elastic cloud storage (ecs) · introducción dell emc elastic cloud storage (ecs) proporciona una...

Elastic Cloud Storage (ECS)Versión 3.1

Guía de administración302-003-863

02

Copyright © 2013-2017 Dell Inc. o sus filiales. Todos los derechos reservados.

Publicado en Septiembre de 2017

Dell considera que la información de este documento es precisa en el momento de su publicación. La información está sujeta a cambios sin previo

aviso.

LA INFORMACIÓN DE ESTA PUBLICACIÓN SE PROPORCIONA “TAL CUAL”. DELL NO SE HACE RESPONSABLE NI OFRECE GARANTÍA DE

NINGÚN TIPO CON RESPECTO A LA INFORMACIÓN DE ESTA PUBLICACIÓN Y, ESPECÍFICAMENTE, RENUNCIA A TODA GARANTÍA

IMPLÍCITA DE COMERCIABILIDAD O CAPACIDAD PARA UN PROPÓSITO DETERMINADO. EL USO, LA COPIA Y LA DISTRIBUCIÓN DE

CUALQUIER SOFTWARE DE DELL DESCRITO EN ESTA PUBLICACIÓN REQUIEREN LA LICENCIA DE SOFTWARE CORRESPONDIENTE.

Dell, EMC y otras marcas comerciales pertenecen a Dell Inc. o sus filiales. Las demás marcas comerciales pueden ser propiedad de sus respectivos

dueños. Publicado en México.

Dirección local de EMCEMC Argentina (Cono Sur) Tel. +54-11-4021-3622 http://www.emc.com/es-ar/index.htmEMC México Tel. +52-55-5080-3700 http://www.emc.com/es-mx/index.htmEMC Venezuela (Norte de Latinoamérica) Tel. +58-212-206-6911 http://www.emc.com/es-ve/index.htm

2 Elastic Cloud Storage (ECS) 3.1 Guía de administración

7

9

Descripción general 11Introducción................................................................................................ 12Plataforma de ECS......................................................................................13Protección de datos de ECS....................................................................... 14

Configuraciones de disponibilidad, durabilidad y resistencia........... 16Red de ECS................................................................................................. 17Consideraciones del balanceo de carga....................................................... 17

Introducción a ECS 19Configuración inicial................................................................................... 20Inicio de sesión en el portal de ECS............................................................ 20Ver la lista de verificación de tareas de la introducción............................... 21Ver el tablero del portal de ECS..................................................................22

Barra de menú superior derecha.................................................... 23Ver solicitudes............................................................................... 24Ver la utilización de la capacidad....................................................24Ver el rendimiento..........................................................................24Ver la eficiencia del almacenamiento............................................. 25Ver geomonitoreo.......................................................................... 25Ver el estado del nodo y el disco....................................................26Ver alertas..................................................................................... 26

Pools de almacenamiento, VDC y grupos de replicación 29Introducción a pools de almacenamiento, VDC y grupos de replicación...... 30Trabajar con pools de almacenamiento en el portal de ECS.........................31

Crear un pool de almacenamiento.................................................. 32Editar un pool de almacenamiento................................................. 34

Trabajo con VDC en el portal de ECS .........................................................34Creación de un VDC para un solo sitio........................................... 35Adición de un VDC a una federación.............................................. 36Editar un VDC................................................................................38Eliminar un VDC y realizar una conmutación por error de un sitio....38

Trabajo con grupos de replicación en el portal de ECS............................... 40Creación de un grupo de replicación...............................................41Editar un grupo de replicación....................................................... 44

Proveedores de autenticación 45Introducción a proveedores de autenticación............................................. 46Trabajo con proveedores de autenticación en el portal de ECS.................. 46

Consideraciones al agregar proveedores de autenticación de ActiveDirectory........................................................................................47Agregar un proveedor de autenticación de AD o LDAP.................. 48

Figuras

Tablas

Capítulo 1

Capítulo 2

Capítulo 3

Capítulo 4

CONTENIDO

Elastic Cloud Storage (ECS) 3.1 Guía de administración 3

Agregar un proveedor de autenticación Keystone.......................... 51

Espacios de nombres 53Introducción a espacios de nombres...........................................................54Grupos de usuarios de espacios de nombres...............................................54Configuración de espacio de nombres........................................................ 55

Períodos y políticas de retención................................................... 58Trabajo con espacios de nombres en el portal de ECS................................59

Crear un espacio de nombres........................................................ 60Editar un espacio de nombres........................................................63Eliminar un espacio de nombres.....................................................64

Usuarios y funciones 67Introducción a usuarios y funciones............................................................68Usuarios en ECS.........................................................................................68

Usuarios de administración............................................................ 69Usuarios de administración predeterminados.................................69Usuarios de objetos....................................................................... 70Usuarios de dominio y locales........................................................ 70Alcance del usuario........................................................................ 73Etiquetas de usuario...................................................................... 73

Funciones de administración en ECS.......................................................... 74Administrador del sistema..............................................................74Monitor del sistema....................................................................... 74Administrador de espacio de nombres........................................... 75Administrador de bloqueo.............................................................. 75Tareas realizadas por función........................................................ 75

Trabajo con usuarios en el portal de ECS.................................................... 79Agregar un usuario de objetos........................................................ 81Agregar un usuario de dominio como un usuario de objetos........... 84Agregar usuarios de dominio a un espacio de nombres.................. 85Crear un usuario de administración local o asignar un usuario dedominio o grupo de AD a una función de administración................ 85Asignar la función de administrador de espacio de nombres a unusuario o grupo de AD....................................................................87

Depósitos 89Introducción a los depósitos....................................................................... 90

Propiedad de los depósitos............................................................ 90Acceso a depósitos.........................................................................91

Configuración de depósitos.........................................................................91Grupo predeterminado...................................................................93Claves del índice de metadatos......................................................94Etiquetado de depósitos................................................................ 95

Trabajo con depósitos en el portal de ECS..................................................96Crear un depósito.......................................................................... 96Editar un depósito......................................................................... 98Configuración de ACL....................................................................99Uso del editor de políticas de depósitos........................................104

Crear una categoría con la API de S3 (con s3curl).................................... 108Encabezados HTTP de depósitos.................................................. 111

Convenciones de asignación de nombres de depósitos, objetos y espacios denombres.....................................................................................................112

Asignación de nombres de objetos y depósitos S3 en ECS............112

Capítulo 5

Capítulo 6

Capítulo 7

CONTENIDO


Asignación de nombres de objetos y contenedores OpenStack Swiften ECS..........................................................................................113Depósito Atmos y denominación de objetos en ECS......................113Asignación de nombres de objetos y pools de CAS........................114

Acceso a archivos 115Introducción al acceso a archivos.............................................................. 116

Acceso multiprotocolo a archivos y directorios............................. 116Soporte del Portal de ECS para la configuración de NFS........................... 117

Trabajo con exportaciones en el portal de ECS............................. 117Trabajo con mapeos de usuario o grupo en el portal de ECS......... 118

Tareas de configuración de ECS NFS........................................................ 119Creación de un depósito para NFS mediante el portal de ECS......120Agregar una exportación de NFS mediante el portal de ECS........ 122Agregar un mapeo de grupos o usuarios mediante el portal de ECS...124Configurar NFS con seguridad de Kerberos..................................126Ejemplo de montaje de una exportación de NFS........................... 132

Mejores prácticas cuando se utiliza NFS de ECS.......................................134Permisos para el acceso multiprotocolo (crosshead)................................ 134Resumen de la API de archivos..................................................................137

Certificados 139Introducción a los certificados.................................................................. 140Generar certificados................................................................................. 140

Crear una clave privada.................................................................141Generar una configuración de SAN............................................... 141Crear un certificado con autofirma............................................... 142Crear una solicitud de firma de certificado................................... 144

Cargar un certificado................................................................................ 146Realice la autenticación con la REST API de administración de ECS..146Cargar un certificado de administración....................................... 147Cargar un certificado de datos para los terminales de acceso adatos............................................................................................ 148

Verificar certificados instalados................................................................ 149Verificar el certificado de administración......................................149Verificar el certificado de objeto.................................................. 150

Configuración de ECS 153Introducción a la configuración de ECS.....................................................154URL base de objetos................................................................................. 154

Direccionamiento de depósitos y espacios de nombres................ 154Configuración de DNS..................................................................156Agregar una dirección URL base...................................................157

Cambiar contraseña.................................................................................. 158EMC Secure Remote Services (ESRS)..................................................... 159

Verificar la configuración de ESRS...............................................159Servidores de notificación de eventos.......................................................160

Servidores SNMP......................................................................... 161Servidores de syslog.................................................................... 168

Bloqueo de la plataforma........................................................................... 172Bloquear y desbloquear nodos mediante la API REST deadministración de ECS..................................................................173

Capítulo 8

Capítulo 9

Capítulo 10

CONTENIDO


Bloquear y desbloquear nodos mediante el portal de ECS.............173Licencia..................................................................................................... 175

Obtener el archivo de licencia de EMC ECS................................. 175Cargar el archivo de licencia de ECS............................................ 175

Acerca de este VDC.................................................................................. 176

Interrupción y recuperación de ECS 179Introducción a la interrupción y recuperación de sitios de ECS................. 180Comportamiento de TSO.......................................................................... 180

Comportamiento de TSO con la propiedad de depósito ADOdeshabilitada................................................................................. 181Comportamiento de TSO con la propiedad de depósito ADOhabilitada......................................................................................183Consideraciones de TSO.............................................................. 189Acceso al sistema de archivos NFS durante una TSO...................190

Comportamiento de PSO.......................................................................... 190Recuperación en fallas de discos y nodos.................................................. 191

Acceso al sistema de archivos NFS durante la falla de un nodo.....191Rebalanceo de datos después de agregar nuevos nodos........................... 192

Capítulo 11

CONTENIDO


Capas de componentes de ECS...................................................................................13Cerrar sesión en el portal............................................................................................ 21Ícono de guía .............................................................................................................. 21Lista de verificación de tareas de la introducción........................................................22Tablero de ECS...........................................................................................................23Barra de menú superior derecha................................................................................. 23Grupo de replicación que abarca tres sitios y grupo de replicación que abarca dos sitios....................................................................................................................................31Página de administración de pools de almacenamiento................................................31Página Virtual Data Center Management....................................................................35Página Replication Group Management......................................................................40Página Authentication Provider Management.............................................................46Página de administración de espacios de nombres..................................................... 60Agregar un subconjunto de usuarios de dominio en un espacio de nombres mediante unatributo de AD............................................................................................................ 72Agregar un subconjunto de usuarios de dominio en un espacio de nombres mediantevarios atributos de AD.................................................................................................72Página User Management...........................................................................................80Página Bucket Management ...................................................................................... 96Pestaña User ACLs en la página Bucket ACLs Management...................................... 101Vista de código del editor de políticas de depósitos...................................................105Vista de árbol del editor de políticas de depósitos..................................................... 106Pestaña Exports en la página File...............................................................................118Pestaña User/Group Mapping en la página File..........................................................119Se produce un error en la solicitud de lectura/escritura durante la TSO cuando seaccede a datos desde el sitio no propietario y el sitio propietario se marca como TSO..................................................................................................................................182La solicitud de lectura/escritura se completa correctamente durante la TSO cuando seaccede a datos desde el sitio propietario y el sitio no propietario se marca como TSO..................................................................................................................................182La solicitud de lectura/escritura se completa correctamente durante la TSO cuando seaccede a datos con la opción ADO habilitada desde el sitio no propietario y el sitiopropietario se marca como TSO................................................................................ 183Ejemplo de propiedad de objeto para una operación de escritura durante una TSO enuna federación de dos sitios...................................................................................... 186Ejemplo de flujo de trabajo de solicitud de lectura durante una TSO en una federaciónde tres sitios..............................................................................................................187Replicación geopasiva en estado normal................................................................... 188TSO para replicación geopasiva................................................................................ 189

1234567

8910111213

14

1516171819202122

23

24

25

26

2728

FIGURAS


FIGURAS


Servicios de datos compatibles con ECS.....................................................................13Requisitos de codificación de eliminación para archivos regulares e inactivos ............ 15Sobrecarga de almacenamiento.................................................................................. 15Esquemas de protección de datos de ECS.................................................................. 16Propiedades del pool de almacenamiento................................................................... 32Propiedades del VDC.................................................................................................. 35Propiedades del grupo de replicación......................................................................... 40Propiedades del proveedor de autenticación.............................................................. 46Configuraciones del proveedor de autenticación de AD o LDAP................................. 48Configuraciones del proveedor de autenticación Keystone.........................................52Configuración de espacio de nombres........................................................................ 55Propiedades de espacios de nombres......................................................................... 60Usuarios de administración predeterminados..............................................................69Tareas ejecutadas por la función de usuario de administración de ECS.......................76Propiedades de usuario de objetos............................................................................. 80Propiedades de usuarios de administración................................................................. 81Atributos de los depósitos........................................................................................... 91ACL de depósitos...................................................................................................... 100Encabezados de depósitos......................................................................................... 111Instalaciones de Syslog utilizadas por ECS.................................................................171Palabras clave de gravedad de Syslog........................................................................171Llamadas de API REST de administración de ECS para administrar el bloqueo de nodo..................................................................................................................................173

12345678910111213141516171819202122

TABLAS


TABLAS


CAPÍTULO 1

Descripción general

l Introducción....................................................................................................... 12l Plataforma de ECS............................................................................................. 13l Protección de datos de ECS............................................................................... 14l Red de ECS.........................................................................................................17l Consideraciones del balanceo de carga............................................................... 17

Descripción general 11

Introducción

Dell EMC Elastic Cloud Storage (ECS) proporciona una plataforma completa dealmacenamiento de nube definida por software que es compatible con elalmacenamiento, la manipulación y el análisis de datos no estructurados a una escalamasiva en hardware genérico. Puede implementar ECS como un dispositivo dealmacenamiento listo para usar o como un producto de software que se instala en unconjunto de servidores y discos genéricos calificados. ECS ofrece las ventajas decosto de una infraestructura genérica y la confiabilidad empresarial, la disponibilidad yla capacidad de servicio de los arreglos tradicionales.

ECS utiliza una arquitectura escalable que incluye varios nodos y dispositivos dealmacenamiento conectados. Los nodos y dispositivos de almacenamiento soncomponentes de genéricos, similares a los dispositivos que suelen estar disponibles yse encuentran dentro de uno o más racks.

Cuando un rack y sus componentes son proporcionadas por Dell EMC y tienen software preinstalado reciben el nombre de dispositivo de ECS. Cuando un rack y los nodos genéricos no son suministrados por Dell EMC se conocen como una solución solo de software de Dell EMC ECS. Múltiples racks se conocen como un clúster.

Un rack o múltiples racks combinados con procesamiento y almacenamientomanejados como una unidad coherente mediante el software de infraestructura deECS se conocen como un sitio y, en el nivel de software de ECS, como un centro dedatos virtual (VDC).

Los usuarios de administración pueden acceder a la interfaz del usuario de ECS, que seconoce como el portal de ECS, para realizar tareas administrativas. Entre los usuariosde administración, se incluyen las funciones de administrador del sistema, monitor delsistema y administrador del espacio de nombres. Las tareas de administración quepueden realizarse en el portal de ECS también pueden realizarse mediante la API RESTde administración de ECS.

Los administradores de ECS pueden ejecutar las siguientes tareas en el portal de ECS:

l Configurar y administrar la infraestructura del almacén de objetos (recursos dealmacenamiento y procesamiento) para los usuarios de objetos.

l Administrar usuarios, funciones y depósitos dentro de los espacios de nombres.Los espacios de nombres son equivalentes a los grupos de usuarios.

Los usuarios de objetos no pueden acceder al portal de ECS, pero tienen acceso alalmacén de objetos para realizar acciones de lectura y escritura de objetos y depósitosmediante clientes que son compatibles con los siguientes protocolos de acceso adatos:

l Amazon Simple Storage Service (Amazon S3)

l EMC Atmos

l OpenStack Swift

l CAS (almacenamiento direccionable por contenido) de ECS

Para obtener más información sobre las tareas de usuarios de objetos, consulte Guíade acceso a datos de ECS, disponible en la página de documentación de productos deECS.

Para obtener más información sobre las tareas del monitor del sistema, consulte Guíade monitoreo de ECS, disponible en la página de documentación de productos de ECS.



https://community.emc.com/docs/DOC-56978



Plataforma de ECSLa plataforma de ECS se compone de los servicios de datos, el portal, el motor dealmacenamiento, el fabric, la infraestructura y las capas de componentes de hardware.

Figura 1 Capas de componentes de ECS

Data Services Portal

Storage Engine

Fabric

Infrastructure

Hardware

ECSSoftware

Servicios de datos

La capa de componentes de servicios de datos proporciona soporte para obteneracceso al almacén de objetos de ECS mediante protocolos de objetos, HDFS yNFS v3. En general, ECS proporciona acceso multiprotocolo; se puede accedermediante un protocolo a los datos que se recopilan mediante otro protocolo. Porejemplo, los datos que se recopilan mediante S3 pueden modificarse medianteSwift, NFS v3 o HDFS. Este acceso multiprotocolo cuenta con algunasexcepciones debido a la semántica del protocolo y las representaciones de cómose diseñó el protocolo.

La siguiente tabla muestra las API de objetos y los protocolos que son compatiblesy que interoperan.

Tabla 1 Servicios de datos compatibles con ECS

Protocolos Soporte Interoperabilidad

Objeto S3 Funcionalidades adicionales, comoactualizaciones de rango de bytes y ACLenriquecidas

Sistemas de archivos (HDFS y NFS), Swift

Atmos Versión 2.0 NFS (solo objetos basados en rutas, no objetoscon estilo de ID)

Swift Autenticación de las API de v2, Swift yKeystone v3

Sistemas de archivos (HDFS y NFS), S3

CAS SDK v3.1.544 y versiones posteriores No se aplica

HDFS Compatibilidad con Hadoop 2.7 S3, Swift*

NFS NFSv3 S3, Swift, Atmos (objetos basados en rutassolamente)

* Cuando se habilita un depósito para acceso al sistema de archivos, los permisos establecidos mediante HDFS están vigentescuando accede al depósito como un sistema de archivos NFS, y viceversa.


Plataforma de ECS 13

Portal

La capa de componentes del portal de ECS brinda una GUI basada en Web que lepermite administrar y aprovisionar nodos de ECS y darles licencias. El portal tienelas siguientes funcionalidades integrales de creación de informes:

l Utilización de la capacidad para cada sitio, pool de almacenamiento, nodo ydisco

l Monitoreo del rendimiento de la latencia, el rendimiento, las transacciones porsegundo y el progreso y la tasa de replicación

l Información de diagnóstico, como el estado de recuperación del nodo y eldisco y estadísticas sobre el estado del hardware y del proceso para cadanodo, lo que ayuda a identificar los cuellos de botella de rendimiento y delsistema

Motor de almacenamiento

La capa de componentes del motor de almacenamiento ofrece un motor dealmacenamiento no estructurado que es responsable de almacenar y recuperardatos, administrar transacciones y proteger y replicar datos. El motor dealmacenamiento proporciona acceso a objetos recopilados mediante variosprotocolos de almacenamiento de objetos y los protocolos de archivos NFS yHDFS.

Fabric

La capa de componentes de fabric proporciona administración del estado delclúster, administración de software, administración de la configuración,funcionalidades de actualización y alertas. La capa de fabric es responsable demantener los servicios en ejecución y administrar recursos, como los discos, loscontenedores, el firewall y la red. Rastrea los cambios en el ambiente, porejemplo, la detección de una falla, y reacciona a ellos, y proporciona alertasrelacionadas con el estado del sistema.

Infraestructura

La capa de componentes de la infraestructura utiliza SUSE Linux EnterpriseServer 12 como sistema operativo base para el dispositivo ECS o sistemasoperativos Linux calificados para configuraciones de hardware genérico. Dockerestá instalado en la infraestructura para implementar las otras capas decomponentes de ECS. La máquina virtual Java (JVM) se instala como parte de lainfraestructura, ya que el software de ECS está escrito en Java.

Hardware

La capa de componentes de hardware es un dispositivo ECS o hardware estándardel sector calificado. Para obtener más información acerca del hardware de ECS,consulte Guía de hardware y cableado de ECS, disponible en la página dedocumentación de productos de ECS.

Protección de datos de ECS

ECS protege los datos dentro de un sitio mediante el espejeado de los datos en variosnodos y mediante la codificación de eliminación para desglosar los fragmentos dedatos en varios fragmentos y distribuir los fragmentos en los nodos. La codificación deeliminación (EC) reduce la sobrecarga de almacenamiento y garantiza la durabilidad yla resistencia de los datos contra fallas de discos y nodos.





De forma predeterminada, el motor de almacenamiento implementa el esquema decodificación de eliminación de Reed Solomon 12 + 4 en el que un objeto se divide en 12fragmentos de datos y en cuatro fragmentos de codificación. Los 16 fragmentosresultantes se distribuyen en todos los nodos del site local. Cuando se haya aplicado lacodificación de eliminación a un objeto, ECS puede leer el objeto directamente de los12 fragmentos de datos sin tener que hacer un descifrado ni una reconstrucción. Losfragmentos de código se utilizan solo para la reconstrucción de objetos cuando hayfallas de hardware. ECS también admite un esquema de 10 + 2 para utilizar conarchivos de almacenamiento inactivos para almacenar objetos que no cambian confrecuencia y que no necesitan el esquema de EC predeterminado más sólido.

La siguiente tabla muestra los requisitos para los esquemas de codificación deeliminación compatibles.

Tabla 2 Requisitos de codificación de eliminación para archivos regulares e inactivos

Caso de uso Cantidadmínima denodosnecesarios

Cantidadmínima dediscosnecesarios

Discosrecomendados

Eficiencia de EC Esquema de EC

Archivo regular 4 16 32 1.33 12 + 4

Archivo inactivo 6 12 24 1.2 10 + 2

Los sitios se pueden federar para que se repliquen los datos a otro sitio a fin deaumentar la disponibilidad y durabilidad de los datos, y para garantizar que ECS searesistente contra fallas del sitio. En el caso de tres o más sitios, además de lacodificación de eliminación de los fragmentos en un sitio, los fragmentos que sereplican a otros sitios se combinan mediante una técnica denominada XOR paraproporcionar mayor eficiencia del almacenamiento.

La siguiente tabla muestra la eficiencia del almacenamiento que ECS puede obtenerdonde se utilizan varios sitios.

Tabla 3 Sobrecarga de almacenamiento

Cantidad de sitiosen el grupo dereplicación

Sobrecarga de almacenamiento

Predeterminada (códigode eliminación: 12 + 4)

Archivo inactivo (códigode eliminación: 10 + 2)

1 1.33 1.2

2 2.67 2.4

3 2.00 1.8

4 1.77 1.6

5 1.67 1.5

6 1.60 1.44

7 1.55 1.40

8 1.52 1.37

Si tiene un sitio, con la codificación de eliminación, los fragmentos de datos de objetosutilizan más espacio (1.33 o 1.2 veces más sobrecarga de almacenamiento) que losbytes de datos crudos requeridos. Si tiene dos sitios, la sobrecarga de almacenamientose duplica (2.67 o 2.4 veces más sobrecarga de almacenamiento), debido a que ambos


Protección de datos de ECS 15

sitios almacenan una réplica de los datos, y los datos tienen codificación de eliminaciónen ambos sitios. Si tiene tres o más sitios, ECS combina los fragmentos replicados, demodo que, en oposición a lo que podría imaginarse, se reduce la sobrecarga dealmacenamiento.

Para obtener una descripción detallada del mecanismo utilizado por ECS paraproporcionar disponibilidad, resistencia y durabilidad de los datos, consulte el informetécnico Diseño de alta disponibilidad de Elastic Cloud Storage.

Configuraciones de disponibilidad, durabilidad y resistencia

Según la cantidad de sitios en el sistema ECS, diferentes esquemas de protección dedatos pueden aumentar la disponibilidad y balancear los requisitos de protección dedatos con el rendimiento. ECS utiliza el grupo de replicación para configurar losesquemas de protección de datos (consulte Introducción a pools de almacenamiento,VDC y grupos de replicación en la página 30). La siguiente tabla muestra losesquemas de protección de datos que están disponibles.

Tabla 4 Esquemas de protección de datos de ECS

Cantidad desitios

Esquemas de protección de datos

Protecciónlocal

Protección decopiacompleta*

Geo-Active Geo-Passive

1 Sí No se aplica No se aplica No se aplica

2 Sí Siempre No se aplica No se aplica

3 o más Sí Opcional Normal Opcional

* La protección de copia completa se puede seleccionar si se selecciona la opción Geo-Active.La protección de copia completa no está disponible si se selecciona Geo-Passive.

Protección local

Los datos están protegidos localmente mediante el uso de triple espejeado ycodificación de eliminación que ofrece resistencia contra fallas de disco y nodo,pero no contra fallas del sitio.

Protección de copia completa

Cuando se habilita un grupo de replicación con la propiedad Replicate to AllSites, el grupo de replicación hace una copia completa legible de todos los objetosa todos los sitios dentro del grupo de replicación. Contar con copiascompletamente legibles de todos los objetos en todos los VDC en el grupo dereplicación proporciona durabilidad de los datos y mejora el rendimiento local entodos los sites a costa de la eficiencia del almacenamiento.

Geo-Active

Geo-Active es la configuración predeterminada de ECS. Cuando un grupo dereplicación se configura como Geo-Active, los datos se replican a sitios federadosy es posible acceder a ellos desde todos los sitios con coherencia sólida. Sidispone de dos sitios, las copias completas de los fragmentos de datos se copianen el otro sitio. Si tiene tres o más sitios, los fragmentos replicados se combinan(con XOR) para proporcionar mayor eficiencia del almacenamiento.

Cuando se accede a los datos desde un sitio que no es el propietario de los datos,hasta que esos datos se almacenen en caché en el sitio no propietario, el tiempo



de acceso aumenta. De manera similar, si se produce un error en el sitiopropietario que contiene la copia primaria de los datos, y si tiene un balanceadorde carga global que dirige las solicitudes a un sitio no propietario, el sitio nopropietario debe volver a crear los datos a partir de los fragmentos codificadoscon XOR y aumenta el tiempo de acceso.

Geo-Passive

La configuración Geo-Passive siempre incluye exactamente tres sitios y estádisponible si tiene al menos tres sitios. En esta configuración, dos sitios estánactivos. El tercer sitio es pasivo y es un destino de replicación. Puede designar unsitio específico como el sitio de respaldo y lograr la eficiencia del almacenamiento(2 veces la sobrecarga del almacenamiento) de tres sitios. La eficiencia delalmacenamiento es la misma que la de la configuración Geo-Active de tres sitios.En la opción de configuración Geo-Passive, todos los fragmentos de datos dereplicación se envían al sitio pasivo y se producen operaciones XOR solamente enel sitio pasivo. En una configuración Geo-Active, las operaciones XOR seproducen en todos los sitios.

Si todos los sitios se encuentran en las instalaciones, cualquiera de los tres sitiospuede ser el destino de replicación. Un caso de uso importante para laconfiguración Geo-Passive es cuando el sitio pasivo está alojado por un tercero yse selecciona el sitio alojado como destino de replicación. Esta configuraciónpuede modificarse mediante la API REST de administración de ECS paraseleccionar un sitio en las instalaciones como destino de replicación.

Red de ECS

La infraestructura de red de ECS consta de switches de la parte superior del rack yadmite los siguientes tipos de conexiones de red:

l Red pública: conecta los nodos de ECS a la red de su organización, lo queproporciona datos.

l Red privada interna: administra nodos y switches dentro del rack y entre racks.

Para obtener más información acerca de las redes de ECS, consulte el Informe técnicode redes y mejores prácticas de ECS.

Consideraciones del balanceo de cargaSe recomienda que utilice un balanceador de carga frente a ECS.

Además de distribuir la carga entre los nodos del clúster de ECS, un balanceador decarga proporciona alta disponibilidad (HA) para el clúster de ECS mediante elenrutamiento del tráfico a los nodos en buen estado. Cuando se implementa laseparación de la red y se separa el tráfico de datos del de administración, se debeconfigurar el balanceador de carga de modo que las solicitudes que el usuario hagamediante los protocolos de acceso a datos admitidos se balanceen entre lasdirecciones IP de la red de datos. Las solicitudes de la REST API de administración deECS se pueden realizar directamente a la dirección IP de un nodo en la red deadministración o se puede balancear la carga a través de la red de administración paraobtener alta disponibilidad.

La configuración del balanceador de carga depende del tipo de balanceador de carga.Para obtener información acerca de las configuraciones probadas y las mejoresprácticas, póngase en contacto con su Representante de servicio al cliente.


Red de ECS 17

CAPÍTULO 2

Introducción a ECS

l Configuración inicial...........................................................................................20l Inicio de sesión en el portal de ECS....................................................................20l Ver la lista de verificación de tareas de la introducción....................................... 21l Ver el tablero del portal de ECS......................................................................... 22

Introducción a ECS 19

Configuración inicialLos pasos de configuración inicial requeridos para comenzar a usar ECS incluyeniniciar sesión en el portal de ECS por primera vez, mediante el tablero y la lista deverificación de tareas de la Introducción al portal de ECS, y configurar un centro dedatos virtual (VDC) de ECS.

Para realizar la configuración inicial de ECS, el usuario raíz o administrador del sistemadebe, como mínimo, realizar lo siguiente:

Procedimiento

1. Cargar una licencia de ECS.

Consulte Licencia en la página 175.

2. Seleccionar un conjunto de nodos para crear, al menos, un pool dealmacenamiento.

Consulte Crear un pool de almacenamiento en la página 32.

3. Crear un VDC.

Consulte Creación de un VDC para un solo sitio en la página 35.

4. Crear al menos un grupo de replicación.

Consulte Creación de un grupo de replicación en la página 41.

a. Opcional: Configurar la autenticación.

Puede agregar proveedores de autenticación de Active Directory (AD),LDAP o Keystone a ECS para permitir la autenticación de los usuariosmediante sistemas externos a ECS. Consulte Introducción a proveedores deautenticación en la página 46.

5. Crear al menos un espacio de nombres. Un espacio de nombres es el equivalentede un grupo de usuarios.

Consulte Crear un espacio de nombres en la página 60.

a. Opcional: Crear usuarios de objetos o administración.

Consulte Trabajo con usuarios en el portal de ECS en la página 79.

6. Cree al menos un depósito.

Consulte Crear un depósito. en la página 96.

Después de configurar el VDC inicial, si desea crear un VDC adicional y federarlocon el primer VDC, consulte Adición de un VDC a una federación en la página36.

Inicio de sesión en el portal de ECSDebe iniciar sesión en el portal de ECS para establecer la configuración inicial de unVDC. Inicie sesión en el portal de ECS desde su navegador si especifica la dirección IPo el nombre de dominio calificado (FQDN) de cualquier nodo, o el balanceador decarga que actúa como el front-end a ECS. A continuación, se describe elprocedimiento de inicio de sesión.

Introducción a ECS


Antes de comenzar

Para iniciar sesión se necesitan las funciones de administrador del sistema, monitor delsistema, administrador de bloqueo (usuario emcsecurity) o administrador delespacio de nombres.

Nota

Cuando inicia sesión en el portal de ECS por primera vez, debe iniciar sesión como elusuario root predeterminado con la función de administrador del sistema.

Procedimiento

1. Escriba la dirección IP pública del primer nodo en el sistema, o la dirección delbalanceador de carga que se configuró como el front-end, en la barra dedirección del navegador: https://<node1_public_ip>.

2. Inicie sesión con las credenciales raíz predeterminadas:

l Nombre de usuario: rootl Contraseña: ChangeMeSe le solicitará que cambie la contraseña para el usuario root inmediatamente.

3. Después de cambiar la contraseña en el primer inicio de sesión, haga clic enSave.

Se cerrará la sesión y aparecerá la pantalla de inicio de sesión de ECS.

4. Complete los campos User Name y Password.

5. Para cerrar sesión en el portal de ECS, en la barra de menú superior derecha,haga clic en la flecha junto a su nombre de usuario y, a continuación, haga clicen logout.

Figura 2 Cerrar sesión en el portal

Ver la lista de verificación de tareas de la introducción

La lista de verificación de tareas en el portal de ECS lo guía a través de laconfiguración inicial de ECS. La lista de verificación aparece cuando inicia sesión porprimera vez y cuando el portal detecta que la configuración inicial no está completa. Lalista de verificación aparecerá automáticamente hasta que la descarte. En cualquierpágina del portal de ECS, en la barra de menú superior derecha, haga clic en el íconode guía para abrir la lista de verificación.

Figura 3 Ícono de guía

La lista de verificación de tareas de la introducción se muestra en el portal.

Introducción a ECS

Ver la lista de verificación de tareas de la introducción 21

Figura 4 Lista de verificación de tareas de la introducción

1. El paso actual en la lista de verificación.

2. Un paso completado.

3. Un paso opcional. Este paso no muestra una marca de verificación incluso si se hacompletado el paso.

4. Información acerca del paso actual.

5. Acciones disponibles.

6. Descartar la lista de verificación.

Una lista de verificación completa le dará la opción de navegar en la lista nuevamente ovolver a verificar su configuración.

Ver el tablero del portal de ECSEl tablero del portal de ECS proporciona información importante acerca de losprocesos de ECS en el VDC con el que está conectado actualmente.

El Tablero es la primera página que verá después de iniciar sesión. El título de cadapanel (cuadro) tiene un vínculo a la página de monitoreo del portal que muestra másdetalles sobre el área de monitoreo.

Introducción a ECS


Figura 5 Tablero de ECS

Barra de menú superior derecha

La barra de menú superior derecha aparece en cada página del portal de ECS.

Figura 6 Barra de menú superior derecha

1 42 3 5

Los elementos de menú incluyen los siguiente íconos y menús:

1. El ícono de alerta muestra un número que indica cuántas alertas sin confirmarestán pendientes en el VDC actual. El número muestra 99+ si hay más de 99alertas. Puede hacer clic en el ícono de alerta para ver el menú de alerta, quemuestra las cinco alertas más recientes para el VDC actual.

2. El ícono de ayuda abre la documentación en línea para la página actual del portal.

3. El ícono de guía abre la lista de verificación de tareas de la introducción.

4. El menú VDC muestra los nombres del VDC actual. Si sus credenciales de AD oLDAP le permiten acceder a más de un VDC, puede cambiar su vista del portal aotros VDC sin tener que volver a ingresar sus credenciales.

5. El menú de usuario muestra el usuario actual y le permite cerrar sesión.

Introducción a ECS

Barra de menú superior derecha 23

Ver solicitudesEl panel Requests muestra el total de solicitudes, las solicitudes correctas y lassolicitudes fallidas.

Las solicitudes fallidas están organizadas por error de sistema y error de usuario. Lasfallas de los usuarios suelen ser errores HTTP 400. Las fallas del sistema suelen sererrores HTTP 500. Haga clic en Requests para ver más métricas de solicitud.

Ver la utilización de la capacidadEl panel Capacity Utilization muestra la capacidad total, la capacidad utilizada y lacapacidad disponible.

El porcentaje que se muestra en el centro del gráfico muestra cuánto de la capacidadútil está actualmente en uso. La capacidad toma en cuenta los datos recopilados, lasréplicas y los datos del sistema. Haga clic en Capacity Utilization para ver másmétricas de capacidad.

Ver el rendimientoEl panel Performance muestra cómo se están ejecutando las operaciones de lectura yescritura de la red actualmente y las estadísticas de rendimiento promedio de lectura/escritura de las últimas 24 horas.

Haga clic en Performance para consultar métricas de rendimiento más completas.

Introducción a ECS


Ver la eficiencia del almacenamientoEl panel Storage Efficiency muestra la eficiencia del proceso de codificación deeliminación (EC).

El gráfico muestra el progreso del proceso de EC actual, y los otros valores muestranla cantidad de datos de EC pendientes para el proceso de EC, así como la velocidadactual del proceso de EC. Haga clic en Storage Efficiency para ver más métricas deeficiencia del almacenamiento.

Ver geomonitoreoEl panel Geo Monitoring muestra cuántos datos del VDC local están en espera de lareplicación geográfica y la velocidad de la replicación.

El objetivo de punto de recuperación (RPO) hace referencia al momento específico enel pasado al que puede restaurar. El valor son los datos más antiguos en riesgo de serperdidos si un VDC local falla antes de que se complete la replicación. FailoverProgress muestra el progreso de cualquier conmutación por error activo que esté enejecución en la federación a la que pertenece el VDC local. Bootstrap Progressmuestra el progreso de cualquier proceso activo para agregar un nuevo VDC a lafederación. Haga clic en Geo Monitoring para ver más métricas de replicacióngeográfica.

Introducción a ECS

Ver la eficiencia del almacenamiento 25

Ver el estado del nodo y el discoEl panel Node & Disks muestra el estado de los discos y nodos.

Una marca de verificación verde al lado del número de nodo o disco indica la cantidadde nodos o discos en buen estado. Una x roja indica un estado defectuoso. Haga clicen Node & Disks para ver más métricas de estado de hardware. Si la cantidad dediscos o nodos defectuosos es un número distinto de cero, al hacer clic en el conteo elsistema, irá a la pestaña Hardware Health correspondiente (Offline Disks u OfflineNodes) en la página System Health.

Ver alertasEl panel Alerts muestra un conteo de alertas y errores importantes.

Haga clic en Alerts para consultar la lista completa de alertas actuales. Todas lasalertas críticas o de error están vinculadas a la pestaña Alerts en la página Eventsdonde se filtran y se muestran solo las alertas con un nivel de gravedad crítico o deerror.

Introducción a ECS


Introducción a ECS

Ver alertas 27

Introducción a ECS


CAPÍTULO 3

Pools de almacenamiento, VDC y grupos dereplicación

l Introducción a pools de almacenamiento, VDC y grupos de replicación..............30l Trabajar con pools de almacenamiento en el portal de ECS................................ 31l Trabajo con VDC en el portal de ECS ................................................................ 34l Trabajo con grupos de replicación en el portal de ECS....................................... 40

Pools de almacenamiento, VDC y grupos de replicación 29

Introducción a pools de almacenamiento, VDC y grupos dereplicación

En este tema se proporciona información conceptual sobre pools de almacenamiento,centros de datos virtuales (VDC) y grupos de replicación, y los siguientes temasdescriben las operaciones necesarias para configurarlos:

l Trabajo con pools de almacenamiento en el portal de ECS

l Trabajo con VDC en el portal de ECS

l Trabajo con grupos de replicación en el portal de ECS

El almacenamiento que está asociado con un VDC debe asignarse a un pool dealmacenamiento y el pool de almacenamiento debe asignarse a uno o más grupos dereplicación para permitir la creación de depósitos y objetos.

Un pool de almacenamiento se puede asociar con más de un grupo de replicación. Unamejor práctica es tener un solo pool de almacenamiento para un sitio. Sin embargo,puede tener tantos pools de almacenamiento como sea necesario, con un mínimo decuatro nodos (y 16 discos) en cada pool.

Es posible que deba crear más de un pool de almacenamiento en un sitio por lossiguientes motivos:

l El pool de almacenamiento se utiliza para archivo inactivo. El esquema decodificación de eliminación que se utiliza para el archivo inactivo utiliza unacodificación 10 + 2 en lugar del esquema 12 + 4 predeterminado de ECS.

l Un grupo de usuarios requiere que los datos se almacenen en medios físicosindependientes.

Un pool de almacenamiento debe tener un mínimo de cuatro nodos, de los cuales treso más deben tener más del 10 % de su capacidad disponible para aceptar escrituras.Este espacio reservado se requiere para garantizar que ECS no se quede sin espaciomientras almacena los metadatos del sistema. Si no se cumplen estos criterios, seproducirá un error en la escritura. La capacidad que tiene un pool de almacenamientode aceptar escrituras no afecta la capacidad de otros pools de aceptar escrituras. Porejemplo, si tiene un balanceador de carga que detecta una escritura fallida, elbalanceador de carga puede redirigir la escritura a otro VDC.

ECS utiliza el grupo de replicación para replicar datos a otros sitios de modo que losdatos estén protegidos y se pueda acceder a ellos desde otros sitios activos. Cuandocrea un depósito, debe especificar en qué grupo de replicación se encuentra. ECSgarantiza que el depósito y los objetos en el depósito se repliquen en todos los sitios enel grupo de replicación.

ECS puede configurarse para usar más de un esquema de replicación, según losrequisitos de acceso y protección de los datos. La siguiente figura muestra un grupode replicación (RG 1) que abarca los tres sitios. RG 1 aprovecha la eficiencia dealmacenamiento de XOR proporcionada por ECS cuando se utilizan tres o más sitios.En la figura, el grupo de replicación que abarca dos sitios (RG 2) contiene copiascompletas de los fragmentos de datos de los objetos y no aplica XOR para mejorar laeficiencia de almacenamiento.

Pools de almacenamiento, VDC y grupos de replicación


Figura 7 Grupo de replicación que abarca tres sitios y grupo de replicación que abarca dos sitios

VDC C

VDC AVDC B

SP 1VDC C

SP 2

Federation

RG 1 (SP 1,2,3)

RG 2 (SP 1,3)

Rack 1

Rack 1

Rack 1

RG 1RG 1

SP 3

El almacenamiento físico que utiliza el grupo de replicación en cada sitio se determinamediante el pool de almacenamiento que se incluye en el grupo de replicación. El poolde almacenamiento agrega el almacenamiento en disco de cada uno de los cuatronodos mínimos a fin de garantizar que pueda manejar la ubicación de los fragmentosde codificación de eliminación. Un nodo no puede existir en más de un pool dealmacenamiento. El pool de almacenamiento puede abarcar racks, pero siempre esdentro de un sitio.

