Elastic Cloud Storage (ECS)...ACL de depósitos..... 111 Capítulo 7 Capítulo 8 Capítulo 9...

Elastic Cloud Storage (ECS)Versión 3.0

Guía del administrador302-003-220

05

Copyright © 2013-2017 EMC Corporation Todos los derechos reservados.

Publicado en Enero de 2017

Dell considera que la información de este documento es precisa en el momento de su publicación. La información está sujeta a cambios sin previo

aviso.

LA INFORMACIÓN DE ESTA PUBLICACIÓN SE PROPORCIONA “TAL CUAL”. DELL NO SE HACE RESPONSABLE NI OFRECE GARANTÍA DE

NINGÚN TIPO CON RESPECTO A LA INFORMACIÓN DE ESTA PUBLICACIÓN Y, ESPECÍFICAMENTE, RENUNCIA A TODA GARANTÍA

IMPLÍCITA DE COMERCIABILIDAD O CAPACIDAD PARA UN PROPÓSITO DETERMINADO. EL USO, LA COPIA Y LA DISTRIBUCIÓN DE

CUALQUIER SOFTWARE DE DELL DESCRITO EN ESTA PUBLICACIÓN REQUIEREN LA LICENCIA DE SOFTWARE CORRESPONDIENTE.

Dell, EMC y otras marcas comerciales pertenecen a Dell Inc. o sus filiales. Las demás marcas comerciales pueden ser propiedad de sus respectivos

dueños. Publicado en México.

Dirección local de EMCEMC Argentina (Cono Sur) Tel. +54-11-4021-3622 http://www.DellEMC.com/es-ar/index.htmEMC México Tel. +52-55-5080-3700 http://www.DellEMC.com/es-mx/index.htmEMC Venezuela (Norte de Latinoamérica) Tel. +58-212-206-6911 http://www.DellEMC.com/es-ve/index.htm

2 Elastic Cloud Storage (ECS) 3.0 Guía del administrador

9

11

Usar el Portal de ECS 13

Introducción 15Introducción al Portal de ECS..................................................................... 16Inicio de sesión en el portal de ECS............................................................. 16Cambiar la contraseña ................................................................................ 17Acceso a áreas del portal............................................................................ 18Ordenación y búsqueda de tablas en el portal............................................. 22Acerca de este VDC....................................................................................23

Usar la lista de verificación de la Introducción 27Usar la lista de verificación de la Introducción............................................ 28

Usar el tablero 31Utilice el tablero del portal..........................................................................32

Configuración y administración 37

Configurar uno o más sitios 39Configuración de pools de almacenamiento, VDC y grupos de replicación....40Pools de almacenamiento........................................................................... 40

Crear pools de almacenamiento......................................................41Centros de datos virtuales (VDC)...............................................................43

Creación de un VDC para un solo sitio........................................... 44Adición de un VDC a una federación.............................................. 45Failover de un sitio/Eliminación de un VDC....................................46

Grupos de replicación................................................................................. 46Creación de un grupo de replicación.............................................. 47

Configuración de ESRS.............................................................................. 48Verificación de la configuración de Call Home............................... 50

Configurar un espacio de nombres 53Configurar un espacio de nombres............................................................. 54Nociones básicas sobre los grupos de usuarios...........................................54Nociones básicas de la configuración de espacio de nombres.....................55Trabajo con espacios de nombres en el portal de ECS................................58Creación y configuración de espacios de nombres......................................59

Configuración de un proveedor de autenticación 63

Figuras

Tablas

Parte 1

Capítulo 1

Capítulo 2

Capítulo 3

Parte 2

Capítulo 4

Capítulo 5

Capítulo 6

CONTENIDO

Elastic Cloud Storage (ECS) 3.0 Guía del administrador 3

Configuración de un proveedor de autenticación........................................64Trabajo con los proveedores de autenticación en el portal de ECS............. 64Agregar un proveedor de autenticación de AD o LDAP...............................65

Configuraciones del proveedor de autenticación de AD/LDAP...... 65Agregar un proveedor de autenticación Keystone.......................................70

Configuraciones del proveedor de autenticación Keystone............ 70

Administrar usuarios 73Administrar usuarios y funciones................................................................ 74Nociones básicas sobre los usuarios y las funciones en ECS....................... 74

Usuarios en ECS............................................................................ 74Funciones de usuario..................................................................... 76Usuarios de dominio y locales.........................................................77Alcance del usuario: global o espacio de nombres.......................... 78

Trabajo con los usuarios en el portal de ECS...............................................78Agregar un nuevo usuario de objetos............................................. 80Agregar un usuario de dominio como un usuario de objetos........... 82Creación de un usuario de administración local o asignación de unusuario de dominio a una función de administración.......................82Asignar un nombre de grupo de Active Directory para la función deadministrador del sistema o de monitor del sistema....................... 83Crear un espacio de nombres de administrador............................. 84Asignar un nombre de grupo de Active Directory a la función deadministrador del espacio de nombres........................................... 85

Nociones básicas de la asignación de usuarios en un espacio de nombres....86

Asignar los usuarios de dominio en un espacio de nombres............ 87

Administrar grupos de usuarios 89Administrar grupos de usuarios...................................................................90Cuotas........................................................................................................90Períodos y políticas de retención.................................................................91Bloquear depósitos y usuarios.................................................................... 93Medición.....................................................................................................93Depósitos de auditoría................................................................................ 95

Eliminar un sitio 97Failover de un sitio/Eliminación de un VDC.................................................98

Administrar licencias 99Licencia.....................................................................................................100Obtener el archivo de licencia de EMC ECS.............................................. 100Cargar el archivo de licencia de EMC ECS................................................ 100

Crear y administrar depósitos 103Crear y administrar depósitos................................................................... 104Conceptos del depósito.............................................................................104Atributos de los depósitos......................................................................... 105

Grupo predeterminado................................................................. 108Claves del índice de metadatos.................................................... 108Etiquetado de depósitos............................................................... 110

ACL de depósitos....................................................................................... 111

Capítulo 7

Capítulo 8

Capítulo 9

Capítulo 10

Capítulo 11

CONTENIDO


Creación de un depósito mediante el portal de ECS................................... 113Editar un depósito......................................................................................115Permisos de ACL del depósito para un usuario...........................................115Establecer los permisos de ACL de depósito para un grupo predefinido.....116Configurar las ACL del depósito de un grupo personalizado....................... 117Creación de depósitos mediante las API de objetos................................... 119

Crear una categoría con la API de S3 (con s3curl)........................ 119Convenciones de denominación de depósitos y claves.............................. 122

Depósito S3 y denominación de objetos en ECS........................... 123Contenedor OpenStack Swift y denominación de objetos en ECS....124Depósito Atmos y denominación de objetos en ECS..................... 124Pool CAS y denominación de objetos en ECS............................... 124

Configurar el acceso a archivos de NFS 127Acceso a archivos de NFS......................................................................... 128

Acceso multiprotocolo a archivos y directorios............................ 128Falla del nodo y del sitio................................................................129

Soporte del Portal de ECS para la configuración de NFS.......................... 129Exportaciones.............................................................................. 130Asignaciones de usuario/grupo..................................................... 131

Tareas de configuración de ECS NFS........................................................132Creación de un depósito para NFS mediante el portal de ECS......132Adición de una exportación de NFS.............................................. 134Adición de una asignación de usuarios o de grupos....................... 137Configuración de la seguridad de NFS con Kerberos.................... 139Ejemplo de montaje de una exportación de NFS...........................145

Mejores prácticas cuando se utiliza NFS de ECS.......................................147Permisos para el acceso multiprotocolo (crosshead).................................147Resumen de la API del archivo.................................................................. 150

Configurar servidores de notificación de eventos 151Configuración de servidores de notificación de eventos (SNMP o syslog)....152Trabajar con los servidores de syslog y SNMP en el portal de ECS........... 153Agregar un destinatario de SNMP v2 trap.................................................155

Configuración del servidor de SNMP v2.......................................156Agregar un destinatario de SNMP v3 trap.................................................156

Configuración del servidor de SNMP v3....................................... 157Agregar un servidor de syslog .................................................................. 158

Ajustes del servidor de syslog.......................................................158

Establecer la dirección URL base 161Establecer la dirección URL base.............................................................. 162Direccionamiento de categorías................................................................ 162

Configuración del DNS................................................................. 163URL de base................................................................................. 163

Agregar una dirección URL base............................................................... 165

Configurar certificados 167Acerca de los certificados de ECS.............................................................168Crear un certificado.................................................................................. 168

Crear una clave privada................................................................ 169

Capítulo 12

Capítulo 13

Capítulo 14

Capítulo 15

CONTENIDO


Generar una configuración de SAN.............................................. 169Creación de una solicitud de firma.................................................171Crear un certificado con autofirma desde una solicitud de firma...173

Cargar un certificado.................................................................................173Autenticación con la API REST de administración de ECS............ 174Cargar un certificado de administración....................................... 174Cargar un certificado de datos para los terminales de acceso adatos............................................................................................ 176

Verificar certificados instalados.................................................................177Verificar el certificado de administración...................................... 177Verificar el certificado de objeto...................................................178

Bloquear el acceso remoto a los nodos 181Bloquear el acceso remoto a los nodos......................................................182Bloqueo y desbloqueo de nodos................................................................ 183

Monitoreo 185

Aspectos básicos del monitoreo 187Uso del monitoreo de páginas....................................................................188

Monitoreo de la medición 191Monitoreo de los datos de medición.......................................................... 192

Medición de datos........................................................................ 193

Monitoreo de eventos 195Acerca del monitoreo de eventos.............................................................. 196Monitorear datos de auditoría................................................................... 196Monitoreo alertas...................................................................................... 197

Monitorear la utilización de la capacidad 201Monitoreo de la capacidad........................................................................202

Capacidad de almacenamiento de datos...................................... 202

Monitorear las métricas de tráfico 207Monitoreo de tráfico de red......................................................................208

Monitorear el estado del hardware 211Monitoreo de hardware............................................................................. 212

Monitoreo del estado del nodo y del proceso 215Monitoreo del estado del nodo y del proceso............................................ 216

Monitorear el resumen de fragmentos 219Monitoreo de fragmentos......................................................................... 220

Monitoreo de codificación de eliminación 223Monitoreo de codificación de eliminación................................................. 224

Capítulo 16

Parte 3

Capítulo 17

Capítulo 18

Capítulo 19

Capítulo 20

Capítulo 21

Capítulo 22

Capítulo 23

Capítulo 24

Capítulo 25

CONTENIDO


Monitorear el estado de recuperación 227Monitoree el estado de recuperación........................................................228

Monitoreo del ancho de banda del disco 231Monitoreo del ancho de banda del disco................................................... 232

Monitoreo de la geo-replicación 235Introducción al monitoreo de la geo-replicación........................................236Monitoreo de la geo-replicación: Tasa y fragmentos................................ 236Monitoreo de la geo-replicación: Objetivo de punto de recuperación (RPO)..237Monitoreo de la geo-replicación: Procesamiento de failover.....................238Monitoreo de la geo-replicación: Procesamiento de Bootstrap.................239

Registros de servicio 241Registros de servicio................................................................................ 242ECS ubicaciones del registro de servicio...................................................242

Mensajes de auditoría y alerta 243Mensajes de auditoría..........................................................244Mensajes de alerta..............................................................250

Soporte de ECS para el protocolo SNMP 255Soporte de SNMP en ECS................................................... 256MIB del SNMP compatibles con las consultas en ECS............ 256Definición de MIB y jerarquía de ID de objetos del SNMP de ECS-MIB................................................................................... 256

Capítulo 26

Capítulo 27

Capítulo 28

Capítulo 29

Apéndice A

Apéndice B

CONTENIDO


CONTENIDO


Iniciar sesión en ECS................................................................................................... 17Cerrar sesión en ECS.................................................................................................. 17Columna de la tabla con control de clasificación disponible........................................ 22Una Lista de verificación completa............................................................................. 29Página de administración de pools de almacenamiento...............................................40Página de administración del VDC.............................................................................. 43Página de administración de grupos de replicación..................................................... 47Página de administración de espacios de nombres......................................................58Mapeo de usuarios para un grupo de usuarios con los atributos de AD....................... 86Uso de múltiples criterios de mapeo............................................................................87Página de notificación de eventos en el modo SNMP................................................154Página de notificación de eventos en el modo syslog................................................ 155Actualizar.................................................................................................................. 188Abrir el panel Filter con los criterios seleccionados....................................................188El panel Closed Fiter muestra un resumen del filtro aplicado..................................... 188Rutas de navegación................................................................................................. 189Gráfica de Historial con cursor activo....................................................................... 190Página de medición con los criterios seleccionados................................................... 193Gráficas de tráfico de red para un VDC.................................................................... 209Estado del hardware para los nodos.......................................................................... 213Estado del nodo y proceso........................................................................................ 218Resumen de fragmentos............................................................................................221Ancho de banda de disco.......................................................................................... 233Geo-replicación: Tasa y fragmentos .........................................................................237RPO..........................................................................................................................237Failover ....................................................................................................................239Procesamiento de bootstrap.....................................................................................240

123456789101112131415161718192021222324252627

FIGURAS


FIGURAS


Propiedades del pool de almacenamiento................................................................... 40Propiedades del VDC.................................................................................................. 43Propiedades del grupo de replicación..........................................................................47Configuraciones de proveedor de autenticación......................................................... 66Medición del depósito y el espacio de nombres.......................................................... 94Atributos de los depósitos......................................................................................... 106ACL de depósitos....................................................................................................... 111Medición del depósito y el espacio de nombres......................................................... 193Tipos de alerta...........................................................................................................198Utilización de la capacidad: Pool de almacenamiento................................................202Utilización de la capacidad: Nodo............................................................................. 204Utilización de la capacidad: Disco............................................................................. 205Métricas de tráfico de red........................................................................................ 208Métricas de estado de VDC, nodo y proceso............................................................. 216Tablas de fragmentos............................................................................................... 220Métricas del fragmento............................................................................................ 220Eliminación de las métricas de codificación...............................................................224Métricas de recuperación......................................................................................... 228Métricas de ancho de banda de disco....................................................................... 232Tasa y columnas de fragmentos................................................................................236Columnas RPO..........................................................................................................237Columnas de failover................................................................................................ 238Columnas de procesamiento de bootstrap................................................................ 239Mensajes de auditoría de ECS...................................................................................244Mensajes de alerta de objetos de ECS......................................................................250Mensajes de alerta de Fabric de ECS........................................................................ 251

1234567891011121314151617181920212223242526

TABLAS


TABLAS


PARTE 1

Usar el Portal de ECS

Capítulo 1, "Introducción"

Capítulo 2, "Usar la lista de verificación de la Introducción"

Capítulo 3, "Usar el tablero"

Usar el Portal de ECS 13

Usar el Portal de ECS


CAPÍTULO 1

Introducción

l Introducción al Portal de ECS............................................................................. 16l Inicio de sesión en el portal de ECS.................................................................... 16l Cambiar la contraseña.........................................................................................17l Acceso a áreas del portal.................................................................................... 18l Ordenación y búsqueda de tablas en el portal.....................................................22l Acerca de este VDC........................................................................................... 23

Introducción 15

Introducción al Portal de ECSEl Portal de ECS le permite configurar, administrar y monitorear ECS.

El portal también permite que los grupos de usuarios administren y monitoreen suespacio de nombres, y creen y configuren depósitos dentro de su espacio de nombres.

El portal proporciona acceso a los usuarios de administración de ECS. Es decir, a losusuarios asignados a las funciones de administrador del sistema, de monitor delsistema y de administrador del espacio de nombres. Los usuarios de almacenamientode objetos acceden a ECS mediante los protocolos de objetos compatibles conclientes que admiten esos protocolos. Puede leer más acerca de los usuarios yfunciones de ECS en Administrar usuarios y funciones en la página 74.

El portal utiliza la API de REST pública de administración de ECS. Puede desarrollar aclientes personalizados de ECS mediante esta API.

Inicio de sesión en el portal de ECSInicie sesión en el portal de ECS desde su navegador si especifica la dirección IP o elnombre de dominio calificado (FQDN) de cualquier nodo, o el balanceador de cargaque actúa como el front-end a ECS.

Antes de comenzar

l Si está asignado a las funciones de administrador del sistema, monitor del sistema,administrador de bloqueo (emcsecurity) o administrador del espacio de nombres,puede iniciar sesión en el portal.

l Para el acceso inicial, se proporciona una cuenta de usuario raíz, la cual se asigna ala función de administrador del sistema. Tenga en cuenta que esta cuenta raíz noestá relacionada con las cuentas de Linux del nivel de nodo.

Después del primer inicio de sesión con las credenciales de raíz (root/ChangeMe), sele pedirá cambiar la contraseña para la cuenta raíz de inmediato.

La sesión termina cuando cierra el navegador o termina la sesión. El cierre de sesiónsiempre cierra la sesión. Si no puede iniciar sesión, comuníquese con el administrador.

La sesión termina automáticamente después de dos horas de inactividad.

Procedimiento

1. Escriba la dirección IP pública del primer nodo en el sistema, o la dirección delbalanceador de carga que se configuró como el front-end, en el siguienteformulario: http:/<node1_public_ip>.

2. Después de cambiar la contraseña en el primer inicio de sesión, haga clic enSave.

Se cierra la sesión y aparece la pantalla de inicio de sesión estándar.

Introducción


Figura 1 Iniciar sesión en ECS

3. Escriba el User Name y la Password.

4. Para cerrar sesión en el portal, ubique el menú de usuario en la esquina superiorderecha de las páginas del portal, selecciónelo y elija Logout.

Figura 2 Cerrar sesión en ECS

Cambiar la contraseñaCuando haya iniciado sesión en el portal de ECS, puede cambiar su contraseña.

Los usuarios de administrador del sistema, administrador del espacio de nombres,administrador de bloqueo (emcsecurity) y monitor del sistema tienen acceso a lapágina Change Password.

Procedimiento

1. En el Portal de ECS, seleccione Settings > Change Password.

2. Ingrese una nueva contraseña en el campo Password e ingrésela otra vez en elcampo Confirm Password.

3. Haga clic en Save.

Introducción

Cambiar la contraseña 17

Acceso a áreas del portalEl portal ofrece un menú de navegación a la izquierda y un área de página a la derecha.

El administrador del sistema puede usar todas las páginas; un administrador de espaciode nombres puede usar un número limitado de páginas y realizar únicamente lasoperaciones específicas del grupo de usuarios. Un Monitor del sistema puede ver todaslas páginas del portal, pero no puede crear, editar ni eliminar la configuración delportal. Si un usuario accede a una página o intenta ejecutar una operación para la queno tiene los permisos, se muestra un mensaje del sistema.

Las siguientes secciones detallan los permisos proporcionados para los diferentesusuarios de administración.

l Monitor del sistema y del Administrador de sistema en la página 18

l Administrador de espacio de nombres en la página 21

Monitor del sistema y del Administrador de sistemaEn la siguiente tabla se muestran los elementos de menú a los que se puede acceder yproporciona un vínculo a los artículos de la documentación que ofrecen másinformación sobre su uso. Los monitores del sistema pueden ver todo lo que ve unadministrador del sistema, pero no pueden realizar cambios.

Área Menú Operaciones compatibles

Monitoreo Medición Vea la medición de objetos para el espacio denombres o depósito.Para obtener más información, consulte: Monitoreode los datos de medición en la página 192.

Activity Ver eventos de auditoría y alertas.Para obtener más información, consulte: Acerca delmonitoreo de eventos en la página 196.

Capacity Utilization Monitoree el pool de almacenamiento, el nodo y lacapacidad del disco.

Para obtener más información, consulte: Monitoreode la capacidad en la página 202.

Métricas de tráfico Monitoree el ancho de banda y la latencia de lasoperaciones de lectura y escritura.

Para obtener más información, consulte: Monitoreode tráfico de red en la página 208.

Estado del hardware Monitoree el nodo de almacenamiento y el estado deldisco para cada pool de almacenamiento.Para obtener más información, consulte: Monitoreode hardware en la página 212.

Estado del nodo y delproceso

Monitoree el estado de los nodos y procesos porutilización de memoria y CPU.Para obtener más información, consulte: Monitoreodel estado del nodo y del proceso en la página 216.

Resumen de fragmentos Monitoree los fragmentos y el estado de losfragmentos.

Introducción



Para obtener más información, consulte: Monitoreode fragmentos en la página 220.

Codificación deeliminación

Monitoree el estado de los códigos de eliminación.Para obtener más información, consulte: Monitoreode codificación de eliminación en la página 224.

Estado de recuperación Monitoree el estado de recuperación.Para obtener más información, consulte: Monitoreeel estado de recuperación en la página 228.

Ancho de banda de disco Monitoree el uso de ancho de banda del disco.Para obtener más información, consulte: Monitoreodel ancho de banda del disco en la página 232.

Replicación geográfica Monitoree la actividad de geo-replicación.Para obtener más información, consulte: Introducción al monitoreo de la geo-replicación en lapágina 236.

Administrar Pools de almacenamiento Habilita las siguientes operaciones:

l Agregar un pool de almacenamiento y especificarlos nodos que lo componen.

l Agregar un VDC y definir sus detalles deconexión.

l Configurar un grupo de replicación mediante laadición de pools de almacenamientopertenecientes a un VDC.

Para obtener más información, consulte: Configuración de pools de almacenamiento, VDC ygrupos de replicación.

Centro de datos virtual

Replication Group

Autenticación Agregar un proveedor de autenticación que puedaautenticar a los usuarios de dominio.Consulte Administrar usuarios y funciones en lapágina 74.

Namespace Habilita las siguientes operaciones:

l Cree un espacio de nombres nuevo.

l Configure la cuota para el espacio de nombres.

l Asigne los usuarios de objetos en un espacio denombres.

Para obtener más información, consulte: Configurar un espacio de nombres para un grupo de usuarios.

Usuarios Habilita las siguientes operaciones:

l Cree usuarios de objetos para el espacio denombres.

l Editar usuarios de objetos.

l Cree claves secretas.

Introducción

Acceso a áreas del portal 19


Para obtener más información, consulte: Administrar usuarios y funciones en la página 74.

Depósitos Habilita las siguientes operaciones:

l Cree un depósito.

l Asigne ACL al propietario del depósito y a losusuarios de objetos.

Para obtener más información, consulte: Conceptos del depósito en la página 104.

Archivo Permite que se pueda acceder a los depósitos comosistemas de archivos de NFS.

Para obtener más información, consulte: Acceso a archivos de NFS.

Configuración

URL base de objetos Establezca la URL base para determinar qué parte dela dirección de objetos es el depósito y el espacio denombres.

Para obtener más información, consulte: Almacenamiento de objetos de dirección ECS y uso del URL de base.

Cambiar la contraseña Cambie la contraseña propia.

Para obtener más información, consulte: Cambiar la contraseña en la página 17.

ESRS Configure el envío de alertas a EMC.

Para obtener más información, consulte: Configuración de ESRS en la página 48.

Event Notification Configurar o ver servidores de syslog y SNMP.

Para obtener más información, consulte: Configuración de servidores de notificación de eventos (SNMP o syslog) en la página 152.

Bloqueo de la plataforma Ver el estado de bloqueo de nodos.

Para obtener más información, consulte: Bloquear el acceso remoto a los nodos en la página 182.

Licencia Vea el estado de la licencia y cargue una licencia.

Para obtener más información, consulte: Cómo obtener un archivo de licencia y cargarlo en el Portal de ECS.

Acerca de este VDC Ver información acerca de los nodos del VDC: nombres de nodo, los ID del rack y las versiones de software.Para obtener más información, consulte Acerca de este VDC.

Introducción


Administrador de espacio de nombresEn la siguiente tabla se muestran los elementos del menú que el Administrador delespacio de nombres tiene permiso paara utilizar y proporciona un vínculo a los artículosde la documentación que ofrecen más información sobre su uso.


Monitoreo Medición Vea la medición de objetos para el espacio denombres o depósito.

Para obtener más información, consulte Monitoreode los datos de medición en la página 192.

Administrar Usuarios Habilita las siguientes operaciones:

l Cree usuarios de objetos para el espacio denombres.

l Editar usuarios de objetos

l Crear claves secretas para los usuarios deobjetos

Para obtener más información, consulte Administrar usuarios y funciones en la página 74.

Depósito Habilita las siguientes operaciones:

l Cree un depósito.

l Asigne ACL al propietario del depósito y a losusuarios de objetos.

Para obtener más información, consulte Conceptosdel depósito en la página 104

Configuración


Para obtener más información, consulte Cambiar la contraseña en la página 17.

Administrador de bloqueoEn la siguiente tabla se muestran los elementos del menú que puede utilizar eladministrador de bloqueo (emcsecurity) y se proporciona un vínculo a los artículos dela documentación que ofrecen más información sobre su uso.


Configuración


Para obtener más información, consulte Cambiar la contraseña en la página 17.

Bloqueo de la plataforma Cambiar el estado de bloqueo de nodos.

Para obtener más información, consulte: Bloquear el acceso remoto a los nodos en la página 182.

Introducción

Acceso a áreas del portal 21

Ordenación y búsqueda de tablas en el portalCuando un conjunto de datos que se presenta en el portal es grande, y sobre todocuando ocupa varias páginas, es útil para reordenar una tabla y buscar información enesta.

A continuación se muestra un ejemplo de una tabla del portal.

Reordenación de las columnas de la tablaPuede cambiar el orden de las filas de algunas tablas según el orden de una columnaseleccionada. Puede ordenar una columna de la tabla si hace clic en el encabezado dela tabla.

Las columnas que contienen datos de texto se ordenan alfabéticamente. Por ejemplo,si selecciona el campo de espacio de nombres en la tabla de usuarios, esa columna seordenará alfabéticamente y determinará el orden de las filas. Cuando vuelva a entraren la página, se aplicará el orden predeterminado. Del mismo modo, si actualiza lapágina, esta volverá al orden predeterminado.

Figura 3 Columna de la tabla con control de clasificación disponible

Introducción


Otros tablas proporcionan opciones de filtro para reducir su tamaño. Consulte Aspectos básicos del monitoreo.

Uso de la búsquedaLa herramienta de búsqueda permite que algunas filas de la tabla se filtren según lacoincidencia de cadenas de caracteres.

A medida que escribe el texto en el cuadro de búsqueda, se muestran las filas quecontienen cadenas que coinciden con la cadena de búsqueda. El orden en que semuestran las filas que coinciden con los criterios de búsqueda depende del ordenaplicado según el orden de las columnas de la tabla.

Actualizar una páginaSe proporciona un control de actualización en las páginas que contienen datos de latabla. Si usa la actualización, la tabla volverá a su orden predeterminado.

Acerca de este VDCSeleccione los números de versión del software para el nodo actual o para cualquiernodo en el VDC.

El cuadro de diálogo About this VDC le permite seleccionar los nombres de nodo, losID de rack y la versión del software de los nodos en el VDC. La página About lebrindará información relacionada con el nodo al que está conectado actualmente. Lapágina Nodes le brindará información para todos los nodos disponibles en el VDC. Lapágina Nodes también identifica los nodos que no están en la misma versión desoftware que el nodo al que está conectado.

Procedimiento

1. Seleccione Settings > About this VDC.

El cuadro de diálogo About this VDC aparece con la pestaña About abierta.

Introducción

Acerca de este VDC 23

Aquí encontrará información sobre la versión de software de ECS y la versión deservicio de objetos de ECS para el nodo actual.

2. Seleccione Nodes para ver la versión de software de todos los nodos accesiblesen el clúster.

Introducción


La marca de verificación azul indica el nodo actual. Los nodos con una estrellason nodos que tienen una versión de software diferente.

Introducción

Acerca de este VDC 25

Introducción


CAPÍTULO 2

Usar la lista de verificación de la Introducción

l Usar la lista de verificación de la Introducción....................................................28

Usar la lista de verificación de la Introducción 27

Usar la lista de verificación de la IntroducciónUse la lista de verificación de la Introducción para tener una guía a través de laconfiguración inicial de su sitio ECS.

La Lista de verificación de la Introducción es una aplicación que superpone el portaly le sirve de guía durante la configuración inicial. La lista de verificación aparececuando el portal detecta que la configuración inicial no está completa. La lista deverificación aparecerá automáticamente hasta que la descarte. Puede volver a mostrarla lista de verificación si selecciona el icono Guía en el menú global que se encuentraen la esquina superior derecha de todas las páginas del portal.

Nota

Algunas partes de la configuración inicial se pueden completar como parte del serviciode instalación.

1. El paso actual en la lista de verificación.

2. Un paso completado.

3. Un paso opcional. Este paso no mostrará una marca de verificación aunque ya estéconfigurado.

4. Información acerca del paso actual.

5. Las acciones disponibles aparecerán aquí.

6. Descartar la lista de verificación.

Una lista de verificación completa le dará la opción de navegar en la lista nuevamente ovolver a verificar su configuración.



Figura 4 Una Lista de verificación completa


Usar la lista de verificación de la Introducción 29

CAPÍTULO 3

Usar el tablero

l Utilice el tablero del portal..................................................................................32

Usar el tablero 31

Utilice el tablero del portalEl tablero del Portal de ECS proporciona información importante acerca de losprocesos de ECS en su VDC local.

El TableroEl Tablero es la primera página que verá después de iniciar sesión. Para volver alTablero, seleccione Dashboard en el menú de la izquierda.

Cada título del panel tiene un vínculo que lleva a la página de monitoreo del portal quemuestra más detalles del tema.

Menú Global UserEl menú Global User aparece en cada página del portal.

Los elementos de menú incluyen:

1. El menú de alerta muestra las cinco alertas más recientes para el VDC actual. Elnúmero indica cuántas alertas sin confirmar están pendientes en el VDC actual. Elnúmero muestra “99 +” si hay más de 99.

2. El ícono de ayuda global abre la documentación en línea para la página actual delportal.

Usar el tablero


3. El menú VDC muestra los nombres del VDC actual. Si sus credenciales de AD oLDAP le permiten acceder a más de un VDC, podrá cambiar su vista del portal aotros VDC desde aquí sin tener que volver a ingresar sus credenciales.

4. El ícono de guía abre la aplicación de la lista de verificación de la Introducción.

5. El menú de usuario muestra el usuario actual y le permite cerrar sesión.

Métricas de tráficoLas métricas de tráfico muestran el total de solicitudes y las desglosan en solicitudescorrectas y fallidas por error de usuario y solicitudes fallidas por error de sistema.Haga clic en el título para consultar métricas de tráfico más completas.

Capacidad en líneaEl panel de la capacidad en línea muestra la capacidad útil en línea (capacidad total enlínea) y la capacidad disponible en línea (total disponible para su uso inmediato). Elporcentaje que se muestra en el centro del gráfico muestra cuánto de la capacidad útilestá actualmente en uso. La capacidad toma en cuenta los datos recopilados, lasréplicas y los datos del sistema. Haga clic en el título para consultar métricas decapacidad más completas.

RendimientoEl panel Performance muestra cómo se ejecutan las operaciones de lectura y escriturade la red en el momento y el promedio de las últimas 24 horas. Haga clic en el títulopara consultar métricas de rendimiento más completas.

Usar el tablero

Utilice el tablero del portal 33

DatosEl panel Data desglosa el almacenamiento del VDC local en datos de usuario y datosdel sistema. Tenga en cuenta que los datos de usuario son la cantidad de datosrecopilados por ECS. La capacidad utilizada por sus datos se verá afectada por lascopias de sus datos y por las actividades del sistema actual que procesan esas copias.Haga clic en el título para consultar métricas de datos más completas.

Eficiencia de almacenamientoEl panel Storage Efficiency muestra con cuánta eficiencia trabaja actualmente elproceso de codificación de eliminación (EC). El gráfico muestra el progreso delproceso de EC actual, y los otros valores muestran la cantidad de datos de ECpendientes para el proceso de EC, así como la velocidad actual del proceso de EC.Haga clic en el título para consultar métricas de eficiencia de almacenamiento máscompletas.

Usar el tablero


Geo MonitoringEl panel Geo Monitoring muestra cuántos datos del VDC local están en espera de lageoreplicación, así como la velocidad de la replicación. El objetivo de punto derecuperación (RPO) hace referencia al momento específico en el pasado al que puederealizar la restauración. El valor aquí son los datos más antiguos en riesgo de serperdidos si un VDC local falla antes de que se complete la replicación. El FailoverProgress muestra el progreso de cualquier failover activo que esté en ejecución en lafederación a la que pertenece el VDC local. El Bootstrap Progress muestra el progresode cualquier proceso activo para agregar un nuevo VDC a la federación. Haga clic en eltítulo para consultar métricas geográficas más completas.

Nodes & DisksEl panel Nodes and Disks muestra el estado de los discos y de los nodos (bueno odefectuoso). Haga clic en el título para consultar métricas de hardware máscompletas.

Usar el tablero

Utilice el tablero del portal 35

AlertasEl panel Alerts muestra un conteo de alertas y errores importantes. Haga clic en eltítulo para consultar la lista completa de eventos actuales.

Usar el tablero


PARTE 2

Configuración y administración

Capítulo 4, "Configurar uno o más sitios"

Capítulo 5, "Configurar un espacio de nombres"

Capítulo 6, "Configuración de un proveedor de autenticación"

Capítulo 7, "Administrar usuarios"

Capítulo 8, "Administrar grupos de usuarios"

Capítulo 9, "Eliminar un sitio"

Capítulo 10, "Administrar licencias"

Capítulo 11, "Crear y administrar depósitos"

Capítulo 12, "Configurar el acceso a archivos de NFS"

Capítulo 13, "Configurar servidores de notificación de eventos"

Capítulo 14, "Establecer la dirección URL base"

Capítulo 15, "Configurar certificados"

Capítulo 16, "Bloquear el acceso remoto a los nodos"

Configuración y administración 37

Configuración y administración


CAPÍTULO 4

Configurar uno o más sitios

l Configuración de pools de almacenamiento, VDC y grupos de replicación..........40l Pools de almacenamiento...................................................................................40l Centros de datos virtuales (VDC)...................................................................... 43l Grupos de replicación.........................................................................................46l Configuración de ESRS......................................................................................48

Configurar uno o más sitios 39

Configuración de pools de almacenamiento, VDC y gruposde replicación

Aprenda a utilizar portal para crear, modificar y eliminar pools de almacenamiento,VDC y grupos de replicación para implementaciones individuales o federadas, y aconfigurar ESRS para el servicio de objetos.

Los usuarios deben asignarse a la función de administrador del sistema para ejecutarestos procedimientos.

Pools de almacenamientoLos pools de almacenamiento permiten organizar los recursos de almacenamiento conbase en los requisitos del negocio. Por ejemplo, si requiere la separación física de losdatos, puede dividir el almacenamiento en varios pools de almacenamiento diferentes.

Use la página Storage Pool Management disponible en Manage > Storage Poolspara ver los detalles de los pools de almacenamiento existentes, crear nuevos pools dealmacenamiento, modificar lo pools de almacenamiento existentes y eliminar pools dealmacenamiento.

Figura 5 Página de administración de pools de almacenamiento

Tabla 1 Propiedades del pool de almacenamiento

Campo Descripción

Nombre Nombre del pool de almacenamiento.

Número denodos

Número de nodos asignados al pool de almacenamiento.

Estado Estado actual del pool de almacenamiento y de los nodos. Los estados delpool de almacenamiento son:

l Ready: Al menos cuatro nodos están instalados y todos los nodos estánen el estado ready to use.

l Not Ready: Un nodo en el pool de almacenamiento no está en el estadoready to use.

l Partially Ready: Hay menos de cuatro nodos y todos los nodos están enel estado ready to use.



Tabla 1 Propiedades del pool de almacenamiento (continuación)

Campo Descripción

Nombre delhost

Nombre del host completamente calificado asignado al nodo.

Dirección IP delnodo

Dirección IP pública asignada al nodo.

ID del rack Nombre asignado al rack que contiene los nodos.

Acciones Las acciones:

l Edit: Se utiliza para cambiar el nombre del pool de almacenamiento yel conjunto de nodos incluidos en el pool de almacenamiento.

l Delete: Se usa para borrar pools de almacenamiento. Todos los nodosdel pool de almacenamiento deben retirarse antes de poder eliminar unpool de almacenamiento. No se puede eliminar el pool dealmacenamiento del sistema, que es el primer pool de almacenamientoque se creó. Si el pool de almacenamiento del sistema tiene nodosvacíos, los nodos vacíos pueden eliminarse si el número de nodos esmayor de cuatro.

Almacenamiento inactivo

Un pool de almacenamiento con el conjunto de propiedad dealmacenamiento de Cold utiliza un esquema de (EC) más eficiente paraobjetos de acceso poco frecuente de la codificación de eliminación.Almacenamiento de COLD es también conocido como un archivo Cold. Unavez que se haya creado un pool de almacenamiento, no se puede cambiaresta configuración.

Crear pools de almacenamientoUtilice este procedimiento para asignar nodos a pools de almacenamiento. Los poolsde almacenamiento deben contener un mínimo de cuatro nodos. El primer pool dealmacenamiento que se crea se conoce como pool de almacenamiento del sistema, yaque almacena los metadatos del sistema. El pool de almacenamiento del sistema no sepuede eliminar.

Procedimiento

1. En portal, seleccione Manage > Storage Pools.

2. Haga clic en New Storage Pool.


Crear pools de almacenamiento 41

3. Escriba el nombre del pool de almacenamiento. Por ejemplo: StoragePool1.

4. Decida si este pool de almacenamiento será almacenamiento inactivo (tambiénconocido como un archivo inactivo). El almacenamiento inactivo contiene datosa los que se accede con poca frecuencia. El esquema de protección de datos deECS para el almacenamiento inactivo está optimizado para aumentar laeficiencia del almacenamiento. Una vez creado un pool de almacenamiento, estaconfiguración no se puede cambiar.

Nota

El almacenamiento inactivo necesita una configuración de hardware mínima de seis nodos. Para obtener más detalles, consulte la sección Guía de planificación: Nociones básicas sobre la protección de datos.

5. Seleccione los nodos que va a agregar al pool de almacenamiento de la lista denodos disponibles.

a. Para seleccionar los nodos uno por uno, haga clic en el ícono + situado juntoa cada nodo.

b. Para seleccionar todos los nodos disponibles, haga clic en el ícono + en laparte superior de la lista Available Nodes.



https://community.emc.com/docs/DOC-53956


c. Para reducir la lista de nodos disponibles, escriba la dirección IP pública del nodo o el nombre de host en el campo de búsqueda Search.

6. Cuando haya completado la selección de nodos, haga clic en Save.

7. Espere 10 minutos después de que el pool de almacenamiento esté en el estadoReady antes de realizar otras tareas de configuración. Esto permite que el poolde almacenamiento tenga tiempo para inicializarse.

Si no espera lo suficiente, recibirá el siguiente mensaje de error: Error 7000 (http: 500): An error occurred in the API Service. An error occurred in the API service.Cause: error insertVdcInfo. Virtual Data Center creation failure may occur when Data Services has not completed initialization.Si recibe este error, espere unos minutos antes de intentar cualquier otraconfiguración.

Centros de datos virtuales (VDC)Los VDC son constructs lógicos. Son el recurso de nivel superior que representa lacolección de infraestructura de ECS para administrar como una unidad.

Use la página Virtual Data Center Management disponible en Manage > Virtual DataCenters para ver los detalles de VDC, crear un nuevo VDC, modificar los VDCexistentes, eliminar VDC y federar varios VDC para una implementación de múltiplessitios. El siguiente ejemplo muestra la página Manage Virtual Data Center de unaimplementación federada de múltiples sitios. Se configura con dos sitios denominadosvdc1 y vdc2.

Figura 6 Página de administración del VDC

Tabla 2 Propiedades del VDC

Campo Descripción

Nombre Nombre del VDC

Terminales dereplicación

Terminales para la comunicación de los datos de replicación entre sitios.Si se configuró una red de replicación independiente, se tratará de una listaque incluirá la dirección IP de replicación de cada nodo. Si no se configuróninguna red de replicación independiente, se tratará de una lista queincluirá la dirección IP pública de cada nodo.

Si no se han separado las redes de replicación ni de administración, losterminales de replicación y administración serán los mismos.


Centros de datos virtuales (VDC) 43

Tabla 2 Propiedades del VDC (continuación)

Campo Descripción

Terminales deadministración

Terminales para la comunicación de los comandos de administración entresitios.Si se configuró una red de administración independiente, se tratará de unalista que incluirá la dirección IP de administración de cada nodo. Si no seconfiguró una red de administración independiente, esta será una lista queincluirá la dirección IP pública de cada nodo.

Si no se han separado las redes ni la administración, los terminales dereplicación y administración serán los mismas.

Status Los estados son:

l En línea

l Falla permanente: El VDC se eliminó.

Acciones Las acciones:

l Edit: Se utiliza para modificar el nombre del VDC, la clave de accesoy las direcciones IP públicas de los nodos en los pools dealmacenamiento del VDC.

l Delete: Se usa para eliminar un VDC. La operación de eliminaciónactiva un failover permanente del VDC, por lo que no se puede agregarde nuevo con el mismo nombre. No se puede eliminar un VDC queforma parte de un grupo de replicación si no lo quita primero del grupode replicación. No puede eliminar un VDC cuando haya iniciado sesiónen el VDC que está tratando de eliminar.

