Guía de administración - Dell Technologies US · 2020. 7. 12. · Usuarios de dominio y locales..... 70 Alcance del usuario ... Agregar un mapeo de grupos o usuarios mediante el

ECSVersión 3.3

Guía de administración302-005-493

02

Copyright © 2018-2019 Dell Inc. o sus filiales. Todos los derechos reservados.

Publicado en Marzo de 2019

Dell considera que la información de este documento es precisa en el momento de su publicación. La información está sujeta a cambios sin previo

aviso.

LA INFORMACIÓN DE ESTA PUBLICACIÓN SE PROPORCIONA “TAL CUAL”. DELL NO SE HACE RESPONSABLE NI OFRECE GARANTÍA DE

NINGÚN TIPO CON RESPECTO A LA INFORMACIÓN DE ESTA PUBLICACIÓN Y, ESPECÍFICAMENTE, RENUNCIA A TODA GARANTÍA

IMPLÍCITA DE COMERCIABILIDAD O CAPACIDAD PARA UN PROPÓSITO DETERMINADO. EL USO, LA COPIA Y LA DISTRIBUCIÓN DE

CUALQUIER SOFTWARE DE DELL DESCRITO EN ESTA PUBLICACIÓN REQUIEREN LA LICENCIA DE SOFTWARE CORRESPONDIENTE.

Dell, EMC y otras marcas comerciales pertenecen a Dell Inc. o sus filiales. Las demás marcas comerciales pueden ser propiedad de sus respectivos

dueños. Publicado en México.

Dirección local de EMCEMC Argentina (Cono Sur) Tel. +54-11-4021-3622 http://www.emc.com/es-ar/index.htmEMC México Tel. +52-55-5080-3700 http://www.emc.com/es-mx/index.htmEMC Venezuela (Norte de Latinoamérica) Tel. +58-212-206-6911 http://www.emc.com/es-ve/index.htm

2 ECS 3.3 Guía de administración

7

9

Descripción general 11Introducción................................................................................................ 12Plataforma de ECS......................................................................................13Protección de datos de ECS....................................................................... 14

Configuraciones de disponibilidad, durabilidad y resistencia........... 16Red de ECS................................................................................................. 17Consideraciones del balanceo de carga....................................................... 17

Introducción a ECS 19Configuración inicial................................................................................... 20Inicio de sesión en el portal de ECS............................................................ 20Ver la lista de verificación de tareas de la introducción............................... 21Ver el tablero del portal de ECS..................................................................22

Barra de menú superior derecha.................................................... 23Ver solicitudes............................................................................... 24Ver la utilización de la capacidad....................................................24Ver el rendimiento..........................................................................24Ver la eficiencia del almacenamiento............................................. 25Ver geomonitoreo.......................................................................... 25Ver el estado del nodo y el disco....................................................26Ver alertas..................................................................................... 26

Pools de almacenamiento, VDC y grupos de replicación 29Introducción a pools de almacenamiento, VDC y grupos de replicación...... 30Trabajar con pools de almacenamiento en el portal de ECS.........................31

Crear un pool de almacenamiento.................................................. 33Editar un pool de almacenamiento................................................. 35

Trabajo con VDC en el portal de ECS .........................................................35Creación de un VDC para un solo sitio........................................... 36Adición de un VDC a una federación.............................................. 37Editar un VDC................................................................................39Eliminar un VDC y realizar una conmutación por error de un sitio....41

Trabajo con grupos de replicación en el portal de ECS................................ 41Creación de un grupo de replicación.............................................. 42Editar un grupo de replicación....................................................... 46

Proveedores de autenticación 47Introducción a proveedores de autenticación............................................. 48Trabajo con proveedores de autenticación en el portal de ECS.................. 48

Consideraciones al agregar proveedores de autenticación de ActiveDirectory....................................................................................... 49Configuraciones del proveedor de autenticación de AD o LDAP.... 50

Figuras

Tablas

Capítulo 1

Capítulo 2

Capítulo 3

Capítulo 4

CONTENIDO

ECS 3.3 Guía de administración 3

Agregar un proveedor de autenticación de AD o LDAP.................. 52Agregar un proveedor de autenticación Keystone..........................53

Espacios de nombres 55Introducción a espacios de nombres...........................................................56

Grupos de usuarios de espacios de nombres..................................56Trabajo con espacios de nombres en el portal de ECS................................ 57

Ajustes de espacio de nombres......................................................58Crear un espacio de nombres.........................................................62Editar un espacio de nombres........................................................64Eliminar un espacio de nombres.....................................................65

Usuarios y funciones 67Introducción a usuarios y funciones............................................................68Usuarios en ECS.........................................................................................68

Usuarios de administración............................................................ 68Usuarios de administración predeterminados.................................68Usuarios de objetos....................................................................... 69Usuarios de dominio y locales........................................................ 70Alcance del usuario........................................................................ 72Etiquetas de usuario...................................................................... 73

Funciones de administración en ECS.......................................................... 73Administrador del sistema..............................................................74Monitor del sistema....................................................................... 74Administrador de espacio de nombres............................................74Administrador de bloqueo.............................................................. 75Tareas realizadas por función........................................................ 75

Trabajo con usuarios en el portal de ECS.................................................... 79Agregar un usuario de objetos........................................................ 81Agregar un usuario de dominio como un usuario de objetos........... 84Agregar usuarios de dominio a un espacio de nombres.................. 84Crear un usuario de administración local o asignar un usuario dedominio o grupo de AD a una función de administración................ 85Asignar la función de administrador de espacio de nombres a unusuario o grupo de AD....................................................................86

Depósitos 89Introducción a los depósitos....................................................................... 90Trabajo con depósitos en el portal de ECS................................................. 90

Ajustes de depósitos...................................................................... 91Crear un depósito.......................................................................... 95Editar un depósito..........................................................................97Configuración de ACL....................................................................98Establecer políticas de depósitos................................................. 102

Crear una categoría con la API de S3 (con s3curl).................................... 106Encabezados HTTP de depósitos................................................. 109

Convenciones de asignación de nombres de depósitos, objetos y espacios denombres.....................................................................................................110

Asignación de nombres de objetos y depósitos S3 en ECS............110Asignación de nombres de objetos y contenedores OpenStack Swiften ECS.......................................................................................... 111Depósito Atmos y denominación de objetos en ECS...................... 111Asignación de nombres de objetos y pools de CAS........................ 111

Capítulo 5

Capítulo 6

Capítulo 7

CONTENIDO


Acceso a archivos 113Introducción al acceso a archivos.............................................................. 114Acceso multiprotocolo de ECS...................................................................114

Acceso multiprotocolo S3/NFS a archivos y directorios............... 114Permisos de acceso de multiprotocolo.......................................... 115

Trabajo con exportaciones de NFS en el portal de ECS..............................117Trabajo con mapeos de usuario o grupo en el portal de ECS...................... 118Tareas de configuración de ECS NFS........................................................ 119

Creación de un depósito para NFS mediante el portal de ECS......120Agregar una exportación de NFS mediante el portal de ECS........ 122Agregar un mapeo de grupos o usuarios mediante el portal de ECS...125Configuración de ECS NFS con la seguridad de Kerberos.............127

Ejemplo de montaje de una exportación de NFS........................................133Mejores prácticas para el montaje de exportaciones de NFS de ECS.....................................................................................................135

Acceso a NFS mediante la API REST de administración de ECS............... 136WORM (Write Once, Read Many) de NFS................................................ 136Soporte de S3A.........................................................................................140

Configuración en ECS.................................................................. 140Configuración en el nodo de Ambari............................................. 140

Certificados 143Introducción a los certificados...................................................................144Generar certificados..................................................................................144

Crear una clave privada................................................................ 145Generar una configuración de SAN.............................................. 145Crear un certificado con autofirma...............................................146Crear una solicitud de firma de certificado................................... 148

Cargar un certificado................................................................................ 150Realice la autenticación con la REST API de administración de ECS..150Cargar un certificado de administración........................................151Cargar un certificado de datos para los terminales de acceso adatos............................................................................................ 153

Verificar certificados instalados................................................................ 154Verificar el certificado de administración......................................154Verificar el certificado de objeto.................................................. 155

Configuración de ECS 157Introducción a los ajustes de ECS............................................................. 158URL base de objetos................................................................................. 158

Direccionamiento de depósitos y espacios de nombres................ 158Configuración de DNS..................................................................160Agregar una dirección URL base................................................... 161

Cambiar contraseña.................................................................................. 162Administración de claves........................................................................... 162

Administración de claves nativa....................................................163Administración de claves externa................................................. 163Configuración del administrador de claves externo...................... 164Rotación de claves........................................................................ 171

EMC Secure Remote Services.................................................................. 173Requisitos previos de ESRS .........................................................174Agregar un servidor de ESRS....................................................... 175

Capítulo 8

Capítulo 9

Capítulo 10

CONTENIDO


Verificar que la función Call Home de ESRS esté en funcionamiento.....................................................................................................175Deshabilitación de Call Home........................................................176

Política de alertas...................................................................................... 176Nueva política de alertas...............................................................177

Servidores de notificación de eventos....................................................... 178Servidores SNMP.........................................................................179Servidores de syslog.....................................................................187

Bloqueo de la plataforma........................................................................... 191Bloquear y desbloquear nodos mediante el portal de ECS............ 192Bloquear y desbloquear nodos mediante la API REST deadministración de ECS................................................................. 193

Licencias................................................................................................... 193Obtener el archivo de licencia de Dell EMC ECS.......................... 194Cargar el archivo de licencia de ECS............................................ 195

Acerca de este VDC.................................................................................. 195

Interrupción y recuperación de ECS 197Introducción a la interrupción y recuperación de sitios de ECS................. 198Comportamiento de TSO.......................................................................... 198

Comportamiento de TSO con la configuración deshabilitadadel depósito de ADO.....................................................................199Comportamiento de TSO con la configuración habilitadadel depósito de ADO.....................................................................201Consideraciones de TSO..............................................................206Acceso al sistema de archivos NFS durante una TSO.................. 207

Comportamiento de PSO..........................................................................207Recuperación en fallas de discos y nodos................................................. 208

Acceso al sistema de archivos NFS durante la falla de un nodo... 208Rebalanceo de datos después de agregar nuevos nodos...........................209

Capítulo 11

CONTENIDO


Capas de componentes de ECS...................................................................................13Cerrar sesión en el portal............................................................................................ 21Ícono de guía .............................................................................................................. 21Lista de verificación de tareas de la introducción........................................................22Tablero de ECS...........................................................................................................23Barra de menú superior derecha................................................................................. 23Grupo de replicación que abarca tres sitios y grupo de replicación que abarca dos sitios....................................................................................................................................31Página de administración de pools de almacenamiento............................................... 32Página Virtual Data Center Management....................................................................35Página Replication Group Management...................................................................... 42Página Authentication Provider Management.............................................................48Página de administración de espacios de nombres......................................................57Agregar un subconjunto de usuarios de dominio en un espacio de nombres mediante unatributo de AD............................................................................................................. 71Agregar un subconjunto de usuarios de dominio en un espacio de nombres mediantevarios atributos de AD.................................................................................................72Página User Management...........................................................................................79Página Bucket Management .......................................................................................91Pestaña User ACLs en la página Bucket ACLs Management..................................... 100Vista de código del editor de políticas de depósitos...................................................103Vista de árbol del editor de políticas de depósitos..................................................... 104Pestaña Exports en la página File...............................................................................118Pestaña User/Group Mapping en la página File..........................................................119Administración de claves nativa.................................................................................163Administración de claves externa.............................................................................. 164Administración de claves........................................................................................... 164Agregar clúster nuevo............................................................................................... 165Nuevos servidores de claves externas....................................................................... 167Asignación de un VDC de EKM.................................................................................. 168Asignar servidores.....................................................................................................169Editar asignación de EKM..........................................................................................170Activar clúster de EKM.............................................................................................. 171Rotación de claves.................................................................................................... 172Estado de rotación de claves..................................................................................... 172Política de alertas...................................................................................................... 177Nueva política de alertas........................................................................................... 178Acción de SNMP....................................................................................................... 184SNMP trap realizado correctamente......................................................................... 184Se produce un error en la solicitud de lectura/escritura durante la TSO cuando seaccede a datos desde el sitio no propietario y el sitio propietario se marca como nodisponible................................................................................................................. 200La solicitud de lectura/escritura se completa correctamente durante la TSO cuando seaccede a datos desde el sitio propietario y el sitio no propietario se marca como nodisponible................................................................................................................. 200La solicitud de lectura/escritura se completa correctamente durante la TSO cuando seaccede a datos con la opción ADO habilitada desde el sitio no propietario, y el sitiopropietario se marca como no disponible...................................................................201Ejemplo de propiedad de objeto para una operación de escritura durante una TSO enuna federación de dos sitios......................................................................................203Ejemplo de flujo de trabajo de solicitud de lectura durante una TSO en una federaciónde tres sitios............................................................................................................. 204Replicación pasiva en estado normal........................................................................ 205

1234567

8910111213

14

1516171819202122232425262728293031323334353637

38

39

40

41

42

FIGURAS


TSO para replicación pasiva......................................................................................20643

FIGURAS


Servicios de datos compatibles con ECS.....................................................................13Requisitos de codificación de eliminación para archivos regulares e inactivos ............ 15Sobrecarga de almacenamiento.................................................................................. 15Esquemas de protección de datos de ECS.................................................................. 16Propiedades del pool de almacenamiento................................................................... 32Propiedades del VDC.................................................................................................. 36Propiedades del grupo de replicación..........................................................................42Propiedades del proveedor de autenticación.............................................................. 48Configuraciones del proveedor de autenticación de AD o LDAP................................. 50Configuraciones del proveedor de autenticación Keystone.........................................54Propiedades de espacios de nombres......................................................................... 57Ajustes de espacio de nombres...................................................................................58Usuarios de administración predeterminados..............................................................69Tareas ejecutadas por la función de usuario de administración de ECS.......................75Propiedades de usuario de objetos............................................................................. 80Propiedades de usuarios de administración................................................................ 80Ajustes de depósitos................................................................................................... 91ACL de depósitos....................................................................................................... 99Encabezados de depósitos........................................................................................ 109Propiedades de exportación de NFS.......................................................................... 118Llamadas de API REST de administración de ECS para administrar el acceso a NFS..................................................................................................................................136Términos de confirmación automática....................................................................... 137..................................................................................................................................164Nuevos servidores de claves externas....................................................................... 166Propiedades de administración de claves.................................................................. 169Propiedades de ESRS................................................................................................173Instalaciones de Syslog utilizadas por ECS................................................................189Palabras clave de gravedad de Syslog....................................................................... 189Llamadas de API REST de administración de ECS para administrar el bloqueo de nodo..................................................................................................................................193

123456789101112131415161718192021

2223242526272829

TABLAS


TABLAS


CAPÍTULO 1

Descripción general

l Introducción....................................................................................................... 12l Plataforma de ECS............................................................................................. 13l Protección de datos de ECS............................................................................... 14l Red de ECS.........................................................................................................17l Consideraciones del balanceo de carga............................................................... 17

Descripción general 11

Introducción

Dell EMC ECS es una plataforma completa de almacenamiento en nube definida porsoftware compatible con el almacenamiento, la manipulación y el análisis de datos noestructurados a gran escala en hardware genérico. Puede implementar ECS como undispositivo de almacenamiento listo para usarse o como un producto de software quepuede instalarse en un conjunto de servidores y discos genéricos compatibles. ECSofrece todas las ventajas de costo de la infraestructura genérica con la confiabilidad,disponibilidad y capacidad de servicio de los arreglos tradicionales de la empresa.

ECS utiliza una arquitectura escalable que incluye varios nodos y dispositivos dealmacenamiento conectados. Los nodos y dispositivos de almacenamiento soncomponentes de genéricos, similares a los dispositivos que suelen estar disponibles yse encuentran dentro de uno o más racks.

Cuando Dell EMC proporciona un rack y sus componentes, y tienen software instaladopreviamente, reciben el nombre de dispositivo de ECS. Cuando Dell EMC noproporciona un rack y los nodos genéricos, se conocen como una solución solo desoftware de Dell EMC ECS. Múltiples racks se conocen como un clúster.

Un rack o múltiples racks combinados, que tienen procesamiento y almacenamientomanejados como una unidad coherente mediante el software de infraestructura deECS, se conocen como un sitio y, en el nivel de software de ECS, como un centro dedatos virtual (VDC).

Los usuarios de administración pueden acceder a la interfaz del usuario de ECS, que seconoce como el portal de ECS, para realizar tareas administrativas. Entre los usuariosde administración, se incluyen las funciones de administrador del sistema, monitor delsistema y administrador del espacio de nombres. Las tareas de administración quepueden realizarse en el portal de ECS también pueden realizarse mediante la API RESTde administración de ECS.

Los administradores de ECS pueden ejecutar las siguientes tareas en el portal de ECS:

l Configurar y administrar la infraestructura del almacén de objetos (recursos dealmacenamiento y procesamiento) para los usuarios de objetos.

l Administrar usuarios, funciones y depósitos dentro de los espacios de nombres.Los espacios de nombres son equivalentes a los grupos de usuarios.

Los usuarios de objetos no pueden acceder al portal de ECS, pero tienen acceso alárea de almacenamiento de objetos para realizar acciones de lectura y escritura deobjetos, y depósitos mediante clientes que son compatibles con los siguientesprotocolos de acceso a datos:

l Amazon Simple Storage Service (Amazon S3)

l EMC Atmos

l OpenStack Swift

l CAS (almacenamiento accedido por contenido) de ECS

Para obtener más información sobre las tareas de usuarios de objetos, consulte Guíade acceso a datos de ECS, disponible en la página de documentación de productos deECS.

Para obtener más información sobre las tareas del monitor del sistema, consulte Guíade monitoreo de ECS, disponible en la página de documentación de productos de ECS.



https://community.emc.com/docs/DOC-62642



Plataforma de ECSLa plataforma de ECS se compone de los servicios de datos, el portal, el motor dealmacenamiento, el fabric, la infraestructura y las capas de componentes de hardware.

Figura 1 Capas de componentes de ECS

Data Services Portal

Storage Engine

Fabric

Infrastructure

Hardware

ECSSoftware

Servicios de datos

La capa de componentes de servicios de datos proporciona soporte para obteneracceso al almacén de objetos de ECS mediante protocolos de objetos, HDFS yNFS v3. En general, ECS proporciona acceso multiprotocolo; se puede accedermediante un protocolo a los datos que se recopilan mediante otro protocolo. Porejemplo, los datos que se recopilan mediante S3 pueden modificarse medianteSwift, NFS v3 o HDFS. Este acceso multiprotocolo cuenta con algunasexcepciones debido a la semántica del protocolo y las representaciones de cómose diseñó el protocolo.

La siguiente tabla muestra las API de objetos y los protocolos que son compatiblesy que interoperan.

Tabla 1 Servicios de datos compatibles con ECS

Protocolos Soporte Interoperabilidad

Objeto S3 Funcionalidades adicionales, comoactualizaciones de rango de bytes y ACLenriquecidas

Sistemas de archivos (HDFS y NFS), Swift

Atmos Versión 2.0 NFS (solo objetos basados en rutas, no objetoscon estilo de ID)

Swift Autenticación de las API de v2, Swift yKeystone v3

Sistemas de archivos (HDFS y NFS), S3

CAS SDK v3.1.544 y versiones posteriores No se aplica

HDFS Compatibilidad con Hadoop 2.6.2 S3, Swift*

NFS NFSv3 S3, Swift, Atmos (objetos basados en rutassolamente)

* Cuando se habilita un depósito para acceso al sistema de archivos, los permisos establecidos mediante HDFS están vigentescuando accede al depósito como un sistema de archivos NFS, y viceversa.


Plataforma de ECS 13

Portal

La capa de componentes del portal de ECS brinda una GUI basada en Web que lepermite administrar y aprovisionar nodos de ECS y darles licencias. El portal tienelas siguientes funcionalidades integrales de creación de informes:

l Utilización de la capacidad para cada sitio, pool de almacenamiento, nodo ydisco

l Monitoreo del rendimiento de la latencia, el rendimiento, las transacciones porsegundo y el progreso y la tasa de replicación

l Información de diagnóstico, como el estado de recuperación del nodo y eldisco y estadísticas sobre el estado del hardware y del proceso para cadanodo, lo que ayuda a identificar los cuellos de botella de rendimiento y delsistema

Motor de almacenamiento

La capa de componentes del motor de almacenamiento ofrece un motor dealmacenamiento no estructurado que es responsable de almacenar y recuperardatos, administrar transacciones y proteger y replicar datos. El motor dealmacenamiento proporciona acceso a objetos recopilados mediante variosprotocolos de almacenamiento de objetos y los protocolos de archivos NFS yHDFS.

Fabric

La capa de componentes de fabric proporciona administración del estado delclúster, administración de software, administración de la configuración,funcionalidades de actualización y alertas. La capa de fabric es responsable demantener los servicios en ejecución y administrar recursos, como los discos, loscontenedores, el firewall y la red. Rastrea los cambios en el entorno, por ejemplo,la detección de una falla, y reacciona a ellos, además de proporcionar alertasrelacionadas con el estado del sistema.

Infraestructura

La capa de componentes de la infraestructura utiliza SUSE Linux EnterpriseServer 12 como sistema operativo base para el dispositivo ECS o sistemasoperativos Linux calificados para configuraciones de hardware genérico. Dockerestá instalado en la infraestructura para implementar las otras capas decomponentes de ECS. La máquina virtual Java (JVM) se instala como parte de lainfraestructura, ya que el software de ECS está escrito en Java.

Hardware

La capa de componentes de hardware es un dispositivo ECS o hardware estándardel sector calificado. Para obtener más información acerca del hardware de ECS,consulte Guía de hardware y cableado de ECS, disponible en la página dedocumentación de productos de ECS.

Protección de datos de ECS

ECS protege los datos dentro de un sitio mediante el espejeado de los datos en variosnodos y mediante la codificación de eliminación para desglosar los fragmentos dedatos en varios fragmentos y distribuir los fragmentos en los nodos. La codificación deeliminación (EC) reduce la sobrecarga de almacenamiento y garantiza la durabilidad yla resistencia de los datos contra fallas de discos y nodos.





De forma predeterminada, el motor de almacenamiento implementa el esquema decodificación de eliminación de Reed Solomon 12 + 4 en el que un objeto se divide en 12fragmentos de datos y en cuatro fragmentos de codificación. Los 16 fragmentosresultantes se distribuyen en todos los nodos del site local. Cuando se haya aplicado lacodificación de eliminación a un objeto, ECS puede leer el objeto directamente de los12 fragmentos de datos sin tener que hacer un descifrado ni una reconstrucción. Losfragmentos de código se utilizan solo para la reconstrucción de objetos cuando hayfallas de hardware. ECS también admite un esquema de 10 + 2 para utilizar conarchivos de almacenamiento inactivos para almacenar objetos que no cambian confrecuencia y que no necesitan el esquema de EC predeterminado más sólido.

La siguiente tabla muestra los requisitos para los esquemas de codificación deeliminación compatibles.

Tabla 2 Requisitos de codificación de eliminación para archivos regulares e inactivos

Caso de uso Cantidadmínima denodosnecesarios

Cantidadmínima dediscosnecesarios

Discosrecomendados

Eficiencia de EC Esquema de EC

Archivo regular 4 16 32 1.33 12 + 4

Archivo inactivo 6 12 24 1.2 10 + 2

Los sitios se pueden federar para que se repliquen los datos a otro sitio a fin deaumentar la disponibilidad y durabilidad de los datos, y para garantizar que ECS searesistente contra fallas del sitio. En el caso de tres o más sitios, además de lacodificación de eliminación de los fragmentos en un sitio, los fragmentos que sereplican a otros sitios se combinan mediante una técnica denominada XOR paraproporcionar mayor eficiencia del almacenamiento.

La siguiente tabla muestra la eficiencia del almacenamiento que ECS puede obtenerdonde se utilizan varios sitios.

Tabla 3 Sobrecarga de almacenamiento

Cantidad de sitiosen el grupo dereplicación

Sobrecarga de almacenamiento

Predeterminada (códigode eliminación: 12 + 4)

Archivo inactivo (códigode eliminación: 10 + 2)

1 1.33 1.2

2 2.67 2.4

3 2.00 1.8

4 1.77 1.6

5 1.67 1.5

6 1.60 1.44

7 1.55 1.40

8 1.52 1.37

Si tiene un sitio, con la codificación de eliminación, los fragmentos de datos de objetosutilizan más espacio (1.33 o 1.2 veces más sobrecarga de almacenamiento) que losbytes de datos crudos requeridos. Si tiene dos sitios, la sobrecarga de almacenamientose duplica (2.67 o 2.4 veces más sobrecarga de almacenamiento), debido a que ambos


Protección de datos de ECS 15

sitios almacenan una réplica de los datos, y los datos tienen codificación de eliminaciónen ambos sitios. Si tiene tres o más sitios, ECS combina los fragmentos replicados, demodo que, en oposición a lo que podría imaginarse, se reduce la sobrecarga dealmacenamiento.

Para obtener una descripción detallada del mecanismo utilizado por ECS paraproporcionar disponibilidad, resistencia y durabilidad de los datos, consulte el informetécnico Diseño de alta disponibilidad de ECS.

Configuraciones de disponibilidad, durabilidad y resistencia

Según la cantidad de sitios en el sistema ECS, diferentes esquemas de protección dedatos pueden aumentar la disponibilidad y balancear los requisitos de protección dedatos con el rendimiento. ECS utiliza el grupo de replicación para configurar losesquemas de protección de datos (consulte Introducción a pools de almacenamiento,VDC y grupos de replicación en la página 30). La siguiente tabla muestra losesquemas de protección de datos que están disponibles.

Tabla 4 Esquemas de protección de datos de ECS

Cantidad desitios

Esquemas de protección de datos

Protecciónlocal

Protección decopiacompleta*

Active Passive

1 Sí No se aplica No se aplica No se aplica

2 Sí Siempre No se aplica No se aplica

3 o más Sí Opcional Normal Opcional

* Se puede elegir la protección de copia completa si se selecciona la opción Active. Laprotección de copia completa no está disponible si se selecciona Passive.

Protección local

Los datos están protegidos localmente mediante el uso de triple espejeado ycodificación de eliminación que ofrece resistencia contra fallas de disco y nodo,pero no contra fallas del sitio.

Protección de copia completa

Cuando se habilita la configuración Replicate to All Sites para un grupo dereplicación, este grupo realiza una copia completa legible de todos los objetos atodos los sitios dentro del grupo de replicación. Contar con copias completamentelegibles de todos los objetos en todos los VDC en el grupo de replicaciónproporciona durabilidad de los datos y mejora el rendimiento local en todos lossites a costa de la eficiencia del almacenamiento.

Active

Active es la configuración predeterminada de ECS. Cuando un grupo dereplicación se configura como Active, los datos se replican a sitios federados y esposible acceder a ellos desde todos los sitios con coherencia sólida. Si dispone dedos sitios, las copias completas de los fragmentos de datos se copian en el otrositio. Si tiene tres o más sitios, los fragmentos replicados se combinan (con XOR)para proporcionar mayor eficiencia del almacenamiento.

Cuando se accede a los datos desde un sitio que no es el propietario de los datos,hasta que esos datos se almacenen en caché en el sitio no propietario, el tiempo



de acceso aumenta. De manera similar, si se produce un error en el sitiopropietario que contiene la copia primaria de los datos, y si tiene un balanceadorde carga global que dirige las solicitudes a un sitio no propietario, el sitio nopropietario debe volver a crear los datos a partir de los fragmentos codificadoscon XOR y aumenta el tiempo de acceso.

Passive

En la configuración Passive se incluyen dos, tres o cuatro sitios activos con unsitio pasivo adicional que corresponde a un destino de replicación (sitio derespaldo). El número mínimo de sitios para una configuración Passive es tres (dosactivos, uno pasivo) y el número máximo de sitios es cinco (cuatro activos, unopasivo). Las configuraciones Passive tienen la misma eficiencia dealmacenamiento que las configuraciones Active. Por ejemplo, la configuraciónPassive de tres sitios tiene la misma eficiencia de almacenamiento que laconfiguración Active de tres sitios (2.0 veces de sobrecarga de almacenamiento).

En la configuración Passive, todos los fragmentos de datos de replicación seenvían al sitio pasivo y se producen operaciones XOR solamente en el sitio pasivo.En una configuración Active, las operaciones XOR se producen en todos los sitios.

Si todos los sitios se encuentran en las instalaciones, puede designar cualquierade los sitios como destino de replicación.

Si hay un sitio de respaldo alojado fuera de las instalaciones en un centro de datosde otros fabricantes, ECS permite seleccionarlo automáticamente como destinode replicación cuando se crea un grupo de replicación geográfica Passive(consulte Creación de un grupo de replicación en la página 42). Si desea cambiarel destino de replicación de un sitio alojado a un sitio en las instalaciones, puedehacerlo mediante la API REST de administración de ECS.

Dedicated Cloud de ECS es un ejemplo de configuración Passive con un sitioalojado. En el sistema Dedicated Cloud de ECS se incluyen sitios activos en lasinstalaciones con el sitio de replicación de destino alojado en un centro de datosfuera de las instalaciones como Virtustream, empresa en la que Dell EMCadministra el almacenamiento de ECS. Para obtener más información, consulte elInforme técnico Descripción general técnica de Dedicated Cloud de ECS.

Red de ECS

La infraestructura de red de ECS consta de switches de la parte superior del rack yadmite los siguientes tipos de conexiones de red:

l Red pública: conecta los nodos de ECS a la red de su organización, lo queproporciona datos.

l Red privada interna: administra nodos y switches dentro del rack y entre racks.

Para obtener más información acerca de las redes de ECS, consulte el Informe técnicode redes y mejores prácticas de ECS.

Consideraciones del balanceo de cargaSe recomienda que utilice un balanceador de carga frente a ECS.

Además de distribuir la carga entre los nodos del clúster de ECS, un balanceador decarga proporciona alta disponibilidad (HA) para el clúster de ECS mediante elenrutamiento del tráfico a los nodos en buen estado. Cuando se implementa laseparación de la red y se separa el tráfico de datos del de administración, se debe


Red de ECS 17

configurar el balanceador de carga de modo que las solicitudes que el usuario hagamediante los protocolos de acceso a datos admitidos se balanceen entre lasdirecciones IP de la red de datos. Las solicitudes de la REST API de administración deECS se pueden realizar directamente a la dirección IP de un nodo en la red deadministración o se puede balancear la carga a través de la red de administración paraobtener alta disponibilidad.

La configuración del balanceador de carga depende del tipo de balanceador de carga.Para obtener información acerca de la configuración probada y las mejores prácticas,comuníquese con su representante de servicio al cliente.



CAPÍTULO 2

Introducción a ECS

l Configuración inicial...........................................................................................20l Inicio de sesión en el portal de ECS....................................................................20l Ver la lista de verificación de tareas de la introducción....................................... 21l Ver el tablero del portal de ECS......................................................................... 22

Introducción a ECS 19

Configuración inicialLos pasos de configuración inicial requeridos para comenzar a usar ECS incluyeniniciar sesión en el portal de ECS por primera vez, mediante el tablero y la lista deverificación de tareas de la Introducción al portal de ECS, y configurar un centro dedatos virtual (VDC) de ECS.

Para realizar la configuración inicial de ECS, el usuario raíz o administrador del sistemadebe, como mínimo, realizar lo siguiente:

Procedimiento

1. Cargar una licencia de ECS.

Consulte Licencias en la página 193.

2. Seleccionar un conjunto de nodos para crear, al menos, un pool dealmacenamiento.

Consulte Crear un pool de almacenamiento en la página 33.

3. Crear un VDC.

Consulte Creación de un VDC para un solo sitio en la página 36.

4. Crear al menos un grupo de replicación.

Consulte Creación de un grupo de replicación en la página 42.

a. Opcional: Configurar la autenticación.

Puede agregar proveedores de autenticación de Active Directory (AD),LDAP o Keystone a ECS para permitir la autenticación de los usuariosmediante sistemas externos a ECS. Consulte Introducción a proveedores deautenticación en la página 48.

5. Crear al menos un espacio de nombres. Un espacio de nombres es el equivalentede un grupo de usuarios.

Consulte Crear un espacio de nombres en la página 62.

a. Opcional: Crear usuarios de objetos o administración.

Consulte Trabajo con usuarios en el portal de ECS en la página 79.

6. Cree al menos un depósito.

Consulte Crear un depósito. en la página 95.

Después de configurar el VDC inicial, si desea crear un VDC adicional y federarlocon el primer VDC, consulte Adición de un VDC a una federación en la página37.

Inicio de sesión en el portal de ECSDebe iniciar sesión en el portal de ECS para establecer la configuración inicial de unVDC. Inicie sesión en el portal de ECS desde su navegador si especifica la dirección IPo el nombre de dominio calificado (FQDN) de cualquier nodo, o el balanceador decarga que actúa como el front-end a ECS. A continuación, se describe elprocedimiento de inicio de sesión.

Introducción a ECS


Antes de comenzar

Para iniciar sesión se necesitan las funciones de administrador del sistema, monitor delsistema, administrador de bloqueo (usuario emcsecurity) o administrador delespacio de nombres.

Nota

Cuando inicia sesión en el portal de ECS por primera vez, debe iniciar sesión como elusuario root predeterminado con la función de administrador del sistema.

Procedimiento

1. Escriba la dirección IP pública del primer nodo en el sistema, o la dirección delbalanceador de carga que se configuró como el front-end, en la barra dedirección del navegador: https://<node1_public_ip>.

2. Inicie sesión con las credenciales raíz predeterminadas:

l Nombre de usuario: rootl Contraseña: ChangeMeSe le solicitará que cambie la contraseña para el usuario root inmediatamente.

3. Después de cambiar la contraseña en el primer inicio de sesión, haga clic enSave.

Se cerrará la sesión y aparecerá la pantalla de inicio de sesión de ECS.

4. Complete los campos User Name y Password.

5. Para cerrar sesión en el portal de ECS, en la barra de menú superior derecha,haga clic en la flecha junto a su nombre de usuario y, a continuación, haga clicen logout.

Figura 2 Cerrar sesión en el portal

Ver la lista de verificación de tareas de la introducción

La lista de verificación de tareas en el portal de ECS lo guía a través de laconfiguración inicial de ECS. La lista de verificación aparece cuando inicia sesión porprimera vez y cuando el portal detecta que la configuración inicial no está completa. Lalista de verificación aparecerá automáticamente hasta que la descarte. En cualquierpágina del portal de ECS, en la barra de menú superior derecha, haga clic en el íconode guía para abrir la lista de verificación.

Figura 3 Ícono de guía

La lista de verificación de tareas de la introducción se muestra en el portal.

Introducción a ECS

Ver la lista de verificación de tareas de la introducción 21

Figura 4 Lista de verificación de tareas de la introducción

1. El paso actual en la lista de verificación.

2. Un paso completado.

3. Un paso opcional. Este paso no muestra una marca de verificación incluso si se hacompletado el paso.

4. Información acerca del paso actual.

5. Acciones disponibles.

6. Descartar la lista de verificación.

Una lista de verificación completa le dará la opción de navegar en la lista nuevamente ovolver a verificar su configuración.

Ver el tablero del portal de ECSEl tablero del portal de ECS proporciona información importante acerca de losprocesos de ECS en el VDC con el que está conectado actualmente.

El Tablero es la primera página que verá después de iniciar sesión. El título de cadapanel (cuadro) tiene un vínculo a la página de monitoreo del portal que muestra másdetalles sobre el área de monitoreo.

Introducción a ECS


Figura 5 Tablero de ECS

Barra de menú superior derecha

La barra de menú superior derecha aparece en cada página del portal de ECS.

Figura 6 Barra de menú superior derecha

1 42 3 5

Los elementos de menú incluyen los siguiente íconos y menús:

1. El ícono de alerta muestra un número que indica cuántas alertas sin confirmarestán pendientes en el VDC actual. El número muestra 99+ si hay más de 99alertas. Puede hacer clic en el ícono de alerta para ver el menú de alerta, quemuestra las cinco alertas más recientes para el VDC actual.

2. El ícono de ayuda abre la documentación en línea para la página actual del portal.

Introducción a ECS

Barra de menú superior derecha 23

3. El ícono de guía abre la lista de verificación de tareas de la introducción.

4. El menú VDC muestra los nombres del VDC actual. Si sus credenciales de AD oLDAP le permiten acceder a más de un VDC, puede cambiar su vista del portal aotros VDC sin tener que volver a ingresar sus credenciales.

5. El menú de usuario muestra el usuario actual y le permite cerrar sesión.

Ver solicitudesEl panel Requests muestra el total de solicitudes, las solicitudes correctas y lassolicitudes fallidas.

Las solicitudes fallidas están organizadas por error de sistema y error de usuario. Lasfallas de los usuarios suelen ser errores HTTP 400. Las fallas del sistema suelen sererrores HTTP 500. Haga clic en Requests para ver más métricas de solicitud.

Las estadísticas de solicitudes no incluyen tráfico de replicación.

Ver la utilización de la capacidadEn el panel Capacity Utilization se muestra la capacidad total, la capacidad utilizada,la capacidad disponible, la capacidad reservada y la capacidad completa en porcentaje.

Las cantidades de capacidad se muestran en gibibytes (GiB) y tibibytes (TiB). Un GiBequivale a aproximadamente 1,074 gigabytes (GB). Un TiB equivale aaproximadamente 1,1 terabytes (TB).

La capacidad Used permite indicar la cantidad de capacidad en uso. Haga clic enCapacity Utilization para ver más métricas de capacidad.

Las métricas de capacidad están disponibles en el menú de la izquierda.

Ver el rendimientoEn el panel Performance se muestra cómo se están ejecutando las operaciones delectura y escritura de la red actualmente y las estadísticas de rendimiento promedio delectura/escritura de las últimas 24 horas para el VDC.

Haga clic en Performance para consultar métricas de rendimiento más completas.

Introducción a ECS


Ver la eficiencia del almacenamientoEl panel Storage Efficiency muestra la eficiencia del proceso de codificación deeliminación (EC).

En el gráfico se muestra el progreso del proceso de EC actual. En los otros valores semuestra la cantidad total de datos sujetos a EC, la cantidad de datos de EC pendientespara el proceso de EC, así como la velocidad actual del proceso de EC. Haga clic enStorage Efficiency para ver más métricas de eficiencia del almacenamiento.

Ver geomonitoreoEl panel Geo Monitoring muestra cuántos datos del VDC local están en espera de lareplicación geográfica y la velocidad de la replicación.

El objetivo de punto de recuperación (RPO) hace referencia al momento específico enel pasado al que puede restaurar. El valor son los datos más antiguos en riesgo de serperdidos si un VDC local falla antes de que se complete la replicación. FailoverProgress muestra el progreso de cualquier conmutación por error activo que esté enejecución en la federación a la que pertenece el VDC local. Bootstrap Progressmuestra el progreso de cualquier proceso activo para agregar un nuevo VDC a lafederación. Haga clic en Geo Monitoring para ver más métricas de replicacióngeográfica.

Introducción a ECS

Ver la eficiencia del almacenamiento 25

Ver el estado del nodo y el discoEl panel Node & Disks muestra el estado de los discos y nodos.

Una marca de verificación verde al lado del número de nodo o disco indica la cantidadde nodos o discos en buen estado. Una x roja indica un estado defectuoso. Haga clicen Node & Disks para ver más métricas de estado de hardware. Si la cantidad dediscos o nodos defectuosos es un número distinto de cero, al hacer clic en el conteo elsistema, irá a la pestaña Hardware Health correspondiente (Offline Disks u OfflineNodes) en la página System Health.

Ver alertasEl panel Alerts muestra un conteo de alertas y errores importantes.

Haga clic en Alerts para consultar la lista completa de alertas actuales. Todas lasalertas críticas o de error están vinculadas a la pestaña Alerts en la página Eventsdonde se filtran y se muestran solo las alertas con un nivel de gravedad crítico o deerror.

Introducción a ECS


Introducción a ECS

Ver alertas 27

Introducción a ECS


CAPÍTULO 3

Pools de almacenamiento, VDC y grupos dereplicación

l Introducción a pools de almacenamiento, VDC y grupos de replicación..............30l Trabajar con pools de almacenamiento en el portal de ECS................................ 31l Trabajo con VDC en el portal de ECS ................................................................ 35l Trabajo con grupos de replicación en el portal de ECS........................................41

Pools de almacenamiento, VDC y grupos de replicación 29

Introducción a pools de almacenamiento, VDC y grupos dereplicación

En este tema se proporciona información conceptual sobre pools de almacenamiento,centros de datos virtuales (VDC) y grupos de replicación, y los siguientes temasdescriben las operaciones necesarias para configurarlos:

l Trabajo con pools de almacenamiento en el portal de ECS

l Trabajo con VDC en el portal de ECS

l Trabajo con grupos de replicación en el portal de ECS

El almacenamiento que está asociado con un VDC debe asignarse a un pool dealmacenamiento y el pool de almacenamiento debe asignarse a uno o más grupos dereplicación para permitir la creación de depósitos y objetos.

Un pool de almacenamiento se puede asociar con más de un grupo de replicación. Unamejor práctica es tener un solo pool de almacenamiento para un sitio. Sin embargo,puede tener tantos pools de almacenamiento como sea necesario, con un mínimo decuatro nodos (y 16 discos) en cada pool.

Es posible que deba crear más de un pool de almacenamiento en un sitio por lossiguientes motivos:

l El pool de almacenamiento se utiliza para archivo inactivo. El esquema decodificación de eliminación que se utiliza para el archivo inactivo utiliza unacodificación 10 + 2 en lugar del esquema 12 + 4 predeterminado de ECS.

l Un grupo de usuarios requiere que los datos se almacenen en medios físicosindependientes.

Un pool de almacenamiento debe tener un mínimo de cuatro nodos, de los cuales treso más deben tener más del 10 % de su capacidad disponible para aceptar escrituras.Este espacio reservado se requiere para garantizar que ECS no se quede sin espaciomientras almacena los metadatos del sistema. Si no se cumplen estos criterios, seproducirá un error en la escritura. La capacidad que tiene un pool de almacenamientode aceptar escrituras no afecta la capacidad de otros pools de aceptar escrituras. Porejemplo, si tiene un balanceador de carga que detecta una escritura fallida, elbalanceador de carga puede redirigir la escritura a otro VDC.

ECS utiliza el grupo de replicación para replicar datos a otros sitios de modo que losdatos estén protegidos y se pueda acceder a ellos desde otros sitios activos. Cuandocrea un depósito, debe especificar en qué grupo de replicación se encuentra. ECSgarantiza que el depósito y los objetos en el depósito se repliquen en todos los sitios enel grupo de replicación.

ECS puede configurarse para usar más de un esquema de replicación, según losrequisitos de acceso y protección de los datos. La siguiente figura muestra un grupode replicación (RG 1) que abarca los tres sitios. RG 1 aprovecha la eficiencia dealmacenamiento de XOR proporcionada por ECS cuando se utilizan tres o más sitios.En la figura, el grupo de replicación que abarca dos sitios (RG 2) contiene copiascompletas de los fragmentos de datos de los objetos y no aplica XOR para mejorar laeficiencia de almacenamiento.

Pools de almacenamiento, VDC y grupos de replicación


Figura 7 Grupo de replicación que abarca tres sitios y grupo de replicación que abarca dos sitios

VDC C

VDC AVDC B

SP 1VDC C

SP 2

Federation

RG 1 (SP 1,2,3)

RG 2 (SP 1,3)

Rack 1

Rack 1

Rack 1

RG 1RG 1

SP 3

El almacenamiento físico que utiliza el grupo de replicación en cada sitio se determinamediante el pool de almacenamiento que se incluye en el grupo de replicación. El poolde almacenamiento agrega el almacenamiento en disco de cada uno de los cuatronodos mínimos a fin de garantizar que pueda manejar la ubicación de los fragmentosde codificación de eliminación. Un nodo no puede existir en más de un pool dealmacenamiento. El pool de almacenamiento puede abarcar racks, pero siempre esdentro de un sitio.

Trabajar con pools de almacenamiento en el portal de ECSPuede utilizar pools de almacenamiento para organizar los recursos dealmacenamiento en función de los requisitos del negocio. Por ejemplo, si requiere laseparación física de los datos, puede dividir el almacenamiento en varios pools dealmacenamiento.

Puede utilizar la página Storage Pool Management disponible en Manage > StoragePools para ver los detalles de los pool de almacenamiento existentes, crear pools dealmacenamiento y editar los pools de almacenamiento existentes. No puede eliminarlos pools de almacenamiento en esta versión.


Trabajar con pools de almacenamiento en el portal de ECS 31

Figura 8 Página de administración de pools de almacenamiento

Tabla 5 Propiedades del pool de almacenamiento

Campo Descripción

Name Nombre del pool de almacenamiento.

Nodes Cantidad de nodos asignados al pool de almacenamiento.

Status El estado actual del pool de almacenamiento y de los nodos.

l Ready: Al menos cuatro nodos están instalados y todos los nodos están en el estado ready touse.

l Not Ready: Un nodo en el pool de almacenamiento no está en el estado ready to use.

l Partially Ready: Hay menos de cuatro nodos y todos los nodos están en el estado ready touse.

Host Nombre del host certificado asignado al nodo.

Data IP La dirección IP pública asignada al nodo o la dirección IP de los datos en el entorno de separación dered.

Rack ID Nombre asignado al rack que contiene los nodos.

Actions Las acciones que se pueden completar para el pool de almacenamiento.

l Edit: Se utiliza para cambiar el nombre del pool de almacenamiento y modificar el conjunto denodos incluidos en el pool de almacenamiento.

l Delete: El servicio al cliente utiliza esta acción para eliminar el pool de almacenamiento. Losadministradores del sistema o los usuarios raíz no deben intentar eliminar el pool dealmacenamiento. Si intenta realizar esta operación en el portal de ECS, aparece un mensaje deerror que indica que esta operación no es compatible. Si debe eliminar un pool de almacenamiento,comuníquese con el representante de servicio al cliente.