Trabajar con pools de almacenamiento en el portal de ECSPuede utilizar pools de almacenamiento para organizar los recursos dealmacenamiento en función de los requisitos del negocio. Por ejemplo, si requiere laseparación física de los datos, puede dividir el almacenamiento en varios pools dealmacenamiento.

Puede utilizar la página Storage Pool Management disponible en Manage > StoragePools para ver los detalles de los pools de almacenamiento existentes, crear nuevospools de almacenamiento y modificar los pools de almacenamiento existentes. Nopuede eliminar los pools de almacenamiento en esta versión.

Figura 8 Página de administración de pools de almacenamiento


Trabajar con pools de almacenamiento en el portal de ECS 31

Tabla 5 Propiedades del pool de almacenamiento

Campo Descripción

Nombre Nombre del pool de almacenamiento.

Número de nodos Número de nodos asignados al pool de almacenamiento.

Estado El estado actual del pool de almacenamiento y de los nodos.

l Ready: Al menos cuatro nodos están instalados y todos los nodos están en el estado ready touse.

l Not Ready: Un nodo en el pool de almacenamiento no está en el estado ready to use.

l Partially Ready: Hay menos de cuatro nodos y todos los nodos están en el estado ready touse.

Host Name Nombre del host completamente calificado asignado al nodo.

Dirección IP del nodo Dirección IP pública asignada al nodo.

ID del rack Nombre asignado al rack que contiene los nodos.

Actions Las acciones que se pueden completar para el pool de almacenamiento.

l Edit: Se utiliza para cambiar el nombre del pool de almacenamiento y modificar el conjunto denodos incluidos en el pool de almacenamiento.

l Delete: El servicio al cliente utiliza esta acción para eliminar el pool de almacenamiento. Losadministradores del sistema o los usuarios raíz no deben intentar eliminar el pool dealmacenamiento. Si intenta realizar esta operación en el portal de ECS, aparece un mensaje deerror que indica que esta operación no es compatible. Si debe eliminar un pool de almacenamiento,póngase en contacto con su Representante de servicio al cliente.

Almacenamientoinactivo

Un pool de almacenamiento especificado como almacenamiento inactivo. Los pools de almacenamientoinactivo usan un esquema de codificación de eliminación (EC) que es más eficiente para los objetos alos que se accede con menor frecuencia. El almacenamiento inactivo también se denomina archivoinactivo. Una vez creado un pool de almacenamiento, esta configuración no se puede cambiar.

Crear un pool de almacenamientoLos pools de almacenamiento deben contener un mínimo de cuatro nodos. El primerpool de almacenamiento que se crea se conoce como pool de almacenamiento delsistema, ya que almacena los metadatos del sistema.

Antes de comenzar

Esta operación requiere la función de administrador del sistema en ECS.

Procedimiento

1. En el portal de ECS, seleccione Manage > Storage Pools.

2. En la página Storage Pool Management, haga clic en New Storage Pool.



3. En la página New Storage Pool, en el campo Name, escriba el nombre del poolde almacenamiento (por ejemplo,StoragePool1).

4. En el campo Cold Storage, especifique si este pool de almacenamiento es dealmacenamiento inactivo. El almacenamiento inactivo contiene datos a los quese accede con poca frecuencia. El esquema de protección de datos de ECS parael almacenamiento inactivo está optimizado para aumentar la eficiencia delalmacenamiento. Una vez creado un pool de almacenamiento, estaconfiguración no se puede cambiar.

Nota

El almacenamiento inactivo necesita una configuración de hardware mínima deseis nodos. Para obtener más información, consulte Protección de datos deECS en la página 14.

5. En la lista Available Nodes, seleccione los nodos que va a agregar al pool dealmacenamiento.

a. Para seleccionar los nodos uno por uno, haga clic en el ícono + situado juntoa cada nodo.

b. Para seleccionar todos los nodos disponibles, haga clic en el ícono + en laparte superior de la lista Available Nodes.


Crear un pool de almacenamiento 33

c. Para reducir la lista de nodos disponibles, escriba la dirección IP pública delnodo o el nombre de host en el campo search.

6. Cuando haya completado la selección de nodos, haga clic en Save.

7. Espere 10 minutos después de que el pool de almacenamiento esté en el estadoReady antes de realizar otras tareas de configuración para darle tiempo al poolde almacenamiento de inicializarse.

Si recibe el siguiente error, espere unos minutos antes de intentar cualquier otraconfiguración. Error 7000 (http: 500): An error occurred inthe API Service. An error occurred in the APIservice.Cause: error insertVdcInfo. Virtual Data Centercreation failure may occur when Data Services has notcompleted initialization.

Editar un pool de almacenamientoPuede cambiar el nombre de un pool de almacenamiento y el conjunto de nodosincluidos en el pool de almacenamiento.

Antes de comenzar


Procedimiento

1. En el portal de ECS, seleccione Manage > Storage Pools.

2. En la página Storage Pool Management, busque el pool de almacenamientoque desea editar en la tabla. Haga clic en Edit, en la columna Actions que estájunto al pool de almacenamiento que desea editar.

3. En la página Edit Storage Pool:

l Para modificar el nombre del pool de almacenamiento, en el campo Name,escriba el nuevo nombre.

l Para modificar los nodos incluidos en el pool de almacenamiento:

n En la lista Selected Nodes, elimine un nodo existente en el pool dealmacenamiento haciendo clic en el ícono - junto al nodo.

n En la lista Available Nodes, agregue un nodo al pool de almacenamientohaciendo clic en el ícono + junto al nodo.

4. Haga clic en Save.

Trabajo con VDC en el portal de ECSUn centro de datos virtual (VDC) de ECS es el recurso de nivel superior querepresenta la recopilación de componentes de la infraestructura de ECS para suadministración como una unidad.

Puede usar la página Virtual Data Center Management disponible en Manage >Virtual Data Center para ver los detalles de VDC, crear un nuevo VDC, modificar losVDC existentes, eliminar VDC y federar varios VDC para una implementación demúltiples sitios. El siguiente ejemplo muestra la página Virtual Data CenterManagement de una implementación federada de múltiples sitios. Se configura condos sites denominados vdc1 y vdc2.



Figura 9 Página Virtual Data Center Management

Tabla 6 Propiedades del VDC

Campo Descripción

Name El nombre del VDC.

Type El tipo de VDC, que puede ser Hosted u On-Premise.

Terminales dereplicación

Terminales para la comunicación de los datos de replicación entre sites.Si se configuró una red de replicación independiente, se muestra la dirección IP de replicación decada nodo. Si no se configuró ninguna red de replicación independiente, se muestra la dirección IPpública de cada nodo.

Si no se han separado la red de replicación y la red de administración, los terminales de replicación yadministración son los mismos.

Si se configura un balanceador de carga para distribuir la carga entre las direcciones IP de replicaciónde los nodos, se muestra la dirección configurada en el balanceador de carga.

Terminales deadministración

Terminales para la comunicación de los comandos de administración entre sites.Si se configura una red de administración independiente, se muestra la dirección IP de administraciónde cada nodo. Si no se configuró ninguna red de administración independiente, se muestra ladirección IP pública de cada nodo.

Si no se han separado la red de replicación y la red de administración, los terminales de replicación yadministración son los mismos.

Status El estado del VDC.

l Online

l Falla permanente: El VDC se eliminó.

Actions Las acciones que pueden realizarse para el VDC.

l Edit: Permite cambiar el nombre de un VDC, la clave de acceso de un VDC y los terminales dereplicación y administración de un VDC.

l Delete: Permite eliminar el VDC. La operación de eliminación activa una conmutación por errorpermanente del VDC, por lo que no se puede agregar de nuevo el VDC con el mismo nombre. Nose puede eliminar un VDC que forma parte de un grupo de replicación si no lo quita primero delgrupo de replicación. No puede eliminar un VDC cuando haya iniciado sesión en el VDC que estátratando de eliminar.

Creación de un VDC para un solo sitioPuede crear un VDC para una implementación de un solo sitio o cuando crea el primerVDC en una federación de múltiples sitios.


Creación de un VDC para un solo sitio 35

Antes de comenzar


Asegúrese de que uno o más pools de almacenamiento estén disponibles y tengan elestado Ready.

Procedimiento

1. En el portal de ECS, seleccione Manage > Virtual Data Center.

2. En la página Virtual Data Center Management, haga clic en New Virtual DataCenter.

3. En la página New Virtual Data Center, en el campo Name, escriba el nombrede VDC (por ejemplo: VDC1).

Los nombres de VCD pueden tener entre 1 y 255 caracteres. Los caracteresválidos incluyen a-z, A-z, 0-9, el guion (-) y el guion bajo (_).

4. Para crear una clave de acceso para el VDC, realice una de las siguientesacciones:

l Escriba el valor de la clave de acceso de VDC en el campo Key

l Haga clic en Generate para generar una clave de acceso de VDC.

La clave de acceso de VDC se utiliza como una clave simétrica para cifrar eltráfico de replicación entre los VDC en una federación de múltiples sites.

5. En el campo Replication Endpoints, escriba la dirección IP de replicación decada nodo en los pools de almacenamiento que están asignados al VDC.Escríbalas como una lista separada por comas.

Si se configuró la separación de red en la instalación, se muestra la dirección IPde replicación de cada nodo. Si no se separó la red de replicación durante lainstalación, se muestra la dirección IP pública de cada nodo.Si se configura un balanceador de carga para distribuir la carga entre lasdirecciones IP de replicación de los nodos, se muestra la dirección configuradaen el balanceador de carga.

6. En el campo Management Endpoints, escriba la dirección IP de administraciónde cada nodo en los pools de almacenamiento que están asignados al VDC.Escríbalas como una lista separada por comas.

Si se configuró la separación de red en la instalación, se muestra la dirección IPde administración de cada nodo. Si no se separó la red de administracióndurante la instalación, se muestra la dirección IP pública de cada nodo.


Cuando se crea el VDC, ECS establece automáticamente el campo Type delVDC en On-Premise o en Hosted.

Adición de un VDC a una federaciónPuede agregar un VDC a un VDC existente (por ejemplo, vdc1) para crear unafederación.

Antes de comenzar

Obtenga las credenciales del portal de ECS para el usuario raíz o para un usuario concredenciales de administrador del sistema para iniciar sesión en ambos sitios.

Asegúrese de contar con las direcciones IP públicas de los nodos del sitio que deseaagregar o, si separó la red de administración y la red de replicación, las direcciones IP



de administración y las direcciones IP de replicación. Si se configura un balanceador decarga para distribuir la carga entre las direcciones IP de replicación de los nodos, debetener la dirección IP configurada en el balanceador de carga.

Asegúrese de que el sitio que vaya a agregar tenga una licencia de ECS válida cargaday al menos un pool de almacenamiento en el estado Ready.

PRECAUCIÓN

Recuerde que no está creando un VDC en el sitio que agregará a la federación. Ensu lugar, recupere la clave de acceso de VDC del sitio que desea agregar y cree elnuevo VDC desde el primer nodo en la federación existente.

Procedimiento

1. En el sitio que desee agregar, inicie sesión en el portal de ECS (por ejemplo:vdc2).

Las credenciales predeterminadas son root/ChangeMe.


3. En la página Virtual Data Center Management, haga clic en Get VDC AccessKey.

4. Seleccione la clave de acceso y presione Ctrl-c para copiarla.

5. Cierre sesión en el portal de ECS en el sitio que esté agregando.

6. Inicie sesión en el portal de ECS del primer VDC de la federación (por ejemplo,vdc1).

7. Seleccione Manage > Virtual Data Center.

8. En la página Virtual Data Center Management, haga clic en New Virtual DataCenter.

9. En la página New Virtual Data Center, en el campo Name, escriba el nombrede VDC (por ejemplo, vdc2).

10. Haga clic en el campo Key y, a continuación, presione Ctrl-v para pegar laclave de acceso que copió desde el sitio que está agregando (vdc2).

11. En los campos Replication Endpoints y Management Endpoints, escriba lasdirecciones IP de replicación y administración de cada nodo en los pools dealmacenamiento que están asignados al sitio que está agregando. Escríbalascomo listas separadas por comas.

Si no ha separado las redes de replicación y administración, estos camposcontendrán las mismas direcciones IP públicas para los nodos en el VDC. Siseparó las redes de administración y replicación, debe enumerar las direccionesIP para la red apropiada.Si se configura un balanceador de carga para distribuir la carga entre lasdirecciones IP de replicación de los nodos, el terminal de replicación es ladirección IP configurada en el balanceador de carga.


Resultados

Cuando agrega el VDC a la federación, ECS establece automáticamente el tipo de VDCen On-Premise o en Hosted.


Adición de un VDC a una federación 37

Editar un VDCPuede cambiar el nombre del VDC, la clave de acceso del VDC o los terminales dereplicación y administración.

Antes de comenzar


Procedimiento


2. En la página Virtual Data Center Management, busque el VDC que deseaeditar en la tabla. Haga clic en Edit, en la columna Actions que está junto alVDC que desea editar.

3. En la página Edit Virtual Data Center:

l Para modificar el nombre del VDC, en el campo Name, escriba el nuevonombre.

l Para modificar la clave de acceso de VDC del nodo en el que ha iniciadosesión, en el campo Key, escriba el nuevo valor de clave o haga clic enGenerate para generar una nueva clave de acceso de VDC.

l Para modificar las direcciones IP de replicación y administración de los nodosen el VDC, en los campos Replication Endpoints y ManagementEndpoints, escriba las nuevas direcciones IP en una lista separada porcomas. Si la separación de la red no está configurada, las direcciones IP dereplicación y administración son las mismas.

No puede editar el campo Type del VDC. Cuando crea un VDC por primera vez,ECS determina automáticamente si su tipo será On-Premise o Hosted.


Eliminar un VDC y realizar una conmutación por error de un sitioPuede eliminar un VDC. La eliminación de un VDC inicia la conmutación por error de unsitio cuando el VDC que está eliminando es parte de una federación de múltiples sitios.

Antes de comenzar


Si se produce un desastre, el VDC completo puede ser irrecuperable. ECS tratainicialmente el VDC irrecuperable como una falla temporal del site. Si la falla espermanente, debe quitar el VDC de la federación para iniciar el procesamiento deconmutación por error que reconstruye y vuelve a proteger los objetos almacenadosen el VDC con la falla. Las tareas de recuperación se ejecutan como un proceso ensegundo plano.

Para eliminar un VDC de la federación, debe eliminar el VDC de todos los grupos dereplicación a los que pertenece.

Importante: Antes de completar los siguientes pasos, póngase en contacto con suRepresentante de servicio al cliente para realizar los procedimientos de configuracióninternos necesarios antes de quitar el VDC de su sistema.

Procedimiento

1. Inicie sesión en uno de los VDC operacionales en la federación.



2. En el portal de ECS, seleccione Manage > Replication Group.

3. En la página Replication Group Management, junto al grupo de replicación quecontiene el VDC que desea eliminar, haga clic en Edit.

4. En la página Edit Replication Group, en la fila que contiene el VDC y el pool dealmacenamiento que desea eliminar, haga clic en Delete.


6. Repita los pasos 3 a 5 para todos los grupos de replicación que contengan elVDC que desea eliminar

7. En el portal de ECS, seleccione Manage > VDC.

En la página Virtual Data Center Management, el estado del VDC eliminadopermanentemente cambia a Permanently failed.

8. En la página Virtual Data Center Management, en la fila del VDC con el estadoPermanently failed, seleccione Delete en la columna Actions.


Resultados

Puede ver el progreso del proceso de recuperación en la página Monitor > GeoReplication > Failover Processing.

Eliminar un VDC que tiene un grupo de replicación que pertenece únicamente a ese VDCPuede eliminar un VDC si contiene un grupo de replicación que pertenece solo a eseVDC, pero debe agregar otro VDC al grupo de replicación antes de eliminar el VDC.

Antes de comenzar


En un escenario donde tiene un grupo de replicación que pertenece solo al VDC quedesea eliminar, debe agregar otro VDC al grupo de replicación antes de eliminar elVDC. Esto es necesario debido a que ECS no es compatible con la eliminación degrupos de replicación. Por ejemplo, considere una configuración federadageográficamente donde el VDC1 contiene el grupo de replicación RG1. El RG1pertenece únicamente al VDC1. El VDC2 contiene el RG2. El RG2 perteneceúnicamente al VDC2. Para eliminar el VDC1, debe realizar lo siguiente:

Procedimiento

1. En la página Edit Replication Group RG1, haga clic en Add VDC y agregue elVDC2 al RG1.


Se mostrará un mensaje de error: Error 30026 (http: 503): Serviceis busy. The Data services system is busy. Please tryagain. Ignore este mensaje de error.

Cuando hace clic en Save, el campo Name del grupo de replicación se queda enblanco.

3. Haga clic en el botón Delete junto al VDC1.

Aparecerá el cuadro de diálogo You must confirm that you understand theconsequence of this delete. Este cuadro de diálogo le informa que laeliminación del VDC1 del RG1 implica quitar permanentemente el VDC1 delsistema federado geográficamente.

4. En el campo en blanco en el cuadro de diálogo, escriba Please remove VDC1(Permanently Failed) from the system.


Eliminar un VDC y realizar una conmutación por error de un sitio 39

5. Haga clic en OK.

El VDC1 ya no pertenece al RG1. Ahora el RG1 pertenece únicamente al VDC2.El VDC1 se quitará permanentemente del sistema federado geográficamente deECS.

6. En la página Edit Replication Group, en el campo en blanco Name, escriba RG1.


8. En la página Virtual Data Center Management, junto al VDC1 con el estadoPermanently failed, seleccione Delete en la columna Actions.


Trabajo con grupos de replicación en el portal de ECSPuede usar grupos de replicación para definir dónde se protege el contenido del poolde almacenamiento. Los grupos de replicación pueden ser locales o globales. Losgrupos de replicación local no replican datos a otros VDC, pero protegen objetosdentro del mismo VDC contra fallas de discos o nodos mediante el espejeado y lastécnicas de codificación de eliminación. Los grupos de replicación globales protegenobjetos mediante su replicación a otro sitio dentro de una federación de ECS y, alhacerlo, brindan protección contra fallas del sitio.

Puede utilizar la página Replication Group Management para ver detalles del grupode replicación, crear nuevos grupos de replicación y modificar los grupos dereplicación existentes. No puede borrar grupos de replicación en esta versión.

Figura 10 Página Replication Group Management

Tabla 7 Propiedades del grupo de replicación

Campo Descripción

Name El nombre del grupo de replicación.

Tipo de replicación El tipo de replicación puede ser Geo Active o Geo Passive. Geo Passive significa que un sitio se designacomo el destino para los datos de replicación y solo está disponible cuando hay exactamente tres sitios.No se puede seleccionar el tipo Geo Passive si se encuentra habilitada la opción Replicate to All Sites.Si tiene un sitio alojado, se seleccionará automáticamente como destino de replicación en unaconfiguración Geo Passive.

VDC Número de VDC en el grupo de replicación y nombres de los VDC donde se encuentran los pools dealmacenamiento.



Tabla 7 Propiedades del grupo de replicación (continuación)

Campo Descripción

Pool dealmacenamiento

Nombres de los pools de almacenamiento y sus VDC asociados. Un grupo de replicación puede contenerun pool de almacenamiento de cada VDC en una federación.

Replication Target El pool de almacenamiento en el grupo de replicación que es el destino de replicación en unaconfiguración Geo Passive.

Status El estado del grupo de replicación.

l Online

l Temp no disponible: El tráfico de replicación a este VDC falló. Si todo el tráfico de replicación almismo VDC está en el estado Temp no disponible, se recomienda investigar más sobre la causa de lafalla.

Actions Las acciones que pueden realizarse para el grupo de replicación.

Edit: Se utiliza para modificar el nombre del grupo de replicación y el conjunto de los VDC y los pools dealmacenamiento en el grupo de replicación.

Creación de un grupo de replicaciónLos grupos de replicación pueden estar en un VDC como locales o pueden proteger losdatos mediante la replicación de datos entre sitios.

Antes de comenzar


Si desea que el grupo de replicación abarque varios VDC, debe asegurarse de que sehayan instalado e inicializado los sitios con una identidad de VDC y un pool dealmacenamiento que pueda formar parte del grupo de replicación, y que se hayanfederado al VDC primario.

Procedimiento


2. En la página Replication Group Management, haga clic en New ReplicationGroup.

3. En la página New Replication Group, en el campo Name, escriba un nombre(por ejemplo, ReplicationGroup1).

4. De manera opcional, habilite Replicate to All Sites para este grupo dereplicación. Esta opción solo se puede habilitar en el momento de la creación yno se puede deshabilitar posteriormente.

Para una configuración geopasiva, seleccione Disabled.

Opción Descripción

Replicate to AllSitesdeshabilitada

El grupo de replicación utiliza la replicación predeterminada.Con la replicación predeterminada, los datos se almacenanen el site primario y una copia completa se almacena en unsite secundario elegido entre los sites dentro del grupo dereplicación. La copia secundaria está protegida porespejeado triple y codificación de eliminación. Este procesoproporciona durabilidad de los datos con eficiencia dealmacenamiento.


Creación de un grupo de replicación 41

Opción Descripción

Replicate to AllSites habilitada

El grupo de replicación hace una copia completamentelegible de todos los datos a todos los sitios (VDC) dentrodel grupo de replicación. Contar con copias completamentelegibles de todos los objetos en todos los VDC en el grupode replicación proporciona durabilidad de los datos y mejorael rendimiento local en todos los sites a costa de laeficiencia del almacenamiento.

5. Seleccionar el Tipo de replicación: Geo-Active o Geo-Passive.

La opción Geo-Passive está disponible solo cuando hay tres o más sitios.

6. Haga clic en Add VDC para agregar pools de almacenamiento de los sitios algrupo de replicación.

Los pasos para agregar pools de almacenamiento a un grupo de replicacióndependen de si dispone de un ambiente de un solo sitio o con replicación Geo-Active o Geo-Passive.

7. Para agregar pools de almacenamiento a una configuración Geo-Active (o a unúnico sitio), utilice los siguientes pasos.

a. En la lista Virtual Data Center, seleccione el VDC que proporcionará un poolde almacenamiento para el grupo de replicación.

b. En la lista Storage Pool, seleccione el pool de almacenamiento quepertenece al VDC seleccionado.

c. Para incluir otros sitios en el grupo de replicación, haga clic en Add VDC.

d. Repita estos pasos para cada pool de almacenamiento que desee agregar algrupo de replicación.

8. Para agregar pools de almacenamiento para una configuración geopasiva,complete los siguientes pasos.



Para una configuración Geo-Passive, ECS supone que desea agregar un sitiocomo destino de replicación pasivo y dos sitios activos.

a. En la lista Target VDC for Replication Virtual Data Center, seleccione elsitio que desea agregar como destino de replicación.

Si tiene un sitio alojado, se selecciona automáticamente como destino dereplicación.

b. En la lista Target VDC for Replication Storage Pool, seleccione el pool dealmacenamiento que pertenece al VDC seleccionado.

c. En las dos listas Source VDC for Replication Virtual Data Center,seleccione el sitio que desea agregar como sitio activo.


Creación de un grupo de replicación 43

d. En las dos listas Source VDC for Replication Storage Pool, seleccione elpool de almacenamiento que pertenece al VDC seleccionado. Estos pools dealmacenamiento proporcionarán almacenamiento en los dos sitios activos.


Editar un grupo de replicaciónPuede cambiar el nombre del grupo de replicación o cambiar el conjunto de VDC ypools de almacenamiento en el grupo de replicación.

Antes de comenzar


PRECAUCIÓN

En una federación de múltiples sitios, cuando edita un grupo de replicación y optapor eliminar un VDC de los grupos de replicación a los que pertenece, eliminapermanentemente ese VDC de la federación. Eliminar el VDC de la federación deforma permanente desencadena el proceso de conmutación por error donde losobjetos que pertenecen a ese VDC (y su pool de almacenamiento) pertenecerán auno de los VDC restantes. En ECS, cada objeto tiene un VDC primario opropietario. El tiempo que se tarda en completar este proceso de conmutaciónpor error depende de la cantidad de datos que se debe mover. Si creó el grupo dereplicación con la opción Replicate to All Sites habilitada, el tiempo que se tardaen mover todos los datos a los sitios restantes es breve, dado que ya existe unacopia en todos los sitios.

No puede editar los campos Replicate to All Sites o Replication Type. Una vezconfiguradas estas opciones cuando se crea el grupo de replicación por primera vez,no pueden cambiarse.

Procedimiento


2. En la página Replication Group Management, junto al grupo de replicación quedesea editar, haga clic en Edit.

3. En la página Edit Replication Group:

l Para modificar el nombre del grupo de replicación, en el campo Name,escriba el nuevo nombre.

l Para agregar un VDC al grupo de replicación, haga clic en Add VDC yseleccione el VDC y el pool de almacenamiento de la lista.

l Para eliminar un VDC del grupo de replicación, haga clic en el botón Deletejunto a VDC (y su pool de almacenamiento).

PRECAUCIÓN

Eliminar un VDC de los grupos de replicación a los cuales pertenecesignifica quitar ese VDC permanentemente de la federación. Consulte Eliminar un VDC y realizar una conmutación por error de un sitio en lapágina 38.




CAPÍTULO 4

Proveedores de autenticación

l Introducción a proveedores de autenticación.....................................................46l Trabajo con proveedores de autenticación en el portal de ECS.......................... 46

Proveedores de autenticación 45

Introducción a proveedores de autenticaciónSe pueden agregar proveedores de autenticación a ECS para permitir la autenticaciónde los usuarios mediante sistemas externos a ECS.

Un proveedor de autenticación es un sistema externo a ECS que puede autenticarusuarios en nombre de ECS. ECS almacena la información que le permite conectarsecon el proveedor de autenticación de modo que ECS pueda solicitar la autenticaciónde un usuario.

En ECS, los siguientes tipos de proveedores de autenticación están disponibles:

l Autenticación de Active Directory (AD) o Lightweight Directory Access Protocol(LDAP): Se utiliza para autenticar usuarios de dominio que están asignados afunciones de administración en ECS.

l Keystone: Se utiliza para autenticar usuarios de objetos OpenStack Swift.

Los proveedores de autenticación pueden crearse desde el portal de ECS (consulte Trabajo con proveedores de autenticación en el portal de ECS en la página 46) omediante la CLI o la API REST de administración de ECS. Puede utilizar los siguientesprocedimientos para crear proveedores de autenticación AD/LDAP o Keystone.

l Agregar un proveedor de autenticación de AD o LDAP en la página 48

l Agregar un proveedor de autenticación Keystone en la página 51

Trabajo con proveedores de autenticación en el portal deECS

Puede usar la página Authentication Provider Management disponible en Manage >Authentication para ver los detalles de los proveedores de autenticación existentes,para agregar proveedores de autenticación, para modificar los proveedores deautenticación existentes y para eliminar proveedores de autenticación.

Figura 11 Página Authentication Provider Management

Tabla 8 Propiedades del proveedor de autenticación

Campo Descripción

Name El nombre del proveedor de autenticación.

Type El tipo de proveedor de autenticación. Indica si el proveedor de autenticación es un servidor deActive Directory (AD), Lightweight Directory Access Protocol (LDAP) o Keystone V3.



Tabla 8 Propiedades del proveedor de autenticación (continuación)

Campo Descripción

Dominios Los dominios a los que el proveedor de autenticación proporciona acceso.

Enabled Indica si el proveedor de autenticación está actualmente habilitado o deshabilitado.

Actions Las acciones que pueden completarse para el proveedor de autenticación.

l Edit: Permite cambiar la configuración del proveedor de autenticación de AD o LDAP quese enumera en Tabla 9 en la página 48 o cambiar la configuración del proveedor deautenticación de Keystone que se enumera en Tabla 10 en la página 52.

l Delete: Permite eliminar el proveedor de autenticación.

l Botón New Authentication Provider: Agrega un proveedor de autenticación.

Consideraciones al agregar proveedores de autenticación de Active DirectoryCuando configura ECS para trabajar con Active Directory, debe optar por agregar unúnico proveedor de autenticación de AD para administrar varios dominios o agregarproveedores de autenticación de AD independientes para cada dominio.

La decisión de agregar un solo proveedor de autenticación de AD, o varios, depende dela cantidad de dominios que haya en el ambiente y de la ubicación del árbol en el que elusuario administrador puede buscar. Los proveedores de autenticación tienen una solabase de búsqueda desde la cual se inicia la búsqueda, y una sola cuenta deadministrador que tiene acceso de lectura al nivel de search_base o inferior.

Puede agregar un solo proveedor de autenticación para varios dominios en lassiguientes condiciones:

l Usted administra un bosque de AD

l La cuenta de administrador tiene privilegios para buscar todas las entradas deusuarios en el árbol

l La búsqueda se realiza en todo el bosque desde una sola base de búsqueda, no soloen los dominios que se enumeran en el proveedor

Si no es así, agregue proveedores de autenticación independientes para cada dominio.

Nota

Si administra un bosque de AD y tiene los privilegios de cuenta de administradornecesarios, hay escenarios en los que es posible que aún desee agregar un proveedorde autenticación para cada dominio. Por ejemplo, si desea un control estricto en cadadominio y más granularidad sobre la configuración del punto de partida de la base debúsqueda para la búsqueda.

La base de búsqueda debe estar lo suficiente alta en la estructura del directorio delbosque para que la búsqueda encuentre correctamente a todos los usuarios en losdominios específicos. Los siguientes ejemplos de búsqueda describen las mejoresopciones para agregar un solo proveedor o varios proveedores de autenticación.

l En un escenario en el cual el bosque en la configuración contiene diez dominios,pero usted desea especificar solo tres, no desearía agregar un solo proveedor deautenticación para administrar varios dominios, ya que la búsqueda se expandiríainnecesariamente por todo el bosque. Esto puede afectar el rendimiento de forma


Consideraciones al agregar proveedores de autenticación de Active Directory 47

negativa. En este caso, debe agregar tres proveedores de autenticaciónindependientes para cada dominio.

l En un escenario en el cual el bosque en la configuración contiene diez dominios yusted desea especificar diez dominios, la adición de un solo proveedor deautenticación para administrar varios dominios es una buena opción, ya que haymenos sobrecarga que configurar.

Agregar un proveedor de autenticación de AD o LDAPPuede agregar uno o más proveedores de autenticación a ECS para ejecutar laautenticación de usuarios para los usuarios del dominio ECS.

Antes de comenzar

l Esta operación requiere la función de administrador del sistema en ECS.

l Necesita acceso a la información del proveedor de autenticación que apareceenumerada en Configuración del proveedor de autenticación de AD/LDAP. Tengaen cuenta especialmente los requerimientos para el usuario Administrador DN.

Procedimiento

1. En el portal de ECS, seleccione Manage > Authentication.

2. En la página Authentication Provider Management, haga clic en NewAuthentication Provider.

3. En la página New Authentication Provider, escriba valores en los campos. Paraobtener más información sobre estos campos, consulte Configuración delproveedor de autenticación de AD/LDAP.


5. Para verificar la configuración, agregue un usuario del proveedor deautenticación en Manage > Users > Management Users, y luego intente iniciarsesión como el nuevo usuario.

Requistos posteriores

Debe agregar (asignar) los usuarios del dominio en un espacio de nombres si desea queestos usuarios realicen operaciones de usuario de objetos de ECS. Para obtener másinformación, consulte Agregar usuarios de dominio a un espacio de nombres en lapágina 85.

Configuraciones del proveedor de autenticación de AD o LDAPDebe proporcionar información del proveedor de autenticación cuando agrega o editaun proveedor de autenticación de AD o LDAP.

Tabla 9 Configuraciones del proveedor de autenticación de AD o LDAP

Campo Descripción y requerimientos

Name El nombre del proveedor de autenticación. Puede tener varios proveedores para dominios diferentes.

Description Descripción de texto libre del proveedor de autenticación.

Type El tipo de proveedor de autenticación. Active Directory o LDAP

Dominios La recopilación de objetos definidos administrativamente que comparten relaciones de confianza,políticas de seguridad y una base de datos de directorio en común. Un solo dominio puede abarcarvarias ubicaciones o sitios físicos y puede contener millones de objetos.Ejemplo: mycompany.com



Tabla 9 Configuraciones del proveedor de autenticación de AD o LDAP (continuación)


Si se encuentra configurado un sufijo UPN alternativo en Active Directory, el campo Domainstambién debe contener el UPN alternativo configurado para el dominio. Por ejemplo, si se agregamyco como un sufijo UPN alternativo para mycompany.com, entonces el campo Domains debe

contener tanto myco como mycompany.com.

Server URLs LDAP o LDAPS (LDAP seguro) con la dirección IP de la controladora de dominio. El puertopredeterminado para LDAP es 389. El puerto predeterminado para LDAPS es 636.

Puede especificar uno o más proveedores de autenticación de LDAP o LDAPS.

Ejemplo: ldap://<Domain controller IP>:<port> (si no es el puerto predeterminado) o

ldaps://<Domain controller IP>:<port> (si no es el puerto predeterminado)

Si el proveedor de autenticación soporta un bosque en múltiples dominios, utilice la dirección IP delservidor del catálogo global y especifique siempre el número de puerto. El puerto predeterminadopara LDAP es 3268. El puerto predeterminado para LDAPS es 3269.

Ejemplo: ldap(s)://<Global catalog server IP>:<port>

Manager DN Indica la cuenta de usuario de vinculación de Active Directory que utiliza ECS para conectarse alservidor de Active Directory o LDAP. Esta cuenta se utiliza para buscar en Active Directory cuandoun administrador de ECS especifica un usuario para la asignación de funciones.

Esta cuenta de usuario debe tener Read all inetOrgPerson information en Active

Directory. La clase de objeto de InetOrgPerson se utiliza en varios servicios de directorio X.500 y

LDAP, ajenos a Microsoft, para representar a las personas de una organización.

Para configurar este privilegio en Active Directory:

1. Abra Active Directory Users and Computers.

2. Haga clic con el botón secundario en el dominio, seleccione Delegate Control y después haga

clic en Next.

3. En el asistente Delegation of Control, haga clic en Next y, a continuación, haga clic en Add.

4. En el cuadro de diálogo Select Users, Computers, or Groups, seleccione el usuario que

está utilizando para managerdn y después haga clic en Next.

5. En la página Tasks to Delegate, en Delegate the following common tasks, seleccione la

tarea Read all inetOrgPerson information y luego haga clic en Next.

6. Haga clic en Finish.

En este ejemplo: CN=Manager,CN=Users,DC=mydomaincontroller,DC=com, el usuario de

vinculación de Active Directory es Manager, en él árbol Users del dominio

mydomaincontroller.com. Generalmente, el managerdn es un usuario que tiene menos

privilegios que el administrador, pero tiene privilegios suficientes como para consultar en ActiveDirectory sobre atributos e información de grupos.

Importante: Debe actualizar esta cuenta de usuario en ECS si las credenciales de managerdncambian en Active Directory.

Contraseña deladministrador

La contraseña del usuario managerdn.

Importante: Debe actualizar esta contraseña en ECS si las credenciales de managerdn cambian

en Active Directory.


Agregar un proveedor de autenticación de AD o LDAP 49



Proveedores Esta configuración se establece en Enabled de forma predeterminada cuando se agrega unproveedor de autenticación. ECS valida la conectividad del proveedor de autenticación habilitado yque el nombre y el dominio del proveedor de autenticación habilitado sean únicos.Seleccione Disabled solo si desea agregar el proveedor de autenticación a ECS, pero no deseautilizarlo inmediatamente para la autenticación. ECS no valida la conectividad de un proveedor deautenticación deshabilitado, pero valida que el nombre del proveedor de autenticación y el dominiosean únicos.

Group Attribute Este atributo se aplica solo a Active Directory; no se aplica a otros tipos de proveedores deautenticación.El atributo de AD que se usa para identificar un grupo. Se utiliza para buscar el directorio por grupos.

Ejemplo: CN

Nota

Una vez que establece este atributo para un proveedor de autenticación de AD, no lo puede cambiar,ya que los grupos de usuarios que están usando este proveedor pueden disponer de asignaciones defunciones y permisos configurados con nombres de grupo en un formato que utiliza este atributo.

Grupo en lista blanca Esta configuración se aplica solo a Active Directory; no se aplica a otros tipos de proveedores deautenticación.

Opcional. Uno o más nombres de grupo según lo definido por el proveedor de autenticación. Estaconfiguración filtra la información de membresía del grupo que recupera ECS sobre un usuario.

l Cuando se incluyen uno o varios grupos en la lista blanca, ECS detecta la membresía de unusuario únicamente en los grupos especificados. Se permiten múltiples valores (uno por línea enel portal de ECS y valores separados por comas en la CLI y la API) y comodines (por ejemplo,MyGroup*, TopAdminUsers*).

l La configuración predeterminada es en blanco. ECS detecta todos los grupos a los quepertenece un usuario. El asterisco (*) significa lo mismo que el valor en blanco.

Ejemplo:

El UsuarioA pertenece al Group1 y Group2.

Si la lista blanca está en blanco, ECS sabe que el UsuarioA es miembro del Group1 y Group2.

Si la lista blanca es del Group1, ECS sabe que el UsuarioA es miembro del Group1, pero no sabe

que el UsuarioA es miembro del Group2 (o de cualquier otro grupo).

Tenga cuidado cuando agrega un valor a la lista blanca. Por ejemplo, si el mapeo de un usuario a unespacio de nombres se basa en la membresía de un grupo, ECS debe estar al tanto de la membresíadel usuario en el grupo.

Para restringir el acceso a un espacio de nombres únicamente a usuarios de ciertos grupos, completelas siguientes tareas.

l Agregue los grupos al mapeo de usuarios de espacio de nombres . El espacio de nombres estáconfigurado para aceptar solamente usuarios de estos grupos.

l Agregue los grupos a la lista blanca. ECS tiene autorización para recibir información sobre ellos.

De manera predeterminada, si no se agrega ningún grupo al mapeo de usuarios de espacio denombres, se aceptarán usuarios de cualquier grupo, independientemente de la configuración de lalista blanca.





Alcance de búsqueda Los niveles para la búsqueda. Los valores posibles son:

l One Level (búsqueda de usuarios de un nivel bajo la base de búsqueda)

l Subtree (búsqueda en todo el subárbol mediante la base de búsqueda)

Search Base El nombre distinguido de la base que utiliza ECS para buscar usuarios en el momento del inicio de lasesión y cuando se asignan funciones o se establecen las ACL.En el siguiente ejemplo, se buscan todos los usuarios en el contenedor Users.

CN=Users,DC=mydomaincontroller,DC=comEn el siguiente ejemplo, se buscan todos los usuarios en el contenedor Users en la unidad

organizacional de myGroup. Tenga en cuenta que la estructura del valor de search base comienza

con el nivel de hoja y sube hasta el nivel de la controladora de dominio, a la inversa de la estructura

vista en el snap-in Active Directory Users and Computers.

CN=Users,OU=myGroup,DC=mydomaincontroller,DC=com

Search Filter La cadena utilizada para seleccionar subconjuntos de usuarios.Ejemplo: userPrincipalName=%u

Nota

ECS no valida este valor cuando se agrega el proveedor de autenticación.

Si se encuentra configurado un sufijo UPN alternativo en Active Directory, el valor Search Filter debetener el formato sAMAccountName=%U, donde %U es el nombre de usuario y no contiene el nombre

de dominio.

Agregar un proveedor de autenticación KeystonePuede agregar un proveedor de autenticación de Keystone para autenticar a losusuarios de OpenStack Swift.

Antes de comenzar


l Puede agregar un solo proveedor de autenticación de Keystone.

l Obtenga la información del proveedor de autenticación que aparece enumerada en Configuraciones del proveedor de autenticación Keystone en la página 52.

Procedimiento

1. En el portal de ECS, seleccione Manage > Authentication.

2. En la página Authentication Provider Management, haga clic en NewAuthentication Provider.

3. En la página New Authentication Provider, en el campo Type, seleccioneKeystone V3.

Se muestran los campos obligatorios.


Agregar un proveedor de autenticación Keystone 51

4. Escriba valores en los campos Name, Description, Server URL, KeystoneAdministrator y Admin Password. Para obtener más información acerca deestos campos, consulte Configuraciones del proveedor de autenticaciónKeystone en la página 52.


Configuraciones del proveedor de autenticación KeystoneDebe proporcionar información del proveedor de autenticación cuando agrega o editaun proveedor de autenticación de Keystone.

Tabla 10 Configuraciones del proveedor de autenticación Keystone

Campo Descripción

Nombre El nombre del proveedor de autenticación Keystone. Este nombre se usa paraidentificar al proveedor en ECS.

Descripción Descripción de texto libre del proveedor de autenticación.

Tipo Keystone V3.

Server URL URl del sistema Keystone al que ECS se conecta a fin de validar usuarios Swift.

Keystone Administrator Nombre de usuario para un administrador del sistema Keystone. ECS se conecta alsistema Keystone mediante este nombre de usuario.