Creación de un VDC para un solo sitioUtilice este procedimiento cuando esté creando un VDC para una sola implementaciónde sitio, o cuando cree el primer VDC en una federación de múltiples sitios.

Antes de comenzar

Uno o más pools de almacenamiento están disponibles y tienen el estado Ready.

Procedimiento

1. Desde el portal de ECS, seleccione Manage > Virtual Data Center.

2. Haga clic en New Virtual Data Center.

3. Escriba un nombre. Por ejemplo: VDC1.

Los nombres de VCD pueden tener entre 1 y 255 caracteres. Los caracteresválidos incluyen un rango de la a-z, A-z, 0 a 9, el guión (-) y el carácter desubrayado (_).

4. Haga clic en Get VDC Access Key.

La clave de acceso de VDC se utiliza como una clave simétrica para cifrar eltráfico de replicación entre los VDC en una federación de múltiples sitios.

5. En el cuadro de texto Replication Endpoints, ingrese la dirección IP dereplicación de cada nodo en los pools de almacenamiento del VDC. Escríbalasseparadas por comas.



Si se configuró la separación de red en la instalación, esta será una lista queincluirá la dirección IP de replicación de cada nodo. Si no se separó la red dereplicación, esta será una lista que incluirá la dirección IP pública de cada nodo.

6. En el cuadro de texto Management Endpoints, ingrese la dirección IP deadministración de cada nodo en los pools de almacenamiento del VDC.Escríbalas separadas por comas.

Si se configuró la separación de red en la instalación, esta debería ser una listaque incluya la dirección de administración de cada nodo. Si no se separó la redde administración, esta será una lista que incluirá la dirección IP pública de cadanodo.


Adición de un VDC a una federaciónUtilice este procedimiento cuando agregue un VDC a un VDC existente (por ejemplo,vdc1) para crear una federación.

Antes de comenzar

Obtenga las credenciales de ECS Portal para el usuario raíz o para un usuario concredenciales de administrador del sistema para iniciar sesión en ambos sitios.

Desde el sitio que esté agregando, asegúrese de contar con la lista de direcciones IPpúblicas de los nodos o, si separó las redes de administración o replicación, la lista delas direcciones de administración o replicación.

Asegúrese de que el sitio que agregará tenga una licencia válida cargada y al menos unpool de almacenamiento en el estado Ready.

Procedimiento

1. Inicie sesión en el ECS Portal en el sitio que esté agregando.

Las credenciales predeterminadas son root/ChangeMe.

2. Seleccione Manage > Virtual Data Center.

3. Haga clic en Get VDC Access Key.

4. Seleccione la clave de acceso y cópiela usando Ctrl + C para guardarla en elbúfer.

5. Cierre sesión en el ECS Portal en el sitio que esté agregando.

6. Inicie sesión en el ECS Portal del primer VDC (por ejemplo, vdc1).

7. Seleccione Manage > Virtual Data Center.

8. Haga clic en New Virtual Data Center.

9. Ingrese el nombre del VDC. Por ejemplo, vdc2.

10. Haga clic en el campo Key y pegue (Ctrl + V) la clave que copió del sitio queestá agregando (vdc2) en los pasos 3 y 4 anteriores.

11. Ingrese los terminales de replicación y administración para los nodos queincluyen el sitio. Ingrese las direcciones IP como listas separadas por comas.

Si no ha separado las redes de replicación o administración, estos camposcontendrán la misma lista de direcciones IP públicas para los nodos. Si separólas redes de administración o replicación, o ambas, debe enumerar lasdirecciones IP para la red apropiada.



Adición de un VDC a una federación 45

Failover de un sitio/Eliminación de un VDCUtilice este procedimiento para eliminar un VDC. La eliminación de un VDC inicia elfailover de un sitio cuando el VDC que está eliminando es parte de una federación demúltiples sitios.

Si se produce un desastre, el VDC completo puede ser irrecuperable. ECS tratainicialmente el VDC irrecuperable como una falla temporal del sitio. Si la falla espermanente, debe quitar el VDC de la federación para iniciar el procesamiento defailover que reconstruye y vuelve a proteger los objetos almacenados en el VDC con lafalla. Las tareas de recuperación se ejecutan como un proceso en segundo plano.Revise el proceso de recuperación mediante el uso de Monitor > Geo Replication >Failover Procesing.

Procedimiento

1. Inicie sesión en uno de los VDC operacionales en la federación.

2. Vaya a Manage > Replication Group.

3. Haga clic en Edit en el grupo de replicación que contenga el VDC que deseaeliminar.

4. Haga clic en Delete en la fila que contenga el VDC y el pool de almacenamientoque desee quitar.


6. Vaya a Manage > VDC. El estado del VDC que se elimina permanentemente cambia a Permanently failed.

7. Seleccione Delete en el menú desplegable en la fila del VDC que desee quitar.


Grupos de replicaciónLos grupos de replicación son constructs lógicos que definen dónde se protege elcontenido del pool de almacenamiento. Los grupos de replicación pueden ser locales oglobales. Los grupos de replicación locales protegen los objetos dentro del mismo VDCcontra fallas de disco o de nodo. Los grupos de replicación globales protegen losobjetos contra fallas de disco, de nodo y del sitio.

Nota

Los grupos de replicación no pueden modificarse una vez que se crean. Si desea queun grupo de replicación replique datos entre sitios, debe asegurarse de que se hayanfederado los sitios/VDC antes de intentar crear el grupo de replicación.

Utilice la página Manage Replication Groups para ver los detalles del grupo dereplicación, crear nuevos grupos de replicación y modificar los grupos de replicaciónexistentes. No puede borrar grupos de replicación en esta versión.



Figura 7 Página de administración de grupos de replicación

Tabla 3 Propiedades del grupo de replicación

Campo Descripción

Nombre Nombre del grupo de replicación.

VDC Número de VDC en el grupo de replicación y nombres de los VDC donde seencuentran los pools de almacenamiento.

Pool dealmacenamiento

Nombres de los pools de almacenamiento y sus VDC asociados.

Status Los estados son:

l En línea

l Temp no disponible: El tráfico de replicación a este VDC falló. Si todo eltráfico de replicación al mismo VDC está en el estado Temp no disponible,se recomienda investigar más sobre la causa de la falla.

Replicación atodos lossitios

Un grupo de replicación con esta función desactivada utiliza la replicaciónpredeterminada. Con la replicación predeterminada, los datos se almacenan enel sitio primario y una copia completa se almacena en un sitio secundarioelegido entre los sitios dentro del grupo de replicación. La copia secundariaestá protegida por espejeado triple y codificación de eliminación. Este procesoproporciona durabilidad de los datos con eficiencia de almacenamiento. Ungrupo de replicación que tiene esta función activada hace una copiacompletamente legible de todos los datos a todos los sitios (VDC) dentro delgrupo de replicación. Contar con copias completamente legibles de todos losobjetos en todos los VDC en el grupo de replicación proporciona durabilidad delos datos y mejora el rendimiento local en todos los sitios a costa de laeficiencia del almacenamiento.

Acciones Edit: Se utiliza para modificar el nombre del grupo de replicación y el conjunto de los VDC y los pools de almacenamiento en el grupo de replicación.

Creación de un grupo de replicaciónUtilice este procedimiento para crear un grupo de replicación. Los grupos dereplicación pueden estar en un VDC como locales o pueden proteger los datosmediante la replicación entre sitios.

Antes de comenzar

Si desea que el grupo de replicación abarque varios VDC, debe asegurarse de que sehayan instalado e inicializado los sitios con una identidad de VDC y un pool dealmacenamiento que pueda formar parte del grupo de replicación.


Creación de un grupo de replicación 47

Procedimiento

1. En el ECS Portal, seleccione Manage > Replication Group.

2. Haga clic en New Replication Group.

3. Escriba un nombre. Por ejemplo: ReplicationGroup1.

4. Decida si desea activar Replicate to All Sites para este grupo de replicación.Esta opción solo se puede activar en el momento de la creación y no se puededesactivar posteriormente.

5. Haga clic en Add VDC.

6. Seleccione un centro de datos virtual y un pool de almacenamiento en la listadesplegable.

Repita este paso para agregar los VDC y pools de almacenamiento necesariospara la protección de objetos.


Configuración de ESRSEste proceso describe los pasos para habilitar la configuración de EMC SecureRemote Support (ESRS) en ECS. ECS versión 2.2 y superior requiere ESRS VirtualEdition.

Nota

Esta tarea se debe ejecutar una vez por sitio (VDC) en la implementación, depreferencia en el rack 1, nodo 1 del sitio.

Procedimiento

1. Ejecutar procedimientos de instalación o actualización a través deconfiguraciones manuales posteriores de instalación o actualización.

2. Utilice un editor para crear la información del cliente en un archivo JSON.

a. Cree un archivo de texto para el registro del cliente con el formato JSON:

En este ejemplo, se crea un archivo llamado customer.json mediante eleditor vi.

vi /var/tmp/customer.json

b. Agregue los datos del cliente en el archivo JSON.

Por ejemplo:

{"customer_data":{"serial":"ABCDE00009","customer_name":"ABCQE_MelonA","customer_email":"[email protected]"}}

c. Cambie al directorio de la CLI

cd /opt/emc/caspian/fabric/cli



d. Valide el formato del archivo JSON mediante la herramienta Phytonmjson.tool.

provo-melon:/opt/emc/caspian/fabric/cli # cat /var/tmp/customer.json | python -mjson.tool

Ejemplo de salida:

{ "status": "OK", "etag": 90, "customer_data":{ "serial":"ABCDE00009", "customer_name":"ABCQE_MelonA", "customer_email":"[email protected]" }}

3. Ejecute el fcli para configurar la información del cliente y el número de serie enel clúster.

a. Configure los datos del cliente utilizando el contenido del archivo JSON.

provo-melon:/opt/emc/caspian/fabric/cli # cat /var/tmp/customer.json | bin/fcli lifecycle cluster.setcustomer --body

Ejemplo de salida:

{ "status": "OK", "etag": 90}

b. Compruebe que se hayan configurado los datos del cliente.

provo-melon:/opt/emc/caspian/fabric/cli # bin/fcli lifecyclecluster.customer

Ejemplo de salida:

{ "status": "OK", "etag": 90, "customer_data": { "serial": "ABCD00009", "customer_name": "ABCQE_MelonA", "customer_email": "[email protected]"}}

c. Habilite Call Home.

provo-melon:/opt/emc/caspian/fabric/cli # bin/fcli lifecyclealert.callhomeenabled

Ejemplo de salida:

{ "status": "OK",


Configuración de ESRS 49

"etag": 90, "callhome_enabled": true}

4. Puede agregar o actualizar un servidor de ESRS en el Portal de ECS. Si ya tieneun servidor de ESRS activado, debe eliminarlo y agregar el nuevo. Diríjase aSettings > ESRS y agregue la siguiente información: FQDN/IP, PORT,Username, Password.

Cuando configura ESRS con ECS, no se admiten contraseñas basadas en FOB.Utilice sus credenciales de cliente de support.emc.com.

Nota

Para la versión 2.2, debe eliminar y luego agregar cualquier servidor de ESRSexistente que edite con el Portal de ECS. No se puede editar el servidor en laversión 2.2.

Verificación de la configuración de Call HomeVerifique que configuró la función Call Home de ESRS correctamente.

Puede probar si Call Home funciona generando una alerta de prueba y, a continuación,comprobando si recibió la alerta.

Procedimiento

1. Para generar una alerta de prueba.

a. Realice la autenticación con la REST API de administración de ECS

Por ejemplo, con curl:

curl -L --location-trusted -k https://192.0.2.49:4443/login -u "root:ChangeMe" -v

El X-SDS-AUTH-TOKEN: que se obtiene puede utilizarse para realizar laautenticación con ECS a fin de ejecutar comandos de la REST API deadministración de ECS. Se ve de la siguiente manera:

X-SDS-AUTH-TOKEN: BAAcaGtkTzRZU2k0SE5acVYxdFNCYUlUby9mOVM4PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOjMwOTFjMDY1LTgzMDAtNGNlNi1iNDY3LTU5NDFiM2MyYTBmZAIADTE0NzM3NzkxMzA4OTMDAC51cm46VG9rZW46M2Y4NTMzMzctN2ZiZi00NWRiLTk0M2YtY2NkYTc2OWQ0ZTc4AgAC0A8=

b. Puede ahorrarse escribir más adelante mediante el almacenamiento deltoken de autenticación (X-SDS-AUTH-TOKEN) en una variable de ambiente.

export AUTH_TOKEN="X-SDS-AUTH-TOKEN: BAAcaGtkTzRZU2k0SE5acVYxdFNCYUlUby9mOVM4PQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOjMwOTFjMDY1LTgzMDAtNGNlNi1iNDY3LTU5NDFiM2MyYTBmZAIADTE0NzM3NzkxMzA4OTMDAC51cm46VG9rZW46M2Y4NTMzMzctN2ZiZi00NWRiLTk0M2YtY2NkYTc2OWQ0ZTc4AgAC0A8="

c. Generar una alerta de prueba.



Por ejemplo (mediante la variable de ambiente $AUTH_TOKEN):

curl -ks -H "$AUTH_TOKEN" -H "Content-Type: application/json" -d '{"user_str": "test alert > for ESRS", "contact": "[email protected]"}' https://10.241.207.57:4443/vdc/callhome/alert | xmllint -format -

El parámetro user_str le permite especificar un mensaje de prueba y elparámetro contact le permite suministrar una dirección de correoelectrónico.

2. En el portal de ECS, compruebe que se haya recibido la notificación de ESRS.

3. Compruebe que esté presente la alerta de prueba más reciente.

a. Protocolo SSH en el servidor de ESRS.

b. Vaya a la ubicación del archivo RSC.

cd /opt/connectemc/archive/

c. Busque el archivo RSC más reciente mediante el siguiente comando:

ls –lrt RSC_<SERIAL NUMBER>*”

d. Abra el archivo y compruebe si la alerta de prueba más reciente estápresente en la descripción.


Verificación de la configuración de Call Home 51

CAPÍTULO 5

Configurar un espacio de nombres

l Configurar un espacio de nombres..................................................................... 54l Nociones básicas sobre los grupos de usuarios.................................................. 54l Nociones básicas de la configuración de espacio de nombres............................ 55l Trabajo con espacios de nombres en el portal de ECS........................................58l Creación y configuración de espacios de nombres............................................. 59

Configurar un espacio de nombres 53

Configurar un espacio de nombresLos espacios de nombres proporcionan el mecanismo mediante el cual varios gruposde usuarios pueden acceder al área de almacenamiento de objetos de ECS, ygarantizar que los objetos y depósitos escritos por los usuarios de un grupo deusuarios estén separados de los usuarios de los otros grupos de usuarios.

Este artículo presenta algunos conceptos relacionados con los grupos de usuarios y laconfiguración del espacio de nombres:

l Nociones básicas sobre los grupos de usuarios en la página 54l Nociones básicas de la configuración de espacio de nombres en la página 55l Trabajo con espacios de nombres en el portal de ECS en la página 58

y describe las operaciones necesarias para configurar un espacio de nombres medianteel Portal de ECS:

l Creación y configuración de espacios de nombres en la página 59

Si bien las operaciones de configuración que se describen en este artículo utilizan elportal de ECS, los conceptos que se describen en Nociones básicas sobre los gruposde usuarios en la página 54 y Nociones básicas de la configuración de espacio denombres en la página 55 se aplican ya sea que esté utilizando el portal o la API deREST.

Nociones básicas sobre los grupos de usuariosECS es compatible con el acceso de múltiples grupos de usuarios, donde cada grupode usuarios está definido por un espacio de nombres, y el espacio de nombres tieneconfigurado un conjunto de usuarios que pueden almacenar y acceder a los objetosdentro del espacio de nombres.

Los espacios de nombres son los recursos globales de ECS y un administrador delsistema o un administrador de espacio de nombres con acceso a ECS en cualquierVDC federado puede configurar el espacio de nombres. Además, los usuarios deobjetos asignados a un espacio de nombres son globales y pueden acceder al área dealmacenamiento de objetos de cualquier VDC federado.

La característica clave de un espacio de nombres es que los usuarios de un espacio denombres no pueden acceder a los objetos que pertenezcan a otro espacio de nombres.Además, ECS permite a una empresa configurar espacios de nombres, y monitorear ymedir su uso, y permite que se otorguen derechos de administración al grupo deusuarios para que pueda realizar la configuración, el monitoreo y la medición de lasoperaciones.

También es posible utilizar depósitos como un medio para crear subgrupos de usuarios.El propietario del depósito es el administrador del subgrupo de usuarios y puedeasignar usuarios al subgrupo de usuarios mediante listas de control de acceso. Sinembargo, los subgrupos de acceso no proporcionan el mismo nivel de segregación quelos grupos de usuarios; cualquier usuario que pertenezca al grupo de usuarios podríatener asignados privilegios en un sub grupo de usuarios, por lo que se debe tenercuidado al asignar usuarios.

Se admiten los siguientes escenarios:

Grupo de usuario individual empresarial

Todos los usuarios acceden a depósitos y objetos en el mismo espacio denombres. Pueden crearse subgrupos de usuarios (depósitos) para permitir que unsubconjunto de usuarios del espacio de nombres acceda al mismo conjunto de



objetos. Un subgrupo de usuarios podría ser un departamento dentro de laempresa.

Grupo de usuarios empresarial

Los diferentes departamentos dentro de una organización se asignan a diferentesespacios de nombres, y los usuarios del departamento se asignan a cada espaciode nombres.

Proveedor de servicios de nube, un solo grupo de usuarios

Se configura un solo espacio de nombres, y el proveedor de servicios proporcionaacceso al área de almacenamiento de objetos para los usuarios dentro de laempresa o fuera de la empresa.

Proveedor de servicios de nube, multiusuario

El proveedor de servicios asigna espacios de nombres a diferentes empresas yasigna un administrador para el espacio de nombres. El administrador del espaciode nombres del grupo de usuarios puede entonces agregar usuarios, y monitoreary medir el uso de depósitos y objetos.

Las características que permiten la administración de grupos de usuarios se describenen Administración de un grupo de usuarios.

Cada grupo de usuarios tiene acceso a los grupos de replicación que el administradordel sistema pone a su disposición. En función de los patrones de acceso de un grupode usuarios, pueden requerir de grupos de replicación que incluyan sitios en geografíasespecíficas. Por ejemplo, si un grupo de usuarios cliente se encuentra en China, tal vezprefiera acceder a grupos de replicación que incluyan VDC ubicados en China.

Nociones básicas de la configuración de espacio de nombresUn espacio de nombres proporciona un mecanismo mediante el cual los objetos y losdepósitos pueden segregarse de manera que un objeto en un espacio de nombrespueda tener el mismo nombre que un objeto en otro espacio de nombres. ECS siempresabrá qué objeto es necesario para el calificador del espacio de nombres. El espacio denombres también se configura con atributos que definen qué usuarios pueden accederal espacio de nombres y qué características tiene el espacio de nombres. Puede pensaren un espacio de nombres de ECS como un grupo de usuarios.

Los usuarios con los privilegios adecuados pueden crear depósitos, y pueden crearobjetos dentro de los depósitos en el espacio de nombres.

La forma en que se utilizan los nombres del espacio de nombres y de los depósitos aldireccionar objetos en ECS se describe en Almacenamiento de objetos de direcciónECS y uso del URL de base.

Un espacio de nombres de ECS tiene los siguientes atributos:

Campo Descripción Sepuedeeditar

Nombre El nombre del espacio de nombres. Este nombre debe estar enminúsculas.

No

Administrador del espacio de nombres: Usuario

ID de usuario de uno o más usuarios que desea asignar a lafunción de administrador de espacio de nombres; la lista deusuarios debe tener las entradas separadas por comas.

Sí


Nociones básicas de la configuración de espacio de nombres 55


Los administradores de espacio de nombres pueden serusuarios locales o de dominio. Si desea que el administrador deespacio de nombres sea un usuario de dominio, deberáasegurarse de que se haya agregado un proveedor deautenticación a ECS. Consulte Administrar usuarios yfunciones en la página 74 para obtener detalles.

Administrador del espacio de nombres: Grupo del dominio

El grupo del dominio que desea asignar a la función deAdministrador del espacio de nombres. Cualquier miembro,una vez autenticado, se pondrá en la función de Administradordel espacio de nombres para el espacio de nombres. El grupodebe asignarse al espacio de nombres mediante laconfiguración de las Asignaciones del usuario del dominio parael espacio de nombres.Para usar esta función, deberá asegurarse de que se agregóun proveedor de autenticación a ECS. Consulte Administrarusuarios y funciones en la página 74 para obtener detalles.

Sí

Grupo dereplicación

El grupo de replicación predeterminado para el espacio denombres.

Sí

Cuota del espaciode nombres

Activa las cuotas para el espacio de nombres. Las cuotas seaplicarán al almacenamiento total utilizado por el espacio denombres. Se pueden definir límites máximos y de advertenciapara notificar que se alcanzó un límite definido y para bloquearel acceso al espacio de nombres cuando se alcanza elalmacenamiento máximo.

Sí

Cuota del depósito(predeterminadodel depósito)

Define una cuota predeterminada que se aplicará a losdepósitos creados en este espacio de nombres. La cuotapredeterminada es una cuota de bloques que, cuando sealcanza, evitará el acceso de escritura o actualización aldepósito.La cuota predeterminada del depósito se aplica al crear eldepósito, de modo que cambiar la cuota predeterminada deldepósito no cambiará la cuota de los depósitos que ya sehayan creado.

Sí

Cifrado del lado del servidor(predeterminado del depósito)

Define un valor predeterminado para el cifrado del lado delservidor que se aplicará a los depósitos creados en esteespacio de nombres.El cifrado del lado del servidor también se conoce comocifrado de datos en reposo o D@RE. Esta función cifra losdatos en línea antes de almacenarlos en los discos o en lasunidades de ECS. Este cifrado impide que los datosconfidenciales se puedan obtener desde medios descartados orobados. Si el espacio de nombres activa el cifrado, se cifrarántodos sus depósitos a menos que desactive el cifrado para eldepósito en el momento de la creación. Para obtener unadescripción completa de la función, consulte la Guía deconfiguración de seguridad de ECS.

No




Acceso duranteuna interrupción(predeterminadodel depósito)

Define un valor predeterminado para el acceso durante unainterrupción que se aplicará a los depósitos creados en esteespacio de nombres.

Sí

Cumplimiento de normas(predeterminado del depósito)

ECS cuenta con funciones de retención de objetos activadas odefinidas en el nivel del objeto, del depósito y del espacio denombres. El cumplimiento de normas fortalece estasfunciones mediante la limitación de los cambios que se puedenrealizar en la configuración de la retención de los objetosretenidos.

Las reglas del cumplimiento de normas incluyen:

l El cumplimiento de normas está activado en el nivel delespacio de nombres. Esto significa que todos losdepósitos en el espacio de nombres deben tener unperíodo de retención mayor que cero.

l El cumplimiento de normas únicamente se puede activaren un espacio de nombres al momento de crearlo. (Elcumplimiento de normas no se puede agregar a un espaciode nombres existente).

l Una vez activado, no se puede desactivar.

l Todos los depósitos en un espacio de nombres debentener un período de retención mayor que cero.

Nota

Si tiene una aplicación que asigna períodos de retenciónen el nivel del objeto, no utilice ECS para asignar unperíodo de retención mayor que el período de retención dela aplicación. Esto provocará errores en la aplicación.

l Un depósito no se puede eliminar mientras posea datos,sin importar su configuración de retención.

l Utilizar la opción Infinite en un depósito significa que losobjetos que residen en ese depósito en un espacio denombres activado para el cumplimiento de normas nuncase podrán eliminar.

l El período de retención para un objeto no se puedeeliminar ni acortar. Por lo tanto, el período de retenciónpara un depósito no se puede eliminar ni acortar.

l Se pueden aumentar los períodos de retención de losobjetos y de los depósitos.

l Ninguna función puede eliminar un objeto que seencuentra retenido. Esto incluye el permiso de eliminaciónprivilegiada de CAS.

No

Políticas deretención

Permite que se agreguen y se configuren una o más políticasde retención.

Sí


Nociones básicas de la configuración de espacio de nombres 57


Un espacio de nombres puede tener una serie de políticas deretención asociadas, donde cada política define un período deretención. Mediante la aplicación de una política de retencióna una serie de objetos, en lugar de aplicar un período deretención directamente, un cambio en la política de retenciónhará que el período de retención cambie para todo el conjuntode objetos a los que se ha aplicado la política. Se rechazaráuna solicitud de modificación de un objeto antes delvencimiento del período de retención.

También es posible especificar las políticas de retención yespecificar una cuota para el espacio de nombres. Puedeobtenerse más información sobre el uso de estascaracterísticas en Períodos y políticas de retención en lapágina 91.

Dominio Permite que se especifiquen dominios AD/LDAP y que seconfiguren reglas para la inclusión de usuarios de dominio.Los usuarios del dominio se pueden asignar a las funciones deadministración de ECS. Además, los usuarios que pertenezcanal dominio pueden utilizar la funcionalidad de autoservicio deECS para registrarse como usuarios de objetos.

La asignación de los usuarios del dominio en un espacio de nombres se describe en Nociones básicas de la asignación de usuarios en un espacio de nombres en la página 86.

Sí

El siguiente atributo se puede configurar mediante la API de REST de administraciónde ECS, no desde el Portal de ECS.

Grupos de replicación permitidos (y no permitidos)

Permite que un cliente especifique los grupos de replicación que el espacio denombres puede utilizar.

Trabajo con espacios de nombres en el portal de ECSLa página de espacio de nombres de portal, Manage > Namespace, permite que secreen espacios de nombres e incluye una tabla que muestra los espacios de nombresque existen y permite que se editen.

Figura 8 Página de administración de espacios de nombres



La tabla de espacios de nombres incluye los siguientes campos:

Campo Descripción

Nombre Nombre del espacio de nombres.

Grupo de replicación Grupo de replicación predeterminado para elespacio de nombres.

Cuota de notificación Límite de la cuota cuando se genera lanotificación.

Cuota máxima Límite de la cuota cuando se bloquean lasoperaciones de escritura en el espacio denombres.

Cifrado Especifica si el cifrado del lado del servidorD@RE está activado para el espacio denombres.

Acciones Acciones que se pueden ejecutar en el espaciode nombres. Están disponibles las acciones

Edit y Delete.

Creación y configuración de espacios de nombresPuede crear un nuevo espacio de nombres o cambiar la configuración de un espacio denombres existente en la página Manage > Namespace.

Antes de comenzar

l Para ejecutar esta operación, debe tener asignada la función de administrador delsistema en ECS.

l Debe existir un grupo de replicación. El grupo de replicación proporciona acceso alos pools de almacenamiento de datos en donde se almacenan datos de objetos.

l Si desea permitir que los usuarios del dominio accedan al espacio de nombres,debe agregar un proveedor de autenticación a ECS. Además, si va a configurar losusuarios de objetos del dominio o un grupo del dominio, debe planear cómo deseaasignar a estos usuarios en el espacio de nombres. Puede consultar Administrarusuarios y funciones en la página 74 para obtener más información sobre elmapeo de usuarios.

Debe asegurarse de estar familiarizado con la información general acerca de losespacios de nombres que se proporciona en Nociones básicas de la configuración deespacio de nombres en la página 55.

Procedimiento

1. En ECSportal, seleccione Manage > Namespace

2. Para crear un nuevo espacio de nombres, seleccione New Namespace. Paraeditar la configuración de un espacio de nombres existente, elija la acción Editasociada con el espacio de nombres existente.


Creación y configuración de espacios de nombres 59

3. Ingrese un nombre para el espacio de nombres.

El nombre debe contener solo caracteres en minúscula.

4. Para configurar el administrador del espacio de nombres, ingrese un dominio ousuario local en el campo User Admin o agregue un grupo de dominio en elcampo Domain Group Admin.

Se pueden agregar múltiples usuarios o grupos como listas separadas porcomas.

5. Especifique el valor apropiado para cada uno de los campos predeterminados deldepósito.

Los siguientes controles establecen el valor predeterminado cuando se crea undepósito mediante un cliente de objeto:

l Cuota predeterminada del depósito

l Acceso durante una interrupción



l Cumplimiento de normas

6. Decida si este espacio de nombres requiere cifrado del lado del servidor. Siselecciona Yes, todos los depósitos del espacio de nombres tendrán activado elcifrado del lado del servidor y todos los objetos en que formen parte de losdepósitos estarán cifrados. Si selecciona No, aún puede aplicar el cifrado dellado del servidor a depósitos individuales en el espacio de nombres en elmomento de la creación.

7. Si desea configurar una cuota para el espacio de nombres:

a. Ponga el control de Namespace Quota en Enabled.

b. Elija Notification Only o Block Access

Si decide bloquear el acceso cuando se alcanza un límite de almacenamientoespecificado, también puede especificar un porcentaje de ese límite para elmomento en que se debe enviar una notificación.

8. Agregue y configure políticas de retención.

a. En el área de políticas de retención, seleccione Add para agregar una nuevapolítica.

b. Ingrese un nombre para la política.

c. Especifique el período para la política de retención.

Puede ser un valor en minutos o puede seleccionar la casilla de verificaciónInfinite para asegurarse de que los depósitos a los que está asignada estapolítica de retención nunca se eliminen.

9. Especifique un dominio de AD/LDAP con usuarios que puedan iniciar sesión enECS y realizar tareas de administración para el espacio de nombres.

Ingrese el nombre del dominio y especifique los grupos y atributos paraproporcionar un control más preciso sobre los usuarios de dominio a los que sepermitirá acceder a ECS en el espacio de nombres actual.

Para ejecutar asignaciones más complejas con grupos y atributos, debeconsultar Administrar usuarios y funciones en la página 74.

10. Seleccione Save.


Creación y configuración de espacios de nombres 61

CAPÍTULO 6

Configuración de un proveedor de autenticación

l Configuración de un proveedor de autenticación............................................... 64l Trabajo con los proveedores de autenticación en el portal de ECS.....................64l Agregar un proveedor de autenticación de AD o LDAP...................................... 65l Agregar un proveedor de autenticación Keystone.............................................. 70

Configuración de un proveedor de autenticación 63

Configuración de un proveedor de autenticaciónSe pueden agregar proveedores de autenticación a ECS para permitir la autenticaciónde los usuarios mediante sistemas externos a ECS.

Proveedor de autenticación es el término de ECS que corresponde a un sistemaexterno que puede autenticar usuarios en nombre de ECS. ECS debe almacenar lainformación que le permitirá conectarse con el proveedor de autenticación, de modoque pueda solicitar la autenticación de un usuario.

Actualmente en ECS, hay dos tipos principales de proveedor de autenticación:

AD/LDAP

Se utiliza para autenticar usuarios de dominio que están asignados a funciones deadministración en ECS.

Keystone

Se utiliza para autenticar usuarios de objetos OpenStack Swift.

Los proveedores de autenticación pueden crearse desde el Portal de ECS (consulte Trabajo con los proveedores de autenticación en el portal de ECS en la página 64) omediante la CLI o REST API de administración de ECS. Puede seguir losprocedimientos a continuación para crear proveedores de autenticación AD/LDAP oKeystone.

l Agregar un proveedor de autenticación de AD o LDAP en la página 65

l Agregar un proveedor de autenticación Keystone en la página 70

Trabajo con los proveedores de autenticación en el portal deECS

El portal de ECS incluye la página Manage > Authentication, donde se puedenagregar los proveedores de autenticación.

Solo puede acceder a la página Proveedor de autenticación si es un administrador delsistema (o usuario raíz) de ECS.

La página Proveedor de autenticación proporciona una tabla de proveedores deautenticación que muestra los proveedores de autenticación que se han creado. Acontinuación se muestra un ejemplo.

La tabla proporciona acceso a la siguiente información y operaciones.



Atributo Descripción

Nombre El nombre que se ha dado al proveedor de autenticación.

Tipo Indica si el proveedor de autenticación es un servidor de ActiveDirectory (AD), Lightweight Directory Access Protocol (LDAP) oKeystone V3.

Dominios Dominios a los que el proveedor de autenticación proporciona acceso.

Activado Indica si el proveedor de autenticación está actualmente activado odesactivado.

Acciones Proporciona un menú de selección de las acciones que están

disponibles. Las acciones que están disponibles son: Edit y Delete.

La página Proveedor de autenticación proporciona además acceso a los siguientescontroles:

Control Descripción

Nuevo proveedor deautenticación

El botón New Authentication Provider permite que se agregue unproveedor de autenticación.

Agregar un proveedor de autenticación de AD o LDAPLa autenticación del usuario para los usuarios del dominio ECS se ejecuta a través deuno o más proveedores de autenticación agregados a ECS.

Antes de comenzar

l Si desea agregar un proveedor de autenticación, usted debe estar asignado a lafunción de administrador del sistema en ECS. El usuario raíz tiene la función deadministrador del sistema.

l Necesita acceso a la información del proveedor de autenticación que apareceenumerada en Configuración del proveedor de autenticación. Tenga en cuentaespecialmente los requerimientos para el usuario Administrador DN.

Procedimiento

1. En el portal ECS, seleccione Manage > Authentication > New AuthenticationProviders.

2. Escriba los valores para los atributos. Consulte Configuración de proveedor de autenticación.


4. Para verificar la configuración, agregue un usuario del proveedor deautenticación en Manage > Users > Management Users, y luego intente iniciarsesión como el nuevo usuario.

Configuraciones del proveedor de autenticación de AD/LDAPNecesita proporcionar cierta información cuando agrega o edita un proveedor deautenticación.


Agregar un proveedor de autenticación de AD o LDAP 65

Tabla 4 Configuraciones de proveedor de autenticación

Nombre del campo Descripción y requerimientos

Nombre El nombre del proveedor de autenticación. Puede tener variosproveedores para dominios diferentes.

Descripción Descripción de texto libre del proveedor de autenticación.

Tipo Active Directory o LDAP.

Dominios Active Directory y LDAP permiten que los administradoresorganicen los objetos de una red (por ejemplo, usuarios,computadoras y dispositivos) en una recopilación jerárquicade contenedores.

Los dominios son una recopilación de objetos definidosadministrativamente que comparten una base de datos encomún, políticas de seguridad y relaciones de confianza conotros dominios. De esta manera, cada dominio es un límiteadministrativo de objetos. Un solo dominio puede abarcarvarias ubicaciones o sitios físicos y puede contener millones deobjetos.

Una entrada típica en este campo del proveedor deautenticación se vería así:

mycompany.com

Si se encuentra configurado un sufijo UPN alternativo en eldirectorio activo, la lista de dominios también debe contener elUPN alternativo configurado para el dominio. Por ejemplo, sise agrega myco como un sufijo UPN alternativo para

mycompany.com, entonces la lista de dominios debe

contener tanto myco como mycompany.com.

URL de servidor ldap o ldaps (LDAP seguro) con la dirección IP del controladorde dominio. El puerto predeterminado para ldap es 389 y paraldaps, 636.

Uso: uno o más de

ldap://<Domain controller IP >:<port> (si no es el puertodeterminado)

o

ldaps://<Domain controller IP >:<port> (si no es el puertodeterminado)

Si el proveedor de autenticación soporta un bosque enmúltiples dominios, utilice la dirección IP del servidor delcatálogo global y especifique siempre el número de puerto. Elvalor predeterminado para ldap es 3268 y para ldaps, 3269.

Uso: ldap(s)://<Global catalog server IP>:<port>

Administrador DN Indica la cuenta de usuario de vinculación del directorio activoque utiliza para conectarse al servidor de Active Directory oLDAP. Esta cuenta se utiliza para buscar en Active Directory



Tabla 4 Configuraciones de proveedor de autenticación (continuación)


cuando un administrador de especifica un usuario para laasignación de funciones, por ejemplo.

Requirimientos:

Este usuario debe haber leído Read all inetOrgPerson information en Active Directory. La clase de objeto de InetOrgPerson se utiliza en varios Lightweight Directory Access Protocol (LDAP), ajenos a Microsoft, y en servicios de directorio X.500 para representar a las personas de una organización.Para configurar este privilegio en Active Directory, abra Usuarios y Computadoras de Active Directory, haga clic con

el botón secundario en el dominio, y seleccione Delegate Control.... Haga clic en Next, y luego seleccione el usuario

que está utilizando como managerdn y haga clic en Next. La autorización requerida está en la siguiente pantalla “Lea toda la información de inetOrgPerson”.

Por ejemplo:

CN=Manager,CN=Users,DC=mydomaincontroller,DC=com

En este ejemplo, el usuario de vinculación de Active Directoryes administrador, en el árbol de usuarios del dominiomydomaincontroller.com. Generalmente, el managerdn es unusuario que tiene menos privilegios que el administrador, perotiene privilegios suficientes como para consultar en ActiveDirectory sobre atributos e información de grupos.

ADVERTENCIA

Debe actualizar este valor en si las credenciales demanagerdn cambian en Active Directory.

Contraseña del administrador La contraseña del usuario managerdn.

ADVERTENCIA

Debe actualizar este valor en si las credenciales demanagerdn cambian en Active Directory.

Proveedores Seleccione Desactivado si desea agregar el servidor a sinutilizarlo inmediatamente para la autenticación. (Sin importarque esta propiedad sea verdadera, verifica que el nombre y eldominio del proveedor sean únicos).

Atributo de grupo Indica el atributo de Active Directory que se usa paraidentificar un grupo. Se utiliza para buscar el directorio porgrupos.

Por ejemplo: CN

Active Directory únicamente. No se aplica a otros proveedoresde autenticación.


Configuraciones del proveedor de autenticación de AD/LDAP 67



Nota

Una vez que se establezca el valor para un proveedor, no sepuede cambiar, debido a que los grupos de usuarios que estánusando este proveedor ya puede disponer de asignaciones defunciones y permisos configurados con nombres de grupo enun formato mediante el atributo actual.

Grupo en lista blanca Opcional. Uno o más nombres de grupo según lo definido porel proveedor de autenticación. Esta configuración filtrará lainformación de membresía del grupo que recupera sobre unusuario.

l Cuando se incluye un grupo o varios grupos en la listablanca, significa que detecta la membresía de un usuarioúnicamente en el grupo o grupos especificados. Sepermiten múltiples valores (uno por línea en el portal deECS, separados por comas en la CLI y la API) y comodines(por ejemplo, MyGroup*, TopAdminUsers*).

l El valor en blanco (predeterminado) significa que estará altanto de todos los grupos a los que pertenece un usuario.El asterisco (*) significa lo mismo que el valor en blanco.

Por ejemplo:

El UsuarioA pertenece al Grupo1 y al Grupo2.

Si la lista blanca está en blanco, ECS sabe que el UsuarioA esmiembro del Grupo1 y del grupo2.

Si la lista blanca dice “Grupo1”, ECS sabe que el UsuarioA esmiembro del Grupo1, pero no sabe que el UsuarioA es miembrodel Grupo2 (o de cualquier otro grupo).

Tenga cuidado cuando agrega un valor a la lista blanca. Porejemplo, si el mapeo de un usuario a un grupo de usuarios sebasa en la membresía a un grupo, debe estar al tanto de lamembresía del usuario al grupo.

Para limitar el acceso de los usuarios de ciertos grupos a unespacio de nombres, es necesario:

l Agregar estos grupos al mapeo , de modo que el grupo deusuarios se configure para aceptar solamente a losusuarios de estos grupos.

l Agregar estos grupos a la lista blanca, para que ECS tengaautorización para recibir información sobre ellos.

Tenga en cuenta que, de manera predeterminada, si no seagrega ningún grupo al mapeo del usuario del grupo deusuarios, se aceptarán los usuarios de cualquier grupo,independientemente de la configuración de la lista blanca.





Active Directory únicamente. No se aplica a otros proveedoresde autenticación.

Alcance de búsqueda Un nivel (búsqueda de usuarios de un nivel bajo la base debúsqueda) o subárbol (búsqueda en todo el subárbol mediantela base de búsqueda).

Base de búsqueda Indica el nombre distinguido de la base que utiliza para buscarusuarios en el momento del inicio de la sesión y cuando seasignan funciones o se establecen las ACL.

Por ejemplo: CN=Users,DC=mydomaincontroller,DC=com

En este ejemplo, se buscan todos los usuarios en elcontenedor de usuarios.

Por ejemplo:CN=Users,OU=myGroup,DC=mydomaincontroller,DC=com

En este ejemplo, se buscan todos los usuarios en elcontenedor de usuarios en la unidad organizacional demyGroup.

Tenga en cuenta que la estructura del valor de searchbasecomienza con el nivel de la "hoja" y sube hasta el nivel delcontrolador de dominio; a la inversa de la estructura vista en lainterfaz del usuario de Usuarios y Computadoras de ActiveDirectory.

Filtro de búsqueda Indica la cadena utilizada para seleccionar los subconjuntos deusuarios. Por ejemplo: userPrincipalName=%u

Nota

ECS no valida este valor cuando se agrega el proveedor deautenticación.

Si se encuentra configurado un sufijo UPN alternativo enActive Directory, el valor filtro de búsqueda debe tener elformato sAMAccountName=%U donde %U es el nombre deusuario y no contiene el nombre de dominio.

