Vous êtes sur la page 1sur 648

Isilon

OneFS
Version 8.0.1

Guide d’administration Web


Copyright © 2001-2016 EMC Corporation. Tous droits réservés.

Publié en octobre 2016

EMC estime que les informations figurant dans cette publication sont exactes à la date de parution. Ces informations sont
sujettes à modification sans préavis.

LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION SONT FOURNIES "EN L' ÉTAT". EMC CORPORATION
NE FOURNIT AUCUNE DÉCLARATION NI GARANTIE CONCERNANT LES INFORMATIONS CONTENUES DANS CETTE
PUBLICATION ET REJETTE PLUS SPÉCIALEMENT TOUTE GARANTIE DE VALEUR MARCHANDE OU D’ADÉQUATION
IMPLICITE À UN BESOIN SPÉCIFIQUE.

EMC², EMC et le logo EMC sont des marques déposées ou des marques commerciales d’EMC Corporation aux États-Unis
et dans d’autres pays. Toutes les autres marques citées dans le présent document sont la propriété de leurs détenteurs
respectifs. Publié en France.

EMC Computer Systems France


River Ouest 80 quai Voltaire CS 21002 95876 Bezons Cedex
Tél. : +33 1 39 96 90 00 Fax : +33 1 39 96 99 99
http://france.emc.com

2 OneFS 8.0.1 Guide d’administration Web


SOMMAIRE

Chapitre 1 Présentation de ce guide 21


À propos de ce guide.................................................................................. 22
Présentation du stockage scale-out NAS EMC Isilon..................................22
Présentation D’IsilonSD Edge..................................................................... 22
Où obtenir des services de support ?......................................................... 22

Chapitre 2 Système scale-out NAS Isilon 25


Architecture du stockage OneFS................................................................26
Composants d’un nœud Isilon.....................................................................26
Réseaux interne et externe......................................................................... 27
Cluster Isilon............................................................................................... 27
Administration du cluster............................................................... 28
Quorum......................................................................................... 28
Division et fusion........................................................................... 29
Pools de stockage..........................................................................30
Système d’exploitation OneFS................................................................... 30
Protocoles d’accès aux données....................................................30
Gestion des identités et contrôle d’accès....................................... 31
Structure du système de fichiers................................................................ 32
Répartition des données................................................................ 32
Écriture des fichiers.......................................................................33
Lecture des fichiers....................................................................... 33
Répartition des métadonnées........................................................ 33
Verrous et accès simultané............................................................ 34
répartition......................................................................................34
Présentation de la protection des données................................................. 34
Protection des données N+M........................................................ 36
Mise en miroir des données........................................................... 36
Journal du système de fichiers.......................................................37
Disque de secours virtuel (VHS).................................................... 37
Équilibrage de la protection et de l’espace de stockage................. 37
Intégration VMware.................................................................................... 37
Modules logiciels........................................................................................ 38

Chapitre 3 Administration générale d’un cluster 41


Présentation de l’administration générale du cluster.................................. 42
Interfaces utilisateur...................................................................................42
Connexion au cluster.................................................................................. 43
Se connecter à l’interface d’administration Web........................... 43
Ouvrir une connexion SSH sur un cluster.......................................44
Gestion des licences................................................................................... 44
État des licences........................................................................... 45
Configuration des licences.............................................................48
Activer une licence........................................................................ 49
Afficher les informations de licence............................................... 49
Certificats.................................................................................................. 50
Remplacer ou renouveler le certificat SSL.....................................50
Vérifier une mise à jour de certificat SSL....................................... 51
Exemple de données de certificat SSL auto-signé......................... 52

OneFS 8.0.1 Guide d’administration Web 3


SOMMAIRE

Identité du cluster...................................................................................... 52
Définir le nom du cluster et les informations de contact................ 53
Date et heure du cluster............................................................................. 54
Régler la date et l’heure du cluster................................................ 54
Spécifier un serveur de synchronisation NTP................................ 54
Paramètres de messagerie SMTP.............................................................. 55
Configurer les paramètres de la messagerie SMTP........................55
Configuration du mode de jonction du cluster............................................ 56
Spécifier le mode d’association du cluster..................................... 56
Paramètres du système de fichiers............................................................. 57
Activer ou désactiver le suivi de l’heure d’accès............................ 57
Spécifier le codage des caractères du cluster................................58
Renforcement de la sécurité.......................................................................58
Profil de renforcement de la sécurité STIG....................................59
Appliquer un profil de renforcement de la sécurité........................ 60
Rétablir un profil de renforcement de la sécurité............................61
Afficher l’état de renforcement de la sécurité............................... 62
Surveillance du cluster................................................................................63
Surveiller le cluster........................................................................ 64
Afficher l’état du nœud................................................................. 65
Surveillance du matériel du cluster............................................................. 65
Afficher l’état du matériel du nœud............................................... 65
États des châssis et des disques....................................................66
Vérifier l’état des batteries............................................................ 70
Surveillance SNMP........................................................................ 70
Événements et alertes................................................................................ 73
Présentation des événements........................................................74
Présentation des groupes d’événements....................................... 74
Présentation des alertes................................................................ 75
Présentation des canaux................................................................75
Affichage et modification des groupes d’événements.................... 75
Gestion des alertes........................................................................ 76
Gestion des canaux........................................................................78
Maintenance et tests..................................................................... 82
Maintenance du cluster.............................................................................. 84
Remplacement des composants de nœud......................................85
Mise à niveau des composants de nœud........................................ 85
Gestion du microprogramme des disques...................................... 85
Gestion des nœuds de cluster........................................................ 91
Mise à niveau de OneFS................................................................ 93
Support à distance..................................................................................... 94
Configuration de la prise en charge d’ESRS.................................. 95
Scripts de support à distance........................................................ 96
Activer et configurer ESRS........................................................... 98

Chapitre 4 Zones d’accès 101


Présentation des zones d’accès ............................................................... 102
Instructions relatives au répertoire de base...............................................102
Bonnes pratiques en matière de zones d’accès......................................... 103
Zones d’accès d’un cluster secondaire SyncIQ..........................................104
Limites des zones d’accès......................................................................... 104
Qualité de service..................................................................................... 105
Gestion des zones d’accès........................................................................ 106
Créer une zone d’accès................................................................106
Attribuer un répertoire de base à chevauchement........................ 107

4 OneFS 8.0.1 Guide d’administration Web


SOMMAIRE

Gérer les fournisseurs d’authentification d’une zone d’accès....... 107


Associer un pool d’adresses IP à une zone d’accès.......................108
Modifier une zone d’accès............................................................108
Supprimer une zone d’accès........................................................ 109
Afficher la liste des zones d’accès................................................109

Chapitre 5 Authentification 111


Présentation de l’authentification.............................................................. 112
Fonctions du fournisseur d’authentification............................................... 112
Présentation de l’historique des identifiants de sécurité (SID)...................113
Fournisseurs d’authentification pris en charge...........................................113
Active Directory.........................................................................................114
LDAP......................................................................................................... 114
NIS............................................................................................................ 115
Authentification Kerberos.......................................................................... 116
Présentation des keytabs et des SPN........................................... 116
Prise en charge du protocole MIT Kerberos.................................. 117
Fournisseur de fichiers............................................................................... 117
Fournisseur local........................................................................................118
Gestion des fournisseurs Active Directory................................................. 118
Configurer un fournisseur Active Directory................................... 118
Modifier un fournisseur Active Directory...................................... 119
Supprimer un fournisseur Active Directory................................... 119
Paramètres du fournisseur Active Directory.................................120
Gestion des fournisseurs LDAP..................................................................121
Configurer un fournisseur LDAP....................................................121
Modifier un fournisseur LDAP.......................................................123
Supprimer un fournisseur LDAP................................................... 123
Paramètres des requêtes LDAP....................................................123
Paramètres LDAP avancés........................................................... 124
Gestion des fournisseurs NIS.................................................................... 126
Configurer un fournisseur NIS...................................................... 126
Modifier un fournisseur NIS..........................................................127
Supprimer un fournisseur NIS.......................................................127
Gestion de l’authentification MIT Kerberos............................................... 128
Gestion des realms MIT Kerberos.................................................128
Gestion des fournisseurs MIT Kerberos........................................130
Gestion des domaines MIT Kerberos............................................ 133
Gestion des fournisseurs de fichiers..........................................................134
Configurer un fournisseur de fichiers........................................... 135
Générer un fichier de mots de passe............................................ 136
Format du fichier de mots de passe..............................................136
Format du fichier de groupe......................................................... 137
Format du fichier de groupe réseau.............................................. 138
Modifier un fournisseur de fichiers............................................... 138
Supprimer un fournisseur de fichiers............................................ 139
Gestion des utilisateurs et des groupes locaux.......................................... 139
Afficher une liste d’utilisateurs ou de groupes par fournisseur......139
Créer un utilisateur local...............................................................139
Créer un groupe local.................................................................... 141
Règles de dénomination pour les utilisateurs et les groupes locaux....
142
Modifier un utilisateur local.......................................................... 142
Modifier un groupe local............................................................... 142
Supprimer un utilisateur local....................................................... 143

OneFS 8.0.1 Guide d’administration Web 5


SOMMAIRE

Supprimer un groupe local............................................................143

Chapitre 6 Rôles et privilèges d’administrateur 145


Accès basé sur des rôles........................................................................... 146
Rôles......................................................................................................... 146
Rôles personnalisés...................................................................... 147
Rôles prédéfinis............................................................................ 147
Privilèges.................................................................................................. 150
Privilèges OneFS pris en charge................................................... 151
Privilèges de sauvegarde et de restauration de données.............. 154
Privilèges de l’interface de ligne de commande............................ 155
Gestion des rôles...................................................................................... 159
Créer un rôle personnalisé............................................................159
Modifier un rôle............................................................................159
Copier un rôle...............................................................................160
Ajouter un privilège à un rôle personnalisé....................................160
Ajouter un membre à un rôle........................................................ 160
Supprimer un rôle personnalisé..................................................... 161
Afficher un rôle............................................................................. 161
Afficher les privilèges....................................................................161

Chapitre 7 Gestion des identités 163


Présentation de la gestion des identités.................................................... 164
Types d’identité........................................................................................ 164
Jetons d’accès.......................................................................................... 165
Génération de jetons d’accès.................................................................... 166
Mappage des ID............................................................................167
Mappage utilisateur......................................................................169
Identité sur disque.........................................................................171
Gestion des ID de mappage....................................................................... 173
Créer un mappage d’identité........................................................ 173
Modifier un mappage d’identité.................................................... 173
Supprimer un mappage d’identité................................................. 174
Afficher un mappage d’identité.....................................................174
Vider le cache de mappage d’identité........................................... 175
Afficher un token d’utilisateur...................................................... 175
Configurer les paramètres de mappage d’identité........................ 176
Afficher les paramètres de mappage d’identité.............................176
Gestion des identités des utilisateurs.........................................................177
Afficher l’identité des utilisateurs................................................. 177
Créer une règle de mappage d’utilisateurs....................................178
Tester une règle de mappage d’utilisateurs.................................. 179
Fusionner des tokens Windows et UNIX.......................................180
Récupérer le groupe principal à partir de LDAP............................ 180
Options des règles de mappage....................................................182
Opérateurs d’une règle de mappage............................................. 183

Chapitre 8 Répertoires personnels 187


Présentation des répertoires personnels................................................... 188
Autorisations des répertoires personnels...................................................188
Authentification des utilisateurs SMB....................................................... 188
Création de répertoires personnels via SMB............................................. 188
Créer des répertoires personnels avec des variables d’extension....
189

6 OneFS 8.0.1 Guide d’administration Web


SOMMAIRE

Créer des répertoires personnels avec l’option --inheritable-path-


acl................................................................................................ 190
Créer des répertoires personnels spéciaux avec la variable de
partage SMB %U.......................................................................... 191
Création de répertoires personnels via SSH et FTP...................................192
Définir le shell de connexion SSH ou FTP .................................... 192
Définir les autorisations des répertoires personnels SSH/FTP..... 193
Définir les options de création des répertoires personnels SSH/FTP
.....................................................................................................194
Provisionner des répertoires personnels avec des fichiers dot..... 195
Création de répertoires personnels dans un environnement mixte............ 196
Interactions entre ACL et bits de mode.....................................................196
Paramètres par défaut des répertoires personnels selon le fournisseur
d’authentification......................................................................................196
Variables d’extension prises en charge...................................................... 197
Variables de domaine pour le provisionnement des répertoires personnels....
199

Chapitre 9 Contrôle d’accès aux données 201


Présentation du contrôle d’accès aux données.........................................202
ACL.......................................................................................................... 202
Autorisations UNIX................................................................................... 203
Environnements d’autorisation mixtes...................................................... 203
Accès à NFS des fichiers créés sous Windows............................ 203
Accès à SMB des fichiers créés sous UNIX..................................204
Gestion des autorisations d’accès............................................................ 204
Afficher les autorisations utilisateur attendues............................ 204
Configurer les paramètres de gestion des accès..........................206
Modifier les paramètres de règles ACL........................................ 206
Paramètres des règles ACL..........................................................207
Exécuter la tâche PermissionRepair............................................. 213

Chapitre 10 Partage de fichiers 217


Présentation du partage de fichiers...........................................................218
Environnements à protocoles mixtes............................................ 218
Mise en cache des écritures avec SmartCache............................ 219
SMB......................................................................................................... 220
Partages SMB dans les zones d’accès..........................................221
SMB Multichannel....................................................................... 222
Gestion des partages SMB à l’aide de MMC................................ 223
Copie côté serveur SMB.............................................................. 224
Disponibilité continue SMB.......................................................... 225
Filtrage de fichiers SMB.............................................................. 226
Liens symboliques et clients SMB................................................ 227
Accès anonyme aux partages SMB.............................................. 229
Gestion des paramètres SMB...................................................... 229
Gestion des partages SMB.......................................................... 233
NFS.......................................................................................................... 239
Exports NFS................................................................................ 240
Alias NFS..................................................................................... 240
Fichiers log NFS........................................................................... 241
Gestion du service NFS................................................................ 241
Gestion des exportations NFS..................................................... 243
Gestion des alias NFS...................................................................251

OneFS 8.0.1 Guide d’administration Web 7


SOMMAIRE

FTP.......................................................................................................... 252
Activer et configurer le partage de fichiers FTP.......................... 253
HTTP et HTTPS....................................................................................... 253
Activer et configurer le protocole HTTP...................................... 254

Chapitre 11 Filtrage des fichiers 257


Filtrage des fichiers dans une zone d’accès.............................................. 258
Activer et configurer le filtrage des fichiers dans une zone d’accès..........258
Modifier les paramètres de filtrage des fichiers d’une zone d’accès......... 259
Afficher les paramètres de filtrage de fichiers.......................................... 259

Chapitre 12 Audit 261


Présentation de l’audit..............................................................................262
Syslog.......................................................................................................262
Transfert syslog...........................................................................263
Événements d’audit de protocole............................................................. 263
Outils d’audit pris en charge..................................................................... 264
Livraison des événements d’audit de protocole à plusieurs serveurs CEE. 264
Types d’événement pris en charge........................................................... 265
Exemple de fichier log d’audit...................................................................266
Gestion des paramètres d’audit................................................................ 267
Activer l’audit de l’accès au protocole..........................................267
Transférer les événements d’accès aux protocoles dans syslog ..269
Activer l’audit de la configuration du système............................. 269
Définir le nom d’hôte d’audit........................................................ 270
Configurer les zones faisant l’objet d’un audit de protocole......... 270
Transférer les modifications de configuration système dans syslog...
271
Configurer des filtres d’événements de protocole........................ 271
Intégration avec l’EMC Common Event Enabler....................................... 272
Installer CEE for Windows........................................................... 272
Configurer CEE for Windows....................................................... 273
Configurer les serveurs CEE afin de livrer des événements d’audit
de protocole.................................................................................274
Suivi de la livraison des événements d’audit de protocole......................... 274
Afficher les horodatages de livraison des événements au serveur
CEE et à syslog............................................................................275
Déplacer la position de log du redirecteur CEE............................ 275
Afficher le taux de livraison des événements d’audit de protocole au
serveur CEE.................................................................................276

Chapitre 13 Snapshots 277


Présentation des snapshots......................................................................278
Protection des données avec SnapshotIQ................................................ 278
Utilisation de l’espace disque par les snapshots........................................ 278
Plannings de snapshots............................................................................ 279
Alias de snapshot...................................................................................... 279
Restauration des fichiers et des répertoires............................................. 279
Bonnes pratiques relatives à la création de snapshots.............................. 280
Bonnes pratiques relatives à la création de plannings de snapshots.......... 281
Clones de fichiers..................................................................................... 282
Considérations relatives aux zones de stockage de clichés
instantanés.................................................................................. 282
Verrous de snapshot................................................................................. 283

8 OneFS 8.0.1 Guide d’administration Web


SOMMAIRE

Espace réservé aux snapshots.................................................................. 283


