur appliquer les modifications. Configuration d’AutoSupport en cours La fonctionnalité AutoSupport permet à votre système StorageGRID d’envoyer des messages d’état et d’état au support technique. L’utilisation de AutoSupport peut considérablement accélérer l’identification et la résolution des problèmes. Le support technique peut également surveiller les besoins en stockage de votre système et vous aider à...
Page 193 Active IQ est un conseiller digital basé dans le cloud qui exploite l’analytique prédictive et les connaissances de la communauté issues de la base installée de NetApp. Les évaluations continues des risques, les alertes prédictives, les conseils normatifs et les actions automatisées vous aident à anticiper les problèmes, ce qui permet d’améliorer l’état et la disponibilité...
Page 194 (nécessite le protocole de transmission HTTPS AutoSupport). Paramètre par défaut : Désactivé. • Déclenché par l’utilisateur : envoyez manuellement des messages AutoSupport à tout moment. Informations associées "Support NetApp" Spécification du protocole des messages AutoSupport Vous pouvez utiliser l’un des trois protocoles pour envoyer des messages AutoSupport.
Page 195 3. Sélectionnez votre choix pour validation de certificat de support NetApp. ◦ Utilisez le certificat de support NetApp (par défaut) : la validation du certificat permet de sécuriser la transmission des messages AutoSupport. Le certificat de support NetApp est déjà installé avec le logiciel StorageGRID.
Page 196 Désactivation des messages AutoSupport hebdomadaires Par défaut, le système StorageGRID est configuré pour envoyer un message AutoSupport au support NetApp une fois par semaine. Ce dont vous avez besoin • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge.
Page 197 Désactivation des messages AutoSupport déclenchés par les événements Par défaut, le système StorageGRID est configuré de manière à envoyer un message AutoSupport au support NetApp lorsqu’une alerte importante ou un autre événement système important se produit. Ce dont vous avez besoin...
Page 198 • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. • Vous devez disposer de l’autorisation accès racine ou autre configuration grille. Description de la tâche Vous pouvez désactiver à tout moment les messages AutoSupport déclenchés par les événements. Les messages AutoSupport déclenchés par des événements sont également supprimés lorsque vous supprimez des notifications par e-mail dans tout le système.
Page 199 AutoSupport de votre navigateur après 1 minute pour accéder aux résultats les plus récents. Ajout d’une destination AutoSupport supplémentaire Lorsque vous activez AutoSupport, les messages d’état et d’état sont envoyés au support NetApp. Vous pouvez indiquer une destination supplémentaire pour tous les messages AutoSupport. Ce dont vous avez besoin •...
Page 200 3. Entrez le nom d’hôte ou l’adresse IP du serveur d’un serveur de destination AutoSupport supplémentaire. Vous ne pouvez entrer qu’une destination supplémentaire. 4. Entrez le port utilisé pour la connexion à un serveur de destination AutoSupport supplémentaire (le port par défaut est le port 80 pour HTTP ou le port 443 pour HTTPS).
Page 201 Cette procédure permet uniquement de configurer un serveur proxy StorageGRID pour les messages AutoSupport E-Series. Pour en savoir plus sur la configuration des baies E-Series AutoSupport, consultez le centre de documentation E-Series. "Centre de documentation des systèmes NetApp E-Series" Étapes 1. Dans le Gestionnaire de grille, sélectionnez noeuds.
Page 202 2. Dans la liste des nœuds de gauche, sélectionnez le nœud d’appliance de stockage à configurer. 3. Sélectionnez SANtricity System Manager. La page d’accueil de SANtricity System Manager s’affiche. 4. Sélectionnez support > support Center > AutoSupport. La page opérations AutoSupport s’affiche.
Page 203 5. Sélectionnez configurer la méthode de livraison AutoSupport. La page configurer la méthode de livraison AutoSupport s’affiche.
Page 204 6. Sélectionnez HTTPS pour la méthode de livraison. Le certificat qui active le protocole HTTPS est préinstallé. 7. Sélectionnez via le serveur proxy. 8. Entrez Pour l’adresse hôte. tunnel-host Est l’adresse spéciale pour utiliser un nœud d’administration pour envoyer les messages tunnel-host AutoSupport E-Series.
