elastic cloud storage (ecs)...vérification du certificat d’objet.....178 verrouillage de...

Elastic Cloud Storage (ECS)Version 3.0

Guide de l’administrateur302-003-220

05

Copyright © 2013 -2017 EMC Corporation Tous droits réservés.

Publié en Janvier 2017

Dell estime que les informations figurant dans ce document sont exactes à la date de publication. Ces informations sont modifiables sans préavis.

LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION SONT FOURNIES « EN L'ÉTAT ». DELL NE FOURNIT AUCUNE DÉCLARATION

OU GARANTIE D'AUCUNE SORTE CONCERNANT LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION ET REJETTE PLUS

SPÉCIALEMENT TOUTE GARANTIE IMPLICITE DE QUALITÉ COMMERCIALE OU D'ADÉQUATION À UNE UTILISATION PARTICULIÈRE.

L'UTILISATION, LA COPIE ET LA DIFFUSION DE TOUT LOGICIEL DELL EMC DÉCRIT DANS CETTE PUBLICATION NÉCESSITENT UNE LICENCE

LOGICIELLE EN COURS DE VALIDITÉ.

Dell, EMC et les autres marques citées sont des marques commerciales de Dell Inc. ou de ses filiales. Toutes les autres marques citées dans le

présent document peuvent être la propriéété de leurs détenteurs respectifs. Publié en France.

EMC Computer Systems FranceRiver Ouest 80 quai Voltaire CS 21002 95876 Bezons CedexTél. : +33 1 39 96 90 00 Fax : +33 1 39 96 99 99www.DellEMC.com/fr-fr/index.htm

2 Elastic Cloud Storage (ECS) 3.0 Guide de l’administrateur

9

11

Utilisation du portail ECS 13

Introduction 15Présentation du portail ECS........................................................................ 16Connexion au portail ECS............................................................................16Changer le mot de passe ............................................................................ 17Accès aux zones du portail.......................................................................... 18Organisation et recherche dans les tableaux du portail............................... 22About this VDC...........................................................................................23

Utilisation de l’application Getting Started Checklist 27Utilisation de l’application Getting Started Checklist..................................28

Utilisation du tableau de bord 31Utilisation du tableau de bord..................................................................... 32

Configuration et gestion 37

Configuration d’un ou plusieurs sites 39Configuration des pools de stockage, des VDC et des groupes de réplication...................................................................................................................40Pools de stockage...................................................................................... 40

Créer des pools de stockage.......................................................... 41Datacenters virtuels (VDC)........................................................................ 43

Création d’un VDC pour un site unique.......................................... 44Ajout d’un VDC à une fédération....................................................45Basculement sur incident d’un site/suppression d’un VDC............ 46

Groupes de réplication................................................................................46Création d’un groupe de réplication............................................... 47

Configuration d’ESRS.................................................................................48Vérification de la configuration de la fonction d’appel à distance...50

Configuration d’un espace de nommage 53Configuration d’un espace de nommage.....................................................54Comprendre les tenants............................................................................. 54Comprendre les paramètres des espaces de nommage.............................. 55Utilisation des espaces de nommage sur le portail ECS.............................. 58Création et configuration d’un espace de nommage................................... 59

Configuration d’un fournisseur d’authentification 63

Figures

Tableaux

Partie 1

Chapitre 1

Chapitre 2

Chapitre 3

Partie 2

Chapitre 4

Chapitre 5

Chapitre 6

SOMMAIRE

Elastic Cloud Storage (ECS) 3.0 Guide de l’administrateur 3

Configuration d’un fournisseur d’authentification.......................................64Gestion des fournisseurs d’authentification au niveau du portail ECS.........64Ajout d’un fournisseur d’authentification AD ou LDAP................................65

Paramètres des fournisseurs d’authentification AD/LDAP............ 65Ajout d’un fournisseur d’authentification Keystone.................................... 70

Paramètres du fournisseur d’authentification Keystone................. 71

Gérer les utilisateurs 73Gestion des utilisateurs et des rôles............................................................74Présentation des utilisateurs et des rôles dans ECS....................................74

Utilisateurs dans ECS.................................................................... 74Rôles Utilisateur.............................................................................76Utilisateurs de domaine et locaux...................................................77Périmètre utilisateur : global ou espace de nommage.....................78

Gestion des utilisateurs au niveau du portail ECS....................................... 78Ajout d’un nouvel utilisateur d’objets............................................. 80Ajout d’un utilisateur de domaine en tant qu’utilisateur d’objets.... 82Création d’un utilisateur local de gestion ou attribution d’un rôle degestion à un utilisateur de domaine................................................82Attribution d’un nom de groupe Active Directory au rôleAdministrateur système ou Surveillance du système......................83Création d’un administrateur d’espace de nommage......................84Attribution d’un nom de groupe Active Directory au rôleAdministrateur d’espace de nommage........................................... 85

Présentation du mappage des utilisateurs dans un espace de nommage.....86Mappage des utilisateurs de domaine dans l’espace de nommage....88

Gestion des tenants 91Gestion des tenants....................................................................................92Quotas........................................................................................................92Politiques et périodes de rétention............................................................. 93Verrouillage des buckets et des utilisateurs................................................ 95Suivi d’utilisation........................................................................................ 95Audit des buckets....................................................................................... 97

Suppression d’un site 99Basculement sur incident d’un site/suppression d’un VDC........................100

Gestion des licences 101Gestion des licences..................................................................................102Obtention du fichier de licence d’EMC ECS.............................................. 102Téléchargement du fichier de licence d’EMC ECS.................................... 102

Création et gestion des buckets 105Création et gestion des buckets................................................................106Concepts liés aux buckets.........................................................................106Attributs des buckets................................................................................ 107

Groupe par défaut.........................................................................110Clés d’index de métadonnées........................................................110Balisage des buckets.....................................................................112

ACL des buckets........................................................................................ 112

Chapitre 7

Chapitre 8

Chapitre 9

Chapitre 10

Chapitre 11

SOMMAIRE


Création d’un bucket à l’aide du portail ECS.............................................. 114Modifier un compartiment......................................................................... 116Définition des autorisations ACL de bucket pour un utilisateur...................117Définition des autorisations ACL de bucket pour un groupe prédéfini........ 118Définition d’ACL de groupe personnalisé pour les buckets......................... 119Création d’un bucket à l’aide des API d’objet............................................ 120

Création d’un compartiment à l’aide de l’API S3 (avec s3curl)......121Conventions de dénomination des buckets et des clés.............................. 124

Dénomination des buckets et objets S3 dans ECS........................125Dénomination des objets et conteneurs OpenStack Swift dans ECS.....................................................................................................125Dénomination des buckets et objets Atmos dans ECS..................126Dénomination de pools et d’objets CAS dans ECS........................126

Configuration de l’accès aux fichiers NFS 127Accès aux fichiers NFS............................................................................. 128

Accès multiprotocole aux répertoires et aux fichiers.................... 128Panne de nœud et du site.............................................................129

Prise en charge de la configuration NFS par le portail ECS....................... 129Exports........................................................................................ 130Mappages d’utilisateur/de groupe................................................130

Tâches de configuration d’ECS NFS......................................................... 132Création d’un bucket pour NFS à l’aide du portail ECS.................132Ajout d’une exportation NFS........................................................ 134Ajout d’un mappage d’utilisateur ou de groupe............................. 137Configuration de la sécurité NFS avec Kerberos.......................... 139Montage d’une exportation NFS : exemple...................................145

Bonnes pratiques d’utilisation d’ECS NFS................................................. 147Autorisations pour l’accès multiprotocole (transversal)............................ 148Récapitulatif de l’API de fichier................................................................. 150

Configuration des serveurs de notification d’événements 151Configuration des serveurs de notification d’événements (SNMP ou Syslog)................................................................................................................. 152Gestion des serveurs SNMP et Syslog sur le portail ECS.......................... 153Ajout d’un destinataire de traps SNMP v2................................................ 156

Paramètres du serveur SNMP v2................................................. 156Ajout d’un destinataire de traps SNMP v3................................................ 156

Paramètres du serveur SNMP v3................................................. 157Ajout d’un serveur Syslog..........................................................................158

Paramètres du serveur Syslog......................................................158

Définition de l’URL de base 161Définition de l’URL de base....................................................................... 162Adressage de compartiment......................................................................162

Configuration DNS....................................................................... 163Base URL..................................................................................... 163

Ajout d'une URL de base........................................................................... 165

Configuration des certificats 167À propos des certificats d’ECS..................................................................168Création d’un certificat............................................................................. 168

Création d’une clé privée..............................................................169

Chapitre 12

Chapitre 13

Chapitre 14

Chapitre 15

SOMMAIRE


Génération d’une configuration SAN............................................ 169Création d’une demande de signature........................................... 171Création d’un certificat auto-signé à partir d’une demande designature...................................................................................... 173

Téléchargement d’un certificat................................................................. 173Authentification auprès d’ECS Management REST API................174Téléchargement d’un certificat de gestion................................... 174Téléchargement d’un certificat de données pour les points determinaison d’accès aux données................................................. 176

Vérification des certificats installés........................................................... 177Vérification du certificat de gestion.............................................. 177Vérification du certificat d’objet................................................... 178

Verrouillage de l’accès à distance aux nœuds 181Verrouillage de l’accès à distance aux nœuds ........................................... 182Verrouillage et déverrouillage des nœuds.................................................. 183

Monitor 185

Principes de base de la surveillance 187Utilisation des pages de surveillance......................................................... 188

Surveillance du suivi d’utilisation 191Surveillance des données de suivi d’utilisation...........................................192

Données de suivi d’utilisation........................................................193

Surveillance des événements 195À propos de la surveillance des événements..............................................196Surveillance des données d’audit.............................................................. 196Surveiller les alertes.................................................................................. 197

Surveillance de l’utilisation de la capacité 201Surveillance de la capacité........................................................................202

Données sur la capacité de stockage........................................... 202

Surveillance des metrics de trafic 207Surveillance du trafic réseau.................................................................... 208

Surveillance de l’état de santé du matériel 211Surveillance des composants matériels..................................................... 212

Surveillance de l’état de santé des nœuds et des processus 215Surveillance de l’état de santé des nœuds et des processus..................... 216

Surveillance du récapitulatif des fragments 219Surveillance des fragments.......................................................................220

Surveillance du codage d’effacement 223

Chapitre 16

Partie 3

Chapitre 17

Chapitre 18

Chapitre 19

Chapitre 20

Chapitre 21

Chapitre 22

Chapitre 23

Chapitre 24

Chapitre 25

SOMMAIRE


Surveillance du codage d’effacement....................................................... 224

Surveillance de l’état de la restauration 227Surveillance de l’état de la restauration.................................................... 228

Surveillance de la bande passante disque 231Surveillance de la bande passante disque................................................. 232

Surveillance de la géoréplication 235Présentation de la surveillance de la géoréplication.................................. 236Surveillance de la géoréplication : vitesse et fragments............................236Surveillance de la géoréplication : objectif de point de restauration (RPO)....237Surveillance de la géoréplication : traitement du basculement sur incident....238Surveillance de la géoréplication : traitement des données d’amorçage....239

Logs des services 243Logs des services..................................................................................... 244Emplacement des logs de services ECS....................................................244

Messages d’audit et d’alerte 245Messages d’audit................................................................246Messages d’alerte...............................................................252

Prise en charge du protocole SNMP par ECS 257Prise en charge du protocole SNMP dans ECS...................... 258Bases de données MIB SNMP prises en charge pourl’interrogation dans ECS..................................................... 258Hiérarchie des ID d’objet SNMP ECS-MIB et définition des basesde données MIB..................................................................259

Chapitre 26

Chapitre 27

Chapitre 28

Chapitre 29

Annexe A

Annexe B

SOMMAIRE


SOMMAIRE


Connexion à ECS.........................................................................................................17Déconnexion d’ECS..................................................................................................... 17Colonne de tableau avec option de tri disponible........................................................ 23Liste de contrôle terminée.......................................................................................... 29Page Storage Pool Management................................................................................ 40Page Virtual Data Center Management.......................................................................43Page Manage Replication Groups............................................................................... 47Page de gestion des espaces de nommage................................................................. 58Mappages d'utilisateurs pour un tenant à l'aide des attributs AD................................ 87Utilisation de plusieurs critères de mappage............................................................... 88Page Event Notification en mode SNMP...................................................................154Page Event Notification en mode Syslog.................................................................. 155Actualisation............................................................................................................. 188Panneau Filter ouvert avec des critères sélectionnés................................................ 188Panneau Filter fermé affichant un récapitulatif du filtre appliqué.............................. 188Navigation à l’aide des fils d’Ariane........................................................................... 189Graphique historique avec curseur actif.................................................................... 190Page Metering avec des critères sélectionnés...........................................................193Graphiques du trafic réseau d’un VDC...................................................................... 209Intégrité du matériel des nœuds................................................................................ 213État de santé des nœuds et des processus................................................................218Chunk Summary........................................................................................................221Bande passante du disque.........................................................................................233Géoréplication : vitesse et fragments .......................................................................237RPO..........................................................................................................................238Basculement sur incident .........................................................................................239Traitement des données d’amorçage.........................................................................241

123456789101112131415161718192021222324252627

FIGURES


FIGURES


Propriétés du pool de stockage.................................................................................. 40Propriétés d’un VDC...................................................................................................43Propriétés d’un groupe de réplication......................................................................... 47Paramètres des fournisseurs d’authentification..........................................................66Suivi d’utilisation du bucket et de l’espace de nommage............................................ 96Attributs des buckets................................................................................................ 108ACL des buckets........................................................................................................ 113Suivi d’utilisation du bucket et de l’espace de nommage........................................... 193Types d’alertes..........................................................................................................198Utilisation de la capacité : Pool de stockage............................................................. 202Utilisation de la capacité : Nœud.............................................................................. 204Utilisation de la capacité : Disque............................................................................. 205Metrics de trafic réseau............................................................................................208Metrics du VDC, du nœud et du processus............................................................... 216Tables des fragments............................................................................................... 220Metrics des fragments..............................................................................................220Metrics de codage d’effacement.............................................................................. 224Metrics de restauration............................................................................................ 228Metrics de bande passante disque............................................................................ 232Colonnes Rate and Chunks....................................................................................... 236Colonnes liées au RPO.............................................................................................. 237Colonnes liées au basculement sur incident.............................................................. 238Colonnes liées au traitement des données d’amorçage.............................................240Messages d’audit dans ECS......................................................................................246Messages d’alerte relatifs aux objets dans ECS........................................................252Messages d’alerte relatifs au fabric dans ECS.......................................................... 253

1234567891011121314151617181920212223242526

TABLEAUX


TABLEAUX


PARTIE 1

Utilisation du portail ECS

Chapitre 1, « Introduction »

Chapitre 2, « Utilisation de l’application Getting Started Checklist »

Chapitre 3, « Utilisation du tableau de bord »

Utilisation du portail ECS 13

Utilisation du portail ECS


CHAPITRE 1

Introduction

l Présentation du portail ECS................................................................................16l Connexion au portail ECS................................................................................... 16l Changer le mot de passe ....................................................................................17l Accès aux zones du portail..................................................................................18l Organisation et recherche dans les tableaux du portail.......................................22l About this VDC.................................................................................................. 23

Introduction 15

Présentation du portail ECSLe portail ECS permet de configurer, de gérer et de surveiller ECS.

Il permet également aux tenants de gérer et de surveiller leur espace de nommage, etd’y créer et de configurer des buckets.

Le portail est accessible aux utilisateurs de gestion d’ECS, c’est-à-dire aux utilisateursassociés aux rôles Administrateur système, Surveillance du système et Administrateurd’espace de nommage. Les utilisateurs du stockage en mode objet accèdent à ECS enutilisant les protocoles d’objet pris en charge via des clients prenant en charge cesprotocoles. Pour en savoir plus sur les utilisateurs et les rôles associés à ECS,reportez-vous à la section Gestion des utilisateurs et des rôles à la page 74.

Le portail utilise l’API publique ECS Management REST API. Vous pouvez développerdes clients ECS personnalisés à l’aide de cette API.

Connexion au portail ECSConnectez-vous au portail ECS depuis un navigateur en spécifiant l’adresse IP ou lenom de domaine complet (FQDN) de n’importe quel nœud, ou le répartiteur de chargequi joue le rôle de front-end d’ECS.

Avant de commencer

l Si vous avez le rôle Administrateur système, Surveillance du système,Administrateur de verrouillage (emcsecurity) ou Administrateur d’espace denommage, vous pouvez vous connecter au portail.

l Un compte utilisateur root, attribué au rôle Administrateur système, est fournipour l’accès initial. Sachez que ce compte root n’est pas lié à des comptes Linuxau niveau du nœud.

Après la connexion initiale à l’aide des informations d’identification root (root/ChangeMe), vous êtes invité à modifier immédiatement le mot de passe du compteroot.

La session prend fin lorsque vous fermez le navigateur ou que vous vous déconnectez.La déconnexion entraîne systématiquement la fermeture de la session. Si vous neparvenez pas à vous connecter, contactez l’administrateur.

Vous êtes automatiquement déconnecté après 2 heures d’inactivité.

Procédure

1. Saisissez l’adresse IP publique du premier nœud du système ou l’adresse durépartiteur de charge qui a été configuré comme front-end, au format suivant :http:/<node1_public_ip>.

2. Après avoir modifié le mot de passe à la première connexion, cliquez sur Save.

Vous êtes déconnecté et l’écran de connexion standard s’affiche.

Introduction


Figure 1 Connexion à ECS

3. Saisissez votre nom d’utilisateur dans le champ User Name et votre mot depasse dans le champ Password.

4. Pour vous déconnecter du portail, repérez le menu de l’utilisateur dans l’anglesupérieur droit des pages du portail, sélectionnez-le et choisissez Logout.

Figure 2 Déconnexion d’ECS

Changer le mot de passeLorsque vous êtes connecté au portail ECS, vous pouvez modifier votre mot de passe.

Les utilisateurs ayant les rôles Administrateur système, Administrateur d’espace denommage, Administrateur de verrouillage (emcsecurity) et Surveillance du systèmeont accès à la page Change Password.

Procédure

1. Sur le portail ECS, sélectionnez Settings > Change Password.

2. Saisissez un nouveau mot de passe dans le champ Password, puis dans lechamp Confirm Password.

Introduction

Changer le mot de passe 17

3. Cliquez sur Save.

Accès aux zones du portailLe portail se compose d’un menu de navigation à gauche et d’une zone de page àdroite.

L’administrateur système peut utiliser toutes les pages. Un administrateur d’espace denommage peut utiliser un nombre limité de pages et réaliser uniquement les opérationspropres à un tenant. Un utilisateur doté du rôle Surveillance du système peut affichertoutes les pages du portail, mais il ne peut pas créer, modifier ni supprimer lesparamètres du portail. Un message système s’affiche si un utilisateur accède à unepage ou tente d’effectuer une opération pour laquelle il ne dispose pas desautorisations appropriées.

Les sections suivantes présentent en détail les autorisations octroyées aux différentsutilisateurs de gestion.

l Administrateur système et Surveillance du système à la page 18

l Administrateur d’espace de nommage à la page 21

Administrateur système et Surveillance du systèmeLe tableau suivant répertorie les éléments de menu accessibles et fournit un lien versdes articles de documentation contenant des informations plus détaillées sur leurutilisation. Le rôle Surveillance du système permet de consulter les mêmesinformations qu’un Administrateur système, mais pas d’y apporter des modifications.

Section Menu Opérations prises en charge

Monitor Metering Afficher le suivi d’utilisation de l’espace de nommageou du bucket.Pour obtenir plus d’informations, consultez : Surveillance des données de suivi d’utilisation à lapage 192.

Events Afficher les événements d’audit et d’alerte.Pour obtenir plus d’informations, consultez : Àpropos de la surveillance des événements à la page196.

Capacity Utilization Surveiller la capacité du pool, du nœud et du disquede stockage.

Pour obtenir plus d’informations, consultez : Surveillance de la capacité à la page 202.

Traffic Metrics Surveillance de la bande passante et de la latence enlecture et en écriture.

Pour obtenir plus d’informations, consultez : Surveillance du trafic réseau à la page 208.

Hardware Health Surveillance de l’état des nœuds et des disques destockage pour chaque pool de stockage.Pour obtenir plus d’informations, consultez : Surveillance des composants matériels à la page212.

Introduction



Node and Process Health Surveillance de l’état de santé des nœuds et desprocessus en fonction de l’utilisation de la mémoireet du CPU.Pour obtenir plus d’informations, consultez : Surveillance de l’état de santé des nœuds et desprocessus à la page 216.

Chunk Summary Surveillance des fragments et de leur état.

Pour obtenir plus d’informations, consultez : Surveillance des fragments à la page 220.

Erasure Coding Surveillance de l’état du codage d’effacement.Pour obtenir plus d’informations, consultez : Surveillance du codage d’effacement à la page 224.

Recovery Status Surveillance de l’état de la restauration.Pour obtenir plus d’informations, consultez : Surveillance de l’état de la restauration à la page228.

Disk Bandwidth Surveillance de l’utilisation de la bande passante desdisques.Pour obtenir plus d’informations, consultez : Surveillance de la bande passante disque à la page232.

Geo Replication Surveillance de l’activité de géoréplication.Pour obtenir plus d’informations, consultez : Présentation de la surveillance de la géoréplication àla page 236.

Manage Storage Pools Permet de réaliser les opérations suivantes :

l Ajouter un pool de stockage et spécifier lesnœuds qui le composent.

l Ajouter un VDC et définir ses informations deconnexion.

l Configurer un groupe de réplication en ajoutantdes pools de stockage qui appartiennent à unVDC.

Pour obtenir plus d’informations, consultez : Configuration des pools de stockage, des VDC et desgroupes de réplication.

Virtual Data Center

Replication Group

Authentification Ajouter un fournisseur d’authentification capabled’authentifier les utilisateurs du domaine.Reportez-vous à la section Gestion des utilisateurs etdes rôles à la page 74.

Namespace Permet de réaliser les opérations suivantes :

l Créer un nouvel espace de nommage.

l Définir un quota pour l’espace de nommage.

l Mapper des utilisateurs d’objets avec un espacede nommage.

Introduction

Accès aux zones du portail 19


Pour plus d’informations, reportez-vous à la section Configuration d’un espace de nommage pour un tenant.

Users Permet de réaliser les opérations suivantes :

l Créer des utilisateurs d’objets pour l’espace denommage.

l Modifier des utilisateurs d’objets.

l Créez des clés secrètes

Pour plus d’informations, reportez-vous à la section Gestion des utilisateurs et des rôles à la page 74.

Buckets Permet de réaliser les opérations suivantes :

l Créer un bucket.

l Attribuer des ACL au propriétaire du bucket etaux utilisateurs d’objets.

Pour plus d’informations, reportez-vous à la section Concepts liés aux buckets à la page 106.

File Permet d’accéder aux buckets en tant que systèmesde fichiers NFS.

Pour plus d’informations, reportez-vous à la section Accès aux fichiers NFS.

Settings Object Base URL Définir l’URL de base pour déterminer à quelle partiede l’adresse d’objet correspondent le bucket etl’espace de nommage.

Pour plus d’informations, reportez-vous à la section Adressage du stockage en mode objet d’ECS et utilisation de l’URL de base.

Change Password Modifier votre propre mot de passe.

Pour plus d’informations, reportez-vous à la section

Changer le mot de passe à la page 17.

ESRS Configurer l’envoi d’alertes à EMC.

Pour obtenir plus d’informations, consultez : Configuration d’ESRS à la page 48.

Event Notification Configurer ou afficher les serveurs SNMP et Syslog.

Pour plus d’informations, reportez-vous à la section Configuration des serveurs de notification d’événements (SNMP ou Syslog) à la page 152.

Platform Locking Afficher l’état de verrouillage des nœuds.

Pour plus d’informations, reportez-vous à la section Verrouillage de l’accès à distance aux nœuds à la page 182.

Introduction



Licensing Afficher l’état de la licence et télécharger unelicence.

Pour plus d’informations, reportez-vous à la section Obtention et téléchargement d’un fichier de licence dans le portail ECS.

About this VDC Afficher des informations sur les nœuds du VDC :nom des nœuds, ID de rack et versions du logiciel.Pour plus d’informations, reportez-vous à la section About this VDC.

Administrateur d’espace de nommageLe tableau suivant répertorie les éléments de menu que l’Administrateur d’espace denommage est autorisé à utiliser. Il fournit un lien vers des articles de documentationcontenant des informations plus détaillées sur leur utilisation.


Monitor Metering Afficher le suivi d’utilisation de l’espace de nommageou du bucket.

Pour plus d’informations, reportez-vous à la section Surveillance des données de suivi d’utilisation à lapage 192.

Manage Users Permet de réaliser les opérations suivantes :

l Créer des utilisateurs d’objets pour l’espace denommage.

l Modifier des utilisateurs d’objets

l Créer des clés secrètes pour les utilisateursd’objets

Pour plus d’informations, reportez-vous au Gestion des utilisateurs et des rôles à la page 74.

Bucket Permet de réaliser les opérations suivantes :

l Créer un bucket.

l Attribuer des ACL au propriétaire du bucket etaux utilisateurs d’objets.

Pour plus d’informations, reportez-vous au Concepts liés aux buckets à la page 106.

Settings Change Password Modifier votre propre mot de passe.

Pour plus d’informations, reportez-vous au Changer

le mot de passe à la page 17.

Administrateur de verrouillageLe tableau suivant répertorie les éléments de menu que l’Administrateur deverrouillage (emcsecurity) est autorisé à utiliser. Il fournit un lien vers des articles dedocumentation contenant des informations plus détaillées sur leur utilisation.

Introduction

Accès aux zones du portail 21


Settings Change Password Modifier votre propre mot de passe.

Pour plus d’informations, reportez-vous au Changer

le mot de passe à la page 17.

Platform Locking Modifier l’état de verrouillage des nœuds.

Pour plus d’informations, reportez-vous à la section Verrouillage de l’accès à distance aux nœuds à la page 182.

Organisation et recherche dans les tableaux du portailLorsque le Dataset présenté sur le portail est volumineux, et notamment lorsqu’ilcomporte plusieurs pages, il est utile de le réorganiser sous forme de tableau et derechercher des informations dans ce dernier.

Vous trouverez ci-dessous un exemple de tableau du portail.

Réorganisation des colonnes d’un tableauVous pouvez réorganiser les lignes de certains tableaux en fonction de l’ordre d’unecolonne sélectionnée. Il est possible d’organiser une colonne de tableau en cliquant surl’en-tête du tableau.

Les colonnes qui contiennent des données textuelles sont triées par ordrealphabétique. Par exemple, si vous sélectionnez le champ Namespace du tableau desutilisateurs, cette colonne sera triée par ordre alphabétique et détermineral’organisation des lignes. Lorsque vous afficherez à nouveau la page, l’organisation pardéfaut sera appliquée. De même, l’actualisation de la page aura pour effet de rétablirson organisation par défaut.

Introduction


Figure 3 Colonne de tableau avec option de tri disponible

D’autres tableaux proposent des options de filtre pour réduire la taille du tableau.Reportez-vous à la section Principes de base de la surveillance.

Utilisation de SearchLa fonction Search permet de filtrer certaines lignes du tableau par correspondance dechaînes de texte.

Lorsque vous saisissez du texte dans la zone Search, les lignes qui contiennent deschaînes identiques à la chaîne de recherche s’affichent. L’ordre d’affichage des lignescorrespondant aux critères de recherche dépend de l’organisation appliquée à lacolonne du tableau.

Actualiser une pageUn contrôle d’actualisation est fourni sur les pages qui contiennent des données detableau. L’actualisation rétablit l’organisation par défaut du tableau.

About this VDCVérifiez les numéros de version de logiciel du nœud actuel ou de n’importe quel nœuddu VDC.

La boîte de dialogue About this VDC vous permet de vérifier les noms de nœud, les IDde rack et la version du logiciel des nœuds du VDC. La page About fournit desinformations sur le nœud auquel vous êtes actuellement connecté. La page Nodesfournit des informations sur tous les nœuds disponibles dans le VDC. La page Nodespermet également d’identifier tous les nœuds qui n’utilisent pas la même version delogiciel que le nœud auquel vous êtes connecté.

Procédure

1. Sélectionnez Settings > About this VDC.

La boîte de dialogue About this VDC s’affiche sur l’onglet About.

Introduction

About this VDC 23

Vous y trouverez des informations sur la version du logiciel ECS ainsi que sur la versiondu service d’objet ECS pour le nœud actuel.

2. Sélectionnez Nodes pour afficher la version du logiciel correspondant à tous lesnœuds accessibles du cluster.

Introduction


La coche bleue indique le nœud actuel. Les nœuds marqués d’une étoile utilisentune version de logiciel différente.

Introduction

About this VDC 25

Introduction


CHAPITRE 2

Utilisation de l’application Getting StartedChecklist

l Utilisation de l’application Getting Started Checklist......................................... 28

Utilisation de l’application Getting Started Checklist 27

Utilisation de l’application Getting Started ChecklistL’application Getting Started Checklist vous guide tout au long de la configurationinitiale de votre site ECS.

Getting Started Checklist est une application qui se superpose au portail pour vousguider tout au long de la configuration initiale. La liste de contrôle s’affiche lorsque leportail détecte que la configuration initiale n’est pas terminée. Elle s’afficheautomatiquement jusqu’à ce que vous la fermiez. Vous pouvez réafficher la liste decontrôle en sélectionnant l’icône Guide dans le menu global située dans l’anglesupérieur droit de toutes les pages du portail.

Remarque

Certaines parties de la configuration initiale peuvent être exécutées dans le cadre duservice d’installation.

1. Étape en cours de la liste de contrôle.

2. Étape terminée.

3. Étape facultative. Cette étape n’est pas cochée, même si vous la configurez.

4. Informations sur l’étape en cours.

5. Actions disponibles.

6. Ignorer la liste de contrôle.

Si la liste de contrôle est terminée, vous avez la possibilité de la parcourir à nouveau oude revérifier votre configuration.

Utilisation de l’application Getting Started Checklist


Figure 4 Liste de contrôle terminée


Utilisation de l’application Getting Started Checklist 29

CHAPITRE 3

Utilisation du tableau de bord

l Utilisation du tableau de bord.............................................................................32

Utilisation du tableau de bord 31

Utilisation du tableau de bordLe tableau de bord du portail ECS fournit des informations critiques sur les processusECS de votre VDC local.

Le tableau de bordLe tableau de bord est la première page que vous voyez après la connexion. Pourrevenir au tableau de bord, sélectionnez Dashboard dans le menu de gauche.

Chaque titre du panneau est un lien vers la page de surveillance du portail qui détailleles informations correspondantes.

Menu Global UserLe menu Global User s’affiche sur chaque page du portail.

Les options de menu sont les suivantes :

1. Le menu Alert présente les cinq alertes les plus récentes pour le VDC actif. Ilindique le nombre d’alertes non acquittées qui sont en attente pour le VDC actif.Le nombre affiché est 99+ s’il y a plus de 99 alertes.

2. L’icône Global Help permet d’afficher la documentation en ligne correspondant à lapage active du portail.

3. Le menu VDC affiche le nom du VDC actif. Si vos informations d’identification ADou LDAP vous permettent d’accéder à plusieurs VDC, vous pouvez basculer la vue



du portail vers les autres VDC à partir de ce menu, sans avoir à ressaisir vosinformations d’identification.

4. L’icône Guide permet d’ouvrir l’application Getting Started Checklist.

5. Le menu User affiche l’utilisateur actuel et vous permet de vous déconnecter.

Traffic MetricsLe panneau Traffic Metrics affiche le nombre total de demandes et les classe endemandes réussies, en demandes en échec suite à une erreur de l’utilisateur et endemandes en échec suite à une erreur du système. Cliquez sur le titre pour afficherdes metrics de trafic plus complets.

Online CapacityLe panneau Online Capacity affiche la capacité utile en ligne (capacité totale en ligne)et la capacité disponible en ligne (capacité totale disponible pour une utilisationimmédiate). Le pourcentage indiqué au centre du graphique indique la quantité decapacité utile en cours d’utilisation. La capacité tient compte des données acquises,des réplicas et des données système. Cliquez sur le titre pour afficher des metrics decapacité plus complets.

PerformancesLe panneau Performance affiche les performances actuelles des opérations de lectureet d’écriture du réseau, ainsi que leur moyenne sur les dernières 24 heures. Cliquez surle titre pour afficher des metrics de performances plus complets.



DataLe panneau Data décompose le stockage du VDC local en données utilisateur et endonnées système. Gardez à l’esprit que les données utilisateur correspondent à laquantité de données acquises par ECS. La capacité utilisée par vos données varie enfonction des copies de vos données et des activités système actuelles de traitementde ces copies. Cliquez sur le titre pour afficher des metrics de données plus complets.

Storage EfficiencyLe panneau Storage Efficiency indique l’efficacité actuelle du processus de codaged’effacement (EC). Le graphique affiche la progression du processus EC en cours. Lesautres valeurs indiquent la quantité de données EC en attente du processus EC, ainsique la vitesse actuelle de ce processus. Cliquez sur le titre pour afficher des metricsde stockage plus complets.



Geo MonitoringLe panneau Geo Monitoring indique la quantité de données du VDC local en attente degéoréplication, ainsi que la vitesse de la réplication. L’objectif de point de restauration(RPO) fait référence au point dans le temps auquel vous pouvez restaurer lesdonnées. La valeur indiquée ici correspond aux données les plus anciennes risquantd’être perdues en cas de défaillance d’un VDC local avant que la réplication soitterminée. Failover Progress affiche la progression d’un éventuel basculement surincident actif dans la fédération impliquant le VDC local. Bootstrap Progress affiche laprogression de tout processus actif d’ajout d’un nouveau VDC à la fédération. Cliquezsur le titre pour afficher des metrics de géoréplication plus complets.

Nodes and DisksLe panneau Nodes and Disks affiche l’état de santé (Good ou Bad) des disques et desnœuds. Cliquez sur le titre pour afficher des metrics matériels plus complets.



AlertsLe panneau Alerts indique le nombre total d’alertes et d’erreurs critiques. Cliquez surle titre pour afficher la liste complète des événements en cours.



PARTIE 2

Configuration et gestion

Chapitre 4, « Configuration d’un ou plusieurs sites »

Chapitre 5, « Configuration d’un espace de nommage »

Chapitre 6, « Configuration d’un fournisseur d’authentification »

Chapitre 7, « Gérer les utilisateurs »

Chapitre 8, « Gestion des tenants »

Chapitre 9, « Suppression d’un site »

Chapitre 10, « Gestion des licences »

Chapitre 11, « Création et gestion des buckets »

Chapitre 12, « Configuration de l’accès aux fichiers NFS »

Chapitre 13, « Configuration des serveurs de notification d’événements »

Chapitre 14, « Définition de l’URL de base »

Chapitre 15, « Configuration des certificats »

Chapitre 16, « Verrouillage de l’accès à distance aux nœuds »

Configuration et gestion 37

Configuration et gestion


CHAPITRE 4

Configuration d’un ou plusieurs sites

l Configuration des pools de stockage, des VDC et des groupes de réplication.... 40l Pools de stockage.............................................................................................. 40l Datacenters virtuels (VDC)................................................................................ 43l Groupes de réplication....................................................................................... 46l Configuration d’ESRS........................................................................................ 48

Configuration d’un ou plusieurs sites 39

Configuration des pools de stockage, des VDC et desgroupes de réplication

Découvrez de quelle manière utiliser le portail pour créer, modifier et supprimer despools de stockage, des VDC et des groupes de réplication, pour un ou plusieursdéploiements fédérés, et apprenez à configurer ESRS pour le service d’objet.

Les utilisateurs doivent avoir le rôle d’Administrateur système pour effectuer cesprocédures.

Pools de stockageLes pools de stockage vous permettent d’organiser les ressources de stockage enfonction des besoins métiers. Par exemple, si vous avez besoin d’une séparationphysique des données, vous pouvez partitionner le stockage sous la forme dedifférents pools de stockage.

Utilisez la page Storage Pool Management accessible via Manage > Storage Poolspour afficher les informations relatives aux pools de stockage existants, en créer denouveaux, en modifier ou en supprimer.

Figure 5 Page Storage Pool Management

Tableau 1 Propriétés du pool de stockage

Champ Description

Name Nom du pool de stockage.

# Nodes Nombre de nœuds attribués au pool de stockage.

Status État actuel du pool de stockage et des nœuds. Les différents états d’un poolde stockage sont les suivants :

l Ready : au moins quatre nœuds sont installés et tous les nœuds sont àl’état ready to use.

l Not Ready : l’un des nœuds du pool de stockage n’est pas à l’étatready to use.

l Partially Ready : il y a moins de quatre nœuds et tous les nœuds sont àl’état ready to use.

Host Name Nom d’hôte complet attribué au nœud.



Tableau 1 Propriétés du pool de stockage (suite)

Champ Description

Node IPaddress

Adresse IP publique attribuée au nœud.

Rack ID Nom attribué au rack qui contient les nœuds.

Actions Les actions sont :

l Edit : permet de modifier le nom du pool de stockage et l’ensemble denœuds qu’il contient.

l Delete : permet de supprimer des pools de stockage. tous les nœudsque contient un pool de stockage doivent être supprimés avant quecelui-ci puisse être supprimé. Vous ne pouvez pas supprimer le pool destockage du système (celui qui a été créé en premier). Si le pool destockage du système comporte des nœuds vides, ceux-ci peuvent êtresupprimés si le nombre de nœuds est supérieur à quatre.

Cold Storage Un pool de stockage pour lequel la propriété Cold Storage est définie utiliseun schéma de codage d’effacement (EC) plus efficace pour les objets peuutilisés. Le stockage des données inactives est également appelé archiveinactive. Une fois qu’un pool de stockage a été créé, ce paramètre ne peutpas être modifié.

Créer des pools de stockageUtilisez cette procédure pour attribuer des nœuds à des pools de stockage. Les poolsde stockage doivent contenir un minimum de quatre nœuds. Le premier pool destockage qui est créé est qualifié de « pool de stockage du système » parce qu’ilstocke les métadonnées du système. Le pool de stockage du système ne peut pas êtresupprimé.

Procédure

1. Sur le portail, sélectionnez Manage > Storage Pools.

2. Cliquez sur New Storage Pool.


Créer des pools de stockage 41

3. Saisissez le nom du pool de stockage. Par exemple : StoragePool1.

4. Décidez si ce pool de stockage doit stocker les données inactives (archiveinactive). Le stockage des données inactives contient les données rarementutilisées. Le schéma de protection des données ECS pour le stockage desdonnées inactives est optimisé pour augmenter l’efficacité du stockage. Unefois qu’un pool de stockage a été créé, ce paramètre ne peut pas être modifié.

Remarque

Le stockage des données inactives nécessite une configuration matérielleminimale de six nœuds. Pour plus d’informations, consultez la section Guide deplanification : Tour d’horizon de la protection des données.

5. Dans la liste Available Nodes, sélectionnez les nœuds à ajouter au pool destockage.

a. Pour sélectionner les nœuds un par un, cliquez sur l’icône + située à côté dechacun d’eux.

b. Pour sélectionner tous les nœuds disponibles, cliquez sur l’icône + située enhaut de la liste Available Nodes.

c. Pour restreindre la liste des nœuds disponibles, saisissez l’adresse IPpublique ou le nom d’hôte d’un nœud dans le champ search.



https://community.emc.com/docs/DOC-53956


6. Une fois la sélection des nœuds terminée, cliquez sur Save.

7. Attendez une dizaine de minutes à compter du moment où le pool de stockagepasse à l’état Ready avant d’effectuer d’autres tâches de configuration. Celalaisse au pool de stockage le temps de s’initialiser.

Si vous ne patientez pas assez longtemps, le message d’erreur suivants’affichera : Error 7000 (http: 500): An error occurred in theAPI Service. An error occurred in the API service.Cause:error insertVdcInfo. Virtual Data Center creation failuremay occur when Data Services has not completedinitialization.Si cette erreur s’affiche, patientez quelques minutes de plus avant d’essayerd’effectuer d’autres opérations de configuration.

Datacenters virtuels (VDC)Les VDC sont des constructions logiques. Chacun constitue la ressource de plus hautniveau qui représente l’ensemble de composants d’infrastructure ECS devant êtregérés comme une entité unique.

Utilisez la page Virtual Data Center Management accessible via Manage > VirtualData Centers pour afficher les informations relatives aux VDC, en créer de nouveaux,en modifier ou en supprimer, ainsi que pour en fédérer plusieurs pour un déploiementmultisite. L’exemple suivant montre la page Manage Virtual Data Center pour undéploiement multisite fédéré. Il est configuré avec deux sites nommés vdc1 et vdc2.

Figure 6 Page Virtual Data Center Management

Tableau 2 Propriétés d’un VDC

Champ Description

Name Nom du VDC.

ReplicationEndpoints

Points de terminaison pour la communication des données de réplicationentre les sites.Si un réseau de réplication séparé a été configuré, il s’agit d’une listecomprenant l’adresse IP de réplication de chaque nœud. Si aucun réseaude réplication séparé n’a été configuré, il s’agit d’une liste comprenantl’adresse IP publique de chaque nœud.

Si ni le réseau de réplication, ni le réseau de gestion ne sont séparés, lespoints de terminaison de réplication et de gestion sont les mêmes.


Datacenters virtuels (VDC) 43

Tableau 2 Propriétés d’un VDC (suite)

Champ Description

ManagementEndpoints

Points de terminaison pour la communication des commandes de gestionentre les sites.Si un réseau de gestion séparé a été configuré, il s’agit d’une listecomprenant l’adresse IP de gestion de chaque nœud. Si aucun réseau degestion séparé n’a été configuré, il s’agit d’une liste comprenantl’adresse IP publique de chaque nœud.

Si ni le réseau de réplication, ni le réseau de gestion ne sont séparés, lespoints de terminaison de réplication et de gestion sont les mêmes.

Status Les états possibles sont :

l En ligne

l Permanently Failed : le VDC a été supprimé.

Actions Les actions sont :

l Edit : permet de modifier le nom du VDC, la clé d’accès et les adressesIP publiques des nœuds des pools de stockage du VDC.

l Delete : permet de supprimer un VDC. L’opération de suppressiondéclenche un basculement permanent du VDC, ce qui fait que vous nepouvez pas l’ajouter à nouveau en utilisant le même nom. Vous nepouvez pas supprimer un VDC qui fait partie d’un groupe de réplicationavant de l’avoir supprimé de celui-ci. Vous ne pouvez pas supprimer unVDC lorsque vous êtes connecté à celui-ci.

Création d’un VDC pour un site uniqueUtilisez cette procédure si vous créez un VDC pour un déploiement sur site unique oule premier VDC d’une fédération multisite.

Avant de commencer

Un ou plusieurs pools de stockage sont disponibles et à l’état Ready.