Consideraciones al agregar proveedores de autenticaciónCuando configura ECS para trabajar con Active Directory, debe decidir si planeaadministrar varios dominios en un único proveedor de autenticación o si planea agregarproveedores de autenticación independientes para cada dominio.

La decisión de añadir un solo proveedor de autenticación, o varios, depende de lacantidad de dominios que haya en el entorno y de la ubicación del árbol en el que elusuario administrador puede buscar. Los proveedores de autenticación tienen una solasearch_base desde donde se realizan las búsquedas. Tienen una sola cuenta deadministrador que debe tener acceso de lectura al nivel de search_base o inferior.


Configuraciones del proveedor de autenticación de AD/LDAP 69

Utilice un solo proveedor de autenticación para varios dominios si está administrandoun bosque de Active Directory y:

l la cuenta de administrador tiene privilegios para buscar lo suficientemente alto enel árbol para acceder a todas las entradas del usuario

l la búsqueda se realizará por todo el bosque desde una sola base de búsqueda, nosolo en los dominios que se enumeran en el proveedor.

Si no es así, configure un proveedor de autenticación para cada dominio.

Tenga en cuenta que incluso si se trata de un bosque nuevo y tiene los privilegiosadecuados, es posible que no desee administrar todos los dominios con un soloproveedor de autenticación. Aún usaría un proveedor de autenticación por dominiocuando necesite granularidad y un control estricto en cada dominio, especialmentepara establecer el punto de partida en la base de búsqueda para la búsqueda. Dado quehay una sola base de búsqueda por configuración, necesita incluir todo lo que hay alalcance de la configuración para que la búsqueda funcione.

La base de búsqueda debe estar lo suficiente alto en la estructura del directorio delbosque para que la búsqueda encuentre correctamente a todos los usuarios en losdominios específicos.

l Si el bosque en la configuración contiene diez dominios, pero se pueden especificarsolo tres, no utilice una única configuración de proveedores, ya que la búsqueda seexpandirá innecesariamente por todo el bosque y esto puede afectar elrendimiento. En este caso, utilice tres configuraciones individuales.

l Si el bosque en la configuración contiene diez dominios y desea especificar diezdominios, es una buena opción elegir una configuración global, dado que habrámenos sobrecarga a configurar.

Agregar un proveedor de autenticación KeystonePuede agregar un proveedor de autenticación Keystone que autenticará a los usuariosde OpenStack Swift.

Antes de comenzar

l Si desea agregar un proveedor de autenticación, usted debe estar asignado a lafunción de administrador del sistema en ECS. El usuario raíz tiene la función deadministrador del sistema.

l Necesita acceso a la información del proveedor de autenticación que apareceenumerada en Configuraciones del proveedor de autenticación Keystone en lapágina 70.

Procedimiento

1. En el portal ECS, seleccione Manage > Authentication > New AuthenticationProviders.

2. Escriba los valores para los atributos. Consulte Configuraciones del proveedor de autenticación Keystone en la página 70.


Configuraciones del proveedor de autenticación KeystoneNecesita proporcionar cierta información cuando agrega o edita un proveedor deautenticación Keystone.



Campo Descripción

Nombre El nombre del proveedor de autenticaciónKeystone. Este nombre se usa para identificaral proveedor en ECS.

Descripción Descripción de texto libre del proveedor deautenticación.

Tipo Keystone V3

Server URL Dirección URl del sistema Keystone al que seconectará ECS para obtener autenticación deusuarios Swift.

Administrador de Keystone Nombre de usuario para un administrador delsistema Keystone. ECS se conectará alsistema Keystone mediante este nombre deusuario.

Contraseña del administrador Contraseña del administrador Keystoneespecificado.


Configuraciones del proveedor de autenticación Keystone 71

CAPÍTULO 7

Administrar usuarios

l Administrar usuarios y funciones........................................................................ 74l Nociones básicas sobre los usuarios y las funciones en ECS...............................74l Trabajo con los usuarios en el portal de ECS...................................................... 78l Nociones básicas de la asignación de usuarios en un espacio de nombres.......... 86

Administrar usuarios 73

Administrar usuarios y funcionesEste artículo describe los tipos de usuarios compatibles con ECS y las funciones a lasque se pueden asignar.

Introduce los conceptos principales acerca de los usuarios y las funciones de ECS:

l Nociones básicas sobre los usuarios y las funciones en ECS en la página 74

l Trabajo con los usuarios en el portal de ECS en la página 78

y luego describe la forma de agregar usuarios de administración o usuarios de objetos:

l Agregar un nuevo usuario de objetos en la página 80

l Agregar un usuario de dominio como un usuario de objetos en la página 82

l Creación de un usuario de administración local o asignación de un usuario dedominio a una función de administración en la página 82

l Crear un espacio de nombres de administrador en la página 84

Además, le muestra cómo ejecutar la asignación de usuarios del dominio en un espaciode nombres:

l Asignar los usuarios de dominio en un espacio de nombres en la página 87

Nociones básicas sobre los usuarios y las funciones en ECSECS define los diferentes tipos de usuarios y funciones para determinar el acceso a lascapacidades de administración de ECS y al área de almacenamiento de objetos.

Los principales conceptos relacionados con los usuarios y las funciones se describenen los siguientes temas:

l Usuarios en ECS en la página 74

l Funciones de usuario en la página 76

l Usuarios de dominio y locales en la página 77

l Alcance del usuario: global o espacio de nombres en la página 78

Usuarios en ECSECS requiere dos tipos de usuarios: usuarios de administración, que pueden ejecutar laadministración de ECS, y usuarios de objetos, que acceden al área de almacenamientode objetos para leer y escribir objetos y depósitos utilizando los protocolos de accesode datos compatibles (S3, EMC Atmos, OpenStack Swift y CAS).

Los usuarios de administración pueden acceder al portal ECS. Los usuarios de objetosno pueden acceder al portal ECS, pero tienen acceso al área de almacenamiento deobjetos mediante clientes que son compatibles con los protocolos de acceso de datosde ECS.

Los usuarios de administración y los usuarios de objetos se almacenan en diferentestablas y sus credenciales son diferentes. Los usuarios de administración requieren unnombre de usuario y contraseña locales, o un vínculo a una cuenta de usuario deldominio. Los usuarios de objetos requieren un nombre de usuario y una seña secreta.Por lo tanto, puede crear un usuario de administración y un usuario de objetos con elmismo nombre, pero son en realidad diferentes usuarios, ya que sus credenciales sondiferentes.

Además, los nombres de usuario de administración y objetos pueden ser únicos entodo el sistema ECS o pueden ser únicos dentro de un espacio de nombres. Esto se



conoce como alcance de usuario y se describe en: Alcance del usuario: global o espaciode nombres en la página 78.

Los detalles de los tipos de usuarios compatibles se proporcionan en las siguientessecciones:

l Usuarios de administración en la página 75

l Usuarios de objetos en la página 75

l Usuario raíz en la página 75

Usuarios de administraciónLos usuarios de administración pueden realizar la configuración y administración delsistema ECS y los grupo de usuarios configurados en ECS.

Los usuarios de administración pueden ser usuarios locales cuyas credenciales estánalmacenadas en ECS y están autenticadas por ECS en función de las credencialesalmacenadas a nivel local, o pueden ser usuarios de dominio definidos en ActiveDirectory (AD) o en el protocolo Lightweight Directory Access Protocol (LDAP) yautenticados en función de los usuarios almacenados en esos sistemas. Puedeencontrar más información acerca de dominio y usuarios locales en Usuarios dedominio y locales en la página 77.

Los usuarios de administración no se replican a través de VDC geo-federados.

Usuarios de objetosLos usuarios de objetos son usuarios finales del área de almacenamiento de objetos deECS y acceden a ella a través de los clientes de objetos mediante los protocolos deobjetos compatibles de ECS (S3, EMC Atmos, Openstack Swift y CAS). Los usuariosde objetos también pueden recibir permisos estilo Unix para acceder a los depósitosexportados como sistemas de archivos para HDFS.

Los usuarios de objetos se definen mediante un nombre de usuario y una seña secretaque se pueden utilizar para acceder al área de almacenamiento de objetos. Losnombres de usuario pueden ser nombres locales o pueden ser nombres de usuario deestilo de dominio que incluyen una arroba (@) en su nombre.

Un usuario de administración puede crear una cuenta de usuario de objetos y puedeasignar una seña secreta a la cuenta de usuario de objetos en el momento de crear lacuenta o posteriormente. Cuando la crea un usuario de administración, la seña secretade los usuarios de objetos se distribuye por correo electrónico u otros medios.

Para los usuarios de dominio, el usuario de objetos puede obtener una seña secretautilizando la capacidad de auto-servicio de ECS mediante el uso de un cliente que secomunica con la API de REST de ECS (los usuarios de objetos no tienen acceso alportal ECS). Puede leer más acerca de los usuarios de dominio en: Usuarios dedominio y locales en la página 77 y puede consultar Guía de acceso a datos: Crear yadministrar claves secretas para obtener información sobre cómo crear una señasecreta.

Los usuarios de objetos son recursos globales, por lo que un usuario de objetos creadoen un VDC puede recibir privilegios de lectura y escritura de depósitos y objetos en elespacio de nombres en el que están asignados, desde cualquier VDC.

Usuario raízEl usuario raíz se encuentra disponible en la inicialización del sistema y estápreasignado a la función de administrador del sistema.


Usuarios en ECS 75



El usuario raíz solo debe usarse para el acceso inicial al sistema. Durante el accesoinicial, la contraseña del usuario raíz debe cambiarse en la página Settings >Password y deben crearse una o más cuentas de administrador nuevas.

Desde una perspectiva de auditoría, es importante saber qué usuario realiza cambiosen el sistema, por lo que no debe utilizarse la raíz, y cada usuario administrador delsistema debe tener su propia cuenta.

Funciones de usuarioECS define las funciones para determinar las operaciones que una cuenta de usuariopuede ejecutar en el Portal de ECS o al acceder a ECS mediante la API de REST deadministración de ECS. Se pueden asignar funciones de administración a los usuarios ygrupos de administración en ECS y pueden ser tanto usuarios locales como usuarios dedominio. También se pueden asignar funciones a los nombres de grupo de ActiveDirectory.

Se definen las siguientes funciones de administración:

l Administrador de sistemas en la página 76l Monitor del sistema en la página 76l Administrador de espacio de nombres en la página 76

Administrador de sistemasLa función de administrador del sistema puede configurar ECS y especificar elalmacenamiento utilizado para el área de almacenamiento de objetos, la forma en quese replica el área de almacenamiento, cómo está configurado el acceso de los gruposde usuarios al área de almacenamiento de objetos y qué usuarios tienen permisos en unespacio de nombres asignado.

El administrador del sistema también puede configurar espacios de nombres y ejecutarla administración del espacio de nombres, o puede asignar un usuario que pertenezcaal espacio de nombres como administrador del espacio de nombres.

El administrador del sistema tiene acceso al portal de ECS y las operaciones deadministración del sistema también se puede ejecutar desde los clientes programáticosmediante API de REST de administración de ECS.

Dado que los usuarios de administración no se replican en todo el sitio, debe crearse unadministrador del sistema en cada VDC que requiera uno.

Monitor del sistemaLa función Monitor del sistema puede ver todos los datos del Portal de ECS, pero nopuede realizar cambios.

La función Monitor del sistema puede ver todos los datos del Portal de ECS, pero nopuede provisionar el sistema de ECS. El monitor no puede crear, actualizar ni eliminarpools de almacenamiento, grupos de replicación, espacios de nombres, depósitos,usuarios, etc., a través del portal o de la API de administración de ECS. Los monitoresno pueden modificar ninguna otra configuración del portal, a excepción de sus propiascontraseñas.

Dado que los usuarios de administración no se replican en todos los sitios, se debecrear un monitor del sistema en cada VDC que requiera uno.

Administrador de espacio de nombresEl administrador de espacio de nombres es un usuario de administración que puedeacceder al portal de ECS, asignar usuarios locales como usuarios de objetos delespacio de nombres, y crear y administrar depósitos dentro del espacio de nombres.



Las operaciones del administrador de espacio de nombres también se pueden ejecutarusando API de REST de administración de ECS.

Un administrador de espacio de nombres solo puede ser administrador de un soloespacio de nombres.

Debido a que los proveedores de autenticación y los espacios de nombres se replican en los sitios (son recursos globales de ECS), un usuario de dominio que sea un administrador de espacio de nombres puede iniciar sesión en cualquier sitio y ejecutar la administración.

Las cuentas de administración locales no se replican en los sitios, por lo que un usuariolocal que sea un administrador de espacio de nombres solo puede iniciar sesión en elVDC en el que se creó la cuenta de usuario de administración. Si desea que el mismonombre de usuario exista en otro VDC, debe crearse el usuario en el otro VDC. Comoson cuentas diferentes, los cambios en una cuenta con el mismo nombre en un VDC,como cambios de contraseña, no se propagan a la cuenta con el mismo nombre en elotro VDC.

Usuarios de dominio y localesECS proporciona compatibilidad para usuarios locales y de dominio.

Los usuarios locales son cuentas de usuario cuyas credenciales son almacenadas porECS. Tanto los usuarios de administración como los usuarios de objetos se puedendefinir de forma local en ECS. En el caso de los usuarios de objetos, las credencialesson recursos globales y están disponibles en todos los VDC de ECS.

Los usuarios locales hacen que sea muy fácil empezar a utilizar ECS; sin embargo, eluso de AD/LDAP permite que una base de datos de usuario existente se aproveche ypermite que un gran número de usuarios tenga acceso al área de almacenamiento deobjetos sin tener que crear cuentas para ellos.

Los usuarios del dominio son usuarios definidos en una base de datos de AD/LDAP deActive Directory y ECSdebe comunicarse con el servidor de AD o LDAP paraautenticar la solicitud de inicio de sesión del usuario. ECS utiliza una estructurallamada un proveedor de autenticación para proporcionar las credenciales necesariaspara comunicarse con el servidor de AD/LDAP y para especificar los dominios y gruposque deben estar a disposición de ECS.

Los usuarios de dominio se definen en forma de [email protected], y ECS trata deautenticar los nombres de usuario en esa forma mediante los proveedores deautenticación configurados. Los nombres de usuario sin @ se autentican con la basede datos de usuarios local.

Los usuarios de dominio asignados a funciones de administración pueden autenticarsecon sus credenciales de AD/LDAP para que puedan acceder a ECS y ejecutaroperaciones de administración de ECS. Las operaciones de administración se puedenejecutar desde el portal de ECS o mediante el uso de la API de administración de ECS.

Los usuarios de dominio también pueden asignarse como usuarios de objetos. Paraguardar la sobrecarga administrativa de la creación manual de un gran número decuentas de usuario de objetos en ECS, se proporciona una capacidad de autoservicioque permite que ECS autentique a los usuarios de dominio y los agregueautomáticamente como usuarios de objetos, y les asigne una seña secreta.

Para hacer uso de esto, un usuario de dominio debe estar asignado a un espacio denombres, y ECS proporciona un mecanismo para asignar usuarios de dominio a unespacio de nombres con base en su dominio y membresía de grupo y en los atributosasociados a su cuenta.


Usuarios de dominio y locales 77

Alcance del usuario: global o espacio de nombresEl alcance de los usuarios de objetos depende del alcance del usuario que se haya establecido. La configuración afecta a todos los usuarios, en todos los espacios de nombres y todos los VDC federados.

El alcance del usuario puede ser GLOBAL o ESPACIO DE NOMBRES. En el alcanceglobal, los nombres de usuarios de objetos son únicos en todos los VDC en el sistemaECS. En el alcance de espacio de nombres, los nombres de usuario de objetos sonúnicos dentro de un espacio de nombres, por lo que los mismos nombres de cuenta deusuarios de objetos pueden existir en diferentes espacios de nombres.

La configuración predeterminada es GLOBAL. Si va a utilizar ECS en una configuraciónde varios grupos de usuarios y quiere asegurarse de que no se impida a los grupos deusuarios el uso de nombres que estén en uso en otro espacio de nombres, debecambiar esta configuración predeterminada a ESPACIO DE NOMBRES.

Nota

Debe realizarse la configuración de alcance de usuario antes de crear el primer usuariode objetos.

Configuración del alcance de usuarioEl alcance de usuario se puede configurar con la API PUT /config/object/properties ypasando el alcance de usuario en la carga útil. A continuación se muestra un ejemplode carga útil que establece el user_scope en ESPACIO DE NOMBRES.

PUT /config/object/properties/

<property_update><properties>

<properties><entry><key>user_scope</key><value>NAMESPACE</value></entry>

</properties></property_update>

Trabajo con los usuarios en el portal de ECSEl portal de ECS incluye la página Manage > Users para permitir la creación deusuarios locales y su asignación como usuarios de objetos para un espacio de nombres.También permite a los administradores del sistema crear usuarios de administraciónlocales y asignarlos a funciones de administración, y asignar usuarios de dominio afunciones de administración.

La página Manage > Users tiene dos subpáginas:

l Vista de usuarios de objetos en la página 79

l Vista de usuarios de administración en la página 79

Solo puede acceder a la página de Administración si es un administrador del sistema (ousuario raíz) de ECS.



Vista de usuarios de objetosLa vista de usuarios de objetos proporciona una tabla de usuarios de objetos queenumera los usuarios locales que se han creado, el espacio de nombres al que estánasignados los usuarios y las acciones que se pueden ejecutar en el usuario.

Si es un administrador del sistema, verá los usuarios de objetos para todos los espaciosde nombres. Si es un administrador de espacio de nombres, solo verá los usuarios quepertenecen a su espacio de nombres.

La vista de usuarios de objetos se muestra a continuación.

La tabla de usuarios de objetos proporciona acceso a la siguiente información yoperaciones.


Nombre El nombre del usuario.

Namespace El espacio de nombres al que está asignado el usuario.



El panel de usuarios de objetos proporciona además acceso a los siguientes controles:


Nuevo usuario deobjetos

El botón New Object User permite que se agregue un usuario deobjetos.

Vista de usuarios de administraciónLa vista de usuarios de administración proporciona una tabla de usuarios deadministración que enumera los usuarios de administración que se han creado, elespacio de nombres al que están asignados los usuarios y las acciones que se puedenejecutar en el usuario. Esta página solo es visible para los usuarios con la función deadministrador del sistema.

La vista de usuarios de administración se muestra a continuación.


Trabajo con los usuarios en el portal de ECS 79

La tabla de usuarios de administración proporciona acceso a la siguiente información yoperaciones.

Columna Descripción

Nombre El nombre del usuario.



Además, la vista de usuarios de administración proporciona los siguientes controles:


Nuevo usuario deadministración

El botón New Management User permite la adición de un usuariode administración que puede asignarse a la función de administradordel sistema de ECS.

Agregar un nuevo usuario de objetosPuede crear nuevos usuarios locales y configurarlos para que utilicen los protocolos deacceso de objetos compatibles. Una vez creada, puede editar una configuración deusuario agregando o eliminando el acceso a un protocolo de objeto, o creando unanueva seña secreta para el usuario.

Antes de comenzar

l Si usted es un administrador del sistema de ECS, puede asignar usuarios paracualquier espacio de nombres.

l Si es un administrador de espacio de nombres, puede asignar usuarios para losespacios de nombres de los que sea el administrador.

l Si desea que sus usuarios de dominio estén habilitados como usuarios de objeto,debe consultar Agregar un usuario de dominio como un usuario de objetos en lapágina 82.

l Cuando asigna una contraseña a un usuario Swift, se agregará el usuario al grupoSwift Admin.



Nota

No utilice el portal de ECS para ejecutar esta operación si desea que los usuariosse asignen a grupos de Swift diferentes.

Puede consultar Trabajo con los usuarios en el portal de ECS en la página 78 paraobtener información acerca de la página Manage > Users.

Procedimiento

1. En el portal de ECS, seleccione Manage > Users.

La página Usuarios de objetos aparece de manera predeterminada y muestra latabla Usuarios de objetos, que enumera los usuarios locales que se han creado yel espacio de nombres al que están asignados.

2. Seleccione New Object User.

Se muestra la página Nuevo usuario de objetos.

3. Ingrese un nombre para el usuario.

Es un nombre para un usuario local que se creará.

Puede utilizar nombres de estilo de dominio que incluyan "@". Por ejemplo,"[email protected]". Sin embargo, esta es solo una conveniencia quele permite mantener los nombres únicos y coherentes con los nombres de AD; laautenticación se realiza mediante una seña secreta asignada al nombre deusuario, y no a través de AD o LDAP.

Nota

Los nombres de usuario deben ser letras minúsculas, números y cualquiera delos siguientes caracteres: ! # $ & ' ( ) * + , - . / : ; = ? @ _ ~

4. Seleccione el espacio de nombres al que se asignará el usuario local.

Una vez seleccionado el espacio de nombres, puede Save el usuario y volvermás tarde para editarlo y asignar una seña secreta para acceder a un protocolode objeto. Alternativamente, puede seleccionar Add Passwords y especificarlas contraseñas o claves secretas para acceder a los protocolos de objeto deECS.

5. Para configurar claves secretas para el usuario, seleccione Add Passwords.

6. Para cada uno de los protocolos de objeto que desee utilizar para acceder alárea de almacenamiento de objetos de ECS, introduzca o genere una clave parasu uso al acceder a S3, Swift o CAS, y guarde la clave.

Seleccione Add Password para guardar la clave.

7. Especifique una contraseña para cada una de las interfaces de objeto a las quedesee que el usuario tenga acceso.

Puede generar la contraseña para S3 y CAS.

8. Las claves secretas y contraseñas se guardan automáticamente, y puede hacerclic en el botón Close para volver a la página Usuarios.


Agregar un nuevo usuario de objetos 81

Agregar un usuario de dominio como un usuario de objetosPuede configurar los usuarios de dominio para que puedan acceder a ECS y generarclaves secretas para ellos y, al hacerlo, agregarse a sí mismos como usuarios deobjetos.

Antes de comenzar

Procedimiento

1. Asegúrese de que se haya configurado un proveedor de autenticación que seconecte al sistema AD/LDAP apropiado.

La adición de un proveedor de autenticación debe realizarla un administrador delsistema, y se describe en Agregar un proveedor de autenticación de AD oLDAP en la página 65.

2. Asigne los usuarios de dominio en el espacio de nombres, como se describe enAsignar los usuarios de dominio en un espacio de nombres en la página 87.

El administrador de espacio de nombres puede realizar esta tarea.

3. Permita que los usuarios creen claves secretas mediante las instrucciones en Guía de acceso a datos: Crear y administrar claves secretas.

Creación de un usuario de administración local o asignación de un usuario dedominio a una función de administración

Puede agregar un usuario de administración local y asignar un usuario deadministración local o un usuario de dominio a una función de administración del portalde ECS. Los usuarios de administración deben ejecutar la administración a nivel delsistema (administración VDC) y la administración del espacio de nombres. Cuando yano se necesita que un usuario ejecute operaciones de administración, puede quitar laasignación de la función.

Antes de comenzar

l Debe ser un administrador del sistema para crear un usuario de administraciónlocal o asignar una función de administración.

l El usuario raíz de ECS tiene la función de administrador del sistema de formapredeterminada, y puede ejecutar la asignación inicial de un usuario a la función deadministrador del sistema.

l Si desea asignar un usuario de dominio a una función de administración, primerodebe asegurarse de que se haya agregado un proveedor de autenticación. Consulte Agregar un proveedor de autenticación de AD o LDAP en la página 65.

l Si desea asignar un administrador de espacio de nombres, debe crear un usuario deadministración utilizando la operación que se define aquí y ejecutar la asignación defunciones en la página de espacio de nombres del portal (consulte Configurar unespacio de nombres para un grupo de usuarios). El usuario solo podrá iniciar sesiónuna vez que haya sido asignado a la función de administrador de espacio denombres (o administrador del sistema).


Procedimiento


La página Usuarios de objetos se muestra de manera predeterminada y debecambiarse a la página de Administración de usuarios.




2. Seleccione Management Users.

Aparece la página Usuarios de administración, que muestra a los usuarios queestán asignados actualmente, y proporciona un botón de New ManagementUser.

3. Seleccione New Management User.

Se muestra la página de Nuevo usuario de administración, que le permite crearun usuario local y asignar el nuevo usuario a la función de administración, oasignar un usuario de dominio a la función de administración.

4. Seleccione un usuario local o usuario AD/LDAP.

Para un usuario local, tendrá que definir una contraseña; para un usuario dedominio, las credenciales de usuario y de contraseña que ECS utiliza paraautenticar un usuario se guardan en AD/LDAP, por lo que no es necesario definiruna contraseña.

5. Ingrese el nombre del usuario.

Si ha seleccionado AD/LDAP, debe existir el usuario y debe estar disponiblemediante la adición de un proveedor de autenticación a ECS.

Si selecciona usuario local, se creará un nuevo usuario de administración local.

Nota

Los nombres de usuario deben ser letras minúsculas, números y cualquiera delos siguientes caracteres: ! # $ & ' ( ) * + , - . / : ; = ? @ _ ~

6. Para asignar el usuario a la función de Monitoreo del sistema, seleccione Yes enel selector de Monitoreo del sistema.

7. Si desea asignar el usuario a la función de administrador del sistema, seleccioneYes en el selector de administrador del sistema.

Si va a crear un usuario de administración que se asignará a la función deadministrador de espacio de nombres para un espacio de nombres, debe dejaresto como No.

Si selecciona Yes, pero en una fecha posterior desea eliminar los privilegios deadministrador del sistema del usuario, puede editar la configuración de usuario ycambiar a No.

8. Seleccione Save.

Asignar un nombre de grupo de Active Directory para la función deadministrador del sistema o de monitor del sistema

Desde el Portal de ECS puede asignar un grupo de dominio de AD para la función deadministrador del sistema o de monitor del sistema. Cuando se le asigna una funciónde administración a un grupo de dominio de AD, todos los usuarios del grupo de ADtendrán esa función.

Antes de comenzar

l Debe ser un administrador del sistema para asignar una función de administración.

l Para asignarle una función de administración a un grupo de dominio de AD, primerodebe asegurarse de que se haya agregado un proveedor de autenticación. Consulte Agregar un proveedor de autenticación de AD o LDAP en la página 65.


Asignar un nombre de grupo de Active Directory para la función de administrador del sistema o de monitor del sistema 83


Nota

Los grupos de LDAP no son compatibles en ECS.

Procedimiento


La página Object Users se muestra de manera predeterminada. Cambie a lapágina Management Users.

2. Seleccione Management Users.

Aparece la página Management Users, que muestra a los usuarios que estánasignados actualmente, y proporciona un botón de New Management User.

3. Seleccione New Management User.

Se muestra la página New Management User.

4. Seleccione un usuario o grupo de AD/LDAP.

Para un usuario de dominio, las credenciales de usuario y de contraseña queECS utiliza para autenticar a un usuario se guardan en AD/LDAP, por lo que noes necesario definir una contraseña.

5. Cambie la lista desplegable User por Group.

6. Rellene el campo Group Username con su nombre de grupo del dominio de ADcompleto, incluido el dominio. Por ejemplo: [email protected].

7. Para asignar el grupo a la función de monitoreo del sistema, seleccione Yes en elselector System Monitor.

8. Para asignar el grupo a la función de administrador del sistema, seleccione Yesen el selector System Administrator.

9. Si selecciona Yes en cualquiera de estas funciones, puede quitar la función delgrupo más tarde si cambia la configuración a No.

10. Seleccione Save.

Crear un espacio de nombres de administradorPuede asignar un usuario local o de dominio como administrador de espacio denombres.

Antes de comenzar

l Sebe ser un administrador del sistema para crear un usuario de administración yasignar un usuario a la función de administrador de espacio de nombres.


Procedimiento

1. Si desea asignar un usuario de administración local a la función de administradorde espacio de nombres, debe crear un usuario de administración como sedescribe en Creación de un usuario de administración local o asignación de unusuario de dominio a una función de administración en la página 82.



Si desea asignar un usuario de dominio a la función de administrador de espaciode nombres, no es necesario asignar explícitamente el usuario a una función deadministración.

2. En la página Manage > Namespace.

a. Seleccione la acción Edit para el espacio de nombres.

b. Agregue el usuario al campo Administrador de espacio de nombres. Si haymás de un administrador de espacio de nombres, sus nombres de usuariodeben estar en una lista, separados por comas.

Solo puede asignarse un usuario como administrador de espacio de nombrespara un solo espacio de nombres.

c. Save el espacio de nombres.

Puedes leer más sobre la configuración de un espacio de nombres en: Configurar un espacio de nombres para un grupo de usuarios.

Asignar un nombre de grupo de Active Directory a la función de administradordel espacio de nombres

Puede asignar un grupo de dominio de AD a la función de administrador del espacio denombres desde el Portal de ECS. Cuando se le asigna una función de administración aun grupo de dominio de AD, todos los usuarios del grupo de AD tendrá esa función.

Antes de comenzar

l Debe ser un administrador del sistema para asignar una función de administradordel espacio de nombres.

l Para asignarle un grupo de dominio de AD a un administrador del espacio denombres, primero debe asegurarse de que se haya agregado un proveedor deautenticación. Consulte Agregar un proveedor de autenticación de AD o LDAP enla página 65.


Nota

Los grupos de LDAP no son compatibles en ECS.

Procedimiento

1. En el Portal de ECS, seleccione Manage > Namespace.

2. Elija un espacio de nombres y seleccione Edit, o New Namespace.

3. Rellene el campo Administrador del grupo de dominio con su nombre de grupodel dominio de AD completo incluido el dominio. Por ejemplo:[email protected]. Para agregar más de un grupo de dominio,separe los nombres con comas.

Nota

Un grupo de dominio de AD puede ser el Administrador del espacio de nombresde solo un espacio de nombres.

4. Complete la configuración y seleccione Save.


Asignar un nombre de grupo de Active Directory a la función de administrador del espacio de nombres 85

Nociones básicas de la asignación de usuarios en un espaciode nombres

Los usuarios de dominio se pueden agregar a ECS mediante los proveedores deautenticación. Para que los usuarios queden disponibles como usuarios de espacio denombres, necesitan asignarse en el espacio de nombres.

El proveedor de autenticación hace que los usuarios que pertenecen a dominiosespecificados y a grupos de la lista blanca queden disponibles para ECS, y puedanasignarse a funciones del sistema.

Para asociar usuarios con un espacio de nombres para que puedan ser usuarios deobjetos del espacio de nombres, debe asociar el dominio al que los usuarios pertenecencon el espacio de nombres y, si es necesario, aplicar el filtro más fino con base en losgrupos que pertenecen al dominio y los atributos que se han asignado a los usuariosdel dominio. Un dominio se puede mapear a un solo espacio de nombres o bien, sepueden proporcionar usuarios a varios espacios de nombres.

El portal ECS y API de REST de administración de ECS proporcionan la capacidad deespecificar mapeos cuando se registra un nuevo espacio de nombres y proporcionancompatibilidad para actualizar los mapeos de todos los espacios de nombres. Lacreación de un espacio de nombres es una operación que requiere privilegios deadministrador del sistema; la modificación de un grupo de usuarios y la ejecución deoperaciones de asignación de usuarios puede realizarlas un administrador de espaciode nombres.

Los mapeos de usuarios asignados a diferentes espacios de nombres no debentraslaparse, de modo que si el espacio de nombres Cuentas mapea usuarios desde elmismo dominio que el espacio de nombres HR, debe proporcionar mapeos adicionalespara distinguir los usuarios. En el siguiente ejemplo, el espacio de nombres Cuentasutiliza el dominio corp.sean.com pero mapea usuarios con atributos específicos; eneste caso, aquellos con su atributo de departamento establecido en Cuentas en ActiveDirectory.

Figura 9 Mapeo de usuarios para un grupo de usuarios con los atributos de AD

El siguiente ejemplo muestra el uso de múltiples criterios de mapeo. Todos losmiembros del dominio corp.sean.com que pertenezcan al grupo de administradores dealmacenamiento y que tengan su atributo de Departamento establecido en Cuentas Y



su atributo de Compañía establecido en Acme, O que pertenezcan al grupo deadministradores de almacenamiento y que tengan su Departamento establecido enFinanzas, se asignarán al espacio de nombres.

Figura 10 Uso de múltiples criterios de mapeo

Asignar los usuarios de dominio en un espacio de nombresLa interfaz del usuario de ECSportal proporciona la capacidad de mapear usuarios a unespacio de nombres según el dominio de AD o LDAP, los grupos y los atributosasociados a los usuarios.

Antes de comenzar

l Se debe haber registrado un proveedor de autenticación con ECS y se debeproporcionar acceso al dominio desde el que desea mapear usuarios.

l El administrador de AD debe haber configurado los grupos o usuarios en AD antesde asignar a los usuarios del portal ECS.


Asignar los usuarios de dominio en un espacio de nombres 87

l Si utiliza el mapeo de atributos, cada usuario debe tener el valor de atributosadecuado establecido en AD.Debe entender los conceptos asociados con la asignación de usuarios que sedescriben en Nociones básicas de la asignación de usuarios en un espacio denombres en la página 86.

Procedimiento

1. En ECSportal, seleccione Manage > Namespace.

2. En la tabla de espacio de nombres, haga clic en la acción Edit del espacio denombres para abrirlo y editarlo.

3. Si no se ha especificado un dominio, haga clic en Add para agregar unaasignación y escriba el nombre de dominio en el campo Dominio.

4. Especifique cualquier grupo que desee utilizar para mapear usuarios al espaciode nombres.

El grupo o los grupos que especifique ya deben existir en el AD.

5. Si desea utilizar atributos para mapear usuarios al espacio de nombres, ingreseel nombre del atributo y sus valores. Si no desea utilizar atributos para asignarusuarios en el espacio de nombres, haga clic en el botón de borrado paraeliminar los campos de atributos de la asignación actual.

Para que los usuarios se mapeen al dominio, el valor del atributo configuradopara el usuario debe coincidir con el valor del atributo especificado en ECS.

6. Save la configuración del espacio de nombres.



CAPÍTULO 8

Administrar grupos de usuarios

l Administrar grupos de usuarios.......................................................................... 90l Cuotas............................................................................................................... 90l Períodos y políticas de retención........................................................................ 91l Bloquear depósitos y usuarios............................................................................ 93l Medición............................................................................................................ 93l Depósitos de auditoría........................................................................................95

Administrar grupos de usuarios 89

Administrar grupos de usuariosECS proporciona una serie de funciones para apoyar la administración de un grupo deusuarios.

Se admiten las siguientes características:

Usuarios

La capacidad de asignar un administrador de espacio de nombres para el espaciode nombres y de crear usuarios de objetos para el espacio de nombres se describeen Administrar usuarios y funciones en la página 74.

Cuotas

La capacidad de establecer cuotas en los espacios de nombres y depósitos sedescribe en Cuotas en la página 90.

Períodos de retención

La capacidad de crear políticas de retención se describe en Períodos y políticas deretención en la página 91.

Bloquear depósitos y usuarios

La capacidad de bloquear depósitos y usuarios se describe en Bloquear depósitosy usuarios en la página 93.

Medición

La capacidad de medir la escritura de datos en depósitos y espacios de nombresse describe en Medición en la página 93.

Depósitos de auditoría

La capacidad de auditar las operaciones asociadas con depósitos se describe en Depósitos de auditoría en la página 95.

CuotasPuede establecer cuotas flexibles y rígidas en un espacio de nombres y en depósitoscreados dentro de un espacio de nombres.

Las cuotas flexibles hacen que los eventos se registren para informarle que se haalcanzado la cuota; las cuotas rígidas proporcionan un límite fijo en la cantidad dealmacenamiento de objetos que puede ser utilizado para un depósito o espacio denombres - cuando se alcanza el límite, se bloquea el acceso al depósito o al espacio denombres.

Las cuotas se pueden configurar desde el Portal ECS o usando la API y la CLI.

Configuración de cuotas desde el portalPuede establecer cuotas para un espacio de nombres desde la página Manage >Namespace, tal como se describe en Configurar un espacio de nombres para un grupode usuarios.

Se establecen cuotas para un depósito desde la página Manage > Bucket, tal como sedescribe en Conceptos del depósito en la página 104.

Establecimiento de cuotas utilizando la APILas siguientes rutas API proporcionan la posibilidad de establecer cuotas:



Método Descripción

PUT/GET/DELETE /object/namespaces/namespace/{namespace}/quota

Establece la cuota para un espacio denombres. La carga especifica cuotas rígidas yflexibles.

PUT/GET/DELETE /object/bucket/{bucketName}/quota

Establece la cuota para un depósito. La cargaespecifica cuotas rígidas y flexibles.

Puede encontrar más información sobre API de REST de administración de ECS en: Guía de acceso a datos: API de REST de administración de ECS y la referencia en líneaestá aquí.

Períodos y políticas de retenciónECS proporciona la capacidad de evitar que los datos se modifiquen o eliminen dentrode un período de retención especificado.

Los períodos y las políticas de retención se pueden definir en los metadatos asociadoscon los objetos y en los depósitos; se comprueban cada vez que se realiza una solicitudde modificación de un objeto. Los períodos de retención son compatibles con todas lasinterfaces de objetos S3, Swift, Atmos y CAS. Sin embargo, los datos de CAS soninmutables, por lo que el período de retención, cuando se aplica a CAS, hacereferencia a la capacidad de eliminar únicamente los objetos de CAS.

Existen dos formas de definir la retención: períodos de retención y políticas deretención.

Nota

Para obtener información acerca de la retención de CAS y de la retención de CAS avanzada, consulte Guía de acceso a datos: Configuración del soporte de CAS en ECS.

Períodos de retenciónLos períodos de retención se asignan en el nivel de objeto o de depósito. Cada vez quese intenta modificar o eliminar un objeto, se calcula una fecha de vencimiento, dondela fecha de vencimiento del objeto es igual a la fecha de creación del objeto + elperíodo de retención. Cuando se asigna un período de retención en un depósito, secomprueba el período de retención para el depósito y la fecha de vencimiento secalcula según el período de retención configurado en el objeto y el valor configuradoen el depósito, el que sea más largo.

Aplicar un período de retención a un depósito significa que el período de retenciónpara todos los objetos que se encuentran en un depósito se puede cambiar encualquier momento y, además, puede reemplazar el valor escrito en el objeto por uncliente de objetos mediante la configuración de un período más extenso.

Es posible especificar que un objeto se conserve indefinidamente.

Políticas de retenciónLas políticas de retención permiten que se capturen los casos de uso de retención yapliquen a los objetos. Las políticas de retención están asociadas con un espacio denombres y cualquier política asociada con el espacio de nombres se puede asignar a unobjeto que pertenezca al espacio de nombres. Una política de retención tiene unperíodo de retención asociado.


Períodos y políticas de retención 91


http://www.emc.com/techpubs/api/ecs/v3-0-0-0/index.htm



El uso de políticas de retención proporciona la flexibilidad para cambiar el períodoasociado a una política. Cuando este se cambia, también lo hace automáticamente elperíodo de retención que se aplica a todos los objetos que tienen esa política asignada.

Donde se aplica una política de retención a un objeto, cuando se intenta modificar oeliminar un objeto, el período de retención asociado con la política se recupera y seutiliza en conjunto con los períodos de retención de los objetos y de los depósitos paradeterminar si se permite la solicitud.

Por ejemplo, una política con nombre se podría definir para cada uno de los siguientestipos de documento y cada política con nombre puede tener un período de retenciónadecuado:

l Financiero: 3 años

l Legal: 5 años

l Correo electrónico: 6 meses

Cómo crear políticas de retenciónPuede configurar las políticas de retención que están disponibles para el espacio denombres desde el Portal ECS; consulte:

Configurar un espacio de nombres para un grupo de usuarios

o puede crearlas usando API de REST de administración de ECS, cuyo resumenencontrará a continuación.


PUT /object/bucket/{bucketName}/retention

El valor de retención para un depósito defineun período de retención obligatorio que seaplica a cada objeto dentro de un depósito.Por lo tanto, si establece un período deretención de 1 año, un objeto del depósito nose puede modificar ni eliminar durante un año.

GET /object/bucket/{bucketName}/retention

Devuelve el período de retención que estáestablecido actualmente para un depósitoespecificado.

POST /object/namespaces/namespace/{namespace}/retention

Para los espacios de nombres, el ajuste deretención actúa como una política, donde cadapolítica es un <Name>: Par <Retentionperiod>. Puede definir una serie de políticasde retención para un espacio de nombres ypuede asignar una política, por nombre, a unobjeto en el espacio de nombres. Esto lepermite cambiar el período de retención de unconjunto de objetos que tienen la mismapolítica asignada al cambiar la políticacorrespondiente.

PUT /object/namespaces/namespace/{namespace}/retention/{class}

Actualiza el período para una clase deretención que está asociada con un espacio denombres.

GET /object/namespaces/namespace/{namespace}/retention

Devuelve las clases de retención definidaspara un espacio de nombres.



Puede averiguar cómo acceder a API de REST de administración de ECS en elsiguiente artículo: Guía de acceso a datos: API de REST de administración de ECS y lareferencia en línea está aquí.

Cómo aplicar políticas y períodos de retenciónPuede aplicar períodos de retención a depósitos en el Portal de ECS.