Cold Storage Un pool de almacenamiento especificado como almacenamiento inactivo. Los pools de almacenamientoinactivo usan un esquema de codificación de eliminación (EC) que es más eficiente para los objetos a



Tabla 5 Propiedades del pool de almacenamiento (continuación)

Campo Descripción

los que se accede con menor frecuencia. El almacenamiento inactivo también se denomina archivoinactivo. Una vez creado un pool de almacenamiento, esta configuración no se puede cambiar.

Crear un pool de almacenamientoLos pools de almacenamiento deben contener un mínimo de cuatro nodos. El primerpool de almacenamiento que se crea se conoce como pool de almacenamiento delsistema, ya que almacena los metadatos del sistema.

Antes de comenzar

Esta operación requiere la función de administrador del sistema en ECS.

Procedimiento

1. En el portal de ECS, seleccione Manage > Storage Pools.

2. En la página Storage Pool Management, haga clic en New Storage Pool.

3. En la página New Storage Pool, en el campo Name, escriba el nombre del poolde almacenamiento (por ejemplo, StoragePool1).

4. En el campo Cold Storage, especifique si este pool de almacenamiento es dealmacenamiento inactivo. El almacenamiento inactivo contiene datos a los quese accede con poca frecuencia. El esquema de protección de datos de ECS para


Crear un pool de almacenamiento 33

el almacenamiento inactivo está optimizado para aumentar la eficiencia delalmacenamiento. Una vez creado un pool de almacenamiento, estaconfiguración no se puede cambiar.

Nota

El almacenamiento inactivo necesita una configuración de hardware mínima deseis nodos. Para obtener más información, consulte Protección de datos deECS en la página 14.

5. En la lista Available Nodes, seleccione los nodos que va a agregar al pool dealmacenamiento.

a. Para seleccionar los nodos uno por uno, haga clic en el ícono + situado juntoa cada nodo.

b. Para seleccionar todos los nodos disponibles, haga clic en el ícono + en laparte superior de la lista Available Nodes.

c. Para reducir la lista de nodos disponibles, escriba la dirección IP pública delnodo o el nombre de host en el campo search.

6. En los campos Available Capacity Alerting, seleccione los umbrales decapacidad disponibles aplicables que generarán alertas de capacidad de pool dealmacenamiento:

a. En el campo Critical, seleccione 10 %, 15 % o No Alert.

Por ejemplo, si selecciona 10 %, significa que se generará una alerta críticacuando la capacidad disponible del pool de almacenamiento sea menor que10 %.

b. En el campo Error, seleccione 20 %, 25 %, 30 % o No Alert.

Por ejemplo, si selecciona 25 %, significa que se generará una alerta de errorcuando la capacidad disponible del pool de almacenamiento sea menorque 25 %.

c. En el campo Warning, seleccione 35 %, 40 % o No Alert.

Por ejemplo, si selecciona 40 %, significa que se generará una alerta críticacuando la capacidad disponible del pool de almacenamiento sea menorque 40 %.

Cuando se genera una alerta de capacidad, también se genera una alerta CallHome que permite alertar al cliente de ECS sobre el límite de capacidad queestá alcanzando el sistema de ECS.

7. Haga clic en Save.

8. Espere 10 minutos después de que el pool de almacenamiento esté en el estadoReady antes de realizar otras tareas de configuración para darle tiempo al poolde almacenamiento de inicializarse.

Si recibe el siguiente error, espere unos minutos antes de intentar cualquier otraconfiguración. Error 7000 (http: 500): An error occurred inthe API Service. An error occurred in the APIservice.Cause: error insertVdcInfo. Virtual Data Centercreation failure may occur when Data Services has notcompleted initialization.



Editar un pool de almacenamientoPuede cambiar el nombre de un pool de almacenamiento y el conjunto de nodosincluidos en el pool de almacenamiento.

Antes de comenzar


Procedimiento

1. En el portal de ECS, seleccione Manage > Storage Pools.

2. En la página Storage Pool Management, busque el pool de almacenamientoque desea editar en la tabla. Haga clic en Edit, en la columna Actions que estájunto al pool de almacenamiento que desea editar.

3. En la página Edit Storage Pool:

l Para modificar el nombre del pool de almacenamiento, en el campo Name,escriba el nuevo nombre.

l Para modificar los nodos incluidos en el pool de almacenamiento:

n En la lista Selected Nodes, elimine un nodo existente en el pool dealmacenamiento haciendo clic en el ícono - junto al nodo.

n En la lista Available Nodes, agregue un nodo al pool de almacenamientohaciendo clic en el ícono + junto al nodo.

l En los campos Available Capacity Alerting, seleccione los umbrales dealerta aplicables para modificar los umbrales de capacidad disponibles quegenerarán alertas de capacidad de pool de almacenamiento.


Trabajo con VDC en el portal de ECSUn centro de datos virtual (VDC) de ECS es el recurso de nivel superior querepresenta la recopilación de componentes de la infraestructura de ECS para suadministración como una unidad.

Puede usar la página Virtual Data Center Management disponible en Manage >Virtual Data Center para ver los detalles de VDC, crear un VDC, editar un VDCexistente, actualizar terminales en varios VDC, eliminar VDC y federar varios VDC parauna implementación de múltiples sitios. En el siguiente ejemplo se muestra la páginaVirtual Data Center Management para una implementación federada. Se configuracon dos VDC denominados vdc1 y vdc2.

Figura 9 Página Virtual Data Center Management


Editar un pool de almacenamiento 35

Tabla 6 Propiedades del VDC

Campo Descripción

Name El nombre del VDC.

Type El tipo de VDC se establece automáticamente y puede estar alojado o en instalaciones.Un VDC alojado se aloja fuera de las instalaciones mediante un centro de datos de otros fabricantes(un sitio de respaldo).

Replication Endpoints Terminales para la comunicación de datos de replicación entre VDC cuando se configura unafederación de ECS.De forma predeterminada, el tráfico de replicación se ejecuta entre VDC en la red pública. Por lotanto, la dirección IP de red pública de cada nodo se utiliza como terminal de replicación de formapredeterminada.

Si se configura una red de replicación separada, la dirección IP de red configurada para el tráfico dereplicación de cada nodo se utiliza como terminales de replicación.

Si se configura un balanceador de carga para distribuir la carga entre las direcciones IP de replicaciónde los nodos, se muestra la dirección configurada en el balanceador de carga.

Management Endpoints Terminales para la comunicación de comandos de administración entre VDC cuando se configura unafederación de ECS.De forma predeterminada, el tráfico de administración se ejecuta entre VDC en la red pública. Por lotanto, la dirección IP de red pública de cada nodo se utiliza como terminal de administración deforma predeterminada.

Si se configura una red de administración separada, la dirección IP de red configurada para el tráficode administración de cada nodo se utiliza para las terminales de administración.

Status El estado del VDC.

l Online

l Permanently Failed: El VDC se eliminó.

Actions Las acciones que pueden realizarse para el VDC.

l Edit: Permite cambiar el nombre de un VDC, la clave de acceso de un VDC y los terminales dereplicación y administración de un VDC.

l Delete: Permite eliminar el VDC. La operación de eliminación activa una conmutación por errorpermanente del VDC, por lo que no se puede agregar de nuevo el VDC con el mismo nombre. Nose puede eliminar un VDC que forma parte de un grupo de replicación si no lo quita primero delgrupo de replicación. No puede eliminar un VDC cuando haya iniciado sesión en el VDC que estátratando de eliminar.

Creación de un VDC para un solo sitioPuede crear un VDC para una implementación de un solo sitio o cuando crea el primerVDC en una federación de múltiples sitios.

Antes de comenzar


Asegúrese de que uno o más pools de almacenamiento estén disponibles y tengan elestado Ready.

Procedimiento

1. En el portal de ECS, seleccione Manage > Virtual Data Center.



2. En la página Virtual Data Center Management, haga clic en New Virtual DataCenter.

3. En la página New Virtual Data Center, en el campo Name, escriba el nombrede VDC (por ejemplo: VDC1).

4. Para crear una clave de acceso para el VDC, realice una de las siguientesacciones:

l Escriba el valor de la clave de acceso de VDC en el campo Key

l Haga clic en Generate para generar una clave de acceso de VDC.

La clave de acceso de VDC se utiliza como una clave simétrica para cifrar eltráfico de replicación entre los VDC en una federación de múltiples sites.

5. En el campo Replication Endpoints, escriba la dirección IP de replicación decada nodo asignado al VDC. Escríbalas como una lista separada por comas.

De forma predeterminada, el tráfico de replicación se ejecuta en la red pública.Por lo tanto, la dirección IP configurada para la red pública de cada nodo seingresa aquí de forma predeterminada. Si la red de replicación se separó de lared pública o de administración, la dirección IP de replicación de cada nodo seingresa aquí.

Si se configura un balanceador de carga para distribuir la carga entre lasdirecciones IP de replicación de los nodos, se muestra la dirección configuradaen el balanceador de carga.

6. En el campo Management Endpoints, escriba la dirección IP de administraciónde cada nodo asignado al VDC. Escríbalas como una lista separada por comas.

De forma predeterminada, el tráfico de administración se ejecuta en la redpública. Por lo tanto, la dirección IP configurada para la red pública de cadanodo se ingresa aquí de forma predeterminada. Si la red de administración seseparó de la red pública o de replicación, la dirección IP de administración decada nodo se ingresa aquí.


Cuando se crea el VDC, ECS establece automáticamente el campo Type delVDC en On-Premise o en Hosted.

Un VDC alojado se aloja fuera de las instalaciones mediante un centro de datosde otros fabricantes (un sitio de respaldo).

Adición de un VDC a una federaciónPuede agregar un VDC a un VDC existente (por ejemplo, VDC1) para crear unafederación. Es importante que, cuando realice este procedimiento, NO cree un VDC enel rack que desea agregar. Recupere solo la clave de acceso VDC del rack y, acontinuación, continúe desde el VDC existente (VDC1).

Antes de comenzar

Obtenga las credenciales del portal de ECS para el usuario raíz o para un usuario concredenciales de administrador del sistema para iniciar sesión en ambos VDC.

En un sistema geofederado de ECS con varios VDC, las direcciones IP para lareplicación y las redes de administración se utilizan para la conectividad del tráfico dereplicación y administración entre terminales de VDC. Si el VDC que está agregando ala federación se configura con:

l Tráfico de replicación o administración que se ejecuta en la red pública (de formapredeterminada): necesita la dirección IP de red pública que utiliza cada nodo.


Adición de un VDC a una federación 37

l Redes separadas para el tráfico de replicación o administración: necesita lasdirecciones IP de la red separada por cada nodo.

Configuración de un balanceador de carga para distribuir la carga entre las direccionesIP de replicación de los nodos: deberá tener la dirección IP configurada en elbalanceador de carga.

Asegúrese de que el VDC que vaya a agregar tenga una licencia de ECS válida cargaday al menos un pool de almacenamiento en el estado Ready.

Procedimiento

1. En el VDC que desea agregar (por ejemplo, VDC2):

a. Inicio de sesión en el portal de ECS.

b. En el portal de ECS, seleccione Manage > Virtual Data Center.

c. En la página Virtual Data Center Management, haga clic en Get VDCAccess Key.

d. Seleccione la clave y presione Ctrl-c para copiarla.

Importante: You are only obtaining and copying the key of the VDC youwant to add, you are not creating a VDC on the site you are logged in to.

e. Cierre sesión en el portal de ECS en el sitio que esté agregando.

2. En el VDC existente (por ejemplo, VDC1):

a. Inicio de sesión en el portal de ECS.

b. Seleccione Manage > Virtual Data Center.

c. En la página Virtual Data Center Management, haga clic en New VirtualData Center.

d. En la página New Virtual Data Center, en el campo Name, escriba elnombre del nuevo VDC que agregará.

e. Haga clic en el campo Key y, a continuación, presione Ctrl-v para pegar laclave de acceso que copió desde el VDC que está agregando (del paso 1d).

3. En el campo Replication Endpoints, ingrese la dirección IP de replicación decada nodo en los pool de almacenamiento asignados al sitio que está agregando(por ejemplo, VDC2). Utilice:

l Direcciones IP públicas para la red si no se separó la red de replicación.

l Dirección IP configurada para el tráfico de replicación, si se separó la red dereplicación.

l Si se configura un balanceador de carga para distribuir la carga entre lasdirecciones IP de replicación de los nodos, la terminal de replicación es ladirección IP configurada en el balanceador de carga.

Utilice una coma para separar las direcciones IP dentro del cuadro de texto.

4. En el campo Management Endpoints, ingrese la dirección IP de administraciónde cada nodo en los pool de almacenamiento asignados al sitio que estáagregando (por ejemplo, VDC2). Utilice:

l Direcciones IP públicas para la red si no se separó la red de administración.

l Dirección IP configurada para el tráfico de administración, si se separó la redde administración.

Utilice una coma para separar las direcciones IP dentro del cuadro de texto.




Resultados

El nuevo VDC se agrega a la federación existente. El sistema de ECS es ahora unsistema geofederado. Cuando agrega el VDC a la federación, ECS estableceautomáticamente el tipo de VDC en On-Premise o en Hosted.

Requistos posteriores

Nota

Si la función de administrador de claves externo (EKM) está activada para lafederación, debe agregar la asignación de VDC a EKM necesaria para el VDC reciénagregado en la sección Key Management.

Para completar la configuración del sistema geofederado, debe crear un grupo dereplicación que abarque varios VDC de modo que los datos se puedan replicar entre losVDC. Para ello, debe asegurarse de:

l Haber creado pools de almacenamiento en los VDC que se incluirán en el grupo dereplicación (consulte Crear un pool de almacenamiento en la página 33).

l Crear el grupo de replicación cuando selecciona los VDC que proporcionan los poolde almacenamiento para el grupo de replicación (consulte Creación de un grupo dereplicación en la página 42).

l Después de crear el grupo de replicación, puede supervisar la copia de los datos deusuario y los metadatos al nuevo VDC que agregó al grupo de replicación en lapestaña Monitor > Geo Replication > Geo Bootstrap Processing. Cuando todoslos datos de usuario y metadatos se replican correctamente en el nuevo VDC, elestado Bootstrap State se muestra como Done y el progreso BootstrapProgress (%) como 100 en todos los VDC.

Editar un VDCPuede cambiar el nombre, la clave de acceso o los terminales de replicación yadministración del VDC.

Antes de comenzar


Si tiene un sistema geofederado de ECS y desea actualizar los terminales de VDCdespués de:

l separar las redes de replicación o administración para un VDC, o

l cambiar las direcciones IP de varios nodos en un VDC

debe utilizar el procedimiento de actualización de terminales en varios VDC. Si intentaactualizar terminales de VDC editando la configuración de un VDC individual en lapágina Edit Virtual Data Center <VDC name>, perderá conectividad entre los VDC.

Procedimiento


2. En la página Virtual Data Center Management, busque el VDC que deseaeditar en la tabla. Haga clic en Edit, en la columna Actions que está junto alVDC que desea editar.

3. En la página Edit Virtual Data Center <VDC name>:

l para modificar el nombre del VDC, en el campo Name, escriba el nuevonombre.


Editar un VDC 39

l para modificar la clave de acceso de VDC del nodo en el que ha iniciadosesión, en el campo Key, escriba el nuevo valor de clave o haga clic enGenerate para generar una nueva clave de acceso de VDC.

l Para modificar los terminales de replicación y administración:

Opción Descripción

para un solo VDC que no formaparte de una federación de ECS

a. En el campo Replication Endpoints, ingrese las direcciones IP de los terminales dereplicación. Utilice:

l Direcciones IP públicas para la red si no separó la red de replicación.

l Dirección IP configurada para el tráfico de replicación, si separó la red de replicación.

l Dirección IP configurada en el balanceador de carga si lo configuró para distribuir la cargaentre las direcciones IP de replicación de los nodos.

b. En el campo Management Endpoints, ingrese las direcciones IP de los terminales deadministración. Utilice:

l Direcciones IP públicas para la red si no separó la red de administración.

l Dirección IP configurada para el tráfico de administración, si separó la red de administración.

Utilice una coma para separar las direcciones IP dentro de los cuadros de texto.

para un VDC que forma partede una federación de ECS ypara el cual separó las redes dereplicación o administración, omodificó las direcciones IP devarios nodos

No modifique los terminales en la página Edit Virtual Data Center <VDC name>, ya que debe

modificar los terminales de la página Update All VDC Endpoints como se describe en Actualizarterminales de replicación y administración en varios VDC en la página 40.


Actualizar terminales de replicación y administración en varios VDCEn un sistema geofederado de ECS, puede utilizar la página Update All VDCEndpoints para actualizar terminales de replicación y administración en varios VDC.

Antes de comenzar


Debe actualizar los terminales de VDC en la página Update All VDC Endpoints luegode:

l Separar las redes de replicación o administración de un VDC en una federación deECS existente.

l Cambiar la dirección IP de varios nodos en un VDC.

Si intenta actualizar terminales de VDC editando la configuración de un VDC individualen la página Edit Virtual Data Center <VDC name>, perderá conectividad entre losVDC.

En un sistema geofederado de ECS con varios VDC, las direcciones IP configuradaspara la replicación de ECS y las redes de administración se utilizan para la conectividaddel tráfico de replicación y administración entre terminales de VDC. De formapredeterminada, todo el tráfico de administración y replicación de ECS se configurapara ejecutarse en la red pública de ECS y, de forma predeterminada, las direccionesIP de la red pública configurada para cada nodo se utilizan como terminales dereplicación y administración.



De forma opcional, puede separar las redes de replicación y administración. Por lotanto, debe volver a configurar los terminales de replicación y administración para unVDC.

Procedimiento


2. En la página Virtual Data Center Management, haga clic en Update All VDCEndpoints.

3. En la página Update All VDC Endpoints, si se separó la red de replicación o sise modificó la dirección IP del nodo, escriba la dirección IP de replicación decada nodo en el campo Replication Endpoints para el VDC. Escríbalas comouna lista separada por comas.

4. En la página Update All VDC Endpoints, si se separó la red de administración osi se modificó la dirección IP del nodo, escriba la dirección IP de administraciónde cada nodo en el campo Management Endpoints para el VDC. Escríbalascomo una lista separada por comas.

5. Haga clic en Update Endpoints.

Eliminar un VDC y realizar una conmutación por error de un sitioSi se produce un desastre, el VDC completo puede ser irrecuperable. ECS tratainicialmente el VDC irrecuperable como una falla temporal del sitio. Si la falla espermanente, debe quitar el VDC de la federación para iniciar el procesamiento deconmutación por error que reconstruye y vuelve a proteger los objetos almacenadosen el VDC con la falla. La tarea de recuperación se ejecuta como un proceso ensegundo plano. La eliminación de VDC está bloqueada en la GUI de ECS. Si hay unEquipo de ingeniería de la operación de contacto (OE) de PSO para obtenerasistencia.

Trabajo con grupos de replicación en el portal de ECSPuede usar grupos de replicación para definir dónde se protege el contenido del poolde almacenamiento. Los grupos de replicación pueden ser locales o globales. Losgrupos de replicación local no replican datos a otros VDC, pero protegen objetosdentro del mismo VDC contra fallas de discos o nodos mediante el espejeado y lastécnicas de codificación de eliminación. Los grupos de replicación globales protegenobjetos mediante su replicación a otro sitio dentro de una federación de ECS y, alhacerlo, brindan protección contra fallas del sitio.

Puede utilizar la página Replication Group Management para ver detalles del grupode replicación, crear nuevos grupos de replicación y editar los grupos de replicaciónexistentes. No puede borrar grupos de replicación en esta versión.


Eliminar un VDC y realizar una conmutación por error de un sitio 41

Figura 10 Página Replication Group Management

Tabla 7 Propiedades del grupo de replicación

Campo Descripción

Name El nombre del grupo de replicación.

Type El tipo de replicación puede ser Activa o Pasiva. Un tipo de replicación pasiva significa que un sitio sedesigna como el destino para los datos de replicación y solo está disponible cuando hay un mínimo de

tres sitios. No se puede seleccionar el tipo Passive si la opción Replicate to All Sites se establece en

On.Si tiene un sitio alojado, se seleccionará automáticamente como destino de replicación en unaconfiguración pasiva.

VDC Número de VDC en el grupo de replicación y nombres de los VDC donde se encuentran los pools dealmacenamiento.

Pool dealmacenamiento

Nombres de los pools de almacenamiento y sus VDC asociados. Un grupo de replicación puede contenerun pool de almacenamiento de cada VDC en una federación.

Target El pool de almacenamiento en el grupo de replicación que corresponde al destino de replicación en unaconfiguración pasiva.

Status El estado del grupo de replicación.

l Online

l Temp Unavailable: El tráfico de replicación a este VDC falló. Si todo el tráfico de replicación almismo VDC está en el estado Temp no disponible, se recomienda investigar más sobre la causa de lafalla.

Actions Las acciones que pueden realizarse para el grupo de replicación.

Edit: Se utiliza para modificar el nombre del grupo de replicación y el conjunto de los VDC y los pools dealmacenamiento en el grupo de replicación.

Creación de un grupo de replicaciónLos grupos de replicación pueden estar en un VDC como locales o pueden proteger losdatos mediante la replicación de datos entre sitios.

Antes de comenzar




Si desea que el grupo de replicación abarque varios VDC, debe asegurarse de que losVDC estén federados (unidos) al VDC primario y que los pools de almacenamiento sehayan creado en los VDC que se incluirán en el grupo de replicación.

Procedimiento

1. En el portal de ECS, seleccione Manage > Replication Group.

2. En la página Replication Group Management, haga clic en New ReplicationGroup.

3. En la página New Replication Group, en el campo Name, escriba un nombre(por ejemplo, ReplicationGroup1).

4. De manera opcional, en el campo Replicate to All Sites, haga clic en On paraeste grupo de replicación. Solo puede habilitar esta configuración cuando creael grupo de replicación; no podrá deshabilitarlo después.

Para una configuración Passive, establezca esta configuración en Off.


Opción dereplicación a todoslos sitiosdeshabilitada

El grupo de replicación utiliza la replicaciónpredeterminada. Con la replicación predeterminada, losdatos se almacenan en el site primario y una copiacompleta se almacena en un site secundario elegido entrelos sites dentro del grupo de replicación. La copiasecundaria está protegida por espejeado triple ycodificación de eliminación. Este proceso proporcionadurabilidad de los datos con eficiencia dealmacenamiento.

Opción dereplicación a todoslos sitios habilitada

El grupo de replicación hace una copia completamentelegible de todos los datos a todos los sitios (VDC) dentrodel grupo de replicación. Contar con copiascompletamente legibles de todos los objetos en todos losVDC en el grupo de replicación proporciona durabilidad delos datos y mejora el rendimiento local en todos los sites acosta de la eficiencia del almacenamiento.

5. En el campo Geo Replication Type, haga clic en Active o Passive. Active es laconfiguración predeterminada de ECS. No puede cambiar esta configuracióndespués de crear el grupo de replicación.

La configuración Passive está disponible solo cuando hay tres o más sitios.

No se puede seleccionar el tipo Passive si la opción Replicate to All Sites seestablece en On.

Para obtener más información sobre los esquemas de protección de datosActive y Passive, consulte Configuraciones de disponibilidad, durabilidad yresistencia en la página 16

6. Haga clic en Add VDC para agregar pools de almacenamiento de los VDC algrupo de replicación.

Los pasos para agregar pools de almacenamiento a un grupo de replicacióndependen de si dispone de un ambiente de un solo VDC o con replicación Activeo Passive.

7. Para agregar pools de almacenamiento a una configuración Active (o a un únicositio), realice los siguientes pasos.


Creación de un grupo de replicación 43

a. En la lista Virtual Data Center, seleccione el VDC que proporcionará un poolde almacenamiento para el grupo de replicación.

b. En la lista Storage Pool, seleccione el pool de almacenamiento quepertenece al VDC seleccionado.

c. Para incluir otros sitios en el grupo de replicación, haga clic en Add VDC.

d. Repita estos pasos para cada pool de almacenamiento que desee agregar algrupo de replicación.

8. Para agregar pools de almacenamiento a una configuración Passive, realice lossiguientes pasos.



a. En la lista Target VDC for Replication Virtual Data Center, seleccioneel VDC que desea agregar como destino de replicación.

Si tiene un VDC alojado que se aloja fuera de las instalaciones mediante uncentro de datos de otros fabricantes (un sitio de respaldo), se seleccionaautomáticamente como destino de replicación.

b. En la lista Target VDC for Replication Storage Pool, seleccione el pool dealmacenamiento que pertenece al VDC seleccionado.

c. En las dos listas de Source VDC for Replication Virtual Data Center,seleccione el VDC que desea agregar como sitio activo.

d. En las dos listas Source VDC for Replication Storage Pool, seleccione elpool de almacenamiento que pertenece al VDC seleccionado. Estos pools dealmacenamiento proporcionarán almacenamiento en los dos sitios activos.



Creación de un grupo de replicación 45


Después de crear el grupo de replicación, puede supervisar la copia de los datos deusuario y los metadatos al nuevo VDC que agregó al grupo de replicación en la pestañaMonitor > Geo Replication > Geo Bootstrap Processing. Cuando todos los datos deusuario y metadatos se replican con éxito en el nuevo VDC, el estado Bootstrap Statese muestra como Done y el progreso Bootstrap Progress (%) como 100.

Editar un grupo de replicaciónPuede cambiar el nombre del grupo de replicación o cambiar el conjunto de VDC ypools de almacenamiento en el grupo de replicación.

Antes de comenzar


PRECAUCIÓN

En una federación de múltiples sitios, cuando edita un grupo de replicación y optapor eliminar un VDC de los grupos de replicación a los que pertenece, eliminapermanentemente ese VDC de la federación. Eliminar el VDC de la federación deforma permanente desencadena el proceso de conmutación por error donde losobjetos que pertenecen a ese VDC (y su pool de almacenamiento) pertenecerán auno de los VDC restantes. En ECS, cada objeto tiene un VDC primario opropietario. El tiempo que se tarda en completar este proceso de conmutaciónpor error depende de la cantidad de datos que se debe mover. Si creó el grupo dereplicación con la configuración Replicación a todos los sitios habilitada, eltiempo que se tarda en mover todos los datos a los sitios restantes es breve, dadoque ya existe una copia en todos los sitios.

No puede editar los ajustes Replicate to All Sites o Geo Replication Type. Una vezconfiguradas estas opciones cuando se crea el grupo de replicación por primera vez,no pueden cambiarse.

Procedimiento

1. En el portal de ECS, seleccione Manage > Replication Group.

2. En la página Replication Group Management, junto al grupo de replicación quedesea editar, haga clic en Edit.

3. En la página Edit Replication Group:

l Para modificar el nombre del grupo de replicación, en el campo Name,escriba el nuevo nombre.

l Para agregar un VDC al grupo de replicación, haga clic en Add VDC yseleccione el VDC y el pool de almacenamiento de la lista.

l Para eliminar un VDC del grupo de replicación, haga clic en el botón Deletejunto a VDC (y su pool de almacenamiento).

PRECAUCIÓN

Eliminar un VDC de los grupos de replicación a los cuales pertenecesignifica quitar ese VDC permanentemente de la federación. Consulte #unique_40.




CAPÍTULO 4

Proveedores de autenticación

l Introducción a proveedores de autenticación..................................................... 48l Trabajo con proveedores de autenticación en el portal de ECS.......................... 48

Proveedores de autenticación 47

Introducción a proveedores de autenticaciónSe pueden agregar proveedores de autenticación a ECS para permitir la autenticaciónde los usuarios mediante sistemas externos a ECS.

Un proveedor de autenticación es un sistema externo a ECS que puede autenticarusuarios en nombre de ECS. ECS almacena la información que le permite conectarsecon el proveedor de autenticación de modo que ECS pueda solicitar la autenticaciónde un usuario.

En ECS, los siguientes tipos de proveedores de autenticación están disponibles:

l Autenticación de Active Directory (AD) o Lightweight Directory Access Protocol(LDAP): Se utiliza para autenticar usuarios de dominio que están asignados afunciones de administración en ECS.

l Keystone: Se utiliza para autenticar usuarios de objetos OpenStack Swift.

Los proveedores de autenticación se pueden crear desde el portal de ECS o mediantela CLI o la API REST de administración de ECS.

Trabajo con proveedores de autenticación en el portal deECS

Puede usar la página Authentication Provider Management disponible en Manage >Authentication para ver los detalles de los proveedores de autenticación existentes,para agregar proveedores de autenticación AD/LDAP o Keystone, para editar losproveedores de autenticación existentes y para eliminar proveedores de autenticación.

Figura 11 Página Authentication Provider Management

Tabla 8 Propiedades del proveedor de autenticación

Campo Descripción

Name El nombre del proveedor de autenticación.

Type El tipo de proveedor de autenticación. Indica si el proveedor de autenticación es un servidor deActive Directory (AD), Lightweight Directory Access Protocol (LDAP) o Keystone V3.

Domains Los dominios a los que el proveedor de autenticación proporciona acceso.

Status Indica si el proveedor de autenticación está actualmente habilitado o deshabilitado.



Tabla 8 Propiedades del proveedor de autenticación (continuación)

Campo Descripción

Actions Las acciones que pueden completarse para el proveedor de autenticación.

l Edit: Permite cambiar los ajustes del proveedor de autenticación de AD o LDAP que seenumeran en Tabla 9 en la página 50 o cambiar los ajustes del proveedor deautenticación de Keystone que se enumeran en Tabla 10 en la página 54.

l Delete: Permite eliminar el proveedor de autenticación.

l Botón New Authentication Provider: Agrega un proveedor de autenticación.

Consideraciones al agregar proveedores de autenticación de Active DirectoryCuando configura ECS para trabajar con Active Directory (AD), debe optar poragregar un único proveedor de autenticación de AD para gestionar varios dominios oagregar proveedores de autenticación de AD independientes para cada dominio.

La decisión de agregar un solo proveedor de autenticación de AD o varios depende dela cantidad de dominios que haya en el entorno y de la ubicación del árbol en el que elusuario administrador puede buscar. Los proveedores de autenticación tienen una solabase de búsqueda desde la cual se inicia la búsqueda, y una sola cuenta deadministrador que tiene acceso de lectura al nivel de search_base o inferior.

Puede agregar un solo proveedor de autenticación para varios dominios en lassiguientes condiciones:

l Usted administra un bosque de ADl La cuenta de administrador tiene privilegios para buscar todas las entradas de

usuarios en el árboll La búsqueda se realiza en todo el bosque desde una sola base de búsqueda, no solo

en los dominios que se enumeran en el proveedor

Si no es así, agregue proveedores de autenticación independientes para cada dominio.

Nota

Si administra un bosque de AD y tiene los privilegios de cuenta de administradornecesarios, hay escenarios en los que es posible que aún desee agregar un proveedorde autenticación para cada dominio. Por ejemplo, si desea un control estricto en cadadominio y más granularidad sobre la configuración del punto de partida de la base debúsqueda para la búsqueda.

La base de búsqueda debe estar lo suficiente alta en la estructura del directorio delbosque para que la búsqueda encuentre correctamente a todos los usuarios en losdominios específicos. En los siguientes ejemplos de búsqueda, se describen las mejoresopciones para agregar un solo proveedor o varios proveedores de autenticación:

l En un escenario en el cual el bosque en la configuración contiene diez dominios,pero usted desea especificar solo tres, no desearía agregar un solo proveedor deautenticación para administrar varios dominios, ya que la búsqueda se expandiríainnecesariamente por todo el bosque. Esto puede afectar el rendimiento de formanegativa. En este caso, debe agregar tres proveedores de autenticaciónindependientes para cada dominio.

l En un escenario en el cual el bosque en la configuración contiene diez dominios yusted desea especificar diez dominios, la adición de un solo proveedor de


Consideraciones al agregar proveedores de autenticación de Active Directory 49

autenticación para administrar varios dominios es una buena opción, ya que haymenos sobrecarga que configurar.

Configuraciones del proveedor de autenticación de AD o LDAPDebe proporcionar información del proveedor de autenticación cuando agrega o editaun proveedor de autenticación de AD o LDAP.

Tabla 9 Configuraciones del proveedor de autenticación de AD o LDAP

Campo Descripción y requerimientos

Name El nombre del proveedor de autenticación. Puede tener varios proveedores para dominios diferentes.

Description Descripción de texto libre del proveedor de autenticación.

Type El tipo de proveedor de autenticación. Active Directory o LDAP

Domains La recopilación de objetos definidos administrativamente que comparten relaciones de confianza,políticas de seguridad y una base de datos de directorio en común. Un solo dominio puede abarcarvarias ubicaciones o sitios físicos y puede contener millones de objetos.Ejemplo: mycompany.comSi se encuentra configurado un sufijo UPN alternativo en Active Directory, el campo Domainstambién debe contener el UPN alternativo configurado para el dominio. Por ejemplo, si se agregamyco como un sufijo UPN alternativo para mycompany.com, entonces el campo Domains debe

contener tanto myco como mycompany.com.

Server URLs LDAP o LDAPS (LDAP seguro) con la dirección IP de la controladora de dominio. El puertopredeterminado para LDAP es 389. El puerto predeterminado para LDAPS es 636.

Puede especificar uno o más proveedores de autenticación de LDAP o LDAPS.

Ejemplo: ldap://<Domain controller IP>:<port> (si no es el puerto predeterminado) o

ldaps://<Domain controller IP>:<port> (si no es el puerto predeterminado)

Si el proveedor de autenticación soporta un bosque en múltiples dominios, utilice la dirección IP delservidor del catálogo global y especifique siempre el número de puerto. El puerto predeterminadopara LDAP es 3268. El puerto predeterminado para LDAPS es 3269.

Ejemplo: ldap(s)://<Global catalog server IP>:<port>

Manager DN La cuenta de usuario de vinculación de Active Directory que utiliza ECS para conectarse al servidorde Active Directory o LDAP. Esta cuenta se utiliza para buscar en Active Directory cuando unadministrador de ECS especifica un usuario para la asignación de funciones.

Esta cuenta de usuario debe tener Read all inetOrgPerson information en Active

Directory. La clase de objeto de InetOrgPerson se utiliza en varios servicios de directorio X.500 y

LDAP, ajenos a Microsoft, para representar a las personas de una organización.

Para configurar este privilegio en Active Directory:

1. Abra Active Directory Users and Computers.

2. Haga clic con el botón secundario en el dominio, seleccione Delegate Control y después haga

clic en Next.

3. En el asistente Delegation of Control, haga clic en Next y, a continuación, haga clic en Add.

4. En el cuadro de diálogo Select Users, Computers, or Groups, seleccione el usuario que

está utilizando para managerdn y después haga clic en Next.

5. En la página Tasks to Delegate, en Delegate the following common tasks, seleccione la

tarea Read all inetOrgPerson information y luego haga clic en Next.



Tabla 9 Configuraciones del proveedor de autenticación de AD o LDAP (continuación)


6. Haga clic en Finish.

En este ejemplo: CN=Manager,CN=Users,DC=mydomaincontroller,DC=com, el usuario de

vinculación de Active Directory es Manager, en él árbol Users del dominio

mydomaincontroller.com. Generalmente, el managerdn es un usuario que tiene menos

privilegios que el administrador, pero tiene privilegios suficientes como para consultar en ActiveDirectory sobre atributos e información de grupos.

Importante: Debe actualizar esta cuenta de usuario en ECS si las credenciales de managerdncambian en Active Directory.

Contraseña deladministrador

La contraseña del usuario managerdn.

Importante: Debe actualizar esta contraseña en ECS si las credenciales de managerdn cambian

en Active Directory.

Proveedores Esta configuración se establece en Enabled de forma predeterminada cuando se agrega unproveedor de autenticación. ECS valida la conectividad del proveedor de autenticación habilitado yque el nombre y el dominio del proveedor de autenticación habilitado sean únicos.Seleccione Disabled solo si desea agregar el proveedor de autenticación a ECS, pero no deseautilizarlo inmediatamente para la autenticación. ECS no valida la conectividad de un proveedor deautenticación deshabilitado, pero valida que el nombre del proveedor de autenticación y el dominiosean únicos.

Group Attribute Este atributo se aplica solo a Active Directory; no se aplica a otros tipos de proveedores deautenticación.El atributo de AD que se usa para identificar un grupo. Se utiliza para buscar el directorio por grupos.

Ejemplo: CN

Nota

Una vez que establece este atributo para un proveedor de autenticación de AD, no lo puede cambiar,ya que los grupos de usuarios que están usando este proveedor pueden disponer de asignaciones defunciones y permisos configurados con nombres de grupo en un formato que utiliza este atributo.

Grupo en lista blanca Esta configuración se aplica solo a Active Directory; no se aplica a otros tipos de proveedores deautenticación.

Opcional. Uno o más nombres de grupo según lo definido por el proveedor de autenticación. Estaconfiguración permite filtrar la información de membresía del grupo que ECS recupera sobre unusuario.

l Cuando se incluyen uno o varios grupos en la lista blanca, ECS detecta la membresía de unusuario únicamente en los grupos especificados. Se permiten valores múltiples (uno por línea enel portal de ECS y valores separados por comas en la CLI y la API) y comodines (por ejemplo,MyGroup*, TopAdminUsers*).

l La configuración predeterminada está en blanco. ECS detecta todos los grupos a los quepertenece un usuario. El asterisco (*) significa lo mismo que el valor en blanco.

Ejemplo:

El UsuarioA pertenece al Group1 y Group2.

Si la lista blanca está en blanco, ECS sabe que el UsuarioA es miembro del Group1 y Group2.


Configuraciones del proveedor de autenticación de AD o LDAP 51

Tabla 9 Configuraciones del proveedor de autenticación de AD o LDAP (continuación)


Si la lista blanca es del Group1, ECS sabe que el UsuarioA es miembro del Group1, pero no sabe

que el UsuarioA es miembro del Group2 (o de cualquier otro grupo).

Tenga cuidado cuando agrega un valor a la lista blanca. Por ejemplo, si asigna un usuario a un espaciode nombres que se basa en la membresía de un grupo, ECS debe estar al tanto de la membresía delusuario en el grupo.

Para restringir el acceso a un espacio de nombres únicamente a usuarios de ciertos grupos, completelas siguientes tareas.

l Agregue los grupos al mapeo de usuarios de espacio de nombres . El espacio de nombres estáconfigurado para aceptar solamente usuarios de estos grupos.

l Agregue los grupos a la lista blanca. ECS está autorizado a recibir información sobre ellos.

De manera predeterminada, si no se agrega ningún grupo al mapeo de usuarios de espacio denombres, se aceptarán usuarios de cualquier grupo, independientemente de la configuración de lalista blanca.

Alcance de búsqueda Los niveles para la búsqueda. Los valores posibles son:

l One Level (búsqueda de usuarios de un nivel bajo la base de búsqueda)

l Subtree (búsqueda en todo el subárbol mediante la base de búsqueda)

Search Base El nombre distinguido de la base que utiliza ECS para buscar usuarios o grupos de AD en el momentodel inicio de sesión y cuando se asignan funciones o se establecen las ACL.En el siguiente ejemplo, se buscan todos los usuarios en el contenedor Users.

CN=Users,DC=mydomaincontroller,DC=comEn el siguiente ejemplo, se buscan todos los usuarios en el contenedor Users en la unidad

organizacional de myGroup. Tenga en cuenta que la estructura del valor de search base comienza

con el nivel de hoja y sube hasta el nivel de la controladora de dominio, a la inversa de la estructura

vista en el snap-in Active Directory Users and Computers.

CN=Users,OU=myGroup,DC=mydomaincontroller,DC=com

Search Filter La cadena utilizada para seleccionar subconjuntos de usuarios.Ejemplo: userPrincipalName=%u

Nota

ECS no valida este valor cuando se agrega el proveedor de autenticación.

Si se encuentra configurado un sufijo UPN alternativo en Active Directory, el valor Search Filter debetener el formato sAMAccountName=%U, donde %U es el nombre de usuario y no contiene el nombre

de dominio.

Agregar un proveedor de autenticación de AD o LDAPPuede agregar uno o más proveedores de autenticación a ECS para ejecutar laautenticación de usuarios para los usuarios del dominio de ECS.

Antes de comenzar

l Esta operación requiere la función de administrador del sistema en ECS.



l Necesita acceso a la información del proveedor de autenticación que apareceenumerada en Ajustes del proveedor de autenticación de AD/LDAP. Tenga encuenta especialmente los requerimientos para el usuario Administrador DN.

Procedimiento

1. En el portal de ECS, seleccione Manage > Authentication.

2. En la página Authentication Provider Management, haga clic en NewAuthentication Provider.

3. En la página New Authentication Provider, escriba valores en los campos. Paraobtener más información sobre estos campos, consulte Ajustes del proveedorde autenticación de AD/LDAP.


5. Para verificar la configuración, agregue un usuario del proveedor deautenticación en Manage > Users > Management Users y luego intente iniciarsesión como el usuario nuevo.


Si desea que estos usuarios realicen operaciones de usuario de objetos de ECS, debeagregar (asignar) los usuarios del dominio en un espacio de nombres. Para obtenermás información, consulte Agregar usuarios de dominio a un espacio de nombres en lapágina 84.

Agregar un proveedor de autenticación KeystonePuede agregar un proveedor de autenticación de Keystone para autenticar a losusuarios de OpenStack Swift.

Antes de comenzar


l Puede agregar un solo proveedor de autenticación de Keystone.

l Obtenga la información del proveedor de autenticación que aparece en Configuración del proveedor de autenticación de Keystone.

Procedimiento

1. En el portal de ECS, seleccione Manage > Authentication.

2. En la página Authentication Provider Management, haga clic en NewAuthentication Provider.

3. En la página New Authentication Provider, en el campo Type, seleccioneKeystone V3.

Se muestran los campos obligatorios.

4. Escriba valores en los campos Name, Description, Server URL, KeystoneAdministrator y Admin Password. Para obtener más información sobre estoscampos, consulte Configuración del proveedor de autenticación de Keystone.


Configuraciones del proveedor de autenticación KeystoneDebe proporcionar información del proveedor de autenticación cuando agrega o editaun proveedor de autenticación de Keystone.


Agregar un proveedor de autenticación Keystone 53

Tabla 10 Configuraciones del proveedor de autenticación Keystone

Campo Descripción

Name El nombre del proveedor de autenticación Keystone. Este nombre se usa paraidentificar al proveedor en ECS.

Description Descripción de texto libre del proveedor de autenticación.

Type Keystone V3.

Server URL URl del sistema Keystone al que ECS se conecta a fin de validar usuarios Swift.

Keystone Administrator Nombre de usuario para un administrador del sistema Keystone. ECS se conecta alsistema Keystone mediante este nombre de usuario.

Admin Password Contraseña del administrador Keystone especificado.



CAPÍTULO 5

Espacios de nombres

l Introducción a espacios de nombres.................................................................. 56l Trabajo con espacios de nombres en el portal de ECS........................................57

Espacios de nombres 55

Introducción a espacios de nombresPuede usar espacios de nombres para proporcionar a varios grupos de usuarios accesoal almacén de objetos de ECS y para garantizar que los objetos y depósitos escritospor los usuarios de cada grupo de usuarios estén separados de los usuarios de los otrosgrupos de usuarios.

ECS es compatible con el acceso de múltiples grupos de usuarios, donde cada grupode usuarios está definido por un espacio de nombres, y el espacio de nombres tieneconfigurado un conjunto de usuarios que pueden almacenar y acceder a los objetosdentro del espacio de nombres. Los usuarios de un espacio de nombres no puedenacceder a los objetos que pertenecen a otro espacio de nombres.

Los espacios de nombres son recursos globales en ECS. Un administrador del sistemao un administrador de espacio de nombres puede acceder a cualquier VDC federado ypuede configurar el espacio de nombres. Los usuarios de objetos asignados a unespacio de nombres son globales y pueden acceder al almacén de objetos de cualquierVDC federado.

Puede configurar un espacio de nombres con ajustes que definan qué usuarios puedenacceder al espacio de nombres y qué características tiene el espacio de nombres. Losusuarios con los privilegios adecuados pueden crear depósitos, y pueden crear objetosdentro de los depósitos en el espacio de nombres.

Puede utilizar depósitos para crear subgrupos de usuarios. El propietario del depósitoes el administrador del subgrupo de usuarios y puede asignar usuarios al subgrupo deusuarios mediante listas de control de acceso (ACL). Sin embargo, los subgrupos deusuarios no proporcionan el mismo nivel de segregación que los grupos de usuarios.Cualquier usuario asignado al grupo de usuarios podría tener asignados privilegios enun subgrupo de usuarios, por lo que se debe tener cuidado al asignar usuarios.

Un objeto en un espacio de nombres puede tener el mismo nombre que un objeto enotro espacio de nombres. ECS permite identificar objetos mediante el calificador deespacio de nombres.

Puede configurar espacios de nombres para monitorear y medir su uso, y puedeotorgar derechos de administración al grupo de usuarios para que pueda realizaroperaciones de configuración, monitoreo y medición.

Las tareas de configuración de espacios de nombres que se pueden realizar en elportal de ECS también se pueden realizar mediante la API REST de administración deECS.

Grupos de usuarios de espacios de nombres

Un administrador del sistema puede configurar espacios de nombres en los siguientesescenarios de grupo de usuarios:

Grupo de usuario individual empresarial

Todos los usuarios acceden a depósitos y objetos en el mismo espacio denombres. Pueden crearse depósitos para subgrupos de usuarios a fin de permitirque un subconjunto de usuarios del espacio de nombres acceda al mismo conjuntode objetos. Por ejemplo, un subgrupo de usuarios podría ser un departamentodentro de la organización.

Espacios de nombres


Grupo de usuarios empresarial

Los diferentes departamentos dentro de una organización se asignan a diferentesespacios de nombres, y los usuarios del departamento se asignan a cada espaciode nombres.

Proveedor de servicios de nube, un solo grupo de usuarios

Se configura un solo espacio de nombres, y el proveedor de servicios proporcionaacceso al almacén de objetos para usuarios dentro o fuera de la organización.

Proveedor de servicios de nube, multiusuario

El proveedor de servicios asigna espacios de nombres a diferentes empresas yasigna un administrador para el espacio de nombres. El administrador del espaciode nombres del grupo de usuarios puede entonces agregar usuarios y puedemonitorear y medir el uso de depósitos y objetos.