Fonctions sous licence SnapshotIQ.......................................................... 284
Création de snapshots avec SnapshotIQ.................................................. 284
Créer un domaine SnapRevert..................................................... 285
Créer un planning de snapshots................................................... 285
Créer un snapshot....................................................................... 286
Modèles de dénomination des snapshots..................................... 287
Gestion des snapshots .............................................................................290
Réduction de l’utilisation de l’espace disque par les snapshots.... 290
Supprimer des snapshots.............................................................290
Modifier les attributs des snapshots.............................................291
Attribuer un alias à un snapshot................................................... 292
Afficher les snapshots................................................................. 292
Informations sur le snapshot........................................................292
Restauration des données des snapshots................................................. 292
Rétablir un snapshot.................................................................... 293
Restaurer un fichier ou un répertoire à l’aide de l’Explorateur
Windows......................................................................................293
Restaurer un fichier ou un répertoire à partir d’une ligne de
commande UNIX..........................................................................294
Cloner un fichier à partir d’un snapshot....................................... 294
Gestion des plannings de snapshots......................................................... 295
Modifier un planning de snapshots...............................................295
Supprimer un planning de snapshots........................................... 295
Afficher les plannings de snapshots............................................. 295
Gestion des alias de snapshot...................................................................296
Configurer un alias de snapshot pour un planning de snapshots...296
Attribuer un alias à un snapshot...................................................296
Réattribution d’un alias de snapshot au système de fichiers actif....
296
Afficher les alias de snapshot.......................................................297
Informations relatives à l’alias de snapshot.................................. 297
Gestion des verrous de snapshot.............................................................. 297
Créer un verrou de snapshot....................................................... 298
Modifier la date d’expiration d’un verrou de snapshot................. 298
Supprimer un verrou de snapshot................................................ 299
Informations sur les verrous de snapshot.....................................299
Configurer les paramètres SnapshotIQ.....................................................300
Paramètres SnapshotIQ.............................................................. 300
Définir un espace réservé aux snapshots...................................................301
Gestion des listes de modifications........................................................... 301
Créer une liste de modifications...................................................302
Supprimer une liste de modifications........................................... 302
Afficher une liste de modifications...............................................302
Informations des listes de modifications...................................... 303

Chapitre 14 Déduplication avec SmartDedupe 305


Présentation de la déduplication...............................................................306
Tâches de déduplication........................................................................... 306
Réplication et sauvegarde des données avec déduplication...................... 307
Snapshots avec déduplication.................................................................. 308
Considérations relatives à la déduplication............................................... 308
Considérations relatives aux zones de stockage de clichés instantanés....309
Fonctions sous licence SmartDedupe........................................................310
Gestion de la déduplication....................................................................... 310

OneFS 8.0.1 Guide d’administration Web 9


SOMMAIRE

Évaluer les gains d’espace apportés par la déduplication..............310


Spécifier les paramètres de déduplication..................................... 311
Démarrer ou planifier une tâche de déduplication......................... 311
Afficher les gains d’espace résultant de la déduplication.............. 312
Afficher un rapport de déduplication............................................ 312
Informations du rapport de tâches de déduplication..................... 312
Informations relatives à la déduplication.......................................313

Chapitre 15 Réplication des données avec SyncIQ 315


Tour d’horizon de la fonction de réplication des données SyncIQ..............316
Accès à SyncIQ avec IsilonSD Edge............................................. 316
Règles et tâches de réplication................................................................. 316
Règles de réplication automatisées.............................................. 318
Association d’un cluster source et d’un cluster cible.................... 319
Configuration des clusters source et cible SyncIQ avec NAT.......320
Réplication complète et différentielle........................................... 321
Contrôle de la consommation des ressources par les tâches de
réplication.................................................................................... 321
Priorité des règles de réplication..................................................322
Rapports de réplication................................................................322
Snapshots de réplication.......................................................................... 323
Snapshots du cluster source........................................................323
Snapshots du cluster cible........................................................... 323
Basculement sur incident et retour arrière des données avec SyncIQ.......324
Basculement sur incident des données........................................ 325
Retour arrière des données..........................................................325
Basculement et retour arrière en mode de conformité SmartLock....
326
Limites de la réplication SmartLock............................................. 326
Objectifs et temps de restauration de SyncIQ.......................................... 327
Alertes RPO.................................................................................328
Priorité des règles de réplication.............................................................. 328
Fonctions sous licence SyncIQ................................................................. 329
Création de règles de réplication.............................................................. 329
Exclusion de répertoires de la réplication..................................... 329
Exclusion de fichiers de la réplication...........................................330
Options de critères de fichier.......................................................330
Configurer les paramètres par défaut des règles de réplication....332
Création d’une règle de réplication.............................................. 333
Évaluer une règle de réplication................................................... 340
Gestion de la réplication sur des clusters distants..................................... 341
Démarrer une tâche de réplication................................................341
Interrompre une tâche de réplication............................................341
Reprendre une tâche de réplication............................................. 342
Annuler une tâche de réplication..................................................342
Afficher les tâches de réplication actives.....................................342
Informations sur les tâches de réplication.................................... 342
Démarrage du basculement sur incident et du retour arrière des données
avec SyncIQ............................................................................................. 343
Faire basculer des données vers un cluster secondaire................ 343
Annuler une opération de reprise................................................. 344
Effectuer un retour arrière des données sur un cluster principal.. 344
Reprise après sinistre pour les répertoires SmartLock plus anciens.......... 345
Restaurer des répertoires de conformité SmartLock sur un cluster
cible.............................................................................................346

10 OneFS 8.0.1 Guide d’administration Web


SOMMAIRE

Migrer les répertoires de conformité SmartLock..........................347


Gestion des règles de réplication.............................................................. 348
Modifier une règle de réplication..................................................348
Supprimer une règle de réplication.............................................. 348
Activer ou désactiver une règle de réplication..............................349
Afficher les règles de réplication..................................................349
Informations sur les règles de réplication.....................................350
Paramètres des règles de réplication........................................... 350
Gestion de la réplication vers le cluster local............................................ 353
Annuler la réplication sur le cluster local...................................... 354
Rompre l’association avec la cible locale......................................354
Afficher les règles de réplication qui ciblent le cluster local......... 354
Informations relatives aux règles de réplication à distance...........354
Gestion des règles de performances pour la réplication............................355
Créer une règle de trafic réseau.................................................. 355
Créer une règle d’opérations de fichier........................................356
Modifier une règle de performances............................................ 356
Supprimer une règle de performances......................................... 356
Activer ou désactiver une règle de performances........................ 356
Afficher les règles de performances............................................ 356
Gestion des rapports de réplication.......................................................... 357
Configurer les paramètres par défaut des rapports de réplication357
Supprimer des rapports de réplication......................................... 357
Afficher les rapports de réplication..............................................358
Informations des rapports de réplication......................................358
Gestion des tâches de réplication ayant échoué....................................... 359
Résoudre une règle de réplication................................................359
Réinitialiser une règle de réplication.............................................359
Effectuer une réplication complète ou différentielle.................... 360

Chapitre 16 Répartition des données avec FlexProtect 361


Présentation de FlexProtect.....................................................................362
Répartition des fichiers.............................................................................362
Protection demandée des données...........................................................362
Restauration des données FlexProtect..................................................... 363
Smartfail......................................................................................363
Défaillances de nœud...................................................................364
Demande de protection des données........................................................ 364
Paramètres de protection demandée........................................................365
Utilisation de l’espace disque pour la protection demandée...................... 366

Chapitre 17 Présentation de la sauvegarde et de la restauration NDMP 369


Présentation de la sauvegarde et de la restauration NDMP...................... 370
Sauvegarde et restauration NDMP pour IsilonSD Edge................370
Sauvegarde NDMP bidirectionnelle.......................................................... 370
Sauvegarde NDMP tridirectionnelle.......................................................... 371
Définition des adresses IP préférées pour les opérations NDMP
tridirectionnelles........................................................................................371
Sauvegarde et restauration NDMP multiflux............................................. 371
Sauvegardes incrémentielles basées sur des snapshots............................ 372
Prise en charge du protocole NDMP.........................................................373
DMA prises en charge...............................................................................374
Matériel pris en charge pour NDMP..........................................................374
Limites des sauvegardes NDMP................................................................374

OneFS 8.0.1 Guide d’administration Web 11


SOMMAIRE

Recommandations relatives aux performances NDMP..............................375


Exclusion de fichiers et de répertoires des sauvegardes NDMP................376
Configuration des paramètres de sauvegarde NDMP de base...................378
Configurer et activer la sauvegarde NDMP..................................378
Afficher les paramètres de sauvegarde NDMP.............................378
Désactiver la sauvegarde NDMP..................................................378
Gestion des comptes utilisateur NDMP.................................................... 379
Créer un compte d’administrateur NDMP.................................... 379
Afficher les comptes utilisateur NDMP........................................ 379
Modifier le mot de passe d’un compte d’administrateur NDMP... 379
Supprimer un compte d’administrateur NDMP............................ 380
Présentation des variables d’environnement NDMP................................. 380
Gestion des variables d’environnement NDMP............................ 380
Paramètres des variables d’environnement NDMP.......................381
Ajouter une variable d’environnement NDMP.............................. 382
Afficher les variables d’environnement NDMP.............................382
Modifier une variable d’environnement NDMP.............................382
Supprimer une variable d’environnement NDMP......................... 383
Variables d’environnement NDMP............................................... 383
Définition des variables d’environnement pour les opérations de
sauvegarde et de restauration...................................................... 391
Gestion des contextes NDMP...................................................................392
Paramètres de contexte NDMP................................................... 392
Afficher les contextes NDMP...................................................... 393
Supprimer un contexte NDMP.....................................................393
Gestion des sessions NDMP..................................................................... 393
Informations sur les sessions NDMP............................................ 393
Afficher les sessions NDMP.........................................................396
Abandonner une session NDMP...................................................396
Gestion des ports NDMP Fibre Channel................................................... 397
Paramètres des ports de sauvegarde NDMP................................397
Activer ou désactiver un port de sauvegarde NDMP....................398
Afficher les ports de sauvegarde NDMP...................................... 398
Modifier les paramètres d’un port de sauvegarde NDMP.............398
Gestion des paramètres IP NDMP préférés.............................................. 398
Créer un paramètre IP NDMP préféré......................................... 399
Modifier un paramètre IP NDMP préféré..................................... 399
Répertorier les paramètres IP NDMP préférés............................ 399
Afficher les paramètres IP NDMP préférés..................................400
Supprimer les paramètres IP NDMP préférés.............................. 400
Gestion des périphériques de sauvegarde NDMP..................................... 400
Paramètres des périphériques de sauvegarde NDMP.................. 400
Détecter les périphériques de sauvegarde NDMP........................ 401
Afficher les périphériques de sauvegarde NDMP......................... 402
Modifier le nom d’un périphérique de sauvegarde NDMP............ 402
Supprimer une entrée de périphérique de sauvegarde NDMP......402
Présentation du fichier NDMP dumpdates................................................403
Gestion du fichier NDMP dumpdates...........................................403
Paramètres du fichier NDMP dumpdates.....................................403
Afficher les entrées du fichier NDMP dumpdates........................ 404
Supprimer des entrées du fichier NDMP dumpdates................... 404
Opérations de restauration NDMP............................................................404
Opération de restauration parallèle NDMP...................................404
Opération de restauration série NDMP........................................ 404
Spécifier une opération de restauration série NDMP................... 404
Partage de lecteurs de bande entre les clusters....................................... 405

12 OneFS 8.0.1 Guide d’administration Web


SOMMAIRE

Gestion des sauvegardes incrémentielles basées sur des snapshots.........405


Activer les sauvegardes incrémentielles basées sur des snapshots
pour un répertoire........................................................................405
Afficher les snapshots pour les sauvegardes incrémentielles basées
sur des snapshots........................................................................ 406
Supprimer des snapshots pour les sauvegardes incrémentielles
basées sur des snapshots............................................................ 406

Chapitre 18 Rétention des fichiers avec SmartLock 407


Présentation de SmartLock...................................................................... 408
Mode de conformité................................................................................. 408
Mode d’entreprise.................................................................................... 408
Répertoires SmartLock............................................................................ 409
Accès à SmartLock avec IsilonSD Edge.................................................... 409
Réplication et sauvegarde avec SmartLock...............................................410
Fonctions sous licence SmartLock............................................................ 410
Considérations relatives à SmartLock........................................................ 411
Régler l’horloge de conformité...................................................................411
Afficher l’horloge de conformité................................................................ 411
Création d’un répertoire SmartLock.......................................................... 412
Périodes de rétention................................................................... 412
Périodes de validation automatique.............................................. 412
Créer un répertoire d’entreprise à partir d’un répertoire non vide....
413
Créer un répertoire SmartLock.....................................................413
Gestion des répertoires SmartLock........................................................... 414
Modifier un répertoire SmartLock................................................ 414
Afficher les paramètres d’un répertoire SmartLock...................... 414
Paramètres de configuration du répertoire SmartLock.................415
Gestion des fichiers dans des répertoires SmartLock................................416
Définir une période de rétention via une ligne de commande UNIX....
417
Définir une période de rétention via Windows PowerShell............ 417
Valider un fichier à l’état WORM via une ligne de commande UNIX...
417
Valider un fichier à l’état WORM via l’Explorateur Windows.........418
Remplacer la période de rétention de tous les fichiers d’un
répertoire SmartLock................................................................... 418
Supprimer un fichier validé à l’état WORM ..................................419
Afficher l’état WORM d’un fichier................................................ 419

Chapitre 19 Domaines de protection 421


Présentation des domaines de protection.................................................422
Domaines de protection d’IsilonSD Edge......................................422
Considérations relatives aux domaines de protection............................... 422
Créer un domaine de protection............................................................... 423
Supprimer un domaine de protection........................................................ 423

Chapitre 20 Chiffrement des données inactives 425


Présentation du chiffrement des données inactives................................. 426
Chiffrement des données inactives pour IsilonSD Edge............... 426
Disques à chiffrement automatique (SED)............................................... 426
Sécurité des données sur des disques SED...............................................426
Migration des données vers un cluster équipé de disques SED................. 427

OneFS 8.0.1 Guide d’administration Web 13


SOMMAIRE

États des châssis et des disques...............................................................428


État REPLACE d’un disque ayant fait l’objet d’une opération SmartFail... 432
État ERASE d’un disque ayant fait l’objet d’une opération SmartFail........433

Chapitre 21 SmartQuotas 435


Présentation de SmartQuotas.................................................................. 436
Types de quota......................................................................................... 436
Type de quota par défaut..........................................................................437
Comptabilité et limites d’utilisation........................................................... 439
Calcul de l’utilisation du disque..................................................................441
Notifications de quota.............................................................................. 442
Règles de notification de quota................................................................ 443
Rapports sur les quotas............................................................................ 443
Création de quotas................................................................................... 444
Créer un quota de comptabilité....................................................444
Créer un quota de mise en œuvre................................................ 445
Gestion des quotas................................................................................... 446
Rechercher des quotas................................................................ 446
Gérer les quotas...........................................................................447
Exporter un fichier de configuration de quota..............................448
Importer un fichier de configuration de quota.............................. 448
Gestion des notifications de quota............................................................449
Configurer les paramètres de notification de quota par défaut.... 449
Configurer des règles de notification de quota personnalisées.... 450
Mapper une règle de notification par e-mail pour un quota...........451
Messages de notification de quota par e-mail........................................... 451
Descriptions des variables du modèle personnalisé de notification
par e-mail.................................................................................... 452
Personnaliser les modèles de notification de quota par e-mail..... 453
Gestion des rapports sur les quotas..........................................................454
Créer un planning de rapport sur les quotas.................................454
Générer un rapport de quota....................................................... 454
Localiser un rapport de quota...................................................... 455
Paramètres de base des quotas................................................................455
Paramètres des règles de notification de quota consultatif...................... 456
Paramètres des règles de notification de quota souple............................. 457
Paramètres des règles de notification de quota strict...............................459
Paramètres de notification de limite......................................................... 460
Paramètres des rapports de quota........................................................... 460

Chapitre 22 Pools de stockage 463


Présentation des pools de stockage......................................................... 464
Fonctions d’un pool de stockage.............................................................. 464
Fonctions de pool de stockage prises en charge par IsilonSD Edge...
466
Provisionnement automatique.................................................................. 467
Pools de nœuds........................................................................................ 467
Compatibilités de classes de nœuds............................................ 468
Compatibilités de disque SSD...................................................... 469
Pools de nœuds manuels..............................................................470
Disque de secours virtuel.......................................................................... 470
Débordement............................................................................................ 471
Protection recommandée.......................................................................... 471
Politiques de protection............................................................................ 472

14 OneFS 8.0.1 Guide d’administration Web


SOMMAIRE

Stratégies SSD......................................................................................... 472


Accélération de l’espace de nommage global............................................ 473
Présentation du cache N3.........................................................................474
Migration vers le cache de niveau 3............................................. 475
Cache N3 sur les pools de nœuds des gammes NL et HD............ 476
Niveaux.....................................................................................................476
Règles de pool de fichiers......................................................................... 477
Gestion des pools de nœuds dans l’interface d’administration Web.......... 478
Ajouter des pools de nœuds à un niveau.......................................478
Modifier le nom ou la protection demandée d’un pool de nœuds..478
Créer une compatibilité de classe de nœuds................................ 479
Fusionner des pools de nœuds compatibles................................. 480
Supprimer une compatibilité de classe de nœuds......................... 481
Créer une compatibilité de disque SSD.........................................481
Supprimer une compatibilité SSD................................................ 482
Gestion du cache N3 à partir de l’interface d’administration Web............ 483
Définir le cache N3 comme cache par défaut des pools de nœuds....
483
Définir le cache N3 pour un pool de nœuds spécifique................. 483
Restaurer les disques SSD sur des disques de stockage pour un pool
de nœuds.....................................................................................484
Gestion des niveaux..................................................................................485
Créer un niveau........................................................................... 485
Modifier un niveau....................................................................... 485
Supprimer un niveau.................................................................... 486
Création de règles de pool de fichiers.......................................................486
Créer une règle de pools de fichiers............................................. 487
Options de correspondance de fichiers pour les règles de pool de
fichiers.........................................................................................488
Caractères génériques valides..................................................... 489
Paramètres SmartPools...............................................................490
Gestion des règles de pool de fichiers.......................................................494
Configurer les paramètres de protection du pool de fichiers par
défaut.......................................................................................... 494
Paramètres de protection demandée du pool de fichiers par défaut..
495
Configurer les paramètres d’optimisation des E/S par défaut......496
Paramètres d’optimisation des E/S du pool de fichiers par défaut....
497
Modifier une règle de pools de fichiers.........................................497
Hiérarchiser une règle de pools de fichiers...................................498
Créer une règle de pool de fichiers à partir d’un modèle.............. 499
Supprimer une règle de pools de fichiers..................................... 499
Surveillance des pools de stockage.......................................................... 499
Surveiller les pools de stockage................................................... 500
Afficher l’état de santé des sous-pools........................................500
Afficher les résultats d’une tâche SmartPools............................. 500