Page 205 Si le test échoue, un message d’erreur s’affiche dans une bannière rouge. Vérifiez les paramètres DNS de StorageGRID et la mise en réseau, assurez-vous que le nœud d’administration d’expéditeur privilégié peut se connecter au site du support NetApp, puis réessayez. 11. Sélectionnez Enregistrer.
Page 206 Échec hebdomadaire du message AutoSupport Si un message AutoSupport hebdomadaire ne parvient pas à s’envoyer, le système StorageGRID prend les actions suivantes : 1. Met à jour l’attribut de résultat le plus récent pour réessayer. 2. Tente de renvoyer le message AutoSupport 15 fois toutes les quatre minutes pendant une heure. 3.
Page 207 Échec du message AutoSupport déclenché par l’utilisateur ou déclenché par un événement Si l’envoi d’un message AutoSupport déclenché par l’utilisateur ou un événement ne parvient pas à s’effectuer, le système StorageGRID prend les actions suivantes : 1. Affiche un message d’erreur si l’erreur est connue. Par exemple, si un utilisateur sélectionne le protocole SMTP sans fournir les paramètres de configuration corrects de la messagerie, l’erreur suivante s’affiche : AutoSupport messages cannot be sent using SMTP protocol due to incorrect settings on the E-mail Server page.
Page 208 Le service DDS suit le nombre total d’objets ingérés dans le système StorageGRID, ainsi que le nombre total d’objets ingérés par chacune des interfaces prises en charge par le système (S3 ou Swift). Vous pouvez voir le nombre total d’objets sur la page nœuds > onglet objets pour n’importe quel nœud de...
Page 209 Requêtes Vous pouvez identifier le temps moyen d’exécution d’une requête sur le magasin de métadonnées par le biais du service DDS spécifique, du nombre total de requêtes réussies et du nombre total de requêtes ayant échoué en raison d’un problème de délai d’attente. Un examen des informations de requête peut être nécessaire afin de contrôler l’état du datastore Cassandra, ce qui a un impact sur les performances d’entrée et de récupération du système.
Page 210 • Gestion du stockage des données • Interfaces de protocole (S3 et Swift) Le service LDR gère également le mappage d’objets S3 et Swift vers des UUID (« content handle ») uniques que le système StorageGRID attribue à chaque objet ingéré.
Page 211 Vous pouvez également afficher les ports S3 et Swift utilisés par le service CLB obsolète sur les nœuds de passerelle et par le service LDR sur les nœuds de stockage.
Page 212 La segmentation d’objet consiste à diviser un objet en un ensemble d’objets de plus petite taille afin d’optimiser l’utilisation des ressources et du stockage pour les objets volumineux. Le téléchargement multi-pièces S3 crée également des objets segmentés, avec un objet représentant chaque pièce.
Page 213 Si votre système StorageGRID inclut un nœud d’archivage dont le type cible est NetApp Cloud Tiering — simple Storage Service et le système de stockage d’archives ciblé est Amazon Web Services (AWS), la taille de segment maximale doit être inférieure ou égale à 4.5 Gio (4,831,838,208 octets). Cette limite supérieure garantit que la limite DE cinq Go D’AWS PUT n’est pas dépassée.
Page 214 La figure suivante représente un nœud de stockage avec trois volumes et indique la position relative des trois filigranes du volume de stockage. Dans chaque nœud de stockage, StorageGRID se réserve l’espace sur le volume 0 pour les métadonnées d’objet. Tout espace restant sur ce volume est utilisé pour les données d’objet.
Page 215 Les filigranes du volume de stockage sont des valeurs par défaut qui indiquent la quantité minimale d’espace libre requise sur chaque volume du nœud de stockage afin d’empêcher les StorageGRID de modifier le comportement de lecture/écriture du nœud ou de déclencher une alarme. Notez que tous les volumes doivent atteindre le filigrane avant que StorageGRID ne prenne l’action.