Procédure

1. Sur le portail ECS, sélectionnez Manage > Data Center.

2. Cliquez sur New Virtual Data Center.

3. Saisissez un nom. Par exemple : VDC1.

Les noms VDC peuvent contenir entre 1 et 255 caractères. Les lettres a à z, A àZ, les chiffres 0 à 9, le trait d’union (-) et le trait de soulignement (_) sontadmis.

4. Cliquez sur Get VDC Access Key.

La clé d’accès VDC est utilisée en tant que clé symétrique pour chiffrer le traficde réplication entre les différents VDC composant une fédération multisite.

5. Dans la zone de texte Replication Endpoints, saisissez l’adresse IP deréplication de chacun des nœuds des pools de stockage du VDC. Fournissez-lessous la forme d’une liste séparée par des virgules.

Si la séparation de réseau a été configurée au moment de l’installation, il s’agitd’une liste comprenant l’adresse IP de réplication de chaque nœud. Si le réseau



de réplication n’a pas été séparé, il s’agit d’une liste comprenant l’adresse IPpublique de chaque nœud.

6. Dans la zone de texte Management Endpoints, saisissez l’adresse IP degestion de chacun des nœuds des pools de stockage du VDC. Fournissez-lessous la forme d’une liste séparée par des virgules.

Si la séparation de réseau a été configurée au moment de l’installation, il doits’agir d’une liste comprenant l’adresse IP de gestion de chaque nœud. Si leréseau de gestion n’a pas été séparé, il s’agit d’une liste comprenantl’adresse IP publique de chaque nœud.


Ajout d’un VDC à une fédérationSuivez cette procédure si vous ajoutez un VDC à un VDC existant (par exemple vdc1)pour créer une fédération.

Avant de commencer

Récupérez les informations d’identification du portail ECS pour l’utilisateur root (oupour un utilisateur doté des informations d’identification d’administrateur système)pour vous connecter aux deux sites.

Assurez-vous que vous possédez la liste des adresses IP publiques des nœuds du siteque vous souhaitez ajouter ou, si vous avez séparé les réseaux de gestion et/ou deréplication, une liste des adresses de gestion et/ou de réplication.

Vérifiez qu’une licence valide a été téléchargée pour le site que vous êtes en traind’ajouter et que celui-ci a au moins un pool de stockage à l’état Ready.

Procédure

1. Connectez-vous au portail ECS sur le site que vous êtes en train d’ajouter.

Les informations d’identification par défaut sont root/ChangeMe.

2. Sélectionnez Manage > Virtual Data Center.

3. Cliquez sur Get VDC Access Key.

4. Sélectionnez la clé d’accès et copiez-la en appuyant sur Ctrl-c pourl’enregistrer dans la mémoire tampon.

5. Déconnectez-vous du portail ECS sur le site que vous êtes en train d’ajouter.

6. Connectez-vous au portail ECS du premier VDC (par exemple : vdc1).

7. Sélectionnez Manage > Virtual Data Center.

8. Cliquez sur New Virtual Data Center.

9. Saisissez le nom du VDC. Par exemple : vdc2.

10. Cliquez sur le champ Key et collez (Ctrl-v) la clé d’accès que vous avez copiée àpartir du site que vous êtes en train d’ajouter (vdc2) aux étapes 3 et 4 ci-dessus.

11. Saisissez les points de terminaison de réplication et de gestion pour les nœudsqui composent le site. Saisissez les adresses IP sous forme de listes de valeursséparées par des virgules.

Si vous n’avez pas séparé les réseaux de réplication ou de gestion, ces deuxchamps contiennent la même liste d’adresses IP publiques des nœuds. Si un oules deux réseaux de gestion et/ou de réplication ont été séparés, vous devezrépertorier les adresses IP du réseau correspondant.


Ajout d’un VDC à une fédération 45


Basculement sur incident d’un site/suppression d’un VDCUtilisez cette procédure pour supprimer un VDC. La suppression d’un VDC déclenchele basculement du site si le VDC que vous supprimez fait partie d’une fédérationmultisite.

Si un sinistre se produit, un VDC tout entier peut devenir irrécupérable. ECS traiteinitialement le VDC irrécupérable comme une panne temporaire de site. Si la panne estpermanente, vous devez supprimer le VDC de la fédération pour déclencher letraitement du basculement, qui reconstruit et reprotège les objets stockés sur le VDCen échec. Les tâches de restauration s’exécutent en arrière-plan. Vous pouvez suivrela progression du processus de restauration via Monitor > Geo Replication > FailoverProcessing.

Procédure

1. Connectez-vous à l’un des VDC opérationnels au sein de la fédération.

2. Accédez à Manage > Replication Group.

3. Cliquez sur l’option Edit correspondant au groupe de réplication qui contient leVDC à supprimer.

4. Cliquez sur l’option Delete figurant sur la ligne qui contient le VDC et le pool destockage à supprimer.


6. Accédez à Manage > VDC. L’état du VDC supprimé de manière permanente passe à Permanently failed.

7. Sélectionnez Delete dans la liste déroulante figurant sur la ligne du VDC àsupprimer.


Groupes de réplicationLes groupes de réplication sont des constructions logiques qui définissent où lecontenu des pools de stockage doit être protégé. Un groupe de réplication peut êtrelocal ou global. Les groupes de réplication locaux protègent les objets au sein d’unmême VDC contre les défaillances de disque ou de nœud. Les groupes de réplicationglobaux protègent les objets contre les défaillances de disque, de nœud et de site.

Remarque

Les groupes de réplication ne peuvent pas être modifiés après leur création. Si voussouhaitez qu’un groupe de réplication réplique les données entre les sites, vous devezvous assurer que les sites/VDC ont été fédérés avant d’essayer de créer le groupe deréplication.

Utilisez la page Manage Replication Groups pour afficher les informations relativesaux groupes de réplication, en créer de nouveaux et en modifier. Vous ne pouvez passupprimer les groupes de réplication dans cette version.



Figure 7 Page Manage Replication Groups

Tableau 3 Propriétés d’un groupe de réplication

Champ Description

Name Nom du groupe de réplication.

VDC Nombre de VDC figurant dans le groupe de réplication et noms des VDC surlesquels les pools de stockage sont situés.

Storage pool Noms des pools de stockage et leurs VDC associés.

Status Les états possibles sont :

l En ligne

l Temp Unavailable : le trafic de réplication destiné à ce VDC est en échec.Si tout le trafic de réplication destiné au même VDC est dans l’état TempUnavailable, il est recommandé de procéder à une analyse plusapprofondie de la cause de la défaillance.

Replicate toAll Sites

Un groupe de réplication pour lequel cette fonction est désactivée utilise laréplication par défaut. Avec la réplication par défaut, les données sontstockées sur le site principal et une copie complète est stockée sur un sitesecondaire sélectionné parmi les sites du groupe de réplication. La copiesecondaire est protégée par la mise en miroir triple et le codage d’effacement.Ce processus assure la durabilité des données, ainsi que l’efficacité dustockage. Un groupe de réplication pour lequel cette fonction est activéeeffectue une copie complète accessible en lecture de tous les objets sur tousles sites (VDC) de ce groupe. La présence de copies complètes accessibles enlecture dans tous les VDC du groupe de réplication assure la durabilité desdonnées et améliore les performances locales sur tous les sites, au détrimentde l’efficacité du stockage.

Actions Edit : permet de modifier le nom du groupe de réplication et l’ensemble deVDC et de pools de stockage qu’il contient.

Création d’un groupe de réplicationSuivez cette procédure pour créer un groupe de réplication. Les groupes de réplicationpeuvent être locaux dans un VDC ou ils peuvent protéger les données en les répliquantentre les sites.

Avant de commencer

Si vous souhaitez que le groupe de réplication s’étende sur plusieurs VDC, vous devezvous assurer que les sites ont été installés et qu’ils ont été initialisés avec une identitéVDC et un pool de stockage pouvant faire partie du groupe de réplication.

Procédure

1. Sur le portal ECS, sélectionnez Manage > Replication Group.


Création d’un groupe de réplication 47

2. Cliquez sur New Replication Group.

3. Saisissez un nom. Par exemple : ReplicationGroup1.

4. Décidez si vous souhaitez activer l’option Replicate to All Sites pour ce groupede réplication. Cette option ne peut être activée qu’au moment de la création etne peut pas être désactivée par la suite.

5. Cliquez sur Add VDC.

6. Sélectionnez un VDC et un pool de stockage dans la liste déroulante.

Répétez cette étape pour ajouter tous les VDC et pools de stockage nécessairespour assurer la protection des objets.


Configuration d’ESRSCette procédure décrit les étapes à suivre pour activer la configuration d’ESRS (EMCSecure Remote Support) sur ECS. ECS 2.2 ou version supérieure nécessite ESRSVirtual Edition.

Remarque

Cette tâche doit être exécutée une fois par site (VDC) dans le cadre du déploiement,de préférence sur le nœud 1 du rack 1 du site.

Procédure

1. Exécutez les procédures d’installation/de mise à niveau et les configurationsmanuelles postérieures à ces étapes.

2. Utilisez un éditeur pour créer les informations du client dans un fichier JSON.

a. Créez un fichier texte de l’enregistrement client au format JSON :

Dans cet exemple, un fichier nommé customer.json est créé à l’aide del’éditeur vi.

vi /var/tmp/customer.json

b. Ajoutez les données du client au fichier JSON.

Par exemple :

{"customer_data":{"serial":"ABCDE00009","customer_name":"ABCQE_MelonA","customer_email":"[email protected]"}}

c. Accédez au répertoire cli.

cd /opt/emc/caspian/fabric/cli

d. Validez le format du fichier JSON à l’aide de l’outil Python mjson.tool.

provo-melon:/opt/emc/caspian/fabric/cli # cat /var/tmp/customer.json | python -mjson.tool



Exemple de sortie :

{ "status": "OK", "etag": 90, "customer_data":{ "serial":"ABCDE00009", "customer_name":"ABCQE_MelonA", "customer_email":"[email protected]" }}

3. Exécutez fcli pour configurer les informations du client et le numéro de série surle cluster.

a. Définissez les données du client à l’aide du contenu du fichier JSON.

provo-melon:/opt/emc/caspian/fabric/cli # cat /var/tmp/customer.json | bin/fcli lifecycle cluster.setcustomer --body

Exemple de sortie :

{ "status": "OK", "etag": 90}

b. Vérifiez que les données du client ont bien été définies.

provo-melon:/opt/emc/caspian/fabric/cli # bin/fcli lifecyclecluster.customer

Exemple de sortie :

{ "status": "OK", "etag": 90, "customer_data": { "serial": "ABCD00009", "customer_name": "ABCQE_MelonA", "customer_email": "[email protected]"}}

c. Activez la fonction d’appel à distance.

provo-melon:/opt/emc/caspian/fabric/cli # bin/fcli lifecyclealert.callhomeenabled

Exemple de sortie :

{ "status": "OK", "etag": 90, "callhome_enabled": true}


Configuration d’ESRS 49

4. Vous pouvez ajouter ou mettre à jour un serveur ESRS sur le portail ECS. Sivous disposez déjà d’un serveur ESRS activé, vous devez le supprimer, puisajouter le nouveau serveur. Accédez à Settings > ESRS, puis ajoutez lesinformations suivantes : FQDN/IP, PORT, Username, Password.

Lors de la configuration d’ESRS avec ECS, les mots de passe de type FOB nesont pas pris en charge. Utilisez les informations d’identification du client pourle site support.emc.com.

Remarque

Pour la version 2.2, vous devez supprimer, puis ajouter tout serveur ESRSexistant que vous modifiez via le portail ECS. La modification du serveur nefonctionne pas avec la version 2.2.

Vérification de la configuration de la fonction d’appel à distanceVérifiez que vous avez correctement configuré la fonction d’appel à distance ESRS.

Vous pouvez tester le fonctionnement de l’appel à distance en générant une alerte detest, puis en vérifiant que l’alerte est bien reçue.

Procédure

1. Générez une alerte de test en procédant comme suit.

a. Authentifiez-vous auprès d’ECS Management REST API.

Par exemple, avec curl :

curl -L --location-trusted -k https://192.0.2.49:4443/login -u "root:ChangeMe" -v

Le token X-SDS-AUTH-TOKEN: obtenu peut être utilisé pour s’authentifierauprès d’ECS en vue d’exécuter des commandes ECS Management RESTAPI. Voici le résultat :

X-SDS-AUTH-TOKEN:BAAcaGtkTzRZU2k0SE5acVYxdFNCYUlUby9mOVM4PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOjMwOTFjMDY1LTgzMDAtNGNlNi1iNDY3LTU5NDFiM2MyYTBmZAIADTE0NzM3NzkxMzA4OTMDAC51cm46VG9rZW46M2Y4NTMzMzctN2ZiZi00NWRiLTk0M2YtY2NkYTc2OWQ0ZTc4AgAC0A8=

b. Vous pouvez stocker le jeton d’authentification (X-SDS-AUTH-TOKEN)dans une variable d’environnement pour vous éviter d’avoir à le ressaisirultérieurement.

export AUTH_TOKEN="X-SDS-AUTH-TOKEN:BAAcaGtkTzRZU2k0SE5acVYxdFNCYUlUby9mOVM4PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOjMwOTFjMDY1LTgzMDAtNGNlNi1iNDY3LTU5NDFiM2MyYTBmZAIADTE0NzM3NzkxMzA4OTMDAC51cm46VG9rZW46M2Y4NTMzMzctN2ZiZi00NWRiLTk0M2YtY2NkYTc2OWQ0ZTc4AgAC0A8="

c. Générez une alerte de test.



Par exemple (à l’aide de la variable d’environnement $AUTH_TOKEN) :

curl -ks -H "$AUTH_TOKEN" -H "Content-Type: application/json" -d '{"user_str":"test alert > for ESRS", "contact": "[email protected]"}' https://10.241.207.57:4443/vdc/callhome/alert | xmllint -format -

Le paramètre user_str vous permet de spécifier un message de test et leparamètre contact vous permet de renseigner une adresse e-mail.

2. Sur le portail ECS, vérifiez que la notification ESRS a été reçue.

3. Vérifiez que la dernière alerte de test est bien présente.

a. Établissez une connexion SSH au serveur ESRS.

b. Accédez à l’emplacement du fichier RSC.

cd /opt/connectemc/archive/

c. Recherchez le fichier RSC le plus récent, comme suit :

ls –lrt RSC_<SERIAL NUMBER>*”

d. Ouvrez le fichier et vérifiez que l’alerte de test la plus récente est présentedans la description.


Vérification de la configuration de la fonction d’appel à distance 51

CHAPITRE 5

Configuration d’un espace de nommage

l Configuration d’un espace de nommage.............................................................54l Comprendre les tenants.....................................................................................54l Comprendre les paramètres des espaces de nommage...................................... 55l Utilisation des espaces de nommage sur le portail ECS......................................58l Création et configuration d’un espace de nommage...........................................59

Configuration d’un espace de nommage 53

Configuration d’un espace de nommageLes espaces de nommage fournissent le mécanisme qui permet à plusieurs tenantsd’accéder à la zone de stockage d’objets d’ECS et garantit que les objets et lesbuckets écrits par les utilisateurs d’un tenant sont séparés des utilisateurs d’autrestenants.

Cet article présente les concepts associés aux tenants et à la configuration de l’espacede nommage :

l Comprendre les tenants à la page 54

l Comprendre les paramètres des espaces de nommage à la page 55

l Utilisation des espaces de nommage sur le portail ECS à la page 58

Il décrit les opérations requises pour configurer un espace de nommage à l’aide duportail ECS :

l Création et configuration d’un espace de nommage à la page 59

Alors que les opérations de configuration décrites dans cet article utilisent leportail ECS, les concepts décrits dans Comprendre les tenants à la page 54 et Comprendre les paramètres des espaces de nommage à la page 55 s’appliquent, quevous utilisiez le portail ou l’API REST.

Comprendre les tenantsECS prend en charge l’accès par plusieurs tenants, où chaque tenant est défini par unespace de nommage. Ce dernier est doté d’un ensemble d’utilisateurs configurés quipeuvent stocker des objets et y accéder au sein de cet espace de nommage.

Les espaces de nommage sont des ressources globales d’ECS. Un administrateursystème ou un administrateur d’espace de nommage qui accède à ECS depuisn’importe quel VDC fédéré peut configurer les paramètres de l’espace de nommage.Par ailleurs, les utilisateurs d’objets attribués à un espace de nommage sont globaux etpeuvent accéder à la zone de stockage d’objets depuis n’importe quel VDC fédéré.

La caractéristique clé d’un espace de nommage tient au fait que ses utilisateurs nepeuvent pas accéder aux objets qui appartiennent à un autre espace de nommage. Parailleurs, ECS permet à une entreprise de configurer des espaces de nommage et desurveiller et suivre leur utilisation. Il permet également d’octroyer des droits de gestionau tenant pour lui permettre de réaliser des opérations de configuration, desurveillance et de suivi d’utilisation.

Il est également possible d’utiliser les buckets comme moyen de créer des sous-tenants. Le propriétaire du bucket est l’administrateur du sous-tenant et peutattribuer des utilisateurs au sous-tenant à l’aide d’ACL. Néanmoins, les sous-tenantsn’offrent pas le même niveau de séparation que les tenants : tout utilisateurappartenant au tenant peut se voir octroyer des privilèges sur un sous-tenant.L’attribution d’utilisateurs doit donc être réalisée avec soin.

Les scénarios suivants sont pris en charge :

Tenant unique d'entreprise

Tous les utilisateurs accèdent aux buckets et aux objets au sein du même espacede nommage. Il est possible de créer des sous-tenants (buckets) pour permettreà un sous-ensemble d’utilisateurs de l’espace de nommage d’accéder au mêmeensemble d’objets. Un sous-tenant peut être un département au sein del’entreprise



Multitenant d’entreprise

Différents départements d’une entreprise sont attribués à différents espaces denommage et les utilisateurs des départements sont attribués à chaque espace denommage.

Tenant unique de Service Provider Cloud

Un seul espace de nommage est configuré et le Service Provider donne accès à lazone de stockage d’objets pour les utilisateurs situés à l’intérieur ou à l’extérieurde l’entreprise.

Multitenant de Service Provider Cloud

Le Service Provider Cloud attribue des espaces de nommage à différentesentreprises et attribue un administrateur à l’espace de nommage. L’administrateurde l’espace de nommage associé au tenant peut ensuite ajouter des utilisateursainsi que surveiller et suivre l’utilisation des buckets et des objets.

Les fonctions de gestion des tenants sont décrites dans la section Gestion d’untenant.

Chaque tenant dispose d’un accès aux groupes de réplication rendus disponibles parl’administrateur système. En fonction des modèles d’accès d’un tenant, ils peuventnécessiter des groupes de réplication qui intègrent des sites situés dans des zonesgéographiques spécifiques. Par exemple, si le tenant d’un client est situé en Chine, ilpeut préférer accéder aux groupes de réplication qui intègrent des VDC situés enChine.

Comprendre les paramètres des espaces de nommageUn espace de nommage fournit un mécanisme permettant de séparer les objets et lesbuckets, de façon qu’un objet d’un espace de nommage puisse avoir le même nomqu’un objet d’un autre espace de nommage. ECS identifie toujours l’objet requisd’après le qualificateur d’espace de nommage. L’espace de nommage est égalementconfiguré avec des attributs qui définissent quels utilisateurs peuvent accéder àl’espace de nommage et quelles sont les caractéristiques de l’espace de nommage.Vous pouvez considérer un espace de nommage ECS comme un tenant.

Les utilisateurs disposant des privilèges appropriés peuvent créer des buckets, et desobjets dans ces buckets, au sein de l’espace de nommage.

La manière dont les noms des espaces de nommage et des buckets sont utilisés lors del’adressage d’objets dans ECS est décrite dans la section Adressage du stockage enmode objet d’ECS et utilisation de l’URL de base.

Un espace de nommage ECS possède les attributs suivants :

Champ Description : Modifiable

Name Nom de l’espace de nommage. Ce nom doit êtreexclusivement composé de caractères en minuscule.

Non

Namespace Admin- User

ID utilisateur d’un ou plusieurs utilisateurs auxquels voussouhaitez attribuer le rôle d’administrateur d’espace denommage. Les utilisateurs qui figurent dans la liste doiventêtre séparés par des virgules.Les administrateurs d’espace de nommage peuvent être desutilisateurs locaux ou du domaine. Si vous souhaitez que

Oui


Comprendre les paramètres des espaces de nommage 55


l’administrateur d’espace de nommage soit un utilisateur dudomaine, vous devrez vous assurer qu’un fournisseurd’authentification a été ajouté à ECS. Reportez-vous à lasection Gestion des utilisateurs et des rôles à la page 74pour en savoir plus.

Namespace Admin- Domain Group

Groupe de domaine que vous souhaitez attribuer au rôleAdministrateur d’espace de nommage. Tous ses membres, unefois authentifiés, sont associés au rôle Administrateurd’espace de nommage de cet espace de nommage. Le groupedoit être attribué à l’espace de nommage via la définition desmappages d’utilisateur de domaine pour l’espace denommage.Pour utiliser cette fonction, vous devez vous assurer qu’unfournisseur d’authentification a été ajouté à ECS. Reportez-vous à la section Gestion des utilisateurs et des rôles à la page74 pour en savoir plus.

Oui

Replication Group Le groupe de réplication par défaut de l’espace de nommage. Oui

Namespace Quota Active des quotas pour l’espace de nommage. Les quotass’appliquent au stockage total utilisé par l’espace denommage. Des limites souples et strictes peuvent être définiesde façon à déclencher une notification lorsqu’une limitedéfinie est atteinte et à bloquer l’accès à l’espace denommage lorsque le stockage maximal est atteint.

Oui

Bucket Quota(Bucket Default)

Définit un quota par défaut à appliquer aux buckets créés danscet espace de nommage. Le quota par défaut est un quota deblocage qui, lorsqu’il est atteint, empêche les accès enécriture/modification au bucket.Le quota de bucket par défaut est appliqué au moment de lacréation du bucket. Par conséquent, la modification du quotade bucket par défaut ne s’appliquera pas aux buckets déjàcréés.

Oui

Server-sideEncryption (BucketDefault)

Définit une valeur par défaut pour le chiffrement côté serveurà appliquer aux buckets créés dans cet espace de nommage.Le chiffrement côté serveur est également appelé chiffrementdes données inactives ou D@RE (Data At Rest Encryption).Cette fonction chiffre les données à la volée avant de lesstocker sur des disques ECS. Ce chiffrement empêche larécupération de données sensibles sur des médias mis aurebut ou volés. Si le chiffrement est activé pour l’espace denommage, tous les buckets contenus dans celui-ci sontchiffrés, sauf si vous désactivez le chiffrement pour le bucketlors de sa création. Pour obtenir une description complète decette fonction, consultez le Guide de configuration de lasécurité ECS.

Non

Access DuringOutage (BucketDefault)

Définit une valeur par défaut pour l’accès en cas de panne àappliquer aux buckets créés dans cet espace de nommage.

Oui




Compliance(Bucket Default)

ECS propose des fonctions de rétention d’objet qui sontactivées ou définies au niveau de l’objet, du bucket ou del’espace de nommage. La conformité renforce ces fonctionsen limitant les modifications qui peuvent être apportées auxparamètres de rétention pour les objets en cours de rétention.

Les règles de conformité sont les suivantes :

l La conformité est activée au niveau de l’espace denommage. Cela signifie que tous les buckets de l’espacede nommage doivent avoir une période de rétentionsupérieure à zéro.

l La conformité peut uniquement être activée pour unespace de nommage au moment de la création de celui-ci.Elle ne peut pas être ajoutée à un espace de nommageexistant.

l Une fois activée, elle ne peut pas être désactivée.

l Tous les buckets d’un espace de nommage doivent avoirune période de rétention supérieure à zéro.

Remarque

Si vous disposez d’une application qui attribue despériodes de rétention au niveau de l’objet, n’utilisez pasECS pour attribuer une période de rétention supérieure àcelle de l’application. Cela entraînerait des erreursd’application.

l Un bucket ne peut pas être supprimé alors qu’il contientdes données, quel que soit son paramètre de rétention.

l L’utilisation de l’option Infinite avec un bucket signifie queles objets de ce bucket dans un espace de nommage avecconformité activée ne peuvent jamais être supprimés.

l La période de rétention d’un objet ne peut pas êtresupprimée ni réduite. Par conséquent, la période derétention d’un bucket ne peut pas être supprimée niréduite.

l Les périodes de rétention des objets et des bucketspeuvent être augmentées.

l Aucune fonction ne peut supprimer un objet en cours derétention. Cela inclut l’autorisation de suppression avecprivilèges de CAS.

Non

Retention Policies Permet d’ajouter et de configurer une ou plusieurs politiquesde rétention.Un espace de nommage peut être associé à plusieurspolitiques de rétention, chaque politique définissant unepériode de rétention. Si vous appliquez une politique derétention à plusieurs objets, plutôt que d’appliquerdirectement une période de rétention, toute modification de lapolitique de rétention entraînera la modification de la politiquede rétention pour l’ensemble des objets soumis à cette

Oui


Comprendre les paramètres des espaces de nommage 57


politique. Toute demande de modification d’un objet réaliséeavant l’expiration de la période de rétention sera interdite.

Il est également possible de spécifier des politiques derétention ainsi qu’un quota pour l’espace de nommage. Lasection Politiques et périodes de rétention à la page 93fournit de plus amples information sur l’utilisation de cesfonctions.

Domain Permet de spécifier des domaines AD/LDAP et de configurerles règles d’inclusion d’utilisateurs depuis le domaine.Les utilisateurs de domaine peuvent être attribués à des rôlesde gestion d’ECS. En outre, les utilisateurs appartenant audomaine peuvent utiliser la fonction de libre-service d’ECSpour s’inscrire en tant qu’utilisateurs d’objets.

Le mappage des utilisateurs de domaine dans un espace denommage est décrit à la section Présentation du mappage desutilisateurs dans un espace de nommage à la page 86.

Oui

L’attribut suivant peut être défini à l’aide d’ECS Management REST API et non sur leportail ECS.

Allowed (et Disallowed) Replication Groups

Permet à un client d’indiquer quels groupes de réplication peuvent être utilisés parl’espace de nommage.

Utilisation des espaces de nommage sur le portail ECSLa page consacrée aux espaces de nommage portail, Manage > Namespace, permetde créer des espaces de nommage et fournit un tableau qui répertorie les espaces denommage et permet de les modifier.

Figure 8 Page de gestion des espaces de nommage

Ce tableau comprend les champs suivants :

Champ Description

Name Nom de l’espace de nommage.

Replication Group Groupe de réplication par défaut de l’espacede nommage.



Champ Description

Notification Quota Limite de quota à laquelle une notification estgénérée.

Max Quota Limite de quota à laquelle les écritures surl’espace de nommage seront bloquées.

Encryption Spécifie si le chiffrement D@RE côté serveurest activé pour l’espace de nommage.

Actions Actions qu’il est possible d’effectuer sur

l’espace de nommage. Les actions Edit et

Delete sont disponibles.

Création et configuration d’un espace de nommageVous pouvez créer un nouvel espace de nommage ou modifier la configuration d’unespace de nommage existant sur la page Manage > Namespace.

Avant de commencer

l Pour effectuer cette opération, le rôle d’administrateur système doit vous avoirété attribué dans ECS.

l L’existence d’un groupe de réplication est indispensable. Le groupe de réplicationpermet d’accéder aux pools de stockage dans lesquels sont stockées les donnéesd’objet.

l Si vous souhaitez autoriser les utilisateurs de domaine à accéder à l’espace denommage, un fournisseur d’authentification doit avoir été ajouté à ECS. En outre,si vous avez l’intention de configurer des utilisateurs d’objets de domaine ou ungroupe de domaine, vous devez planifier la façon dont vous souhaitez mapper lesutilisateurs dans l’espace de nommage. Vous pouvez consulter la section Gestiondes utilisateurs et des rôles à la page 74 pour plus d’informations sur le mappaged’utilisateurs.

Assurez-vous d’avoir pris connaissance des informations générales sur les espaces denommage, fournies dans la section Comprendre les paramètres des espaces denommage à la page 55.

Procédure

1. Sur le ECSportail, sélectionnez Manage > Namespace

2. Pour créer un nouvel espace de nommage, sélectionnez New Namespace. Pourmodifier la configuration d’un espace de nommage existant, choisissez l’actionEdit associée à celui-ci.


Création et configuration d’un espace de nommage 59

3. Saisissez le nom de l’espace de nommage.

Le nom doit contenir uniquement des caractères en minuscules.

4. Définissez l’administrateur d’espace de nommage en saisissant un utilisateurlocal ou de domaine dans le champ User Admin et/ou en ajoutant un groupe dedomaine dans le champ Domain Group Admin.

Plusieurs utilisateurs ou groupes peuvent être ajoutés sous forme de listes devaleurs séparées par des virgules.

5. Spécifiez la valeur appropriée dans chacun des champs de valeur par défaut dubucket.

Les options suivantes définissent la valeur par défaut lors de la création d’unbucket à l’aide d’un client d’objet :

l Default Bucket Quota

l Access During Outage



l Compliance

6. Indiquez si cet espace de nommage nécessite un chiffrement côté serveur. Sivous sélectionnez Yes, le chiffrement côté serveur est activé pour chaquebucket de l’espace de nommage, et tous les objets des buckets sont chiffrés. Sivous sélectionnez No, vous pouvez tout de même appliquer le chiffrement côtéserveur à certains buckets de l’espace de nommage au moment de leur création.

7. Si vous souhaitez définir un quota pour l’espace de nommage, procédez commesuit :

a. Définissez l’option Namespace Quota sur Enabled.

b. Choisissez Notification Only ou Block Access

Si vous choisissez de bloquer l’accès lorsqu’une limite de stockage spécifiéeest atteinte, vous pouvez également spécifier un pourcentage de cette limitequi déclenchera l’envoi d’une notification.

8. Ajoutez et configurez des politiques de rétention.

a. Dans la zone Retention Policies, sélectionnez Add pour ajouter une nouvellepolitique.

b. Saisissez un nom pour la politique.

c. Spécifiez la période à utiliser pour la politique de rétention.

Il peut s’agir d’une valeur en minutes ou vous pouvez sélectionner la caseInfinite pour vous assurer que les buckets associés à cette politique derétention ne seront jamais supprimés.

9. Indiquez un domaine AD/LDAP dont les utilisateurs peuvent se connecter àECS, puis exécutez les tâches d’administration pour l’espace de nommage.

Saisissez le nom du domaine et spécifiez des groupes et attributs pour fournirun contrôle plus précis sur les utilisateurs du domaine autorisés à accéder à ECSdans l’espace de nommage actuel.

Pour réaliser des mappages plus complexes à l’aide des groupes et des attributs,reportez-vous à la section Gestion des utilisateurs et des rôles à la page 74.

10. Sélectionnez Save.


Création et configuration d’un espace de nommage 61

CHAPITRE 6

Configuration d’un fournisseurd’authentification

l Configuration d’un fournisseur d’authentification.............................................. 64l Gestion des fournisseurs d’authentification au niveau du portail ECS................ 64l Ajout d’un fournisseur d’authentification AD ou LDAP....................................... 65l Ajout d’un fournisseur d’authentification Keystone............................................ 70

Configuration d’un fournisseur d’authentification 63

Configuration d’un fournisseur d’authentificationDes fournisseurs d’authentification peuvent être ajoutés à ECS pour permettre auxutilisateurs d’être authentifiés par des systèmes externes à ECS.

Dans le contexte d’ECS, le terme fournisseur d’authentification désigne un systèmeexterne à ECS qui peut authentifier les utilisateurs pour le compte d’ECS. ECS doitstocker des informations lui permettant de se connecter au fournisseurd’authentification et ainsi de demander l’authentification d’un utilisateur.

Dans ECS, il existe actuellement deux types principaux de fournisseursd’authentification :

AD/LDAP

Utilisé pour authentifier des utilisateurs de domaine associés à des rôles degestion dans ECS.

Keystone

Utilisé pour authentifier les utilisateurs d’objets OpenStack Swift.

Les fournisseurs d’authentification peuvent être créés à partir du portail ECS(reportez-vous à la section Gestion des fournisseurs d’authentification au niveau duportail ECS à la page 64) ou à l’aide d’ECS Management REST API ou de la CLI.Vous pouvez suivre les procédures ci-dessous pour créer des fournisseursd’authentification AD/LDAP ou Keystone.

l Ajout d’un fournisseur d’authentification AD ou LDAP à la page 65

l Ajout d’un fournisseur d’authentification Keystone à la page 70

Gestion des fournisseurs d’authentification au niveau duportail ECS

Le portail ECS inclut une page Manage > Authentication permettant d’activer lesfournisseurs d’authentification à ajouter.

Vous ne pouvez accéder à la page Authentication Provider qui si vous êtesAdministrateur système (ou utilisateur root) de ECS.

La page Authentication Provider contient une table Authentication Providerrépertoriant les fournisseurs d’authentification qui ont été créés. En voici un exemple :

La table permet d’accéder aux informations et opérations suivantes.

Configuration d’un fournisseur d’authentification


Attribut Description

Name Le nom donné au fournisseur d’authentification.

Type Indique si le fournisseur d’authentification est un serveur AD(Active Directory), LDAP (Lightweight Directory Access Protocol) ouKeystone V3.

Domaines Domaines auxquels le fournisseur d’authentification permet d’accéder.

Enabled Indique si le fournisseur d’authentification est actuellement activé(Enabled) ou désactivé (Disabled).

Actions Fournit un menu de sélections disponibles. Les actions disponibles

sont les suivantes : Edit et Delete.

La page Authentication Provider permet également d’accéder aux contrôles suivants :

Contrôle Description

New AuthenticationProvider

Le bouton New Authentication Provider active le fournisseurd’authentification à ajouter.

Ajout d’un fournisseur d’authentification AD ou LDAPL’authentification des utilisateurs de domaine ECS est effectuée à l’aide d’un ouplusieurs fournisseurs d’authentification ajoutés à ECS.

Avant de commencer

l Pour que vous puissiez ajouter un fournisseur d’authentification, le rôleAdministrateur système doit vous avoir été attribué dans ECS. L’utilisateur root ale rôle d’administrateur système.

l Vous avez besoin d’accéder aux informations sur les fournisseursd’authentification répertoriées dans la section Paramètres des fournisseursd’authentification. Notez les exigences relatives à l’utilisateur Manager DN.

Procédure

1. Dans le portail ECS, sélectionnez Manage > Authentication > NewAuthentication Providers.

2. Saisissez les valeurs des attributs. Reportez-vous à la section Paramètres des fournisseurs d’authentification.


4. Pour vérifier la configuration, ajoutez un utilisateur du fournisseurd’authentification sous Manage > Users > Management Users, puis essayez devous connecter en tant que nouvel utilisateur.

Paramètres des fournisseurs d’authentification AD/LDAPLorsque vous ajoutez ou modifiez un fournisseur d'authentification, vous devez fournircertaines informations.


Ajout d’un fournisseur d’authentification AD ou LDAP 65

Tableau 4 Paramètres des fournisseurs d’authentification

Nom du champ Description et exigences

Name Nom du fournisseur d’authentification. Vous pouvez avoirplusieurs fournisseurs pour différents domaines.

Description Description libre du fournisseur d’authentification.

Type Active Directory ou LDAP

Domains Active Directory et LDAP permettent aux administrateursd’organiser les objets d’un réseau (comme les utilisateurs, lesordinateurs et les périphériques) en une collectionhiérarchique de conteneurs.

Les domaines sont un ensemble d’objets définis de manièreadministrative qui partagent une base de données, desstratégies de sécurité et des relations de confiance avecd’autres domaines. Par conséquent, chaque domaineconstitue une limite d’administration pour les objets. Undomaine unique peut couvrir plusieurs emplacements ou sitesphysiques et peut contenir des millions d’objets.

L’entrée suivante est une entrée habituelle pour le champ dufournisseur d’authentification :

mycompany.com

Si un autre suffixe UPN est configuré dans Active Directory, laliste des domaines doit aussi contenir l’autre UPN configurépour le domaine. Par exemple, si myco est ajouté en tant

qu’autre suffixe UPN pour mycompany.com, alors la liste des

domaines doit à la fois contenir myco et mycompany.com.

Server URLs LDAP ou LDAPS (LDAP sécurisé) avec l’adresse IP ducontrôleur de domaine. Le port par défaut du protocole LDAPest 389 et celui du protocole LDAPS est 636.

Usage : un ou plusieurs

ldap://<Domain controller IP>:<port> (si ce n’est pas le port par défaut)

ou

ldaps://<Domain controller IP>:<port> (si ce n’est pas le port par défaut)

Si le fournisseur d’authentification prend en charge une forêtmultidomaine, utilisez l’adresse IP du serveur du catalogueGlobal et spécifiez toujours le numéro de port. La valeur pardéfaut est 3268 pour LDAP et 3269 pour LDAPS.

Usage : ldap(s)://<Global catalog server IP>:<port>

Manager DN Indique le compte utilisateur de liaison Active Directory queECS utilise pour se connecter à Active Directory ou au serveurLDAP. Ce compte sert, par exemple, à effectuer desrecherches dans Active Directory lorsqu’un administrateurECS choisit un utilisateur auquel attribuer un rôle.



Tableau 4 Paramètres des fournisseurs d’authentification (suite)


Exigences :

Cet utilisateur doit bénéficier de l’autorisation Read all inetOrgPerson information dans Active Directory. La classe d’objet InetOrgPerson est utilisée dans plusieurs services d’annuaire non Microsoft, Lightweight Directory Access Protocol (LDAP) et X.500 pour représenter les personnes dans une organisation.Pour définir ce privilège dans Active Directory, ouvrez Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit de la souris sur le domaine, puis sélectionnez

Delegate Control.... Cliquez sur Next, puis sélectionnez l’utilisateur que vous utilisez pour managerdn. Cliquez sur

Next. L’autorisation requise se trouve sur l’écran suivant « Lire toutes les informations inetOrgPerson ».

Exemple :

CN=Manager,CN=Users,DC=mydomaincontroller,DC=com

Dans cet exemple, l’utilisateur de liaison Active Directory estManager dans l’arborescence Utilisateurs du domainemydomaincontroller.com. En général, les privilèges attribués àl’utilisateur managerdn sont inférieurs à ceux del’administrateur, mais ils lui permettent d’exécuter desrequêtes dans Active Directory pour obtenir des informationssur les groupes et les attributs des utilisateurs.

AVERTISSEMENT

Vous devez mettre à jour cette valeur dans ECS en cas demodification des informations d’identification demanagerdn dans Active Directory.

Manager Password Mot de passe de l’utilisateur managerdn.

AVERTISSEMENT

Vous devez mettre à jour cette valeur dans ECS en cas demodification des informations d’identification demanagerdn dans Active Directory.

Providers Sélectionnez Disabled si vous souhaitez ajouter le serveurà ECS mais sans l’utiliser dans l’immédiat pourl’authentification. (Que cette propriété ait ou non la valeurTrue, ECS confirme que le nom et le domaine du fournisseursont uniques.)

Group Attribute Indique l’attribut Active Directory utilisé pour identifier ungroupe. Utilisé pour effectuer une recherche par groupe dansl’annuaire.

Exemple : CN


Paramètres des fournisseurs d’authentification AD/LDAP 67



Active Directory uniquement. Ne s’applique pas aux autresfournisseurs d’authentification.

Remarque

Une fois cette valeur définie pour un fournisseur, elle ne peutplus être modifiée car les tenants utilisant ce fournisseurdisposent peut-être d’autorisations et de rôles qui ont étéconfigurés avec des noms de groupe dont le format utilisel’attribut actuel.

Group Whitelist (facultatif). Un ou plusieurs noms de groupe définis par lefournisseur d’authentification. Ce paramètre filtre lesinformations relatives à l’appartenance aux groupesrécupérées par ECS pour un utilisateur spécifique.

l Lorsqu’un ou plusieurs groupes sont inclus dans la listeblanche, ECS sait si l’utilisateur appartient à ce ou cesgroupes uniquement. Les valeurs multiples (une par lignedans ECS, séparées par des virgules dans l’interfaceutilisateur et la CLI) et les caractères génériques (parexemple MyGroup*, TopAdminUsers*) sont autorisés.

l Si aucune valeur n’est saisie (par défaut), ECS voit tousles groupes auxquels un utilisateur appartient.L’astérisque (*) donne le même résultat qu’une valeurvierge.

Exemple :

L’UtilisateurA appartient au Groupe1 et au Groupe2.

Si la liste blanche est vide, ECS sait que l’UtilisateurA estmembre du Groupe1 et du Groupe2.

Si la liste blanche est définie sur « Groupe1 », ECS sait quel’UtilisateurA est membre du Groupe1, mais ne sait pas s’il estmembre du Groupe2 (ou de tout autre groupe).

Soyez vigilant lorsque vous ajoutez une valeur dans la listeblanche. Par exemple, si le mappage d’un utilisateur à untenant est basé sur l’appartenance à un groupe, ECS doitsavoir si l’utilisateur est membre du groupe concerné.

Pour restreindre l’accès à un espace de nommage auxutilisateurs d’un ou de certains groupes uniquement, il faut :

l Ajouter ce ou ces groupes au mappage des utilisateurs del’espace de nommage de sorte que le tenant accepteuniquement les utilisateurs de ce ou ces groupes.

l Ajouter ce ou ces groupes à la liste blanche afin que ECSsoit autorisé à recevoir les informations les concernant.





Par défaut, si aucun groupe n’est ajouté au mappage desutilisateurs au tenant, les utilisateurs de tous les groupes sontacceptés, quelle que soit la configuration de la liste blanche.

Active Directory uniquement. Ne s’applique pas aux autresfournisseurs d’authentification.

Search Scope Un niveau (recherche des utilisateurs un niveau en dessous dela base de recherche) ou Sous-arbre (recherche dansl’ensemble du sous-arbre sous la base de recherche).

Search Base Indique le nom unique de base utilisé par ECS pour rechercherles utilisateurs au moment de la connexion et lors del’attribution des rôles ou du paramétrage des ACL.

Exemple : CN=Users,DC=mydomaincontroller,DC=com

Cet exemple permet de rechercher tous les utilisateurs dans leconteneur Utilisateurs.

Exemple :CN=Users,OU=myGroup,DC=mydomaincontroller,DC=com

Cet exemple permet de rechercher tous les utilisateurs dans leconteneur Utilisateurs dans l’unité d’organisation myGroup.

Notez que la structure de la valeur searchbase commence parle niveau « feuille » et remonte jusqu’au niveau du contrôleurde domaine ; cette structure est le contraire de celle vue dansl’interface Utilisateurs et ordinateurs Active Directory.