Administrator Password Contraseña del administrador Keystone especificado.



CAPÍTULO 5

Espacios de nombres

l Introducción a espacios de nombres.................................................................. 54l Grupos de usuarios de espacios de nombres...................................................... 54l Configuración de espacio de nombres................................................................55l Trabajo con espacios de nombres en el portal de ECS....................................... 59

Espacios de nombres 53

Introducción a espacios de nombresPuede usar espacios de nombres para proporcionar a varios grupos de usuarios accesoal almacén de objetos de ECS y para garantizar que los objetos y depósitos escritospor los usuarios de cada grupo de usuarios estén separados de los usuarios de los otrosgrupos de usuarios.

En los temas de esta sección se presentan algunos conceptos relacionados con laconfiguración de espacios de nombres y grupos de usuarios:

l Configuración de espacio de nombres en la página 55

l Trabajo con espacios de nombres en el portal de ECS en la página 59

Además, se describen las operaciones necesarias para configurar un espacio denombres mediante el portal de ECS:

l Crear un espacio de nombres en la página 60

Las tareas de configuración de espacios de nombres que se pueden realizar en elportal de ECS también se pueden realizar mediante la API REST de administración deECS.

ECS es compatible con el acceso de múltiples grupos de usuarios, donde cada grupode usuarios está definido por un espacio de nombres, y el espacio de nombres tieneconfigurado un conjunto de usuarios que pueden almacenar y acceder a los objetosdentro del espacio de nombres. Los usuarios de un espacio de nombres no puedenacceder a los objetos que pertenecen a otro espacio de nombres.

Los espacios de nombres son recursos globales en ECS. Un administrador del sistemao un administrador de espacio de nombres puede acceder a cualquier VDC federado ypuede configurar el espacio de nombres. Los usuarios de objetos asignados a unespacio de nombres son globales y pueden acceder al almacén de objetos de cualquierVDC federado.

Puede configurar un espacio de nombres con atributos que definan qué usuariospueden acceder al espacio de nombres y qué características tiene el espacio denombres. Los usuarios con los privilegios adecuados pueden crear depósitos, y puedencrear objetos dentro de los depósitos en el espacio de nombres.

Un objeto en un espacio de nombres puede tener el mismo nombre que un objeto enotro espacio de nombres. ECS puede identificar objetos en función del calificador deespacio de nombres.

Puede configurar espacios de nombres para monitorear y medir su uso, y puedeotorgar derechos de administración al grupo de usuarios para que pueda realizaroperaciones de configuración, monitoreo y medición.

Puede utilizar depósitos para crear subgrupos de usuarios. El propietario del depósitoes el administrador del subgrupo de usuarios y puede asignar usuarios al subgrupo deusuarios mediante listas de control de acceso (ACL). Sin embargo, los subgrupos deusuarios no proporcionan el mismo nivel de segregación que los grupos de usuarios.Cualquier usuario asignado al grupo de usuarios podría tener asignados privilegios enun subgrupo de usuarios, por lo que se debe tener cuidado al asignar usuarios.

Grupos de usuarios de espacios de nombres

Un administrador del sistema puede configurar espacios de nombres en los siguientesescenarios de grupo de usuarios:

Espacios de nombres


Grupo de usuario individual empresarial

Todos los usuarios acceden a depósitos y objetos en el mismo espacio denombres. Pueden crearse depósitos para subgrupos de usuarios a fin de permitirque un subconjunto de usuarios del espacio de nombres acceda al mismo conjuntode objetos. Por ejemplo, un subgrupo de usuarios podría ser un departamentodentro de la organización.

Grupo de usuarios empresarial

Los diferentes departamentos dentro de una organización se asignan a diferentesespacios de nombres, y los usuarios del departamento se asignan a cada espaciode nombres.

Proveedor de servicios de nube, un solo grupo de usuarios

Se configura un solo espacio de nombres, y el proveedor de servicios proporcionaacceso al almacén de objetos para usuarios dentro o fuera de la organización.

Proveedor de servicios de nube, multiusuario

El proveedor de servicios asigna espacios de nombres a diferentes empresas yasigna un administrador para el espacio de nombres. El administrador del espaciode nombres del grupo de usuarios puede entonces agregar usuarios y puedemonitorear y medir el uso de depósitos y objetos.

Configuración de espacio de nombres

La siguiente tabla describe la configuración que puede especificar al crear o editar unespacio de nombres de ECS.

La forma en que se utilizan los nombres del espacio de nombres y de los depósitos aldireccionar objetos en ECS se describe en URL base de objetos en la página 154.

Tabla 11 Configuración de espacio de nombres

Campo Descripción Se puedeeditar

Name El nombre del espacio de nombres, en caracteres en minúscula. No

User Admin El ID de usuario de uno o más usuarios asignados a la función de administrador deespacio de nombres; una lista de usuarios debe tener las entradas separadas porcomas.Los administradores de espacio de nombres pueden ser usuarios locales o dedominio. Si desea que el administrador de espacio de nombres sea un usuario dedominio, asegúrese de que se haya agregado un proveedor de autenticación a ECS.Consulte Introducción a usuarios y funciones en la página 68 para obtenerdetalles.

Sí

Domain Group Admin El grupo de dominio asignado a la función de administrador del espacio de nombres.A todos los miembros, una vez autenticados, se les asigna la función deadministrador del espacio de nombres para el espacio de nombres. Se debe asignarel grupo de dominio al espacio de nombres mediante la configuración de DomainUser Mappings para el espacio de nombres.Para usar esta función, debe asegurarse de que se agregó un proveedor deautenticación a ECS. Consulte Introducción a usuarios y funciones en la página 68para obtener detalles.

Sí

Espacios de nombres

Configuración de espacio de nombres 55

Tabla 11 Configuración de espacio de nombres (continuación)


Replication Group El grupo de replicación predeterminado para el espacio de nombres. Sí

Namespace Quota El límite de espacio de almacenamiento especificado para el espacio de nombres.Puede especificar un límite de almacenamiento para el espacio de nombres y definirnotificaciones y comportamiento de acceso cuando se alcanza la cuota. Laconfiguración de cuota para un espacio de nombres no puede ser menor de 1 GB.Puede seleccionar una de las siguientes opciones de comportamiento de cuotas:

Notification Only at <cuota>

Configuración de cuota para la notificación.

Block Access Only at <cuota>

Cuota máxima que, cuando se alcanza, evita el acceso de escritura oactualización al depósito.

Block Access at <cuota> and Send Notification at <% de cuota>

Cuota máxima que, cuando se alcanza, evita el acceso de escritura oactualización al depósito y el porcentaje de la configuración de cuota para lanotificación.

Sí

Default Bucket Quota El límite de almacenamiento predeterminado que se especifica para los depósitoscreados en este espacio de nombres. Se trata de una cuota máxima que, cuando sealcanza, evita el acceso de escritura o actualización al depósito.Cambiar la cuota predeterminada del depósito no cambia la cuota del depósito paralos depósitos creados anteriormente.

Sí

Server-side Encryption El valor predeterminado del cifrado del lado del servidor para los depósitos creadosen este espacio de nombres.El cifrado del lado del servidor, también conocido como cifrado de datos en reposoo D@RE, cifra los datos en línea antes de almacenarlos en unidades o discos deECS. Este cifrado ayuda a evitar que datos confidenciales se puedan obtener desdemedios descartados o robados.

Si el espacio de nombres habilita el cifrado, se cifran todos sus depósitos y no sepuede cambiar esta configuración cuando se crea un depósito. Si desea que losdepósitos en el espacio de nombres estén sin cifrar, el espacio de nombres debetener el cifrado deshabilitado. Cuando se deshabilita el cifrado para el espacio denombres, es posible establecer depósitos individuales como cifrados durante sucreación.

Para obtener una descripción completa de la función, consulte Guía de seguridad deECS, disponible en la página de documentación de productos de ECS.

No

Access During Outage El comportamiento predeterminado cuando se accede a datos en los depósitoscreados en este espacio de nombres durante una interrupción temporal del sitio enuna configuración geofederada.

Cuando esta marca se establezca en Enabled, si se produce una interrupcióntemporal del sitio y no puede obtener acceso a un depósito en el sitio fallido dondese creó (sitio propietario), podrá acceder a una copia del depósito en otro sitio.Tenga en cuenta que los objetos a los que accede en este depósito en el espacio denombres pueden haberse actualizado en el sitio fallido, pero es posible que loscambios no se hayan propagado al sitio desde el que accede al objeto.

Sí

Espacios de nombres



Tabla 11 Configuración de espacio de nombres (continuación)


Si la marca se configura en Disabled, no se puede acceder a los datos incluidos en lazona con la interrupción temporal desde otras zonas y no se pueden realizarlecturas de objetos de datos que tienen su centro en el sitio fallido.

Para obtener más información, consulte Comportamiento de TSO con la propiedadde depósito ADO habilitada en la página 183.

Cumplimiento de normas Las reglas que limitan los cambios que se pueden realizar en la configuración deretención de los objetos retenidos. ECS cuenta con funciones de retención deobjetos habilitadas o definidas en el nivel del objeto, del depósito y del espacio denombres. El cumplimiento de normas fortalece estas funciones mediante lalimitación de los cambios que se pueden realizar en la configuración de la retenciónde los objetos retenidos.

El cumplimiento de normas solo se puede habilitar en el momento en que se crea elespacio de nombres, y no se puede deshabilitar una vez habilitado.

El cumplimiento de normas es compatible con sistemas S3 y CAS. Para obtenermás información acerca de las reglas aplicadas por el cumplimiento de normas,consulte Guía de acceso a datos de ECS, disponible en la página de documentaciónde productos de ECS.

No

Políticas de retención Permite que se agreguen y se configuren una o más políticas de retención.Un espacio de nombres puede tener una o más políticas de retención asociadas,donde cada política define un período de retención. Al aplicar una política deretención a un número de objetos, en lugar de a un objeto individual, un cambio enla política de retención cambia el período de retención para todos los objetos a losque se aplica la política. Se rechazará una solicitud de modificación de un objetoantes del vencimiento del período de retención.

Además de especificar una política de retención para una cantidad de objetos,puede especificar políticas de retención y una cuota para todo el espacio denombres.

Para obtener más información acerca de la retención, consulte Períodos y políticasde retención en la página 58.

Sí

Domain Permite que se especifiquen dominios Active Directory (AD) o LightweightDirectory Access Protocol (LDAP) y que se configuren reglas para la inclusión deusuarios de dominio.Los usuarios de dominio pueden asignarse a funciones de administración de ECS ypueden utilizar la funcionalidad de autoservicio de ECS para registrarse comousuarios de objetos.

El mapeo de usuarios de dominio en un espacio de nombres se describe en Losusuarios de dominio requieren un espacio de nombres asignado para realizaroperaciones de usuario de objetos en la página 71.

Sí

El siguiente atributo se puede configurar mediante la API de REST de administraciónde ECS, no desde el Portal de ECS.

Grupos de replicación permitidos (y no permitidos)

Permite que un cliente especifique los grupos de replicación que el espacio denombres puede utilizar.

Espacios de nombres

Configuración de espacio de nombres 57



Períodos y políticas de retenciónECS proporciona la capacidad de evitar que los datos se modifiquen o se eliminendentro de un período de retención especificado.

Puede especificar la retención mediante períodos de retención y políticas de retenciónque se definen en los metadatos que están asociados con objetos y depósitos. Losperíodos de retención y las políticas de retención se comprueban cada vez que serealiza una solicitud de modificación de un objeto. Los períodos de retención soncompatibles con todos los protocolos de objetos de ECS (S3, Swift, Atmos y CAS).

Nota

Para obtener información detallada sobre la configuración de retención en interfacesde objetos, incluidas la retención de CAS y la retención avanzada de CAS, consulteGuía de acceso a datos de ECS, disponible en la página de documentación de productosde ECS.

Períodos de retención

Puede asignar períodos de retención en el nivel de objeto o el nivel de depósito.Cada vez que un usuario solicita modificar o eliminar un objeto, se calcula unafecha de vencimiento, donde la fecha de vencimiento del objeto es igual a la fechade creación del objeto más el período de retención. Cuando asigna un período deretención en un depósito, la fecha de vencimiento del objeto se calcula según elperíodo de retención configurado en el objeto y el período de retenciónconfigurado en el depósito (el que sea más largo).

Cuando aplica un período de retención a un depósito, el período de retención paratodos los objetos que se encuentran en un depósito se puede cambiar en cualquiermomento y, además, puede reemplazar el valor escrito en el objeto por un clientede objetos mediante la configuración de un período más extenso.

Puede especificar que un objeto se conserve indefinidamente.

Políticas de retención

Las políticas de retención están asociadas con un espacio de nombres. Cualquierpolítica asociada con el espacio de nombres puede asignarse a un objeto quepertenezca al espacio de nombres. Una política de retención tiene un período deretención asociado.

Cuando cambia el período de retención que está asociado con una política, elperíodo de retención cambia automáticamente para los objetos que tienen esapolítica asignada.

Puede aplicar una política de retención a un objeto. Cuando un usuario intentamodificar o eliminar un objeto, se recupera la política de retención. El período deretención en la política de retención se utiliza con el período de retención deobjeto y el período de retención de depósito para verificar si se permite lasolicitud.

Por ejemplo, podría definir una política de retención para cada uno de lossiguientes tipos de documento y cada política podría tener un período deretención adecuado. Cuando un usuario solicita modificar o eliminar el documentolegal cuatro años después de su creación, se utiliza el período que sea másextenso entre el período de retención de depósito y el período de retención deobjeto para verificar si se puede ejecutar la operación. En este caso, no se permitela solicitud y el documento no puede modificarse ni eliminarse durante un añomás.

Espacios de nombres




l Correo electrónico: seis meses

l Finanzas: tres años

l Legal: cinco años

Métodos de la política de retención de la API REST de administración de ECSLas tareas de creación y configuración de la política de retención que se puedenrealizar en el portal de ECS también se pueden realizar mediante la API de REST deadministración de ECS. La siguiente tabla describe los métodos de la API de REST deadministración de ECS que se relacionan con las políticas de retención.

Método de la API REST deadministración de ECS

Descripción

PUT /object/bucket/{bucketName}/retention

El valor de retención para un depósito define un período de retención obligatorioque se aplica a cada objeto dentro de un depósito. Si establece un período deretención de un año, un objeto del depósito no se puede modificar ni eliminardurante un año.

GET /object/bucket/{bucketName}/retention

Devuelve el período de retención que está establecido actualmente para undepósito especificado.

POST /object/namespaces/namespace/{namespace}/retention

Para los espacios de nombres, la configuración de retención actúa como unapolítica, donde cada política es un par <nombre>: <período de retención>. Puededefinir una serie de políticas de retención para un espacio de nombres y puedeasignar una política, por nombre, a un objeto en el espacio de nombres. Esto lepermite cambiar el período de retención de un conjunto de objetos que tienen lamisma política asignada al cambiar la política correspondiente.

PUT /object/namespaces/namespace/{namespace}/retention/{class}

Actualiza el período para una clase de retención que está asociada con un espaciode nombres.

GET /object/namespaces/namespace/{namespace}/retention

Devuelve las clases de retención definidas para un espacio de nombres.

Para obtener información sobre cómo obtener acceso a la API de REST deadministración de ECS, consulte Guía de acceso a datos de ECS, disponible en la páginade documentación de productos de ECS.

Trabajo con espacios de nombres en el portal de ECSPuede usar la página Namespace Management disponible en Manage > Namespacepara ver los detalles de los espacios de nombres existentes, para crear nuevosespacios de nombres, para modificar espacios de nombres existentes y para eliminarespacios de nombres.

Espacios de nombres

Trabajo con espacios de nombres en el portal de ECS 59



Figura 12 Página de administración de espacios de nombres

Tabla 12 Propiedades de espacios de nombres

Campo Descripción

Name El nombre del espacio de nombres.

Default Replication Group El grupo de replicación predeterminado para el espacio de nombres.

Notification Quota El límite de la cuota cuando se genera la notificación.

Max Quota El límite de la cuota cuando se bloquean las operaciones de escritura en el espacio denombres.

Encryption Especifica si el cifrado del lado del servidor D@RE está activado para el espacio denombres.

Actions Las acciones que pueden realizarse para el espacio de nombres.

l Edit: Permite cambiar el nombre del espacio de nombres, el administrador delespacio de nombres, el grupo de replicación predeterminado, la cuota del espacio denombres, la cuota del depósito, el cifrado del lado del servidor, el acceso durante unainterrupción y la configuración de cumplimiento de normas para el espacio denombres.

l Delete: Elimina el espacio de nombres.

Crear un espacio de nombresPuede crear un espacio de nombres.

Antes de comenzar


l Debe existir un grupo de replicación. El grupo de replicación proporciona acceso alos pools de almacenamiento de datos en donde se almacenan datos de objetos.

l Si desea permitir que los usuarios del dominio accedan al espacio de nombres,debe agregar un proveedor de autenticación a ECS. Para configurar los usuariosde objetos del dominio o un grupo del dominio, debe planear cómo desea mapearestos usuarios en el espacio de nombres. Para obtener más información acerca delmapeo de usuarios, consulte Los usuarios de dominio requieren un espacio denombres asignado para realizar operaciones de usuario de objetos en la página71.

Espacios de nombres


Para obtener información sobre espacios de nombres, consulte Configuración deespacio de nombres en la página 55.

Procedimiento

1. En el portal de ECS, seleccione Manage > Namespace.

2. En la página Namespace Management, haga clic en New Namespace.

3. En la página New Namespace, en el campo Name, escriba el nombre delespacio de nombres.

El nombre debe contener solo caracteres en minúscula.

4. En el campo User Admin, especifique el ID de usuario de uno o más dominios ousuarios locales a los que desea asignar la función de administrador de espaciode nombres. En el campo Domain Group Admin, también puede agregar uno omás grupos de dominios a los cuales desea asignar la función de administradorde espacio de nombres.

Puede agregar múltiples usuarios o grupos como listas separadas por comas.

Espacios de nombres

Crear un espacio de nombres 61

5. En el campo Replication Group, seleccione el grupo de replicaciónpredeterminado para este espacio de nombres.

6. En el campo Namespace Quota, especifique si desea habilitar un límite deespacio de almacenamiento para este espacio de nombres. Si habilita una cuotade espacio de nombres, seleccione una de las siguientes opciones decomportamiento de cuotas:

a. Notification Only at <cuota>

Seleccione esta opción si desea recibir una notificación cuando se alcance laconfiguración de cuota.

b. Block Access Only at <cuota>

Seleccione esta opción si desea que el acceso de escritura o actualización alos depósitos en este espacio de nombres se bloquee cuando se alcance lacuota.

c. Block Access at <cuota> and Send Notification at <% de cuota>

Seleccione esta opción si desea bloquear el acceso de escritura oactualización a los depósitos en este espacio de nombres y recibir unanotificación cuando la cuota alcance un porcentaje específico de la cuotatotal.

7. En el campo Default Bucket Quota, especifique si desea habilitar un límite deespacio de almacenamiento para todos los depósitos en este espacio denombres.

8. En el campo Server-side Encryption, especifique si este espacio de nombresrequiere cifrado del lado del servidor. Si se habilita está opción, se habilitará elcifrado en el lado del servidor en todos los depósitos creados en el espacio denombres y se cifrarán todos los objetos en los depósitos. Si selecciona No,puede aplicar el cifrado del lado del servidor a depósitos individuales en elespacio de nombres en el momento de la creación.

9. En el campo Access During Outage, especifique el comportamientopredeterminado para cuando se accede a datos en los depósitos creados eneste espacio de nombres durante una interrupción temporal del sitio en unaconfiguración geofederada.

Cuando esta opción está habilitada, si se produce una interrupción temporal delsitio en un sistema geofederado y no puede obtener acceso a un depósito en elsitio fallido donde se creó (sitio propietario), podrá acceder a una copia deldepósito en otro sitio.

Cuando esta opción está deshabilitada, no se puede acceder a los datos en elsitio con la interrupción temporal desde otros sitios y no se pueden realizarlecturas de objetos de datos que son propiedad del sitio fallido.

10. En el campo Compliance, especifique si desea habilitar las funciones decumplimiento de normas para los objetos de este espacio de nombres.

Una vez que se habilita esta configuración, no se puede deshabilitar.

Esta configuración solo puede habilitarse durante la creación del espacio denombres.

Si habilita a la opción de cumplimiento de normas, puede agregar una política deretención siguiendo estos pasos:

a. En el área Retention Policies, haga clic en Add para agregar una nuevapolítica.

Espacios de nombres


b. En el campo Name, escriba el nombre de la política.

c. En el campo Value, escriba el período de retención para esta política deretención y seleccione la unidad de medida (segundos, minutos, horas, días,meses, años).

En lugar de especificar un período de retención específico, puede seleccionarla casilla de verificación Infinite para asegurarse de que los depósitosasignados a esta política de retención nunca se eliminen.

11. Para especificar un dominio de Active Directory (AD) o un dominio LDAP quecontenga los usuarios que pueden iniciar sesión en ECS y realizar tareasadministrativas en el espacio de nombres, haga clic en Domain.

a. En el campo Dominio, escriba el nombre de dominio.

b. Para especificar los grupos y atributos para los usuarios del dominio quepueden acceder a ECS en este espacio de nombres, escriba los nuevosvalores en los campos Groups, Attribute y Values.

Para obtener información sobre cómo realizar mapeos complejos usando gruposy atributos, consulte Los usuarios de dominio requieren un espacio de nombresasignado para realizar operaciones de usuario de objetos en la página 71.


Editar un espacio de nombresPuede cambiar la configuración de un espacio de nombres existente.

Antes de comenzar


La función de administrador de espacio de nombres puede modificar el dominio de ADo LDAP que contiene los usuarios del espacio de nombres que son usuarios de objetoso usuarios de administración a los cuales se les puede asignar la función deadministrador de espacio de nombres para el espacio de nombres.

No puede editar los campos Name, Server-side Encryption o Compliance despuésde la creación del espacio de nombres.

Procedimiento


2. En la página Namespace Management, busque el espacio de nombres quedesea editar en la tabla. Haga clic en Edit, en la columna Actions que está juntoal espacio de nombres que desea editar.

3. En la página Edit Namespace:

l Para modificar el dominio o los usuarios locales a los que desea asignar lafunción de administrador de espacio de nombres, en los campos User Admino Domain Group Admin, cambie los ID de usuario.

l Para modificar el grupo de replicación predeterminado para este espacio denombres, en el campo Replication Group, seleccione un grupo dereplicación diferente.

l Para modificar cuáles de las siguientes funciones están habilitadas, haga clicen las opciones Enabled o Disabled correspondientes.

n Cuota del espacio de nombres

n Cuota predeterminada del depósito

Espacios de nombres

Editar un espacio de nombres 63

n Acceso durante una interrupción

4. Para modificar una política de retención existente, en el área RetentionPolicies:

a. Haga clic en Edit, en la columna Actions que está junto a la política depolítica de retención que desea editar.

b. Para modificar el nombre de la política, en el campo Name, escriba el nuevonombre para la política de retención.

c. Para modificar el período de retención, en el campo Value, escriba el nuevoperíodo de retención para esta política de retención.

5. Para modificar el dominio de AD o LDAP que contiene los usuarios de objetosdel espacio de nombres y los usuarios de administración a los cuales se lespuede asignar la función de administrador de espacio de nombres para elespacio de nombres, haga clic en Domain.

a. Para modificar el nombre de dominio, en el campo Domain, escriba el nuevonombre de dominio.

b. Para modificar los grupos y atributos para los usuarios del dominio quepueden acceder a ECS en este espacio de nombres, escriba los nuevosvalores en los campos Groups, Attribute y Values.


Eliminar un espacio de nombresPuede eliminar un espacio de nombres, pero primero debe eliminar los depósitos en elespacio de nombres.

Antes de comenzar


Procedimiento


2. En la página Namespace Management, busque el espacio de nombres quedesea eliminar en la tabla. Haga clic en Delete, en la columna Actions que estájunto al espacio de nombres que desea eliminar.

Se muestra una alerta que le informa la cantidad de depósitos en el espacio denombres y le solicita que elimine los depósitos en el espacio de nombres antesde eliminar el espacio de nombres. Haga clic en OK.

3. Elimine los depósitos en el espacio de nombres.

a. Seleccione Manage > Buckets.

b. En la página Bucket Management, busque el depósito que desea eliminar enla tabla. Haga clic en Delete, en la columna Actions que está junto aldepósito que desea eliminar.

c. Repita el paso 4b para todos los depósitos en el espacio de nombres.

4. En la página Namespace Management, busque el espacio de nombres quedesea eliminar en la tabla. Haga clic en Delete, en la columna Actions que estájunto al espacio de nombres que desea eliminar.

Dado que ya no hay ningún depósito en este espacio de nombres, se muestra unmensaje para confirmar que desea eliminar este espacio de nombres. Haga clicen OK.

Espacios de nombres



Espacios de nombres

Eliminar un espacio de nombres 65

Espacios de nombres


CAPÍTULO 6

Usuarios y funciones

l Introducción a usuarios y funciones................................................................... 68l Usuarios en ECS................................................................................................ 68l Funciones de administración en ECS..................................................................74l Trabajo con usuarios en el portal de ECS............................................................79

Usuarios y funciones 67

Introducción a usuarios y funcionesEn ECS puede configurar usuarios y funciones para controlar el acceso a las tareas deadministración de ECS y al almacén de objetos. Los usuarios de administración puedenrealizar tareas de administración en el portal de ECS. Los usuarios de objetos nopueden acceder al portal de ECS, pero tienen acceso al almacén de objetos medianteclientes que son compatibles con los protocolos de acceso de datos de ECS.

Las funciones en ECS determinan las operaciones que una cuenta de administraciónpuede ejecutar en el portal de ECS o mediante la API REST de administración de ECS.

Los usuarios de administración y los usuarios de objetos se almacenan en diferentestablas y sus credenciales son diferentes. Los usuarios de administración requieren unnombre de usuario y contraseña locales, o un vínculo a una cuenta de usuario deldominio. Los usuarios de objetos requieren un nombre de usuario y una seña secreta.Puede crear un usuario de administración y un usuario de objetos con el mismonombre, pero son en realidad diferentes usuarios, ya que sus credenciales sondiferentes.

Los nombres de usuarios de administración y usuarios de objetos pueden ser únicos entodo el sistema ECS o pueden ser únicos dentro de un espacio de nombres, lo cual seconoce como alcance del usuario.

Los usuarios locales y de dominio pueden asignarse como usuarios de administración ousuarios de objetos. ECS almacena las credenciales de usuario locales. Los usuarios dedominio son usuarios definidos en una base de datos de Active Directory AD/LDAP, yECS debe hablar con el servidor de AD o LDAP para autenticar la solicitud de inicio desesión del usuario.

Los siguientes temas describen los tipos de usuarios en ECS, las funciones deadministración que se pueden asignar a los usuarios de administración y las tareasrelacionadas con usuarios que se pueden realizar en el portal de ECS.

l Usuarios en ECS en la página 68

l Funciones de administración en ECS en la página 74

l Trabajo con usuarios en el portal de ECS en la página 79

Usuarios en ECSECS requiere dos tipos de usuarios: usuarios de administración, que pueden ejecutar laadministración de ECS, y usuarios de objetos, que acceden al almacén de objetos paraleer y escribir objetos y depósitos.

Los siguientes temas describen los conceptos y los tipos de usuarios de ECS.

l Usuarios de administración en la página 69

l Usuarios de administración predeterminados en la página 69

l Usuarios de objetos en la página 70

l Usuarios de dominio y locales en la página 70

l Alcance del usuario en la página 73

l Etiquetas de usuario en la página 73



Usuarios de administraciónLos usuarios de administración pueden realizar la configuración y administración delsistema ECS y los espacios de nombres (grupos de usuarios) configurados en ECS.

Las funciones que se pueden asignar a los usuarios de administración sonadministrador del sistema, monitor del sistema, administrador de espacio de nombres yadministrador de bloqueo, como se describe en Funciones de administración enECS en la página 74.

Los usuarios de administración pueden ser usuarios locales o usuarios de dominio. Losusuarios de administración que son usuarios locales se autentican mediante ECS conlas credenciales guardadas localmente. Los usuarios de administración que sonusuarios de dominio se autentican en sistemas de Active Directory o LightweightDirectory Access Protocol (LDAP). Para obtener más información acerca de usuarioslocales y de dominio, consulte Usuarios de dominio y locales en la página 70.

Los usuarios de administración no se replican a través de VDC geo-federados.

Usuarios de administración predeterminados

Durante la instalación, ECS crea dos usuarios de administración localespredeterminados, el usuario raíz y emcsecurity, a fin de permitir la configuración inicialy continua de ECS. Los usuarios de administración raíz y emcsecurity pueden accederal sistema ECS mediante el portal de ECS o la API de REST de administración de ECS.Estos usuarios predeterminados no se pueden eliminar del sistema ECS y no sereplican entre sitios en una geofederación. La siguiente tabla describe los usuarios deadministración predeterminados.

Tabla 13 Usuarios de administración predeterminados

Usuariopredeterminado

Contraseñapredeterminada

Descripción de usuario Funciónasignada ausuario

Permisos defunciones

¿Sepuedencrear másusuarios?

root Changeme Este usuario realiza la configuracióninicial del sistema ECS y crea usuarioscon funciones de administrador delsistema. La primera vez que el usuarioroot accede a ECS, se le solicita quecambie la contraseña y queinmediatamente vuelva a iniciar sesióncon la nueva contraseña.Desde una perspectiva de auditoría, esimportante saber qué usuario realizacambios en el sistema, por lo que nodebe utilizarse el usuario root despuésde la inicialización del sistema.Después de la inicialización delsistema, cada usuario administradordel sistema debe iniciar sesión en elsistema utilizando sus propiascredenciales, no las credenciales delusuario root.

Administradordel sistema

Crear y eliminar usuariosde objetos yadministración

Cambio de contraseñasde usuario

Otorgar permisos a losusuarios de objetos

Crear, eliminar ymodificar pools dealmacenamiento,espacios de nombres,depósitos y grupos dereplicación

Ver métricas demonitoreo

Sí


Usuarios de administración 69

Tabla 13 Usuarios de administración predeterminados (continuación)

Usuariopredeterminado

Contraseñapredeterminada

Descripción de usuario Funciónasignada ausuario

Permisos defunciones

¿Sepuedencrear másusuarios?

emcsecurity Changeme Este usuario puede impedir el accesoremoto del protocolo SSH a los nodosbloqueándolos. La contraseña de esteusuario se debe cambiar después de lainstalación del sistema y se deberegistrar de manera segura.

Administradorde bloqueo

Bloqueo y desbloqueo denodos

Cambiar su propiacontraseña

No

Usuarios de objetosLos usuarios de objetos son usuarios finales del almacén de objetos de ECS y accedena ECS a través de clientes de objetos mediante los protocolos de objetos admitidospor ECS (S3, EMC Atmos, Openstack Swift y CAS). Los usuarios de objetos tambiénpueden recibir permisos estilo Unix para acceder a los depósitos exportados comosistemas de archivos para HDFS.

Un usuario de administración (administrador del sistema o de espacio de nombres)puede crear un usuario de objetos. El usuario de administración define un nombre deusuario y asigna una clave secreta para el usuario de objetos cuando se crea el usuarioo en cualquier momento posterior. Un nombre de usuario pueden ser un nombre local oun nombre de usuario de estilo de dominio que incluya una arroba (@) en su nombre.El usuario de objetos utiliza la clave secreta para tener acceso al almacén de objetosde ECS. La clave secreta del usuario de objetos se distribuye por correo electrónico uotros medios.

Los usuarios que se agregan a ECS como usuarios de dominio pueden agregarseposteriormente como usuarios de objetos mediante la creación de su propia clavesecreta mediante la funcionalidad de autoservicio de ECS a través de un cliente que secomunica con la API REST de administración de ECS. El nombre de usuario de objetoque reciben es el mismo que su nombre de dominio. Los usuarios de objetos no tienenacceso al portal de ECS. Para obtener información sobre los usuarios de dominio,consulte Usuarios de dominio y locales en la página 70. Para obtener informaciónsobre la creación de una clave secreta, consulte Guía de acceso a datos de ECS,disponible en la página de documentación de productos de ECS.

Los usuarios de objetos son recursos globales. Un usuario de objetos puede recibirprivilegios de lectura y escritura de depósitos, y objetos en el espacio de nombres alque están asignados, de cualquier VDC.

Usuarios de dominio y localesECS proporciona compatibilidad para usuarios locales y de dominio. Los usuarioslocales y de dominio pueden asignarse como usuarios de administración o usuarios deobjetos.

La funcionalidad de autoservicio de ECS autentica a los usuarios de dominio y lespermite crear una clave secreta por sí mismos. Cuando un usuario de dominio crea supropia clave secreta, se convierte en un usuario de objetos en el sistema ECS. Puedeusar AD y LDAP para ofrecerle a una gran cantidad de usuarios de una base de datosde usuarios existente acceso al almacén de objetos de ECS (como usuarios deobjetos), sin necesidad de crear cada usuario individualmente.




Nota

Los usuarios de dominio que son usuarios de objetos deben agregarse (mapearse) enun espacio de nombres. Para obtener más información, consulte Agregar usuarios dedominio a un espacio de nombres en la página 85

ECS almacena las credenciales de usuario locales. Las credenciales de los usuarios deobjetos son recursos globales y están disponibles en todos los VDC de ECS.

Los usuarios de dominio se definen en una base de datos de LDAP o Active DirectoryAD. Los nombres de usuario de dominio se definen mediante el [email protected]. Los nombres de usuario sin @ se autentican con la base de datosde usuarios local. ECS utiliza un proveedor de autenticación para proporcionar lascredenciales a fin de comunicarse con el servidor de AD o LDAP para autenticar unasolicitud de inicio de sesión del usuario de dominio. Los usuarios de dominio asignadosa funciones de administración pueden autenticarse con sus credenciales de AD/LDAPpara que puedan acceder a ECS y ejecutar operaciones de administración de ECS.

Los usuarios de dominio requieren un espacio de nombres asignado para realizar operaciones deusuario de objetos

Debe agregar (asignar) usuarios del dominio en un espacio de nombres si desea queestos usuarios realicen operaciones de usuarios de objetos de ECS. Para obteneracceso al almacén de objetos de ECS, los administradores de espacios de nombres yde usuarios de objetos deben asignarse a un espacio de nombres. Puede agregar undominio completo de usuarios en un espacio de nombres, o puede agregar unsubconjunto de los usuarios de dominio en un espacio de nombres mediante laespecificación de un atributo o un grupo específico asociado con el dominio.

Un dominio puede proporcionar usuarios a varios espacios de nombres. Por ejemplo,puede optar por agregar un conjunto de usuarios como el departamento de cuentas enel dominio corp.sean.com en Namespace1 y agregar un conjunto de usuarios comoel departamento de finanzas en el dominio corp.sean.com en Namespace2. En estecaso, el dominio corp.sean.com proporciona usuarios para dos espacios denombres.

No es posible agregar un dominio completo, un conjunto específico de usuarios o unusuario en particular en más de un espacio de nombres. Por ejemplo, el dominiocorp.sean.com se puede agregar en Namespace1, pero no se puede agregartambién en Namespace2.

El siguiente ejemplo muestra que un administrador del sistema o de espacio denombres ha agregado en un espacio de nombres un subconjunto de usuarios en eldominio corp.sean.com: los usuarios cuyo atributo Department tiene el valorAccounts en Active Directory. El administrador del sistema o de espacio de nombresha agregado a los usuarios del departamento de cuentas de este dominio en un espaciode nombres mediante el uso de la página Edit Namespace en el portal de ECS.


Usuarios de dominio y locales 71

Figura 13 Agregar un subconjunto de usuarios de dominio en un espacio de nombres mediante unatributo de AD

El siguiente ejemplo muestra un ejemplo diferente donde el administrador del sistema ode espacio de nombres usa más granularidad en la adición de usuarios en un espacio denombres. En este caso, el administrador del sistema o el administrador de espacio denombres agregó los miembros en el dominio corp.sean.com que pertenecen algrupo de administradores de almacenamiento cuyo atributo Department tiene el valorAccounts y cuyo atributo Company tiene el valor Acme, o que pertenecen al grupo deadministradores de almacenamiento cuyo atributo Department tiene el valor Finance.

Figura 14 Agregar un subconjunto de usuarios de dominio en un espacio de nombres mediantevarios atributos de AD

Para obtener más información acerca de cómo agregar usuarios de dominio enespacios de nombres mediante el portal de ECS, consulte Agregar usuarios de dominioa un espacio de nombres en la página 85.



Alcance del usuarioLa configuración de alcance de usuario afecta a todos los usuarios de objetos, entodos los espacios de nombres y todos los VDC federados.

El alcance de usuario puede ser GLOBAL o NAMESPACE. Si el alcance se establece enGLOBAL, los nombres de los usuarios de objetos son únicos en todos los VDC en elsistema ECS. Si el alcance se establece en NAMESPACE, los nombres de usuarios deobjetos son únicos dentro de un espacio de nombres, por lo que los mismos nombresde usuarios de objetos pueden existir en diferentes espacios de nombres.

La configuración predeterminada es GLOBAL. Si va a utilizar ECS en una configuraciónmultiusuario y desea asegurarse de que los espacios de nombres puedan utilizarnombres que están en uso en otro espacio de nombres, debe cambiar estaconfiguración a NAMESPACE.

Nota

Debe establecer el alcance de usuario antes de crear el primer usuario de objetos.

Establecer el alcance del usuarioPuede establecer el alcance del usuario mediante la API REST de administración deECS.

Antes de comenzar


Si desea cambiar la configuración de alcance del usuario predeterminada de GLOBAL aNAMESPACE, debe hacerlo antes de crear el primer usuario de objetos en ECS.

La configuración de alcance del usuario afecta a todos los usuarios de objetos de ECS.

Procedimiento

1. En la API REST de administración de ECS, use la llamada de la API PUT /config/object/properties y pase el alcance de usuario en la carga útil.

El siguiente ejemplo muestra una carga útil que establece el valor user_scopeen NAMESPACE.

PUT /config/object/properties/

<property_update> <properties> <properties> <entry> <key>user_scope</key> <value>NAMESPACE</value> </entry> </properties> </property_update>

Etiquetas de usuario

Una etiqueta en forma de pares de nombre-valor puede asociarse con el ID de usuariopara un usuario de objetos y puede ser recuperada por una aplicación. Por ejemplo, unusuario de objetos se puede asociar con un proyecto o centro de costos. Las etiquetasno pueden asociarse con usuarios de administración.


Alcance del usuario 73

Esta funcionalidad no está disponible en el portal de ECS. Las etiquetas se puedenestablecer en un usuario de objetos, y las etiquetas asociadas con el usuario de objetosse pueden recuperar mediante el uso de la API de REST de administración de ECS.Puede agregar un máximo de 20 etiquetas.

Funciones de administración en ECSECS define las funciones para determinar las operaciones que un usuario puedeejecutar en el portal de ECS o al acceder a ECS mediante la API REST deadministración de ECS. Se pueden asignar funciones de administración a los usuarios ygrupos de administración en ECS y pueden ser tanto usuarios locales como usuarios dedominio. También se pueden asignar funciones a los nombres de grupo de ActiveDirectory.

Se definen las siguientes funciones de administración:

l Administrador del sistema en la página 74

l Monitor del sistema en la página 74

l Administrador de espacio de nombres en la página 75

l Administrador de bloqueo en la página 75

Administrador del sistema

La función de administrador del sistema puede configurar ECS y especificar elalmacenamiento utilizado para el almacén de objetos, la forma en que se replica elalmacén, cómo está configurado el acceso de los grupos de usuarios al almacén deobjetos y qué usuarios tienen permisos en un espacio de nombres asignado. Eladministrador del sistema también puede configurar espacios de nombres y ejecutar laadministración del espacio de nombres o puede asignar un usuario que pertenezca alespacio de nombres como administrador del espacio de nombres.

El administrador del sistema tiene acceso al portal de ECS y las operaciones deadministración del sistema también se pueden ejecutar desde los clientesprogramáticos mediante API de REST de administración de ECS.

Después de la instalación inicial de ECS, el administrador del sistema es un usuariolocal de administración previamente aprovisionada denominado root. El usuario raízpredeterminado se describe en Usuarios de administración predeterminados en lapágina 69.

Dado que los usuarios de administración no se replican en todo el sitio, debe crearse unadministrador del sistema en cada VDC que requiera uno.

Monitor del sistema

La función de monitor del sistema permite que un usuario tenga acceso de solo lecturaal portal de ECS. El monitor del sistema puede ver todas las páginas del portal de ECSy toda la información en las páginas, excepto información detallada de usuarios, comodatos de claves secretas y contraseñas. El monitor del sistema no puede aprovisionarni configurar el sistema ECS. Por ejemplo, el monitor no puede crear ni actualizar poolsde almacenamiento, grupos de replicación, espacios de nombres, depósitos, usuarios,etc., mediante el portal o la API de administración de ECS. Los monitores no puedenmodificar ninguna otra configuración del portal, a excepción de sus propiascontraseñas.



Dado que los usuarios de administración no se replican en todos los sites, se debecrear un monitor del sistema en cada VDC que requiera uno.