Page 216 Filigrane en lecture seule (VROM) du volume de stockage Le filigrane en lecture seule matérielle du volume de stockage est le filigrane suivant pour indiquer que l’espace utilisable d’un nœud pour les données d’objet est en train de devenir plein. Ce filigrane représente la quantité...
Page 217 • Les métadonnées du système, y compris un ID unique pour chaque objet (UUID), le nom de l’objet, le nom du compartiment S3 ou du conteneur Swift, le nom ou l’ID du compte du locataire, la taille logique de l’objet, la date et l’heure de la première création de l’objet, et la date et l’heure de la dernière modification de l’objet.
Page 218 Comme illustré dans la figure, StorageGRID réserve l’espace des métadonnées d’objet sur le volume de stockage 0 de chaque nœud de stockage. Il utilise l’espace réservé pour stocker les métadonnées d’objet et effectuer les opérations essentielles de la base de données. Tout espace restant sur le volume de stockage 0 et tous les autres volumes du nœud de stockage sont utilisés exclusivement pour les données d’objet (copies répliquées et fragments avec code d’effacement).
Page 219 Version utilisée pour Quantité de RAM sur les nœuds Paramètre d’espace réservé aux l’installation initiale de de stockage métadonnées par défaut pour StorageGRID StorageGRID 11.5 Moins de 128 Go sur n’importe 3 TO (3,000 GO) quel nœud de stockage de chaque site 11.0 ou antérieure Tout montant...
Page 220 Taille du volume 0 pour le nœud Espace réservé réel pour les métadonnées 500 Go ou plus Plus ces valeurs sont faibles : • Volume 0 • Paramètre Metadata Reserved Space Pour afficher l’espace réservé réel pour les métadonnées sur un nœud de stockage particulier : 1.
Page 221 Espace de métadonnées autorisé L’espace réservé réel de chaque nœud de stockage pour les métadonnées est divisé en l’espace disponible pour les métadonnées d’objet (l’espace autorisé metadata space) et l’espace requis pour les opérations essentielles de bases de données (telles que la compaction et la réparation) et les mises à niveau matérielles et logicielles futures.
Page 222 128 Go de RAM et d’espace disponible sur le volume de stockage 0, contactez votre représentant NetApp. Nous examinerons vos besoins et augmenterons l’espace de métadonnées autorisé pour chaque nœud de stockage, si possible.
Page 223 La façon dont les nœuds de stockage de différentes tailles affectent la capacité des objets Comme décrit ci-dessus, StorageGRID distribue uniformément les métadonnées d’objet sur les nœuds de stockage sur chaque site. Par conséquent, si un site contient des nœuds de stockage de différentes tailles, le plus petit nœud du site détermine la capacité...
Page 224 • N’activez pas la compression si vous utilisez NetApp FabricPool avec StorageGRID. • Si l’option de grille objets stockés de compression est activée, les applications client S3 et Swift doivent éviter d’exécuter des opérations GET Object qui indiquent une plage d’octets à renvoyer. Ces opérations de «...
Page 225 • Vous devez disposer d’autorisations d’accès spécifiques. Description de la tâche Le chiffrement d’objets stocké permet le chiffrement de toutes les données d’objet à leur entrée via S3 ou Swift. Lorsque vous activez le paramètre, tous les objets récemment acquis sont chiffrés, mais aucun changement n’est apporté...
Page 226 3. Cliquez sur Enregistrer. Configuration du hachage de l’objet stocké L’option de hachage d’objet stocké spécifie l’algorithme de hachage utilisé pour vérifier l’intégrité des objets. Ce dont vous avez besoin • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. •...
Page 227 Code Description État HTTP HSTE État actuel du protocole HTTP pour S3, Swift et autre trafic StorageGRID interne : • Hors ligne : aucune opération n’est autorisée et toute application client qui tente d’ouvrir une session HTTP au service LDR reçoit un message d’erreur.