Al crear objetos o depósitos usando los protocolos de servicio de objetos, por ejemplo,al crear un depósito S3 usando un cliente compatible con el protocolo S3, puedeaplicar el período de retención o la política de retención usando encabezados x-ems.

Al crear objetos, puede aplicar los siguientes períodos de retención y encabezados depolíticas de retención:

l x-emc-retention-period

l x-emc-retention-policy

Cuando se crea un depósito, puede establecer el período de retención usando elencabezado x-emc-retention-period.

Bloquear depósitos y usuariosECS proporciona la capacidad de impedir el acceso a un depósito e impedir el accesodel usuario.

Soporte para las operaciones de bloqueo de usuario y el depósito es proporcionado porel API de REST de administración de ECS. No hay soporte para el bloqueo de losdepósitos y los usuarios en el Portal de ECS. Las siguientes llamadas son compatibles:


PUT /object/bucket/{bucketName}/lock Bloquea un depósito de manera que no sepermite ninguna escritura en el depósito.

DELETE /object/bucket/{bucketName}/lock Desbloquea un depósito de manera que sepermiten las escrituras en el depósito.

PUT /object/users/{userid}/lock Bloquea un usuario de objetos (que no esusuario de AD) de tal manera que todas lasoperaciones posteriores de la API ejecutadaspor el usuario devuelven un error.

DELETE /object/user/{userid}/lock Desbloquea un usuario de objetos (que no esusuario de AD) de tal manera que el usuario sevuelve a habilitar para ejecutar otrasoperaciones de la API.

Puede averiguar cómo acceder a API de REST de administración de ECS en elsiguiente artículo: Guía de acceso a datos: API de REST de administración de ECS y lareferencia en línea está aquí.

MediciónECS proporciona soporte para la medición del uso del almacenamiento de objetos en elnivel de espacio de nombres y del depósito.


Bloquear depósitos y usuarios 93





Medición del uso del portalPuede utilizar el Portal ECS para monitorear el uso de espacio de nombres y depósitos.La página Monitor > Metering permite que se seleccione un espacio de nombres o undepósito específico de un espacio de nombres y se muestren sus datos de medición.

Tabla 5 Medición del depósito y el espacio de nombres


Total Size (GB) El tamaño total de los objetos almacenados en el espacio denombres o depósito seleccionado en el momento de lafinalización especificado en el filtro.

Object Count Cantidad de objetos asociados con el espacio de nombres odepósito seleccionado en el momento de la finalizaciónespecificado en el filtro.

Objects Created Número de objetos creados en el espacio de nombres odepósito seleccionado en el período de tiempo.

Objects Deleted Número de objetos eliminados del espacio de nombres odepósito seleccionados en el período de tiempo.

Bandwidth Ingress (MB) Total de datos de objetos entrantes (escrituras) para elespacio de nombres o depósito seleccionados durante elperíodo especificado.

Bandwidth Egress (MB) Total de datos de objetos salientes (lecturas) para el espaciode nombres o depósito seleccionados durante el períodoespecificado.

Nota

Los datos de medición no están disponibles de inmediato, ya que puede tardar unacantidad significativa de tiempo el recopilar las estadísticas de los datos añadidos alsistema y eliminados del sistema.

Consulte Monitoreo de los datos de medición en la página 192 para obtener másinformación sobre cómo acceder a estos detalles.

Medición mediante la APILas siguientes rutas API proporcionan la capacidad de recuperar información demedición:


GET /object/billing/buckets/{namespace}/{bucket}/info?sizeunit=<KB|MB|GB>

Obtiene el uso actual de un depósito en unespacio de nombres especificado.

GET /object/billing//buckets/{namespace}/{bucket}/sample?start_time=<ISO8061_format>&end_time=<ISO8061_format>&marker=<string_marker>&sizeunit=<KB|MB|GB>

Toma muestras de la actividad de un depósitopara el segmento de tiempo dado. De manerapredeterminada, la resolución mínima de lamuestra de un depósito es de 5 minutos y lasmuestras se conservarán durante 30 días. Si lahora de inicio y hora de finalización no entranen los límites de la muestra, se devolverá unerror. Si el rango de tiempo abarca múltiplesmuestras de bajo nivel, los datos se agregan




para el período de tiempo para producir unpunto de datos.

GET /object/billing/namespace/{namespace_name}/info?marker=<string_marker>&include_bucket_detail=<true|false>&sizeunit=<KB|MB|GB>

Obtiene información de uso para todos losdepósitos en un espacio de nombres.

Nota

Cuando se incluyen los detalles del depósito,el tamaño total en disco puede ser diferentedel tamaño total sin los detalles del depósito.Esto se debe a que el tamaño del depósito seredondea y se suma para dar el tamaño total.

GET /object/billing/namespace/{namespace_name}/sample?start_time=<ISO8061_format>&end_time=<ISO8061_format>&marker=<string_marker>&include_bucket_detail=<true|false>&sizeunit=<KB|MB|GB>

Obtiene un snapshot de una muestra detiempo determinado para un espacio denombres. De manera predeterminada, losdepósitos y espacios de nombres semuestrean cada 5 minutos y las muestras seconservan durante 30 días. Si la hora de inicioy hora de finalización no entran en los límitesde la muestra, se devolverá un error. Si elrango de tiempo abarca múltiples muestras debajo nivel, los datos se agregan para el períodode tiempo para producir un punto de datos.


Depósitos de auditoríaLa API del controlador proporciona la capacidad de auditar el uso de interfaces deobjetos S3, EMC Atmos y OpenStack Swift.

Se registran las siguientes operaciones en contenedores de objetos (depósito S3,EMC subgrupos de usuarios Atmos and contenedores OpenStack Swift).

l Crear un depósito.

l Categoría DELETE

l Actualizar un depósito

l Establecer ACL del depósito

l Cambiar propietario del depósito

l Establecer versión del depósito

l Establecer origen de la versión del depósito

l Establecer metadatos del depósito

l Establecer metadatos de encabezado del depósito

l Establecer política de vencimiento del depósito

l Eliminar política de vencimiento del depósito


Depósitos de auditoría 95



l Establecer configuración cors del depósito

l Eliminar configuración cors del depósito

Registro de auditoría en el portalPuede usar la página Monitor > Events del portal de ECS para detectar la generaciónde un evento de registro de auditoría.

El usuario raíz solo debe usarse para el acceso inicial al sistema. Durante el accesoinicial, la contraseña del usuario raíz debe cambiarse en la página Settings >Password y deben crearse una o más cuentas de administrador nuevas. Desde unaperspectiva de auditoría, es importante saber qué usuario realiza cambios en elsistema, por lo que no debe utilizarse la raíz, y cada usuario administrador del sistemadebe tener su propia cuenta.

Puede consultar Acerca del monitoreo de eventos en la página 196 para obtener másinformación sobre el uso del registro de eventos.

API de auditoríaLa compatibilidad con la auditoría de depósitos se proporciona con las siguientesllamadas de API de REST de administración de ECS:


GET /monitoring/events Recupera los eventos de auditoría para unespacio de nombres e intervalo de tiempoespecificados.






CAPÍTULO 9

Eliminar un sitio

l Failover de un sitio/Eliminación de un VDC........................................................ 98

Eliminar un sitio 97

Failover de un sitio/Eliminación de un VDCUtilice este procedimiento para eliminar un VDC. La eliminación de un VDC inicia elfailover de un sitio cuando el VDC que está eliminando es parte de una federación demúltiples sitios.

Si se produce un desastre, el VDC completo puede ser irrecuperable. ECS tratainicialmente el VDC irrecuperable como una falla temporal del sitio. Si la falla espermanente, debe quitar el VDC de la federación para iniciar el procesamiento defailover que reconstruye y vuelve a proteger los objetos almacenados en el VDC con lafalla. Las tareas de recuperación se ejecutan como un proceso en segundo plano.Revise el proceso de recuperación mediante el uso de Monitor > Geo Replication >Failover Procesing.

Procedimiento

1. Inicie sesión en uno de los VDC operacionales en la federación.

2. Vaya a Manage > Replication Group.

3. Haga clic en Edit en el grupo de replicación que contenga el VDC que deseaeliminar.

4. Haga clic en Delete en la fila que contenga el VDC y el pool de almacenamientoque desee quitar.


6. Vaya a Manage > VDC. El estado del VDC que se elimina permanentemente cambia a Permanently failed.

7. Seleccione Delete en el menú desplegable en la fila del VDC que desee quitar.


Eliminar un sitio


CAPÍTULO 10

Administrar licencias

l Licencia............................................................................................................ 100l Obtener el archivo de licencia de EMC ECS..................................................... 100l Cargar el archivo de licencia de EMC ECS........................................................100

Administrar licencias 99

LicenciaLas licencias de EMC ECS se basan en la capacidad.

Como mínimo es necesario contar con al menos una licencia de ECS y cargarla aldispositivo.

La página Settings > License proporciona información adicional.

Obtener el archivo de licencia de EMC ECSPuede obtener un archivo de licencia (.lic) en el sitio web de administración delicencias de EMC.

Antes de comenzar

Para obtener el archivo de licencia debe tener el código de autorización de licencia(LAC), que se envía por correo electrónico desde EMC.

Procedimiento

1. Puede acceder a la página de licencias en: https://support.emc.com/servicecenter/license/.

2. Seleccione Dispositivo de ECS en la lista de productos.

3. En la página de solicitud del LAC, escriba el código LAC y Activate.

4. Seleccione los derechos que se activarán e Start Activation Process.

5. Seleccione Add a Machine para especificar cualquier cadena significativa paraagrupar licencias.

El “nombre de máquina” no tiene que ser el nombre de una máquina; escriba unacadena que le ayude a realizar un seguimiento de las licencias.

6. Ingrese la cantidad para cada derecho a ser activado, o seleccione Activate All.Haga clic en Siguiente.

Si piensa obtener licencias para una configuración (geo) de sitios múltiples,debe distribuir los controladores de la forma más adecuada para obtenerarchivos de licencia individuales para cada centro de datos virtual.

7. Puede especificar un receptor para recibir un resumen por correo electrónico delas transacciones de la activación.

8. Haga clic en Finish.

9. Haga clic en Save to File para guardar el archivo de licencia (.lic) en unacarpeta de su computadora.

Este es el archivo de licencia necesario durante la configuración inicial de ECS ocuando se agrega una nueva licencia posteriormente en el Portal de ECS.

Cargar el archivo de licencia de EMC ECSEl archivo de licencia ECS se puede cargar desde el Portal de ECS.

Antes de comenzar

l Asegúrese de disponer de un archivo de licencia válido. Puede seguir lasinstrucciones proporcionadas en Obtener el archivo de licencia de EMC ECS en lapágina 100 para obtener una licencia.



l Cuando instale más de un sitio en una configuración de geo, el esquema delicencias en todos los sitios debe ser el mismo. Si el clúster existente tiene unalicencia activada con cifrado, cualquier sitio nuevo que se agregue a ella debe tenerla misma. De manera similar, si los sitios existentes no tienen licencias que seactiven con cifrado, los sitios nuevos que se agreguen al clúster deben seguir elmismo modelo.

l En una configuración de geo, si la licencia se actualiza en un sitio en el clúster, sedebe actualizar en todos los sitios.

Procedimiento

1. Desde el Portal de ECS, seleccione Settings > Licensing.

2. En el control de la carga, seleccione Browse y busque el archivo de licencia ensu sistema.

3. Seleccione Upload.

Se actualiza la pantalla de licencias.


Cargar el archivo de licencia de EMC ECS 101

CAPÍTULO 11

Crear y administrar depósitos

l Crear y administrar depósitos........................................................................... 104l Conceptos del depósito.................................................................................... 104l Atributos de los depósitos................................................................................ 105l ACL de depósitos............................................................................................... 111l Creación de un depósito mediante el portal de ECS.......................................... 113l Editar un depósito............................................................................................. 115l Permisos de ACL del depósito para un usuario.................................................. 115l Establecer los permisos de ACL de depósito para un grupo predefinido............ 116l Configurar las ACL del depósito de un grupo personalizado...............................117l Creación de depósitos mediante las API de objetos........................................... 119l Convenciones de denominación de depósitos y claves......................................122

Crear y administrar depósitos 103

Crear y administrar depósitosSe requieren contenedores para almacenar datos de objetos. En S3, estoscontenedores se denominan depósitos y este término se ha adoptado como un términogeneral en ECS. En Atmos, el equivalente a un depósito es un subusuario; en Swift, elequivalente de un depósito es un contenedor, y en CAS, un depósito es un pool deCAS.

En ECS, a los depósitos se les asigna un tipo que puede ser S3, Swift, Atmos o CAS.Además, los depósitos S3, Atmos o Swift se pueden configurar para que seancompatibles con el acceso al sistema de archivos (para NFS y HDFS), y un depósitoconfigurado para el acceso al sistema de archivos se puede leer y escribir mediante suprotocolo de objetos y utilizando el protocolo NFS o HDFS. Esto a menudo se conocecomo soporte crosshead.

Pueden crearse depósitos para cada protocolo de objetos utilizando su API, por logeneral mediante un cliente compatible con el protocolo adecuado. La compatibilidadadicional para la creación de depósitos S3, HDFS/NFS y CAS la proporciona el Portalde ECS y la API de administración de ECS. La capacidad de crear depósitos desde elportal hace que sea fácil crear depósitos para HDFS/NAS y CAS, y facilita elaprovechamiento de algunas de las opciones de configuración de depósitos másavanzadas que proporciona ECS, como las cuotas y los períodos de retención.

Si desea crear depósitos utilizando los protocolos de objetos, puede utilizarencabezados especiales x-emc para controlar la configuración del depósito.

En este artículo se describe cómo crear y editar depósitos y cómo establecer las ACLpara un depósito utilizando el Portal de ECS. Además, se describen los encabezados x-emc adicionales que puede usar para controlar la configuración del depósito cuando seutilizan los protocolos de objetos compatibles.

Conceptos del depósitoLos depósitos son contenedores de objetos y puede utilizarse para controlar el accesoa los objetos y establecer las propiedades que definen los atributos de todos losobjetos que contiene, como los períodos de retención y las cuotas.

Acceso a depósitos

Los depósitos están asociados con un grupo de replicación. Cuando el grupo dereplicación incluye varios VDC, el contenido del depósito se replica de manera similaren los VDC. A los objetos en un depósito perteneciente a un grupo de replicación quedistribuye dos VDC, VDC1 y VDC2, por ejemplo, se puede acceder desde VDC1 oVDC2. A los objetos en un depósito que pertenece a un grupo de replicación que soloestá asociado con el VDC1, solo se puede acceder desde VDC1, no se puede acceder aellos desde los otros VDC en un sistema ECS federado.

La identidad de un depósito y sus metadatos, como la ACL, son información deadministración global en ECS, lo que significa que se replican a lo largo de los pools dealmacenamiento del sistema, y puede verse desde todos los VDC en la federación. Sinembargo, el depósito solo puede enumerarse de un VDC que sea parte del grupo dereplicación al que pertenece el depósito.

Propiedad de los depósitos



Un depósito pertenece a un espacio de nombres, y los usuarios de objetos también seasignan a un espacio de nombres. Cada usuario de objetos solo puede crear depósitosen el espacio de nombres al que pertenece; sin embargo, cualquier usuario de objetosde ECS puede asignarse como propietario de un depósito o un objeto, o un beneficiarioen un ACL de depósito, incluso si el usuario no pertenece al mismo espacio de nombresque el depósito o el objeto. Esto permite que los depósitos y los objetos se compartanentre usuarios de diferentes espacios de nombres. Por ejemplo, en una empresa dondeun espacio de nombres es un departamento, un depósito o un objeto puedencompartirse entre los usuarios de diferentes departamentos.

Cuando un usuario de objetos quiere acceder a un depósito en un espacio de nombresal que no pertenece, el espacio de nombres se debe especificar con el encabezado x-emc-namespace.

Acceso a un depósito durante la interrupción temporal del sitio

ECS proporciona un mecanismo de interrupción temporal del sitio que permite que losobjetos se recuperen incluso si la copia primaria del objeto no está disponible debido aque el sitio que aloja el principal no está disponible.

Debido a que existe el riesgo de que los datos de objetos recuperados durante unainterrupción temporal del sitio no sean los más recientes, el usuario debe indicar queestá dispuesto a aceptar este riesgo marcando el depósito como disponible duranteuna interrupción.

Durante la interrupción, los datos de objetos son accesibles para lectura y escritura;los dispositivos activados para acceder al sistema de archivos están disponibles de sololectura; los datos de CAS están disponibles de solo lectura como resultado del hechode que sea inmutable, no como resultado del modo operacional del Acceso durante unainterrupción.

Atributos de los depósitos

El portal de ECS permite la creación y administración de depósitos en la páginaManage > Buckets.

La página Administración de depósitos incluye una tabla que muestra los depósitospara un espacio de nombres seleccionado. La tabla muestra los atributos de losdepósitos y proporciona las acciones Edit Bucket, Edit ACL y Delete para cadadepósito.


Atributos de los depósitos 105

Los atributos asociados con un depósito se describen en la siguiente tabla. Para ver ycambiar los atributos que no se muestran en la página de administración del depósito,puede seleccionar Edit Bucket.

Tabla 6 Atributos de los depósitos

Atributo Descripción Sepuedeeditar

Nombre Nombre del depósito Puede consultar el siguiente tema comoorientación sobre los nombres de los depósitos: Convencionesde denominación de depósitos y claves en la página 122.

No

Namespace Espacio de nombres con el que está asociado el depósito. No

Grupo dereplicación

Grupo de replicación en el que se creará el depósito. No

Propietario deldepósito

Propietario del depósito. Sí

Etiquetado dedepósitos

Las etiquetas son pares de nombre y valor que se puedendefinir para un depósito y permiten que los depósitos sepuedan clasificar.Se proporciona más información acerca del etiquetado dedepósitos en: Etiquetado de depósitos en la página 110.

Sí

Cuota Cuota para un depósito. El comportamiento que se puede vercuando se supera la cuota se puede definir mediante laconfiguración de cuotas máximas (bloqueo) y de advertencia(notificación).

Cuota de advertencia (notificación)

Establecimiento de cuotas para la notificación. Se tratade una cuota flexible y se puede configurar por sí sola oademás de una cuota rígida.

La cuota no puede ser menor de 1 GB.

Se proporciona más información sobre las cuotas en: Administración de un grupo de usuarios.

Cuota máxima (bloqueo)

Cuota máxima que, cuando se alcanza, provoca elbloqueo de las escrituras o actualizaciones al depósito.Se puede establecer una cuota de advertencia para quese active antes de alcanzar la cuota máxima.

Sí

Cifrado del lado delservidor

Indica si el cifrado del lado del servidor se encuentra activado.El cifrado del lado del servidor también se conoce comocifrado de datos en reposo o D@RE. Esta función cifra losdatos en línea antes de almacenarlos en los discos o en lasunidades de ECS. Este cifrado impide que los datosconfidenciales se puedan obtener desde medios descartados orobados. Si el cifrado está activado cuando se crea eldepósito, la función no se podrá desactivar posteriormente.

No



Tabla 6 Atributos de los depósitos (continuación)


Si el espacio de nombres del deposito está cifrado, se cifrarántodos los depósitos. Si no se cifra el espacio de nombres,tendrá la opción de cifrar depósitos individuales.

Para obtener una descripción completa de la función, consultela Guía de configuración de seguridad de ECS.

Sistema dearchivos

Indica que ECS permite que el depósito se utilice como un sistema de archivos distribuido Hadoop (HDFS).Para simplificar el acceso al sistema de archivos, se pueden definir un grupo predeterminado y sus permisos predeterminados correspondientes. Puede obtener más información en Grupo predeterminado en la página 108.

No

CAS Indica que el depósito está habilitado para datos de CAS.

Búsqueda demetadatos

Indica que se crearán los índices de búsqueda de metadatospara el depósito según los valores clave especificados.Si está habilitado, se pueden definir las claves de metadatosque se utilizarán como base para la indexación de objetos en eldepósito. Estas claves se deben especificar al crear eldepósito.

Una vez que se crea el depósito, la búsqueda se puededesactivar por completo, pero no se pueden modificar lasclaves de índice configuradas.

La manera en que se define el atributo se describe en Clavesdel índice de metadatos en la página 108.

Nota

Los metadatos cifrados no se pueden indexar para labúsqueda. Por lo tanto, los usuarios no pueden activar labúsqueda de metadatos en un depósito si el cifrado del ladodel servidor (D@RE) se encuentra activado.

No

Acceso duranteuna interrupción

Marca en el depósito que especifica el comportamientorelativo al acceso de datos en el depósito cuando hay unazona que no está disponible temporalmente en unaconfiguración geo-federada.

Si configura esta marca en Enabled y se produce unainterrupción temporal del sitio, los objetos a los que accede eneste depósito podrían haberse actualizado en el sitio fallido,pero es posible que los cambios no se hayan propagado al sitiodesde el que accede al objeto. Por lo tanto, debe aceptar quees posible que los objetos que lea no estén actualizados.

Si la marca se configura en Disabled, no se puede acceder alos datos incluidos en la zona con la interrupción temporaldesde otras zonas y no se pueden realizar lecturas de objetosde datos que tienen su centro en el sitio fallido.

Sí


Atributos de los depósitos 107

Tabla 6 Atributos de los depósitos (continuación)


Retención deldepósito

Establece el período de retención de un depósito.El vencimiento de un período de retención de un objeto dentrode un depósito se calcula cuando se realiza una solicitud demodificación de un objeto, y se basa en el valor establecido enel depósito y en los objetos mismos.

El período de retención se puede cambiar durante la vida útildel depósito.

La información sobre el período de retención se proporcionaen: Períodos y políticas de retención en la página 91.

Sí

Grupo predeterminadoCuando se activa una categoría para acceder al sistema de archivos, es posibleespecificar un grupo predeterminado para el depósito. Cuando se accede como unsistema de archivos, los miembros del grupo de Unix pueden acceder al sistema dearchivos. Sin esta asignación, únicamente el propietario del depósito podrá acceder alsistema de archivos.

Además, los archivos y los directorios creados mediante los protocolos de objetopueden recibir permisos de grupo que permitirán a los miembros del grupo de Unixacceder a ellos.

A continuación, se muestra el cuadro de diálogo File System activado.

Claves del índice de metadatosCuando la búsqueda de metadatos está activada, se puede especificar un conjunto decampos o atributos de metadatos del sistema o del usuario como claves de búsquedade objetos en un depósito. Para cada clave de búsqueda de metadatos especificada,ECS creará un índice de objetos que tienen los metadatos correspondientes en funcióndel valor de la clave de búsqueda de metadatos.



La funcionalidad de búsqueda de metadatos permite a los clientes de objetos de S3buscar objetos en un depósito en función de los metadatos indexados con un idioma deconsulta enriquecido.

El cuadro de diálogo Agregar clave de búsqueda de metadatos permite que la clave debúsqueda de metadatos se pueda seleccionar como Sistema o Usuario. Cuando seselecciona un tipo de clave de metadatos de sistema (consulte este tema acontinuación), los metadatos que se asignan automáticamente a los objetos en undepósito se enumeran para selección en el menú de nombres de clave.

Cuando se selecciona una Clave de metadatos de Tipo de Usuario (consulte acontinuación), debe especificar el nombre de los metadatos del usuario para el quedesea crear un índice. Además, debe especificar el tipo de datos para que ECS sepacómo interpretar los valores de los metadatos proporcionados en las consultas debúsqueda.


Claves del índice de metadatos 109

Puede obtener más información acerca de la función de búsqueda de metadatos en Guía de acceso a datos: Extensión de S3 de búsqueda de metadatos.

Etiquetado de depósitosLas etiquetas que aparecen en el formato de pares de nombre y valor se puedenasignar a un depósito, lo que activa la clasificación de los datos de objetosalmacenados en el depósito. Por ejemplo, los datos del depósito se pueden asociar conun centro de costos o proyecto.

Se puede leer y administrar las etiquetas de depósito a través del Portal de ECS o conlos clientes personalizados con la API de REST de administración de ECS. Además, seincluyen etiquetas de depósito en los informes de datos de medición en el Portal deECS o la API de REST de administración de ECS.

A continuación se muestra el cuadro de diálogo etiquetado de depósitos.




ACL de depósitosLos privilegios que tiene un usuario al acceder a un depósito se establecen medianteuna lista de control de acceso (ACL).

Cuando crea un depósito y le asigna un propietario, se crea una ACL que asigna unconjunto predeterminado de permisos para el propietario del depósito; de manerapredeterminada, al propietario se le asigna el control total.

Puede modificar los permisos asignados al propietario o puede agregar nuevospermisos para un usuario si selecciona la operación de edición de ACL para el depósito.

En el Portal de ECS, la página Bucket ACLs Management proporciona los paneles UserACLs, Group ACLs y Custom Group ACLs para administrar las ACL asociadas conusuarios individuales y grupos predefinidos y para permitir que se definan los grupos,que pueden utilizarse cuando se accede al depósito como un sistema de archivos.

Los atributos de ACL se indican en la tabla siguiente.

Tabla 7 ACL de depósitos

ACL Permiso

Lectura Permite al usuario enumerar los objetos en eldepósito.

ACL de lectura Permite al usuario leer la ACL del depósito.

Escritura Permite al usuario crear o actualizar cualquierobjeto en el depósito.

ACL de escritura Permite al usuario escribir la ACL para eldepósito.

Ejecutar Establece el permiso de ejecución cuando seaccede como un sistema de archivos. Este


ACL de depósitos 111

Tabla 7 ACL de depósitos (continuación)

ACL Permiso

permiso no tiene ningún efecto cuando seaccede al objeto utilizando los protocolos deobjetos de ECS.

Control total Permite al usuario leer, escribir, leer ACL yescribir ACL.

Escritura con privilegios Permite al usuario ejecutar escrituras en undepósito o un objeto cuando el usuario notiene permiso de escritura normal. Obligatoriopara depósitos de CAS

Eliminar Permite que el usuario elimine depósitos yobjetos. Obligatorio para depósitos de CAS

Ninguno El usuario no tiene privilegios en el depósito.

Nota

Para obtener información acerca de las ACL con depósitos de CAS, consulte Guía deacceso a datos: Configuración del soporte de CAS en ECS.

ACLs de usuarioEl panel de ACL usuario muestra las ACL que se han aplicado a los usuarios y permiteque las ACL se asignen a un usuario mediante la operación Add.

Nota

Debido a que el portal de ECS es compatible con depósitos S3, HDFS y CAS, el rangode permisos que pueden establecerse no es aplicable a todos los tipos de depósito.

Group ACLsPuede establecer permisos para un conjunto de grupos predefinidos. Los siguientesgrupos son compatibles:

público

Todos los usuarios, autenticados o no.





todos los usuarios

Todos los usuarios autenticados.

otro

Los usuarios autenticados, pero no el propietario del depósito.

entrega de registro

No compatible.

Los permisos que se pueden asignar se muestran en Tabla 7 en la página 111.

Las ACL del grupo personalizadoLas ACL del grupo personalizado permiten que los grupos se definan y que lospermisos se asignen al grupo. El caso de uso principal para asignar grupos a undepósito es admitir el acceso al depósito como un sistema de archivos, como porejemplo, cuando el depósito pasa a estar disponible para HDFS.

Creación de un depósito mediante el portal de ECSEl portal de ECS permite la creación de depósitos y proporciona la capacidad deespecificar la configuración del depósito. Los depósitos creados en el portal puedenser S3, S3+HDFS o depósitos CAS.

Antes de comenzar

l Debe ser un administrador de espacio de nombres o un administrador del sistemapara crear un depósito en el portal de ECS.

l Si es un administrador de espacio de nombres puede crear depósitos en el espaciode nombres.

l Si es un administrador del sistema puede crear un depósito que pertenezca acualquier espacio de nombres.

l Para obtener instrucciones específicas de CAS sobre cómo configurar un depósitode CAS para un usuario de objetos de CAS, consulte Guía de acceso a datos: Configuración del soporte de CAS en ECS.

Procedimiento

1. En el Portal de ECS, seleccione Manage > Buckets.

2. Seleccione New Bucket.

3. Seleccione el espacio de nombres al que pertenecen el depósito y sus objetos.

Si es un administrador del sistema y el sistema ECS tiene más de un espacio denombres, seleccione el espacio de nombres al que pertenecerá el depósito.

Si es un administrador de espacio de nombres, solo podrá seleccionar su propioespacio de nombres.

4. Seleccione el grupo de replicación con el que se va a asociar el depósito.

5. Especifique un propietario de depósito.

El propietario del depósito debe ser un usuario de objetos de ECS del espacio denombres. Si no especifica un usuario, se le asignará como propietario, pero nopodrá acceder al depósito, a menos que su nombre de usuario esté asignadotambién como un usuario de objetos.

Al usuario que especifique se le dará control total.


Creación de un depósito mediante el portal de ECS 113



6. Agregue todas las etiquetas al depósito haciendo clic en Add en el control deetiquetado de depósitos y agregue los pares de nombre y valor.

Puede obtener más información acerca del etiquetado de depósitos enEtiquetado de depósitos en la página 110.

7. Si es necesario, especifique una cuota para el depósito

La configuración que puede aplicar se describen en: Cuotas en la página 90.

8. Si desea que los datos del depósito se cifren, establezca el cifrado del lado delservidor en Enabled.

9. Si desea que el depósito sea un depósito CAS, establezca el control de CAS enEnabled.

De manera predeterminada, CAS estará desactivado y el depósito se marcarácomo un depósito S3.

10. Si desea que el depósito sea compatible con la operación como un sistema dearchivos (para HDFS), establezca el control del Sistema de archivos en Enabled.

El depósito será un depósito S3 compatible con HDFS.

Puede establecer un grupo de Unix predeterminado para acceder al depósito y para los objetos creados en el depósito. Se proporcionan más detalles en: Grupo predeterminado en la página 108.

11. Si desea que el depósito sea compatible con las búsquedas basadas enmetadatos de objetos, debe establecer el control de búsqueda de metadatos enEnabled.

Si activa la búsqueda de metadatos puede agregar claves de metadatos delsistema y del usuario que se utilizarán para crear los índices de objeto. EnClaves del índice de metadatos en la página 108 se proporciona más informaciónacerca de cómo ingresar las claves de búsqueda de metadatos.

Nota

Si el depósito se utilizará para CAS, no puede activar la búsqueda de metadatosdebido a que en la implementación de la API de Centera se proporciona unafuncionalidad de búsqueda similar.

12. Establezca el Acceso durante una interrupción en Enabled si desea que eldepósito se mantenga disponible durante una interrupción temporal del sitio.

13. Si es necesario, establezca un período de retención de depósito para eldepósito.

Puede leer más acerca de los períodos de retención en: Períodos y políticas deretención en la página 91.

14. Seleccione Save para crear el depósito.

Resultados

Puede asignar usuarios a los depósitos y establecer permisos para los usuarios (ogrupos predefinidos) desde el menú Actions de la tabla de depósitos.



Editar un depósitoPuede editar algunas opciones de configuración del depósito después de crearlo ydespués de que se hayan escrito objetos en él.

Antes de comenzar

l Debe ser un administrador de espacio de nombres o un administrador del sistemapara editar un depósito.

l Si es un administrador de espacio de nombres, puede editar la configuración de losdepósitos que pertenezcan a su espacio de nombres.

l Si es un administrador del sistema, puede editar la configuración de un depósitoque pertenezca a cualquier espacio de nombres.

Procedimiento

1. En el portal de ECS, seleccione Manage > Buckets.

2. En la tabla de depósitos, seleccione la acción Edit para el depósito en el quedesee cambiar la configuración.

3. Es posible editar los siguientes atributos de los depósitos:

l Cuota

l Propietario del depósito

l Etiquetado de depósitos


l Retención del depósito

No puede cambiar los siguientes atributos del depósito:

l Grupo de replicación

l Cifrado del lado del servidor

l File System Enabled

l CAS activado

l Búsqueda de metadatos

Puede encontrar más información acerca de estas opciones en: Conceptos deldepósito en la página 104.

4. Seleccione Save.

Permisos de ACL del depósito para un usuarioEl portal de ECS permite que la ACL de un depósito se configure para un usuario opara un grupo predefinido.

Antes de comenzar

l Debe ser un administrador de espacio de nombres o un administrador del sistemapara editar la ACL de un depósito.

l Si es un administrador de espacio de nombres, puede editar la configuración deACL de los depósitos que pertenezcan a su espacio de nombres.


Editar un depósito 115

l Si es un administrador del sistema, puede editar la configuración de ACL de undepósito que pertenezca a cualquier espacio de nombres.

Procedimiento


2. En la tabla de depósitos, seleccione la acción Edit ACL para el depósito en elque desee cambiar la configuración.

3. Para establecer los permisos de ACL para un usuario, seleccione el botón UserACLs.

Para seleccionar la ACL para un grupo, seleccione Group ACLs o CustomGroup ACLs. Puede consultar Configurar las ACL del depósito de un grupopersonalizado en la página 117 o Establecer los permisos de ACL de depósitopara un grupo predefinido en la página 116 para obtener más informaciónacerca de la configuración de las ACL del grupo.

4. Puede editar los permisos de un usuario que ya tenga asignados permisos, opuede agregar un usuario al que desee asignar permisos.

l Para establecer (o eliminar) permisos de ACL para un usuario que ya tengapermisos, seleccione Edit (o Remove) en la columna Action de la tabla deACL.

l Para agregar un usuario al que desee asignar permisos, seleccione Add.

El usuario que haya definido como propietario del depósito ya debe tenerasignados los permisos predeterminados.

5. Si agregó una ACL, ingrese el nombre de usuario del usuario al que se aplicaránlos permisos.

6. Especifique los permisos que desee aplicar al usuario.

Se proporciona más información sobre los privilegios de ACL en Conceptos deldepósito en la página 104.

7. Seleccione Save.

Establecer los permisos de ACL de depósito para un grupopredefinido

El Portal de ECS permite configurar la ACL de un depósito para establecerla en ungrupo predefinido.

Antes de comenzar

l Debe ser un administrador de espacio de nombres o un administrador del sistemapara editar la ACL de grupo de un depósito.

l Si es un administrador de espacio de nombres, puede editar la configuración deACL de grupo de los depósitos que pertenezcan a su espacio de nombres.

l Si es un administrador del sistema, puede editar la configuración de ACL de grupode un depósito que pertenezca a cualquier espacio de nombres.

Procedimiento

1. En el portal de ECS, seleccione Manage > Buckets.




3. Para establecer los permisos de ACL para un grupo predefinido, seleccione elbotón Group ACLs.

Puede leer más acerca de los grupos predefinidos en: Conceptos del depósito en la página 104.

4. Seleccione los privilegios que desee asignar al grupo.

5. Seleccione Save.

Configurar las ACL del depósito de un grupo personalizadoEl Portal de ECS permite configurar la ACL del grupo para un depósito. Las ACL de undepósito se pueden otorgar a un grupo de usuarios (ACL de grupo personalizado), ausuarios individuales o a una combinación de ambos. Por ejemplo, puede otorgarleacceso completo al depósito a un grupo de usuarios, pero también puede restringir (oincluso denegar) el acceso al depósito a usuarios individuales que sean parte de esegrupo.

Antes de comenzar

l Debe ser un administrador de espacio de nombres o un administrador del sistemapara editar la ACL de grupo de un depósito.

l Si es un administrador de espacio de nombres, puede editar la configuración deACL de grupo de los depósitos que pertenezcan a su espacio de nombres.

l Si es un administrador del sistema, puede editar la configuración de ACL de grupode un depósito que pertenezca a cualquier espacio de nombres.


Configurar las ACL del depósito de un grupo personalizado 117

Cuando se accede al depósito a través de HDFS, con el acceso multiprotocolo de ECS,los miembros del grupo de Unix podrán acceder al depósito.

Procedimiento



3. Para configurar la ACL para un grupo personalizado, seleccione Custom GroupUser ACLs.

4. En la página Custom Group User ACLs, seleccione Add.

5. Ingrese el nombre del grupo.

Este nombre puede ser un grupo de Unix/Linux o un grupo de Active Directory.

6. Configure los permisos para el grupo.

Como mínimo, es recomendable seleccionar las opciones Read, Write, Execute yRead ACL.

7. Seleccione Save.



Creación de depósitos mediante las API de objetosCuando se crean categorías mediante las API de objetos o con herramientas quellamen a las API de objetos, existen varios encabezados que determinan elcomportamiento.

Se proporcionan los siguientes encabezados x-emc:

x-emc-dataservice-vpool

Determina el grupo de replicación que se utilizará para almacenar los objetosasociados a este depósito. Si no especifica un grupo de replicación mediante elencabezado x-emc-dataservice-vpool, ECS elegirá el grupo de replicaciónpredeterminado que esté asociado al espacio de nombres.

x-emc-file-system-access-enabled

Configura la categoría para el acceso de HDFS. El encabezado no debe entrar enconflicto con la interfaz que se está utilizando. Es decir, una solicitud de creaciónde un depósito desde HDFS no puede especificar x-emc-file-system-access-enabled=false.

x-emc-namespace

Especifica el espacio de nombres que se utilizará en esta categoría. Si no seespecifica el espacio de nombres mediante la convención de S3 de la solicitud conel estilo host/ruta, se puede especificar mediante el encabezado x-emc-namespace. Si no se especifica el espacio de nombres en el encabezado, seutilizará el espacio de nombres relacionado con el usuario.

x-emc-retention-period

Especifica el período de retención que se aplicará a los objetos en un depósito.Cada vez que se realice una solicitud para modificar un objeto en un depósito, elvencimiento del período de retención del objeto se calculará con base en elperíodo de retención asociado con el depósito.

x-emc-is-stale-allowed

Especifica si se puede acceder al depósito durante una interrupción temporal deVDC en una configuración federada.

x-emc-server-side-encryption-enabled

Especifica si los objetos escritos en un depósito están cifrados.

x-emc-metadata-search

Especifica uno o más valores de metadatos del usuario o del sistema que seutilizarán para crear los índices de objetos para el depósito. Los índices se puedenutilizar para ejecutar búsquedas de objetos que se pueden filtrar según losmetadatos indexados.

A continuación, se proporciona un ejemplo del uso de la herramienta S3curl para crearuna categoría:

l Crear una categoría con la API de S3 (con s3curl) en la página 119

Crear una categoría con la API de S3 (con s3curl)Puede usar la API de S3 para crear un depósito en un grupo de replicación. Dado queECS usa encabezados personalizados (x-emc), se debe construir la cadena que sefirmará para que pueda incluir estos encabezados. En este procedimiento, se usa la


Creación de depósitos mediante las API de objetos 119

herramienta s3curl; existen varios clientes programáticos que también puede usar, porejemplo, el cliente Java de S3.

Antes de comenzar

l ECS debe incluir al menos un grupo de replicación configurado.

l Se debe instalar Perl en la máquina Linux en la que se ejecutará s3curl.

l Debe instalar curl y el módulo de s3curl, que actúa como un contenedor en torno acurl.

Para usar s3curl con encabezados de x-emc, se deben realizar modificacionesmenores al script s3curl. Estas modificaciones se describen en el procedimiento.

Procedimiento

1. Obtener una clave secreta para el usuario que creará una categoría.

Consulte el artículo: Guía de acceso a datos: Crear y administrar claves secretaspara obtener más información.

2. Obtenga la identidad del grupo de replicación donde desea crear el depósito.

Puede obtener la identidad de grupo de replicación mediante el uso de la API deREST de ECS:

GET https://<ECS IP Address>:4443/vdc/data-service/vpools

La respuesta proporciona el nombre y la identidad de todos los pools virtualesde servicios de datos. Por ejemplo:

<data_service_vpools><data_service_vpool>

<creation_time>1403519186936</creation_time><id>urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-

bee8-79accc867f64:global</id><inactive>false</inactive><tags/><description>IsilonVPool1</description><name>IsilonVPool1</name><varrayMappings>

<name>urn:storageos:VirtualDataCenter:1de0bbc2-907c-4ede-b133-f5331e03e6fa:vdc1</name>

<value>urn:storageos:VirtualArray:793757ab-ad51-4038-b80a-682e124eb25e:vdc1</value>

</varrayMappings></data_service_vpool></data_service_vpools>

Aquí, el ID es urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global.

3. Configure s3curl al crear un archivo .s3curl donde escribirá las credencialesdel usuario.

El archivo .s3curl debe tener permisos 0600 (lectura/escritura-/---/---)cuando se ejecute s3curl.pl.




En el siguiente ejemplo, el perfil "my_profile" se utiliza para referirse a lascredenciales de usuario para la cuenta "[email protected]", y "root_profile"para hacer referencia a las credenciales de la cuenta raíz.

%awsSecretAccessKeys = (my_profile => {

id => '[email protected]',key => 'sZRCTZyk93IWukHEGQ3evPJEvPUq4ASL8Nre0awN'

},root_profile => {

id => 'root',key => 'sZRCTZyk93IWukHEGQ3evPJEvPUq4ASL8Nre0awN'

},);

4. Agregue la terminal en la que desea utilizar s3curl frente al archivo .s3curl.

Esta será la dirección de su nodo de datos o el balanceador de carga que seubicará frente de sus nodos de datos.