Administrador de espacio de nombres

El administrador de espacio de nombres es un usuario de administración que puedeacceder al portal de ECS, asignar usuarios locales como usuarios de objetos delespacio de nombres y crear y administrar depósitos dentro del espacio de nombres.Las operaciones del administrador de espacio de nombres también se pueden ejecutarusando la API de REST de administración de ECS. Un administrador de espacio denombres solo puede ser administrador de un solo espacio de nombres.

Debido a que los proveedores de autenticación y los espacios de nombres se replicanen los sitios (son recursos globales de ECS), un usuario de dominio que sea unadministrador de espacio de nombres podrá iniciar sesión en cualquier sitio y ejecutarla administración desde allí.

Nota

Si un usuario de dominio va a asignarse a la función de administrador de espacio denombres, el usuario debe mapearse en el espacio de nombres.

Los usuarios de administración locales no se replican en los sitios, por lo que un usuariolocal que sea un administrador de espacio de nombres solo podrá iniciar sesión en elVDC en el que se haya creado la cuenta de usuario de administración. Si desea que elmismo nombre de usuario exista en otro VDC, debe crearse el usuario en el otro VDC.Como son cuentas diferentes, los cambios en un usuario con el mismo nombre en unVDC, como cambios de contraseña, no se propagan al usuario con el mismo nombre enel otro VDC.

Administrador de bloqueo

El administrador de bloqueo es el único usuario de administración que puede bloqueary desbloquear nodos mediante el portal de ECS o la API de administración de ECS.Bloquear un nodo es la capacidad de deshabilitar el acceso remoto del protocolo SSHal nodo. El administrador de bloqueo es un usuario local predeterminado denominadoemcsecurity. El usuario emcsecurity se describe en Usuarios de administraciónpredeterminados en la página 69.

Los administradores de bloqueo solo pueden cambiar sus contraseñas y bloquear ydesbloquear nodos. La función del administrador de bloqueo no se puede asignar a otrousuario. Los administradores y los monitores del sistema pueden ver el estado debloqueo de los nodos Para obtener instrucciones sobre el bloqueo y el desbloqueo denodos, consulte Bloquear y desbloquear nodos mediante el portal de ECS en la página173.

Tareas realizadas por función

Las tareas que cada función puede realizar en el portal de ECS o API de REST deadministración de ECS se describen en la siguiente tabla.


Administrador de espacio de nombres 75

Tabla 14 Tareas ejecutadas por la función de usuario de administración de ECS

Tarea Administrador delsistema

Monitor delsistema

Administrador deespacio denombres

Administrador debloqueo

Grupos de usuarios

Crear espacio de nombres(grupos de usuarios)

Sí No No No

Eliminar espacios de nombres Sí No No No

Administración de usuarios (usuarios de objetos y administración, a menos que se indique lo contrario)

Crear usuarios de objetos localesy asignarlos a espacios denombres

Sí (en todos los espacios denombres)

No Sí (en un espacio denombres)

No

Crear usuarios de administraciónlocales y asignarlos a espacios denombres


No No No

Eliminar usuarios de objetoslocales



No

Eliminar usuarios deadministración locales


No No No

Establecer el alcance de usuario(global o espacio de nombres)para todos los usuarios deobjetos

Sí No No No

Agregar un proveedor deautenticación de AD, LDAP oKeystone


No No No

Eliminar un proveedor deautenticación de AD, LDAP oKeystone


No No No

Agregar usuarios de dominios deAD y LDAP o grupos de AD en unespacio de nombres



No

Crear un grupo de AD (no seadmiten grupos de LDAP yKeystone)


No No No

Eliminar usuarios de dominio ogrupos de AD


No No No

Administración de funciones

Asignar funciones deadministración a usuarios deadministración locales y dedominios y grupos de AD


No No No



Tabla 14 Tareas ejecutadas por la función de usuario de administración de ECS (continuación)


Monitor delsistema



Revocar funciones de usuarioslocales y de dominio y grupos deAD


No No No

Configuración del almacenamiento

Crear y modificar pools dealmacenamiento

Sí (en el VDC donde se creóel administrador delsistema)

No No No

Crear, modificar y eliminar VDC Sí (en el VDC donde se creóel administrador delsistema)

No No No

Crear y modificar grupos dereplicación

Sí (en el VDC donde se creóel administrador delsistema)

No No No

Crear, modificar y eliminardepósitos



No

Permisos de ACL del depósitopara un usuario

Sí (depósitos en todos losespacios de nombres)

No Sí (depósitos en unespacio de nombres)

No

Crear, modificar y eliminarexportaciones de NFS



No

Crear, modificar y eliminar elmapeo de usuarios y grupos aarchivos y objetos en depósitos



No

Agregar, modificar y eliminar ladirección URL base para utilizarel almacenamiento de objetos deECS para aplicaciones deAmazon S3


No No No

Monitoreo e informes

Obtener información de mediciónpara cada espacio de nombres ydepósito


Sí (en todos losespacios denombres)

Sí (en un espacio denombres)

No

Obtener información de auditoría(lista de todas las actividades deusuarios mediante el portal deECS y la API de administración deECS)



No No

Ver alertas y realizar acciones dealerta (como la confirmación o laasignación de alertas)



No No

Configurar alertas Sí (en todos los espacios denombres)

No No No


Tareas realizadas por función 77



Monitor delsistema



Monitorear la utilización de lacapacidad de pools dealmacenamiento, nodos, discos ytodo el VDC



No No

Monitorear el estado y lautilización del ambiente deinfraestructura (nodos, discos,switches, ancho de banda deNIC, CPU y utilización dememoria)



No No

Monitorear solicitudes y elrendimiento de red para VDC ynodos



No No

Monitorear el estado decodificación de eliminación dedatos para cada pool dealmacenamiento



No No

Monitorear el estado derecuperación de los pools dealmacenamiento después de unainterrupción o falla (proceso dereconstrucción de datos)



No No

Monitorear métricas de uso dedisco en el nivel de nodoindividual o en el VDC



No No

Monitorear las métricas dereplicación geográfica, lo queincluye tráfico de red, datospendientes de replicación yaplicación de XOR, conmutaciónpor error y estado deprocesamiento de bootstrap



No No

Monitorear la información enVDC alojados en la nube y tráficode replicación en la nube



No No

Configuración de eventos, licencias, ESRS y seguridad

Ver la información de licencias ysuscripción para todos loscomponentes

Sí Sí No No

Adquirir y aplicar nuevas licencias Sí No No No

Agregar, modificar y eliminar elservidor EMC Secure RemoteServices (ESRS)

Sí No No No





Monitor delsistema



Cambiar contraseña Sí Sí Sí Sí

Bloquear nodos para evitar elacceso remoto mediante elprotocolo SSH

No No No Sí

Agregar o eliminar un destinatariode SNMP trap para reenviareventos de ECS

Sí No No No

Agregar o eliminar un servidor desyslog para almacenar mensajesde registro de ECS de formaremota

Sí No No No

Trabajo con usuarios en el portal de ECSPuede usar la página User Management disponible en Manage > Users para crearusuarios locales asignados como usuarios de objetos para un espacio de nombres.También puede crear usuarios de administración, que pueden ser nuevos usuarioslocales a los cuales les asigna funciones de administración o usuarios de dominio a loscuales les asigna funciones de administración.

La página User Management tiene dos pestañas: la pestaña Object Users y lapestaña Management Users.

Pestaña Object UsersPuede usar la pestaña Object Users para ver los detalles de usuarios de objetos, paraeditar usuarios de objetos y para eliminar usuarios de objetos. Entre los usuarios deobjetos enumerados en esta página, se incluyen los siguientes:

l Los usuarios de objetos locales creados por un administrador del sistema o espaciode nombres en el portal de ECS.

l Los usuarios de dominio que se han convertido en usuarios de objetos mediante laobtención de una clave secreta con un cliente que se comunica con la API REST deadministración de ECS.

Un administrador del sistema ve los usuarios de objetos de todos los espacios denombres. Un administrador de espacio de nombres ve solamente los usuarios deobjetos en su espacio de nombres.


Trabajo con usuarios en el portal de ECS 79

Figura 15 Página User Management

Tabla 15 Propiedades de usuario de objetos

Atributo Descripción

Name El nombre del usuario de objetos.

Namespace El espacio de nombres al que está asignado el usuario de objetos.

Actions Las acciones que pueden realizarse para el usuario de objetos.

l Edit: Permite cambiar el nombre del usuario de objetos, el espacio de nombres al cual seasigna al usuario o las contraseñas de acceso de objetos de S3, Swift o CAS para elusuario.

l Delete: Permite eliminar el usuario de objetos.

l Botón New Object User: Permite agregar un nuevo usuario de objetos.

Pestaña Management UsersPuede usar la pestaña Management Users para ver los detalles de usuarios deadministración locales y de dominio, para editar usuarios de administración y paraeliminar usuarios de administración. Esta pestaña solo está visible para losadministradores del sistema.



Tabla 16 Propiedades de usuarios de administración

Columna Descripción

Name El nombre del usuario de administración.

Actions Las acciones que pueden realizarse para el usuario de administración.

l Edit: Para un usuario de administración local: Permite cambiar el nombre, la contraseña yla asignación de funciones de administrador del sistema o monitor del sistema del usuario.Para un usuario de administración de dominio: Permite cambiar el nombre de grupo de ADo el nombre de usuario de AD o LDAP, y la asignación de funciones de administrador delsistema o monitor del sistema.

l Delete: Permite eliminar el usuario de administración.

l Botón New Management User: Permite agregar un nuevo usuario de administración alque se puede asignar la función de administrador del sistema o la función de monitor delsistema.

Agregar un usuario de objetosPuede crear usuarios de objetos y configurarlos para que utilicen los protocolos deacceso de objetos compatibles. Puede editar una configuración de usuario de objetosagregando o eliminando el acceso a un protocolo de objetos, o creando una nuevaclave secreta para el usuario de objetos.

Antes de comenzar

l Esta operación requiere la función de administrador del sistema o administrador deespacio de nombres en ECS.

l Un administrador del sistema puede asignar nuevos usuarios de objetos encualquier espacio de nombres.

l Un administrador de espacio de nombres puede asignar nuevos usuarios de objetosen el espacio de nombres en el que son el administrador.

l Si crea un usuario de objetos que accederá al almacén de objetos de ECS medianteel protocolo de objetos OpenStack Swift, el usuario de Swift debe pertenecer a ungrupo de OpenStack. Un grupo es un conjunto de usuarios de Swift a los que unadministrador de OpenStack les ha asignado una función. Los usuarios de Swiftque pertenecen al grupo admin pueden realizar todas las operaciones endepósitos Swift (contenedores) en el espacio de nombres al que pertenecen. Nodebe agregar usuarios de Swift comunes al grupo admin. Para los usuarios de


Agregar un usuario de objetos 81

Swift que pertenecen a cualquier grupo que no sea el grupo admin, la autorizacióndepende de los permisos que se establecen en el depósito Swift. Puede asignarpermisos en el depósito desde la interfaz del usuario del tablero de OpenStack o enel portal de ECS mediante la ACL del grupo personalizado para el depósito. Paraobtener más información, consulte Configurar las ACL del depósito de un grupopersonalizado en la página 102.

Procedimiento

1. En el portal de ECS, seleccione Manage > Users.

2. En la página User Management, haga clic en New Object User.

3. En la subpágina New Object User, en el campo Name, escriba un nombre parael usuario de objetos local.

Puede escribir nombres de estilo de dominio que incluyan “@” (por ejemplo,[email protected]). Es posible que desee hacer esto para que los nombressean únicos y coherentes con los nombres de AD. Sin embargo, tenga en cuentaque los usuarios de objetos locales se autentican mediante una clave secretaasignada al nombre de usuario, no mediante AD o LDAP.

Nota

Los nombres de usuario deben incluir letras mayúsculas, letras minúsculas,números y cualquiera de los siguientes caracteres: ! # $ & ' ( ) * + , - . / : ; = ?@ _ ~

4. En el campo Namespace, seleccione el espacio de nombres al que desea asignarel usuario de objetos y, a continuación, complete uno de los siguientes pasos.

l Para agregar el usuario de objetos y volver más tarde para especificarcontraseñas o claves secretas para obtener acceso a los protocolos deobjetos de ECS, haga clic en Save.

l Para especificar las contraseñas o claves secretas para obtener acceso a losprotocolos de objetos de ECS, haga clic en Next to Add Passwords.

5. En la subpágina Update Passwords for User <nombre de usuario>, en el áreaObject Access, escriba o genere una clave de acceso en las interfaces S3,Swift o CAS para cada uno de los protocolos que desea que el usuario utilicepara acceder al almacén de objetos de ECS.

a. Para el acceso de S3, en el cuadro S3, haga clic en Generate & AddPassword.

Se genera la contraseña (clave secreta).

Para ver la contraseña en texto sin formato, seleccione la casilla deverificación Show Password.



Si desea crear una segunda contraseña para reemplazar la primeracontraseña por motivos de seguridad, haga clic en Generate & AddPassword.

Aparecerá el cuadro de diálogo Add S3 Password/Set Expiration onExisting Password. Cuando agrega una segunda contraseña, puedeespecificar por cuánto tiempo desea conservar la primera contraseña. Unavez transcurrido el tiempo especificado, la primera contraseña vencerá.

En el campo Minutes, escriba el número de minutos durante los cuales deseaconservar la primera contraseña antes de que venza. Por ejemplo, si escribió3 minutos, verá lo siguiente en el portal:

Después de 3 minutos, verá que la primera contraseña se muestra comovencida y, a continuación, puede eliminarla.

b. Para el acceso de Swift:


Agregar un usuario de objetos 83

l En el campo Groups, escriba el grupo de OpenStack al que pertenece elusuario.

l En el campo Swift password, escriba una contraseña de OpenStackSwift para el usuario.

l Haga clic en Set Password & Groups.

Si desea que un usuario de S3 pueda acceder a depósitos Swift, debeagregar un grupo y una contraseña de Swift para el usuario. El usuario de S3se autentica mediante el uso de la clave secreta de S3 y la membresía delgrupo Swift permite el acceso a los depósitos Swift.

c. Para el acceso de CAS:

l En el cuadro CAS, escriba la contraseña y haga clic en Set Password, ohaga clic en Generate para generar automáticamente la contraseña yhaga clic en Set Password.

l Haga clic en Generate PEA file para generar un archivo Pool EntryAuthorization (PEA). La salida del archivo se muestra en el cuadro PEAfile y la salida es similar al siguiente ejemplo. El archivo PEA proporcionainformación de autenticación a CAS antes de que CAS otorgue acceso aECS; esta información incluye el nombre de usuario y la seña secreta. Laseña secreta es la contraseña codificada en base64 utilizada paraautenticar la aplicación de ECS.

<pea version="1.0.0"><defaultkey name="s3user4"><credential id="csp1.secret" enc="base64">WlFOOTlTZUFSaUl3Mlg3VnZaQ0k=</credential></defaultkey><key type="cluster" id="93b8729a-3610-33e2-9a38-8206a58f6514" name="s3user4"><credential id="csp1.secret" enc="base64">WlFOOTlTZUFSaUl3Mlg3VnZaQ0k=</credential></key></pea>

l En el campo Default Bucket, seleccione un depósito y haga clic en SetBucket.

l Opcional. Haga clic en Add Attribute y escriba los valores en los camposAttribute y Group.

l Haga clic en Save Metadata.

6. Haga clic en Close.

Las contraseñas o claves secretas se guardan automáticamente.

Agregar un usuario de dominio como un usuario de objetosPuede configurar los usuarios de dominio para que puedan acceder al almacén deobjetos de ECS y generar claves secretas para ellos. Al hacerlo, se agregan a símismos como usuarios de objetos en ECS.

Antes de comenzar

l Los usuarios de dominio de AD o LDAP se tienen que haber agregado a ECSmediante un proveedor de autenticación de AD o LDAP. La adición de unproveedor de autenticación debe ser realizada por un administrador del sistema yse describe en Agregar un proveedor de autenticación de AD o LDAP en la página48.



l Los usuarios del dominio tienen que haber sido agregados a un espacio de nombrespor un administrador del sistema o espacio de nombres como se describe en Agregar usuarios de dominio a un espacio de nombres en la página 85.

Procedimiento

1. Los usuarios del dominio pueden crear claves secretas para ellos mismosmediante el uso de las instrucciones en la Guía de acceso a datos de ECS,disponible en la página de documentación de productos de ECS.

Cuando un usuario de dominio crea su propia clave secreta, se convierte en unusuario de objetos en el sistema ECS.

Agregar usuarios de dominio a un espacio de nombresEn el portal de ECS, puede agregar usuarios de dominio a un espacio de nombres enfunción de los atributos, los grupos y el dominio de AD o LDAP asociados con losusuarios. Los usuarios de dominio deben agregarse (mapearse) a un espacio denombres a fin de ejecutar operaciones de usuario de objetos de ECS.

Antes de comenzar


l Debe existir un proveedor de autenticación en el sistema ECS que proporcionaacceso al dominio que incluye a los usuarios que desea agregar al espacio denombres.

Procedimiento


2. En la página Namespace Management, junto al espacio de nombres, haga clicen Edit.

3. En la página Edit Namespace, haga clic en Domain y escriba el nombre deldominio en el campo Domain.

4. En el campo Groups, escriba los nombres de los grupos que desea utilizar paraagregar usuarios al espacio de nombres.

Los grupos que especifique ya deben existir en el AD.

5. En los campos Attribute y Values, escriba el nombre del atributo y los valorespara el atributo.

Los valores de atributo especificados para los usuarios deben coincidir con losvalores de atributo especificados en AD o LDAP.

Si no desea utilizar atributos para asignar usuarios al espacio de nombres, hagaclic en el botón Attribute con el ícono Trash Can para eliminar los campos deatributos.


Crear un usuario de administración local o asignar un usuario de dominio ogrupo de AD a una función de administración

Puede crear un usuario de administración local y asignar un usuario de administración aun usuario local, un usuario de dominio o un grupo de AD. Los usuarios deadministración pueden ejecutar la administración a nivel del sistema (administraciónVDC) y la administración del espacio de nombres. También puede quitar la asignaciónde funciones de administración.


Agregar usuarios de dominio a un espacio de nombres 85


Antes de comenzar


l De forma predeterminada, el usuario raíz de ECS tiene la función de administradordel sistema y puede ejecutar la asignación inicial de un usuario a la función deadministrador del sistema.

l Para asignar un usuario de dominio o un grupo de AD a una función deadministración, los usuarios de dominio o el grupo de AD se tienen que haberagregado a ECS mediante un proveedor de autenticación. La adición de unproveedor de autenticación debe ser realizada por un administrador del sistema yse describe en Agregar un proveedor de autenticación de AD o LDAP en la página48.

l Para asignar la función de administrador de espacio de nombres a un usuario deadministración, debe crear un usuario de administración mediante el siguienteprocedimiento y ejecutar la asignación de función en la página Edit Namespace enel portal de ECS (consulte Asignar la función de administrador de espacio denombres a un usuario o grupo de AD en la página 87). El usuario no puede iniciarsesión hasta que se le haya asignado la función de administrador de espacio denombres.

Procedimiento

1. En el portal de ECS, seleccione Manage > Users.

2. En la página User Management, haga clic en la pestaña Management Users.

3. Haga clic en New Management User.

4. Haga clic en AD/LDAP User or AD Group o en Local User.

l Para un usuario de dominio, en el campo Username, escriba el nombre delusuario. El nombre de usuario y la contraseña que ECS utiliza para autenticara un usuario se guardan en AD o LDAP, por lo que no es necesario definir unacontraseña.

l Para un grupo de AD, en el campo Group Name, escriba el nombre delgrupo. El nombre de usuario y la contraseña que ECS utiliza para autenticarel grupo de AD se guardan en AD, por lo que no es necesario definir unacontraseña.

l Para un usuario local, en el campo Name, escriba el nombre del usuario y, enel campo Password, escriba la contraseña para el usuario.

Nota

Los nombres de usuario deben incluir letras mayúsculas, letras minúsculas,números y cualquiera de los siguientes caracteres: ! # $ & ' ( ) * + , - . / : ; = ?@ _ ~

5. Para asignar la función de administrador del sistema al usuario o grupo de AD,en el cuadro System Administrator haga clic en Yes.

Si selecciona Yes, pero en una fecha posterior desea eliminar los privilegios deadministrador del sistema del usuario, puede editar esta configuración yseleccionar No.

6. Para asignar la función de supervisor del sistema al usuario o grupo de AD, en elcuadro System Monitor, haga clic en Yes.




Asignar la función de administrador de espacio de nombres a un usuario ogrupo de AD

Puede asignar la función de administrador de espacio de nombres a un usuario deadministración local, un usuario de dominio o un grupo de AD que exista en el sistemaECS.

Antes de comenzar


Procedimiento


2. En la página Namespace Management, junto al espacio de nombres al cualdesea asignar el administrador de espacio de nombres, haga clic en Edit.

3. En la página Edit Namespace:

a. Para un usuario de dominio o un usuario de administración local, en el campoUser Admin, escriba el nombre del usuario al cual desea asignar la función deadministrador de espacio de nombres.

Para agregar más de un administrador de espacio de nombres, separe losnombres con comas.

Solo puede asignarse un usuario como administrador de espacio de nombrespara un solo espacio de nombres.

b. Para un grupo de AD, en el campo Domain Group Admin, escriba el nombredel grupo de AD al cual desea asignar la función de administrador de espaciode nombres.

Cuando al grupo de AD se le asigna la función de administrador de espacio denombres, esta función se asigna a todos los usuarios en el grupo.

Un grupo de AD solo puede ser el administrador de espacio de nombres deun espacio de nombres.



Asignar la función de administrador de espacio de nombres a un usuario o grupo de AD 87

CAPÍTULO 7

Depósitos

l Introducción a los depósitos...............................................................................90l Configuración de depósitos................................................................................ 91l Trabajo con depósitos en el portal de ECS......................................................... 96l Crear una categoría con la API de S3 (con s3curl)............................................108l Convenciones de asignación de nombres de depósitos, objetos y espacios de

nombres............................................................................................................ 112

Depósitos 89

Introducción a los depósitos

Los contenedores se utilizan para controlar el acceso a los objetos y establecer laspropiedades que definen los atributos de todos los objetos que contienen, como losperíodos de retención y las cuotas.

Los principales conceptos relacionados con los depósitos se describen en lossiguientes temas:

l Propiedad de los depósitos

l Acceso a depósitos

l Configuración de depósitos

l Convenciones de denominación de depósitos y claves

En esta sección también se describe cómo crear y editar depósitos, y cómo asignarpermisos de lista de control de acceso (ACL) a los depósitos mediante el portal deECS:

l Crear un depósito.

l Editar un depósito

l Editor de políticas de depósitos

l Configuración de ACL

Además, esta sección explica cómo Crear una categoría con la API de S3 (cons3curl) en la página 108.

En S3, estos contenedores de objetos se denominan depósitos y este término se haadoptado como un término general en ECS. En Atmos, el equivalente de un depósitoes un subgrupo de usuarios. En Swift, el equivalente de un depósito es un contenedor.En CAS, un depósito es un pool de CAS.

En ECS, a los depósitos se les asigna un tipo, que puede ser S3, Swift, Atmos o CAS.Los depósitos S3, Atmos o Swift pueden configurarse para admitir el acceso asistemas de archivos (para NFS y HDFS). Es posible leer y escribir un depósito queestá configurado para acceso a sistemas de archivos mediante su protocolo de objetosy el protocolo NFS o HDFS. También es posible acceder a los depósitos S3 y Swiftmediante el protocolo de cada uno. Acceder a un depósito mediante más de unprotocolo suele denominarse soporte entre cabezales.

Puede crear depósitos para cada protocolo de objetos utilizando su API, por lo generalmediante un cliente compatible con el protocolo adecuado. También puede creardepósitos S3, habilitados para sistemas de archivos (NFS o HDFS) y CAS, mediante elportal de ECS y la API de administración de ECS.

Propiedad de los depósitos

Un depósito se asigna a un espacio de nombres, y los usuarios de objetos también seasignan a un espacio de nombres. Un usuario de objetos puede crear depósitos solo enel espacio de nombres en el cual el usuario de objetos está asignado. Un administradordel sistema o espacio de nombres de ECS puede asignar al usuario de objetos como elpropietario de un depósito o un beneficiario en una ACL de depósito, incluso si elusuario no pertenece al mismo espacio de nombres que el depósito, de modo que losdepósitos puedan compartirse entre usuarios de diferentes espacios de nombres. Porejemplo, en una organización donde un espacio de nombres es un departamento, undepósito puede compartirse entre usuarios de diferentes departamentos.

Depósitos


Acceso a depósitosEl acceso a un depósito varía según el grupo de replicación al que está asociado eldepósito.

Es posible acceder a los objetos en un depósito que pertenecen a un grupo dereplicación que abarca varios VDC desde todos los VDC en el grupo de replicación. Sepuede acceder a los objetos en un depósito que pertenece a un grupo de replicaciónque está asociado con un solo VDC únicamente desde ese VDC. No es posible accedera los depósitos, ni enumerarlos, desde otros VDC que no están en el grupo dereplicación. Sin embargo, dado que la identidad de un depósito y sus metadatos, comola ACL, son información de administración global en ECS y este tipo de información sereplica en los pools de almacenamiento del sistema, la existencia del depósito puedeverse desde todos los VDC en la federación.

Para obtener información sobre cómo se puede acceder a objetos en depósitosdurante interrupciones del sitio, consulte Comportamiento de TSO con la propiedad dedepósito ADO habilitada en la página 183.

Configuración de depósitos

Los atributos asociados con un depósito se describen en la siguiente tabla.

Tabla 17 Atributos de los depósitos

Atributo Descripción Se puedeeditar

Name Nombre del depósito Para obtener información sobre los nombres de depósito,consulte Convenciones de asignación de nombres de depósitos, objetos y espaciosde nombres en la página 112.

No

Namespace Espacio de nombres con el que está asociado el depósito. No

Replication Group El grupo de replicación en el que se crea el depósito. No

Bucket Owner Propietario del depósito. Sí

Bucket Tagging Los pares de nombre y valor que se definen para un depósito y permiten que losdepósitos se puedan clasificar.Para obtener más información acerca del etiquetado de depósitos, consulte Etiquetado de depósitos en la página 95.

Sí

Quota El límite de espacio de almacenamiento especificado para el depósito. Puedeespecificar un límite de almacenamiento para el depósito y definir notificaciones ycomportamiento de acceso cuando se alcanza la cuota. La configuración de cuotapara un depósito no puede ser menor de 1 GB. Puede seleccionar una de lassiguientes opciones de comportamiento de cuotas:

Notification Only at <cuota>

Configuración de cuota para la notificación.

Block Access Only at <cuota>

Cuota máxima que, cuando se alcanza, evita el acceso de escritura oactualización al depósito.

Sí

Depósitos

Acceso a depósitos 91

Tabla 17 Atributos de los depósitos (continuación)


Block Access at <cuota> and Send Notification at <% de cuota>

Cuota máxima que, cuando se alcanza, evita el acceso de escritura oactualización al depósito y el porcentaje de la configuración de cuota para lanotificación.

Nota

La aplicación de cuotas varía según el uso informado por la medición de ECS. Lamedición es un proceso en segundo plano diseñado así para no afectar el tráfico enel primer plano y, por lo tanto, el valor medido puede retrasar el uso real. Debido alretraso de la medición, puede haber un retraso en la aplicación de cuotas.

Server-side Encryption Indica si el cifrado del lado del servidor se encuentra habilitado o deshabilitado.El cifrado del lado del servidor, también conocido como cifrado de datos en reposoo D@RE, cifra los datos en línea antes de almacenarlos en unidades o discos deECS. Este cifrado ayuda a evitar que datos confidenciales se puedan obtener desdemedios descartados o robados. Si habilita el cifrado cuando se crea el depósito, estafunción no se podrá deshabilitar posteriormente.

Si el espacio de nombres del depósito está cifrado, todos los depósitos estáncifrados. Si el espacio de nombres no está cifrado, puede seleccionar el cifrado dedepósitos individuales.

Para obtener una descripción completa de la función, consulte Guía de seguridad deECS, disponible en la página de documentación de productos de ECS.

No

Sistema de archivos Indica si el depósito se puede utilizar como un sistema de archivos (exportación deNFS o HDFS).Para simplificar el acceso al sistema de archivos, se pueden definir un grupopredeterminado y sus permisos predeterminados correspondientes. Para obtenermás información, consulte Grupo predeterminado en la página 93.

Nota

Los depósitos habilitados para el sistema de archivos solo admiten el delimitador /al enumerar objetos.

No

CAS Indica si el depósito está habilitado o deshabilitado para datos de CAS. No

Metadata Search Indica la creación de índices de búsqueda de metadatos para el depósito según losvalores clave especificados.Si esta opción está habilitada, se pueden definir las claves de metadatos que seutilizan como base para la indexación de objetos en el depósito. Estas claves sedeben especificar al crear el depósito.

Una vez que se crea el depósito, la búsqueda se puede deshabilitar por completo,pero no se pueden modificar las claves de índice configuradas.

La manera en que se define el atributo se describe en Claves del índice demetadatos en la página 94.

No

Depósitos



Tabla 17 Atributos de los depósitos (continuación)


Nota

Desde la versión 3.1 de ECS, los metadatos utilizados para la indexación no estáncifrados para que la búsqueda de metadatos se pueda utilizar en un depósitocuando se habilita el cifrado del lado del servidor (D@RE).

Access During Outage El comportamiento predeterminado cuando se accede a datos en el depósitodurante una interrupción temporal del sitio en una configuración geofederada.

Cuando esta marca se establezca en Enabled, si se produce una interrupcióntemporal del sitio y no puede obtener acceso a un depósito en el sitio fallido dondese creó (sitio propietario), podrá acceder a una copia del depósito en otro sitio.Tenga en cuenta que los objetos a los que accede en este depósito en el espacio denombres pueden haberse actualizado en el sitio fallido, pero es posible que loscambios no se hayan propagado al sitio desde el que accede al objeto.

Si la marca se configura en Disabled, no se puede acceder a los datos incluidos en lazona con la interrupción temporal desde otras zonas y no se pueden realizarlecturas de objetos de datos que tienen su centro en el sitio fallido.

Para obtener más información, consulte Comportamiento de TSO con la propiedadde depósito ADO habilitada en la página 183.

Sí

Read-Only Access DuringOutage

Especifica si un depósito que está habilitado para Access During Outage tieneacceso de solo lectura o de lectura/escritura. Si habilita Read-Only Access DuringOutage, el depósito solo es accesible en el modo de solo lectura durante lainterrupción.

No

Bucket Retention El período de retención de un depósito.El vencimiento de un período de retención de un objeto dentro de un depósito secalcula cuando se realiza una solicitud de modificación de un objeto, y se basa en elvalor establecido en el depósito y en los objetos mismos.

El período de retención se puede cambiar durante la vida útil del depósito.

Puede encontrar más información acerca de la retención y aplicar períodos deretención y políticas en Períodos y políticas de retención en la página 58.

Sí

Grupo predeterminadoSi habilita un depósito para acceso al sistema de archivos, puede asignar un grupopredeterminado para el depósito. El grupo predeterminado es un grupo de UNIX cuyosmiembros tienen permisos en el depósito cuando se accede a él como un sistema dearchivos. Sin esta asignación, únicamente el propietario del depósito puede acceder alsistema de archivos.

También puede especificar permisos de UNIX que se aplican a los archivos ydirectorios creados mediante protocolos de objetos para que estén accesibles cuandose accede al depósito como un sistema de archivos.

La siguiente captura de pantalla muestra el cuadro de diálogo File System Enabled quehabilita la configuración del grupo predeterminado y permisos de archivos ydirectorios.

Depósitos

Grupo predeterminado 93

Claves del índice de metadatosCuando se habilita Metadata Search para un depósito, los objetos en el depósito sepueden indexar en función de sus campos de metadatos. Los clientes de objetos S3pueden buscar objetos en función de los metadatos indexados con un idioma deconsulta enriquecido.

Cada objeto tiene un conjunto de metadatos del sistema que se asignaautomáticamente, y también puede tener metadatos asignados por el usuario. Losmetadatos del usuario y del sistema se pueden indexar y utilizar como base para lasbúsquedas de metadatos.

El cuadro de diálogo Add Metadata Search Key permite que la clave de búsqueda demetadatos se pueda seleccionar como System o User. Cuando se selecciona la opciónMetadata Key Type of System, los metadatos que se asignan automáticamente a losobjetos en un depósito se enumeran para selección en el menú de nombres de clave.En la siguiente captura de pantalla, se muestra el cuadro de diálogo con el tipo declave del sistema seleccionado.

Depósitos


Cuando se selecciona la opción Metadata Key Type of User, debe especificar elnombre de los metadatos del usuario para el que desea crear un índice. Además, debeespecificar el tipo de datos para que ECS sepa cómo interpretar los valores de losmetadatos proporcionados en las consultas de búsqueda. En la siguiente captura depantalla, se muestra el cuadro de diálogo con el tipo de clave de usuario seleccionado.

Puede obtener más información acerca de la función de búsqueda de metadatos en laGuía de acceso a datos de ECS, disponible en la página de documentación de productosde ECS.

Etiquetado de depósitosPuede asignar etiquetas a un depósito para permitir la clasificación de los datos deobjetos en el depósito. Por ejemplo, puede utilizar etiquetas para asociar un depósitocon un proyecto o centro de costos. Las etiquetas se ofrecen como pares de nombre-valor.

Puede asignar valores y etiquetas de depósito mediante el portal de ECS o con uncliente personalizado mediante la API REST de administración de ECS. Las etiquetasde depósito se incluyen en los informes de datos de medición en el portal de ECS o serecuperan con la API REST de administración de ECS.

La siguiente captura de pantalla muestra el cuadro de diálogo Bucket Tagging.

Depósitos

Etiquetado de depósitos 95



Trabajo con depósitos en el portal de ECS

Puede usar la página Bucket Management disponible en Manage > Buckets para verlos detalles de los depósitos existentes en un espacio de nombres seleccionado, paramodificar la lista de control de acceso (ACL) de depósitos, para modificar la política dedepósitos y para eliminar depósitos.

Figura 16 Página Bucket Management

Crear un depósito.Puede crear y configurar los depósitos S3, S3+FS o CAS en el portal de ECS.

Antes de comenzar


Depósitos


l Un administrador del sistema puede crear depósitos en cualquier espacio denombres.

l Un administrador de espacio de nombres puede crear depósitos en el espacio denombres en el cual es el administrador.

Para obtener instrucciones específicas de CAS sobre cómo configurar un depósito deCAS para un usuario de objetos de CAS, consulte Guía de acceso a datos de ECS,disponible en la página de documentación de productos de ECS.

Procedimiento

1. En el portal de ECS, seleccione Manage > Buckets.

2. En la página ManageBuckets, seleccione New Bucket.

3. En la páginaNew Bucket, en el campo Name, escriba un nombre para eldepósito.

4. En el campo Namespace, seleccione el espacio de nombres al que desea quepertenezcan el depósito y sus objetos.

5. En el campo Replication Group, seleccione el grupo de replicación al cual deseaasociar el depósito.

6. En el campo Bucket Owner, escriba el propietario del depósito.

El propietario del depósito debe ser un usuario de objetos de ECS del espacio denombres. Si no especifica un usuario, se lo asignará como propietario, pero nopodrá acceder al depósito, a menos que su nombre de usuario esté asignadotambién como un usuario de objetos.

Al usuario que especifique se le dará control total.

7. En el campo Bucket Tagging, haga clic en Add para agregar etiquetas y escribapares de nombre y valor.

Para obtener más información, consulte Etiquetado de depósitos en la página95.

8. En el campo Quota, haga clic en Enabled para especificar una cuota para eldepósito y seleccione la configuración de cuota que necesite.

Las configuraciones que puede especificar se describen en Configuración dedepósitos en la página 91.

9. En el campo Server-side Encryption, haga clic en Enabled para especificarque el depósito esté cifrado.

10. En el campo File System, haga clic en Enabled para especificar que el depósitosea compatible con la operación como un sistema de archivos (para acceso NFSo HDFS).

El depósito será un depósito S3 compatible con sistemas de archivos.

Puede establecer un grupo de Unix predeterminado para acceder al depósito ypara los objetos creados en el depósito. Se proporcionan más detalles en Grupopredeterminado en la página 93.

11. En el campo CAS, haga clic en Enabled para establecer el depósito como undepósito CAS.

De manera predeterminada, CAS está deshabilitado y el depósito se marcacomo un depósito S3.

12. En el campo Metadata Search, haga clic en Enabled para especificar que eldepósito sea compatible con las búsquedas basadas en metadatos de objetos.

Depósitos

Crear un depósito. 97


Si habilita Metadata Search, puede agregar claves de metadatos del sistema ydel usuario que se utilizan para crear los índices de objeto. Para obtener másinformación acerca de cómo ingresar claves de búsqueda de metadatos,consulte Claves del índice de metadatos en la página 94.

Nota

Si el depósito es compatible con CAS, la búsqueda de metadatos se habilitaautomáticamente y se crea automáticamente una clave de CreateTime. Esposible buscar metadatos mediante la funcionalidad de búsqueda de metadatosde S3 o mediante la API de Centera.

13. En el campo Access During Outage, haga clic en Enabled si desea que eldepósito se mantenga disponible durante una interrupción temporal del sitio.Para obtener más información acerca de esta opción, consulte Comportamientode TSO con la propiedad de depósito ADO habilitada en la página 183

14. Si habilitó Access During Outage en el depósito, puede habilitar Read-OnlyAccess During Outage si desea restringir las operaciones de creación,actualización o eliminación de operaciones en los objetos en el depósito duranteuna interrupción temporal del sitio. Tenga en cuenta que, una vez habilitada laopción Read-Only Access During Outage en el depósito, no puede cambiarladespués de que se crea el depósito. Para obtener más información acerca deesta opción, consulte Comportamiento de TSO con la propiedad de depósitoADO habilitada en la página 183

15. En el campo Bucket Retention Period, escriba un período de tiempo paraestablecer un período de retención de depósito para el depósito o haga clic enInfinite si desea que los objetos del depósito se conserven para siempre.

Para obtener más información sobre los períodos de retención, consulte Períodos y políticas de retención en la página 58.

16. Haga clic en Save para crear el depósito.

Resultados

Para asignar permisos en el depósito para usuarios o grupos, consulte las tareas másadelante en esta sección.

Editar un depósitoPuede editar algunas opciones de configuración del depósito después de crearlo ydespués de que se hayan escrito objetos en él.

Antes de comenzar


l Un administrador del sistema puede editar la configuración de un depósito quepertenezca a cualquier espacio de nombres.

l Un administrador de espacio de nombres puede editar la configuración de undepósito en el espacio de nombres en el cual es el administrador.

Para editar un depósito, debe tener una función de administrador de espacio denombres o administrador del sistema.

Es posible editar los siguientes ajustes de depósitos:

l Cuota

Depósitos


l Propietario del depósito

l Etiquetado de depósitos

l Acceso durante una interrupción

l Retención del depósito

Puede cambiar los siguientes ajustes de depósitos:

l Replication Group

l Cifrado del lado del servidor

l File System Enabled

l CAS activado

l Búsqueda de metadatos

Procedimiento


2. En la página Bucket Management, en la tabla Buckets, seleccione la acciónEdit para el depósito en el que desee cambiar la configuración.

3. Edite los ajustes que desea cambiar.

Puede encontrar más información acerca de los ajustes de depósitos en Configuración de depósitos en la página 91.


Configuración de ACLLos privilegios que tiene un usuario al acceder a un depósito se establecen medianteuna lista de control de acceso (ACL). Puede asignar ACL para un usuario, para unconjunto de grupos predefinidos (por ejemplo, todos los usuarios) y para un grupopersonalizado.

Cuando crea un depósito y le asigna un propietario, se crea una ACL que asigna unconjunto predeterminado de permisos para el propietario del depósito; de manerapredeterminada, al propietario se le asigna el control total.

Puede modificar los permisos asignados al propietario o puede agregar nuevospermisos para un usuario si selecciona la operación de edición de ACL para el depósito.

En el portal de ECS, la página Bucket ACLs Management tiene las pestañas UserACLs, Group ACLs y Custom Group ACLs para administrar las ACL asociadas conusuarios individuales y grupos predefinidos, y para permitir que se definan grupos quepueden utilizarse cuando se accede al depósito como un sistema de archivos.

Nota

Para obtener información acerca de las ACL con depósitos de CAS, consulte Guía deacceso a datos de ECS, disponible en la página de documentación de productos deECS.

Referencia de las ACL de depósitos

Los permisos de ACL que se pueden asignar se proporcionan en la tabla siguiente. Lospermisos que se aplican varían según el tipo de depósito.

Depósitos

Configuración de ACL 99



Tabla 18 ACL de depósitos

ACL Permiso

Lectura Permite al usuario enumerar los objetos en el depósito.

ACL de lectura Permite al usuario leer la ACL del depósito.

Escritura Permite al usuario crear o actualizar cualquier objeto en eldepósito.

ACL de escritura Permite al usuario escribir la ACL para el depósito.

Ejecutar Establece el permiso de ejecución cuando se accede como unsistema de archivos. Este permiso no tiene ningún efectocuando se accede al objeto utilizando los protocolos deobjetos de ECS.