Chapitre 23 CloudPools 503


Présentation de CloudPools..................................................................... 504
Accès à CloudPools avec IsilonSD Edge...................................... 505
Fournisseurs de Cloud pris en charge....................................................... 505
EMC Isilon................................................................................... 505
Appliance EMC ECS.................................................................... 505
Virtustream Storage Cloud.......................................................... 506

OneFS 8.0.1 Guide d’administration Web 15


SOMMAIRE

Amazon S3.................................................................................. 506


Microsoft Azure...........................................................................507
Concepts de CloudPools...........................................................................507
Traitement des fichiers avec CloudPools..................................................509
Archivage des fichiers avec des règles de pool de fichiers........................ 510
Exemples de règles avec des actions CloudPools......................... 510
À propos de l’ordre des règles de pool de fichiers........................ 510
Paramètres d’archivage Cloud de la règle de pool de fichiers........511
Options de correspondance de fichiers pour les règles d’archivage
Cloud............................................................................................516
Combinaison d’actions de règles de stockage Cloud et en local....518
Récupération des données de fichier à partir du Cloud..............................518
Accès à la volée aux données de Cloud.........................................518
Rappel de fichiers à partir du Cloud..............................................518
Interopérabilité de CloudPools avec les autres fonctions de OneFS.......... 519
Compression et chiffrement des données de Cloud......................519
Accès à la volée NFS................................................................... 520
Accès à la volée SMB.................................................................. 520
Autres protocoles prenant en charge l’accès à la volée................520
Interopérabilité de SyncIQ........................................................... 520
Sauvegarde et restauration NDMP des données de Cloud........... 523
Comportement de CloudPools avec des snapshots......................524
CloudPools avec SmartLock........................................................ 525
CloudPools et SmartQuotas........................................................ 525
CloudPools et SmartDedupe........................................................525
Bonnes pratiques CloudPools................................................................... 526
Utilisation d’horodatages pour l’archivage et le rappel de données
dans le Cloud............................................................................... 526
Archivage CloudPools et taille des fichiers.................................. 526
Création de comptes exclusifs pour CloudPools.......................... 526
Résolution des problèmes liés à CloudPools..............................................527
Comportements prévus de CloudPools........................................ 527
Logs CloudPools.......................................................................... 529
Résolution des problèmes liés à CloudPools.................................530
Serveurs proxy réseau avec CloudPools................................................... 530
Créer un proxy réseau.................................................................. 531
Afficher la liste des proxys réseau................................................ 531
Afficher les propriétés d’un proxy réseau.................................... 532
Modifier un proxy réseau............................................................. 532
Supprimer un proxy réseau.......................................................... 533
Gestion des comptes de stockage Cloud.................................................. 533
Créer des comptes de stockage Cloud.........................................533
Modifier un compte de stockage Cloud........................................534
Gestion de CloudPools............................................................................. 535
Créer un CloudPool..................................................................... 535
Affichez des informations sur un CloudPool................................ 535
Modifier un CloudPool................................................................. 536
Surveillance de CloudPools..........................................................536
Gestion des règles du Cloud..................................................................... 536
Afficher ou modifier les paramètres par défaut de la règle de pool de
fichiers.........................................................................................537
Créer une règle de pool de fichiers pour un stockage Cloud.........537
Modifier les attributs de Cloud dans une règle de pool de fichiers....
539

16 OneFS 8.0.1 Guide d’administration Web


SOMMAIRE

Chapitre 24 Tâches système 541


Présentation des tâches système............................................................. 542
Bibliothèque de tâches système............................................................... 542
Exécution des tâches............................................................................... 546
Impact des tâches sur les performances...................................................547
Priorités des tâches..................................................................................548
Gestion des tâches système..................................................................... 548
Afficher les tâches actives...........................................................549
Afficher l’historique des tâches................................................... 549
Démarrer une tâche.....................................................................549
Interrompre une tâche.................................................................550
Reprendre une tâche................................................................... 550
Annuler une tâche....................................................................... 550
Mettre à jour une tâche............................................................... 550
Modifier les paramètres d’un type de tâche................................. 551
Gestion des règles d’impact...................................................................... 551
Créer une règle d’impact.............................................................. 551
Copier une règle d’impact............................................................552
Modifier une règle d’impact......................................................... 553
Supprimer une règle d’impact......................................................553
Afficher les paramètres de règle d’impact................................... 553
Affichage des statistiques et des rapports relatifs aux tâches.................. 554
Afficher les statistiques relatives à une tâche en cours................554
Afficher un rapport pour une tâche terminée...............................554

Chapitre 25 Gestion réseau 557


Présentation de la gestion réseau.............................................................558
À propos du réseau interne.......................................................................558
Plages d’adresses IP internes...................................................... 558
Basculement sur incident du réseau interne................................ 559
Configuration du réseau interne pour IsilonSD Edge.................... 559
À propos du réseau externe......................................................................559
Réseaux de groupe...................................................................... 560
Sous-réseaux............................................................................... 561
Pools d’adresses IP......................................................................562
Module SmartConnect................................................................ 563
Règles de provisionnement de nœuds......................................... 566
Options de routage...................................................................... 567
Configuration du réseau interne............................................................... 568
Modifier la plage d’adresses IP interne........................................ 568
Modifier le masque de réseau du réseau interne.......................... 569
Configurer et activer le basculement sur incident interne ........... 570
Désactiver le basculement sur incident du réseau interne............570
Gestion des réseaux de groupe..................................................................571
Créer un réseau de groupe........................................................... 571
Modifier un réseau de groupe...................................................... 572
Supprimer un réseau de groupe................................................... 572
Afficher les réseaux de groupe.....................................................573
Gestion des sous-réseaux de réseau externe............................................ 574
Créer un sous-réseau...................................................................574
Modifier un sous-réseau.............................................................. 575
Supprimer un sous-réseau........................................................... 576
Afficher les paramètres de sous-réseau....................................... 576
Configurer une adresse IP pour le service SmartConnect............ 576
Activer ou désactiver le balisage VLAN........................................ 577

OneFS 8.0.1 Guide d’administration Web 17


SOMMAIRE

Ajouter ou supprimer une adresse DRS........................................ 577


Gestion des pools d’adresses IP................................................................577
Créer un pool d’adresses IP......................................................... 577
Modifier un pool d’adresses IP..................................................... 578
Supprimer un pool d’adresses IP..................................................578
Afficher les paramètres du pool d’adresses IP............................. 579
Ajouter ou supprimer une plage d’adresses IP..............................579
Gestion des paramètres SmartConnect.................................................... 579
Modifier une zone DNS SmartConnect........................................580
Spécifier un sous-réseau pour le service SmartConnect..............580
Suspendre ou réactiver un nœud..................................................581
Configurer l’allocation d’adresses IP............................................ 581
Configurer une règle d’équilibrage des connexions...................... 583
Configurer une règle de basculement IP...................................... 584
Configurer une règle de rééquilibrage IP...................................... 584
Gestion des membres de l’interface réseau.............................................. 586
Ajouter ou supprimer une interface réseau.................................. 586
Configurer une agrégation de liens.............................................. 586
Gestion des règles de provisionnement de nœuds.................................... 588
Créer une règle de provisionnement de nœud..............................588
Modifier une règle de provisionnement de nœud......................... 589
Supprimer une règle de provisionnement de nœud...................... 589
Afficher les paramètres de règle de provisionnement de nœud....590
Gestion des options de routage................................................................ 590
Activer ou désactiver le routage basé sur la source..................... 590
Ajouter ou supprimer une route statique......................................590
Gestion des paramètres de cache DNS..................................................... 591
Vider le cache DNS...................................................................... 591
Modifier les paramètres du cache DNS........................................ 591
Paramètres du cache DNS........................................................... 591
Gestion des ports TCP............................................................................. 592
Ajouter ou supprimer des ports TCP............................................592

Chapitre 26 Hadoop 595


Présentation de Hadoop........................................................................... 596
Architecture Hadoop................................................................................ 596
Couche de traitement..................................................................596
Couche de stockage.................................................................... 596
Implémentation de Hadoop dans OneFS................................................... 597
Distributions Hadoop prises en charge par OneFS.................................... 597
Fichiers et répertoires HDFS.................................................................... 597
Comptes utilisateur et de groupe Hadoop................................................ 598
Méthodes d’authentification HDFS.......................................................... 598
HDFS et SmartConnect............................................................................598
WebHDFS................................................................................................ 599
Usurpation d'identité sécurisée................................................................ 599
Agent Ambari........................................................................................... 600
Chiffrement sur le réseau HDFS............................................................... 600
Prise en charge d’Apache Ranger............................................................. 601
Racks HDFS virtuels................................................................................. 601
Déploiement de Hadoop avec OneFS........................................................602
Gestion du service HDFS..........................................................................602
Activer ou désactiver le service HDFS......................................... 602
Configurer les paramètres du service HDFS................................ 602
Paramètres du service HDFS.......................................................603

18 OneFS 8.0.1 Guide d’administration Web


SOMMAIRE

Afficher les paramètres HDFS..................................................... 603


Modifier les niveaux de consignation HDFS................................. 604
Afficher les niveaux de consignation HDFS..................................604
Définir le répertoire racine HDFS..............................................................604
Configuration des méthodes d’authentification HDFS..............................605
Définir la méthode d’authentification HDFS................................ 605
Configurer les propriétés d’authentification HDFS sur le client
Hadoop........................................................................................605
Méthodes d’authentification HDFS prises en charge................... 606
Créer un utilisateur local Hadoop..............................................................606
Activer ou désactiver WebHDFS.............................................................. 607
Configurer une usurpation d’identité sécurisée.........................................607
Créer un utilisateur proxy............................................................ 607
Modifier un utilisateur proxy........................................................ 608
Supprimer un utilisateur proxy.....................................................608
Afficher un utilisateur proxy........................................................ 609
Configurer les paramètres de l’agent Ambari............................................609
Modifier les paramètres du plug-in Ranger................................................610
Configurer le chiffrement sur le réseau HDFS........................................... 610
Gestion des racks HDFS virtuels................................................................611
Créer un rack HDFS virtuel........................................................... 611
Modifier un rack HDFS virtuel.......................................................611
Supprimer un rack HDFS virtuel................................................... 612
Afficher un rack HDFS virtuel.......................................................612

Chapitre 27 Antivirus 613


Présentation de l’antivirus.........................................................................614
Analyse à l’accès....................................................................................... 614
Analyse par des règles antivirus................................................................ 615
Analyse de fichiers individuels................................................................... 615
Fichiers à l’état WORM et antivirus...........................................................615
Rapports d’analyse antivirus..................................................................... 616
Serveurs ICAP...........................................................................................616
Réponses aux menaces virales.................................................................. 616
Configuration des paramètres antivirus généraux..................................... 618
Exclure des fichiers des analyses antivirus................................... 618
Configurer les paramètres d’analyse à l’accès.............................. 619
Configurer les paramètres de réponse aux menaces virales..........619
Configurer les paramètres de rétention des rapports antivirus.... 620
Activer ou désactiver l’analyse antivirus...................................... 620
Gestion des serveurs ICAP....................................................................... 620
Ajouter un serveur ICAP et s’y connecter.................................... 620
Tester la connexion au serveur ICAP........................................... 620
Modifier les paramètres de connexion ICAP................................. 621
Se déconnecter temporairement d’un serveur ICAP.....................621
Se reconnecter à un serveur ICAP................................................621
Supprimer un serveur ICAP.......................................................... 621
Créer une règle antivirus...........................................................................622
Gestion des règles antivirus......................................................................623
Modifier une règle antivirus......................................................... 623
Supprimer une règle antivirus...................................................... 623
Activer ou désactiver une règle antivirus..................................... 623
Afficher les règles antivirus..........................................................623
Gestion des analyses antivirus.................................................................. 623
Analyser un fichier....................................................................... 624

OneFS 8.0.1 Guide d’administration Web 19


SOMMAIRE

Exécuter manuellement une règle antivirus..................................624


Arrêter une analyse antivirus en cours......................................... 624
Gestion des menaces virales.....................................................................624
Mettre manuellement un fichier en quarantaine...........................624
Relancer l’analyse d’un fichier..................................................... 625
Annuler la mise en quarantaine d’un fichier..................................625
Tronquer manuellement un fichier............................................... 625
Afficher les menaces................................................................... 625
Informations relatives aux menaces virales.................................. 626
Gestion des rapports du logiciel antivirus................................................. 626
Afficher les rapports antivirus......................................................626
Afficher les événements antivirus................................................ 626

Chapitre 28 IsilonSD Edge 629


Stockage et architecture d’EMC IsilonSD Edge........................................630
Présentation du cluster IsilonSD............................................................... 631
Tour d’horizon de l’attribution de licence EMC IsilonSD Edge................... 631
Tour d’horizon du serveur de gestion IsilonSD.......................................... 634
Déploiement et configuration de clusters IsilonSD....................................635

Chapitre 29 Intégration VMware 637


Présentation de l’intégration avec VMware.............................................. 638
VAAI......................................................................................................... 638
VASA........................................................................................................ 638
Alarmes VASA Isilon.....................................................................638
Fonctions de stockage VASA.......................................................639
Configuration de la prise en charge de VASA............................................639
Activer VASA...............................................................................640
Télécharger le certificat de fournisseur Isilon.............................. 640
Créer un certificat auto-signé......................................................640
Ajouter le fournisseur Isilon..........................................................642
Désactiver ou réactiver VASA...................................................................643
Dépannage des défaillances d’affichage du stockage VASA..................... 643

Chapitre 30 Explorateur du système de fichiers 645


Présentation de l’explorateur du système de fichiers............................... 646
Parcourir le système de fichiers................................................................646
Créer un répertoire...................................................................................646
Modifier les propriétés des fichiers et des répertoires.............................. 647
Afficher les propriétés des fichiers et des répertoires...............................647
Propriétés des fichiers et des répertoires................................................. 647

20 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 1
Présentation de ce guide

Cette rubrique contient les rubriques suivantes :

l À propos de ce guide..........................................................................................22
l Présentation du stockage scale-out NAS EMC Isilon......................................... 22
l Présentation D’IsilonSD Edge.............................................................................22
l Où obtenir des services de support ?................................................................. 22

Présentation de ce guide 21
Présentation de ce guide

À propos de ce guide
Ce guide décrit la manière dont l’interface d’administration Web OneFS permet
d’accéder aux fonctions de configuration, gestion et surveillance du cluster.
La plupart des informations de ce guide s’appliquent également à IsilonSD Edge, une
version software-defined de OneFS qui s’exécute sur l’hyperviseur VMware ESXi. Les
éventuelles différences sont signalées dans les sections correspondantes du présent
guide.
Vos suggestions nous aident à améliorer la précision, l’organisation et la qualité globale
de la documentation. Envoyez vos commentaires à https://www.research.net/s/isi-
docfeedback. Si vous ne pouvez pas envoyer vos commentaires via l’URL, envoyez un
e-mail à docfeedback@isilon.com.

Présentation du stockage scale-out NAS EMC Isilon


La plate-forme de stockage scale-out NAS d’EMC Isilon utilise du matériel modulaire
et des logiciels unifiés pour maîtriser les données non structurées. Basé sur le système
d’exploitation OneFS, un cluster EMC Isilon fournit un pool de stockage évolutif avec
un espace de nommage global.
Les logiciels unifiés de la plate-forme assurent une administration centralisée via
l’interface Web et CLI afin de gérer :
l un cluster qui exécute un système de fichiers distribué ;
l des nœuds scale-out qui renforcent la capacité et les performances ;
l des options de stockage qui gèrent les fichiers et la hiérarchisation ;
l une protection flexible des données et la haute disponibilité ;
l des modules logiciels qui permettent de contrôler les coûts et d’optimiser les
ressources.

Présentation D’IsilonSD Edge


IsilonSD Edge est une version software-defined de OneFS qui s’exécute sur
l’hyperviseur VMware ESXi et offre des fonctions NAS scale-out sur du matériel
générique.
Vous pouvez créer des nœuds OneFS en tant que machines virtuelles au sein des
clusters OneFS déployés sur les hôtes VMware ESXi à l’aide les ressources matérielles
disponibles sur ces hôtes. Les clusters et nœuds OneFS virtuels sont respectivement
appelés « clusters IsilonSD » et « nœuds IsilonSD ».
IsilonSD Edge prend en charge la plupart des fonctions et modules logiciels pris en
charge par OneFS. IsilonSD Edge fournit également une administration Web et par
ligne de commande centralisée, identique à celle de OneFS, pour gérer les tâches de
gestion des clusters et des nœuds. Pour plus d’informations, consultez le Guide
d’installation et d’administration d’IsilonSD Edge.

Où obtenir des services de support ?


Pour toute question concernant les produits EMC Isilon, contactez le support
technique d’EMC Isilon.

22 OneFS 8.0.1 Guide d’administration Web


Présentation de ce guide

Support en ligne l Chat en direct


l Créer une demande de service

Support l États-Unis : 1-800-SVC-4EMC (1-800-782-4362)


téléphonique
l Canada : 1-800-543-4782
l International : 1-508-497-7901
l Pour obtenir les numéros de téléphone d’un pays
spécifique, consultez les Centres de support client d’EMC.

Inscription ou Pour toute question sur l’inscription auprès du support en ligne


accès au support EMC ou sur les modalités d’accès, envoyez un e-mail à
support@emc.com.
Hubs Pour obtenir la liste des hubs d’informations Isilon, consultez la
d’informations page Hubs d’informations Isilon du site EMC Isilon Community
Isilon Network. Les hubs d’informations Isilon organisent sous forme
de rubriques l’ensemble des informations relatives à Isilon
(documentation, vidéos, blogs, contenus utilisateur) afin de
vous aider à trouver facilement du contenu sur les sujets qui
vous intéressent.