Search Filter Indique la chaîne utilisée pour sélectionner des sous-ensembles d’utilisateurs. Exemple : userPrincipalName=%u

Remarque

ECS ne valide pas cette valeur lorsque vous ajoutez lefournisseur d’authentification.

Si un autre suffixe UPN est configuré dans Active Directory, lavaleur du filtre de recherche doit être au formatAMAccountName=%U, où %U représente le nom d’utilisateur,sans le nom de domaine.

Éléments à prendre en compte lors de l'ajout de fournisseurs d'authentificationLorsque vous configurez ECS pour l’utiliser avec Active Directory, vous devez choisirde gérer plusieurs domaines avec un fournisseur d’authentification unique ou d’ajouterdes fournisseurs d’authentification distincts pour chaque domaine.

La décision d'ajouter un fournisseur d'authentification unique ou d'en ajouter plusieursdépend du nombre de domaines dans l'environnement, ainsi que de l'emplacementdans l'arborescence depuis lequel l'utilisateur gestionnaire est autorisé à effectuer desrecherches. Les fournisseurs d'authentification disposent d'une base de recherche(search_base) unique dans laquelle sont effectués les recherches. Ils ont un compte


Paramètres des fournisseurs d’authentification AD/LDAP 69

de gestionnaire unique qui doit disposer d'un accès en lecture au niveau search_baseet aux niveaux inférieurs.

Utilisez un fournisseur d’authentification unique pour plusieurs domaines si vous gérezune forêt Active Directory et si :

l le gestionnaire de compte a des privilèges lui permettant de faire des recherchessuffisamment poussées dans l’arborescence pour accéder à toutes les entréesutilisateur ;

l la recherche va porter sur l’ensemble de la forêt à partir d’une base de rechercheunique, et non uniquement sur les domaines répertoriés dans le fournisseur.

Dans le cas contraire, configurez un fournisseur d'authentification pour chaquedomaine.

Notez que même si vous gérez une forêt et que vous disposez des privilègesappropriés, vous pouvez choisir de ne pas gérer les domaines avec un fournisseurd'authentification unique. Vous pouvez utiliser un fournisseur d'authentification pardomaine lorsque vous avez besoin d'accéder à des détails et de contrôler avecprécision chaque domaine, notamment pour définir le point de départ de la recherchedans la base de recherche. Étant donné qu'il n'existe qu'une seule base de recherchepar configuration, elle doit inclure l'ensemble des éléments de la configuration pourque la recherche soit performante.

La base de recherche doit se trouver à un niveau suffisamment élevé dans la structuredes répertoires de la forêt pour que tous les utilisateurs dans les domaines cibléssoient inclus dans la recherche.

l Si la forêt contient dix domaines mais que vous ne souhaitez en cibler que trois,n'utilisez pas une configuration avec fournisseur unique car la recherche porterasur l'ensemble de la forêt, ce qui peut avoir un impact sur les performances. Dansce cas, utilisez trois configurations distinctes.

l Si la forêt contient dix domaines et que vous souhaitez tous les cibler, optez pourune configuration globale afin de limiter le paramétrage de surcharge.

Ajout d’un fournisseur d’authentification KeystoneVous pouvez ajouter un fournisseur d’authentification Keystone afin qu’il authentifieles utilisateurs OpenStack Swift.

Avant de commencer

l Pour que vous puissiez ajouter un fournisseur d’authentification, le rôleAdministrateur système doit vous avoir été attribué dans ECS. L’utilisateur root ale rôle d’administrateur système.

l Vous devez avoir accès aux informations du fournisseur d’authentificationrépertoriées à la section Paramètres du fournisseur d’authentification Keystone àla page 71.

Procédure

1. Dans le portail ECS, sélectionnez Manage > Authentication > NewAuthentication Providers.

2. Saisissez les valeurs des attributs. Reportez-vous au Paramètres du fournisseur d’authentification Keystone à la page 71.




Paramètres du fournisseur d’authentification KeystoneLorsque vous ajoutez ou modifiez un fournisseur d’authentification Keystone, vousdevez fournir certaines informations.

Champ Description

Name Nom du fournisseur d’authentificationKeystone. Ce nom est utilisé pour identifier lefournisseur dans ECS.

Description Description libre du fournisseurd'authentification.

Type Keystone V3

Server URL URl du système Keystone auquel seconnectera ECS pour demanderl’authentification des utilisateurs Swift.

Keystone Administrator Nom d’utilisateur d’un administrateur dusystème Keystone. ECS se connectera ausystème Keystone à l’aide de ce nomd’utilisateur.

Admin Password Mot de passe de l’administrateur Keystonespécifié.


Paramètres du fournisseur d’authentification Keystone 71

CHAPITRE 7

Gérer les utilisateurs

l Gestion des utilisateurs et des rôles................................................................... 74l Présentation des utilisateurs et des rôles dans ECS........................................... 74l Gestion des utilisateurs au niveau du portail ECS............................................... 78l Présentation du mappage des utilisateurs dans un espace de nommage............ 86

Gérer les utilisateurs 73

Gestion des utilisateurs et des rôlesCet article décrit les types d’utilisateurs pris en charge par ECS et les rôles quipeuvent leur être attribués.

Il présente les principaux concepts associés aux utilisateurs et aux rôles d’ECS :

l Présentation des utilisateurs et des rôles dans ECS à la page 74

l Gestion des utilisateurs au niveau du portail ECS à la page 78

puis il explique de quelle manière ajouter des utilisateurs de gestion et des utilisateursd’objets :

l Ajout d’un nouvel utilisateur d’objets à la page 80

l Ajout d’un utilisateur de domaine en tant qu’utilisateur d’objets à la page 82

l Création d’un utilisateur local de gestion ou attribution d’un rôle de gestion à unutilisateur de domaine à la page 82

l Création d’un administrateur d’espace de nommage à la page 84

Il indique par ailleurs comment procéder au mappage des utilisateurs de domaine dansun espace de nommage :

l Mappage des utilisateurs de domaine dans l’espace de nommage à la page 88

Présentation des utilisateurs et des rôles dans ECSECS définit différents types d’utilisateurs et rôles pour déterminer l’accès auxfonctions de gestion d’ECS et à la zone de stockage d’objets.

Les principaux concepts associés aux rôles et aux utilisateurs sont décrits dans lessections suivantes :

l Utilisateurs dans ECS à la page 74

l Rôles Utilisateur à la page 76

l Utilisateurs de domaine et locaux à la page 77

l Périmètre utilisateur : global ou espace de nommage à la page 78

Utilisateurs dans ECSECS nécessite deux types d’utilisateurs : les utilisateurs de gestion, qui peuventprocéder à l’administration d’ECS, et les utilisateurs d’objets, qui accèdent à la zonede stockage d’objets pour lire et écrire des objets et des buckets en utilisant lesprotocoles d’accès aux données pris en charge (S3, EMC Atmos, OpenStack Swiftet CAS).

Les utilisateurs de gestion peuvent accéder au portail ECS. Les utilisateurs d’objets nepeuvent pas accéder au portail ECS, mais peuvent accéder à la zone de stockaged’objets à l’aide des clients qui prennent en charge les protocoles d’accès aux donnéesd’ECS.

Les utilisateurs de gestion et les utilisateurs d’objets sont stockés dans différentestables et leurs informations d’identification sont différentes. Les utilisateurs de gestionont besoin d’un nom d’utilisateur et d’un mot de passe en local, ou d’un lien vers uncompte d’utilisateur de domaine. Les utilisateurs d’objets ont besoin d’un nomd’utilisateur et d’une clé secrète. Vous pouvez donc créer un utilisateur de gestion etun utilisateur d’objets portant le même nom. Toutefois, il s’agit bien d’utilisateursdifférents puisque leurs informations d’identification sont différentes.



En outre, les noms des utilisateurs de gestion et des utilisateurs d’objets peuvent êtreuniques au sein du système ECS ou uniques au sein d’un espace de nommage. Celas’appelle un périmètre utilisateur. Pour plus d’informations, reportez-vous à la section Périmètre utilisateur : global ou espace de nommage à la page 78.

Vous trouverez plus d’informations sur les types d’utilisateurs pris en charge dans lessections suivantes :

l Utilisateurs de gestion à la page 75

l Utilisateurs d’objets à la page 75

l Utilisateur racine à la page 76

Utilisateurs de gestionLes utilisateurs de gestion peuvent procéder à la configuration et à l’administration dusystème ECS et des tenants configurés dans ECS.

Les utilisateurs de gestion peuvent être des utilisateurs locaux dont les informationsd’identification sont stockées par ECS et sont authentifiées par ECS par rapport auxinformations d’identification définies en local. Ils peuvent également être desutilisateurs de domaine définis dans Active Directory (AD) ouLightweight Directory Access Protocol (LDAP) et authentifiés par rapport auxutilisateurs définis dans ces systèmes. Pour en savoir plus sur les utilisateurs dedomaine et locaux, reportez-vous à la section Utilisateurs de domaine et locaux à lapage 77.

Les utilisateurs de gestion ne sont pas répliqués sur les VDC géofédérés.

Utilisateurs d’objetsLes utilisateurs d’objets sont ceux qui utilisent la zone de stockage d’objets ECS et yaccèdent via des clients d’objet à l’aide des protocoles d’objet ECS pris en charge (S3,EMC Atmos, Openstack Swift et CAS). Les utilisateurs d’objets peuvent égalementrecevoir des autorisations de type Unix pour accéder aux buckets exportés en tant quesystèmes de fichiers pour HDFS.

Les utilisateurs d’objets sont définis par un nom d’utilisateur et une clé secrète quipermettent d’accéder au stockage an mode objet. Les noms d’utilisateurs peuventêtre des noms locaux ou des noms d’utilisateurs de domaine comportant un « @ ».

Un utilisateur de gestion peut créer un compte d’utilisateur d’objets et attribuer àcelui-ci une clé secrète au moment de sa création ou à tout moment, ultérieurement.Lorsque les utilisateurs d’objets sont créés par un utilisateur de gestion, leurs cléssecrètes leur sont distribuées par e-mail ou par d’autres moyens.

En ce qui concerne les utilisateurs de domaine, les utilisateurs d’objets ont lapossibilité d’obtenir une clé secrète à l’aide de la fonctionnalité de libre-service d’ECS,par l’intermédiaire d’un client interagissant avec l’API REST d’ECS (les utilisateursd’objets n’ont pas accès au portail ECS). Pour en savoir plus sur les utilisateurs dedomaine, reportez-vous à la section Utilisateurs de domaine et locaux à la page 77.Vous pouvez également vous reporter à la section Guide d’accès aux données :Création et gestion des clés secrètes pour plus d’informations sur la création d’une clésecrète.

Les utilisateurs d’objets sont des ressources globales. Un utilisateur d’objets créé auniveau d’un VDC peut donc recevoir des privilèges de lecture et d’écriture des bucketset des objets, au sein de l’espace de nommage auquel il a été attribué, depuisn’importe quel VDC.


Utilisateurs dans ECS 75



Utilisateur racineL’utilisateur root est disponible à l’initialisation du système et le rôle d’Administrateursystème lui est pré-attribué.

Le compte utilisateur root doit uniquement être utilisé pour l’accès initial au système.Lors de l’accès initial, vous devez modifier le mot de passe de l’utilisateur root sur lapage Settings > Password, et créer un ou plusieurs nouveaux comptes Administrateursystème.

Du point de vue de l’audit, comme il est important de savoir quel utilisateur a apportédes changements au système, le compte utilisateur root ne doit pas être utilisé, etchaque utilisateur Administrateur système doit disposer de son propre compte.

Rôles UtilisateurECS définit des rôles pour déterminer les opérations qu’un compte utilisateur peuteffectuer sur le portail ECS ou lors de l’accès à ECS via ECS Management REST API.Il est possible d’attribuer des rôles d’administration aux utilisateurs et groupes degestion dans ECS, qu’ils soient des utilisateurs locaux ou de domaine. Des rôlespeuvent également être attribués à des noms de groupe Active Directory.

Les rôles de gestion suivants sont définis :

l Administrateur système à la page 76

l Surveillance du système à la page 76

l Administrateur d’espace de nommage à la page 77

Administrateur systèmeLe rôle Administrateur système peut configurer ECS et spécifier le stockage utilisépour la zone de stockage d’objets, la manière dont le stockage est répliqué, la manièredont l’accès du tenant à la zone de stockage d’objets est configuré, ainsi que lesutilisateurs ayant des autorisations d’accès à un espace de nommage attribué.

L’administrateur système peut également configurer des espaces de nommage etprocéder à l’administration d’un espace de nommage, ou encore désigner un utilisateurqui appartient à l’espace de nommage comme Administrateur d’espace de nommage.

L’administrateur système a accès au portail ECS ; il peut également effectuer desopérations d’administration système à partir de programmes clients en utilisantl’ECS Management REST API.

Les utilisateurs de gestion n’étant pas répliqués sur l’ensemble des sites, vous devezcréer un administrateur système au niveau de chaque VDC en exigeant un.

Surveillance du systèmeLe rôle Surveillance du système peut afficher toutes les données du portail ECS, maisil ne peut pas apporter de modifications.

Le rôle Surveillance du système peut afficher toutes les données du portail ECS, maisil ne peut pas provisionner le système ECS. Il ne peut pas créer, mettre à jour nisupprimer des pools de stockage, des groupes de réplication, des espaces denommage, des buckets, des utilisateurs, etc. via le portail ou via ECS ManagementAPI. Il ne peut modifier aucun paramètre du portail, à l’exception de son propre mot depasse.



Les utilisateurs de gestion n’étant pas répliqués sur l’ensemble des sites, vous devezcréer un utilisateur ayant le rôle Surveillance du système au niveau de chaque VDC ennécessitant un.

Administrateur d’espace de nommageL’administrateur d’espace de nommage est un utilisateur de gestion pouvant accéderau portail ECS et désigner des utilisateurs locaux comme utilisateurs d’objets pourl’espace de nommage. Il peut également créer et gérer des buckets au sein de l’espacede nommage. Les opérations de l’administrateur d’espace de nommage peuventégalement être effectuées en utilisant l’ECS Management REST API.

Un administrateur d’espace de nommage est obligatoirement l’administrateur d’un seulespace de nommage.

Les fournisseurs d’authentification et les espaces de nommage sont répliqués sur tousles sites (ce sont des ressources ECS globales). Un utilisateur de domaine qui estadministrateur d’espace de nommage peut donc se connecter sur n’importe quel siteet procéder à l’administration de l’espace de nommage depuis ce site.

Les comptes locaux de gestion ne sont pas répliqués sur les différents sites. Unutilisateur local jouant le rôle d’administrateur de l’espace de nommage peut doncseulement se connecter au VDC dans lequel le compte d’utilisateur de gestion a étécréé. Si vous souhaitez qu’un même nom d’utilisateur existe dans un autre VDC, vousdevez créer cet utilisateur dans l’autre VDC. Comme il s’agit de comptes différents,les changements effectués dans un compte de même nom au niveau d’un VDC (parexemple, une modification de mot de passe), ne sont pas répliqués dans le compte demême nom au niveau de l’autre VDC.

Utilisateurs de domaine et locauxECS prend en charge les utilisateurs locaux et de domaine.

Les utilisateurs locaux sont des comptes utilisateur dont les informationsd’identification sont stockées par ECS. Les utilisateurs de gestion et les utilisateursd’objets peuvent être définis en local sur ECS. Dans le cas d’utilisateurs d’objets, lesinformations d’identification sont des ressources globales et sont disponibles pourtous les VDC ECS.

Pour des utilisateurs locaux, il est très simple de commencer à utiliser ECS. Toutefois,le recours à AD/LDAP permet de tirer parti d’une base de données utilisateursexistante et d’autoriser un grand nombre d’utilisateurs à accéder à la zone de stockaged’objets sans avoir à créer des comptes pour eux.

Les utilisateurs de domaine sont définis dans une base de données AD/LDAP. ECS doitcommuniquer avec le serveur AD ou LDAP pour authentifier les demandes deconnexion utilisateur. ECS utilise le concept de fournisseur d’authentification pourfournir les informations d’identification dont il a besoin pour communiquer avec leserveur AD/LDAP et pour spécifier les domaines et les groupes qui doivent être mis àla disposition d’ECS.

Les utilisateurs de domaine sont définis selon le format [email protected] etECS tente d’authentifier les noms d’utilisateurs ayant ce format à l’aide desfournisseurs d’authentification configurés. Les noms d’utilisateurs ne comportant pasde @ sont authentifiés par rapport à la base de données d’utilisateurs locaux.

Les utilisateurs de domaine auxquels des rôles de gestion ont été attribués peuventêtre authentifiés par rapport à leurs informations d’identification AD/LDAP. Ilspeuvent ainsi accéder à ECS et procéder à des opérations d’administration d’ECS. Lesopérations d’administration peuvent être effectuées depuis le portail ECS ou à l’aidede l’API de gestion d’ECS.


Utilisateurs de domaine et locaux 77

Les utilisateurs de domaine peuvent également être désignés comme utilisateursd’objets. Pour économiser les coûts d’administration liés à la création manuelle d’ungrand nombre de comptes d’utilisateurs d’objets dans ECS, une fonctionnalité de libre-service est disponible. Elle permet à ECS d’authentifier des utilisateurs de domaine etde les ajouter automatiquement en tant qu’utilisateurs d’objets et de leur attribuer uneclé secrète.

Pour que cette fonctionnalité soit utilisable, un utilisateur de domaine doit être dans unespace de nommage. ECS fournit un mécanisme permettant de mapper les utilisateursde domaine dans un espace de nommage en fonction du domaine et du groupeauxquels ils appartiennent et en fonction des attributs associés à leur compte.

Périmètre utilisateur : global ou espace de nommageLe périmètre des utilisateurs d’objets dépend du périmètre utilisateur qui a été défini.Sa configuration a un impact sur tous les utilisateurs, dans l’ensemble des espaces denommage des différents VDC fédérés.

Le périmètre utilisateur peut être défini sur GLOBAL ou NAMESPACE (espace denommage). Dans un périmètre global, les noms d’utilisateurs d’objets sont uniquesdans l’ensemble des VDC du système ECS. Dans un périmètre d’espace de nommage,les noms d’utilisateurs d’objets sont uniques au sein d’un même espace de nommage. Ilest donc possible d’avoir des noms de comptes d’utilisateurs d’objets identiques dansdifférents espaces de nommage.

Le paramètre par défaut est GLOBAL. Si vous comptez utiliser ECS dans uneconfiguration multitenant et voulez vous assurer que les tenants pourront utiliser desnoms déjà utilisés dans un autre espace de nommage, vous devez remplacer laconfiguration par défaut par NAMESPACE.

Remarque

La configuration du périmètre utilisateur doit être effectuée avant la création dupremier utilisateur d’objets.

Configuration du périmètre utilisateurLe périmètre utilisateur peut être configuré en utilisant l’API de méthode PUT /config/object/properties et en transmettant le périmètre utilisateur dans la charge utile. Voiciun exemple de charge utile qui définit le périmètre utilisateur user_scope surNAMESPACE.

PUT /config/object/properties/

<property_update> <properties> <properties> <entry> <key>user_scope</key> <value>NAMESPACE</value> </entry> </properties> </property_update>

Gestion des utilisateurs au niveau du portail ECSLe portail ECS inclut une page Manage > Users qui permet de créer des utilisateurslocaux et de leur attribuer le rôle d’utilisateurs d’objets pour un espace de nommage. Ilpermet aussi aux administrateurs système de créer des utilisateurs locaux de gestion



et de leur attribuer des rôles d’administration, ou encore d’attribuer des rôlesd’administration à des utilisateurs de domaine.

La page Manage > Users inclut deux pages auxiliaires :

l Vue Object Users à la page 79

l Vue Management Users à la page 80

Vous ne pouvez accéder à la page de gestion que si vous êtes Administrateur système(ou utilisateur root) de l’ECS.

Vue Object UsersLa vue Object Users contient une table des utilisateurs en charge des objets. Ellerépertorie les utilisateurs qui ont été créés, l’espace de nommage auquel lesutilisateurs ont été attribués, et les actions qui peuvent être effectuées surl’utilisateur.

Si vous êtes Administrateur système, vous voyez les utilisateurs en charge des objetsde l’ensemble des espaces de nommage. Si vous êtes Administrateur d’espace denommage, vous voyez uniquement les utilisateurs appartenant à votre espace denommage.

La vue Object Users est illustrée ci-dessous.

La table Object Users permet d’accéder aux informations et opérations suivantes.


Name Nom de l’utilisateur.

Namespace L’espace de nommage auquel l’utilisateur est attribué.



Le volet Object Users fournit également un accès aux contrôles suivants :


New Object User Le bouton New Object User active l’ajout d’un nouvel utilisateur.


Gestion des utilisateurs au niveau du portail ECS 79

Vue Management UsersLa vue Management Users contient une table des utilisateurs de gestion. Ellerépertorie les utilisateurs de gestion créés et les actions pouvant être effectuées surchaque utilisateur. Cette page est uniquement visible des utilisateurs ayant un rôleAdministrateur système.

La vue Management Users est illustrée ci-dessous.

La table des utilisateurs d’objets permet d’accéder aux informations et opérationssuivantes.

Colonne Description

Name Nom de l’utilisateur.



La vue Management Users fournit également les contrôles suivants :


New ManagementUser

Le bouton New Management User permet d’ajouter un utilisateurde gestion auquel il est possible d’attribuer le rôle Administrateursystème pour ECS.

Ajout d’un nouvel utilisateur d’objetsVous pouvez créer de nouveaux utilisateurs locaux et les configurer pour utiliser lesprotocoles d’accès aux objets pris en charge. Après avoir créé un utilisateur, vouspouvez modifier sa configuration en ajoutant ou en supprimant l’accès à un protocoled’objet, ou en créant pour lui une nouvelle clé secrète.

Avant de commencer

l Si vous êtes Administrateur système ECS, vous pouvez attribuer des utilisateurs àn’importe quel espace de nommage.

l Si vous êtes Administrateur d’espace de nommage, vous pouvez attribuer desutilisateurs aux espaces de nommage dont vous êtes administrateur.



l Si vous voulez que vos utilisateurs de domaine deviennent des utilisateurs d’objets,reportez-vous à la section Ajout d’un utilisateur de domaine en tant qu’utilisateurd’objets à la page 82.

l Lors de l’attribution d’un mot de passe pour un utilisateur Swift, l’utilisateur estajouté au groupe d’administrateurs Swift.

Remarque

N’utilisez pas le portail ECS pour effectuer cette opération si vous souhaitez queles utilisateurs soient attribués à différents groupes Swift.

Vous pouvez vous reporter à la section Gestion des utilisateurs au niveau du portailECS à la page 78 pour plus d’informations sur la page Manage > Users.

Procédure

1. Dans le portail ECS, sélectionnez la page Manage > Users.

La page Object Users s’affiche par défaut et affiche la table Object Users quirépertorie les utilisateurs locaux créés et l’espace de nommage auquel ils sontattribués.

2. Sélectionnez New Object User.

La page New User Object s’affiche.

3. Saisissez un nom d’utilisateur.

Il s’agit du nom de l’utilisateur local créé.

Vous pouvez utiliser des noms de type domaine incluant « @ ». Par exemple,« [email protected] ». Toutefois, cette possibilité vise uniquement à vouspermettre de conserver des noms uniques et cohérents avec les noms AD.L’authentification est effectuée à l’aide d’une clé secrète attribuée au nomd’utilisateur, et non via AD ou LDAP.

Remarque

Les noms d’utilisateur doivent se composer de lettres minuscules, de chiffres oudes caractères suivants : ! # $ & ' ( ) * + , - . / : ; = ? @ _ ~

4. Sélectionnez l’espace de nommage auquel attribuer l’utilisateur local.

Une fois l’espace de nommage sélectionné, vous pouvez cliquer sur Save pourenregistrer l’utilisateur, puis revenir ultérieurement pour modifier l’utilisateur etlui assigner une clé secrète d’accès à un protocole d’objet. Sinon, vous pouvezsélectionner Add Passwords et spécifier des mots de passe ou des cléssecrètes d’accès aux protocoles d’objet ECS.

5. Pour configurer des clés secrètes pour l’utilisateur, sélectionnez AddPasswords.

6. Pour chacun des protocoles d’objet que vous voulez utiliser pour accéder à lazone de stockage d’objets ECS, saisissez ou générez une clé d’accès auservice S3, Swift ou CAS, puis enregistrez la clé.

Sélectionnez Add Password pour enregistrer la clé.

7. Spécifiez un mot de passe pour chacune des interfaces d’objet auxquelles voussouhaitez que l’utilisateur ait accès.

Pour S3 et CAS, vous pouvez générer le mot de passe.


Ajout d’un nouvel utilisateur d’objets 81

8. Les clés secrètes et les mots de passe sont enregistrés automatiquement. Vouspouvez ensuite cliquer sur le bouton Close pour revenir à la page desutilisateurs.

Ajout d’un utilisateur de domaine en tant qu’utilisateur d’objetsVous pouvez configurer des utilisateurs de domaine pour qu’ils puissent accéder à ECSet générer des clés secrètes pour eux-mêmes et, ce faisant, s’ajouter eux-mêmes entant qu’utilisateurs d’objets.

Avant de commencer

Procédure

1. Vérifiez qu’un fournisseur d’authentification se connectant au système AD/LDAP approprié a été configuré.

L’ajout d’un fournisseur d’authentification doit être effectué par unAdministrateur système et est décrit dans Ajout d’un fournisseurd’authentification AD ou LDAP à la page 65.

2. Mappez les utilisateurs de domaine dans l’espace de nommage comme décritdans Mappage des utilisateurs de domaine dans l’espace de nommage à la page88.

Cette opération peut être effectuée par l’Administrateur d’espace de nommage.

3. Permet aux utilisateurs de créer des clés secrètes en suivant les instructions dans Guide d’accès aux données : Création et gestion des clés secrètes.

Création d’un utilisateur local de gestion ou attribution d’un rôle de gestion àun utilisateur de domaine

Vous pouvez ajouter un utilisateur local de gestion et attribuer un rôle de gestion à unutilisateur local de gestion ou à un utilisateur de domaine à partir du portail ECS. Lesutilisateurs de gestion sont chargés de l’administration au niveau du système(administration du VDC) et de l’administration de l’espace de nommage. Lorsqu’unutilisateur n’a plus à effectuer des opérations d’administration, vous pouvez lui retirerl’attribution du rôle.

Avant de commencer

l Vous devez être Administrateur système pour créer un utilisateur local de gestionou attribuer un rôle de gestion.

l Par défaut, l’utilisateur root d’ECS a le rôle d’Administrateur système ; il peutprocéder à l’attribution initiale du rôle d’Administrateur système à un utilisateur.

l Si vous voulez attribuer un rôle de gestion à un utilisateur de domaine, vous devezd’abord vérifier qu’un fournisseur d’authentification a été ajouté. Voir Ajout d’unfournisseur d’authentification AD ou LDAP à la page 65.

l Si vous voulez désigner un Administrateur d’espace de nommage, vous devezcréer un utilisateur de gestion en utilisant l’opération définie ici et attribuer le rôlede gestion dans la page Namespace du portail (se reporter à la section Configuration d’un espace de nommage pour un tenant). L’utilisateur ne peut passe connecter tant que le rôle d’Administrateur d’espace de nommage (ou le rôled’Administrateur système) ne lui a pas été attribué.





Procédure


La page Object Users s’affiche par défaut, mais vous devez changer et accéderà la page Management Users.

2. Sélectionnez Management Users.

La page Management Users apparaît. Elle affiche les utilisateurs actuellementattribués et contient un bouton New Management User.

3. Sélectionnez New Management User.

La page New Management User apparaît. Elle vous permet de créer unutilisateur local et d’attribuer le rôle de gestion à ce nouvel utilisateur, oud’attribuer le rôle de gestion à un utilisateur de domaine.

4. Sélectionnez Local User ou AD/LDAP.

Pour un utilisateur local, vous devez définir un mot de passe ; pour un utilisateurde domaine, les informations d’identification (utilisateur et mot de passe)utilisées par ECS pour authentifier un utilisateur sont contenues dans AD/LDAP.Vous n’avez donc pas besoin de définir un mot de passe.

5. Saisissez le nom de l’utilisateur.

Si vous avez sélectionné AD/LDAP, l’utilisateur doit exister et avoir été mis àdisposition en ajoutant un fournisseur d’authentification à ECS.

Si vous sélectionnez un utilisateur local, un nouvel utilisateur local de gestion estcréé.

Remarque

Les noms d’utilisateur doivent se composer de lettres minuscules, de chiffres oudes caractères suivants : ! # $ & ' ( ) * + , - . / : ; = ? @ _ ~

6. Pour attribuer le rôle Surveillance du système à l’utilisateur, sélectionnez Yesdans le sélecteur System Monitor.

7. Si vous voulez attribuer le rôle d’Administrateur système à l’utilisateur,sélectionnez Yes dans le sélecteur System Administrator.

Si vous créez un utilisateur de gestion auquel vous allez attribuer le rôled’Administrateur d’espace de nommage d’un espace de nommage, vous devezlaisser No.

Si vous sélectionnez Yes, mais que vous souhaitez ultérieurement retirer lesprivilèges d’Administrateur système à cet utilisateur, vous pouvez modifier lesparamètres utilisateur et redéfinir l’option sur No.


Attribution d’un nom de groupe Active Directory au rôle Administrateursystème ou Surveillance du système

Vous pouvez attribuer un groupe de domaine AD au rôle Administrateur système ouSurveillance du système à partir du portail ECS. Lorsqu’un groupe de domaine AD estattribué à un rôle de gestion, tous les utilisateurs de ce groupe AD ont ce rôle.


Attribution d’un nom de groupe Active Directory au rôle Administrateur système ou Surveillance du système 83

Avant de commencer

l Vous devez être un administrateur système pour attribuer un rôle de gestion.

l Pour attribuer un groupe de domaine AD à un rôle de gestion, vous devez toutd’abord vous assurer qu’un fournisseur d’authentification a été ajouté. Voir Ajoutd’un fournisseur d’authentification AD ou LDAP à la page 65.


Remarque

Les groupes LDAP ne sont pas pris en charge dans ECS.

Procédure


La page Object Users s’affiche par défaut. Accédez à la page ManagementUsers.

2. Sélectionnez Management Users.

La page Management Users apparaît. Elle affiche les utilisateurs actuellementattribués et contient un bouton New Management User.

3. Sélectionnez New Management User.

La page New Management User s’affiche.

4. Sélectionnez AD/LDAP User or Group.

Pour un utilisateur de domaine, les informations d’identification (utilisateur etmot de passe) utilisées par ECS pour authentifier un utilisateur sont contenuesdans AD/LDAP. Vous n’avez donc pas besoin de définir un mot de passe.

5. Dans la liste déroulante User, sélectionnez Group.

6. Renseignez le champ Group Username avec votre nom de groupe de domaineAD complet, y compris le domaine. Par exemple : [email protected].

7. Pour attribuer le groupe au rôle Surveillance du système, sélectionnez Yes dansle sélecteur System Monitor.

8. Pour attribuer le groupe au rôle Administrateur système, sélectionnez Yes dansle sélecteur System Administrator.

9. Si vous sélectionnez Yes pour l’un ou l’autre de ces rôles, vous pouvezsupprimer le rôle du groupe par la suite en définissant ce paramètre sur No.


Création d’un administrateur d’espace de nommageVous pouvez attribuer le rôle d’Administrateur d’espace de nommage à un utilisateurlocal ou de domaine.

Avant de commencer

l Pour créer un utilisateur de gestion et attribuer un rôle d’Administrateur d’espacede nommage à un utilisateur, vous devez être Administrateur système.




Procédure

1. Si vous voulez attribuer le rôle d’Administrateur d’espace de nommage à unutilisateur local de gestion, vous devez créer un utilisateur de gestion en suivantles explications dans Création d’un utilisateur local de gestion ou attributiond’un rôle de gestion à un utilisateur de domaine à la page 82.

Si vous voulez attribuer le rôle d’Administrateur de nommage à un utilisateur dedomaine, vous n’avez pas besoin de le faire explicitement.

2. Dans la page Manage > Namespace.

a. Sélectionnez l’action Edit pour l’espace de nommage.

b. Ajoutez l’utilisateur dans le champ Namespace Admin. S’il y a plusieursAdministrateurs d’espace de nommage, leurs noms d’utilisateur doivent êtreséparés par une virgule.

Le rôle d’Administrateur d’espace de nommage ne peut être attribué à unutilisateur que pour un seul espace de nommage.

c. Cliquez sur Save pour enregistrer l’espace de nommage.

Pour en savoir plus sur la configuration d’un espace de nommage, reportez-vousà la section Configuration d’un espace de nommage pour un tenant.

Attribution d’un nom de groupe Active Directory au rôle Administrateurd’espace de nommage

Vous pouvez attribuer un groupe de domaine AD au rôle Administrateur d’espace denommage à partir du portail ECS. Lorsqu’un groupe de domaine AD est attribué à unrôle de gestion, tous les utilisateurs de ce groupe AD ont ce rôle.

Avant de commencer

l Vous devez être un administrateur système pour attribuer un rôle Administrateurd’espace de nommage.

l Pour attribuer un groupe de domaine AD à un administrateur d’espace denommage, vous devez tout d’abord vous assurer qu’un fournisseurd’authentification a été ajouté. Voir Ajout d’un fournisseur d’authentification AD ouLDAP à la page 65.


Remarque

Les groupes LDAP ne sont pas pris en charge dans ECS.

Procédure

1. Sur le portail ECS, sélectionnez Manage > Namespace.

2. Sélectionnez un espace de nommage et Edit, ou sélectionnez New Namespace.

3. Renseignez le champ Domain Group Admin avec votre nom de groupe dedomaine AD complet, y compris le domaine. Par exemple :[email protected]. Pour ajouter plusieurs groupes de domaine,séparez les noms par des virgules.


Attribution d’un nom de groupe Active Directory au rôle Administrateur d’espace de nommage 85

Remarque

Un groupe de domaine AD ne peut être l’administrateur d’espace de nommageque d’un seul espace de nommage.

4. Terminez votre configuration, puis sélectionnez Save.

Présentation du mappage des utilisateurs dans un espace denommage

Il est possible d’ajouter des utilisateurs de domaine dans ECS en utilisant desfournisseurs d’authentification. Pour rendre des utilisateurs disponibles en tantqu’utilisateurs d’espace de nommage, il faut les mapper dans l’espace de nommage.

Le fournisseur d’authentification met à la disposition d’ECS les utilisateursappartenant aux domaines et groupes sur liste blanche spécifiés. Vous pouvez ensuiteleur attribuer des rôles d’administration système.

Pour associer des utilisateurs à un espace de nommage et leur permettre de devenirdes utilisateurs d’objets pour l’espace de nommage, vous devez associer le domaineauquel ils appartiennent à l’espace de nommage. Vous pouvez ensuite, si nécessaire,appliquer un filtrage plus fin sur la base des groupes qui appartiennent au domaine etdes attributs alloués aux utilisateurs de domaine. Un domaine peut être mappé sur unespace de nommage unique ou peut mettre à disposition des utilisateurs pour plusieursespaces de nommage.

Le portail ECS et l’ECS Management REST API permettent de spécifier des mappageslors de l’enregistrement d’un nouvel espace de nommage et assurent la prise encharge de la mise à jour des mappages pour tous les espaces de nommage. L’opérationde création d’un espace de nommage requiert des privilèges d’Administrateursystème ; la modification d’un tenant et le mappage des utilisateurs peuvent êtreeffectués par un Administrateur d’espace de nommage.

Les mappages d’utilisateurs alloués à différents espaces de nommage ne doivent passe chevaucher. Par conséquent, si l’espace de nommage Accounts mappe desutilisateurs provenant du même domaine que l’espace de nommage HR, il doit fournirdes mappages supplémentaires afin de distinguer ses utilisateurs. Dans l’exemple ci-dessous, l’espace de nommage Accounts utilise le domaine corp.sean.com mais mappeles utilisateurs ayant des attributs spécifiques, dans ce cas, il s’agit de ceux dontl’attribut Department est défini sur Accounts dans Active Directory.



Figure 9 Mappages d'utilisateurs pour un tenant à l'aide des attributs AD

Dans l’exemple ci-dessous, plusieurs critères de mappage sont utilisés. Tous lesmembres du domaine corp.sean.com qui appartiennent au groupe Storage Admins etdont l’attribut Department est défini sur Accounts ET l’attribut Company est défini surAcme, OU qui appartiennent au groupe Storage Admins et dont l’attribut Departmentest défini sur Finance, seront mappés dans l’espace de nommage.


Présentation du mappage des utilisateurs dans un espace de nommage 87

Figure 10 Utilisation de plusieurs critères de mappage

Mappage des utilisateurs de domaine dans l’espace de nommageLe ECSportail permet de mapper les utilisateurs dans un espace de nommage sur labase du domaine AD/LDAP, des groupes et des attributs associés aux utilisateurs.

Avant de commencer

l Un fournisseur d’authentification doit avoir été enregistré auprès d’ECS et doitfournir un accès au domaine à partir duquel vous souhaitez mapper desutilisateurs.

l L’administrateur d’AD doit avoir configuré les groupes ou les utilisateurs dans ADavant de mapper les utilisateurs à partir du portail ECS.

l Si vous utilisez le mappage d'attribut, la valeur d'attribut appropriée doit êtredéfinie dans le domaine AD pour chaque utilisateur.



Vous devez comprendre les concepts associés au mappage d’utilisateur, présentésdans la section Présentation du mappage des utilisateurs dans un espace denommage à la page 86.

Procédure

1. Sur le ECSportail, sélectionnez Manage > Namespace.

2. Dans le tableau Namespaces, cliquez sur l’action Edit pour que l’espace denommage l’ouvre pour modification.

3. Si aucun domaine n’a encore été spécifié, cliquez sur Add pour ajouter unmappage et saisissez le nom du domaine dans le champ Domain.

4. Spécifiez tous les groupes que vous souhaitez utiliser pour mapper lesutilisateurs dans l’espace de nommage.

Le ou les groupes que vous définissez doivent exister dans le domaine AD.

5. Si vous souhaitez utiliser des attributs pour mapper les utilisateurs dans l’espacede nommage, saisissez le nom ainsi que la ou les valeurs de l’attribut. Si vous nesouhaitez pas utiliser des attributs pour mapper les utilisateurs dans l’espace denommage, cliquez sur le bouton de suppression pour supprimer les champsd’attribut du mappage en cours.

La valeur d’attribut des utilisateurs devant être mappés doit correspondre à lavaleur d’attribut indiquée dans ECS.

6. Cliquez sur Save pour enregistrer les paramètres de l’espace de nommage.


Mappage des utilisateurs de domaine dans l’espace de nommage 89

CHAPITRE 8

Gestion des tenants

l Gestion des tenants........................................................................................... 92l Quotas............................................................................................................... 92l Politiques et périodes de rétention.....................................................................93l Verrouillage des buckets et des utilisateurs........................................................95l Suivi d’utilisation................................................................................................95l Audit des buckets...............................................................................................97

Gestion des tenants 91

Gestion des tenantsECS fournit plusieurs fonctionnalités pour prendre en charge la gestion d’un tenant.

Les fonctions suivantes sont prises en charge :

Utilisateurs

La capacité de désigner un administrateur d’espace de nommage pour l’espace denommage et de créer des utilisateurs d’objets pour l’espace de nommage estdécrite dans la section Gestion des utilisateurs et des rôles à la page 74.

Quotas

La capacité à définir des quotas sur les espaces de nommage et les buckets estdécrite dans la section Quotas à la page 92.

Périodes de rétention

La capacité à créer des politiques de rétention est décrite dans lasection Politiques et périodes de rétention à la page 93.

Verrouillage des buckets et des utilisateurs

La capacité à verrouiller des buckets et des utilisateurs est décrite dans lasection Verrouillage des buckets et des utilisateurs à la page 95.

Suivi d’utilisation

La capacité à suivre l’utilisation de l’écriture des données dans les buckets et lesespaces de nommage est décrite dans la section Suivi d’utilisation à la page 95.

Audit des buckets

La capacité à auditer les opérations associées aux buckets est décrite dans lasection Audit des buckets à la page 97.

QuotasVous pouvez définir des quotas souples ou stricts pour un espace de nommage et pourles buckets créés au sein d’un espace de nommage.

Avec les quotas souples, des événements sont consignés pour vous informer que lequota a été atteint. Les quotas stricts définissent une limite correspondant à laquantité maximale de stockage en mode objet utilisable pour un bucket ou un espacede nommage. Le dépassement de cette limite bloque l’accès au bucket ou à l’espacede nommage.

Il est possible de définir des quotas à partir du portail ECS, ou bien à l’aide de l’API etde la CLI.

Définition de quotas à partir du portailVous pouvez définir des quotas pour un espace de nommage depuis la page Manage >Namespace, comme décrit à la section Configuration d’un espace de nommage pourun tenant.

L’application de quotas à un bucket s’effectue à partir de la page Manage > Bucket,comme indiqué à la section Concepts liés aux buckets à la page 106.

Définition de quotas à l’aide de l’APILes chemins d’API suivants permettent de définir des quotas :

Gestion des tenants


Méthode Description :

PUT/GET/DELETE /object/namespaces/namespace/{namespace}/quota

Définit le quota d’un espace de nommage. Lacharge utile indique s’il s’agit d’un quota strictou souple.

PUT/GET/DELETE /object/bucket/{bucketName}/quota

Définit le quota d’un bucket. La charge utileindique s’il s’agit d’un quota strict ou souple.

Pour plus d’informations sur l’ECS Management REST API, reportez-vous à la section Guide d’accès aux données : ECS Management REST API et à la référence en ligneaccessible ici.

Politiques et périodes de rétentionECS permet d’empêcher toute modification ou suppression des données pendant lapériode de rétention spécifiée.

Les périodes et les politiques de rétention peuvent être définies dans les métadonnéesassociées aux objets et aux buckets. Elles sont vérifiées à chaque demande demodification d’un objet. Elles sont prises en charge par toutes les interfaces d’objets(S3, Swift, Atmos et CAS). Toutefois, comme les données CAS sont immuables, lapériode de rétention applicable aux objets CAS concerne uniquement leur suppression.

Il existe deux façons de définir la rétention : les périodes de rétention et les politiquesde rétention.

Remarque

Pour plus d’informations sur la rétention CAS et sur la rétention avancée CAS,reportez-vous à la section Guide d’accès aux données : Configuration de la prise encharge CAS dans ECS.

Périodes de rétentionLes périodes de rétention sont définies au niveau de l’objet et/ou du bucket. À chaquetentative de modification ou de suppression d’un objet, un délai d’expiration est calculéselon la formule délai d’expiration de l’objet = date/heure de création del’objet + période de rétention. Lorsqu’une période de rétention est attribuée à unbucket, elle est vérifiée et le délai d’expiration est calculé en fonction de la période derétention définie pour l’objet et de la valeur définie pour le bucket, la période retenueétant la plus longue des deux.