Por ejemplo:

push @endpoints , ('203.0.113.10', 'lglw3183.lss.emc.com',

);

5. Modifique el script s3curl.pl de modo que incluya los encabezados de x-emcen la “cadena que se firmará”.

Reemplace la siguiente sección:

elsif ($header =~ /^(?'header'[Xx]-(([Aa][Mm][Zz])|([Ee][Mm][Cc]))-[^:]+): *(?'val'.+)$/) {

my $name = lc $+{header};my $value = $+{val};

por:

elsif ($header =~ /^([Xx]-(?:(?:[Aa][Mm][Zz])|(?:[Ee][Mm][Cc]))-[^:]+): *(.+)$/) {

my $name = lc $1;my $value = $2;

6. Cree la categoría con s3curl.pl.

Especifique lo siguiente:

l Perfil de usuario.

l Identidad del grupo de replicación donde se creará el depósito (<vpool_id>).Esto se debe realizar con el encabezado x-emc-dataservice-vpool.


Crear una categoría con la API de S3 (con s3curl) 121

l Cualquier encabezado personalizado x-emc.

l Nombre de la categoría (<BucketName>).

Las búsquedas completamente especificadas para el comando se ven así:

./s3curl.pl --debug --id=my_profile --acl public-read-write--createBucket -- -H 'x-emc-file-system-access-enabled:true'-H 'x-emc-dataservice-vpool:<vpool_id>' http://<DataNodeIP>:9020/<BucketName>

Este ejemplo utiliza el encabezado x-emc-dataservice-vpool para especificar elgrupo de replicación en el que se creará el depósito y el encabezado x-emc-file-system-access-enabled para activar el depósito para acceder al sistema dearchivos, por ejemplo, para HDFS.

Tenga en cuenta que el argumento -acl public-read-write es opcional,pero se puede utilizar para configurar los permisos para activar el acceso aldepósito. Por ejemplo, si desea acceder a la categoría de HDFS desde unambiente que no garantiza el uso de Kerberos.

Si se realiza correctamente (con la depuración activada) debería ver un mensajesimilar al siguiente:

s3curl: Found the url: host=203.0.113.10; port=9020; uri=/S3B4; query=;s3curl: ordinary endpoint signing cases3curl: StringToSign='PUT\n\n\nThu, 12 Dec 2013 07:58:39+0000\nx-amz-acl:public-read-write\nx-emc-file-system-access-enabled:true\nx-emc-dataservice-vpool:urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global:\n/S3B4's3curl: exec curl -H Date: Thu, 12 Dec 2013 07:58:39 +0000 -HAuthorization: AWSroot:AiTcfMDhsi6iSq2rIbHEZon0WNo= -H x-amz-acl: public-read-write -L -H content-type:--data-binary -X PUT -H x-emc-file-system-access-enabled:true-H x-emc-dataservice-vpool:urn:storageos:ObjectStore:e0506a04-340b-4e78-a694-4c389ce14dc8: http://203.0.113.10:9020/S3B4

Puede enumerar las categorías mediante la interfaz de S3, mediante:

./s3curl.pl --debug --id=my_profile http://<DataNodeIP>:9020/

Convenciones de denominación de depósitos y clavesLos nombres de depósitos y objetos/claves deben ajustarse a las especificaciones queaquí se presentan.

l Depósito S3 y denominación de objetos en ECS en la página 123

l Contenedor OpenStack Swift y denominación de objetos en ECS en la página 124



l Depósito Atmos y denominación de objetos en ECS en la página 124

l Pool CAS y denominación de objetos en ECS en la página 124

Nota

Si desea utilizar un depósito para HDFS, no debe utilizar guiones bajos en el nombredel depósito, ya que no son compatibles con la clase URI Java. Por ejemplo,viprfs://my_bucket.ns.site/ no funcionará debido a que es un URI no válido yHadoop no lo comprenderá.

Nombre de espacio de nombresLas siguientes reglas se aplican a la denominación de espacios de nombres de ECS:

l No puede ser nulo o una cadena vacía

l El rango de longitud es 1..255 (Unicode)

l Los caracteres válidos se definen en la expresión regular /[a-zA-Z0-9-_]+/. Por lotanto:

n Caracteres alfanuméricos

n Caracteres especiales: guión (-) y guión bajo (_).

Depósito S3 y denominación de objetos en ECSEn este tema se detallan las reglas que se aplican a la denominación de depósito yobjetos cuando se utiliza la API de objetos S3 de ECS.

Nombre de depósitoLas siguientes reglas se aplican a la denominación de depósitos S3 en ECS:

l Los nombres deben tener entre uno y 255 caracteres de longitud. (S3 requierenombres de depósito con una longitud de 1 a 255 caracteres).

l Los nombres pueden incluir caracteres de punto (.), guión (-) y guión bajo (_),además de caracteres alfanuméricos ([a-zA-Z0-9]).

l Los nombres pueden comenzar con un guión (-) o caracteres alfanuméricos.

l El nombre no admite lo siguiente:

n Un punto (.) al inicio

n Un doble punto (..)

n Un punto (.) al final

n El nombre no debe tener el formato de direcciones IPv4.

Puede comparar esto con las restricciones de nombres de la especificación S3: http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html.

Nombre de objetoLas siguientes reglas se aplican a la denominación de objetos S3 de ECS:



l No hay validación de caracteres.


Depósito S3 y denominación de objetos en ECS 123

http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html

http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html

Contenedor OpenStack Swift y denominación de objetos en ECSEn este tema se detallan las reglas que se aplican a la denominación de depósitos yobjetos cuando se utiliza la API de objetos OpenStack Swift de ECS.

Nombre del contenedorLas siguientes reglas se aplican a la denominación de contenedores Swift:



l Los caracteres válidos se definen en la expresión regular /[a-zA-Z0-9\\.\\-_]+/

n Caracteres alfanuméricos

n Caracteres especiales: punto (.), guión (-) y guión bajo (_).

Nombre de objetoLas siguientes reglas se aplican a la denominación de objetos Swift:




Depósito Atmos y denominación de objetos en ECSEn este tema se detallan las reglas que se aplican a la denominación de depósito yobjetos cuando se utiliza la API de objetos Atmos de ECS.

Subgrupo de usuarios (depósito)Lo crea el servidor, por lo que el cliente no necesita saber el esquema dedenominación.

Nombre de objetoLas siguientes reglas se aplican a la denominación de objetos Atmos:




El nombre debe ser UTF-8 con codificación porcentual.

Pool CAS y denominación de objetos en ECSEn este tema se detallan las reglas que se aplican a la denominación de pools y objetosCAS ("clips" en la terminología de CAS) cuando se utiliza la API de CAS.

Denominación de pool de CASLas siguientes reglas se aplican a la denominación de pools de CAS en ECS:

l un máximo de 255 caracteres

l no puede contener: ' " / & ? * < > <tabulador> <nueva_línea> o <espacio>

Denominación de clipNo hay claves definidas por el usuario en la API de CAS. Cuando una aplicación queutiliza la API de CAS crea un clip, abre un pool, crea un nuevo clip y agrega etiquetas,atributos, flujos, etc. Después de que se completa un clip, se escribe en un dispositivo.



El motor CAS devuelve un identificador C-Clip correspondiente, y se puede hacerreferencia a este con <nombre de pool>/<Identificador C-Clip>.


Pool CAS y denominación de objetos en ECS 125

CAPÍTULO 12

Configurar el acceso a archivos de NFS

l Acceso a archivos de NFS................................................................................ 128l Soporte del Portal de ECS para la configuración de NFS.................................. 129l Tareas de configuración de ECS NFS............................................................... 132l Mejores prácticas cuando se utiliza NFS de ECS.............................................. 147l Permisos para el acceso multiprotocolo (crosshead)........................................ 147l Resumen de la API del archivo.......................................................................... 150

Configurar el acceso a archivos de NFS 127

Acceso a archivos de NFSCon ECS, los depósitos de objetos se podrán configurar para permitir el acceso comosistemas de archivos de NFS mediante NFSv3.

Para permitir que los usuarios de Unix accedan al sistema de archivos, ECSproporciona un mecanismo de asignación de usuarios de objetos de ECS a los usuariosde Unix. Un depósito de ECS siempre tiene un propietario, y asignar al propietario deldepósito a un ID de Unix le dará permisos en el sistema de archivos a ese usuario deUnix. Además, ECS activa la asignación de un grupo personalizado predeterminado aldepósito de modo que los miembros de un grupo de Unix asignado al grupopersonalizado predeterminado de ECS puedan acceder al depósito.

Además, ECS es compatible con el acceso multiprotocolo, de modo que también sepuede acceder a los archivos escritos con NFS a través de los protocolos de objetosS3, OpenStack Swift y EMC Atmos. De manera similar, los objetos escritos mediantelos protocolos de objetos S3 y OpenStack Swift pueden estar disponibles a través deNFS. Para Atmos, los objetos creados mediante la interfaz del espacio de nombres sepueden enumerar mediante NFS, a diferencia de los que se crean mediante un ID deobjeto. Del mismo modo que el depósito en sí, los usuarios y los miembros del grupo deUnix pueden acceder a los objetos y a los directorios creados mediante protocolos deobjetos mediante la asignación de los usuarios y de los grupos de objetos.

ECS NFS proporciona el bloqueo de asesoría y es compatible con:

l Bloqueos de diversas zonas

l Bloqueos exclusivos y compartidos

ECS NFS es compatible con la seguridad de Kerberos.

Acceso multiprotocolo a archivos y directoriosECS es compatible con la escritura de objetos mediante el protocolo de S3 y con elacceso a ellos como archivos mediante NFS. De manera inversa, es compatible con laescritura de archivos mediante NFS y con el acceso a ellos como objetos mediante elprotocolo de S3. Es importante comprender cómo se administran los directorioscuando se utiliza el acceso multiprotocolo.

El protocolo de S3 no realiza aprovisionamiento para la creación de carpetas/directorios.

Para habilitar la operación de multiprotocolo, el soporte de ECS para el protocolo deS3 hace oficial el uso de “/” y crea objetos de “directorio” para todas las rutasintermedias en un nombre de objeto. Por lo tanto, un objeto llamado “/a/b/c.txt” darácomo resultado la creación de un objeto de archivos llamado “c.txt” y objetos dedirectorio para “a” y “b”. Tenga en cuenta que estos objetos de directorio no estánexpuestos al cliente mediante S3 y solo se mantienen a fin de proporcionar accesomultiprotocolo y compatibilidad con las API basadas en el sistema de archivos. Estosignifica que cuando se visualiza el depósito como un sistema de archivos NFS/HDFS,ECS puede mostrar archivos dentro de una estructura de directorio.

Limitaciones

1. Puede surgir un problema en el que se cree un objeto de directorio y un objeto dearchivo con el mismo nombre. Esto puede ocurrir de las siguientes maneras:



l Si se crea un archivo “path1/path2” a partir de NFS, entonces se crea unobjeto “path1/path2/path3” a partir de S3. Dado que S3 permite la creación deobjetos que tengan otro nombre de objeto como prefijo, esta es una operaciónválida y es compatible. Sin embargo, en este punto habrá un archivo y undirectorio denominados “path2”.

l Si se crea un directorio “path1/path2” de NFS, entonces se crea un objeto“path1/path2” de S3. Una vez más, esta es una operación válida de S3, ya queel directorio “path1/path2” no es visible a través de la API de S3. Sin embargo,en este punto habrá un archivo y un directorio denominados “path2”.

Para resolver esta situación, las solicitudes de S3 siempre devolverán el archivo ylas solicitudes de NFS siempre devolverán el directorio. Sin embargo, esto significaque, en el primer caso, el objeto que S3 creó ocultará el archivo que NFS creó.

2. NFS no es compatible con nombres de archivo que tengan un “/” al final de ellos,pero esto se puede admitir en el protocolo de S3. En esos casos, NFS no mostraráestos archivos.

Falla del nodo y del sitioNFS proporciona un espacio de nombres único en todos los nodos ECS y puedecontinuar funcionando en caso de falla del nodo o del sitio.

Cuando monte una exportación de NFS, puede especificar cualquiera de los nodos deECS como el servidor NFS, o bien, puede especificar la dirección de un balanceador decarga. Sin importar el nodo que designe, ECS es capaz de resolver la ruta del sistemade archivos.

Falla del nodoEn caso de falla de un nodo, ECS recuperará los datos mediante sus fragmentos dedatos. Si se configura la exportación de NFS para las escrituras asíncronas, se corre elriesgo de perder datos relacionados con las transacciones que aún no se han escrito enel disco. Sucede lo mismo con cualquier implementación de NFS.

Si montó el sistema de archivos con la designación de un nodo de ECS y este falla,deberá volver a montar la exportación mediante la especificación de un nodo diferentecomo el servidor NFS. Si montó la exportación con la dirección del balanceador decarga, este último se encargará de la falla del nodo y dirigirá automáticamente lassolicitudes a un nodo diferente.

Falla del sitioEn el caso de falla del sitio, si el balanceador de carga puede redirigir el tráfico a unsitio diferente, la exportación de NFS continuará disponible. De lo contrario, deberávolver a montar la exportación desde otro sitio que no esté fallido.

Cuando se produce una falla en el sitio primario y se requiere que ECS vuelva a realizaruna configuración para designar un sitio secundario, se pueden perder datos debido alas escrituras asíncronas de NFS y a las operaciones de replicación de datos de ECS nofinalizadas.

Soporte del Portal de ECS para la configuración de NFSEl Portal de ECS proporciona soporte para la creación de exportaciones de NFS y parala asignación de usuarios de ECS a fin de que puedan acceder a la exportación de NFS.

La página Manage > File del Portal de ECS permite a un administrador configurar lasexportaciones de NFS y las asignaciones de usuarios y grupos. La página incluye lasvistas de exportaciones y de asignación de usuarios/grupos. El área de exportacionesse muestra de forma predeterminada. La capacidad de configurar las exportaciones de


Falla del nodo y del sitio 129

NFS y las asignaciones de usuarios también está disponible mediante la REST API deadministración de ECS y la CLI.

Se describen las páginas en los siguientes temas:

l Exportaciones en la página 130

l Asignaciones de usuario/grupo en la página 131

ExportacionesLa vista de exportaciones muestra las exportaciones de NFS que se han creado y lepermite crear exportaciones de NFS nuevas, así como editar las existentes.

La vista de exportaciones se muestra a continuación.

Esta vista ofrece un menú de espacio de nombres que le permite seleccionar el espaciode nombres para el cual desea ver las exportaciones definidas en la actualidad. Loscampos siguientes se muestran en la tabla de exportaciones:

Campo Descripción

Espacio de nombres El grupo de usuarios/espacio de nombres al que pertenece elalmacenamiento subyacente.

Depósito El depósito que proporciona el almacenamiento subyacente para laexportación de NFS.

Ruta de exportación El punto de montaje asociado con la exportación. Esto ocurre del siguiente modo: /<namespace_name>/<bucket_name>/<export_name>. El nombre de la exportación solo se especificará si planea exportar un directorio que exista en el depósito.

Acciones Las acciones que pueden ejecutarse en la entrada de la tabla deexportaciones. Consta de: Edit y Delete.

Puede utilizar Edit para ver los hosts que pueden acceder a la

exportación y las opciones de NFS que se hayan configurado para laexportación.



La página también proporciona acceso al botón New Export para que se agregue unaexportación.

Asignaciones de usuario/grupoECS almacena el propietario y el grupo del depósito y de los archivos y directoriosdentro del depósito, como nombre de usuario de objetos de ECS y nombres de grupopersonalizados, respectivamente. Los nombres deben asignarse a los ID de Unix paraque los usuarios de NFS puedan tener acceso con los privilegios correspondientes.

La asignación permite que ECS trate a un usuario de objetos de ECS y a un usuario deNFS como el mismo usuario, pero con dos conjuntos de credenciales, uno paraacceder a ECS mediante NFS y otro para acceder a ECS mediante los protocolos deobjetos. Debido a la asignación de las cuentas, los archivos escritos por un usuarioNFS serán accesibles como objetos para el usuario de objetos asignado, y los objetosescritos por los usuarios de objetos serán accesibles como archivos para el usuarioNFS.

Los permisos asociados con el objeto o el archivo se basarán en una asignación entrelos privilegios de la ACL del protocolo de objetos y POSIX. La asignación se describedetalladamente en Permisos para el acceso multiprotocolo (crosshead) en la página147.

La página Manage > File del Portal de ECS proporciona acceso a una vista deasignación de usuarios/grupos que muestra una tabla sobre esta asignación.

La vista proporciona un selector de espacio de nombres que permite que se muestrenen la tabla los usuarios y los grupos configurados para el espacio de nombresseleccionado. La tabla de asignación de usuarios/grupos muestra los siguientescampos:

Campo Descripción

User/Group Name El nombre de usuario de objeto del usuario.

ID El ID de usuario o de grupo de Unix que se asignó al usuario deobjetos.

Tipo Indica si el ID es para un usuario o grupo.


Asignaciones de usuario/grupo 131

Campo Descripción

Acciones Las acciones que se pueden ejecutar en la entrada. Estos son: View y

Delete.

Se pueden agregar nuevas asignaciones mediante el botón New User/GroupMapping.

Tareas de configuración de ECS NFSPara configurar ECS NFS, se deben ejecutar las siguientes tareas:

Procedimiento

1. Creación de un depósito para NFS mediante el portal de ECS en la página 132

2. Adición de una exportación de NFS en la página 134

3. Adición de una asignación de usuarios o de grupos en la página 137

4. Configuración de la seguridad de NFS con Kerberos en la página 139

Creación de un depósito para NFS mediante el portal de ECSUtilice el Portal de ECS para crear un depósito configurado para su uso con NFS.

Antes de comenzar

l Debe ser un administrador de espacio de nombres o un administrador del sistemapara crear un depósito en el Portal de ECS.

l Si es un administrador de espacio de nombres puede crear depósitos en el espaciode nombres.

l Si es un administrador del sistema puede crear un depósito que pertenezca acualquier espacio de nombres.

Los pasos que se proporcionan aquí se enfocan en la configuración que debe ejecutarpara hacer que un depósito sea adecuado para su uso con NFS. El depósito que creaes un depósito S3 habilitado para el uso con el sistema de archivos.

Procedimiento

1. En el portal de ECS, seleccione Manage > Buckets > New Bucket.

2. Ingrese un nombre para el depósito.

3. Especifique el espacio de nombres al que pertenecerá el depósito.

4. Seleccione un grupo de replicación o déjelo en blanco a fin de usar el grupo dereplicación predeterminado para el espacio de nombres.

5. Ingrese el nombre del propietario del depósito.

6. No habilite CAS.

Nota

Un depósito que está diseñado para usarse como NFS no se puede utilizar paraCAS. El control de CAS está deshabilitado cuando se activa el sistema dearchivos.



7. Habilite cualquier otra función de depósito que necesite.

Puede habilitar cualquiera de las siguientes funciones en un depósito NFS:

l Cuota

l Cifrado del lado del servidor

l Búsqueda de metadatos


l Cumplimiento de normas (ver nota)

l Retención del depósito

Consulte Conceptos del depósito en la página 104 para obtener informaciónsobre cada uno de estos ajustes y cómo configurarlos.

Nota

No se puede escribir a un depósito que está habilitado para el cumplimiento denormas a través del protocolo NFS. Sin embargo, se pueden leer datos escritosdesde NFS mediante protocolos de objetos.

8. Seleccione Enabled para la opción File System.

Una vez habilitados, los controles para configurar un grupo predeterminado parael sistema de archivos/depósito y para asignar permisos de grupo a los archivosy a los directorios creados en el depósito están disponibles.

9. En el panel File System que se muestra a continuación, escriba un nombre parael grupo de depósito predeterminado.

Este grupo será el que se asociará con el sistema de archivos raíz de NFS y contodos los archivos o directorios creados en la exportación de NFS. Permite a losusuarios que son miembros del grupo acceder a la exportación de NFS y a losarchivos y a los directorios.

Este grupo se debe especificar en la creación del depósito. Si no estáespecificado, el grupo se tendrá que asignar más adelante desde el cliente deNFS.

10. Establezca los permisos predeterminados para los archivos y los directorioscreados en el depósito mediante el protocolo de objetos.


Creación de un depósito para NFS mediante el portal de ECS 133

Esta configuración se utiliza para aplicar permisos de grupo de Unix a losobjetos creados mediante protocolos de objetos.

El protocolo de S3 no tiene el concepto de grupos, por lo que no existe ningunaoportunidad para establecer permisos de grupo en S3 y asignarlos a lospermisos de Unix. Por lo tanto, esto proporciona una oportunidad única paraque se asigne un archivo o un directorio creado mediante el protocolo de S3 algrupo predeterminado especificado con los permisos que se mencionan aquí.

a. Establezca los permisos correspondientes a la opción Group File Permissionshaciendo clic en los botones de los permisos adecuados.

Normalmente, se establecerán permisos de lectura y ejecución.

b. Establezca los permisos correspondientes a la opción Group DirectoryPermissions haciendo clic en los botones de los permisos adecuados.

Normalmente, se establecerán permisos de lectura y ejecución.

11. Haga clic en Save para crear el depósito.

Adición de una exportación de NFSLa página File > Exports le permite crear una exportación de NFS y configurar lasopciones que controlan el acceso a la exportación.

Antes de comenzar

Se debe haber creado el depósito que proporcionará el almacenamiento subyacentepara la exportación.

Procedimiento

1. Seleccione la página File > Exports > New Export.

Se muestra el panel de exportación de archivos nuevos. A continuación, semuestra un ejemplo del panel con una exportación configurada para que loshosts del cliente de NFS puedan acceder a ella.



2. En el campo de Namespace, seleccione el espacio de nombres que posee eldepósito que desea exportar.

3. En el campo Bucket, seleccione el depósito correspondiente.

4. En el campo Export Path, especifique la ruta.

ECS genera automáticamente la ruta de exportación en función del espacio denombres y del depósito. Únicamente debe ingresar un nombre si planea exportarun directorio que ya existe en el depósito. Por lo tanto, si ingresa /namespace1/bucket1/dir1, por ejemplo, debe asegurarse de que dir1 exista. Si no existe, el montaje de la exportación fallará.

5. Agregue los hosts que desea que tengan acceso a la exportación mediante lossiguientes pasos.

a. En el área Export Options, seleccione Add para agregarlos.

Se mostrará el panel Add Export Host a continuación.


Adición de una exportación de NFS 135

b. En el panel Add Export Host, especifique uno o más hosts que desea quepuedan acceder a la exportación y configurar las opciones de acceso.

Debe elegir una opción de autenticación. Esto será normalmente Sys amenos que planee configurar Kerberos. Los valores predeterminados paraPermissions (ro) y Write Transfer Policy (async) ya están configurados en elpanel Add Export Host y se transferirán al servidor de NFS. Las opcionesrestantes son las mismas que las de los valores predeterminados del servidorNFS y, por lo tanto, solo se transmitirán por ECS si las cambia.

En la siguiente tabla se muestran los parámetros que puede especificarcuando agrega un host.

Configuración Descripción

Export Host Establece la dirección IP del host o de loshosts que pueden acceder a laexportación. Se utiliza una lista separadapor comas para especificar más de unhost.

Permissions Permite que el acceso a la exportación seconfigure como de lectura/escritura o desolo lectura. Esto equivale a configurar rwo ro en /etc/exports.



Configuración Descripción

Write Transfer Policy Establece la política de transferencia deescritura como síncrona o asíncrona. Elvalor predeterminado es asíncrono.Esto equivale a configurar sync o asyncpara una exportación en /etc/exports.

Authentication Configura los tipos de autenticación queserán compatibles con la exportación.

Mounting Directories Inside Export Esta configuración determina si sepermitirán subdirectorios de la ruta deexportación como puntos de montaje. Estoes equivale a la configuración de alldiren /etc/exports.

Con la opción alldir, en caso de haber

exportado /namespace1/bucket1, por

ejemplo, también podrá montarsubdirectorios, como /namespace1/bucket1/dir1, siempre y cuando exista

el directorio.

AnonUser Establece el ID de usuario vigente paraque un usuario anónimo tenga acceso auna exportación y para que se tengaacceso raíz cuando se haya configuradoroot_squash. Este equivale a configurar

anonuid en /etc/exports.

AnonGroup Establece el ID de grupo vigente para queun grupo anónimo tenga acceso a unaexportación y para que se tenga accesoraíz cuando se haya configuradoroot_squash. Este equivale a configurar

anongid en /etc/exports.

RootSquash Determina si se permite acceso raíz en laexportación. Si no se permite acceso raíz,el UID del usuario raíz (UID = 0) se traduceal UID del usuario “nobody” o al UID quese especifica en AnonUser. Esto equivale autilizar root_squash en /etc/exports.

c. Para completar la definición de las opciones de host, seleccione Add.

6. Si desea agregar más hosts que puedan acceder a la exportación, pero condiferentes opciones, repita el paso anterior.

7. Para guardar la definición de la exportación de NFS, haga clic en Save.

Adición de una asignación de usuarios o de gruposPara proporcionar acceso NFS al sistema de archivos (depósito), debe asignar unusuario de objetos que tenga permisos en el depósito a un ID de usuario de Unix (UID)a fin de proporcionar acceso al usuario de Unix asignado. De manera alternativa, puede


Adición de una asignación de usuarios o de grupos 137

asignar un grupo personalizado de ECS que tenga permisos en el depósito a un ID degrupo de Unix (GID) para proporcionar acceso a los miembros de dicho grupo.

Antes de comenzar

l Para que funcione la asignación, debe haber un UID en el cliente NFS y el nombrede usuario debe ser un nombre de usuario de objeto de ECS.

l Para que los miembros del grupo tengan acceso al sistema de archivos, se debehaber asignado un grupo personalizado predeterminado al depósito.

l Para que los miembros del grupo tengan acceso a objetos y directorios creadosmediante protocolos de objetos, se deben haber asignado permisospredeterminados de objeto y directorio al depósito.

Procedimiento

1. En la página Manage > File, seleccione la vista User/Group Mapping.

2. Seleccione New Mapping para visualizar el formulario de asignación de usuariosnuevos que se muestra a continuación.

3. En el campo User/Group, escriba el nombre de usuario o grupo de ECS quedesea asignar.

4. Especifique el espacio de nombres al que pertenece el usuario de objetos o elgrupo personalizado de ECS, al cual asignará el usuario o el grupo de Unix.

5. En el campo UID, ingrese el ID de usuario o de grupo al que desea que el nombrede usuario de ECS se asigne.



6. Seleccione el tipo de asignación: Usuario o grupo.

7. Seleccione Save.

Configuración de la seguridad de NFS con Kerberos

Puede proteger el acceso a la exportación de NFS mediante Kerberos. Se admiten lossiguientes escenarios:

l Cliente de ECS a un único nodo de ECS. El keytab en cada ECS que desea utilizarcomo el servidor NFS debe estar especificado para ese nodo.

l Cliente de ECS a balanceador de carga. Keytab será el mismo en todos los nodosde ECS y utilizará el nombre de host del balanceador de carga.

Consulte Configuración de ECS NFS con la seguridad de Kerberos en la página 139.

Según la configuración de TI interna, puede utilizar un KDC o Active Directory (AD)como su KDC.

Para usar AD, siga los pasos en las siguientes tareas: Consulte Registre un nodo deECS con Active Directory en la página 143 y Registro de un cliente de NFS de Linuxcon Active Directory en la página 144.

Configuración de ECS NFS con la seguridad de KerberosPara configurar la autenticación de Kerberos a fin de que ECS NFS sea seguro, debeejecutar la configuración en los nodos de ECS y en el cliente de NFS, además de crearkeytabs para la entidad de seguridad del servidor de NFS y la del cliente de NFS.

Procedimiento

1. Asegúrese de que se pueda resolver el nombre de host del nodo de ECS.

Puede usar el comando hostname para asegurarse de que el nombre dedominio calificado del nodo de ECS se agregue a /etc/HOSTNAME.

dataservice-10-247-142-112:~ # hostname ecsnode1.yourco.comdataservice-10-247-142-112:~ # hostname -i10.247.142.112dataservice-10-247-142-112:~ # hostname -fecsnode1.yourco.comdataservice-10-247-142-112:~ #

2. Cree el archivo de configuración de Kerberos (krb5.conf) en el nodo de ECScomo /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.conf. A menos que ya se haya configurado el HDFS, deberá crearel directorio hdfs con los permisos 655 (drwxr-xr-x) (chmod 655 hdfs) y hacerque el usuario con el UID 444 y el grupo con el GID 444 sean los propietarios(chown 444:444 hdfs).

Cambie los permisos de archivos a 644 y haga que el usuario con el ID444(storageos) sea el propietario del archivo.

En el ejemplo que aparece a continuación, se utilizan los siguientes valores, perodebe reemplazarlos con su propia configuración.

Kerberos REALM

En este ejemplo, se encuentra configurado como NFS-REALM.

KDC

En este ejemplo, se encuentra configurado como kdcname.yourco.com.


Configuración de la seguridad de NFS con Kerberos 139

KDC Admin Server

En este ejemplo, el KDC actúa como el servidor de administración.

[libdefaults]default_realm = NFS-REALM.LOCAL

[realms]NFS-REALM.LOCAL = {

kdc = kdcname.yourco.comadmin_server = kdcname.yourco.com

}[logging]

kdc = FILE:/var/log/krb5/krb5kdc.logadmin_server = FILE:/var/log/krb5/kadmind.logdefault = SYSLOG:NOTICE:DAEMON

Nota

Si ya está configurado HDFS para Kerberos, en lugar dereemplazar /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.conf, combine la información de DOMINIO con el archivokrb5.conf existente, en caso de que sea diferente. Por lo general, no habráningún cambio a este archivo, dado que HSDF ya habrá configurado elDOMINIO. Además, HSDF ya habrá configurado el propietario y los permisospredeterminados y no requerirá ningún cambio.

3. Agregue una entidad de seguridad de host para el nodo de ECS y cree un keytabpara esta entidad.

En este ejemplo, el nombre de dominio calificado del nodo de ECS esecsnode1.yourco.com.

$ kadminkadmin> addprinc -randkey nfs/ecsnode1.yourco.comkadmin> ktadd -k /datanode.keytab nfs/ecsnode1.yourco.comkadmin> exit

4. Copie el keytab (datanode.keytab) en /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.keytab. A menos que ya sehaya configurado el HDFS, deberá crear el directorio hdfs con los permisos655 (drwxr-xr-x) (chmod 655 hdfs) y hacer que el usuario con el UID 444 y elgrupo con el GID 444 sean los propietarios (chown 444:444 hdfs).

Cambie sus permisos de archivos a 644 y haga que el usuario con el ID444(storageos) sea el propietario del archivo.

Si ya está configurado HDFS, en lugar de reemplazar /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.keytab, combineel archivo datanode.keytab en el archivo keytab existente mediantektutil. HSDF ya habrá configurado el propietario y los permisospredeterminados y no requerirá ningún cambio.

5. Descargue el archivo de política JCE “ilimitada” de oracle.com y colóquelo en eldirectorio /opt/emc/caspian/fabric/agent/services/object/data/jce/unlimited.



Kerberos puede configurarse para utilizar un tipo de cifrado seguro, comoAES-256. En esa situación, el JRE dentro de los nodos de ECS debereconfigurarse para utilizar la política “ilimitada”.

Nota

Este paso se debe ejecutar solamente si está utilizando un tipo de cifradoseguro.

Si ya está configurado el HDFS, este paso se debió haber completado en laconfiguración de HDFS Kerberos.

6. Ejecute el siguiente comando desde el interior del contenedor de objetos.

service storageos-dataservice restarthdfs

7. Para configurar el cliente, comience por asegurarse de que se pueda resolver elnombre de host del cliente.

Puede usar el comando hostname para asegurarse de que el nombre dedominio calificado del nodo de ECS se agregue a /etc/HOSTNAME.

dataservice-10-247-142-112:~ # hostname ecsnode1.yourco.comdataservice-10-247-142-112:~ # hostname -i10.247.142.112 dataservice-10-247-142-112:~ # hostname -fecsnode1.yourco.comdataservice-10-247-142-112:~ #

8. Si su cliente ejecuta SUSE Linux, asegúrese de que la líneaNFS_SECURITY_GSS="yes" no tenga comentarios en /etc/sysconfig/nfs.

9. Si se encuentra en Ubuntu, asegúrese de que la línea NEED_GSSD=yes estéen /etc/default/nfs-common.

10. Instale rpcbind y nfs-common.

Utilice apt-get o zypper. En SUSE Linux, para nfs-common, utilice:

zypper install yast2-nfs-common

De forma predeterminada, estos están desactivados en el cliente de Ubuntu.

11. Configure el archivo de configuración de Kerberos.

En el ejemplo que aparece a continuación, se utilizan los siguientes valores, perodebe reemplazarlos con su propia configuración.

Kerberos REALM

En este ejemplo, se encuentra configurado como NFS-REALM.

KDC

En este ejemplo, se encuentra configurado como kdcname.yourco.com.



KDC Admin Server

En este ejemplo, el KDC actúa como el servidor de administración.

[libdefaults]default_realm = NFS-REALM.LOCAL

[realms]NFS-REALM.LOCAL = {

kdc = kdcname.yourco.comadmin_server = kdcname.yourco.com

}[logging]

kdc = FILE:/var/log/krb5/krb5kdc.logadmin_server = FILE:/var/log/krb5/kadmind.logdefault = SYSLOG:NOTICE:DAEMON

12. Agregue una entidad de seguridad de host para el cliente de NFS y cree unkeytab para esa entidad.

En este ejemplo, el nombre de dominio calificado del cliente de NFS esnfsclient.yourco.com.

$kadminkadmin> addprinc -randkey host/nfsclient.yourco.comkadmin> ktadd -k /nkclient.keytab host/nfsclient.yourco.comkadmin> exit

13. Copie el archivo keytab (nfsclient.keytab) de la máquina KDC en /etc/krb5.keytab en la máquina del cliente de NFS.

scp /nkclient.keytab [email protected]:/etc/krb5.keytabssh [email protected] 'chmod 644 /etc/krb5.keytab'

14. Cree una entidad de seguridad para que un usuario acceda a la exportación deNFS.

$kadminkadmin> addprinc [email protected]> exit

15. Inicie sesión como raíz y agregue la siguiente entrada a su archivo /etc/fstab.

HOSTNAME:MOUNTPOINT LOCALMOUNTPOINT nfsrw,user,nolock,noauto,vers=3,sec=krb5 0 0

Por ejemplo:

ecsnode1.yourco.com:/s3/b1 /home/kothan3/1b1nfs rw,user,nolock,noauto,vers=3,sec=krb5 0 0



16. Inicie sesión con un usuario que no sea raíz y utilice kinit como el usuario queno es raíz que creó.

kinit [email protected]

17. Ahora puede montar la exportación de NFS.

Nota

El montaje como usuario raíz no solicitará el uso de kinit. Sin embargo, cuandose usa la raíz, la autenticación se realiza mediante la entidad de seguridad dehost de la máquina del cliente, en lugar de la entidad de seguridad de Kerberos.Según su sistema operativo, puede configurar el módulo de autenticación parabuscar el vale de Kerberos cuando inicie sesión para que no sea necesariobuscarlo de forma manual mediante kinit. También puede montar el recursocompartido de NFS directamente.

Registre un nodo de ECS con Active DirectoryPara usar Active Directory (AD) como el KDC para su configuración de NFS Kerberos,debe crear cuentas para el cliente y el servidor en AD y asignar la cuenta a una entidadde seguridad. Para el servidor NFS, la entidad de seguridad representa las cuentas deservicio de NFS; para el cliente de NFS, la entidad de seguridad representa la máquinade host del cliente.

Antes de comenzar

Debe tener credenciales de administrador para la controladora de dominio de AD.

Procedimiento

1. Inicie sesión en AD.

2. En Server Manager, vaya a Tools > Active Directory Users and Computers.

3. Cree una cuenta de usuario para la entidad de seguridad de NFS con el formato“nfs-<host>”. Por ejemplo: “nfs-ecsnode1”. Configure la contraseña de modoque nunca expire.

4. Cree una cuenta para usted mismo (opcional y se realiza una vez).

5. Ejecute el siguiente comando para crear un archivo keytab para la cuenta deservicio de NFS.

ktpass -princ nfs/<fqdn>REALM.LOCAL +rndPass -mapUser nfs-<host>@REALM.LOCAL -mapOp set -crypto All -ptypeKRB5_NT_PRINCIPAL -out filename.keytab

Por ejemplo, para asociar la cuenta de nfs-ecsnode1 con la entidad de seguridadinfs/[email protected], puede generar un keytab siutiliza:

ktpass -princ nfs/[email protected]+rndPass -mapUser [email protected] -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out nfs-ecsnode1.keytab



6. Importe el keytab al nodo de ECS.

ktutilktutil> rkt <keytab to import>ktutil> wkt /etc/krb5.keytab

7. Pruebe el registro ejecutando:

kinit -k nfs/<fqdn>@NFS-REALM.LOCAL

8. Consulte las credenciales almacenadas en caché mediante la ejecución delcomando klist.

9. Elimine las credenciales almacenadas en caché mediante la ejecución delcomando kdestroy.

10. Vea las entradas en el archivo keytab mediante la ejecución del comandoklist.

Por ejemplo:

klist -kte /etc/krb5.keytab

11. Siga los pasos 2 en la página 139, 4 en la página 140 y 5 en la página 140 deConfiguración de ECS NFS con la seguridad de Kerberos en la página 139 paracolocar los archivos de configuración de Kerberos (krb5.conf, krb5.keytaby jce/unlimited) en el nodo de ECS.

Registro de un cliente de NFS de Linux con Active DirectoryPara usar Active Directory (AD) como el KDC para su configuración de NFS Kerberos,debe crear cuentas para el cliente y el servidor en AD y asignar la cuenta a una entidadde seguridad. Para el servidor NFS, la entidad de seguridad representa las cuentas deservicio de NFS; para el cliente de NFS, la entidad de seguridad representa la máquinade host del cliente.

Antes de comenzar

Debe tener credenciales de administrador para la controladora de dominio de AD.

Procedimiento

1. Inicie sesión en AD.

2. En Server Manager, vaya a Tools > Active Directory Users and Computers.

3. Cree una cuenta de computadora para la máquina del cliente. Por ejemplo:"nfsclient". Configure la contraseña de modo que nunca expire.

4. Cree una cuenta para un usuario (opcional y una vez)

5. Ejecute el siguiente comando para crear un archivo keytab para la cuenta deservicio de NFS.

ktpass -princ host/<fqdn>@REALM.LOCAL +rndPass -mapUser<host>@REALM.LOCAL -mapOp set -crypto All -ptypeKRB5_NT_PRINCIPAL -out filename.keytab



Por ejemplo, para asociar la cuenta de nfs-ecsnode1 con la entidad de seguridadhost/[email protected], puede generar un keytab siutiliza:

ktpass -princ host/[email protected]+rndPass -mapUser [email protected] -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out nfsclient.keytab

6. Importe el keytab en el nodo del cliente.

ktutilktutil> rkt <keytab to import>ktutil> wkt /etc/krb5.keytab

7. Pruebe el registro ejecutando:

kinit -k host/<fqdn>@NFS-REALM.LOCAL

8. Consulte las credenciales almacenadas en caché mediante la ejecución delcomando klist.

9. Elimine las credenciales almacenadas en caché mediante la ejecución delcomando kdestroy.

10. Vea las entradas en el archivo keytab mediante la ejecución del comandoklist.

Por ejemplo:

klist -kte /etc/krb5.keytab

11. Siga los pasos 2 en la página 139, 4 en la página 140 y 5 en la página 140 deConfiguración de ECS NFS con la seguridad de Kerberos en la página 139 paracolocar los archivos de configuración de Kerberos (krb5.conf, krb5.keytaby jce/unlimited) en el nodo de ECS.

Ejemplo de montaje de una exportación de NFS

Cuando realice el montaje de una exportación, es importante que:

l Se haya asignado el nombre del propietario del depósito a un UID de Unix.

l Se haya asignado un grupo predeterminado al depósito. Para que el grupopredeterminado se muestre como el grupo de Linux asociado cuando se realiza elmontaje de la exportación, se debe crear una asignación entre su nombre y un GIDde Linux.

Los siguientes pasos proporcionan un ejemplo de cómo montar un sistema de archivosde exportación de NFS de ECS.

1. Cree un directorio en el que desea montar la exportación. El directorio y eldepósito deben pertenecer al mismo propietario.


Ejemplo de montaje de una exportación de NFS 145

En este ejemplo, utilizaremos el usuario “fred” para crear un directorio /home/fred/nfsdir en el cual se montará una exportación.

su - fredmkdir /home/fred/nfsdir

2. Como usuario raíz, monte la exportación en el punto de montaje de directorio quecreó.Por ejemplo:

mount -t nfs -o "vers=3,nolock" 10.247.179.162:/s3/tc-nfs6 /home/fred/nfsdir

Cuando monte una exportación de NFS, puede especificar el nombre o dirección IPde cualquiera de los nodos en el VDC o la dirección del balanceador de carga.

Es importante que especifique -o "vers=3"

3. Compruebe que tenga acceso al sistema de archivos como el usuario “fred”.

a. Cambie al usuario “fred”.