Support d’IsilonSD Edge


Si vous exécutez une version gratuite d’IsilonSD Edge, le support est disponible via le
site EMC Isilon Community Network. Si vous avez acheté une ou plusieurs licences
IsilonSD Edge, le support est disponible via le support technique EMC Isilon, à
condition que vous disposiez d’un contrat de support valide pour le produit.

Où obtenir des services de support ? 23


Présentation de ce guide

24 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 2
Système scale-out NAS Isilon

Cette section traite des sujets suivants :

l Architecture du stockage OneFS....................................................................... 26


l Composants d’un nœud Isilon............................................................................ 26
l Réseaux interne et externe.................................................................................27
l Cluster Isilon...................................................................................................... 27
l Système d’exploitation OneFS........................................................................... 30
l Structure du système de fichiers....................................................................... 32
l Présentation de la protection des données.........................................................34
l Intégration VMware............................................................................................37
l Modules logiciels................................................................................................ 38

Système scale-out NAS Isilon 25


Système scale-out NAS Isilon

Architecture du stockage OneFS


EMC Isilon adopte une approche scale-out du stockage en créant un cluster de nœuds
qui exécute un système de fichiers distribué. OneFS combine les trois couches de
l’architecture de stockage, à savoir le système de fichiers, le gestionnaire de volume et
la protection des données, au sein d’un cluster scale-out NAS.
Chaque nœud ajoute des ressources au cluster. Étant donné que chaque nœud
contient une RAM globalement cohérente, le cluster devient plus rapide à mesure qu’il
s’étend. Dans le même temps, le système de fichiers augmente de manière dynamique
et redistribue le contenu, ce qui évite d’avoir à partitionner les disques et à créer des
volumes.
Les nœuds fonctionnent comme des homologues pour propager les données au sein du
cluster. Le processus de segmentation et de distribution des données, également
connu sous le nom de répartition, non seulement protège les données, mais permet
également à un utilisateur de se connecter à n’importe quel nœud afin de profiter des
performances du cluster dans son ensemble.
OneFS utilise un logiciel distribué pour faire évoluer les données sur du matériel
générique. Chaque nœud permet de contrôler les demandes de données, améliore les
performances et augmente la capacité du cluster. Aucun périphérique maître ne
contrôle le cluster, et aucun esclave n’invoque de dépendances. Au lieu de quoi,
chaque nœud facilite le contrôle des demandes de données, améliore les performances
et augmente la capacité du cluster.

Composants d’un nœud Isilon


En tant qu’appliance montable en rack, un nœud de stockage inclut les composants
suivants dans un châssis montable en rack 2U ou 4U doté d’un panneau LCD avant :
CPU, RAM, NVRAM, interfaces réseau, adaptateurs InfiniBand, contrôleurs de disques
et médias de stockage. Un cluster Isilon se compose de trois nœuds ou plus (jusqu’à
144).
Lorsque vous ajoutez un nœud à un cluster, vous augmentez la capacité globale du
cluster en matière d’espace disque, de cache, de CPU, de RAM et de performances
réseau. OneFS regroupe la RAM dans un cache cohérent unique afin qu’une demande
de données sur un nœud puisse bénéficier des données mises en cache à un autre
emplacement. La NVRAM est regroupée pour permettre l’écriture des données à un
débit élevé et pour protéger les opérations d’écriture contre les coupures
d’alimentation. À mesure que le cluster s’étend, les piles de disques et le CPU se
combinent pour augmenter le débit, la capacité et le nombre d’E/S par seconde
(IOPS).
EMC Isilon propose plusieurs types de nœud, qui peuvent être ajoutés à un cluster
pour équilibrer la capacité et les performances en fonction du débit ou du nombre
d’E/S par seconde :

Nœud Exemple d’utilisation


Gamme S applications gourmandes en E/S par seconde

Gamme X workflows à haut niveau d’accès simultané et


basés sur le débit

26 OneFS 8.0.1 Guide d’administration Web


Système scale-out NAS Isilon

Nœud Exemple d’utilisation


Gamme NL accessibilité proche de celle des systèmes de
stockage primaires, à un prix proche de celui
des bandes

Gamme HD Capacité maximale

Les nœuds EMC Isilon suivants améliorent les performances :

Nœud Fonction
A-Series Performance Accelerator Évolutivité indépendante pour des
performances optimales

A-Series Backup Accelerator Solution de sauvegarde et de restauration


rapide et évolutive pour les lecteurs de bande
via des connexions Fibre Channel

Réseaux interne et externe


Un cluster comporte deux réseaux : un réseau interne pour l’échange de données
entre les nœuds et un réseau externe pour la gestion des connexions client.
Les nœuds échangent des données via le réseau interne à l’aide d’un protocole
propriétaire et monodiffusion sur InfiniBand. Chaque nœud inclut des ports InfiniBand
redondants, ce qui vous permet d’ajouter un second réseau interne au cas où le
premier serait défaillant.

Remarque

Dans le cas d’IsilonSD Edge, les nœuds échangent des données via le switch Ethernet.
Pour plus d’informations sur les exigences relatives aux réseaux interne et externe
pour Isilon Edge, consultez le Guide d’installation et d’administration d’IsilonSD Edge.

Les clients accèdent au cluster via une connexion Ethernet 1 GigE ou 10 GigE. Puisque
chaque nœud intègre des ports Ethernet, la bande passante du cluster évolue en
fonction des performances et de la capacité, à mesure que vous ajoutez des nœuds.

ATTENTION

Seuls des nœuds Isilon doivent être connectés à votre switch InfiniBand. Les
informations échangées sur le réseau back-end ne sont pas chiffrées. La
connexion d’éléments autres que des nœuds Isilon au switch InfiniBand crée un
risque en matière de sécurité.

Cluster Isilon
Un cluster Isilon se compose de 3 à 144 nœuds matériels. Chaque nœud exécute le
système d’exploitation Isilon OneFS, le logiciel de système de fichiers distribué qui
réunit les nœuds au sein d’un cluster. La capacité de stockage d’un cluster varie entre
18 To minimum et 50 Po maximum.
Si vous exécutez IsilonSD Edge, reportez-vous à la section Cluster IsilonSD de ce guide
pour connaître la configuration requise du cluster IsilonSD.

Réseaux interne et externe 27


Système scale-out NAS Isilon

Administration du cluster
OneFS centralise la gestion du cluster au moyen d’une interface d’administration Web
et d’une interface de ligne de commande. Les deux interfaces fournissent des
méthodes pour : activer les licences, contrôler l’état des nœuds, configurer le cluster,
mettre à niveau le système, générer des alertes, afficher les connexions client, suivre
les performances et modifier différents paramètres.
De plus, OneFS simplifie l’administration en automatisant la maintenance grâce à un
moteur de tâches. Vous pouvez planifier les tâches d’analyse antivirus, de recherche
d’erreurs sur les disques, de récupération d’espace disque et de contrôle de l’intégrité
du système de fichiers. Le moteur gère les tâches afin de minimiser l’impact sur les
performances du cluster.
Avec les versions 2c et 3 de SNMP, vous pouvez surveiller à distance les composants
matériels, le taux d’utilisation du CPU, les switches et les interfaces réseau. EMC Isilon
fournit des bases de données MIB et des notifications pour le système d’exploitation
OneFS.
OneFS comprend également une API répartie en deux domaines fonctionnels : le
premier permet d’accéder aux fonctions de configuration, de gestion et de surveillance
du cluster, et le deuxième permet d’effectuer des opérations sur les fichiers et les
répertoires du cluster. Vous pouvez envoyer des demandes à l’API OneFS via une
interface REST (Representational State Transfer), accessible par le biais des URI de
ressource et des méthodes HTTP standard. L’API s’intègre avec le contrôle d’accès
basé sur les rôles (RBAC) OneFS pour renforcer la sécurité. Consultez le document
Isilon Platform API Reference.

Quorum
Pour fonctionner correctement, un cluster Isilon doit avoir un quorum. Un quorum
empêche les conflits de données (par exemple, différentes versions d’un même
fichier) lorsque deux groupes de nœuds ne sont plus synchronisés. Si un cluster perd
son quorum pour les demandes de lecture et d’écriture, vous ne pouvez pas accéder
au système de fichiers OneFS.
Pour que le quorum soit atteint, plus de la moitié des nœuds doivent être disponibles
sur le réseau interne. Un cluster de sept nœuds, par exemple, nécessite un quorum de
quatre nœuds. Un cluster de dix nœuds nécessite un quorum de six nœuds. Si un
nœud est inaccessible sur le réseau interne, OneFS le sépare du cluster : cette action
est appelée « division ». Une fois le cluster divisé, les opérations du cluster continuent
tant que suffisamment de nœuds restent connectés pour disposer d’un quorum.
Dans un cluster divisé, les nœuds qui restent dans le cluster sont désignés sous le nom
de « groupe majoritaire ». Les nœuds qui sont séparés du cluster sont désignés sous
le nom de « groupe minoritaire ».
Lorsque les nœuds séparés peuvent se reconnecter au cluster et se resynchroniser
avec les autres nœuds, ils rejoignent le groupe majoritaire du cluster : cette action est
appelée « fusion ».
Un cluster OneFS possède deux propriétés de quorum :
l quorum de lecture (efs.gmp.has_quorum)
l quorum d’écriture (efs.gmp.has_super_block_quorum)
En vous connectant à un nœud via SSH et en exécutant l’outil de ligne de commande
sysctl en tant qu’utilisateur root, vous pouvez consulter l’état des deux types de
quorum. Voici l’exemple d’un cluster possédant un quorum pour les opérations

28 OneFS 8.0.1 Guide d’administration Web


Système scale-out NAS Isilon

d’écriture et de lecture, si bien que le résultat de la commande indique 1, c’est-à-dire


Vrai :

sysctl efs.gmp.has_quorum
efs.gmp.has_quorum: 1
sysctl efs.gmp.has_super_block_quorum
efs.gmp.has_super_block_quorum: 1

Les états dégradés des nœuds (ex. : smartfail, en lecture seule, hors ligne, etc.)
affectent le quorum de différentes manières. L’état smartfail ou en lecture seule
affecte uniquement le quorum d’écriture. L’état hors ligne, en revanche, affecte le
quorum de lecture et le quorum d’écriture. Dans un cluster, la combinaison de nœuds
présentant différents états dégradés détermine si les demandes de lecture et/ou les
demandes d’écriture peuvent aboutir.
Un cluster peut perdre le quorum d’écriture, mais conserver le quorum de lecture.
Imaginons un cluster de quatre nœuds dont les nœuds 1 et 2 fonctionnent
normalement. Le nœud 3 est en lecture seule et le nœud 4 dans un état smartfail. Dans
ce cas, les demandes de lecture adressées au cluster aboutissent. Les demandes
d’écriture, cependant, rencontrent une erreur d’entrée/sortie, car les états des
nœuds 3 et 4 rompent le quorum d’écriture.
Un cluster peut également perdre son quorum de lecture et d’écriture. Si, dans un
cluster de quatre nœuds, les nœuds 3 et 4 sont hors ligne, les demandes d’écriture et
de lecture rencontrent une erreur d’entrée/sortie et vous ne pouvez pas accéder au
système de fichiers. Lorsque OneFS peut se reconnecter aux nœuds, il les fusionne de
nouveau dans le cluster. À la différence d’un système RAID, un nœud Isilon peut
rejoindre le cluster sans être reconstruit ni reconfiguré.

Division et fusion
La division et la fusion optimisent l’utilisation des nœuds sans intervention de votre
part.
OneFS surveille tous les nœuds du cluster. Si un nœud est inaccessible sur le réseau
interne, OneFS le sépare du cluster : cette action est appelée « division ». Lorsque le
cluster peut se reconnecter au nœud, OneFS replace ce dernier dans le cluster : cette
action est appelée « fusion ».
Lorsqu’un nœud est séparé d’un cluster, il continue à recueillir des informations sur les
événements en local. Vous pouvez vous connecter à un nœud séparé via SSH et
exécuter la commande isi event events list afin d’afficher le log des
événements locaux de ce nœud. Le log des événements locaux vous aide à résoudre
les problèmes de connexion ayant entraîné la division. Lorsque le nœud séparé rejoint
le cluster, les événements locaux collectés pendant la division sont supprimés. Vous
pouvez tout de même afficher les événements générés par un nœud séparé dans le
fichier log des événements de ce nœud situé à l’emplacement suivant : /var/log/
isi_celog_events.log.
Si un cluster se divise lors d’une opération d’écriture, il se peut que OneFS doive
réallouer des blocs pour le fichier du côté disposant du quorum, si bien que les blocs
alloués du côté sans quorum deviennent orphelins. Lorsque les nœuds séparés se
reconnectent au cluster, la tâche système OneFS Collect récupère les blocs orphelins.
Pendant ce temps, chaque fois que des nœuds se séparent ou fusionnent avec le
cluster, la tâche OneFS AutoBalance répartit les données de manière homogène sur
les nœuds du cluster de façon à optimiser la protection et à économiser de l’espace.

Division et fusion 29
Système scale-out NAS Isilon

Pools de stockage
Les pools de stockage segmentent les nœuds et les fichiers en divisions logiques afin
de simplifier la gestion et le stockage des données.
Un pool de stockage comporte des pools de nœuds et des niveaux. Les pools de
nœuds regroupent les nœuds équivalents afin de protéger les données et de garantir la
fiabilité. Les niveaux combinent les pools de nœuds afin d’optimiser le stockage selon
les besoins, en fournissant par exemple un niveau à grande vitesse fréquemment utilisé
ou une archive rarement consultée.
Le module SmartPools regroupe les nœuds et les fichiers dans des pools. Si vous
n’activez pas de licence SmartPools, le module provisionne des pools de nœuds et
crée un pool de fichiers. Si vous activez la licence SmartPools, vous bénéficiez de plus
de fonctionnalités. Vous pouvez, par exemple, créer plusieurs pools de fichiers et les
contrôler au moyen de règles. Les règles déplacent les fichiers, les répertoires et les
pools de fichiers entre différents pools de nœuds ou niveaux. Vous pouvez également
définir la manière dont OneFS gère les opérations d’écriture lorsqu’un pool de nœuds
ou un niveau est saturé. SmartPools réserve un disque de secours virtuel pour
reprotéger les données en cas de défaillance d’un disque, que la licence SmartPools
soit activée ou non.

Système d’exploitation OneFS


Système d’exploitation distribué basé sur FreeBSD, OneFS présente le système de
fichiers d’un cluster Isilon sous forme d’une exportation ou d’un partage unique, doté
d’un point central d’administration.
Le système d’exploitation OneFS effectue les opérations suivantes :
l Prise en charge des protocoles courants d’accès aux données tels que SMB et
NFS
l Connexion à plusieurs systèmes de gestion des identités tels qu’Active Directory
et LDAP
l Authentification des utilisateurs et des groupes
l Contrôle de l’accès aux répertoires et aux fichiers

Protocoles d’accès aux données


Grâce au système d’exploitation OneFS, vous pouvez accéder aux données via
plusieurs protocoles de partage et de transfert de fichiers. Ainsi, les clients Microsoft
Windows, UNIX, Linux et Mac OS X peuvent partager les mêmes répertoires et
fichiers.
OneFS prend en charge les protocoles suivants :
SMB
Le protocole SMB (Server Message Block) permet aux utilisateurs Windows
d’accéder au cluster. OneFS fonctionne avec SMB 1, SMB 2 et SMB 2.1, ainsi
qu’avec SMB 3.0 pour le multicanal uniquement. Avec SMB 2.1, OneFS prend en
charge le verrouillage opportuniste des fichiers pour les clients (oplocks) et les
grandes tailles de MTU (1 Mo). Le partage de fichiers par défaut est /ifs.

NFS
Le protocole NFS (Network File System) permet aux systèmes UNIX, Linux et
Mac OS X de monter à distance n’importe quel sous-répertoire, y compris ceux

30 OneFS 8.0.1 Guide d’administration Web


Système scale-out NAS Isilon

créés par des utilisateurs Windows. OneFS fonctionne avec NFS versions 3 et 4.
L’exportation par défaut est /ifs.

HDFS
Le protocole HDFS (Hadoop Distributed File System) permet à un cluster de
fonctionner avec Apache Hadoop, un framework destiné aux applications
distribuées traitant d’importants volumes de données. L’intégration HDFS exige
l’activation d’une licence séparée.

FTP
Le protocole FTP permet aux systèmes dotés d’un client FTP de se connecter au
cluster et d’échanger des fichiers.

HTTP et HTTPS
HTTP et sa variante sécurisée, HTTPS, offrent aux systèmes un accès aux
ressources via un navigateur. OneFS inclut une prise en charge limitée de
WebDAV.

Swift
Isilon Swift vous permet d’accéder aux données en mode fichier stockées dans
votre cluster EMC Isilon en tant qu’objets. L’API Swift est mise en œuvre sous la
forme d’un ensemble de Web services REST (Representational State Transfer)
via HTTP ou HTTP sécurisé (HTTPS). Le contenu et les métadonnées peuvent
être acquis sous forme d’objets et sont simultanément disponibles par
l’intermédiaire d’autres protocoles EMC Isilon pris en charge. Pour plus
d’informations, reportez-vous à la Isilon Swift Technical Note.