L’application d’une période de rétention à un bucket signifie que la période derétention de tous les objets du bucket peut être modifiée à tout moment et peutremplacer la valeur appliquée à un objet par un client d’objet si elle est définie sur unepériode plus longue.

Il est possible d’appliquer une période de rétention illimitée à un objet.

Politiques de rétention des médiasLes politiques de rétention permettent de définir des exemples d’utilisation pour larétention et de les appliquer aux objets. Les politiques de rétention sont associées à unespace de nommage. Toute politique associée à l’espace de nommage peut êtreattribuée à un objet appartenant à celui-ci. Une politique de rétention a une période derétention associée.

Gestion des tenants

Politiques et périodes de rétention 93


http://www.emc.com/techpubs/api/ecs/v3-0-0-0/index.htm



L’utilisation de politiques de rétention offre la possibilité de modifier la périodeassociée à une politique et ainsi, de modifier automatiquement la période de rétentionqui s’applique à tous les objets auxquels cette politique est attribuée.

Lorsqu’une politique de rétention est appliquée à un objet et qu’une tentative demodification ou de suppression de l’objet est effectuée, la période de rétentionassociée à la politique est récupérée et utilisée en conjonction avec les périodes derétention de l’objet et du bucket pour déterminer si la demande est acceptable.

Par exemple, une politique nommée peut être définie pour chacun des types dedocuments suivants, et chaque politique nommée peut avoir une période de rétentionappropriée :

l Financier : 3 ans

l Juridique : 5 ans

l E-mails : 6 mois

Création de politiques de rétentionVous pouvez configurer les politiques de rétention d’un espace de nommage à partirdu portail ECS. Pour savoir comment procéder, reportez-vous à la section suivante :

Configuration d’un espace de nommage pour un tenant

Il est également possible de les créer à l’aide de l’ECS Management REST API (voir ladescription ci-dessous).


PUT /object/bucket/{bucketName}/retention

La valeur de rétention d’un bucket définit unepériode de rétention obligatoire qui estappliquée à tous les objets qu’il contient. Sivous définissez une période de rétention d’unan, cela signifie que les objets du bucket nepeuvent pas être modifiés ni suppriméspendant un an.

GET /object/bucket/{bucketName}/retention

Renvoie la période de rétention qui est définieactuellement pour un bucket donné.

POST /object/namespaces/namespace/{namespace}/retention

Pour les espaces de nommage, le paramètrede rétention se comporte comme unepolitique, chaque politique se composantd’une paire <Name>: <Retention period>.Vous pouvez définir plusieurs politiques derétention pour un espace de nommage etattribuer l’une d’elles (par son nom) à un objetsitué dans l’espace de nommage. Cela vouspermet de changer la période de rétentiond’un ensemble d’objets auxquels vous avezattribué la même politique en modifiantsimplement cette dernière.

PUT /object/namespaces/namespace/{namespace}/retention/{class}

Met à jour la période de rétention d’une classede rétention associée à un espace denommage.

GET /object/namespaces/namespace/{namespace}/retention

Renvoie les classes de rétention définies pourun espace de nommage.

Gestion des tenants


Pour savoir comment accéder à l’ECS Management REST API, reportez-vous à lasection Guide d’accès aux données : ECS Management REST API et à la référence enligne accessible ici.

Application de politiques et de périodes de rétentionIl est possible d’appliquer des périodes de rétention aux buckets à partir duportail ECS.

Lorsque vous créez des objets ou des buckets à l’aide des protocoles de serviced’objet, par exemple quand vous créez un bucket S3 à partir d’un client prenant encharge le protocole S3, vous pouvez appliquer la période ou la politique de rétention àl’aide d’en-têtes x-emc.

Quand vous créez des objets, vous pouvez appliquer les en-têtes de période et depolitique de rétention suivants :

l x-emc-retention-period

l x-emc-retention-policy

Quand vous créez un bucket, vous pouvez définir la période de rétention à l’aide del’en-tête x-emc-retention-period.

Verrouillage des buckets et des utilisateursECS permet de rendre un bucket inaccessible et de refuser tout droit d’accès auxutilisateurs.

La prise en charge des opérations de verrouillage des buckets et des utilisateurs estassurée par ECS Management REST API. Il n’existe aucune prise en charge duverrouillage des buckets et des utilisateurs sur le portail ECS. Les appels suivants sontpris en charge :

Méthode Description

PUT /object/bucket/{bucketName}/lock Verrouille un bucket afin d’interdire touteopération d’écriture.

DELETE /object/bucket/{bucketName}/lock Déverrouille un bucket afin d’autoriser lesopérations d’écriture.

PUT /object/users/{userid}/lock Verrouille un utilisateur d’objets (pas unutilisateur AD) afin que toutes les opérationsultérieures qu’il réalise au moyen de l’APIrenvoient une erreur.

DELETE /object/user/{userid}/lock Déverrouille un utilisateur d’objets (pas unutilisateur AD) afin qu’il puisse de nouveaueffectuer des opérations à l’aide de l’API.

Pour savoir comment accéder à ECS Management REST API, consultez la section Guide d’accès aux données : ECS Management REST API ou consultez la référence enligne accessible ici.

Suivi d’utilisationECS prend en charge le suivi d’utilisation du stockage en mode objet au niveau del’espace de nommage et du bucket.

Gestion des tenants

Verrouillage des buckets et des utilisateurs 95





Suivi d’utilisation à partir du portailVous pouvez suivre l’utilisation de l’espace de nommage et des buckets à partir duportail ECS. La page Monitor > Metering permet de sélectionner un espace denommage, ou un bucket d’espace de nommage, et d’afficher ses données de suivid’utilisation.

Tableau 5 Suivi d’utilisation du bucket et de l’espace de nommage


Total Size (GB) Taille totale des objets stockés dans l’espace de nommage oule bucket sélectionné au terme de la période spécifiée dans lefiltre.

Object Count Nombre d’objets associés à l’espace de nommage ou aubucket sélectionné au terme de la période spécifiée dans lefiltre.

Objects Created Nombre d’objets créés dans l’espace de nommage ou lebucket sélectionné sur la période définie.

Objects Deleted Nombre d’objets supprimés de l’espace de nommage ou dubucket sélectionné sur la période définie.

Bandwidth Ingress (MB) Volume total de données d’objet entrantes (écritures) pourl’espace de nommage ou le bucket sélectionné sur la périodedéfinie.

Bandwidth Egress (MB) Volume total de données d’objet sortantes (lectures) pourl’espace de nommage ou le bucket sélectionné sur la périodedéfinie.

Remarque

Les données de suivi d’utilisation ne sont pas immédiatement accessibles, car lacollecte des statistiques sur les données qui sont supprimées du système, ou lui sontajoutées, est un processus long.

Pour en savoir plus sur l’accès à ces informations, reportez-vous à la section Surveillance des données de suivi d’utilisation à la page 192.

Suivi d’utilisation à l’aide de l’APILes chemins d’API suivants permettant d’obtenir des informations de suivid’utilisation :


GET /object/billing/buckets/{namespace}/{bucket}/info?sizeunit=<KB|MB|GB>

Taux d’utilisation actuel d’un bucket del’espace de nommage spécifié.

GET /object/billing//buckets/{namespace}/{bucket}/sample?start_time=<ISO8061_format>&end_time=<ISO8061_format>&marker=<string_marker>&sizeunit=<KB|MB|GB>

Échantillonnage de l’activité d’un bucket surl’intervalle de temps spécifié. Par défaut, lafréquence d’échantillonnage minimale d’unbucket est de 5 minutes et les échantillonssont conservés pendant 30 jours. Si les heuresde début et de fin sont en dehors des limitesde la période d’échantillonnage, une erreur estrenvoyée. Si la période couvre plusieurs petits

Gestion des tenants



échantillons, les données sont agrégées pourfournir un seul point de données.

GET /object/billing/namespace/{namespace_name}/info?marker=<string_marker>&include_bucket_detail=<true|false>&sizeunit=<KB|MB|GB>

Informations sur l’utilisation de tous lesbuckets d’un même espace de nommage.

Remarque

Si les détails des buckets sont inclus, la tailletotale sur disque peut différer de celle sans lesdétails des buckets. Ceci est dû au fait que,pour obtenir la taille totale, les tailles debuckets sont arrondies et additionnées.

GET /object/billing/namespace/{namespace_name}/sample?start_time=<ISO8061_format>&end_time=<ISO8061_format>&marker=<string_marker>&include_bucket_detail=<true|false>&sizeunit=<KB|MB|GB>

Instantané ponctuel d’un espace de nommage.Par défaut les buckets et les espaces denommage sont échantillonnés toutes les5 minutes et les échantillons sont conservéspendant 30 jours. Si les heures de début et defin sont en dehors des limites de la périoded’échantillonnage, une erreur est renvoyée. Sila période couvre plusieurs petits échantillons,les données sont agrégées pour fournir unseul point de données.


Audit des bucketsL’API du contrôleur permet d’auditer l’utilisation des interfaces d’objet S3,EMC Atmos et OpenStack Swift.

Les opérations suivantes sur les conteneurs d’objets (buckets S3, sous-tenantsEMC Atmos et conteneurs OpenStack Swift) sont consignées.

l Créer le bucket

l Supprimer le bucket

l Mettre à jour le bucket

l Définir l’ACL du bucket

l Changer le propriétaire du bucket

l Activer la gestion des versions du bucket

l Définir la source de gestion des versions du bucket

l Définir les métadonnées du bucket

l Définir les métadonnées d’en-tête du bucket

l Définir la règle d’expiration du bucket

l Supprimer la règle d’expiration du bucket

l Définir la configuration CORS du bucket

Gestion des tenants

Audit des buckets 97



l Supprimer la configuration CORS du bucket

Consignation des audits sur le portailVous pouvez utiliser la page du portail ECS Monitor > Events pour détecter lagénération d’un événement dans le log d’audit.

Le compte utilisateur root doit uniquement être utilisé pour l’accès initial au système.Lors de l’accès initial, vous devez modifier le mot de passe de l’utilisateur root sur lapage Settings > Password, et créer un ou plusieurs nouveaux comptes Administrateursystème. Du point de vue de l’audit, comme il est important de savoir quel utilisateur aapporté des changements au système, le compte utilisateur root ne doit pas êtreutilisé, et chaque utilisateur Administrateur système doit disposer de son proprecompte.

Pour plus d’informations sur l’utilisation du log des événements, reportez-vous à lasection À propos de la surveillance des événements à la page 196.

API d’auditLa prise en charge de l’audit des buckets s’effectue via les appels del’ECS Management REST API suivants :


GET /monitoring/events Récupère les événements d’audit pourl’espace de nommage et la période spécifiés.


Gestion des tenants




CHAPITRE 9

Suppression d’un site

l Basculement sur incident d’un site/suppression d’un VDC............................... 100

Suppression d’un site 99

Basculement sur incident d’un site/suppression d’un VDCUtilisez cette procédure pour supprimer un VDC. La suppression d’un VDC déclenchele basculement du site si le VDC que vous supprimez fait partie d’une fédérationmultisite.

Si un sinistre se produit, un VDC tout entier peut devenir irrécupérable. ECS traiteinitialement le VDC irrécupérable comme une panne temporaire de site. Si la panne estpermanente, vous devez supprimer le VDC de la fédération pour déclencher letraitement du basculement, qui reconstruit et reprotège les objets stockés sur le VDCen échec. Les tâches de restauration s’exécutent en arrière-plan. Vous pouvez suivrela progression du processus de restauration via Monitor > Geo Replication > FailoverProcessing.

Procédure

1. Connectez-vous à l’un des VDC opérationnels au sein de la fédération.

2. Accédez à Manage > Replication Group.

3. Cliquez sur l’option Edit correspondant au groupe de réplication qui contient leVDC à supprimer.

4. Cliquez sur l’option Delete figurant sur la ligne qui contient le VDC et le pool destockage à supprimer.


6. Accédez à Manage > VDC. L’état du VDC supprimé de manière permanente passe à Permanently failed.

7. Sélectionnez Delete dans la liste déroulante figurant sur la ligne du VDC àsupprimer.


Suppression d’un site


CHAPITRE 10

Gestion des licences

l Gestion des licences......................................................................................... 102l Obtention du fichier de licence d’EMC ECS......................................................102l Téléchargement du fichier de licence d’EMC ECS............................................ 102

Gestion des licences 101

Gestion des licencesLa gestion des licences d’EMC ECS est basée sur la capacité.

Au minimum, vous devez obtenir une licence ECS et la télécharger dans l’appliance.

La page Settings > License fournit des informations supplémentaires.

Obtention du fichier de licence d’EMC ECSVous pouvez obtenir un fichier de licence (.lic) à partir du site Web de gestion deslicences d’EMC.

Avant de commencer

Pour obtenir le fichier de licence, vous devez disposer d’un code d’autorisation delicence (LAC), qui vous a été envoyé par EMC.

Procédure

1. Accédez à la page des licences sur : https://support.emc.com/servicecenter/license/

2. Sélectionnez ECSAppliance dans la liste des produits.

3. Sur la page de demande de code LAC, entrez le code LAC et appuyez surActivate.

4. Sélectionnez les habilitations à activer et Start Activation Process.

5. Sélectionnez Add a Machine pour spécifier une chaîne pertinente pourregrouper les licences.

Le « nom de la machine » ne doit pas être un nom de machine. Entrez unechaîne qui vous aidera à effectuer le suivi de vos licences.

6. Indiquez les quantités pour chaque habilitation à activer ou sélectionnezActivate all. Cliquez sur Next.

Si vous obtenez des licences pour une configuration multisite (geo), vous devezdistribuer les contrôleurs de façon appropriée afin d’obtenir des fichiers delicence individuels pour chaque datacenter virtuel.

7. Vous pouvez éventuellement spécifier un destinataire qui recevra unrécapitulatif par e-mail de la transaction d'activation.

8. Cliquez sur Finish.

9. Cliquez sur Save to File pour enregistrer le fichier de licence (.lic) dans undossier sur votre ordinateur.

Il s’agit du fichier de licence nécessaire lors de la configuration initiale d’ECS oulors de l’ajout ultérieur d’une nouvelle licence sur le portail ECS.

Téléchargement du fichier de licence d’EMC ECSLe fichier de licence d’ECS peut être téléchargé à partir du portail ECS.

Avant de commencer

l Assurez-vous que vous disposez d’un fichier de licence valide. Vous pouvez suivreles instructions de la section Obtention du fichier de licence d’EMC ECS à la page102 pour obtenir une licence.



l Lorsque vous installez plusieurs sites dans une configuration distribuée, le schémad’octroi de licence doit être identique sur l’ensemble des sites. Si le clusterexistant dispose d’une licence compatible avec le chiffrement, tout nouveau siteajouté doit disposer de la même licence. De même, si les sites existants nedisposent pas de licences compatibles avec le chiffrement, les nouveaux sitesajoutés au cluster doivent suivre le même modèle.

l Dans une configuration distribuée, si la licence est mise à jour sur 1 site du cluster,elle doit être mise à jour sur l’ensemble des sites.

Procédure

1. Sur le portail ECS, sélectionnez Settings > Licensing.

2. En regard de l’option Upload, sélectionnez Browse, puis localisez le fichier delicence sur votre système.

3. Sélectionnez Upload.

L’affichage des licences est mis à jour.


Téléchargement du fichier de licence d’EMC ECS 103

CHAPITRE 11

Création et gestion des buckets

l Création et gestion des buckets....................................................................... 106l Concepts liés aux buckets................................................................................ 106l Attributs des buckets........................................................................................107l ACL des buckets............................................................................................... 112l Création d’un bucket à l’aide du portail ECS......................................................114l Modifier un compartiment................................................................................. 116l Définition des autorisations ACL de bucket pour un utilisateur.......................... 117l Définition des autorisations ACL de bucket pour un groupe prédéfini................ 118l Définition d’ACL de groupe personnalisé pour les buckets.................................119l Création d’un bucket à l’aide des API d’objet.................................................... 120l Conventions de dénomination des buckets et des clés......................................124

Création et gestion des buckets 105

Création et gestion des bucketsLes conteneurs sont nécessaires pour stocker les données d’objet. Dans S3, cesconteneurs sont appelés buckets. Ce terme a été adopté de façon générique dansECS. Dans Atmos, l’équivalent d’un bucket est un sous-tenant, le terme équivalentétant conteneur dans Swift et pool CAS dans CAS.

Dans ECS, un type S3, Swift, Atmos ou CAS est attribué aux buckets. En outre, lesbuckets S3, Atmos ou Swift peuvent être configurés pour prendre en charge l’accèsau système de fichiers (pour NFS et HDFS). Un bucket configuré pour l’accès ausystème de fichiers peut être lu et écrit par l’intermédiaire de son protocole d’objet etdu protocole NFS ou HDFS. C’est ce que l’on appelle une prise en charge transversale.

Il est possible de créer des buckets pour chaque protocole d’objet en utilisant son API,généralement à l’aide d’un client prenant en charge le protocole approprié. Leportail ECS et ECS Management API assurent également la prise en charge de lacréation de buckets S3, HDFS/NFS et CAS. La possibilité de créer des buckets àpartir du portail facilite la création de buckets pour les protocoles HDFS/NFS et CAS.Elle permet également de tirer facilement parti de certaines des options deconfiguration des buckets les plus avancées fournies par ECS, comme les quotas et lespériodes de rétention.

Lorsque vous voulez créer des buckets en utilisant les protocoles d’objet, vous pouvezutiliser les en-têtes x-emc spéciaux pour contrôler la configuration des buckets.

Cet article explique comment créer et modifier des buckets, mais aussi définir des ACLpour un bucket, en utilisant le portail ECS. Il présente en outre les en-têtes x-emcsupplémentaires que vous pouvez utiliser pour contrôler la configuration des bucketslors de l’utilisation des protocoles d’objet pris en charge.

Concepts liés aux bucketsLes buckets sont des conteneurs d’objets qu’il est possible d’utiliser pour contrôlerl’accès aux objets et définir les propriétés qui définissent les attributs de tous lesobjets contenus, notamment les périodes de rétention et les quotas.

Accès aux buckets

Les buckets sont associés à un groupe de réplication. Lorsque le groupe de réplications’étend sur plusieurs VDC, les contenus du bucket sont répliqués de la même manièresur l’ensemble des VDC. Les objets d’un bucket appartenant à un groupe de réplicationqui englobe deux VDC, par exemple VDC1 et VDC2, sont accessibles aussi bien à partirde VDC1 que de VDC2. Les objets d’un bucket appartenant à un groupe de réplicationqui est exclusivement associé à VDC1 sont uniquement accessibles à partir de VDC1.Ils ne sont pas accessibles à partir d’autres VDC dans un système ECS fédéré.

L’identité d’un bucket et ses métadonnées, comme son ACL, sont des informations degestion globales d’ECS, c’est-à-dire qu’elles sont répliquées sur les pools de stockagedu système et sont visibles depuis tous les VDC de la fédération. Cependant, lecontenu du bucket peut uniquement être listé depuis un VDC faisant partie du groupede réplication auquel appartient le bucket.

Propriété des buckets

Un bucket appartient à un espace de nommage et les utilisateurs d’objets sontégalement attribués à un espace de nommage. Chaque utilisateur d’objets ne peut



créer des buckets que dans l’espace de nommage auquel il appartient. Néanmoins,chaque utilisateur d’objets ECS peut être désigné comme propriétaire d’un bucket oud’un objet, ou comme bénéficiaire dans un ACL de bucket, même si cet utilisateurn’appartient pas au même espace de nommage que le bucket ou l’objet. Cela permetde partager des buckets et des objets entre des utilisateurs appartenant à différentsespaces de nommage. Par exemple, dans une entreprise où un espace de nommageest un département, il est possible de partager un bucket ou un objet avec lesutilisateurs d’autres départements.

Lorsqu’un utilisateur d’objets souhaite accéder à un bucket d’un espace de nommageauquel il n’appartient pas, il doit spécifier l’espace de nommage à l’aide de l’en-tête x-emc-namespace.

Accès à un bucket pendant une panne temporaire de site

ECS fournit un mécanisme de panne temporaire de site permettant de récupérer desobjets même si leur copie primaire est indisponible en raison de l’indisponibilité du sitequi héberge la copie primaire.

Comme les données d’objet récupérées pendant la panne temporaire de site risquentde ne pas être les plus récentes, l’utilisateur doit indiquer qu’il est prêt à accepter cerisque en marquant le bucket comme disponible pendant une panne.

Pendant la panne, les données d’objet sont accessibles en lecture et en écriture. Lesbuckets activés pour l’accès au système de fichiers sont disponibles en lecture seule.Les données CAS sont disponibles en lecture seule en raison du fait qu’elles sontimmuables et non en raison du mode de fonctionnement de l’accès en cas de panne.

Attributs des buckets

Le portail ECS permet de créer et de gérer des buckets sur la page Manage >Buckets.

La page Bucket Management fournit un tableau qui affiche les buckets d’un espace denommage sélectionné. Ce tableau affiche les attributs du bucket et fournit les actionsEdit Bucket, Edit ACL et Delete pour chaque bucket.

Les attributs associés à un bucket sont décrits dans le tableau suivant. Pour voir etmodifier les attributs qui ne sont pas affichés sur la page Bucket Management, vouspouvez sélectionner Edit Bucket.


Attributs des buckets 107

Tableau 6 Attributs des buckets

Attribut Description : Modifiable

Name Nom du bucket. Reportez-vous à la section suivante pourobtenir des conseils sur la dénomination des buckets : Conventions de dénomination des buckets et des clés à lapage 124.

Non

Namespace Espace de nommage auquel le bucket est associé. Non

Replication Group Groupe de réplication dans lequel le bucket sera créé. Non

Bucket Owner Propriétaire du bucket. Oui

Bucket Tagging Les balises sont des paires nom-valeur qui peuvent êtredéfinies pour un bucket. Elles permettent de classer lesbuckets.Pour plus d’informations sur le balisage des buckets, reportez-vous à la section Balisage des buckets à la page 112.

Oui

Quota Quota d’un bucket. Le comportement en cas de dépassementde quota peut être défini via la configuration de quotas stricts(blocage) et souples (notification).

Quota souple (notification)

Paramètre de quota qui déclenchera une notification. Ils’agit d’un quota souple qu’il est possible de définir seulou en complément d’un quota strict.

La valeur du quota ne peut pas être inférieure à 1 Go.

Pour plus d’informations sur les quotas, reportez-vous àla section Gestion d’un tenant.

Quota strict (blocage)

Quota strict qui, lorsqu’il est atteint, bloque les écritureset les mises à jour du bucket. Il est possible de définir ledéclenchement d’un quota souple avant que le quotastrict ne soit atteint.

Oui

Server-sideEncryption

Indique si le chiffrement côté serveur est activé.Le chiffrement côté serveur est également appelé chiffrementdes données inactives ou D@RE (Data At Rest Encryption).Cette fonction chiffre les données à la volée avant de lesstocker sur des disques ECS. Ce chiffrement empêche larécupération de données sensibles sur des médias mis aurebut ou volés. Si le chiffrement est activé lorsque le bucketest créé, il ne peut pas être désactivé par la suite.

Si l’espace de nommage du bucket est chiffré, chaque bucketl’est également. Si l’espace de nommage n’est pas chiffré,vous avez la possibilité de chiffrer certains buckets.

Pour obtenir une description complète de cette fonction,consultez le Guide de configuration de la sécurité ECS.

Non

File System Indique qu’ECS autorisera le bucket à être utilisé comme unbucket HDFS (Hadoop Distributed File System).

Non



Tableau 6 Attributs des buckets (suite)


Pour simplifier l’accès au système de fichiers, un groupe pardéfaut et des autorisations par défaut associées au groupepeuvent être définis. Des informations complémentaires sontdisponibles à la section Groupe par défaut à la page 110.

CAS Indique l’activation du bucket pour les données CAS.

Metadata Search Indique que des index de recherche de métadonnées serontcréés pour le bucket sur la base des valeurs de clé spécifiées.Si ce paramètre est activé, il est possible de définir les clés demétadonnées à utiliser comme base pour l’indexation desobjets du bucket. Ces clés doivent être spécifiées au momentde la création du bucket.

Une fois que le bucket est créé, la recherche peut êtrecomplètement désactivée, mais les clés d’index configuréesne peuvent pas être modifiées.

La manière dont l’attribut est défini est décrite à la section Clés d’index de métadonnées à la page 110.

Remarque

Les métadonnées qui sont chiffrées ne peuvent pas êtreindexées pour la recherche. C’est pourquoi les utilisateurs nepeuvent pas activer la recherche de métadonnées pour unbucket si le chiffrement côté serveur (D@RE) est activé.

Non

Access DuringOutage

Définie sur le bucket, cette balise spécifie le comportementlors de l’accès aux données du bucket s’il existe une zonetemporairement indisponible dans une configurationgéofédérée.

Si vous définissez cette balise sur Enabled et qu’une pannetemporaire de site survienne, les objets auxquels vous accédezdans ce bucket ont peut-être été mis à jour sur le sitedéfaillant, mais les modifications sont susceptibles de ne pasavoir été propagées au site à partir duquel vous accédez àl’objet. Par conséquent, vous êtes prêt à accepter le fait queles objets que vous lisez puissent ne pas être à jour.

Si cette balise est définie sur Disabled, les données de la zoneaffectée par la panne temporaire ne sont pas accessiblesdepuis d’autres zones et les lectures d’objet échouent pour lesdonnées dont la copie primaire se trouve sur le site défaillant.

Oui

Bucket Retention Définit la période de rétention d’un bucket.L’expiration de la période de rétention d’un objet au sein d’unbucket est calculée lors d’une demande de modification d’unobjet. Elle repose sur la valeur définie sur le bucket et lesobjets eux-mêmes.

Il est possible de modifier la période de rétention pendanttoute la durée de vie du bucket.

Oui


Attributs des buckets 109

Tableau 6 Attributs des buckets (suite)


De plus amples informations sur la période de rétention sontfournies dans la section Politiques et périodes de rétention à lapage 93.

Groupe par défautLorsqu’un bucket est activé pour l’accès au système de fichiers, il est possible despécifier un groupe par défaut pour ce bucket. En cas d’accès au bucket en tant quesystème de fichiers, les membres du groupe Unix peuvent accéder à ce dernier. Sanscette attribution, seul le propriétaire du bucket est en mesure d’accéder au systèmede fichiers.

En outre, les fichiers et les répertoires créés à l’aide de protocoles d’objet peuventfaire l’objet d’autorisations de groupe qui permettent aux membres du groupe Unix d’yaccéder.

La boîte de dialogue File System Enabled est représentée ci-dessous.

Clés d’index de métadonnéesLorsque la recherche de métadonnées est activée, un ensemble de champs/attributsde métadonnées système et/ou utilisateur peuvent être spécifiés en tant que clés derecherche pour les objets d’un bucket. Pour chaque clé de recherche de métadonnéesspécifiée, ECS crée un index des objets qui ont des métadonnées correspondantesselon la valeur de la clé de recherche de métadonnées.

La fonction de recherche de métadonnées permet aux clients d’objet S3 de rechercherdes objets dans un bucket sur la base des métadonnées indexées à l’aide d’un langagede requête riche.

La boîte de dialogue Add Metadata Search Key permet de sélectionner la clé derecherche de métadonnées (System ou User). Si vous sélectionnez System sousMetadata Key Type (voir ci-dessous), les métadonnées qui sont automatiquement



attribuées aux objets d’un bucket peuvent être sélectionnées dans le menu KeyNames.

Si vous sélectionnez User sous Metadata Key Type (voir ci-dessous), vous devezspécifier le nom des métadonnées utilisateur pour lesquelles vous souhaitez créer unindex. En outre, vous devez spécifier le type de données afin qu’ECS sache commentinterpréter les valeurs des métadonnées fournies dans les requêtes de recherche.

Pour en savoir plus sur la fonction de recherche de métadonnées, consultez la section Guide d’accès aux données : Extension S3 pour la recherche de métadonnées.


Clés d’index de métadonnées 111


Balisage des bucketsDes balises ayant la forme de paires nom-valeur peuvent être attribuées à un bucket,ce qui permet de classer les données d’objet stockées dans ce bucket. Par exemple,les données de bucket peuvent être associées à un centre de coûts ou à un projet.

Les valeurs et les balises de bucket peuvent être lues et gérées via le portail ECS ou àl’aide de clients personnalisés avec ECS Management REST API. En outre, les balisesde bucket sont incluses dans les rapports de données de suivi d’utilisation sur le portailECS ou dans ECS Management REST API.

La boîte de dialogue Bucket Tagging est représentée ci-dessous.

ACL des bucketsLes ACL (Access Control List) permettent de définir les privilèges dont dispose unutilisateur lorsqu’il accède à un bucket.

Lorsque vous créez un bucket et que vous lui attribuez un propriétaire, cela crée uneACL qui attribue un ensemble d’autorisations par défaut au propriétaire du bucket. Pardéfaut, le propriétaire bénéficie d’un contrôle total.

Vous pouvez modifier les autorisations attribuées au propriétaire ou ajouter denouvelles autorisations utilisateur en sélectionnant l’opération Edit ACL associé aubucket.

Sur le portail ECS, la page Bucket ACLs Management comporte des panneaux UserACLs, Group ACLs et Custom Group ACLs qui permettent de gérer les ACLassociées à des utilisateurs individuels et à des groupes prédéfinis, et de définir desgroupes qui peuvent être utilisés lors de l’accès au bucket en tant que système defichiers.

Les attributs des ACL sont indiqués dans le tableau suivant.



Tableau 7 ACL des buckets

ACL Autorisation

Read Permet à l’utilisateur de répertorier les objetsdu bucket.

Read ACL Permet à l’utilisateur de lire l’ACL du bucket.

Write Permet à l’utilisateur de créer ou de mettre àjour n’importe quel objet du bucket.

Write ACL Permet à l’utilisateur d’écrire l’ACL pour lebucket.

Execute Définit l’autorisation d’exécution lors d’unaccès en tant que système de fichiers. Cetteautorisation n’a aucun effet lorsque lesprotocoles en mode objet ECS sont utiliséspour accéder à l’objet.

Full Control Permet à l’utilisateur de lire, écrire, lire desACL et écrire des ACL.

Privileged Write Permet à l’utilisateur d’écrire sur un bucket ouun objet alors qu’il ne dispose d’aucuneautorisation d’écriture normale. Requis pourles buckets CAS.

Delete Permet à l’utilisateur de supprimer desbuckets et des objets. Requis pour les bucketsCAS.

None L’utilisateur ne dispose d’aucun privilège sur lebucket.

Remarque

Pour plus d’informations sur les ACL avec buckets CAS, reportez-vous à lasection Guide d’accès aux données : Configuration de la prise en charge CAS dansECS.

ACL des utilisateursLe panneau User ACL affiche les ACL appliquées aux utilisateurs et permet d’attribuerdes ACL à un utilisateur via l’opération Add.


ACL des buckets 113



Remarque

Comme le portail ECS prend en charge les buckets S3, HDFS et CAS, la plaged’autorisations définissables ne s’applique pas à tous les types de buckets.

ACL de groupeVous pouvez définir des autorisations pour un ensemble de groupes prédéfinis. Lesgroupes suivants sont pris en charge :

public

Tous les utilisateurs, authentifiés ou non.

all users

Tous les utilisateurs authentifiés.

other

Les utilisateurs authentifiés à l’exception du propriétaire du bucket.

log delivery

Non prise en charge.

Les autorisations attribuables sont répertoriées dans la section Tableau 7 à la page113.

ACL de groupe personnaliséLes ACL de groupe personnalisé permettent de définir des groupes et de leur attribuerdes autorisations. Le principal exemple d’utilisation de l’attribution de groupes à unbucket est la prise en charge de l’accès au bucket en tant que système de fichiers, parexemple lors de la mise à disposition du bucket pour HDFS.

Création d’un bucket à l’aide du portail ECSLe portail ECS permet de créer des buckets et de spécifier la configuration de chacund’eux. Les buckets créés sur le portail peuvent être de type S3, S3+HDFS ou CAS.

Avant de commencer

l Vous devez être administrateur d’espace de nommage ou administrateur systèmepour pouvoir créer un bucket sur le portail ECS.

l Si vous êtes administrateur d’espace de nommage, vous pouvez créer des bucketsdans votre espace de nommage.

l Si vous êtes administrateur système, vous pouvez créer un bucket appartenant àn’importe quel espace de nommage.



l Pour obtenir des instructions sur la configuration d’un bucket CAS pour unutilisateur d’objets CAS, reportez-vous à la section Guide d’accès aux données : Configuration de la prise en charge CAS dans ECS.

Procédure

1. Sur le portail ECS, sélectionnez Manage > Buckets.

2. Sélectionnez New Bucket.

3. Sélectionnez l’espace de nommage auquel le bucket et ses objetsappartiendront.

Si vous êtes administrateur système et que le système ECS contient plusieursespaces de nommage, sélectionnez l’espace de nommage auquel le bucketappartiendra.

Si vous êtes administrateur d’espace de nommage, vous ne pourrez sélectionnerque votre propre espace de nommage.

4. Sélectionnez le groupe de réplication auquel le bucket doit être associé.

5. Spécifiez le propriétaire du bucket.

Le propriétaire du bucket doit être un utilisateur d’objets ECS pour l’espace denommage. Si vous ne spécifiez pas d’utilisateur, vous serez désigné propriétairedu bucket ; toutefois, vous ne pourrez y accéder que si votre nom d’utilisateurest également s’est vu attribuer le statut d’utilisateur d’objets.

L’utilisateur que vous spécifiez se verra accorder l’autorisation Contrôle total.

6. Ajoutez éventuellement des balises au bucket en cliquant sur Add pour l’optionBucket Tagging et en ajoutant des paires nom-valeur.

Pour en savoir plus sur le balisage des buckets, reportez-vous à la sectionBalisage des buckets à la page 112.

7. Si nécessaire, spécifiez un quota pour le bucket.

Les paramètres applicables sont décrits dans la section Quotas à la page 92.

8. Si vous souhaitez que les données du bucket soient chiffrées, définissez l’optionServer-side Encryption sur Enabled.

9. Si vous souhaitez que le bucket soit de type CAS, définissez l’option CAS surEnabled.

Par défaut, CAS est désactivé et le bucket est marqué comme étant de type S3.

10. Si vous souhaitez que le bucket prenne en charge le fonctionnement en tant quesystème de fichiers (pour HDFS), définissez l’option File System Enabled surEnabled.

Le bucket sera alors un bucket S3 prenant en charge HDFS.

Vous pouvez définir un groupe Unix par défaut pour l’accès au bucket et pourles objets créés dans celui-ci. Pour plus d’informations, reportez-vous à lasection Groupe par défaut à la page 110.

11. Si vous souhaitez que le bucket prenne en charge les recherches basées sur lesmétadonnées d’objet, définissez l’option Metadata Search sur Enabled.

Si vous activez la recherche de métadonnées, vous pouvez ajouter des clés demétadonnées utilisateur et système qui seront utilisées pour créer des indexd’objets. Pour plus d’informations sur la saisie de clés de recherche demétadonnées, reportez-vous à la section Clés d’index de métadonnées à la page110.


Création d’un bucket à l’aide du portail ECS 115



Remarque

Si le bucket doit être utilisé pour CAS, vous ne pouvez pas activer la recherchede métadonnées, car une fonction de recherche similaire est fournie dans lamise en œuvre de l’API Centera.

12. Définissez l’option Access During Outage sur Enabled si vous souhaitez que lebucket soit disponible en cas de panne temporaire de site.

13. Si nécessaire, définissez une période de rétention pour le bucket.

Pour plus d’informations sur les périodes de rétention, reportez-vous à lasection Politiques et périodes de rétention à la page 93.

14. Sélectionnez Save pour créer le bucket.

Résultats

Vous pouvez attribuer des utilisateurs au bucket et définir des autorisations pour ceux-ci (ou pour des groupes prédéfinis) à partir du menu Actions du tableau des buckets.

Modifier un compartimentVous pouvez modifier certains paramètres du bucket une fois qu’il a été créé et quedes objets ont été écrits dans celui-ci.

Avant de commencer

l Vous devez être un administrateur d’espace de nommage ou un administrateursystème pour modifier un bucket.

l Si vous êtes un administrateur d’espace de nommage, vous pouvez modifier lesparamètres des buckets qui appartiennent à votre espace de nommage.

l Si vous êtes administrateur système, vous pouvez modifier les paramètres desbuckets qui appartiennent à n’importe quel espace de nommage.

Procédure


2. Dans le tableau Buckets, sélectionnez l’action Edit associée au bucket dontvous souhaitez modifier les paramètres.

3. Vous pouvez modifier les attributs de bucket suivants :

l Quota

l Bucket Owner

l Bucket Tagging


l Bucket Retention

Vous ne pouvez pas modifier les attributs de bucket suivants :

l Replication Group

l Server-side Encryption

l File System Enabled

l CAS Enabled



l Metadata Search

Vous trouverez de plus amples informations sur ces paramètres à la section Concepts liés aux buckets à la page 106.


Définition des autorisations ACL de bucket pour unutilisateur

Le portail ECS permet de définir l’ACL d’un bucket pour un utilisateur ou un groupeprédéfini.

Avant de commencer

l Vous devez être un administrateur d’espace de nommage ou un administrateursystème pour pouvoir modifier l’ACL d’un bucket.

l Si vous êtes un administrateur d’espace de nommage, vous pouvez modifier lesparamètres ACL des buckets qui appartiennent à votre espace de nommage.

l Si vous êtes administrateur système, vous pouvez modifier les paramètres ACLdes buckets qui appartiennent à n’importe quel espace de nommage.

Procédure


2. Dans le tableau Buckets, sélectionnez l’action Edit ACL associée au bucket dontvous souhaitez modifier les paramètres.

3. Pour définir les autorisations ACL d’un utilisateur, sélectionnez le bouton UserACLs.

Pour sélectionner l’ACL d’un groupe, sélectionnez Group ACLs ou CustomGroup ACLs. Reportez-vous à la section Définition des autorisations ACL debucket pour un groupe prédéfini à la page 118 ou Définition d’ACL de groupepersonnalisé pour les buckets à la page 119 pour plus d’informations sur ladéfinition d’ACL de groupe.

4. Vous pouvez modifier les autorisations d’un utilisateur disposant déjàd’autorisations, ou vous pouvez ajouter un utilisateur auquel vous voulezattribuer des autorisations.

l Pour définir (ou supprimer) les autorisations ACL d’un utilisateur disposantdéjà d’autorisations, sélectionnez Edit (ou Remove) dans la colonne Actiondu tableau ACL.

l Pour ajouter un utilisateur auquel vous voulez attribuer des autorisations,sélectionnez Add.

L’utilisateur que vous avez défini comme propriétaire du bucket dispose déjàdes autorisations par défaut.

5. Si vous avez ajouté une ACL, saisissez le nom d’utilisateur de l’utilisateur auquels’appliqueront les autorisations.

6. Spécifiez les autorisations que vous souhaitez appliquer à l’utilisateur.

Pour plus d’informations sur les privilèges ACL, reportez-vous à la sectionConcepts liés aux buckets à la page 106.



Définition des autorisations ACL de bucket pour un utilisateur 117

Définition des autorisations ACL de bucket pour un groupeprédéfini

Le portail ECS permet de définir l’ACL d’un bucket pour un groupe prédéfini.

Avant de commencer

l Vous devez être un administrateur d’espace de nommage ou un administrateursystème pour pouvoir modifier l’ACL de groupe d’un bucket.

l Si vous êtes un administrateur d’espace de nommage, vous pouvez modifier lesparamètres ACL de groupe des buckets qui appartiennent à votre espace denommage.

l Si vous êtes administrateur système, vous pouvez modifier les paramètres ACL degroupe des buckets qui appartiennent à n’importe quel espace de nommage.

Procédure



3. Pour définir les autorisations ACL d’un groupe prédéfini, sélectionnez le boutonGroup ACLs.

Pour en savoir plus sur les groupes prédéfinis, reportez-vous à la sectionConcepts liés aux buckets à la page 106.



4. Sélectionnez les privilèges que vous voulez attribuer au groupe.


Définition d’ACL de groupe personnalisé pour les bucketsLe portail ECS permet de définir l’ACL de groupe pour un bucket. Les ACL de bucketpeuvent être accordées à un groupe d’utilisateurs (ACL de groupe personnalisé), à desutilisateurs individuels ou à une combinaison des deux. Par exemple, vous pouvezaccorder un accès complet au bucket à un groupe d’utilisateurs, mais vous pouvezégalement restreindre (voire refuser) l’accès au bucket pour certains utilisateurs de cegroupe.

Avant de commencer

l Vous devez être un administrateur d’espace de nommage ou un administrateursystème pour pouvoir modifier l’ACL de groupe d’un bucket.

l Si vous êtes un administrateur d’espace de nommage, vous pouvez modifier lesparamètres ACL de groupe des buckets qui appartiennent à votre espace denommage.

l Si vous êtes administrateur système, vous pouvez modifier les paramètres ACL degroupe des buckets qui appartiennent à n’importe quel espace de nommage.

En cas d’accès au bucket via HDFS à l’aide de l’accès multiprotocole ECS, lesmembres du groupe Unix sont en mesure d’accéder au bucket.

Procédure



3. Pour définir l’ACL d’un groupe personnalisé, sélectionnez Custom Group UserACLs.

4. À la page Custom Group User ACLs, sélectionnez Add.


Définition d’ACL de groupe personnalisé pour les buckets 119

5. Entrez le nom du groupe.

Ce nom peut être un groupe Unix/Linux ou un groupe Active Directory.

6. Définissez les autorisations pour le groupe.

Au minimum, vous devez attribuer des autorisations de lecture, d’écriture,d’exécution et de lecture d’ACL.


Création d’un bucket à l’aide des API d’objetLorsque vous créez des compartiments à l'aide des API d'objet ou à l'aide d'outils quiappellent les API d'objet, différents en-têtes permettent d'en déterminer lecomportement.