$ su - fred

b. Compruebe que se encuentre en el directorio en el que creó el directorio depunto de montaje.

$ pwd/home/fred

c. Enumere el directorio.

fred@lrmh229:~$ ls -altotaldrwxr-xr-x 7 fred fredsgroup 4096 May 31 05:38 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 16 May 31 05:31 .bash_historydrwxrwxrwx 3 fred anothergroup 96 Nov 24 2015 nfsdir

En este ejemplo, se puede ver que el propietario del depósito es “fred” y que seasoció un grupo predeterminado, “anothergroup”, con el depósito.

Si no se ha creado ninguna asignación de grupo o no se ha asociado un grupopredeterminado con el depósito, no verá un nombre de grupo, sino un gran valornumérico, como se muestra a continuación.

fred@lrmh229:~$ ls -altotal drwxr-xr-x 7 fred fredssgroup 4096 May 31 05:38 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 16 May 31 05:31 .bash_historydrwxrwxrwx 3 fred 2147483647 96 Nov 24 2015 nfsdir

Si olvidó la asignación de grupo, puede remediar esto mediante la creación de laasignación correspondiente en el Portal de ECS.



Puede buscar el ID de grupo si mira en /etc/group.

fred@lrmh229:~$ cat /etc/group | grep anothergroupanothergroup:x:1005:

Asimismo, también puede lograr lo anterior si agrega una asignación entre elnombre y el GID (en este caso: anothergroup =>GID 1005).

Si intenta obtener acceso al sistema de archivos montado como usuario raíz u otrousuario que no tenga permisos en el sistema de archivos, verá el signo ?, como semuestra a continuación.

root@lrmh229:~# cd /home/fredroot@lrmh229:/home/fred# ls -altotal drwxr-xr-x 8 fred fredsgroup 4096 May 31 07:00 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 1388 May 31 07:31 .bash_historyd????????? ? ? ? ? ? nfsdir

Mejores prácticas cuando se utiliza NFS de ECSSe aplican las siguientes recomendaciones cuando se realiza el montaje de lasexportaciones de NFS de ECS.

Utilice asyncDebe utilizar la opción de montaje “async” siempre que sea posible. Esta opciónreduce la latencia, mejora el rendimiento y reduce la cantidad de conexiones del clienteconsiderablemente.

Establecer wsize y rsize para reducir el tiempo de ida y vuelta del clienteCuando espera leer o escribir archivos de gran tamaño, debe asegurarse de que eltamaño de lectura o escritura de los archivos se configure adecuadamente con lasopciones de montaje rsize y wsize. Por lo general, se recomienda configurar lasopciones rsize y wsize en el valor más alto posible a fin de reducir los tiempos de ida yvuelta del cliente. Por lo general, se trata de 512 kB (524,288 B).

Por ejemplo, para escribir un archivo de 10 MB con una configuración de wsize de524,288 (512 kB), el cliente haría 20 llamadas independientes, mientras que, si eltamaño de escritura se estableciera en 32 kB, se realizarían 16 llamadas más.

Cuando se utiliza el comando de montaje, puede proporcionar el tamaño de lectura yescritura mediante el switch de opciones (-o). Por ejemplo:

# mount 10.247.97.129:/home /home -o "vers=3,nolock,rsize=524288,wsize=524288"

Permisos para el acceso multiprotocolo (crosshead)Se puede acceder a los objetos mediante NFS y utilizando el servicio de objetos. Lospermisos de la lista de control de acceso (ACL) de objetos y los permisos del sistemade archivos se almacenan para cada objeto.

Cuando se guarda un objeto mediante el protocolo de objeto, los permisos asociadoscon el propietario se asignan a los permisos de NFS y se almacenan los permisos


Mejores prácticas cuando se utiliza NFS de ECS 147

correspondientes. De manera similar, cuando se crea o modifica un objeto medianteNFS, los permisos del propietario de NFS se asignan a los permisos de objeto y sealmacenan.

El protocolo de objetos de S3 no tiene el concepto de grupos, por lo que no esnecesario que los cambios en la propiedad del grupo o en los permisos de NFS seasignen a los permisos de objeto correspondientes. Sin embargo, cuando se crea undepósito, o bien, cuando se crean objetos (el equivalente de archivos y directorios),dentro de un depósito, ECS puede asignar permisos de grupo de Unix para que losusuarios NFS puedan acceder a ellos.

Los siguientes atributos de la ACL se almacenan para NFS:

l Propietario

l Grupo

l Otros

y para el acceso a objetos, se almacenan las siguientes ACL:

l Usuarios

l Grupos personalizados

l Grupos (predefinidos)

l Propietario (un usuario específico de los usuarios)

l Grupo primario (un grupo específico de los grupos personalizados)

Nota

Puede encontrar más información acerca de las ACL de depósito ACL de depósitos enla página 111.

La siguiente tabla muestra la manera en la que los atributos de la ACL de NFS seasignan a los atributos de la ACL de objetos.

Atributo de la ACL de NFS Atributo de la ACL de objetos

Propietario Usuario que también es propietario

Grupo Grupo personalizado que también es grupoprimario

Otros Grupo predefinido

Ejemplos de esta asignación se analizan más adelante en este tema.

Las siguientes entradas de control de acceso (ACE) se pueden asignar a cada atributode la ACL.

ACE de NFS:

l Read (R)

l Write (W)

l Execute (X)

ACE de objetos:

l Read (R)

l Write (W)

l Execute (X)

l ReadAcl (RA)



l WriteAcl (WA)

l Full Control (FC)

Crear y modificar un objeto con NFS y tener acceso mediante el servicio deobjetosCuando se crea un objeto mediante el protocolo NFS, los permisos RWX delpropietario se muestran en espejo en la ACL del usuario de objetos que se designacomo el propietario del depósito. Si el propietario de NFS tiene los permisos RWX,significa que habrá un control total en la ACL de objetos.

Los permisos asignados al grupo al que pertenece el directorio o archivo NFS sereflejan en un grupo personalizado del mismo nombre, en caso de que exista. Lospermisos asociados con Others se reflejan en permisos de grupos predefinidos.

El siguiente ejemplo ilustra este escenario.

NFS ACL Setting Object ACL Setting

Owner John : RWX Users John : Full ControlGroup ecsgroup : R-X ---> Custom Groups ecsgroup : R-XOther RWX Groups All_Users : R, RA Owner John Primary Group ecsgroup

Cuando un usuario accede a ECS mediante NFS y cambia la propiedad de un objeto, elnuevo propietario hereda los permisos de la ACL del propietario. Además, a este se leotorga Read_ACL y Write_ACL. Los permisos del propietario anterior se mantienen enla ACL del usuario de objetos.

Cuando se ejecuta una operación chmod, los permisos se reflejan en la misma maneraque cuando se crea un objeto. Write_ACL se conserva en Group y en Others, en casode que exista en la ACL del usuario de objetos.

Crear y modificar objetos con el servicio de objetos y acceder mediante NFSCuando se crea un objeto con el servicio de objetos, se le otorga automáticamente elcontrol total (Full Control) al propietario del objeto. Cuando se le otorga Full Control alpropietario del objeto, se le otorgan permisos RWX al propietario del archivo. Si lospermisos del propietario están configurados en una opción diferente a Full Control, lospermisos RWX de objetos se reflejan en los permisos RWX de archivos, por lo que unpropietario de objetos con permisos RX tendrá como resultado un propietario dearchivos NFS con permisos RX.

El grupo primario de objetos, que se configura mediante el grupo predeterminado en eldepósito, se convierte en el grupo personalizado al que pertenece el objeto y lospermisos se establecen según los permisos predeterminados que se hayanconfigurado. Estos permisos se reflejan en los permisos de NFS.group. De la mismamanera que para los permisos del propietario, si el grupo personalizado de objetostiene configurado Full Control, se convierten en RWX para el grupo NFS.

Si se especifican grupos predefinidos en el depósito, estos se aplican al objeto y sereflejan en Others con respecto a las ACL de NFS.

El siguiente ejemplo ilustra este escenario.

Object ACL Setting NFS ACL Setting

Users John : Full Control Owner John : RWXCustom Groups ecsgroup : R-X ----> Group ecsgroup : R-X


Permisos para el acceso multiprotocolo (crosshead) 149

Groups All_Users : R, RA Other RWX Owner JohnPrimary Group ecsgroup

Si se asigna un nuevo propietario, los permisos asociados con ese propietario seaplican al objeto.

Resumen de la API del archivoEl acceso de NFS se puede configurar y administrar mediante la REST API deadministración de ECS.

La siguiente tabla proporciona un resumen de la API disponible.


POST /object/nfs/exports Crea una exportación. La carga útil especificala ruta de exportación, los hosts que puedenacceder a la exportación y una cadena quedefine la configuración de seguridad para laexportación.

PUT/GET/DELETE /object/nfs/exports/{id} Ejecuta la operación seleccionada en laexportación especificada

GET /object/nfs/exports Recupera todas las exportaciones de usuarioque se definieron para el espacio de nombresactual.

POST /object/nfs/users Crea una asignación entre un nombre deusuario o de grupo de objetos de ECS y un IDde usuario o de grupo de Unix.

PUT/GET/DELETE /object/nfs/users/{mappingid}

Ejecuta la operación seleccionada en elusuario especificado o en la asignación degrupo.

GET /object/nfs/users Recupera todas las asignaciones de usuarioque se definieron para el espacio de nombresactual.

La documentación de API proporciona detalles completos de la API y se puede accedera la documentación correspondiente a los métodos de exportación de NFS Referenciade API de REST de administración de ECS.





CAPÍTULO 13

Configurar servidores de notificación deeventos

l Configuración de servidores de notificación de eventos (SNMP o syslog)........152l Trabajar con los servidores de syslog y SNMP en el portal de ECS...................153l Agregar un destinatario de SNMP v2 trap........................................................ 155l Agregar un destinatario de SNMP v3 trap........................................................ 156l Agregar un servidor de syslog:..........................................................................158

Configurar servidores de notificación de eventos 151

Configuración de servidores de notificación de eventos(SNMP o syslog)

Agregue configuraciones del servidor de SNMP y syslog a fin de permitir que ECSproporcione datos de SNMP y syslog para los sistemas externos a ECS.

En ECS, hay dos tipos de servidores de notificación de eventos:

SNMP

Los servidores de protocolo simple de administración de red (SNMP), tambiénconocidos como agentes SNMP, proporcionan datos acerca de la estadística y delestado del dispositivo administrado por red a los clientes de la estación deadministración de red de SNMP.

A fin de permitir la comunicación entre los agentes SNMP y las estaciones deadministración de red de SNMP, debe configurar ambos lados para utilizar lasmismas credenciales. A fin de utilizar SNMP v2, ambos lados deben usar el mismonombre de comunidad. A fin de utilizar SNMP v3, ambos lados deben usar lamisma información correspondiente al ID del motor, al nombre de usuario, alprotocolo y a la frase de contraseña de autenticación, y al protocolo y a la frasede contraseña de privacidad.

A fin de autenticar el tráfico entre los servidores de SNMP y las estaciones deadministración de red de SNMP con la mensajería de SNMP v3 y para verificar laintegridad de los mensajes entre hosts, ECS admite el uso estándar de SNMP v3para las siguientes funciones de hash criptográfico posibles:

l Recopilación de mensaje 5 (MD5)

l Algoritmo hash seguro 1 (SHA-1)

A fin de cifrar todo el tráfico entre los servidores de SNMP y las estaciones deadministración de red de SNMP, ECS admite el cifrado del tráfico de SNMP v3mediante los siguientes protocolos criptográficos:

l Cifrado Digital Encryption Standard (con las claves de 56 bits)

l Cifrado Digital Encryption Standard (con claves de 128 bits, 192 bits o256 bits)

Nota

Es posible que el soporte para los modos de seguridad avanzada (AES192/256)que proporciona la función SNMP Trap de EMC sea incompatible condeterminados destinos de SNMP (por ejemplo, iReasoning).

Syslog

Los servidores de syslog proporcionan un método para el almacenamientocentralizado y la recuperación de mensajes de registro del sistema. ECS escompatible con el reenvío de mensajes de auditoría y alertas a servidores desyslog remotos y admite operaciones mediante los siguientes protocolos deaplicación:

l Syslog de BSD

l Syslog estructurado

Configurar servidores de notificación de eventos


Los mensajes de auditoría y alertas que se envían a los servidores de syslogtambién se muestran en el portal de ECS, con excepción de los mensajes desyslog a nivel del SO (por ejemplo, mensajes de inicio de sesión del protocolo SSHdel nodo), los cuales solo se envían a servidores de syslog y no se muestran en elportal de ECS.

Cada nodo ejecuta un servidor de syslog como un contenedor de objeto de fabric.El tráfico de mensajes se produce mediante TCP o UDP, y se considera a esteúltimo como el valor predeterminado.

ECS envía mensajes de registro de auditoría a los servidores de syslog, incluido elnivel de severidad, mediante este formato:${serviceType} ${eventType} ${namespace} ${userId} ${message}

ECS envía registros de alerta a los servidores de syslog con la misma gravedadque aparece en el portal de ECS mediante este formato:${alertType} ${symptomCode} ${namespace} ${message}

ECS envía alertas de fabric mediante este formato:Fabric {symptomCode} "{description}"

ECS reenvía los registros del SO a los servidores de syslog sin ningunamodificación.

Puede configurar la información acerca de los servidores de notificación de eventosdesde el portal de ECS (consulte Trabajar con los servidores de syslog y SNMP en elportal de ECS en la página 153) o mediante la CLI o la API REST de administración deECS. Siga los siguientes procedimientos para configurar los servidores de syslog,SNMP v2 y SNMP v3 en ECS.

l Agregar un destinatario de SNMP v2 trap en la página 155

l Agregar un destinatario de SNMP v3 trap en la página 156

l Agregar un servidor de syslog en la página 158

Trabajar con los servidores de syslog y SNMP en el portal deECS

El portal de ECS proporciona una página Settings > Event Notification paraconfigurar los servidores de SNMP.

Únicamente puede acceder a la página Event Notification si es administrador delsistema (o usuario raíz) de ECS.

La página Event Notification proporciona herramientas para mostrar y configurardestinos del servidor de SNMP y servidores de Syslog, según la configuración de losbotones de modo. Cuando elija el botón de modo SNMP, la página muestra una tabladel servidor de SNMP que indica las configuraciones del servidor de SNMP que secrearon. Cuando elija el botón de modo Syslog, la página muestra una tabla delservidor de syslog que indica las configuraciones del servidor de syslog que se crearon.

Un ejemplo de cada uno se muestra a continuación.


Trabajar con los servidores de syslog y SNMP en el portal de ECS 153

Figura 11 Página de notificación de eventos en el modo SNMP

La tabla del servidor de SNMP proporciona acceso a la siguiente información yoperaciones.


FQDN/IP Un nombre de dominio calificado o una dirección IP para eldestinatario de SNMP trap que ejecuta el servidor snmptrapd.

Port El número de puerto de snmptrapd en el destinatario de SNMP trap.

Version La versión de SNMP con la que es compatible el servidor snmptrapd.

Actions Proporciona un menú de selección de las acciones que están




Figura 12 Página de notificación de eventos en el modo syslog

La tabla de syslog proporciona acceso a las siguientes operaciones e información.


Protocol El protocolo que utiliza para comunicarse con el servidor de syslog,UDP o TCP.

FQDN/IP Un nombre de dominio calificado o una dirección IP para el nodo queejecuta el servidor de syslog.

Port El número de puerto del servicio de syslog en el servidor de syslog.

Severity La gravedad de umbral para los mensajes que se envían al registro.

Actions Proporciona un menú de selección de las acciones que están


La página Event Notification proporciona, además, acceso a los siguientes controles:


SNMP El botón de modo SNMP activa y desactiva la página para presentarla información del servidor de SNMP.

Syslog El botón de modo Syslog activa y desactiva la página para presentarla información del servidor de syslog.

New Target El botón New Target le permite configurar un nuevo servidor deSNMP. Este únicamente aparece para los servidores de SNMP.

New Server El botón New Server le permite configurar un nuevo servidor desyslog. Este control solamente aparece para los servidores de syslog.

Agregar un destinatario de SNMP v2 trapPuede configurar estaciones de administración de red como destinatarios de SNMP v2trap para SNMP traps generados por el fabric de ECS mediante la mensajería estándarde SNMP v2.


Agregar un destinatario de SNMP v2 trap 155

Antes de comenzar

l Para agregar a un destinatario de SNMP v2 trap, debe estar asignado a la funciónde administrador del sistema en ECS. El usuario raíz tiene la función deadministrador del sistema.

l Necesita acceder a las credenciales de SNMP v2 que se enumeran en Configuración del servidor de SNMP v2 en la página 156.

Procedimiento

1. En el portal de ECS, seleccione Settings > Event Notification.

2. Escriba los valores para los atributos. Consulte Configuración del servidor de SNMP v2 en la página 156.


Configuración del servidor de SNMP v2Necesita proporcionar cierta información cuando agrega o edita la configuración de unservidor de SNMP v2 para un destinatario de SNMP trap v2c.

Campo Descripción

FQDN/IP Un nombre de dominio calificado o unadirección IP para el nodo de destinatario deSNMP trap v2c que ejecuta el servidorsnmptrapd.

Port El número de puerto de SNMP v2csnmptrapd que se ejecuta en la estación de

administración de redes. Valorpredeterminado= 162.

Version La versión de SNMP para este servidor.Utilice v2.

Community Name El nombre de la comunidad de SNMP. Elservidor de SNMP y las estaciones deadministración de red que acceden a elladeben utilizar el mismo nombre de comunidada fin de garantizar el tráfico de mensajesauténtico del SNMP, según lo definen losestándares de RFC 1157 y RFC 3584. Valorpredeterminado = público.

Agregar un destinatario de SNMP v3 trapPuede configurar estaciones de administración de red como destinatarios de SNMP v3trap para SNMP traps generados por el fabric de ECS mediante la mensajería estándarde SNMP v3.

Antes de comenzar

l Para agregar a un destinatario de SNMP v3 trap, debe estar asignado a la funciónde administrador del sistema en ECS. El usuario raíz tiene la función deadministrador del sistema.

l Necesita acceder a las credenciales de SNMP v3 que se enumeran en Configuración del servidor de SNMP v3 en la página 157.



Procedimiento


2. Escriba los valores para los atributos. Consulte Configuración del servidor de SNMP v3 en la página 157.


Configuración del servidor de SNMP v3Necesita proporcionar cierta información cuando agrega o edita la configuración de unservidor de SNMP v3 para un destinatario de SNMP trap v3.

Campo Descripción

FQDN/IP Un nombre de dominio calificado o unadirección IP para el nodo de destinatario deSNMP trap v3 que ejecuta el servidorsnmptrapd.

Port El número de puerto de SNMP 3csnmptrapd que se ejecuta en la estación de

administración de redes. Valorpredeterminado= 162.

Version La versión de SNMP para este servidor.Utilice v3.

Username Un nombre de usuario para utilizar en eltráfico del mensaje y la autenticación según elmodelo de seguridad basado en el usuario(USM) que define RFC 3414. El servidor deSNMP y las estaciones de administración deredes que acceden a este deben especificar elmismo nombre de usuario a fin de garantizar lacomunicación. Se trata de una cadena deoctetos de un máximo de 32 caracteres delongitud.

Authentication Protocol La función de hash criptográfico que se utilizapara verificar la integridad de los mensajesentre los hosts. Elija entre la recopilación demensajes 5 (MD5) o el algoritmo hash seguro1 (SHA-1). Valor predeterminado = MD5.

Authentication Passphrase La cadena que se utiliza como una clavesecreta para la autenticación entre los hostsestándares de USM SNMP v3, cuando secalcula una recopilación del mensaje. La frasede contraseña puede tener una longitud de 16octetos para MD5 y de 20 octetos paraSHA-1.

Privacy Protocol El protocolo criptográfico que se utiliza en elcifrado de todo el tráfico entre los servidoresde SNMP y las estaciones de administraciónde redes de SNMP. Elija entre el cifradoDigital Encryption Standard (DES), que utilizaclaves de 56 bits, o el cifrado Advanced


Configuración del servidor de SNMP v3 157

Campo Descripción

Encryption Standard, que utiliza claves de128 bits, 192 bits o 256 bits. Valorpredeterminado= DES.

Privacy Passphrase La cadena que se utiliza en el algoritmo decifrado como una clave secreta para el cifradoentre los hosts estándares de USM SNMP v3.La longitud de esta clave DEBE ser de 16octetos para DES y más larga para losprotocolos AES.

Nota

Cuando se crea la primera configuración de SNMP v3, el sistema ECS crea un ID demotor de SNMP que se utilizará para el tráfico de SNMP v3. La página EventNotification muestra el ID de motor de SNMP en el campo Engine ID. En cambio,puede obtener un ID de motor de una herramienta de monitoreo de red y especificarloen el campo Engine ID. El problema importante es que el servidor de SNMP y lasestaciones de administración de redes de SNMP que deben comunicarse con élmediante el tráfico SNMP v3 deben usar el mismo ID de motor de SNMP en dichotráfico.

Agregar un servidor de syslogPuede configurar un servidor de syslog para que almacene remotamente mensajes deregistro de ECS.

Antes de comenzar

l Para agregar un servidor de syslog debe tener asignada la función de administradordel sistema en ECS. El usuario raíz tiene la función de administrador del sistema.

l Necesita acceder a las credenciales del servidor de syslog que se enumeran en Ajustes del servidor de syslog en la página 158.

Procedimiento


2. Escriba los valores para los atributos. Consulte Ajustes del servidor de syslog enla página 158.


Ajustes del servidor de syslogNecesita proporcionar cierta información cuando agrega o edita la configuración delservidor de syslog.

Campo Descripción

Protocol El protocolo IP que se utiliza para lacomunicación, ya sea UDP o TCP. Valorpredeterminado = UDP.



Campo Descripción

FQDN/IP Un nombre de dominio calificado o unadirección IP para el nodo que ejecuta elservidor de syslog.

Port El número de puerto para el servidor de syslogen el que desea almacenar los mensajes deregistro. Valor predeterminado = 514.

Severity La gravedad de umbral para los mensajes quese envían al registro. Elija entre estos nivelesde gravedad:

l Depurar

l Creación de informes

l Aviso

l Advertencia

l Error

l Critical

l Alerta

l Emergencia


Ajustes del servidor de syslog 159

CAPÍTULO 14

Establecer la dirección URL base

l Establecer la dirección URL base...................................................................... 162l Direccionamiento de categorías........................................................................ 162l Agregar una dirección URL base....................................................................... 165

Establecer la dirección URL base 161

Establecer la dirección URL baseLas aplicaciones que están diseñadas para utilizar Amazon S3 pueden activarse parausar el almacenamiento de objetos de ECS mediante la configuración del parámetro dela dirección URL base. La dirección URL de base se establece de formapredeterminada a amazonaws.com. En este artículo se describe cómo configurar ladirección URL de base y garantizar que las solicitudes se enruten a ECS.

Las siguientes secciones describen el esquema de direccionamiento compatible conECS, el uso del parámetro de la dirección URL base y el mecanismo para configurar losparámetros de la dirección URL base.

l Direccionamiento de categorías en la página 162

l Agregar una dirección URL base en la página 165

Direccionamiento de categoríasEl servicio S3 de ECS ofrece varias maneras de identificar el depósito en el que sedebería ejecutar la operación definida en una solicitud.

Cuando se usa el servicio de Amazon S3, todos los nombres de las categorías debenser únicos. Sin embargo, el servicio S3 de ECS admite el uso de un espacio denombres, que se puede utilizar además del nombre del depósito y que permite que losdepósitos de diferentes espacios de nombres tengan el mismo nombre. Mediante laasignación de un espacio de nombres a cada grupo de usuarios, un grupo de usuariospuede asignar nombres de categoría sin considerar los nombres utilizados actualmentepor otros grupos de usuarios. Si no se especifica un espacio de nombres en unasolicitud, ECSutilizará el espacio de nombres predeterminado asociado al grupo deusuarios al que pertenece el usuario que hace la solicitud.

El espacio de nombres que hace referencia a la ubicación de un objeto se puedeespecificar en el encabezado x-emc-namespace de una solicitud HTTP. ECS tambiénes compatible con la extracción de la ubicación desde el encabezado del host y admitelos siguientes esquemas de direccionamiento compatibles de Amazon S3:

l Direccionamiento del estilo del host virtual en la página 162

l Direccionamiento basado en rutas en la página 163

Direccionamiento del estilo del host virtualEn el esquema de direccionamiento del host virtual, el nombre de categoría aparece enel nombre del host. Por ejemplo, se podría acceder al depósito denominado"mybucket" del host ecs1.yourco.com con:

http://mybucket.ecs1.yourco.com

Además, ECS también permite la inclusión de un espacio de nombres en la dirección.Por ejemplo:

<bucketname>.<namespace>.ecs1.yourco.com

Para usar este estilo de direccionamiento, debe configurar ECS para que sepa quéparte de la URL es el nombre del depósito. Esto se logra configurando la dirección URLbase. Además, debe asegurarse de que su sistema DNS pueda resolver la dirección.Las siguientes secciones proporcionan más información:

l Configuración del DNS en la página 163

l URL de base en la página 163



Direccionamiento basado en rutasEn el esquema de direccionamiento basado en rutas, el nombre de la categoría seagrega al final de la ruta. Por ejemplo:

ecs1.yourco.com/mybucket

Mediante el encabezado x-emc-namespace, se puede especificar un espacio denombres.

Configuración del DNSCuando se obtiene acceso al almacenamiento de ECS mediante el servicio de S3, esnecesario que la URL se vincule a la dirección del nodo de datos de ECS, o alequilibrador de carga de nodos de datos.

La aplicación utiliza el direccionamiento de estilo de ruta; esto es simplemente paraasegurarse de que el nombre base pueda ser enviado por el DNS. Por ejemplo, si suaplicación normalmente emite solicitudes en el formato ecs1.yourco.com/bucket,necesitará una entrada de DNS que convierta ecs1.yourco.com en la dirección IP de suequilibrador de carga usado para acceder a los nodos de ECS. Si utiliza el servicio deAmazon, la URL tendrá este formato: s3-eu-west-1.amazonaws.com.

Cuando la aplicación utiliza el direccionamiento de estilo de host virtual, la URL incluiráel nombre de la categoría y puede incluir un espacio de nombres. En estascircunstancias, es necesario asegurarse de incluir una entrada de DNS que se vincule ala dirección de estilo de host virtual. Puede hacer esto con un comodín en la entradade DNS.

Por ejemplo, si su aplicación normalmente emite solicitudes en el formatobucket.s3.yourco.com, necesitará dos entradas de DNS.

l ecs1.yourco.com

l *.ecs1.yourco.com

O, si se utiliza una aplicación que anteriormente se conectaba al servicio de AmazonS3, con bucket.s3.amazonaws.com, las entradas serían:

l s3.amazonaws.com

l *.s3.amazonaws.com

Estas entradas permiten que se vincule el nombre base cuando se emiten comandosde nivel de servicio (por ejemplo, la lista de categorías) y que se envíe la dirección dela categoría del host virtual.

Si crea un certificado SSL para este servicio, debe tener la entrada comodín en elnombre del certificado y la versión sin comodín como un nombre alternativo del sujeto.

URL de baseSi tiene una aplicación S3 que utiliza el direccionamiento del estilo del host virtual ydesea usarla para conectarse a ECS, se debe configurar la dirección URL base parapermitir que ECS sepa qué parte de la dirección se refiere al depósito y,opcionalmente, al espacio de nombres. La dirección URL base puede establecersemediante el portal de ECS o usando API de REST de administración de ECS, y necesitala función de administrador del sistema de ECS.

La página Base URL Management muestra las direcciones URL de base que se hancreado y la forma en que ECS debe utilizarlas.


Configuración del DNS 163

Para que ECS sepa cómo tratar el prefijo de la ubicación de la categoría, se debeconfigurar la dirección URL base. Para ello, se debe seleccionar una de las siguientesopciones.

l Utilizar la dirección URL base con espacio de nombres

l Utilizar la dirección URL base sin espacio de nombres

Al procesar una solicitud, ECS:

1. Intentará extraer el espacio de nombres del encabezado del espacio de nombres dex-emc. Si lo encuentra, omita los pasos que se detallan a continuación y procese lasolicitud.

2. Obtendrá el nombre de espacios de la URL del encabezado del host y comprobarási la última parte de la dirección coincide con alguna de las direcciones URL baseconfiguradas.

3. Cuando haya una coincidencia con una dirección URL base, utilizará la parte delprefijo del nombre del host (la parte izquierda cuando se elimina la dirección URLbase), para obtener la ubicación de la categoría.

Los siguientes ejemplos muestran cómo ECS atiende las solicitudes HTTP entrantescon diferentes estructuras.

Ejemplo 1

Host: baseball.image.emc.finance.comBaseURL: finance.comUse BaseURL with namespace enabled

Namespace: emcBucket Name: baseball.image

Ejemplo 2

Host: baseball.image.emc.finance.comBaseURL: finance.comUse BaseURL without namespace enabled

Namespace: null (Use other methods to determine namespace)Bucket Name: baseball.image.emc



Ejemplo 3

Host: baseball.image.emc.finance.comBaseURL: not configured

Namespace: null (Use other methods to determine namespace.)Bucket Name: null (Use other methods to determine the bucket name.)

ECS trata esta solicitud como una al estilo de ruta.

Agregar una dirección URL baseEsta operación solo es necesaria si utiliza clientes de objetos que codifican la ubicaciónde un objeto, su espacio de nombres y depósito en una URL. En ese caso, usted puedeespecificar una dirección URL base que se utilizará, junto con el nombre de espacios,como la ruta a los objetos en un grupo de usuarios.

Antes de comenzar

Esta operación requiere la función de administrador del sistema en ECS.

Debe asegurarse de que el dominio especificado en una solicitud que utiliza una URLpara especificar una ubicación de objeto resuelva la ubicación del nodo de datos deECS o de un balanceador de carga que resida frente a los nodos de datos.

Procedimiento

1. En el portal de ECS, seleccione Settings > Object Base URLs.

2. Seleccione New Base URL.

Aparecerá la página New Base URL.

3. Introduzca el nombre de la dirección URL base. Esto proporcionará informaciónadicional sobre la dirección URL base cuando observe la tabla de la direcciónURL base.

4. Introduzca la dirección URL base.

Si las URL de ubicación de sus objetos emplean este formato: https://mybucket.mynamespace.acme.com (es decir,


Agregar una dirección URL base 165

bucket.namespace.baseurl) o https://mybucket.acme.com (esdecir, bucket.baseurl), la dirección URL base será acme.com.

Puede especificar el formato en el selector de espacio de nombres.

5. Elija el formato en el que se codifica la dirección del objeto en la URL: con unespacio de nombres o sin un espacio de nombres.

6. Seleccione Save.



CAPÍTULO 15

Configurar certificados

l Acerca de los certificados de ECS.................................................................... 168l Crear un certificado..........................................................................................168l Cargar un certificado........................................................................................ 173l Verificar certificados instalados........................................................................ 177

Configurar certificados 167

Acerca de los certificados de ECS

ECS se envía con un certificado SSL instalado en el almacenamiento de claves paracada nodo. Este certificado no será de confianza para las aplicaciones que secomunican con ECS o mediante el navegador cuando se accede a ECS a través delportal de ECS.

Para evitar que los usuarios vean un error de certificado no confiable y para quepuedan ir directamente al portal, o para permitir que las aplicaciones se puedancomunicar con ECS, debe instalar un certificado firmado por una autoridad decertificación de confianza (CA). Hasta que tenga un certificado firmado por una CA,puede generar un certificado con autofirma que puede instalarse en el almacén decertificados de todas las máquinas que accederán a ECS.

ECS utiliza dos tipos de certificados SSL:

Certificados de administración

Se utiliza cuando se realizan las solicitudes de administración mediante la APIREST de administración de ECS. Estas solicitudes de HTTPS utilizan el puerto4443.

Certificados de objeto

Se utilizan cuando se accede a ECS mediante los protocolos de objetoscompatibles. Estas solicitudes de HTTPS se encuentran en los puertos 9021 (S3),9023 (Atmos), 9025 (Swift)

Puede cargar un certificado con autofirma, un certificado firmado por una autoridadCA, o bien, en el caso de un certificado de objeto, puede solicitar a ECS que le genereuno.

Estos tipos de pares de clave y certificado pueden cargarse a ECS mediante la APIREST de administración de ECS en el puerto 4443.

En los siguientes temas se explica cómo crear, cargar y verificar certificados:

l Crear un certificado en la página 168l Cargar un certificado en la página 173l Verificar certificados instalados en la página 177

Crear un certificado

Existen dos opciones para la generación de un certificado. Puede generar uncertificado con autofirma o comprar uno de una autoridad de certificación (CA). Parafines de prueba, por lo general, se acepta el certificado con autofirma, pero es posibleque requiera realizar algunos pasos adicionales para hacer que los clientes validen elcertificado (por ejemplo, instalarlo en su almacenamiento de claves). Para fines deproducción, se recomienda ampliamente un certificado firmado por una autoridad decertificación, debido a que cualquier cliente lo puede validar sin realizar pasosadicionales.

El certificado debe estar en formato codificado pem x509.

Cuando se crea un certificado, normalmente se especifica el nombre de host donde seutilizará el certificado. Dado que ECS tiene varios nodos y cada uno tiene su propionombre de host, la instalación de un certificado creado para un nombre de hostespecífico podría provocar un error de coincidencia de nombre común en los nodosque no cuentan con ese nombre de host. Los certificados pueden crearse con



direcciones IP alternativas o nombres de host denominados nombres alternativos desujeto (SAN).

Para lograr la máxima compatibilidad con los protocolos de objetos, el nombre común(CN) en el certificado debe apuntar a la entrada de DNS comodín utilizada por S3,dado que S3 es el único protocolo que utiliza depósitos alojados virtualmente (y, por lotanto, inserta el nombre del depósito en el nombre de host). Solo puede haber unaentrada de comodín en un certificado SSL y debe estar bajo el CN. Las otras entradasde DNS para el balanceador de carga de los protocolos Atmos y Swift se debenregistrar como nombres alternativos de sujeto (SAN) en el certificado.

En los temas de esta sección se mostrará información sobre cómo generar uncertificado o una solicitud de certificado mediante OpenSSL; sin embargo, suorganización de TI puede tener diferentes requisitos y procedimientos para generarcertificados.

Crear una clave privadaSe requiere la creación de una clave privada para firmar certificados con autofirma ypara que pueda utilizarse a fin de crear solicitudes de firma.

Antes de comenzar

El protocolo SSL utiliza criptografía de clave pública, lo que requiere una clave privaday una pública. La primera etapa para configurarla es crear una clave privada; la clavepública se crea automáticamente mediante la clave privada cuando crea un certificadoo una solicitud de firma de certificado.Los siguientes pasos muestran el uso de la herramienta de openssl para generar unaclave privada.

Procedimiento

1. Inicie sesión en un nodo de ECS o en un nodo que se pueda conectar al clústerde ECS.

2. Utilice la herramienta openssl para generar una clave privada.

Por ejemplo, cree una clave denominada key.pem:

openssl genrsa -out key.pem 2048

3. Cuando se le solicite, escriba una frase de contraseña para la clave privada yvuelva a escribirla para verificarla.

Si ingresa una frase de contraseña para la clave privada, deberá crear una copiade la clave sin la frase de contraseña antes de cargar la clave a ECS.

4. Establezca los permisos en el archivo de clave.

chmod 0400 key.pem

Generar una configuración de SANSi desea que los certificados puedan admitir nombres alternativos de sujeto (SAN),debe definir los nombres alternativos en un archivo de configuración.

OpenSSL no le permite pasar nombres alternativos de sujeto (SAN) a través de la líneade comandos, por lo que tiene que volver a agregarlos a un archivo de configuraciónprimero. Para hacerlo, tendrá que ubicar el archivo de configuración de OpenSSLpredeterminado. En Ubuntu, esto se encuentra en /usr/lib/ssl/openssl.cnf.


Crear una clave privada 169

Procedimiento

1. Cree el archivo de configuración.

cp /usr/lib/ssl/openssl.cnf request.conf

2. Edite el archivo de configuración con un editor de texto y realice los siguientescambios.

a. Agregue los [alternate_names].

Por ejemplo:

[ alternate_names ]DNS.1 = os.example.comDNS.2 = atmos.example.comDNS.3 = swift.example.com

Nota

Hay un espacio entre el corchete y el nombre de la sección.

Si está cargando los certificados a los nodos de ECS en lugar de a unbalanceador de carga, el formato sería:

[ alternate_names ]IP.1 = <IP node 1>IP.2 = <IP node 2>IP.3 = <IP node 3>...

b. En la sección [ v3_ca ], agregue las siguientes líneas:

subjectAltName = @alternate_namesbasicConstraints = CA:FALSEkeyUsage = nonRepudiation, digitalSignature, keyEnciphermentextendedKeyUsage = serverAuth

Es probable que la siguiente línea ya exista en esta sección [v3_ca]. Si estácreando una solicitud de firma de certificado, debe ingresar un comentariocomo se muestra a continuación:

#authorityKeyIdentifier=keyid:always,issuer

c. En la sección [ req ], agregue las siguientes líneas:

x509_extensions = v3_ca #for self signed certreq_extensions = v3_ca #for cert signing req



d. En la sección [CA_default], quite los comentarios o agregue la línea:

copy_extension=copy

Creación de una solicitud de firmaCree una solicitud de firma que pueda enviar a una CA para obtener un certificadofirmado. Como alternativa, puede usar la solicitud de firma para crear un certificadocon autofirma.

Antes de comenzar

l Debe haber creado una clave privada mediante el procedimiento descrito en Crearuna clave privada en la página 169.

l Si tiene pensado crear certificados que usan SAN, debe crear un archivo deconfiguración de SAN mediante el procedimiento descrito en Generar unaconfiguración de SAN en la página 169.

Procedimiento

1. Utilice la clave privada para crear una solicitud de firma de certificado.

Se muestran dos maneras de crear la solicitud de firma. Una de ellas tiene lugarcuando ya preparó un archivo de configuración de SAN para especificar elnombre del servidor alternativo, la otra se aplica cuando no lo ha hecho, peroplanea introducirlo en la línea de comandos.

Si usa SAN:

openssl req -new -key key.pem -config request.conf -out cert.csr

Si no lo hace, utilice:

openssl req -new -key key.pem -out cert.csr

Cuando se crea una solicitud de firma, se le pedirá que proporcione el nombredistinguido (DN) que consta de un número de campos. Se requiere solamente elnombre común y puede aceptar los valores predeterminados para los demásparámetros.

2. En los indicadores, complete los campos correspondientes al DN del certificado.

La mayoría de los campos son opcionales. Sin embargo, debe ingresar unnombre común (CN).

Nota

El CN debe ser un nombre de dominio calificado. Incluso si está instalando elcertificado en los nodos de ECS, debe usar un nombre de dominio calificado, ytodas las direcciones IP deben estar en la sección de nombres alternativos.

Los indicadores que verá se muestran a continuación:

You are about to be asked to enter information that will be


Creación de una solicitud de firma 171

incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:Locality Name (eg, city) []:Organization Name (eg, company) [Internet Widgits Pty Ltd]:AcmeOrganizational Unit Name (eg, section) []:Common Name (e.g. server FQDN or YOUR name) []:*.acme.comEmail Address []:

Se puede obtener más información sobre los campos de DN en la siguientetabla.

Nombre Explicación Ejemplo

Nombre común (CN) El nombre de dominiocalificado (FQDN) de suservidor. Este es el nombreque especificó cuando instalóla aplicación virtual.

*. yourco.comstorage-vapp.yourco.com

Organización El nombre legal de suorganización. Esto no se debeabreviar y debe incluir sufijoscomo Corp, Inc o LLC.

Yourco Inc.

Unidad organizacional La división de su organizaciónque maneja el certificado.

Departamento de TI

Ciudad o localidad El estado o la región donde seubica su organización. Estainformación no se debeabreviar.

Mountain View

Estado/Provincia La ciudad donde se ubica suorganización.

California

País El código ISO de dos letraspara el país donde se ubica suorganización.

EE UU

Dirección de correoelectrónico

Una dirección de correoelectrónico para comunicarsecon su organización.

[email protected]

3. Se le pedirá que introduzca una contraseña de comprobación y el nombre deuna empresa.

Please enter the following 'extra' attributesto be sent with your certificate request



A challenge password []:An optional company name []:

No debe usar una contraseña. Si lo hace, se deberá quitar antes de que secargue el certificado.

Puede quitar la contraseña mediante lo siguiente:

openssl rsa -in originalkeywithpass.key -out newkeywithnopass.key

Resultados

Ahora que tiene una solicitud de firma de certificado, puede enviarla a su CA, que ledevolverá un archivo de certificado firmado. La solicitud de firma también puedeusarse para crear un certificado con autofirma.

Crear un certificado con autofirma desde una solicitud de firmaCrear un certificado con autofirma.

Antes de comenzar

l Debe haber creado un certificado una solicitud de firma de certificado mediante elprocedimiento descrito en Creación de una solicitud de firma en la página 171.