Trabajo con espacios de nombres en el portal de ECS

Puede usar la página Namespace Management disponible en Manage > Namespacepara ver los detalles de los espacios de nombres existentes, para crear nuevosespacios de nombres, para editar espacios de nombres existentes y para eliminarespacios de nombres.

Figura 12 Página de administración de espacios de nombres

Tabla 11 Propiedades de espacios de nombres

Campo Descripción

Name El nombre del espacio de nombres.

Default Replication Group El grupo de replicación predeterminado para el espacio de nombres.

Notification Quota El límite de la cuota cuando se genera la notificación.

Max Quota El límite de la cuota cuando se bloquean las operaciones de escritura en el espacio denombres.

Encryption Especifica si el cifrado del lado del servidor D@RE está activado para el espacio denombres.

Espacios de nombres

Trabajo con espacios de nombres en el portal de ECS 57

Tabla 11 Propiedades de espacios de nombres (continuación)

Campo Descripción

Actions Las acciones que pueden realizarse para el espacio de nombres.

l Edit: Permite cambiar el nombre del espacio de nombres, el administrador delespacio de nombres, el grupo de replicación predeterminado, la cuota del espacio denombres, la cuota del depósito, el cifrado del lado del servidor, el acceso durante unainterrupción y la configuración de cumplimiento de normas para el espacio denombres.

l Delete: Elimina el espacio de nombres.

Ajustes de espacio de nombres

En la siguiente tabla, se describen los ajustes que puede especificar cuando crea oedita un espacio de nombres de ECS.

La forma en que se utilizan los nombres del espacio de nombres y de los depósitoscuando se direccionan objetos en ECS se describe en URL base de objetos en la página158.

Tabla 12 Ajustes de espacio de nombres

Campo Descripción Se puedeeditar

Name El nombre del espacio de nombres, en caracteres en minúscula. No

Namespace Admin El ID de usuario de uno o más usuarios asignados a la función de administrador deespacio de nombres; una lista de usuarios debe tener las entradas separadas porcomas.Los administradores de espacio de nombres pueden ser usuarios locales o dedominio. Si desea que el administrador de espacio de nombres sea un usuario dedominio, asegúrese de que se haya agregado un proveedor de autenticación a ECS.Consulte Introducción a usuarios y funciones en la página 68 para obtenerdetalles.

Sí

Domain Group Admin El grupo de dominio asignado a la función de administrador del espacio de nombres.A todos los miembros, una vez autenticados, se les asigna la función deadministrador del espacio de nombres para el espacio de nombres. Se debe asignarel grupo de dominio al espacio de nombres mediante la configuración de DomainUser Mappings para el espacio de nombres.Para usar esta función, debe asegurarse de que se agregó un proveedor deautenticación a ECS. Consulte Introducción a usuarios y funciones en la página 68para obtener detalles.

Sí

Replication Group El grupo de replicación predeterminado para el espacio de nombres. Sí

Namespace Quota El límite de espacio de almacenamiento especificado para el espacio de nombres.Puede especificar un límite de almacenamiento para el espacio de nombres y definirnotificaciones y comportamiento de acceso cuando se alcanza la cuota. Laconfiguración de cuota para un espacio de nombres no puede ser menor de 1 GiB.Puede especificar la configuración de cuota del espacio de nombres en incrementosde GiB. Puede seleccionar una de las siguientes opciones de comportamiento decuotas:

Sí

Espacios de nombres


Tabla 12 Ajustes de espacio de nombres (continuación)


l Notification Only at <quota_limit_in_GiB> Configuración de cuota deadvertencia según la cual recibe una notificación.

l Block Access Only at <quota_limit_in_GiB> Configuración de cuotamáxima que, cuando se alcanza, permite bloquear el acceso de actualización oescritura al depósito en el espacio de nombres.

l Block Access at <quota_limit_in_GiB> and Send Notification at<quota_limit_in_GiB> Configuración de cuota máxima que, cuando sealcanza, permite bloquear el acceso de actualización o escritura al depósito enel espacio de nombres y el acceso a la configuración de cuota según la cualrecibe una notificación.

Default Bucket Quota El límite de almacenamiento predeterminado que se especifica para los depósitoscreados en este espacio de nombres. Se trata de una cuota máxima que, cuando sealcanza, evita el acceso de escritura o actualización al depósito.Cambiar la cuota predeterminada del depósito no cambia la cuota del depósito paralos depósitos creados anteriormente.

Sí

Server-side Encryption El valor predeterminado del cifrado del lado del servidor para los depósitos creadosen este espacio de nombres.El cifrado del lado del servidor, también conocido como cifrado de datos en reposoo D@RE, cifra los datos en línea antes de almacenarlos en unidades o discos deECS. Este cifrado ayuda a evitar que datos confidenciales se puedan obtener desdemedios descartados o robados.

Si habilita esta configuración para el espacio de nombres, se cifran todos susdepósitos y no se puede cambiar esta configuración cuando se crea un depósito. Sino desea que los depósitos del espacio de nombres se cifren, debe deshabilitar estaconfiguración. Si deshabilita esta configuración para el espacio de nombres,los depósitos individuales se pueden establecer como cifrados cuando se crean.

Para obtener una descripción completa de la función, consulte Guía de configuraciónde seguridad de ECS, disponible en la página de documentación de productos deECS.

No

Access During Outage El comportamiento predeterminado cuando se accede a datos en los depósitoscreados en este espacio de nombres durante una interrupción temporal del sitio enuna configuración geofederada.

Cuando habilita esta configuración para el espacio de nombres, si se produce unainterrupción temporal del sitio y no puede obtener acceso a un depósito en el sitiofallido donde se creó (sitio propietario), podrá acceder a una copia del depósito enotro sitio. Los objetos a los que accede en este depósito en el espacio de nombrespueden haberse actualizado en el sitio fallido; sin embargo, es posible que loscambios no se hayan propagado al sitio desde el que accede al objeto.

Si deshabilita esta configuración para el espacio de nombres, no se puede acceder alos datos incluidos en la zona con la interrupción temporal desde otras zonas y nose pueden realizar lecturas de objetos de datos que tienen su centro en el sitiofallido.

Para obtener más información, consulte Comportamiento de TSO con laconfiguración habilitada del depósito de ADO en la página 201.

Sí

Espacios de nombres

Ajustes de espacio de nombres 59



Tabla 12 Ajustes de espacio de nombres (continuación)


Compliance Las reglas que limitan los cambios que se pueden realizar en la configuración deretención de los objetos retenidos. ECS cuenta con funciones de retención deobjetos habilitadas o definidas en el nivel del objeto, del depósito y del espacio denombres. El cumplimiento de normas refuerza estas funciones mediante lalimitación de los cambios que se pueden realizar en la configuración de la retenciónde los objetos retenidos.

Puede habilitar esta configuración solo en el momento en el que se crea el espaciode nombres; no puede cambiarla después de crear el espacio de nombres.

El cumplimiento de normas es compatible con sistemas S3 y CAS. Para obtenermás información acerca de las reglas aplicadas por el cumplimiento de normas,consulte Guía de acceso a datos de ECS, disponible en la página de documentaciónde productos de ECS.

No

Retention Policies Permite que se agreguen y se configuren una o más políticas de retención.Un espacio de nombres puede tener una o más políticas de retención asociadas, enlas que en cada política se define un período de retención. Cuando aplica unapolítica de retención a varios objetos, en lugar de a un objeto individual, un cambioen la política de retención modifica el período de retención para todos los objetos alos que se aplica la política. Se rechazará una solicitud de modificación de un objetoantes del vencimiento del período de retención.

Además de especificar una política de retención para varios objetos, puedeespecificar políticas de retención y una cuota para todo el espacio de nombres.

Para obtener más información acerca de la retención, consulte Períodos y políticasde retención en la página 60.

Sí

Domain Permite que se especifiquen dominios Active Directory (AD) o LightweightDirectory Access Protocol (LDAP) y que se configuren reglas para la inclusión deusuarios de dominio.Los usuarios de dominio pueden asignarse a funciones de administración de ECS ypueden utilizar la funcionalidad de autoservicio de ECS para registrarse comousuarios de objetos.

El mapeo de usuarios de dominio en un espacio de nombres se describe en Losusuarios de dominio requieren un espacio de nombres asignado para realizaroperaciones de usuario de objetos en la página 70.

Sí

Puede configurar el siguiente atributo mediante la API REST de administración deECS, pero no desde el portal de ECS.

Allowed (and Disallowed) Replication Groups

Permite que un cliente especifique los grupos de replicación que el espacio denombres puede utilizar.

Períodos y políticas de retenciónECS proporciona la capacidad de evitar que los datos se modifiquen o eliminen en unperíodo de retención especificado.

Puede especificar la retención mediante períodos de retención y políticas de retenciónque se definen en los metadatos que están asociados con objetos y depósitos. Losperíodos de retención y las políticas de retención se comprueban cada vez que se

Espacios de nombres




realiza una solicitud de modificación de un objeto. Los períodos de retención soncompatibles con todos los protocolos de objetos de ECS (S3, Swift, Atmos y CAS).

Nota

Para obtener información detallada sobre la configuración de retención en interfacesde objetos, incluidas la retención de CAS y la retención avanzada de CAS, consulteGuía de acceso a datos de ECS, disponible en la página de documentación de productosde ECS.

Períodos de retención

Puede asignar períodos de retención en el nivel de objeto o el nivel de depósito.Cada vez que un usuario solicita modificar o eliminar un objeto, se calcula unafecha de vencimiento. La fecha de vencimiento del objeto es igual a la hora decreación más el período de retención. Cuando asigna un período de retención enun depósito, la fecha de vencimiento del objeto se calcula según el período deretención configurado en el objeto y el período de retención configurado en eldepósito (el que sea más largo).

Cuando aplica un período de retención a un depósito, el período de retención paratodos los objetos que se encuentran en un depósito se puede cambiar en cualquiermomento y, además, puede reemplazar el valor escrito en el objeto por un clientede objetos mediante la configuración de un período más extenso.

Puede especificar que un objeto se conserve indefinidamente.

Período de confirmación automática

El período de confirmación automática es el intervalo de tiempo en el que sepermiten las actualizaciones a través de NFS o HDFS para los objetos enretención. Este atributo permite que los archivos de NFS o HDFS que se escribenen ECS cumplan con WORM. El intervalo se calcula a partir de la última hora demodificación.

El valor de confirmación automática debe ser menor o igual que el valor deretención con un máximo de un día. Un valor de 0 indica que no hay un período deconfirmación automática.

Políticas de retención

Las políticas de retención se asocian a un espacio de nombres. Cualquier políticaasociada con el espacio de nombres puede asignarse a un objeto que pertenezcaal espacio de nombres. Una política de retención tiene un período de retenciónasociado.

Cuando cambia el período de retención que está asociado con una política, elperíodo de retención cambia automáticamente para los objetos que tienen esapolítica asignada.

Puede aplicar una política de retención a un objeto. Cuando un usuario intentamodificar o eliminar un objeto, se recupera la política de retención. El período deretención en la política de retención se utiliza con el período de retención deobjeto y el período de retención de depósito para verificar si se permite lasolicitud.

Por ejemplo, podría definir una política de retención para cada uno de lossiguientes tipos de documento y cada política podría tener un período deretención adecuado. Cuando un usuario solicita modificar o eliminar el documentolegal cuatro años después de su creación, se utiliza el período que sea másextenso entre el período de retención de depósito y el período de retención de

Espacios de nombres

Ajustes de espacio de nombres 61



objeto para verificar si se puede ejecutar la operación. En este caso, no se permitela solicitud y el documento no puede modificarse ni eliminarse durante un añomás.

l Correo electrónico: seis meses

l Finanzas: tres años

l Legal: cinco años

Métodos de la política de retención de la API REST de administración de ECSLas tareas de creación y configuración de la política de retención que puedenrealizarse en el portal de ECS también pueden realizarse con la API REST deadministración de ECS. En la siguiente tabla, se describen los métodos de la API RESTde administración de ECS que se relacionan con las políticas de retención.

Método de la API REST deadministración de ECS

Descripción

PUT /object/bucket/{bucketName}/retention

El valor de retención para un depósito define un período de retención obligatorioque se aplica a cada objeto dentro de un depósito. Si establece un período deretención de un año, un objeto del depósito no se puede modificar ni eliminardurante un año.

GET /object/bucket/{bucketName}/retention

Muestra el período de retención que está establecido para un depósitoespecificado.

POST /object/namespaces/namespace/{namespace}/retention

Para los espacios de nombres, la configuración de retención actúa como unapolítica, donde cada política es un par <name>: <retention period>. Puede definirvarias políticas de retención para un espacio de nombres y puede asignar unapolítica, por nombre, a un objeto en el espacio de nombres. Esto le permite cambiarel período de retención de un conjunto de objetos que tienen la misma políticaasignada al cambiar la política correspondiente.

PUT /object/namespaces/namespace/{namespace}/retention/{class}

Actualiza el período para una clase de retención que está asociada con un espaciode nombres.

GET /object/namespaces/namespace/{namespace}/retention

Devuelve las clases de retención definidas para un espacio de nombres.

Para obtener información sobre cómo acceder a la API REST de administración deECS, consulte Guía de acceso a datos de ECS, disponible en la página dedocumentación de productos de ECS:

Crear un espacio de nombresPuede crear un espacio de nombres.

Antes de comenzar


l Debe existir un grupo de replicación. El grupo de replicación proporciona acceso alos pools de almacenamiento de datos en donde se almacenan datos de objetos.

l Si desea permitir que los usuarios del dominio accedan al espacio de nombres,debe agregar un proveedor de autenticación a ECS. Para configurar los usuariosde objetos del dominio o un grupo del dominio, debe planear cómo desea mapearestos usuarios en el espacio de nombres. Para obtener más información acerca dela asignación de usuarios, consulte Los usuarios de dominio requieren un espaciode nombres asignado para realizar operaciones de usuario de objetos en la página70.

Espacios de nombres




Para obtener información sobre espacios de nombres, consulte Ajustes de espacio denombres en la página 58.

Procedimiento

1. En el portal de ECS, seleccione Manage > Namespace.

2. En la página Namespace Management, haga clic en New Namespace.

3. En la página New Namespace, en el campo Name, escriba el nombre delespacio de nombres.

El nombre no se puede cambiar una vez creado.

4. En el campo Namespace Admin, especifique el ID de usuario de uno o másdominios o usuarios locales a los que desea asignar la función de administradorde espacio de nombres.

Puede agregar múltiples usuarios o grupos como listas con elementos separadospor comas.

5. En el campo Domain Group Admin, también puede agregar uno o más gruposde dominios a los cuales desea asignar la función de administrador de espacio denombres.

6. En el campo Replication Group, seleccione el grupo de replicaciónpredeterminado para este espacio de nombres.

7. En el campo Namespace Quota, haga clic en On para especificar un límite deespacio de almacenamiento para este espacio de nombres. Si habilita una cuotade espacio de nombres, seleccione una de las siguientes opciones decomportamiento de cuotas:

a. Notification Only at <quota_limit_in_GiB>

Seleccione esta opción si desea recibir una notificación cuando se alcance laconfiguración de cuota de espacio de nombres.

b. Block Access Only at <quota_limit_in_GiB>

Seleccione esta opción si desea que el acceso de escritura o actualización alos depósitos en este espacio de nombres se bloquee cuando se alcance lacuota.

c. Block Access at <quota_limit_in_GiB> and Send Notification at<quota_limit_in_GiB>

Seleccione esta opción si desea bloquear el acceso de escritura oactualización a los depósitos en este espacio de nombres cuando se alcanzala cuota y, además, desea recibir una notificación cuando la cuota alcance unlímite de almacenamiento especificado.

8. En el campo Default Bucket Quota, haga clic en On para especificar un límitede espacio de almacenamiento predeterminado que se estableceautomáticamente en todos los depósitos creados en este espacio de nombres.

9. En el campo Server-side Encryption, haga clic en On para habilitar el cifradodel servidor en todos los depósitos creados en el espacio de nombres y paracifrar todos los objetos en los depósitos. Si establece esta configuración en Off,puede aplicar el cifrado del lado del servidor a depósitos individuales en elespacio de nombres en el momento de la creación.

10. En el campo Access During Outage, haga clic en On u Off para especificar elcomportamiento predeterminado para cuando se accede a datos en losdepósitos creados en este espacio de nombres durante una interrupcióntemporal del sitio en una configuración geofederada.

Espacios de nombres

Crear un espacio de nombres 63

Si habilita esta opción y se produce una interrupción temporal del sitio en unsistema federado geográficamente y no puede acceder a un depósito en el sitiofallido en el que se creó (sitio propietario), podrá acceder a una copia deldepósito en otro sitio.

Si se deshabilita esta configuración, no se puede acceder a los datos incluidosen la zona con la interrupción temporal desde otras zonas y no se puedenrealizar lecturas de objetos de datos que tienen su centro en el sitio fallido.

11. En el campo Compliance, haga clic en On para habilitar las funciones decumplimiento de normas para los objetos de este espacio de nombres.

Una vez que habilite esta configuración, no podrá deshabilitarla.

Solo puede habilitar esta configuración durante la creación del espacio denombres.

Una vez que habilita esta configuración, puede agregar una política de retenciónsiguiendo estos pasos:

a. En el área Retention Policies, en el campo Name, escriba el nombre de lapolítica.

b. En los campos Value, seleccione un valor numérico y, a continuación,seleccione la unidad de medida (segundos, minutos, horas, días, meses,años, infinito) para establecer el periodo de retención para esta política deretención.

En lugar de especificar un período de retención específico, puede seleccionarInfinite como unidad de medida para asegurarse de que los depósitosasignados a esta política de retención nunca se eliminen.

c. Haga clic en Add para agregar la nueva política.

12. Para especificar un dominio de Active Directory (AD) o un dominio LDAP quecontenga los usuarios que pueden iniciar sesión en ECS y realizar tareasadministrativas en el espacio de nombres, haga clic en Domain.

a. En el campo Domain, escriba el nombre de dominio.

b. Para especificar los grupos y atributos para los usuarios del dominio quepueden acceder a ECS en este espacio de nombres, escriba los nuevosvalores en los campos Groups, Attribute y Values.

Para obtener información sobre cómo realizar asignaciones complejas congrupos y atributos, consulte Los usuarios de dominio requieren un espacio denombres asignado para realizar operaciones de usuario de objetos en la página70.


Editar un espacio de nombresPuede cambiar la configuración de un espacio de nombres existente.

Antes de comenzar


La función de administrador de espacio de nombres puede modificar el dominio de ADo LDAP que contiene los usuarios del espacio de nombres que son usuarios de objetoso usuarios de administración a los cuales se les puede asignar la función deadministrador de espacio de nombres para el espacio de nombres.

Espacios de nombres


No puede editar los campos Name, Server-side Encryption o Compliance despuésde la creación del espacio de nombres.

Procedimiento


2. En la página Namespace Management, busque en la tabla el espacio denombres que desea editar. Haga clic en Edit, en la columna Actions que estájunto al espacio de nombres que desea editar.

3. En la página Edit Namespace:

l Para modificar el dominio o los usuarios locales a los que desea asignar lafunción de administrador de espacio de nombres, en los campos NamespaceAdmin o Domain Group Admin, cambie los ID de usuario.

l Para modificar el grupo de replicación predeterminado para este espacio denombres, en el campo Replication Group, seleccione un grupo dereplicación diferente.

l Para modificar cuáles de las siguientes configuraciones están habilitadas,haga clic en las opciones On u Off correspondientes.

n Namespace Quota

n Default Bucket Quota

n Access During Outage

4. Para modificar una política de retención existente, en el área RetentionPolicies:

a. Haga clic en Edit, en la columna Actions que está junto a la política depolítica de retención que desea editar.

b. Para modificar el nombre de la política, en el campo Name, escriba el nuevonombre para la política de retención.

c. Para modificar el período de retención, en el campo Value, escriba el nuevoperíodo de retención para esta política de retención.

5. Para modificar el dominio de AD o LDAP que contiene los usuarios de objetosdel espacio de nombres y los usuarios de administración a los cuales se lespuede asignar la función de administrador de espacio de nombres para elespacio de nombres, haga clic en Domain.

a. Para modificar el nombre de dominio, en el campo Domain, escriba el nuevonombre de dominio.

b. Para modificar los grupos y atributos para los usuarios del dominio quepueden acceder a ECS en este espacio de nombres, escriba los nuevosvalores en los campos Groups, Attribute y Values.


Eliminar un espacio de nombresPuede eliminar un espacio de nombres, pero primero debe eliminar los depósitos en elespacio de nombres.

Antes de comenzar


Espacios de nombres

Eliminar un espacio de nombres 65

Procedimiento


2. En la página Namespace Management, busque en la tabla el espacio denombres que desea eliminar. Haga clic en Delete, en la columna Actions queestá junto al espacio de nombres que desea eliminar.

Se muestra una alerta que le informa la cantidad de depósitos en el espacio denombres y le solicita que elimine los depósitos en el espacio de nombres antesde eliminar el espacio de nombres. Haga clic en OK.

3. Elimine los depósitos en el espacio de nombres.

a. Seleccione Manage > Buckets.

b. En la página Bucket Management, busque en la tabla el depósito que deseaeliminar. Haga clic en Delete, en la columna Actions que está junto aldepósito que desea eliminar.

c. Repita el paso 4b para todos los depósitos en el espacio de nombres.

4. En la página Namespace Management, busque en la tabla el espacio denombres que desea eliminar. Haga clic en Delete, en la columna Actions queestá junto al espacio de nombres que desea eliminar.

Dado que ya no hay ningún depósito en este espacio de nombres, se muestra unmensaje para confirmar que desea eliminar este espacio de nombres. Haga clicen OK.


Espacios de nombres


CAPÍTULO 6

Usuarios y funciones

l Introducción a usuarios y funciones................................................................... 68l Usuarios en ECS................................................................................................ 68l Funciones de administración en ECS..................................................................73l Trabajo con usuarios en el portal de ECS............................................................79

Usuarios y funciones 67

Introducción a usuarios y funcionesEn ECS puede configurar usuarios y funciones para controlar el acceso a las tareas deadministración de ECS y al almacén de objetos. Los usuarios de administración puedenrealizar tareas de administración en el portal de ECS. Los usuarios de objetos nopueden acceder al portal de ECS, pero tienen acceso al almacén de objetos medianteclientes que son compatibles con los protocolos de acceso a datos de ECS.

Las funciones en ECS determinan las operaciones que una cuenta de administraciónpuede ejecutar en el portal de ECS o mediante la API REST de administración de ECS.

Los usuarios de administración y los usuarios de objetos se almacenan en diferentestablas y sus credenciales son diferentes. Los usuarios de administración requieren unnombre de usuario y contraseña locales, o un vínculo a una cuenta de usuario deldominio. Los usuarios de objetos requieren un nombre de usuario y una seña secreta.Puede crear un usuario de administración y un usuario de objetos con el mismonombre, pero son en realidad diferentes usuarios, ya que sus credenciales sondiferentes.

Los nombres de usuarios de administración y usuarios de objetos pueden ser únicos entodo el sistema ECS o pueden ser únicos dentro de un espacio de nombres, lo cual seconoce como alcance del usuario.

Los usuarios locales y de dominio pueden asignarse como usuarios de administración ousuarios de objetos. ECS almacena las credenciales de usuario locales. Los usuarios dedominio son usuarios definidos en una base de datos de Active Directory AD/LDAP, yECS debe hablar con el servidor de AD o LDAP para autenticar la solicitud de inicio desesión del usuario.

Usuarios en ECSECS requiere dos tipos de usuarios: usuarios de administración, que pueden ejecutar laadministración de ECS, y usuarios de objetos, que acceden al almacén de objetos paraleer y escribir objetos y depósitos.

Usuarios de administraciónLos usuarios de administración pueden realizar la configuración y administración delsistema de ECS y los espacios de nombres (grupos de usuarios) configurados en ECS.

Las funciones que se pueden asignar a los usuarios de administración sonadministrador del sistema, monitor del sistema, administrador de espacio de nombres yadministrador de bloqueo, como se describe en Funciones de administración enECS en la página 73.

Los usuarios de administración pueden ser usuarios locales o usuarios de dominio. Losusuarios de administración que son usuarios locales se autentican mediante ECS conlas credenciales guardadas localmente. Los usuarios de administración que sonusuarios de dominio se autentican en sistemas de Active Directory o LightweightDirectory Access Protocol (LDAP). Para obtener más información acerca de usuarioslocales y de dominio, consulte Usuarios de dominio y locales en la página 70.

Los usuarios de administración no se replican a través de VDC geo-federados.

Usuarios de administración predeterminados



Durante la instalación, ECS crea dos usuarios de administración localespredeterminados, el usuario raíz y emcsecurity, a fin de permitir la configuración inicialy continua de ECS. Los usuarios de administración raíz y emcsecurity pueden accederal sistema ECS mediante el portal de ECS o la API REST de administración de ECS.Estos usuarios predeterminados no se pueden eliminar del sistema ECS y no sereplican entre sitios en una geofederación. En la siguiente tabla, se describen losusuarios de administración predeterminados:

Tabla 13 Usuarios de administración predeterminados

Usuariopredeterminado

Contraseñapredeterminada

Descripción de usuario Funciónasignada ausuario

Permisos defunciones

¿Sepuedencrear másusuarios?

root Changeme Este usuario realiza la configuracióninicial del sistema ECS y crea usuarioscon funciones de administrador delsistema. La primera vez que el usuarioroot accede a ECS, se le solicita quecambie la contraseña y queinmediatamente vuelva a iniciar sesióncon la nueva contraseña.Desde una perspectiva de auditoría, esimportante saber qué usuario realizacambios en el sistema, por lo que nodebe utilizarse el usuario root despuésde la inicialización del sistema.Después de la inicialización, cadausuario administrador del sistema debeiniciar sesión en el sistema con suspropias credenciales, no lascredenciales del usuario root.

Administradordel sistema

Crear y eliminar usuariosde objetos yadministración

Cambio de contraseñasde usuario

Otorgar permisos a losusuarios de objetos

Crear, eliminar ymodificar pools dealmacenamiento,espacios de nombres,depósitos y grupos dereplicación

Ver métricas demonitoreo

Sí

emcsecurity Changeme Este usuario puede impedir el accesoremoto del protocolo SSH a los nodosbloqueándolos. La contraseña de esteusuario se debe cambiar después de lainstalación del sistema y se deberegistrar de manera segura.

Administradorde bloqueo

Bloqueo y desbloqueo denodos

Cambiar su propiacontraseña

No

Usuarios de objetosLos usuarios de objetos son los usuarios del almacenamiento de objetos de ECS.Acceden a ECS a través de clientes de objetos con protocolos de objetos admitidospor ECS (S3, EMC Atmos, Openstack Swift y CAS). Los usuarios de objetos tambiénpueden recibir permisos estilo Unix para acceder a los depósitos exportados comosistemas de archivos para HDFS.

Un usuario de administración (administrador del sistema o de espacio de nombres)puede crear un usuario de objetos. El usuario de administración define un nombre deusuario y asigna una clave secreta para el usuario de objetos cuando se crea el usuarioo en cualquier momento posterior. Un nombre de usuario pueden ser un nombre local oun nombre de usuario de estilo de dominio que incluya una arroba (@) en su nombre.El usuario de objetos utiliza la clave secreta para tener acceso al almacén de objetos


Usuarios de objetos 69

de ECS. La clave secreta del usuario de objetos se distribuye por correo electrónico uotros medios.

Los usuarios que se agregan a ECS como usuarios de dominio pueden agregarseposteriormente como usuarios de objetos. Para ello, deben crear su propia clavesecreta mediante la funcionalidad de autoservicio de ECS a través de un cliente que secomunica con la API REST de administración de ECS. El nombre de usuario de objetoque reciben es el mismo que su nombre de dominio. Los usuarios de objetos no tienenacceso al portal de ECS. Para obtener información sobre los usuarios de dominio,consulte Usuarios de dominio y locales en la página 70. Para obtener informaciónsobre la creación de una clave secreta, consulte Guía de acceso a datos de ECS,disponible en la página de documentación de productos de ECS.

Los usuarios de objetos son recursos globales. Un usuario de objetos puede recibirprivilegios de lectura y escritura de depósitos, y objetos en el espacio de nombres alque están asignados, de cualquier VDC.

Usuarios de dominio y localesECS es compatible con usuarios locales y de dominio. Los usuarios locales y dedominio pueden asignarse como usuarios de administración o usuarios de objetos.

La funcionalidad de autoservicio de ECS autentica a los usuarios de dominio y lespermite crear una clave secreta por sí mismos. Cuando un usuario de dominio crea supropia clave secreta, se convierte en un usuario de objetos en el sistema ECS. Puedeusar AD y LDAP para ofrecerle a muchos usuarios de una base de datos de usuariosexistente acceso al almacén de objetos de ECS (como usuarios de objetos). Sin creara cada usuario de forma individual.

Nota

Los usuarios de dominio que son usuarios de objetos deben agregarse (mapearse) enun espacio de nombres. Para obtener más información, consulte Agregar usuarios dedominio a un espacio de nombres en la página 84

ECS almacena las credenciales de los usuarios locales. Las credenciales de los usuariosde objetos son recursos globales y están disponibles en todos los VDC de ECS.

Los usuarios de dominio se definen en una base de datos de LDAP o Active DirectoryAD. Los nombres de usuario de dominio se definen mediante el [email protected]. Los nombres de usuario sin @ se autentican con la base de datosde usuarios local. ECS utiliza un proveedor de autenticación para proporcionar lascredenciales a fin de comunicarse con el servidor de AD o LDAP para autenticar unasolicitud de inicio de sesión del usuario de dominio. Los usuarios de dominio asignadosa funciones de administración pueden autenticarse con sus credenciales de AD o LDAPpara que puedan acceder a ECS y ejecutar operaciones de administración de ECS.

Los usuarios de dominio requieren un espacio de nombres asignado para realizar operaciones deusuario de objetos

Debe agregar (asignar) usuarios del dominio en un espacio de nombres si desea queestos usuarios realicen operaciones de usuarios de objetos de ECS. Para obteneracceso al almacén de objetos de ECS, los administradores de espacios de nombres yde usuarios de objetos deben asignarse a un espacio de nombres. Puede agregar undominio completo de usuarios en un espacio de nombres, o puede agregar unsubconjunto de los usuarios de dominio en un espacio de nombres mediante laespecificación de un atributo o un grupo específico asociado con el dominio.




Un dominio puede proporcionar usuarios a varios espacios de nombres. Por ejemplo,puede optar por agregar un conjunto de usuarios como el departamento de cuentas enel dominio yourco.com en Namespace1 y agregar un conjunto de usuarios como eldepartamento de finanzas en el dominio yourco.com en Namespace2. En este caso,el dominio yourco.com proporciona usuarios para dos espacios de nombres.

No es posible agregar un dominio completo, un conjunto específico de usuarios o unusuario en particular en más de un espacio de nombres. Por ejemplo, el dominioyourco.com se puede agregar en Namespace1, pero no se puede agregar también enNamespace2.

El siguiente ejemplo muestra que un administrador del sistema o de espacio denombres ha agregado en un espacio de nombres un subconjunto de usuarios en eldominio yourco.com: los usuarios cuyo atributo Department tiene el valor Accountsen Active Directory. El administrador del sistema o de espacio de nombres haagregado a los usuarios del departamento de cuentas de este dominio en un espacio denombres mediante el uso de la página Edit Namespace en el portal de ECS.

Figura 13 Agregar un subconjunto de usuarios de dominio en un espacio de nombres mediante unatributo de AD

El siguiente ejemplo muestra un ejemplo diferente donde el administrador del sistema ode espacio de nombres usa más granularidad en la adición de usuarios en un espacio denombres. En este caso, el administrador del sistema o el administrador de espacio denombres agregó a los miembros en el dominio yourco.com que pertenecen al grupode administradores de almacenamiento cuyo atributo Department tiene el valorAccounts Y cuyo atributo Region tiene el valor Pacific, O que pertenecen al grupo deadministradores de almacenamiento cuyo atributo Department tiene el valor Finance.


Usuarios de dominio y locales 71

Figura 14 Agregar un subconjunto de usuarios de dominio en un espacio de nombres mediantevarios atributos de AD

Para obtener más información acerca de cómo agregar usuarios de dominio enespacios de nombres mediante el portal de ECS, consulte Agregar usuarios de dominioa un espacio de nombres en la página 84.

Alcance del usuarioLa configuración de alcance de usuario afecta a todos los usuarios de objetos, entodos los espacios de nombres y todos los VDC federados.

El alcance de usuario puede ser GLOBAL o NAMESPACE. Si el alcance se establece enGLOBAL, los nombres de los usuarios de objetos son únicos en todos los VDC en elsistema de ECS. Si el alcance se establece en NAMESPACE, los nombres de usuarios deobjetos son únicos dentro de un espacio de nombres, por lo que los mismos nombresde usuarios de objetos pueden existir en diferentes espacios de nombres.

La configuración predeterminada es GLOBAL. Si va a utilizar ECS en una configuraciónde varios grupos de usuarios y desea asegurarse de que los espacios de nombrespuedan utilizar nombres que están en uso en otro espacio de nombres, debe cambiaresta configuración a NAMESPACE.

Nota

Establezca el alcance de usuario antes de crear el primer usuario de objetos.

Establecer el alcance del usuarioPuede establecer el alcance del usuario mediante la API REST de administración deECS.



Antes de comenzar


Si desea cambiar la configuración de alcance del usuario predeterminada de GLOBAL aNAMESPACE, debe hacerlo antes de crear el primer usuario de objetos en ECS.

La configuración de alcance del usuario afecta a todos los usuarios de objetos de ECS.

Procedimiento

1. En la API REST de administración de ECS, use la llamada de la API PUT /config/object/properties y pase el alcance de usuario en la carga útil.

El siguiente ejemplo muestra una carga útil que establece el valor user_scopeen NAMESPACE.

PUT /config/object/properties/

<property_update> <properties> <properties> <entry> <key>user_scope</key> <value>NAMESPACE</value> </entry> </properties> </property_update>

Etiquetas de usuario

Una etiqueta en forma de pares de nombre-valor puede asociarse con el ID de usuariopara un usuario de objetos y puede ser recuperada por una aplicación. Por ejemplo, unusuario de objetos se puede asociar con un proyecto o centro de costos. Las etiquetasno pueden asociarse con usuarios de administración.

Esta funcionalidad no está disponible en el portal de ECS. Las etiquetas se puedenestablecer en un usuario de objetos y las etiquetas asociadas al usuario de objetospueden recuperarse mediante el uso de la API REST de administración de ECS. Puedeagregar un máximo de 20 etiquetas.

Funciones de administración en ECSECS permite definir las funciones para determinar las operaciones que un usuariopuede ejecutar en el portal de ECS o cuando ingresa a ECS mediante la API REST deadministración de ECS. Se pueden asignar usuarios y grupos de administración a lasfunciones de administración a los en ECS, y pueden ser tanto usuarios locales comousuarios de dominio. También se pueden asignar funciones a los nombres de grupo deActive Directory.

En la siguiente lista se proporcionan las cuatro funciones de administración posiblesque existen en ECS:

l Administrador del sistema

l Monitor del sistema

l Administrador de espacio de nombres

l Administrador de bloqueo


Etiquetas de usuario 73

Administrador del sistema

La función de administrador del sistema permite que un usuario configure ECS y que,durante la configuración inicial, especifique el almacenamiento utilizado para elalmacén de objetos, cómo se replica el almacén, cómo se configura el acceso del grupode usuarios al almacén de objetos (mediante la definición de espacios de nombre) yqué usuarios tienen permisos dentro de un espacio de nombre asignado. Eladministrador del sistema también puede configurar espacios de nombres y ejecutar laadministración del espacio de nombres o puede asignar un usuario que pertenezca alespacio de nombres como administrador del espacio de nombres.

El administrador del sistema tiene acceso al portal de ECS, y las operaciones deadministración del sistema también se pueden ejecutar desde los clientesprogramáticos mediante la API REST de administración de ECS.

Después de la instalación inicial de ECS, el administrador del sistema es un usuariolocal de administración previamente aprovisionada denominado root. El usuario raízpredeterminado se describe en Usuarios de administración predeterminados en lapágina 68.

Dado que los usuarios de administración no se replican en todo el sitio, debe crearse unadministrador del sistema en cada VDC que requiera uno.

Monitor del sistema

La función de monitor del sistema permite que un usuario tenga acceso de solo lecturaal portal de ECS. El monitor del sistema puede ver todas las páginas del portal de ECSy toda la información en las páginas, excepto información detallada de usuarios, comodatos de claves secretas y contraseñas. El monitor del sistema no puede aprovisionarni configurar el sistema ECS. Por ejemplo, con el monitor no se puede crear niactualizar pools de almacenamiento, grupos de replicación, espacios de nombres,depósitos y usuarios mediante el portal o la API REST de administración de ECS. Losmonitores no pueden modificar ninguna otra configuración del portal, a excepción desus propias contraseñas.

Dado que los usuarios de administración no se replican en todos los sites, se debecrear un monitor del sistema en cada VDC que requiera uno.

Administrador de espacio de nombres

El administrador del espacio de nombres es un usuario de administración que puedeacceder al portal de ECS. El administrador de espacio de nombres puede asignarusuarios locales como usuarios de objetos del espacio de nombres y crear yadministrar depósitos dentro del espacio de nombres. Las operaciones deladministrador de espacio de nombres también se pueden realizar usando la API RESTde ECS. Un administrador de espacio de nombres solo puede ser administrador de unsolo espacio de nombres.

Debido a que los proveedores de autenticación y los espacios de nombres se replicanen los sitios (son recursos globales de ECS), un usuario de dominio que sea unadministrador de espacio de nombres podrá iniciar sesión en cualquier sitio y realizar laadministración de espacio de nombres desde allí.



Nota

Si se le asignará la función de administrador de espacio de nombres a un usuario dedominio, este debe asignarse en el espacio de nombres si no es un administrador.

Los usuarios de administración locales no se replican en los sitios, por lo que un usuariolocal que sea un administrador de espacio de nombres solo podrá iniciar sesión en elVDC en el que se haya creado la cuenta de usuario de administración. Si desea que elmismo nombre de usuario exista en otro VDC, debe crearse el usuario en el otro VDC.Como son cuentas diferentes, los cambios en un usuario con el mismo nombre en unVDC, como cambios de contraseña, no se propagan al usuario con el mismo nombre enel otro VDC.

Para obtener más información, consulte la Guía de administración de ECS que estádisponible en Página de documentación de productos de ECS.

Administrador de bloqueo

El administrador de bloqueo es el único usuario de administración que puede bloqueary desbloquear nodos mediante el portal de ECS o la API REST de administración deECS. Bloquear un nodo es la capacidad de deshabilitar el acceso remoto del protocoloSSH al nodo. El administrador de bloqueo es un usuario local predeterminadodenominado emcsecurity. El usuario emcsecurity se describe en Usuarios deadministración predeterminados en la página 68.

Los administradores de bloqueo solo pueden cambiar sus contraseñas y bloquear ydesbloquear nodos. La función del administrador de bloqueo no se puede asignar a otrousuario. Los administradores y los monitores del sistema pueden ver el estado debloqueo de los nodos Para obtener instrucciones sobre el bloqueo y el desbloqueo denodos, consulte Bloquear y desbloquear nodos mediante el portal de ECS en la página192.

Tareas realizadas por función

Las tareas que cada función puede realizar en el portal de ECS o en la API REST deadministración de ECS se describen en la siguiente tabla.

Tabla 14 Tareas ejecutadas por la función de usuario de administración de ECS

Tarea Administrador delsistema

Monitor delsistema

Administrador delespacio denombres

Administrador debloqueo

Grupos de usuarios

Crear espacio de nombres(grupos de usuarios)

Sí No No No

Eliminar espacios de nombres Sí No No No

Administración de usuarios (usuarios de objetos y administración, a menos que se indique lo contrario)

Crear usuarios de objetos localesy asignarlos a espacios denombres

Sí (en todos los espacios denombres)

No Sí (en un espacio denombres)

No


Administrador de bloqueo 75


Tabla 14 Tareas ejecutadas por la función de usuario de administración de ECS (continuación)


Monitor delsistema



Crear usuarios de administraciónlocales y asignarlos a espacios denombres


No No No

Eliminar usuarios de objetoslocales



No

Eliminar usuarios deadministración locales


No No No

Establecer el alcance de usuario(global o espacio de nombres)para todos los usuarios deobjetos

Sí No No No

Agregar un proveedor deautenticación de AD, LDAP oKeystone


No No No

Eliminar un proveedor deautenticación de AD, LDAP oKeystone


No No No

Agregar usuarios de dominios deAD y LDAP o grupos de AD en unespacio de nombres



No

Crear un grupo de AD (no seadmiten grupos de LDAP yKeystone)


No No No

Eliminar usuarios de dominio ogrupos de AD


No No No

Administración de funciones

Asignar funciones deadministración a usuarios deadministración locales y dedominios y grupos de AD


No No No

Revocar funciones de usuarioslocales y de dominio y grupos deAD


No No No

Configuración del almacenamiento

Crear y modificar pools dealmacenamiento

Sí (en el VDC donde se creóel administrador delsistema)

No No No

Crear, modificar y eliminar VDC Sí (en el VDC donde se creóel administrador delsistema)

No No No





Monitor delsistema



Crear y modificar grupos dereplicación

Sí (en el VDC donde se creóel administrador delsistema)

No No No

Crear, modificar y eliminardepósitos



No

Permisos de ACL del depósitopara un usuario

Sí (depósitos en todos losespacios de nombres)

No Sí (depósitos en unespacio de nombres)

No

Crear, modificar y eliminarexportaciones de NFS



No

Crear, modificar y eliminar elmapeo de usuarios y grupos aarchivos y objetos en depósitos



No

Agregar, modificar y eliminar ladirección URL base para utilizarel almacenamiento de objetos deECS para aplicaciones deAmazon S3


No No No

Monitoreo e informes

Obtener información de mediciónpara cada espacio de nombres ydepósito


Sí (en todos losespacios denombres)

Sí (en un espacio denombres)

No

Obtener información de auditoría(lista de todas las actividades deusuarios mediante el portal deECS y la API REST deadministración de ECS)



No No

Ver alertas y realizar acciones dealerta (como la confirmación o laasignación de alertas)



No No

Configurar alertas Sí (en todos los espacios denombres)

No No No

Monitorear la utilización de lacapacidad de pools dealmacenamiento, nodos, discos ytodo el VDC



No No

Monitorear el estado y lautilización del ambiente deinfraestructura (nodos, discos,switches, ancho de banda deNIC, CPU y utilización dememoria)



No No


Tareas realizadas por función 77



Monitor delsistema



Monitorear solicitudes y elrendimiento de red para VDC ynodos



No No

Monitorear el estado decodificación de eliminación dedatos para cada pool dealmacenamiento



No No

Monitorear el estado derecuperación de los pools dealmacenamiento después de unainterrupción o falla (proceso dereconstrucción de datos)



No No

Monitorear métricas de uso dedisco en el nivel de nodoindividual o en el VDC



No No

Monitorear las métricas dereplicación geográfica, lo queincluye tráfico de red, datospendientes de replicación yaplicación de XOR, conmutaciónpor error y estado deprocesamiento de bootstrap



No No

Monitorear la información enVDC alojados en la nube y tráficode replicación en la nube



No No

Configuración de eventos, licencias, ESRS y seguridad

Ver la información de licencias ysuscripción para todos loscomponentes

Sí Sí No No

Adquirir y aplicar nuevas licencias Sí No No No

Agregar, modificar y eliminar elservidor EMC Secure RemoteServices (ESRS)

Sí No No No

Cambiar contraseña Sí Sí Sí Sí

Bloquear nodos para evitar elacceso remoto mediante SSH

No No No Sí

Agregar o eliminar un destinatariode SNMP trap para reenviareventos de ECS

Sí No No No

Agregar o eliminar un servidor desyslog para almacenar mensajes

Sí No No No





Monitor delsistema



de registro de ECS de formaremota

Trabajo con usuarios en el portal de ECSPuede usar la página User Management disponible en Manage > Users para crearusuarios locales asignados como usuarios de objetos para un espacio de nombres.También puede crear usuarios de administración, que pueden ser nuevos usuarioslocales a los cuales les asigna funciones de administración o usuarios de dominio a loscuales les asigna funciones de administración.

La página User Management tiene dos pestañas: la pestaña Object Users y lapestaña Management Users.

Pestaña Object UsersPuede usar la pestaña Object Users para ver los detalles de usuarios de objetos, paraeditar usuarios de objetos y para eliminar usuarios de objetos. Entre los usuarios deobjetos enumerados en esta página, se incluyen los siguientes:

l Los usuarios de objetos locales creados por un administrador del sistema o espaciode nombres en el portal de ECS.

l Los usuarios de dominio que se han convertido en usuarios de objetos mediante laobtención de una clave secreta con un cliente que se comunica con la API REST deadministración de ECS.

Un administrador del sistema ve los usuarios de objetos de todos los espacios denombres. Un administrador de espacio de nombres ve solamente los usuarios deobjetos en su espacio de nombres.

Figura 15 Página User Management


Trabajo con usuarios en el portal de ECS 79

Tabla 15 Propiedades de usuario de objetos

Campo Descripción

Nombre El nombre del usuario de objetos.

Namespace El espacio de nombres al que está asignado el usuario de objetos.

Actions Las acciones que pueden realizarse para el usuario de objetos.

l Edit: Permite cambiar el nombre del usuario de objetos, el espacio de nombres al cual seasigna al usuario o las contraseñas de acceso de objetos de S3, Swift o CAS para elusuario.

l Delete: Permite eliminar el usuario de objetos.

l Botón New Object User: Permite agregar un nuevo usuario de objetos.

Pestaña Management UsersPuede usar la pestaña Management Users para ver los detalles de usuarios deadministración locales y de dominio, para editar usuarios de administración y paraeliminar usuarios de administración. Esta pestaña solo está visible para losadministradores del sistema.

Tabla 16 Propiedades de usuarios de administración

Campo Descripción

Name El nombre del usuario de administración.