Page 228 LDR > stockage Nom d’attribut Code Description État de Paramètre configurable par l’utilisateur pour l’état stockage — souhaité souhaité du composant de stockage. Le service LDR lit cette valeur et tente de faire correspondre l’état indiqué par cet attribut. La valeur est persistante entre les redémarrages.
Page 229 Nom d’attribut Code Description La vérification Sélectionnez les magasins d’objets sur lesquels effectuer la vérification de premier plan. Taux de vérification VPRI Définissez la vitesse à laquelle la vérification des antécédents a lieu. Voir les informations sur la configuration du taux de vérification des antécédents. Réinitialiser le nombre VCCR Réinitialisez le compteur pour les données d’objet...
Page 230 Nom d’attribut Code Description Réinitialiser le nombre de RSCC Réinitialisez le compteur du nombre de copies copies corrompues corrompues de données d’objet avec code détectées d’effacement sur le nœud de stockage. Réinitialiser le nombre de RSCD Réinitialisez le compteur en cas de fragments fragments corrompus endommagés de données d’objet avec code détectés...
Page 231 Nom d’attribut Code Description Désactiver la réplication DSOR Sélectionnez cette option pour désactiver la sortante réplication sortante (y compris les demandes de contenu pour les récupérations HTTP) dans le cadre d’une procédure de maintenance ou de test. Laisser non vérifié pendant le fonctionnement normal. Lorsque la réplication sortante est désactivée, les objets peuvent être copiés vers ce noeud de stockage, mais les objets ne peuvent pas être...
Page 232 • Service CMN • Service NMS • Service Prometheus • Services d’équilibrage de la charge et haute disponibilité (pour prendre en charge le trafic des clients S3 et Swift) Les nœuds d’administration prennent également en charge l’API de gestion (Management application Program interface) pour traiter les requêtes depuis l’API de gestion du grid et l’API de gestion des locataires.
Page 233 En quoi consiste le service NMS Le service Network Management System (NMS) alimente les options de surveillance, de rapport et de configuration affichées via le gestionnaire de grille, l’interface navigateur du système StorageGRID. Définition du service Prometheus Le service Prometheus collecte les metrics de séries chronologiques des services sur tous les nœuds. Informations associées "Via l’API de gestion du grid"...
Page 234 Deux options s’offrent à vous pour continuer à afficher et à configurer le système StorageGRID en cas de défaillance d’un nœud d’administration : • Les clients Web peuvent se reconnecter à tout autre nœud d’administration disponible. • Si un administrateur système a configuré un groupe de nœuds d’administration haute disponibilité, les clients Web peuvent continuer à...
Page 235 Identification du nœud d’administration principal Le nœud d’administration principal héberge le service CMN. Certaines procédures de maintenance peuvent uniquement être effectuées à l’aide du nœud d’administration principal. Ce dont vous avez besoin • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. •...
Page 236 expéditeurs de secours tenteront d’envoyer des notifications, et plusieurs copies de notifications peuvent être reçues. • Lorsqu’un expéditeur en veille détecte des problèmes avec l’expéditeur préféré et commence à envoyer des notifications, il est possible que l’expéditeur préféré puisse récupérer sa capacité à envoyer des notifications.
Page 237 après 60 secondes, elle est supprimée de la file d’attente de notifications et une tentative d’envoi de la notification suivante dans la file d’attente est effectuée. Comme les notifications peuvent être supprimées de la file d’attente de notifications sans être envoyées, il est possible qu’une alarme puisse être déclenchée sans qu’une notification soit envoyée.
Page 238 L’exportation d’audit via CIFS/Samba a été obsolète et sera supprimée dans une future version de StorageGRID. Informations associées "Qu’est-ce qu’un nœud d’administration" "Examiner les journaux d’audit" "Mise à niveau du logiciel" Configuration des clients d’audit pour CIFS La procédure utilisée pour configurer un client d’audit dépend de la méthode d’authentification Windows Workgroup ou Windows Active Directory (AD).