Gestion des identités et contrôle d’accès


OneFS peut utiliser plusieurs systèmes de gestion des identités pour authentifier les
utilisateurs et contrôler l’accès aux fichiers. De plus, il comprend des zones d’accès
qui permettent aux utilisateurs issus de différents services d’annuaire d’accéder à
diverses ressources selon leur adresse IP. Parallèlement à cela, le contrôle d’accès
basé sur des rôles (RBAC) segmente l’accès administratif selon les rôles.
OneFS authentifie les utilisateurs avec les systèmes de gestion des identités suivants :
l AD (Microsoft Active Directory)
l LDAP (Lightweight Directory Access Protocol)
l NIS (Network Information Service)
l Utilisateurs et groupes locaux
l Fournisseur de fichiers pour les comptes des fichiers /etc/spwd.db et /etc/
group. Avec le fournisseur de fichiers, vous pouvez ajouter une source tierce
(faisant autorité) d’informations relatives aux utilisateurs et aux groupes.
Vous pouvez gérer les utilisateurs avec différents systèmes de gestion des identités ;
OneFS mappe les comptes de façon que les identités Windows et UNIX puissent
coexister. Un compte utilisateur Windows géré dans Active Directory, par exemple, est
mappé à un compte UNIX correspondant dans NIS ou LDAP.
Pour contrôler l’accès, un cluster Isilon fonctionne à la fois avec les listes de contrôle
d’accès (ACL) des systèmes Windows et les bits de mode POSIX des systèmes UNIX.
Lorsque OneFS doit transformer les autorisations d’un fichier d’ACL en bits de mode
ou vice versa, il fusionne les autorisations afin de maintenir la cohérence des
paramètres de sécurité.
OneFS affiche des vues d’autorisations spécifiques selon les protocoles, de sorte que
les exportations NFS affichent des bits de mode et que les partages SMB affichent

Gestion des identités et contrôle d’accès 31


Système scale-out NAS Isilon

des ACL. Vous pouvez cependant gérer non seulement les bits de mode mais
également les ACL à l’aide d’outils UNIX standard, tels que les commandes chmod et
chown. En outre, les règles ACL vous permettent de configurer la façon dont OneFS
gère les autorisations pour les réseaux associant des systèmes Windows et UNIX.
Zones d’accès
OneFS intègre une fonction de zones d’accès. Les zones d’accès permettent aux
utilisateurs de différents fournisseurs d’authentification, tels que deux domaines
Active Directory non approuvés, d’accéder à diverses ressources OneFS en
fonction de l’adresse IP entrante. Une zone d’accès peut contenir plusieurs
fournisseurs d’authentification et espaces de nommage SMB.

RBAC pour l’administration


OneFS inclut le contrôle d’accès basé sur des rôles pour l’administration. Au lieu
d’un compte administrateur ou d’un compte root, le mécanisme RBAC vous
permet de contrôler l’accès administratif par rôle. Un rôle restreint les privilèges à
un domaine d’administration. Par exemple, vous pouvez créer des rôles
d’administration séparés pour la sécurité, l’audit, le stockage et la sauvegarde.

Structure du système de fichiers


OneFS présente tous les nœuds dans un cluster en tant qu’espace de nommage global
(c’est-à-dire en tant que partage de fichier par défaut /ifs).
Dans le système de fichiers, les répertoires sont des liens de numéro d’inode. Un inode
contient des métadonnées de fichier ainsi qu’un numéro d’inode, qui identifie
l’emplacement du fichier. OneFS alloue dynamiquement les inodes ; il n’existe aucune
limite quant au nombre d’inodes.
Pour répartir les données entre les nœuds, OneFS envoie des messages contenant une
adresse de bloc globalement routable via le réseau interne du cluster. L’adresse du
bloc identifie le nœud et le disque stockant le bloc de données.

Remarque

Nous vous recommandons de ne pas enregistrer les données sur le chemin racine /
ifs, mais plutôt dans les répertoires sous /ifs. La conception de la structure de
stockage de données doit être soigneusement planifiée. Un répertoire bien conçu
optimise les performances et l’administration du cluster.

Répartition des données


OneFS distribue les données de manière égale entre les nœuds d’un cluster, à l’aide
d’algorithmes de répartition qui optimisent l’efficacité du stockage et les
performances. Le système réalloue en continu les données afin de préserver l’espace.
OneFS divise les données en sections plus petites, ou blocs. Ceux-ci sont ensuite
placés dans une unité de bande. En référençant les données de fichiers ou les codes
d’effacement, l’unité de bande protège les fichiers face aux risques de panne
matérielle. La taille d’une unité de bande dépend de la taille des fichiers, du nombre de
nœuds et du paramètre de protection. Une fois que OneFS a divisé les données en
unités de bande, OneFS alloue (ou répartit) les unités de bande sur tous les nœuds du
cluster.
Les opérations de lecture et d’écriture d’un client se connectant à un nœud font
intervenir plusieurs nœuds. Par exemple, lorsqu’un client se connecte à un nœud pour
demander un fichier, ce nœud récupère les données de plusieurs nœuds et reconstruit

32 OneFS 8.0.1 Guide d’administration Web


Système scale-out NAS Isilon

le fichier. Vous pouvez optimiser la façon dont OneFS répartit les données en fonction
de votre modèle d’accès dominant (simultané, en temps réel, aléatoire).

Écriture des fichiers


Sur un nœud, les opérations d’entrée/sortie de la pile logicielle OneFS se divisent en
deux couches fonctionnelles : une couche supérieure (ou initiateur) et une couche
inférieure (ou participant). Dans les opérations de lecture et d’écriture, l’initiateur et le
participant jouent des rôles différents.
Lorsqu’un client écrit un fichier sur un nœud, l’initiateur situé sur ce nœud gère la
répartition du fichier dans le cluster. Premièrement, l’initiateur scinde le fichier en
blocs de 8 Ko. Deuxièmement, il place les blocs dans une ou plusieurs unités de bande.
À 128 Ko, une unité de bande est composée de 16 blocs. Troisièmement, l’initiateur
répartit les unités de bande dans le cluster jusqu’à ce qu’elles couvrent la largeur de
celui-ci, créant ainsi une bande. La largeur de bande dépend du nombre de nœuds et
du paramètre de protection.
Après avoir divisé le fichier en unités de bande, l’initiateur écrit les données d’abord
sur la RAM non volatile (NVRAM), puis sur le disque. La NVRAM conserve les
informations même lorsque l’alimentation est coupée.
Lors de la transaction d’écriture, la NVRAM assure une protection contre les nœuds
défaillants grâce à la consignation. Si un nœud tombe en panne au milieu d’une
transaction, cette dernière redémarre sans le nœud défaillant. Lorsque le nœud est
rétabli, il relit le journal de la NVRAM pour terminer la transaction. Le nœud exécute
également la tâche AutoBalance afin de contrôler la répartition du fichier sur le disque.
Pendant ce temps, les écritures non validées en attente dans le cache sont protégées
par la mise en miroir. Ainsi, OneFS élimine plusieurs points de défaillance.

Lecture des fichiers


Au cours d’une opération de lecture, un nœud agit comme un gestionnaire pour
collecter les données des autres nœuds et les présenter au client demandeur.
Étant donné que le cache cohérent d’un cluster Isilon couvre tous les nœuds, OneFS
peut stocker des données différentes dans la RAM de chaque nœud. Grâce au réseau
InfiniBand interne, un nœud peut récupérer des données de fichier dans le cache d’un
autre nœud plus rapidement que sur son propre disque local. Si une opération de
lecture requiert des données mises en cache sur un nœud, OneFS récupère ces
données du cache pour les fournir rapidement.
En outre, pour les fichiers comportant un modèle d’accès simultané ou en temps réel,
OneFS lit au préalable les données demandées dans le cache local du nœud
gestionnaire pour améliorer les performances de lecture séquentielle.

Répartition des métadonnées


OneFS protège les métadonnées en les répartissant sur les nœuds et les disques.
Les métadonnées (qui incluent des informations sur l’emplacement d’un fichier, mais
aussi sa méthode de protection et les personnes autorisées à y accéder) sont
enregistrées dans les inodes et protégées par des verrous dans une arborescence B+,
une structure standard d’organisation des blocs de données dans un système de
fichiers permettant des recherches instantanées. OneFS réplique les métadonnées de
fichier sur le cluster, de sorte qu’il n’existe aucun point unique de défaillance.
Tous les nœuds, qui fonctionnent ensemble comme des homologues, facilitent la
gestion de l’accès aux métadonnées et du verrouillage de ces dernières. Si un nœud

Écriture des fichiers 33


Système scale-out NAS Isilon

détecte une erreur dans les métadonnées, il recherche les métadonnées à un autre
emplacement, puis corrige l’erreur.

Verrous et accès simultané


OneFS intègre un gestionnaire de verrou distribué qui organise les verrous sur les
données de tous les nœuds d’un cluster.
Le gestionnaire de verrou octroie des verrous pour le système de fichiers, les plages
d’octets et les protocoles, y compris des verrous en mode partagé SMB et des verrous
consultatifs NFS. OneFS prend également en charge le verrouillage opportuniste SMB.
Étant donné que OneFS distribue le gestionnaire de verrou sur l’ensemble des nœuds,
tous les nœuds peuvent servir de coordinateur de verrou. Lorsque le thread d’un nœud
demande un verrou, l’algorithme de hachage du gestionnaire de verrou attribue
généralement le rôle de coordinateur à un nœud différent. Le coordinateur attribue un
verrou partagé ou exclusif en fonction du type de demande. Un verrou partagé permet
aux utilisateurs de partager un fichier simultanément, en général pour des opérations
de lecture. Un verrou exclusif permet à un seul utilisateur d’accéder au fichier, en
général pour des opérations d’écriture.

répartition
Au cours du processus appelé répartition, OneFS segmente les fichiers en unités de
données, puis distribue ces unités sur l’ensemble des nœuds d’un cluster. La
répartition protège vos données et améliore les performances du cluster.
Pour distribuer un fichier, OneFS le réduit en blocs de données, organise ces blocs en
unités de bande, puis alloue ces unités de bande aux nœuds via le réseau interne.
Il distribue en même temps les codes d’effacement qui protègent le fichier. Les codes
d’effacement codent les données du fichier dans un ensemble distribué de symboles,
ce qui augmente la redondance tout en optimisant l’espace utilisé. Avec seulement une
partie de l’ensemble des symboles, OneFS peut restaurer les données du fichier
d’origine.
Ensemble, les données et leur redondance forment un groupe de protection pour une
zone de données de fichier. OneFS place les groupes de protection sur différents
disques, sur différents nœuds, créant ainsi des bandes de données.
Étant donné que OneFS répartit les données sur des nœuds qui fonctionnent ensemble
comme des homologues, un utilisateur qui se connecte à un nœud profite des
performances de l’ensemble du cluster.
Par défaut, OneFS optimise la répartition pour l’accès simultané. Si votre modèle
d’accès dominant est en temps réel (autrement dit, peu d’accès simultanés et charges
applicatives en flux unique plus importantes, comme avec la vidéo), vous pouvez
modifier la façon dont OneFS répartit les données de façon à augmenter les
performances de lecture séquentielle. Pour améliorer la gestion de l’accès en temps
réel, OneFS répartit les données sur un plus grand nombre de disques. L’accès en
temps réel est plus efficace sur des clusters ou des sous-pools distribuant des fichiers
volumineux.

Présentation de la protection des données


Un cluster Isilon est conçu pour fournir des données même en cas de défaillance des
composants. Par défaut, OneFS protège les données avec des codes d’effacement, ce
qui vous permet de récupérer les fichiers lorsqu’un nœud ou un disque tombe en

34 OneFS 8.0.1 Guide d’administration Web


Système scale-out NAS Isilon

panne. Vous pouvez également, en lieu et place des codes d’effacement, protéger vos
données avec deux à huit miroirs.
Lorsque vous créez un cluster avec cinq nœuds ou plus, les codes d’effacement
offrent 80 % d’efficacité. Dans les grands clusters, les codes d’effacement n’offrent
pas moins de quatre niveaux de redondance.
En plus des codes d’effacement des données et de la mise en miroir, OneFS inclut les
fonctions suivantes qui protègent l’intégrité, la disponibilité et la confidentialité des
données :

Fonctionnalité Description
Antivirus OneFS peut envoyer des fichiers aux serveurs
exécutant le protocole ICAP (Internet
Content Adaptation Protocol) afin de
rechercher des virus et autres menaces.

Clones OneFS vous permet de créer des clones qui


partagent des blocs avec d’autres fichiers afin
d’économiser de l’espace.

Sauvegarde et restauration NDMP OneFS peut sauvegarder des données sur


bande et sur d’autres périphériques via le
protocole NDMP (Network Data Management
Protocol). Bien que OneFS prenne en charge
la sauvegarde tridirectionnelle et
bidirectionnelle, la sauvegarde bidirectionnelle
nécessite un nœud Isilon Backup Accelerator.

Remarque

IsilonSD Edge prend uniquement en charge la


sauvegarde NDMP tridirectionnelle.

Domaines de protection Vous pouvez appliquer des domaines de


protection aux fichiers et aux répertoires afin
d’empêcher les modifications.

Les modules logiciels suivants permettent également de protéger les données, mais
exigent l’activation d’une licence distincte :

Fonction sous licence Description


SyncIQ SyncIQ réplique les données sur un autre
cluster Isilon et automatise les opérations de
basculement sur incident et de retour arrière
entre les clusters. Si un cluster devient
inutilisable, vous pouvez basculer vers un
autre cluster Isilon.

SnapshotIQ Vous pouvez protéger vos données avec un


snapshot (copie logique des données stockées
sur un cluster).

SmartLock L’outil SmartLock empêche les utilisateurs de


modifier et de supprimer des fichiers. Vous
pouvez valider les fichiers dans un état
non réinscriptible et à lecture multiple : le
fichier ne peut jamais être modifié et il ne peut

Présentation de la protection des données 35


Système scale-out NAS Isilon

Fonction sous licence Description


être supprimé qu’après une période de
rétention définie. SmartLock vous aide à vous
conformer à la règle 17a-4 de la SEC
(Securities and Exchange Commission).

Protection des données N+M


OneFS utilise la redondance des données sur l’ensemble du cluster pour éviter les
pertes de données dues à des pannes de disque ou de nœud. La protection est
intégrée dans la structure du système de fichiers et peut être appliquée jusqu’au
niveau des fichiers individuels.
La protection dans OneFS est modélisée sur l’algorithme Reed-Solomon, qui utilise la
correction d’erreur directe, ou FEC (Forward Error Correction). À l’aide de la fonction
FEC, OneFS alloue des données par fragments de 128 Ko. Pour chaque fragment de
données N, OneFS écrit des fragments de protection, ou de parité, M. Chaque
fragment N+M, appelé groupe de protection, est écrit sur un disque indépendant dans
un nœud indépendant. Ce processus est appelé segmentation des données par
bandes. En répartissant ainsi les données sur l’ensemble du cluster, OneFS est en
mesure de restaurer les fichiers en cas de défaillance des disques ou des nœuds.
Dans OneFS, les concepts de règle de protection et de niveau de protection sont
différents. La règle de protection est le paramètre de protection que vous spécifiez
pour les pools de stockage de votre cluster. Le niveau de protection est la protection
réelle qu’offre OneFS aux données en fonction de la règle de protection et du nombre
réel de nœuds accessibles en écriture.
Par exemple, si vous disposez d’un cluster à trois nœuds et si vous spécifiez une règle
de protection [+2d:1n], OneFS tolère la panne de deux disques ou d’un nœud sans
perte de données. Toutefois, sur ce même cluster à trois nœuds, si vous spécifiez une
règle de protection [+4d:2n], OneFS ne peut pas assurer un niveau de protection qui
tolèrerait quatre pannes de disque ou deux pannes de nœud. En effet, la valeur N+M
doit être inférieure ou égale au nombre de nœuds du cluster.
Par défaut, OneFS calcule et définit une règle de protection recommandée en fonction
de votre configuration de cluster. La règle de protection recommandée permet
d’obtenir un équilibre optimal entre l’efficacité du stockage et l’intégrité des données.
Vous pouvez définir une règle de protection supérieure à ce que le cluster peut
prendre en charge. Pour un cluster de quatre nœuds, par exemple, vous pouvez définir
une règle de protection [5x]. Toutefois, OneFS protègera les données au niveau 4x
jusqu’à ce que vous ajoutiez un cinquième nœud au cluster, après quoi il reprotègera
automatiquement les données au niveau 5x.

Mise en miroir des données


Vous pouvez protéger les données sur disque grâce à la mise en miroir, qui copie les
données vers plusieurs emplacements. OneFS prend en charge deux à huit miroirs.
Vous pouvez utiliser la mise en miroir à la place des codes d’effacement, ou combiner
les deux.
Toutefois, la mise en miroir consomme davantage d’espace que les codes
d’effacement. Par exemple, si vous effectuez trois mises en miroir des données, ces
données sont copiées trois fois, ce qui nécessite plus d’espace que l’utilisation de
codes d’effacement. Par conséquent, la mise en miroir est plus adaptée aux
transactions qui exigent de hautes performances.

36 OneFS 8.0.1 Guide d’administration Web


Système scale-out NAS Isilon

Vous pouvez également combiner l’utilisation des codes d’effacement et de la mise en


miroir. Lors d’une opération d’écriture, OneFS divise les données en groupes de
protection redondants. Pour les fichiers protégés par des codes d’effacement, un
groupe de protection est constitué de blocs de données et de leurs codes
d’effacement. Pour les fichiers mis en miroir, un groupe de protection contient tous
les miroirs d’un ensemble de blocs. OneFS peut modifier le type de groupe de
protection pendant l’écriture d’un fichier sur le disque. En modifiant le groupe de
protection de façon dynamique, OneFS peut continuer à écrire des données en cas de
défaillance du nœud empêchant le cluster d’appliquer les codes d’effacement. Une fois
que le nœud est restauré, OneFS convertit automatiquement les groupes de
protection mis en miroir en codes d’effacement.

Journal du système de fichiers


Le journal enregistre les modifications du système de fichiers sur une carte NVRAM
avec batterie de secours et restaure le système de fichiers après une défaillance, telle
qu’une panne d’alimentation. Lorsqu’un nœud redémarre, le journal relit les
transactions des fichiers pour restaurer le système de fichiers.