Procedimiento

1. Utilice la solicitud de firma de certificado que generó para crear un certificado.

openssl x509 -req -days 366 -in cert.csr -signkey key.pem -out cert.crt

2. Ver el certificado.

openssl x509 -in cert.crt -noout -text

Ejemplo de salida:

Signature oksubject=/C=US/ST=GA/L=ATL/O=ACME/OU=ENG/CN=fred/[email protected] Private key

Cargar un certificado

Se proporcionan los siguientes procedimientos a fin de permitirle cargar certificadosde datos o de administración a ECS. Independientemente del tipo de certificado que seesté cargando, debe realizar la autenticación con la API.

l Autenticación con la API REST de administración de ECS en la página 174

l Cargar un certificado de administración en la página 174


Crear un certificado con autofirma desde una solicitud de firma 173

l Cargar un certificado de datos para los terminales de acceso a datos en la página176

Autenticación con la API REST de administración de ECSPara ejecutar comandos de la API REST de administración de ECS, primero debeautenticar con el servicio de API y obtener un token de autenticación.

Procedimiento

1. Autentique con la API REST de administración de ECS y obtenga un token deautenticación que puede utilizarse cuando se usa la API para cargar o verificarlos certificados.

a. Ejecute lo siguiente:

export TOKEN=`curl -s -k -v -u <user>:<password> https://$(hostname -i):4443/login 2>&1 | grep X-SDS-AUTH-TOKEN | awk '{print $2, $3}'`

El nombre de usuario y la contraseña son los que se usan para acceder alportal de ECS. La dirección public_ip es la dirección IP pública del nodo.

b. Verifique que el token se exporte correctamente.

echo $TOKEN

Ejemplo de salida:

X-SDS-AUTH-TOKEN:BAAcTGZjUjJ2Zm1iYURSUFZzKzhBSVVPQVFDRUUwPQMAjAQASHVybjpzdG9yYWdlb3M6VmlydHVhbERhdGFDZW50ZXJEYXRhOjcxYjA1ZTgwLTNkNzktNDdmMC04OThhLWI2OTU4NDk1YmVmYgIADTE0NjQ3NTM2MjgzMTIDAC51cm46VG9rZW46YWMwN2Y0NGYtMjE5OS00ZjA4LTgyM2EtZTAwNTc3ZWI0NDAyAgAC0A8=

Cargar un certificado de administraciónCargue un certificado de administración que se utilice para autenticar el acceso a losterminales de administración como el portal de ECS y la API REST de administraciónde ECS.

Antes de comenzar

l Asegúrese de haber autenticado con la API REST de administración de ECS yalmacenado el token en una variable ($TOKEN) como se describe en Autenticacióncon la API REST de administración de ECS en la página 174.

l La carga se ejecuta mediante la API REST de administración de ECS y debeasegurarse de que la máquina que utilice tenga un cliente REST adecuado (comocurl) y que pueda acceder a los nodos de ECS mediante la API de REST deadministración de ECS.

l Asegúrese de que su clave privada y su certificado estén disponibles en la máquinadesde la cual desea ejecutar la carga.

Procedimiento

1. Asegúrese de que su clave privada no tenga una frase de contraseña.



Si lo hace, puede crear una copia con la frase de contraseña eliminada mediante:

openssl rsa -in key.pem -out key_nopass.pem

2. Cargar el almacenamiento de claves para la ruta de datos mediante su claveprivada y certificado firmado.

curl -svk -H "$TOKEN" -H "Content-type: application/xml" -H "X-EMC-REST-CLIENT: TRUE" -X PUT -d "<rotate_keycertchain><key_and_certificate><private_key>`cat <private_key>`</private_key><certificate_chain>`cat<CERTFILE.CRT>`</certificate_chain></key_and_certificate></rotate_keycertchain>" https://<ecs_node_address>:4443/vdc/keystore

Se debe reemplazar PRIVATE_KEY y CERTFILE.CRT con la ruta y los archivosde certificado.

3. Inicie sesión en uno de los nodos de ECS como el usuario administrador.

4. Verifique que el archivo MACHINES tenga todos los nodos en él.

El archivo MACHINES se utiliza por los scripts de contenedor de ECS queejecutan comandos en todos los nodos, como viprexec.

Para la versión 2.2.1 y superiores, el archivo MACHINES se encuentra en /home/admin. Para las versiones de ECS anteriores a la versión 2.2.1, el archivoMACHINES se encuentra en /root.

a. Mostrar el contenido del archivo MACHINES.

Para la versión 2.2.1 o superior, utilice:

cat /home/admin/MACHINES

Para versiones anteriores, utilice:

cat /root/MACHINES

b. Si el archivo MACHINES no contiene todos los nodos, vuelva a crearlo.

Para la versión 3.0, utilice:

getrackinfo -c MACHINES

Para la versión 2.2.1, utilice:

/usr/sbin/getrackinfo -c MACHINES

Nota

En la versión 2.2.1, se eliminó el acceso a los nodos como raíz y el acceso serealiza a través de la cuenta de usuario del administrador.


Cargar un certificado de administración 175

Se especifica la ruta completa al comando getrackinfo, de modo que no seanecesario utilizar sudo. El uso de sudo haría que el archivo MACHINESpasara a ser propiedad de raíz.

Para versiones anteriores, utilice:

getrackinfo -c /root/MACHINES

Verifique que el archivo MACHINES contenga ahora todos los nodos.

5. Una vez que se hayan aplicado los certificados de administración, reinicieobjcontrolsvc y nginx.

a. Reinicie los servicios de objetos.

viprexec -f ~/MACHINES -i 'pidof objcontrolsvc; kill `pidof objcontrolsvc`; sleep 60; pidof objcontrolsvc'

b. Reinicie el servicio nginx:

sudo -i viprexec -i -c "/etc/init.d/nginx restart;sleep 60;/etc/init.d/nginx status"

6. Puede verificar que el certificado se haya cargado correctamente mediante elsiguiente procedimiento: Verificar el certificado de administración en la página177.

Cargar un certificado de datos para los terminales de acceso a datosCargar un certificado de datos que se utiliza para autenticar el acceso para S3, Atmoso Swift.

Antes de comenzar


l La carga se realiza mediante la API REST de administración de ECS y debeasegurarse de que la máquina que utilice tenga un cliente REST adecuado (comocurl) y que tenga acceso a los nodos de ECS mediante la API REST deadministración de ECS.

l Asegúrese de que su clave privada y su certificado estén disponibles en la máquinadesde la cual desea ejecutar la carga.

Procedimiento

1. Asegúrese de que su clave privada no tenga una frase de contraseña.

Si lo hace, puede crear una copia con la frase de contraseña eliminada mediante:

openssl rsa -in key.pem -out key_nopass.pem

2. Cargar el almacenamiento de claves para la ruta de datos mediante su claveprivada y certificado firmado.

curl -svk -H "$TOKEN" -H "Content-type: application/xml" -H "X-EMC-REST-CLIENT: TRUE" -X PUT -d "<rotate_keycertchain>



<key_and_certificate><private_key>`cat <PRIVATE_KEY>`</private_key><certificate_chain>`cat<CERTFILE.CRT>`</certificate_chain></key_and_certificate></rotate_keycertchain>" https://<ecs_node_address>:4443/object-cert/keystore

Se debe reemplazar PRIVATE_KEY y CERTFILE.CRT con la clave y los nombresde archivos del certificado.

Nota

No es necesario reiniciar los servicios cuando se cambia el certificado de datos,dataheadsvc se reiniciará automáticamente en cada nodo dos horas a partir dela actualización del certificado.

3. Puede verificar que el certificado se haya cargado correctamente mediante elsiguiente procedimiento: Verificar el certificado de objeto en la página 178.

Verificar certificados instaladosEl certificado de objeto y el certificado de administración tienen su propias solicitudesGET de API de administración de ECS a fin de recuperar el certificado instalado.

l Verificar el certificado de administración en la página 177

l Verificar el certificado de objeto en la página 178

Verificar el certificado de administraciónLa API REST de administración de ECS proporciona métodos para recuperar loscertificados instalados.

Antes de comenzar


l Si reinició servicios, el certificado estará disponible inmediatamente; de locontrario, deberá esperar 2 horas para asegurarse de que el certificado se hapropagado a todos los nodos.

Procedimiento

1. Utilice el método GET /vdc/keystore para devolver el certificado.

Mediante curl, se puede ejecutar el método de la siguiente manera:

curl -svk -H "X-SDS-AUTH-TOKEN: $TOKEN" https://x.x.x.x:4443/vdc/keystore

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><certificate_chain><chain>-----BEGIN CERTIFICATE-----MIIDgjCCAmoCCQCEDeNwcGsttTANBgkqhkiG9w0BAQUFADCBgjELMAkGA1UEBhMC VVMxCzAJBgNVBAgMAkdBMQwwCgYDVQQHDANBVEwxDDAKBgNVBAoMA0VNQzEMMAoG A1UECwwDRU5HMQ4wDAYDVQQDDAVjaHJpczEsMCoGCSqGSIb3DQEJARYdY2hyaXN0


Verificar certificados instalados 177

b3BoZXIuZ2hva2FzaWFuQGVtYy5jb20wHhcNMTYwNjAxMTg0MTIyWhcNMTcwNjAy MTg0MTIyWjCBgjELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkdBMQwwCgYDVQQHDANB VEwxDDAKBgNVBAoMA0VNQzEMMAoGA1UECwwDRU5HMQ4wDAYDVQQDDAVjaHJpczEs MCoGCSqGSIb3DQEJARYdY2hyaXN0b3BoZXIuZ2hva2FzaWFuQGVtYy5jb20wggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDb9WtdcW5HJpIDOuTB7o7ic0RK dwA4dY/nJXrk6Ikae5zDWO8XH4noQNhAu8FnEwS5kjtBK1hGI2GEFBtLkIH49AUp c4KrMmotDmbCeHvOhNCqBLZ5JM6DACfO/elHpb2hgBENTd6zyp7mz/7MUf52s9Lb x5pRRCp1iLDw3s15iodZ5GL8pRT62puJVK1do9mPfMoL22woR3YB2++AkSdAgEFH 1XLIsFGkBsEJObbDBoEMEjEIivnTRPiyocyWki6gfLh50u9Y9B2GRzLAzIlgNiEs L/vyyrHcwOs4up9QqhAlvMn3Al01VF+OH0omQECSchBdsc/R/Bc35FAEVdmTAgMB AAEwDQYJKoZIhvcNAQEFBQADggEBAAyYcvJtEhOq+n87wukjPMgC7l9n7rgvaTmo tzpQhtt6kFoSBO7p//76DNzXRXhBDADwpUGG9S4tgHChAFu9DpHFzvnjNGGw83ht qcJ6JYgB2M3lOQAssgW4fU6VD2bfQbGRWKy9G1rPYGVsmKQ59Xeuvf/cWvplkwW2 bKnZmAbWEfE1cEOqt+5m20qGPcf45B7DPp2J+wVdDD7N8198Jj5HJBJt3T3aUEwj kvnPx1PtFM9YORKXFX2InF3UOdMs0zJUkhBZT9cJ0gASi1w0vEnx850secu1CPLF WB9G7R5qHWOXlkbAVPuFN0lTav+yrr8RgTawAcsV9LhkTTOUcqI= -----END CERTIFICATE-----</chain></certificate_chain>

2. También puede verificar el certificado mediante openssl en todos los nodos.

openssl s_client -showcerts -connect <NODE_IP>:<port>

Nota

El puerto de administración está 4443

Por ejemplo:

openssl s_client -showcerts -connect 10.1.2.3:4443

Verificar el certificado de objetoLa API REST de administración de ECS proporciona métodos para recuperar loscertificados instalados.

Antes de comenzar


l Si reinició servicios, el certificado estará disponible inmediatamente; de locontrario, deberá esperar 2 horas para asegurarse de que el certificado se hapropagado a todos los nodos.



Procedimiento

1. Utilice el método GET /object-cert/keystore para devolver el certificado.

Mediante curl, se puede ejecutar el método de la siguiente manera:

curl -svk -H "X-SDS-AUTH-TOKEN: $TOKEN" https://x.x.x.x:4443/object-cert/keystore

2. También puede verificar el certificado mediante openssl en todos los nodos.

openssl s_client -showcerts -connect <NODE_IP>:<port>

Nota

Los puertos son: s3: 9021, Atmos: 9023, Swift: 9025

Por ejemplo:

openssl s_client -showcerts -connect 10.1.2.3:9021


Verificar el certificado de objeto 179

CAPÍTULO 16

Bloquear el acceso remoto a los nodos

l Bloquear el acceso remoto a los nodos............................................................. 182l Bloqueo y desbloqueo de nodos........................................................................ 183

Bloquear el acceso remoto a los nodos 181

Bloquear el acceso remoto a los nodosUtilice el portal de ECS para bloquear el acceso remoto a los nodos.

Tipos de accesoECS se puede configurar de las siguientes maneras:

1. Mediante el portal ECS o la API de administración de ECS.

2. Si se conecta de forma directa a un nodo mediante el switch de administración conuna laptop de servicio y si se usa el protocolo SSH o la CLI para accederdirectamente al sistema operativo del nodo.

3. Si se conecta de forma remota a un nodo en la red mediante el protocolo SSH o laCLI para acceder directamente al sistema operativo del nodo.

El bloqueo de nodos proporciona otra capa de seguridad contra el acceso remoto anodos de todas las cuentas. Sin el bloqueo de nodos, cualquier cuenta con privilegiosde nivel de nodo, como las cuentas admin, service o emc, pueden acceder de formaremota a los nodos en cualquier momento para recopilar datos, configurar el hardwarey ejecutar comandos de Linux. Si se bloquean todos los nodos en un clúster, entoncesse puede planear y programar el acceso remoto para una ventana definida queminimice la oportunidad de actividades no autorizadas.

Mediante el portal de ECS o la API de administración de ECS, puede bloquear losnodos seleccionados en un clúster o todos los nodos del clúster. Hacerlo únicamenteafecta la capacidad de acceso de manera remota (mediante el protocolo SSH) a losnodos bloqueados. El bloqueo no cambia la manera en la que el portal de ECS y las APIde administración de ECS acceden a los nodos y no afecta la capacidad de conectarsedirectamente a un nodo.

Administrador de bloqueoPara bloquear y desbloquear nodos se requiere que el usuario sea un administrador debloqueo. El administrador de bloqueo es un usuario local aprovisionado previamentedenominado emcsecurity. Los administradores de bloqueo solo pueden cambiar suscontraseñas y bloquear y desbloquear nodos. La función del administrador de bloqueono se puede asignar a otro usuario.

Los administradores y los monitores del sistema pueden ver el estado de bloqueo delos nodos.

Para obtener instrucciones sobre el bloqueo y desbloqueo de nodos, consulte losiguiente: Bloqueo y desbloqueo de nodos.

MantenimientoSi se requiere periódicamente el mantenimiento de nodos mediante el acceso remoto,puede desbloquear un solo nodo para permitir el acceso remoto a todo el clústermediante el protocolo SSH con la cuenta admin o emc. Una vez que el usuarioautorizado inicia sesión correctamente en el nodo desbloqueado mediante el protocoloSSH, el usuario puede ejecutar dicho protocolo desde ese nodo a cualquier otro nododel clúster por medio de la red privada.

También debe desbloquear un nodo para usar de forma remota los comandos queproporcionan los diagnósticos de solo lectura de nivel del sistema operativo.

AuditoríaLos eventos de bloqueo y desbloqueo de nodo se capturan en los registros de auditoríay también se envían a syslog. También se registran los errores de los intentos debloqueo o desbloqueo.



API de administración de ECSLas siguientes API le permiten administrar los bloqueos de nodos.

Recurso Descripción

GET /vdc/nodes Obtiene los nodos de los datos que estánactualmente configurados en el clúster

GET /vdc/lockdown Obtiene el estado de bloqueado odesbloqueado de un VDC

PUT /vdc/lockdown Establece el estado de bloqueado odesbloqueado de un VDC

PUT /vdc/nodes/{nodeName}/lockdown Establece el estado de bloqueo o desbloqueode un nodo

GET /vdc/nodes/{nodeName}/lockdown Obtiene el estado de bloqueo o desbloqueo deun nodo

Bloqueo y desbloqueo de nodosUtilice el portal para bloquear y desbloquear el acceso remoto del protocolo SSH a losnodos.

Antes de comenzar

Esta tarea solo la puede realizar el administrador de bloqueo (inicio de sesión:emcsecurity).

El bloqueo de un nodo solo evita el acceso remoto del protocolo SSH o la CLI alsistema operativo del nodo. El bloqueo o desbloqueo de un nodo no tiene ningúnefecto en las funciones del portal de ECS o la API de administración de REST, o en lasconexiones directas a un nodo de forma local y posteriormente el uso del protocoloSSH o la CLI.

Procedimiento

1. Inicie sesión como emcsecurity.

Si se trata del primer inicio de sesión desde esta cuenta, se le solicitará cambiarla contraseña y volver a iniciar sesión.

2. En el panel de navegación izquierdo, seleccione Settings > Platform Locking.

La pantalla muestra los nodos del clúster y muestra su estado de bloqueo.


Bloqueo y desbloqueo de nodos 183

Los estados del nodo son:

l Desbloqueado: Muestra un ícono de candado verde abierto y el botón deacción Lock.

l Bloqueado: Muestra un icono de candado cerrado rojo y el botón de acciónUnlock.

l Offline: Muestra el ícono de un círculo con una barra diagonal y no hay botónde acción debido a que el nodo es inaccesible y no se puede determinar elestado de bloqueo.

3. Elija:

Opción Descripción

Bloquear Para bloquear un nodo desbloqueado. Cualquier usuario quehaya iniciado sesión actualmente de manera remota medianteel protocolo SSH o la CLI tendrá aproximadamente cincominutos para salir antes de que se cierre su sesión. Apareceráun mensaje de apagado inminente en la pantalla terminal delusuario.

Desbloquear Para desbloquear un nodo bloqueado. Un usuario conprivilegios ahora podrá iniciar sesión remotamente en el nodomediante el protocolo SSH o la CLI después de unos minutos.

Bloquear elVDC

Esta conveniente función bloquea todos los nodosdesbloqueados en el VDC siempre y cuando estén en línea.No establece un estado en el que se bloqueeautomáticamente cualquier nodo nuevo u offline una vez quese haya detectado.



PARTE 3

Monitoreo

Capítulo 17, "Aspectos básicos del monitoreo"

Capítulo 18, "Monitoreo de la medición"

Capítulo 19, "Monitoreo de eventos"

Capítulo 20, "Monitorear la utilización de la capacidad"

Capítulo 21, "Monitorear las métricas de tráfico"

Capítulo 22, "Monitorear el estado del hardware"

Capítulo 23, "Monitoreo del estado del nodo y del proceso"

Capítulo 24, "Monitorear el resumen de fragmentos"

Capítulo 25, "Monitoreo de codificación de eliminación"

Capítulo 26, "Monitorear el estado de recuperación"

Capítulo 27, "Monitoreo del ancho de banda del disco"

Capítulo 28, "Monitoreo de la geo-replicación"

Capítulo 29, "Registros de servicio"

Monitoreo 185

Monitoreo


CAPÍTULO 17

Aspectos básicos del monitoreo

l Uso del monitoreo de páginas........................................................................... 188

Aspectos básicos del monitoreo 187

Uso del monitoreo de páginasPresenta las técnicas básicas para el uso de las páginas de monitoreo en el portal deECS.

Las páginas de monitoreo del portal de ECS comparten un conjunto de interaccionescomunes. Son los siguientes:

l Actualizar: el icono de actualización le permite actualizar la pantalla de monitoreocon los últimos datos.Figura 13 Actualizar

l Filtrar: llene los campos de filtro y el rango de fechas y seleccione Filter paramostrar las filas de resultados que coinciden con todos los campos de filtro. Elrango de fechas predeterminado es siempre ayer y hoy.

l Desglose de pantallas con rutas de navegación: Las rutas de navegación permitenver rápidamente un panorama general cuando ha desglosado los detalles en laspantallas. Consulte la figura "Navegar con rutas de navegación" que se muestra acontinuación.

l Gráficas de historial con mouse-overs de izquierda a derecha: Obtenga gráficasdetalladas que muestran snapshots cada hora de los datos de los últimos cinco díasque puede consultar usando el mouse como un cursor gráfico de izquierda aderecha. Consulte el siguiente ejemplo. Consulte la figura "Gráfico de historial concursor activo" que se muestra a continuación.

El filtro de monitoreo estándar proporciona la capacidad para acotar los resultados porhora y fecha. Está disponible en varias páginas de monitoreo. Algunas páginas tienentipos de filtro adicionales. Seleccione un rango de tiempo y un rango de fechas, hagaclic en Apply y se cierra el panel Filter y se actualiza el contenido de la página.Seleccione el icono de perno para mantener el panel Filter abierto después de aplicar elfiltro.

Figura 14 Abrir el panel Filter con los criterios seleccionados

Cuando el panel Filter se cierra, se muestra un resumen del filtro aplicado junto con elcomando Clear Filter y un comando Refresh.

Figura 15 El panel Closed Fiter muestra un resumen del filtro aplicado

El texto resaltado en una fila de la tabla indica un vínculo a una vista detallada. Alseleccionar el vínculo se llega al siguiente nivel de detalle. En las vistas desglosadas,una cadena de ruta muestra su ubicación actual en la secuencia de las vistasdesglosadas. Esta cadena de ruta se llama ruta de navegación. Al seleccionar cualquierruta de navegación resaltada se muestra la vista asociada.



Figura 16 Rutas de navegación

Al seleccionar un botón History, todas las gráficas disponibles para esa fila semuestran debajo de la tabla. Pase el mouse sobre una tabla de izquierda a derechapara ver una línea vertical que le ayuda a encontrar un punto específico por fecha yhora en la gráfica. Una pantalla emergente muestra el valor y el registro de fecha yhora para ese punto.


Uso del monitoreo de páginas 189

Figura 17 Gráfica de Historial con cursor activo



CAPÍTULO 18

Monitoreo de la medición

l Monitoreo de los datos de medición..................................................................192

Monitoreo de la medición 191

Monitoreo de los datos de mediciónDescribe cómo mostrar los datos de medición de los espacios de nombres o depósitosdentro de los espacios de nombres por un período de tiempo especificado.

Los datos de medición disponibles se detallan en Medición de datos en la página 193.

Utilizando el API de REST de administración de ECS puede recuperar datos medianteprogramación con clientes personalizados. El apoyo a esta función y otrascaracterísticas que permiten la administración de un grupo de usuarios se proporcionóen Administración de un grupo de usuarios. La API de REST de administración de ECSreferencia se proporciona aquí.

Procedimiento

1. En el portal de ECS, seleccione Monitor > Metering.

2. Desde el menú Date Time Range, seleccione el período para el que deseaconsultar los datos de medición. Seleccione Actual para ver los datos demedición actuales. Seleccione Personalizado para especificar un rango de fechay hora personalizado.

Si selecciona Personalizado, utilice los calendarios Desde y Hasta paraseleccionar el período de tiempo para el que se mostrarán los datos.

Los datos de medición se mantienen durante 60 días.

3. Seleccione el espacio de nombres para el que desea mostrar datos de medición.Para acotar la lista de espacios de nombres, escriba las primeras letras delespacio de nombres objetivo y haga clic en el icono de lupa.

Si es un administrador de espacio de nombres, solo podrá seleccionar su espaciode nombres.

4. Haga clic en el icono + que se encuentra al costado de cada espacio de nombrespara consultar los datos de objetos que desea.

5. De manera opcional, haga clic en el icono + que se encuentra al costado de cadadepósito para consultar los datos de objetos que desea.

Para acotar la lista de depósitos, escriba las primeras letras del depósitoobjetivo y haga clic en el icono de lupa.

Si no especifica un depósito, los datos de medición del objeto serán los totalespara todos los depósitos en el espacio de nombres.




Figura 18 Página de medición con los criterios seleccionados

6. Haga clic en Apply para mostrar los datos de medición para el espacio denombres y el depósito seleccionados, y el período de tiempo.

Medición de datosEs posible obtener, durante un período definido de tiempo, los datos de medición deobjetos para un espacio de nombres especificado, o un depósito especificado dentrode un espacio de nombres, en la página del ECS portal Monitor > Metering.

En la siguiente tabla se muestra la información de medición proporcionada.

Tabla 8 Medición del depósito y el espacio de nombres


Total Size (GB) El tamaño total de los objetos almacenados en el espacio denombres o depósito seleccionado en el momento de lafinalización especificado en el filtro.

Object Count Cantidad de objetos asociados con el espacio de nombres odepósito seleccionado en el momento de la finalizaciónespecificado en el filtro.

Objects Created Número de objetos creados en el espacio de nombres odepósito seleccionado en el período de tiempo.

Objects Deleted Número de objetos eliminados del espacio de nombres odepósito seleccionados en el período de tiempo.


Medición de datos 193

Tabla 8 Medición del depósito y el espacio de nombres (continuación)


Bandwidth Ingress (MB) Total de datos de objetos entrantes (escrituras) para elespacio de nombres o depósito seleccionados durante elperíodo especificado.

Bandwidth Egress (MB) Total de datos de objetos salientes (lecturas) para el espaciode nombres o depósito seleccionados durante el períodoespecificado.

Nota

Los datos de medición no están disponibles de inmediato, ya que puede tardar unacantidad significativa de tiempo el recopilar las estadísticas de los datos añadidos alsistema y eliminados del sistema.



CAPÍTULO 19

Monitoreo de eventos

l Acerca del monitoreo de eventos......................................................................196l Monitorear datos de auditoría...........................................................................196l Monitoreo alertas..............................................................................................197

Monitoreo de eventos 195

Acerca del monitoreo de eventosDescribe las funciones de monitoreo de eventos del portal de ECS.

La página de eventos en el menú Monitor muestra:

l Panel de auditoría: Toda la actividad de los usuarios que trabajan con el portal, laAPI de REST de ECS y la CLI ECS.

l Panel Alerts: Alertas emitidas por el sistema ECS.

Los datos de eventos del Portal de ECS se limitan a 30 días. Si necesita mantener losdatos de eventos durante más tiempo, considere el uso de ViPR SRM.

Monitorear datos de auditoríaUtilice el panel de auditoria de la página Events para ver y administrar los datos deauditoría.

Consulte el Apéndice A: Mensajes de auditoría.

Procedimiento

1. Seleccione Audit.

2. De manera opcional, seleccione Filter.

3. Especifique un Data Time Range y ajuste los campos From y To y los camposde hora.

4. Seleccione un Namespace.

5. Haga clic en Apply.



Monitoreo alertasUse el panel Alerts de la página Eventos para ver y administrar las alertas del sistema.

Consulte el Apéndice A: Mensajes de alerta.

Las etiquetas de gravedad en los mensajes de alerta tienen los siguientes significados:

l CRITICAL: Mensajes acerca de las condiciones que requieren atención inmediata.

l ERROR: Mensajes acerca de las condiciones de error que informan una falla físicao del software.

l ADVERTENCIA: Mensajes acerca de las condiciones inferiores al nivel óptimo.

l INFO: Mensajes de estado de rutina.

Procedimiento

1. Seleccione Alerts.

2. De manera opcional, haga clic en Filter.

3. Seleccione sus filtros. El filtro de alertas agrega filtrado según la gravedad y eltipo con las opciones Severity y Type, así como una opción para mostrar lasalertas confirmadas, Show Acknowledged Alerts, que conserva la visualizaciónde una alerta incluso una vez confirmada por el usuario.


Monitoreo alertas 197

Los tipos de alerta se deben ingresar exactamente como se describe en la tablasiguiente:

Tabla 9 Tipos de alerta

Alerta (ingresar tal comoaparecen)

Descripción

License Se emite para alertas de licencia o capacidad.

Notify Se emite para alertas misceláneas.

Fabric Se emite cuando se detectan problemas delsistema.

BUCKET_HARD_QUOTA_EXCEEDED Se emite cuando se supera la cuota en un depósito

NAMESPACE_HARD_QUOTA_EXCEEDED

Se emite cuando se supera la cuota en un espaciode nombres.

DTSTATUS_RECENT_FAILURE Se emite cuando una tabla de datos se encuentraen mal estado.

CHUNK_NOT_FOUND Se emite cuando no se encuentran los datos delfragmento.

FILE_NOT_FOUND Se produce cuando no se encuentra un archivo.

FILE_DATA_CORRUPTED Se produce cuando un archivo contiene datosdañados.

VPOOL_FREE_SPACE_CRITICAL Se produce cuando el pool de almacenamiento estáen una capacidad de 90 % o más.

4. Seleccione un Namespace.



5. Haga clic en Apply.

6. Al costado de cada evento, haga clic en el botón Acknowledge para confirmar ydescartar el mensaje (si el filtro Show Acknowledged Alerts no estáseleccionado).


Monitoreo alertas 199

CAPÍTULO 20

Monitorear la utilización de la capacidad

l Monitoreo de la capacidad............................................................................... 202

Monitorear la utilización de la capacidad 201

Monitoreo de la capacidadPuede monitorear la utilización de la capacidad de los pools de almacenamiento, losnodos y los discos.

Las tablas de capacidad y las pantallas se muestran en Capacidad de almacenamientode datos en la página 202. Cada tabla tiene una pantalla de Historial asociada que lepermite ver cómo los datos de la tabla han cambiado con el tiempo.

Utilizando el API de REST de administración de ECS puede recuperar datos medianteprogramación, utilizando clientes personalizados. El apoyo a esta función y otrascaracterísticas que permiten la administración de un grupo de usuarios se proporcionóen Administración de un grupo de usuarios. La API de REST de administración de ECSreferencia se proporciona aquí.

Procedimiento

1. En el portal de ECS, seleccione Monitor > Capacity Utilization.

2. Usted puede profundizar en los nodos y en los discos individuales seleccionandoel vínculo apropiado en la tabla.

Se proporciona orientación sobre cómo navegar las tablas en Uso del monitoreode páginas en la página 188.

3. Para mostrar la forma en que la capacidad ha cambiado con el tiempo,seleccione History para el pool de almacenamiento, el nodo, o el disco que leinterese.

Capacidad de almacenamiento de datosLa capacidad de almacenamiento para pools de almacenamiento, nodos y discos sepuede mostrar en la página Monitor > Capacity Utilization.

Las áreas de utilización de la capacidad se describen en:

l Storage Pool Capacity en la página 202

l Utilización del nodo de capacidad en la página 204

l Utilización de la capacidad de disco en la página 205

Los valores de la tabla representan los valores actuales cuando el filtro actual (CurrentFilter) está seleccionado, o los valores promedio de la métrica durante el períodoseleccionado en el filtro.

Storage Pool Capacity

Tabla 10 Utilización de la capacidad: Pool de almacenamiento


Pool de almacenamiento Nombre del pool de almacenamiento.

Nodes (Online) Cantidad de nodos en el pool de almacenamiento seguida de lacantidad de dichos nodos en línea actualmente. Haga clic en elnúmero de nodo que se va a abrir: Utilización del nodo decapacidad en la página 204.

Online Nodes with SufficientDisk Space

Cantidad de nodos en línea que tienen suficiente espacio endisco para aceptar los datos nuevos. Si muchos discos están




Tabla 10 Utilización de la capacidad: Pool de almacenamiento (continuación)


demasiado llenos como para aceptar los datos nuevos, elrendimiento del sistema puede verse afectado.

Disks (Online) Cantidad de discos en el pool de almacenamiento seguida de lacantidad de dichos discos que están en línea actualmente.

Online Usable Capacity Capacidad útil total del pool de almacenamiento que está enlínea actualmente. Esta es la capacidad total ya utilizada y lacapacidad todavía disponible para asignación.

Online Used Capacity Capacidad en línea utilizada en el pool de almacenamiento.

Online Available Capacity Capacidad en línea disponible para usarse.

Offline Capacity Capacidad total que está actualmente offline.

Actions History proporciona una representación gráfica de los datos.

Si se selecciona el filtro Current, el botón History muestrael historial predeterminado de las últimas 24 horas.

La pantalla del historial de la tabla de utilización de la capacidad del pool dealmacenamiento se muestra a continuación.


Capacidad de almacenamiento de datos 203

Utilización del nodo de capacidad

Tabla 11 Utilización de la capacidad: Nodo


Nodes Dirección IP del nodo.

Disks Cantidad de discos asociados al nodo. Haga clic en el número de nodo que se planea abrir: Utilización de la capacidad de disco en la página 205.

Online Usable Capacity Capacidad en línea total que se puede utilizar. proporcionadapor los discos dentro del nodo. Esta es la capacidad total yautilizada y la capacidad todavía disponible para asignación.

Online Used Capacity La capacidad en línea utilizada dentro del nodo.

Online Available Capacity Capacidad en línea restante disponible en el nodo.

Offline Capacity Capacidad total del nodo que está actualmente offline.

Online Status Indica si el nodo está en línea u offline. Una marca deverificación indica que el estado del nodo es bueno.



La pantalla del historial de la tabla de utilización de la capacidad del nodo se muestra acontinuación.



Utilización de la capacidad de disco

Tabla 12 Utilización de la capacidad: Disco


Disks Identificador de disco.

Usable Capacity La capacidad utilizable proporcionada por el disco.

Used Capacity Capacidad usada del disco.

Available Capacity Capacidad restante disponible en el disco.

Online Status Indica si el disco está en línea u offline. La marca deverificación indica que el disco se encuentra en buen estado.



La pantalla del historial de la tabla de utilización del disco se muestra a continuación.


Capacidad de almacenamiento de datos 205

CAPÍTULO 21

Monitorear las métricas de tráfico

l Monitoreo de tráfico de red............................................................................. 208

Monitorear las métricas de tráfico 207

Monitoreo de tráfico de redDescribe la página de monitoreo del portal de ECS para el tráfico de red.

La página Monitor > Traffic Metrics proporciona mediciones de tráfico de red a nivelde centro de datos virtual o de nodo individual. Las gráficas muestran los datos de losúltimos siete días.Los valores de la tabla representan los valores actuales cuando el filtro actual estáseleccionado, o bien, los valores promedio de la métrica durante el períodoseleccionado en el filtro.

Tabla 13 Métricas de tráfico de red

Metric label Descripción

VDC Haga clic en un nombre de VDC para consultarlas métricas de tráfico por nodo.

Read Latency (ms) Latencia promedio para lecturas enmilisegundos.

Write Latency (ms) Latencia promedio para escrituras enmilisegundos.

Read Bandwidth Ancho de banda para lecturas.

Write Bandwidth Ancho de banda para escrituras.

Read Transactions (per second) Transacciones de lectura por segundo.

Write Transactions (per second) Transacciones de escritura por segundo.

History History proporciona una representacióngráfica de los datos.

Si el filtro actual se encuentra seleccionado, el botón History muestra el historial predeterminado de las últimas 24 horas.

Procedimiento

1. Seleccione Monitor > Traffic Metrics.

2. Busque el nombre de VDC objetivo.

3. Opcionalmente, seleccione el nombre de VDC para un desglose de la vista denodos.

4. Seleccione el botón History para el VDC o nodo objetivo.



Figura 19 Gráficas de tráfico de red para un VDC

5. Seleccione el panel de Failures by type.

La opción Failures by type de ECS enumera el código de error con mayorfrecuencia en la parte superior. El usuario tiene la capacidad de ordenar encualquiera de las columnas.


Monitoreo de tráfico de red 209

Los errores de usuario son tipos de errores conocidos que se originan desde loscabezales (por lo general, un código de error HTTP de 4xx).

Los errores de sistema son solicitudes fallidas asociadas con errores dehardware o de servicio (por lo general, un código de error HTTP de 5xx).



CAPÍTULO 22

Monitorear el estado del hardware

l Monitoreo de hardware.....................................................................................212

Monitorear el estado del hardware 211

Monitoreo de hardwareDescribe el uso de la página Monitor > Hardware Health.

El estado del hardware se designa con tres estados:

l Bueno: El componente de hardware se encuentra en condiciones defuncionamiento normal.

l Sospechoso: El componente de hardware está en transición de buenfuncionamiento a mal funcionamiento como muestra la disminución de las métricasde hardware, o bien hay un problema con un componente de hardware de bajonivel, o el sistema no detecta el hardware debido a problemas de conectividad.

l Defectuoso: El hardware necesita reemplazarse.

En el caso de los discos, estos estados tienen los siguientes significados, así como dosestados más:

l Bueno: El sistema está leyendo y escribiendo activamente en el disco.

l Sospechoso: El sistema ya no escribe en el disco, pero lee de él. Tenga en cuentaque los "enjambres" de discos sospechosos son probablemente causados porproblemas de conectividad en un nodo. Estos discos harán la transición de vuelta albuen funcionamiento cuando los problemas de conectividad desaparezcan.

l Defectuoso: El sistema no lee ni escribe en el disco. Reemplace el disco. Una vezque un disco se ha identificado como defectuoso en el sistema de ECS, no sepuede volver a utilizar en el sistema de ECS. Debido a la protección de datos deECS, cuando falla un disco, se vuelven a crear copias de los datos que estaban enel disco en otros discos del sistema. Una unidad defectuosa solo representa unapérdida de capacidad para el sistema, no una pérdida de datos. Cuando sesustituye el disco, el nuevo disco no tiene los datos restaurados. Simplemente seconvierte en capacidad cruda para el sistema.

l Faltante: El disco es un disco conocido que no está disponible. El disco se puedeencontrarse en transición entre estados, desconectado o extraído.

l Extraído: Un disco extraído es aquel al que el sistema le realizó una recuperación ylo quitó de la lista de discos válidos del motor de almacenamiento.

Procedimiento

1. Seleccione Monitor > Hardware Health.

2. Encuentre la fila de la tabla del pool de almacenamiento objetivo.

3. Opcionalmente, seleccione el nombre del pool de almacenamiento para undesglose de la vista de nodos.

4. Opcionalmente, seleccione un extremo de nodo para el desglose de la vista dediscos.



Figura 20 Estado del hardware para los nodos


Monitoreo de hardware 213

CAPÍTULO 23

Monitoreo del estado del nodo y del proceso

l Monitoreo del estado del nodo y del proceso.................................................... 216

Monitoreo del estado del nodo y del proceso 215

Monitoreo del estado del nodo y del procesoDescribe la página de monitoreo del portal de ECS para el estado del nodo y delproceso.

La página Monitor > Node & Process Health ofrece métricas que pueden ayudar aevaluar el estado del VDC, nodo o proceso del nodo.Los valores de la tabla representan los valores actuales cuando el Filtro actual estáseleccionado, o los valores promedio de la métrica durante el período seleccionado enel filtro.

Tabla 14 Métricas de estado de VDC, nodo y proceso

Etiqueta de métrica Nivel Descripción

Avg. NIC Bandwidth VDC y nodo Ancho de bandapromedio del hardwaredel controlador deinterfaz de red utilizadopor el VDC o nodoseleccionado.

Avg. CPU Usage (%) VDC y nodo Porcentaje promedio delhardware de CPUutilizado por el VDC onodo seleccionado.

Avg. Memory Usage VDC y nodo Uso promedio de lamemoria total disponiblepara el VDC o el nodo.

Relative NIC (%) VDC y nodo Porcentaje del ancho debanda disponible delhardware del controladorde interfaz de redutilizado por el VDC onodo seleccionado.

Relative Memory (%) VDC y nodo Porcentaje de la memoriautilizada en relación conla memoria disponiblepara el VDC o nodoseleccionado.

CPU (%) Proceso Porcentaje de CPU delnodo utilizado por elproceso.

Memory Usage Proceso La memoria que utiliza elproceso.

Relative Memory (%) Proceso Porcentaje de la memoriautilizada en relación conla memoria disponiblepara el proceso.



Tabla 14 Métricas de estado de VDC, nodo y proceso (continuación)

Etiqueta de métrica Nivel Descripción

Avg. # Thread Proceso Número promedio dehilos de ejecuciónutilizados por el proceso.

Last Restart Proceso La última vez que elproceso se reinició en elnodo.

Actions Todas History proporciona unarepresentación gráfica delos datos.

Si el Filtro actual seencuentra seleccionado,el botón History muestrael historialpredeterminado de lasúltimas 24 horas.

Procedimiento

1. Encuentre la fila de la tabla para el VDC objetivo.

2. Opcionalmente, seleccione el nombre del VDC para ver una tabla desglosadacon filas para cada nodo en el VDC.

3. Opcionalmente, seleccione un extremo del nodo para ver una tabla desglosadacon filas para cada proceso que se ejecuta en el nodo.

4. Seleccione el botón History para el VDC, nodo o proceso objetivo.


Monitoreo del estado del nodo y del proceso 217

Figura 21 Estado del nodo y proceso



CAPÍTULO 24

Monitorear el resumen de fragmentos

l Monitoreo de fragmentos.................................................................................220

Monitorear el resumen de fragmentos 219

Monitoreo de fragmentosDescribe la página de monitorización del portal ECS para fragmentos.

Esta página informa de estadísticas de fragmentos sellados en la zona local. Unfragmento sellado es uno que ya no puede aceptar escritura. Es inmutable.