Actions Las acciones que pueden realizarse para el usuario de administración.

l Edit: Para un usuario de administración local: Permite cambiar el nombre, la contraseña yla asignación de funciones de administrador del sistema o monitor del sistema del usuario.Para un usuario de administración de dominio: Permite cambiar el nombre de grupo de ADo el nombre de usuario de AD o LDAP, y la asignación de funciones de administrador delsistema o monitor del sistema.

l Delete: Permite eliminar el usuario de administración.



Tabla 16 Propiedades de usuarios de administración (continuación)

Campo Descripción

l Botón New Management User: Permite agregar un nuevo usuario de administración alque se puede asignar la función de administrador del sistema o la función de monitor delsistema.

Agregar un usuario de objetosPuede crear usuarios de objetos y configurarlos para que utilicen los protocolos deacceso de objetos compatibles. Puede editar una configuración de usuario de objetosagregando o eliminando el acceso a un protocolo de objetos, o creando una nuevaclave secreta para el usuario de objetos.

Antes de comenzar

l Esta operación requiere la función de administrador del sistema o administrador deespacio de nombres en ECS.

l Un administrador del sistema puede asignar nuevos usuarios de objetos encualquier espacio de nombres.

l Un administrador de espacio de nombres puede asignar nuevos usuarios de objetosen el espacio de nombres en el que son el administrador.

l Si crea un usuario de objetos que accederá al almacén de objetos de ECS medianteel protocolo de objetos OpenStack Swift, el usuario de Swift debe pertenecer a ungrupo de OpenStack. Un grupo es un conjunto de usuarios de Swift a los que unadministrador de OpenStack les ha asignado una función. Los usuarios de Swiftque pertenecen al grupo admin pueden realizar todas las operaciones endepósitos Swift (contenedores) en el espacio de nombres al que pertenecen. Noagregue usuarios de Swift comunes al grupo admin. Para los usuarios de Swiftque pertenecen a cualquier grupo que no sea el grupo admin, la autorizacióndepende de los permisos que se establecen en el depósito Swift. Puede asignarpermisos en el depósito desde la interfaz del usuario del tablero de OpenStack o enel portal de ECS mediante la ACL del grupo personalizado para el depósito. Paraobtener más información, consulte Configurar las ACL del depósito de un grupopersonalizado en la página 101.

Procedimiento

1. En el portal de ECS, seleccione Manage > Users.

2. En la página User Management, haga clic en New Object User.

3. En la página New Object User, en el campo Name, escriba un nombre para elusuario de objetos local.

Puede escribir nombres de estilo de dominio que incluyan “@” (por ejemplo,[email protected]). Es posible que desee hacer esto para que los nombressean únicos y coherentes con los nombres de AD. Sin embargo, los usuarios deobjetos locales se autentican mediante una clave secreta asignada al nombre deusuario, no mediante AD o LDAP.

Nota

Los nombres de usuario deben incluir letras mayúsculas, letras minúsculas,números y cualquiera de los siguientes caracteres: ! # $ & ' ( ) * + , - . / : ; = ?@ _ ~


Agregar un usuario de objetos 81

4. En el campo Namespace, seleccione el espacio de nombres al que desea asignarel usuario de objetos y, a continuación, complete uno de los siguientes pasos:

l Para agregar el usuario de objetos y volver más tarde para especificarcontraseñas o claves secretas para obtener acceso a los protocolos deobjetos de ECS, haga clic en Save.

l Para especificar las contraseñas o claves secretas para obtener acceso a losprotocolos de objetos de ECS, haga clic en Next to Add Passwords.

5. En la página Update Passwords for User <username>, en el área ObjectAccess, escriba o genere una clave de acceso en las interfaces S3/Atmos,Swift o CAS para cada uno de los protocolos que desea que el usuario utilicepara acceder al almacén de objetos de ECS.

a. Para el acceso de S3, en el cuadro S3/Atmos, haga clic en Generate & AddSecret Key.

Se genera la clave secreta (contraseña).

Para ver la clave secreta en texto sin formato, seleccione la casilla deverificación Show Secret Key.

Para crear una segunda clave secreta que permita reemplazar la primeraclave secreta por razones de seguridad, haga clic en Generate & AddSecret Key.

Se mostrará el cuadro de diálogo Add S3/Atmos Secret Key/SetExpiration on Existing Secret Key. Cuando agrega una segunda clavesecreta, puede especificar por cuánto tiempo desea conservar la primeracontraseña. Una vez transcurrido el tiempo especificado, la primera clavesecreta vencerá.



En el campo Minutes, escriba el número de minutos durante los cuales deseaconservar la primera contraseña antes de que venza. Por ejemplo, si escribió3 minutos, verá lo siguiente en el portal:

Después de 3 minutos, verá que la primera contraseña se muestra comovencida y, a continuación, puede eliminarla.

b. Para el acceso de Swift:

l En el campo Swift Groups, escriba el grupo de OpenStack al quepertenece el usuario.

l En el campo Swift password, escriba una contraseña de OpenStackSwift para el usuario.

l Haga clic en Set Groups & Password.

Si desea que un usuario de S3 pueda acceder a depósitos Swift, debeagregar un grupo y una contraseña de Swift para el usuario. El usuario de S3se autentica mediante el uso de la clave secreta de S3 y la membresía delgrupo Swift permite el acceso a los depósitos Swift.

c. Para el acceso de CAS:

l En el campo CAS, escriba la contraseña y haga clic en Set Password, ohaga clic en Generate para generar automáticamente la contraseña yhaga clic en Set Password.

l Haga clic en Generate PEA file para generar un archivo Pool EntryAuthorization (PEA). La salida del archivo se muestra en el cuadro PEAfile y la salida es similar al siguiente ejemplo. El archivo PEA proporcionainformación de autenticación a CAS antes de que CAS otorgue acceso aECS; esta información incluye el nombre de usuario y la seña secreta. La


Agregar un usuario de objetos 83

clave secreta es la contraseña codificada en base64 utilizada paraautenticar la aplicación de ECS.

Nota

El botón Generate PEA file aparece después de configurar lacontraseña.

<pea version="1.0.0"><defaultkey name="s3user4"><credential id="csp1.secret" enc="base64">WlFOOTlTZUFSaUl3Mlg3VnZaQ0k=</credential></defaultkey><key type="cluster" id="93b8729a-3610-33e2-9a38-8206a58f6514" name="s3user4"><credential id="csp1.secret" enc="base64">WlFOOTlTZUFSaUl3Mlg3VnZaQ0k=</credential></key></pea>

l En el campo Default Bucket, seleccione un depósito y haga clic en SetBucket.

l Opcional. Haga clic en Add Attribute y escriba los valores en los camposAttribute y Group.

l Haga clic en Save Metadata.

6. Haga clic en Close.

Las contraseñas o claves secretas se guardan automáticamente.

Agregar un usuario de dominio como un usuario de objetosPuede configurar los usuarios de dominio para que puedan acceder al almacén deobjetos de ECS y generar claves secretas para ellos. Al hacerlo, se agregan a símismos como usuarios de objetos en ECS.

Antes de comenzar

l Los usuarios de dominio de AD o LDAP se tienen que haber agregado a ECSmediante un proveedor de autenticación de AD o LDAP. La adición de unproveedor de autenticación debe ser realizada por un administrador del sistema yse describe en Agregar un proveedor de autenticación de AD o LDAP en la página52.

l Los usuarios del dominio tienen que haber sido agregados a un espacio de nombrespor un administrador del sistema o espacio de nombres como se describe en Agregar usuarios de dominio a un espacio de nombres en la página 84.

Procedimiento

1. Los usuarios del dominio pueden crear claves secretas para ellos mismosmediante el uso de las instrucciones en la Guía de acceso a datos de ECS,disponible en la página de documentación de productos de ECS.

Cuando un usuario de dominio crea su propia clave secreta, se convierte en unusuario de objetos en el sistema ECS.

Agregar usuarios de dominio a un espacio de nombresEn el portal de ECS, puede agregar usuarios de dominio a un espacio de nombres enfunción de los atributos, los grupos y el dominio de AD o LDAP asociados con los




usuarios. Los usuarios de dominio deben agregarse (asignarse) a un espacio denombres a fin de ejecutar operaciones de usuario de objetos de ECS.

Antes de comenzar


l Debe existir un proveedor de autenticación en el sistema ECS que proporcionaacceso al dominio que incluye a los usuarios que desea agregar al espacio denombres.

Procedimiento


2. En la página Namespace Management, junto al espacio de nombres, haga clicen Edit.

3. En la página Edit Namespace, haga clic en Domain y escriba el nombre deldominio en el campo Domain.

4. En el campo Groups, escriba los nombres de los grupos que desea utilizar paraagregar usuarios al espacio de nombres.

Los grupos que especifique ya deben existir en el AD.

5. En los campos Attribute y Values, escriba el nombre del atributo y los valorespara el atributo.

Los valores de atributo especificados para los usuarios deben coincidir con losvalores de atributo especificados en AD o LDAP.

Si no desea utilizar atributos para asignar usuarios al espacio de nombres, hagaclic en el botón Attribute con el ícono Trash Can para eliminar los campos deatributos.


Crear un usuario de administración local o asignar un usuario de dominio ogrupo de AD a una función de administración

Puede crear un usuario de administración local y asignar un usuario de administración aun usuario local, un usuario de dominio o un grupo de AD. Los usuarios deadministración pueden ejecutar la administración a nivel del sistema (administraciónVDC) y la administración del espacio de nombres. También puede quitar la asignaciónde funciones de administración.

Antes de comenzar


l De forma predeterminada, el usuario raíz de ECS tiene la función de administradordel sistema y puede ejecutar la asignación inicial de un usuario a la función deadministrador del sistema.

l Para asignar un usuario de dominio o un grupo de AD a una función deadministración, los usuarios de dominio o el grupo de AD se tienen que haberagregado a ECS mediante un proveedor de autenticación. La adición de unproveedor de autenticación debe ser realizada por un administrador del sistema yse describe en Agregar un proveedor de autenticación de AD o LDAP en la página52.

l Para asignar la función de administrador de espacio de nombres a un usuario deadministración, debe crear un usuario de administración mediante el siguiente


Crear un usuario de administración local o asignar un usuario de dominio o grupo de AD a una función de administración 85

procedimiento y ejecutar la asignación de función en la página Edit Namespace enel portal de ECS (consulte Asignar la función de administrador de espacio denombres a un usuario o grupo de AD en la página 86). El usuario no puede iniciarsesión hasta que se le haya asignado la función de administrador de espacio denombres.

Procedimiento

1. En el portal de ECS, seleccione Manage > Users.

2. En la página User Management, haga clic en la pestaña Management Users.

3. Haga clic en New Management User.

4. Haga clic en AD/LDAP User or AD Group o en Local User.

l Para un usuario de dominio, en el campo Username, escriba el nombre delusuario. El nombre de usuario y la contraseña que ECS utiliza para autenticara un usuario se guardan en AD o LDAP, por lo que no es necesario definir unacontraseña.

l Para un grupo de AD, en el campo Group Name, escriba el nombre delgrupo. El nombre de usuario y la contraseña que ECS utiliza para autenticarel grupo de AD se guardan en AD, por lo que no es necesario definir unacontraseña.

l Para un usuario local, en el campo Name, escriba el nombre del usuario y, enel campo Password, escriba la contraseña para el usuario.

Nota

Los nombres de usuario deben incluir letras mayúsculas, letras minúsculas,números y cualquiera de los siguientes caracteres: ! # $ & ' ( ) * + , - . / : ; = ?@ _ ~

5. Para asignar la función de administrador del sistema al usuario o grupo de AD,en el cuadro System Administrator haga clic en Yes.

Si selecciona Yes, pero en otro momento desea quitar los privilegios deadministrador del sistema del usuario, puede editar esta configuración yseleccionar No.

6. Para asignar la función de supervisor del sistema al usuario o grupo de AD, en elcuadro System Monitor, haga clic en Yes.


Asignar la función de administrador de espacio de nombres a un usuario ogrupo de AD

Puede asignar la función de administrador de espacio de nombres a un usuario deadministración local, un usuario de dominio o un grupo de AD que exista en el sistemaECS.

Antes de comenzar


Procedimiento


2. En la página Namespace Management, junto al espacio de nombres al cualdesea asignar el administrador de espacio de nombres, haga clic en Edit.



3. En la página Edit Namespace:

a. Para un usuario de dominio o un usuario de administración local, en el campoNamespace Admin, escriba el nombre del usuario al que desea asignar lafunción de administrador de espacio de nombres.

Para agregar más de un administrador de espacio de nombres, separe losnombres con comas.

Solo puede asignarse un usuario como administrador de espacio de nombrespara un solo espacio de nombres.

b. Para un grupo de AD, en el campo Domain Group Admin, escriba el nombredel grupo de AD al cual desea asignar la función de administrador de espaciode nombres.

Cuando al grupo de AD se le asigna la función de administrador de espacio denombres, esta función se asigna a todos los usuarios en el grupo.

Un grupo de AD solo puede ser el administrador de espacio de nombres deun solo espacio de nombres.



Asignar la función de administrador de espacio de nombres a un usuario o grupo de AD 87



CAPÍTULO 7

Depósitos

l Introducción a los depósitos...............................................................................90l Trabajo con depósitos en el portal de ECS......................................................... 90l Crear una categoría con la API de S3 (con s3curl)............................................106l Convenciones de asignación de nombres de depósitos, objetos y espacios de

nombres............................................................................................................ 110

Depósitos 89

Introducción a los depósitos

Los depósitos son contenedores de objetos y pueden utilizarse para controlar elacceso a los objetos y establecer las propiedades que definen los atributos de todoslos objetos que contiene, como los períodos de retención y las cuotas.

En S3, estos contenedores de objetos se denominan depósitos y este término se haadoptado como un término general en ECS. En Atmos, el equivalente de un depósitoes un subgrupo de usuarios. En Swift, el equivalente de un depósito es un contenedor.En CAS, un depósito es un pool de CAS.

En ECS, a los depósitos se les asigna un tipo, que puede ser S3, Swift, Atmos o CAS.Los depósitos S3, Atmos o Swift pueden configurarse para admitir el acceso asistemas de archivos (para NFS y HDFS). Es posible leer y escribir un depósito queestá configurado para acceso a sistemas de archivos mediante su protocolo de objetosy el protocolo NFS o HDFS. También es posible acceder a los depósitos S3 y Swiftmediante el protocolo de cada uno de ellos. Acceder a un depósito mediante más de unprotocolo suele denominarse soporte entre cabezales.

Puede crear depósitos para cada protocolo de objetos utilizando su API, por lo generalmediante un cliente compatible con el protocolo adecuado. También puede creardepósitos S3, habilitados para sistemas de archivos (NFS o HDFS) y CAS, mediante elportal de ECS y la API REST de administración de ECS.

Propiedad de los depósitosUn depósito se asigna a un espacio de nombres, y los usuarios de objetos también seasignan a un espacio de nombres. Un usuario de objetos puede crear depósitos solo enel espacio de nombres en el cual el usuario de objetos está asignado. Un administradordel sistema o espacio de nombres de ECS puede asignar al usuario de objetos como elpropietario de un depósito o un beneficiario en una ACL de depósito, incluso si elusuario no pertenece al mismo espacio de nombres que el depósito, de modo que losdepósitos puedan compartirse entre usuarios de diferentes espacios de nombres. Porejemplo, en una organización donde un espacio de nombres es un departamento, undepósito puede compartirse entre usuarios de diferentes departamentos.

Acceso a depósitosEs posible acceder a los objetos en un depósito que pertenecen a un grupo dereplicación que abarca varios VDC desde todos los VDC en el grupo de replicación. Sepuede acceder a los objetos en un depósito que pertenece a un grupo de replicaciónque está asociado con un solo VDC únicamente desde ese VDC. No es posible accedera los depósitos, ni enumerarlos, desde otros VDC que no están en el grupo dereplicación. Sin embargo, dado que la identidad de un depósito y sus metadatos, comola ACL, es información de administración global en ECS y este tipo de información sereplica en los pools de almacenamiento del sistema, la existencia del depósito puedeverse desde todos los VDC en la federación.

Para obtener información sobre cómo se puede acceder a los objetos en depósitosdurante interrupciones del sitio, consulte Comportamiento de TSO con laconfiguración habilitada del depósito de ADO en la página 201.

Trabajo con depósitos en el portal de ECS

Puede usar la página Bucket Management disponible en Manage > Buckets para verlos detalles de los depósitos existentes en un espacio de nombres seleccionado, para

Depósitos


modificar la lista de control de acceso (ACL) de depósitos, para modificar la política dedepósitos y para eliminar depósitos.

Para asegurarse de que el sistema funcione correctamente, tenga siempre políticas delciclo de vida útil que estén configuradas con depósitos con control de versiones.

Figura 16 Página Bucket Management

Ajustes de depósitos

En la siguiente tabla, se describen los ajustes que puede especificar cuando crea oedita un depósito:

Tabla 17 Ajustes de depósitos

Atributo Descripción Se puedeeditar

Name Nombre del depósito Para obtener información sobre los nombres de depósito,consulte Convenciones de asignación de nombres de depósitos, objetos y espaciosde nombres en la página 110.

No

Namespace Espacio de nombres con el que está asociado el depósito. No

Replication Group El grupo de replicación en el que se crea el depósito. No

Bucket Owner Propietario del depósito. Sí

File System Indica si el depósito se puede utilizar como un sistema de archivos (exportación deNFS o HDFS).Para simplificar el acceso al sistema de archivos, se pueden definir un grupopredeterminado y sus permisos predeterminados correspondientes. Para obtenermás información, consulte Grupo predeterminado en la página 94.

Nota

Los depósitos habilitados para el sistema de archivos solo admiten el delimitador /cuando enumeran objetos.

No

Depósitos

Ajustes de depósitos 91

Tabla 17 Ajustes de depósitos (continuación)


CAS Permite indicar si el depósito se puede utilizar para datos de CAS. No

Metadata Search Permite indicar la creación de índices de búsqueda de metadatos para el depósitosegún los valores clave especificados.Si se habilita esta opción, se pueden definir las claves de metadatos que se utilizancomo base para la indexación de objetos en el depósito. Estas claves se debenespecificar en la hora de creación del depósito.

Una vez que se crea el depósito, la búsqueda se puede deshabilitar por completo,pero no se pueden modificar las claves de índice configuradas.

La manera en que se define el atributo se describe en Campos de búsqueda demetadatos en la página 94.

Nota

Los metadatos utilizados para la indexación no están cifrados, de modo que labúsqueda de metadatos se pueda seguir utilizando en un depósito cuando sehabilita el cifrado del lado del servidor (D@RE).

No

Access During Outage(ADO)

El comportamiento del sistema de ECS cuando se accede a datos en el depósitodurante una interrupción temporal del sitio en una configuración geofederada.

Cuando habilita esta configuración, si se produce una interrupción temporal del sitioy no puede obtener acceso a un depósito en el sitio fallido donde se creó (sitiopropietario), podrá acceder a una copia del depósito en otro sitio. Tenga en cuentaque los objetos a los que accede en este depósito en el espacio de nombres puedenhaberse actualizado en el sitio fallido, pero es posible que los cambios no se hayanpropagado al sitio desde el que accede al objeto.

Si se deshabilita esta configuración, no se puede acceder a los datos incluidos en lazona con la interrupción temporal desde otras zonas y no se pueden realizarlecturas de objetos de datos que tienen su centro en el sitio fallido. Este es elcomportamiento predeterminado del sistema de ECS para mantener una sólidacoherencia, ya que se permite el acceso a los datos que pertenecen a sitiosaccesibles y se impide el acceso a datos que pertenecen a un sitio fallido.

Opción Read-Only: Permite especificar si un depósito con la configuración de ADOhabilitada es accesible como depósito de solo lectura o de lectura y escrituradurante una interrupción temporal del sitio. Si selecciona la opción Read-Only, solose puede acceder al depósito en modo de solo lectura durante la interrupción.

Para obtener más información, consulte Comportamiento de TSO con laconfiguración habilitada del depósito de ADO en la página 201.

Sí

Server-side Encryption Permite indicar si el cifrado del lado del servidor se encuentra habilitado odeshabilitado.El cifrado del lado del servidor, también conocido como cifrado de datos en reposoo D@RE, cifra los datos en línea antes de almacenarlos en unidades o discos deECS. Este cifrado ayuda a evitar que datos confidenciales se puedan obtener desdemedios descartados o robados. Si habilita el cifrado cuando se crea el depósito, estafunción no se podrá deshabilitar posteriormente.

Si el espacio de nombres del depósito está cifrado, todos los depósitos estáncifrados. Si el espacio de nombres no está cifrado, puede seleccionar el cifrado dedepósitos individuales.

No

Depósitos


Tabla 17 Ajustes de depósitos (continuación)


Para obtener una descripción completa de la función, consulte Guía de configuraciónde seguridad de ECS, disponible en la página de documentación de productos deECS.

Quota El límite de espacio de almacenamiento especificado para el depósito. Puedeespecificar un límite de almacenamiento para el depósito y definir notificaciones ycomportamiento de acceso cuando se alcanza la cuota. La configuración de cuotapara un depósito no puede ser menor de 1 GiB. Puede especificar los ajustes decuota para un depósito en incrementos de GiB. Puede seleccionar una de lassiguientes opciones de comportamiento de cuotas:

l Notification Only at <quota_limit_in_GiB> Configuración de cuota deadvertencia según la cual recibe una notificación.

l Block Access Only at <quota_limit_in_GiB> Configuración de cuotamáxima que, cuando se alcanza, permite bloquear el acceso de actualización oescritura al depósito.

l Block Access at <quota_limit_in_GiB> and Send Notification at<quota_limit_in_GiB> Configuración de cuota máxima que, cuando sealcanza, permite bloquear el acceso de actualización o escritura al depósito y elacceso a la configuración de cuota según la cual recibe una notificación.

Nota

La aplicación de cuotas varía según el uso informado por la medición de ECS. Lamedición es un proceso en segundo plano diseñado de esta forma para no afectar eltráfico en el primer plano y, por lo tanto, el valor medido puede retrasar el uso real.Debido al retraso de la medición, puede haber un retraso en la aplicación de cuotas.

Sí

Bucket Tagging Los pares de nombre y valor que se definen para un depósito y permiten que losdepósitos se puedan clasificar.Para obtener más información acerca del etiquetado de depósitos, consulte Etiquetado de depósitos en la página 95.

Sí

Bucket Retention El período de retención de un depósito.El vencimiento de un período de retención de un objeto dentro de un depósito secalcula cuando se realiza una solicitud de modificación de un objeto, y se basa en elvalor establecido en el depósito y en los objetos mismos.

El período de retención se puede cambiar durante la vida útil del depósito.

Puede encontrar más información acerca de la retención y aplicar períodos deretención y políticas en Períodos y políticas de retención en la página 60.

Sí

Auto-Commit Period El período de confirmación automática es el intervalo de tiempo en el que sepermiten las actualizaciones a través de NFS o HDFS para los objetos en retención.Este atributo permite que los archivos de NFS o HDFS que se escriben en ECScumplan con WORM. El intervalo se calcula a partir de la última hora demodificación. El valor de confirmación automática debe ser menor o igual que elvalor de retención con un máximo de un día. Un valor de 0 indica que no hay unperíodo de confirmación automática.

Sí

Depósitos

Ajustes de depósitos 93



Grupo predeterminadoSi habilita la configuración File System para que un depósito permita el acceso alsistema de archivos, puede asignar un grupo predeterminado para el depósito. El grupopredeterminado es un grupo de Unix cuyos miembros tienen permisos en el depósitocuando se accede a él como un sistema de archivos. Sin esta asignación, únicamenteel propietario del depósito puede acceder al sistema de archivos.

También puede especificar permisos de Unix que se aplican a los archivos y directorioscreados mediante protocolos de objetos para que estén accesibles cuando se accedeal depósito como un sistema de archivos.

En la siguiente captura de pantalla se muestra la opción File System que habilita laconfiguración del grupo predeterminado y los permisos de archivos y directorios.

Campos de búsqueda de metadatosCuando se establece la opción Metadata Search en On para un depósito, los objetosen el depósito se pueden indexar en función de sus campos de metadatos. Los clientesde objetos S3 pueden buscar objetos en función de los metadatos indexados con unidioma de consulta enriquecido.

Cada objeto tiene un conjunto de metadatos del sistema que se asignaautomáticamente, y también puede tener metadatos asignados por el usuario. Losmetadatos del usuario y del sistema se pueden indexar y utilizar como base para lasbúsquedas de metadatos.

Cuando se habilita la búsqueda de metadatos en un depósito, puede seleccionarSystem o User en Type como tipo de búsqueda de metadatos. Cuando se seleccionala opción de búsqueda System en Type, los metadatos que se asignanautomáticamente a los objetos en un depósito se enumeran para selección en el menúdesplegable Name, como se muestra en la siguiente captura de pantalla.

Cuando se selecciona la opción de búsqueda User en Type, debe especificar elnombre de los metadatos del usuario para el que desea crear un índice. Además, debeespecificar el tipo de datos para que ECS sepa cómo interpretar los valores de los

Depósitos


metadatos proporcionados en las consultas de búsqueda, como se muestra en lasiguiente captura de pantalla.

Puede obtener más información acerca de la función de búsqueda de metadatos en laGuía de acceso a datos de ECS, disponible en la página de documentación de productosde ECS.

Etiquetado de depósitosLas etiquetas de depósitos son pares de valor clave que puede asociar a un depósitocon el fin de que los datos de objetos en el depósito se puedan categorizar. Porejemplo, puede definir claves como Project o Cost Center en cada depósito yasignarles valores. Puede agregar hasta diez etiquetas a un depósito.

Puede asignar valores y etiquetas de depósito mediante el portal de ECS o con uncliente personalizado mediante la API REST de administración de ECS. Las etiquetasde depósito se incluyen en los informes de datos de medición en el portal de ECS o serecuperan con la API REST de administración de ECS.

Crear un depósito.Puede crear y configurar los depósitos S3, S3+FS o CAS en el portal de ECS.

Antes de comenzar


l Un administrador del sistema puede crear depósitos en cualquier espacio denombres.

l Un administrador de espacio de nombres puede crear depósitos en el espacio denombres en el cual es el administrador.

Para obtener instrucciones específicas de CAS sobre cómo configurar un depósito deCAS para un usuario de objetos de CAS, consulte Guía de acceso a datos de ECS,disponible en la página de documentación de productos de ECS.

Procedimiento

1. En el portal de ECS, seleccione Manage > Buckets.

2. En la página Bucket Management, haga clic en New Bucket.

3. En la página New Bucket, en la pestaña Basic, haga lo siguiente:

a. En el campo Name, ingrese el nombre del depósito.

b. En el campo Namespace, seleccione el espacio de nombres al que desea quepertenezcan el depósito y sus objetos.

c. En el campo Replication Group, seleccione el grupo de replicación al cualdesea asociar el depósito.

d. En el campo Bucket Owner, escriba el propietario del depósito o seleccionela casilla de verificación Set current user as Bucket Owner.

Depósitos

Crear un depósito. 95




El propietario del depósito debe ser un usuario de objetos de ECS del espaciode nombres. Si no especifica un usuario, se lo asignará como propietario. Sinembargo, no puede acceder al depósito a menos que su nombre de usuariotambién se asigne como usuario de objeto.

Al usuario que especifique se le dará control total.

e. Haga clic en Next.

4. En la página New Bucket, en la pestaña Required, haga lo siguiente:

a. En el campo File System, haga clic en On para especificar que el depósitosea compatible con la operación como un sistema de archivos (para accesoNFS o HDFS).

El depósito es un depósito S3 compatible con sistemas de archivos.

Puede establecer un grupo de UNIX predeterminado para acceder aldepósito y para los objetos creados en el depósito. Para obtener másinformación, consulte Grupo predeterminado en la página 94.

b. En el campo CAS, haga clic en On para establecer el depósito como undepósito CAS.

De manera predeterminada, CAS está deshabilitado y el depósito se marcacomo un depósito S3.

En el campo Reflection Expiration, haga clic en On para configurar unafecha de vencimiento para las reflexiones en el depósito.

En el campo Reflection Age, seleccione la fecha de vencimiento apropiada.(La fecha mínima de vencimiento es de 1 día y la máxima es de 99 años).

Si no hay una fecha de vencimiento establecida para una reflexión, estanunca se borrará.

c. En el campo Metadata Search, haga clic en On para especificar que eldepósito sea compatible con las búsquedas basadas en metadatos deobjetos.

Si habilita la configuración Metadata Search, puede agregar claves demetadatos del sistema y del usuario que se utilizan para crear los índices deobjeto. Para obtener más información acerca de cómo ingresar claves debúsqueda de metadatos, consulte Campos de búsqueda de metadatos en lapágina 94.

Nota

Si el depósito es compatible con CAS, la búsqueda de metadatos se habilitaautomáticamente y se crea automáticamente una clave de CreateTime. Esposible buscar metadatos mediante la funcionalidad de búsqueda demetadatos de S3 o mediante la API de Centera.

d. En el campo Access During Outage, haga clic en On si desea que eldepósito se mantenga disponible durante una interrupción temporal del sitio.Para obtener más información sobre esta opción, consulte Comportamientode TSO con la configuración habilitada del depósito de ADO en la página201.

l Si se habilita la configuración Access During Outage, tiene la opción deseleccionar la casilla de verificación Read-Only para restringir lacreación, actualización o eliminación de operaciones en los objetos del

Depósitos


depósito durante una interrupción temporal de sitio. Una vez habilitada laopción Read-Only en el depósito, no puede cambiarla una vez que secrea el depósito. Para obtener más información sobre esta opción,consulte Comportamiento de TSO con la configuración habilitadadel depósito de ADO en la página 201.

e. En el campo Server-side Encryption, haga clic en On para especificar queel depósito esté cifrado.

f. Haga clic en Next.

5. En la página New Bucket, en la pestaña Optional, haga lo siguiente:

a. En el campo Quota, haga clic en On para especificar una cuota para eldepósito y seleccione la configuración de cuota que necesite.

Los ajustes que puede especificar se describen en Ajustes de depósitos en lapágina 91.

b. En el campo Bucket Tagging, haga clic en Add para agregar etiquetas yescriba pares de nombre y valor.

Para obtener más información, consulte Etiquetado de depósitos en lapágina 95.

c. En el campo Bucket Retention Period, escriba un período de tiempo paraestablecer un período de retención de depósito para el depósito o haga clicen Infinite si desea que los objetos del depósito se conserven para siempre.

Para obtener más información sobre los períodos de retención, consulte Períodos y políticas de retención en la página 60.

d. En el campo Auto-Commit Period, escriba un período para habilitar lasactualizaciones de los archivos que se encuentran en retención. El intervalose aplica solo a los depósitos habilitados para tener archivos.

El valor de confirmación automática debe ser menor o igual que el valor deretención con un máximo de un día. Un valor de 0 indica que no hay unperíodo de confirmación automática.

e. Haga clic en Save para crear el depósito.

Resultados

Para asignar permisos en el depósito para usuarios o grupos, consulte las tareas másadelante en esta sección.

Editar un depósitoPuede editar algunas opciones de configuración del depósito después de crearlo ydespués de que se haya escrito objetos en él.

Antes de comenzar


l Un administrador del sistema puede editar los ajustes de un depósito quepertenezca a cualquier espacio de nombres.

l Un administrador de espacio de nombres puede editar los ajustes de un depósitoen el espacio de nombres en el cual es el administrador.

Para editar un depósito, debe tener una función de administrador de espacio denombres o administrador del sistema.

Depósitos

Editar un depósito 97

Es posible editar los siguientes ajustes de depósitos:

l Cuota

l Propietario del depósito

l Etiquetado de depósitos

l Access During Outage

l Retención del depósito

l Vencimiento de la reflexión y antigüedad de la reflexión (para depósitos de CAS)

Puede cambiar los siguientes ajustes de depósitos:

l Grupo de replicación

l Cifrado del lado del servidor

l Sistema de archivos

l CAS

l Búsqueda de metadatos

Procedimiento


2. En la página Bucket Management, en la tabla Buckets, seleccione la acciónEdit para el depósito en el que desee cambiar la configuración.

3. Edite los ajustes que desea cambiar.

Puede encontrar más información acerca de los ajustes de depósitos en Ajustesde depósitos en la página 91.


Configuración de ACLLos privilegios que tiene un usuario al acceder a un depósito se establecen medianteuna lista de control de acceso (ACL). Puede asignar ACL para un usuario, para unconjunto de grupos predefinidos (por ejemplo, todos los usuarios) y para un grupopersonalizado.

Cuando crea un depósito y le asigna un propietario, se crea una ACL que asigna unconjunto predeterminado de permisos para el propietario del depósito; de manerapredeterminada, al propietario se le asigna el control total.

Puede modificar los permisos asignados al propietario o puede agregar nuevospermisos para un usuario si selecciona la operación de edición de ACL para el depósito.

En el portal de ECS, la página Bucket ACLs Management tiene las pestañas UserACLs, Group ACLs y Custom Group ACLs para administrar las ACL asociadas conusuarios individuales y grupos predefinidos, y para permitir que se definan grupos quepueden utilizarse cuando se accede al depósito como un sistema de archivos.

Nota

Para obtener información acerca de las ACL con depósitos de CAS, consulte Guía deacceso a datos de ECS, disponible en la página de documentación de productos deECS.

Referencia de permisos de ACL de depósito

Depósitos




Los permisos de ACL que se pueden asignar se proporcionan en la tabla siguiente. Lospermisos que se aplican varían según el tipo de depósito.

Tabla 18 ACL de depósitos

ACL Permiso

Lectura Permite al usuario enumerar los objetos en el depósito.

ACL de lectura Permite al usuario leer la ACL del depósito.

Escritura Permite al usuario crear o actualizar cualquier objeto en el depósito.

ACL de escritura Permite al usuario escribir la ACL para el depósito.

Ejecutar Establece el permiso de ejecución cuando se accede como un sistemade archivos. Este permiso no tiene ningún efecto cuando se accede alobjeto utilizando los protocolos de objetos de ECS.

Control total Permite al usuario leer, escribir, leer ACL y escribir ACL.

Escritura conprivilegios

Permite al usuario ejecutar escrituras en un depósito o un objetocuando el usuario no tiene permiso de escritura normal. Obligatoriopara depósitos de CAS

Eliminar Permite que el usuario elimine depósitos y objetos. Obligatorio paradepósitos de CAS

Ninguno El usuario no tiene privilegios en el depósito.

Permisos de ACL del depósito para un usuarioEl portal de ECS le permite configurar la ACL de depósito para un usuario o para ungrupo predefinido.

Antes de comenzar


l Un administrador del sistema puede editar la configuración de ACL para undepósito que pertenezca a cualquier espacio de nombres.

l Un administrador de espacio de nombres puede editar la configuración de ACL deun depósito en el espacio de nombres en el cual es el administrador.

Procedimiento


2. En la página Bucket Management, busque en la tabla el depósito que deseaeditar y seleccione la acción Edit ACL.

3. En la página Bucket ACLs Management, la pestaña User ACLs se muestra deforma predeterminada y permite mostrar las ACL que se aplicaron a los usuariosque tienen acceso al depósito.

El propietario del depósito tiene asignados los permisos predeterminados.

Depósitos

Configuración de ACL 99

Figura 17 Pestaña User ACLs en la página Bucket ACLs Management

Nota

Debido a que el portal de ECS es compatible con depósitos S3, S3 con sistemade archivos (HDFS o NFS) y CAS, el rango de permisos que puedenestablecerse no es aplicable a todos los tipos de depósitos.

4. A fin de establecer (o eliminar) los permisos de ACL para un usuario que yatenga permisos asignados, haga clic en Edit o Remove en la columna Action dela tabla ACL.

5. Para agregar un usuario y asignar permisos de ACL al depósito, haga clic enAdd.

a. Ingrese el nombre de usuario del usuario al que se aplican los permisos.

b. Seleccione los permisos para el usuario.

Para obtener más información sobre permisos de ACL, consulte Referenciade permisos de ACL de depósito en la página 98.


Establecer los permisos de ACL de depósito para un grupo predefinidoPuede establecer la ACL de un depósito para un grupo predefinido desde el portal deECS.

Antes de comenzar


l Un administrador del sistema puede editar la configuración de ACL de grupo de undepósito que pertenezca a cualquier espacio de nombres.

l Un administrador de espacio de nombres puede editar la configuración de ACL degrupo de un depósito en el espacio de nombres en el cual es el administrador.

Procedimiento


Depósitos


2. En la página Bucket Management, busque en la tabla el depósito que deseaeditar y seleccione la acción Edit ACL.

3. Haga clic en la pestaña Group ACLs para establecer los permisos de ACL paraun grupo predefinido.

4. Haga clic en Add.

5. Se mostrará la página Edit Group, como se muestra en la siguiente captura depantalla:

Los nombres de grupos se describen en la siguiente tabla:

Grupo Descripción

public Todos los usuarios, autenticados o no.

all users Todos los usuarios autenticados.

other Los usuarios autenticados, pero no elpropietario del depósito.

log delivery No compatible.

6. Seleccione los permisos para el grupo.


Configurar las ACL del depósito de un grupo personalizadoPuede configurar una ACL de grupo para un depósito en el portal de ECS y puedeconfigurar ACL de depósitos para un grupo de usuarios (ACL de grupo personalizado),para usuarios individuales o una combinación de ambos. Por ejemplo, puede otorgarleacceso completo al depósito a un grupo de usuarios, pero también puede restringir (o

Depósitos

Configuración de ACL 101

incluso denegar) el acceso al depósito a usuarios individuales que sean parte de esegrupo.

Antes de comenzar


l Un administrador del sistema puede editar la configuración de ACL de grupo de undepósito que pertenezca a cualquier espacio de nombres.

l Un administrador de espacio de nombres puede editar la configuración de ACL degrupo de un depósito en el espacio de nombres en el cual es el administrador.

Las ACL del grupo personalizado permiten que los grupos se definan y que lospermisos se asignen al grupo. El caso de uso principal para asignar grupos a undepósito es admitir el acceso al depósito como un sistema de archivos. Por ejemplo,cuando está disponible el depósito para NFS o HDFS.

Los miembros del grupo de UNIX pueden acceder al depósito cuando se accede a élcomo un sistema de archivos (mediante NFS o HDFS).

Procedimiento


2. En la página Bucket Management, busque el depósito que desea editar en latabla y seleccione la acción Edit ACL.

3. Para configurar la ACL para un grupo personalizado, haga clic en la pestañaCustom Group User ACLs.

4. Haga clic en Add.

Se muestra la página Edit Custom Group.

5. En la página Edit Custom Group, en el campo Custom Group Name, escriba elnombre para el grupo.

Este nombre puede ser un grupo de Unix/Linux o un grupo de Active Directory.

6. Seleccione los permisos para el grupo.

Como mínimo, debe asignar las opciones Read, Write, Execute y Read ACL.


Establecer políticas de depósitosEl portal de ECS proporciona un editor de políticas de depósitos para que pueda crearuna política de depósito para un depósito existente.

Para cada depósito, puede definir ACL para un usuario de objetos. Las políticas dedepósitos proporcionan una flexibilidad mayor que las ACL y ofrecen un control máspreciso sobre los permisos para las operaciones de depósitos y para las operaciones enlos objetos del depósito. Las condiciones de políticas se utilizan para asignar permisospara una variedad de objetos que coinciden con la condición y se utilizan para asignarautomáticamente permisos a objetos cargados recientemente.

Las políticas se definen en formato JSON y la sintaxis que se usa para las políticas esla misma que se utiliza para Amazon AWS. Las operaciones para las cuales se puedenasignar permisos se limitan a las operaciones compatibles con ECS. Para obtener másinformación, consulte Guía de acceso a datos de ECS, disponible en la página dedocumentación de productos de ECS.

El editor de políticas de depósitos tiene una vista de código y una vista de árbol. Lavista de código, que se muestra en la siguiente captura de pantalla, le permite ingresar

Depósitos




políticas JSON desde cero o pegar políticas existentes en el editor y modificarlas. Porejemplo, si tiene políticas existentes en formato JSON, puede pegarlas en la vista decódigo y modificarlas.

Figura 18 Vista de código del editor de políticas de depósitos

La vista de árbol, que se muestra en la siguiente captura de pantalla, proporciona unmecanismo para navegar por una política y es útil si tiene una gran cantidad dedeclaraciones en una política. Puede expandir y contraer las declaraciones y buscarlas.

Depósitos

Establecer políticas de depósitos 103

Figura 19 Vista de árbol del editor de políticas de depósitos

Escenarios de políticas de depósitos

En general, el propietario del depósito tiene control total sobre un depósito y puedeotorgar permisos a otros usuarios y establecer políticas de depósitos S3 usando uncliente S3. En ECS, también es posible que un administrador del sistema o unadministrador de espacio de nombres establezca políticas de depósito mediante eleditor de políticas de depósitos del portal de ECS.

Puede usar las políticas de depósitos en los siguientes escenarios típicos:

l Otorgar permisos de depósitos a un usuariol Otorgar permisos de depósitos a todos los usuariosl Asigne permisos a objetos creados automáticamente

Otorgar permisos de depósitos a un usuarioPara otorgar permiso a un depósito a un usuario aparte del propietario del depósito,especifique el recurso al que desea cambiar los permisos. Configure el atributoprincipal con el nombre del usuario y especifique una o más acciones que deseehabilitar.

El siguiente ejemplo muestra una política que otorga a un usuario denominado user1el permiso de actualizar y leer los objetos en el depósito denominado mybucket:

{ "Version": "2012-10-17", "Id": "S3PolicyId1", "Statement": [ { "Sid": "Grant permission to user1", "Effect": "Allow", "Principal": ["user1"], "Action": [ "s3:PutObject","s3:GetObject" ],

Depósitos


"Resource":[ "mybucket/*" ] } ]}

También puede agregar condiciones. Por ejemplo, si solo desea que el usuario puedaleer y escribir objetos cuando accede al depósito desde una dirección IP específica,agregue una condición IpAddress como se muestra en la siguiente política:

{ "Version": "2012-10-17", "Id": "S3PolicyId1", "Statement": [ { "Sid": "Grant permission ", "Effect": "Allow", "Principal": ["user1"], "Action": [ "s3:PutObject","s3:GetObject" ], "Resource":[ "mybucket/*" ] "Condition": {"IpAddress": {"aws:SourceIp": "<Ip address>"} } ]}

Otorgar permisos de depósitos a todos los usuariosPara otorgar permiso a un depósito a un usuario aparte del propietario del depósito,especifique el recurso al que desea cambiar los permisos. Configure el atributoprincipal como Anybody (*) y especifique una o más acciones que desee habilitar.

En el siguiente ejemplo, se muestra una política que otorga a cualquier usuario elpermiso de leer objetos en el depósito denominado mybucket:

{ "Version": "2012-10-17", "Id": "S3PolicyId2", "Statement": [ { "Sid": "statement2", "Effect": "Allow", "Principal": ["*"], "Action": [ "s3:GetObject" ], "Resource":[ "mybucket/*" ] } ]}

Asigne permisos a objetos creados automáticamentePuede usar políticas de depósitos para permitir automáticamente el acceso a datos deobjetos recopilados. En la siguiente política de depósito, user1 y user2 pueden crearrecursos secundarios (es decir, objetos) en el depósito denominado mybucket ypueden configurar ACL de objetos. Con la capacidad de establecer ACL, los usuariospueden establecer permisos para otros usuarios. Si configura ACL en la mismaoperación, se puede configurar una condición. De forma tal que se debe especificaruna lectura pública de ACL predefinida cuando se crea el objeto. Esto garantiza quecualquier persona pueda leer todos los objetos creados.

{ "Version": "2012-10-17",

Depósitos

Establecer políticas de depósitos 105

"Id": "S3PolicyId3", "Statement": [ { "Sid": "statement3", "Effect": "Allow", "Principal": ["user1", "user2"], "Action": [ "s3:PutObject, s3:PutObjectAcl" ], "Resource":[ "mybucket/*" ] "Condition":{"StringEquals":{"s3:x-amz-acl":["public-read"]}} } ]}

Crear una política de depósitoPuede crear una política de depósito para un depósito seleccionado mediante el editorde políticas de depósitos en el portal de ECS.

Antes de comenzar

Esta operación requiere la función de administrador del sistema o administrador deespacio de nombres (para el espacio de nombres al que pertenece el depósito).

También puede crear una política de depósito en un editor de texto e implementarlautilizando la API REST de administración de ECS o la API de S3.

Procedimiento


2. En la lista desplegable Namespace, seleccione el espacio de nombres al quepertenece el depósito.

3. En la columna Actions para el depósito, seleccione Edit Policy en el menúdesplegable.

4. Siempre que su política sea válida, puede cambiar a la vista de árbol del editorde políticas de depósitos. La vista de árbol facilita la visualización de su política,así como la expansión y la contracción de declaraciones.

5. En el editor de políticas de depósitos, escriba la política o copie y pegue unapolítica que haya creado anteriormente.

Se proporcionan algunos ejemplos en Escenarios de políticas de depósitos en lapágina 104 y se proporcionan detalles completos de las operaciones y lascondiciones compatibles en Guía de acceso a datos de ECS, disponible en la página de documentación de productos de ECS.

6. Save.

Se valida la política y, si es válida, el editor de políticas de depósitos se cierra yel portal muestra la página Bucket Management. Si la política no es válida, elmensaje de error proporciona información sobre el motivo por el cual la políticano es válida.

Crear una categoría con la API de S3 (con s3curl)Puede usar la API de S3 para crear un depósito en un grupo de replicación. Dado queECS usa encabezados personalizados (x-emc), se debe construir la cadena que sefirmará para que pueda incluir estos encabezados. En este procedimiento, se usa laherramienta s3curl. Además, existen varios clientes programáticos que puede usar, porejemplo, el cliente Java de S3.

Depósitos



Antes de comenzar

l Para crear un depósito, ECS debe incluir al menos un grupo de replicaciónconfigurado.

l Asegúrese de que Perl esté instalado en la máquina Linux en la que ejecutarás3curl.

l Asegúrese de que la herramienta curl y la herramienta s3curl estén instaladas. Laherramienta s3curl actúa como un contenedor en torno a curl.

l Para usar s3curl con encabezados de x-emc, se deben realizar modificacionesmenores en el script s3curl. Puede obtener la versión modificada y específica deECS de s3curl en EMCECS Git Repository.

l Asegúrese de tener una clave secreta para el usuario que creará el depósito. Paraobtener más información, consulte Guía de acceso a datos de ECS, disponible en la página de documentación de productos de ECS.