Disque de secours virtuel (VHS)


Lorsqu’un disque est défaillant, OneFS utilise l’espace réservé dans un sous-pool au
lieu d’un disque de secours virtuel. L’espace réservé est considéré comme un disque
de secours virtuel.
Contrairement à un disque de secours, un disque de secours virtuel résout
automatiquement les défaillances et continue d’écrire les données. En cas de
défaillance d’un disque, OneFS migre les données vers le disque de secours virtuel afin
de les reprotéger. Vous pouvez réserver jusqu’à quatre disques en tant que disques de
secours virtuels.

Équilibrage de la protection et de l’espace de stockage


Vous pouvez définir des niveaux de protection afin de trouver un juste équilibre entre
vos impératifs de protection et vos besoins d’espace de stockage.
Des niveaux de protection supérieurs consomment en général plus d’espace que des
niveaux plus faibles, car une certaine quantité d’espace disque est dédiée au stockage
des codes d’effacement. La capacité supplémentaire consacrée aux codes
d’effacement varie selon le niveau de protection, la taille des fichiers et le nombre de
nœuds du cluster. Puisque OneFS répartit les données et les codes d’effacement sur
l’ensemble des nœuds, cette capacité supplémentaire diminue à mesure que vous
ajoutez des nœuds.

Intégration VMware
OneFS s’intègre avec plusieurs produits VMware, y compris vSphere, vCenter et
VMware ESXi.
Par exemple, OneFS fonctionne avec VASA (VMware vSphere API for Storage
Awareness) pour vous permettre d’afficher les informations relatives à un cluster
Isilon dans vSphere. OneFS fonctionne également avec VAAI (VMware vSphere API
for Array Integration) afin de prendre en charge les fonctions suivantes pour le
stockage en mode bloc : verrouillage assisté par matériel, copie complète et remise à
zéro des blocs. VAAI for NFS nécessite un plug-in VMware ESXi.

Journal du système de fichiers 37


Système scale-out NAS Isilon

Avec Isilon Storage Replication Adapter, OneFS s’intègre avec VMware vCenter Site
Recovery Manager pour restaurer les machines virtuelles qui sont répliquées entre les
clusters Isilon.

Modules logiciels
Vous pouvez accéder à des fonctions avancées en activant les licences des modules
logiciels EMC Isilon.

Remarque

Si vous exécutez IsilonSD Edge, la liste des modules logiciels pris en charge varie selon
que vous avez configuré la version gratuite ou payante de ce produit. Pour plus
d’informations sur les modules logiciels disponibles avec IsilonSD Edge, reportez-vous
à la section Présentation de la licence IsilonSD Edge.

SmartLock
SmartLock protège les données critiques contre l’altération ou la suppression
accidentelle, malveillante ou prématurée, ce qui vous aide à vous conformer aux
réglementations 17a-4 de la SEC. Vous pouvez automatiquement valider des
données dans un état infalsifiable, puis les conserver avec une horloge de
conformité.

HDFS
OneFS fonctionne avec le protocole HDFS (Hadoop Distributed File System) pour
faciliter l’analyse du Big Data par les clients exécutant Apache Hadoop, un
framework destiné aux applications distribuées traitant d’importants volumes de
données.

Basculement sur incident et retour arrière automatisés SyncIQ


SyncIQ réplique les données sur un autre cluster Isilon et automatise le
basculement sur incident et le retour arrière entre les clusters. Si un cluster
devient inutilisable, vous pouvez basculer vers un autre cluster Isilon. Le retour
arrière restaure les données sources d’origine une fois que le cluster principal est
de nouveau accessible.

Renforcement de la sécurité
Le renforcement de la sécurité consiste à configurer votre système en vue de
réduire ou d’éliminer autant que possible les risques liés à la sécurité. Vous pouvez
appliquer une règle de renforcement qui sécurise la configuration de OneFS
suivant les instructions de cette règle.

SnapshotIQ
SnapshotIQ protège les données à l’aide d’un snapshot (copie logique des
données stockées sur un cluster). Un snapshot peut être restauré vers son
répertoire de premier niveau.

SmartDedupe
Vous pouvez réduire la redondance sur un cluster en exécutant SmartDedupe. La
déduplication crée des liens qui peuvent avoir une incidence sur la vitesse de
lecture et d’écriture des fichiers.

SmartPools
SmartPools vous permet de créer plusieurs pools de fichiers régis par des règles
de pool de fichiers. Ces règles déplacent les fichiers et les répertoires entre

38 OneFS 8.0.1 Guide d’administration Web


Système scale-out NAS Isilon

différents pools de nœuds ou niveaux. Vous pouvez également définir la façon


dont OneFS gère les opérations d’écriture lorsqu’un pool de nœuds ou un niveau
est saturé.

CloudPools
Basé sur le framework de règles SmartPools, CloudPools vous permet d’archiver
des données dans un stockage Cloud et ainsi de définir le Cloud en tant que
niveau supplémentaire de stockage. CloudPools prend en charge les fournisseurs
de stockage Cloud EMC Isilon, EMC ECS Appliance, Virtustream Storage Cloud,
Amazon S3 et Microsoft Azure.

SmartConnect Advanced
En activant une licence SmartConnect Advanced, vous pouvez équilibrer des
règles pour répartir de façon égale l’utilisation du CPU, les connexions client ou le
débit. Vous pouvez également définir des pools d’adresses IP pour prendre en
charge plusieurs zones DNS dans un sous-réseau. En outre, SmartConnect prend
en charge le basculement sur incident des adresses IP, également appelé
basculement sur incident NFS.

InsightIQ
L’appliance virtuelle InsightIQ surveille et analyse les performances de votre
cluster Isilon pour optimiser les ressources de stockage et prévoir les besoins en
capacité.

SmartQuotas
Le module SmartQuotas analyse l’utilisation du disque à l’aide de rapports et
applique des limites de stockage associées à des alertes.

Isilon Swift
Isilon Swift est une passerelle de stockage en mode objet compatible avec l’API
OpenStack Swift 1.0. Grâce à Isilon Swift, vous pouvez accéder aux données en
mode fichier existantes stockées dans votre cluster EMC Isilon en tant qu’objets.
L’API Swift est mise en œuvre sous la forme d’un ensemble de Web services
RESTful via HTTP ou HTTPS. L’API Swift étant considérée comme un protocole,
le contenu et les métadonnées peuvent être acquis sous forme d’objets et sont
simultanément disponibles par l’intermédiaire d’autres protocoles EMC Isilon pris
en charge.

Modules logiciels 39
Système scale-out NAS Isilon

40 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 3
Administration générale d’un cluster

Cette section traite des sujets suivants :

l Présentation de l’administration générale du cluster.......................................... 42


l Interfaces utilisateur.......................................................................................... 42
l Connexion au cluster..........................................................................................43
l Gestion des licences...........................................................................................44
l Certificats..........................................................................................................50
l Identité du cluster.............................................................................................. 52
l Date et heure du cluster.....................................................................................54
l Paramètres de messagerie SMTP...................................................................... 55
l Configuration du mode de jonction du cluster.................................................... 56
l Paramètres du système de fichiers.................................................................... 57
l Renforcement de la sécurité.............................................................................. 58
l Surveillance du cluster....................................................................................... 63
l Surveillance du matériel du cluster.....................................................................65
l Événements et alertes........................................................................................73
l Maintenance du cluster......................................................................................84
l Support à distance............................................................................................. 94

Administration générale d’un cluster 41


Administration générale d’un cluster

Présentation de l’administration générale du cluster


Vous pouvez gérer les paramètres généraux de OneFS et les licences de module pour
le cluster EMC Isilon.
L’administration générale du cluster couvre plusieurs domaines. Vous pouvez :
l gérer les paramètres généraux tels que le nom du cluster, la date et l’heure, ainsi
que l’e-mail ;
l surveiller l’état et les performances du cluster, y compris les composants
matériels ;
l configurer le mode de traitement des événements et des notifications ;
l effectuer des tâches de maintenance du cluster telles que l’ajout, la suppression
ou le redémarrage de nœuds.
La plupart des tâches de gestion s’effectuent via l’interface d’administration Web ou
l’interface de ligne de commande. Cependant, vous rencontrerez parfois des tâches
qui ne peuvent être gérées que par l’une des deux interfaces.

Interfaces utilisateur
OneFS et IsilonSD Edge proposent plusieurs interfaces pour gérer les clusters
EMC Isilon et IsilonSD.

Interface Description Commentaire


Interface d’administration L’interface d’administration L’interface d’administration
Web OneFS Web de type navigateur de Web OneFS utilise le
OneFS assure un accès port 8080 comme port par
sécurisé avec les navigateurs défaut.
compatibles OneFS. Utilisez
cette interface pour afficher
des vues graphiques robustes
de surveillance et effectuer
des tâches de gestion du
cluster.

Interface de ligne de Exécutez les commandes L’interface de ligne de


commande OneFS OneFS isi dans l’interface commande OneFS fournit un
de ligne de commande pour ensemble étendu de
configurer, surveiller et gérer commandes UNIX standard
le cluster. L’accès à pour gérer le cluster.
l’interface de ligne de
commande se fait via une
connexion SSH (Secure Shell)
sur n’importe quel nœud du
cluster.

API OneFS L’interface de programmation Pour implémenter des


d’applications (API) OneFS logiciels basés sur le client
comprend deux domaines avec l’API OneFS, vous devez
fonctionnels : le premier avoir une connaissance
permet d’accéder aux approfondie de HTTP/1.1 et
fonctions de configuration, de de l’expérience dans l’écriture
gestion et de surveillance du de logiciels clients HTTP.

42 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Interface Description Commentaire


cluster, et le deuxième permet
d’effectuer des opérations sur
les fichiers et les répertoires
du cluster. Vous pouvez
envoyer des demandes à l’API
OneFS via une interface
REST (Representational State
Transfer), accessible par le
biais des URI de ressource et
des méthodes HTTP
standard.

Panneau avant du nœud À l’exception de nœuds Ces informations sont


accélérateurs, le panneau notamment l’état du nœud,
avant de chaque nœud les événements, les
contient un écran LCD doté informations du cluster, la
de cinq boutons, que vous capacité, les adresses IP et
pouvez utiliser pour surveiller MAC, le débit et l’état des
les informations relatives au disques.
nœud et au cluster.

Remarque

Cette interface ne s’applique


pas à IsilonSD Edge.

Connexion au cluster
L’accès au cluster EMC Isilon est assuré via l’interface d’administration Web ou le
protocole SSH. Vous pouvez utiliser une connexion série afin d’effectuer des tâches
d’administration du cluster via l’interface de ligne de commande.
Vous pouvez également accéder au cluster via le panneau avant du nœud afin
d’exécuter un sous-ensemble de tâches de gestion du cluster. Pour savoir comment
vous connecter au panneau avant du nœud, consultez la documentation d’installation
de votre nœud.

Remarque

Le panneau avant du nœud n’est pas disponible avec IsilonSD Edge.

Se connecter à l’interface d’administration Web


Vous pouvez surveiller et gérer votre cluster EMC Isilon à partir de l’interface
d’administration Web de type navigateur.
Procédure
1. Ouvrez une fenêtre de navigateur et saisissez l’URL de votre cluster dans le
champ d’adresse, en remplaçant <yourNodeIPaddress> par la première
adresse IP que vous avez fournie lorsque vous avez configuré ext-1 dans l’un
des exemples suivants :
IPv4
https://<yourNodeIPaddress>:8080

Connexion au cluster 43
Administration générale d’un cluster

IPv6
https://[<yourNodeIPaddress>]:8080

Remarque

Les adresses IPv6 ne sont pas prises en charge avec IsilonSD Edge.

Le système affiche un message si vos certificats de sécurité n’ont pas été


configurés. Résolvez toutes les configurations de certificat et continuez sur le
site Web.
2. Connectez-vous à OneFS en saisissant vos informations d’identification OneFS
dans les champs Username et Password.
Après connexion à l’interface d’administration Web, vous disposez de 4 heures
avant expiration de la connexion.

Ouvrir une connexion SSH sur un cluster


Vous pouvez utiliser n’importe quel client SSH, par exemple OpenSSH ou PuTTY, pour
vous connecter à un cluster EMC Isilon.
Avant de commencer
Vous devez disposer d’informations d’identification OneFS valides pour vous
connecter à un cluster une fois que la connexion est établie.
Procédure
1. Ouvrez une connexion shell sécurisée (SSH) sur n’importe quel nœud du cluster
à l’aide de l’adresse IP du nœud et du numéro de port 22.
2. Ouvrez une session avec vos informations d’identification OneFS.
À l’invite de commandes OneFS, vous pouvez utiliser les commandes isi pour
surveiller le cluster et le gérer.

Gestion des licences


Les fonctions de cluster avancées sont disponibles lorsque vous activez les licences
des modules logiciels OneFS. Pour chaque module logiciel OneFS en option, vous
devez activer une licence distincte.
Pour plus d’informations sur les modules logiciels en option suivants, contactez un
responsable de compte EMC Isilon.
l CloudPools
l Renforcement de la sécurité
l HDFS
l InsightIQ
l Isilon Swift
l SmartConnect Advanced
l SmartDedupe
l SmartLock
l SmartPools

44 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

l SmartQuotas
l SnapshotIQ
l SyncIQ

Remarque

Si vous exécutez IsilonSD Edge, SyncIQ, SmartLock et CloudPools sont disponibles


uniquement lorsque vous achetez une licence IsilonSD Edge. Tous les autres modules
en option sont disponibles par défaut avec la licence gratuite de ce produit.

État des licences


L’état de la licence d’un module OneFS indique si les fonctions fournies par un module
sont disponibles sur le cluster.

Les états de licence sont les suivants :

État Description :
Inactive La licence n’a pas été activée sur le cluster.
Vous ne pouvez pas accéder aux fonctions
fournies par le module correspondant.

Evaluation La licence a été temporairement activée sur le


cluster. Vous pouvez accéder aux fonctions
fournies par le module correspondant pendant
une durée limitée. Après l’expiration de la
licence, les fonctions ne sont plus disponibles,
à moins que la licence ne soit réactivée.

Activated La licence a été activée sur le cluster. Vous


pouvez accéder aux fonctions fournies par le
module correspondant.

Expired La licence d’évaluation est arrivée à expiration


sur le cluster. Vous ne pouvez plus accéder
aux fonctions fournies par le module
correspondant. Les fonctions restent
indisponibles, sauf si vous réactivez la licence.

Remarque

Si vous exécutez IsilonSD Edge, les licences des modules logiciels varient en fonction
de la licence IsilonSD Edge configurée (gratuite ou achetée), ainsi que des états de
licence correspondants.

Le tableau suivant décrit les fonctions disponibles pour chaque licence en fonction de
son état :

Licence Inactive Evaluation/ Expired


Activated
CloudPools Les clients ne Les clients peuvent Il est impossible d’établir de
peuvent pas se stocker, consulter nouvelles connexions vers
connecter à ni et modifier des le Cloud et d’archiver de
fichiers dans le nouvelles données. En

État des licences 45


Administration générale d’un cluster

Licence Inactive Evaluation/ Expired


Activated
stocker des fichiers Cloud. Ces fichiers revanche, vous pouvez
dans le Cloud. sont accessibles via toujours récupérer les
des protocoles données de Cloud écrites
courants tels que précédemment.
NFS et SMB.
Renforcement de la Les clients ne Les clients peuvent Les clients ne peuvent pas
sécurité peuvent pas appliquer et rétablir appliquer ni rétablir le
appliquer ni rétablir le renforcement de renforcement de la
le renforcement de la sécurité et en sécurité. Les clients
la sécurité. Les afficher l’état. peuvent afficher l’état de
clients peuvent renforcement de la
afficher l’état de sécurité.
renforcement de la
sécurité.

HDFS Les clients ne Vous pouvez Vous ne pouvez pas


peuvent pas configurer les configurer les
accéder au cluster paramètres HDFS et paramètres HDFS. Après le
via HDFS. les clients peuvent redémarrage du
accéder au cluster service HDFS, les clients ne
via HDFS. peuvent plus accéder au
cluster via HDFS.

InsightIQ Vous ne pouvez pas Vous pouvez InsightIQ arrête la


surveiller le cluster surveiller le cluster surveillance du cluster. Les
avec InsightIQ. avec InsightIQ. données déjà collectées par
InsightIQ sont toujours
disponibles sur l’instance
d’InsightIQ.

Isilon Swift Les clients ne Les clients peuvent Les clients ne peuvent plus
peuvent pas accéder aux accéder au cluster
accéder au cluster données en mode via Swift.
via Swift. fichier existantes
stockées dans le
cluster en tant
qu’objets par
l’intermédiaire d’une
application client
d’API Swift via
HTTP ou HTTPS.

SmartConnect Les connexions En plus de la règle Vous ne pouvez plus


Advanced client sont de permutation spécifier de paramètres de
équilibrées à l’aide circulaire, vous avez SmartConnect Advanced.
d’une règle de accès à des
permutation fonctions telles que
circulaire. le taux d’utilisation
L’allocation du CPU, la
d’adresse IP est comptabilisation des
statique. Un seul connexions et les
pool d’adresses IP règles de connexion
peut être attribué à client. Vous pouvez
également

46 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Licence Inactive Evaluation/ Expired


Activated
chaque sous-réseau configurer des pools
de réseau externe. d’adresses pour
prendre en charge
plusieurs zones DNS
dans un même sous-
réseau et prendre
en charge le
basculement sur
incident des
adresses IP.
SmartDedupe Vous ne pouvez pas Vous pouvez Vous ne pouvez plus
dédupliquer les dédupliquer les dédupliquer les données.
données avec données avec Les données déjà
SmartDedupe. SmartDedupe. dédupliquées restent
dédupliquées.