Control total Permite al usuario leer, escribir, leer ACL y escribir ACL.

Escritura con privilegios Permite al usuario ejecutar escrituras en un depósito o unobjeto cuando el usuario no tiene permiso de escritura normal.Obligatorio para depósitos de CAS

Eliminar Permite que el usuario elimine depósitos y objetos. Obligatoriopara depósitos de CAS

Ninguno El usuario no tiene privilegios en el depósito.

Permisos de ACL del depósito para un usuarioEl portal de ECS le permite configurar la ACL de depósito para un usuario o para ungrupo predefinido.

Antes de comenzar


l Un administrador del sistema puede editar la configuración de ACL para undepósito que pertenezca a cualquier espacio de nombres.

l Un administrador de espacio de nombres puede editar la configuración de ACL deun depósito en el espacio de nombres en el cual es el administrador.

Procedimiento


2. En la página Bucket Management, en la tabla Buckets, seleccione la acciónEdit ACL para el depósito en el que desee cambiar la configuración.

3. En la página Bucket ACLs Management, haga clic en User ACLs paraestablecer los permisos de ACL para un usuario.

La pestaña User ACLs muestra las ACL que se han aplicado a los usuarios ypermite que las ACL se asignen a un usuario mediante la operación Add.

Depósitos


Figura 17 Pestaña User ACLs en la página Bucket ACLs Management

Nota

Debido a que el portal de ECS es compatible con depósitos S3, S3 con sistemade archivos (HDFS o NFS) y CAS, el rango de permisos que puedenestablecerse no es aplicable a todos los tipos de depósito.

4. Para editar los permisos de un usuario que ya tenga asignados permisos oagregar un usuario al que desee asignar permisos, realice uno de los siguientespasos.

l Para establecer (o eliminar) los permisos de ACL para un usuario que yatenga permisos, seleccione Edit o Remove en la columna Action de la tablade ACL.

l Para agregar un usuario y asignar permisos de ACL, haga clic en Add.

El propietario del depósito tiene asignados los permisos predeterminados.

5. Si agregó una ACL, ingrese el nombre de usuario del usuario al que se aplicaránlos permisos.

6. Especifique los permisos que desee aplicar al usuario.

Se proporciona más información sobre los privilegios de ACL en Referencia delas ACL de depósitos en la página 99.


Establecer los permisos de ACL de depósito para un grupo predefinidoPuede establecer la ACL de un depósito para un grupo predefinido desde el portal deECS.

Antes de comenzar


l Un administrador del sistema puede editar la configuración de ACL de grupo de undepósito que pertenezca a cualquier espacio de nombres.

l Un administrador de espacio de nombres puede editar la configuración de ACL degrupo de un depósito en el espacio de nombres en el cual es el administrador.

Procedimiento


2. En la página Bucket Management, en la tabla Buckets, seleccione la acciónEdit ACL para el depósito en el que desee cambiar la configuración.

Depósitos


3. Haga clic en la pestaña Group ACLs para establecer los permisos de ACL paraun grupo predefinido, como se muestra en la siguiente captura de pantalla.

Los nombres de grupos se describen en la siguiente tabla.

Grupo Descripción

public Todos los usuarios, autenticados o no.

todos los usuarios Todos los usuarios autenticados

other Los usuarios autenticados, pero no elpropietario del depósito.

entrega deregistro

No compatible.

4. Seleccione los privilegios que desee asignar al grupo.


Configurar las ACL del depósito de un grupo personalizadoPuede configurar una ACL de grupo para un depósito en el portal de ECS y puedeconfigurar ACL de depósitos para un grupo de usuarios (ACL de grupo personalizado),para usuarios individuales o una combinación de ambos. Por ejemplo, puede otorgarleacceso completo al depósito a un grupo de usuarios, pero también puede restringir (oincluso denegar) el acceso al depósito a usuarios individuales que sean parte de esegrupo.

Depósitos


Antes de comenzar


l Un administrador del sistema puede editar la configuración de ACL de grupo de undepósito que pertenezca a cualquier espacio de nombres.

l Un administrador de espacio de nombres puede editar la configuración de ACL degrupo de un depósito en el espacio de nombres en el cual es el administrador.

Las ACL del grupo personalizado permiten que los grupos se definan y que lospermisos se asignen al grupo. El caso de uso principal para asignar grupos a undepósito es admitir el acceso al depósito como un sistema de archivos, por ejemplo,cuando el depósito pasa a estar disponible para NFS o HDFS.

Los miembros del grupo de UNIX pueden acceder al depósito cuando se accede a élcomo un sistema de archivos (mediante NFS o HDFS).

Procedimiento


2. En la página Bucket Management, busque el depósito que desea editar en latabla y seleccione la acción Edit ACL.

3. Para configurar la ACL para un grupo personalizado, haga clic en CustomGroup User ACLs.

4. Haga clic en Add.

Se mostrará la página Edit Custom Group, tal como se muestra en la siguientecaptura de pantalla.

Depósitos


5. En la página Edit Custom Group, en el campo Custom Group Name, escriba elnombre para el grupo.

Este nombre puede ser un grupo de UNIX/Linux o un grupo de Active Directory.

6. Configure los permisos para el grupo.

Como mínimo, debe asignar las opciones Read, Write, Execute y Read ACL.


Uso del editor de políticas de depósitosEl portal de ECS proporciona un editor de políticas de depósitos para que puedaasociar una política de depósito a un depósito existente.

Para cada depósito, puede definir ACL para un usuario de objetos. Las políticas dedepósitos proporcionan una flexibilidad mayor que las ACL y ofrecen un control máspreciso sobre los permisos para las operaciones de depósitos y para las operaciones enlos objetos del depósito. Las condiciones de políticas se utilizan para asignar permisospara una variedad de objetos que coinciden con la condición y se utilizan para asignarautomáticamente permisos a objetos cargados recientemente.

Las políticas se definen en formato JSON y la sintaxis que se usa para las políticas esla misma que se utiliza para Amazon AWS. Las operaciones para las cuales se puedenasignar permisos se limitan a las operaciones compatibles con ECS. Para obtener másinformación, consulte Guía de acceso a datos de ECS, disponible en la página dedocumentación de productos de ECS.

El editor de políticas de depósitos tiene una vista de código y una vista de árbol. Lavista de código, que se muestra en la siguiente captura de pantalla, le permite ingresarpolíticas JSON desde cero o pegar políticas existentes en el editor y modificarlas. Porejemplo, si tiene políticas existentes en formato JSON, puede pegarlas en la vista decódigo y modificarlas.

Depósitos




Figura 18 Vista de código del editor de políticas de depósitos

La vista de árbol, que se muestra en la siguiente captura de pantalla, proporciona unmecanismo para navegar por una política y es útil si tiene una gran cantidad dedeclaraciones en una política. Puede expandir y contraer las declaraciones y buscarlas.

Depósitos

Uso del editor de políticas de depósitos 105

Figura 19 Vista de árbol del editor de políticas de depósitos

Escenarios de políticas de depósitos

En general, el propietario del depósito tiene control total sobre un depósito y puedeotorgar permisos a otros usuarios y establecer políticas de depósitos S3 usando uncliente S3. En ECS, también es posible que un administrador del sistema o unadministrador de espacio de nombres establezca políticas de depósito mediante eleditor de políticas de depósitos del portal de ECS.

Puede usar las políticas de depósitos en los siguientes escenarios típicos:

l Otorgar permisos de depósitos a un usuario en la página 106l Otorgar permisos de depósitos a todos los usuarios en la página 107l Asigne permisos a objetos creados automáticamente en la página 107

Otorgar permisos de depósitos a un usuarioSi desea que un usuario que no es el propietario de un depósito tenga permisos en eldepósito, puede especificar el recurso en el cual desea cambiar los permisos,configurar el atributo de entidad de seguridad en el nombre del usuario y especificaruna o más acciones que desee permitir.

El siguiente ejemplo muestra una política que otorga a un usuario denominado user1el permiso de actualizar y leer los objetos en el depósito denominado mybucket.

{ "Version": "2012-10-17", "Id": "S3PolicyId1", "Statement": [ { "Sid": "Grant permission to user1", "Effect": "Allow", "Principal": ["user1"], "Action": [ "s3:PutObject","s3:GetObject" ],

Depósitos


"Resource":[ "mybucket/*" ] } ]}

También puede agregar condiciones. Por ejemplo, si solo desea que el usuario puedaleer y escribir objetos al acceder al depósito desde una dirección IP específica, puedeagregar una condición IpAddress como se muestra en la siguiente política.

{ "Version": "2012-10-17", "Id": "S3PolicyId1", "Statement": [ { "Sid": "Grant permission ", "Effect": "Allow", "Principal": ["user1"], "Action": [ "s3:PutObject","s3:GetObject" ], "Resource":[ "mybucket/*" ] "Condition": {"IpAddress": {"aws:SourceIp": "<Ip address>"} } ]}

Otorgar permisos de depósitos a todos los usuariosSi desea que un usuario que no es el propietario de un depósito tenga permisos en eldepósito, puede especificar el recurso en el cual desea cambiar los permisos,configurar el atributo de entidad de seguridad en anybody (*) y especificar una o másacciones que desee permitir.

El siguiente ejemplo muestra una política que otorga a cualquier usuario el permiso deleer objetos en el depósito denominado mybucket.

{ "Version": "2012-10-17", "Id": "S3PolicyId2", "Statement": [ { "Sid": "statement2", "Effect": "Allow", "Principal": ["*"], "Action": [ "s3:GetObject" ], "Resource":[ "mybucket/*" ] } ]}

Asigne permisos a objetos creados automáticamentePuede usar políticas de depósitos para permitir automáticamente el acceso a datos deobjetos recopilados. En la siguiente política de depósito, user1 y user2 pueden crearrecursos secundarios (es decir, objetos) en el depósito denominado mybucket ypueden configurar ACL de objetos. Con la capacidad de establecer ACL, los usuariospueden establecer permisos para otros usuarios. Si establece la ACL en la mismaoperación, se puede configurar una condición de modo que se deba especificar una

Depósitos

Uso del editor de políticas de depósitos 107

lectura pública de ACL almacenada cuando se cree el objeto. Esto garantiza quecualquier persona pueda leer todos los objetos creados.

{ "Version": "2012-10-17", "Id": "S3PolicyId3", "Statement": [ { "Sid": "statement3", "Effect": "Allow", "Principal": ["user1", "user2"], "Action": [ "s3:PutObject, s3:PutObjectAcl" ], "Resource":[ "mybucket/*" ] "Condition":{"StringEquals":{"s3:x-amz-acl":["public-read"]}} } ]}

Crear una política de depósitoPuede crear una política de depósito para un depósito seleccionado mediante el editorde políticas de depósitos en el portal de ECS.

Antes de comenzar

Esta operación requiere la función de administrador del sistema o administrador deespacio de nombres (para el espacio de nombres al que pertenece el depósito).

También puede crear una política de depósito en un editor de texto e implementarlautilizando la API REST de administración de ECS o la API de S3.

Procedimiento


2. En la lista desplegable Namespace, seleccione el espacio de nombres al quepertenece el depósito.

3. En la columna Actions para el depósito, seleccione Edit Policy en el menúdesplegable.

4. Siempre que su política sea válida, puede cambiar a la vista de árbol del editorde políticas de depósitos. La vista de árbol facilita la visualización de su política,así como la expansión y la contracción de declaraciones.

5. En el editor de políticas de depósitos, escriba la política o copie y pegue unapolítica que haya creado anteriormente.

Se proporcionan algunos ejemplos en Escenarios de políticas de depósitos en lapágina 106 y se proporcionan detalles completos de las operaciones y lascondiciones compatibles en Guía de acceso a datos de ECS, disponible en la página de documentación de productos de ECS.

6. Save.

Se valida la política y, si es válida, el editor de políticas de depósitos se cierra yel portal muestra la página Bucket Management. Si la política no es válida, elmensaje de error proporciona información sobre el motivo por el cual la políticano es válida.

Crear una categoría con la API de S3 (con s3curl)Puede usar la API de S3 para crear un depósito en un grupo de replicación. Dado queECS usa encabezados personalizados (x-emc), se debe construir la cadena que se

Depósitos



firmará para que pueda incluir estos encabezados. En este procedimiento, se usa laherramienta s3curl; existen varios clientes programáticos que también puede usar, porejemplo, el cliente Java de S3.

Antes de comenzar

l Para crear un depósito, ECS debe incluir al menos un grupo de replicaciónconfigurado.

l Asegúrese de que Pearl esté instalado en la máquina Linux en la que se ejecutarás3curl.

l Asegúrese de que la herramienta curl y la herramienta s3curl estén instaladas. Laherramienta s3curl actúa como un contenedor en torno a curl.

l Para usar s3curl con encabezados de x-emc, se deben realizar modificacionesmenores en el script s3curl. Puede obtener la versión modificada y específica deECS de s3curl en EMCECS Git Repository.

l Asegúrese de tener una clave secreta para el usuario que creará el depósito. Paraobtener más información, consulte Guía de acceso a datos de ECS, disponible en la página de documentación de productos de ECS.

Los encabezados de EMC que pueden utilizarse con depósitos se describen en Encabezados HTTP de depósitos en la página 111.

Procedimiento

1. Obtenga la identidad del grupo de replicación en donde desea crear el depósitomediante la ejecución del siguiente comando.

GET https://<ECS IP Address>:4443/vdc/data-service/vpools

La respuesta proporciona el nombre y la identidad de todos los pools virtualesde servicios de datos. En el siguiente ejemplo, el ID esurn:storageos:ReplicationGroupInfo:8fc8e19bedf0-4e81-bee8-79accc867f64:global.

<data_service_vpools><data_service_vpool> <creation_time>1403519186936</creation_time> <id>urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global</id> <inactive>false</inactive> <tags/> <description>IsilonVPool1</description> <name>IsilonVPool1</name> <varrayMappings> <name>urn:storageos:VirtualDataCenter:1de0bbc2-907c-4ede-b133-f5331e03e6fa:vdc1</name> <value>urn:storageos:VirtualArray:793757ab-ad51-4038-b80a-682e124eb25e:vdc1</value> </varrayMappings></data_service_vpool></data_service_vpools>

2. Configure s3curl al crear un archivo .s3curl donde escribirá las credencialesdel usuario.

El archivo .s3curl debe tener permisos 0600 (lectura/escritura-/---/---)cuando se ejecute s3curl.pl.

Depósitos

Crear una categoría con la API de S3 (con s3curl) 109

https://github.com/EMCECS/s3curl


En el siguiente ejemplo, el perfil my_profile hace referencia a la informaciónde identificación para la cuenta [email protected], y root_profile hacereferencia a las credenciales de la cuenta raíz.

%awsSecretAccessKeys = ( my_profile => { id => '[email protected]', key => 'sZRCTZyk93IWukHEGQ3evPJEvPUq4ASL8Nre0awN' }, root_profile => { id => 'root', key => 'sZRCTZyk93IWukHEGQ3evPJEvPUq4ASL8Nre0awN' },);

3. Agregue el terminal en el que desea utilizar s3curl frente al archivo .s3curl.

El terminal es la dirección de su nodo de datos o el balanceador de carga que seubica en frente de sus nodos de datos.

push @endpoints , ( '203.0.113.10', 'lglw3183.lss.emc.com',);

4. Cree el depósito con s3curl.pl y especifique los siguientes parámetros:

l Perfil de usuario

l Identidad del grupo de replicación donde se creará el depósito (<vpool_id>),que se establece con el encabezado x-emc-dataservice-vpool

l Cualquier encabezado personalizado x-emc

l Nombre de la categoría (<BucketName>).

El siguiente ejemplo muestra un comando completamente especificado.

./s3curl.pl --debug --id=my_profile --acl public-read-write --createBucket -- -H 'x-emc-file-system-access-enabled:true' -H 'x-emc-dataservice-vpool:<vpool_id>' http://<DataNodeIP>:9020/<BucketName>

El ejemplo utiliza el encabezado x-emc-dataservice-vpool para especificarel grupo de replicación en el cual se crea el depósito y el encabezado x-emc-file-system-access-enabled para habilitar que el depósito tenga accesoa sistemas de archivos, por ejemplo, NFS o HDFS.

Nota

El argumento -acl public-read-write es opcional, pero puede utilizarsepara establecer permisos para permitir el acceso al depósito (por ejemplo, sidesea acceder al depósito como NFS desde un ambiente que no está protegidocon Kerberos).

Depósitos


Si se realiza correctamente (con la depuración activada), aparece un mensajesimilar al siguiente:

s3curl: Found the url: host=203.0.113.10; port=9020; uri=/S3B4; query=;s3curl: ordinary endpoint signing cases3curl: StringToSign='PUT\n\n\nThu, 12 Dec 2013 07:58:39 +0000\nx-amz-acl:public-read-write\nx-emc-file-system-access-enabled:true\nx-emc-dataservice-vpool:urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global:\n/S3B4's3curl: exec curl -H Date: Thu, 12 Dec 2013 07:58:39 +0000 -H Authorization: AWS root:AiTcfMDhsi6iSq2rIbHEZon0WNo= -H x-amz-acl: public-read-write -L -H content-type: --data-binary -X PUT -H x-emc-file-system-access-enabled:true -H x-emc-dataservice-vpool:urn:storageos:ObjectStore:e0506a04-340b-4e78-a694-4c389ce14dc8: http://203.0.113.10:9020/S3B4


Puede enumerar las categorías mediante la interfaz de S3, mediante:

./s3curl.pl --debug --id=my_profile http://<DataNodeIP>:9020/

Encabezados HTTP de depósitosExisten varios encabezados que determinan el comportamiento de ECS cuando secrean depósitos mediante las API de objetos.

Se proporcionan los siguientes encabezados x-emc:

Tabla 19 Encabezados de depósitos

Encabezado Descripción

x-emc-dataservice-vpool Determina el grupo de replicación que se utiliza para almacenar los objetosasociados a este depósito. Si no especifica un grupo de replicación mediante elencabezado x-emc-dataservice-vpool, ECS selecciona el grupo de

replicación predeterminado que esté asociado al espacio de nombres.

x-emc-file-system-access-enabled Configura el depósito para el acceso mediante NFS o HDFS. El encabezado nodebe entrar en conflicto con la interfaz que se utiliza. Es decir, una solicitud dedepósito de NFS o HDFS no puede especificar x-emc-file-system-access-enabled=false.

x-emc-namespace Especifica el espacio de nombres que se utiliza para este depósito. Si no seespecifica el espacio de nombres mediante la convención de S3 de la solicitudcon un estilo semejante al de hosts o rutas, se puede especificar mediante elencabezado x-emc-namespace. Si no se especifica el espacio de nombres en

este encabezado, se utiliza el espacio de nombres relacionado con el usuario.

x-emc-retention-period Especifica el período de retención que se aplica a los objetos en un depósito.Cada vez que se realice una solicitud para modificar un objeto en un depósito, elvencimiento del período de retención del objeto se calculará con base en elperíodo de retención asociado con el depósito.

x-emc-is-stale-allowed Especifica si se puede acceder al depósito durante una interrupción temporal deVDC en una configuración federada.

Depósitos

Encabezados HTTP de depósitos 111

Tabla 19 Encabezados de depósitos (continuación)

Encabezado Descripción

x-emc-server-side-encryption-enabled Especifica si los objetos escritos en un depósito están cifrados.

x-emc-metadata-search Especifica uno o más valores de metadatos del usuario o del sistema que seutilizan para crear los índices de objetos para el depósito. Los índices se puedenutilizar para ejecutar búsquedas de objetos que se filtran según los metadatosindexados.

Convenciones de asignación de nombres de depósitos,objetos y espacios de nombres

Los nombres de depósitos y objetos (también denominados claves) deben ajustarse alas especificaciones que se presentan aquí.

l Asignación de nombres de objetos y depósitos S3 en ECS en la página 112

l Asignación de nombres de objetos y contenedores OpenStack Swift en ECS en lapágina 113

l Depósito Atmos y denominación de objetos en ECS en la página 113

l Asignación de nombres de objetos y pools de CAS en la página 114

Nota

Para utilizar un depósito para HDFS, no debe utilizar guiones bajos en el nombre deldepósito, ya que no son compatibles con la clase URI Java. Por ejemplo, viprfs://my_bucket.ns.site/ es un URI no válido y Hadoop no lo comprenderá.

Nombre de espacio de nombresLas siguientes reglas se aplican a la denominación de espacios de nombres de ECS:

l No puede ser nulo o una cadena vacía

l El rango de longitud es 1..255 (Unicode)

l Los caracteres válidos se definen en la expresión regular /[a-zA-Z0-9-_]+/. Esdecir, caracteres alfanuméricos y los caracteres especiales de guion (-) y guionbajo (_).

Asignación de nombres de objetos y depósitos S3 en ECSLos nombres de objetos y depósitos deben cumplir con la especificación de asignaciónde nombres de ECS cuando se usa la API de objetos S3 de ECS.

Nombre de depósitoLas siguientes reglas se aplican a la denominación de depósitos S3 en ECS:

l Los nombres deben tener entre uno y 255 caracteres de longitud. (S3 requierenombres de depósito con una longitud de 1 a 255 caracteres)

l Pueden incluir caracteres de punto (.), guion (-) y guion bajo (_), además decaracteres alfanuméricos ([a-zA-Z0-9]).

l Pueden comenzar con un guion (-) o con un carácter alfanumérico.

l No pueden comenzar con un punto (.).

Depósitos


l No pueden contener un doble punto (..).

l No pueden terminar con un punto (.).

l No deben tener el formato de direcciones IPv4.

Puede comparar esto con la restricción de asignación de nombres de la especificaciónS3: http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html.

Nombre de objetoLas siguientes reglas se aplican a la asignación de nombre de objetos S3 en ECS:



l No hay validación de caracteres.

Asignación de nombres de objetos y contenedores OpenStack Swift en ECSLos nombres de objetos y contenedores deben cumplir con la especificación deasignación de nombres de ECS cuando se usa la API de objetos de OpenStack Swift deECS.

Nombre del contenedorLas siguientes reglas se aplican a la denominación de contenedores Swift:



l Pueden incluir caracteres de punto (.), guion (-) y guion bajo (_), además decaracteres alfanuméricos ([a-zA-Z0-9]).

Nombre de objetoLas siguientes reglas se aplican a la denominación de objetos Swift:



l No hay validación de caracteres.

Depósito Atmos y denominación de objetos en ECSLos nombres de objetos y subgrupos deben cumplir con la especificación de asignaciónde nombres cuando se usa la API de objetos Atmos de ECS.

Subgrupo de usuarios (depósito)El servidor crea el subgrupo, de modo que el cliente no necesita saber el esquema deasignación de nombres.

Nombre de objetoLas siguientes reglas se aplican a la denominación de objetos Atmos:


l El rango de longitud es 1..255 (caracteres Unicode)

l No hay validación de caracteres

l El nombre debe ser UTF-8 con codificación porcentual.

Depósitos

Asignación de nombres de objetos y contenedores OpenStack Swift en ECS 113

http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html

Asignación de nombres de objetos y pools de CASLos nombres de pools y objetos de CAS (clips en la terminología de CAS) debencumplir con la especificación de asignación de nombres de ECS cuando se usa la APIde CAS.

Denominación de pool de CASLas siguientes reglas se aplican a la denominación de pools de CAS en ECS:

l Puede contener un máximo de 255 caracteres

l No puede contener ' " / & ? * < > <tabulador> <nueva_línea> o <espacio>

Denominación de clipLa API de CAS no es compatible con claves definidas por el usuario. Cuando unaaplicación que utiliza la API de CAS crea un clip, abre un pool; crea un nuevo clip; yagrega etiquetas, atributos y flujos, entre otras cosas. Después de que se completa unclip, se escribe en un dispositivo.

El motor CAS devuelve un identificador C-Clip correspondiente, y se puede hacerreferencia a este con <nombre de pool>/<Identificador C-Clip>.

Depósitos


CAPÍTULO 8

Acceso a archivos

l Introducción al acceso a archivos...................................................................... 116l Soporte del Portal de ECS para la configuración de NFS...................................117l Tareas de configuración de ECS NFS................................................................119l Mejores prácticas cuando se utiliza NFS de ECS.............................................. 134l Permisos para el acceso multiprotocolo (crosshead)........................................ 134l Resumen de la API de archivos......................................................................... 137

Acceso a archivos 115

Introducción al acceso a archivos

Los principales conceptos relacionados con el acceso a archivos se describen en lossiguientes temas:

l Acceso multiprotocolo a archivos y directorios

l Soporte del Portal de ECS para la configuración de NFS

l Mejores prácticas cuando se utiliza NFS de ECS

l Permisos para el acceso multiprotocolo (crosshead)

l Resumen de la API de archivos

Esta sección también describe estas tareas de configuración de NFS:

l Creación de un depósito para NFS mediante el portal de ECS

l Agregar una exportación de NFS mediante el portal de ECS

l Agregar un mapeo de grupos o usuarios mediante el portal de ECS

l Configuración de la seguridad de NFS con Kerberos

l Ejemplo de montaje de una exportación de NFS

ECS le permite configurar depósitos de objetos para permitir el acceso como sistemasde archivos NFS mediante NFSv3.

Para permitir que los usuarios de Unix accedan al sistema de archivos, ECSproporciona un mecanismo de mapeo de usuarios de objetos de ECS a los usuarios deUnix. Un depósito de ECS siempre tiene un propietario, y mapear al propietario deldepósito a un ID de Unix le da permisos en el sistema de archivos a ese usuario deUnix. Además, ECS activa la asignación de un grupo personalizado predeterminado aldepósito de modo que los miembros de un grupo de Unix asignado al grupopersonalizado predeterminado de ECS puedan acceder al depósito.

ECS es compatible con el acceso multiprotocolo, de modo que también se puedeacceder a los archivos escritos con NFS mediante los protocolos de objetos AmazonSimple Storage Service (Amazon S3), OpenStack Swift y EMC Atmos. De manerasimilar, los objetos escritos mediante los protocolos de objetos S3 y OpenStack Swiftpueden estar disponibles a través de NFS. Para Atmos, los objetos creados mediantela interfaz del espacio de nombres se pueden enumerar mediante NFS. Sin embargo,esto no es posible con los objetos creados mediante un ID de objeto. Los usuarios y losmiembros del grupo de Unix pueden acceder a los objetos y a los directorios creadosmediante protocolos de objetos mediante el mapeo de los usuarios y de los grupos deobjetos.

ECS NFS proporciona bloqueo de asesoría y es compatible con los siguientesbloqueos:

l Bloqueos de varios sitios

l Bloqueos exclusivos y compartidos

ECS NFS es compatible con la seguridad de Kerberos.

Acceso multiprotocolo a archivos y directoriosECS es compatible con la escritura de objetos mediante el protocolo de S3 y con elacceso a ellos como archivos mediante NFS. De manera inversa, es compatible con laescritura de archivos mediante NFS y con el acceso a ellos como objetos mediante el

Acceso a archivos


protocolo de S3. Debe comprender cómo se administran los directorios cuando seutiliza el acceso multiprotocolo.

El protocolo de S3 no realiza aprovisionamiento para la creación de carpetas odirectorios.

Para habilitar la operación de multiprotocolo, el soporte de ECS para el protocolo deS3 hace oficial el uso de / y crea objetos de directorio para todas las rutas intermediasen un nombre de objeto. Un objeto llamado /a/b/c.txt dará como resultado lacreación de un objeto de archivos llamado c.txt y objetos de directorio para a y b.Estos objetos de directorio no están expuestos a los usuarios mediante el protocolo deS3 y solo se mantienen a fin de proporcionar acceso multiprotocolo y compatibilidadcon las API basadas en el sistema de archivos. Esto significa que, cuando se visualizael depósito como un sistema de archivos NFS o HDFS, ECS puede mostrar archivosdentro de una estructura de directorio.

Limitaciones

l Puede surgir un problema en el que se cree un objeto de directorio y un objeto dearchivo con el mismo nombre. Esto puede ocurrir de las siguientes maneras:

n Un archivo path1/path2 se crea a partir de NFS y, luego, un objeto path1/path2/path3 se crea a partir de S3. Dado que S3 permite la creación deobjetos que tengan otro nombre de objeto como prefijo, esta es una operaciónválida y es compatible. Existirán un archivo y un directorio denominadospath2.

n Si se crea un directorio path1/path2 a partir de NFS, se crea un objetopath1/path2 a partir de S3. Esta operación es una operación válida de S3porque el directorio path1/path2 no es visible mediante la API de S3.Existirán un archivo y un directorio denominados path2.

Para resolver este problema, las solicitudes de S3 siempre devuelven el archivo ylas solicitudes de NFS siempre devuelven el directorio. Sin embargo, esto significaque, en el primer caso, el objeto que S3 creó oculta el archivo que NFS creó.

l NFS no es compatible con nombres de archivo con / al final de ellos, pero elprotocolo de S3 sí los admite. NFS no muestra estos archivos.

Soporte del Portal de ECS para la configuración de NFSPuede usar la página File disponible en Manage > File para crear exportaciones NFS ymapear grupos y usuarios de ECS para que puedan acceder a la exportación NFS.

La página File tiene una pestaña Exports y una pestaña User/Group Mapping. Deforma predeterminada, se muestra la pestaña Exports. También puede configurarexportaciones NFS y establecer mapeos de usuarios mediante la CLI y la API REST deadministración de ECS.

Las pestañas Exports y User/Group Mapping se describen en los siguientes temas:

l Trabajo con exportaciones en el portal de ECS en la página 117

l Trabajo con mapeos de usuario o grupo en el portal de ECS en la página 118

Trabajo con exportaciones en el portal de ECSLa pestaña Exports muestra las exportaciones de NFS que se han creado y le permitecrear exportaciones de NFS nuevas, así como editar las existentes.

Acceso a archivos

Soporte del Portal de ECS para la configuración de NFS 117

Figura 20 Pestaña Exports en la página File

La pestaña Exports tiene un campo Namespace que le permite seleccionar el espaciode nombres para el cual desea ver las exportaciones definidas en la actualidad. Loscampos siguientes se muestran en la tabla Exports.

Campo Descripción

Namespace El grupo de usuarios/espacio de nombres al que pertenece elalmacenamiento subyacente.

Bucket El depósito que proporciona el almacenamiento subyacente para laexportación de NFS.

Export Path El punto de montaje asociado con la exportación, en el siguienteformato: /<nombre_de_espacio_de_nombres>/<nombre_de_depósito>/<nombre_de_exportación> . El nombre de laexportación solo se especifica si planea exportar un directorio queexiste en el depósito.

Actions Las acciones que pueden realizarse en la exportación de NFS.

l Edit: Permite editar la cuota del depósito y las opciones de hostde exportación.

l Delete: Permite eliminar la exportación de NFS.

Para agregar una nueva exportación de NFS, haga clic en New Export.

Trabajo con mapeos de usuario o grupo en el portal de ECSECS almacena el propietario y el grupo del depósito y de los archivos y directoriosdentro del depósito, como nombre de usuario de objetos de ECS y nombres de grupopersonalizados, respectivamente. Los nombres deben asignarse a los ID de Unix paraque los usuarios de NFS puedan tener acceso con los privilegios correspondientes.

La asignación permite que ECS trate a un usuario de objetos de ECS y a un usuario deNFS como el mismo usuario, pero con dos conjuntos de credenciales, uno paraacceder a ECS mediante NFS y otro para acceder a ECS mediante los protocolos deobjetos. Debido a la asignación de las cuentas, los archivos escritos por un usuario

Acceso a archivos


NFS serán accesibles como objetos para el usuario de objetos asignado, y los objetosescritos por los usuarios de objetos serán accesibles como archivos para el usuarioNFS.

Los permisos asociados con el objeto o el archivo se basarán en una asignación entrelos privilegios de la ACL del protocolo de objetos y POSIX. La asignación se describedetalladamente en Permisos para el acceso multiprotocolo (crosshead) en la página134.

La pestaña User/Group Mapping en la página File muestra la tabla User/GroupMapping.

Figura 21 Pestaña User/Group Mapping en la página File

La pestaña User/Group Mapping tiene un campo Namespace que permite que latabla muestre los usuarios y grupos configurados para el espacio de nombresseleccionado. La tabla User/Group Mapping muestra los siguientes campos:

Campo Descripción

User/Group Name El nombre de usuario de objeto del usuario.

ID El ID de usuario o de grupo de Unix que se asignó al usuario deobjetos.

Type Indica si el ID es para un usuario o grupo.

Actions Las acciones que pueden realizarse en el mapeo de usuario o grupo.

Estos son: View y Delete

Si desea agregar nuevos mapeos, haga clic en New User/Group Mapping.

Tareas de configuración de ECS NFSPara configurar ECS NFS, se deben ejecutar las siguientes tareas:

Procedimiento

1. Creación de un depósito para NFS mediante el portal de ECS en la página 120

2. Agregar una exportación de NFS mediante el portal de ECS en la página 122

3. Agregar un mapeo de grupos o usuarios mediante el portal de ECS en la página124

Acceso a archivos

Tareas de configuración de ECS NFS 119

4. Configurar NFS con seguridad de Kerberos en la página 126

Creación de un depósito para NFS mediante el portal de ECSPuede utilizar el portal de ECS para crear un depósito configurado para su uso conNFS.

Antes de comenzar


l Si es un administrador de espacio de nombres puede crear depósitos en el espaciode nombres.

l Si es un administrador del sistema puede crear un depósito que pertenezca acualquier espacio de nombres.

Los pasos que se proporcionan aquí se enfocan en la configuración que debe ejecutarpara hacer que un depósito sea adecuado para su uso con NFS. El depósito que creaes un depósito S3 habilitado para el uso con el sistema de archivos.

Procedimiento

1. En el portal de ECS, seleccione Manage > Buckets > New Bucket.

2. En la páginaNew Bucket, en el campo Name, escriba un nombre para eldepósito.

3. En el campo Namespace, seleccione el espacio de nombres al que perteneceráel depósito.

4. En el campo Replication Group, seleccione un grupo de replicación o déjelo enblanco a fin de usar el grupo de replicación predeterminado para el espacio denombres.

5. En el campo Bucket Owner, escriba el nombre del propietario del depósito.

6. En el campo CAS, no habilite CAS.

Nota

Un depósito que está diseñado para usarse como NFS no se puede utilizar paraCAS. El campo CAS está deshabilitado cuando se activa el campo File System.

7. Habilite cualquier otra función de depósito que necesite.

Puede habilitar cualquiera de las siguientes funciones en un depósito NFS:

l Cuota

l Cifrado del lado del servidor

l Búsqueda de metadatos

l Acceso durante una interrupción

l Read-Only Access During Outage

l Cumplimiento de normas (ver nota)

l Bucket Retention Period

Para obtener más información acerca de estas configuraciones, consulte Configuración de depósitos en la página 91.

Acceso a archivos


Nota

No se puede escribir en un depósito que está habilitado para el cumplimiento denormas mediante el protocolo NFS. Sin embargo, se pueden leer datos escritosdesde NFS mediante protocolos de objetos.

8. En el campo File System, haga clic en Enabled.

Una vez habilitados, los campos para configurar un grupo predeterminado parael sistema de archivos/depósito y para asignar permisos de grupo a los archivosy a los directorios creados en el depósito están disponibles.

9. En el campo Default Bucket Group, escriba un nombre para el grupo dedepósito predeterminado.

Este grupo es el grupo asociado con el sistema de archivos raíz de NFS y contodos los archivos o directorios creados en la exportación de NFS. Permite a losusuarios que son miembros del grupo acceder a la exportación de NFS y a losarchivos y a los directorios.

Este grupo se debe especificar en la creación del depósito. Si no estáespecificado, el grupo se tendrá que asignar más adelante desde el cliente deNFS.

10. Establezca los permisos predeterminados para los archivos y los directorioscreados en el depósito mediante el protocolo de objetos.

Esta configuración se utiliza para aplicar permisos de grupo de Unix a losobjetos creados mediante protocolos de objetos.

El protocolo de S3 no tiene el concepto de grupos, por lo que no existe ningunaoportunidad para establecer permisos de grupo en S3 y asignarlos a lospermisos de Unix. Por lo tanto, esto proporciona una oportunidad única paraque se asigne un archivo o un directorio creado mediante el protocolo de S3 algrupo predeterminado especificado con los permisos que se mencionan aquí.

a. Establezca los permisos correspondientes a la opción Group FilePermissions haciendo clic en los botones de los permisos adecuados.

Normalmente, se establecerán permisos de lectura y ejecución.

b. Establezca los permisos correspondientes a la opción Group DirectoryPermissions haciendo clic en los botones de los permisos adecuados.

Acceso a archivos

Creación de un depósito para NFS mediante el portal de ECS 121

Normalmente, se establecerán permisos de lectura y ejecución.

11. Haga clic en Save para crear el depósito.

Agregar una exportación de NFS mediante el portal de ECSPuede usar el portal de ECS para crear una exportación de NFS y configurar lasopciones que controlan el acceso a la exportación.

Antes de comenzar


l Si usted es un administrador de espacio de nombres, puede agregar exportacionesde NFS a su espacio de nombres.

l Si es administrador del sistema puede agregar exportaciones de NFS a cualquierespacio de nombres.

l Se debe haber creado un depósito para proporcionar el almacenamientosubyacente para la exportación.

Procedimiento

1. En el portal de ECS, seleccione la página File > Exports > New Export.

Aparecerá la subpágina New File Export. La siguiente figura muestra unaexportación configurada para que los hosts del cliente de NFS puedan acceder aella.

=

Acceso a archivos


2. En la subpágina New File Export, en el campo Namespace, seleccione elespacio de nombres que posee el depósito que desea exportar.

3. En el campo Bucket, seleccione el depósito.

4. En el campo Export Path, especifique la ruta.

ECS genera automáticamente la ruta de exportación en función del espacio denombres y del depósito. Únicamente debe ingresar un nombre si planea exportarun directorio que ya existe en el depósito. Por lo tanto, si ingresa /namespace1/bucket1/dir1, por ejemplo, debe asegurarse de que dir1exista. Si no existe, el montaje de la exportación fallará.

5. Para agregar los hosts que desea que tengan acceso a la exportación, completelos siguientes pasos.

a. En el área Export Host Options, haga clic en Add.

Aparecerá el cuadro de diálogo Add Export Host.

b. En el cuadro de diálogo Add Export Host, especifique uno o más hosts quedesea que puedan acceder a la exportación y configurar las opciones deacceso.

Debe elegir una opción de Authentication. Esto será normalmente Sys, amenos que planee configurar Kerberos. Los valores predeterminados paraPermissions (ro) y Write Transfer Policy (async) ya están configurados enel cuadro de diálogo Add Export Host y se transferirán al servidor NFS. Lasopciones restantes son las mismas que las de los valores predeterminadosdel servidor NFS y, por lo tanto, solo se transmitirán por ECS si las cambia.

Acceso a archivos

Agregar una exportación de NFS mediante el portal de ECS 123

La siguiente tabla describe los parámetros que puede especificar cuandoagrega un host.

Ajuste Descripción

Export Host Establece la dirección IP del host o de los hosts que pueden acceder a la exportación.Utilice una lista separada por comas para especificar más de un host.

Permissions Permite que el acceso a la exportación se configure como de lectura/escritura o de sololectura. Esto equivale a configurar rw o ro en /etc/exports.

Write Transfer Policy Establece la política de transferencia de escritura como síncrona o asíncrona. El valorpredeterminado es asíncrono.Este parámetro equivale a configurar sync o async para una exportación en /etc/exports.

Authentication Configura los tipos de autenticación compatibles con la exportación.

Mounting Directories Inside Export Especifica si los subdirectorios de la ruta de exportación se admiten como puntos demontaje. Este parámetro equivale a configurar alldir en /etc/exports.

Con la opción alldir, en caso de haber exportado /namespace1/bucket1, por

ejemplo, también puede montar subdirectorios, como /namespace1/bucket1/dir1,

siempre y cuando exista el directorio.

AnonUser Establece el ID de usuario vigente para que un usuario anónimo tenga acceso a unaexportación y para que se tenga acceso raíz cuando se haya configurado root_squash.

Este equivale a configurar anonuid en /etc/exports.

AnonGroup Establece el ID de grupo vigente para que un grupo anónimo tenga acceso a unaexportación y para que se tenga acceso raíz cuando se haya configurado root_squash.

Este equivale a configurar anongid en /etc/exports.

RootSquash Determina si se admite acceso raíz en la exportación. Si no se admite acceso raíz, el UIDdel usuario raíz (UID=0) se traduce al UID del usuario nobody o al UID que se especifica

en AnonUser. Este parámetro equivale a utilizar root_squash en /etc/exports.

c. Para completar la definición de las opciones de host, haga clic en Add.

6. Si desea agregar más hosts que puedan acceder a la exportación, pero condiferentes opciones, repita el paso anterior.

7. Para guardar la definición de la exportación de NFS, haga clic en Save.

Agregar un mapeo de grupos o usuarios mediante el portal de ECSPara proporcionar acceso NFS al sistema de archivos (el depósito), debe mapear unusuario de objetos que tenga permisos en el depósito a un ID de usuario de Unix (UID),de modo que el usuario de Unix adquiera los mismos permisos que el usuario deobjetos. Como alternativa, puede mapear un grupo personalizado de ECS que tengapermisos en el depósito a un ID de grupo de Unix (GID) para proporcionar acceso a losmiembros del grupo de Unix.