Les en-têtes x-emc suivants sont fournis :

x-emc-dataservice-vpool

Détermine le groupe de réplication qui sera utilisé pour stocker les objets associésà ce bucket. Si vous n’indiquez aucun groupe de réplication à l’aide de l’en-têtex-emc-dataservice-vpool, ECS choisit le groupe de réplication par défautassocié à l’espace de nommage.

x-emc-file-system-access-enabled

Configure le compartiment pour l'accès HDFS. L'en-tête ne doit pas entrer enconflit avec l'interface utilisée. Autrement dit, une demande de création de bucketémanant de HDFS ne peut pas spécifier x-emc-file-system-access-enabled=false.



x-emc-namespace

Spécifie l'espace de nommage à utiliser pour ce domaine. Si vous n'utilisez pas laconvention de demande S3 hôte/chemin pour indiquer l'espace de nommage,vous pouvez utiliser l'en-tête x-emc-namespace. Si l'espace de nommage n'estpas défini par l'intermédiaire de cet en-tête, l'espace de nommage associé àl'utilisateur est employé.

x-emc-retention-period

Spécifie la période de rétention qui sera appliquée aux objets situés dans unbucket. À chaque fois qu’une demande de modification d’un objet situé dans unbucket est effectuée, le délai d’expiration de la période de rétention de l’objet estcalculée en fonction de la période de rétention associée au bucket.

x-emc-is-stale-allowed

Indique si le bucket est accessible en cas de défaillance temporaire du VDC dansune configuration fédérée.

x-emc-server-side-encryption-enabled

Spécifie si les objets écrits dans un bucket sont chiffrés.

x-emc-metadata-search

Spécifie une ou plusieurs valeurs de métadonnées utilisateur ou système à utiliserpour créer des index d’objets pour le bucket. Les index peuvent être utilisés poureffectuer des recherches d’objets qui peuvent être filtrées en fonction desmétadonnées indexées.

Un exemple de création d'un compartiment à l'aide de l'outil S3curl est fourni :

l Création d’un compartiment à l’aide de l’API S3 (avec s3curl) à la page 121

Création d’un compartiment à l’aide de l’API S3 (avec s3curl)Vous pouvez utiliser l’API S3 pour créer un bucket au sein d’un groupe de réplication.Comme ECS utilise des en-têtes personnalisés (x-emc), la construction de la chaîne àsigner doit lui permettre d’inclure ces en-têtes. L’outil s3curl est utilisé dans cetteprocédure ; vous pouvez également utiliser d’autres programmes clients, par exemple,le client Java S3.

Avant de commencer

l ECS doit avoir au moins un groupe de réplication configuré.

l Perl doit être installé sur la machine Linux sur laquelle vous allez exécuter s3curl.

l Curl doit être installé et vous avez besoin du module s3curl, qui sert de scriptglobal pour curl.

Pour utiliser s3curl avec des en-têtes x-emc, vous devez apporter de légèresmodifications au script s3curl. Ces modifications sont décrites dans la procédure.

Procédure

1. Obtenez une clé secrète pour l’utilisateur qui crée le compartiment.

Pour plus d’informations, consultez le Guide d’accès aux données : Création et

gestion des clés secrètes.

2. Obtenez l’identité du groupe de réplication dans lequel vous voulez créer lebucket.


Création d’un compartiment à l’aide de l’API S3 (avec s3curl) 121



Vous pouvez obtenir l’identité du groupe de réplication à l’aide de l’API RESTECS :

GET https://<ECS IP Address>:4443/vdc/data-service/vpools

La réponse fournit le nom et l’identité de tous les pools virtuels de services dedonnées. Par exemple :

<data_service_vpools><data_service_vpool> <creation_time>1403519186936</creation_time> <id>urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global</id> <inactive>false</inactive> <tags/> <description>IsilonVPool1</description> <name>IsilonVPool1</name> <varrayMappings> <name>urn:storageos:VirtualDataCenter:1de0bbc2-907c-4ede-b133-f5331e03e6fa:vdc1</name> <value>urn:storageos:VirtualArray:793757ab-ad51-4038-b80a-682e124eb25e:vdc1</value> </varrayMappings></data_service_vpool></data_service_vpools>

Ici, l’ID est urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global.

3. Configurez s3curl en créant un fichier .s3curl en vue d’y saisir lesinformations d’identification.

Le fichier .s3curl doit disposer des autorisations 0600 (rw-/---/---) àl’exécution de s3curl.pl.

Dans l’exemple ci-dessous, le profil my_profile est utilisé pour référencer lesinformations d’identification utilisateur du compte [email protected], alors queroot_profile référence les informations d’identification du compte root.

%awsSecretAccessKeys = ( my_profile => { id => '[email protected]', key => 'sZRCTZyk93IWukHEGQ3evPJEvPUq4ASL8Nre0awN' }, root_profile => { id => 'root', key => 'sZRCTZyk93IWukHEGQ3evPJEvPUq4ASL8Nre0awN' },);

4. Ajoutez le point d’accès sur lequel vous souhaitez utiliser s3curl aufichier .s3curl.

Il doit s’agir de l’adresse de votre nœud de données ou du répartiteur de chargeprésent devant les nœuds de données.



Par exemple :

push @endpoints , ( '203.0.113.10', 'lglw3183.lss.emc.com',);

5. Modifiez le script s3curl.pl de manière à ce que les en-têtes x-emc soientintégrés dans sa chaîne à signer.

Remplacez les lignes suivantes :

elsif ($header =~ /^(?'header'[Xx]-(([Aa][Mm][Zz])|([Ee][Mm][Cc]))-[^:]+): *(?'val'.+)$/) {

my $name = lc $+{header}; my $value = $+{val};

par :

elsif ($header =~ /^([Xx]-(?:(?:[Aa][Mm][Zz])|(?:[Ee][Mm][Cc]))-[^:]+): *(.+)$/) { my $name = lc $1; my $value = $2;

6. Créez le compartiment à l’aide de s3curl.pl.

Indiquez les éléments suivants :

l Profil de l’utilisateur.

l Identité du groupe de réplication dans lequel créer le bucket (<vpool_id>).Utilisez pour cela l’en-tête x-emc-dataservice-vpool.

l En-têtes x-emc personnalisés éventuels.

l Nom du compartiment (<BucketName>).

La commande complète a l’aspect suivant :

./s3curl.pl --debug --id=my_profile --acl public-read-write --createBucket -- -H 'x-emc-file-system-access-enabled:true' -H 'x-emc-dataservice-vpool:<vpool_id>' http://<DataNodeIP>:9020/<BucketName>

Cet exemple utilise l’en-tête x-emc-dataservice-vpool pour spécifier le groupede réplication dans lequel le bucket va être créé et l’en-tête x-emc-file-system-access-enabled pour activer l’accès au système de fichiers (notamment pourHDFS) pour le bucket.

L’argument -acl public-read-write est facultatif, mais peut être utilisépour définir des autorisations d’activation de l’accès au bucket. Par exemple, si


Création d’un compartiment à l’aide de l’API S3 (avec s3curl) 123

vous avez l’intention d’y accéder en tant que HDFS à partir d’un environnementqui n’est pas sécurisé à l’aide de Kerberos.

Si l’opération réussit (avec --debug activé), vous devez obtenir un résultatsemblable au suivant :

s3curl: Found the url: host=203.0.113.10; port=9020; uri=/S3B4; query=;s3curl: ordinary endpoint signing cases3curl: StringToSign='PUT\n\n\nThu, 12 Dec 2013 07:58:39 +0000\nx-amz-acl:public-read-write\nx-emc-file-system-access-enabled:true\nx-emc-dataservice-vpool:urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global:\n/S3B4's3curl: exec curl -H Date: Thu, 12 Dec 2013 07:58:39 +0000 -H Authorization: AWS root:AiTcfMDhsi6iSq2rIbHEZon0WNo= -H x-amz-acl: public-read-write -L -H content-type: --data-binary -X PUT -H x-emc-file-system-access-enabled:true -H x-emc-dataservice-vpool:urn:storageos:ObjectStore:e0506a04-340b-4e78-a694-4c389ce14dc8: http://203.0.113.10:9020/S3B4

Vous pouvez répertorier les buckets à partir de l’interface S3, avec :

./s3curl.pl --debug --id=my_profile http://<DataNodeIP>:9020/

Conventions de dénomination des buckets et des clésLes noms des buckets et des objets/clés doivent être conformes aux spécificationsprésentées ici.

l Dénomination des buckets et objets S3 dans ECS à la page 125

l Dénomination des objets et conteneurs OpenStack Swift dans ECS à la page 125

l Dénomination des buckets et objets Atmos dans ECS à la page 126

l Dénomination de pools et d’objets CAS dans ECS à la page 126

Remarque

Si vous souhaitez utiliser un bucket pour l’accès HDFS, n’utilisez pas de traits desoulignement dans le nom de bucket, car ceux-ci ne sont pas pris en charge par laclasse Java URI. Par exemple, viprfs://my_bucket.ns.site/ ne fonctionnerapas car il s’agit d’un URI non valide, qui n’est pas compris par Hadoop.

Nom des espaces de nommageLes règles suivantes s’appliquent à la dénomination des espaces de nommage ECS :

l Ne peut pas être nul ni une chaîne vide.

l Longueur comprise entre 1 et 255 caractères (Unicode)

l Les caractères valides sont définis par le modèle regex /[a-zA-Z0-9-_]+/. Parconséquent :



n Caractères alphanumériques

n Caractères spéciaux : tirets (-) et traits de soulignement (_).

Dénomination des buckets et objets S3 dans ECSCette section aborde en détail les règles qui s’appliquent à la dénomination desbuckets et objets en cas d’utilisation de l’API ECS S3 Object.

Nom des bucketsLes règles suivantes s’appliquent à la dénomination des buckets S3 dans ECS :

l La longueur des noms doit être comprise entre 1 et 255 caractères. (Laspécification S3 exige que la longueur des noms de bucket soit comprise entre 1 et255 caractères).

l Les noms peuvent comporter des points (.), des tirets (-) et des traits desoulignement (_), ainsi que des caractères alphanumériques ([a-zA-Z0-9]).

l Les noms peuvent débuter par un tiret (-) ou un caractère alphanumérique.

l Le nom ne prend pas en charge les caractéristiques suivantes :

n Commence par un point (.)

n Contient un double point (..)

n Se termine par un point (.)

n Le nom ne doit pas être au format d’adresse IPv4.

Vous pouvez comparer ces restrictions de dénomination avec celles associées à laspécification S3 : http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html.

Nom d’objetLes règles suivantes s’appliquent à la dénomination des objets S3 ECS :



l Aucune validation sur les caractères.

Dénomination des objets et conteneurs OpenStack Swift dans ECSCette section aborde en détail les règles qui s’appliquent à la dénomination desbuckets et objets en cas d’utilisation de l’API ECS OpenStack Swift Object.

Nom des conteneursLes règles suivantes s’appliquent à la dénomination des conteneurs Swift :



l Les caractères valides sont définis par le modèle regex /[a-zA-Z0-9-_]+/

n Caractères alphanumériques

n Caractères spéciaux : points (.), traits d’union (-) et tirets de soulignement (_).

Nom des objetsLes règles suivantes s’appliquent à la dénomination des objets Swift :



Dénomination des buckets et objets S3 dans ECS 125

http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html

http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html



Dénomination des buckets et objets Atmos dans ECSCette section aborde en détail les règles qui s’appliquent à la dénomination desbuckets et objets en cas d’utilisation de l’API ECS Atmos Object.

Sous-tenant (bucket)La dénomination est créée par le serveur, le client n’a donc pas besoin de connaître leschéma de dénomination.

Nom des objetsLes règles suivantes s’appliquent à la dénomination des objets Atmos :




Les noms doivent se composer de caractères UTF-8.

Dénomination de pools et d’objets CAS dans ECSCette section aborde en détail les règles qui s’appliquent à la dénomination des poolset objets CAS (« clips » dans la terminologie CAS) en cas d’utilisation de l’API CAS.

Dénomination de pools CASLes règles suivantes s’appliquent à la dénomination des pools CAS dans ECS :

l Maximum de 255 caractères

l Ne peut pas contenir les éléments suivants : ’ " / & ? * < > <tab> <newline> ou<space>

Dénomination des clipsIl n’existe aucune clé définie par l’utilisateur dans l’API CAS. Lorsqu’une application quiutilise l’API CAS crée un clip, elle ouvre un pool, crée un nouveau clip, puis ajoute desbalises, des attributs, des flux, etc. Lorsqu’un clip est terminé, il est écrit sur unpériphérique.

Un ID de clip correspondant est renvoyé par le moteur CAS et peut être appelé à l’aidede <pool name>/<clip id>.



CHAPITRE 12

Configuration de l’accès aux fichiers NFS

l Accès aux fichiers NFS..................................................................................... 128l Prise en charge de la configuration NFS par le portail ECS...............................129l Tâches de configuration d’ECS NFS................................................................. 132l Bonnes pratiques d’utilisation d’ECS NFS.........................................................147l Autorisations pour l’accès multiprotocole (transversal).................................... 148l Récapitulatif de l’API de fichier.........................................................................150

Configuration de l’accès aux fichiers NFS 127

Accès aux fichiers NFSECS permet de configurer des buckets d’objets pour un accès en tant que systèmesde fichiers NFS via NFSv3.

Pour permettre aux utilisateurs Unix d’accéder au système de fichiers, ECS fournit unmécanisme de mappage des utilisateurs d’objet ECS aux utilisateurs Unix. Un bucketECS a toujours un propriétaire. Le mappage du propriétaire du bucket à un ID Unixdonne à cet utilisateur Unix des autorisations sur le système de fichiers. Par ailleurs,ECS permet l’attribution d’un groupe personnalisé par défaut au bucket afin que lesmembres d’un groupe Unix mappé au groupe personnalisé par défaut ECS puissentaccéder au bucket.

En outre, ECS prend en charge l’accès multiprotocole, si bien que les fichiers écrits viaNFS sont également accessibles à l’aide des protocoles d’objet S3, OpenStack Swiftet EMC Atmos. De même, les objets écrits à l’aide des protocoles d’objet S3 etOpenStack Swift peuvent être mis à disposition via NFS. Pour Atmos, les objets créésà l’aide de l’interface de l’espace de nommage peuvent être répertoriés via NFS, maispas les objets créés à l’aide d’un ID d’objet. De la même manière que le bucket lui-même, les objets et les répertoires créés à l’aide de protocoles d’objet sont accessiblesaux utilisateurs Unix et aux membres des groupes Unix via le mappage des utilisateursd’objets et des groupes.

ECS NFS assure le verrouillage consultatif et prend en charge :

l les verrous sur plusieurs zones ;

l les verrous partagés et exclusifs.

ECS NFS prend en charge la sécurité Kerberos.

Accès multiprotocole aux répertoires et aux fichiersECS prend en charge l’écriture d’objets à l’aide du protocole S3 et l’accès à ces objetsen tant que fichiers via NFS et, inversement, l’écriture de fichiers à l’aide de NFS etl’accès aux fichiers en tant qu’objets via le protocole S3. Il est important decomprendre le mode de gestion des répertoires lors de l’utilisation d’un accèsmultiprotocole.

Le protocole S3 ne prévoit pas la création de dossiers/répertoires.

Pour permettre un fonctionnement multiprotocole, la prise en charge du protocole S3par ECS formalise l’utilisation de « / » et crée des objets de répertoire pour tous leschemins intermédiaires d’un nom d’objet. Ainsi, un objet nommé /a/b/c.txt entraîne lacréation d’un objet de fichier nommé c.txt et d’objets de répertoire pour a et b. Cesobjets de répertoire ne sont pas exposés au client via S3. Ils sont utilisés uniquementpour assurer un accès multiprotocole et la compatibilité avec les API basées sur lesystème de fichiers. Cela signifie que lorsque le bucket est considéré comme unsystème de fichiers NFS/HDFS, ECS peut afficher les fichiers au sein d’une structurede répertoires.

Limitations

1. Il peut arriver qu’un objet de répertoire et un objet de fichier soient créés avec lemême nom. Ce problème se produit dans les situations suivantes :

l Si un fichier path1/path2 est créé à partir de NFS, un objet path1/path2/path3est créé à partir de S3. Étant donné que S3 permet de créer des objets



contenant le nom d’un autre objet comme préfixe, une telle opération est valideet prise en charge. Toutefois, à ce stade, un fichier et un répertoire appeléspath2 existent.

l Si un répertoire path1/path2 est créé à partir de NFS, un objet path1/path2 estcréé à partir de S3. Une fois encore, il s’agit d’une opération valide dans S3étant donné que le répertoire path1/path2 n’est pas visible via l’API S3.Toutefois, à ce stade, un fichier et un répertoire appelés path2 existent.

Pour résoudre ce problème, les demandes de S3 renvoient toujours un fichier etles demandes NFS renvoient toujours un répertoire. Cependant, cela signifie quedans le premier cas, le fichier créé par NFS est masqué par l’objet créé par S3.

2. NFS ne prend pas en charge les noms de fichiers se terminant par « / », alors quec’est le cas du protocole S3. Dans de telles situations, NFS n’affiche pas cesfichiers.

Panne de nœud et du siteNFS fournit un espace de nommage unique sur tous les nœuds ECS et peut continuerà fonctionner en cas de panne du site ou de nœud.

Lorsque vous montez une exportation NFS, vous pouvez spécifier l’un des nœuds ECSen tant que serveur NFS ou vous pouvez spécifier l’adresse d’un répartiteur de charge.Quel que soit le nœud vers lequel vous pointez, ECS est en mesure de résoudre lechemin du système de fichiers.

Défaillance de nœudEn cas de défaillance d’un nœud, ECS restaure les données à l’aide des fragments dedonnées. Si votre exportation NFS est configurée pour des écritures asynchrones,vous risquez de perdre les données liées aux transactions qui n’ont pas encore étéécrites sur disque. Il en va de même pour n’importe quelle implémentation NFS.

Si vous avez monté le système de fichiers en pointant vers un nœud ECS et que cenœud tombe en panne, vous devez remonter l’exportation en spécifiant un autre nœuden tant que serveur NFS. Si vous avez monté l’exportation à l’aide de l’adresse durépartiteur de charge, la défaillance du nœud est gérée par le répartiteur de charge,qui redirige automatiquement les demandes vers un autre nœud.

Panne du siteEn cas de panne du site, si votre répartiteur de charge est en mesure de rediriger letrafic vers un autre site, votre exportation NFS reste disponible. Dans le cas contraire,vous devez remonter l’exportation à partir d’un autre site non défaillant.

Lorsque le site principal tombe en panne et qu’ECS doit modifier la configuration defaçon à pointer vers un site secondaire, des données peuvent être perdues en raisondes écritures asynchrones NFS et des opérations de réplication de données ECS nonterminées.

Prise en charge de la configuration NFS par le portail ECSLe portail ECS prend en charge la création d’exportations NFS et le mappage desutilisateurs ECS afin qu’ils puissent accéder à ces exportations NFS.

La page Manage > File du portail ECS permet à un administrateur de configurer desexportations NFS, ainsi que les mappages d’utilisateur et de groupe. Cette page secompose des vues Exports et User/Group Mapping. La zone Exports est affichée pardéfaut. Il est également possible de configurer des exportations NFS et des mappagesd’utilisateur via ECS Management REST API et la CLI.

Ces pages sont décrites dans les sections suivantes :


Panne de nœud et du site 129

l Exports à la page 130l Mappages d’utilisateur/de groupe à la page 130

ExportsLa vue Exports affiche les exportations NFS qui ont été créées ; elle vous permet d’encréer de nouvelles et de modifier celles existantes.

La vue Exports est présentée ci-dessous.

La vue Exports comporte un menu Namespace qui vous permet de sélectionnerl’espace de nommage dont vous souhaitez afficher les exportations actuellementdéfinies. Les champs suivants sont affichés dans le tableau Exports :

Champ Description :

Namespace Tenant/espace de nommage auquel appartient le stockage sous-jacent.

Bucket Bucket qui fournit le stockage sous-jacent pour l’exportation NFS.

Export Path Point de montage associé à l’exportation. Il se présente sous la formesuivante : /<namespace_name>/<bucket_name>/<export_name> .Le nom de l’exportation n’est spécifié que si vous exportez unrépertoire qui existe au sein du bucket.

Actions Actions qui peuvent être appliquées à cette entrée du tableau desexportations. Ces actions sont : Edit et Delete.

Vous pouvez utiliser Edit pour afficher les hôtes pouvant accéder à

l’exportation et les options NFS qui ont été définies pour l’exportation.

Cette page permet également d’accéder à un bouton New Export afin d’ajouter uneexportation.

Mappages d’utilisateur/de groupeECS stocke le propriétaire et le groupe du bucket, ainsi que le propriétaire et le groupedes fichiers et des répertoires présents au sein du bucket, respectivement en tant que



nom d’utilisateur d’objets ECS et noms de groupes personnalisés. Les noms doiventêtre mappés à des ID Unix afin que les utilisateurs NFS bénéficient d’un accès avec lesprivilèges appropriés.

Le mappage permet à ECS de traiter un utilisateur d’objets ECS et un utilisateur NFScomme un même utilisateur, mais avec deux ensembles d’informationsd’identification : l’un pour accéder à ECS via NFS et l’autre pour accéder à ECS àl’aide des protocoles d’objet. Comme les comptes sont mappés, les fichiers écrits parun utilisateur NFS sont accessibles en tant qu’objets par l’utilisateur d’objets mappé,et les objets écrits par les utilisateurs d’objets sont accessibles sous forme de fichierspar l’utilisateur NFS.

Les autorisations associées à l’objet ou au fichier dépendent du mappage entre lesprivilèges POSIX et ACL du protocole d’objet. Ce mappage est décrit en détail à lasection Autorisations pour l’accès multiprotocole (transversal) à la page 148.

La page Manage > File du portail ECS permet d’accéder à la vue User/Group Mappingqui affiche le tableau User/Group Mapping.

Cette vue fournit un sélecteur d’espace de nommage qui permet au tableau d’afficherles utilisateurs et les groupes configurés pour l’espace de nommage sélectionné. Letableau User/Group Mapping affiche les champs suivants :

Champ Description

User/Group Name Nom d’utilisateur d’objets de l’utilisateur.

ID ID utilisateur ou ID de groupe Unix ayant été mappé à l’utilisateurd’objets.

Type Indique si l’ID correspond à un utilisateur ou à un groupe.

Actions Actions qu’il est possible d’appliquer à cette entrée. Il s'agit des

paramètres suivants : View et Delete.

De nouveaux mappages peuvent être ajoutés à l’aide du bouton New User/GroupMapping.


Mappages d’utilisateur/de groupe 131

Tâches de configuration d’ECS NFSPour configurer ECS NFS, vous devez effectuer les tâches suivantes.

Procédure

1. Création d’un bucket pour NFS à l’aide du portail ECS à la page 132

2. Ajout d’une exportation NFS à la page 134

3. Ajout d’un mappage d’utilisateur ou de groupe à la page 137

4. Configuration de la sécurité NFS avec Kerberos à la page 139

Création d’un bucket pour NFS à l’aide du portail ECSUtilisez le portail ECS pour créer un bucket configuré pour une utilisation avec NFS.

Avant de commencer

l Vous devez être administrateur d’espace de nommage ou administrateur systèmepour pouvoir créer un bucket sur le portail ECS.

l Si vous êtes administrateur d’espace de nommage, vous pouvez créer des bucketsdans votre espace de nommage.

l Si vous êtes administrateur système, vous pouvez créer un bucket appartenant àn’importe quel espace de nommage.

Les étapes indiquées ici se concentrent sur la configuration que vous devez effectuerpour rendre un bucket utilisable par NFS. Le bucket que vous créez est un bucket S3activé pour une utilisation en tant que système de fichiers.

Procédure

1. Sur le portail ECS, sélectionnez Manage > Buckets > New Bucket.

2. Saisissez le nom du bucket.

3. Spécifiez l’espace de nommage auquel doit appartenir le bucket.

4. Sélectionnez un groupe de réplication ou laissez ce champ vide pour utiliser legroupe de réplication par défaut pour l’espace de nommage.

5. Saisissez le nom du propriétaire du bucket.

6. N’activez pas CAS.

Remarque

Un bucket conçu pour une utilisation en tant que NFS ne peut pas être utilisépour CAS. L’option CAS est désactivée lorsque le système de fichiers estactivé.

7. Activez toutes les autres fonctions du bucket dont vous avez besoin.

Vous pouvez activer les fonctions suivantes pour un bucket NFS :

l Quota

l Server-side Encryption

l Metadata Search




l Compliance (voir la remarque)

l Bucket Retention

Consultez le Concepts liés aux buckets à la page 106 pour plus d’informationssur chacun de ces paramètres et la manière de les configurer.

Remarque

Un bucket qui est activé pour la conformité ne peut pas faire l’objet d’écrituresutilisant le protocole NFS. Toutefois, les données écrites à l’aide de protocolesd’objet peuvent être lues à partir de NFS.

8. Sélectionnez Enabled sous File System.

Une fois le système de fichiers activé, les options permettant la définition d’ungroupe par défaut pour le système de fichiers/bucket et l’attributiond’autorisations de groupe sur les fichiers et les répertoires créés dans le bucketsont disponibles.

9. Dans le panneau File System (illustré ci-dessous), saisissez le nom du groupepar défaut du bucket.

Ce groupe sera le groupe associé au système de fichiers NFS racine et à tousles fichiers ou répertoires créés dans l’exportation NFS. Les utilisateurs qui sontmembres du groupe peuvent accéder à l’exportation NFS, ainsi qu’aux fichierset aux répertoires.

Ce groupe doit être spécifié lors de la création du bucket. Dans le cas contraire,le groupe doit être attribué plus tard à partir du client NFS.

10. Définissez les autorisations par défaut sur les fichiers et les répertoires créésdans le bucket à l’aide du protocole d’objet.

Ces paramètres sont utilisés pour appliquer des autorisations de groupe Unixaux objets créés à l’aide de protocoles d’objet.

Le protocole S3 n’utilise pas le concept de groupes. Il n’offre donc pas lapossibilité de définir des autorisations de groupe dans S3 et de les mapper à desautorisations Unix. Par conséquent, cette opération fournit une occasion uniqued’associer un fichier ou un répertoire créé à l’aide du protocole S3 au groupe pardéfaut spécifié avec les autorisations indiquées ici.


Création d’un bucket pour NFS à l’aide du portail ECS 133

a. Définissez les autorisations du groupe sur les fichiers en cliquant sur lesboutons d’autorisation appropriés.

Normalement, vous définissez des autorisations de lecture et d’exécution.

b. Définissez les autorisations du groupe sur les répertoires en cliquant sur lesboutons d’autorisation appropriés.

Normalement, vous définissez des autorisations de lecture et d’exécution.

11. Cliquez sur Save pour créer le bucket.

Ajout d’une exportation NFSLa page File > Exports permet de créer une exportation NFS et de définir les optionsqui contrôlent l’accès à cette dernière.

Avant de commencer

Le bucket qui fournit le stockage sous-jacent pour l’exportation doit déjà avoir étécréé.

Procédure

1. Sélectionnez la page File > Exports > New Export.

Le panneau New File Export s’affiche. Un exemple de ce panneau est présentéci-dessous avec une exportation configurée pour un accès par les hôtes duclient NFS.



2. Dans le champ Namespace, sélectionnez l’espace de nommage propriétaire dubucket que vous souhaitez exporter.

3. Dans le champ Bucket, sélectionnez le bucket.

4. Dans le champ Export Path, spécifiez le chemin.

ECS génère automatiquement le chemin d’exportation en fonction de l’espacede nommage et du bucket. Vous ne devez saisir un nom que si vous exportez unrépertoire qui existe déjà au sein du bucket. Par conséquent, si vous saisissez /namespace1/bucket1/dir1, par exemple, vous devez vous assurer quedir1 existe. Si tel n’est pas le cas, le montage de l’exportation échoue.

5. Ajoutez les hôtes qui doivent avoir accès à l’exportation en suivant les étapes ci-dessous.

a. Dans la zone Export Options, sélectionnez Add.

Le panneau Add Export Host, illustré ci-dessous, s’affiche.


Ajout d’une exportation NFS 135

b. Sur le panneau Add Export Host, spécifiez un ou plusieurs hôtes qui doiventavoir accès à l’exportation et configurez les options d’accès.

Vous devez choisir une option d’authentification. Il s’agit normalement deSys, à moins que vous ayez l’intention de configurer Kerberos. Les valeurspar défaut des options Permissions (ro) et Write Transfer Policy (async)sont déjà définies sur le panneau Add Export Host. Elles sont transmises auserveur NFS. Les autres options sont les mêmes que les valeurs par défautdu serveur NFS et ne sont donc transmises par ECS que si vous les modifiez.

Les paramètres que vous pouvez spécifier lors de l’ajout d’un hôte sontprésentés dans le tableau ci-dessous.

Paramètre Description

Export Host Définit l’adresse IP de l’hôte ou des hôtespouvant accéder à l’exportation. Une listede valeurs séparées par des virgules estutilisée pour spécifier plusieurs hôtes.

Permissions Permet de définir l’accès en lecture/écriture ou en lecture seule à l’exportation.Cela revient à définir la valeur rw ou rodans /etc/exports.



Paramètre Description

Write Transfer Policy Définit la règle de transfert des écrituressur synchrone ou asynchrone. La valeurpar défaut est asynchrone.Cela revient à définir la valeur sync ou

async pour une exportation dans /etc/exports.

Authentification Définit les types d’authentifications pris encharge par l’exportation.

Mounting Directories Inside Export Ce paramètre détermine si les sous-répertoires du chemin d’exportation sontautorisés en tant que points de montage.Ce paramètre est équivalent à alldirdans /etc/exports.

Avec l’option alldir, si vous avez

exporté /namespace1/bucket1, par

exemple, vous pouvez également monterdes sous-répertoires, tels que /namespace1/bucket1/dir1, à

condition que le répertoire existe.

AnonUser Définit l’ID utilisateur effectif pour l’accèsd’un utilisateur anonyme à une exportationet pour l’accès root lorsqueroot_squash a été défini. Cela revient à

définir la valeur anonuid dans /etc/exports.

AnonGroup Définit l’ID de groupe effectif pour l’accèsd’un groupe anonyme à une exportation etpour l’accès root lorsque root_squash a

été défini. Cela revient à définir la valeuranongid dans /etc/exports.

RootSquash Détermine si l’accès root est autorisé pourl’exportation. Si l’accès root n’est pasautorisé, l’ID de l’utilisateur root (UID=0)est remplacé par l’ID de l’utilisateurnobody ou par l’ID utilisateur que vousspécifiez dans AnonUser. Cela revient àutiliser root_squash dans /etc/exports.

c. Sélectionnez Add pour terminer la définition des options de l’hôte.

6. Si vous souhaitez ajouter d’autres hôtes pouvant accéder à l’exportation, maisavec des options différentes, répétez l’étape précédente.

7. Cliquez sur Save pour enregistrer la définition de l’exportation NFS.

Ajout d’un mappage d’utilisateur ou de groupePour fournir un accès NFS au système de fichiers (bucket), vous devez mapper unutilisateur d’objets disposant d’autorisations sur le bucket à un ID utilisateur Unix(UID) afin de fournir un accès à l’utilisateur Unix mappé. Vous pouvez également


Ajout d’un mappage d’utilisateur ou de groupe 137

mapper un groupe personnalisé ECS qui dispose d’autorisations sur le bucket à un IDde groupe Unix (GID) pour fournir un accès aux membres du groupe Unix.

Avant de commencer

l Pour que le mappage fonctionne, l’ID utilisateur doit exister sur le client NFS et lenom d’utilisateur doit être un nom d’utilisateur d’objets ECS.

l Pour que les membres du groupe aient accès au système de fichiers, un groupepersonnalisé par défaut doit avoir été attribué au bucket.

l Pour que les membres du groupe aient accès aux objets et aux répertoires créés àl’aide de protocoles d’objet, des autorisations d’objet et de répertoire par défautdoivent avoir été attribuées au bucket.

Procédure

1. À la page Manage > File, sélectionnez la vue User/Group Mapping.

2. Sélectionnez New Mapping pour afficher le formulaire New User Mapping,illustré ci-dessous.

3. Dans le champ User/Group, saisissez le nom d’utilisateur ou le nom de groupeECS que vous souhaitez mapper.

4. Spécifiez l’espace de nommage auquel appartient l’utilisateur d’objets ou legroupe personnalisé ECS auquel vous vous apprêtez à mapper l’utilisateur ou legroupe Unix.

5. Dans le champ UID, saisissez l’ID utilisateur ou l’ID de groupe auquel voussouhaitez mapper le nom d’utilisateur ECS.



6. Sélectionnez le type de mappages : User ou Group.


Configuration de la sécurité NFS avec Kerberos

Vous pouvez sécuriser l’accès à votre exportation NFS à l’aide de Kerberos. Lesscénarios suivants sont pris en charge :

l Client ECS vers un seul nœud ECS. Le fichier keytab de chaque nœud ECS quevous souhaitez utiliser en tant que serveur NFS doit être propre à ce nœud.

l Client ECS vers répartiteur de charge. Le fichier keytab de tous les nœuds ECSest le même, et il utilise le nom d’hôte du répartiteur de charge.

Reportez-vous à la section Configuration d’ECS NFS avec la sécurité Kerberos à lapage 139.

Selon votre configuration IT interne, vous pouvez utiliser un KDC ou Active Directory(AD) en tant que KDC.

Pour utiliser Active Directory, suivez les étapes décrites dans les tâches suivantes : Enregistrement d’un nœud ECS dans Active Directory à la page 143 et Enregistrement d’un client NFS Linux dans Active Directory à la page 144.

Configuration d’ECS NFS avec la sécurité KerberosPour configurer l’authentification Kerberos en vue de sécuriser ECS NFS, vous devezprocéder à la configuration sur le ou les nœuds ECS et sur le client NFS, et créer desfichiers keytab pour l’entité de sécurité du serveur NFS et pour celle du client NFS.

Procédure

1. Assurez-vous que le nom d’hôte du nœud ECS peut être résolu.

Vous pouvez utiliser la commande hostname pour vous assurer que le nom dedomaine complet du nœud ECS est ajouté à /etc/HOSTNAME.

dataservice-10-247-142-112:~ # hostname ecsnode1.yourco.comdataservice-10-247-142-112:~ # hostname -i10.247.142.112dataservice-10-247-142-112:~ # hostname -fecsnode1.yourco.comdataservice-10-247-142-112:~ #

2. Créez le fichier de configuration Kerberos (krb5.conf) sur le nœud ECS sousla forme /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.conf. À moins que HDFS ait déjà été configuré, vous devez créerle répertoire hdfs avec des autorisations 655 (drwxr-xr-x) (chmod 655 hdfs)et désigner comme propriétaire l’utilisateur ayant l’ID 444 et le groupe ayantl’ID 444 (chown 444:444 hdfs).

Modifiez les autorisations du fichier en les définissant sur 644 et faites del’utilisateur ayant l’ID 444 (storageos) le propriétaire du fichier.

Dans l’exemple ci-dessous, les valeurs suivantes sont utilisées et doivent êtreremplacées par vos propres paramètres.

Realm Kerberos

Défini sur NFS-REALM dans cet exemple.


Configuration de la sécurité NFS avec Kerberos 139

KDC

Défini sur kdcname.yourco.com dans cet exemple.

Serveur d’administration KDC

Dans cet exemple, le KDC agit en tant que serveur d’administration.

[libdefaults] default_realm = NFS-REALM.LOCAL[realms] NFS-REALM.LOCAL = { kdc = kdcname.yourco.com admin_server = kdcname.yourco.com }[logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON

Remarque

Si HDFS est déjà configuré pour Kerberos, au lieu de remplacer /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.conf,fusionnez les informations du realm (si elles sont différentes) au sein du fichierkrb5.conf existant. En général, aucune modification ne sera apportée à cefichier, le realm ayant été configuré par HDFS. En outre, les autorisations pardéfaut et le propriétaire auront déjà été configurés par HDFS et nenécessiteront aucune modification.

3. Ajoutez une entité de sécurité d’hôte pour le nœud ECS et créez un fichierkeytab pour cette entité.

Dans cet exemple, le nom de domaine complet du nœud ECS estecsnode1.yourco.com.

$ kadminkadmin> addprinc -randkey nfs/ecsnode1.yourco.comkadmin> ktadd -k /datanode.keytab nfs/ecsnode1.yourco.com kadmin> exit

4. Copiez le fichier keytab (datanode.keytab) dans /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.keytab. À moinsque HDFS ait déjà été configuré, vous devez créer le répertoire hdfs avec desautorisations 655 (drwxr-xr-x) (chmod 655 hdfs) et désigner commepropriétaire l’utilisateur ayant l’ID 444 et le groupe ayant l’ID 444 (chown444:444 hdfs).

Modifiez les autorisations du fichier en les définissant sur 644 et faites del’utilisateur ayant l’ID 444 (storageos) le propriétaire du fichier.

Si HDFS est déjà configuré, au lieu de remplacer /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.keytab, fusionnezle fichier datanode.keytab au sein du fichier keytab existant à l’aide dektutil. Les autorisations par défaut et le propriétaire auront déjà étéconfigurés par HDFS et ne nécessiteront aucune modification.



5. Téléchargez l’archive de politique JCE unlimited depuis oracle.com et extrayezson contenu dans le répertoire /opt/emc/caspian/fabric/agent/services/object/data/jce/unlimited.

Kerberos peut être configuré pour utiliser un type de chiffrements fort, parexemple AES-256. Dans ce cas, vous devez reconfigurer JRE au sein desnœuds ECS pour qu’il applique la politique de longueur de clé illimitée.

Remarque

Cette opération ne doit être effectuée que si vous utilisez un type dechiffrements fort.

Si HDFS est déjà configuré, cette étape aura été effectuée dans le cadre de laconfiguration HDFS Kerberos.

6. Exécutez la commande suivante au sein du conteneur d’objet.

service storageos-dataservice restarthdfs

7. Pour configurer le client, commencez par vous assurer que son nom d’hôte peutêtre résolu.

Vous pouvez utiliser la commande hostname pour vous assurer que le nom dedomaine complet du nœud ECS est ajouté à /etc/HOSTNAME.

dataservice-10-247-142-112:~ # hostname ecsnode1.yourco.comdataservice-10-247-142-112:~ # hostname -i10.247.142.112 dataservice-10-247-142-112:~ # hostname -fecsnode1.yourco.comdataservice-10-247-142-112:~ #

8. Si votre client exécute SUSE Linux, assurez-vous que la ligneNFS_SECURITY_GSS="yes" n’est pas commentée dans /etc/sysconfig/nfs.

9. Si vous êtes sous Ubuntu, assurez-vous que la ligne NEED_GSSD=yes estprésente dans /etc/default/nfs-common.

10. Installez rpcbind et nfs-common.

Utilisez apt-get ou zypper. Sous SUSE Linux, pour nfs-common, utilisez :

zypper install yast2-nfs-common

Par défaut, ces packages sont désactivés dans le client Ubuntu.

11. Créez votre fichier de configuration Kerberos.

Dans l’exemple ci-dessous, les valeurs suivantes sont utilisées et doivent êtreremplacées par vos propres paramètres.

Realm Kerberos

Défini sur NFS-REALM dans cet exemple.



KDC

Défini sur kdcname.yourco.com dans cet exemple.

Serveur d’administration KDC

Dans cet exemple, le KDC agit en tant que serveur d’administration.

[libdefaults] default_realm = NFS-REALM.LOCAL[realms] NFS-REALM.LOCAL = { kdc = kdcname.yourco.com admin_server = kdcname.yourco.com }[logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON

12. Ajoutez une entité de sécurité d’hôte pour le client NFS et créez un fichierkeytab pour cette entité.

Dans cet exemple, le nom de domaine complet du client NFS estnfsclient.yourco.com.

$kadminkadmin> addprinc -randkey host/nfsclient.yourco.comkadmin> ktadd -k /nkclient.keytab host/nfsclient.yourco.comkadmin> exit

13. Copiez le fichier keytab (nfsclient.keytab) du KDC vers /etc/krb5.keytab sur l’ordinateur client NFS.

scp /nkclient.keytab [email protected]:/etc/krb5.keytabssh [email protected] 'chmod 644 /etc/krb5.keytab'

14. Créez une entité de sécurité pour qu’un utilisateur puisse accéder àl’exportation NFS.

$kadminkadmin> addprinc [email protected]> exit

15. Connectez-vous en tant qu’utilisateur root et ajoutez l’entrée suivante à votrefichier /etc/fstab.

HOSTNAME:MOUNTPOINT LOCALMOUNTPOINT nfs rw,user,nolock,noauto,vers=3,sec=krb5 0 0



Par exemple :

ecsnode1.yourco.com:/s3/b1 /home/kothan3/1b1nfs rw,user,nolock,noauto,vers=3,sec=krb5 0 0

16. Connectez-vous en tant qu’utilisateur non-root et exécutez kinit en tantqu’utilisateur non-root (celui que vous avez créé).

kinit [email protected]

17. Vous pouvez maintenant monter l’exportation NFS.

Remarque

Le montage en tant qu’utilisateur root ne nécessite pas l’utilisation de kinit.Toutefois, dans le cas d’un utilisateur root, l’authentification est effectuée àl’aide de l’entité de sécurité d’hôte de l’ordinateur client et non de l’entité desécurité Kerberos. Selon votre système d’exploitation, vous pouvez configurerle module d’authentification de façon à extraire le ticket Kerberos lorsque vousvous connectez. Ainsi, il n’est pas nécessaire d’extraire le ticket manuellement àl’aide de kinit et vous pouvez monter le partage NFS directement.

Enregistrement d’un nœud ECS dans Active DirectoryPour utiliser Active Directory (AD) comme KDC pour votre configuration NFSKerberos, vous devez créer des comptes pour le client et le serveur dans AD, etmapper les comptes à une entité de sécurité. Pour le serveur NFS, l’entité de sécuritéreprésente les comptes de service NFS. Pour le client NFS, l’entité de sécuritéreprésente l’ordinateur hôte client.

Avant de commencer

Vous devez disposer d’informations d’identification d’administrateur pour le contrôleurde domaine Active Directory.

Procédure

1. Connectez-vous à Active Directory.

2. Dans le Gestionnaire de serveur, accédez à Outils > Ordinateurs et utilisateursActive Directory.

3. Créez un compte utilisateur pour l’entité de sécurité NFS en utilisant le formatnfs-<host>. Par exemple : nfs-ecsnode1. Définissez le mot de passe pour qu’iln’expire jamais.

4. Créez un compte pour vous-même (action facultative à réaliser une seule fois).

5. Exécutez la commande suivante pour créer un fichier keytab pour le compte deservice NFS.

ktpass -princ nfs/<fqdn>REALM.LOCAL +rndPass -mapUser nfs-<host>@REALM.LOCAL -mapOp set -crypto All -ptypeKRB5_NT_PRINCIPAL -out filename.keytab



Par exemple, pour associer le compte nfs-ecsnode1 à l’entité de sécurité nfs/[email protected], vous pouvez générer un fichierkeytab comme suit :

ktpass -princ nfs/[email protected]+rndPass -mapUser [email protected] -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out nfs-ecsnode1.keytab

6. Importez le fichier keytab sur le nœud ECS.

ktutilktutil> rkt <keytab to import>ktutil> wkt /etc/krb5.keytab

7. Testez l’enregistrement en exécutant la commande suivante :

kinit -k nfs/<fqdn>@NFS-REALM.LOCAL

8. Affichez les informations d’identification mises en cache en exécutant lacommande klist.

9. Supprimez les informations d’identification mises en cache en exécutant lacommande kdestroy.

10. Affichez les entrées du fichier keytab en exécutant la commande klist.

Par exemple :

klist -kte /etc/krb5.keytab

11. Suivez les étapes 2 à la page 139, 4 à la page 140 et 5 à la page 141 de la sectionConfiguration d’ECS NFS avec la sécurité Kerberos à la page 139 pour placer lesfichiers de configuration Kerberos (krb5.conf, krb5.keytab et jce/unlimited) sur le nœud ECS.