Page 239 Si tous les services ne sont pas en cours d’exécution ou vérifiés, résolvez les problèmes avant de continuer. 3. Revenez à la ligne de commande, appuyez sur Ctrl+C. 4. Démarrez l’utilitaire de configuration CIFS : config_cifs.rb --------------------------------------------------------------------- | Shares | Authentication | Config --------------------------------------------------------------------- | add-audit-share...
Page 240 d. Lorsque vous y êtes invité, entrez un mot de passe pour l’utilisateur d’audit : password e. Lorsque vous y êtes invité, saisissez à nouveau le même mot de passe pour le confirmer : password f. Lorsque vous y êtes invité, appuyez sur entrée. L’utilitaire de configuration CIFS s’affiche.
Page 241 11. Si le déploiement de StorageGRID est un site unique, passez à l’étape suivante. Si le déploiement de StorageGRID inclut des nœuds d’administration sur d’autres sites, activez ce partage d’audit comme requis : a. Connectez-vous à distance au nœud d’administration d’un site : i.
Page 242 Si tous les services ne sont pas en cours d’exécution ou vérifiés, résolvez les problèmes avant de continuer. 3. Revenez à la ligne de commande, appuyez sur Ctrl+C. 4. Démarrez l’utilitaire de configuration CIFS : config_cifs.rb --------------------------------------------------------------------- | Shares | Authentication | Config --------------------------------------------------------------------- | add-audit-share...
Page 243 administrator_username où Est le nom d’utilisateur CIFS Active Directory, pas le nom d’utilisateur administrator_username StorageGRID. e. Lorsque vous y êtes invité, indiquez le mot de passe de l’administrateur : administrator_password l’ont été Est le nom d’utilisateur CIFS Active Directory, et non le mot de administrator_password passe StorageGRID.
Page 244 10. Vérifiez éventuellement votre configuration : validate-config Les services sont vérifiés et affichés. Vous pouvez ignorer en toute sécurité les messages suivants : ◦ Impossible de trouver le fichier d’inclure /etc/samba/includes/cifs-interfaces.inc ◦ Impossible de trouver le fichier d’inclure /etc/samba/includes/cifs-filesystem.inc ◦ Impossible de trouver le fichier d’inclure /etc/samba/includes/cifs-interfaces.inc ◦...
Page 245 • Vous devez avoir le Fichier avec le mot de passe du compte root/admin (disponible dans Passwords.txt LEDIT paquet). • Vous devez avoir le Fichier (disponible dans LEDIT paquet). Configuration.txt Description de la tâche La procédure suivante concerne un partage d’audit intégré à l’authentification AD. L’exportation d’audit via CIFS/Samba a été...
Page 246 7. Lorsque vous y êtes invité, ajoutez un utilisateur ou un groupe : user group 8. Lorsque vous êtes invité à entrer le nom de l’utilisateur ou du groupe pour ce partage d’audit AD, entrez le nom. L’utilisateur ou le groupe est ajouté en lecture seule pour le partage d’audit à la fois dans le système d’exploitation du serveur et dans le service CIFS.
Page 247 LEDIT package). • Vous devez avoir le Fichier (disponible dans LEDIT paquet). Configuration.txt Description de la tâche L’exportation d’audit via CIFS/Samba a été obsolète et sera supprimée dans une future version de StorageGRID. Étapes 1. Connectez-vous au nœud d’administration principal : a.
Page 248 Enabled shares 1. audit-export Select the share to change: 1 Remove user or group? [User/group]: User Valid users for this share 1. audituser 2. newaudituser Select the user to remove: 1 Removed user "audituser" from share "audit-export". Press return to continue. 7.
Page 249 toutes les fenêtres. Configuration du client d’audit pour NFS Le partage d’audit est automatiquement activé en tant que partage en lecture seule. Ce dont vous avez besoin • Vous devez avoir le Fichier avec le mot de passe root/admin (disponible dans LEDIT Passwords.txt paquet).
Page 250 b. Lorsque vous y êtes invité, appuyez sur entrée. 6. Si plusieurs clients d’audit sont autorisés à accéder au partage d’audit, ajoutez l’adresse IP de l’utilisateur supplémentaire : add-ip-to-share a. Entrez le numéro du partage d’audit : audit_share_number b. Lorsque vous y êtes invité, entrez l’adresse IP ou la plage d’adresses IP du client d’audit pour le partage d’audit : client_IP_address c.