Los encabezados de EMC que pueden utilizarse con depósitos se describen en Encabezados HTTP de depósitos en la página 109.

Procedimiento

1. Obtenga la identidad del grupo de replicación en el que desea crear el depósitomediante la ejecución del siguiente comando:

GET https://<ECS IP Address>:4443/vdc/data-service/vpools

La respuesta proporciona el nombre y la identidad de todos los pools virtualesde servicios de datos. En el siguiente ejemplo, el ID esurn:storageos:ReplicationGroupInfo:8fc8e19bedf0-4e81-bee8-79accc867f64:global.

<data_service_vpools><data_service_vpool> <creation_time>1403519186936</creation_time> <id>urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global</id> <inactive>false</inactive> <tags/> <description>IsilonVPool1</description> <name>IsilonVPool1</name> <varrayMappings> <name>urn:storageos:VirtualDataCenter:1de0bbc2-907c-4ede-b133-f5331e03e6fa:vdc1</name> <value>urn:storageos:VirtualArray:793757ab-ad51-4038-b80a-682e124eb25e:vdc1</value> </varrayMappings></data_service_vpool></data_service_vpools>

2. Configure s3curl al crear un archivo .s3curl donde escribirá las credencialesdel usuario.

El archivo .s3curl debe tener permisos 0600 (lectura/escritura-/---/---)cuando se ejecute s3curl.pl.

Depósitos

Crear una categoría con la API de S3 (con s3curl) 107

https://github.com/EMCECS/s3curl


En el siguiente ejemplo, el perfil my_profile hace referencia a la informaciónde identificación para la cuenta [email protected], y root_profile hacereferencia a las credenciales de la cuenta raíz.

%awsSecretAccessKeys = ( my_profile => { id => '[email protected]', key => 'sZRCTZyk93IWukHEGQ3evPJEvPUq4ASL8Nre0awN' }, root_profile => { id => 'root', key => 'sZRCTZyk93IWukHEGQ3evPJEvPUq4ASL8Nre0awN' },);

3. Agregue el terminal en el que desea utilizar s3curl frente al archivo .s3curl.

El terminal es la dirección de su nodo de datos o el balanceador de carga que seubica en frente de sus nodos de datos.

push @endpoints , ( '203.0.113.10', 'lglw3183.lss.dell.com',);

4. Cree el depósito con s3curl.pl y especifique los siguientes parámetros:

l Perfil de usuario

l Identidad del grupo de replicación donde se creará el depósito (<vpool_id>),que se establece con el encabezado x-emc-dataservice-vpool

l Cualquier encabezado personalizado x-emc

l Nombre de la categoría (<BucketName>).

En el siguiente ejemplo, se muestra un comando completamente especificado:

./s3curl.pl --debug --id=my_profile --acl public-read-write --createBucket -- -H 'x-emc-file-system-access-enabled:true' -H 'x-emc-dataservice-vpool:<vpool_id>' http://<DataNodeIP>:9020/<BucketName>

El ejemplo utiliza el encabezado x-emc-dataservice-vpool para especificarel grupo de replicación en el cual se crea el depósito y el encabezado x-emc-file-system-access-enabled para habilitar que el depósito tenga accesoa sistemas de archivos, por ejemplo, NFS o HDFS.

Nota

El argumento -acl public-read-write es opcional, pero se puede utilizarpara configurar los permisos a fin de habilitar el acceso al depósito. Por ejemplo,si desea acceder al depósito como NFS desde un entorno que no garantiza eluso de Kerberos.

Depósitos


Si se realiza correctamente (con la depuración activada), aparece un mensajesimilar al siguiente:

s3curl: Found the url: host=203.0.113.10; port=9020; uri=/S3B4; query=;s3curl: ordinary endpoint signing cases3curl: StringToSign='PUT\n\n\nThu, 12 Dec 2013 07:58:39 +0000\nx-amz-acl:public-read-write\nx-emc-file-system-access-enabled:true\nx-emc-dataservice-vpool:urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global:\n/S3B4's3curl: exec curl -H Date: Thu, 12 Dec 2013 07:58:39 +0000 -H Authorization: AWS root:AiTcfMDhsi6iSq2rIbHEZon0WNo= -H x-amz-acl: public-read-write -L -H content-type: --data-binary -X PUT -H x-emc-file-system-access-enabled:true -H x-emc-dataservice-vpool:urn:storageos:ObjectStore:e0506a04-340b-4e78-a694-4c389ce14dc8: http://203.0.113.10:9020/S3B4


Puede enumerar las categorías mediante la interfaz de S3, mediante:

./s3curl.pl --debug --id=my_profile http://<DataNodeIP>:9020/

Encabezados HTTP de depósitosExisten varios encabezados que determinan el comportamiento de ECS cuando secrean depósitos mediante las API de objetos.

Se proporcionan los siguientes encabezados x-emc:

Tabla 19 Encabezados de depósitos

Encabezado Descripción

x-emc-dataservice-vpool Determina el grupo de replicación que se utiliza para almacenar los objetosasociados a este depósito. Si no especifica un grupo de replicación mediante elencabezado x-emc-dataservice-vpool, seleccione el grupo de replicación

predeterminado que esté asociado al espacio de nombres.

x-emc-file-system-access-enabled Configura el depósito para el acceso mediante NFS o HDFS. El encabezado nodebe entrar en conflicto con la interfaz que se utiliza. Es decir, una solicitud dedepósito de NFS o HDFS no puede especificar x-emc-file-system-access-enabled=false.

x-emc-namespace Especifica el espacio de nombres que se utiliza para este depósito. Si no seespecifica el espacio de nombres mediante la convención de S3 de la solicitudcon un estilo semejante al de hosts o rutas, se puede especificar mediante elencabezado x-emc-namespace. Si no se especifica el espacio de nombres en

este encabezado, se utiliza el espacio de nombres relacionado con el usuario.

x-emc-retention-period Especifica el período de retención que se aplica a los objetos en un depósito.Cada vez que se realice una solicitud para modificar un objeto en un depósito, elvencimiento del período de retención del objeto se calculará según el período deretención asociado al depósito.

x-emc-is-stale-allowed Especifica si se puede acceder al depósito durante una interrupción temporal deVDC en una configuración federada.

Depósitos

Encabezados HTTP de depósitos 109

Tabla 19 Encabezados de depósitos (continuación)

Encabezado Descripción

x-emc-server-side-encryption-enabled Especifica si los objetos escritos en un depósito están cifrados.

x-emc-metadata-search Especifica uno o más valores de metadatos del usuario o del sistema que seutilizan para crear los índices de objetos para el depósito. Los índices se puedenutilizar para ejecutar búsquedas de objetos que se filtran según los metadatosindexados.

Convenciones de asignación de nombres de depósitos,objetos y espacios de nombres

Los nombres de depósito y objeto (también conocidos como clave) para los protocolosS3, OpenStack Swift, Atmos y CAS deben ajustarse a las especificaciones de ECSdescritas en esta sección.

Nota

Para utilizar un depósito para HDFS, no debe utilizar guiones bajos en el nombre deldepósito, ya que no son compatibles con la clase URI Java. Por ejemplo, viprfs://my_bucket.ns.site/ es un URI no válido y Hadoop no lo comprenderá.

Nombre de espacio de nombresLas siguientes reglas se aplican a la denominación de espacios de nombres de ECS:

l No puede ser nulo o una cadena vacía

l El rango de longitud es 1..255 (Unicode)

l Los caracteres válidos se definen en la expresión regular /[a-zA-Z0-9-_]+/. Esdecir, caracteres alfanuméricos y los caracteres especiales de guion (-) y guionbajo (_).

Asignación de nombres de objetos y depósitos S3 en ECSLos nombres de objetos y depósitos deben cumplir con la especificación de asignaciónde nombres de ECS cuando se usa la API de objetos S3 de ECS.

Nombre de depósitoLas siguientes reglas se aplican a la denominación de depósitos S3 en ECS:

l Los nombres deben tener entre uno y 255 caracteres de longitud. (S3 requierenombres de depósito con una longitud de 1 a 255 caracteres)

l Pueden incluir caracteres de punto (.), guion (-) y guion bajo (_), además decaracteres alfanuméricos ([a-zA-Z0-9]).

l Pueden comenzar con un guion (-) o con un carácter alfanumérico.

l No pueden comenzar con un punto (.).

l No pueden contener un doble punto (..).

l No pueden terminar con un punto (.).

l No deben tener el formato de direcciones IPv4.

Puede comparar esto con la restricción de asignación de nombres de la especificaciónde S3: http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html.

Depósitos


http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html

Nombre del objetoLas siguientes reglas se aplican a la asignación de nombre de objetos S3 en ECS:



l No hay validación de caracteres

Asignación de nombres de objetos y contenedores OpenStack Swift en ECSLos nombres de objetos y contenedores deben cumplir con la especificación deasignación de nombres de ECS cuando se usa la API de objetos de OpenStack Swift deECS.

Nombre del contenedorLas siguientes reglas se aplican a la denominación de contenedores Swift:



l Pueden incluir caracteres de punto (.), guion (-) y guion bajo (_), además decaracteres alfanuméricos ([a-zA-Z0-9]).

l Puede incluir el símbolo arroba (@) con la ayuda de su representante de servicio alcliente.

Nombre del objetoLas siguientes reglas se aplican a la denominación de objetos Swift:




Depósito Atmos y denominación de objetos en ECSLos nombres de objetos y subgrupos deben cumplir con la especificación de asignaciónde nombres cuando se usa la API de objetos Atmos de ECS.

Subgrupo de usuarios (depósito)El servidor crea el subgrupo, de modo que el cliente no necesita saber el esquema deasignación de nombres.

Nombre del objetoLas siguientes reglas se aplican a la denominación de objetos Atmos:


l El rango de longitud es 1..255 (caracteres Unicode)


l El nombre debe ser UTF-8 con codificación porcentual.

Asignación de nombres de objetos y pools de CASLos nombres de pools y objetos de CAS (clips en la terminología de CAS) debencumplir con la especificación de asignación de nombres de ECS cuando se usa la APIde CAS.

Denominación de pool de CASLas siguientes reglas se aplican a la denominación de pools de CAS en ECS:

Depósitos

Asignación de nombres de objetos y contenedores OpenStack Swift en ECS 111

l Puede contener un máximo de 255 caracteres

l No puede contener ' " / & ? * < > <tabulador> <nueva_línea> o <espacio>

Denominación de clipLa API de CAS no es compatible con claves definidas por el usuario. Cuando unaaplicación que utiliza la API de CAS crea un clip, abre un pool; crea un clip; y agregaetiquetas, atributos y flujos, entre otros elementos. Después de que se completa unclip, se escribe en un dispositivo.

El motor CAS devuelve un identificador C-Clip correspondiente, y se puede hacerreferencia a este con <nombre de pool>/<Identificador C-Clip>.

Depósitos


CAPÍTULO 8

Acceso a archivos

l Introducción al acceso a archivos...................................................................... 114l Acceso multiprotocolo de ECS.......................................................................... 114l Trabajo con exportaciones de NFS en el portal de ECS..................................... 117l Trabajo con mapeos de usuario o grupo en el portal de ECS..............................118l Tareas de configuración de ECS NFS................................................................119l Ejemplo de montaje de una exportación de NFS............................................... 133l Acceso a NFS mediante la API REST de administración de ECS....................... 136l WORM (Write Once, Read Many) de NFS........................................................136l Soporte de S3A................................................................................................ 140

Acceso a archivos 113

Introducción al acceso a archivos

ECS permite configurar depósitos de objetos para facilitar el acceso como sistemas dearchivos NFS mediante NFSv3.

En el portal de ECS, puede hacer que los depósitos de ECS y los directorios dentro deellos sean accesibles como sistemas de archivos para los usuarios de Unix mediante:

l la creación de exportaciones de NFS de depósitos de ECS y la especificación delos hosts que desea que tengan acceso a la exportación.

l la asignación de usuarios/grupos de objetos de ECS a usuarios/grupos de Unix conel fin de que los usuarios de Unix puedan acceder a la exportación de NFS.

La asignación del propietario del depósito de ECS a un ID de Unix le otorga permisosen el sistema de archivos a ese usuario de Unix. Además, ECS permite asignar ungrupo personalizado predeterminado al depósito, de modo que los miembros de ungrupo de Unix asignado al grupo personalizado predeterminado de ECS puedanacceder al depósito.

NFS de ECS es compatible con:

l acceso multiprotocolo, de modo que también se pueda acceder a los archivosescritos con NFS a través de los protocolos de objetos y viceversa.

l Seguridad de Kerberos

l bloqueo recomendado y bloqueo de varios sitios, así como bloqueos compartidos yexclusivos.

Las tareas de configuración de NFS de ECS que se pueden realizar en el portal de ECStambién se pueden realizar mediante la CLI o API REST de administración de ECS.

Acceso multiprotocolo de ECS

ECS es compatible con el acceso multiprotocolo, de modo que también se puedeacceder a los archivos escritos con NFS mediante los protocolos de objetos AmazonSimple Storage Service (Amazon S3), OpenStack Swift y EMC Atmos. De manerasimilar, los objetos escritos mediante los protocolos de objetos S3 y OpenStack Swiftpueden estar disponibles a través de NFS. Para Atmos, los objetos creados mediantela interfaz del espacio de nombres se pueden enumerar mediante NFS. Sin embargo,esto no es posible con los objetos creados mediante un ID de objeto. Los usuarios y losmiembros del grupo de Unix pueden acceder a los objetos y a los directorios creadosmediante protocolos de objetos mediante el mapeo de los usuarios y de los grupos deobjetos.

Acceso multiprotocolo S3/NFS a archivos y directoriosECS es compatible con la escritura de objetos mediante el protocolo de S3 y con elacceso a ellos como archivos mediante NFS. De manera inversa, es compatible con laescritura de archivos mediante NFS y con el acceso a ellos como objetos mediante elprotocolo de S3. Debe comprender cómo se administran los directorios cuando seutiliza el acceso multiprotocolo.

El protocolo de S3 no realiza aprovisionamiento para la creación de carpetas odirectorios.

Para habilitar la operación de multiprotocolo, el soporte de ECS para el protocolo deS3 hace oficial el uso de / y crea objetos de directorio para todas las rutas intermedias

Acceso a archivos


en un nombre de objeto. Un objeto llamado /a/b/c.txt dará como resultado lacreación de un objeto de archivos llamado c.txt y objetos de directorio para a y b.Estos objetos de directorio no están expuestos a los usuarios mediante el protocolo deS3 y solo se mantienen a fin de proporcionar acceso multiprotocolo y compatibilidadcon las API basadas en el sistema de archivos. Esto significa que, cuando se visualizael depósito como un sistema de archivos NFS o HDFS, ECS puede mostrar archivosdentro de una estructura de directorio.

Limitaciones

l Puede surgir un problema en el que se cree un objeto de directorio y un objeto dearchivo con el mismo nombre. Esto puede ocurrir de las siguientes maneras:

n Un archivo path1/path2 se crea a partir de NFS y, luego, un objeto path1/path2/path3 se crea a partir de S3. Dado que S3 permite la creación deobjetos que tengan otro nombre de objeto como prefijo, esta es una operaciónválida y es compatible. Existirán un archivo y un directorio denominadospath2.

n Si se crea un directorio path1/path2 a partir de NFS, se crea un objetopath1/path2 a partir de S3. Esta operación es una operación válida de S3porque el directorio path1/path2 no es visible mediante la API de S3.Existirán un archivo y un directorio denominados path2.

Para resolver este problema, las solicitudes de S3 siempre devuelven el archivo ylas solicitudes de NFS siempre devuelven el directorio. Sin embargo, esto significaque, en el primer caso, el objeto que S3 creó oculta el archivo que NFS creó.

l NFS no es compatible con nombres de archivo con / al final de ellos, pero elprotocolo de S3 sí los admite. NFS no muestra estos archivos.

Permisos de acceso de multiprotocoloSe puede acceder a los objetos mediante NFS y utilizando el servicio de objetos. Cadamétodo de acceso tiene una manera de almacenar permisos: permisos de la lista decontrol de acceso (ACL) de objetos y permisos del sistema de archivos.

Cuando un objeto se crea o se modifica mediante el protocolo de objetos, los permisosasociados con el propietario de objeto se mapean a los permisos de NFS, y lospermisos correspondientes se almacenan. De manera similar, cuando se crea o semodifica un objeto mediante NFS, ECS mapea los permisos de NFS del propietario alos permisos de objeto y los almacena.

El protocolo de objetos de S3 no tiene el concepto de grupos. Por ello, no es necesarioque los cambios en la propiedad del grupo o en los permisos de NFS se mapeen a lospermisos de objeto correspondientes. Cuando se crea un depósito o un objeto en undepósito (el equivalente de un directorio y un archivo), ECS puede asignar permisos degrupo de Unix para que los usuarios NFS puedan acceder a ellos.

Los siguientes atributos de la ACL se almacenan para NFS:

l Owner

l Grupo

l Other

Para el acceso a objetos, se almacenan las siguientes ACL:

l Users

l Grupos personalizados

l Grupos (predefinidos)

Acceso a archivos

Permisos de acceso de multiprotocolo 115

l Propietario (un usuario específico de los usuarios)

l Grupo primario (un grupo específico de los grupos personalizados)

Para obtener más información sobre ACL, consulte Configuración de ACL en la página98.

La siguiente tabla muestra el mapeo entre atributos de la ACL de NFS y atributos de laACL de objetos.

Atributo de la ACL de NFS Atributo de la ACL de objetos

Owner Usuario que también es propietario

Group Grupo personalizado que también es grupoprimario

Otros Grupo predefinido

Ejemplos de esta asignación se analizan más adelante en este tema.

Las siguientes entradas de control de acceso (ACE) se pueden asignar a cada atributode la ACL.

ACE de NFS:

l Read (R)

l Write (W)

l Execute (X)

ACE de objetos:

l Read (R)

l Write (W)

l Execute (X)

l ReadAcl (RA)

l WriteAcl (WA)

l Full Control (FC)

Crear y modificar un objeto con NFS y tener acceso mediante el servicio deobjetosCuando un usuario NFS crea un objeto mediante el protocolo NFS, los permisos delpropietario se muestran en espejo en la ACL del usuario de objetos que se designacomo el propietario del depósito. Si el usuario de NFS tiene permisos RWX, elpropietario de objetos tendrá control total en la ACL de objetos.

Los permisos asignados al grupo al que pertenece el directorio o archivo NFS sereflejan en un grupo personalizado del mismo nombre, en caso de que exista. ECSrefleja los permisos asociados con Others en permisos de grupos predefinidos.

El siguiente ejemplo ilustra el mapeo de permisos de NFS a permisos de objetos.

NFS ACL Setting Object ACL Setting

Owner John : RWX Users John : Full ControlGroup ecsgroup : R-X ---> Custom Groups ecsgroup : R-XOther RWX Groups All_Users : R, RA Owner John Primary Group ecsgroup

Cuando un usuario accede a ECS mediante NFS y cambia la propiedad de un objeto, elnuevo propietario hereda los permisos de la ACL del propietario y se le otorga

Acceso a archivos


Read_ACL y Write_ACL. Los permisos del propietario anterior se mantienen en la ACLdel usuario de objetos.

Cuando se ejecuta una operación chmod, ECS refleja los permisos de la misma maneraque cuando se crea un objeto. Write_ACL se conserva en los permisos Group y enOthers en caso de que exista en la ACL del usuario de objetos.

Crear y modificar objetos con el servicio de objetos y acceder mediante NFSCuando un usuario de objetos crea un objeto con el servicio de objetos, el usuario es elpropietario del objeto y se le otorga el control total (Full Control) del objetoautomáticamente. Al propietario del archivo se le otorgan permisos RWX. Si lospermisos del propietario se establecen en un valor que no sea Full Control, ECS reflejalos permisos RWX de objetos en los permisos RWX de archivos. Un propietario deobjetos con permisos RX da como resultado un propietario de archivos NFS conpermisos RX. El grupo primario de objetos, que se configura mediante el grupopredeterminado en el depósito, se convierte en el grupo personalizado al quepertenece el objeto y los permisos de objetos se establecen según los permisospredeterminados que se hayan configurado. Estos permisos se reflejan en los permisosde NFS.group. Si el grupo personalizado de objetos tiene configurado Full Control,estos permisos se convierten en RWX para el grupo NFS. Si se especifican grupospredefinidos en el depósito, estos se aplican al objeto y se reflejan en los permisos deOthers con respecto a las ACL de NFS.

El siguiente ejemplo ilustra el mapeo de permisos de objetos en permisos de NFS.

Object ACL Setting NFS ACL Setting

Users John : Full Control Owner John : RWXCustom Groups ecsgroup : R-X ----> Group ecsgroup : R-X Groups All_Users : R, RA Other RWX Owner JohnPrimary Group ecsgroup

Si se cambia el propietario del objeto, los permisos asociados con el nuevo propietariose aplican al objeto y se reflejan en los permisos RWX de archivos.

Trabajo con exportaciones de NFS en el portal de ECSPuede utilizar la pestaña Exports de la página File disponible en Manage > File paraver los detalles de las exportaciones de NFS existentes, crear nuevas exportaciones deNFS y editar las exportaciones existentes.

La pestaña Exports tiene un campo Namespace que le permite seleccionar el espaciode nombres para el cual desea ver las exportaciones definidas en la actualidad.

Acceso a archivos

Trabajo con exportaciones de NFS en el portal de ECS 117

Figura 20 Pestaña Exports en la página File

Tabla 20 Propiedades de exportación de NFS

Campo Descripción

Namespace El espacio de nombres al que pertenece el almacenamientosubyacente.

Bucket El depósito que proporciona el almacenamiento subyacente para laexportación de NFS.

Export Path El punto de montaje asociado con la exportación, en la forma: /<namespace_name>/<bucket_name>/<export_name> . El

nombre de la exportación solo se especifica si planea exportar undirectorio que existe en el depósito.

Actions Las acciones que pueden realizarse en la exportación de NFS.

l Edit: Permite editar la cuota del depósito y las opciones de hostde exportación.

l Delete: Permite eliminar la exportación de NFS.

Trabajo con mapeos de usuario o grupo en el portal de ECSPuede utilizar la pestaña User/Group Mapping de la página File disponible enManage > File para ver las asignaciones existentes entre usuarios/grupos de objetosECS y usuarios de Unix, para crear nuevas asignaciones de usuario/grupo y para editarasignaciones.

La pestaña User/Group Mapping cuenta con un campo Namespace que permiteseleccionar el espacio de nombres en el cual desea ver las asignaciones de usuario/grupo configuradas.

ECS almacena el propietario y el grupo del depósito y de los archivos y directoriosdentro del depósito, como nombre de usuario de objetos de ECS y nombres de grupopersonalizados, respectivamente. Los nombres deben asignarse a los ID de Unix paraque los usuarios de NFS puedan tener acceso con los privilegios correspondientes.

La asignación permite que ECS trate a un usuario de objetos de ECS y a un usuario deNFS como el mismo usuario, pero con dos conjuntos de credenciales, uno para

Acceso a archivos


acceder a ECS mediante NFS y otro para acceder a ECS mediante los protocolos deobjetos. Debido a la asignación de las cuentas, los archivos escritos por un usuarioNFS serán accesibles como objetos para el usuario de objetos asignado, y los objetosescritos por los usuarios de objetos serán accesibles como archivos para el usuarioNFS.

Los permisos asociados con el objeto o el archivo se basarán en una asignación entrelos privilegios de la ACL del protocolo de objetos y POSIX. Para obtener másinformación, consulte Permisos de acceso de multiprotocolo en la página 115.

Figura 21 Pestaña User/Group Mapping en la página File

Campo Descripción

User/Group Name El nombre de usuario de objeto del usuario.

ID El ID de usuario o de grupo de Unix que se asignó al usuario deobjetos.

Type Indica si el ID es para un usuario o grupo.

Actions Las acciones que pueden realizarse en el mapeo de usuario o grupo.

Estos son: View y Delete

Tareas de configuración de ECS NFSPara configurar ECS NFS, debe ejecutar las siguientes tareas:

Procedimiento

1. Creación de un depósito para NFS mediante el portal de ECS en la página 120

2. Agregar una exportación de NFS mediante el portal de ECS en la página 122

3. Agregar un mapeo de grupos o usuarios mediante el portal de ECS en la página125

4. Configuración de ECS NFS con la seguridad de Kerberos en la página 127


Después de realizar los pasos anteriores, puede montar la exportación de NFS en elhost de exportación.

Acceso a archivos

Tareas de configuración de ECS NFS 119

Creación de un depósito para NFS mediante el portal de ECSPuede utilizar el portal de ECS para crear un depósito configurado para su uso conNFS.

Antes de comenzar


l Si es un administrador de espacio de nombres, puede crear depósitos en suespacio de nombres.

l Si es un administrador del sistema, puede crear un depósito que pertenezca acualquier espacio de nombres.

Los pasos que se proporcionan aquí se enfocan en la configuración que debe ejecutarpara hacer que un depósito sea adecuado para su uso con NFS. El depósito que creaes un depósito S3 habilitado para su uso con el sistema de archivos.

Procedimiento

1. En el portal de ECS, seleccione Manage > Buckets > New Bucket.

2. En la páginaNew Bucket, en el campo Name, escriba un nombre para eldepósito.

3. En el campo Namespace, seleccione el espacio de nombres al que pertenece eldepósito.

4. En el campo Replication Group, seleccione un grupo de replicación o déjelo enblanco a fin de usar el grupo de replicación predeterminado para el espacio denombres.

5. En el campo Bucket Owner, escriba el nombre del propietario del depósito.

6. En el campo CAS, no habilite CAS.

Nota

Un depósito que está diseñado para usarse como NFS no se puede utilizar paraCAS. El campo CAS está deshabilitado cuando se activa el campo File System.

7. Habilite cualquier otra función de depósito que necesite.

Puede habilitar cualquiera de las siguientes funciones en un depósito NFS:

l Cuota

l Cifrado del lado del servidor

l Búsqueda de metadatos

l Access During Outage

l Acceso de solo lectura durante la interrupción

l Cumplimiento de normas (ver nota)

l Período de retención de depósito

Para obtener información acerca de estos ajustes, consulte Ajustes dedepósitos en la página 91.

Acceso a archivos


Nota

No se puede escribir en un depósito que está habilitado para el cumplimiento denormas mediante el protocolo NFS. Sin embargo, se pueden leer datos escritosdesde NFS mediante protocolos de objetos.

8. En el campo File System, haga clic en On.

Una vez que se habilita el acceso al sistema de archivos, están disponibles loscampos a fin de configurar un grupo predeterminado para el sistema dearchivos/depósito y para asignar permisos de grupo a los archivos y losdirectorios creados en el depósito.

9. En el campo Default Bucket Group, escriba un nombre para el grupo dedepósito predeterminado.

Este grupo es el grupo asociado con el sistema de archivos raíz de NFS y contodos los archivos o directorios creados en la exportación de NFS. Permite a losusuarios que son miembros del grupo acceder a la exportación de NFS y a losarchivos y a los directorios.

Este grupo se debe especificar en la creación del depósito. Si no estáespecificado, el grupo se tendrá que asignar más adelante desde el cliente deNFS.

10. Establezca los permisos predeterminados para los archivos y los directorioscreados en el depósito mediante el protocolo de objetos.

Estos ajustes se utilizan para aplicar permisos de grupo de Unix a los objetoscreados mediante protocolos de objetos.

El protocolo de objetos de S3 no tiene el concepto de grupos. Por lo tanto, noexiste una oportunidad para establecer permisos de grupo en S3 y asignarlos alos permisos de UNIX. Por lo tanto, esto proporciona una oportunidad únicapara que se asigne un archivo o un directorio creado mediante el protocolo deS3 al grupo predeterminado especificado con los permisos que se mencionanaquí.

a. Establezca los permisos correspondientes a la opción Group FilePermissions haciendo clic en los botones de los permisos adecuados.

Normalmente, se establecerán permisos de lectura y ejecución.

b. Establezca los permisos correspondientes a la opción Group DirectoryPermissions haciendo clic en los botones de los permisos adecuados.

Normalmente, se establecerán permisos de lectura y ejecución.

Acceso a archivos

Creación de un depósito para NFS mediante el portal de ECS 121

11. Haga clic en Save para crear el depósito.

Agregar una exportación de NFS mediante el portal de ECSPuede usar el portal de ECS para crear una exportación de NFS y configurar lasopciones que controlan el acceso a la exportación.

Antes de comenzar


l Si es un administrador de espacio de nombres, puede agregar exportaciones deNFS a su espacio de nombres.

l Si es un administrador del sistema, puede agregar exportaciones de NFS acualquier espacio de nombres.

l Se debe haber creado un depósito para proporcionar el almacenamientosubyacente para la exportación. Para obtener más información, consulte Creaciónde un depósito para NFS mediante el portal de ECS en la página 120.

Procedimiento

1. En el portal de ECS, seleccione File > Exports > New Export.

Se muestra la página New File Export. En el siguiente ejemplo, se muestra unaexportación configurada para que los hosts del cliente de NFS puedan acceder aella:

Acceso a archivos


2. En la página New File Export, en el campo Namespace, seleccione el espaciode nombres que posee el depósito que desea exportar.

3. En el campo Bucket, seleccione el depósito.

4. En el campo Export Path, especifique la ruta.

ECS genera automáticamente la ruta de exportación en función del espacio denombres y del depósito. Solo debe ingresar un nombre si planea exportar undirectorio que existe en el depósito. Por lo tanto, si ingresa /namespace1/bucket1/dir1, por ejemplo, debe asegurarse de que dir1 exista. Si noexiste, el montaje de la exportación fallará.

5. Establezca la opción Show Bucket Quota en No o Yes según cómo desee quese informe el tamaño de exportación.


No El tamaño de exportación se informará como el tamaño del pool dealmacenamiento.

Yes El tamaño de exportación se informa como la cuota máxima en eldepósito, si se establece.

Acceso a archivos

Agregar una exportación de NFS mediante el portal de ECS 123

6. Para agregar los host que desea que tengan acceso a la exportación, completelos siguientes pasos:

a. En el área Export Host Options, haga clic en Add.

Se muestra el cuadro de diálogo Add Export Host.

b. En el cuadro de diálogo Add Export Host, especifique uno o más hosts quedesea que puedan acceder a la exportación y configurar las opciones deacceso.

Debe elegir una opción de Authentication. Esto será normalmente Sys, amenos que planee configurar Kerberos. Los valores predeterminados paraPermissions (ro) y Write Transfer Policy (async) ya están configurados enel cuadro de diálogo Add Export Host y se transferirán al servidor NFS. Lasopciones restantes son las mismas que las de los valores predeterminadosdel servidor NFS y, por lo tanto, solo se transmitirán por ECS si las cambia.

En la siguiente tabla, se describen los parámetros que puede especificarcuando agregue un host.

Configuración Descripción

Export Host Establece la dirección IP del host o de los hosts que pueden acceder a la exportación.Utilice una lista con elementos separados por comas para especificar más de un host.

Permissions Permite que el acceso a la exportación se configure como de lectura/escritura o de sololectura. Esto equivale a configurar rw o ro en /etc/exports.

Write Transfer Policy Establece la política de transferencia de escritura como síncrona o asíncrona. El valorpredeterminado es asíncrono.

Acceso a archivos


Configuración Descripción

Este parámetro equivale a configurar sync o async para una exportación en /etc/exports.

Authentication Configura los tipos de autenticación compatibles con la exportación.

Mounting Directories Inside Export Especifica si los subdirectorios de la ruta de exportación se admiten como puntos demontaje. Este parámetro equivale a configurar alldir en /etc/exports.

Con la opción alldir, en caso de haber exportado /namespace1/bucket1, por

ejemplo, también puede montar subdirectorios, como /namespace1/bucket1/dir1,

siempre y cuando exista el directorio.

AnonUser Un nombre de usuario de objeto (debe tener una entrada en la asignación de usuario ogrupo) al que se asignarán todos los ID de usuario desconocidos (no asignados mediantela asignación de usuario o grupo) cuando se acceda a la exportación.

AnonGroup Un nombre de grupo de objeto (debe tener una entrada en la asignación de usuario ogrupo) al que se asignarán todos los ID de grupos desconocidos (no asignados mediante laasignación de usuario o grupo) cuando se acceda a la exportación.

RootSquash Un nombre de usuario de objetos al que se asignará el ID de usuario raíz (0) cuando seacceda a la exportación.

c. Para completar la definición de las opciones de host, haga clic en Add.

7. Si desea agregar más hosts que puedan acceder a la exportación, pero condiferentes opciones, repita el paso anterior.

8. Para guardar la definición de la exportación de NFS, haga clic en Save.


Agregar un mapeo de grupos o usuarios mediante el portal de ECS en la página 125.

Agregar un mapeo de grupos o usuarios mediante el portal de ECSPara proporcionar acceso NFS al sistema de archivos (el depósito), debe asignar unusuario de objetos que tenga permisos en el depósito a un ID de usuario de UNIX(UID), de modo que el usuario de UNIX adquiera los mismos permisos que el usuario deobjetos. Como alternativa, puede asignar un grupo personalizado de ECS que tengapermisos en el depósito a un ID de grupo de UNIX (GID) a fin de proporcionar acceso alos miembros del grupo de UNIX.

Antes de comenzar


l Si es administrador de espacio de nombres, puede agregar asignaciones de gruposo usuarios en su espacio de nombres.

l Si es administrador del sistema, puede agregar asignaciones de grupos o usuariosen cualquier espacio de nombres.

l Realice lo siguiente para asignar un solo usuario de objetos de ECS a un usuarioUNIX:

l n Asegúrese de que el UID exista en el cliente NFS y de que el nombre de usuariosea un nombre de usuario de objetos de ECS.

l Realice lo siguiente para asignar un grupo de usuarios de objetos de ECS a ungrupo de usuarios de UNIX:

Acceso a archivos

Agregar un mapeo de grupos o usuarios mediante el portal de ECS 125

l n Asegúrese de que se haya asignado un grupo personalizado predeterminado aldepósito (ya sea a un grupo predeterminado asignado en la creaciónde depósitos o a una ACL del grupo personalizado configurada después de lacreación del depósito). Para que los miembros del grupo de UNIX tenganacceso al sistema de archivos, se debe asignar un grupo personalizadopredeterminado al depósito y ECS debe conocer el UID de cada miembro delgrupo. En otras palabras, debe haber una asignación de UID de UNIX para cadamiembro del grupo en ECS.

n Asegúrese de que se hayan asignado permisos predeterminados de objetos ydirectorio al depósito para que los miembros del grupo tengan acceso a objetosy directorios creados mediante protocolos de objetos.

Procedimiento

1. En el portal de ECS, seleccione Manage > File y haga clic en la pestaña User/Group Mapping.

2. Haga clic en New User/Group Mapping.

Se muestra la página New User/Group Mapping.

3. En el campo User/Group Name, escriba el nombre del usuario de objetos deECS o el grupo personalizado de ECS que desea asignar a un GID o UID deUNIX.

4. En el campo Namespace, seleccione el espacio de nombres al que pertenece elgrupo personalizado o el usuario de objetos de ECS.

5. En el campo ID, ingrese el GID o UID de UNIX al que desea asignar el grupo ousuario de ECS.

6. En el campo Type, haga clic en el tipo de mapeo: User o Group, para que ECSsepa que el ID que ha ingresado es un UID o un GID.


Acceso a archivos


Configuración de ECS NFS con la seguridad de KerberosPara configurar la autenticación Kerberos con ECS NFS, debe configurar los nodos deECS y el cliente de NFS, además de crear keytabs para la entidad de seguridad delservidor de NFS y la del cliente de NFS.

Antes de comenzar

Según la configuración interna de TI, puede utilizar un Key Distribution Center (KDC) oActive Directory (AD) como su KDC.

Para utilizar AD, siga los pasos que aparecen en estas tareas:

l Registre un nodo de ECS con Active Directory en la página 131

l Registro de un cliente de NFS de Linux con Active Directory en la página 132

Se admiten los siguientes escenarios:

l Cliente de ECS a un único nodo de ECS. El keytab en cada ECS que desea utilizarcomo el servidor NFS debe estar especificado para ese nodo.

l Cliente de ECS a balanceador de carga. El keytab en todos los nodos de ECS es elmismo y utiliza el nombre de host del balanceador de carga.

Procedimiento

1. Asegúrese de que se pueda resolver el nombre de host del nodo de ECS.

Puede usar el comando hostname para asegurarse de que el nombre dedominio calificado del nodo de ECS se agregue a /etc/HOSTNAME.

dataservice-10-247-142-112:~ # hostname ecsnode1.yourco.comdataservice-10-247-142-112:~ # hostname -i10.247.142.112 dataservice-10-247-142-112:~ # hostname -fecsnode1.yourco.comdataservice-10-247-142-112:~ #

2. Cree el archivo de configuración de Kerberos (krb5.conf) en el nodo de ECScomo /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.conf. A menos que ya se haya configurado el HDFS, deberá crearel directorio hdfs con los permisos 755 (drwxr-xr-x) (chmod 755 hdfs) y hacerque el usuario con el UID 444 y el grupo con el GID 444 sean los propietarios(chown 444:444 hdfs).

Cambie los permisos de archivos a 644 y haga que el usuario con el ID444(storageos) sea el propietario del archivo.

En el ejemplo que aparece a continuación, se utilizan los siguientes valores, perodebe reemplazarlos con su propia configuración.

Kerberos REALM

En este ejemplo, se encuentra configurado como NFS-REALM.

KDC

Configurado en kdcname.yourco.com en este ejemplo.

Acceso a archivos

Configuración de ECS NFS con la seguridad de Kerberos 127

KDC Admin Server

En este ejemplo, el KDC actúa como el servidor de administración.

[libdefaults] default_realm = NFS-REALM.LOCAL[realms] NFS-REALM.LOCAL = { kdc = kdcname.yourco.com admin_server = kdcname.yourco.com }[logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON

Nota

Si ya está configurado HDFS para Kerberos, en lugar dereemplazar /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.conf, combine la información de DOMINIO con el archivokrb5.conf existente, en caso de que sea diferente. Por lo general, no habráningún cambio en este archivo, dado que HDFS ya habrá configurado elDOMINIO. Además, HDFS ya habrá configurado el propietario y los permisospredeterminados y no requerirá ningún cambio.

3. Agregue una entidad de seguridad de host para el nodo de ECS y cree un keytabpara esta entidad.

En este ejemplo, el nombre de dominio calificado del nodo de ECS esecsnode1.yourco.com.

$ kadminkadmin> addprinc -randkey nfs/ecsnode1.yourco.comkadmin> ktadd -k /datanode.keytab nfs/ecsnode1.yourco.com kadmin> exit

4. Copie el keytab (datanode.keytab) en /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.keytab. A menos que ya sehaya configurado el HDFS, deberá crear el directorio hdfs con los permisos 755(drwxr-xr-x) (chmod 755 hdfs) y hacer que el usuario con el UID 444 y el grupocon el GID 444 sean los propietarios (chown 444:444 hdfs).

Cambie sus permisos de archivos a 644 y haga que el usuario con el ID444(storageos) sea el propietario del archivo.

Si ya está configurado el HDFS, en lugar de reemplazar /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.keytab, combineel archivo datanode.keytab en el archivo keytab existente mediantektutil. HDFS ya habrá configurado el propietario y los permisospredeterminados y no requerirá ningún cambio.

5. Descargue el archivo de política JCE ilimitada de oracle.com y colóquelo en eldirectorio /opt/emc/caspian/fabric/agent/services/object/data/jce/unlimited.

Acceso a archivos


Kerberos puede configurarse para utilizar un tipo de cifrado seguro, comoAES-256. En esa situación, el JRE dentro de los nodos de ECS debereconfigurarse para utilizar la política “ilimitada”.

Nota

Este paso se debe ejecutar solamente si está utilizando un tipo de cifradoseguro.

Si ya está configurado el HDFS, este paso se debió haber completado en laconfiguración de HDFS Kerberos.

6. Ejecute el siguiente comando desde el interior del contenedor de objetos.

service storageos-dataservice restarthdfs

7. Para configurar el cliente, comience por asegurarse de que se pueda resolver elnombre de host del cliente.

Puede usar el comando hostname para asegurarse de que el nombre dedominio calificado del nodo de ECS se agregue a /etc/HOSTNAME.

dataservice-10-247-142-112:~ # hostname ecsnode1.yourco.comdataservice-10-247-142-112:~ # hostname -i10.247.142.112 dataservice-10-247-142-112:~ # hostname -fecsnode1.yourco.comdataservice-10-247-142-112:~ #

8. Si su cliente ejecuta SUSE Linux, asegúrese de que la líneaNFS_SECURITY_GSS="yes" no tenga comentarios en /etc/sysconfig/nfs.

9. Si se encuentra en Ubuntu, asegúrese de que la línea NEED_GSSD=yes estéen /etc/default/nfs-common.

10. Instale rpcbind y nfs-common.

Utilice apt-get o zypper. En SUSE Linux, para nfs-common, utilice:

zypper install yast2-nfs-common

De forma predeterminada, estos están desactivados en el cliente de Ubuntu.

11. Configure el archivo de configuración de Kerberos.

En el ejemplo que aparece a continuación, se utilizan los siguientes valores, perodebe reemplazarlos con su propia configuración.

Kerberos REALM

Configurado en NFS-REALM en este ejemplo.

KDC

Configurado en kdcname.yourco.com en este ejemplo.

Acceso a archivos


KDC Admin Server

En este ejemplo, el KDC actúa como el servidor de administración.

[libdefaults] default_realm = NFS-REALM.LOCAL[realms] NFS-REALM.LOCAL = { kdc = kdcname.yourco.com admin_server = kdcname.yourco.com }[logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON

12. Agregue una entidad de seguridad de host para el cliente de NFS y cree unkeytab para esa entidad.

En este ejemplo, el nombre de dominio calificado del cliente de NFS esnfsclient.yourco.com.

$kadminkadmin> addprinc -randkey host/nfsclient.yourco.comkadmin> ktadd -k /nkclient.keytab host/nfsclient.yourco.comkadmin> exit

13. Copie el archivo keytab (nfsclient.keytab) de la máquina KDC en /etc/krb5.keytab en la máquina del cliente de NFS.

scp /nkclient.keytab [email protected]:/etc/krb5.keytabssh [email protected] 'chmod 644 /etc/krb5.keytab'

14. Cree una entidad de seguridad para que un usuario acceda a la exportación deNFS.

$kadminkadmin> addprinc [email protected]> exit

15. Inicie sesión como raíz y agregue la siguiente entrada a su archivo /etc/fstab.

HOSTNAME:MOUNTPOINT LOCALMOUNTPOINT nfs rw,user,nolock,noauto,vers=3,sec=krb5 0 0

Por ejemplo:

ecsnode1.yourco.com:/s3/b1 /home/kothan3/1b1 nfs rw,user,nolock,noauto,vers=3,sec=krb5 0 0

Acceso a archivos


16. Inicie sesión con un usuario que no sea raíz y utilice kinit como el usuario queno es raíz que creó.

kinit [email protected]

17. Ahora puede montar la exportación de NFS. Para obtener más información,consulte Ejemplo de montaje de una exportación de NFS en la página 133 y Mejores prácticas para el montaje de exportaciones de NFS de ECS en la página135.

Nota

Montar como el usuario raíz no requiere el uso de kinit. Sin embargo, cuandose usa la raíz, la autenticación se realiza mediante la entidad de seguridad dehost de la máquina del cliente, en lugar de la entidad de seguridad de Kerberos.Según su sistema operativo, puede configurar el módulo de autenticación parabuscar el vale de Kerberos cuando inicie sesión para que no sea necesariobuscarlo de forma manual mediante kinit. También puede montar el recursocompartido de NFS directamente.

Registre un nodo de ECS con Active DirectoryPara usar Active Directory (AD) como el KDC para su configuración de NFS Kerberos,debe crear cuentas para el cliente y el servidor en AD y asignar la cuenta a una entidadde seguridad. Para el servidor NFS, la entidad de seguridad representa las cuentas deservicio de NFS; para el cliente de NFS, la entidad de seguridad representa la máquinade host del cliente.

Antes de comenzar

Debe tener credenciales de administrador para la controladora de dominio de AD.

Procedimiento

1. Inicie sesión en AD.

2. En Server Manager, vaya a Tools > Active Directory Users and Computers.

3. Cree una cuenta de usuario para la entidad de seguridad de NFS con el formato“nfs-<host>”, por ejemplo, "nfs-ecsnode1". Establezca una contraseña yestablezca que la contraseña nunca venza.

4. Cree una cuenta para usted mismo (opcional y se realiza una vez).

5. Ejecute el siguiente comando para crear un archivo keytab para la cuenta deservicio de NFS.

ktpass -princ nfs/<fqdn>REALM.LOCAL +rndPass -mapUser nfs-<host>@REALM.LOCAL -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out filename.keytab

Acceso a archivos


Por ejemplo, para asociar la cuenta de nfs-ecsnode1 con la entidad de seguridadinfs/[email protected], puede generar un keytab siutiliza:

ktpass -princ nfs/[email protected] +rndPass -mapUser [email protected] -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out nfs-ecsnode1.keytab

6. Importe el keytab al nodo de ECS.

ktutilktutil> rkt <keytab to import>ktutil> wkt /etc/krb5.keytab

7. Pruebe el registro mediante la ejecución del siguiente comando:

kinit -k nfs/<fqdn>@NFS-REALM.LOCAL

8. Consulte las credenciales almacenadas en caché mediante la ejecución delcomando klist.

9. Elimine las credenciales almacenadas en caché mediante la ejecución delcomando kdestroy .

10. Vea las entradas en el archivo keytab mediante la ejecución del comandoklist.

Ejemplo:

klist -kte /etc/krb5.keytab

11. Siga los pasos 2 en la página 127, 4 en la página 128 y 5 en la página 128 de Configuración de ECS NFS con la seguridad de Kerberos en la página 127 paracolocar los archivos de configuración de Kerberos (krb5.conf, krb5.keytaby jce/unlimited) en el nodo de ECS.