Enregistrement d’un client NFS Linux dans Active DirectoryPour utiliser Active Directory (AD) comme KDC pour votre configuration NFSKerberos, vous devez créer des comptes pour le client et le serveur dans AD, etmapper les comptes à une entité de sécurité. Pour le serveur NFS, l’entité de sécuritéreprésente les comptes de service NFS. Pour le client NFS, l’entité de sécuritéreprésente l’ordinateur hôte client.

Avant de commencer

Vous devez disposer d’informations d’identification d’administrateur pour le contrôleurde domaine Active Directory.

Procédure

1. Connectez-vous à Active Directory.

2. Dans le Gestionnaire de serveur, accédez à Tools > Active Directory Users and Computers.

3. Créez un compte d’ordinateur pour la machine cliente. Par exemple : nfsclient.Définissez le mot de passe pour qu’il n’expire jamais.



4. Créez un compte pour un utilisateur (action facultative à réaliser une seule fois).

5. Exécutez la commande suivante pour créer un fichier keytab pour le compte deservice NFS.

ktpass -princ host/<fqdn>@REALM.LOCAL +rndPass -mapUser <host>@REALM.LOCAL -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out filename.keytab

Par exemple, pour associer le compte nfs-ecsnode1 à l’entité de sécurité host/[email protected], vous pouvez générer un fichierkeytab comme suit :

ktpass -princ host/[email protected] +rndPass -mapUser [email protected] -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out nfsclient.keytab

6. Importez le fichier keytab sur le nœud client.

ktutilktutil> rkt <keytab to import>ktutil> wkt /etc/krb5.keytab

7. Testez l’enregistrement en exécutant la commande suivante :

kinit -k host/<fqdn>@NFS-REALM.LOCAL

8. Affichez les informations d’identification mises en cache en exécutant lacommande klist.

9. Supprimez les informations d’identification mises en cache en exécutant lacommande kdestroy .

10. Affichez les entrées du fichier keytab en exécutant la commande klist.

Par exemple :

klist -kte /etc/krb5.keytab

11. Suivez les étapes 2 à la page 139, 4 à la page 140 et 5 à la page 141 de la section Configuration d’ECS NFS avec la sécurité Kerberos à la page 139 pour placer lesfichiers de configuration Kerberos (krb5.conf, krb5.keytab et jce/unlimited) sur le nœud ECS.

Montage d’une exportation NFS : exemple

Lorsque vous montez une exportation, il est important de respecter les pointssuivants :

l Le nom du propriétaire du bucket doit être mappé à un ID utilisateur Unix.


Montage d’une exportation NFS : exemple 145

l Un groupe par défaut doit être attribué au bucket. Pour que le groupe par défauts’affiche en tant que groupe Linux associé lorsque l’exportation est montée, unmappage entre son nom et un ID de groupe Linux doit avoir été créé.

Les étapes suivantes fournissent un exemple de procédure de montage d’uneexportation de système de fichiers ECS NFS.

1. Créez le répertoire où doit être montée l’exportation. Ce répertoire doit appartenirau même propriétaire que le bucket.Dans cet exemple, nous utilisons l’utilisateur fred pour créer le répertoire /home/fred/nfsdir où doit être montée l’exportation.

su - fredmkdir /home/fred/nfsdir

2. En tant qu’utilisateur root, montez l’exportation au point de montage du répertoireque vous avez créé.Par exemple :

mount -t nfs -o "vers=3,nolock" 10.247.179.162:/s3/tc-nfs6 /home/fred/nfsdir

Lorsque vous montez une exportation NFS, vous pouvez spécifier le nom oul’adresse IP de l’un des nœuds du VDC ou l’adresse du répartiteur de charge.

Il est important de spécifier -o "vers=3".

3. Vérifiez que vous pouvez accéder au système de fichiers en tant qu’utilisateurfred.

a. Passez à l’utilisateur fred.

$ su - fred

b. Vérifiez que vous êtes dans le répertoire dans lequel vous avez créé le point demontage.

$ pwd/home/fred

c. Affichez le contenu du répertoire.

fred@lrmh229:~$ ls -altotaldrwxr-xr-x 7 fred fredsgroup 4096 May 31 05:38 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 16 May 31 05:31 .bash_historydrwxrwxrwx 3 fred anothergroup 96 Nov 24 2015 nfsdir

Dans cet exemple, vous voyez que le propriétaire du bucket est fred et qu’ungroupe par défaut, anothergroup, est associé au bucket.

Si aucun mappage de groupe n’a été créé ou qu’aucun groupe par défaut ne soitassocié au bucket, vous ne voyez pas un nom de groupe, mais une valeurnumérique élevée, comme illustré ci-dessous.

fred@lrmh229:~$ ls -altotal



drwxr-xr-x 7 fred fredssgroup 4096 May 31 05:38 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 16 May 31 05:31 .bash_historydrwxrwxrwx 3 fred 2147483647 96 Nov 24 2015 nfsdir

Si vous avez oublié le mappage de groupe, vous pouvez résoudre ce problème encréant le mappage approprié sur le portail ECS.

Vous pouvez trouver l’ID de groupe dans /etc/group.

fred@lrmh229:~$ cat /etc/group | grep anothergroupanothergroup:x:1005:

Vous pouvez alors ajouter un mappage entre le nom et l’ID de groupe (dans cetexemple : anothergroup => ID DE GROUPE 1005).

Si vous essayez d’accéder au système de fichiers monté en tant qu’utilisateur root ouqu’un autre utilisateur qui ne dispose pas d’autorisations sur le système de fichiers, lesymbole ? s’affiche, comme illustré ci‑dessous.

root@lrmh229:~# cd /home/fredroot@lrmh229:/home/fred# ls -altotal drwxr-xr-x 8 fred fredsgroup 4096 May 31 07:00 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 1388 May 31 07:31 .bash_historyd????????? ? ? ? ? ? nfsdir

Bonnes pratiques d’utilisation d’ECS NFSLes recommandations suivantes s’appliquent au montage d’exportations ECS NFS.

Utilisation d’asyncDans la mesure du possible, utilisez l’option de montage async. Cette option réduitconsidérablement la latence et améliore le débit. Elle réduit le nombre de connexions àpartir du client.

Définition de wsize et de rsize afin de réduire le nombre d’allers-retours à partirdu clientLorsque vous prévoyez de lire et/ou d’écrire des fichiers volumineux, assurez-vousque la taille de lecture ou d’écriture des fichiers est définie correctement à l’aide desoptions de montage rsize et wsize. Il est généralement recommandé de définir lesoptions rsize et wsize sur la valeur la plus élevée possible pour réduire le nombred’allers-retours à partir du client. Cette valeur est généralement de 512 Ko(524 288 octets).

Par exemple, pour écrire un fichier de 10 Mo, si l’option wsize est définie sur 524 288(512 Ko), le client doit émettre 20 appels distincts, alors que si la taille d’écriture estdéfinie sur 32 Ko, le nombre d’appels est multiplié par 16.

Lorsque vous utilisez la commande de montage, vous pouvez indiquer la taille delecture et d’écriture à l’aide de l’argument options (-o). Par exemple :

# mount 10.247.97.129:/home /home -o "vers=3,nolock,rsize=524288,wsize=524288"


Bonnes pratiques d’utilisation d’ECS NFS 147

Autorisations pour l’accès multiprotocole (transversal)Les objets sont accessibles via NFS et à l’aide du service d’objets. Les autorisationsd’ACL (Access Control List) et les autorisations de système de fichiers sont stockéespour chaque objet.

Lorsqu’un objet est enregistré à l’aide du protocole d’objet, les autorisations associéesau propriétaire de l’objet sont mappées aux autorisations NFS, et les autorisationscorrespondantes sont stockées. De même, lorsqu’un objet est créé ou modifié viaNFS, les autorisations NFS du propriétaire sont mappées aux autorisations d’objet etstockées.

Le protocole d’objet S3 n’utilise pas le concept de groupes. Par conséquent, lesmodifications apportées à la propriété ou aux autorisations d’un groupe à partir deNFS n’ont pas besoin d’être mappées à des autorisations d’objet correspondantes.Toutefois, lorsqu’un bucket est créé ou que des objets (l’équivalent des fichiers et desrépertoires) sont créés au sein d’un bucket, ECS peut leur attribuer des autorisationsde groupe Unix afin qu’ils soient accessibles par les utilisateurs NFS.

Les attributs d’ACL suivants sont stockés pour NFS :

l Owner

l Group

l Other

Pour l’accès aux objets, les ACL suivantes sont stockées :

l Users

l Custom Groups

l Groups (Pre-defined)

l Owner (utilisateur spécifique issu de Users)

l Primary Group (groupe spécifique issu de Custom Groups)

Remarque

Vous trouverez plus d’informations sur les ACL des buckets à la section ACL desbuckets à la page 112.

Le tableau ci-dessous indique le mappage entre les attributs d’ACL NFS et lesattributs d’ACL d’objet.

Attribut d’ACL NFS Attribut d’ACL d’objet

Owner User qui est également Owner

Group Custom Group qui est également PrimaryGroup

Others Pre-Defined Group

Des exemples de ce mappage sont traités plus loin dans cette section.

Les entrées de contrôle d’accès (ACE) suivantes peuvent être allouées à chaqueattribut d’ACL.

ACE NFS :

l Read (R)



l Write (W)

l Execute (X)

ACE d’objet :

l Read (R)

l Write (W)

l Execute (X)

l ReadAcl (RA)

l WriteAcl (WA)

l Full Control (FC)

Création et modification d’un objet via NFS, et accès à l’aide du service d’objetsLorsque vous créez un objet en utilisant le protocole NFS, les autorisations RWX dupropriétaire sont mises en miroir dans l’ACL de l’utilisateur d’objets qui est désignécomme propriétaire du bucket. Si le propriétaire NFS dispose d’autorisations RWX,celles-ci sont converties en Full Control dans l’ACL de l’objet.

Les autorisations attribuées au groupe auquel appartient le répertoire ou le fichier NFSsont reflétées au niveau d’un groupe personnalisé portant le même nom, s’il existe. Lesautorisations associées à Others sont reflétées au niveau des autorisations desgroupes prédéfinis.

L’exemple ci-dessous illustre ce scénario.

NFS ACL Setting Object ACL Setting

Owner John : RWX Users John : Full ControlGroup ecsgroup : R-X ---> Custom Groups ecsgroup : R-XOther RWX Groups All_Users : R, RA Owner John Primary Group ecsgroup

Lorsqu’un utilisateur accède à ECS via NFS et modifie la propriété d’un objet, lenouveau propriétaire hérite des autorisations ACL du propriétaire précédent et reçoiten outre les autorisations Read_ACL et Write_ACL. Les autorisations du propriétaireprécédent sont conservées dans l’ACL des utilisateurs d’objets.

Lorsqu’une opération chmod est effectuée, les autorisations sont transmises de lamême manière que lors de la création d’un objet. L’autorisation Write_ACL estconservée dans le groupe et dans Others si elle existe déjà dans l’ACL de l’utilisateurd’objets.

Création et modification d’un objet à l’aide du service d’objets, et accès via NFSLorsque vous créez un objet à l’aide du service d’objets, le propriétaire de l’objet reçoitautomatiquement le contrôle total de l’objet (Full Control). Lorsque le propriétaire del’objet bénéficie d’un contrôle total, le propriétaire du fichier reçoit des autorisationsRWX. Si les autorisations du propriétaire ne sont pas définies sur Full Control, lesautorisations RWX de l’objet sont reflétées au niveau des autorisations RWX dufichier, si bien qu’un propriétaire d’objet disposant d’autorisations RX se traduit par unpropriétaire de fichier NFS avec des autorisations RX.

Le groupe principal de l’objet, qui est défini à l’aide du groupe par défaut du bucket,devient le groupe personnalisé auquel appartient l’objet, et les autorisations sontdéfinies en fonction des autorisations par défaut. Ces autorisations sont reflétées auniveau des autorisations de groupe NFS. De la même manière que pour lesautorisations du propriétaire, si le groupe personnalisé de l’objet disposed’autorisations Full Control, celles-ci deviennent des autorisations RWX pour le groupeNFS.


Autorisations pour l’accès multiprotocole (transversal) 149

Si des groupes prédéfinis sont spécifiés pour le bucket, ils sont appliqués à l’objet etsont reflétés au niveau de l’attribut Others pour les ACL NFS.

L’exemple ci-dessous illustre ce scénario.

Object ACL Setting NFS ACL Setting

Users John : Full Control Owner John : RWXCustom Groups ecsgroup : R-X ----> Group ecsgroup : R-X Groups All_Users : R, RA Other RWX Owner JohnPrimary Group ecsgroup

Si un nouveau propriétaire est attribué, les autorisations associées à ce propriétairesont appliquées à l’objet.

Récapitulatif de l’API de fichierL’accès NFS peut être configuré et géré à l’aide d’ECS Management REST API.

Le tableau ci-dessous fournit un récapitulatif de l’API disponible.

Méthode Description

POST /object/nfs/exports Crée une exportation. La charge utile indiquele chemin d’exportation, les hôtes pouvantaccéder à l’exportation et une chaîne quidéfinit les paramètres de sécurité del’exportation.

PUT/GET/DELETE /object/nfs/exports/{id} Applique l’opération sélectionnée àl’exportation spécifiée.

GET /object/nfs/exports Récupère toutes les exportations utilisateurqui ont été définies pour l’espace de nommageactuel.

POST /object/nfs/users Crée un mappage entre un nom d’utilisateurd’objets ECS ou un nom de groupe et un IDutilisateur ou un ID de groupe Unix.

PUT/GET/DELETE /object/nfs/users/{mappingid}

Applique l’opération sélectionnée au mappaged’utilisateur ou de groupe spécifié.

GET /object/nfs/users Récupère tous les mappages d’utilisateur quiont été définis pour l’espace de nommageactuel.

La documentation de l’API fournit une description détaillée de cette dernière. Ladocumentation des méthodes d’exportation NFS est disponible via Référence del’API REST de gestion d’ECS.





CHAPITRE 13

Configuration des serveurs de notificationd’événements

l Configuration des serveurs de notification d’événements (SNMP ou Syslog).. 152l Gestion des serveurs SNMP et Syslog sur le portail ECS..................................153l Ajout d’un destinataire de traps SNMP v2........................................................ 156l Ajout d’un destinataire de traps SNMP v3........................................................ 156l Ajout d’un serveur Syslog................................................................................. 158

Configuration des serveurs de notification d’événements 151

Configuration des serveurs de notification d’événements(SNMP ou Syslog)

Ajoutez des configurations de serveur SNMP et Syslog pour permettre à ECS defournir des données SNMP et Syslog à des systèmes externes à ECS.

Dans ECS, il existe deux types de serveurs de notification d’événements :

SNMP

Les serveurs SNMP (Simple Network Management Protocol), également connussous le nom d’agents SNMP, fournissent aux clients de la station de gestionréseau SNMP des données sur l’état et les statistiques des périphériques géréspar le réseau.

Pour permettre la communication entre les agents SNMP et les stations degestion de réseau SNMP, vous devez configurer les deux côtés pour qu’ilsutilisent les mêmes informations d’identification. Pour utiliser SNMP v2, les deuxcôtés doivent utiliser le même nom de communauté. Pour utiliser SNMP v3, lesdeux côtés doivent utiliser un EngineID, un nom d’utilisateur, un protocoled’authentification, une phrase de passe d’authentification, un protocole deconfidentialité et une phrase de passe de confidentialité identiques.

Pour authentifier le trafic entre les serveurs SNMP et les stations de gestionréseau SNMP à l’aide de la messagerie SNMP v3 afin de vérifier l’intégrité desmessages entre les hôtes, ECS prend en charge, via le protocole SNMP v3,l’utilisation des fonctions de hachage cryptographique suivantes :

l Message Digest 5 (MD5)

l Secure Hash Algorithm 1 (SHA-1)

Pour chiffrer le trafic entre les serveurs SNMP et les stations de gestion deréseau SNMP, ECS prend en charge le chiffrement du trafic SNMP v3 à l’aide desprotocoles de chiffrement suivants :

l Digital Encryption Standard (à l’aide de clés 56 bits)

l Advanced Encryption Standard (à l’aide de clés 128 bits, 192 bits ou 256 bits)

Remarque

La prise en charge des modes de sécurité avancée (AES192/256) fournie par lafonction de trap SNMP d’ECS peut être incompatible avec certaines cibles SNMP(par exemple, iReasoning).

Syslog

Les serveurs Syslog fournissent une méthode de stockage et de récupérationcentralisés des messages du log système. ECS prend en charge le transfert desalertes et messages d’audit sur des serveurs Syslog distants, ainsi que lesopérations à l’aide de ces protocoles d’application :

l BSD Syslog

l Syslog structuré

Les alertes et les messages d’audit envoyés aux serveurs Syslog sont égalementaffichés sur le portail ECS, à l’exception des messages Syslog au niveau dusystème d’exploitation (par exemple, les messages de connexion SSH au nœud)

Configuration des serveurs de notification d’événements


qui sont envoyés uniquement aux serveurs Syslog et ne s’affichent pas dans leportail ECS.

Chaque nœud exécute un serveur Syslog en tant que conteneur d’objets d’unfabric. Le trafic des messages s’effectue via le protocole TCP ou UDP, leprotocole UDP étant configuré par défaut.

ECS envoie des messages de journal d’audit aux serveurs Syslog, indiquantnotamment le niveau de gravité, au format suivant :${serviceType} ${eventType} ${namespace} ${userId} ${message}

ECS envoie des log d’alerte aux serveurs Syslog selon le niveau de gravité quiapparaît dans le portail ECS, au format suivant :${alertType} ${symptomCode} ${namespace} ${message}

ECS envoie des alertes de fabric au format suivant :Fabric {symptomCode} "{description}"

ECS transmet les logs du système d’exploitation aux serveurs Syslog sans aucunemodification.

Vous pouvez configurer les informations concernant les serveurs de notificationd’événements à partir du portail ECS (voir Gestion des serveurs SNMP et Syslog surle portail ECS à la page 153), à l’aide d’ECS Management REST API ou encore à l’aidede la CLI. Suivez les procédures ci-dessous pour configurer les serveurs Syslog,SNMP v3 et SNMP v2 dans ECS.

l Ajout d’un destinataire de traps SNMP v2 à la page 156

l Ajout d’un destinataire de traps SNMP v3 à la page 156

l Ajout d’un serveur Syslog à la page 158

Gestion des serveurs SNMP et Syslog sur le portail ECSLe portail ECS comprend une page Settings > Event Notification qui permet deconfigurer les serveurs SNMP.

Vous ne pouvez accéder à la page Event Notification que si vous êtes Administrateursystème (ou utilisateur root) de l’ECS.

La page Event Notification propose des outils permettant d’afficher et de configurerles cibles de serveurs SNMP et les serveurs Syslog, selon le paramétrage des boutonsde mode. Lorsque vous sélectionnez le bouton de mode SNMP, la page affiche unetable de serveurs SNMP qui répertorie les configurations de serveur SNMP ayant étécréées. Lorsque vous sélectionnez le bouton de mode Syslog, la page affiche unetable de serveurs Syslog qui répertorie les configurations de serveur Syslog ayant étécréées.

Vous trouverez ci-dessous un exemple de chacun d’eux.


Gestion des serveurs SNMP et Syslog sur le portail ECS 153

Figure 11 Page Event Notification en mode SNMP

La table des serveurs SNMP permet d’accéder aux informations et opérationssuivantes.

Attributs Description

FQDN/IP Nom de domaine complet ou adresse IP du destinataire de trapsSNMP qui exécute le serveur snmptrapd.

Port Numéro de port du snmptrapd sur le destinataire de traps SNMP.

Version Version de SNMP prise en charge par ce serveur snmptrapd.





Figure 12 Page Event Notification en mode Syslog

La table des serveurs Syslog permet d’accéder aux informations et opérationssuivantes.

Attributs Description

Protocol Protocole à utiliser pour communiquer avec le serveur Syslog (UDP ouTCP).

FQDN/IP Nom de domaine complet ou adresse IP du nœud qui exécute leserveur Syslog.

Port Numéro de port du service syslog sur le serveur Syslog.

Severity Seuil de gravité des messages à envoyer au log.



La page Event Notification permet également d’accéder aux commandes suivantes :


SNMP Le bouton de mode SNMP permet de changer de page pourprésenter des informations sur le serveur SNMP.

Syslog Le bouton de mode Syslog permet de changer de page pourprésenter des informations sur le serveur Syslog.

New Target Le bouton New Target vous permet de configurer un nouveauserveur SNMP. Cette commande apparaît uniquement pour lesserveurs SNMP.

New Server Le bouton New Server vous permet de configurer un nouveauserveur Syslog. Cette commande apparaît uniquement pour lesserveurs Syslog.


Gestion des serveurs SNMP et Syslog sur le portail ECS 155

Ajout d’un destinataire de traps SNMP v2Vous pouvez configurer des stations de gestion de réseau en tant que destinataires detraps SNMP v2 pour les traps SNMP générées par le Fabric ECS à l’aide de lamessagerie standard SNMP v2.

Avant de commencer

l Pour ajouter un destinataire de traps SNMP v2, vous devez disposer du rôled’administrateur système dans ECS. L’utilisateur root a le rôle d’administrateursystème.

l Vous devez avoir accès aux informations d’identification SNMP v2 répertoriéesdans la section Paramètres du serveur SNMP v2 à la page 156.

Procédure

1. Sur le portail ECS, sélectionnez Settings > Event Notification.

2. Saisissez les valeurs des attributs. Reportez-vous à la section Paramètres du serveur SNMP v2 à la page 156.


Paramètres du serveur SNMP v2Vous devez fournir certaines informations lorsque vous ajoutez ou modifiez uneconfiguration de serveur SNMP v2 pour un destinataire de traps SNMP v2c.

Champ Description

FQDN/IP Nom de domaine complet ou adresse IP dunœud destinataire de traps SNMP v2c quiexécute le serveur snmptrapd.

Port Numéro de port du serveur snmptrapdSNMP v2c en cours d’exécution sur la stationde gestion de réseau. Par défaut = 162.

Version Version de SNMP pour ce serveur. Utilisez lav2.

Community Name Nom de communauté SNMP. Le serveurSNMP et les stations de gestion de réseau quiy accèdent doivent utiliser le même nom decommunauté afin de garantir un trafic demessages SNMP authentique, tel que définipar les normes RFC 1157 et RFC 3584. Pardéfaut = public.

Ajout d’un destinataire de traps SNMP v3Vous pouvez configurer des stations de gestion de réseau en tant que destinataires detraps SNMP v3 pour les traps SNMP générées par le Fabric ECS à l’aide de lamessagerie standard SNMP v3.



Avant de commencer

l Pour ajouter un destinataire de traps SNMP v3, vous devez disposer du rôled’administrateur système dans ECS. L’utilisateur root a le rôle d’administrateursystème.

l Vous devez avoir accès aux informations d’identification SNMP v3 répertoriéesdans la section Paramètres du serveur SNMP v3 à la page 157.

Procédure


2. Saisissez les valeurs des attributs. Reportez-vous à la section Paramètres duserveur SNMP v3 à la page 157.


Paramètres du serveur SNMP v3Vous devez fournir certaines informations lorsque vous ajoutez ou modifiez uneconfiguration de serveur SNMP v3 pour un destinataire de traps SNMP v3.

Champ Description

FQDN/IP Nom de domaine complet ou adresse IP dunœud destinataire de traps SNMP v3 quiexécute le serveur snmptrapd.

Port Numéro de port du serveur snmptrapdSNMP v3 en cours d’exécution sur la stationde gestion de réseau. Par défaut = 162.

Version Version de SNMP pour ce serveur. Utilisez lav3.

Username Nom d’utilisateur à employer pour le traficd’authentification et de messagesconformément au modèle USM (User-basedSecurity Model) défini par la norme RFC 3414.Le serveur SNMP et les stations de gestion deréseau qui y accèdent doivent spécifier lemême nom d’utilisateur afin d’établir lacommunication. Il s’agit d’une chaîne d’octetscontenant jusqu’à 32 caractères.

Authentication Protocol Fonction de hachage cryptographique àutiliser pour vérifier l’intégrité des messagesentre les hôtes. Vous avez le choix entreMessage Digest 5 (MD5) ou Secure HashAlgorithm 1 (SHA-1). Par défaut = MD5.

Authentication Passphrase Chaîne à utiliser comme clé secrète pourl’authentification entre les hôtes standardUSM SNMP v3 lors du calcul d’un résumé demessage. La phrase de passe peut contenir16 octets pour MD5 et 20 octets pour SHA-1.

Privacy Protocol Protocole de chiffrement à utiliser pour lechiffrement de tout trafic entre les serveursSNMP et les stations de gestion de réseauSNMP. Vous avez le choix entre le protocole


Paramètres du serveur SNMP v3 157

Champ Description

Digital Encryption Standard (DES), qui utilisedes clés de 56 bits, ou Advanced EncryptionStandard, qui utilise des clés de 128 bits,192 bits ou 256 bits. Par défaut = DES.

Privacy Passphrase Chaîne à utiliser dans l’algorithme dechiffrement en tant que clé secrète pour lechiffrement entre les hôtes standard USMSNMP v3. Cette clé DOIT contenir 16 octetspour DES et davantage pour les protocolesAES.

Remarque

Lorsque vous créez la première configuration SNMP v3, le système ECS crée un ID demoteur SNMP à utiliser pour le trafic SNMP v3. La page Event Notification affichecet ID de moteur SNMP dans le champ Engine ID. Vous pouvez également obtenir unID de moteur à partir d’un outil de surveillance du réseau et spécifier cet ID de moteurdans le champ Engine ID. Point important : le serveur SNMP et les stations de gestionde réseau SNMP qui ont besoin de communiquer avec lui à l’aide du trafic SNMP v3doivent utiliser le même ID de moteur SNMP dans ce trafic.

Ajout d’un serveur SyslogVous pouvez configurer un serveur Syslog pour qu’il stocke à distance les messagesde journaux d’ECS.

Avant de commencer

l Pour ajouter un serveur Syslog, vous devez disposer du rôle d’administrateursystème dans ECS. L’utilisateur root a le rôle d’administrateur système.

l Vous devez avoir accès aux informations d’identification du serveur Syslogrépertoriées dans la section Paramètres du serveur Syslog à la page 158.

Procédure


2. Saisissez les valeurs des attributs. Reportez-vous à la section Paramètres duserveur Syslog à la page 158.


Paramètres du serveur SyslogVous devez fournir certaines informations lorsque vous ajoutez ou modifiez uneconfiguration de serveur Syslog.

Champ Description

Protocol Protocole IP à utiliser pour la communication(UDP ou TCP). Par défaut = UDP.

FQDN/IP Nom de domaine complet ou adresse IP dunœud qui exécute le serveur Syslog.



Champ Description

Port Numéro de port du serveur Syslog sur lequelvous souhaitez stocker les messages de log.Par défaut = 514.

Severity Seuil de gravité des messages à envoyer aulog. Vous pouvez choisir parmi différentsniveaux de gravité :

l Debug

l Information

l Avis

l Avertissement

l Error

l Critique

l Alert

l Urgence


Paramètres du serveur Syslog 159

CHAPITRE 14

Définition de l’URL de base

l Définition de l’URL de base...............................................................................162l Adressage de compartiment............................................................................. 162l Ajout d'une URL de base...................................................................................165

Définition de l’URL de base 161

Définition de l’URL de baseLes applications conçues pour utiliser le service Amazon S3 peuvent également êtreactivées pour utiliser le stockage en mode objet d’ECS via le paramètre de l’URL debase. L’URL de base est définie par défaut sur amazonaws.com. Cet article expliquecomment définir l’URL de base et s’assurer que les demandes sont acheminées versECS.

Les sections suivantes décrivent le schéma d’adressage pris en charge par ECS, ainsique la définition et l’utilisation du paramètre de l’URL de base de données.

l Adressage de compartiment à la page 162

l Ajout d'une URL de base à la page 165

Adressage de compartimentLe service ECS S3 permet d’identifier de différentes manières le bucket dans lequell’opération définie dans une demande doit être exécutée.

Lorsque vous utilisez le service Amazon S3, tous les noms de compartiment doiventêtre uniques. Toutefois, le service S3 ECS prend en charge l’utilisation d’un espace denommage que vous pouvez utiliser avec le nom de bucket. Cela permet d’avoir desbuckets de même nom dans des espaces de nommage distincts. Lors de l’attributiond’un espace de nommage dans chaque tenant, un tenant peut attribuer des noms decompartiment sans tenir compte des noms actuellement utilisés par les autres tenants.Si aucun espace de nommage n’est spécifié dans une demande, ECS utilise l’espace denommage par défaut associé au tenant auquel l’utilisateur ayant effectué la demandeappartient.

L’espace de nommage qui fait référence à l’emplacement d’un objet peut être spécifiédans l’en-tête x-emc-namespace d’une requête HTTP. ECS prend également encharge l’extraction de l’emplacement à partir de l’en-tête d’hôte et autorise lesschémas d’adressage compatibles Amazon S3 suivants :

l Adressage basé sur l’hôte virtuel à la page 162

l Adressage basé sur le chemin à la page 163

Adressage basé sur l’hôte virtuelDans le schéma d’adressage basé sur l’hôte virtuel, le nom de compartiment apparaîtdans le nom d’hôte. Par exemple, pour accéder au bucket mybucket sur l’hôteecs1.yourco.com, il faut saisir l’adresse suivante :

http://mybucket.ecs1.yourco.com

En outre, ECS permet également l’intégration d’un espace de nommage dansl’adresse. Par exemple :

<bucketname>.<namespace>.ecs1.yourco.com

Pour utiliser ce type d’adressage, vous devez configurer ECS de sorte qu’il sache àquelle partie de l’URL le nom de bucket correspond. Ce paramétrage s’effectue lors dela configuration de l’URL de base. En outre, vous devez vous assurer que votresystème DNS peut résoudre l’adresse. Les sections suivantes apportent desinformations complémentaires :

l Configuration DNS à la page 163

l Base URL à la page 163



Adressage basé sur le cheminDans le schéma d’adressage basé sur le chemin, le nom de compartiment est ajouté àla fin du chemin. Par exemple :

ecs1.yourco.com/mybucket

Un espace de nommage peut être spécifié à l’aide de l’en-tête x-emc-namespace.

Configuration DNSSi vous accédez au service de stockage ECS à l’aide du service S3, vous devez vousassurer que l’URL renvoie à l’adresse du nœud de données ECS ou au répartiteur decharge du nœud de données.

Si votre application utilise l'adressage basé sur le chemin, vous devez vérifier que lenom de base peut être résolu par DNS. Par exemple, si votre application envoienormalement les demandes au format ecs1.yourco.com/bucket, vous devez intégrerune entrée DNS qui renvoie ecs1.yourco.com à l’adresse IP du répartiteur de chargeutilisé pour accéder aux nœuds ECS. Si vous utilisez le service Amazon, le format del'URL est le suivant : s3-eu-west-1.amazonaws.com.

Si votre application utilise l'adressage basé sur l'hôte virtuel, l'URL inclut le nom debucket et peut inclure un espace de nommage. Dans ce cas, vous devez intégrer uneentrée DNS qui pourra résoudre l'adresse basée sur l'hôte virtuel. Pour ce faire,utilisez un caractère générique dans l'entrée DNS.

Par exemple, si votre application envoie normalement les demandes au formatbucket.s3.yourco.com, vous devez intégrer deux entrées DNS.

l ecs1.yourco.com

l *.ecs1.yourco.com

Si vous utilisez une application qui était précédemment connectée au serviceAmazon S3 et que vous utilisiez bucket.s3.amazonaws.com, le format des entrées estle suivant :

l s3.amazonaws.com

l *.s3.amazonaws.com

Ces entrées permettent de résoudre le nom de base pour l'envoi des commandes deniveau de service (par exemple, buckets de liste) ainsi que l'adresse du bucket d'hôtevirtuel.

Si vous créez un certificat SSL pour ce service, le nom du certificat doit inclurel'entrée avec le caractère générique et la propriété Autre nom de l'objet doit inclure laversion sans caractère générique.

Base URLSi vous utilisez une application S3 se servant de l’adressage basé sur l’hôte virtuel etque vous souhaitez l’utiliser pour la connexion à ECS, l’URL de base doit être définiede telle sorte que ECS sache quelle partie de l’adresse désigne le bucket et, le caséchéant, l’espace de nommage. L’URL de base peut être définie à l’aide du portail ECSou de l’ECS Management REST API. Par ailleurs, le rôle d’administrateur système ECSest requis.

La page Base URL Management affiche les URL de base qui ont été créées et lamanière dont ECS doit les utiliser.


Configuration DNS 163

Pour que ECS sache comment traiter le préfixe de l’emplacement de bucket, vousdevez choisir l’une des options suivantes lors de la configuration de l’URL de base.

l Use Base URL with namespace

l Use Base URL without namespace

Lors du traitement d’une demande, ECS va :

1. Tenter d'extraire l'espace de nommage de l'en-tête x-emc-namespace. Si cetteopération réussit, ignorez les étapes ci‑dessous et traitez la demande.

2. Récupérer le nom d'hôte de l'URL dans l'en-tête d'hôte et vérifier si la dernièrepartie de l'adresse URL correspond à l'une des URL de base configurées.

3. En cas de correspondance avec une URL de base, utiliser le préfixe du nom d'hôte(la partie restante une fois l'URL de base supprimée) pour obtenir l'emplacementde compartiment.

Les exemples suivants indiquent comment ECS gère les demandes HTTP entrantesavec différentes structures.

Exemple 1

Host: baseball.image.emc.finance.comBaseURL: finance.comUse BaseURL with namespace enabled

Namespace: emcBucket Name: baseball.image

Exemple 2

Host: baseball.image.emc.finance.comBaseURL: finance.comUse BaseURL without namespace enabled

Namespace: null (Use other methods to determine namespace)Bucket Name: baseball.image.emc

Exemple 3

Host: baseball.image.emc.finance.comBaseURL: not configured



Namespace: null (Use other methods to determine namespace.)Bucket Name: null (Use other methods to determine the bucket name.)

ECS traite cette demande comme une demande de style de chemin.

Ajout d'une URL de baseCette opération est requise uniquement si vous utilisez des clients d’objet qui codentl’emplacement, l’espace de nommage et le bucket d’un objet dans une URL. Dans cecas, vous pouvez spécifier une URL de base qui sera utilisée, avec l'espace denommage, comme chemin d'accès aux objets dans un tenant.

Avant de commencer

Cette opération requiert le rôle d’administrateur système dans ECS.

Vous devez vous assurer que le domaine spécifié dans une demande utilisant uneadresse URL pour spécifier l’emplacement d’un objet correspond à l’emplacement dunœud de données ECS ou d’un répartiteur de charge situé à l’avant des nœuds dedonnées.

Procédure

1. Sur le portail ECS Portal, sélectionnez Settings > Object Base URLs.

2. Sélectionnez New Base URL.

La page New Base URL s’affiche.

3. Saisissez le nom de l'URL de base. Des informations supplémentaires sur l'URLde base sont disponibles dans le tableau des URL de base.

4. Saisissez l'URL de base.

Si le format des URL des emplacements d'objets est le suivant : https://mybucket.mynamespace.acme.com (c’est-à-dire,bucket.namespace.baseurl ) ou https://mybucket.acme.com (c’est-à-dire, bucket.baseurl), l’URL de base est acme.com.


Ajout d'une URL de base 165

Vous pouvez spécifier le format souhaité dans le sélecteur Namespace.

5. Sélectionnez le format de codage de votre adresse d'objet dans l'URL : avec unespace de nommage ou sans espace de nommage.




CHAPITRE 15

Configuration des certificats

l À propos des certificats d’ECS......................................................................... 168l Création d’un certificat.....................................................................................168l Téléchargement d’un certificat......................................................................... 173l Vérification des certificats installés...................................................................177

Configuration des certificats 167

À propos des certificats d’ECS

ECS est fourni avec un certificat SSL installé dans le magasin de clés pour chaquenœud. Ce certificat ne sera approuvé ni par les applications qui communiquent avecECS, ni par votre navigateur lorsque vous accédez à ECS via le portail ECS.

Pour éviter aux utilisateurs de voir une erreur de certificat non approuvé et pour lesautoriser à passer directement sur le portail, ou bien pour permettre aux applicationsde communiquer avec ECS, vous devez installer un certificat signé par une autorité decertification (AC) de confiance. En attendant de disposer d’un certificat signé par uneautorité de certification, vous pouvez générer un certificat auto-signé qui peut êtreinstallé dans le magasin de certificats de toutes les machines qui accèderont à ECS.

ECS utilise deux types de certificats SSL :

Certificats de gestion

Utilisés lors de l’exécution des demandes de gestion à l’aide d’ECS ManagementREST API. Ces demandes HTTPS utilisent le port 4443.

Certificats d’objet

Utilisés pour accéder à ECS à l’aide des protocoles d’objet pris en charge. Cesdemandes HTTPS utilisent les ports 9021 (S3), 9023 (Atmos) et 9025 (Swift).

Vous pouvez télécharger un certificat auto-signé ou un certificat signé par uneautorité de certification ; sinon, dans le cas d’un certificat d’objet, vous pouvezdemander à ECS de le générer à votre place.

Ces deux types de paires de clé/certificat peuvent être téléchargés vers ECS via ECSManagement REST API sur le port 4443.

Les sections suivantes expliquent comment créer, télécharger et vérifier lescertificats :

l Création d’un certificat à la page 168

l Téléchargement d’un certificat à la page 173

l Vérification des certificats installés à la page 177

Création d’un certificat

Il existe deux façons de générer un certificat. Vous pouvez générer un certificat auto-signé ou vous en procurer un auprès d’une autorité de certification (AC). À des fins detest, le certificat auto-signé est généralement acceptable, mais vous devrez peut-êtreeffectuer quelques étapes supplémentaires pour que vos clients valident le certificat(par exemple, l’installer dans votre magasin de clés). À des fins de production, il estfortement recommandé d’utiliser un certificat signé par une autorité de certificationcar ce type de certificats peut être validé par n’importe quel client sans aucune étapesupplémentaire.

Les certificats doivent être au format d’encodage PEM x509.

Lorsque vous créez un certificat, vous spécifiez généralement le nom d’hôte où lecertificat sera utilisé. Étant donné que l’appliance ECS possède plusieurs nœuds etque chacun possède son propre nom d’hôte, l’installation d’un certificat créé pour unnom d’hôte spécifique peut entraîner une erreur d’incompatibilité de nom sur lesnœuds qui n’ont pas de nom d’hôte. Les certificats peuvent être créés avec d’autresadresses IP ou noms d’hôte appelé « noms alternatifs d’objet » (SAN).



Pour garantir une compatibilité optimale avec les protocoles d’objet, le nom commun(CN) figurant sur votre certificat doit pointer vers l’entrée DNS générique utilisée parS3, puisque S3 est le seul protocole qui utilise des buckets hébergés virtuellement (etqui, par conséquent, injecte le nom de bucket dans le nom d’hôte). Il ne peut y avoirqu’une seule entrée générique sur un certificat SSL et celle-ci doit figurer sous le nomcommun. Les autres entrées DNS de votre répartiteur de charge pour les protocolesAtmos et Swift doivent être enregistrées en tant que noms alternatifs d’objet (SAN)sur le certificat.

Les rubriques de cette section indiquent comment générer un certificat ou unedemande de certificat à l’aide d’openssl ; cependant, votre département IT peutimposer des exigences ou des procédures différentes en matière de génération decertificats.

Création d’une clé privéeCréez une clé privée. Celle-ci est requise pour signer des certificats auto-signés etpeut servir à créer des demandes de signature.

Avant de commencer

SSL utilise le chiffrement à clé publique, lequel nécessite une clé privée et une clépublique. La première étape de configuration consiste à créer une clé privée ; la clépublique est créée automatiquement, à l’aide de la clé privée, lorsque vous créez unedemande de signature de certificat ou un certificat.Les étapes ci-dessous utilisent l’outil openssl pour générer une clé privée.

Procédure

1. Connectez-vous à un nœud ECS ou à un nœud que vous pouvez connecter aucluster ECS.

2. Utilisez l’outil openssl pour générer une clé privée.

Par exemple, pour créer une clé appelée key.pem :

openssl genrsa -out key.pem 2048

3. À l’invite, saisissez la phrase de passe de la clé privée et confirmez-la.

Si vous saisissez une phrase de passe pour la clé privée, vous devez créer unecopie de la clé en supprimant la phrase de passe avant de télécharger la clé dansECS.

4. Définissez les autorisations sur le fichier de clé.

chmod 0400 key.pem

Génération d’une configuration SANSi vous souhaitez que vos certificats prennent en charge les noms alternatifs d’objets(SAN), vous devez définir ces noms dans un fichier de configuration.

OpenSSL ne vous permet pas de transmettre les noms alternatifs d’objets (SAN) via laligne de commande. Vous devez donc les ajouter au préalable à un fichier deconfiguration. Pour ce faire, vous devez rechercher votre fichier de configurationOpenSSL par défaut. Sous Ubuntu, il se trouve sous /usr/lib/ssl/openssl.cnf.


Création d’une clé privée 169

Procédure

1. Créez le fichier de configuration.

cp /usr/lib/ssl/openssl.cnf request.conf

2. Modifiez le fichier de configuration à l’aide d’un éditeur de texte et apportez lesmodifications suivantes.

a. Ajoutez les noms alternatifs [alternate_names].

Par exemple :

[ alternate_names ]DNS.1 = os.example.comDNS.2 = atmos.example.comDNS.3 = swift.example.com

Remarque

Vous devez saisir un espace entre le crochet et le nom de la section.

Si vous téléchargez les certificats sur les nœuds ECS et non sur unrépartiteur de charge, le format est le suivant :

[ alternate_names ]IP.1 = <IP node 1>IP.2 = <IP node 2>IP.3 = <IP node 3>...

b. Ajoutez les lignes suivantes dans la section [ v3_ca ] :

subjectAltName = @alternate_namesbasicConstraints = CA:FALSEkeyUsage = nonRepudiation, digitalSignature, keyEnciphermentextendedKeyUsage = serverAuth

La ligne suivante existe peut-être déjà dans cette section [ v3_ca ]. Si vouscréez une demande de signature de certificat, vous devez la commentercomme illustré ci-dessous :

#authorityKeyIdentifier=keyid:always,issuer

c. Ajoutez les lignes suivantes dans la section [ req ] :

x509_extensions = v3_ca #for self signed certreq_extensions = v3_ca #for cert signing req



d. Dans la section [CA_default], supprimez le commentaire ou ajoutez la ligne :

copy_extension=copy

Création d’une demande de signatureCréez une demande de signature que vous pouvez envoyer à une autorité decertification pour obtenir un certificat signé. Vous pouvez également utiliser lademande de signature pour créer un certificat auto-signé.