Tabla 15 Tablas de fragmentos

Tabla Descripción

Cuenta de fragmentos de cada tipo Muestra el número y el porcentaje defragmentos sellados para diferentes tipos defragmento para cada pool de almacenamientoconfigurado en la zona local.

Longitud total de cada tipo de fragmento Muestra tamaño lógico total de fragmentossellados para diferentes tipos de fragmentopara cada pool de almacenamientoconfigurado en la zona local.

Longitud sellada promedio de cada tipo Muestra tamaño lógico promedio defragmentos sellados para diferentes tipos defragmento para cada pool de almacenamientoconfigurado en la zona local.

Tabla 16 Métricas del fragmento


Storage pool Esta columna proporciona la lista de pools dealmacenamiento configurados en el VDC local.Cada fila proporciona métricas de fragmentopara el pool de almacenamiento especificado.

User data Esta columna proporciona datos relevantespara los fragmentos de datos del usuario(repositorio) en el pool de almacenamiento.

Metadata Esta columna proporciona datos relevantespara los fragmentos de metadatos del sistemaen el pool de almacenamiento.

Geo data Los fragmentos Geo son fragmentos quecontienen réplicas de datos de otras zonas(VDC). Hay tres tipos:

l Copias de geo: fragmentos replicados deotros sitios.

l XOR: fragmentos que son el resultado dela aplicación del algoritmo XOR a losfragmentos originales

l Caché de geo: un fragmento temporalnecesario para facilitar las operaciones delectura cuando el sitio no tiene un



Tabla 16 Métricas del fragmento (continuación)


fragmento requerido original ni una copiade este.

XOR Los fragmentos XOR son fragmentos queahorran espacio en disco utilizando elalgoritmo XOR para comprimir los datos deotros fragmentos y reemplazarlos con unfragmento XOR.Este campo proporciona datos relevantes paralos fragmentos XOR en el pool dealmacenamiento.

Total La cantidad total de fragmentos en el pool dealmacenamiento.

Figura 22 Resumen de fragmentos


Monitoreo de fragmentos 221

CAPÍTULO 25

Monitoreo de codificación de eliminación

l Monitoreo de codificación de eliminación.........................................................224

Monitoreo de codificación de eliminación 223

Monitoreo de codificación de eliminaciónDescribe cómo usar la página Monitor > Erasure Coding.

La pantalla de codificación de eliminación muestra la cantidad total de datos de losusuarios y los datos codificados de eliminación en un pool de almacenamiento local.También muestra la cantidad de codificación de borrado de datos pendientes, y eltiempo estimado de finalización. Las gráficas contienen hasta siete días de datos.

Los valores de la tabla representan los valores actuales cuando el Filtro actual estáseleccionado, o los valores promedio de la métrica durante el período seleccionado enel filtro.

Tabla 17 Eliminación de las métricas de codificación


Pool de almacenamiento

Cantidad total de datos para la codificación deeliminación

El tamaño lógico total de todos losfragmentos de datos en el pool dealmacenamiento, los que están sujetos a EC.

Total de datos con codificación de eliminación El tamaño lógico total de todos losfragmentos con codificación de eliminación enel pool de almacenamiento.

Porcentaje de datos con codificación deeliminación

El porcentaje de datos en el pool dealmacenamiento con codificación deeliminación.

Tasa de codificación de eliminación La tasa a la que se están procesando los datosactuales en espera de la codificación deeliminación.

Tiempo estimado para la finalización La hora finalización estimada extrapolada apartir de la tasa de codificación de eliminaciónactual.

Acciones History proporciona una representacióngráfica de los datos.

Si el Filtro actual se encuentra seleccionado,el botón History muestra el historialpredeterminado de las últimas 24 horas.

Procedimiento

1. Seleccione Monitor > Erasure Coding.


3. Seleccione el botón History.




Monitoreo de codificación de eliminación 225

CAPÍTULO 26

Monitorear el estado de recuperación

l Monitoree el estado de recuperación............................................................... 228

Monitorear el estado de recuperación 227

Monitoree el estado de recuperaciónDescribe cómo usar la página Monitor > Recovery Status.

Recuperación es el proceso de reconstrucción de datos después de que cualquiercondición local se traduce en datos dañados (fragmentos). Esta tabla incluye una filapara cada pool de almacenamiento en la zona local.

Los valores de la tabla representan los valores actuales cuando el Filtro actual estáseleccionado, o los valores promedio de la métrica durante el período seleccionado enel filtro.

Tabla 18 Métricas de recuperación


Pool de almacenamiento Enumera cada pool de almacenamiento en lazona local.

Cantidad total de datos que debe recuperarse Con la opción de filtro Current seleccionada,este es el tamaño lógico de los datos que aúnno se puede recuperar.Cuando se selecciona un periodo histórico

como el filtro, el significado de TotalAmount Data to be Recovered es lacantidad promedio de datos pendientes porrecuperar durante ese período seleccionado.

Por ejemplo, si la primera instantánea dedatos por hora mostró 400 GB de datos quese tenían que recuperar en un períodohistórico, y el resto de las instantáneasmostraron 0 GB que esperaban recuperación,el valor de este campo sería 400 GB divididosentre la cantidad total de instantáneas porhora en el período.

Tasa de recuperación La tasa de datos se está recuperando en elpool de almacenamiento.

Tiempo para terminar Tiempo estimado para completar larecuperación extrapolado de la tasa derecuperación actual.

Actions History proporciona una representacióngráfica de los datos.

Si el Filtro actual se encuentra seleccionado,el botón History muestra el historialpredeterminado de las últimas 24 horas.

Procedimiento

1. Seleccione Monitor > Recovery Status.


3. Seleccione el botón History.




Monitoree el estado de recuperación 229

CAPÍTULO 27

Monitoreo del ancho de banda del disco

l Monitoreo del ancho de banda del disco...........................................................232

Monitoreo del ancho de banda del disco 231

Monitoreo del ancho de banda del discoDescribe la página de monitoreo del portal de ECS para el ancho de banda del disco.

La página Monitor > Disk bandwidth proporciona mediciones de tráfico de red a nivelde centro de datos virtual o de nodo individual. Hay una fila para lectura y otra paraescritura para cada VDC o nodo. Las gráficas muestran los datos de los últimos sietedías.Los valores de la tabla representan los valores actuales cuando el filtro actual estáseleccionado, o bien, los valores promedio de la métrica durante el períodoseleccionado en el filtro.

Tabla 19 Métricas de ancho de banda de disco


Total Ancho de banda total de disco utilizado, yasea para operaciones de lectura o deescritura.

Recuperación de hardware Tasa de ancho de banda de disco utilizadopara recuperar datos después de fallas dehardware.

Codificación de eliminación Tasa de ancho de banda de disco utilizado enoperaciones de codificación de eliminación delsistema.

XOR Tasa de ancho de banda de disco utilizado enoperaciones de protección de datos XOR delsistema. Tenga en cuenta que las operacionesXOR se producen en sistemas con tres o mássitios (VDC).

Comprobador de coherencia Tasa de ancho de banda de disco utilizadopara verificar si hay incoherencias entre losdatos protegidos y sus réplicas.

Región Tasa de ancho de banda de disco utilizadopara apoyar las operaciones de geo-replicación.

Tráfico de usuarios Tasa de ancho de banda de disco utilizado porlos usuarios de objetos.

Acciones History proporciona una representacióngráfica de los datos.

Si el filtro actual se encuentra seleccionado, elbotón History muestra el historialpredeterminado de las últimas 24 horas.

Procedimiento

1. Seleccione Monitor > Disk Bandwidth.

2. Busque el nombre del VDC objetivo y la fila de la tabla de lectura o escriturapara ese VDC.



3. Opcionalmente, seleccione Node Count para ver una tabla desglosada con filaspara los nodos en el VDC.

4. Seleccione el botón History para el VDC o nodo.

Figura 23 Ancho de banda de disco


Monitoreo del ancho de banda del disco 233

CAPÍTULO 28

Monitoreo de la geo-replicación

l Introducción al monitoreo de la geo-replicación............................................... 236l Monitoreo de la geo-replicación: Tasa y fragmentos........................................ 236l Monitoreo de la geo-replicación: Objetivo de punto de recuperación (RPO).... 237l Monitoreo de la geo-replicación: Procesamiento de failover............................ 238l Monitoreo de la geo-replicación: Procesamiento de Bootstrap........................ 239

Monitoreo de la geo-replicación 235

Introducción al monitoreo de la geo-replicaciónDescribe los cuatro tipos de monitoreo de la geo-replicación

El monitoreo de la geo-replicación incluye cuatro páginas diferentes:

l Tasa y fragmentos

l Objetivo de punto de recuperación (RPO)

l Failover

l Procesamiento de Bootstrap

Monitoreo de la geo-replicación: Tasa y fragmentosDescribe las métricas de monitoreo encontradas en la página Monitor > Geo-Replication > Rate and Chunks del Portal de ECS.

Esta página proporciona métricas fundamentales acerca del tráfico de red para la geo-replicación y los fragmentos en espera de la replicación por grupo de replicación ozona remota (VDC).

Tabla 20 Tasa y columnas de fragmentos


Grupo de replicación Enumera los grupos de replicación en los queparticipa esta zona (VDC). Haga clic en ungrupo de replicación para consultar una tablade zonas remotas en el grupo de replicación ysus estadísticas. Haga clic en el vínculo

Replication Groups que se encuentrasobre la tabla para volver a la vistapredeterminada.

Tráfico de escritura La tasa actual de escrituras en todas las zonasremotas o zonas remotas individuales en elgrupo de replicación.

Tráfico de lectura La tasa actual de lecturas en todas las zonasremotas o zonas remotas individuales en elgrupo de replicación.

Datos de usuario pendientes de replicación El tamaño total lógico de los datos de usuarioque están en espera de replicación para lazona remota o el grupo de replicación.

Metadatos pendientes de replicación El tamaño total lógico de los metadatos queestán en espera de replicación para la zonaremota o el grupo de replicación.

Datos pendientes de XOR El tamaño total lógico de todos los datos queestán en espera para ser procesados por elalgoritmo de compresión de XOR en la zonalocal para el grupo de replicación o la zonaremota.



Figura 24 Geo-replicación: Tasa y fragmentos

Monitoreo de la geo-replicación: Objetivo de punto derecuperación (RPO)

Describe los campos de la tabla que se encuentran en la página Monitor > Geo-Replication > RPO del Portal de ECS.

El Objetivo de punto de recuperación (RPO) hace referencia al momento específico enel pasado al que puede restaurar. El valor aquí son los datos más antiguos en riesgo deser perdidos si un VDC local falla antes de completar la replicación.

Tabla 21 Columnas RPO


Grupo de replicación remota\Zona remota En el nivel del VDC, se enumeran todos losgrupos de replicación remota en los queparticipa la zona local. En el nivel del grupo dereplicación, esta columna enumera las zonasretomas en el grupo de replicación. Los datosson el identificador del sistema para el VDC ogrupo de replicación como un URN.

RPO total (minutos) El período de tiempo reciente para el que sepodrían perder los datos en caso de una fallade la zona local.

Figura 25 RPO


Monitoreo de la geo-replicación: Objetivo de punto de recuperación (RPO) 237

Monitoreo de la geo-replicación: Procesamiento de failoverDescribe las métricas que se encuentra en la página Monitor > Geo-Replication >Failover Processing del Portal de ECS.

La página Failover Processing proporciona métricas sobre el proceso para volver areplicar los datos después de una falla permanente de una zona remota.

Tabla 22 Columnas de failover

Campo Descripción

Grupo de replicación Enumera los grupos de replicación de los quela zona local es miembro. Los datos son elidentificador del sistema para el grupo dereplicación como un URN.

Zona fallida Identifica la zona fallida que forma parte delgrupo de replicación.

Datos de usuario pendientes de una nuevareplicación

Los fragmentos utilizados para replicarse a lazona fallida se deben volver a replicar en unazona diferente. El campo informa el tamañológico de todos los fragmentos de datos deusuario (repositorio) en espera de una nuevareplicación a una nueva zona distinta de lazona fallida.

Metadatos pendientes de una nuevareplicación

Los fragmentos utilizados para replicarse a lazona fallida se deben volver a replicar en unazona diferente. Este campo informa el tamañológico de todos los fragmentos de datos delsistema en espera de una nueva replicación auna nueva zona en lugar de la zona fallida.

Datos pendientes de decodificación XOR Muestra el conteo y el tamaño lógico total delos fragmentos en espera de recuperación porparte del esquema de compresión XOR.

Estado de failover l BLIND_REPLAY_DONE

l REPLICATION_CHECK_DONE: Haterminado correctamente el proceso quese asegura de que todos los fragmentosde replicación estén en un estadoaceptable.

l CONSISTENCY_CHECK_DONE: Haterminado correctamente el proceso quese asegura de que todos los metadatosdel sistema sean totalmente coherentescon otros datos replicados.

l ZONE_SYNC_DONE: La sincronizaciónde la zona fallida ha terminadocorrectamente.



Tabla 22 Columnas de failover (continuación)

Campo Descripción

l ZONE_BOOTSTRAP_DONE: El procesode bootstrap de la zona fallida haterminado correctamente.

l ZONE_FAILOVER_DONE: El proceso defailover se realizó correctamente.

Progreso del failover Un indicador de porcentaje del estado generaldel proceso de failover.

Figura 26 Failover

Monitoreo de la geo-replicación: Procesamiento deBootstrap

Describe los monitoreos que se encuentran en la página ECS Portal Monitor > GeoReplication > Bootstrap Processing.

Bootstrap se refiere al proceso de copiar los metadatos necesarios para un grupo dereplicación que se ha agregado una zona.

Tabla 23 Columnas de procesamiento de bootstrap


Grupo de replicación Esta columna muestra la lista de grupos dereplicación en los que participa la zona local,con nuevas zonas que se agregan. Cada filaproporciona métricas para el grupo dereplicación especificado.

Zona agregada La zona que se agrega al grupo de replicaciónespecificado.

Datos de usuario pendientes de replicación El tamaño lógico de todos los fragmentos dedatos de usuario (repositorio) en espera dereplicación a la nueva zona que se agregará.


Monitoreo de la geo-replicación: Procesamiento de Bootstrap 239

Tabla 23 Columnas de procesamiento de bootstrap (continuación)


Metadatos pendientes de replicación El tamaño lógico de todos los metadatos delsistema en espera de replicación a la nuevazona que se agregará.

Estado del bootstrap l Started: El sistema ha comenzado aprepararse para agregar la zona al grupode replicación.

l BlindReplayDone

l ReplicationCheckDone: Ha terminadocorrectamente el proceso que compruebaque todos los fragmentos de replicaciónestén en un estado aceptable.

l ConsistencyCheckDone: Ha terminadocorrectamente el proceso que se asegurade que todos los metadatos del sistemasean totalmente coherentes con otrosdatos replicados.

l ZoneSyncDone: La sincronización de lazona fallida ha terminado correctamente.

l ZoneBootstrapDone: El proceso debootstrap de la zona fallida ha terminadocorrectamente.

l Done: Todo el proceso de bootstrap serealizó correctamente.

Progreso de Bootstrap (%) Porcentaje de avance de todo el proceso debootstrap.

Figura 27 Procesamiento de bootstrap



CAPÍTULO 29

Registros de servicio

l Registros de servicio........................................................................................ 242l ECS ubicaciones del registro de servicio.......................................................... 242

Registros de servicio 241

Registros de servicioDescribe la ubicación y la función de los registros de servicio de ECS.

Los administradores de almacenamiento pueden tener acceso a los registros deservicio de ECS si tiene permiso para SSH en un nodo y acceso a los registros. El usode las páginas de monitoreo del portal de ECS suele ser una mejor manera decomprender el estado de su sistema.

ECS ubicaciones del registro de servicioDescribe la ubicación y el contenido de los registros de servicio de ECS.

Puede tener acceso a los registros de servicio de ECS directamente iniciando sesióncon SSH en un nodo. Cambie el siguiente directorio: /opt/emc/caspian/fabric/agent/services/object/main/log para buscar los registros de servicio:

l authsvc.log: Registra información del servicio de autenticación.

l blobsvc*.log: Estos registros guardan aspectos del servicio de blob.

l cassvc*.log: Estos registros guardan aspectos del servicio de CAS.

l coordinatorsvc.log: Guarda información del servicio de coordinador.

l ecsportalsvc.log: Guarda información del servicio del Portal de ECS.

l eventsvc*.log: Estos registros guardan aspectos del servicio de eventos. Estainformación está disponible en el menú de monitoreo del portal de ECS.

l hdfssvc*.log: Estos registros guardan aspectos del servicio de HDFS.

l objcontrolsvc.log: Registra información del servicio de object.

l objheadsvc*.log: Estos registros guardan aspectos de los distintosencabezados de objetos compatibles con el servicio de objetos.

l provisionsvc*.log: Estos registros guardan aspectos del servicio deaprovisionamiento de ECS.

l resourcesvc*.log: Estos registros guardan información relacionada con losrecursos globales, como espacios de nombres, depósitos, usuarios de objetos yetcétera.

l dataheadsvc*.log: Estos registros guardan los aspectos de los cabezales deobjetos compatibles con el servicio de objetos, el servicio de archivos compatiblecon HDFS y el servicio de CAS.

Registros de servicio


APÉNDICE A

Mensajes de auditoría y alerta

l Mensajes de auditoría.......................................................................................244l Mensajes de alerta........................................................................................... 250

243

Mensajes de auditoríaLista de los mensajes de auditoría que utiliza ECS.

Tabla 24 Mensajes de auditoría de ECS

Servicio Elemento de auditoría Mensaje de auditoría

Alerta sent_alert Se activó la alerta \"${alertMessage}\" con elcódigo de síntoma ${symptomCode}

Proveedor de autenticación new_authentication_provider_added

Se agregó un nuevoproveedor de autenticación ${resourceId}

Proveedor de autenticación authentication_provider_deleted

Se eliminó el proveedor deautenticación ${resourceId}

Proveedor de autenticación authentication_provider_updated

Se actualizó el proveedor deautenticación existente ${resourceId}

Depósito bucket_created Se creó el depósito ${resourceId}

Depósito bucket_deleted Se eliminó el depósito ${resourceId}

Depósito bucket_updated Se actualizó el depósito ${resourceId}

Depósito bucket_ACL_set Se cambiaron las ACL deldepósito ${resourceId}

Depósito bucket_owner_changed Se cambió el propietario deldepósito ${resourceId}

Depósito bucket_versioning_set Se habilitó el control deversiones en el depósito ${resourceId}

Depósito bucket_versioning_unset Se suspendió el control deversiones en el depósito ${resourceId}

Depósito bucket_versioning_source_set

Se configuró el origen decontrol de versiones deldepósito ${resourceId}

Depósito bucket_metadata_set Se cambiaron los metadatosen el depósito ${resourceId}

Depósito bucket_head_metadata_set Se configuraron losmetadatos del cabezal deldepósito ${resourceId}


Tabla 24 Mensajes de auditoría de ECS (continuación)


Depósito bucket_expiration_policy_set Se actualizó la política devencimiento del depósito ${resourceId}

Depósito bucket_expiration_policy_deleted

Se eliminó la política devencimiento del depósito ${resourceId}

Depósito bucket_cors_config_set Se cambiaron las reglas deCORS del depósito ${resourceId}

Depósito bucket_cors_config_deleted Se eliminaron las reglas deCORS del depósito ${resourceId}

Depósito notification_size_exceeded_on_bucket

Se superó el tamaño de lanotificación en el depósito ${resourceId}

Depósito block_size_exceeded_on_bucket

Se superó el tamaño delbloque en el depósito ${resourceId}

Depósito bucket_set_quota Se actualizó la cuota deldepósito ${resourceId} con eltamaño de la notificacióncomo ${notificationSize} y eltamaño del bloque como ${blockSize}

Clúster cluster_set Cluster id ${resourceId} hasbeen set

Licencia user_added_license Se agregó la licencia ${resourceId}

Licencia managed_capacity_exceeded La capacidad administradaexcedió la capacidad conlicencia ${resourceId}

Licencia license_expired Venció la licencia ${resourceId}

Usuario local domain_group_mapping_created

Domain group ${resourceId}to ${roles} role(s) mapping isadded

Usuario local domain_group_mapping_created_no_roles

Domain group ${resourceId}without role mappings isadded

Usuario local domain_group_mapping_updated

Domain group ${resourceId}roles mapping is changed to ${roles} role(s)

Mensajes de auditoría 245



Usuario local domain_group_mapping_updated_no_roles

All roles of domain group ${resourceId} mapping havebeen removed

Usuario local domain_user_mapping_created

Domain user ${resourceId} to${roles} role(s) mapping isadded

Usuario local domain_user_mapping_created_no_roles

Domain user ${resourceId}without role mappings isadded

Usuario local domain_user_mapping_deleted

Domain user ${resourceId}mapping is removed

Usuario local domain_user_mapping_updated

Domain user ${resourceId}role mapping is changed to ${roles} role(s)

Usuario local domain_user_mapping_updated_no_roles

All roles of domain user ${resourceId} mapping havebeen removed

Usuario local local_user_created Management user ${resourceId} with ${roles}role(s)has been created

Usuario local local_user_created_no_roles Management user ${resourceId} without roles hasbeen created

Usuario local local_user_deleted Se eliminó el usuario deadministración ${resourceId}

Usuario local local_user_password_changed

Credential of managementuser ${resourceId} haschanged

Usuario local local_user_updated Roles of management user ${resourceId} have beenchanged to ${roles}

Usuario local local_user_roles_updated_no_roles

All roles of management user${resourceId} have beenremoved

Bloqueado vdc_lock_successful VDC lock was successful

Bloqueado vdc_lock_failed VDC lock failed

Bloqueado node_lock_successful Lock successful for node ${resourceId}

Bloqueado node_lock_failed Lock failed for node ${resourceId}

Bloqueado node_unlock_successful Unlock successful for node ${resourceId}




Bloqueado node_unlock_failed Unlock failed for node ${resourceId}

Inicio de sesión login_successful El usuario ${resourceId} iniciósesión correctamente

Inicio de sesión login_failed Falló el inicio de sesión delusuario ${ResourceId}

Inicio de sesión user_token_logout El usuario cerró la sesión en eltoken ${resourceId}

Inicio de sesión user_logout Se cerró la sesión en lostokens del usuario

Namespace block_size_exceeded_on_namespace

Se superó el tamaño delbloque en el espacio denombres ${resourceId}

Namespace namespace_admin_group_mappings_updated

Namespace ${resourceId}admin group mappingsupdated to following groups:${groups}

Namespace namespace_admin_group_mappings_updated_no_groups

Namespace ${resourceId}admin groups mappingsupdated to an empty list

Namespace namespace_admin_user_mappings_updated

Namespace ${resourceId}admin mappings updated tofollowing users: ${admins}

Namespace namespace_admin_user_mappings_updated_no_admins

Namespace ${resourceId}admin mappings updated toan empty list

Namespace namespace_created Se creó el espacio denombres ${resourceId}

Namespace namespace_deleted Se eliminó el espacio denombres ${resourceId}

Namespace namespace_updated Se actualizó el espacio denombres ${resourceId}

Namespace notification_size_exceeded_on_namespace

Se superó el tamaño de lanotificación en el espacio denombres ${resourceId}

NFS ugmapping_created ${type} mapping ${ugMappingName} --> ${resourceId} has beencreated

NFS ugmapping_deleted ${type} mapping ${ugMappingName} --> ${resourceId} has been deleted




NFS export_created Export with export path ${exportPath} has beencreated

NFS export_deleted Export with export path ${exportPath} has beendeleted

NFS export_updated Export with export path ${exportPath} has beenupdated

Grupo de replicación replication_group_created Se creó el grupo dereplicación ${resourceId}

Grupo de replicación replication_group_updated Se actualizó el grupo dereplicación ${resourceId}

Seguridad command_exec_insufficient_permission

Attempt to execute acommand ${command} from${host} without rightpermissions

SNMP snmp_v2_target_created SNMP target ${snmpTarget}with Community '${community}' is added

SNMP snmp_v3_target_created SNMP target ${snmpTarget}with Username '${username}',Authentication(${authProtocol}) andPrivacy(${privProtocol})

SNMP snmp_target_deleted SNMP target ${snmpTarget}is deleted

SNMP snmp_engineid_updated SNMP agent EngineID is setto ${engineId}

SNMP snmp_v2_target_updated SNMP target ${oldSnmpTarget} is updatedas ${newSnmpTarget} withCommunity string ${community}

SNMP snmp_v3_target_updated SNMP target ${oldSnmpTarget} is updatedas ${newSnmpTarget} withUsername ${username},Authentication(${authProtocol}) andPrivacy(${privProtocol})

Pool de almacenamiento storage_pool_created Se creó el pool dealmacenamiento ${resourceId}




Pool de almacenamiento storage_pool_deleted Se eliminó el pool dealmacenamiento ${resourceId}

Pool de almacenamiento storage_pool_updated Se actualizó el pool dealmacenamiento ${ResourceId}

Syslog syslog_server_added Syslog server ${protocol}://${host}:${port} with severity ${severity} is added into theconfiguration

Syslog syslog_server_updated Syslog server ${old_protocol}://${old_host}:${old_port} isupdated to ${protocol}://${host}:${port} with severity ${severity} in the configuration

Syslog syslog_server_deleted Syslog server ${protocol}://${host}:${port} is removedfrom the configuration

Transformación transformation_created_message

Se creó la transformación

Transformación transformation_updated_message

Se actualizó la transformación

Transformación transformation_pre_check_started_message

Inició la comprobación previade transformación

Transformación transformation_enumeration_started_message

Inició la enumeración detransformación

Transformación transformation_indexing_started_message

Inició la indexación detransformación

Transformación transformation_migration_started_message

Inició la migración detransformación

Transformación transformation_recovery_migration_started_message

Inició la migración derecuperación detransformación

Transformación transformation_reconciliation_started_message

Inició la conciliación detransformación

Transformación transformation_sources_updated_message

Se actualizaron los orígenesde transformación

Transformación transformation_deleted_message

Se eliminó la transformación

Transformación transformation_retried_message

Se volvió a intentar latransformación %S




Transformación transformation_canceled_message

Se canceló la transformación%s

Transformación transformation_profile_mappings_updated_message

Se actualizaron lasasignaciones del perfil detransformación

Usuario user_created Se creó el usuario de objetos${resourceId}

Usuario user_deleted Se eliminó el usuario deobjetos ${resourceId}

Usuario user_set_password Se estableció la nuevacontraseña del usuario deobjetos ${resourceId}

Usuario user_delete_password Se eliminó la contraseña delusuario de objetos ${resourceId}

Usuario user_set_metadata Se establecieron nuevosmetadatos para el usuario deobjetos ${resourceId}

Usuario user_locked Se bloqueó el usuario deobjetos ${resourceId}

Usuario user_unlocked Se desbloqueó el usuario deobjetos ${resourceId}

Mensajes de alertaLista de los mensajes de alerta que utiliza ECS.

Las etiquetas de gravedad en los mensajes de alerta tienen los siguientes significados:

l CRITICAL: Mensajes acerca de las condiciones que requieren atención inmediata.

l ERROR: Mensajes acerca de las condiciones de error que informan una falla físicao del software.

l ADVERTENCIA: Mensajes acerca de las condiciones inferiores al nivel óptimo.

l INFO: Mensajes de estado de rutina.

Tabla 25 Mensajes de alerta de objetos de ECS

Alerta Severity Se envían a… Mensaje Descripción

Bucket hardquota

ERROR Portal, API HardQuotaLimitExceeded: depósito{bucket_name}


Tabla 25 Mensajes de alerta de objetos de ECS (continuación)


Capacityexceededthreshold

ADVERTENCIA

Portal, API, ESRS La capacidadutilizada supera elumbralconfigurado; el usoactual es {usage}%

Chunk notfound

ERROR Portal, API, ESRS No se encontróchunkId {chunkId}

DT init failure ERROR Portal, API, ESRS Hay más de{número} DTfallidas o lasverificaciones deestadística de la DTfalló en las últimas{número} rondasde verificación deestado de las DT

DT es una tabla dedirectorio

Licenseexpiration

INFO Portal, API, ESRS Evento devencimiento

Licenseregistration

INFO Portal, API, ESRS Evento de registro

Cuota máximadel espacio denombres

ERROR Portal, API HardQuotaLimitExceeded: Espacio denombres{namespace}

VDC en TSO CRITICAL Portal, API El sitio {vdc} estámarcado comotemporalmente nodisponible

Tabla 26 Mensajes de alerta de Fabric de ECS


Disk added INFO Portal, API, SNMPTrap, Syslog

Se agregó el disco{diskSerialNumber}en el nodo {fqdn}

Disk was added

Disk failure CRITICAL Portal, API, SNMPTrap, Syslog, ESRS

Falló el disco{diskSerialNumber}en el nodo {fdqn}

El estado del discocambió aDEFECTUOSO

Disk good INFO Portal, API, SNMPTrap, Syslog

Disk{diskSerialNumber}on node {fqdn}was revived

Se recuperó eldisco

Disk removed INFO Portal, API, SNMPTrap, Syslog

Disk{diskSerialNumber}

Se quitó el disco

Mensajes de alerta 251

Tabla 26 Mensajes de alerta de Fabric de ECS (continuación)


on node {fqdn}was removed

Disk suspect ERROR Portal, API, SNMPTrap, Syslog, ESRS

Disk{diskSerialNumber}on node {fqdn} hassuspected

El estado del discocambió aSOSPECHOSO

Falla deconfiguracióndelcontenedorde docker

CRITICAL Portal, API, SNMPTrap, Syslog, ESRS

Container{containerName}configuration hasfailed on node{fqdn} with exitcode {exitCode}{happenedOn}

El script deconfiguracióndevolvió un códigode salida distintode cero

Dockercontainerpaused

ADVERTENCIA

Portal, API, SNMPTrap, Syslog

Container{containerName}has paused onnode {fqdn}

Contenedor enpausa

Dockercontainerrunning

INFO Portal, API, SNMPTrap, Syslog

Container{containerName} isup on node {fqdn}

El contenedoradoptó un estadode ejecución

Dockercontainerstopped

ERROR Portal, API, SNMPTrap, Syslog

Container{containerName}has stopped onnode {fqdn}

Contenedordetenido

Fabric agentfailure


FabricAgent hasfailed on node{fqdn}(FabricAgentFailure Event)

El estado delagente de fabriccambió aDEFECTUOSO

Fabric agentsuspect

ERROR Portal, API, SNMPTrap, Syslog, ESRS

FabricAgent hassuspected on node{fqdn}(FabricAgentSuspect Event )

El estado delagente de fabriccambió aSOSPECHOSO

Estado de lainterfaz dered inactivo


Net interface{netInterfaceName} with ip address{ipAddress} isdown on node{fqdn}

La interfaz de reddel fabric estáinactiva

Estado de lainterfaz dered activo


Net interface{netInterfaceName} with ip address{ipAddress} is upon node {fqdn}

La interfaz de reddel fabric estáactiva


Tabla 26 Mensajes de alerta de Fabric de ECS (continuación)


Interfaz dered inactivapermanentemente

CRITICAL Portal, API, ESRS Net interface{netInterfaceName} with ip address{ipAddress} ispermanently downon node {fqdn}

Interfaz de redinactiva durante almenos 10 minutos

Dirección IPde interfaz deredactualizada


Net interface's{netInterfaceName} ip address onnode {fqdn} waschanged from{oldIpAddress} to{newIpAddress}

Se cambió ladirección IP de lainterfaz de red defabric

Node failure CRITICAL Portal, API, SNMPTrap, Syslog, ESRS

Node {fqdn} hasfailed (ServiceHealth FailureEvent)

No se puedeacceder al nododurante 30 minutos

Node suspect ERROR Portal, API, SNMPTrap, Syslog, ESRS

Node {fqdn} hassuspected failure(Node SuspectEvent)

No se puedeacceder al nododurante 15 minutos

Node up INFO Portal, API, SNMPTrap, Syslog

Node {fqdn} is up El nodo se cambióa un estado“activo” despuésde haber estadoinactivo por almenos 15 minutos

Service failure CRITICAL Portal, API, SNMPTrap, Syslog, ESRS

Service{serviceName} hasfailed on node{fqdn}

El estado delservicio (fabric/objeto) cambió aDEFECTUOSO

Servicesuspect

ERROR Portal, API, SNMPTrap, Syslog, ESRS

: Service{serviceName} hassuspected on node{fqdn}

El estado delservicio (fabric uobjeto) cambió aSOSPECHOSO

Slotpermanentdown


Container{containerName} ispermanently downon node {fqdn}

Contenedordetenido/en pausao sin iniciar enabsoluto por almenos 10 minutos

Mensajes de alerta 253

APÉNDICE B

Soporte de ECS para el protocolo SNMP

l Soporte de SNMP en ECS............................................................................... 256l MIB del SNMP compatibles con las consultas en ECS..................................... 256l Definición de MIB y jerarquía de ID de objetos del SNMP de ECS-MIB............ 256

255

Soporte de SNMP en ECSLos tipos de servidores de SNMP que son compatibles en ECS.

ECS admite el protocolo simple de administración de red (SNMP) de las siguientesmaneras:

l Durante el proceso de instalación, el personal de EMC puede configurar e iniciar unservidor snmpd para admitir el monitoreo específico de métricas de nivel de nodode ECS. Una estación de administración de red puede consultar estos servidoressnmpd de nivel de kernel para reunir información de los nodos de ECSdirectamente para el uso de memoria y de CPU, según lo definido por MIBestándares. A fin de obtener la lista de archivos MIB para la cual ECS admite lasconsultas de SNMP, consulte MIB del SNMP compatibles con las consultas enECS en la página 256.

l La capa del ciclo de vida de fabric de ECS incluye una biblioteca snmp4j que actúacomo un servidor de SNMP para generar SNMP traps v2 y v3 y enviarlos hasta adiez estaciones de administración de red de destinatarios de SNMP trap discretos.A fin de obtener detalles de los archivos MIB para los cuales ECS admite SNMPtraps, consulte Definición de MIB y jerarquía de ID de objetos del SNMP de ECS-MIB en la página 256. Utilice la interfaz del usuario de Event Notification en elportal de ECS para configurar los detalles acerca de los servidores de destinatariosde trap. Para obtener información detallada, consulte Configuración de servidoresde notificación de eventos (SNMP o syslog) en la página 152.

MIB del SNMP compatibles con las consultas en ECSUna lista de MIB de SNMP estándares compatible con las consultas según el servidorsnmpd de nivel de nodo que puede ejecutarse en cada nodo de ECS.

ECS admite consultas básicas de las estaciones de administración de redes para lassiguientes Management Information Bases (MIB) del protocolo simple deadministración de red (SNMP):

l MIB-2

l DISMAN-EVENT-MIB

l HOST-RESOURCES-MIB

l UCD-SNMP-MIB

Mediante una estación de administración de SNMP o un software equivalente, puedeconsultar los nodos de ECS para obtener la siguiente información básica:

l CPU usage

l Uso de la memoria

l Cantidad de procesos en ejecución

Definición de MIB y jerarquía de ID de objetos del SNMP deECS-MIB

La definición completa de MIB-II y la jerarquía de ID de objetos del SNMP para la MIBempresarial, también conocida como ECS-MIB.


Jerarquía de ID de objetos del SNMP de ECS-MIBLa MIB empresarial del SNMP, llamada “ECS-MIB”, define varios objetos e incluyeSNMP traps compatibles que se asocian con la administración de hardware deldispositivo ECS. Los objetos incluidos en la ECS-MIB tienen la siguiente jerarquía:

emc.............................1.3.6.1.4.1.1139 ecs.........................1.3.6.1.4.1.1139.102 trapAlarmNotification...1.3.6.1.4.1.1139.102.1.1 notifyTimestamp.....1.3.6.1.4.1.1139.102.0.1.1 notifySeverity......1.3.6.1.4.1.1139.102.0.1.2 notifyType..........1.3.6.1.4.1.1139.102.0.1.3 notifyDescription...1.3.6.1.4.1.1139.102.0.1.4

Nota

ECS envía traps desde el contenedor de ciclo de vida de fabric y utiliza los serviciosque proporciona la biblioteca de Java snmp4j.

Definición completa de MIB-II del SNMP para ECS-MIBLa siguiente sintaxis de Management Information Base define la MIB empresarial delSNMP, llamada “ECS-MIB”:

ECS-MIB DEFINITIONS ::= BEGIN IMPORTS enterprises, Counter32, OBJECT-TYPE, MODULE-IDENTITY, NOTIFICATION-TYPE FROM SNMPv2-SMI; ecs MODULE-IDENTITY LAST-UPDATED "201605161234Z" ORGANIZATION "EMC ECS" CONTACT-INFO "EMC Corporation 176 South Street Hopkinton, MA 01748" DESCRIPTION "The EMC ECS Manager MIB module" ::= { emc 102 } emc OBJECT IDENTIFIER ::= { enterprises 1139 } -- Top level groups notificationData OBJECT IDENTIFIER ::= { ecs 0 } notificationTrap OBJECT IDENTIFIER ::= { ecs 1 } -- The notificationData group -- The members of this group are the OIDs for VarBinds -- that contain notification data. genericNotify OBJECT IDENTIFIER ::= { notificationData 1 } notifyTimestamp OBJECT-TYPE SYNTAX Counter32 MAX-ACCESS read-only STATUS current DESCRIPTION "The timestamp of the notification" ::= { genericNotify 1 } notifySeverity OBJECT-TYPE SYNTAX INTEGER { informational (1), warning (2), error (3), critical (4) } MAX-ACCESS read-only

Definición de MIB y jerarquía de ID de objetos del SNMP de ECS-MIB 257

STATUS currentDESCRIPTION "The severity level of the event is indicated

by an integer number in the range from 1 to 3"::= { genericNotify 2 }

notifyType OBJECT-TYPESYNTAX OCTET STRINGMAX-ACCESS read-onlySTATUS currentDESCRIPTION "A type of the event"

::= { genericNotify 3 }

notifyDescription OBJECT-TYPESYNTAX OCTET STRINGMAX-ACCESS read-onlySTATUS currentDESCRIPTION "A complete description of the event"

::= { genericNotify 4 }

-- The SNMP trap-- The definition of these objects mimics the SNMPv2 convention

for-- sending traps. The enterprise OID gets appended with a 0-- and then with the specific trap code.

trapAlarmNotification NOTIFICATION-TYPEOBJECTS {

notifyTimestamp,notifySeverity,notifyType,notifyDescription,

}STATUS currentDESCRIPTION "This trap identifies a problem on the ECS. The

description can be used to describe the nature of the change"::= { notificationTrap 1 }

END

Puede descargar la definición de ECS-MIB (como el archivo ECS_MIB.mib) desde elsitio de soporte en la sección de descargas en complementos.

Ejemplos de mensajes de SNMP trapEl siguiente es un ejemplo de un mensaje de trap formulado en respuesta a una alertade Disk Failure, según se envía a la página del portal de ECS Monitor > Events >

Alerts en el formato: Disk {diskSerialNumber} on node {fqdn} has failed:

2016-08-12 01:33:22 lviprbig248141.lss.emc.com [UDP:[10.249.248.141]:39116->[10.249.238.216]]:iso.3.6.1.6.3.18.1.3.0 = IpAddress: 10.249.238.216 iso.3.6.1.6.3.1.1.4.1.0 = OID: iso.3.6.1.4.1.1139.102.1.1 iso.3.6.1.4.1.1139.102.0.1.1 = STRING: "Fri Aug 12 13:48:03 GMT 2016"iso.3.6.1.4.1.1139.102.0.1.2 = STRING: "Critical" iso.3.6.1.4.1.1139.102.0.1.3 = STRING: "2002" iso.3.6.1.4.1.1139.102.0.1.4 = STRING: "Disk 1EGAGMRB on node provo-mustard.ecs.lab.emc.com has failed"

El siguiente es un ejemplo de un mensaje de trap formulado en respuesta a una alertade Disk Back Up, según se envía a la página del portal de ECS Monitor > Events > Alerts en el formato: Disk {diskSerialNumber} on node {fqdn} was revived:


2016-08-12 04:08:42 lviprbig249231.lss.emc.com [UDP:[10.249.249.231]:52469->[10.249.238.216]]:iso.3.6.1.6.3.18.1.3.0 = IpAddress: 10.249.238.216 iso.3.6.1.6.3.1.1.4.1.0 = OID: iso.3.6.1.4.1.1139.102.1.1 iso.3.6.1.4.1.1139.102.0.1.1 = STRING: "Fri Aug 12 16:23:23 GMT 2016"iso.3.6.1.4.1.1139.102.0.1.2 = STRING: "Info" iso.3.6.1.4.1.1139.102.0.1.3 = STRING: "2025" iso.3.6.1.4.1.1139.102.0.1.4 = STRING: "Disk 1EV1H2WB on node provo-copper.ecs.lab.emc.com was revived"

Definición de MIB y jerarquía de ID de objetos del SNMP de ECS-MIB 259

Elastic Cloud Storage (ECS)...ACL de depósitos..... 111 Capítulo 7 Capítulo 8 Capítulo 9...

Documents

Transcript of Elastic Cloud Storage (ECS)...ACL de depósitos..... 111 Capítulo 7 Capítulo 8 Capítulo 9...