Registro de un cliente de NFS de Linux con Active DirectoryPara usar Active Directory (AD) como el KDC para su configuración de NFS Kerberos,debe crear cuentas para el cliente y el servidor en AD y asignar la cuenta a una entidadde seguridad. Para el servidor NFS, la entidad de seguridad representa las cuentas deservicio de NFS; para el cliente de NFS, la entidad de seguridad representa la máquinade host del cliente.

Antes de comenzar

Debe tener credenciales de administrador para la controladora de dominio de AD.

Procedimiento

1. Inicie sesión en AD.

2. En Server Manager, vaya a Tools > Active Directory Users and Computers.

3. Cree una cuenta de computadora para la máquina del cliente (por ejemplo,“nfsclient”). Configure la contraseña de modo que nunca expire.

Acceso a archivos


4. Cree una cuenta para un usuario (opcional y una vez)

5. Ejecute el siguiente comando para crear un archivo keytab para la cuenta deservicio de NFS.

ktpass -princ host/<fqdn>@REALM.LOCAL +rndPass -mapUser <host>@REALM.LOCAL -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out filename.keytab

Por ejemplo, para asociar la cuenta de nfs-ecsnode1 con la entidad de seguridadhost/[email protected], puede generar un keytab siutiliza:

ktpass -princ host/[email protected] +rndPass -mapUser [email protected] -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out nfsclient.keytab

6. Importe el keytab en el nodo del cliente.

ktutilktutil> rkt <keytab to import>ktutil> wkt /etc/krb5.keytab

7. Pruebe el registro mediante la ejecución del siguiente comando:

kinit -k host/<fqdn>@NFS-REALM.LOCAL

8. Consulte las credenciales almacenadas en caché mediante la ejecución delcomando klist.

9. Elimine las credenciales almacenadas en caché mediante la ejecución delcomando kdestroy .

10. Vea las entradas en el archivo keytab mediante la ejecución del comandoklist.

klist -kte /etc/krb5.keytab

11. Siga los pasos 2 en la página 127, 4 en la página 128 y 5 en la página 128 de Configuración de ECS NFS con la seguridad de Kerberos en la página 127 paracolocar los archivos de configuración de Kerberos (krb5.conf, krb5.keytaby jce/unlimited) en el nodo de ECS.

Ejemplo de montaje de una exportación de NFS

Cuando monte una exportación, debe asegurarse de que los siguientes pasos derequisitos previos se lleven a cabo:

l El nombre del propietario del depósito debe estar mapeado a un UID de Unix.

l Se debe asignar un grupo predeterminado al depósito y el nombre del grupopredeterminado se debe mapear a un GID de Linux. Esto garantiza que el grupo

Acceso a archivos

Ejemplo de montaje de una exportación de NFS 133

predeterminado se muestre como el grupo de Linux asociado cuando se monte laexportación.

l Revise Mejores prácticas para el montaje de exportaciones de NFS de ECS en lapágina 135.

Los siguientes pasos proporcionan un ejemplo de cómo montar un sistema de archivosde exportación de NFS de ECS.

1. Cree un directorio en el que desea montar la exportación. El directorio y eldepósito deben pertenecer al mismo propietario.En este ejemplo, el usuario fred crea un directorio /home/fred/nfsdir en elcual se montará una exportación.

su - fredmkdir /home/fred/nfsdir

2. Como usuario raíz, monte la exportación en el punto de montaje de directorio quecreó.

mount -t nfs -o "vers=3,nolock" 10.247.179.162:/s3/tc-nfs6 /home/fred/nfsdir

Cuando monte una exportación de NFS, puede especificar el nombre o dirección IPde cualquiera de los nodos en el VDC o la dirección del balanceador de carga.

Es importante que especifique -o "vers=3".

3. Compruebe que tenga acceso al sistema de archivos como el usuario fred.

a. Cambie al usuario fred.

$ su - fred

b. Compruebe que se encuentre en el directorio en el que creó el directorio depunto de montaje.

$ pwd/home/fred

c. Enumere el directorio.

fred@lrmh229:~$ ls -altotaldrwxr-xr-x 7 fred fredsgroup 4096 May 31 05:38 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 16 May 31 05:31 .bash_historydrwxrwxrwx 3 fred anothergroup 96 Nov 24 2015 nfsdir

En este ejemplo, el propietario del depósito es fred y se asoció un grupopredeterminado, anothergroup, con el depósito.

Si no se ha creado ninguna asignación de grupo o no se ha asociado un grupopredeterminado con el depósito, no verá un nombre de grupo, sino un gran valornumérico, como se muestra a continuación.

fred@lrmh229:~$ ls -altotal drwxr-xr-x 7 fred fredssgroup 4096 May 31 05:38 .

Acceso a archivos


drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 16 May 31 05:31 .bash_historydrwxrwxrwx 3 fred 2147483647 96 Nov 24 2015 nfsdir

Si olvidó el mapeo de grupo, puede crear el mapeo correspondiente en el portal deECS.

Puede buscar el ID de grupo si mira en /etc/group.

fred@lrmh229:~$ cat /etc/group | grep anothergroupanothergroup:x:1005:

También puede lograr lo anterior si agrega un mapeo entre el nombre y el GID (eneste caso: anothergroup => GID 1005).

Si intenta obtener acceso al sistema de archivos montado como usuario raíz u otrousuario que no tenga permisos en el sistema de archivos, verá el signo ?, como semuestra a continuación.

root@lrmh229:~# cd /home/fredroot@lrmh229:/home/fred# ls -altotal drwxr-xr-x 8 fred fredsgroup 4096 May 31 07:00 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 1388 May 31 07:31 .bash_historyd????????? ? ? ? ? ? nfsdir

Mejores prácticas para el montaje de exportaciones de NFS de ECSLas siguientes mejores prácticas se aplican cuando se montan exportaciones de NFSde ECS.

Utilice asyncDebe utilizar la opción de montaje async siempre que sea posible. Esta opción reducela latencia, mejora el rendimiento y reduce la cantidad de conexiones del clienteconsiderablemente.

Establecer wsize y rsize para reducir el tiempo de ida y vuelta del clienteSi debe leer o escribir archivos de gran tamaño, asegúrese de que el tamaño de lecturao escritura de los archivos se configure adecuadamente con las opciones de montajersize y wsize. Por lo general, las opciones wsize y rsize se establecen en el valormás alto posible para reducir el número de tiempos de ida y vuelta del cliente.Habitualmente, el valor corresponde a 512 KB (524288 B).

Por ejemplo, si la opción wsize se establece en 524288 (512 KB), en el cliente serealizan 20 llamadas separadas para escribir un archivo de 10 MB. Si el tamaño deescritura se establece en 32 KB, significa 16 veces la cantidad de llamadas.

Cuando se utiliza el comando de montaje, puede proporcionar el tamaño de lectura yescritura mediante el switch de opciones (-o). Por ejemplo:

# mount 10.247.97.129:/home /home -o "vers=3,nolock,rsize=524288,wsize=524288"

Acceso a archivos

Mejores prácticas para el montaje de exportaciones de NFS de ECS 135

Acceso a NFS mediante la API REST de administración deECS

Puede utilizar las siguientes API para configurar y administrar el acceso a NFS.

Tabla 21 Llamadas de API REST de administración de ECS para administrar el acceso a NFS

Método Descripción

POST /object/nfs/exports Crea una exportación. La carga útil especifica la ruta de exportación, loshosts que pueden acceder a la exportación y una cadena que define laconfiguración de seguridad para la exportación.

PUT/GET/DELETE /object/nfs/exports/{id} Ejecuta la operación seleccionada en la exportación especificada.

GET /object/nfs/exports Recupera todas las exportaciones de usuario que se definieron para elespacio de nombres actual.

POST /object/nfs/users Crea una asignación entre un nombre de usuario o de grupo de objetos deECS y un ID de usuario o de grupo de Unix.

PUT/GET/DELETE /object/nfs/users/{mappingid}

Ejecuta la operación seleccionada en el usuario especificado o en laasignación de grupo.

GET /object/nfs/users Recupera todos los mapeos de usuario que se definieron para el espacio denombres actual.

La documentación de la API REST de administración de ECS proporciona detallescompletos de la API, y se puede acceder a la documentación correspondiente a losmétodos de exportación de NFS en la Referencia de la API de ECS.

WORM (Write Once, Read Many) de NFSLos datos de NFS se vuelven compatibles con Write Once Read Many (WORM)cuando se implementa la confirmación automática en ellos.En detalle, la creación de archivos a través de NFS es un proceso de varios pasos.Para escribir en un archivo nuevo, el cliente de NFS primero envía la solicitud CREATEsin carga útil al servidor NFS. Después de recibir una respuesta, el servidor emite unasolicitud WRITE. Es un problema para los depósitos con la opción FS habilitada y conretención, ya que el archivo creado con 0 bytes bloquea todas las escrituras en él. Poresta razón, hasta ECS 3.3, la retención en el depósito con la opción FS habilitada haceque todo el sistema de archivos montado sea de solo lectura. No hay un concepto deFin de archivo (EOF) en NFS. Por lo tanto, configurar una retención de archivos en losdepósitos con la opción FS habilitada después de escribir en ellos no funciona según loprevisto.

Para quitar las restricciones que se colocan en archivos NFS en un depósito con laretención habilitada, se implementa el período de confirmación automática en los datosde NFS. Por esta razón, se decidió presentar el período de confirmación automática,en el que ciertos tipos de actualizaciones (que se identifican, por el momento, comoescrituras, actualizaciones de ACL y eliminaciones que se requieren para rsync, ycambio de nombre que se requiere para el editor de Vim) están permitidas, lo queelimina el restricciones de retención solo para ese período

Acceso a archivos


http://doc.isilon.com/ECS/3.2/API/index.html

Nota

.

l La confirmación automática y la demora de inicio de la retención de Atmos son lasmismas.

l El período de confirmación automática es una propiedad de depósito, como elperíodo de retención.

l El período de confirmación automática:

n Se aplica solo a los depósitos habilitados para el sistema de archivos con elperíodo de retención.

n Se aplica a los depósitos en el espacio de nombres no compatible

n Se aplica solo a las solicitudes de NFS y Atmos

Archivo de selloLa funcionalidad de archivo de sello permite confirmar el archivo en el estado WORMcuando se escribe omitiendo el período de confirmación automática restante. Lafunción de sello se ejecuta mediante el comando: chmod ugo-w <file> en elarchivo.

Nota

La funcionalidad de sellado no tiene un efecto fuera del período de retención.

Visión general

Tabla 22 Términos de confirmación automática

Término Descripción

Período deconfirmaciónautomática

Intervalo de tiempo relativo a la última hora de modificación del objetoen el que ciertas restricciones de retención (por ejemplo,modificaciones de archivos, eliminaciones de archivos, etcétera) no seaplican. No tiene un efecto fuera del período de retención.

Demora de inicio deretención

El cabezal de Atmos utiliza la demora de inicio para indicar el períodode confirmación automática.

En el siguiente diagrama, se proporciona una visión general del comportamiento delperíodo de confirmación automática:

Acceso a archivos

WORM (Write Once, Read Many) de NFS 137

Configuración de confirmación automáticaEl período de confirmación automática puede configurarse desde la interfaz delusuario, la API REST del depósito o la API de subgrupo de usuarios de Atmos o delcabezal S3.

Interfaz del usuarioLa interfaz del usuario tiene la siguiente compatibilidad durante la creación y la edicióndel depósito:

l Cuando el sistema de archivos no está habilitado, no se muestra una opción deconfirmación automática.

l Cuando el sistema de archivos está habilitado o no se especifica el valor deretención, se muestra la confirmación automática, pero aparece deshabilitada.

l Cuando el sistema de archivos está habilitado o se selecciona el valor de retención,se muestra la confirmación automática y se habilita para la selección.

Nota

El período máximo de confirmación automática se limita al menor tiempo de entre elperíodo de retención del depósito o el período máximo predeterminado de un día.

API RESTLa API REST de la creación del depósito se modifica con el nuevo encabezado, x-emc-autocommit-period.

lglou063:~ # curl -i -k -T /tmp/bucket -X POST https://10.247.99.11:4443/object/bucket -H "$token" -H "Content-Type: application/xml" -v

The contents of /tmp/bucket<object_bucket_create> <name>bucket2</name> <namespace>s3</namespace> <filesystem_enabled>true</filesystem_enabled> <autocommit_period>300</autocommit_period> <retention>1500</retention></object_bucket_create>

Cabezal de S3Creación de depósitos

El flujo de creación de depósitos mediante el cabezal de S3 puede usar el encabezadode la solicitud opcional x-emc-auto-commit-period:seconds para establecer elperíodo de confirmación automática. En este flujo, se realizan las siguientesverificaciones:

l Solo permitir números enteros positivos

l Puede configurarse solo para los depósitos del sistema de archivos

l Puede configurarse solo cuando el valor de retención esté presente

./s3curl.pl --ord --id=naveen --key=+1Zh4YC2r2puuUaj3Lbnj3u0G9qgPRj0RIWJhPxH --createbucket -- -H 'x-emc-autocommit-period:600' -H 'x-emc-file-system-access-enabled:true' -H 'x-emc-namespace:ns1' http://10.249.245.187:9020/bucket5 -v

Atmos

Acceso a archivos


Atmos permite crear un encabezado de solicitud de subgrupo de usuarios x-emc-retention-start-delay que captura el intervalo de confirmación automática.

./atmoscurl.pl -user USER1 -action PUT -pmode TID -path / -header "x-emc-retention-period:300" -header "x-emc-retention-start-delay:120" -include

Comportamiento de las operaciones de archivos

Operación del archivo Se espera en elperíodo deconfirmaciónautomática

Se espera en el período deretención (después del períodode confirmación automática)

Cambiar permiso delarchivo

Permitido Denegado

Cambiar la propiedad delarchivo

Permitido Denegado

Escribir archivo existente Permitido Denegado

Crear archivo vacío Permitido Permitido

Crear archivo no vacío Permitido Denegado

Eliminar archivo Permitido Denegado

Mover archivo Permitido Denegado

Cambiar el nombre delarchivo

Permitido Denegado

Realizar dir Permitido Permitido

Eliminar directorio Denegado Denegado

Mover directorio Denegado Denegado

Cambiar el nombre deldirectorio

Denegado Denegado

Cambiar el permiso en eldirectorio

Denegado Denegado

Lista Permitido Permitido

Leer archivo Permitido Permitido

Truncar archivo Permitido Denegado

Copia de los archivoslocales de solo lectura enel recurso compartido deNFS

Permitido Permitido

Copia de los archivos desolo lectura del recursocompartido de NFS alrecurso compartido deNFS

Permitido Permitido

Acceso a archivos

WORM (Write Once, Read Many) de NFS 139

Operación del archivo Se espera en elperíodo deconfirmaciónautomática

Se espera en el período deretención (después del períodode confirmación automática)

Cambio de atime/mtimede archivos o directorios

Permitido Denegado

Soporte de S3AAWS S3A Client es un conector para HDFS (sistema de archivos distribuido Hadoop)que le permite ejecutar trabajos de MapReduce con ECS S3.

Nota

La compatibilidad de S3A está disponible en Hadoop 2.7 o versiones posteriores.

Configuración en ECSPara utilizar S3A en Hadoop, realice los siguientes pasos:

Procedimiento

1. Cree un usuario de objetos que tenga las credenciales de S3.

2. Cree un depósito de objetos normal en la interfaz del usuario de ECS.

ECS no le permite ejecutar el cliente de S3A en depósitos con la opción FShabilitada.

3. Establezca al usuario de objetos como el propietario del depósito.

4. Copie la clave secreta de S3 que debe colocarse en el nodo de HDP de Ambari.

Configuración en el nodo de AmbariLas siguientes son algunos de los ajustes básicos que se deben agregar para que S3Afuncione en la interfaz del usuario de Ambari > HDFS > core-site.xml. Se puedenagregar otros parámetros al nodo de Ambari. Todos estos parámetros se enumeran aquí.

Acceso a archivos


https://hadoop.apache.org/docs/stable/hadoop-aws/tools/hadoop-aws/index.html#S3A

Nota

La colocación de credenciales de S3A en la interfaz del usuario de Ambari genera unavulnerabilidad de seguridad. Siga un método seguro para transferir las credenciales,como se muestra en #c. Se debe agregar la siguiente lista de configuración a core-site.xml en la interfaz del usuario de Ambari:

fs.s3a.endpoint= <ECS IP address (only one node address) or LoadBalancer IP>:9020 #Comment //s3a does not support multiple IP addresses so better to have a loadbalancer fs.s3a.access.key= <S3 Object User as created on ECS>fs.s3a.secret.key=<S3 Object User Secret Key as on ECS>fs.s3a.connection.maximum=15fs.s3a.connection.ssl.enabled=falsefs.s3a.path.style.access=falsefs.s3a.connection.establish.timeout=5000fs.s3a.connection.timeout=200000fs.s3a.paging.maximum=1000fs.s3a.threads.max=10fs.s3a.socket.send.buffer=8192fs.s3a.socket.recv.buffer=8192fs.s3a.threads.keepalivetime=60fs.s3a.max.total.tasks=5fs.s3a.multipart.size=100Mfs.s3a.multipart.threshold=2147483647fs.s3a.multiobjectdelete.enable=truefs.s3a.acl.default=PublicReadWritefs.s3a.multipart.purge=falsefs.s3a.multipart.purge.age=86400fs.s3a.block.size=32Mfs.s3a.readahead.range=64Kfs.s3a.buffer.dir=${hadoop.tmp.dir}/s3a

La importancia de cada parámetro:

fs.s3a.access.key - Your AWS access key IDfs.s3a.secret.key - Your AWS secret keyfs.s3a.connection.maximum - Controls how many parallel connections HttpClient spawns (default: 15)fs.s3a.connection.ssl.enabled - Enables or disables SSL connections to S3 (default: true)fs.s3a.attempts.maximum - How many times we should retry commands on transient errors (default: 10)fs.s3a.connection.timeout - Socket connect timeout (default: 5000)fs.s3a.paging.maximum - How many keys to request from S3 when doing directory listings at a time (default: 5000)fs.s3a.multipart.size - How big (in bytes) to split a upload or copy operation up into (default: 100 MB)fs.s3a.multipart.threshold - Until a file is this large (in bytes), use non-parallel upload (default: 2 GB)fs.s3a.acl.default - Set a canned ACL on newly created/copied objects (Private | PublicRead | PublicReadWrite | AuthenticatedRead | LogDeliveryWrite | BucketOwnerRead | BucketOwnerFullControl)fs.s3a.multipart.purge - True if you want to purge existing multipart uploads that may not have been completed/aborted correctly (default: false)fs.s3a.multipart.purge.age - Minimum age in seconds of multipart uploads to purge (default: 86400)fs.s3a.buffer.dir - Comma separated list of directories that will be used to buffer file writes out of (default: uses fs.s3.buffer.dir)fs.s3a.server-side-encryption-algorithm - Name of server side encryption algorithm to use for writing files (e.g. AES256) (default: null)

Para obtener más información, consulte esta página.

Acceso a archivos

Configuración en el nodo de Ambari 141

https://hadoop.apache.org/docs/current/hadoop-aws/tools/hadoop-aws/index.html

Agregue este parámetro en la línea de comandos durante la copia de un archivo degran tamaño: -D fs.s3a.fast.upload=true. Para obtener más información,consulte esta página.

Acceso a archivos


https://hadoop.apache.org/docs/stable/hadoop-aws/tools/hadoop-aws/index.html#Stabilizing:_S3A_Fast_Upload

CAPÍTULO 9

Certificados

l Introducción a los certificados.......................................................................... 144l Generar certificados......................................................................................... 144l Cargar un certificado........................................................................................150l Verificar certificados instalados........................................................................ 154

Certificados 143

Introducción a los certificados

ECS se envía con un certificado SSL instalado en el almacenamiento de claves paracada nodo. Este certificado no es de confianza para las aplicaciones que se comunicancon ECS o mediante el navegador cuando los usuarios acceden a ECS mediante elportal de ECS.

Para evitar que los usuarios vean un error de certificado no confiable, o para permitirque las aplicaciones se puedan comunicar con ECS, debe instalar un certificadofirmado por una autoridad de certificación (CA) de confianza. Puede generar uncertificado autofirmado para utilizar hasta que tenga un certificado firmado por unaCA. El certificado autofirmado se instala en el almacén de certificados de todas lasmáquinas que accederán a ECS.

ECS utiliza los siguientes tipos de certificados SSL:

Certificados de administración

Se utiliza cuando se realizan las solicitudes de administración mediante la APIREST de administración de ECS. Estas solicitudes de HTTPS utilizan el puerto4443.

Certificados de objeto

Se utiliza cuando se realizan solicitudes mediante los protocolos de objetoscompatibles. Estas solicitudes de HTTPS utilizan los puertos 9021 (S3), 9023(Atmos) y 9025 (Swift).

Puede cargar un certificado autofirmado o un certificado firmado por una autoridad decertificación, o bien, en el caso de un certificado de objeto, puede solicitar a ECS quele genere uno. Los pares de clave y certificado pueden cargarse a ECS mediante la APIREST de administración de ECS en el puerto 4443.

Generar certificados

Puede generar un certificado con autofirma o comprar uno de una autoridad decertificación (CA). Para fines de producción, se recomienda ampliamente uncertificado firmado por una autoridad de certificación, debido a que cualquier máquinacliente lo puede validar sin realizar pasos adicionales.

El certificado debe estar en formato codificado PEM x509.

Cuando se genera un certificado, normalmente se especifica el nombre de host dondese utilizará el certificado. Dado que ECS tiene varios nodos y cada uno tiene su propionombre de host, la instalación de un certificado creado para un nombre de hostespecífico podría provocar un error de coincidencia de nombre común en los nodosque no cuentan con ese nombre de host. Puede crear certificados con direcciones IPalternativas o nombres de host denominados nombres alternativos de sujeto (SAN).

Para lograr la máxima compatibilidad con los protocolos de objetos, el nombre común(CN) en el certificado debe apuntar a la entrada de DNS comodín utilizada por S3,dado que S3 es el único protocolo que utiliza depósitos alojados virtualmente (e insertael nombre del depósito en el nombre de host). Solo puede especificar una entrada decomodín en un certificado SSL y debe estar bajo el CN. Las otras entradas de DNSpara el balanceador de carga de los protocolos Atmos y Swift se deben registrar comonombres alternativos de sujeto (SAN) en el certificado.

Certificados


En los temas de esta sección se muestra información sobre cómo generar uncertificado o una solicitud de certificado mediante openssl; sin embargo, suorganización de TI puede tener diferentes requisitos y procedimientos para generarcertificados.

Crear una clave privadaDebe crear una clave privada para firmar certificados con autofirma y para crearsolicitudes de firma.

El protocolo SSL utiliza criptografía de clave pública, lo que requiere una clave privaday una pública. El primer paso en la configuración es crear una clave privada. La clavepública se crea automáticamente mediante la clave privada cuando crea un certificadoo una solicitud de firma de certificado.Los siguientes pasos describen cómo utilizar la herramienta openssl para crear unaclave privada.

Procedimiento

1. Inicie sesión en un nodo de ECS o en un nodo que se pueda conectar al clústerde ECS.

2. Utilice la herramienta openssl para generar una clave privada.

Por ejemplo, para crear una clave denominada server.key, utilice:

openssl genrsa -des3 -out server.key 2048

3. Cuando se le solicite, escriba una frase de contraseña para la clave privada yvuelva a escribirla para verificarla. Deberá proporcionar esta frase decontraseña cuando cree un certificado con autofirma o una solicitud de firma decertificado usando la clave.

Debe crear una copia de la clave con la frase de contraseña eliminada antes decargar la clave en ECS. Para obtener más información, consulte Cargar uncertificado en la página 150.

4. Establezca los permisos en el archivo de clave.

chmod 0400 server.key

Generar una configuración de SANSi desea que los certificados puedan admitir nombres alternativos de sujeto (SAN),debe definir los nombres alternativos en un archivo de configuración.

OpenSSL no le permite pasar nombres alternativos de sujeto (SAN) mediante la líneade comandos, por lo que tiene que volver a agregarlos a un archivo de configuraciónprimero. Para hacerlo, tendrá que ubicar el archivo de configuración de OpenSSLpredeterminado. En Ubuntu, se encuentra en /usr/lib/ssl/openssl.cnf.

Procedimiento

1. Cree el archivo de configuración.

cp /usr/lib/ssl/openssl.cnf request.conf

2. Edite el archivo de configuración con un editor de texto y realice los siguientescambios.

Certificados

Crear una clave privada 145

a. Agregue los [alternate_names].

Por ejemplo:

[ alternate_names ]DNS.1 = os.example.comDNS.2 = atmos.example.comDNS.3 = swift.example.com

Nota

Hay un espacio entre el corchete y el nombre de la sección.

Si desea cargar los certificados a los nodos de ECS en lugar de a unbalanceador de carga, el formato es el siguiente:

[ alternate_names ]IP.1 = <IP node 1>IP.2 = <IP node 2>IP.3 = <IP node 3>...

b. En la sección [ v3_ca ], agregue las siguientes líneas:

subjectAltName = @alternate_namesbasicConstraints = CA:FALSEkeyUsage = nonRepudiation, digitalSignature, keyEnciphermentextendedKeyUsage = serverAuth

Es probable que la siguiente línea ya exista en esta sección [v3_ca]. Si deseacrear una solicitud de firma de certificado, debe ingresar un comentariocomo se muestra a continuación:

#authorityKeyIdentifier=keyid:always,issuer

c. En la sección [ req ], agregue las siguientes líneas:

x509_extensions = v3_ca #for self signed certreq_extensions = v3_ca #for cert signing req

d. En la sección [CA_default], quite los comentarios o agregue la línea:

copy_extension=copy

Crear un certificado con autofirmaPuede crear un certificado con autofirma.

Certificados


Antes de comenzar

l Debe crear una clave privada mediante el procedimiento descrito en Crear unaclave privada en la página 145.

l Para crear certificados que usan SAN, debe crear un archivo de configuración deSAN mediante el procedimiento descrito en Generar una configuración de SAN enla página 145.

Procedimiento

1. Utilice la clave privada para crear un certificado con autofirma.

Se muestran dos maneras de crear la solicitud de firma. Una se utiliza si yapreparó un archivo de configuración de SAN para especificar el nombre delservidor alternativo, la otra se aplica cuando no lo ha hecho.

Si usa SAN:

openssl req -x509 -new -key server.key -config request.conf -out server.crt

Si no lo hace, utilice:

openssl req -x509 -new -key server.key -out server.crt

Ejemplo de salida.

Signature oksubject=/C=US/ST=GA/

2. Ingrese la frase de contraseña para su clave privada.

3. En los indicadores, complete los campos correspondientes al DN del certificado.

La mayoría de los campos son opcionales. Debe ingresar un nombre común(CN).

Nota

El CN debe ser un nombre de dominio calificado. Incluso si desea instalar elcertificado en los nodos de ECS, debe usar un nombre de dominio calificado, ytodas las direcciones IP deben estar en la sección de nombres alternativos.

Verá los siguientes indicadores:

You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:Locality Name (eg, city) []:Organization Name (eg, company) [Internet Widgits Pty Ltd]:AcmeOrganizational Unit Name (eg, section) []:Common Name (e.g. server FQDN or YOUR name) []:*.acme.com

Certificados

Crear un certificado con autofirma 147

Email Address []:

4. Introduzca los detalles del nombre distintivo (DN) cuando se le solicite. Sepuede obtener más información sobre los campos de DN en Campos de nombredistinguido (DN) en la página 148.

5. Ver el certificado.

openssl x509 -in server.crt -noout -text

Campos de nombre distinguido (DN)

La siguiente tabla describe los campos que conforman el nombre distinguido (DN)

Nombre Descripción Ejemplo

Nombre común (CN) El nombre de dominio calificado (FQDN) de su servidor. Este es elnombre que especificó cuando instaló el dispositivo ECS.

*. yourco.comecs1.yourco.com

Organización El nombre legal de su organización. Esto no se debe abreviar y debeincluir sufijos como Corp, Inc o LLC.

Yourco Inc.

Unidad organizacional La división de su organización que maneja el certificado. Departamento de TI

Ciudad o localidad El estado o la región donde se ubica su organización. Esto no se debeabreviar.

Mountain View

Estado/Provincia La ciudad donde se ubica su organización. California

País El código ISO de dos letras para el país donde se ubica suorganización.

EE UU

Dirección de correoelectrónico

Una dirección de correo electrónico para comunicarse con suorganización.

[email protected]

Crear una solicitud de firma de certificadoPuede crear una solicitud de firma de certificado para enviar a una CA con el objetivode obtener un certificado firmado.

Antes de comenzar

l Debe crear una clave privada mediante el procedimiento descrito en Crear unaclave privada en la página 145.

l Para crear certificados que usan SAN, debe crear un archivo de configuración deSAN mediante el procedimiento descrito en Generar una configuración de SAN enla página 145.

Procedimiento

1. Utilice la clave privada para crear una solicitud de firma de certificado.

Se muestran dos maneras de crear la solicitud de firma. Una se utiliza si yapreparó un archivo de configuración de SAN para especificar el nombre delservidor alternativo, la otra se aplica cuando no lo ha hecho.

Certificados


Si usa SAN:

openssl req -new -key server.key -config request.conf -out server.csr

Si no lo hace, utilice:

openssl req -new -key server.key -out server.csr

Cuando se crea una solicitud de firma, se le pide que proporcione el nombredistintivo (DN), que consta de un número de campos. Se requiere solamente elnombre común y puede aceptar los valores predeterminados para los demásparámetros.

2. Ingrese la frase de contraseña para su clave privada.

3. En los indicadores, complete los campos correspondientes al DN del certificado.

La mayoría de los campos son opcionales. Sin embargo, debe ingresar unnombre común (CN).

Nota

El CN debe ser un nombre de dominio calificado. Incluso si desea instalar elcertificado en los nodos de ECS, debe usar un nombre de dominio calificado, ytodas las direcciones IP deben estar en la sección de nombres alternativos.

Verá los siguientes indicadores:

You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:Locality Name (eg, city) []:Organization Name (eg, company) [Internet Widgits Pty Ltd]:AcmeOrganizational Unit Name (eg, section) []:Common Name (e.g. server FQDN or YOUR name) []:*.acme.comEmail Address []:

Se puede obtener más información sobre los campos de DN en Campos denombre distinguido (DN) en la página 148.

4. Se le pedirá que introduzca una contraseña de reto opcional y el nombre de unaempresa.

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:

Certificados

Crear una solicitud de firma de certificado 149

5. Vea la solicitud de certificado.

openssl req -in server.csr -text -noout

Resultados

Ahora puede enviar la solicitud de firma de certificado a su CA, que le devolverá unarchivo de certificado firmado.


Una vez que reciba el archivo de certificado firmado por CA, asegúrese de que esté enel formato correcto como se describe en CA-signed certificate file format.

Formato de archivo de certificado firmado por CA

Si recibió un certificado firmado de una CA corporativa, el formato es certificado dehost > certificado intermedio > certificado raíz, como se muestra a continuación. Elarchivo de certificado raíz se debe incluir de manera que los clientes puedanimportarlo. (Tenga en cuenta que no hay texto entre el final de cada certificado y elcomienzo del siguiente.)

——BEGIN CERTIFICATE——host certificate——END CERTIFICATE————BEGIN CERTIFICATE——intermediate certificate——END CERTIFICATE————BEGIN CERTIFICATE——root certificate——END CERTIFICATE——

Si recibió un certificado firmado de una CA pública, no es necesario incluir el archivode certificado raíz debido a que ya está instalado en el cliente. El formato de archivoes certificado de host > certificado intermedio, como se muestra a continuación.(Tenga en cuenta que no hay texto entre el final del certificado de host y el comienzodel certificado intermedio.)

——BEGIN CERTIFICATE——host certificate——END CERTIFICATE————BEGIN CERTIFICATE——intermediate certificate——END CERTIFICATE——

Cargar un certificado

Puede cargar certificados de datos o de administración en ECS. Independientementedel tipo de certificado que desee cargar, debe realizar la autenticación con la API.

Realice la autenticación con la REST API de administración de ECSPara ejecutar comandos de la API REST de administración de ECS, primero debeautenticar con el servicio de API y obtener un token de autenticación.

Certificados


Procedimiento

1. Autentique con la API REST de administración de ECS y obtenga un token deautenticación que puede utilizarse cuando se usa la API para cargar o verificarlos certificados.

a. Ejecute el siguiente comando:

export TOKEN=`curl -s -k -v -u <user>:<password> https://$(hostname -i):4443/login 2>&1 | grep X-SDS-AUTH-TOKEN | awk '{print $2, $3}'`

El nombre de usuario y la contraseña son los que se usan para acceder alportal de ECS. La dirección public_ip es la dirección IP pública del nodo.

b. Verifique que el token se exporte correctamente.

echo $TOKEN

Ejemplo de salida:

X-SDS-AUTH-TOKEN:BAAcTGZjUjJ2Zm1iYURSUFZzKzhBSVVPQVFDRUUwPQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOjcxYjA1ZTgwLTNkNzktNDdmMC04OThhLWI2OTU4NDk1YmVmYgIADTE0NjQ3NTM2MjgzMTIDAC51cm46VG9rZW46YWMwN2Y0NGYtMjE5OS00ZjA4LTgyM2EtZTAwNTc3ZWI0NDAyAgAC0A8=

Cargar un certificado de administraciónPuede cargar un certificado de administración que se utilice para autenticar el accesoa los terminales de administración como el portal de ECS y la API REST deadministración de ECS.

Antes de comenzar

l Asegúrese de haber autenticado con la API REST de administración de ECS yalmacenado el token en una variable ($TOKEN) como se describe en Realice laautenticación con la REST API de administración de ECS en la página 150.

l Asegúrese de que la máquina que utilice tenga un cliente REST adecuado (comocurl) y que pueda acceder a los nodos de ECS mediante la API REST deadministración de ECS.

l Asegúrese de que su clave privada y su certificado estén disponibles en la máquinadesde la cual desea ejecutar la carga.

Procedimiento

1. Asegúrese de que su clave privada no tenga una frase de contraseña.

De ser así, puede crear una copia sin la frase de contraseña mediante laejecución del siguiente comando:

openssl rsa -in server.key -out server_nopass.key

2. Cargar el almacenamiento de claves para la ruta de datos mediante su claveprivada y certificado firmado.

Certificados

Cargar un certificado de administración 151

Mediante curl:

curl -svk -H "$TOKEN" -H "Content-type: application/xml" -H "X-EMC-REST-CLIENT: TRUE" -X PUT -d "<rotate_keycertchain><key_and_certificate><private_key>`cat privateKeyFile` <private_key>`</private_key><certificate_chain>`catcertificateFile`</certificate_chain></key_and_certificate></rotate_keycertchain>" https://<ecs_node_address>:4443/vdc/keystore

Mediante la interfaz de la línea de comandos (ecscli.py) de ECS:

python ecscli.py vdc_keystore update –hostname <ecs_host_ip> -port 4443 –cf <cookiefile> –privateKey privateKeyFile -certificateChain certificateFile

Es necesario reemplazar privateKeyFile (por ejemplo, <path>/server_nopass.key) y certificateFile (por ejemplo, <path>/server.crt) con la ruta a los archivos de certificado y los archivos de claves.

3. Inicie sesión en uno de los nodos de ECS como el usuario administrador.

4. Verifique que el archivo MACHINES tenga todos los nodos.

Los scripts de contenedor de ECS que ejecutan comandos en todos los nodos,como viprexec, utilizan el archivo MACHINES.

El archivo MACHINES se encuentra en /home/admin.

a. Muestre el contenido del archivo MACHINES.

cat /home/admin/MACHINES

b. Si el archivoMACHINES no contiene todos los nodos, vuelva a crearlo.

getrackinfo -c MACHINES

Verifique que el archivo MACHINES contenga ahora todos los nodos.

5. Reinicie los servicios objcontrolsvc y nginx una vez que se hayan aplicadolos certificados de administración.

a. Reinicie los servicios de objetos.

viprexec -f ~/MACHINES -i 'pidof objcontrolsvc; kill `pidof objcontrolsvc`; sleep 60; pidof objcontrolsvc'

b. Reinicie el servicio de nginx.

sudo -i viprexec -i -c "/etc/init.d/nginx restart;sleep 60;/etc/init.d/nginx status"


Puede verificar que el certificado se haya cargado correctamente mediante elsiguiente procedimiento: Verificar el certificado de administración en la página 154.

Certificados


Cargar un certificado de datos para los terminales de acceso a datosPuede cargar un certificado de datos que se utiliza para autenticar el acceso para losprotocolos de S3, EMC Atmos u OpenStack Swift.

Antes de comenzar

l Asegúrese de haber autenticado con la API REST de administración de ECS yalmacenado el token en una variable ($TOKEN). Consulte Realice la autenticacióncon la REST API de administración de ECS en la página 150.

l Asegúrese de que la máquina que utilice tenga un cliente REST adecuado (comocurl) y que pueda acceder a los nodos de ECS mediante la API REST deadministración de ECS.

l Asegúrese de que su clave privada y su certificado estén disponibles en la máquinadesde la cual desea ejecutar la carga.

Procedimiento

1. Asegúrese de que su clave privada no tenga una frase de contraseña.

Si lo hace, puede crear una copia con la frase de contraseña eliminada mediante:

openssl rsa -in server.key -out server_nopass.key

2. Cargar el almacenamiento de claves para la ruta de datos mediante su claveprivada y certificado firmado.

curl -svk -H "$TOKEN" -H "Content-type: application/xml" -H "X-EMC-REST-CLIENT: TRUE" -X PUT -d "<rotate_keycertchain><key_and_certificate><private_key>`cat privateKeyfile</private_key><certificate_chain>`cat certificateFile`</certificate_chain></key_and_certificate></rotate_keycertchain>" https://<ecs_node_address>:4443/vdc/keystore


python ecscli.py keystore update –hostname <ecs_host_ip> -port 4443 –cf <cookiefile> -pkvf privateKeyFile -cvf certificateFile -ss false

Es necesario reemplazar privateKeyFile (por ejemplo, <path>/server_nopass.key) y certificateFile (por ejemplo, <path>/server.crt) con la ruta a los archivos de certificado y los archivos de claves.

3. El certificado se distribuye cuando se reinicia el servicio dataheadsvc. Puedehacer esto con los siguientes comandos.

Certificados

Cargar un certificado de datos para los terminales de acceso a datos 153

Nota

No es necesario reiniciar los servicios cuando se cambia el certificado de datos;dataheadsvc se reiniciará automáticamente en cada nodo dos horas a partirde la actualización del certificado.

ssh admin@<ecs_ip_where_cert_uploaded>

sudo kill `pidof dataheadsvc`


Puede verificar que el certificado se haya cargado correctamente mediante elsiguiente procedimiento: Verificar el certificado de objeto en la página 155.

La referencia de la CLI de ECS se proporciona aquí.

Verificar certificados instaladosEl certificado de objeto y el certificado de administración tienen una solicitud GET deAPI REST de administración de ECS cada uno para recuperar el certificado instalado.

Verificar el certificado de administraciónPuede recuperar el certificado de administración instalado mediante la API REST deadministración de ECS.

Antes de comenzar


l Si ha reiniciado servicios, el certificado está disponible inmediatamente. De locontrario, debe esperar dos horas para asegurarse de que el certificado sepropague a todos los nodos.

Procedimiento

1. Utilice el método GET /vdc/keystore para devolver el certificado.

Con la herramienta curl, para ejecutar el método, escriba lo siguiente:

curl -svk -H "X-SDS-AUTH-TOKEN: $TOKEN" https://x.x.x.x:4443/vdc/keystore


python ecscli.py vdc_keystore get –hostname <ecs_host_ip> -port 4443 –cf <cookiefile>

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><certificate_chain><chain>-----BEGIN CERTIFICATE-----MIIDgjCCAmoCCQCEDeNwcGsttTANBgkqhkiG9w0BAQUFADCBgjELMAkGA1UEBhMC VVMxCzAJBgNVBAgMAkdBMQwwCgYDVQQHDANBVEwxDDAKBgNVBAoMA0VNQzEMMAoG

Certificados


https://www.emc.com/techpubs/ecs/ecs_cli_install-1.htm

A1UECwwDRU5HMQ4wDAYDVQQDDAVjaHJpczEsMCoGCSqGSIb3DQEJARYdY2hyaXN0 b3BoZXIuZ2hva2FzaWFuQGVtYy5jb20wHhcNMTYwNjAxMTg0MTIyWhcNMTcwNjAy MTg0MTIyWjCBgjELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkdBMQwwCgYDVQQHDANB VEwxDDAKBgNVBAoMA0VNQzEMMAoGA1UECwwDRU5HMQ4wDAYDVQQDDAVjaHJpczEs MCoGCSqGSIb3DQEJARYdY2hyaXN0b3BoZXIuZ2hva2FzaWFuQGVtYy5jb20wggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDb9WtdcW5HJpIDOuTB7o7ic0RK dwA4dY/nJXrk6Ikae5zDWO8XH4noQNhAu8FnEwS5kjtBK1hGI2GEFBtLkIH49AUp c4KrMmotDmbCeHvOhNCqBLZ5JM6DACfO/elHpb2hgBENTd6zyp7mz/7MUf52s9Lb x5pRRCp1iLDw3s15iodZ5GL8pRT62puJVK1do9mPfMoL22woR3YB2++AkSdAgEFH 1XLIsFGkBsEJObbDBoEMEjEIivnTRPiyocyWki6gfLh50u9Y9B2GRzLAzIlgNiEs L/vyyrHcwOs4up9QqhAlvMn3Al01VF+OH0omQECSchBdsc/R/Bc35FAEVdmTAgMB AAEwDQYJKoZIhvcNAQEFBQADggEBAAyYcvJtEhOq+n87wukjPMgC7l9n7rgvaTmo tzpQhtt6kFoSBO7p//76DNzXRXhBDADwpUGG9S4tgHChAFu9DpHFzvnjNGGw83ht qcJ6JYgB2M3lOQAssgW4fU6VD2bfQbGRWKy9G1rPYGVsmKQ59Xeuvf/cWvplkwW2 bKnZmAbWEfE1cEOqt+5m20qGPcf45B7DPp2J+wVdDD7N8198Jj5HJBJt3T3aUEwj kvnPx1PtFM9YORKXFX2InF3UOdMs0zJUkhBZT9cJ0gASi1w0vEnx850secu1CPLF WB9G7R5qHWOXlkbAVPuFN0lTav+yrr8RgTawAcsV9LhkTTOUcqI= -----END CERTIFICATE-----</chain></certificate_chain>

2. Puede verificar el certificado mediante openssl en todos los nodos.

openssl s_client -showcerts -connect <node_ip>:<port>

Nota

El puerto de administración es 4443.

Por ejemplo:

openssl s_client -showcerts -connect 10.1.2.3:4443

Verificar el certificado de objetoPuede recuperar el certificado de objeto instalado mediante la API REST deadministración de ECS.

Antes de comenzar


l Si ha reiniciado servicios, el certificado estará disponible inmediatamente. De locontrario, debe esperar dos horas para asegurarse de que el certificado se hayapropagado a todos los nodos.

Procedimiento

1. Utilice el método GET /object-cert/keystore para devolver el certificado.

Con la herramienta curl, para ejecutar el método, escriba lo siguiente:

curl -svk -H "X-SDS-AUTH-TOKEN: $TOKEN" https://x.x.x.x:4443/object-cert/keystore

Certificados

Verificar el certificado de objeto 155


python ecscli.py keystore show –hostname <ecs_host_ip> -port 4443 –cf <cookiefile>

2. Puede verificar el certificado mediante openssl en todos los nodos.

openssl s_client -showcerts -connect <node_ip>:<port>

Nota

Los puertos son: s3: 9021, Atmos: 9023, Swift: 9025

Ejemplo:

openssl s_client -showcerts -connect 10.1.2.3:9021

Certificados


CAPÍTULO 10

Configuración de ECS

l Introducción a los ajustes de ECS..................................................................... 158l URL base de objetos......................................................................................... 158l Cambiar contraseña..........................................................................................162l Administración de claves.................................................................................. 162l EMC Secure Remote Services.......................................................................... 173l Política de alertas............................................................................................. 176l Servidores de notificación de eventos...............................................................178l Bloqueo de la plataforma................................................................................... 191l Licencias...........................................................................................................193l Acerca de este VDC..........................................................................................195

Configuración de ECS 157

Introducción a los ajustes de ECS

En esta sección se describen los ajustes que el administrador del sistema puede ver yconfigurar en la sección Settings del portal de ECS. Entre estos ajustes, se incluyenlos siguientes:

l URL base de objetos

l Contraseña

l Administración de claves

l ESRS

l Política de alertas

l Notificación de eventos

l Bloqueo de la plataforma

l Licencias

l Acerca de este VDC

URL base de objetosECS admite aplicaciones compatibles con Amazon S3 que utilizan esquemas dedireccionamiento semejantes al de los hosts virtuales y las rutas. En la configuraciónmultiusuario, ECS permite que el espacio de nombres se proporcione en la direcciónURL.

La dirección URL base se utiliza como parte de la dirección de objetos cuando se usaun direccionamiento semejante al de los hosts virtuales y permite que ECS sepa quéparte de la dirección se refiere al depósito y, opcionalmente, al espacio de nombres.

Por ejemplo, si utiliza un esquema de direccionamiento que incluye el espacio denombres, de modo que tiene direcciones con el formatomybucket.mynamespace.mydomain.com, debe indicar a ECS quemydomain.com es la dirección URL base para que ECS identifiquemybucket.mynamespace como el depósito y el espacio de nombres.

De forma predeterminada, la dirección URL base se establece ens3.amazonaws.com.

Un administrador del sistema ECS puede agregar una dirección URL base por mediodel portal de ECS o mediante el uso de la API REST de administración de ECS.