Avant de commencer

l Vous devez avoir créé une clé privée à l’aide de la procédure décrite dans lasection Création d’une clé privée à la page 169.

l Si vous avez l’intention de créer des certificats qui utilisent un SAN, vous devezcréer un fichier de configuration SAN à l’aide de la procédure décrite dans lasection Génération d’une configuration SAN à la page 169.

Procédure

1. Utilisez la clé privée pour créer une demande de signature de certificat.

Deux méthodes de création de la demande de signature sont présentées. Lapremière est utilisée si vous avez déjà préparé un fichier de configuration SANpour spécifier le nom de serveur de remplacement ; la seconde est utile si vousn’avez pas préparé ce fichier et si vous devez saisir le nom sur la ligne decommande.

Si vous utilisez SAN :

openssl req -new -key key.pem -config request.conf -out cert.csr

Sinon, utilisez :

openssl req -new -key key.pem -out cert.csr

Lorsque vous créez une demande de signature, vous êtes invité à spécifier lenom unique (DN) qui comprend un certain nombre de champs. Seul le nomcommun est requis ; vous pouvez accepter les valeurs par défaut pour les autresparamètres.

2. Aux invites, renseignez les champs de nom unique du certificat.

La plupart des champs sont facultatifs. Vous devez toutefois saisir un nomcommun (CN).

Remarque

Le nom commun doit être un nom de domaine complet. Même si vous installezle certificat sur les nœuds ECS, vous devez utiliser un nom de domaine complet,et toutes les adresses IP doivent se trouver dans la section des autres noms.

Les invites qui s’affichent sont illustrées ci-dessous :

You are about to be asked to enter information that will be


Création d’une demande de signature 171

incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:Locality Name (eg, city) []:Organization Name (eg, company) [Internet Widgits Pty Ltd]:AcmeOrganizational Unit Name (eg, section) []:Common Name (e.g. server FQDN or YOUR name) []:*.acme.comEmail Address []:

Le tableau suivant fournit davantage d’informations sur les champs de nomunique.

Name Explication Exemple

Common Name (CN) Nom de domaine complet(FQDN) de votre serveur. Ils’agit du nom que vous avezspécifié lors de l’installationde l’application virtuelle.

*.yourco.comstorage-vapp.yourco.com

Organization Raison sociale de votreorganisation Le nom ne doitpas être abrégé et doit incluredes suffixes tels que Inc.,Corp., ou LLC.

Yourco Inc.

Organizational Unit Division de votre organisationchargée de gérer le certificat.

IT Department

Locality/City État/région où votreorganisation est implantée. Lenom ne doit pas être abrégé.

Mountain View

State/Province Ville où votre organisation estimplantée.

Californie

Country Code ISO à deux lettresreprésentant le pays où votreorganisation est implantée.

US

Email address Adresse e-mail de contact devotre organisation.

[email protected]

3. Vous devrez saisir un mot de passe de sécurité et une raison sociale.

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:



Vous ne devez pas utiliser de mot de passe. Si vous le faites, vous devrez lesupprimer pour pouvoir télécharger le certificat.

Vous pouvez supprimer le mot de passe à l’aide de la commande suivante :

openssl rsa -in originalkeywithpass.key -outnewkeywithnopass.key

Résultats

Maintenant que vous disposez d’une demande de signature de certificat, vous pouvezl’envoyer à votre autorité de certification qui renverra un fichier de certificat signé. Lademande de signature peut également être utilisée pour créer un certificat auto-signé.

Création d’un certificat auto-signé à partir d’une demande de signatureCréez un certificat auto-signé.

Avant de commencer

l Vous devez avoir créé une demande de signature de certificat à l’aide de laprocédure décrite dans la section Création d’une demande de signature à la page171.

Procédure

1. Utilisez la demande de signature de certificat que vous avez générée pour créerun certificat.

openssl x509 -req -days 366 -in cert.csr -signkey key.pem -out cert.crt

2. Affichez le certificat.

openssl x509 -in cert.crt -noout -text

Exemple de sortie :

Signature oksubject=/C=US/ST=GA/L=ATL/O=ACME/OU=ENG/CN=fred/[email protected] Private key

Téléchargement d’un certificat

Les procédures suivantes vous permettent de télécharger des certificats de gestion oude données dans ECS. Quel que soit le type de certificat que vous téléchargez, vousdevrez vous authentifier auprès de l’API.

l Authentification auprès d’ECS Management REST API à la page 174

l Téléchargement d’un certificat de gestion à la page 174

l Téléchargement d’un certificat de données pour les points de terminaison d’accèsaux données à la page 176


Création d’un certificat auto-signé à partir d’une demande de signature 173

Authentification auprès d’ECS Management REST APIPour exécuter les commandes ECS Management REST API, vous devez tout d’abordvous authentifier auprès du service d’API et obtenir un jeton d’authentification.

Procédure

1. Authentifiez-vous auprès d’ECS Management REST API et récupérez le jetond’authentification que vous utiliserez pour le téléchargement ou la vérificationdes certificats à l’aide de l’API.

a. Exécutez les commandes suivantes<:hs>:

export TOKEN=`curl -s -k -v -u <user>:<password> https://$(hostname -i):4443/login 2>&1 | grep X-SDS-AUTH-TOKEN | awk '{print $2, $3}'`

Le nom d’utilisateur et le mot de passe sont ceux utilisés pour accéder auportail ECS. public_ip correspond à l’adresse IP publique du nœud.

b. Vérifiez que le token a été correctement exporté.

echo $TOKEN

Exemple de sortie :

X-SDS-AUTH-TOKEN:BAAcTGZjUjJ2Zm1iYURSUFZzKzhBSVVPQVFDRUUwPQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOjcxYjA1ZTgwLTNkNzktNDdmMC04OThhLWI2OTU4NDk1YmVmYgIADTE0NjQ3NTM2MjgzMTIDAC51cm46VG9rZW46YWMwN2Y0NGYtMjE5OS00ZjA4LTgyM2EtZTAwNTc3ZWI0NDAyAgAC0A8=

Téléchargement d’un certificat de gestionTéléchargez un certificat de gestion servant à authentifier l’accès aux points determinaison de gestion (par exemple, le portail ECS et ECS Management REST API).

Avant de commencer

l Vérifiez que vous êtes authentifié auprès d’ECS Management REST API et quevous avez stocké le token dans une variable ($TOKEN), comme décrit dans lasection Authentification auprès d’ECS Management REST API à la page 174.

l Le téléchargement est effectué à l’aide d’ECS Management REST API, et vousdevez vous assurer que l’ordinateur que vous utilisez dispose d’un client RESTapproprié (par exemple curl) et qu’il peut accéder aux nœuds ECS à l’aide d’ECSManagement REST API.

l Vérifiez que votre clé privée et votre certificat sont disponibles sur l’ordinateur àpartir duquel vous voulez effectuer le téléchargement.

Procédure

1. Assurez-vous que votre clé privée ne comporte pas de phrase de passe.Si tel est le cas, vous pouvez en créer une copie sans la phrase de passe, à l’aidede la commande suivante :

openssl rsa -in key.pem -out key_nopass.pem



2. Téléchargez le magasin de clés pour le chemin de données à l’aide de votre cléprivée et de votre certificat signé.

curl -svk -H "$TOKEN" -H "Content-type: application/xml" -H "X-EMC-REST-CLIENT: TRUE" -X PUT -d "<rotate_keycertchain><key_and_certificate><private_key>`cat <private_key>`</private_key><certificate_chain>`cat<CERTFILE.CRT>`</certificate_chain></key_and_certificate></rotate_keycertchain>" https://<ecs_node_address>:4443/vdc/keystore

Vous devez remplacer PRIVATE_KEY et CERTFILE.CRT par le chemin d’accèsaux fichiers de clé et de certificat.

3. Connectez-vous à l’un des nœuds ECS en tant qu’utilisateur admin.

4. Vérifiez que le fichier MACHINES contient tous les nœuds.

Le fichier MACHINES est utilisé par les scripts globaux ECS qui exécutent descommandes sur tous les nœuds, tels que viprexec.

Pour les versions 2.2.1 et supérieures, le fichier MACHINES se trouve sous /home/admin. Pour les versions d’ECS antérieures à 2.2.1, le fichier MACHINESse trouve sous /root.

a. Affichez le contenu du fichier MACHINES.

Pour la version 2.2.1 et les versions supérieures, utilisez :

cat /home/admin/MACHINES

Pour les versions antérieures, utilisez :

cat /root/MACHINES

b. Si le fichier MACHINES ne contient pas tous les nœuds, vous devez lerecréer.

Pour la version 3.0, utilisez :

getrackinfo -c MACHINES

Pour la version 2.2.1, utilisez :

/usr/sbin/getrackinfo -c MACHINES

Remarque

Dans la version 2.2.1, l’accès aux nœuds en tant qu’utilisateur root a étésupprimé et l’accès s’effectue via le compte d’utilisateur administrateur.

Le chemin d’accès complet à la commande getrackinfo est spécifié pourvous éviter d’avoir à utiliser sudo. En utilisant sudo, le fichier MACHINESserait détenu par l’utilisateur root.


Téléchargement d’un certificat de gestion 175

Pour les versions antérieures, utilisez :

getrackinfo -c /root/MACHINES

Vérifiez que le fichier MACHINES contient désormais tous les nœuds.

5. Redémarrez objcontrolsvc et nginx une fois que les certificats de gestion ontété appliqués.

a. Redémarrez le service d’objet.

viprexec -f ~/MACHINES -i 'pidof objcontrolsvc; kill `pidof objcontrolsvc`; sleep 60; pidof objcontrolsvc'

b. Redémarrez le service nginx.

sudo -i viprexec -i -c "/etc/init.d/nginx restart;sleep 60;/etc/init.d/nginx status"

6. Pour vérifier que le certificat a bien été téléchargé, procédez comme suit : Vérification du certificat de gestion à la page 177.

Téléchargement d’un certificat de données pour les points de terminaisond’accès aux données

Téléchargez un certificat de données que vous utiliserez pour authentifier l’accès avecS3/Atmos/Swift.

Avant de commencer


l Le téléchargement est effectué à l’aide d’ECS Management REST API. Vousdevez vous assurer que l’ordinateur utilisé dispose d’un client REST approprié(comme curl) et qu’il peut accéder aux nœuds ECS à l’aide d’ECS ManagementREST API.

l Vérifiez que votre clé privée et votre certificat sont disponibles sur l’ordinateur àpartir duquel vous voulez effectuer le téléchargement.

Procédure

1. Assurez-vous que votre clé privée ne comporte pas de phrase de passe.

Si tel est le cas, vous pouvez en créer une copie sans la phrase de passe, à l’aidede la commande suivante :

openssl rsa -in key.pem -out key_nopass.pem

2. Téléchargez le magasin de clés pour le chemin de données à l’aide de votre cléprivée et de votre certificat signé.

curl -svk -H "$TOKEN" -H "Content-type: application/xml" -H "X-EMC-REST-CLIENT: TRUE" -X PUT -d "<rotate_keycertchain><key_and_certificate><private_key>`cat <PRIVATE_KEY>`</private_key><certificate_chain>`cat



<CERTFILE.CRT>`</certificate_chain></key_and_certificate></rotate_keycertchain>" https://<ecs_node_address>:4443/object-cert/keystore

Vous devez remplacer PRIVATE_KEY et CERTFILE.CRT par les noms de fichierde clé et de certificat.

Remarque

Il est inutile de redémarrer les services lors de la modification du certificat dedonnées, car dataheadsvc redémarre automatiquement sur chaque nœud2 heures après la mise à jour du certificat.

3. Pour vérifier que le certificat a bien été téléchargé, procédez comme suit : Vérification du certificat d’objet à la page 178.

Vérification des certificats installésLe certificat d’objet et le certificat de gestion disposent chacun de leur propredemande GET d’ECS Management API afin de récupérer le certificat installé.

l Vérification du certificat de gestion à la page 177

l Vérification du certificat d’objet à la page 178

Vérification du certificat de gestionECS Management REST API fournit des méthodes permettant de récupérer lescertificats installés.

Avant de commencer


l Si vous avez redémarré les services, le certificat est disponible immédiatement.Dans le cas contraire, vous devez patienter 2 heures avant que le certificat ne soitpropagé à l’ensemble des nœuds.

Procédure

1. Utilisez la méthode GET /vdc/keystore pour renvoyer le certificat.

Avec curl, la méthode peut être exécutée comme suit :

curl -svk -H "X-SDS-AUTH-TOKEN: $TOKEN" https://x.x.x.x:4443/vdc/keystore

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><certificate_chain><chain>-----BEGIN CERTIFICATE-----MIIDgjCCAmoCCQCEDeNwcGsttTANBgkqhkiG9w0BAQUFADCBgjELMAkGA1UEBhMC VVMxCzAJBgNVBAgMAkdBMQwwCgYDVQQHDANBVEwxDDAKBgNVBAoMA0VNQzEMMAoG A1UECwwDRU5HMQ4wDAYDVQQDDAVjaHJpczEsMCoGCSqGSIb3DQEJARYdY2hyaXN0 b3BoZXIuZ2hva2FzaWFuQGVtYy5jb20wHhcNMTYwNjAxMTg0MTIyWhcNMTcwNjAy


Vérification des certificats installés 177

MTg0MTIyWjCBgjELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkdBMQwwCgYDVQQHDANB VEwxDDAKBgNVBAoMA0VNQzEMMAoGA1UECwwDRU5HMQ4wDAYDVQQDDAVjaHJpczEs MCoGCSqGSIb3DQEJARYdY2hyaXN0b3BoZXIuZ2hva2FzaWFuQGVtYy5jb20wggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDb9WtdcW5HJpIDOuTB7o7ic0RK dwA4dY/nJXrk6Ikae5zDWO8XH4noQNhAu8FnEwS5kjtBK1hGI2GEFBtLkIH49AUp c4KrMmotDmbCeHvOhNCqBLZ5JM6DACfO/elHpb2hgBENTd6zyp7mz/7MUf52s9Lb x5pRRCp1iLDw3s15iodZ5GL8pRT62puJVK1do9mPfMoL22woR3YB2++AkSdAgEFH 1XLIsFGkBsEJObbDBoEMEjEIivnTRPiyocyWki6gfLh50u9Y9B2GRzLAzIlgNiEs L/vyyrHcwOs4up9QqhAlvMn3Al01VF+OH0omQECSchBdsc/R/Bc35FAEVdmTAgMB AAEwDQYJKoZIhvcNAQEFBQADggEBAAyYcvJtEhOq+n87wukjPMgC7l9n7rgvaTmo tzpQhtt6kFoSBO7p//76DNzXRXhBDADwpUGG9S4tgHChAFu9DpHFzvnjNGGw83ht qcJ6JYgB2M3lOQAssgW4fU6VD2bfQbGRWKy9G1rPYGVsmKQ59Xeuvf/cWvplkwW2 bKnZmAbWEfE1cEOqt+5m20qGPcf45B7DPp2J+wVdDD7N8198Jj5HJBJt3T3aUEwj kvnPx1PtFM9YORKXFX2InF3UOdMs0zJUkhBZT9cJ0gASi1w0vEnx850secu1CPLF WB9G7R5qHWOXlkbAVPuFN0lTav+yrr8RgTawAcsV9LhkTTOUcqI= -----END CERTIFICATE-----</chain></certificate_chain>

2. Vous pouvez également vérifier le certificat en utilisant openssl sur tous lesnœuds.

openssl s_client -showcerts -connect <NODE_IP>:<port>

Remarque

Le port de gestion est le 4443.

Par exemple :

openssl s_client -showcerts -connect 10.1.2.3:4443

Vérification du certificat d’objetECS Management REST API fournit des méthodes permettant de récupérer lescertificats installés.

Avant de commencer


l Si vous avez redémarré les services, le certificat est disponible immédiatement.Dans le cas contraire, vous devez patienter 2 heures avant que le certificat ne soitpropagé à l’ensemble des nœuds.



Procédure

1. Utilisez la méthode GET /object-cert/keystore pour renvoyer le certificat.

Avec curl, la méthode peut être exécutée comme suit :

curl -svk -H "X-SDS-AUTH-TOKEN: $TOKEN" https://x.x.x.x:4443/object-cert/keystore

2. Vous pouvez également vérifier le certificat en utilisant openssl sur tous lesnœuds.

openssl s_client -showcerts -connect <NODE_IP>:<port>

Remarque

Les ports sont les suivants : s3 : 9021, Atmos : 9023, Swift : 9025

Par exemple :

openssl s_client -showcerts -connect 10.1.2.3:9021


Vérification du certificat d’objet 179

CHAPITRE 16

Verrouillage de l’accès à distance aux nœuds

l Verrouillage de l’accès à distance aux nœuds ...................................................182l Verrouillage et déverrouillage des nœuds..........................................................183

Verrouillage de l’accès à distance aux nœuds 181

Verrouillage de l’accès à distance aux nœuds Le portail ECS permet de verrouiller l’accès à distance aux nœuds.

Types d’accèsVous pouvez configurer ECS de plusieurs manières :

1. En utilisant le portail ECS ou ECS Management API.

2. En établissant une connexion directe à un nœud via le switch de gestion avec unposte de service et en accédant directement au système d’exploitation du nœud àl’aide de SSH ou de la CLI.

3. En établissant une connexion à distance à un nœud sur le réseau à l’aide de SSH oude la CLI pour accéder directement au système d’exploitation du nœud.

Le verrouillage des nœuds fournit une couche supplémentaire de sécurité contre toutaccès à distance aux nœuds à partir de tous les comptes. Sans le verrouillage desnœuds, les comptes au niveau du nœud dotés de privilèges, tels que les comptesadmin, service ou emc, peuvent accéder à distance aux nœuds à tout moment pourcollecter des données, configurer le matériel et exécuter des commandes Linux. Sitous les nœuds d’un cluster sont verrouillés, l’accès à distance peut être planifié pourune fenêtre définie, réduisant la possibilité d’une activité non autorisée.

Utilisez le portail ECS ou ECS Management API pour verrouiller des nœudssélectionnés dans un cluster ou tous les nœuds du cluster. Cette action affecteuniquement l’accès à distance (via SSH) aux nœuds verrouillés. Le verrouillage nemodifie pas la façon dont le portail ECS et ECS Management API accèdent aux nœudset n’a aucune incidence sur l’établissement d’une connexion directe à un nœud.

Administrateur de verrouillageLe verrouillage et le déverrouillage des nœuds relèvent de l’utilisateur défini en tantqu’Administrateur de verrouillage. L’administrateur de verrouillage est un utilisateurlocal préalablement provisionné appelé emcsecurity. Les administrateurs deverrouillage peuvent uniquement modifier leurs mots de passe et verrouiller/déverrouiller des nœuds. Le rôle d’administrateur de verrouillage ne peut être attribuéà un autre utilisateur.

Les rôles Administrateurs système et Surveillance du système peuvent afficher l’étatde verrouillage des nœuds.

Les instructions de verrouillage et de déverrouillage des nœuds sont décrites ici : Verrouillage et déverrouillage des nœuds.

MaintenanceSi la maintenance de nœud à l’aide de l’accès à distance est régulièrement requise,vous pouvez déverrouiller un seul nœud pour autoriser l’accès à distance à l’ensembledu cluster à l’aide de SSH avec le compte admin ou emc. Une fois que l’utilisateurautorisé se connecte au nœud déverrouillé à l’aide de SSH, il peut utiliser SSH à partirde ce nœud vers n’importe quel autre nœud du cluster via le réseau privé.

Vous devez également déverrouiller un nœud pour utiliser à distance les commandesqui fournissent les diagnostics en lecture seule au niveau du système d’exploitation.

AuditLes événements de verrouillage et de déverrouillage de nœud sont capturés dans lesjournaux d’audit et également envoyés à Syslog. Les erreurs dues aux tentatives deverrouillage ou de déverrouillage sont également consignées.



ECS Management APILes API suivantes vous permettent de gérer les verrous de nœud.

Ressource Description

GET /vdc/nodes Permet d’obtenir les nœuds de donnéesactuellement configurés dans le cluster

GET /vdc/lockdown Permet d’obtenir l’état verrouillé/déverrouilléd’un VDC

PUT /vdc/lockdown Définit l’état verrouillé/déverrouillé d’un VDC

PUT /vdc/nodes/{nodeName}/lockdown Définit l’état verrouillé/déverrouillé d’un nœud

GET /vdc/nodes/{nodeName}/lockdown Permet d’obtenir l’état verrouillé/déverrouilléd’un nœud

Verrouillage et déverrouillage des nœudsLe portail vous permet de verrouiller et de déverrouiller l’accès SSH à distance auxnœuds ECS.

Avant de commencer

Seul l’administrateur de verrouillage (login : emcsecurity) est autorisé à effectuercette tâche.

Le verrouillage d’un nœud empêche uniquement l’accès à distance au systèmed’exploitation du nœud par le protocole SSH ou par la CLI. Le verrouillage ou ledéverrouillage d’un nœud n’a aucun effet sur les fonctions du portail ECS ou d’ECSManagement REST API, de même qu’il n’empêche pas de se connecter directement àun nœud en local et d’utiliser ensuite SSH ou la CLI.

Procédure

1. Connectez-vous en tant qu’administrateur emcsecurity.

Si vous vous connectez pour la première fois à partir de ce compte, vous devrezmodifier le mot de passe et rouvrir une session.

2. Dans la barre de navigation de gauche, sélectionnez Settings > PlatformLocking.

L’écran répertorie les nœuds du cluster et affiche leur état de verrouillage.


Verrouillage et déverrouillage des nœuds 183

Les nœuds peuvent se trouver à différents états :

l Unlocked : affiche une icône verte en forme de cadenas ouvert,accompagnée du bouton d’action Lock.

l Locked : affiche une icône rouge en forme de cadenas fermé, accompagnéedu bouton d’action Unlock.

l Offline : affiche une icône représentant un cercle barré sans aucun boutond’action, car le nœud est inaccessible et ne permet pas de déterminer l’étatdu verrouillage.

3. Sélectionnez :

Option Description

Lock Permet de verrouiller un nœud déverrouillé. Tout utilisateur qui estactuellement connecté à distance via SSH ou la CLI disposed’environ cinq minutes pour quitter la session avant la fermeturede cette dernière. Un message d’arrêt imminent s’affiche surl’écran du terminal de l’utilisateur.

Unlock Permet de déverrouiller un nœud verrouillé. Un utilisateurdisposant de privilèges peut désormais se connecter au nœud àdistance via SSH ou la CLI au bout de quelques minutes.

Lock theVDC

Cette fonctionnalité pratique permet de verrouiller tous les nœudsdéverrouillés dans le VDC tant qu’ils sont en ligne. Cette option nesignifie pas qu’un nouveau nœud ou un nœud hors ligne seraautomatiquement verrouillé une fois détecté.



PARTIE 3

Monitor

Chapitre 17, « Principes de base de la surveillance »

Chapitre 18, « Surveillance du suivi d’utilisation »

Chapitre 19, « Surveillance des événements »

Chapitre 20, « Surveillance de l’utilisation de la capacité »

Chapitre 21, « Surveillance des metrics de trafic »

Chapitre 22, « Surveillance de l’état de santé du matériel »

Chapitre 23, « Surveillance de l’état de santé des nœuds et des processus »

Chapitre 24, « Surveillance du récapitulatif des fragments »

Chapitre 25, « Surveillance du codage d’effacement »

Chapitre 26, « Surveillance de l’état de la restauration »

Chapitre 27, « Surveillance de la bande passante disque »

Chapitre 28, « Surveillance de la géoréplication »

Chapitre 29, « Logs des services »

Monitor 185

Monitor


CHAPITRE 17

Principes de base de la surveillance

l Utilisation des pages de surveillance................................................................. 188

Principes de base de la surveillance 187

Utilisation des pages de surveillancePrésente les techniques d’utilisation de base des pages de surveillance accessibles surle portail ECS.

Les pages de surveillance du portail ECS partagent un certain nombre de fonctionscommunes. Elles sont les suivantes :

l Refresh : l’icône d’actualisation sert à mettre à jour l’affichage des pages desurveillance avec les données les plus récentes.Figure 13 Actualisation

l Filter : renseignez les champs de filtre, spécifiez une plage de dates, puis cliquezsur Filter pour afficher les lignes de résultats correspondant à tous les champs defiltre. La plage de dates par défaut est toujours comprise entre hier et aujourd’hui.

l Navigation grâce aux fils d’Ariane : les fils d’Ariane permettent de revenirrapidement en arrière dans l’arborescence des vues de détail parcourues.Reportez-vous à la figure Navigation à l’aide des fils d’Ariane ci-dessous.

l Graphiques d’historique avec survol de gauche à droite à l’aide de la souris :graphiques détaillés représentant un relevé horaire des données sur les cinqderniers jours. Vous pouvez parcourir ces graphiques en utilisant la souris en tantque curseur graphique de gauche à droite. Un exemple est présenté ci-dessous.Reportez-vous à la figure Graphique historique avec curseur actif ci-dessous.

Le filtre de surveillance standard vous permet d’affiner les résultats par date et heure.Il est disponible sur plusieurs pages de surveillance. Certaines pages comportent destypes de filtres supplémentaires. Sélectionnez une plage horaire et une plage de dates,puis cliquez sur Apply. Le panneau Filter se ferme et le contenu de la page est mis àjour. Sélectionnez l’icône en forme d’épingle pour que le panneau Filter reste ouvertaprès l’application du filtre.

Figure 14 Panneau Filter ouvert avec des critères sélectionnés

Lorsque le panneau Filter se ferme, un récapitulatif du filtre appliqué s’affiche, ainsiqu’une commande Clear Filter et une commande Refresh.

Figure 15 Panneau Filter fermé affichant un récapitulatif du filtre appliqué

Le texte en surbrillance sur une ligne de tableau correspond à un lien vers une vue dedétail. La sélection du lien permet d’accéder au niveau de détail inférieur suivant. Lesvues de détail contiennent un chemin indiquant votre position actuelle dans laséquence des pages parcourues. Ce chemin est appelé « fil d’Ariane ». Vous pouvezsélectionner n’importe quel fil d’Ariane en surbrillance pour accéder directement à lavue associée.



Figure 16 Navigation à l’aide des fils d’Ariane

Lorsque vous cliquez sur un bouton History, tous les graphiques disponibles pourcette ligne s’affichent sous le tableau. Si vous survolez un graphique de gauche àdroite à l’aide de la souris, une ligne verticale s’affiche et vous aide à trouver un pointde données correspondant à une date/heure spécifique sur le graphique. Une fenêtrecontextuelle affiche la valeur et l’horodatage de ce point de données.


Utilisation des pages de surveillance 189

Figure 17 Graphique historique avec curseur actif



CHAPITRE 18

Surveillance du suivi d’utilisation

l Surveillance des données de suivi d’utilisation.................................................. 192

Surveillance du suivi d’utilisation 191

Surveillance des données de suivi d’utilisationExplique comment afficher les données de suivi d’utilisation des espaces de nommageou des buckets qu’ils contiennent pour la période spécifiée.

Les données de suivi d’utilisation disponibles sont détaillées à la section Données desuivi d’utilisation à la page 193.

ECS Management REST API permet d’extraire les données par programmation à l’aidede clients personnalisés. Cette fonction, ainsi que des fonctions de gestion destenants, sont décrites à la section Gestion d’un tenant. La Référence del’ECS Management REST API est accessible ici.

Procédure

1. Sur le portail ECS, sélectionnez Monitor > Metering.

2. Dans le menu Date Time Range, sélectionnez la période pour laquelle voussouhaitez afficher les données de suivi d’utilisation. Sélectionnez Current pourafficher les données de suivi d’utilisation actuelles. Sélectionnez Custom pourspécifier une plage de dates/heures personnalisée.

Si vous sélectionnez Custom, définissez la période à considérer pour le suivid’utilisation à l’aide des calendriers From et To.

Les données de suivi d’utilisation sont conservées pendant 60 jours.

3. Sélectionnez l’espace de nommage pour lequel afficher les données de suivid’utilisation. Pour restreindre la liste des espaces de nommage, saisissez lesdeux premières lettres de l’espace de nommage cible, puis cliquez sur l’icônereprésentant une loupe.

Si vous êtes administrateur d’espace de nommage, vous pouvez uniquementchoisir votre espace de nommage.

4. Cliquez sur l’icône + en regard de chaque espace de nommage dont voussouhaitez afficher les données d’objet.

5. Si vous le souhaitez, cliquez sur l’icône + en regard de chaque bucket dont voussouhaitez afficher les données d’objet.

Pour restreindre la liste des buckets, saisissez les deux premières lettres dubucket cible, puis cliquez sur l’icône représentant une loupe.

À défaut, les données de suivi d’utilisation des objets porteront sur l’ensembledes buckets de l’espace de nommage.




Figure 18 Page Metering avec des critères sélectionnés

6. Cliquez sur Apply pour afficher les données de suivi d’utilisation de l’espace denommage et du bucket sélectionnés sur la période spécifiée.

Données de suivi d’utilisationLa page du portail ECS Monitor > Metering fournit des données de suivi d’utilisationdes objets pour l’espace de nommage spécifié, ou le bucket spécifié d’un espace denommage, sur la période définie.

Les informations de suivi d’utilisation qui sont fournies sont indiquées dans le tableauci-dessous.

Tableau 8 Suivi d’utilisation du bucket et de l’espace de nommage


Total Size (GB) Taille totale des objets stockés dans l’espace de nommage oule bucket sélectionné au terme de la période spécifiée dans lefiltre.

Object Count Nombre d’objets associés à l’espace de nommage ou aubucket sélectionné au terme de la période spécifiée dans lefiltre.

Objects Created Nombre d’objets créés dans l’espace de nommage ou lebucket sélectionné sur la période définie.


Données de suivi d’utilisation 193

Tableau 8 Suivi d’utilisation du bucket et de l’espace de nommage (suite)


Objects Deleted Nombre d’objets supprimés de l’espace de nommage ou dubucket sélectionné sur la période définie.

Bandwidth Ingress (MB) Volume total de données d’objet entrantes (écritures) pourl’espace de nommage ou le bucket sélectionné sur la périodedéfinie.

Bandwidth Egress (MB) Volume total de données d’objet sortantes (lectures) pourl’espace de nommage ou le bucket sélectionné sur la périodedéfinie.

Remarque

Les données de suivi d’utilisation ne sont pas immédiatement accessibles, car lacollecte des statistiques sur les données qui sont supprimées du système, ou lui sontajoutées, est un processus long.



CHAPITRE 19

Surveillance des événements

l À propos de la surveillance des événements..................................................... 196l Surveillance des données d’audit...................................................................... 196l Surveiller les alertes..........................................................................................197

Surveillance des événements 195

À propos de la surveillance des événementsDécrit les fonctionnalités de surveillance des événements du portail ECS.

La page Events du menu Monitor affiche les éléments suivants :

l Panneau Audit : toutes les activités des utilisateurs sur le portail, dans ECS RESTAPI et dans la CLI ECS.

l Panneau Alerts : alertes déclenchées par le système ECS.

Les données des événements accessibles via le portail ECS sont limitées à 30 jours. Sivous avez besoin de conserver les données liées aux événements pendant pluslongtemps, envisagez d’utiliser ViPR SRM.

Surveillance des données d’auditUtilisez le panneau Audit de la page Events pour afficher et gérer les données d’audit.

Reportez-vous à l’annexe A : Messages d’audit.

Procédure

1. Sélectionnez Audit.

2. Si vous le souhaitez, sélectionnez Filter.

3. Spécifiez une période dans Date Time Range, puis ajustez les champs de dateet heure de début et de fin sous From et To.

4. Sélectionnez un espace de nommage sous Namespace.

5. Cliquez sur Apply.



Surveiller les alertesUtilisez le panneau Alerts de la page Events pour afficher et gérer les alertes système.

Reportez-vous à l’annexe A : Messages d’alerte.

Les libellés des niveaux de gravité des messages d’alerte ont les significationssuivantes :

l CRITICAL : messages relatifs à des conditions qui nécessitent une attentionimmédiate.

l ERROR: messages relatifs à des conditions d’erreur signalant une défaillancephysique ou logicielle.

l WARNING: messages relatifs à des conditions qui ne sont pas optimales.

l INFO: messages d’état de routine.

Procédure

1. Sélectionnez Alerts.

2. Si vous le souhaitez, cliquez sur Filter.

3. Appliquez les filtres de votre choix. Le filtre d’alertes ajoute un filtrage par Severity et par type, ainsi qu’une option Show Acknowledged Alerts qui maintient l’affichage d’une alerte même après qu’elle a été acquittée par l’utilisateur.


Surveiller les alertes 197

Les types d’alertes doivent être saisis exactement tels qu’ils sont indiqués dansle tableau ci-dessous :

Tableau 9 Types d’alertes

Alerte (saisissez exactement lenom tel qu’indiqué)

Description

Licence Déclenchée pour les alertes de capacité ou delicence.

Notify Déclenchée pour les alertes diverses.

Fabric Déclenchée en cas de détection de problèmes liésau système.

BUCKET_HARD_QUOTA_EXCEEDED Déclenchée lorsque le quota d’un bucket estdépassé.

NAMESPACE_HARD_QUOTA_EXCEEDED

Déclenchée lorsque le quota d’un espace denommage est dépassé.

DTSTATUS_RECENT_FAILURE Déclenchée lorsque l’état d’une table de donnéesest défectueux.

CHUNK_NOT_FOUND Déclenchée lorsque les données de fragment sontintrouvables.

FILE_NOT_FOUND Déclenchée lorsqu’un fichier est introuvable.

FILE_DATA_CORRUPTED Déclenchée lorsqu’un fichier contient des donnéescorrompues.

VPOOL_FREE_SPACE_CRITICAL Déclenchée lorsque le pool de stockage est saturé à90 % ou plus.



4. Sélectionnez un espace de nommage sous Namespace.

5. Cliquez sur Apply.

6. En regard de chaque événement, cliquez sur le bouton Acknowledge pouraccuser réception du message et le fermer (si le filtre Show AcknowledgedAlerts n’est pas sélectionné).


Surveiller les alertes 199

CHAPITRE 20

Surveillance de l’utilisation de la capacité

l Surveillance de la capacité............................................................................... 202

Surveillance de l’utilisation de la capacité 201

Surveillance de la capacitéVous pouvez surveiller le taux d’utilisation de la capacité des pools de stockage, desnœuds et des disques.

Les tableaux et les vues d’historique sur la capacité sont présentés à la section Données sur la capacité de stockage à la page 202. Chaque tableau est associé à unevue d’historique présentant l’évolution des données du tableau dans le temps.

ECS Management REST API permet d’extraire les données par programmation à l’aidede clients personnalisés. Cette fonction, ainsi que des fonctions de gestion destenants, sont décrites à la section Gestion d’un tenant. La Référence del’ECS Management REST API est accessible ici.

Procédure

1. Sur le portail ECS, sélectionnez Monitor > Capacity Utilization.

2. Vous pouvez afficher le détail des nœuds et des disques individuels ensélectionnant le lien approprié dans le tableau.

Des conseils de navigation dans les tableaux sont fournis à la section Utilisationdes pages de surveillance à la page 188.

3. Il est possible d’afficher l’évolution de la capacité au fil du temps en cliquant surHistory pour le pool de stockage, le nœud ou le disque qui vous intéresse.

Données sur la capacité de stockageLa page Monitor > Capacity Utilization permet d’afficher la capacité de stockage despools de stockage, des nœuds et des disques.

Les différentes zones relatives à l’utilisation de la capacité sont décrites dans lessections suivantes :

l Storage Pool Capacity à la page 202

l Node Capacity Utilization à la page 204

l Disk Capacity Utilization à la page 205

Les valeurs du tableau représentent les valeurs actuelles lorsque le filtre Current estsélectionné, ou les valeurs moyennes du metric sur la période sélectionnée dans lefiltre.

Storage Pool Capacity

Tableau 10 Utilisation de la capacité : Pool de stockage


Storage Pool Nom du pool de stockage.

Nodes (Online) Nombre de nœuds contenus dans le pool de stockage, suivi dunombre de ces nœuds qui sont actuellement en ligne. Cliquezsur le nombre de nœuds pour ouvrir : Node CapacityUtilization à la page 204.

Online Nodes with SufficientDisk Space

Nombre de nœuds en ligne ayant suffisamment d’espacedisque pour accepter de nouvelles données. Si un nombre tropimportant de disques sont trop encombrés pour accepter de




Tableau 10 Utilisation de la capacité : Pool de stockage (suite)


nouvelles données, les performances du système peuvent s’entrouver affectées.

Disks (Online) Nombre de disques contenus dans le pool de stockage, suividu nombre de ces disques qui sont actuellement en ligne.

Online Usable Capacity Capacité utile totale du pool de stockage actuellement enligne. Il s’agit de la capacité totale déjà utilisée et de lacapacité disponible pouvant être allouée.

Online Used Capacity Capacité en ligne utilisée dans le pool de stockage.

Online Available Capacity Capacité en ligne disponible pour utilisation.

Offline Capacity Capacité totale actuellement hors ligne.

Actions History affiche une représentation graphique des données. Si

le filtre Current est sélectionné, le bouton History affichel’historique par défaut pour les dernières 24 heures.

La vue d’historique correspondant au tableau sur l’utilisation de la capacité du pool destockage est illustrée ci-dessous.


Données sur la capacité de stockage 203

Node Capacity Utilization

Tableau 11 Utilisation de la capacité : Nœud


Nodes Adresse IP du nœud.

Disks Nombre de disques associés au nœud. Cliquez sur le nombre de nœuds pour ouvrir : Disk Capacity Utilization à la page 205.

Online Usable Capacity Capacité utile en ligne totale fournie par les disques en lignedu nœud. Il s’agit de la capacité totale déjà utilisée et de lacapacité disponible pouvant être allouée.

Online Used Capacity Capacité en ligne utilisée dans le nœud.

Online Available Capacity Capacité en ligne disponible restante dans le nœud.

Offline Capacity Capacité totale du nœud actuellement hors ligne.

Online Status Indique si le nœud est en ligne ou hors ligne. Une cocheindique que le nœud est à l’état Good.



La vue d’historique correspondant au tableau sur l’utilisation de la capacité du nœudest illustrée ci-dessous.



Disk Capacity Utilization

Tableau 12 Utilisation de la capacité : Disque


Disks Identifiant de disque.

Usable Capacity Capacité utile fournie par le disque.

Used Capacity Capacité utilisée sur le disque.

Available Capacity Capacité disponible restante sur le disque.

Online Status Indique si le disque est en ligne ou hors ligne. Une cocheindique que le disque est à l’état Good.




Données sur la capacité de stockage 205

La vue d’historique correspondant au tableau sur l’utilisation de la capacité de disqueest illustrée ci-dessous.



CHAPITRE 21

Surveillance des metrics de trafic

l Surveillance du trafic réseau............................................................................ 208

Surveillance des metrics de trafic 207

Surveillance du trafic réseauDécrit la page de surveillance du trafic réseau sur le portail ECS.

La page Monitor > Traffic Metrics fournit des metrics de trafic réseau au niveau dudatacenter virtuel ou de nœuds individuels. Les graphiques représentent les donnéesdes sept derniers jours.Les valeurs du tableau représentent les valeurs actuelles lorsque le filtre Current estsélectionné, ou les valeurs moyennes du metric sur la période sélectionnée dans lefiltre.

Tableau 13 Metrics de trafic réseau

Intitulé de la metric Description

VDC Cliquez sur un nom de VDC pour afficher desmetrics de trafic par nœud.

Read Latency (ms) Latence moyenne des lectures enmillisecondes.

Write Latency (ms) Latence moyenne des écritures enmillisecondes.

Read Bandwidth Bande passante en lecture.

Write Bandwidth Bande passante en écriture.

Read Transactions (per second) Transactions de lecture par seconde.

Write Transactions (per second) Transactions d’écriture par seconde.

History History affiche une représentation graphiquedes données.

Si le filtre Current est sélectionné, le boutonHistory affiche l’historique par défaut pour lesdernières 24 heures.

Procédure

1. Sélectionnez Monitor > Traffic Metrics.

2. Localisez le nom du datacenter virtuel (VDC) cible.

3. Au besoin, cliquez sur le nom du VDC pour afficher la vue de détail des nœuds.

4. Sélectionnez le bouton History du VDC ou nœud cible.



Figure 19 Graphiques du trafic réseau d’un VDC

5. Sélectionnez le panneau Failures by type.

Le panneau Failures by type d’ECS répertorie le code d’erreur en présentant enpremier le code le plus fréquent. L’utilisateur a la possibilité d’effectuer un trisur n’importe quelle colonne.


Surveillance du trafic réseau 209

Les erreurs des utilisateurs sont des types d’erreurs connus provenant des en-têtes (généralement un code d’erreur HTTP de 4xx).

Les erreurs système sont des demandes en échec associées à des erreursmatérielles ou de service (généralement un code d’erreur HTTP de 5xx).



CHAPITRE 22

Surveillance de l’état de santé du matériel

l Surveillance des composants matériels.............................................................212

Surveillance de l’état de santé du matériel 211

Surveillance des composants matérielsExplique comment utiliser la page Monitor > Hardware Health.

Les composants matériels peuvent se trouver dans l’un des états suivants :

l Good : le composant matériel fonctionne normalement.

l Suspect : la dégradation des metrics de performances indique que l’état ducomposant matériel est en train de passer de « Good » à « Bad », un composantmatériel de niveau inférieur présente un problème ou bien des problèmes deconnectivité empêchent le système de détecter le composant matériel.

l Bad : le composant matériel doit être remplacé.

Dans le cas de disques, la signification des cinq différents états est la suivante :

l Good : le système lit et écrit activement sur le disque.

l Suspect : le système ne peut plus écrire de données sur le disque, mais peut lireson contenu. Notez qu’une série de disques à l’état « Suspect » est généralementle signe de problèmes de connectivité au niveau du nœud. Ces disques repassent àl’état « Good » une fois les problèmes de connectivité résolus.

l Bad : le système ne peut plus lire ni écrire de données sur le disque. Remplacez ledisque. Une fois un disque identifié à l’état « Bad » par le système ECS, il n’estplus utilisable dans le système ECS. En cas de panne d’un disque, le mécanisme deprotection des données d’ECS crée une copie de son contenu sur d’autres disquesdu système. Par conséquent, un disque à l’état « Bad » est synonyme de perte decapacité pour le système et non de perte de données. Une fois le disque remplacé,les données ne sont pas restaurées sur le nouveau disque. Il est uniquement utilisépar le système en tant que capacité brute.

l Missing : le disque est un disque connu qui est inaccessible actuellement. Le disquepeut être en cours de changement d’état, déconnecté, ou extrait.

l Removed : disque qui a fait l’objet d’une restauration par le système et qui a étéretiré de la liste de disques valides du moteur de stockage.