Antes de comenzar


l Si usted es administrador de espacio de nombres, puede agregar mapeos degrupos o usuarios en su espacio de nombres.

l Si es administrador del sistema, puede agregar mapeos de grupos o usuarios encualquier espacio de nombres.

Acceso a archivos


l Asegúrese de que el UID exista en el cliente NFS y de que el nombre de usuario seaun nombre de usuario de objetos de ECS.

l Asegúrese de que se haya asignado un grupo personalizado predeterminado aldepósito para que los miembros del grupo tengan acceso al sistema de archivos.

l Asegúrese de que se hayan asignado permisos predeterminados de objetos ydirectorio al depósito para que los miembros del grupo tengan acceso a objetos ydirectorios creados mediante protocolos de objetos.

Procedimiento

1. En el portal de ECS, en la página Manage > File, haga clic en la pestaña User/Group Mapping.

2. En la pestaña User/Group Mapping, haga clic en New Mapping para mostrarla subpágina New User/Group Mapping.

3. En el campo User/Group Name, escriba el nombre del usuario de objetos deECS o el grupo personalizado de ECS que desea mapear a un GID o UID de Unix.

4. En el campo Namespace, seleccione el espacio de nombres al que pertenece elgrupo personalizado o el usuario de objetos de ECS.

5. En el campo ID, ingrese el GID o UID de Unix al cual desea mapear el grupo ousuario de ECS.

6. En el campo Type, haga clic en el tipo de mapeo: User o Group, para que ECSsepa que el ID que ha ingresado es un UID o un GID.

Acceso a archivos

Agregar un mapeo de grupos o usuarios mediante el portal de ECS 125


Configurar NFS con seguridad de KerberosPuede configurar NFS con seguridad de Kerberos

Se admiten los siguientes escenarios:

l Cliente de ECS a un único nodo de ECS. El keytab en cada ECS que desea utilizarcomo el servidor NFS debe estar especificado para ese nodo.

l Cliente de ECS a balanceador de carga. El keytab en todos los nodos de ECS es elmismo y utiliza el nombre de host del balanceador de carga.

Consulte Configuración de ECS NFS con la seguridad de Kerberos en la página 126.

Según la configuración de TI interna, puede utilizar un KDC o Active Directory (AD)como su KDC.

Para usar AD, siga los pasos en las siguientes tareas: Registre un nodo de ECS conActive Directory en la página 130 y Registro de un cliente de NFS de Linux con ActiveDirectory en la página 131.

Configuración de ECS NFS con la seguridad de KerberosPara configurar la autenticación Kerberos con ECS NFS, debe configurar los nodos deECS y el cliente de NFS, además de crear keytabs para la entidad de seguridad delservidor de NFS y la del cliente de NFS.

Procedimiento

1. Asegúrese de que se pueda resolver el nombre de host del nodo de ECS.

Puede usar el comando hostname para asegurarse de que el nombre dedominio calificado del nodo de ECS se agregue a /etc/HOSTNAME.

dataservice-10-247-142-112:~ # hostname ecsnode1.yourco.comdataservice-10-247-142-112:~ # hostname -i10.247.142.112 dataservice-10-247-142-112:~ # hostname -fecsnode1.yourco.comdataservice-10-247-142-112:~ #

2. Cree el archivo de configuración de Kerberos (krb5.conf) en el nodo de ECScomo /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.conf. A menos que ya se haya configurado el HDFS, deberá crearel directorio hdfs con los permisos 755 (drwxr-xr-x) (chmod 755 hdfs) y hacerque el usuario con el UID 444 y el grupo con el GID 444 sean los propietarios(chown 444:444 hdfs).

Cambie los permisos de archivos a 644 y haga que el usuario con el ID444(storageos) sea el propietario del archivo.

En el ejemplo que aparece a continuación, se utilizan los siguientes valores, perodebe reemplazarlos con su propia configuración.

Kerberos REALM

En este ejemplo, se encuentra configurado como NFS-REALM.

KDC

Configurado en kdcname.yourco.com en este ejemplo.

Acceso a archivos


KDC Admin Server

En este ejemplo, el KDC actúa como el servidor de administración.

[libdefaults] default_realm = NFS-REALM.LOCAL[realms] NFS-REALM.LOCAL = { kdc = kdcname.yourco.com admin_server = kdcname.yourco.com }[logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON

Nota

Si ya está configurado HDFS para Kerberos, en lugar dereemplazar /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.conf, combine la información de DOMINIO con el archivokrb5.conf existente, en caso de que sea diferente. Por lo general, no habráningún cambio en este archivo, dado que HDFS ya habrá configurado elDOMINIO. Además, HDFS ya habrá configurado el propietario y los permisospredeterminados y no requerirá ningún cambio.

3. Agregue una entidad de seguridad de host para el nodo de ECS y cree un keytabpara esta entidad.

En este ejemplo, el nombre de dominio calificado del nodo de ECS esecsnode1.yourco.com.

$ kadminkadmin> addprinc -randkey nfs/ecsnode1.yourco.comkadmin> ktadd -k /datanode.keytab nfs/ecsnode1.yourco.com kadmin> exit

4. Copie el keytab (datanode.keytab) en /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.keytab. A menos que ya sehaya configurado el HDFS, deberá crear el directorio hdfs con los permisos 755(drwxr-xr-x) (chmod 755 hdfs) y hacer que el usuario con el UID 444 y el grupocon el GID 444 sean los propietarios (chown 444:444 hdfs).

Cambie sus permisos de archivos a 644 y haga que el usuario con el ID444(storageos) sea el propietario del archivo.

Si ya está configurado el HDFS, en lugar de reemplazar /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.keytab, combineel archivo datanode.keytab en el archivo keytab existente mediantektutil. HDFS ya habrá configurado el propietario y los permisospredeterminados y no requerirá ningún cambio.

5. Descargue el archivo de política JCE ilimitada de oracle.com y colóquelo en eldirectorio /opt/emc/caspian/fabric/agent/services/object/data/jce/unlimited.

Acceso a archivos

Configurar NFS con seguridad de Kerberos 127

Kerberos puede configurarse para utilizar un tipo de cifrado seguro, comoAES-256. En esa situación, el JRE dentro de los nodos de ECS debereconfigurarse para utilizar la política “ilimitada”.

Nota

Este paso se debe ejecutar solamente si está utilizando un tipo de cifradoseguro.

Si ya está configurado el HDFS, este paso se debió haber completado en laconfiguración de HDFS Kerberos.

6. Ejecute el siguiente comando desde el interior del contenedor de objetos.

service storageos-dataservice restarthdfs

7. Para configurar el cliente, comience por asegurarse de que se pueda resolver elnombre de host del cliente.

Puede usar el comando hostname para asegurarse de que el nombre dedominio calificado del nodo de ECS se agregue a /etc/HOSTNAME.

dataservice-10-247-142-112:~ # hostname ecsnode1.yourco.comdataservice-10-247-142-112:~ # hostname -i10.247.142.112 dataservice-10-247-142-112:~ # hostname -fecsnode1.yourco.comdataservice-10-247-142-112:~ #

8. Si su cliente ejecuta SUSE Linux, asegúrese de que la líneaNFS_SECURITY_GSS="yes" no tenga comentarios en /etc/sysconfig/nfs.

9. Si se encuentra en Ubuntu, asegúrese de que la línea NEED_GSSD=yes estéen /etc/default/nfs-common.

10. Instale rpcbind y nfs-common.

Utilice apt-get o zypper. En SUSE Linux, para nfs-common, utilice:

zypper install yast2-nfs-common

De forma predeterminada, estos están desactivados en el cliente de Ubuntu.

11. Configure el archivo de configuración de Kerberos.

En el ejemplo que aparece a continuación, se utilizan los siguientes valores, perodebe reemplazarlos con su propia configuración.

Kerberos REALM

Configurado en NFS-REALM en este ejemplo.

KDC

Configurado en kdcname.yourco.com en este ejemplo.

Acceso a archivos


KDC Admin Server

En este ejemplo, el KDC actúa como el servidor de administración.

[libdefaults] default_realm = NFS-REALM.LOCAL[realms] NFS-REALM.LOCAL = { kdc = kdcname.yourco.com admin_server = kdcname.yourco.com }[logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON

12. Agregue una entidad de seguridad de host para el cliente de NFS y cree unkeytab para esa entidad.

En este ejemplo, el nombre de dominio calificado del cliente de NFS esnfsclient.yourco.com.

$kadminkadmin> addprinc -randkey host/nfsclient.yourco.comkadmin> ktadd -k /nkclient.keytab host/nfsclient.yourco.comkadmin> exit

13. Copie el archivo keytab (nfsclient.keytab) de la máquina KDC en /etc/krb5.keytab en la máquina del cliente de NFS.

scp /nkclient.keytab [email protected]:/etc/krb5.keytabssh [email protected] 'chmod 644 /etc/krb5.keytab'

14. Cree una entidad de seguridad para que un usuario acceda a la exportación deNFS.

$kadminkadmin> addprinc [email protected]> exit

15. Inicie sesión como raíz y agregue la siguiente entrada a su archivo /etc/fstab.

HOSTNAME:MOUNTPOINT LOCALMOUNTPOINT nfs rw,user,nolock,noauto,vers=3,sec=krb5 0 0

Por ejemplo:

ecsnode1.yourco.com:/s3/b1 /home/kothan3/1b1 nfs rw,user,nolock,noauto,vers=3,sec=krb5 0 0

Acceso a archivos


16. Inicie sesión con un usuario que no sea raíz y utilice kinit como el usuario queno es raíz que creó.

kinit [email protected]

17. Ahora puede montar la exportación de NFS.

Nota

Montar como el usuario raíz no requiere el uso de kinit. Sin embargo, cuandose usa la raíz, la autenticación se realiza mediante la entidad de seguridad dehost de la máquina del cliente, en lugar de la entidad de seguridad de Kerberos.Según su sistema operativo, puede configurar el módulo de autenticación parabuscar el vale de Kerberos cuando inicie sesión para que no sea necesariobuscarlo de forma manual mediante kinit. También puede montar el recursocompartido de NFS directamente.

Registre un nodo de ECS con Active DirectoryPara usar Active Directory (AD) como el KDC para su configuración de NFS Kerberos,debe crear cuentas para el cliente y el servidor en AD y asignar la cuenta a una entidadde seguridad. Para el servidor NFS, la entidad de seguridad representa las cuentas deservicio de NFS; para el cliente de NFS, la entidad de seguridad representa la máquinade host del cliente.

Antes de comenzar

Debe tener credenciales de administrador para la controladora de dominio de AD.

Procedimiento

1. Inicie sesión en AD.

2. En Server Manager, vaya a Tools > Active Directory Users and Computers.

3. Cree una cuenta de usuario para la entidad de seguridad de NFS con el formato“nfs-<host>”, por ejemplo, "nfs-ecsnode1". Establezca una contraseña yestablezca que la contraseña nunca venza.

4. Cree una cuenta para usted mismo (opcional y se realiza una vez).

5. Ejecute el siguiente comando para crear un archivo keytab para la cuenta deservicio de NFS.

ktpass -princ nfs/<fqdn>REALM.LOCAL +rndPass -mapUser nfs-<host>@REALM.LOCAL -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out filename.keytab

Por ejemplo, para asociar la cuenta de nfs-ecsnode1 con la entidad de seguridadinfs/[email protected], puede generar un keytab siutiliza:

ktpass -princ nfs/[email protected] +rndPass -mapUser [email protected] -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out nfs-ecsnode1.keytab

Acceso a archivos


6. Importe el keytab al nodo de ECS.

ktutilktutil> rkt <keytab to import>ktutil> wkt /etc/krb5.keytab

7. Pruebe el registro mediante la ejecución del siguiente comando:

kinit -k nfs/<fqdn>@NFS-REALM.LOCAL

8. Consulte las credenciales almacenadas en caché mediante la ejecución delcomando klist.

9. Elimine las credenciales almacenadas en caché mediante la ejecución delcomando kdestroy .

10. Vea las entradas en el archivo keytab mediante la ejecución del comandoklist.

Ejemplo:

klist -kte /etc/krb5.keytab

11. Siga los pasos 2 en la página 126, 4 en la página 127 y 5 en la página 127 de Configuración de ECS NFS con la seguridad de Kerberos en la página 126 paracolocar los archivos de configuración de Kerberos (krb5.conf, krb5.keytaby jce/unlimited) en el nodo de ECS.

Registro de un cliente de NFS de Linux con Active DirectoryPara usar Active Directory (AD) como el KDC para su configuración de NFS Kerberos,debe crear cuentas para el cliente y el servidor en AD y asignar la cuenta a una entidadde seguridad. Para el servidor NFS, la entidad de seguridad representa las cuentas deservicio de NFS; para el cliente de NFS, la entidad de seguridad representa la máquinade host del cliente.

Antes de comenzar

Debe tener credenciales de administrador para la controladora de dominio de AD.

Procedimiento

1. Inicie sesión en AD.

2. En Server Manager, vaya a Tools > Active Directory Users and Computers.

3. En la página Active Directory Users and Computers, cree una cuenta deequipo para el equipo cliente. Por ejemplo: nfsclient. Establezca unacontraseña y establezca que la contraseña nunca venza.

4. Cree una cuenta para un usuario (opcional y una vez)

5. Ejecute el siguiente comando para crear un archivo keytab para la cuenta deservicio de NFS.

ktpass -princ host/<fqdn>@REALM.LOCAL +rndPass -mapUser <host>@REALM.LOCAL -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out filename.keytab

Acceso a archivos


Por ejemplo, para asociar la cuenta de nfs-ecsnode1 con el principio host/[email protected], puede generar un keytabmediante el siguiente comando:

ktpass -princ host/[email protected] +rndPass -mapUser [email protected] -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out nfsclient.keytab

6. Importe el keytab en el nodo del cliente.

ktutilktutil> rkt <keytab to import>ktutil> wkt /etc/krb5.keytab

7. Pruebe el registro mediante la ejecución del siguiente comando:

kinit -k host/<fqdn>@NFS-REALM.LOCAL

8. Consulte las credenciales almacenadas en caché mediante la ejecución delcomando klist.

9. Elimine las credenciales almacenadas en caché mediante la ejecución delcomando kdestroy .

10. Vea las entradas en el archivo keytab mediante la ejecución del comandoklist.

Por ejemplo:

klist -kte /etc/krb5.keytab

11. Siga los pasos 2 en la página 126, 4 en la página 127 y 5 en la página 127 de Configuración de ECS NFS con la seguridad de Kerberos en la página 126 paracolocar los archivos de configuración de Kerberos (krb5.conf, krb5.keytaby jce/unlimited) en el nodo de ECS.

Ejemplo de montaje de una exportación de NFS

Cuando monte una exportación, debe asegurarse de que los siguientes pasos derequisitos previos se lleven a cabo:

l El nombre del propietario del depósito debe estar mapeado a un UID de Unix.

l Se debe asignar un grupo predeterminado al depósito y el nombre del grupopredeterminado se debe mapear a un GID de Linux. Esto garantiza que el grupopredeterminado se muestre como el grupo de Linux asociado cuando se monte laexportación.

Los siguientes pasos proporcionan un ejemplo de cómo montar un sistema de archivosde exportación de NFS de ECS.

1. Cree un directorio en el que desea montar la exportación. El directorio y eldepósito deben pertenecer al mismo propietario.

Acceso a archivos


En este ejemplo, el usuario fred crea un directorio /home/fred/nfsdir en elcual se montará una exportación.

su - fredmkdir /home/fred/nfsdir

2. Como usuario raíz, monte la exportación en el punto de montaje de directorio quecreó.

mount -t nfs -o "vers=3,nolock" 10.247.179.162:/s3/tc-nfs6 /home/fred/nfsdir

Cuando monte una exportación de NFS, puede especificar el nombre o dirección IPde cualquiera de los nodos en el VDC o la dirección del balanceador de carga.

Es importante que especifique -o "vers=3".

3. Compruebe que tenga acceso al sistema de archivos como el usuario fred.

a. Cambie al usuario fred.

$ su - fred

b. Compruebe que se encuentre en el directorio en el que creó el directorio depunto de montaje.

$ pwd/home/fred

c. Enumere el directorio.

fred@lrmh229:~$ ls -altotaldrwxr-xr-x 7 fred fredsgroup 4096 May 31 05:38 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 16 May 31 05:31 .bash_historydrwxrwxrwx 3 fred anothergroup 96 Nov 24 2015 nfsdir

En este ejemplo, el propietario del depósito es fred y se asoció un grupopredeterminado, anothergroup, con el depósito.

Si no se ha creado ninguna asignación de grupo o no se ha asociado un grupopredeterminado con el depósito, no verá un nombre de grupo, sino un gran valornumérico, como se muestra a continuación.

fred@lrmh229:~$ ls -altotal drwxr-xr-x 7 fred fredssgroup 4096 May 31 05:38 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 16 May 31 05:31 .bash_historydrwxrwxrwx 3 fred 2147483647 96 Nov 24 2015 nfsdir

Si olvidó el mapeo de grupo, puede crear el mapeo correspondiente en el portal deECS.

Acceso a archivos

Ejemplo de montaje de una exportación de NFS 133

Puede buscar el ID de grupo si mira en /etc/group.

fred@lrmh229:~$ cat /etc/group | grep anothergroupanothergroup:x:1005:

También puede lograr lo anterior si agrega un mapeo entre el nombre y el GID (eneste caso: anothergroup => GID 1005).

Si intenta obtener acceso al sistema de archivos montado como usuario raíz u otrousuario que no tenga permisos en el sistema de archivos, verá el signo ?, como semuestra a continuación.

root@lrmh229:~# cd /home/fredroot@lrmh229:/home/fred# ls -altotal drwxr-xr-x 8 fred fredsgroup 4096 May 31 07:00 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 1388 May 31 07:31 .bash_historyd????????? ? ? ? ? ? nfsdir

Mejores prácticas cuando se utiliza NFS de ECSSe aplican las siguientes recomendaciones cuando se realiza el montaje de lasexportaciones de NFS de ECS.

Utilice asyncDebe utilizar la opción de montaje “async” siempre que sea posible. Esta opciónreduce la latencia, mejora el rendimiento y reduce la cantidad de conexiones del clienteconsiderablemente.

Establecer wsize y rsize para reducir el tiempo de ida y vuelta del clienteCuando espera leer o escribir archivos de gran tamaño, debe asegurarse de que eltamaño de lectura o escritura de los archivos se configure adecuadamente con lasopciones de montaje rsize y wsize. Por lo general, se recomienda configurar lasopciones rsize y wsize en el valor más alto posible a fin de reducir los tiempos de ida yvuelta del cliente. Por lo general, se trata de 512 kB (524,288 B).

Por ejemplo, para escribir un archivo de 10 MB con una configuración de wsize de524,288 (512 kB), el cliente haría 20 llamadas independientes, mientras que, si eltamaño de escritura se estableciera en 32 kB, se realizarían 16 llamadas más.

Cuando se utiliza el comando de montaje, puede proporcionar el tamaño de lectura yescritura mediante el switch de opciones (-o). Por ejemplo:

# mount 10.247.97.129:/home /home -o "vers=3,nolock,rsize=524288,wsize=524288"

Permisos para el acceso multiprotocolo (crosshead)Se puede acceder a los objetos mediante NFS y utilizando el servicio de objetos. Cadamétodo de acceso tiene una manera de almacenar permisos: permisos de la lista decontrol de acceso (ACL) de objetos y permisos del sistema de archivos.

Cuando un objeto se crea o se modifica mediante el protocolo de objetos, los permisosasociados con el propietario de objeto se mapean a los permisos de NFS, y los

Acceso a archivos


permisos correspondientes se almacenan. De manera similar, cuando se crea o semodifica un objeto mediante NFS, ECS mapea los permisos de NFS del propietario alos permisos de objeto y los almacena.

El protocolo de objetos de S3 no tiene el concepto de grupos. Por ello, no es necesarioque los cambios en la propiedad del grupo o en los permisos de NFS se mapeen a lospermisos de objeto correspondientes. Cuando se crea un depósito o un objeto en undepósito (el equivalente de un directorio y un archivo), ECS puede asignar permisos degrupo de Unix para que los usuarios NFS puedan acceder a ellos.

Los siguientes atributos de la ACL se almacenan para NFS:

l Owner

l Grupo

l Other

Para el acceso a objetos, se almacenan las siguientes ACL:

l Users

l Grupos personalizados

l Grupos (predefinidos)

l Propietario (un usuario específico de los usuarios)

l Grupo primario (un grupo específico de los grupos personalizados)

Para obtener más información sobre ACL, consulte Configuración de ACL en la página99.

La siguiente tabla muestra el mapeo entre atributos de la ACL de NFS y atributos de laACL de objetos.

Atributo de la ACL de NFS Atributo de la ACL de objetos

Propietario Usuario que también es propietario

Grupo Grupo personalizado que también es grupoprimario

Otros Grupo predefinido

Ejemplos de esta asignación se analizan más adelante en este tema.

Las siguientes entradas de control de acceso (ACE) se pueden asignar a cada atributode la ACL.

ACE de NFS:

l Read (R)

l Write (W)

l Execute (X)

ACE de objetos:

l Read (R)

l Write (W)

l Execute (X)

l ReadAcl (RA)

l WriteAcl (WA)

l Full Control (FC)

Acceso a archivos

Permisos para el acceso multiprotocolo (crosshead) 135

Crear y modificar un objeto con NFS y tener acceso mediante el servicio deobjetosCuando un usuario NFS crea un objeto mediante el protocolo NFS, los permisos delpropietario se muestran en espejo en la ACL del usuario de objetos que se designacomo el propietario del depósito. Si el usuario de NFS tiene permisos RWX, elpropietario de objetos tendrá control total en la ACL de objetos.

Los permisos asignados al grupo al que pertenece el directorio o archivo NFS sereflejan en un grupo personalizado del mismo nombre, en caso de que exista. ECSrefleja los permisos asociados con Others en permisos de grupos predefinidos.

El siguiente ejemplo ilustra el mapeo de permisos de NFS a permisos de objetos.

NFS ACL Setting Object ACL Setting

Owner John : RWX Users John : Full ControlGroup ecsgroup : R-X ---> Custom Groups ecsgroup : R-XOther RWX Groups All_Users : R, RA Owner John Primary Group ecsgroup

Cuando un usuario accede a ECS mediante NFS y cambia la propiedad de un objeto, elnuevo propietario hereda los permisos de la ACL del propietario y se le otorgaRead_ACL y Write_ACL. Los permisos del propietario anterior se mantienen en la ACLdel usuario de objetos.

Cuando se ejecuta una operación chmod, ECS refleja los permisos de la misma maneraque cuando se crea un objeto. Write_ACL se conserva en los permisos Group y enOthers en caso de que exista en la ACL del usuario de objetos.

Crear y modificar objetos con el servicio de objetos y acceder mediante NFSCuando un usuario de objetos crea un objeto con el servicio de objetos, el usuario es elpropietario del objeto y se le otorga el control total (Full Control) del objetoautomáticamente. Al propietario del archivo se le otorgan permisos RWX. Si lospermisos del propietario se establecen en un valor que no sea Full Control, ECS reflejalos permisos RWX de objetos en los permisos RWX de archivos. Un propietario deobjetos con permisos RX da como resultado un propietario de archivos NFS conpermisos RX. El grupo primario de objetos, que se configura mediante el grupopredeterminado en el depósito, se convierte en el grupo personalizado al quepertenece el objeto y los permisos de objetos se establecen según los permisospredeterminados que se hayan configurado. Estos permisos se reflejan en los permisosde NFS.group. Si el grupo personalizado de objetos tiene configurado Full Control,estos permisos se convierten en RWX para el grupo NFS. Si se especifican grupospredefinidos en el depósito, estos se aplican al objeto y se reflejan en los permisos deOthers con respecto a las ACL de NFS.

El siguiente ejemplo ilustra el mapeo de permisos de objetos en permisos de NFS.

Object ACL Setting NFS ACL Setting

Users John : Full Control Owner John : RWXCustom Groups ecsgroup : R-X ----> Group ecsgroup : R-X Groups All_Users : R, RA Other RWX Owner JohnPrimary Group ecsgroup

Acceso a archivos


Si se cambia el propietario del objeto, los permisos asociados con el nuevo propietariose aplican al objeto y se reflejan en los permisos RWX de archivos.

Resumen de la API de archivosEl acceso de NFS se puede configurar y administrar mediante la REST API deadministración de ECS.

La siguiente tabla proporciona un resumen de todas las API disponibles.

Método Descripción

POST /object/nfs/exports Crea una exportación. La carga útil especificala ruta de exportación, los hosts que puedenacceder a la exportación y una cadena quedefine la configuración de seguridad para laexportación.

PUT/GET/DELETE /object/nfs/exports/{id} Ejecuta la operación seleccionada en laexportación especificada.

GET /object/nfs/exports Recupera todas las exportaciones de usuarioque se definieron para el espacio de nombresactual.

POST /object/nfs/users Crea una asignación entre un nombre deusuario o de grupo de objetos de ECS y un IDde usuario o de grupo de Unix.

PUT/GET/DELETE /object/nfs/users/{mappingid}

Ejecuta la operación seleccionada en elusuario especificado o en la asignación degrupo.

GET /object/nfs/users Recupera todos los mapeos de usuario que sedefinieron para el espacio de nombres actual.

La documentación de API proporciona detalles completos de la API y se puede accedera la documentación correspondiente a los métodos de exportación de NFS en la Referencia de API de ECS.

Acceso a archivos

Resumen de la API de archivos 137

http://doc.isilon.com/ECS/3.1/API/index.html

Acceso a archivos


CAPÍTULO 9

Certificados

l Introducción a los certificados.......................................................................... 140l Generar certificados......................................................................................... 140l Cargar un certificado........................................................................................ 146l Verificar certificados instalados........................................................................ 149

Certificados 139

Introducción a los certificados

ECS se envía con un certificado SSL instalado en el almacenamiento de claves paracada nodo. Este certificado no es de confianza para las aplicaciones que se comunicancon ECS o mediante el navegador cuando los usuarios acceden a ECS mediante elportal de ECS.

Para evitar que los usuarios vean un error de certificado no confiable, o para permitirque las aplicaciones se puedan comunicar con ECS, debe instalar un certificadofirmado por una autoridad de certificación (CA) de confianza. Puede generar uncertificado autofirmado para utilizar hasta que tenga un certificado firmado por unaCA. El certificado autofirmado se instala en el almacén de certificados de todas lasmáquinas que accederán a ECS.

ECS utiliza los siguientes tipos de certificados SSL:

Certificados de administración

Se utiliza cuando se realizan las solicitudes de administración mediante la APIREST de administración de ECS. Estas solicitudes de HTTPS utilizan el puerto4443.

Certificados de objeto

Se utiliza cuando se realizan solicitudes mediante los protocolos de objetoscompatibles. Estas solicitudes de HTTPS utilizan los puertos 9021 (S3), 9023(Atmos) y 9025 (Swift).

Puede cargar un certificado autofirmado o un certificado firmado por una autoridad decertificación, o bien, en el caso de un certificado de objeto, puede solicitar a ECS quele genere uno. Los pares de clave y certificado pueden cargarse a ECS mediante la APIREST de administración de ECS en el puerto 4443.

En los siguientes temas se explica cómo crear, cargar y verificar certificados:

l Generar certificados en la página 140l Cargar un certificado en la página 146l Verificar certificados instalados en la página 149

Generar certificados

Puede generar un certificado con autofirma o comprar uno de una autoridad decertificación (CA). Para fines de producción, se recomienda ampliamente uncertificado firmado por una autoridad de certificación, debido a que cualquier máquinacliente lo puede validar sin realizar pasos adicionales.

El certificado debe estar en formato codificado PEM x509.

Cuando se genera un certificado, normalmente se especifica el nombre de host dondese utilizará el certificado. Dado que ECS tiene varios nodos y cada uno tiene su propionombre de host, la instalación de un certificado creado para un nombre de hostespecífico podría provocar un error de coincidencia de nombre común en los nodosque no cuentan con ese nombre de host. Puede crear certificados con direcciones IPalternativas o nombres de host denominados nombres alternativos de sujeto (SAN).

Para lograr la máxima compatibilidad con los protocolos de objetos, el nombre común(CN) en el certificado debe apuntar a la entrada de DNS comodín utilizada por S3,dado que S3 es el único protocolo que utiliza depósitos alojados virtualmente (e insertael nombre del depósito en el nombre de host). Solo puede especificar una entrada de

Certificados


comodín en un certificado SSL y debe estar bajo el CN. Las otras entradas de DNSpara el balanceador de carga de los protocolos Atmos y Swift se deben registrar comonombres alternativos de sujeto (SAN) en el certificado.

En los temas de esta sección se muestra información sobre cómo generar uncertificado o una solicitud de certificado mediante openssl; sin embargo, suorganización de TI puede tener diferentes requisitos y procedimientos para generarcertificados.

Crear una clave privadaDebe crear una clave privada para firmar certificados con autofirma y para crearsolicitudes de firma.

El protocolo SSL utiliza criptografía de clave pública, lo que requiere una clave privaday una pública. El primer paso en la configuración es crear una clave privada. La clavepública se crea automáticamente mediante la clave privada cuando crea un certificadoo una solicitud de firma de certificado.Los siguientes pasos describen cómo utilizar la herramienta openssl para crear unaclave privada.

Procedimiento

1. Inicie sesión en un nodo de ECS o en un nodo que se pueda conectar al clústerde ECS.

2. Utilice la herramienta openssl para generar una clave privada.

Por ejemplo, para crear una clave denominada server.key, utilice:

openssl genrsa -des3 -out server.key 2048

3. Cuando se le solicite, escriba una frase de contraseña para la clave privada yvuelva a escribirla para verificarla. Deberá proporcionar esta frase decontraseña cuando cree un certificado con autofirma o una solicitud de firma decertificado usando la clave.

Debe crear una copia de la clave con la frase de contraseña eliminada antes decargar la clave en ECS. Para obtener más información, consulte Cargar uncertificado en la página 146.

4. Establezca los permisos en el archivo de clave.

chmod 0400 server.key

Generar una configuración de SANSi desea que los certificados puedan admitir nombres alternativos de sujeto (SAN),debe definir los nombres alternativos en un archivo de configuración.

OpenSSL no le permite pasar nombres alternativos de sujeto (SAN) mediante la líneade comandos, por lo que tiene que volver a agregarlos a un archivo de configuraciónprimero. Para hacerlo, tendrá que ubicar el archivo de configuración de OpenSSLpredeterminado. En Ubuntu, se encuentra en /usr/lib/ssl/openssl.cnf.

Procedimiento

1. Cree el archivo de configuración.

cp /usr/lib/ssl/openssl.cnf request.conf

Certificados

Crear una clave privada 141

2. Edite el archivo de configuración con un editor de texto y realice los siguientescambios.

a. Agregue los [alternate_names].

Por ejemplo:

[ alternate_names ]DNS.1 = os.example.comDNS.2 = atmos.example.comDNS.3 = swift.example.com

Nota

Hay un espacio entre el corchete y el nombre de la sección.

Si desea cargar los certificados a los nodos de ECS en lugar de a unbalanceador de carga, el formato es el siguiente:

[ alternate_names ]IP.1 = <IP node 1>IP.2 = <IP node 2>IP.3 = <IP node 3>...

b. En la sección [ v3_ca ], agregue las siguientes líneas:

subjectAltName = @alternate_namesbasicConstraints = CA:FALSEkeyUsage = nonRepudiation, digitalSignature, keyEnciphermentextendedKeyUsage = serverAuth

Es probable que la siguiente línea ya exista en esta sección [v3_ca]. Si deseacrear una solicitud de firma de certificado, debe ingresar un comentariocomo se muestra a continuación:

#authorityKeyIdentifier=keyid:always,issuer

c. En la sección [ req ], agregue las siguientes líneas:

x509_extensions = v3_ca #for self signed certreq_extensions = v3_ca #for cert signing req

d. En la sección [CA_default], quite los comentarios o agregue la línea:

copy_extension=copy

Crear un certificado con autofirmaPuede crear un certificado con autofirma.

Certificados


Antes de comenzar

l Debe crear una clave privada mediante el procedimiento descrito en Crear unaclave privada en la página 141.

l Para crear certificados que usan SAN, debe crear un archivo de configuración deSAN mediante el procedimiento descrito en Generar una configuración de SAN enla página 141.

Procedimiento

1. Utilice la clave privada para crear un certificado con autofirma.

Se muestran dos maneras de crear la solicitud de firma. Una se utiliza si yapreparó un archivo de configuración de SAN para especificar el nombre delservidor alternativo, la otra se aplica cuando no lo ha hecho.

Si usa SAN:

openssl req -x509 -new -key server.key -config request.conf -out server.crt

Si no lo hace, utilice:

openssl req -x509 -new -key server.key -out server.crt

Ejemplo de salida.

Signature oksubject=/C=US/ST=GA/

2. Ingrese la frase de contraseña para su clave privada.

3. En los indicadores, complete los campos correspondientes al DN del certificado.

La mayoría de los campos son opcionales. Debe ingresar un nombre común(CN).

Nota

El CN debe ser un nombre de dominio calificado. Incluso si desea instalar elcertificado en los nodos de ECS, debe usar un nombre de dominio calificado, ytodas las direcciones IP deben estar en la sección de nombres alternativos.

Verá los siguientes indicadores:

You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:Locality Name (eg, city) []:Organization Name (eg, company) [Internet Widgits Pty Ltd]:AcmeOrganizational Unit Name (eg, section) []:Common Name (e.g. server FQDN or YOUR name) []:*.acme.com

Certificados

Crear un certificado con autofirma 143

Email Address []:

4. Introduzca los detalles del nombre distintivo (DN) cuando se le solicite. Sepuede obtener más información sobre los campos de DN en Campos de nombredistinguido (DN) en la página 144.

5. Ver el certificado.

openssl x509 -in server.crt -noout -text

Campos de nombre distinguido (DN)

La siguiente tabla describe los campos que conforman el nombre distinguido (DN)

Nombre Descripción Ejemplo

Nombre común (CN) El nombre de dominio calificado (FQDN) de su servidor. Este es elnombre que especificó cuando instaló el dispositivo ECS.

*. yourco.comecs1.yourco.com

Organización El nombre legal de su organización. Esto no se debe abreviar y debeincluir sufijos como Corp, Inc o LLC.

Yourco Inc.

Unidad organizacional La división de su organización que maneja el certificado. Departamento de TI

Ciudad o localidad El estado o la región donde se ubica su organización. Esto no se debeabreviar.

Mountain View

Estado/Provincia La ciudad donde se ubica su organización. California

País El código ISO de dos letras para el país donde se ubica suorganización.

EE UU

Dirección de correoelectrónico

Una dirección de correo electrónico para comunicarse con suorganización.

[email protected]

Crear una solicitud de firma de certificadoPuede crear una solicitud de firma de certificado para enviar a una CA con el objetivode obtener un certificado firmado.

Antes de comenzar

l Debe crear una clave privada mediante el procedimiento descrito en Crear unaclave privada en la página 141.

l Para crear certificados que usan SAN, debe crear un archivo de configuración deSAN mediante el procedimiento descrito en Generar una configuración de SAN enla página 141.

Procedimiento

1. Utilice la clave privada para crear una solicitud de firma de certificado.

Se muestran dos maneras de crear la solicitud de firma. Una se utiliza si yapreparó un archivo de configuración de SAN para especificar el nombre delservidor alternativo, la otra se aplica cuando no lo ha hecho.

Certificados


Si usa SAN:

openssl req -new -key server.key -config request.conf -out server.csr

Si no lo hace, utilice:

openssl req -new -key server.key -out server.csr

Cuando se crea una solicitud de firma, se le pide que proporcione el nombredistintivo (DN), que consta de un número de campos. Se requiere solamente elnombre común y puede aceptar los valores predeterminados para los demásparámetros.

2. Ingrese la frase de contraseña para su clave privada.

3. En los indicadores, complete los campos correspondientes al DN del certificado.

La mayoría de los campos son opcionales. Sin embargo, debe ingresar unnombre común (CN).

Nota

El CN debe ser un nombre de dominio calificado. Incluso si desea instalar elcertificado en los nodos de ECS, debe usar un nombre de dominio calificado, ytodas las direcciones IP deben estar en la sección de nombres alternativos.

Verá los siguientes indicadores:

You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:Locality Name (eg, city) []:Organization Name (eg, company) [Internet Widgits Pty Ltd]:AcmeOrganizational Unit Name (eg, section) []:Common Name (e.g. server FQDN or YOUR name) []:*.acme.comEmail Address []:

Se puede obtener más información sobre los campos de DN en Campos denombre distinguido (DN) en la página 144.

4. Se le pedirá que introduzca una contraseña de reto opcional y el nombre de unaempresa.

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:

Certificados

Crear una solicitud de firma de certificado 145

5. Ver el certificado.

openssl req -in server.csr -text -noout

Resultados

Ahora puede enviar la solicitud de firma de certificado a su CA, que le devolverá unarchivo de certificado firmado.

Cargar un certificado

Puede cargar certificados de datos o de administración en ECS. Independientementedel tipo de certificado que desee cargar, debe realizar la autenticación con la API.

l Realice la autenticación con la REST API de administración de ECS en la página146

l Cargar un certificado de administración en la página 147

l Cargar un certificado de datos para los terminales de acceso a datos en la página148

Realice la autenticación con la REST API de administración de ECSPara ejecutar comandos de la API REST de administración de ECS, primero debeautenticar con el servicio de API y obtener un token de autenticación.

Procedimiento

1. Autentique con la API REST de administración de ECS y obtenga un token deautenticación que puede utilizarse cuando se usa la API para cargar o verificarlos certificados.

a. Ejecute el siguiente comando:

export TOKEN=`curl -s -k -v -u <user>:<password> https://$(hostname -i):4443/login 2>&1 | grep X-SDS-AUTH-TOKEN | awk '{print $2, $3}'`

El nombre de usuario y la contraseña son los que se usan para acceder alportal de ECS. La dirección public_ip es la dirección IP pública del nodo.

b. Verifique que el token se exporte correctamente.

echo $TOKEN

Ejemplo de salida:

X-SDS-AUTH-TOKEN:BAAcTGZjUjJ2Zm1iYURSUFZzKzhBSVVPQVFDRUUwPQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOjcxYjA1ZTgwLTNkNzktNDdmMC04OThhLWI2OTU4NDk1YmVmYgIADTE0NjQ3NTM2MjgzMTIDAC51cm46VG9rZW46YWMwN2Y0NGYtMjE5OS00ZjA4LTgyM2EtZTAwNTc3ZWI0NDAyAgAC0A8=

Certificados


Cargar un certificado de administraciónPuede cargar un certificado de administración que se utilice para autenticar el accesoa los terminales de administración como el portal de ECS y la API REST deadministración de ECS.

Antes de comenzar

l Asegúrese de haber autenticado con la API REST de administración de ECS yalmacenado el token en una variable ($TOKEN) como se describe en Realice laautenticación con la REST API de administración de ECS en la página 146.

l Asegúrese de que la máquina que utilice tenga un cliente REST adecuado (comocurl) y que pueda acceder a los nodos de ECS mediante la API REST deadministración de ECS.

l Asegúrese de que su clave privada y su certificado estén disponibles en la máquinadesde la cual desea ejecutar la carga.

Procedimiento

1. Asegúrese de que su clave privada no tenga una frase de contraseña.

De ser así, puede crear una copia sin la frase de contraseña mediante laejecución del siguiente comando:

openssl rsa -in server.key -out server_nopass.key

2. Cargar el almacenamiento de claves para la ruta de datos mediante su claveprivada y certificado firmado.

Mediante curl:

curl -svk -H "$TOKEN" -H "Content-type: application/xml" -H "X-EMC-REST-CLIENT: TRUE" -X PUT -d "<rotate_keycertchain><key_and_certificate><private_key>`cat privateKeyFile` <private_key>`</private_key><certificate_chain>`catcertificateFile`</certificate_chain></key_and_certificate></rotate_keycertchain>" https://<ecs_node_address>:4443/vdc/keystore

Mediante la interfaz de la línea de comandos (ecscli.py) de ECS:

python ecscli.py vdc_keystore update –hostname <ecs_host_ip> -port 4443 –cf <cookiefile> –privateKey privateKeyFile -certificateChain certificateFile

Es necesario reemplazar privateKeyFile (por ejemplo, <path>/server_nopass.key) y certificateFile (por ejemplo, <path>/server.crt) con la ruta a los archivos de certificado y los archivos de claves.

3. Inicie sesión en uno de los nodos de ECS como el usuario administrador.

4. Verifique que el archivo MACHINES tenga todos los nodos.

Los scripts de contenedor de ECS que ejecutan comandos en todos los nodos,como viprexec, utilizan el archivo MACHINES.

El archivo MACHINES se encuentra en /home/admin.

Certificados

Cargar un certificado de administración 147

a. Muestre el contenido del archivo MACHINES.

cat /home/admin/MACHINES

b. Si el archivoMACHINES no contiene todos los nodos, vuelva a crearlo.

getrackinfo -c MACHINES

Verifique que el archivo MACHINES contenga ahora todos los nodos.