Direccionamiento de depósitos y espacios de nombresCuando una aplicación compatible con S3 realiza una solicitud de API para ejecutar unaoperación en un depósito de ECS, ECS puede identificar el depósito de variasmaneras.

En el caso de las solicitudes de API autenticadas, ECS infiere el espacio de nombresmediante el uso del espacio de nombres al que pertenece el usuario autenticado. Paraadmitir solicitudes anónimas y sin autenticar que requieren compatibilidad con CORS oacceso anónimo a objetos, debe incluir el espacio de nombres en la dirección, de modoque ECS pueda identificar el espacio de nombres de la solicitud.

Cuando el alcance del usuario es NAMESPACE, el mismo ID de usuario puede existir envarios espacios de nombres (por ejemplo, namespace1/user1 y namespace2/user1).



Por lo tanto, debe incluir el espacio de nombres en la dirección. ECS no puede deducirel espacio de nombres a partir del ID de usuario.

Las direcciones de espacios de nombres requieren entradas de DNS de comodín (porejemplo, *.ecs1.yourco.com) y también certificados SSL comodín para hacercoincidir si desea utilizar HTTPS. Las direcciones que no son de espacios de nombres ylas direcciones semejantes a las de las rutas no requieren comodines, ya que solo seutiliza un nombre de host para todo el tráfico. Si utiliza direcciones que no son deespacios de nombres con depósitos con un estilo similar al de los hosts virtuales,necesitará entradas de DNS de comodín y certificados SSL comodín.

Puede especificar el espacio de nombres en el encabezado x-emc-namespace deuna solicitud HTTP. ECS también es compatible con la extracción de la ubicacióndesde el encabezado del host.

Direccionamiento semejante al de los hosts virtuales

En el esquema de direccionamiento semejante al de los hosts virtuales, el nombre deldepósito es el nombre del host. Por ejemplo, puede obtener acceso al depósitodenominado mybucket en el host ecs1.yourco.com mediante la siguientedirección:

http://mybucket.ecs1.yourco.comTambién puede incluir un espacio de nombres en la dirección.

Ejemplo: mybucket.mynamespace.ecs1.yourco.comPara utilizar el direccionamiento al estilo de los hosts virtuales, debe configurar ladirección URL base en ECS de modo que ECS pueda identificar qué parte de ladirección URL es el nombre del depósito. También debe asegurarse de que el sistemaDNS esté configurado para resolver la dirección. Para obtener más información sobrela configuración de DNS, consulte Configuración de DNS en la página 160

Direccionamiento semejante al de las rutas

En el esquema de direccionamiento semejante al de las rutas, el nombre del depósitose agrega al final de la ruta.

Ejemplo: ecs1.yourco.com/mybucketPuede especificar un espacio de nombres mediante el uso del encabezado x-emc-namespace o mediante la inclusión del espacio de nombres en la dirección semejantea la de las rutas.

Ejemplo: mynamespace.ecs1.yourco.com/mybucket

Procesamiento de dirección de ECS

Cuando ECS procesa una solicitud de una aplicación compatible con S3 para accederal almacenamiento de ECS, lleva a cabo las siguientes acciones:

1. Intenta extraer el espacio de nombres del encabezado x-emc-namespace. Si loencuentra, omita los siguientes pasos y procese la solicitud.

2. Obtiene el nombre de host de la URL del encabezado del host y comprueba si laúltima parte de la dirección coincide con alguna de las direcciones URL baseconfiguradas.

3. Si hay una coincidencia con una URL base, utilice la parte del prefijo del hostname(la parte izquierda cuando se quita la URL base), para obtener la ubicación deldepósito.


Direccionamiento de depósitos y espacios de nombres 159

En los siguientes ejemplos, se muestra cómo ECS maneja las solicitudes HTTPentrantes con diferentes estructuras:

Nota

Cuando agrega una URL base a ECS, puede especificar si las URL contienen unespacio de nombres en el campo Use base URL with Namespace en la página NewBase URL en el portal de ECS. Esto indica a ECS cómo tratar el prefijo de ubicacióndel depósito. Para obtener más información, consulte Agregar una dirección URLbase en la página 161

Ejemplo 1: Direccionamiento semejante al de los hosts virtuales, opción Utilizar ladirección URL base con espacio de nombres habilitada

Host: baseball.image.yourco.finance.comBaseURL: finance.comUse BaseURL with namespace enabled

Namespace: yourcoBucket Name: baseball.image

Ejemplo 2: Direccionamiento semejante al de los hosts virtuales, opción Utilizar ladirección URL base con espacio de nombres deshabilitada

Host: baseball.image.yourco.finance.comBaseURL: finance.comUse BaseURL without namespace enabled

Namespace: null (Use other methods to determine namespace)Bucket Name: baseball.image.yourco

Ejemplo 3: ECS trata esta solicitud como una solicitud semejante a la de las rutas.

Host: baseball.image.yourco.finance.comBaseURL: not configured

Namespace: null (Use other methods to determine namespace.)Bucket Name: null (Use other methods to determine the bucket name.)

Configuración de DNSPara que una aplicación compatible con S3 acceda al almacenamiento de ECS, esnecesario que la URL se resuelva a la dirección del nodo de datos de ECS o albalanceador de carga de nodos de datos.

Si su aplicación utiliza direccionamiento semejante al de las rutas, debe asegurarse deque el sistema DNS pueda resolver la dirección. Por ejemplo, si su aplicación emitesolicitudes con el formato ecs1.yourco.com/bucket, debe tener una entrada deDNS que resuelva ecs1.yourco.com a la dirección IP del balanceador de carga quese utiliza para obtener acceso a los nodos de ECS. Si su aplicación está configuradapara comunicarse con Amazon S3, el URI tiene el formato s3-eu-west-1.amazonaws.com.



Si la aplicación utiliza el direccionamiento de estilo de host virtual, la URL incluirá elnombre del depósito y puede incluir un espacio de nombres. En estas circunstancias,debe tener una entrada de DNS que resuelva la dirección de estilo de host virtualmediante el uso de un comodín en la entrada de DNS. Esto también se aplica si estáutilizando direcciones de estilo de ruta que incluyen el espacio de nombres en la URL.

Por ejemplo, si la aplicación emite solicitudes con el formatomybucket.s3.yourco.com, debe tener las siguientes entradas de DNS:

l ecs1.yourco.coml *.ecs1.yourco.comSi la aplicación se conectó anteriormente con el servicio de Amazon S3 mediantemybucket.s3.amazonaws.com, debe tener las siguientes entradas de DNS:

l s3.amazonaws.coml *.s3.amazonaws.comEstas entradas resuelven la dirección del depósito de estilo de host virtual y el nombrebásico cuando se emiten comandos de nivel de servicio (por ejemplo, la lista dedepósitos).

Si crea un certificado SSL para el servicio de S3 de ECS, debe tener la entradacomodín en el nombre del certificado y la versión sin comodín como un nombrealternativo del sujeto.

Agregar una dirección URL baseDebe agregar una URL base si utiliza clientes de objetos que codifican la ubicación deun objeto, su nombre de espacios (opcional) y las categorías en una URL.

Antes de comenzar


Debe asegurarse de que el dominio especificado en una solicitud que utiliza una URLpara especificar una ubicación de objeto resuelva la ubicación del nodo de datos deECS o de un balanceador de carga que resida frente a los nodos de datos.

Procedimiento

1. En el portal de ECS, seleccione Settings > Object Base URL.

Aparecerá la página Base URL Management con una lista de URL base. Lapropiedad Use with Namespace indica si las direcciones URL incluyen unespacio de nombres.

2. En la página Base URL Management, haga clic en New Base URL.


Agregar una dirección URL base 161

3. En la página New Base URL, en el campo Name, escriba el nombre de ladirección URL base.

El nombre proporciona una etiqueta para esta dirección URL base en la lista dedirecciones URL base, en la página Base URL Management.

4. En el campo Base URL, escriba la dirección URL base.

Si las direcciones URL del objeto se encontraran en el formato https://mybucket.mynamespace.acme.com (es decir,bucket.namespace.baseurl) o https://mybucket.acme.com (esdecir, bucket.baseurl), la dirección URL base sería acme.com.

5. En el campo Use base URL with Namespace, haga clic en Yes si lasdirecciones URL incluyen un espacio de nombres.


Cambiar contraseñaPuede usar el portal de ECS para cambiar su contraseña.

Antes de comenzar

Esta operación requiere las funciones de administrador del sistema, administrador delespacio de nombres, administrador de bloqueo (emcsecurity) o monitor del sistema enECS.

Procedimiento

1. En el portal de ECS, seleccione Settings > Change Password

2. En la página Change Password, ingrese una nueva contraseña en el campoPassword y, luego, ingrésela otra vez en el campo Confirm Password.


Administración de clavesPara admitir el cifrado de datos en reposo (D@RE), ECS mantiene una jerarquía declaves de cifrado en las que una clave primaria de la jerarquía se utiliza para protegeruna clave secundaria. Antes de ECS 3.3, ECS gestionaba de forma nativa estas claves



en todo el entorno de federado geográficamente. A partir de ECS 3.3, se agregó lacompatibilidad con ciertas soluciones de administración de claves externas que soncompatibles con el protocolo de interoperabilidad de administración de claves (KMIP).Además, para apoyar las prácticas estándares del sector, ECS 3.3 ahora es compatiblecon la rotación de claves iniciada por el usuario para limitar la cantidad de datos que seprotegen con una clave determinada. La rotación de claves está disponible para laadministración de claves nativa y externa.

Administración de claves nativaLa administración de claves de cifrado nativa utiliza una jerarquía, como se muestra enla siguiente ilustración. Cada VDC se asocia con un par de claves pública-privada quese utiliza para proteger las claves principales generadas de forma nativa y las clavesprincipales de rotación (no se muestran en la ilustración). La clave principal derotación se utiliza para proteger todas las claves de rotación generadas de formanativa. A su vez, la clave de rotación se utiliza para derivar las claves virtuales. Cadaespacio de nombres en ECS tiene una clave de espacio de nombres asociada que estáprotegida por una clave principal virtual. La clave principal virtual es una clave que sederiva de la clave principal y de la clave de rotación. Sin embargo, al contrario de estasclaves, nunca persiste en los discos. Todos los depósitos en un espacio de nombrestienen una clave de depósito asociada que está protegida por su clave de espacio denombres correspondiente. Los datos de cada objeto se cifran con una clave de objetoúnica que está protegida mediante una clave de depósito virtual. La clave de depósitovirtual se deriva de la clave de depósito y rotación, y no se guarda en los discos.Figura 22 Administración de claves nativa

Administración de claves externaLa administración de claves externa utiliza una jerarquía, como se muestra en lasiguiente ilustración. Del mismo modo que el escenario administrado de forma nativa,las claves principal y de rotación ya no se conservan en ECS, pero se delegan aladministrador de claves externo (EKM). De manera similar a la administración declaves nativa, la clave de rotación se utiliza para derivar las claves virtuales. Cadaespacio de nombres en ECS tiene una clave de espacio de nombres asociada que estáprotegida por una clave principal virtual. La clave principal virtual es una clave que sederiva de la clave principal y de la clave de rotación, y esto nunca persiste en losdiscos. Todos los depósitos en un espacio de nombres tienen una clave de depósito


Administración de claves nativa 163

asociada que está protegida por su clave de espacio de nombres correspondiente. Losdatos de cada objeto se cifran con una clave de objeto única que está protegidamediante una clave de depósito virtual. La clave de depósito virtual se deriva demanera similar de la clave de depósito y rotación, y no se guarda en los discos.Figura 23 Administración de claves externa

Configuración del administrador de claves externoLos administradores del sistema pueden agregar un clúster, ver la información deasignación de VDC de EKM y rotar las claves en la página Settings > KeyManagement en el portal de ECS.

Figura 24 Administración de claves

Creación de clústeresDesde los servidores de claves externos de administración de claves, puede crear unclúster y, a continuación, crear servidores de claves externos.

Tabla 23

Campo Descripción

Cluster Nombre del clúster

Type Tipo de proveedor



Tabla 23 (continuación)

Server Count Cantidad total de servidores que secrearon para el clúster.

Status Indica el estado del clúster. Cuando secrea por primera vez, tiene el estado‘UNACTIVATED’. Cuando se ejecuta laactivación, el estado cambia para quecoincida con el paso del proceso deactivación.

FQDN/IP Dirección IP o FQDN del servidor EKM

Server Host El host del servidor aparece en elcertificado que se usa para identificar alcliente asociado con el área dealmacenamiento de identidades.

Port Número de puerto que está asociado alservidor KMIP. El número de puerto seutiliza para la comunicación entre ECS yel servidor de claves externo. El valorpredeterminado es 5696.

Actions Edit: editar el nombre del clúster

Delete: eliminar el clúster inactivo

Add Server: agregar servidor de claveexterno al clúster

Activate: activar el clúster

Figura 25 Agregar clúster nuevo

Procedimiento

1. Seleccione Settings > Key Management > External Key Servers > NewCluster.


Configuración del administrador de claves externo 165

2. En el campo Cluster Name, escriba un nombre único para el clúster.

3. En el campo External Key Management Type del menú desplegable, seleccioneel tipo de proveedor.


Después de crear un clúster y antes de la asignación de VDC de EKM, agregueservidores de claves

Nota

. Solo se puede crear y utilizar un clúster por federación de ECS.

Agregar servidores de administración de claves externos al clústerUn clúster de administración de claves externo permite identificar un conjunto deservidores de claves externos que se configuran como parte del clúster. Los servidoresde claves externos son las entidades con las que se comunican los nodos de ECS paracrear o recuperar claves criptográficas. Después de crear un clúster, se deben agregarservidores y, a continuación, asignarlos a un VDC antes de activar el clúster.

Nuevos servidores de claves externas

Tabla 24 Nuevos servidores de claves externas

Campo Descripción

Cluster Name Nombre del clúster

Hostname/IP of EKM Server El hostname o dirección IP del servidor EKM

Server Host Name El hostname del servidor es el nombre del servidor y aparece en el certificado que se usarápara identificar al cliente asociado con el área de almacenamiento de identidades.

Port Número de puerto que está asociado al servidor KMIP. El número de puerto se utiliza para lacomunicación entre ECS y el servidor de claves externo. El valor predeterminado es 5696.

Importar certificado delservidor

Importar certificado del servidor está asociado al servidor de claves que se presenta a ECSpara la validación.

Import Revocation Certificate Certificado comprometido que no se acepta (puede ser un archivo vacío).

Import Identity Store Certificado del cliente firmado por el servidor y cifrado en el archivo .p12.

Contraseña del área dealmacenamiento de identidad

Contraseña del certificado del área de almacenamiento de identidad.

EKM Type Servidor de claves de Gemalto

Username El nombre de usuario debe coincidir con el que se define en el servidor de claves de Gemalto.

Password Contraseña para el cliente que se define en el servidor de claves de Gemalto.

Procedimiento

1. Seleccione Settings > Key Management > External Key Servers > NewExternal Key Server.



Figura 26 Nuevos servidores de claves externas

2. En el nuevo formulario de servidor de claves externo, ingrese el hostname o ladirección IP del servidor de EKM.

3. Ingrese el hostname del servidor.



Este es el nombre del servidor y aparece en el certificado que se usa paraidentificar al cliente asociado con el área de almacenamiento de identidades.

4. Ingrese el puerto.

Si es diferente del valor predeterminado 5696.

5. Para importar el certificado del servidor asociado al servidor de claves que sepresenta para la validación de ECS, haga clic en Browse.

6. Para importar el certificado de revocación que no se acepta, haga clic enBrowse.

Puede ser un archivo vacío.

7. Para importar el área de almacenamiento de identidades, que es el certificadode cliente firmado por el servidor y cifrado en el archivo .p12, haga clic enBrowse.

8. Ingrese la contraseña del área de almacenamiento de identidades.

9. Confirme la contraseña del área de almacenamiento de identidades.

10. Ingrese el nombre de usuario del servidor de claves de Gemalto (opcional).

El nombre de usuario debe coincidir con el que se define en el servidor de clavesde Gemalto. Las credenciales de Keysecure son opcionales, pero se considerauna mejor práctica usarlas.

11. Ingrese la contraseña del servidor de claves de Gemalto.

12. Confirme la contraseña.


Nota

Se deben agregar al menos dos servidores de claves antes de continuar con laasignación de un VDC de EKM. No se permitirá la activación sin un mínimo dedos servidores de claves.

Agregar VDC a la asignación de servidores de EKMLa asignación de VDC de EKM asigna un subconjunto de un servidor miembro delclúster a un VDC, de modo que los nodos en el VDC puedan utilizarlos para acceder alas claves criptográficas.

Figura 27 Asignación de un VDC de EKM



Tabla 25 Propiedades de administración de claves

Campo Descripción

VDC Todos los VDC en el sistema

Number of Servers Cantidad de servidores actualmente asignados

External Key ManagerFQDNIP

Dirección IP o FQDN del servidor EKM

Port Número de puerto que está asociado al servidor KMIP. El número de puerto se utiliza para lacomunicación entre ECS y el servidor de claves externo. El valor predeterminado es 5696.

Status Cuando no se expande, el estado indica el estado general de la asignación.

Cuando se expande, cada servidor muestra su estado individual.

Actions Edite la asignación de VDC para agregar, quitar y priorizar los servidores de claves.

Procedimiento

1. Seleccione Settings > Key Management > VDC EKM Mapping.

a. Para expandir el VDC y ver los detalles del servidor, haga clic en >.

Figura 28 Asignar servidores

2. Haga clic en el botón Edit en el VDC.



Figura 29 Editar asignación de EKM

3. Seleccione los servidores en la tabla disponible y agréguelos a la tablacorrespondiente.

Se requiere un mínimo de dos servidores. El primer servidor de la listaseleccionada es el servidor de EKM primario para el VDC.

Después de asignar los servidores a un VDC, el clúster de EKM debe activarse.

Nota

Una vez que se crean las asignaciones de VDC, un proceso en segundo planovalidará la conectividad a todos los servidores asignados por VDC. El resultadode esta comprobación de servidor se conectará a cada servidor por VDC.

Activar clúster de EKMProcedimiento

1. Para activar el clúster de EKM, vaya a External Key Servers > Edit > Activate.



Figura 30 Activar clúster de EKM

Como parte de la activación del clúster, la rotación de claves se iniciará deforma automática. Puede comprobar su estado en la pestaña Key Rotation,como se describe en la sección Key Rotation.

Nota

La activación puede iniciarse correctamente solo después de la verificación delservidor (lo que se menciona en la sección Agregar VDC a la asignación delservidor EKM), que marca todos los servidores primarios con el estado Good.

Rotación de clavesECS es compatible con la rotación de claves, la práctica de cambiar las claves paralimitar la cantidad de datos que se protege con cualquier clave determinada a fin deapoyar prácticas estándares del sector. Se puede realizar según demanda a través dela API y la interfaz del usuario, y se diseñó para minimizar el riesgo de las clavesvulneradas.

Durante la rotación de claves, el sistema realiza las siguientes acciones:

l Crea una clave de rotación de forma nativa o en el EKM (si está activado).

l Active la nueva clave de rotación en todos los sitios de la federación.

l Una vez activada, la nueva clave de rotación se utiliza para generar nuevas clavesde depósito virtual y principales.

l La nueva clave principal virtual se utiliza para volver a ajustar todas las claves deespacio de nombres.

l La nueva clave de depósito virtual se utiliza para proteger todas las claves deobjetos nuevas y los datos nuevos asociados.

l Las claves de espacio de nombres reajustadas son fundamentales en la protecciónde los datos existentes.

l Como resultado de la rotación de claves, los datos no se vuelven a cifrar.

Para iniciar la rotación de claves, seleccione Settings > Key Management > KeyRotation > Rotate Keys.


Rotación de claves 171

Figura 31 Rotación de claves

Nota

La rotación es una operación asíncrona; en esta tabla, se puede ver el último estado dela operación actual. Además, la tabla muestra el estado de las operaciones de rotaciónanteriores.

Figura 32 Estado de rotación de claves

Limitaciones

l La rotación de claves no rota las claves principales, de espacio de nombres y dedepósito.

l Solo puede haber una solicitud de rotación de claves activa en cualquier momento,por lo que cualquier otra solicitud nueva fallará.

l El alcance de la rotación de claves se encuentra en el nivel de clúster, de modo quese abarquen todos los objetos nuevos cifrados del sistema.

l No se admite la rotación de nivel principal, de espacio de nombres o de depósito.



EMC Secure Remote ServicesEMC Secure Remote Services (ESRS) es el método recomendado para que unrepresentante de servicio al cliente reciba la notificación de posibles problemas delsistema. ESRS también le permite al representante de servicio al cliente solucionarerrores del sistema de manera remota mediante el análisis de registros.

Los administradores del sistema pueden ver la información de ESRS, agregar unservidor de ESRS, deshabilitar las alertas Call Home de ESRS, probar la función de CallHome de ESRS y eliminar un servidor ESRS en la página Settings > ESRS >EMC Secure Remote Services Management del portal de ECS. En la páginaEMC Secure Remote Services Management se muestra la siguiente información:

Tabla 26 Propiedades de ESRS

Campo Descripción

FQDN/IP FQDN o dirección IP de ESRS Gateway

Port Puerto de ESRS Gateway (9443 por defecto)

VDC Serial Number El ID de software de VDC.

Status Puede ser uno de los siguientes:

l Connected: el servidor de ESRS se agregó correctamente al VDC, ECS está registradocon ESRS, y el latido entre el servidor de ESRS y VDC se realiza correctamente.

l Disconnected: después de que se establezca la conexión del servidor de ESRS con VDC,no se puede establecer una comunicación entre ESRS y VDC, por lo que el latido falla.En el mensaje de error activado con el mouse para el estado Disconnected se indica:KeepAlive failed: reason: INVALID_CREDENTIALS

l Failed: durante el proceso de agregar un servidor de ESRS al VDC, no se puede estableceruna conexión entre el servidor de ESRS y VDC debido a una IP/FQDN, puerto oinformación de identificación de usuario de ESRS no válidas.

n Si se ingresa una dirección IP/FQDN de ESRS Gateway o una información de puertono válidas en el portal de ECS cuando se agrega un servidor de ESRS, en el mensaje deerror activado con el mouse para el estado Failed se indica: Failed to configurethe esrs server, reason: ESRS_CONNECTION_REFUSED

n Si se ingresan credenciales de nombre de usuario o contraseña de https://support.emc.com/myservice360/ no válidas en el portal de ECS cuando se agrega unservidor de ESRS, en el mensaje de error activado con el mouse para el estado Failedse indica: Failed to add device <VDC serial number> to esrs gw<esrs gateway IP>, reason: INVALID_CREDENTIALS

l Disabled: el administrador del sistema deshabilitó la conexión de ESRS con VDC. Unadministrador del sistema puede optar por hacer esto temporalmente durante unaactividad de mantenimiento planificada para evitar la inundación de ESRS con alertas.

Test Dial Home Status Puede ser uno de los siguientes:

l Never Run

l Passed (con registro de fecha y hora)

l Failed (con registro de fecha y hora)


EMC Secure Remote Services 173

https://support.emc.com/myservice360/


Requisitos previos de ESRS

ECS requiere la versión 3.12 de ESRS Virtual Edition (VE) y posteriores.

Antes de agregar un servidor de ESRS a ECS mediante el portal de ECS, debe:

l Activar la licencia de ECS y cargarla en el portal de ECS.

l Configure el servidor de ESRS Gateaway en el sitio físico donde se encuentra elVDC.El servidor de ESRS Gateaway permite facilitar la comunicación entre ECS y elservidor de ESRS de back-end en Dell EMC. Para obtener más información sobrela configuración de los servidores de ESRS Gateaway, consulte la documentaciónde ESRS VE.

l Compruebe que el ID de sitio activado definido en la licencia de ECS escompatible con el servidor de ESRS Gateaway que se utilizará en ECS.El ID de sitio activado corresponde al número de sitio de la licencia para el sitiofísico en el cual se instala ECS. Puede obtener el ID de sitio activado en la columnaActivated Site en la página Settings > Licensing del portal de ECS. Para verificarque el ID del sitio activado sea compatible con el servidor de ESRS Gateaway:

1. Inicie sesión en la IU Web de ESRS Gateway.

2. En la barra de menú superior, haga clic en Devices > Manage Device.Se mostrará una lista de dispositivos administrados por ECS, como VDC yracks. En la parte superior de la lista hay una fila con el encabezado Site ID:seguido de una lista separada por comas de los números de ID de sitio. Porejemplo: Site ID: 67520, 89645, 111489

3. Si el ID de sitio activado que obtuvo del portal de ECS:

n aparece en la fila Site ID ubicada en la parte superior de la lista ManagedDevice de la IU web de ESRS Gateway, es compatible con el servidor deESRS Gateway.

n no aparece en la fila Site ID ubicada en la parte superior de la lista ManagedDevice de la IU web de ESRS Gateway, haga clic en el botón Add Site IDubicado en la parte inferior de la página para agregarlo.

l Compruebe que tiene derechos de acceso completo (administrador) al ID de sitioactivado y que el número de serie de VDC esté asociado con el ID de sitio activado.Puede obtener el número de serie de VDC en Settings > Licensing en el portal deECS.

1. Vaya a https://support.emc.com/myservice360/.

2. Inicie sesión y valide sus derechos de acceso completo.Si puede acceder a esta página, entonces puede utilizar las credenciales de sucuenta de usuario para configurar ESRS.

3. Para comprobar que el número de serie de VDC está asociado con el ID de sitioactivado, haga clic en el vínculo Install Base cerca del centro de la página.Si tiene acceso a varios sitios, seleccione el sitio apropiado en la listadesplegable My Sites.

4. En el cuadro de búsqueda, escriba el número de serie de VDC.El número de serie de VDC se verifica cuando se muestra en la columnaProduct ID en la tabla ubicada bajo el cuadro de búsqueda.



https://support.emc.com/products/37716_EMC-Secure-Remote-Services-Virtual-Edition/Documentation

https://support.emc.com/products/37716_EMC-Secure-Remote-Services-Virtual-Edition/Documentation


Agregar un servidor de ESRSPuede utilizar el portal de ECS para agregar un servidor de ESRS a un VDC existente.

Antes de comenzar

l En un sistema geofederado de ECS, debe agregar un servidor de ESRS para cadaVDC en el sistema.

l Si ya tiene un servidor de ESRS activado, debe eliminarlo y agregar el nuevo. Nopuede editar un servidor de ESRS en esta versión.

l Debe revisar los requisitos previos de ESRS antes de realizar este procedimientoen el portal de ECS.


Procedimiento

1. En el portal de ECS, seleccione Settings > ESRS > New Server.

2. En la página New ESRS Server:

a. En el campo FQDN/IP, escriba la dirección IP o el nombre de dominiocalificado del ESRS Gateway.

b. En el campo PORT, escriba el puerto del ESRS Gateway (9443 de formapredeterminada).

c. En el campo Username, escriba el nombre de usuario de inicio de sesiónutilizado para comunicarse con el soporte de ECS. Este es el mismo nombrede usuario de inicio de sesión utilizado para iniciar sesión en https://support.emc.com/myservice360/.

d. En el campo Password, ingrese la contraseña configurada con el nombre deusuario de inicio de sesión.


La conectividad del servidor puede tardar unos minutos en completarse. Paramonitorear el proceso, haga clic en el botón de actualización. Algunos posiblesestados de transición son Processing, Connected o Failed.

Nota

Si recibe un mensaje de error de INVALID_CREDENTIALS, envíe un correoelectrónico a [email protected] con una descripción del problema, el correoelectrónico de su cuenta, el número de serie de VDC y el ID de sitio activado.

4. Si ESRS está configurado con más de un gateway para alta disponibilidad, repitalos pasos 1 a 3 para agregar servidores de ESRS Gateway adicionales.

Verificar que la función Call Home de ESRS esté en funcionamientoPruebe la funcionalidad Call Home de ESRS para comprobar la conectividad de ESRS.En el portal de ECS, puede generar una alerta de Call Home y, a continuación,comprobar que se recibe tal alerta. Este es un procedimiento opcional.

Antes de comenzar


VDC debe estar conectado con el ESRS Gateway.


Agregar un servidor de ESRS 175



Procedimiento

1. Desde el portal de ECS, seleccione Settings > ESRS.

2. En la página EMC Secure Remote Services Management, haga clic en TestDial Home en la columna Actions.

Si la notificación de ESRS se recibe correctamente, se muestra el estado comoPassed con un registro de fecha y hora en la columna Test Dial Home Status.

3. También puede comprobar que la última alerta de prueba está presente en elservidor de ESRS.

a. Protocolo SSH en el servidor de ESRS.

b. Vaya a la ubicación del archivo RSC.

# cd /opt/connectemc/archive/

c. Busque el archivo RSC más reciente mediante el siguiente comando:

# ls –lrt RSC_<VDC SERIAL NUMBER>*”

d. Abra el archivo RSC y compruebe si la alerta de prueba más reciente estápresente en la descripción.

Deshabilitación de Call Home

Antes de comenzar


VDC debe estar conectado con el ESRS Gateway.

Los administradores del sistema pueden usar esta función para deshabilitartemporalmente las alertas de Call Home de ESRS. Los administradores del sistemadeben usar esta función durante las actividades de mantenimiento planificado o enescenarios de solución de problemas que requieren poner nodos fuera de línea paraevitar la inundación de ESRS con alertas innecesarias.

Procedimiento

1. Desde el portal de ECS, seleccione Settings > ESRS.

2. En la página EMC Secure Remote Services Management, haga clic en Disableen la columna Actions junto al servidor de ESRS en el cual desea deshabilitar lasalertas de Call Home temporalmente.

El estado del servidor de ESRS se muestra como Disabled en la columnaStatus.

Política de alertasLas políticas de alertas se crean para alertar sobre las métricas y se activan cuando secumplen las condiciones especificadas. Las políticas de alerta se crean mediante VDC.

Puede usar la página Settings > Alerts Policy para ver las políticas de alertas.



Figura 33 Política de alertas

Existen dos tipos de políticas de alertas:

Políticas de alertas del sistema

l Las políticas de alerta del sistema se crean previamente y existen en ECSdurante la implementación.

l Todas las métricas tienen una política de alertas del sistema asociada.

l Las políticas de alertas del sistema no se pueden actualizar ni eliminar.

l Las políticas de alertas del sistema se pueden habilitar o deshabilitar.

l La alerta se envía a la interfaz del usuario y a todos los canales (SNMP,SYSLOG y servicios de soporte remoto seguro).

Políticas de alertas definidas por el usuario

l Puede crear políticas de alertas definidas por el usuario para las métricasrequeridas.

l La alerta se envía a la interfaz del usuario y a los canales del cliente (SNMP ySYSLOG).

Nueva política de alertasPuede usar la pestaña Settings > Alerts Policy > New Alert Policy para crearpolíticas de alertas definidas por el usuario.

Procedimiento

1. Seleccione New Alert Policy.

2. Asigne un nombre de política único.

3. Utilice el menú desplegable Metric Type para seleccionar un tipo de métrica.

Metric Type es una agrupación de estadísticas. Está compuesta por lo siguiente:

l Btree Statistics

l CAS GC Statistics

l Geo Replication Statistics

l Metering Statistics

l Garbage Collection Statistics

l EKM


Nueva política de alertas 177

4. Utilice el menú desplegable Metric Name para seleccionar un nombre demétrica.

5. Seleccione el nivel.

a. Para inspeccionar las métricas en el nivel de nodo, seleccione Node.

b. Para inspeccionar las métricas en el nivel de VDC, seleccione VDC.

6. Seleccione el intervalo de sondeo.

El intervalo de sondeo determina la frecuencia con la que se deben comprobarlos datos. Cada intervalo de sondeo proporciona un punto de datos que secompara con la condición especificada y, cuando se cumple la condición, seactiva la alerta.

7. Seleccione las instancias.

Las instancias describen la cantidad de puntos de datos que se debencomprobar y la cantidad de datos que deben coincidir con las condicionesespecificadas para activar una alerta.

En el caso de las métricas en las que los datos históricos no están disponibles,solo se usan los datos más recientes.

8. Seleccione las condiciones.

Puede configurar los valores de umbral y el tipo de alerta mediante lascondiciones.

Las alertas pueden ser una alerta de advertencia, de error o una alerta crítica.

9. Para agregar más condiciones con umbrales múltiples y con distintos niveles dealerta, seleccione Add Condition.


Figura 34 Nueva política de alertas

Servidores de notificación de eventosPuede agregar servidores de Syslog, SNMPv2 y SNMPv3 a ECS para enrutarnotificaciones de eventos de SNMP y Syslog a sistemas externos.

En ECS, puede agregar los siguientes tipos de servidores de notificación de eventos:

l Los servidores de protocolo simple de administración de red (SNMP), tambiénconocidos como agentes SNMP, proporcionan datos acerca de la estadística y delestado del dispositivo administrado por red a los clientes de la estación de



administración de red de SNMP. Para obtener más información, consulte SNMPservers.

l Los servidores de syslog proporcionan un método para el almacenamientocentralizado y la recuperación de mensajes de registro del sistema. ECS escompatible con el reenvío de mensajes de auditoría y alertas a servidores de syslogremotos y admite operaciones mediante los protocolos de aplicaciones Syslog deBSD y Syslog estructurado. Para obtener más información, consulte Syslogservers.

Puede agregar servidores de notificación de eventos desde el portal de ECS omediante la CLI o la API REST de administración de ECS.

Servidores SNMPLos servidores de protocolo simple de administración de red (SNMP), tambiénconocidos como agentes SNMP, proporcionan datos acerca de la estadística y delestado del dispositivo administrado por red a los clientes de la estación deadministración de red de SNMP.

A fin de permitir la comunicación entre los agentes SNMP y los clientes de lasestaciones de administración de red de SNMP, debe configurar ambos lados parautilizar las mismas credenciales. Para SNMP v2, ambos lados deben usar el mismonombre de comunidad. Para SNMP v3, ambos lados deben usar la misma informacióncorrespondiente al ID del motor, al nombre de usuario, al protocolo y a la frase decontraseña de autenticación, y al protocolo y a la frase de contraseña de privacidad.

A fin de autenticar el tráfico entre los servidores de SNMPv3 y los clientes de lasestaciones de administración de red de SNMP, y para verificar la integridad de losmensajes entre hosts, ECS admite el uso estándar de SNMPv3 para las siguientesfunciones de hash criptográfico:

l Recopilación de mensaje 5 (MD5)

l Algoritmo hash seguro 1 (SHA-1)

A fin de cifrar todo el tráfico entre los servidores de SNMPv3 y los clientes deestaciones de administración de red de SNMP, ECS admite el cifrado del tráfico deSNMPv3 mediante los siguientes protocolos criptográficos:

l Cifrado Digital Encryption Standard (con claves de 56 bits)

l Cifrado Digital Encryption Standard (con claves de 128 bits, 192 bits o 256 bits)

Nota

Es posible que el soporte para los modos de seguridad avanzada (AES192/256) queproporciona la función SNMP trap de ECS sea incompatible con determinadosdestinos de SNMP (por ejemplo, iReasoning).

Agregar un destinatario de SNMPv2 trapPuede configurar clientes de estación de administración de red como destinatarios deSNMPv2 trap para SNMP traps generados por el fabric de ECS mediante la mensajeríaestándar de SNMPv2.

Antes de comenzar

Esta operación requiere la función de administrador del sistema en ECS.Procedimiento

1. En el portal de ECS, seleccione Settings > Event Notification.


Servidores SNMP 179

En la página Event Notification, la pestaña SNMP se muestra de formapredeterminada y se enumeran los servidores SNMP agregados a ECS.

2. Para agregar un objetivo del servidor SNMP, haga clic en New Target.

Se muestra la página New SNMP Target.

3. En la página New SNMP Target, complete los siguientes pasos:

a. En el campo FQDN/IP, escriba el nombre de dominio calificado o la direcciónIP para el nodo de destinatario de SNMP v2c trap que ejecuta el servidorsnmptrapd.



b. En el campo Port, escriba el número de puerto de SNMP v2c snmptrapdque se ejecuta en el cliente de la estación de administración de redes.

El número de puerto predeterminado es 162.

c. En el campo Version, seleccione SNMPv2.

d. En el campo Community Name, escriba el nombre de la comunidad deSNMP.

El servidor de SNMP y los clientes de la estación de administración de redesque acceden a él deben utilizar el mismo nombre de comunidad a fin degarantizar el tráfico de mensajes auténtico del SNMP, según lo definen losestándares de RFC 1157 y RFC 3584.

El nombre de comunidad predeterminado es public.


Agregar un destinatario de SNMPv3 trapPuede configurar clientes de las estaciones de administración de red comodestinatarios de SNMPv3 trap para SNMP traps generados por el fabric de ECSmediante la mensajería estándar de SNMPv3.

Antes de comenzar




2. Para agregar un nuevo objetivo de servidor SNMP, haga clic en New Target.

Se muestra la página New SNMP Target.


Servidores SNMP 181

3. En la página New SNMP Target, complete los siguientes pasos:

a. En el campo FQDN/IP, escriba el nombre de dominio calificado o la direcciónIP para el nodo de destinatario de SNMPv3 trap que ejecuta el servidorsnmptrapd.

b. En el campo Port, escriba el número de puerto de SNMP 3c snmptrapdque se ejecuta en el cliente de la estación de administración de redes.


c. En el campo Version, seleccione SNMPv3.

d. En el campo Username, escriba el nombre de usuario que se utilizará en eltráfico del mensaje y la autenticación según el modelo de seguridad basadoen el usuario (USM) que define RFC 3414.

El servidor de SNMP y los clientes de la estación de administración de redesque acceden a él deben especificar el mismo nombre de usuario a fin degarantizar la comunicación. Se trata de una cadena de octetos de un máximode 32 caracteres de longitud.

e. En el cuadro Authentication, haga clic en Enabled si desea habilitar laautenticación mediante el algoritmo de recopilación de mensajes 5 (MD5),de 128 bits, o el algoritmo hash seguro 1 (SHA-1), de 160 bits, para todas lastransmisiones de datos SNMPv3 y realice lo siguiente:

l En el campo Authentication Protocol, seleccione MD5 o SHA.



Esta es la función de hash criptográfico que se utiliza para verificar laintegridad de los mensajes entre los hosts. El valor predeterminado esMD5.

l En el campo Authentication Passphrase, escriba la cadena que se utilizacomo una clave secreta para la autenticación entre los hosts estándaresde USM SNMPv3 cuando se calcula una recopilación del mensaje.La frase de contraseña puede tener una longitud de 16 octetos para MD5y de 20 octetos para SHA-1.

f. En el cuadro Privacy, haga clic en Enabled si desea habilitar el cifradoAdvanced Encryption Standard (AES) (de 128 bits, 192 bits o 256 bits) oDigital Encryption Standard (DES) (de 56 bits) para todas las transmisionesde datos SNMPv3 y realice lo siguiente:

l En el campo Privacy Protocol, seleccione DES, AES128, AES192 oAES256.Este es el protocolo criptográfico que se utiliza en el cifrado de todo eltráfico entre los servidores de SNMP y los clientes de la estación deadministración de redes de SNMP. La opción predeterminada es DES.

l En el campo Privacy Passphrase, escriba la cadena que se utiliza en elalgoritmo de cifrado como una clave secreta para el cifrado entre loshosts estándares de USM SNMPv3.La longitud de esta clave debe ser de 16 octetos para DES y más largapara los protocolos AES.


Resultados

Cuando se crea la primera configuración de SNMPv3, el sistema ECS crea un ID demotor de SNMP que se utilizará para el tráfico de SNMPv3. La página EventNotification muestra el ID de motor de SNMP en el campo Engine ID. En cambio,puede obtener un ID de motor de una herramienta de monitoreo de red y especificarloen el campo Engine ID. El problema importante es que el servidor de SNMP y losclientes de la estación de administración de redes de SNMP que deben comunicarsecon él mediante el tráfico SNMPv3 deben usar el mismo ID de motor de SNMP endicho tráfico.

Enviar un SNMP trap de pruebaPuede enviar un SNMP trap de prueba para validar la configuración y probar traps sintener que realizar una falla real.

Antes de comenzar




2. Para enviar un SNMP trap de prueba, haga clic en la lista desplegable bajoActions y seleccione Send Test Trap.


Servidores SNMP 183

Figura 35 Acción de SNMP

Si el SNMP trap se establece correctamente, se muestra un mensaje deoperación correcta.

Figura 36 SNMP trap realizado correctamente

3. Confirma que el trap de prueba alcanzó el host objetivo de SNMP.

La funcionalidad de la prueba actual es asegurarse de que ECS pueda enviar unatrap, pero no existe una verificación de que se haya alcanzado.

Compatibilidad con MIB, consultas y recopilación de datos del protocolo SNMP en ECS

ECS admite la recopilación de datos del protocolo simple de administración de red(SNMP), consultas y MIB de las siguientes maneras:

l Durante el proceso de instalación de ECS, su representante del servicio al clientepuede configurar e iniciar un servidor snmpd para admitir el monitoreo específicode métricas en el nivel de nodo de ECS. Un cliente de la estación de administraciónde redes puede consultar estos servidores de snmpd en el nivel de kernel parareunir información sobre el uso de la CPU y la memoria desde los nodos de ECS,según lo definido por Management Information Bases (MIB) estándares. A fin deobtener la lista de archivos MIB para la cual ECS admite las consultas de SNMP,consulte MIB del SNMP compatibles con las consultas en ECS en la página 185.

l La capa del ciclo de vida de fabric de ECS incluye una biblioteca snmp4j que actúacomo un servidor SNMP para generar SNMPv2 traps y SNMPv3 traps, y enviarlosa hasta diez clientes de estaciones de administración de redes de destinatarios deSNMP trap. Para obtener más información sobre archivos MIB para los cuales ECSadmita SNMP traps, consulte Definición de MIB y jerarquía de ID de objetos delSNMP de ECS-MIB en la página 185. Puede agregar los servidores dedestinatarios de SNMP trap mediante el uso de la página Event Notification en elportal de ECS. Para obtener más información, consulte Agregar un destinatario deSNMPv2 trap en la página 179 y Agregar un destinatario de SNMPv3 trap en lapágina 181.



MIB del SNMP compatibles con las consultas en ECS

Puede consultar los servidores de snmpd que pueden ejecutarse en cada nodo de ECSdesde clientes de la estación de administración de redes para los siguientes MIB deSNMP:

l MIB-2

l DISMAN-EVENT-MIB

l HOST-RESOURCES-MIB

l UCD-SNMP-MIB

Mediante una estación de administración de SNMP o un software equivalente, puedeconsultar los nodos de ECS para obtener la siguiente información básica:

l Uso de la CPU

l Uso de la memoria

l Cantidad de procesos en ejecución

Definición de MIB y jerarquía de ID de objetos del SNMP de ECS-MIB

Este tema describe la jerarquía de ID de objetos del SNMP y proporciona la definicióncompleta de MIB-II para la MIB empresarial, también conocida como ECS-MIB.

La MIB empresarial del SNMP, llamada ECS-MIB, define los objetostrapAlarmNotification, notifyTimestamp, notifySeverity, notifyTypey notifyDescription, e incluye SNMP traps compatibles que se asocian con laadministración de hardware del dispositivo ECS. ECS envía traps desde el contenedorde ciclo de vida de fabric y utiliza los servicios que proporciona la biblioteca de Javasnmp4j. Los objetos incluidos en la ECS-MIB tienen la siguiente jerarquía:

emc.............................1.3.6.1.4.1.1139 ecs.........................1.3.6.1.4.1.1139.102 trapAlarmNotification...1.3.6.1.4.1.1139.102.1.1 notifyTimestamp.....1.3.6.1.4.1.1139.102.0.1.1 notifySeverity......1.3.6.1.4.1.1139.102.0.1.2 notifyType..........1.3.6.1.4.1.1139.102.0.1.3 notifyDescription...1.3.6.1.4.1.1139.102.0.1.4

Puede descargar la definición de ECS-MIB (como el archivo ECS-MIB-v2.mib)desde el ssitede soporte en la sección de descargas en complementos. La siguientesintaxis de Management Information Base define la MIB empresarial del SNMP,llamada “ECS-MIB”:

ECS-MIB DEFINITIONS ::= BEGIN IMPORTS enterprises, Counter32, OBJECT-TYPE, MODULE-IDENTITY, NOTIFICATION-TYPE FROM SNMPv2-SMI; ecs MODULE-IDENTITY LAST-UPDATED "201605161234Z" ORGANIZATION "EMC ECS" CONTACT-INFO "EMC Corporation 176 South Street Hopkinton, MA 01748" DESCRIPTION "The EMC ECS Manager MIB module" ::= { emc 102 } emc OBJECT IDENTIFIER ::= { enterprises 1139 }


Servidores SNMP 185

-- Top level groups notificationData OBJECT IDENTIFIER ::= { ecs 0 } notificationTrap OBJECT IDENTIFIER ::= { ecs 1 } -- The notificationData group -- The members of this group are the OIDs for VarBinds -- that contain notification data. genericNotify OBJECT IDENTIFIER ::= { notificationData 1 } notifyTimestamp OBJECT-TYPE SYNTAX OCTET STRING MAX-ACCESS read-only STATUS current DESCRIPTION "The timestamp of the notification" ::= { genericNotify 1 } notifySeverity OBJECT-TYPE SYNTAX OCTET STRING MAX-ACCESS read-only STATUS current DESCRIPTION "The severity level of the event" ::= { genericNotify 2 } notifyType OBJECT-TYPE SYNTAX OCTET STRING MAX-ACCESS read-only STATUS current DESCRIPTION "A type of the event" ::= { genericNotify 3 } notifyDescription OBJECT-TYPE SYNTAX OCTET STRING MAX-ACCESS read-only STATUS current DESCRIPTION "A complete description of the event" ::= { genericNotify 4 } -- The SNMP trap -- The definition of these objects mimics the SNMPv2 convention for -- sending traps. The enterprise OID gets appended with a 0 -- and then with the specific trap code. trapAlarmNotification NOTIFICATION-TYPE OBJECTS { notifyTimestamp, notifySeverity, notifyType, notifyDescription, } STATUS current DESCRIPTION "This trap identifies a problem on the ECS. The description can be used to describe the nature of the change" ::= { notificationTrap 1 }END

Los mensajes de trap formulados en respuesta a una alerta de Disk Failure seenvían a la página del portal de ECS Monitor > Events > Alerts en el formato Disk{diskSerialNumber} on node {fqdn} has failed:

2016-08-12 01:33:22 lviprbig248141.lss.dell.com [UDP: [10.249.248.141]:39116->[10.249.238.216]]:iso.3.6.1.6.3.18.1.3.0 = IpAddress: 10.249.238.216 iso.3.6.1.6.3.1.1.4.1.0 = OID: iso.3.6.1.4.1.1139.102.1.1 iso.3.6.1.4.1.1139.102.0.1.1 = STRING: "Fri Aug 12 13:48:03



GMT 2016" iso.3.6.1.4.1.1139.102.0.1.2 = STRING: "Critical" iso.3.6.1.4.1.1139.102.0.1.3 = STRING: "2002" iso.3.6.1.4.1.1139.102.0.1.4 = STRING: "Disk 1EGAGMRB on node provo-mustard.ecs.lab.dell.com has failed"

Los mensajes de trap formulados en respuesta a una alerta de Disk Back Up seenvían a la página del portal de ECS Monitor > Events > Alerts en el formato Disk{diskSerialNumber} on node {fqdn} was revived:

2016-08-12 04:08:42 lviprbig249231.lss.dell.com [UDP: [10.249.249.231]:52469->[10.249.238.216]]:iso.3.6.1.6.3.18.1.3.0 = IpAddress: 10.249.238.216 iso.3.6.1.6.3.1.1.4.1.0 = OID: iso.3.6.1.4.1.1139.102.1.1 iso.3.6.1.4.1.1139.102.0.1.1 = STRING: "Fri Aug 12 16:23:23 GMT 2016" iso.3.6.1.4.1.1139.102.0.1.2 = STRING: "Info" iso.3.6.1.4.1.1139.102.0.1.3 = STRING: "2025" iso.3.6.1.4.1.1139.102.0.1.4 = STRING: "Disk 1EV1H2WB on node provo-copper.ecs.lab.dell.com was revived"

Servidores de syslogLos servidores de syslog proporcionan un método para el almacenamiento centralizadoy la recuperación de mensajes de registro del sistema. ECS es compatible con elreenvío de mensajes de auditoría y alertas a servidores de syslog remotos y admiteoperaciones mediante los siguientes protocolos de aplicación:

l Syslog de BSD

l Syslog estructurado

Los mensajes de auditoría y alertas que se envían a los servidores de Syslog tambiénse muestran en el portal de ECS, a excepción de los mensajes de Syslog a nivel del SO(por ejemplo, mensajes de inicio de sesión del protocolo SSH del nodo), los cuales solose envían a servidores de Syslog y no se muestran en el portal de ECS.