Page 251 Ce dont vous avez besoin • Vous devez avoir le Fichier avec le mot de passe du compte root/admin (disponible dans Passwords.txt LEDIT paquet). • Vous devez avoir le Fichier (disponible dans LEDIT paquet). Configuration.txt • Le client d’audit doit utiliser NFS version 3 (NFSv3). Étapes 1.
Page 252 a. Lorsque vous y êtes invité, appuyez sur entrée. L’utilitaire de configuration NFS s’affiche. 9. Fermez l’utilitaire de configuration NFS : exit 10. Si le déploiement de StorageGRID est un site unique, passez à l’étape suivante. Si le déploiement StorageGRID inclut des nœuds d’administration sur d’autres sites, activez éventuellement ces partages d’audit si nécessaire : a.
Page 253 Vous pouvez supprimer un client d’audit existant en supprimant son adresse IP. Ce dont vous avez besoin • Vous devez avoir le Fichier avec le mot de passe du compte root/admin (disponible dans Passwords.txt LEDIT paquet). • Vous devez avoir le Fichier (disponible dans LEDIT paquet).
Page 254 7. Fermez l’utilitaire de configuration NFS : exit 8. Si votre déploiement StorageGRID est un déploiement de plusieurs sites de data Center avec des nœuds d’administration supplémentaires sur les autres sites, désactivez les partages d’audit suivants : a. Connectez-vous à distance au nœud d’administration de chaque site : i.
Page 255 externes ciblé. Les données d’objet qui ne peuvent pas être supprimées, mais qui ne sont pas régulièrement utilisées, peuvent à tout moment être déplacées hors des disques rotatifs d’un nœud de stockage, vers un stockage d’archivage externe tel que le cloud ou la bande. Cet archivage des données d’objet s’effectue via la configuration du nœud d’archivage d’un site de data Center, puis la configuration des règles ILM sur lesquelles ce nœud d’archivage est sélectionné...
Page 256 Le déplacement d’objets d’un nœud d’archivage vers un système de stockage d’archivage externe via l’API S3 a été remplacé par les pools de stockage cloud ILM, offrant ainsi plus de fonctionnalités. L’option Cloud Tiering - simple Storage Service (S3) est toujours prise en charge, mais vous préférez peut-être implémenter des pools de stockage cloud.
Page 257 4. Sélectionnez Cloud Tiering - simple Storage Service (S3) dans la liste déroulante Type de cible. Les paramètres de configuration ne sont pas disponibles tant que vous n’avez pas sélectionné de type cible. 5. Configurez le compte de Tiering cloud (S3) via lequel le nœud d’archivage se connecte au système de...
Page 258 • Vous devez disposer d’autorisations d’accès spécifiques. Description de la tâche Si vous modifiez le compte Cloud Tiering (S3), vous devez vous assurer que les identifiants d’accès utilisateur ont un accès en lecture/écriture au compartiment, y compris tous les objets précédemment ingérées par le...
Page 259 Modification de l’état du service NetApp Cloud Tiering Vous pouvez contrôler la capacité de lecture et d’écriture du nœud d’archivage sur le système de stockage d’archives externe ciblé qui se connecte via l’API S3 en modifiant l’état du service de Tiering cloud.
Page 260 Réinitialisation du nombre d’échecs de stockage pour la connexion API S3 Si votre nœud d’archivage se connecte à un système de stockage d’archives via l’API S3, vous pouvez réinitialiser le nombre d’échecs de stockage, qui peut être utilisé pour effacer l’alarme ARVF (échecs de stockage).
Page 261 StorageGRID, un pool de stockage cloud est constitué d’un compartiment S3 externe. Avant de migrer les objets depuis Cloud Tiering - S3 vers un pool de stockage cloud, vous devez d’abord créer un compartiment S3, puis créer le pool de stockage cloud dans StorageGRID. Vous pouvez ensuite créer une nouvelle règle ILM et remplacer la règle ILM utilisée pour stocker les objets dans le compartiment Cloud...