SmartLock Vous ne pouvez pas Vous pouvez Vous ne pouvez pas créer
appliquer la appliquer la de nouveaux répertoires
rétention des rétention des SmartLock ni modifier les
fichiers avec fichiers avec paramètres de
SmartLock. SmartLock. configuration des
répertoires SmartLock
existants.
Vous pouvez toujours
valider les fichiers à
l’état WORM (write once
read many), même après
avoir annulé la
configuration de la licence
SmartLock, mais vous ne
pouvez pas supprimer les
fichiers validés à
l’état WORM des
répertoires d’entreprise.

SmartPools Tous les fichiers Vous pouvez créer Vous ne pouvez plus gérer
appartiennent au plusieurs pools de les règles de pool de
pool de fichiers par fichiers et règles de fichiers et la tâche
défaut et sont régis pool de fichiers. SmartPools ne s’exécute
par la règle de pool Vous disposez plus. Les fichiers ajoutés
de fichiers par également de la sont gérés par la règle de
défaut. L’allocation gestion des pool de fichiers par défaut,
d’un disque de débordements, qui que la tâche
secours virtuel, qui définit la façon dont SetProtectPlus finit par
réserve de l’espace les opérations appliquer à tous les fichiers
à la réparation de d’écriture sont du cluster.
données en cas de effectuées chaque Si la tâche SmartPools est
défaillance d’un fois qu’un pool de en cours d’exécution au
disque, est stockage n’est pas moment où la licence
également accessible en expire, elle se termine
disponible. écriture. avant d’être désactivée.

État des licences 47


Administration générale d’un cluster

Licence Inactive Evaluation/ Expired


Activated
SmartQuotas Vous ne pouvez pas Vous pouvez créer OneFS désactive tous les
créer de quotas des quotas avec quotas. Le dépassement
avec SmartQuotas. SmartQuotas. des seuils souples et
consultatifs ne déclenche
pas d’événement. Les seuils
stricts et souples ne sont
pas appliqués.

SnapshotIQ Vous pouvez Vous pouvez créer, Vous ne pouvez plus


afficher et gérer les afficher et gérer des générer de snapshots. Les
snapshots générés snapshots. Vous plannings de snapshots
par les applications pouvez également existants ne sont pas
OneFS. Toutefois, configurer les supprimés ; cependant, ils
vous ne pouvez pas paramètres de ne génèrent pas de
créer de snapshots snapshot. snapshots.
ni configurer les Vous pouvez toujours
paramètres supprimer des snapshots et
SnapshotIQ. accéder aux données des
snapshots.

SyncIQ Vous ne pouvez pas Vous pouvez Vous ne pouvez plus


répliquer de répliquer des répliquer de données sur
données avec données avec des clusters distants et ces
SyncIQ. SyncIQ derniers ne peuvent plus
répliquer de données sur le
cluster local. Les règles de
réplication affichent
toujours l’état activé, mais
les nouvelles tâches de
réplication créées par la
règle échouent.
Si une tâche de réplication
est en cours lorsque la
licence expire, elle
s’exécute jusqu’au bout.

Configuration des licences


Vous pouvez configurer certaines licences de modules OneFS.
Pour configurer une licence, exécutez des opérations spécifiques via le module
correspondant. Toutes les actions nécessitant l’activation de la licence n’entraînent
pas nécessairement la configuration de celle-ci. En outre, toutes les licences ne
peuvent pas être configurées. La configuration d’une licence n’ajoute pas et ne
supprime pas d’accès aux fonctions fournies par le module.
Le tableau suivant décrit les actions de configuration de chaque licence :

Licence Cause de la configuration


CloudPools Création d’une règle CloudPools (autre que la
règle CloudPools par défaut).

48 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Licence Cause de la configuration


Hardening Impossible de configurer cette licence.

HDFS Impossible de configurer cette licence.

InsightIQ Impossible de configurer cette licence.

Isilon Swift Impossible de configurer cette licence

SmartConnect Configuration des paramètres SmartConnect


Advanced pour au moins un pool
d’adresses IP.

SmartDedupe Impossible de configurer cette licence.

SmartLock Impossible de configurer cette licence.

SmartPools Création d’une règle de pool de fichiers (autre


que la règle de pool de fichiers par défaut).

SmartQuotas Création d’un quota.

SnapshotIQ Création d’un planning de snapshots.

SyncIQ Création d’une règle de réplication.

Remarque

Dans le cas d’IsilonSD Edge, les licences de modules sont incluses avec les licences
gratuites et payantes d’IsilonSD. Il est inutile de les configurer séparément.

Activer une licence


Pour accéder à un module OneFS, vous devez activer une licence.
Avant de commencer
Avant de pouvoir activer une licence, vous devez obtenir une clé de licence en cours
de validité, et vous devez disposer des privilèges d’utilisateur root sur votre cluster.
Pour obtenir une clé de licence, contactez votre responsable de compte EMC Isilon.

Remarque

Si vous exécutez IsilonSD Edge, vous pouvez activer une licence via IsilonSD Edge
Management Server. Pour plus d’informations, consultez le Guide d’installation et
d’administration d’IsilonSD Edge.

Procédure
1. Cliquez sur Cluster Management > Licensing.
2. Dans la zone Activate Licenses, saisissez la clé de licence d’un module. Cliquez
sur Add Another License Key si vous activez les licences de plusieurs modules.

Afficher les informations de licence


Vous pouvez afficher des informations sur l’état actuel de tous les modules logiciels
Isilon en option installés sur votre cluster.

Activer une licence 49


Administration générale d’un cluster

Procédure
l Cliquez sur Cluster Management > Licensing.
Vous pouvez consulter des informations sur les licences, y compris l’état et la date
d’expiration.

Certificats
Vous pouvez renouveler le certificat SSL (Secure Sockets Layer) de l’interface
d’administration Web Isilon ou le remplacer par un certificat SSL tiers.
Toutes les communications de l’API de plate-forme, qui incluent la communication via
l’interface d’administration Web, se font par SSL. Vous pouvez remplacer ou
renouveler le certificat auto-signé par un certificat que vous générez. Pour remplacer
ou renouveler un certificat SSL, vous devez être connecté en tant qu’utilisateur root.

Remplacer ou renouveler le certificat SSL


Vous pouvez remplacer ou renouveler le certificat SSL (Secure Sockets Layer)
permettant d’accéder au cluster EMC Isilon via un navigateur.
Avant de commencer
Lorsque vous remplacez ou renouvelez un certificat SSL auto-signé, vous devez
fournir des informations sur votre entreprise au format décrit dans l’exemple de
données de certificat SSL auto-signé.
Les dossiers suivants sont les emplacements par défaut des fichiers server.crt et
server.key dans OneFS 6.0 et version supérieure.
l Certificat SSL : /usr/local/apache2/conf/ssl.crt/server.crt
l Clé de certificat SSL : /usr/local/apache2/conf/ssl.key/server.key
Procédure
1. Établissez une connexion SSH vers n’importe quel nœud du cluster.
2. Pour créer le répertoire approprié, exécutez la commande suivante :

mkdir /ifs/local/

3. Pour passer au répertoire, exécutez la commande suivante :

cd /ifs/local/

4. Sélectionnez le type de certificat que vous souhaitez installer.

Option Description :
Certificat a. Pour générer une nouvelle demande de signature de
d’une AC certificat en plus d’une nouvelle clé, exécutez la commande
tierce openssl req. La commande suivante génère une
(publique ou
privée)

50 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Option Description :

demande de signature de certificat avec, pour nom d’hôte,


isilon.example.com :

openssl req -new -nodes -newkey rsa:1024 -keyout \


<common name>.key -out <common-name>.csr

b. Envoyez le contenu du fichier <common_name>.csr à


partir du cluster à votre AC (autorité de certification) pour
qu’elle le signe. Lorsque vous recevez le certificat signé par
l’AC (fichier .crt), copiez-le dans /ifs/local/
<common-name>.crt.

Certificat a. À l’invite de commandes, exécutez la commande suivante


auto-signé pour créer un certificat de deux ans. Augmentez ou
basé sur la clé réduisez la valeur de -days pour générer un certificat avec
ssl.key une date d’expiration différente.
existante
(stock)
cp /usr/local/apache2/conf/ssl.key/server.key ./
openssl req -new \
/-days 730 -nodes -x509 -key server.key -out
server.crt

Un certificat de renouvellement est créé à partir du fichier ssl.key existant


(stock).
5. (Facultatif) Pour vérifier les attributs d’un certificat SSL, exécutez la
commande openssl req.

openssl x509 -text -noout -in <common-name>.crt

6. Exécutez les commandes suivantes pour installer le certificat et la clé :

isi services -a isi_webui disable chmod 640 <common name>.key


\
isi_for_array -s 'cp /ifs/local/<common-name>.key \
/usr/local/apache2/conf/ssl.key/server.key' \
isi_for_array -s 'cp /ifs/local/<common-name>.crt \
/usr/local/apache2/conf/ssl.crt/server.crt' isi services -a
isi_webui enable

7. Pour supprimer des fichiers, exécutez la commande rm. Exécutez la commande


suivante pour supprimer les fichiers dans /ifs/local/folder1.

rm /ifs/local/folder1/*

Vérifier une mise à jour de certificat SSL


Vous pouvez vérifier les informations stockées dans un certificat SSL (Secure Sockets
Layer).

Vérifier une mise à jour de certificat SSL 51


Administration générale d’un cluster

Procédure
1. Ouvrez une fenêtre de navigateur Web.
2. Accédez à https://<common name>:8080, où <common name> est le nom
d’hôte de l’interface d’administration Web EMC Isilon, par exemple
isilon.example.com.
3. Dans les informations de sécurité de la page Web, vérifiez que l’objet et les
autres éléments que vous avez fournis sont corrects.

Remarque

Les étapes à suivre pour afficher les informations de sécurité varient en


fonction du navigateur. Par exemple, dans certains navigateurs, vous pouvez
cliquer sur l’icône représentant un cadenas dans la barre d’adresse pour afficher
les informations de sécurité de la page Web. Suivez les étapes spécifiques de
votre navigateur.

Exemple de données de certificat SSL auto-signé


Le renouvellement ou le remplacement d’un certificat SSL auto-signé nécessite que
vous fournissiez des données telles que votre nom de domaine complet et une adresse
e-mail de contact.
Lorsque vous remplacez ou renouvelez un certificat SSL auto-signé, vous êtes invité à
fournir des données au format indiqué dans l’exemple suivant. Certains champs du
fichier de certificat contiennent une valeur par défaut. Si vous saisissez ’.’, le champ
est laissé vide lorsque le certificat est généré.
l Nom du pays (code à 2 lettres) [XX] :US
l Nom de l’état ou de la province (complet) [Some State] : Washington
l Nom de la localité (par exemple, ville) [default city] : Seattle
l Nom de l’organisation (par exemple, entreprise) [Internet Widgits Pty Ltd] :
Isilon
l Nom de l’unité d’organisation (par exemple, section) [] : Support
l Nom commun (par exemple, nom de domaine complet du serveur ou nom du
serveur) [] : isilon.example.com
l Adresse e-mail [] : support@example.com
En outre, vous devez ajouter les attributs suivants à envoyer en même temps que
votre demande de certificat :
l Mot de passe de sécurité [] : Isilon1
l Nom facultatif de la société [] :

Identité du cluster
Vous pouvez définir les attributs d’identité du cluster EMC Isilon.
Nom du cluster
Le nom du cluster s’affiche sur la page de connexion. Il permet de reconnaître
plus facilement le cluster et ses nœuds sur votre réseau. Chaque nœud du cluster
est identifié par le nom du cluster et le numéro du nœud. Par exemple, le premier
par nœud d’un cluster nommé Images peut être nommé Images-1.

52 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Remarque

Dans le cas d’IsilonSD Edge, vous pouvez attribuer un nom de cluster uniquement
via le plug-in de gestion IsilonSD. Pour plus d’informations, consultez le Guide
d’installation et d’administration d’IsilonSD Edge.

Description du cluster
La description du cluster s’affiche sous le nom du cluster sur la page de
connexion. Cette description est utile si votre environnement comporte plusieurs
clusters.

Message de connexion
Le message de connexion s’affiche sous la forme d’une zone distincte sur la page
de connexion de l’interface d’administration Web OneFS, ou sous la forme d’une
ligne de texte sous le nom du cluster dans l’interface de ligne de commande
OneFS. Il fournit des informations sur le cluster, des instructions de connexion ou
des avertissements dont l’utilisateur doit prendre connaissance avant de se
connecter au cluster. Définissez ces informations à la page Cluster Identity de
l’interface d’administration Web OneFS

Définir le nom du cluster et les informations de contact


Vous pouvez spécifier un nom, une description, un message de connexion et des
informations de contact pour votre cluster EMC Isilon.
Les noms de cluster doivent commencer par une lettre et peuvent ne contenir que des
chiffres, des lettres et des traits d’union. Si le cluster est rattaché à un domaine Active
Directory, le nom du cluster ne doit pas dépasser 11 caractères.
Procédure
1. Cliquez sur Cluster Management > General Settings > Cluster Identity.
2. (Facultatif) Dans la zone Cluster Identity, saisissez le nom du cluster dans le
champ Cluster Name et une description dans le champ Cluster Description.

Remarque

Dans le cas d’IsilonSD Edge, spécifiez le nom du cluster via le plug-in de gestion
IsilonSD au sein de VMware vCenter. Pour plus d’informations, consultez le
Guide d’installation et d’administration d’IsilonSD Edge.

3. (Facultatif) Dans la zone Login Message saisissez un titre dans le champ


Message Title et un message dans le champ Message Body.
4. Dans la zone Contact Information, saisissez le nom et l’emplacement de votre
entreprise.
5. Dans la zone Primary Administrator Information, saisissez le nom, les
numéros de téléphone et l’adresse e-mail de l’administrateur OneFS principal du
cluster.
6. Dans la zone Secondary Administrator Information, saisissez le nom, les
numéros de téléphone et l’adresse e-mail de l’administrateur OneFS secondaire
du cluster.
7. Cliquez sur Save Changes.

Définir le nom du cluster et les informations de contact 53


Administration générale d’un cluster

À effectuer
Vous devez ajouter le nom du cluster à vos serveurs DNS.

Date et heure du cluster


Le service NTP (Network Time Protocol) peut être configuré manuellement, ce qui
vous permet de vous assurer que tous les nœuds d’un cluster sont synchronisés sur la
même source de temps.
La méthode NTP synchronise automatiquement les paramètres de date et d’heure du
cluster via un serveur NTP. Pour définir la date et l’heure données par le cluster, vous
pouvez également configurer le service manuellement.
Les domaines Windows fournissent un mécanisme de synchronisation des membres du
domaine sur une horloge principale fonctionnant sur les contrôleurs de domaine.
OneFS règle l’heure du cluster sur celle d’Active Directory via un service. Si aucun
serveur NTP externe n’est configuré, OneFS utilise le contrôleur de domaine Windows
comme serveur de synchronisation NTP. Lorsque l’heure du cluster et l’heure du
domaine se désynchronisent de plus de 4 minutes, OneFS génère une notification
d’événements.

Remarque

Si le cluster et Active Directory se désynchronisent de plus de 5 minutes,


l’authentification ne fonctionne pas.

Régler la date et l’heure du cluster


Vous pouvez définir la date, l’heure et le fuseau horaire utilisés par le cluster
EMC Isilon.
Procédure
1. Cliquez sur Cluster Management > General Settings > Date & Time.
La page Date and Time affiche l’adresse IP et les paramètres de date et
d’heure de chaque nœud.
2. Dans les listes Date and time, sélectionnez les paramètres pour le mois, le jour,
l’année, l’heure et les minutes.
3. Dans la liste Time zone, sélectionnez une valeur.
Si votre fuseau horaire n’apparaît pas dans la liste, sélectionnez Advanced dans
la liste Time zone, puis sélectionnez le fuseau horaire dans la liste Advanced
time zone.

4. Cliquez sur Submit.

Spécifier un serveur de synchronisation NTP


Vous pouvez spécifier un ou plusieurs serveurs NTP (Network Time Protocol) pour
synchroniser l’heure du système sur le cluster EMC Isilon. Le cluster contacte
régulièrement les serveurs NTP et définit la date et l’heure en fonction des
informations qu’il reçoit.
Procédure
1. Cliquez sur Cluster Management > General Settings > NTP.

54 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

2. (Facultatif) Dans la zone NTP Servers, entrez l’adresse IPv4 ou IPv6 d’un ou
plusieurs serveurs NTP. Si vous souhaitez utiliser un fichier de clés, saisissez les
numéros de clés dans le champ en regard de l’adresse IP du serveur.
Cliquez sur Add Another NTP Server si vous spécifiez plusieurs serveurs.
3. (Facultatif) Si vous utilisez un fichier de clés pour le serveur NTP, saisissez le
chemin d’accès à ce fichier dans le champ Path to Key File.
4. Dans la zone Chimer Settings, spécifiez le nombre de nœuds chimer qui
contactent les serveurs NTP (la valeur par défaut est 3).
5. Pour exclure un nœud du chiming, saisissez son numéro de nœud logique (LNN)
dans le champ Nodes Excluded from Chiming.
6. Cliquez sur Save Changes.

Paramètres de messagerie SMTP


Si votre environnement réseau requiert l’utilisation d’un serveur SMTP ou si vous
voulez router des notifications d’événements du cluster EMC Isilon avec le
protocole SMTP via un port, vous pouvez configurer les paramètres de
messagerie SMTP.
Les paramètres SMTP incluent l’adresse du relais SMTP et les numéros des ports vers
lesquels les e-mails sont redirigés. Vous pouvez spécifier une adresse e-mail d’origine
et un objet pour tous les e-mails de notification d’événements envoyés à partir du
cluster.
Si votre serveur SMTP est configuré pour prendre en charge l’authentification, vous
pouvez spécifier un nom d’utilisateur et un mot de passe. Vous pouvez également
indiquer si vous souhaitez chiffrer la connexion.