Una vez agregado un servidor de Syslog, ECS inicia un contenedor de syslog en cadanodo. El tráfico de mensajes se produce mediante TCP o el UDP predeterminado.

ECS envía mensajes de registro de auditoría a los servidores de Syslog, incluido el nivelde gravedad, mediante el siguiente formato:

${serviceType} ${eventType} ${namespace} ${userId} ${message}ECS envía registros de alerta a los servidores de syslog con la misma gravedad queaparece en el portal de ECS mediante el siguiente formato:

${alertType} ${symptomCode} ${namespace} ${message}ECS envía alertas de fabric mediante el siguiente formato:

Fabric {symptomCode} "{description}"A partir de ECS 3.1, ECS reenvía solo los siguientes registros de sistema operativo aservidores de Syslog:

l Mensajes de protocolo SSH externos

l Todos los mensajes sudo con gravedad de información y superior

l Todos los mensajes de la funcionalidad auth con gravedad de advertencia ysuperior, que son mensajes relacionados con seguridad y autorización

Agregar un servidor de syslog:Puede configurar un servidor de syslog para que almacene remotamente mensajes deregistro de ECS.


Servidores de syslog 187

Antes de comenzar


Procedimiento


2. En la página Event Notification, haga clic en la pestaña Syslog.

Esta página enumera los servidores de Syslog que se agregaron a ECS y lepermite configurar nuevos servidores de Syslog.

3. Para agregar un servidor de Syslog, haga clic en New Server.

Se muestra la página New Syslog Server.

4. En la página New Syslog Server, complete los siguientes pasos:



a. En el campo Protocol, seleccione UDP o TCP.

UDP es el protocolo predeterminado.

b. En el campo FQDN/IP, escriba el nombre de dominio calificado o la direcciónIP para el nodo que ejecuta el servidor de Syslog.

c. En el campo Port, escriba el número de puerto para el servidor de Syslog enel cual desea almacenar los mensajes de registro.


d. En el campo Severity, seleccione la gravedad de umbral para los mensajesque se envían al registro. Las opciones desplegables son Emergency, Alert,Critical, Error, Warning, Notice, Informational o Debug.


Filtrado de mensajes de Syslog en el lado del servidorEn este tema se describe cómo un mensaje de Syslog de ECS se puede filtrar aún máscon una configuración en el lado del servidor.

Puede configurar servidores de Syslog en el portal de ECS (o mediante la API REST deadministración de ECS) para especificar los mensajes que se entregan a los servidores.A continuación, puede usar técnicas de filtrado en el lado del servidor para reducir lacantidad de mensajes que se guardan en los registros. El filtrado se realiza en el nivelde la instalación. Una instalación segmenta los mensajes por tipo. ECS dirige losmensajes a instalaciones como se describe en la tabla siguiente.

Tabla 27 Instalaciones de Syslog utilizadas por ECS

Instalación Palabra clave Uso definido Uso de ECS

1 user Mensajes de usuarios Alertas de fabric

3 daemon Demonios del sistema Mensajes del sistemaoperativo

4 auth Mensajes de seguridad yautorización

Mensajes de éxito y falla dessh y sudo

16 local0 Uso local 0 Alertas de objetos, auditoríasde objetos

Todas las instalaciones *

Para cada instalación, puede filtrar por nivel de gravedad con el siguiente formato:

facility-keyword.severity-keywordLas palabras clave de gravedad se describen en la siguiente tabla.

Tabla 28 Palabras clave de gravedad de Syslog

Número de nivel degravedad

Nivel de gravedad Palabra clave

0 Emergency emerg

1 Alert alert

2 Critical crit


Servidores de syslog 189

Tabla 28 Palabras clave de gravedad de Syslog (continuación)

Número de nivel degravedad

Nivel de gravedad Palabra clave

3 Error err

4 Warning warn

5 Notice notice

6 Creación de informes info

7 Depurar depurar

All severities All severities *

Modificar la configuración del servidor de Syslog mediante el archivo /etc/rsyslog.confPuede modificar su configuración existente editando el archivo /etc/rsyslog.confen el servidor de Syslog.

Procedimiento

1. Puede configurar el archivo /etc/rsyslog.conf de las siguientes maneras:

a. Para recibir mensajes entrantes de ECS de todas las funcionalidades y todoslos niveles de gravedad, use esta configuración y especifique la rutacompleta y el nombre de su archivo de registro de destino:

*.* /var/log/ecs-messages.all

b. Para recibir todas las alertas de fabric, las alertas de objetos y las auditoríasde objetos, utilice esta configuración con la ruta de acceso completa y elnombre de su archivo de registro de destino:

user.*,local0.* /var/log/ecs-fabric-object.all

c. Para recibir todas las alertas de fabric, las alertas de objetos y las auditoríasde objetos, y limitar los mensajes de la funcionalidad AUTH a los que tenganun nivel de gravedad de advertencia o superior, utilice esta configuración conla ruta de acceso completa y el nombre de su archivo de registro de destino:

user.*,local0.*/var/log/ecs-fabric-object.allauth.warn /var/log/ecs-auth-messages.warn

d. Para segmentar el tráfico a una instalación en varios archivos de registro dearchivos:

auth.info /var/log/ecs-auth-info.logauth.warn /var/log/ecs-auth-warn.logauth.err /var/log/ecs-auth-error.log



2. Después de realizar cualquier modificación del archivo de configuración, reinicieel servicio de Syslog en el servidor de Syslog:

# service syslog restart

Salida:

Shutting down syslog services doneStarting syslog services done

Bloqueo de la plataformaPuede utilizar el portal de ECS para bloquear el acceso remoto a los nodos.

Los usuarios de administración con funciones de administración asignadas puedenacceder a ECS mediante el portal de ECS o la API REST de administración de ECS. Unusuario de nodo predeterminado con privilegios denominado admin, que se creadurante la instalación inicial de ECS, también puede acceder a ECS en el nivel delnodo. Este usuario de nodo predeterminado puede ejecutar procedimientos de servicioen los nodos y tener acceso en los siguientes casos:

l Si se conecta de forma directa a un nodo mediante el switch de administración conuna laptop de servicio y si se usa el protocolo SSH o la CLI para accederdirectamente al sistema operativo del nodo.

l Si se conecta de forma remota a un nodo en la red mediante el protocolo SSH o laCLI para acceder directamente al sistema operativo del nodo.

Para obtener más información sobre el usuario de nivel de nodo adminpredeterminado, consulte Guía de configuración de seguridad de ECS, disponible en la página de documentación de productos de ECS.

El bloqueo de nodos proporciona otra capa de seguridad contra el acceso remoto anodos. Sin el bloqueo de nodo, el usuario de nivel de nodo admin puede acceder deforma remota a los nodos en cualquier momento para recopilar datos, configurar elhardware y ejecutar comandos de Linux. Si se bloquean todos los nodos en un clúster,se puede planear y programar el acceso remoto para una ventana definida queminimice la oportunidad de actividades no autorizadas.

Puede bloquear los nodos seleccionados en un clúster o todos los nodos del clústermediante el portal de ECS o la API REST de administración de ECS. El bloqueoúnicamente afecta la capacidad de acceder de manera remota (mediante el protocoloSSH) a los nodos bloqueados. El bloqueo no cambia la manera en la que el portal deECS y las API REST de administración de ECS acceden a los nodos y no afecta lacapacidad de conectarse directamente a un nodo mediante el switch deadministración.

Si se requiere realizar el mantenimiento de nodos mediante el acceso remoto, puededesbloquear un solo nodo para permitir el acceso remoto a todo el clúster mediante elprotocolo SSH como el usuario admin. Una vez que el usuario admin inicia sesióncorrectamente en el nodo desbloqueado mediante el protocolo SSH, el usuario adminpuede ejecutar dicho protocolo desde ese nodo a cualquier otro nodo del clúster pormedio de la red privada.

También puede desbloquear nodos para usar de forma remota los comandos queproporcionan los diagnósticos de solo lectura del nivel del sistema operativo.


Bloqueo de la plataforma 191


Los eventos de bloqueo y desbloqueo de nodo aparecen en los registros de auditoría ySyslog. Los intentos fallidos de bloqueo o desbloqueo de nodos también aparecen enlos registros.

Bloquear y desbloquear nodos mediante el portal de ECSPuede utilizar el portal de ECS para bloquear y desbloquear el acceso remoto delprotocolo SSH a los nodos de ECS.

Antes de comenzar

Esta operación requiere que el usuario emcsecurity tenga asignada la función deadministrador de bloqueo en ECS.

El bloqueo únicamente afecta la capacidad de acceder de manera remota (mediante elprotocolo SSH) a los nodos bloqueados. El bloqueo no cambia la manera en la que elportal de ECS y las API REST de administración de ECS acceden a los nodos y noafecta la capacidad de conectarse directamente a un nodo mediante el switch deadministración.

Procedimiento

1. Inicie sesión como el usuario emcsecurity.

En el primer inicio de sesión de este usuario, se le solicitará que cambie lacontraseña y vuelva a iniciar sesión.

2. En el portal de ECS, seleccione Settings > Platform Locking.

En la página Platform Locking se muestran los nodos del clúster y el estado debloqueo.

Los estados del nodo son:

l Desbloqueado: Muestra un ícono de candado verde abierto y el botón deacción Lock.

l Bloqueado: Muestra un icono de candado cerrado rojo y el botón de acciónUnlock.

l Offline: Muestra el ícono de un círculo con una barra diagonal, pero no haybotón de acción debido a que el nodo es inaccesible y no se puededeterminar el estado de bloqueo.



3. Realice cualquiera de los siguientes pasos.

a. Haga clic en Lock en la columna Actions junto al nodo que desea bloquear.

Cualquier usuario que haya iniciado sesión de manera remota mediante elprotocolo SSH o la CLI tendrá aproximadamente cinco minutos para salirantes de que se cierre su sesión. Aparecerá un mensaje de apagadoinminente en la pantalla terminal del usuario.

b. Haga clic en Unlock en la columna Actions junto al nodo que deseadesbloquear.

El usuario del nodo predeterminado admin puede iniciar sesión remotamenteen el nodo después de unos minutos.

c. Haga clic en Lock the VDC si desea bloquear todos los nodos en líneadesbloqueados en el VDC.

No establece un estado en el que se bloquee automáticamente un nodonuevo u offline una vez que se haya detectado.

Bloquear y desbloquear nodos mediante la API REST de administración deECS

Puede utilizar las siguientes API para administrar los bloqueos de nodos.

Tabla 29 Llamadas de API REST de administración de ECS para administrar el bloqueo de nodo

Recurso Descripción

GET /vdc/nodes Obtiene los nodos de los datos que estánactualmente configurados en el clúster

GET /vdc/lockdown Obtiene el estado de bloqueado odesbloqueado de un VDC

PUT /vdc/lockdown Establece el estado de bloqueado odesbloqueado de un VDC

PUT /vdc/nodes/{nodeName}/lockdown Establece el estado de bloqueo o desbloqueode un nodo

GET /vdc/nodes/{nodeName}/lockdown Obtiene el estado de bloqueo o desbloqueo deun nodo

LicenciasLas licencias de ECS se basan en la capacidad. El archivo de licencia de ECS es unúnico archivo que contiene funciones de software base y complementarias. Unalicencia se aplica a un solo VDC. En los sistemas geofederados, cada VDC requiere unalicencia. En una configuración de VDC con varios racks, en el archivo de licencia seincluye la capacidad total para todos los racks en el VDC.

El archivo de licencia de ECS debe contener la siguiente información:

l Feature: ViPR no estructurado (función base). Es posible que se incluya el cifradodel lado del servidor de ECS (función complementaria de software gratuito)

l Type: Permanente o temporal


Bloquear y desbloquear nodos mediante la API REST de administración de ECS 193

l Status: Licensed o Expired

l Entitlement: Permite describir el almacenamiento máximo con licencia para lafunción no estructurada de ViPR en TB.

l VDC Serial Number: El ID de software de VDC

l PSNT: La cantidad de PSNT (racks) en el VDC. Cada rack en un VDC cuenta conuna etiqueta de número de serie de producto (PSNT). En un VDC con varios racks,se asignan varios PSNT al número de serie de VDC. Haga clic en la flecha > junto alnombre de la función en la tabla de licencias para expandir y mostrar los valores dePSNT.

l Activated Site: El número de sitio de la licencia para el sitio físico en el cual seinstalará ECS

l Expiration: Si la licencia es temporal, se mostrará la fecha de vencimiento de lalicencia. Si la licencia es permanente, se mostrará la fecha en la cual se emitió lalicencia.

Una vez que se activa la licencia, la información del archivo de licencia se muestra enla página Settings > Licensing ubicada en el portal de ECS.

Existe un solo archivo de licencia de ECS para los siguientes casos:

l Nueva instalación de ECS 3.3

l Adición de racks a un VDC existente

l Adición de nodos a un rack existente

l Adición de discos a nodos existentes

En cada uno de estos escenarios, puede obtener la licencia como se describe en Obtener el archivo de licencia de Dell EMC ECS en la página 194.

Si actualiza de ECS 3.2.0.x a 3.3, debe ponerse en contacto con su representantede servicio al cliente de ECS para realizar la configuración interna de la licencia. EnECS 3.3, se modificó el esquema de licencia con el fin de que todos los racks en unsolo VDC cuenten con el mismo número de serie de VDC. Antes de la versión 3.3, losracks en un solo VDC tenían diferentes números de serie de VDC. Este cambio permitealterar el modo en que se informan los derechos de capacidad licenciada y que, portanto, requieren soporte de Dell EMC.

Obtener el archivo de licencia de Dell EMC ECSPuede obtener un archivo de licencia (.lic) en el sitio web de administración delicencias de Dell EMC ECS.

Antes de comenzar

Para obtener el archivo de licencia, debe tener el código de autorización de licencia(LAC), que se envía por correo electrónico desde Dell EMC. Si aún no recibe el LAC,comuníquese con su representante de servicio al cliente.

Procedimiento

1. Puede acceder a la página de licencias en https://support.emc.com/servicecenter/license/

2. En la lista de productos, seleccione ECS Appliance.

3. Haga clic en Activate My Software.

4. En la página Activate, escriba el código LAC y haga clic en Activate.

5. Seleccione las funciones que se activarán y luego haga clic en Start ActivationProcess.



6. Seleccione Add a Machine para especificar cualquier cadena significativa paraagrupar licencias.

Para el nombre de la máquina, escriba una cadena que lo ayude a realizar unseguimiento de las licencias. (no tiene que ser un nombre de máquina).

7. Ingrese las cantidades para cada función, o seleccione Activate All y, acontinuación, haga clic en Next.

8. Puede especificar un receptor para recibir un resumen por correo electrónico delas transacciones de la activación.

9. Haga clic en Finish.

10. Haga clic en Save to File para guardar el archivo de licencia (.lic) en unacarpeta de su computadora.

Cargar el archivo de licencia de ECSPuede cargar el archivo de licencia de ECS desde el portal de ECS.

Antes de comenzar


l Asegúrese de disponer de un archivo de licencia válido. Puede seguir lasinstrucciones proporcionadas en Obtener el archivo de licencia de Dell EMCECS en la página 194 para obtener una licencia.

Cuando instale más de un VDC en un sistema geofederado, asegúrese de que elesquema de licencias en todos los VDC sea el mismo. Por ejemplo, si el VDCexistente tiene una licencia habilitada para cifrado del lado del servidor, entoncescualquier VDC nuevo agregado debería tener la misma licencia.

Procedimiento

1. Desde el portal de ECS, seleccione Settings > Licensing.

2. En la página Licensing, en el campo Upload a New License File, haga clic enBrowse para ir a su copia local del archivo de licencia.

3. Haga clic en Upload para agregar la licencia.

Las funciones de licencia e información asociada se muestran en la lista defunciones con licencia.

Acerca de este VDCPuede ver información acerca de los números de versión de software para el nodoactual u otros nodos en el VDC, en la página About this VDC.

En la pestaña About, puede encontrar información relacionada con el nodo al que estáconectado actualmente. Puede ver los nombres, las direcciones IP, los ID de rack y lasversiones de software de los nodos disponibles en el VDC, en la pestaña Nodes. Lapestaña Nodes también identifica los nodos que no están en la misma versión desoftware que el nodo al que está conectado.

Procedimiento

1. En el portal de ECS, seleccione Settings > About this VDC.

En la página About this VDC se muestra la pestaña About de formapredeterminada, y también se muestran la versión de software de ECS y laversión de servicio del objeto de ECS para el nodo actual.


Cargar el archivo de licencia de ECS 195

2. En la página About this VDC, para ver la versión de software de los nodos a losque se puede acceder en el clúster, haga clic en la pestaña Nodes.

La marca de verificación verde indica el nodo actual. Los nodos con una estrellason nodos que tienen una versión de software diferente.



CAPÍTULO 11

Interrupción y recuperación de ECS

l Introducción a la interrupción y recuperación de sitios de ECS......................... 198l Comportamiento de TSO.................................................................................. 198l Comportamiento de PSO................................................................................. 207l Recuperación en fallas de discos y nodos.........................................................208l Rebalanceo de datos después de agregar nuevos nodos.................................. 209

Interrupción y recuperación de ECS 197

Introducción a la interrupción y recuperación de sitios deECS

ECS se diseñó a fin de proporcionar protección cuando ocurre una interrupción en unsitio debido a un desastre u otro problema que haga que un sitio quede sin conexión ose desconecte de los otros sitios en una implementación federada geográficamente.

Las interrupciones de sitios pueden clasificarse como una interrupción temporal delsitio (TSO) o una interrupción permanente del sitio (PSO). Una TSO es una falla de laconexión WAN entre dos sitios, o una falla temporal de un sitio completo (por ejemplo,una falla de alimentación). Un sitio se puede poner en línea nuevamente después deuna TSO. ECS puede detectar y manejar automáticamente estos tipos de fallastemporales de sitios.

Una PSO se produce cuando un sitio completo queda en un estado irrecuperable deforma permanente, por ejemplo, cuando se produce un desastre. En este caso, eladministrador del sistema debe realizar una conmutación por error permanente delsitio de la federación para iniciar el procesamiento de conmutación por error, como sedescribe en #unique_40.

Nota

Para obtener más información sobre el comportamiento de TSO y PSO, consulte ladocumentación técnica Diseño de alta disponibilidad de ECS.

Comportamiento de TSOLos VDC en un ambiente replicado geográficamente tienen un mecanismo de latido. Lapérdida sostenida de latidos por una duración configurable (15 minutos de formapredeterminada) indica una interrupción de la red o el sitio y las transiciones delsistema para identificar la TSO.

ECS permite marcar el sitio inaccesible como TSO y el estado del sitio se muestracomo Temporarily unavailable en la página Replication Group Management,en el portal de ECS.

Hay dos conceptos importantes que determinan cómo se comporta el sistema ECSdurante una TSO.

l Sitio del propietario: Si se crea un depósito o un objeto dentro de un espacio denombres en el sitio A, el sitio A es el propietario del sitio de ese depósito u objeto.Cuando se produce una TSO, el comportamiento de las solicitudes de lectura/escritura es diferente dependiendo de si la solicitud se realiza desde el sitiopropietario del depósito u objeto, o desde un sitio no propietario que no espropietario de la copia primaria del objeto.

l Configuración de depósito Access During Outage (ADO): El acceso a los depósitosy a los objetos dentro de ellos durante una TSO difiere en función de si estáhabilitada la configuración ADO en los depósitos. La configuración ADO se puedeestablecer en el nivel de depósito; lo que significa que puede habilitaresta configuración para algunos depósitos y deshabilitarla para otros.

n Si la configuración ADO está deshabilitada en un depósito, se mantiene unacoherencia sólida durante una TSO, ya que se permite el acceso a los datos quepertenecen a sitios accesibles y se impide el acceso a datos que pertenecen aun sitio fallido.



n Si la configuración ADO está habilitada en un depósito, se permite el acceso delectura, y opcionalmente de escritura, a todos los datos replicadosgeográficamente, incluidos los datos que son propiedad del sitio que falló.Durante una TSO, los datos en el depósito habilitado para ADO se cambian demanera temporal al momento de la coherencia. Una vez que todos los sitiosvuelven a estar en línea, se revierten a una coherencia sólida.

Comportamiento de TSO con la configuración deshabilitada del depósito deADO

Si la configuración Access During Outage (ADO) se deshabilita en un depósito,durante una TSO solo podrá acceder a los datos en ese depósito si pertenece a un sitiodisponible. No podrá acceder a los datos en un depósito que sea propiedad de un sitiofallido. De forma predeterminada, la opción ADO está deshabilitada, ya que hay riesgode que los datos de los objetos recuperados durante una TSO no sean los másrecientes.

En el ejemplo del sistema ECS que se muestra en la siguiente figura, el sitio A se marcacomo TSO y no está disponible. El sitio A es el propietario del depósito 1, debido a quees donde se creó el depósito (y los objetos dentro de él). En el momento en que secreó el depósito 1, se deshabilitó la configuración ADO. Se producirá un error en lassolicitudes de lectura/escritura para los objetos en ese depósito realizadas poraplicaciones conectadas al sitio A. Cuando una aplicación intente obtener acceso a unobjeto en ese depósito desde un sitio no propietario (sitio B), también fallará lasolicitud de lectura/escritura. Tenga en cuenta que el escenario sería el mismo si lasolicitud se hubiera realizado antes de que el sistema marcara el sitio oficialmentecomo TSO (lo que ocurre después de que se pierde el latido durante un períodoprolongado de tiempo, el cual está establecido en 15 minutos de formapredeterminada). En otras palabras, si se realizara una solicitud de lectura/escrituradesde una aplicación conectada al sitio B dentro de un plazo de 15 minutos desde lainterrupción de la alimentación, la solicitud aún fallaría.


Comportamiento de TSO con la configuración deshabilitada del depósito de ADO 199

Figura 37 Se produce un error en la solicitud de lectura/escritura durante la TSO cuando seaccede a datos desde el sitio no propietario y el sitio propietario se marca como no disponible

Site A (owner site of object) Site B (non-owner site)

power outage occurs,Site A is unavailable

1

X

Application

X

heartbeat stops between sites

checks primary copy to see if Site B copy is latest copy - primary copy unavailable

Namespace

primary copy

Bucket 1 Bucket 1

2

5

4 16 minutes after power outage, an application connected to Site Bmakes a read or write request for an object owned by Site A

secondary copy

3 after 15 minutes, ECS marks Site A as TSO

TSO

6X read/writerequest fails

La siguiente figura muestra un sitio no propietario que se marca como TSO conla configuración ADO deshabilitada en el depósito. Cuando una aplicación intentaobtener acceso a la copia primaria en el sitio propietario, la solicitud de lectura/escritura realizada en el sitio propietario se realiza correctamente. Una solicitud delectura/escritura realizada desde una aplicación conectada al sitio no propietariofallará.

Figura 38 La solicitud de lectura/escritura se completa correctamente durante la TSO cuandose accede a datos desde el sitio propietario y el sitio no propietario se marca como no disponible

power outage occurs,Site B is unavailable

1

Site A (owner site of object) Site B (non-owner site)X

Application

Xheartbeat stops between sites

Namespace

primary copy

Bucket 1 Bucket 1

2

416 minutes after power outage, an appconnected toSite A makes a read or writerequest for an object owned by Site A

secondary copy

3 after 15 minutes, ECS marks Site B as TSO TSO

5 read/writerequestsucceeds



Comportamiento de TSO con la configuración habilitada del depósito de ADO

Cuando se habilita la configuración ADO en el depósito, durante una interrupción semarcan como disponibles el depósito y todos los objetos dentro de él. Puede habilitarla configuración ADO en un depósito, de modo que las copias principales de los objetosen ese depósito están disponibles, incluso cuando se produce una falla en el sitio al quepertenece el depósito. Si se deshabilita la configuración ADO en un depósito, no sepueden realizar solicitudes de lectura/escritura para objetos en el depósito que espropiedad de un sitio fallido desde los otros sitios.

Cuando habilita la configuración ADO, se produce lo siguiente durante una TSO:

l Es posible acceder a los datos de objetos para realizar operaciones de lectura yescritura durante la interrupción.

l Los sistemas de archivos en depósitos habilitados para sistemas de archivos(HDFS/NFS) que son propiedad del sitio no disponible son de solo lectura duranteuna interrupción.

Puede activar la configuración ADO cuando crea un depósito y cambiarla después decrearlo (siempre que todos los sitios estén en línea). Puede activar la configuración deADO cuando crea un depósito a partir de las siguientes interfaces:

l Portal de ECS (consulte Crear un depósito. en la página 95)

l API de REST de administración de ECS

l CLI de ECS

l Interfaces REST de API de objetos como S3, Swift y Atmos

Con la configuración ADO habilitada en un depósito y tras detectar una interrupcióntemporal, se aceptan y se reconocen las solicitudes de lectura/escritura deaplicaciones conectadas a un sitio no propietario, como se muestra en la siguienteilustración.

Figura 39 La solicitud de lectura/escritura se completa correctamente durante la TSO cuandose accede a datos con la opción ADO habilitada desde el sitio no propietario, y el sitio propietariose marca como no disponible

Site A (owner site of object) Site B (non-owner site)

power outage occurs,Site A is unavailable

1

X

Application

X

heartbeat stops between sites

checks primary copy to see if Site B copy is latest copy - primary copy

Namespace

primary copy

2

5

416 minutes after the power outage, an application connected to Site B makes a read or write request for an object owned by Site A

secondary copy

3 after 15 minutes, ECS marks Site A as TSOTSO

6 read/writerequestsucceeds

ADO-enabled Bucket 1 ADO-enabled Bucket 1

available

El sistema de ECS funciona según el modelo de coherencia eventual durante una TSOcon la opción ADO habilitada en los depósitos. Cuando se realiza un cambio en un


Comportamiento de TSO con la configuración habilitada del depósito de ADO 201

objeto en un sitio, finalmente será coherente en todas las copias de ese objeto enotros sitios. Hasta que transcurra el tiempo suficiente para replicar el cambio en otrossitios, el valor podría ser incoherente en múltiples copias de los datos en undeterminado punto en el tiempo.

Un factor importante para tener en cuenta es que habilitar la configuración ADO en losdepósitos tiene consecuencias de rendimiento; los depósitos con la opción ADOhabilitada tienen un rendimiento de lectura/escritura más lento que los depósitos conla opción ADO deshabilitada. La diferencia de rendimiento se debe a que, cuando sehabilita la configuración ADO en un depósito, primero debe resolver mediante ECS lapropiedad del objeto a fin de proporcionar una sólida coherencia cuando todos lossitios están disponibles después de una TSO. Cuando la opción ADO está deshabilitadaen un depósito, ECS no tiene que resolver la propiedad del objeto debido a que eldepósito no permite el cambio de propiedad del objeto durante una TSO.

El beneficio de la configuración ADO es que le permite acceder a los datos durante lasinterrupciones temporales del sitio. La desventaja es que los datos mostrados puedenestar obsoletos y el rendimiento de lectura/escritura en los depósitos de ADO serámás lento.

De forma predeterminada, la opción ADO está deshabilitada, ya que hay riesgo de quelos datos de los objetos recuperados durante una TSO no sean los más recientes.

El comportamiento de una TSO con la configuración ADO de depósitos habilitada sedescribe para la siguiente configuración del sistema de ECS:

l Implementación federada geopasiva de dos sitios con depósitos habilitados paraADO en la página 202

l Implementación federada activa de tres sitios con depósitos con configuraciónADO habilitada en la página 203

l Implementación federada pasiva de tres sitios con depósitos con configuraciónADO habilitada en la página 204

Opción de ADO de solo lecturaCuando crea un depósito y habilita la configuración ADO, también tiene la opciónadicional de seleccionar Read-Only. Solo puede establecer la opción Read-Onlymientras se crea el depósito; no puede cambiar esta opción después de que se hayacreado. Cuando selecciona la opción Read-Only en el depósito con configuración ADOhabilitada, solo se puede acceder al depósito en modo de solo lectura durante lainterrupción. No puede editar ni eliminar el depósito y su contenido, como tampocopuede crear objetos en el depósito durante la interrupción. El acceso a sistemas dearchivos no se ve afectado debido a que están automáticamente en modo de sololectura cuando se habilita la configuración ADO en los depósitos de sistemas dearchivos.

Nota

Los depósitos con configuración ADO habilitada (con o sin la opción Read-Onlyseleccionada) tendrán un rendimiento de lectura/escritura más lento que los depósitoscon la configuración ADO deshabilitada.

Implementación federada geopasiva de dos sitios con depósitos habilitados para ADO

Cuando una aplicación se conecta a un sitio no propietario y modifica un objeto dentrode un depósito habilitado para ADO durante una interrupción de la red, ECS transfierela propiedad del objeto al sitio donde se modificó el objeto.

La siguiente figura muestra cómo una escritura en un sitio no propietario hace que elsitio no propietario asuma la propiedad del objeto durante una TSO en una



implementación geofederada de dos sitios. Esta funcionalidad permite que lasaplicaciones conectadas a cada sitio sigan leyendo y escribiendo objetos de depósitosen un espacio de nombres compartido.

Cuando se modifica el mismo objeto en el sitio A y el sitio B durante una TSO, la copiaen el sitio no propietario es la copia autoritativa. Cuando se modifica un objeto quepertenece al sitio B en el sitio A y el sitio B durante una interrupción de la red, la copiaen el sitio A es la copia autoritativa que se conserva, y la otra copia se sobrescribe.

Cuando se restaura la conectividad de red entre dos sitios, el mecanismo de latidodetecta automáticamente la conectividad, restaura el servicio y concilia los objetos delos dos sitios. Esta operación de sincronización se realiza en segundo plano y se puedemonitorear en la página Monitor > Recovery Status en el portal de ECS.

Figura 40 Ejemplo de propiedad de objeto para una operación de escritura durante una TSO enuna federación de dos sitios

Site A Site B

Before TSO - normal state

Site A Site B

During TSO - Site A is temporarily unavailable

Application connected to Site B writes

to the secondary copy of Word doc

Site A Site B

After TSO - Site A rejoins federation and object versions are reconciled

Primary copy of updated Word doc now exists in Site B

after TSO is over. Site B is owner site of Word doc.

Primary copies of these 2 objects still reside in

Site A. SIte A is owner site of these objects.

Application Application connected to Site A makes write requests to create ADO-enabled Bucket 1

and objects within it. Site A is the owner site of Bucket 1 and the objects within it.

Application

Namespace

secondary copies replicated

to Site B

secondary copies

of objects

primary copies

of objects

Namespace

Namespace

ADO-enabled Bucket 1





X TSO

network

connection

network

connection down

network connection

Implementación federada activa de tres sitios con depósitos con configuración ADO habilitada

Cuando más de dos sitios forman parte de un grupo de replicación y, si se interrumpela conectividad de red entre un sitio y los otros dos, las operaciones de escritura/actualización/propiedad continúan como lo harían con dos sitios, pero el proceso pararesponder a solicitudes de lectura es más complejo.



Si una aplicación solicita un objeto que es propiedad de un sitio que no está accesible,ECS envía la solicitud al sitio con la copia secundaria del objeto. La copia secundariapuede haber estado sujeta a una operación de contracción de datos, que es unaoperación XOR entre dos conjuntos de datos diferentes que produce un nuevoconjunto de datos. El sitio con la copia secundaria debe recuperar los fragmentos delobjeto que se incluyen en la operación XOR original y debe haber realizado unaoperación XOR en esos fragmentos con la copia de recuperación. Esta operaciónmuestra el contenido del fragmento almacenado originalmente en el sitio propietario.Luego, los fragmentos del objeto recuperado se pueden reconstruir y mostrar. Cuandose reconstruyen los fragmentos, también se almacenan para que el sitio puedaresponder más rápidamente a las solicitudes subsiguientes. La reconstrucción llevamucho tiempo. Una mayor cantidad de sitios en un grupo de replicación implica unamayor cantidad de fragmentos que se deben recuperar de otros sitios y, por lo tanto,la reconstrucción del objeto tarda más tiempo. En la siguiente imagen, se muestra elproceso para responder a solicitudes de lectura en una federación de tres sitios.

Figura 41 Ejemplo de flujo de trabajo de solicitud de lectura durante una TSO en una federaciónde tres sitios

Site A - owner site Site B - non-owner site Site C - non-owner site

Application

1

2

MP4

XORcopy

MP4

load balancer

read request for MP4 object

load balancer routes request to one of the sites that is up, Site C

3

6

Site C routes request to Site B where secondary copy resides; it is an XOR copy, so it must bereconstructed

read requestsuccessfullycompleted

MP4

XORcopy

MP4

primary copy ofobject reconstructed

secondarycopy of object

use XOR chunks to reconstructsecondary copy of object

retrieve XOR chunks 4

5

Namespace

ADO-enabled Bucket 1 ADO-enabled Bucket 1ADO-enabled Bucket 1

X TSO

Network connection between Site A and Sites B and C is down

Implementación federada pasiva de tres sitios con depósitos con configuración ADO habilitada

Cuando se implementa ECS en una configuración pasiva de tres sitios, elcomportamiento de una TSO es el mismo que se describe en Implementación federadaactiva de tres sitios con depósitos con configuración ADO habilitada en la página 203,con una diferencia. Si falla una conexión de red entre un sitio activo y el sitio pasivo,ECS siempre marca el sitio pasivo como TSO (no el sitio activo).

Cuando falla la conexión de red entre los dos sitios activos, se produce el siguientecomportamiento normal de TSO:

1. ECS marca uno de los sitios activos como TSO (no disponible), por ejemplo, elsitio B del propietario.



2. Las solicitudes de lectura, escritura o actualización se generan desde el sitio queestá activo (sitio A).

3. Para una solicitud de lectura, el sitio A solicita el objeto desde el sitio pasivo (sitioC).

4. El sitio C decodifica (anula XOR) los fragmentos XOR y los envía al sitio A.

5. El sitio A reconstruye una copia del objeto para cumplir con la solicitud de lectura.

6. En el caso de una solicitud de escritura o actualización, el sitio A se convierte en elpropietario del objeto y mantiene la propiedad después de la interrupción.

En la siguiente ilustración, se muestra una configuración pasiva en un estado normal;los usuarios pueden leer y escribir en sitios activos A y B, y los datos y metadatos sereplican en una única dirección al sitio C pasivo. El sitio C aplica el algoritmo XOR enlos datos de los sitios activos.

Figura 42 Replicación pasiva en estado normal

Site A - Active Site

Site C - Passive Site



Namespace

metadata

replication

user data & metadata replication

Site B - Active Site

chunk 1 chunk 2

chunk 3(chunk 1 XOR chunk 2 = chunk 3)

ADADO-enabled Bucket 11111

chunk 1

ADO-enabled Bucket 1ADO-enabled Bucket 1

En la siguiente ilustración, se muestra el flujo de trabajo de una solicitud de escriturarealizada durante una TSO en una configuración pasiva de tres sitios.



Figura 43 TSO para replicación pasiva

Site C - Passive Site

Namespace

updated object - Site Anow owns this object

MP4

load balancer

Application

write request for MP4 object

load balancer routes request to the site that is up, Site A

Chunks are replicated to Site C

MP4

primary copy of object

XTSO

primary copy primary copy primary copy

MP4 Namespace

MP4

ri primary copy

Network connection down



4

Changes are saved onlocal chunks

Site A - Active Site Site B - Active Site

1

2

3

5

Consideraciones de TSO

Puede realizar muchas operaciones de objetos durante una TSO. No puede realizaroperaciones de creación, eliminación o actualización en las siguientes entidades encualquier sitio en la geofederación hasta que la falla temporal se resuelva,independientemente de la configuración del depósito de ADO:

l Espacios de nombres

l Depósitos

l Usuarios de objetos

l Proveedores de autenticación

l Grupos de replicación (puede eliminar un VDC de un grupo de replicación para unaconmutación por error del sitio)

l Mapeos de grupos y usuarios NFS

Las siguientes limitaciones se aplican a depósitos durante una TSO:

l Los sistemas de archivos en depósitos habilitados para sistemas de archivos(HDFS/NFS) que son propiedad del sitio no disponible son de solo lectura.

l Cuando copia un objeto de un depósito que pertenece al sitio no disponible, lacopia es una copia completa del objeto de origen. Esto significa que los datos del



mismo objeto se almacenan más de una vez. En circunstancias normales que nosean de TSO, la copia del objeto consta de los índices de datos del objeto, no es unduplicado completo de los datos del objeto.

Acceso al sistema de archivos NFS durante una TSO

NFS proporciona un espacio de nombres único en todos los nodos de ECS y puedecontinuar funcionando en caso de una TSO. Cuando monte una exportación de NFS,puede especificar cualquiera de los nodos de ECS como el servidor NFS, o bien, puedeespecificar la dirección de un balanceador de carga. Sin importar el nodo que designe,el sistema de ECS puede resolver la ruta del sistema de archivos.

En el caso de una TSO, si el balanceador de carga puede redirigir el tráfico a un sitiodiferente, la exportación de NFS continuará disponible. De lo contrario, deberá volvera montar la exportación desde otro sitio que no esté fallido.

Cuando se produce una falla en el sitio propietario y se requiere que ECS vuelva arealizar una configuración para designar un sitio no propietario, se pueden perderdatos debido a las escrituras asíncronas de NFS y a las operaciones de replicación dedatos de ECS no finalizadas.

Para obtener más información sobre cómo acceder a depósitos habilitados para NFS,consulte Introducción al acceso a archivos en la página 114.

Comportamiento de PSO

Si se produce un desastre, un sitio completo puede volverse irrecuperable. Se lodenomina en ECS como una interrupción permanente del sitio (PSO). ECS trata elsitio irrecuperable como una falla del sitio temporal, pero solo si todo el sitio estáinactivo o inaccesible por medio de la WAN. Si la falla es permanente, el administradordel sistema debe realizar una conmutación por error permanente del sitio de lafederación para iniciar el procesamiento de conmutación por error. Esto inicia laresincronización y la reprotección de los objetos que se almacenan en el sitio fallido.Las tareas de recuperación que se ejecutan como un proceso en segundo plano. Paraobtener más información sobre cómo realizar el procedimiento de conmutación porerror en el portal de ECS, consulte #unique_40.

Nota

l Antes de activar PSO (planificado o no planificado), asegúrese de que el sitio estédesactivado (todos los nodos están apagados). Asegúrese de quitar el sitio delgrupo de replicación y de la federación.

l Si desea volver a usar los mismos racks desde el sitio con PSO, desconecte losracks físicamente y vuelva a crear la imagen de los nodos antes de colocarlos enlínea.

Antes de iniciar una PSO en el portal de ECS, se recomienda comunicarse con surepresentante de servicio al cliente para que pueda validar el estado del clúster. No esposible acceder a los datos hasta que finalice el procesamiento de conmutación porerror. Puede monitorear el progreso del procesamiento de conmutación por error en lapestaña Monitor > Geo Replication > Failover Processing en el portal de ECS.Mientras se ejecutan las tareas de recuperación en segundo plano, pero después deque haya finalizado el procesamiento de conmutación por error, es posible que algunosdatos del sitio eliminado no se puedan leer hasta que se completen totalmente lastareas de recuperación.


Acceso al sistema de archivos NFS durante una TSO 207

Recuperación en fallas de discos y nodosECS monitorea continuamente los estados de los nodos, sus discos y objetosalmacenados en el clúster. ECS distribuye las responsabilidades de la protección dedatos en todo el clúster y vuelve a proteger de manera automática objetos en riesgocuando los nodos o discos fallan.

Estado del discoECS informa sobre el estado del disco como bueno, sospechoso o defectuoso.

l Bueno: Se pueden leer las particiones del disco y escribir en ellas.

l Sospechoso: El disco aún no alcanzó el umbral para considerarlo defectuoso.

l Defectuoso: Se alcanzó un umbral de rendimiento insatisfactorio del hardware.Cuando se alcanza el umbral, no es posible leer datos del disco ni escribir datos eneste.

ECS escribe solamente en discos en buen estado. ECS no escribe en discos en estadosospechoso o defectuoso. ECS lee discos en estado bueno y sospechoso. Cuando dosfragmentos de un objeto se encuentran en discos sospechosos, ECS escribe losfragmentos en otros nodos.

Estado del nodoECS informa sobre el estado del nodo como bueno, sospechoso o defectuoso.

l Bueno: El nodo está disponible y responde a las solicitudes de I/O a tiempo.

l Sospechoso: El nodo lleva más de 30 minutos sin estar disponible.

l Defectuoso: El nodo lleva más de una hora sin estar disponible.

ECS escribe en los nodos accesibles, independientemente de su estado. Cuando dosfragmentos de un objeto se encuentran en nodos sospechosos, ECS escribe dosnuevos fragmentos en otros nodos.

Recuperación de datosCuando se produce una falla en un nodo o una unidad en el site, el motor dealmacenamiento:

1. Identifica los fragmentos o fragmentos con codificación de eliminación afectadospor la falla.

2. Escribe copias de los fragmentos o fragmentos con codificación de eliminaciónafectados en nodos y discos en buen estado que no tengan copias en esemomento.

Acceso al sistema de archivos NFS durante la falla de un nodo

NFS proporciona un espacio de nombres único en todos los nodos de ECS y puedecontinuar funcionando en caso de que falle un nodo. Cuando monte una exportaciónde NFS, puede especificar cualquiera de los nodos de ECS como el servidor NFS, obien, puede especificar la dirección de un balanceador de carga. Sin importar el nodoque designe, el sistema de ECS resuelve la ruta del sistema de archivos.

En caso de falla de un nodo, ECS recuperará los datos mediante sus fragmentos dedatos. Si se configura la exportación de NFS para escrituras asíncronas, se corre elriesgo de perder datos de ECS relacionados con las transacciones que aún no se hanescrito en el disco. Sucede lo mismo con cualquier implementación de NFS.

Si montó el sistema de archivos con la designación de un nodo de ECS y este falla,deberá volver a montar la exportación mediante la especificación de un nodo diferente



como el servidor NFS. Si montó la exportación con la dirección del balanceador decarga, este último se encargará de la falla del nodo y dirigirá automáticamente lassolicitudes a un nodo diferente.

Rebalanceo de datos después de agregar nuevos nodosCuando se expande la cantidad de nodos en un site debido a la adición de nuevos rackso de nodos de almacenamiento, se asignan nuevos fragmentos de codificación deeliminación al almacenamiento nuevo y los fragmentos de datos existentes seredistribuyen (rebalancean) en los nuevos nodos. Deben existir cuatro nodos o máspara que la codificación de eliminación de los fragmentos se lleve a cabo. Laincorporación de nuevos nodos por sobre los cuatro nodos necesarios provoca elrebalanceo de la codificación de eliminación.

La redistribución de fragmentos con codificación de eliminación se ejecuta como unatarea en segundo plano, de modo que los datos de los fragmentos continúen siendoaccesibles durante el proceso de redistribución. Además, los nuevos datos de losfragmentos se distribuyen con prioridad baja para minimizar el consumo de ancho debanda de la red.

Los fragmentos se redistribuyen de acuerdo con el mismo esquema de codificación deeliminación con el que se codificaron originalmente. Por lo tanto, si un fragmento seescribió con el esquema de almacenamiento inactivo de codificación de eliminación,ECS utiliza el esquema de almacenamiento inactivo cuando crea los nuevosfragmentos para la redistribución.


Rebalanceo de datos después de agregar nuevos nodos 209



Documents

Guía de administración - Dell Technologies US · 2020. 7. 12. · Usuarios de dominio y locales..... 70 Alcance del usuario ... Agregar un mapeo de grupos o usuarios mediante el