Page 262 Étapes 1. Création d’un pool de stockage cloud. Utilisez un nouveau compartiment S3 pour le pool de stockage cloud afin de garantir que celui-ci contient uniquement les données gérées par le pool de stockage cloud. 2. Recherchez toutes les règles ILM de la règle ILM active qui entraîne le stockage des objets dans le compartiment de NetApp Cloud Tiering.
Page 263 Configuration des connexions au middleware TSM Avant que le nœud d’archivage puisse communiquer avec le middleware Tivoli Storage Manager (TSM), vous devez configurer un certain nombre de paramètres. Ce dont vous avez besoin • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. •...
Page 264 6. Complétez les informations suivantes : ◦ IP ou Nom d’hôte du serveur : spécifiez l’adresse IP ou le nom de domaine complet du serveur middleware TSM utilisé par le service ARC. L’adresse IP par défaut est 127.0.0.1. ◦ Port serveur : spécifiez le numéro de port sur le serveur middleware TSM auquel le service ARC se connectera.
Page 265 Description de la tâche En général, le nombre de sessions simultanées que le nœud d’archivage a ouvertes au serveur middleware TSM est défini sur le nombre de lecteurs de bande que le serveur TSM a dédiés au nœud d’archivage. Un lecteur de bande est alloué...
Page 266 associée. Ce dont vous avez besoin • Vous devez être connecté à Grid Manager à l’aide d’un navigateur pris en charge. • Vous devez disposer d’autorisations d’accès spécifiques. Étapes 1. Sélectionnez support > Outils > topologie de grille. 2. Sélectionnez Archive Node > ARC > Store. 3.
Page 267 pour le transfert vers le serveur TSM une fois que le serveur TSM a arrêté d’accepter le nouveau contenu. Ce contenu ne peut pas être écrit sur un support géré par le serveur TSM. Une alarme est déclenchée si cela se produit. Cette situation peut être évitée grâce à...
Page 268 2. Sélectionnez Archive Node > ARC > cible. 3. Sélectionnez Configuration > main. 4. Modifiez le nombre maximal de sessions de récupération pour qu’il soit identique au nombre de sessions simultanées répertoriées dans nombre de sessions. 5. Définissez le nombre maximum de sessions de stockage sur 0. Il n’est pas nécessaire de modifier le nombre maximal de sessions de stockage sur 0 si le nœud d’archivage est en lecture seule.
Page 269 ◦ Réinitialiser le nombre d’échecs de vérification : cochez cette case pour réinitialiser le compteur d’échecs de vérification sur les données d’objet récupérées. Il peut être utilisé pour effacer l’alarme ARRV (échecs de vérification). 5. Cliquez sur appliquer les modifications. Configuration de la réplication du noeud d’archivage Vous pouvez configurer les paramètres de réplication d’un nœud d’archivage et désactiver la réplication entrante et sortante, ou réinitialiser le nombre d’échecs en cours...
Page 270 Lorsque la réplication entrante est désactivée, les données d’objet peuvent être extraites du service ARC pour la réplication vers d’autres emplacements du système StorageGRID, mais les objets ne peuvent pas être répliqués vers ce service ARC à partir d’autres emplacements du système. Le service ARC est en lecture seule.
Page 271 Configuration et fonctionnement du nœud d’archivage Votre système StorageGRID gère le nœud d’archivage comme un emplacement dans lequel les objets sont stockés indéfiniment et sont toujours accessibles. À l’ingestion d’un objet, des copies sont effectuées dans tous les emplacements nécessaires, y compris les nœuds d’archivage, en fonction des règles de gestion du cycle de vie des informations (ILM) définies pour votre système StorageGRID.
Page 272 • Comme le nœud d’archivage ne agrège pas les objets avant de les enregistrer sur le serveur TSM, la base de données TSM doit être dimensionnée pour contenir les références à tous les objets qui seront écrits sur le nœud d’archivage. •...