Procédure

1. Sélectionnez Monitor > Hardware Health.

2. Recherchez la ligne du tableau correspondant au pool de stockage cible.

3. Au besoin, cliquez sur un nom de pool de stockage pour afficher la vue de détaildes nœuds.

4. Au besoin, sélectionnez un point de terminaison de nœud pour afficher la vue dedétail des disques.



Figure 20 Intégrité du matériel des nœuds


Surveillance des composants matériels 213

CHAPITRE 23

Surveillance de l’état de santé des nœuds etdes processus

l Surveillance de l’état de santé des nœuds et des processus............................. 216

Surveillance de l’état de santé des nœuds et des processus 215

Surveillance de l’état de santé des nœuds et des processusDécrit la page de surveillance de l’état de santé des nœuds et des processus sur leportail ECS.

La page Monitor > Node & Process Health fournit des metrics qui vous aident àévaluer l’état de santé d’un VDC, d’un nœud ou d’un processus de nœud.Les valeurs du tableau représentent les valeurs actuelles lorsque le filtre Current estsélectionné, ou les valeurs moyennes du metric sur la période sélectionnée dans lefiltre.

Tableau 14 Metrics du VDC, du nœud et du processus

Intitulé de la metric Niveau Description

Avg. NIC Bandwidth VDC et nœud Bande passante moyennede la carte réseau utiliséepar le VDC ou le nœudsélectionné.

Avg. CPU Usage (%) VDC et nœud Pourcentage moyen deCPU matériel utilisé parle VDC ou le nœudsélectionné.

Avg. Memory Usage VDC et nœud Utilisation moyenne de lamémoire agrégée dontdispose le VDC ou lenœud.

Relative NIC (%) VDC et nœud Pourcentage de bandepassante de la carteréseau utilisé par le VDCou le nœud sélectionné.

Relative Memory (%) VDC et nœud Pourcentage de mémoireutilisé par rapport à laquantité disponible pourle VDC ou le nœudsélectionné.

CPU (%) Process Pourcentage de CPUutilisé par le processussur le nœud.

Memory Usage Process Mémoire utilisée par leprocessus.

Relative Memory (%) Process Pourcentage de mémoireutilisé par rapport à laquantité disponible pourle processus.

Avg. # Thread Process Nombre moyen dethreads utilisés par leprocessus.

Surveillance de l’état de santé des nœuds et des processus


Tableau 14 Metrics du VDC, du nœud et du processus (suite)

Intitulé de la metric Niveau Description

Last Restart Process Dernière date deredémarrage duprocessus sur le nœud.

Actions Toutes History affiche unereprésentation graphiquedes données.

Si le filtre Current estsélectionné, le boutonHistory affichel’historique par défautpour les dernières24 heures.

Procédure

1. Localisez la ligne du tableau correspondant au VDC cible.

2. Au besoin, sélectionnez le nom du VDC pour accéder à un tableau contenant deslignes pour chaque nœud du VDC.

3. Au besoin, sélectionnez un point de terminaison de nœud pour accéder à untableau contenant des lignes pour chaque processus s’exécutant sur le nœud.

4. Cliquez sur le bouton History du VDC, nœud ou processus cible.


Surveillance de l’état de santé des nœuds et des processus 217

Figure 21 État de santé des nœuds et des processus



CHAPITRE 24

Surveillance du récapitulatif des fragments

l Surveillance des fragments.............................................................................. 220

Surveillance du récapitulatif des fragments 219

Surveillance des fragmentsDécrit la page de surveillance des fragments du portail ECS.

Cette page contient des statistiques liées aux fragments scellés au sein de la zonelocale. Un fragment scellé est un élément qui n’accepte plus d’écritures. Il estimmuable.

Tableau 15 Tables des fragments

Tableau Description :

Chunk Count of Each Type Affiche le nombre et le pourcentage defragments scellés pour les différents types defragments et pour chacun des pools destockage configurés dans la zone locale.

Total Length of Each Chunk Type Affiche la taille logique totale des fragmentsscellés pour les différents types de fragmentset pour chacun des pools de stockageconfigurés dans la zone locale.

Avg Sealed Length of Each Type Affiche la taille logique moyenne desfragments scellés pour les différents types defragments et pour chacun des pools destockage configurés dans la zone locale.

Tableau 16 Metrics des fragments


Storage pool Cette colonne contient la liste des pools destockage configurés dans le VDC local.Chaque ligne fournit des metrics concernantles fragments pour le pool de stockagespécifié.

User data Cette colonne fournit des donnéespertinentes concernant les fragments dedonnées utilisateur (référentiel) situés dans lepool de stockage.

Metadata Cette colonne fournit des donnéespertinentes concernant les fragments demétadonnées système situés dans le pool destockage.

Geo data Ces fragments contiennent des réplicas dedonnées issues d’autres zones (VDC). Il enexiste trois types :

l Copies geo : fragments répliqués à partird’autres sites.

l XOR : fragments résultant du décodageXOR des fragments d’origine



Tableau 16 Metrics des fragments (suite)


l Cache geo : fragment temporairenécessaire pour faciliter les opérations delecture lorsque le site ne dispose pas d’unoriginal ou d’une copie d’un fragmentrequis.

XOR Ces fragments économisent l’espace disqueen utilisant l’algorithme XOR pour compresserles données d’autres fragments et lesremplacer par un fragment XOR.Ce champ fournit des données pertinentesconcernant les fragments XOR situés dans lepool de stockage.

Total Nombre total de fragments dans le pool destockage.

Figure 22 Chunk Summary


Surveillance des fragments 221

CHAPITRE 25

Surveillance du codage d’effacement

l Surveillance du codage d’effacement...............................................................224


Surveillance du codage d’effacementExplique comment utiliser la page Monitor > Erasure Coding.

La page relative au codage d’effacement permet de surveiller la quantité totale dedonnées utilisateur et de données auxquelles le code d’effacement a été appliqué dansle pool de stockage local. Elle indique également les données en attente de codaged’effacement, la vitesse de traitement, ainsi que l’heure de fin estimée de l’opération.Les graphiques représentent sept jours de données.


Tableau 17 Metrics de codage d’effacement

Colonne Description

Storage Pool

Total Data for Erasure Coding Taille logique totale de tous les fragments dedonnées du pool de stockage qui sont soumisau codage d’effacement (EC).

Total Data Erasure Coded Taille logique totale de tous les fragmentsauxquels le code d’effacement a été appliquédans le pool de stockage.

% Erasure Coded Data Pourcentage de données du pool de stockageauxquelles le code d’effacement a étéappliqué.

Rate of Erasure Coding Vitesse de traitement des données en attentede codage d’effacement.

Est Time to Complete Temps d’exécution estimé sur la base de lavitesse actuelle du codage d’effacement.

Actions History affiche une représentation graphiquedes données.


Procédure

1. Sélectionnez Monitor > Erasure Coding.


3. Cliquez sur le bouton History.



CHAPITRE 26

Surveillance de l’état de la restauration

l Surveillance de l’état de la restauration............................................................228

Surveillance de l’état de la restauration 227

Surveillance de l’état de la restaurationExplique comment utiliser la page Monitor > Recovery Status.

La restauration est le processus de reconstruction des données après un problèmelocal quelconque se traduisant par des données incorrectes (fragments). Ce tableaucontient une ligne pour chacun des pools de stockage de la zone locale.


Tableau 18 Metrics de restauration

Colonne Description

Storage Pool Répertorie chacun des pools de stockage de lazone locale.

Total Amount Data to be Recovered Si le filtre Current est sélectionné, il s’agit dela taille logique des données qui restent àrestaurer.Lorsque le filtre appliqué représente une

période historique, l’option Total AmountData to be Recovered désigne la quantitémoyenne de données en attente derestauration pendant cette périodesélectionnée.

Par exemple, si le premier snapshot horaireindiquait qu’il restait 400 Go de données àrestaurer au cours d’un laps de tempshistorique et que tous les autres snapshotsindiquaient 0 Go de données en attente derestauration, la valeur de ce champ serait de400 Go divisé par le nombre total desnapshots horaires au cours de la période.

Recovery Rate Vitesse à laquelle les données sont restauréesdans le pool de stockage spécifié.

Time to Completion Temps estimé requis pour mener à bien larestauration, extrapolé à partir de la vitesse derestauration actuelle.



Procédure

1. Sélectionnez Monitor > Recovery Status.




3. Cliquez sur le bouton History.


Surveillance de l’état de la restauration 229

CHAPITRE 27

Surveillance de la bande passante disque

l Surveillance de la bande passante disque......................................................... 232

Surveillance de la bande passante disque 231

Surveillance de la bande passante disqueDécrit la page de surveillance de la bande passante disque sur le portail ECS.

La page Monitor > Disk bandwidth fournit des metrics sur le taux d’utilisation desdisques au niveau du datacenter virtuel (VDC) ou de nœuds individuels. Les opérationsde lecture et les opérations d’écriture s’affichent sur une ligne distincte pour chaqueVDC ou nœud. Les graphiques représentent les données des sept derniers jours.Les valeurs de la table représentent les valeurs actuelles lorsque le filtre Current estsélectionné, ou les valeurs moyennes du metric sur la période sélectionnée dans lefiltre.

Tableau 19 Metrics de bande passante disque


Total Bande passante disque totale utilisée pour lesopérations de lecture ou d’écriture.

Hardware Recovery Bande passante disque utilisée pour restaurerles données après des pannes matérielles.

Erasure Encoding Bande passante disque utilisée par lesopérations de codage d’effacement dusystème.

XOR Bande passante disque utilisée par lesopérations XOR de protection des données dusystème. Notez que les opérations XORconcernent les systèmes déployés sur aumoins trois sites (VDC).

Consistency Checker Bande passante disque utilisée pour vérifierles incohérences entre les données protégéeset leurs réplicas.

Geo Bande passante disque utilisée pour prendreen charge les opérations de géoréplication.

User Traffic Bande passante disque utilisée par lesutilisateurs d’objets.



Procédure

1. Sélectionnez Monitor > Disk Bandwidth.

2. Localisez le nom du VDC cible, et la ligne de tableau « Read » ou « Write »associée à ce VDC.

3. Au besoin, sélectionnez Node Count pour accéder à un tableau contenant deslignes pour les nœuds du VDC.

4. Cliquez sur le bouton History du VDC ou d’un nœud.



Figure 23 Bande passante du disque


Surveillance de la bande passante disque 233

CHAPITRE 28

Surveillance de la géoréplication

l Présentation de la surveillance de la géoréplication..........................................236l Surveillance de la géoréplication : vitesse et fragments................................... 236l Surveillance de la géoréplication : objectif de point de restauration (RPO)...... 237l Surveillance de la géoréplication : traitement du basculement sur incident...... 238l Surveillance de la géoréplication : traitement des données d’amorçage........... 239

Surveillance de la géoréplication 235

Présentation de la surveillance de la géoréplicationDécrit les quatre types de surveillance de la géo-réplication.

La surveillance de la géoréplication comprend quatre pages différentes :

l Vitesse et fragments

l Objectif de point de restauration (RPO)

l Basculement sur incident

l Traitement des données d’amorçage

Surveillance de la géoréplication : vitesse et fragmentsDécrit les metrics de surveillance figurant à la page ECS Portal Monitor > Geo-Replication > Rate and Chunks.

Cette page fournit des metrics fondamentaux concernant le trafic réseau lié à unegéoréplication et les fragments en attente de réplication par le groupe de réplicationou la zone distante (VDC).

Tableau 20 Colonnes Rate and Chunks

Colonne Description

Replication Group Répertorie les groupes de réplication auxquelscette zone (VDC) participe. Cliquez sur ungroupe de réplication pour afficher un tableaudes zones distantes de ce groupe, ainsi queleurs statistiques. Cliquez sur le lien

Replication Groups au-dessus du tableaupour revenir à la vue par défaut.

Write Traffic Vitesse actuelle des écritures pour toutes leszones distantes du groupe de réplication oupour l’une d’elles.

Read Traffic Vitesse actuelle des lectures pour toutes leszones distantes du groupe de réplication oupour l’une d’elles.

User Data Pending Replication Taille logique totale des données utilisateur enattente de réplication pour le groupe deréplication ou la zone distante.

Metadata Pending Replication Taille logique totale des métadonnées enattente de réplication pour le groupe deréplication ou la zone distante.

Data Pending XOR Taille logique totale de toutes les données enattente de traitement par l’algorithme decompression XOR dans la zone locale pour legroupe de réplication ou la zone distante.



Figure 24 Géoréplication : vitesse et fragments

Surveillance de la géoréplication : objectif de point derestauration (RPO)

Décrit les champs de tableau figurant à la page ECS Portal Monitor > Geo-Replication > RPO.

L’objectif de point de restauration (RPO) fait référence au point dans le temps auquelvous pouvez restaurer les données. La valeur indiquée ici correspond aux données lesplus anciennes risquant d’être perdues en cas de défaillance d’un VDC local avant quela réplication soit terminée.

Tableau 21 Colonnes liées au RPO

Colonne Description

Remote Replication Group\Remote Zone Au niveau du VDC, répertorie tous les groupesde réplication à distance auxquels participe lazone locale. Au niveau du groupe deréplication, cette colonne répertorie les zonesdistantes du groupe de réplication. Lesdonnées affichées sont les identificateurssystème des VDC ou des groupes deréplication sous la forme d’URN.

Overall RPO (minutes) Période récente dont les données risquentd’être perdues en cas de défaillance d’unezone locale.


Surveillance de la géoréplication : objectif de point de restauration (RPO) 237

Figure 25 RPO

Surveillance de la géoréplication : traitement dubasculement sur incident

Décrit les metrics figurant à la page ECS Portal Monitor > Geo-Replication > FailoverProcessing.

La page Failover Processing fournit des metrics concernant le processus dereréplication des données suite à une défaillance permanente d’une zone distante.

Tableau 22 Colonnes liées au basculement sur incident

Champ Description :

Replication Group Répertorie les groupes de réplication dont lazone locale est membre. Les donnéesaffichées sont les identificateurs système desgroupes de réplication sous la forme d’URN.

Failed Zone Identifie une zone en échec qui fait partie dugroupe de réplication.

User Data Pending Re-replication Les fragments qui étaient auparavantrépliqués vers la zone en échec doivent êtrererépliqués vers une autre zone. Ce champindique la taille logique de l’ensemble desfragments de données utilisateur (référentiel)en attente de reréplication vers une autrezone au lieu de la zone en échec.

Metadata Pending Re-replication Les fragments qui étaient auparavantrépliqués vers la zone en échec doivent êtrererépliqués vers une autre zone. Ce champindique la taille logique de l’ensemble desfragments de données système en attente dereréplication vers une autre zone au lieu de lazone en échec.

Data Pending XOR Decoding Affiche le nombre et la taille logique totale desfragments en attente de récupération par lemécanisme de compression XOR.



Tableau 22 Colonnes liées au basculement sur incident (suite)

Champ Description :

Failover State l BLIND_REPLAY_DONE

l REPLICATION_CHECK_DONE : leprocessus qui s’assure que tous lesfragments de réplication sont dans unétat acceptable s’est terminé avecsuccès.

l CONSISTENCY_CHECK_DONE : leprocessus qui s’assure que toutes lesmétadonnées système sont cohérentesavec les autres données répliquées s’estterminé avec succès.

l ZONE_SYNC_DONE : la synchronisationde la zone en échec s’est terminée avecsuccès.

l ZONE_BOOTSTRAP_DONE : leprocessus bootstrap au niveau de la zoneen échec s’est terminé avec succès.

l ZONE_FAILOVER_DONE : le processusbootstrap s’est terminé avec succès.

Failover Progress Indicateur en pourcentage de l’état général du processus de basculement sur incident.

Figure 26 Basculement sur incident

Surveillance de la géoréplication : traitement des donnéesd’amorçage

Décrit les metrics de surveillance figurant à la page ECS Portal Monitor > GeoReplication > Bootstrap Processing.

Le processus d’amorçage consiste à copier les métadonnées nécessaires dans ungroupe de réplication qui a ajouté une zone.


Surveillance de la géoréplication : traitement des données d’amorçage 239

Tableau 23 Colonnes liées au traitement des données d’amorçage

Colonne Description

Replication Group Cette colonne contient la liste des groupes deréplication auxquels la zone locale participeavec les nouvelles zones en cours d’ajout.Chaque ligne fournit des metrics pour legroupe de réplication spécifié.

Added Zone Zone en cours d’ajout pour le groupe deréplication spécifié.

User Data Pending Replication Taille logique de l’ensemble des fragments dedonnées utilisateur (référentiel) en attente deréplication vers la nouvelle zone ajoutée.

Metadata Pending Replication Taille logique de l’ensemble des métadonnéessystème en attente de réplication vers lanouvelle zone ajoutée.

Bootstrap State l Started : le système a commencé àpréparer l’ajout de la zone au groupe deréplication.

l BlindReplayDone

l ReplicationCheckDone : le processus quis’assure que tous les fragments deréplication sont dans un état acceptables’est terminé avec succès.

l ConsistencyCheckDone : le processus quis’assure que toutes les métadonnéessystème sont cohérentes avec les autresdonnées répliquées s’est terminé avecsuccès.

l ZoneSyncDone : la synchronisation de lazone en échec s’est terminée avecsuccès.

l ZoneBootstrapDone : le processusbootstrap au niveau de la zone en échecs’est terminé avec succès.

l Done : le processus bootstrap s’estintégralement terminé avec succès.

Bootstrap Progress (%) Niveau de progression en pourcentage del’ensemble du processus bootstrap.



Figure 27 Traitement des données d’amorçage


Surveillance de la géoréplication : traitement des données d’amorçage 241

CHAPITRE 29

Logs des services

l Logs des services............................................................................................. 244l Emplacement des logs de services ECS........................................................... 244

Logs des services 243

Logs des servicesDécrit l’emplacement et le fonctionnement des logs des services ECS.

Les administrateurs de stockage peuvent accéder aux logs des services ECS s’ilspossèdent l’autorisation d’établir une connexion SSH à un nœud et d’accéder aux logs.Utiliser les pages de surveillance du portail ECS constitue généralement une meilleuremanière d’appréhender l’état du système.

Emplacement des logs de services ECSDécrit l’emplacement et le contenu des logs de services ECS.

Vous pouvez accéder directement aux logs de services ECS en établissant uneconnexion SSH à un nœud. Passez au répertoire suivant : /opt/emc/caspian/fabric/agent/services/object/main/log pour rechercher les logs desservices d’objet :

l authsvc.log : consigne des informations provenant du serviced'authentification.

l blobsvc*.log : ces logs consignent des informations sur le service BLOB.

l cassvc*.log : ces logs consignent des informations sur le service CAS.

l coordinatorsvc.log : consigne des informations provenant du service decoordination.

l ecsportalsvc.log : consigne des informations provenant du service du portailECS.

l eventsvc*.log : ces logs consignent des informations sur le service desévénements. Ces informations sont disponibles dans le menu Monitoring du portailECS.

l hdfssvc*.log : ces logs consignent des informations sur le service HDFS.

l objcontrolsvc.log : consigne des informations provenant du service d'objet.

l objheadsvc*.log : ces logs consignent des informations sur les différents en-têtes d’objet pris en charge par le service d’objet.

l provisionsvc*.log : ces logs consignent des informations sur le service deprovisionnement ECS.

l resourcesvc*.log : ces logs consignent des informations relatives à desressources globales, telles que les espaces de nommage, les buckets, lesutilisateurs d’objets, etc.

l dataheadsvc*.log : ces logs consignent des informations sur les en-têtesd’objet pris en charge par le service d’objet, le service de fichiers pris en chargepar HDFS et le service CAS.

Logs des services


ANNEXE A

Messages d’audit et d’alerte

l Messages d’audit............................................................................................. 246l Messages d’alerte............................................................................................ 252

245

Messages d’auditListe des messages d’audit utilisés par ECS.

Tableau 24 Messages d’audit dans ECS

Service Élément d’audit Message d’audit

Alert sent_alert Alert \"${alertMessage}\"with symptom code ${symptomCode} triggered

Auth Provider new_authentication_provider_added

New authentication provider${resourceId} added

Auth Provider authentication_provider_deleted

Authentication provider ${resourceId} deleted

Auth Provider authentication_provider_updated

Existing Authenticationprovider ${resourceId}updated

Bucket bucket_created Bucket ${resourceId} hasbeen created

Bucket bucket_deleted Bucket ${resourceId} hasbeen deleted

Bucket bucket_updated Bucket ${resourceId} hasbeen updated

Bucket bucket_ACL_set Bucket ${resourceId} ACLshave changed

Bucket bucket_owner_changed Owner of ${resourceId}bucket has changed

Bucket bucket_versioning_set Versioning has been enabledon ${resourceId} bucket

Bucket bucket_versioning_unset Versioning has beensuspended on ${resourceId}bucket

Bucket bucket_versioning_source_set

Bucket ${resourceId}versioning source set

Bucket bucket_metadata_set Metadata on ${resourceId}bucket has been changed

Bucket bucket_head_metadata_set Bucket ${resourceId} headmetadata set

Bucket bucket_expiration_policy_set Bucket ${resourceId}expiration policy has updated

Bucket bucket_expiration_policy_deleted

Bucket ${resourceId}expiration policy has beendeleted


Tableau 24 Messages d’audit dans ECS (suite)


Bucket bucket_cors_config_set Bucket ${resourceId} CORSrules have been changed

Bucket bucket_cors_config_deleted Bucket ${resourceId} CORSrules have been deleted

Bucket notification_size_exceeded_on_bucket

Notification size has beenexceeded on ${resourceId}bucket

Bucket block_size_exceeded_on_bucket

Block size has been exceededon ${resourceId} bucket

Bucket bucket_set_quota Bucket ${resourceId} quotahas been updated withnotification size as ${notificationSize} and blocksize as ${blockSize}

Cluster cluster_set Cluster id ${resourceId} hasbeen set

License user_added_license License ${resourceId} hasbeen added

License managed_capacity_exceeded Managed capacity hasexceeded licensed ${resourceId} capacity

License license_expired License ${resourceId} hasexpired

Local user domain_group_mapping_created

Domain group ${resourceId}to ${roles} role(s) mapping isadded

Local user domain_group_mapping_created_no_roles

Domain group ${resourceId}without role mappings isadded

Local user domain_group_mapping_updated

Domain group ${resourceId}roles mapping is changed to ${roles} role(s)

Local user domain_group_mapping_updated_no_roles

All roles of domain group ${resourceId} mapping havebeen removed

Local user domain_user_mapping_created

Domain user ${resourceId} to${roles} role(s) mapping isadded

Local user domain_user_mapping_created_no_roles

Domain user ${resourceId}without role mappings isadded

Local user domain_user_mapping_deleted

Domain user ${resourceId}mapping is removed

Messages d’audit 247



Local user domain_user_mapping_updated

Domain user ${resourceId}role mapping is changed to ${roles} role(s)

Local user domain_user_mapping_updated_no_roles

All roles of domain user ${resourceId} mapping havebeen removed

Local user local_user_created Management user ${resourceId} with ${roles}role(s)has been created

Local user local_user_created_no_roles Management user ${resourceId} without roles hasbeen created

Local user local_user_deleted Management user ${resourceId} has been deleted

Local user local_user_password_changed

Credential of managementuser ${resourceId} haschanged

Local user local_user_updated Roles of management user ${resourceId} have beenchanged to ${roles}

Local user local_user_roles_updated_no_roles

All roles of management user${resourceId} have beenremoved

Locked vdc_lock_successful VDC lock was successful

Locked vdc_lock_failed VDC lock failed

Locked node_lock_successful Lock successful for node ${resourceId}

Locked node_lock_failed Lock failed for node ${resourceId}

Locked node_unlock_successful Unlock successful for node ${resourceId}

Locked node_unlock_failed Unlock failed for node ${resourceId}

Login login_successful User ${resourceId} logged insuccessfully

Login login_failed User ${resourceId} failed tologin

Login user_token_logout User logged out token ${resourceId}

Login user_logout All user tokens have loggedout




Namespace block_size_exceeded_on_namespace

Block size has been exceededon ${resourceId} namespace

Namespace namespace_admin_group_mappings_updated

Namespace ${resourceId}admin group mappingsupdated to following groups:${groups}

Namespace namespace_admin_group_mappings_updated_no_groups

Namespace ${resourceId}admin groups mappingsupdated to an empty list

Namespace namespace_admin_user_mappings_updated

Namespace ${resourceId}admin mappings updated tofollowing users: ${admins}

Namespace namespace_admin_user_mappings_updated_no_admins

Namespace ${resourceId}admin mappings updated toan empty list

Namespace namespace_created Namespace ${resourceId} hasbeen created

Namespace namespace_deleted Namespace ${resourceId} hasbeen deleted

Namespace namespace_updated Namespace ${resourceId} hasbeen updated

Namespace notification_size_exceeded_on_namespace

Notification size has beenexceeded on ${resourceId}namespace

NFS ugmapping_created ${type} mapping ${ugMappingName} --> ${resourceId} has beencreated

NFS ugmapping_deleted ${type} mapping ${ugMappingName} --> ${resourceId} has been deleted

NFS export_created Export with export path ${exportPath} has beencreated

NFS export_deleted Export with export path ${exportPath} has beendeleted

NFS export_updated Export with export path ${exportPath} has beenupdated

Replication Group replication_group_created Replication Group ${resourceId} has beencreated




Replication Group replication_group_updated Replication Group ${resourceId} has beenupdated

Security command_exec_insufficient_permission

Attempt to execute acommand ${command} from${host} without rightpermissions

SNMP snmp_v2_target_created SNMP target ${snmpTarget}with Community '${community}' is added

SNMP snmp_v3_target_created SNMP target ${snmpTarget}with Username '${username}',Authentication(${authProtocol}) andPrivacy(${privProtocol})

SNMP snmp_target_deleted SNMP target ${snmpTarget}is deleted

SNMP snmp_engineid_updated SNMP agent EngineID is setto ${engineId}

SNMP snmp_v2_target_updated SNMP target ${oldSnmpTarget} is updatedas ${newSnmpTarget} withCommunity string ${community}

SNMP snmp_v3_target_updated SNMP target ${oldSnmpTarget} is updatedas ${newSnmpTarget} withUsername ${username},Authentication(${authProtocol}) andPrivacy(${privProtocol})

Storage pool storage_pool_created Storage Pool ${resourceId}has been created

Storage Pool storage_pool_deleted Storage Pool ${resourceId}has been deleted

Storage Pool storage_pool_updated Storage Pool ${resourceId}has been updated

Syslog syslog_server_added Syslog server ${protocol}://${host}:${port} with severity ${severity} is added into theconfiguration

Syslog syslog_server_updated Syslog server ${old_protocol}://${old_host}:${old_port} is




updated to ${protocol}://${host}:${port} with severity ${severity} in the configuration

Syslog syslog_server_deleted Syslog server ${protocol}://${host}:${port} is removedfrom the configuration

Transformation transformation_created_message

Transformation created

Transformation transformation_updated_message

Transformation updated

Transformation transformation_pre_check_started_message

Transformation precheckstarted

Transformation transformation_enumeration_started_message

Transformation enumerationstarted

Transformation transformation_indexing_started_message

Transformation indexingstarted

Transformation transformation_migration_started_message

Transformation migrationstarted

Transformation transformation_recovery_migration_started_message

Transformation recoverymigration started

Transformation transformation_reconciliation_started_message

Transformation reconciliationstarted

Transformation transformation_sources_updated_message

Transformation sourcesupdated

Transformation transformation_deleted_message

Transformation deleted

Transformation transformation_retried_message

Transformation %s retried

Transformation transformation_canceled_message

Transformation %s canceled

Transformation transformation_profile_mappings_updated_message

Transformation profilemappings updated

User user_created Object user ${resourceId} hasbeen created

User user_deleted Object user ${resourceId} hasbeen deleted

User user_set_password New password has been setfor object user ${resourceId}

User user_delete_password Password has been deletedfor object user ${resourceId}




User user_set_metadata New metadata has been setfor object user ${resourceId}

User user_locked Object user ${resourceId} hasbeen locked

User user_unlocked Object user ${resourceId} hasbeen unlocked

Messages d’alerteListe des messages d’alerte utilisés par ECS.

Les libellés des niveaux de gravité des messages d’alerte ont les significationssuivantes :

l CRITICAL : messages relatifs à des conditions qui nécessitent une attentionimmédiate.

l ERROR: messages relatifs à des conditions d’erreur signalant une défaillancephysique ou logicielle.

l WARNING: messages relatifs à des conditions qui ne sont pas optimales.

l INFO: messages d’état de routine.

Tableau 25 Messages d’alerte relatifs aux objets dans ECS

Alerte Gravité Destinataire Message Description :

Bucket hardquota

ERROR Portail, API HardQuotaLimitExceeded: bucket{bucket_name}

Capacityexceededthreshold

WARNING Portail, API, ESRS Used Capacityexceededconfiguredthreshold, currentusage is {usage}%

Chunk notfound

ERROR Portail, API, ESRS chunkId {chunkId}not found

DT init failure ERROR Portail, API, ESRS There are morethan {number} DTsfailed or DT statscheck failed in last{number} roundsof DT status check

DT désigne unetable de répertoire.

Licenseexpiration

INFO Portail, API, ESRS Expiration event

Licenseregistration

INFO Portail, API, ESRS Registration Event


Tableau 25 Messages d’alerte relatifs aux objets dans ECS (suite)

Alerte Gravité Destinataire Message Description :

Namespacehard quota

ERROR Portail, API HardQuotaLimitExceeded:Namespace{namespace}

VDC in TSO CRITICAL Portail, API Site {vdc} ismarked astemporarilyunavailable

Tableau 26 Messages d’alerte relatifs au fabric dans ECS

Alerte Gravité Destinataire Message Description

Disk added INFO Portail, API, trapSNMP, Syslog

Disk{diskSerialNumber}on node {fqdn}was added

Le disque a étéajouté.

Disk failure CRITICAL Portail, API, trapSNMP, Syslog,ESRS

Disk{diskSerialNumber}on node {fqdn} hasfailed

L’état du disqueest passé à BAD.

Disk good INFO Portail, API, trapSNMP, Syslog

Disk{diskSerialNumber}on node {fqdn}was revived

Le disque a étéréactivé

Disk removed INFO Portail, API, trapSNMP, Syslog

Disk{diskSerialNumber}on node {fqdn}was removed

Le disque a étésupprimé.

Disk suspect ERROR Portail, API, trapSNMP, Syslog,ESRS

Disk{diskSerialNumber}on node {fqdn} hassuspected

L’état du disqueest passé àSUSPECT.

Dockercontainerconfigurationfailure

CRITICAL Portail, API, trapSNMP, Syslog,ESRS

Container{containerName}configuration hasfailed on node{fqdn} with exitcode {exitCode}{happenedOn}

Le script deconfiguration arenvoyé un code desortie non nul

Dockercontainerpaused

WARNING Portail, API, trapSNMP, Syslog

Container{containerName}has paused onnode {fqdn}

Le conteneur estinterrompu.

Messages d’alerte 253

Tableau 26 Messages d’alerte relatifs au fabric dans ECS (suite)


Dockercontainerrunning

INFO Portail, API, trapSNMP, Syslog

Container{containerName} isup on node {fqdn}

Le conteneur estpassé à l’état encours d’exécution.

Dockercontainerstopped

ERROR Portail, API, trapSNMP, Syslog

Container{containerName}has stopped onnode {fqdn}

Le conteneur estarrêté.

Fabric agentfailure


FabricAgent hasfailed on node{fqdn}(FabricAgentFailure Event)

L’état de l’agent defabric est passé àBAD.

Fabric agentsuspect

ERROR Portail, API, trapSNMP, Syslog,ESRS

FabricAgent hassuspected on node{fqdn}(FabricAgentSuspect Event )

L’état de l’agent defabric est passé àSUSPECT.

Net interfacehealth down


Net interface{netInterfaceName} with ip address{ipAddress} isdown on node{fqdn}

L’interface réseaudu fabric estdéfaillante

Net interfacehealth up


Net interface{netInterfaceName} with ip address{ipAddress} is upon node {fqdn}

L’interface réseaudu fabric est active

Net interfacepermanentdown

CRITICAL Portail, API, ESRS Net interface{netInterfaceName} with ip address{ipAddress} ispermanently downon node {fqdn}

L’interface réseauest arrêtéependant au moins10 minutes

Net interfaceIP addressupdated


Net interface's{netInterfaceName} ip address onnode {fqdn} waschanged from{oldIpAddress} to{newIpAddress}

L’adresse IP del’interface réseaudu fabric a étémodifiée

Node failure CRITICAL Portail, API, trapSNMP, Syslog,ESRS

Node {fqdn} hasfailed (ServiceHealth FailureEvent)

Le nœud estinaccessible depuis30 minutes.


Tableau 26 Messages d’alerte relatifs au fabric dans ECS (suite)


Node suspect ERROR Portail, API, trapSNMP, Syslog,ESRS

Node {fqdn} hassuspected failure(Node SuspectEvent)

Le nœud estinaccessible depuis15 minutes.

Node up INFO Portail, API, trapSNMP, Syslog

Node {fqdn} is up Le nœud est passéà l’état actif aprèsavoir été arrêtépendant au moins15 minutes.

Service failure CRITICAL Portail, API, trapSNMP, Syslog,ESRS

Service{serviceName} hasfailed on node{fqdn}

L’état du service(fabric/objet) estpassé à BAD.

Servicesuspect

ERROR Portail, API, trapSNMP, Syslog,ESRS

: Service{serviceName} hassuspected on node{fqdn}

L’état du service(fabric/objet) estpassé à SUSPECT.

Slotpermanentdown


Container{containerName} ispermanently downon node {fqdn}

Le conteneur estarrêté/interrompuou n’a pas du toutdémarré depuis aumoins 10 minutes.

Messages d’alerte 255

ANNEXE B

Prise en charge du protocole SNMP par ECS

l Prise en charge du protocole SNMP dans ECS................................................ 258l Bases de données MIB SNMP prises en charge pour l’interrogation dans ECS 258l Hiérarchie des ID d’objet SNMP ECS-MIB et définition des bases de données

MIB.................................................................................................................. 259

257

Prise en charge du protocole SNMP dans ECSTypes de serveurs SNMP pris en charge dans ECS.

ECS prend en charge le protocole SNMP (Simple Network Management Protocol) deplusieurs manières :

l Au cours du processus d’installation, le personnel d’EMC peut configurer etdémarrer un serveur snmpd pour prendre en charge la surveillance spécifique desmetrics au niveau du nœud ECS. Une station de gestion de réseau peut interrogerces serveurs snmpd au niveau du noyau pour recueillir directement desinformations, à partir des nœuds ECS, concernant l’utilisation du CPU et de lamémoire, conformément à la définition donnée par les bases de données MIBstandard. Pour obtenir la liste des bases de données MIB pour lesquelles ECSprend en charge les requêtes SNMP, reportez-vous à la section Bases de donnéesMIB SNMP prises en charge pour l’interrogation dans ECS à la page 258.

l La couche de cycle de vie ECS Fabric comprend une bibliothèque snmp4j qui secomporte à la manière d’un serveur SNMP pour générer des traps SNMP v2 et v3et les envoyer à dix stations de gestion de réseau distinctes destinataires des trapsSNMP. Pour plus d’informations sur les bases de données MIB prises en chargepar ECS en tant que traps SNMP, reportez-vous à la section Hiérarchie des IDd’objet SNMP ECS-MIB et définition des bases de données MIB à la page 259.Utilisez l’interface utilisateur Event Notification dans le portail ECS pourconfigurer les détails relatifs aux serveurs destinataires de traps. Pour plusd’informations, reportez-vous à la section Configuration des serveurs denotification d’événements (SNMP ou Syslog) à la page 152.

Bases de données MIB SNMP prises en charge pourl’interrogation dans ECS

Liste des bases de données MIB SNMP standard prises en charge pour l’interrogationpar le serveur snmpd au niveau du nœud pouvant s’exécuter sur chaque nœud ECS.

ECS prend en charge les requêtes de base des stations de gestion de réseau pour lesbases de données MIB SNMP suivantes :

l MIB-2

l DISMAN-EVENT-MIB

l HOST-RESOURCES-MIB

l UCD-SNMP-MIB

À l’aide d’une station de gestion SNMP ou d’un logiciel équivalent, vous pouvezinterroger les nœuds ECS pour obtenir les informations de base suivantes :

l Utilisation du CPU

l Utilisation de la mémoire

l Nombre de processus en cours d’exécution


Hiérarchie des ID d’objet SNMP ECS-MIB et définition desbases de données MIB

Hiérarchie OID SNMP et définition SNMP MIB-II complète pour la base de donnéesMIB d’entreprise appelée ECS-MIB.

Hiérarchie des ID d’objet SNMP de la base de données ECS-MIBLa base de données MIB d’entreprise SNMP appelée « ECS-MIB » définit diversobjets et inclut les traps SNMP prises en charge associés à la gestion du matériel del’appliance ECS. Les objets contenus dans la base de données ECS-MIB adoptent lahiérarchie suivante :

emc.............................1.3.6.1.4.1.1139 ecs.........................1.3.6.1.4.1.1139.102 trapAlarmNotification...1.3.6.1.4.1.1139.102.1.1 notifyTimestamp.....1.3.6.1.4.1.1139.102.0.1.1 notifySeverity......1.3.6.1.4.1.1139.102.0.1.2 notifyType..........1.3.6.1.4.1.1139.102.0.1.3 notifyDescription...1.3.6.1.4.1.1139.102.0.1.4

Remarque

ECS envoie des traps à partir du conteneur de cycle de vie du Fabric à l’aide desservices fournis par la bibliothèque Java snmp4j.

Définition SNMP MIB-II complète pour la base de données ECS-MIB.La syntaxe MIB suivante définit la base de données MIB d’entreprise SNMP appelée« ECS-MIB » :

ECS-MIB DEFINITIONS ::= BEGIN IMPORTS enterprises, Counter32, OBJECT-TYPE, MODULE-IDENTITY, NOTIFICATION-TYPE FROM SNMPv2-SMI; ecs MODULE-IDENTITY LAST-UPDATED "201605161234Z" ORGANIZATION "EMC ECS" CONTACT-INFO "EMC Corporation 176 South Street Hopkinton, MA 01748" DESCRIPTION "The EMC ECS Manager MIB module" ::= { emc 102 } emc OBJECT IDENTIFIER ::= { enterprises 1139 } -- Top level groups notificationData OBJECT IDENTIFIER ::= { ecs 0 } notificationTrap OBJECT IDENTIFIER ::= { ecs 1 } -- The notificationData group -- The members of this group are the OIDs for VarBinds -- that contain notification data. genericNotify OBJECT IDENTIFIER ::= { notificationData 1 } notifyTimestamp OBJECT-TYPE SYNTAX Counter32 MAX-ACCESS read-only

Hiérarchie des ID d’objet SNMP ECS-MIB et définition des bases de données MIB 259

STATUS currentDESCRIPTION "The timestamp of the notification"

::= { genericNotify 1 }

notifySeverity OBJECT-TYPESYNTAX INTEGER {

informational (1),warning (2),error (3),critical (4)

}MAX-ACCESS read-onlySTATUS currentDESCRIPTION "The severity level of the event is indicated

by an integer number in the range from 1 to 3"::= { genericNotify 2 }

notifyType OBJECT-TYPESYNTAX OCTET STRINGMAX-ACCESS read-onlySTATUS currentDESCRIPTION "A type of the event"


notifyDescription OBJECT-TYPESYNTAX OCTET STRINGMAX-ACCESS read-onlySTATUS currentDESCRIPTION "A complete description of the event"


-- The SNMP trap-- The definition of these objects mimics the SNMPv2 convention

for-- sending traps. The enterprise OID gets appended with a 0-- and then with the specific trap code.

trapAlarmNotification NOTIFICATION-TYPEOBJECTS {

notifyTimestamp,notifySeverity,notifyType,notifyDescription,

}STATUS currentDESCRIPTION "This trap identifies a problem on the ECS. The

description can be used to describe the nature of the change"::= { notificationTrap 1 }

END

Vous pouvez télécharger la définition d’ECS-MIB (fichier ECS_MIB.mib) disponibleparmi les modules complémentaires dans la rubrique de téléchargements du site desupport en ligne.

Exemples de messages de trap SNMPVoici un exemple de message de trap élaboré en réponse à une alerte Disk Failure envoyée sur la page Monitor > Events > Alerts du portail ECS au format : Disk{diskSerialNumber} on node {fqdn} has failed:

2016-08-12 01:33:22 lviprbig248141.lss.emc.com [UDP:[10.249.248.141]:39116->[10.249.238.216]]:iso.3.6.1.6.3.18.1.3.0 = IpAddress: 10.249.238.216 iso.


3.6.1.6.3.1.1.4.1.0 = OID: iso.3.6.1.4.1.1139.102.1.1 iso.3.6.1.4.1.1139.102.0.1.1 = STRING: "Fri Aug 12 13:48:03 GMT 2016"iso.3.6.1.4.1.1139.102.0.1.2 = STRING: "Critical" iso.3.6.1.4.1.1139.102.0.1.3 = STRING: "2002" iso.3.6.1.4.1.1139.102.0.1.4 = STRING: "Disk 1EGAGMRB on node provo-mustard.ecs.lab.emc.com has failed"

Voici un exemple de message de trap élaboré en réponse à une alerte Disk Back Up envoyée sur la page Monitor > Events > Alerts du portail ECS au format : Disk{diskSerialNumber} on node {fqdn} was revived:

2016-08-12 04:08:42 lviprbig249231.lss.emc.com [UDP:[10.249.249.231]:52469->[10.249.238.216]]:iso.3.6.1.6.3.18.1.3.0 = IpAddress: 10.249.238.216 iso.3.6.1.6.3.1.1.4.1.0 = OID: iso.3.6.1.4.1.1139.102.1.1 iso.3.6.1.4.1.1139.102.0.1.1 = STRING: "Fri Aug 12 16:23:23 GMT 2016"iso.3.6.1.4.1.1139.102.0.1.2 = STRING: "Info" iso.3.6.1.4.1.1139.102.0.1.3 = STRING: "2025" iso.3.6.1.4.1.1139.102.0.1.4 = STRING: "Disk 1EV1H2WB on node provo-copper.ecs.lab.emc.com was revived"

Hiérarchie des ID d’objet SNMP ECS-MIB et définition des bases de données MIB 261

elastic cloud storage (ecs)...vérification du certificat d’objet.....178 verrouillage de...

Documents