5. Reinicie los servicios objcontrolsvc y nginx una vez que se hayan aplicadolos certificados de administración.

a. Reinicie los servicios de objetos.

viprexec -f ~/MACHINES -i 'pidof objcontrolsvc; kill `pidof objcontrolsvc`; sleep 60; pidof objcontrolsvc'

b. Reinicie el servicio de nginx.

sudo -i viprexec -i -c "/etc/init.d/nginx restart;sleep 60;/etc/init.d/nginx status"


Puede verificar que el certificado se haya cargado correctamente mediante elsiguiente procedimiento: Verificar el certificado de administración en la página 149.

Cargar un certificado de datos para los terminales de acceso a datosPuede cargar un certificado de datos que se utiliza para autenticar el acceso para losprotocolos de S3, EMC Atmos u OpenStack Swift.

Antes de comenzar

l Asegúrese de haber autenticado con la API REST de administración de ECS yalmacenado el token en una variable ($TOKEN). Consulte Realice la autenticacióncon la REST API de administración de ECS en la página 146.

l Asegúrese de que la máquina que utilice tenga un cliente REST adecuado (comocurl) y que pueda acceder a los nodos de ECS mediante la API REST deadministración de ECS.

l Asegúrese de que su clave privada y su certificado estén disponibles en la máquinadesde la cual desea ejecutar la carga.

Procedimiento

1. Asegúrese de que su clave privada no tenga una frase de contraseña.

Si lo hace, puede crear una copia con la frase de contraseña eliminada mediante:

openssl rsa -in server.key -out server_nopass.key

2. Cargar el almacenamiento de claves para la ruta de datos mediante su claveprivada y certificado firmado.

curl -svk -H "$TOKEN" -H "Content-type: application/xml" -H "X-EMC-REST-CLIENT: TRUE" -X PUT -d "<rotate_keycertchain>

Certificados


<key_and_certificate><private_key>`cat privateKeyFile`</private_key><certificate_chain>`catcertificateFile`</certificate_chain></key_and_certificate></rotate_keycertchain>" https://<ecs_node_address>:4443/object-cert/keystore


python ecscli.py keystore update –hostname <ecs_host_ip> -port 4443 –cf <cookiefile> -pkvf privateKeyFile -cvf certificateFile -ss false

Es necesario reemplazar privateKeyFile (por ejemplo, <path>/server_nopass.key) y certificateFile (por ejemplo, <path>/server.crt) con la ruta a los archivos de certificado y los archivos de claves.

3. El certificado se distribuye cuando se reinicia el servicio dataheadsvc. Puedehacer esto con los siguientes comandos.

Nota

No es necesario reiniciar los servicios cuando se cambia el certificado de datos;dataheadsvc se reiniciará automáticamente en cada nodo dos horas a partirde la actualización del certificado.

ssh admin@<ecs_ip_where_cert_uploaded>

sudo kill `pidof dataheadsvc`


Puede verificar que el certificado se haya cargado correctamente mediante elsiguiente procedimiento: Verificar el certificado de objeto en la página 150.

Verificar certificados instaladosEl certificado de objeto y el certificado de administración tienen una solicitud GET deAPI REST de administración de ECS cada uno para recuperar el certificado instalado.

l Verificar el certificado de administración en la página 149

l Verificar el certificado de objeto en la página 150

Verificar el certificado de administraciónPuede recuperar el certificado de administración instalado mediante la API REST deadministración de ECS.

Antes de comenzar


l Si ha reiniciado servicios, el certificado está disponible inmediatamente. De locontrario, debe esperar dos horas para asegurarse de que el certificado sepropague a todos los nodos.

Certificados

Verificar certificados instalados 149

Procedimiento

1. Utilice el método GET /vdc/keystore para devolver el certificado.

Con la herramienta curl, para ejecutar el método, escriba lo siguiente:

curl -svk -H "X-SDS-AUTH-TOKEN: $TOKEN" https://x.x.x.x:4443/vdc/keystore


python ecscli.py vdc_keystore get –hostname <ecs_host_ip> -port 4443 –cf <cookiefile>

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><certificate_chain><chain>-----BEGIN CERTIFICATE-----MIIDgjCCAmoCCQCEDeNwcGsttTANBgkqhkiG9w0BAQUFADCBgjELMAkGA1UEBhMC VVMxCzAJBgNVBAgMAkdBMQwwCgYDVQQHDANBVEwxDDAKBgNVBAoMA0VNQzEMMAoG A1UECwwDRU5HMQ4wDAYDVQQDDAVjaHJpczEsMCoGCSqGSIb3DQEJARYdY2hyaXN0 b3BoZXIuZ2hva2FzaWFuQGVtYy5jb20wHhcNMTYwNjAxMTg0MTIyWhcNMTcwNjAy MTg0MTIyWjCBgjELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkdBMQwwCgYDVQQHDANB VEwxDDAKBgNVBAoMA0VNQzEMMAoGA1UECwwDRU5HMQ4wDAYDVQQDDAVjaHJpczEs MCoGCSqGSIb3DQEJARYdY2hyaXN0b3BoZXIuZ2hva2FzaWFuQGVtYy5jb20wggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDb9WtdcW5HJpIDOuTB7o7ic0RK dwA4dY/nJXrk6Ikae5zDWO8XH4noQNhAu8FnEwS5kjtBK1hGI2GEFBtLkIH49AUp c4KrMmotDmbCeHvOhNCqBLZ5JM6DACfO/elHpb2hgBENTd6zyp7mz/7MUf52s9Lb x5pRRCp1iLDw3s15iodZ5GL8pRT62puJVK1do9mPfMoL22woR3YB2++AkSdAgEFH 1XLIsFGkBsEJObbDBoEMEjEIivnTRPiyocyWki6gfLh50u9Y9B2GRzLAzIlgNiEs L/vyyrHcwOs4up9QqhAlvMn3Al01VF+OH0omQECSchBdsc/R/Bc35FAEVdmTAgMB AAEwDQYJKoZIhvcNAQEFBQADggEBAAyYcvJtEhOq+n87wukjPMgC7l9n7rgvaTmo tzpQhtt6kFoSBO7p//76DNzXRXhBDADwpUGG9S4tgHChAFu9DpHFzvnjNGGw83ht qcJ6JYgB2M3lOQAssgW4fU6VD2bfQbGRWKy9G1rPYGVsmKQ59Xeuvf/cWvplkwW2 bKnZmAbWEfE1cEOqt+5m20qGPcf45B7DPp2J+wVdDD7N8198Jj5HJBJt3T3aUEwj kvnPx1PtFM9YORKXFX2InF3UOdMs0zJUkhBZT9cJ0gASi1w0vEnx850secu1CPLF WB9G7R5qHWOXlkbAVPuFN0lTav+yrr8RgTawAcsV9LhkTTOUcqI= -----END CERTIFICATE-----</chain></certificate_chain>

2. Puede verificar el certificado mediante openssl en todos los nodos.

openssl s_client -showcerts -connect <node_ip>:<port>

Nota

El puerto de administración es 4443.

Por ejemplo:

openssl s_client -showcerts -connect 10.1.2.3:4443

Verificar el certificado de objetoPuede recuperar el certificado de objeto instalado mediante la API REST deadministración de ECS.

Certificados


Antes de comenzar


l Si ha reiniciado servicios, el certificado estará disponible inmediatamente. De locontrario, debe esperar dos horas para asegurarse de que el certificado se hayapropagado a todos los nodos.

Procedimiento

1. Utilice el método GET /object-cert/keystore para devolver el certificado.

Con la herramienta curl, para ejecutar el método, escriba lo siguiente:

curl -svk -H "X-SDS-AUTH-TOKEN: $TOKEN" https://x.x.x.x:4443/object-cert/keystore


python ecscli.py keystore show –hostname <ecs_host_ip> -port 4443 –cf <cookiefile>

2. Puede verificar el certificado mediante openssl en todos los nodos.

openssl s_client -showcerts -connect <node_ip>:<port>

Nota

Los puertos son: s3: 9021, Atmos: 9023, Swift: 9025

Ejemplo:

openssl s_client -showcerts -connect 10.1.2.3:9021

Certificados

Verificar el certificado de objeto 151

Certificados


CAPÍTULO 10

Configuración de ECS

l Introducción a la configuración de ECS............................................................ 154l URL base de objetos......................................................................................... 154l Cambiar contraseña..........................................................................................158l EMC Secure Remote Services (ESRS).............................................................159l Servidores de notificación de eventos.............................................................. 160l Bloqueo de la plataforma...................................................................................172l Licencia............................................................................................................ 175l Acerca de este VDC.......................................................................................... 176

Configuración de ECS 153

Introducción a la configuración de ECS

En esta sección se describen los ajustes que el administrador del sistema puede ver yconfigurar en la sección Settings del portal de ECS. Entre estos ajustes, se incluyenlos siguientes:

l URL base de objetos

l Contraseña

l ESRS

l Notificación de eventos

l Bloqueo de la plataforma

l Licencias

l Acerca de este VDC

URL base de objetosECS admite aplicaciones compatibles con Amazon S3 que utilizan esquemas dedireccionamiento semejantes al de los hosts virtuales y las rutas. En configuracionesmultiusuario, ECS permite que el espacio de nombres se proporcione en la direcciónURL.

La dirección URL base se utiliza como parte de la dirección de objetos cuando se usaun direccionamiento semejante al de los hosts virtuales y permite que ECS sepa quéparte de la dirección se refiere al depósito y, opcionalmente, al espacio de nombres.

Por ejemplo, si utiliza un esquema de direccionamiento que incluye el espacio denombres, de modo que tiene direcciones con el formatomybucket.mynamespace.mydomain.com, debe indicar a ECS quemydomain.com es la dirección URL base para que ECS identifiquemybucket.mynamespace como el depósito y el espacio de nombres.

De forma predeterminada, la dirección URL base se establece ens3.amazonaws.com.

Un administrador del sistema ECS puede agregar una dirección URL base por mediodel portal de ECS o mediante el uso de la API REST de administración de ECS.

Los siguientes temas describen los esquemas de direccionamiento compatibles conECS, cómo ECS procesa las solicitudes de API de aplicaciones S3, cómo el esquemade direccionamiento afecta la resolución de DNS y cómo agregar una dirección URLbase en el portal de ECS.

l Direccionamiento de depósitos y espacios de nombres en la página 154

l Configuración de DNS en la página 156

l Agregar una dirección URL base en la página 157

Direccionamiento de depósitos y espacios de nombresCuando una aplicación compatible con S3 realiza una solicitud de API para ejecutar unaoperación en un depósito de ECS, ECS puede identificar el depósito de variasmaneras.

En el caso de las solicitudes de API autenticadas, ECS infiere el espacio de nombresmediante el uso del espacio de nombres al cual pertenece el usuario autenticado. Paraadmitir solicitudes anónimas y sin autenticar que requieren compatibilidad con CORS o



acceso anónimo a objetos, debe incluir el espacio de nombres en la dirección, de modoque ECS pueda identificar el espacio de nombres para la solicitud.

Cuando el alcance del usuario es NAMESPACE, el mismo ID de usuario puede existir envarios espacios de nombres (por ejemplo, namespace1/user1 y namespace2/user1).Por lo tanto, debe incluir el espacio de nombres en la dirección. ECS no puede deducirel espacio de nombres a partir del ID de usuario.

Las direcciones de espacios de nombres requieren entradas de DNS de comodín (porejemplo, *.ecs1.yourco.com) y también certificados SSL comodín para hacercoincidir si desea utilizar HTTPS. Las direcciones que no son de espacios de nombres ylas direcciones semejantes a las de las rutas no requieren comodines, ya que solo seutiliza un nombre de host para todo el tráfico. Si utiliza direcciones que no son deespacios de nombres con depósitos con un estilo similar al de los hosts virtuales,necesitará entradas de DNS de comodín y certificados SSL comodín.

Puede especificar el espacio de nombres en el encabezado x-emc-namespace deuna solicitud HTTP. ECS también admite la extracción de la ubicación del encabezadodel host.

Direccionamiento semejante al de los hosts virtuales

En el esquema de direccionamiento semejante al de los hosts virtuales, el nombre deldepósito es el nombre del host. Por ejemplo, puede obtener acceso al depósitodenominado mybucket en el host ecs1.yourco.com mediante la siguientedirección:

http://mybucket.ecs1.yourco.comTambién puede incluir un espacio de nombres en la dirección.

Ejemplo: mybucket.mynamespace.ecs1.yourco.comPara utilizar el direccionamiento al estilo de los hosts virtuales, debe configurar ladirección URL base en ECS de modo que ECS pueda identificar qué parte de ladirección URL es el nombre del depósito. También debe asegurarse de que el sistemaDNS esté configurado para resolver la dirección. Para obtener más información sobrela configuración de DNS, consulte Configuración de DNS en la página 156

Direccionamiento semejante al de las rutas

En el esquema de direccionamiento semejante al de las rutas, el nombre del depósitose agrega al final de la ruta.

Ejemplo: ecs1.yourco.com/mybucketPuede especificar un espacio de nombres mediante el uso del encabezado x-emc-namespace o mediante la inclusión del espacio de nombres en la dirección semejantea la de las rutas.

Ejemplo: mynamespace.ecs1.yourco.com/mybucket

Procesamiento de dirección de ECS

Cuando ECS procesa una solicitud de una aplicación compatible con S3 para accederal almacenamiento de ECS, lleva a cabo las siguientes acciones:

1. Intenta extraer el espacio de nombres del encabezado x-emc-namespace. Si loencuentra, omita los pasos que se detallan a continuación y procese la solicitud.

2. Obtiene el nombre de host de la URL del encabezado del host y comprueba si laúltima parte de la dirección coincide con alguna de las direcciones URL baseconfiguradas.


Direccionamiento de depósitos y espacios de nombres 155

3. Si hay una coincidencia con una dirección URL base, utiliza la parte del prefijo delnombre del host (la parte izquierda cuando se elimina la dirección URL base), paraobtener la ubicación del depósito.

Los siguientes ejemplos muestran cómo ECS atiende las solicitudes HTTP entrantescon diferentes estructuras.

Nota

Cuando agrega una dirección URL base a ECS, puede especificar si las direccionesURL contienen un espacio de nombres en el campo Use base URL with Namespaceen la página New Base URL en el portal de ECS. Esto indica a ECS cómo tratar elprefijo de ubicación del depósito. Para obtener más información, consulte Agregar unadirección URL base en la página 157

Ejemplo 1: Direccionamiento semejante al de los hosts virtuales, opción Utilizar ladirección URL base con espacio de nombres habilitada

Host: baseball.image.yourco.finance.comBaseURL: finance.comUse BaseURL with namespace enabled

Namespace: yourcoBucket Name: baseball.image

Ejemplo 2: Direccionamiento semejante al de los hosts virtuales, opción Utilizar ladirección URL base con espacio de nombres deshabilitada

Host: baseball.image.yourco.finance.comBaseURL: finance.comUse BaseURL without namespace enabled

Namespace: null (Use other methods to determine namespace)Bucket Name: baseball.image.yourco

Ejemplo 3: ECS trata esta solicitud como una solicitud semejante a la de las rutas.

Host: baseball.image.yourco.finance.comBaseURL: not configured

Namespace: null (Use other methods to determine namespace.)Bucket Name: null (Use other methods to determine the bucket name.)

Configuración de DNSPara que una aplicación compatible con S3 acceda al almacenamiento de ECS, esnecesario que la URL se resuelva a la dirección del nodo de datos de ECS o albalanceador de carga de nodos de datos.

Si su aplicación utiliza direccionamiento semejante al de las rutas, debe asegurarse deque el sistema DNS pueda resolver la dirección. Por ejemplo, si su aplicación emitesolicitudes con el formato ecs1.yourco.com/bucket, debe tener una entrada deDNS que resuelva ecs1.yourco.com a la dirección IP del balanceador de carga que



se utiliza para obtener acceso a los nodos de ECS. Si su aplicación está configuradapara comunicarse con Amazon S3, el URI tiene el formato s3-eu-west-1.amazonaws.com.

Si la aplicación utiliza el direccionamiento de estilo de host virtual, la URL incluirá elnombre del depósito y puede incluir un espacio de nombres. En estas circunstancias,debe tener una entrada de DNS que resuelva la dirección de estilo de host virtualmediante el uso de un comodín en la entrada de DNS. Esto también se aplica si estáutilizando direcciones de estilo de ruta que incluyen el espacio de nombres en la URL.

Por ejemplo, si la aplicación emite solicitudes con el formatomybucket.s3.yourco.com, debe tener las siguientes entradas de DNS.

l ecs1.yourco.coml *.ecs1.yourco.comSi la aplicación se conectó anteriormente con el servicio de Amazon S3 mediantemybucket.s3.amazonaws.com, debe tener las siguientes entradas de DNS.

l s3.amazonaws.coml *.s3.amazonaws.comEstas entradas resuelven la dirección del depósito de estilo de host virtual y el nombrebásico cuando se emiten comandos de nivel de servicio (por ejemplo, la lista dedepósitos).

Si crea un certificado SSL para el servicio de S3 de ECS, debe tener la entradacomodín en el nombre del certificado y la versión sin comodín como un nombrealternativo del sujeto.

Agregar una dirección URL baseDebe agregar una URL base si utiliza clientes de objetos que codifican la ubicación deun objeto, su nombre de espacios (opcional) y las categorías en una URL.

Antes de comenzar

Esta operación requiere la función del Administrador de sistemas en ECS.

Debe asegurarse de que el dominio especificado en una solicitud que utiliza una URLpara especificar una ubicación de objeto resuelva la ubicación del nodo de datos deECS o de un balanceador de carga que resida frente a los nodos de datos.

Procedimiento

1. En el portal de ECS, seleccione Settings > Object Base URL.

Aparecerá la página Base URL Management con una lista de direcciones URLbase. La propiedad Use with Namespace indica si las direcciones URL incluyenun espacio de nombres.


Agregar una dirección URL base 157

2. En la página Base URL Management, haga clic en New Base URL.

3. En la página New Base URL, en el campo Name, escriba el nombre de ladirección URL base.

El nombre proporciona una etiqueta para esta dirección URL base en la lista dedirecciones URL base, en la página Base URL Management.

4. En el campo Base URL, escriba la dirección URL base.

Si las direcciones URL del objeto se encontraran en el formato https://mybucket.mynamespace.acme.com (es decir,bucket.namespace.baseurl) o https://mybucket.acme.com (esdecir, bucket.baseurl), la dirección URL base sería acme.com.

5. En el campo Use base URL with Namespace, haga clic en Yes si lasdirecciones URL incluyen un espacio de nombres.


Cambiar contraseñaPuede usar el portal de ECS para cambiar su contraseña.

Antes de comenzar

Esta operación requiere las funciones de administrador del sistema, administrador delespacio de nombres, administrador de bloqueo (emcsecurity) o monitor del sistema enECS.

Procedimiento

1. En el portal de ECS, seleccione Settings > Change Password

2. En la página Change Password, ingrese una nueva contraseña en el campoPassword y, luego, ingrésela otra vez en el campo Confirm Password.




EMC Secure Remote Services (ESRS)Puede usar el portal de ECS para agregar o actualizar un servidor de ESRS. EMCSecure Remote Services (ESRS) está diseñado para brindar una respuesta inmediata ysegura a los informes de eventos de ECS, por ejemplo, alertas de error que puedenayudar a aumentar la disponibilidad de su infraestructura de información.

Antes de comenzar

l Se debe haber completado la configuración de ESRS inicial. Para realizar los pasosiniciales para configurar ESRS en ECS, póngase en contacto con su Representantede servicio al cliente.

l Si ya tiene un servidor de ESRS activado, debe eliminarlo y agregar el nuevo.


Procedimiento

1. En el portal de ECS, seleccione Settings > ESRS > New Server.

2. En la página New ESRS Server:

a. En el campo FQDN/IP, escriba la dirección IP o el nombre de dominiocalificado del gateway de ESRS.

b. En el campo PORT, escriba el puerto del gateway de ESRS (9443 de formapredeterminada).

c. En el campo Username, escriba el nombre de usuario de inicio de sesiónutilizado para comunicarse con el soporte de ECS. Este es el mismo nombrede usuario de inicio de sesión utilizado para iniciar sesión ensupport.emc.com.

d. En el campo Password, ingrese la contraseña configurada con el nombre deusuario de inicio de sesión.


La conectividad del servidor puede tardar unos minutos en completarse. Paramonitorear el proceso, haga clic en el botón de actualización. Algunos posiblesestados de transición son Processing, Connected o Failed.

4. Si ESRS está configurado con más de un gateway para alta disponibilidad, repitalos pasos 1 a 3 para agregar servidores de gateway de ESRS adicionales.

Verificar la configuración de ESRSPuede verificar que ESRS esté configurado y pueda ponerse en contacto con el centrode servicio al cliente correctamente.

Puede probar si ESRS funciona generando una alerta de prueba y, a continuación,comprobando si recibió la alerta.

Procedimiento

1. Para generar una alerta de prueba, complete los siguientes pasos.

a. Realice la autenticación con la API REST de administración de ECS.

Por ejemplo, mediante la herramienta de la línea de comandos curl, escriba elsiguiente comando.

curl -L --location-trusted -k https://192.0.2.49:4443/login -u "root:ChangeMe" -v


EMC Secure Remote Services (ESRS) 159

El token X-SDS-AUTH-TOKEN: se usa para autenticar con ECS paraejecutar comandos de la API REST de administración de ECS.

X-SDS-AUTH-TOKEN: BAAcaGtkTzRZU2k0SE5acVYxdFNCYUlUby9mOVM4PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOjMwOTFjMDY1LTgzMDAtNGNlNi1iNDY3LTU5NDFiM2MyYTBmZAIADTE0NzM3NzkxMzA4OTMDAC51cm46VG9rZW46M2Y4NTMzMzctN2ZiZi00NWRiLTk0M2YtY2NkYTc2OWQ0ZTc4AgAC0A8=

b. Puede almacenar el token de autenticación (X-SDS-AUTH-TOKEN) en unavariable de ambiente.

export AUTH_TOKEN="X-SDS-AUTH-TOKEN: BAAcaGtkTzRZU2k0SE5acVYxdFNCYUlUby9mOVM4PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOjMwOTFjMDY1LTgzMDAtNGNlNi1iNDY3LTU5NDFiM2MyYTBmZAIADTE0NzM3NzkxMzA4OTMDAC51cm46VG9rZW46M2Y4NTMzMzctN2ZiZi00NWRiLTk0M2YtY2NkYTc2OWQ0ZTc4AgAC0A8="

c. Generar una alerta de prueba.

Por ejemplo, con la variable de ambiente $AUTH_TOKEN, escriba el siguientecomando.

El parámetro user_str le permite especificar un mensaje de prueba y elparámetro contact le permite suministrar una dirección de correoelectrónico.

curl -ks -H "$AUTH_TOKEN" -H "Content-Type: application/json" -d '{"user_str": "test alert > for ESRS", "contact": "[email protected]"}' https://10.241.207.57:4443/vdc/callhome/alert | xmllint -format -

2. En el portal de ECS, compruebe que se haya recibido la notificación de ESRS.

3. Compruebe que esté presente la alerta de prueba más reciente.

a. Protocolo SSH en el servidor de ESRS.

b. Vaya a la ubicación del archivo RSC.

cd /opt/connectemc/archive/

c. Busque el archivo RSC más reciente mediante el siguiente comando:

ls –lrt RSC_<SERIAL NUMBER>*”

d. Abra el archivo y compruebe si la alerta de prueba más reciente estápresente en la descripción.

Servidores de notificación de eventosPuede agregar servidores de Syslog, SNMPv2 y SNMPv3 a ECS para enrutarnotificaciones de eventos de SNMP y Syslog a sistemas externos.

En ECS, puede agregar los siguientes tipos de servidores de notificación de eventos:



l Los servidores de protocolo simple de administración de red (SNMP), tambiénconocidos como agentes SNMP, proporcionan datos acerca de la estadística y delestado del dispositivo administrado por red a los clientes de la estación deadministración de red de SNMP. Para obtener más información, consulte SNMPservers.

l Los servidores de syslog proporcionan un método para el almacenamientocentralizado y la recuperación de mensajes de registro del sistema. ECS escompatible con el reenvío de mensajes de auditoría y alertas a servidores de syslogremotos y admite operaciones mediante los protocolos de aplicaciones Syslog deBSD y Syslog estructurado. Para obtener más información, consulte Syslogservers.

Puede agregar servidores de notificación de eventos desde el portal de ECS omediante la CLI o la API REST de administración de ECS.

l Agregar un destinatario de SNMPv2 trap en la página 162

l Agregar un destinatario de SNMPv3 trap en la página 163

l Agregar un servidor de syslog: en la página 169

Servidores SNMPLos servidores de protocolo simple de administración de red (SNMP), tambiénconocidos como agentes SNMP, proporcionan datos acerca de la estadística y delestado del dispositivo administrado por red a los clientes de la estación deadministración de red de SNMP.

A fin de permitir la comunicación entre los agentes SNMP y los clientes de lasestaciones de administración de red de SNMP, debe configurar ambos lados parautilizar las mismas credenciales. Para SNMP v2, ambos lados deben usar el mismonombre de comunidad. Para SNMP v3, ambos lados deben usar la misma informacióncorrespondiente al ID del motor, al nombre de usuario, al protocolo y a la frase decontraseña de autenticación, y al protocolo y a la frase de contraseña de privacidad.

A fin de autenticar el tráfico entre los servidores de SNMPv3 y los clientes de lasestaciones de administración de red de SNMP, y para verificar la integridad de losmensajes entre hosts, ECS admite el uso estándar de SNMPv3 para las siguientesfunciones de hash criptográfico:

l Recopilación de mensaje 5 (MD5)

l Algoritmo hash seguro 1 (SHA-1)

A fin de cifrar todo el tráfico entre los servidores de SNMPv3 y los clientes deestaciones de administración de red de SNMP, ECS admite el cifrado del tráfico deSNMPv3 mediante los siguientes protocolos criptográficos:

l Cifrado Digital Encryption Standard (con claves de 56 bits)

l Cifrado Digital Encryption Standard (con claves de 128 bits, 192 bits o 256 bits)

Nota

Es posible que el soporte para los modos de seguridad avanzada (AES192/256) queproporciona la función SNMP trap de ECS sea incompatible con determinadosdestinos de SNMP (por ejemplo, iReasoning).


Servidores SNMP 161

Agregar un destinatario de SNMPv2 trapPuede configurar clientes de administración de red como destinatarios de SNMPv2trap para SNMP traps generados por el fabric de ECS mediante la mensajería estándarde SNMPv2.

Antes de comenzar

Esta operación requiere la función de administrador del sistema en ECS.Procedimiento

1. En el portal de ECS, seleccione Settings > Event Notification.

Aparecerá la página Event Notification con la pestaña SNMP abierta. Estapágina enumera los servidores de SNMP que se agregaron a ECS y le permiteconfigurar destinos de servidores de SNMP.

2. En la página Event Notification, haga clic en New Target.

Aparecerá la subpágina New SNMP Target.



3. En la subpágina New SNMP Target, complete los siguientes pasos.

a. En el campo FQDN/IP, escriba el nombre de dominio calificado o la direcciónIP para el nodo de destinatario de SNMP v2c trap que ejecuta el servidorsnmptrapd.

b. En el campo Port, escriba el número de puerto de SNMP v2c snmptrapdque se ejecuta en el cliente de la estación de administración de redes.

El número de puerto predeterminado es 162.

c. En el campo Version, seleccione SNMPv2.

d. En el campo Community Name, escriba el nombre de la comunidad deSNMP.

El servidor de SNMP y los clientes de la estación de administración de redesque acceden a él deben utilizar el mismo nombre de comunidad a fin degarantizar el tráfico de mensajes auténtico del SNMP, según lo definen losestándares de RFC 1157 y RFC 3584.

El nombre de comunidad predeterminado es public.


Agregar un destinatario de SNMPv3 trapPuede configurar clientes de administración de red como destinatarios de SNMPv3trap para SNMP traps generados por el fabric de ECS mediante la mensajería estándarde SNMPv3.

Antes de comenzar



Servidores SNMP 163

Procedimiento


2. En la página Event Notification, haga clic en New Target.

3. En la subpágina New SNMP Target, complete los siguientes pasos.

a. En el campo FQDN/IP, escriba el nombre de dominio calificado o la direcciónIP para el nodo de destinatario de SNMPv3 trap que ejecuta el servidorsnmptrapd.

b. En el campo Port, escriba el número de puerto de SNMP 3c snmptrapdque se ejecuta en el cliente de la estación de administración de redes.


c. En el campo Version, seleccione SNMPv3.

d. En el campo Username, escriba el nombre de usuario que se utilizará en eltráfico del mensaje y la autenticación según el modelo de seguridad basadoen el usuario (USM) que define RFC 3414.

El servidor de SNMP y los clientes de la estación de administración de redesque acceden a él deben especificar el mismo nombre de usuario a fin degarantizar la comunicación. Se trata de una cadena de octetos de un máximode 32 caracteres de longitud.



e. En el cuadro Authentication, haga clic en Enabled si desea habilitar laautenticación mediante el algoritmo de recopilación de mensajes 5 (MD5),de 128 bits, o el algoritmo hash seguro 1 (SHA-1), de 160 bits, para todas lastransmisiones de datos SNMPv3 y realice lo siguiente:

l En el campo Authentication Protocol, seleccione MD5 o SHA.Esta es la función de hash criptográfico que se utiliza para verificar laintegridad de los mensajes entre los hosts. El valor predeterminado esMD5.

l En el campo Authentication Passphrase, escriba la cadena que se utilizacomo una clave secreta para la autenticación entre los hosts estándaresde USM SNMPv3 cuando se calcula una recopilación del mensaje.La frase de contraseña puede tener una longitud de 16 octetos para MD5y de 20 octetos para SHA-1.

f. En el cuadro Privacy, haga clic en Enabled si desea habilitar el cifradoAdvanced Encryption Standard (AES) (de 128 bits, 192 bits o 256 bits) oDigital Encryption Standard (DES) (de 56 bits) para todas las transmisionesde datos SNMPv3 y realice lo siguiente:

l En el campo Privacy Protocol, seleccione DES, AES128, AES192 oAES256.Este es el protocolo criptográfico que se utiliza en el cifrado de todo eltráfico entre los servidores de SNMP y los clientes de la estación deadministración de redes de SNMP. La opción predeterminada es DES.

l En el campo Privacy Passphrase, escriba la cadena que se utiliza en elalgoritmo de cifrado como una clave secreta para el cifrado entre loshosts estándares de USM SNMPv3.La longitud de esta clave debe ser de 16 octetos para DES y más largapara los protocolos AES.


Resultados

Cuando se crea la primera configuración de SNMPv3, el sistema ECS crea un ID demotor de SNMP que se utilizará para el tráfico de SNMPv3. La página EventNotification muestra el ID de motor de SNMP en el campo Engine ID. En cambio,puede obtener un ID de motor de una herramienta de monitoreo de red y especificarloen el campo Engine ID. El problema importante es que el servidor de SNMP y losclientes de la estación de administración de redes de SNMP que deben comunicarsecon él mediante el tráfico SNMPv3 deben usar el mismo ID de motor de SNMP endicho tráfico.

Compatibilidad con MIB, consultas y recopilación de datos del protocolo SNMP en ECS

ECS admite la recopilación de datos del protocolo simple de administración de red(SNMP), consultas y MIB de las siguientes maneras:

l Durante el proceso de instalación de ECS, su Representante de servicio al clientepuede configurar e iniciar un servidor de snmpd para admitir el monitoreoespecífico de métricas en el nivel de nodo de ECS. Un cliente de la estación deadministración de redes puede consultar estos servidores de snmpd en el nivel dekernel para reunir información sobre el uso de la CPU y la memoria desde los nodosde ECS, según lo definido por Management Information Bases (MIB) estándares. Afin de obtener la lista de archivos MIB para la cual ECS admite las consultas deSNMP, consulte MIB del SNMP compatibles con las consultas en ECS en la página166.


Servidores SNMP 165

l La capa del ciclo de vida de fabric de ECS incluye una biblioteca snmp4j que actúacomo un servidor de SNMP para generar SNMPv2 traps y SNMPv3 traps, yenviarlos hasta a diez clientes de estaciones de administración de redes dedestinatarios de SNMP trap. Para obtener más información sobre archivos MIBpara los cuales ECS admita SNMP traps, consulte Definición de MIB y jerarquía deID de objetos del SNMP de ECS-MIB en la página 166. Puede agregar losservidores de destinatarios de SNMP trap mediante el uso de la página EventNotification en el portal de ECS. Para obtener más información, consulte Agregarun destinatario de SNMPv2 trap en la página 162 y Agregar un destinatario deSNMPv3 trap en la página 163.

MIB del SNMP compatibles con las consultas en ECS

Puede consultar los servidores de snmpd que pueden ejecutarse en cada nodo de ECSdesde clientes de la estación de administración de redes para los siguientes MIB deSNMP:

l MIB-2l DISMAN-EVENT-MIBl HOST-RESOURCES-MIBl UCD-SNMP-MIB

Mediante una estación de administración de SNMP o un software equivalente, puedeconsultar los nodos de ECS para obtener la siguiente información básica:

l Uso de la CPUl Uso de la memorial Cantidad de procesos en ejecución

Definición de MIB y jerarquía de ID de objetos del SNMP de ECS-MIB

Este tema describe la jerarquía de ID de objetos del SNMP y proporciona la definicióncompleta de MIB-II para la MIB empresarial, también conocida como ECS-MIB.

La MIB empresarial del SNMP, llamada ECS-MIB, define los objetostrapAlarmNotification, notifyTimestamp, notifySeverity, notifyTypey notifyDescription, e incluye SNMP traps compatibles que se asocian con laadministración de hardware del dispositivo ECS. ECS envía traps desde el contenedorde ciclo de vida de fabric y utiliza los servicios que proporciona la biblioteca de Javasnmp4j. Los objetos incluidos en la ECS-MIB tienen la siguiente jerarquía:

emc.............................1.3.6.1.4.1.1139 ecs.........................1.3.6.1.4.1.1139.102 trapAlarmNotification...1.3.6.1.4.1.1139.102.1.1 notifyTimestamp.....1.3.6.1.4.1.1139.102.0.1.1 notifySeverity......1.3.6.1.4.1.1139.102.0.1.2 notifyType..........1.3.6.1.4.1.1139.102.0.1.3 notifyDescription...1.3.6.1.4.1.1139.102.0.1.4

Puede descargar la definición de ECS-MIB (como el archivo ECS-MIB-v2.mib)desde el ssitede soporte en la sección de descargas en complementos. La siguientesintaxis de Management Information Base define la MIB empresarial del SNMP,llamada “ECS-MIB”:

ECS-MIB DEFINITIONS ::= BEGIN IMPORTS enterprises, Counter32, OBJECT-TYPE,



MODULE-IDENTITY, NOTIFICATION-TYPE FROM SNMPv2-SMI; ecs MODULE-IDENTITY LAST-UPDATED "201605161234Z" ORGANIZATION "EMC ECS" CONTACT-INFO "EMC Corporation 176 South Street Hopkinton, MA 01748" DESCRIPTION "The EMC ECS Manager MIB module" ::= { emc 102 } emc OBJECT IDENTIFIER ::= { enterprises 1139 } -- Top level groups notificationData OBJECT IDENTIFIER ::= { ecs 0 } notificationTrap OBJECT IDENTIFIER ::= { ecs 1 } -- The notificationData group -- The members of this group are the OIDs for VarBinds -- that contain notification data. genericNotify OBJECT IDENTIFIER ::= { notificationData 1 } notifyTimestamp OBJECT-TYPE SYNTAX OCTET STRING MAX-ACCESS read-only STATUS current DESCRIPTION "The timestamp of the notification" ::= { genericNotify 1 } notifySeverity OBJECT-TYPE SYNTAX OCTET STRING MAX-ACCESS read-only STATUS current DESCRIPTION "The severity level of the event" ::= { genericNotify 2 } notifyType OBJECT-TYPE SYNTAX OCTET STRING MAX-ACCESS read-only STATUS current DESCRIPTION "A type of the event" ::= { genericNotify 3 } notifyDescription OBJECT-TYPE SYNTAX OCTET STRING MAX-ACCESS read-only STATUS current DESCRIPTION "A complete description of the event" ::= { genericNotify 4 } -- The SNMP trap -- The definition of these objects mimics the SNMPv2 convention for -- sending traps. The enterprise OID gets appended with a 0 -- and then with the specific trap code. trapAlarmNotification NOTIFICATION-TYPE OBJECTS { notifyTimestamp, notifySeverity, notifyType, notifyDescription, } STATUS current DESCRIPTION "This trap identifies a problem on the ECS. The description can be used to describe the nature of the change"


Servidores SNMP 167

::= { notificationTrap 1 }END

Los mensajes de trap formulados en respuesta a una alerta de Disk Failure seenvían a la página del portal de ECS Monitor > Events > Alerts en el formato Disk{diskSerialNumber} on node {fqdn} has failed:

2016-08-12 01:33:22 lviprbig248141.lss.emc.com [UDP: [10.249.248.141]:39116->[10.249.238.216]]:iso.3.6.1.6.3.18.1.3.0 = IpAddress: 10.249.238.216 iso.3.6.1.6.3.1.1.4.1.0 = OID: iso.3.6.1.4.1.1139.102.1.1 iso.3.6.1.4.1.1139.102.0.1.1 = STRING: "Fri Aug 12 13:48:03 GMT 2016" iso.3.6.1.4.1.1139.102.0.1.2 = STRING: "Critical" iso.3.6.1.4.1.1139.102.0.1.3 = STRING: "2002" iso.3.6.1.4.1.1139.102.0.1.4 = STRING: "Disk 1EGAGMRB on node provo-mustard.ecs.lab.emc.com has failed"

Los mensajes de trap formulados en respuesta a una alerta de Disk Back Up seenvían a la página del portal de ECS Monitor > Events > Alerts en el formato Disk{diskSerialNumber} on node {fqdn} was revived:

2016-08-12 04:08:42 lviprbig249231.lss.emc.com [UDP: [10.249.249.231]:52469->[10.249.238.216]]:iso.3.6.1.6.3.18.1.3.0 = IpAddress: 10.249.238.216 iso.3.6.1.6.3.1.1.4.1.0 = OID: iso.3.6.1.4.1.1139.102.1.1 iso.3.6.1.4.1.1139.102.0.1.1 = STRING: "Fri Aug 12 16:23:23 GMT 2016" iso.3.6.1.4.1.1139.102.0.1.2 = STRING: "Info" iso.3.6.1.4.1.1139.102.0.1.3 = STRING: "2025" iso.3.6.1.4.1.1139.102.0.1.4 = STRING: "Disk 1EV1H2WB on node provo-copper.ecs.lab.emc.com was revived"

Servidores de syslogLos servidores de syslog proporcionan un método para el almacenamiento centralizadoy la recuperación de mensajes de registro del sistema. ECS es compatible con elreenvío de mensajes de auditoría y alertas a servidores de syslog remotos y admiteoperaciones mediante los siguientes protocolos de aplicación:

l Syslog de BSD

l Syslog estructurado

Los mensajes de auditoría y alertas que se envían a los servidores de Syslog tambiénse muestran en el portal de ECS, a excepción de los mensajes de Syslog a nivel del SO(por ejemplo, mensajes de inicio de sesión del protocolo SSH del nodo), los cuales solose envían a servidores de Syslog y no se muestran en el portal de ECS.

Una vez agregado un servidor de Syslog, ECS inicia un contenedor de syslog en cadanodo. El tráfico de mensajes se produce mediante TCP o el UDP predeterminado.

ECS envía mensajes de registro de auditoría a los servidores de Syslog, incluido el nivelde gravedad, mediante el siguiente formato:

${serviceType} ${eventType} ${namespace} ${userId} ${message}ECS envía registros de alerta a los servidores de syslog con la misma gravedad queaparece en el portal de ECS mediante el siguiente formato:

${alertType} ${symptomCode} ${namespace} ${message}ECS envía alertas de fabric mediante el siguiente formato:

Fabric {symptomCode} "{description}"



A partir de ECS 3.1, ECS reenvía solo los siguientes registros de sistema operativo aservidores de Syslog:

l Mensajes de protocolo SSH externos

l Todos los mensajes sudo con gravedad de información y superior

l Todos los mensajes de la funcionalidad auth con gravedad de advertencia ysuperior, que son mensajes relacionados con seguridad y autorización

Agregar un servidor de syslog:Puede configurar un servidor de syslog para que almacene remotamente mensajes deregistro de ECS.

Antes de comenzar


Procedimiento


2. En la página Event Notification, haga clic en Syslog.

Esta página enumera los servidores de Syslog que se agregaron a ECS y lepermite configurar nuevos servidores de Syslog.

3. En la página Event Notification, haga clic en New Server.

Aparecerá la subpágina New Syslog Server.


Servidores de syslog 169

4. En la subpágina New Syslog Server, complete los siguientes pasos.

a. En el campo Protocol, seleccione UDP o TCP.

UDP es el protocolo predeterminado.

b. En el campo FQDN/IP, escriba el nombre de dominio calificado o la direcciónIP para el nodo que ejecuta el servidor de Syslog.

c. En el campo Port, escriba el número de puerto para el servidor de Syslog enel cual desea almacenar los mensajes de registro.


d. En el campo Severity, seleccione la gravedad de umbral para los mensajesque se envían al registro. Las opciones desplegables son Emergency, Alert,Critical, Error, Warning, Notice, Informational o Debug.