Page 273 Les instructions suivantes vous guident tout au long du processus : • Définition d’un pool de stockage sur disque et d’un pool de stockage sur bandes (le cas échéant) sur le serveur TSM • Définition d’une stratégie de domaine qui utilise la classe de gestion TSM pour les données enregistrées à partir du nœud d’archivage et enregistrement d’un nœud pour utiliser cette stratégie de domaine Ces instructions sont fournies à...
Page 274 ◦ est le nom du périphérique de la bibliothèque de bandes lib-devicename 3. Définissez un lecteur pour la bibliothèque. define drive tapelibrary drivename ◦ est le nom que vous souhaitez spécifier pour le lecteur drivename ◦ est le nom de bibliothèque de bandes que vous avez défini tapelibrary Il est possible que vous souhaitiez configurer un ou plusieurs lecteurs supplémentaires, en fonction de la configuration de votre matériel.
Page 275 ◦ Est une description du pool de stockage qui peut être affichée sur le serveur TSM à description l’aide de commande. Par exemple : « pool de stockage sur bande pour le nœud query stgpool d’archivage ». ◦ Spécifie que le serveur TSM doit écrire des objets à partir du même espace collocate=filespace de fichiers dans une seule bande.
Page 276 Cependant, il est préférable de créer plusieurs volumes de disque de taille inférieure, car le serveur TSM peut écrire sur chaque volume du pool de disques. Par exemple, si la taille de la bande est de 250 Go, créez 25 volumes de disque d’une taille de 10 Go (10000) chacun. Le serveur TSM préalloue de l’espace dans le répertoire du volume de disque.
Page 277 2. Si vous n’utilisez pas de classe de gestion existante, entrez l’une des options suivantes : define policyset tsm-domain standard define mgmtclass tsm-domain standard default est la classe de gestion par défaut pour le déploiement. default 3. Créez un groupe de copie dans le pool de stockage approprié. Entrer (sur une ligne) : define copygroup tsm-domain standard default type=archive destination=SGWSDiskPool retinit=event retmin=0 retver=0 Est la classe de gestion par défaut du nœud d’archivage.
Page 278 vers le système StorageGRID. Ce n’est pas un guide général de la migration des données et n’inclut pas des étapes détaillées pour effectuer une migration. Suivez les instructions de cette section pour assurer une migration efficace des données dans le système StorageGRID sans perturber les opérations quotidiennes et que les données migrées sont correctement gérées par le système StorageGRID.
Page 279 Avant de commencer la migration des données, veillez à bien comprendre la règle ILM du système StorageGRID et la manière dont elle s’applique aux données migrées, et à effectuer et tester toutes les modifications apportées à la règle ILM. Une règle ILM incorrecte peut entraîner une perte de données irrécupérable. Examinez attentivement toutes les modifications apportées à...
Page 280 Surveillance de la migration des données La migration des données doit être contrôlée et ajustée selon les besoins, pour garantir le placement des données conformément à la politique ILM dans les délais impartis. Ce tableau répertorie les attributs que vous devez contrôler lors de la migration des données, ainsi que les problèmes qu’ils représentent.
Page 281 1. Créez une règle d’alerte personnalisée ou une alarme personnalisée globale pour chaque metric Prometheus ou attribut StorageGRID que vous souhaitez surveiller pendant la migration des données. Les alertes sont déclenchées en fonction des valeurs de mesure Prometheus. Les alarmes sont déclenchées en fonction des valeurs d’attribut.
Page 282 électronique) sans l’autorisation écrite préalable du détenteur du droit de copyright. Les logiciels dérivés des éléments NetApp protégés par copyright sont soumis à la licence et à l’avis de non- responsabilité suivants : CE LOGICIEL EST FOURNI PAR NETAPP « EN L’ÉTAT » ET SANS GARANTIES EXPRESSES OU TACITES, Y COMPRIS LES GARANTIES TACITES DE QUALITÉ...

NetApp S3 Mode D'emploi

Liens rapides

Manuels Connexes pour NetApp S3

Sommaire des Matières pour NetApp S3