Filtrado de mensajes de Syslog en el lado del servidorEn este tema se describe cómo un mensaje de Syslog de ECS se puede filtrar aún máscon una configuración en el lado del servidor.

Puede configurar servidores de Syslog en el portal de ECS (o mediante la API REST deadministración de ECS) para especificar los mensajes que se entregan a los servidores.A continuación, puede usar técnicas de filtrado en el lado del servidor para reducir lacantidad de mensajes que se guardan en los registros. El filtrado se realiza en el nivelde la instalación. Una instalación segmenta los mensajes por tipo. ECS dirige losmensajes a instalaciones como se describe en la tabla siguiente.



Tabla 20 Instalaciones de Syslog utilizadas por ECS

Instalación Palabra clave Uso definido Uso de ECS

1 user Mensajes de usuarios Alertas de fabric

3 daemon Demonios del sistema Mensajes del sistemaoperativo

4 auth Mensajes de seguridad yautorización

Mensajes de éxito y falla dessh y sudo

16 local0 Uso local 0 Alertas de objetos, auditoríasde objetos

Todas las instalaciones *

Para cada instalación, puede filtrar por nivel de gravedad con el siguiente formato:

facility-keyword.severity-keywordLas palabras clave de gravedad se describen en la siguiente tabla.

Tabla 21 Palabras clave de gravedad de Syslog

Número de nivel degravedad

Nivel de gravedad Palabra clave

0 Emergency emerg

1 Alert alert

2 Critical crit

3 Error err

4 Warning warn

5 Notice notice

6 Creación de informes info

7 Depurar depurar

All severities All severities *

Modificar la configuración del servidor de Syslog mediante el archivo /etc/rsyslog.confPuede modificar su configuración existente editando el archivo /etc/rsyslog.confen el servidor de Syslog.

Procedimiento

1. Puede configurar el archivo /etc/rsyslog.conf de las siguientes maneras:

a. Para recibir mensajes entrantes de ECS de todas las funcionalidades y todoslos niveles de gravedad, use esta configuración y especifique la rutacompleta y el nombre de su archivo de registro de destino:

*.* /var/log/ecs-messages.all


Servidores de syslog 171

b. Para recibir todas las alertas de fabric, las alertas de objetos y las auditoríasde objetos, utilice esta configuración con la ruta de acceso completa y elnombre de su archivo de registro de destino:

user.*,local0.* /var/log/ecs-fabric-object.all

c. Para recibir todas las alertas de fabric, las alertas de objetos y las auditoríasde objetos, y limitar los mensajes de la funcionalidad AUTH a los que tenganun nivel de gravedad de advertencia o superior, utilice esta configuración conla ruta de acceso completa y el nombre de su archivo de registro de destino:

user.*,local0.*/var/log/ecs-fabric-object.allauth.warn /var/log/ecs-auth-messages.warn

d. Para segmentar el tráfico a una instalación en varios archivos de registro dearchivos:

auth.info /var/log/ecs-auth-info.logauth.warn /var/log/ecs-auth-warn.logauth.err /var/log/ecs-auth-error.log

2. Después de realizar cualquier modificación del archivo de configuración, reinicieel servicio de Syslog en el servidor de Syslog:

# service syslog restart

Salida:

Shutting down syslog services doneStarting syslog services done

Bloqueo de la plataformaPuede utilizar el portal de ECS para bloquear el acceso remoto a los nodos.

Los usuarios de administración con funciones de administración asignadas puedenacceder a ECS mediante el portal de ECS o la API REST de administración de ECS. Unusuario de nodo predeterminado con privilegios denominado admin, que se creadurante la instalación inicial de ECS, también puede acceder a ECS en el nivel delnodo. Este usuario de nodo predeterminado puede ejecutar procedimientos de servicioen los nodos y tener acceso en los siguientes casos:

l Si se conecta de forma directa a un nodo mediante el switch de administración conuna laptop de servicio y si se usa el protocolo SSH o la CLI para accederdirectamente al sistema operativo del nodo.

l Si se conecta de forma remota a un nodo en la red mediante el protocolo SSH o laCLI para acceder directamente al sistema operativo del nodo.

Para obtener más información sobre el usuario de nivel de nodo adminpredeterminado, consulte Guía de seguridad de ECS, disponible en la página dedocumentación de productos de ECS.





El bloqueo de nodos proporciona otra capa de seguridad contra el acceso remoto anodos. Sin el bloqueo de nodo, el usuario de nivel de nodo admin puede acceder deforma remota a los nodos en cualquier momento para recopilar datos, configurar elhardware y ejecutar comandos de Linux. Si se bloquean todos los nodos en un clúster,se puede planear y programar el acceso remoto para una ventana definida queminimice la oportunidad de actividades no autorizadas.

Puede bloquear los nodos seleccionados en un clúster o todos los nodos del clústermediante el portal de ECS o la API REST de administración de ECS. El bloqueoúnicamente afecta la capacidad de acceder de manera remota (mediante el protocoloSSH) a los nodos bloqueados. El bloqueo no cambia la manera en la que el portal deECS y las API REST de administración de ECS acceden a los nodos y no afecta lacapacidad de conectarse directamente a un nodo mediante el switch deadministración.

MantenimientoSi se requiere realizar el mantenimiento de nodos mediante el acceso remoto, puededesbloquear un solo nodo para permitir el acceso remoto a todo el clúster mediante elprotocolo SSH como el usuario admin. Una vez que el usuario admin inicia sesióncorrectamente en el nodo desbloqueado mediante el protocolo SSH, el usuario adminpuede ejecutar dicho protocolo desde ese nodo a cualquier otro nodo del clúster pormedio de la red privada.

También puede desbloquear nodos para usar de forma remota los comandos queproporcionan los diagnósticos de solo lectura del nivel del sistema operativo.

AuditoríaLos eventos de bloqueo y desbloqueo de nodo aparecen en los registros de auditoría ySyslog. Los intentos fallidos de bloqueo o desbloqueo de nodos también aparecen enlos registros.

Bloquear y desbloquear nodos mediante la API REST de administración deECS

Puede utilizar las siguientes API para administrar los bloqueos de nodos.

Tabla 22 Llamadas de API REST de administración de ECS para administrar el bloqueo de nodo

Recurso Descripción

GET /vdc/nodes Obtiene los nodos de los datos que estánactualmente configurados en el clúster

GET /vdc/lockdown Obtiene el estado de bloqueado odesbloqueado de un VDC

PUT /vdc/lockdown Establece el estado de bloqueado odesbloqueado de un VDC

PUT /vdc/nodes/{nodeName}/lockdown Establece el estado de bloqueo o desbloqueode un nodo

GET /vdc/nodes/{nodeName}/lockdown Obtiene el estado de bloqueo o desbloqueo deun nodo

Bloquear y desbloquear nodos mediante el portal de ECSPuede utilizar el portal de ECS para bloquear y desbloquear el acceso remoto delprotocolo SSH a los nodos de ECS.


Bloquear y desbloquear nodos mediante la API REST de administración de ECS 173

Antes de comenzar

Esta operación requiere que el usuario emcsecurity tenga asignada la función deadministrador de bloqueo en ECS.

El bloqueo únicamente afecta la capacidad de acceder de manera remota (mediante elprotocolo SSH) a los nodos bloqueados. El bloqueo no cambia la manera en la que elportal de ECS y las API REST de administración de ECS acceden a los nodos y noafecta la capacidad de conectarse directamente a un nodo mediante el switch deadministración.

Procedimiento

1. Inicie sesión como el usuario emcsecurity.

En el primer inicio de sesión de este usuario, se le solicitará que cambie lacontraseña y vuelva a iniciar sesión.

2. En el portal de ECS, seleccione Settings > Platform Locking.

La pantalla muestra los nodos del clúster y muestra su estado de bloqueo.

Los estados del nodo son:

l Desbloqueado: Muestra un ícono de candado verde abierto y el botón deacción Lock.

l Bloqueado: Muestra un icono de candado cerrado rojo y el botón de acciónUnlock.

l Offline: Muestra el ícono de un círculo con una barra diagonal, pero no haybotón de acción debido a que el nodo es inaccesible y no se puededeterminar el estado de bloqueo.

3. Realice cualquiera de los siguientes pasos.

a. Haga clic en Lock en la columna Actions junto al nodo que desea bloquear.

Cualquier usuario que haya iniciado sesión de manera remota mediante elprotocolo SSH o la CLI tendrá aproximadamente cinco minutos para salirantes de que se cierre su sesión. Aparecerá un mensaje de apagadoinminente en la pantalla terminal del usuario.

b. Haga clic en Unlock en la columna Actions junto al nodo que deseadesbloquear.

El usuario del nodo predeterminado admin puede iniciar sesión remotamenteen el nodo después de unos minutos.

c. Haga clic en Lock the VDC si desea bloquear todos los nodos en líneadesbloqueados en el VDC.



No establece un estado en el que se bloquee automáticamente un nodonuevo u offline una vez que se haya detectado.

LicenciaLas licencias de EMC ECS se basan en la capacidad.

Debe contar con al menos una licencia de ECS y cargarla al dispositivo.

Cada dispositivo (rack) tiene una licencia.

Obtener el archivo de licencia de EMC ECSPuede obtener un archivo de licencia (.lic) en el sitio web de administración delicencias de EMC.

Antes de comenzar

Para obtener el archivo de licencia, debe tener el código de autorización de licencia(LAC), que se envía por correo electrónico desde EMC. Si no ha recibido el LAC,póngase en contacto con su Representante de servicio al cliente.

Procedimiento

1. Puede acceder a la página de licencias en https://support.emc.com/servicecenter/license/

2. En la lista de productos, seleccione ECS Appliance.

3. En la página de solicitud del LAC, escriba el código LAC y haga clic en Activate.

4. Seleccione los derechos que se activarán y luego haga clic en Start ActivationProcess.

5. Seleccione Add a Machine para especificar cualquier cadena significativa paraagrupar licencias.

Para el nombre de la máquina, escriba una cadena que lo ayude a realizar unseguimiento de las licencias. (No tiene que ser un nombre de máquina real).

6. Ingrese las cantidades para cada derecho, o seleccione Activate All y, acontinuación, haga clic en Next.

Para más de un sitio en un sistema geofederado, distribuya las controladorassegún corresponda para obtener archivos de licencia individuales para cadacentro de datos virtual (VDC).

7. Puede especificar un receptor para recibir un resumen por correo electrónico delas transacciones de la activación.

8. Haga clic en Finish.

9. Haga clic en Save to File para guardar el archivo de licencia (.lic) en unacarpeta de su computadora.

Este es el archivo de licencia necesario durante la configuración inicial de ECS ocuando se agrega una nueva licencia posteriormente en el Portal de ECS.

Cargar el archivo de licencia de ECSPuede cargar el archivo de licencia de ECS desde el portal de ECS.

Antes de comenzar



Licencia 175

l Asegúrese de disponer de un archivo de licencia válido. Puede seguir lasinstrucciones proporcionadas en Obtener el archivo de licencia de EMC ECS en lapágina 175 para obtener una licencia.

Cuando instale más de un sitio en un sistema geofederado, asegúrese de que elesquema de licencias en todos los sitios sea el mismo. Si el clúster existente tiene unalicencia activada con cifrado, cualquier site nuevo que se agregue a ella debe tener lamisma. De manera similar, si los sitios existentes no tienen licencias que se activen concifrado, los sitios nuevos que se agreguen al clúster deben seguir el mismo modelo.

Procedimiento

1. Desde el portal de ECS, seleccione Settings > Licensing.

2. En la página Licensing, en el campo Upload a New License File, haga clic enBrowse para navegar a su copia local del archivo de licencia.

3. Haga clic en Upload para agregar la licencia.

La licencia aparece en la lista de licencias.

Acerca de este VDCPuede ver información acerca de los números de versión de software para el nodoactual u otros nodos en el VDC, en la página About this VDC.

La pestaña About le brinda información relacionada con el nodo al que está conectadoactualmente. Puede ver los nombres, las direcciones IP, los ID de rack y las versionesde software de los nodos disponibles en el VDC, en la pestaña Nodes. La pestañaNodes también identifica los nodos que no están en la misma versión de software queel nodo al que está conectado.

Procedimiento

1. En el portal de ECS, seleccione Settings > About this VDC.

Aparecerá el cuadro de diálogo About this VDC con la pestaña About abierta.Esta página muestra información sobre la versión de software de ECS y laversión de servicio de objetos de ECS para el nodo actual.

2. En la página About this VDC, para ver la versión de software de los nodos a losque se puede acceder en el clúster, haga clic en la pestaña Nodes.



La marca de verificación azul indica el nodo actual. Los nodos con una estrellason nodos que tienen una versión de software diferente.


Acerca de este VDC 177

CAPÍTULO 11

Interrupción y recuperación de ECS

l Introducción a la interrupción y recuperación de sitios de ECS......................... 180l Comportamiento de TSO.................................................................................. 180l Comportamiento de PSO..................................................................................190l Recuperación en fallas de discos y nodos.......................................................... 191l Rebalanceo de datos después de agregar nuevos nodos................................... 192

Interrupción y recuperación de ECS 179

Introducción a la interrupción y recuperación de sitios deECS

ECS está diseñado para proporcionar protección cuando ocurre una interrupción en unsitio debido a un desastre u otro problema que hace que un sitio quede offline o sedesconecte de los otros sitios en una implementación geofederada.

Las interrupciones de sitios pueden clasificarse como una interrupción temporal delsitio (TSO) o una interrupción permanente del sitio (PSO). Una TSO es una falla de laconexión WAN entre dos sitios, o una falla temporal de un sitio completo (por ejemplo,una falla de alimentación). Un sitio se puede poner en línea nuevamente después deuna TSO. ECS puede detectar y manejar automáticamente estos tipos de fallastemporales de sitios.

Una PSO se produce cuando un sitio completo queda en un estado irrecuperable deforma permanente, por ejemplo, cuando se produce un desastre. En este caso, eladministrador del sistema debe realizar una conmutación por error permanente delsitio de la federación para iniciar el procesamiento de conmutación por error, como sedescribe en Eliminar un VDC y realizar una conmutación por error de un sitio en lapágina 38.

Los comportamientos de una TSO y una PSO se describen en los siguientes temas:

l Comportamiento de TSO en la página 180

l Consideraciones de TSO en la página 189

l Acceso al sistema de archivos NFS durante una TSO en la página 190

l Comportamiento de PSO en la página 190

Nota

Para obtener más información sobre el comportamiento de TSO y PSO, consulte elinforme técnico Diseño de alta disponibilidad de Elastic Cloud Storage.

El comportamiento de recuperación y balanceo de datos de ECS se describe en estostemas:

l Recuperación en fallas de discos y nodos en la página 191

l Rebalanceo de datos después de agregar nuevos nodos en la página 192

Comportamiento de TSOLos VDC en un ambiente replicado geográficamente tienen un mecanismo de latido. Lapérdida sostenida de latidos por una duración configurable (15 minutos de formapredeterminada) indica una interrupción de la red o el sitio y las transiciones delsistema para identificar la TSO.

ECS marca el sitio inaccesible como TSO y el estado del sitio se muestra comoTemporarily unavailable en la página Replication Group Management, en elportal de ECS.

Hay dos conceptos importantes que determinan cómo se comporta el sistema ECSdurante una TSO.

l Propietario: Si se crea un depósito o un objeto dentro de un espacio de nombres enel sitio A, el sitio A es el propietario del depósito o el objeto. Cuando se produceuna TSO, el comportamiento de las solicitudes de lectura/escritura es diferente



dependiendo de si la solicitud se realiza desde el sitio propietario del depósito uobjeto o desde un sitio no propietario que no es propietario de la copia primaria delobjeto.

l Propiedad de depósito Access During Outage (ADO): El acceso a los depósitos y alos objetos dentro de ellos durante una TSO difiere en función de si está habilitadala propiedad ADO en los depósitos. La propiedad ADO puede configurarse en elnivel de depósito; lo que significa que puede habilitar esta opción para algunosdepósitos y no para otros.

n Si la propiedad ADO está deshabilitada en un depósito, se mantiene una sólidacoherencia durante una TSO, ya que se permite el acceso a los datos quepertenecen a sitios accesibles y se impide el acceso a datos que pertenecen aun sitio fallido.

n Si la propiedad ADO está habilitada en un depósito, se permite el acceso delectura, y opcionalmente de escritura, a todos los datos replicadosgeográficamente, incluidos los datos que son propiedad del sitio que falló.Durante una TSO, los datos en el depósito con la opción ADO habilitadacambian temporalmente a coherencia eventual; una vez que todos los sitiosestén en línea nuevamente, volverá a tener una coherencia sólida.

Para obtener más información, consulte los siguientes temas:

l Comportamiento de TSO con la propiedad de depósito ADO deshabilitada en lapágina 181

l Comportamiento de TSO con la propiedad de depósito ADO habilitada en la página183

Comportamiento de TSO con la propiedad de depósito ADO deshabilitada

Si la propiedad Access During Outage (ADO) no se configura en un depósito, duranteuna TSO solo podrá acceder a los datos en ese depósito si pertenece a un sitiodisponible. No podrá acceder a los datos en un depósito que sea propiedad de un sitiofallido.

En el ejemplo del sistema ECS que se muestra en la siguiente figura, el sitio A se marcacomo TSO y no está disponible. El sitio A es el propietario del depósito 1, debido a quees donde se creó el depósito (y los objetos dentro de él). En el momento en que secreó el depósito 1, se deshabilitó la propiedad ADO. Se producirá un error en lassolicitudes de lectura/escritura para los objetos en ese depósito realizadas poraplicaciones conectadas al sitio A. Cuando una aplicación intente obtener acceso a unobjeto en ese depósito desde un sitio no propietario (sitio B), también fallará lasolicitud de lectura/escritura. Tenga en cuenta que el escenario sería el mismo si lasolicitud se hubiera realizado antes de que el sistema marcara el sitio oficialmentecomo TSO (lo que ocurre después de que se pierde el latido durante un períodoprolongado de tiempo, el cual está establecido en 15 minutos de formapredeterminada). En otras palabras, si se realizara una solicitud de lectura/escrituradesde una aplicación conectada al sitio B dentro de un plazo de 15 minutos desde lainterrupción de la alimentación, la solicitud aún fallaría.


Comportamiento de TSO con la propiedad de depósito ADO deshabilitada 181

Figura 22 Se produce un error en la solicitud de lectura/escritura durante la TSO cuando seaccede a datos desde el sitio no propietario y el sitio propietario se marca como TSO

Site A (owner site of object) Site B (non-owner site)

power outage occurs,Site A is unavailable

1

X

Application

X

heartbeat stops between sites

checks primary copy to see if Site B copy is latest copy - primary copy unavailable

Namespace

primary copy

Bucket 1 Bucket 1

2

5

4 16 minutes after power outage, an application connected to Site Bmakes a read or write request for an object owned by Site A

secondary copy

3 after 15 minutes, ECS marks Site A as TSO

TSO

6X read/writerequest fails

La siguiente figura muestra un sitio no propietario que se marca como TSO con lapropiedad ADO deshabilitada en el depósito. Cuando una aplicación intenta obteneracceso a la copia primaria en el sitio propietario, la solicitud de lectura/escriturarealizada en el sitio propietario se realiza correctamente. Una solicitud de lectura/escritura realizada desde una aplicación conectada al sitio no propietario fallará.

Figura 23 La solicitud de lectura/escritura se completa correctamente durante la TSO cuando seaccede a datos desde el sitio propietario y el sitio no propietario se marca como TSO

power outage occurs,Site B is unavailable

1

Site A (owner site of object) Site B (non-owner site)X

Application

Xheartbeat stops between sites

Namespace

primary copy

Bucket 1 Bucket 1

2

416 minutes after power outage, an appconnected toSite A makes a read or writerequest for an object owned by Site A

secondary copy

3 after 15 minutes, ECS marks Site B as TSO TSO

5 read/writerequestsucceeds



Comportamiento de TSO con la propiedad de depósito ADO habilitada

ECS proporciona un mecanismo para garantizar que los datos sean accesibles duranteuna TSO. Puede configurar la propiedad Access During Outage (ADO) en un depósito,de modo que las copias principales de los objetos en ese depósito están disponibles,incluso cuando se produce una falla en el sitio al que pertenece el depósito. Si noconfigura la propiedad ADO en un depósito, no se pueden realizar solicitudes delectura/escritura para objetos en el depósito que es propiedad de un sitio fallido desdelos otros sitios.

Cuando los depósitos se configuran con la propiedad Access During Outage en On,las aplicaciones pueden leer objetos en esos depósitos mientras están conectadas acualquier sitio. Con la propiedad ADO habilitada en los depósitos y tras detectar unainterrupción temporal, se aceptan y se reconocen las solicitudes de lectura/escriturade aplicaciones conectadas a un sitio no propietario, tal como se muestra en lasiguiente figura.

Nota

Cuando una aplicación está conectada a un sitio que no es el propietario del depósito,la aplicación no puede enumerar los depósitos en el espacio de nombres, por lo que elacceso al depósito u objeto debe ser explícito. Para obtener más información, consulte Consideraciones de TSO en la página 189.

Figura 24 La solicitud de lectura/escritura se completa correctamente durante la TSO cuando seaccede a datos con la opción ADO habilitada desde el sitio no propietario y el sitio propietario semarca como TSO

Site A (owner site of object) Site B (non-owner site)

power outage occurs,Site A is unavailable

1

X

Application

X

heartbeat stops between sites

checks primary copy to see if Site B copy is latest copy - primary copy

Namespace

primary copy

2

5

416 minutes after the power outage, an application connected to Site B makes a read or write request for an object owned by Site A

secondary copy

3 after 15 minutes, ECS marks Site A as TSOTSO

6 read/writerequestsucceeds

ADO-enabled Bucket 1 ADO-enabled Bucket 1

available

El sistema de ECS funciona según el modelo de coherencia eventual durante una TSOcon la opción ADO habilitada en los depósitos. Cuando se realiza un cambio en unobjeto en un sitio, finalmente será coherente en todas las copias de ese objeto enotros sitios. Hasta que transcurra el tiempo suficiente para replicar el cambio en otrossitios, el valor podría ser incoherente en múltiples copias de los datos en undeterminado punto en el tiempo.

Un factor importante para tener en cuenta es que habilitar ADO en los depósitos tieneconsecuencias de rendimiento; los depósitos con la opción ADO habilitada tienen un


Comportamiento de TSO con la propiedad de depósito ADO habilitada 183

rendimiento de lectura/escritura más lento que los depósitos con la opción ADOdeshabilitada. La diferencia de rendimiento se debe a que, cuando se habilita unacategoría para ADO, ECS primero debe resolver la propiedad del objeto a fin deproporcionar una sólida coherencia cuando todos los sitios están disponibles despuésde una TSO. Cuando la opción ADO no está habilitada en un depósito, ECS no tieneque resolver la propiedad del objeto debido a que el depósito no permite el cambio depropiedad del objeto durante una TSO.

El beneficio de la propiedad ADO es que le permite acceder a los datos duranteinterrupciones temporales del sitio; la desventaja es que los datos devueltos podríanestar desactualizados y que el rendimiento de lectura/escritura en los depósitos con laopción ADO habilitada será más lento.

Para definir si habrá acceso a los objetos en un depósito durante una TSO o no, optepor habilitar o deshabilitar la propiedad Access During Outage (ADO), y puede definiraún más el tipo de acceso que tiene a los objetos en un depósito durante unainterrupción del sitio mediante la habilitación o deshabilitación de la propiedad Read-Only Access During Outage.

Nota

Asimismo, los depósitos con la opción ADO habilitada con la propiedad Read-OnlyAccess During Outage habilitada tienen un rendimiento de lectura/escritura máslento que los depósitos que tienen la opción ADO deshabilitada.

De forma predeterminada, la opción Access During Outage está deshabilitada, porquehay riesgo de que los datos de los objetos recuperados durante una TSO no sean losmás recientes. Habilitar Access During Outage marca el depósito y todos los objetosen el depósito como disponibles durante una interrupción. Puede habilitar AccessDuring Outage durante la creación de un depósito y puede cambiar esta propiedaddespués de que se crea el depósito (siempre y cuando todos los sitios estén en línea).

Al habilitar la propiedad Access During Outage, ocurre lo siguiente durante una TSO:

l De forma predeterminada, es posible acceder a los datos de objetos para realizaroperaciones de lectura y escritura durante la interrupción.

l Los sistemas de archivos en depósitos habilitados para sistemas de archivos(HDFS/NFS) que son propiedad del sitio no disponible son de solo lectura duranteuna interrupción.

Cuando crea un depósito y habilita la propiedad Access During Outage, también tienela opción de habilitar la propiedad Read-Only Access During Outage en el depósito.Solo puede configurar la propiedad Read-Only Access During Outage mientras secrea el depósito; no puede cambiar esta propiedad después de que se haya creado eldepósito.

Al habilitar la propiedad Read-Only Access During Outage, ocurre lo siguientedurante una TSO:

l Se restringe la creación de nuevos objetos en el depósito.

l El acceso a sistemas de archivos no se ve afectado debido a que estánautomáticamente en modo de solo lectura cuando Access During Outage seestablece en los depósitos de sistemas de archivos.

Puede establecer las propiedades Access During Outage y Read-Only AccessDuring Outage cuando se crea un depósito desde las siguientes interfaces:

l Portal de ECS (consulte Crear un depósito. en la página 96)

l API de REST de administración de ECS



l CLI de ECS

l Interfaces REST de API de objetos como S3, Swift y Atmos

El comportamiento de una TSO con depósitos que tienen la opción ADO habilitada sedescribe para las siguientes configuraciones del sistema ECS:

l Implementación federada geopasiva de dos sitios con depósitos habilitados paraADO en la página 185

l Implementación federada geoactiva de tres sitios con depósitos habilitados paraADO en la página 186

l Implementación federada geopasiva de tres sitios con depósitos habilitados paraADO en la página 187

Implementación federada geopasiva de dos sitios con depósitos habilitados para ADO

Cuando una aplicación se conecta a un sitio no propietario y modifica un objeto dentrode un depósito habilitado para ADO durante una interrupción de la red, ECS transfierela propiedad del objeto al sitio donde se modificó el objeto.

La siguiente figura muestra cómo una escritura en un sitio no propietario hace que elsitio no propietario asuma la propiedad del objeto durante una TSO en unaimplementación geofederada de dos sitios. Esta funcionalidad permite que lasaplicaciones conectadas a cada sitio sigan leyendo y escribiendo objetos de depósitosen un espacio de nombres compartido.

Cuando se modifica el mismo objeto en el sitio A y el sitio B durante una TSO, la copiaen el sitio no propietario es la copia autoritativa. Cuando se modifica un objeto quepertenece al sitio B en el sitio A y el sitio B durante una interrupción de la red, la copiaen el sitio A es la copia autoritativa que se conserva, y la otra copia se sobrescribe.

Cuando se restaura la conectividad de red entre dos sitios, el mecanismo de latidodetecta automáticamente la conectividad, restaura el servicio y concilia los objetos delos dos sitios. Esta operación de sincronización se realiza en segundo plano y se puedemonitorear en la página Monitor > Recovery Status en el portal de ECS.



Figura 25 Ejemplo de propiedad de objeto para una operación de escritura durante una TSO enuna federación de dos sitios

Site A Site B

Before TSO - normal state

Site A Site B

During TSO - Site A is temporarily unavailable

Application connected to Site B writes

to the secondary copy of Word doc

Site A Site B

After TSO - Site A rejoins federation and object versions are reconciled

Primary copy of updated Word doc now exists in Site B

after TSO is over. Site B is owner site of Word doc.

Primary copies of these 2 objects still reside in

Site A. SIte A is owner site of these objects.

Application Application connected to Site A makes write requests to create ADO-enabled Bucket 1

and objects within it. Site A is the owner site of Bucket 1 and the objects within it.

Application

Namespace

secondary copies replicated

to Site B

secondary copies

of objects

primary copies

of objects

Namespace

Namespace

ADO-enabled Bucket 1





X TSO

network

connection

network

connection down

network connection

Implementación federada geoactiva de tres sitios con depósitos habilitados para ADO

Cuando más de dos sitios forman parte de un grupo de replicación, y si se interrumpela conectividad de red entre un sitio y los otros dos, a continuación, las operaciones deescritura/actualización/propiedad continúan tal como lo harían con dos sitios, pero elproceso para responder a solicitudes de lectura es más complejo.

Si una aplicación solicita un objeto que es propiedad de un sitio que no está accesible,ECS envía la solicitud al sitio con la copia secundaria del objeto. La copia secundariapuede haber estado sujeta a una operación de contracción de datos, que es unaoperación XOR entre dos conjuntos de datos diferentes que produce un nuevoconjunto de datos. El sitio con la copia secundaria debe recuperar los fragmentos delobjeto que se incluyen en la operación XOR original y debe haber realizado unaoperación XOR en esos fragmentos con la copia de recuperación. Esta operacióndevuelve el contenido del fragmento almacenado originalmente en el sitio propietario.Luego, los fragmentos del objeto recuperado se pueden reconstruir y devolver.Cuando se reconstruyen los fragmentos, también se almacenan para que el sitio puedaresponder más rápidamente a las solicitudes subsiguientes. La reconstrucción llevamucho tiempo. Una mayor cantidad de sitios en un grupo de replicación implica una



mayor cantidad de fragmentos que se deben recuperar de otros sitios y, por lo tanto,la reconstrucción del objeto tarda más tiempo. La siguiente figura muestra el procesopara responder a solicitudes de lectura en una federación de tres sitios.

Figura 26 Ejemplo de flujo de trabajo de solicitud de lectura durante una TSO en una federaciónde tres sitios

Site A - owner site Site B - non-owner site Site C - non-owner site

Application

1

2

MP4

XORcopy

MP4

load balancer

read request for MP4 object

load balancer routes request to one of the sites that is up, Site C

3

6

Site C routes request to Site B where secondary copy resides; it is an XOR copy, so it must bereconstructed

read requestsuccessfullycompleted

MP4

XORcopy

MP4

primary copy ofobject reconstructed

secondarycopy of object

use XOR chunks to reconstructsecondary copy of object

retrieve XOR chunks 4

5

Namespace

ADO-enabled Bucket 1 ADO-enabled Bucket 1ADO-enabled Bucket 1

X TSO

Network connection between Site A and Sites B and C is down

Implementación federada geopasiva de tres sitios con depósitos habilitados para ADO

Cuando se implementa ECS en una configuración geopasiva de tres sitios, elcomportamiento de una TSO es el mismo que se describe en Implementación federadageoactiva de tres sitios con depósitos habilitados para ADO en la página 186, con unadiferencia. Si falla una conexión de red entre un sitio activo y el sitio pasivo, ECSsiempre marca el sitio pasivo como TSO (no el sitio activo).

Cuando falla la conexión de red entre los dos sitios activos, se produce el siguientecomportamiento normal de TSO:

1. ECS marca uno de los sitios activos como TSO (no disponible). Por ejemplo, sitio Bpropietario.

2. Las solicitudes de lectura, escritura o actualización se generan desde el sitio queestá activo (sitio A).

3. Para una solicitud de lectura, el sitio A solicita el objeto desde el sitio pasivo (sitioC).

4. El sitio C decodifica (anula XOR) los fragmentos XOR y los envía al sitio A.

5. El sitio A reconstruye una copia del objeto para cumplir con la solicitud de lectura.

6. En el caso de una solicitud de escritura o actualización, el sitio A se convierte en elpropietario del objeto y mantiene la propiedad después de la interrupción.

En la siguiente figura se muestra una configuración geopasiva en un estado normal; losusuarios pueden leer y escribir en sitios activos A y B, y los datos y metadatos se



replican en una única dirección al sitio C pasivo. El sitio C aplica el algoritmo XOR enlos datos de los sitios activos.

Figura 27 Replicación geopasiva en estado normal

Site A - Active Site

Site C - Passive Site



Namespace

metadata

replication

user data & metadata replication

Site B - Active Site

chunk 1 chunk 2

chunk 3(chunk 1 XOR chunk 2 = chunk 3)

ADADO-enabled Bucket 11111

chunk 1

ADO-enabled Bucket 1ADO-enabled Bucket 1

La siguiente figura muestra el flujo de trabajo para una solicitud de escritura realizadadurante una TSO en una configuración geopasiva de tres sitios.



Figura 28 TSO para replicación geopasiva

Site C - Passive Site

Namespace

updated object - Site Anow owns this object

MP4

load balancer

Application

write request for MP4 object

load balancer routes request to the site that is up, Site A

Chunks are replicated to Site C

MP4

primary copy of object

XTSO

primary copy primary copy primary copy

MP4 Namespace

MP4

ri primary copy

Network connection down



4

Changes are saved onlocal chunks

Site A - Active Site Site B - Active Site

1

2

3

5

Consideraciones de TSO

Puede realizar muchas operaciones de objetos durante una TSO. No puede realizaroperaciones de creación, eliminación o actualización en las siguientes entidades encualquier sitio en la geofederación hasta que la falla temporal se resuelva,independientemente de la configuración del depósito de ADO:

l Espacios de nombres

l Depósitos

l Usuarios de objetos

l Proveedores de autenticación

l Grupos de replicación (puede eliminar un VDC de un grupo de replicación para unaconmutación por error del sitio)

l Mapeos de grupos y usuarios NFS

Las siguientes limitaciones se aplican a depósitos durante una TSO:

l No puede enumerar depósitos para un espacio de nombres cuando el sitiopropietario del espacio de nombres no está accesible. Puede enumerar objetosdentro de los depósitos que son propiedad de sitios disponibles y puede enumerarobjetos dentro de depósitos habilitados para ADO que son propiedad del sitio no


Consideraciones de TSO 189

disponible. La enumeración de objetos en depósitos habilitados para ADO quepertenecen al sitio no disponible devolverá solo objetos replicados, y la lista puedeestar incompleta.

l Los sistemas de archivos en depósitos habilitados para sistemas de archivos(HDFS/NFS) que son propiedad del sitio no disponible son de solo lectura.

l Cuando copia un objeto de un depósito que pertenece al sitio no disponible, lacopia es una copia completa del objeto de origen. Esto significa que los datos delmismo objeto se almacenan más de una vez. En circunstancias normales que nosean de TSO, la copia del objeto consta de los índices de datos del objeto, no es unduplicado completo de los datos del objeto.

l Los usuarios de OpenStack Swift no pueden iniciar sesión en OpenStack duranteuna TSO debido a que ECS no puede autenticar usuarios de Swift durante la TSO.Después de la TSO, los usuarios Swift deben volver a autenticarse.

Acceso al sistema de archivos NFS durante una TSO

NFS proporciona un espacio de nombres único en todos los nodos de ECS y puedecontinuar funcionando en caso de una TSO. Cuando monte una exportación de NFS,puede especificar cualquiera de los nodos de ECS como el servidor NFS o puedeespecificar la dirección de un balanceador de carga. Sin importar el nodo que designe,el sistema de ECS es capaz de resolver la ruta del sistema de archivos.

En el caso de una TSO, si el balanceador de carga puede redirigir el tráfico a un sitiodiferente, la exportación de NFS continuará disponible. De lo contrario, deberá volvera montar la exportación desde otro sitio que no esté fallido.

Cuando se produce una falla en el sitio propietario y se requiere que ECS vuelva arealizar una configuración para designar un sitio no propietario, se pueden perderdatos debido a las escrituras asíncronas de NFS y a las operaciones de replicación dedatos de ECS no finalizadas.

Para obtener más información sobre cómo acceder a depósitos habilitados para NFS,consulte Introducción al acceso a archivos en la página 116.

Comportamiento de PSO

Si ocurre un desastre, un sitio completo puede quedar irrecuperable; esto se conoceen ECS como una interrupción permanente del sitio (PSO). ECS trata el sitioirrecuperable como una falla del sitio temporal, pero solo si todo el sitio está inactivo oinaccesible por completo mediante la WAN. Si la falla es permanente, el administradordel sistema debe realizar una conmutación por error permanente del sitio de lafederación para iniciar el procesamiento de conmutación por error; esto inicia laresincronización y vuelve a proteger los objetos almacenados en el sitio fallido. Lastareas de recuperación se ejecutan como un proceso en segundo plano. Para obtenermás información sobre cómo realizar el procedimiento de conmutación por error en elportal de ECS, consulte Eliminar un VDC y realizar una conmutación por error de unsitio en la página 38.

Antes de iniciar una PSO en el portal de ECS, se recomienda ponerse en contacto consu Representante de servicio al cliente, de modo que el representante pueda validar elestado del clúster. No es posible acceder a los datos hasta que finalice elprocesamiento de conmutación por error. Puede monitorear el progreso delprocesamiento de conmutación por error en la pestaña Monitor > Geo Replication >Failover Processing en el portal de ECS. Después de que se completa el proceso deconmutación por error, esta pestaña no muestra el estado. Mientras se ejecutan lastareas de recuperación en segundo plano, pero después de que haya finalizado el



procesamiento de conmutación por error, es posible que algunos datos del sitioeliminado no se puedan leer hasta que se completen totalmente las tareas derecuperación.

Recuperación en fallas de discos y nodosECS monitorea continuamente los estados de los nodos, sus discos y objetosalmacenados en el clúster. ECS distribuye las responsabilidades de la protección dedatos en todo el clúster y vuelve a proteger de manera automática objetos en riesgocuando los nodos o discos fallan.

Estado del discoECS informa sobre el estado del disco como bueno, sospechoso o defectuoso.

l Bueno: Se pueden leer las particiones del disco y escribir en ellas.

l Sospechoso: El disco aún no alcanzó el umbral para considerarlo defectuoso.

l Defectuoso: Se alcanzó un umbral de rendimiento insatisfactorio del hardware.Cuando se alcanza el umbral, no es posible leer datos del disco ni escribir datos eneste.

ECS escribe solamente en discos en buen estado. ECS no escribe en discos en estadosospechoso o defectuoso. ECS lee discos en estado bueno y sospechoso. Cuando dosfragmentos de un objeto se encuentran en discos sospechosos, ECS escribe losfragmentos en otros nodos.

Estado del nodoECS informa sobre el estado del nodo como bueno, sospechoso o defectuoso.

l Bueno: El nodo está disponible y responde a las solicitudes de I/O a tiempo.

l Sospechoso: El nodo lleva más de 30 minutos sin estar disponible.

l Defectuoso: El nodo lleva más de una hora sin estar disponible.

ECS escribe en los nodos accesibles, independientemente de su estado. Cuando dosfragmentos de un objeto se encuentran en nodos sospechosos, ECS escribe dosnuevos fragmentos en otros nodos.

Recuperación de datosCuando se produce una falla en un nodo o una unidad en el site, el motor dealmacenamiento:

1. Identifica los fragmentos o fragmentos con codificación de eliminación afectadospor la falla.

2. Escribe copias de los fragmentos o fragmentos con codificación de eliminaciónafectados en nodos y discos en buen estado que no tengan copias en esemomento.

Acceso al sistema de archivos NFS durante la falla de un nodo

NFS proporciona un espacio de nombres único en todos los nodos de ECS y puedecontinuar funcionando en caso de que falle un nodo. Cuando monte una exportaciónde NFS, puede especificar cualquiera de los nodos de ECS como el servidor NFS opuede especificar la dirección de un balanceador de carga. Sin importar el nodo quedesigne, el sistema ECS resuelve la ruta del sistema de archivos.

En caso de falla de un nodo, ECS recuperará los datos mediante sus fragmentos dedatos. Si se configura la exportación de NFS para escrituras asíncronas, se corre elriesgo de perder datos relacionados con las transacciones que aún no se han escrito enel disco. Sucede lo mismo con cualquier implementación de NFS.


Recuperación en fallas de discos y nodos 191

Si montó el sistema de archivos con la designación de un nodo de ECS y este falla,deberá volver a montar la exportación mediante la especificación de un nodo diferentecomo el servidor NFS. Si montó la exportación con la dirección del balanceador decarga, este último se encargará de la falla del nodo y dirigirá automáticamente lassolicitudes a un nodo diferente.

Rebalanceo de datos después de agregar nuevos nodosCuando se expande la cantidad de nodos en un site debido a la adición de nuevos rackso de nodos de almacenamiento, se asignan nuevos fragmentos de codificación deeliminación al almacenamiento nuevo y los fragmentos de datos existentes seredistribuyen (rebalancean) en los nuevos nodos. Deben existir cuatro nodos o máspara que la codificación de eliminación de los fragmentos se lleve a cabo. Laincorporación de nuevos nodos por sobre los cuatro nodos necesarios provoca elrebalanceo de la codificación de eliminación.

La redistribución de fragmentos con codificación de eliminación se ejecuta como unatarea en segundo plano, de modo que los datos de los fragmentos continúen siendoaccesibles durante el proceso de redistribución. Además, los nuevos datos de losfragmentos se distribuyen con prioridad baja para minimizar el consumo de ancho debanda de la red.

Los fragmentos se redistribuyen de acuerdo con el mismo esquema de codificación deeliminación con el que se codificaron originalmente. Por lo tanto, si un fragmento seescribió con el esquema de almacenamiento inactivo de codificación de eliminación,ECS utiliza el esquema de almacenamiento inactivo cuando crea los nuevosfragmentos para la redistribución.



elastic cloud storage (ecs) · introducción dell emc elastic cloud storage (ecs) proporciona una...

Documents