Configurer les paramètres de la messagerie SMTP


Vous pouvez envoyer des notifications d’événements via un serveur de
messagerie SMTP. Vous pouvez également activer l’authentification SMTP si votre
serveur SMTP est configuré pour la prendre en charge.
Procédure
1. Cliquez sur Cluster Management > General Settings > Email Settings.
2. Dans la zone SMTP Settings, saisissez le nom de domaine complet ou
l’adresse IPv4 ou IPv6 du relais SMTP dans le champ SMTP relay address.
3. Dans le champ SMTP relay port, saisissez le numéro du port.
Le numéro de port par défaut est 25.
4. Cochez la case Use SMTP Authentication pour imposer l’authentification
SMTP.
Vous accédez alors à des champs dans lesquels vous pouvez saisir les nom
d’utilisateur et mot de passe d’authentification, ainsi qu’à des cases d’option
correspondant au protocole TLS. Si vous ne souhaitez pas utiliser
l’authentification SMTP, passez à l’étape 7.
5. Saisissez les nom d’utilisateur et mot de passe d’authentification, puis
confirmez le mot de passe.
6. Spécifiez la sécurité de la connexion. Par défaut, aucune sécurité n’est définie.
Sélectionnez STARTTLS si vous souhaitez utiliser une connexion TLS chiffrée.

Paramètres de messagerie SMTP 55


Administration générale d’un cluster

7. Dans le champ Event Notification Settings, saisissez l’adresse e-mail d’origine


qui s’affichera sur la ligne À de l’e-mail dans le champ Send email as .
8. Dans le champ Subject, saisissez le texte qui apparaîtra sur la ligne Objet de l’e-
mail.
9. Si vous souhaitez envoyer des e-mails de notification d’événements par lots,
sélectionnez une option dans le menu déroulant Notification Batch Mode.
L’option par défaut est No batching.
10. Dans le menu déroulant Default Email Template, indiquez si vous souhaitez
utiliser le modèle par défaut fourni avec OneFS ou bien un modèle personnalisé.
Si vous sélectionnez un modèle personnalisé, le champ Custom Template
Location s’affiche. Saisissez un nom de chemin d’accès pour le modèle.
11. Cliquez sur Save Changes.
Pour tester votre configuration, envoyez une notification d’événements test.

Configuration du mode de jonction du cluster


Le mode de jonction du cluster spécifie la manière dont un nœud est ajouté au cluster
EMC Isilon et si l’authentification est requise. OneFS prend en charge les modes de
jonction manuel et sécurisé pour ajouter des nœuds au cluster EMC Isilon.

Mode Description
Manual Vous permet d’ajouter manuellement un nœud
au cluster sans autorisation.

Secure Nécessite que chaque nœud ajouté au cluster


soit autorisé. Le nœud doit être ajouté via
l’interface d’administration Web ou via la
commande isi devices -a add -d
<unconfigured_node_serial_no> dans
l’interface de ligne de commande.

Remarque

Si vous spécifiez un mode de jonction


sécurisé, vous ne pouvez pas rattacher un
nœud au cluster via l’option [2] Join an
existing cluster de l’assistant de la
console série.

Remarque

Dans le cas d’IsilonSD Edge, vous ne pouvez pas configurer le mode de jonction du
cluster. Pour plus d’informations, consultez le Guide d’installation et d’administration
d’IsilonSD Edge.

Spécifier le mode d’association du cluster


Vous pouvez spécifier un mode de jonction qui détermine la manière dont les nœuds
sont ajoutés au cluster EMC Isilon.
Ces instructions ne s’appliquent pas à IsilonSD Edge.

56 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Procédure
1. Cliquez sur Cluster Management > General Settings > Join Mode.
2. Dans la zone Settings, sélectionnez le mode qui détermine la façon dont les
nœuds peuvent être ajoutés au cluster.

Option Description
Manual La jonction peut être initiée manuellement
Secure La jonction peut être initiée uniquement par le cluster et nécessite
une authentification

3. Cliquez sur Submit.

Paramètres du système de fichiers


Vous pouvez configurer les paramètres globaux du système de fichiers relatifs au suivi
de date d’accès et au codage des caractères sur un cluster EMC Isilon.
Vous pouvez activer ou désactiver le suivi de date d’accès, qui surveille les heures
d’accès à chaque fichier. Si nécessaire, vous pouvez également modifier le codage de
caractères par défaut sur le cluster.

Activer ou désactiver le suivi de l’heure d’accès


Vous pouvez activer le suivi de l’heure d’accès pour prendre en charge les fonctions
qui en ont besoin.
Par défaut, le cluster EMC Isilon n’effectue pas de suivi de l’horodatage lorsqu’un
utilisateur accède aux fichiers. Vous pouvez activer cette fonction afin de prendre en
charge les fonctions OneFS qui l’utilisent. Par exemple, le suivi de l’heure d’accès doit
être activé si vous voulez configurer les critères de la règle SyncIQ qui met en
correspondance les fichiers d’après l’heure à laquelle ils ont été consultés pour la
dernière fois.

Remarque

L’activation du suivi de l’heure d’accès peut affecter les performances du cluster.

Procédure
1. Cliquez sur File System Management > File System Settings > Access Time
Tracking.
2. Dans la zone Access Time Tracking, cochez la case Enable access time
tracking pour suivre les horodatages d’accès aux fichiers. Par défaut, cette
fonctionnalité est désactivée.
3. Dans les champs Precision, spécifiez la fréquence de mise à jour de la date de
dernier accès en saisissant une valeur numérique et en sélectionnant une unité
de mesure, telle que secondes, minutes, heures, jours, semaines, mois ou
années.
Par exemple, si vous configurez un paramètre de précision d’un jour, le cluster
met à jour la date de dernier accès une fois par jour, même si certains fichiers
ont été consultés plus d’une fois au cours de la journée.
4. Cliquez sur Save Changes.

Paramètres du système de fichiers 57


Administration générale d’un cluster

Spécifier le codage des caractères du cluster


Vous pouvez modifier le jeu de codage des caractères pour le cluster EMC Isilon après
l’installation.
Seuls les jeux de caractères OneFS pris en charge peuvent être sélectionnés. UTF-8
est le jeu de caractères par défaut pour les nœuds OneFS.

Remarque

Si le codage des caractères du cluster n’est pas défini sur UTF-8, les noms de
partage SMB sont sensibles à la casse.

Vous devez redémarrer le cluster pour appliquer les modifications de codage des
caractères.

ATTENTION

Le codage des caractères est généralement établi lors de l’installation du cluster.


Modifier le paramètre de codage des caractères après l’installation peut rendre
les fichiers illisibles s’il n’est pas effectué correctement. Modifiez les paramètres
uniquement si cela est nécessaire et après consultation du support technique
Isilon.

Procédure
1. Cliquez sur File System Management > File System Settings > Character
Encoding.
2. (Facultatif) Dans la liste Character encoding, sélectionnez le codage de
caractères que vous souhaitez utiliser.
3. Cliquez sur Save Changes, puis cliquez sur Yes pour confirmer que la
modification de codage prendra effet après le redémarrage du cluster.
4. Redémarrer le cluster.
Résultats
Après le redémarrage du cluster, l’interface d’administration Web de OneFS fait
apparaître vos modifications.

Renforcement de la sécurité
Le renforcement de la sécurité consiste à configurer un système en vue de réduire ou
d’éliminer autant que possible les risques en matière de sécurité.
Lorsque vous appliquez un profil de renforcement de la sécurité, OneFS le lit et en
applique les exigences. Si nécessaire, OneFS identifie les problèmes de configuration
qui empêchent le renforcement de la sécurité sur les nœuds. Par exemple, il se peut
que les autorisations de fichier définies pour un répertoire particulier n’aient pas la
valeur attendue ou que les répertoires requis soient manquants. Si un problème est
détecté, vous pouvez autoriser OneFS à le résoudre ou différer la résolution et
corriger le problème manuellement.

58 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Remarque

Pour l’instant, OneFS ne prend en charge que le renforcement de la sécurité STIG


(Security Technical Implementation Guide) de l’Agence des systèmes d’information de
la Défense (DISA). Aucun autre profil de sécurité n’est disponible.

Si vous estimez que la configuration de renforcement ne convient pas à votre


système, OneFS vous permet de rétablir le profil de renforcement de la sécurité. Si
vous rétablissez le profil, OneFS revient à la configuration obtenue lors de la résolution
des problèmes (le cas échéant), avant la procédure de renforcement.
Vous devez disposer d’une licence de renforcement de la sécurité active et être
connecté au cluster EMC Isilon en tant qu’utilisateur root pour pouvoir appliquer le
renforcement à OneFS. Pour obtenir une licence, contactez un responsable de compte
EMC Isilon.

Profil de renforcement de la sécurité STIG


Le profil de renforcement de la sécurité STIG contient les exigences de configuration
définies par le Département américain de la Défense. Il est conçu pour les clusters
Isilon qui prennent en charge des comptes du gouvernement fédéral. Un cluster Isilon
installé avec un profil STIG requiert que l’écosystème environnant soit également
conforme à la norme STIG. Les clients Grand Compte Isilon sont peu susceptibles
d’avoir des écosystèmes conformes à la norme STIG et ne sont généralement pas
candidats au profil STIG.
Pour respecter les exigences de la liste des produits approuvés (APL), la configuration
de OneFS doit être conforme à plusieurs guides d’implémentation technique de la
sécurité (STIG) contenant les exigences de configuration du renforcement de la
sécurité. Les STIG sont entretenus par l’Agence des systèmes d’information de la
Défense (DISA), qui produit un STIG pour différentes technologies informatiques
appelées points d’évaluation. Le profil de renforcement de la sécurité STIG contient
les exigences de tous les points d’évaluation applicables à OneFS.
Une fois que vous appliquez le profil de renforcement de la sécurité STIG, la
configuration de OneFS est modifiée de manière à respecter les exigences du STIG.
Les modifications suivantes sont des exemples des nombreux changements apportés
au système :
l Lorsque vous vous connectez via SSH ou l’interface Web, le système affiche un
message indiquant que vous accédez à un système d’informations du
gouvernement des États-Unis et affiche les conditions d’utilisation de ce système.
l Sur chaque nœud, SSH et l’interface Web utilisent uniquement l’adresse IP
externe du nœud.
l Les exigences relatives à la complexité des mots de passe des comptes utilisateur
locaux augmentent. Les mots de passe doivent comporter 14 caractères au
minimum et contenir au moins un caractère de chacun des types suivants : chiffre,
majuscule, minuscule, symbole.
l La connexion SSH racine est désactivée. Une fois le profil de renforcement
appliqué, vous pouvez vous connecter en tant qu’utilisateur root uniquement via
l’interface Web ou une session de la console série.

Points d’évaluation du profil de renforcement de la sécurité STIG


Le profil de renforcement de la sécurité STIG contient les exigences de configuration
de plusieurs aspects du système, appelés points d’évaluation.

Profil de renforcement de la sécurité STIG 59


Administration générale d’un cluster

Le tableau suivant présente chaque point d’évaluation et le STIG associé appliqué par
le profil de renforcement de la sécurité :

Point d’évaluation STIG


Système d'exploitation UNIX Manual SRG - version 1, publication 3
UNIX Policy Manual SRG - version 1,
publication 2

Serveur Web Apache Apache 2.2 STIG UNIX - version 1, publication 4

serveur Web Web Server SRG - version 1, publication 1


Web Policy Manual STIG - version 1,
publication 1

Sécurité et développement d’applications Application Security and Development STIG -


version 3, publication 8

Serveur d’applications Application Server SRG - version 1,


publication 1

Réseau Network Devices STIG - version 8,


publication 17

Partage de périphériques sur le réseau Storage Area Network STIG - version 2,


publication 2

Base de données Database SRG - version 1, publication 1

Enclave Enclave STIG - version 4, publication 5

Stockage amovible Removable Storage STIG - version 1,


publication 2

Serveur d’accès à distance RAS Remote Access Server STIG - version 2,


publication 7

Appliquer un profil de renforcement de la sécurité


Vous pouvez appliquer le profil de renforcement de la sécurité STIG au cluster
EMC Isilon.
Avant de commencer
Le renforcement de la sécurité exige des privilèges root et s’effectue uniquement via
l’interface de ligne de commande.
Une fois que le renforcement de la sécurité a été appliqué au cluster, la connexion SSH
racine n’est pas autorisée sur le cluster renforcé. Pour vous connecter en tant
qu’utilisateur root à un cluster renforcé, vous devez utiliser l’interface Web ou une
session de la console série.
Vous devez disposer d’une licence de renforcement de la sécurité active pour pouvoir
appliquer un profil de renforcement à OneFS. Pour obtenir une licence, contactez un
responsable de compte EMC Isilon.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session en tant qu’utilisateur root.
2. Exécutez la commande isi hardening apply.

60 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

La commande suivante demande à OneFS d’appliquer le profil STIG au cluster


Isilon.

isi hardening apply --profile=STIG

OneFS vérifie si le système présente des problèmes de configuration exigeant


une résolution avant l’application du renforcement.
l Si OneFS ne rencontre aucun problème, le profil de renforcement de la
sécurité est appliqué.
l Si OneFS rencontre des problèmes, le système affiche un résultat semblable
à l’exemple suivant :

Found the following Issue(s) on the cluster:


Issue #1 (Isilon Control_id:isi_GEN001200_01)
Node: test-cluster-2
1: /etc/syslog.conf: Actual permission 0664; Expected
permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)


Node: test-cluster-3
1: /usr/bin/passwd: Actual permission 4555; Expected
permission 0555
2: /usr/bin/yppasswd: Actual permission 4555; Expected
permission 0555
Node: test-cluster-2
1: /usr/bin/passwd: Actual permission 4555; Expected
permission 0555
2: /usr/bin/yppasswd: Actual permission 4555; Expected
permission 0555

Total: 2 issue(s)
Do you want to resolve the issue(s)?[Y/N]:
3. Résolvez les problèmes de configuration. À l’invite Do you want to resolve
the issue(s)?[Y/N], choisissez l’une des actions suivantes :
l Pour permettre à OneFS de résoudre tous les problèmes, saisissez Y. OneFS
résout les problèmes, puis applique le profil de renforcement.
l Pour différer la résolution et corriger manuellement tous les problèmes
détectés, saisissez N. Après avoir corrigé tous les problèmes différés,
réexécutez la commande isi hardening apply.

Remarque

Si OneFS rencontre un problème qu’il juge irrémédiable, il vous invite à le


résoudre manuellement. OneFS ne peut pas résoudre un tel problème.

Rétablir un profil de renforcement de la sécurité


Vous pouvez rétablir un profil de renforcement de la sécurité qui a été appliqué au
cluster EMC Isilon.
Avant de commencer
Le rétablissement du renforcement de sécurité exige des privilèges root et s’effectue
uniquement via l’interface de ligne de commande. Pour vous connecter en tant
qu’utilisateur root à un cluster renforcé, vous devez utiliser la console série. La
connexion SSH racine n’est pas autorisée sur un cluster renforcé.

Rétablir un profil de renforcement de la sécurité 61


Administration générale d’un cluster

Vous devez disposer d’une licence de renforcement de la sécurité active pour pouvoir
rétablir un profil de renforcement de la sécurité sur OneFS. Pour obtenir une licence,
contactez un responsable de compte EMC Isilon.
Procédure
1. Ouvrez une session de la console série sur n’importe quel nœud du cluster, puis
connectez-vous en tant qu’utilisateur root.
2. Exécutez la commande isi hardening revert.
OneFS vérifie si le système est à un état attendu.
l Si OneFS ne rencontre aucun problème, le profil de renforcement de la
sécurité est rétabli.
l Si OneFS rencontre des problèmes, le système affiche un résultat semblable
à l’exemple suivant :

Found the following Issue(s) on the cluster:


Issue #1 (Isilon Control_id:isi_GEN001200_01)
Node: test-cluster-2
1: /etc/syslog.conf: Actual permission 0664; Expected
permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)


Node: test-cluster-3
1: /usr/bin/passwd: Actual permission 4555; Expected
permission 0555
2: /usr/bin/yppasswd: Actual permission 4555; Expected
permission 0555
Node: test-cluster-2
1: /usr/bin/passwd: Actual permission 4555; Expected
permission 0555
2: /usr/bin/yppasswd: Actual permission 4555; Expected
permission 0555

Total: 2 issue(s)
Do you want to resolve the issue(s)?[Y/N]:
3. Résolvez les problèmes de configuration. À l’invite Do you want to resolve
the issue(s)?[Y/N], choisissez l’une des actions suivantes :
l Pour permettre à OneFS de résoudre tous les problèmes, saisissez Y. OneFS
définit les configurations concernées à l’état attendu, puis rétablit le profil de
renforcement.
l Pour différer la résolution et corriger manuellement tous les problèmes
détectés, saisissez N. OneFS interrompt le processus de rétablissement
jusqu’à ce que tous les problèmes soient corrigés. Après avoir corrigé tous
les problèmes différés, réexécutez la commande isi hardening revert.

Remarque

Si OneFS rencontre un problème qu’il juge irrémédiable, il vous invite à le


résoudre manuellement. OneFS ne peut pas résoudre un tel problème.

Afficher l’état de renforcement de la sécurité


Vous pouvez afficher l’état de renforcement de la sécurité du cluster EMC Isilon et de
chacun de ses nœuds. Un cluster n’est pas considéré comme renforcé tant que tous
ses nœuds ne sont pas renforcés. Au cours du processus de renforcement de la
sécurité, si OneFS rencontre des problèmes qui doivent être résolus manuellement ou
si vous différez des problèmes en vue de les résoudre manuellement, les nœuds

62 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

concernés par ces problèmes ne sont renforcés qu’une fois que les problèmes sont
résolus et que le profil de renforcement de la sécurité est bien appliqué. Si vous ne
parvenez pas à résoudre ces problèmes, contactez le support technique Isilon.
Avant de commencer
L’affichage de l’état de renforcement de la sécurité exige des privilèges root et
s’effectue uniquement via l’interface de ligne de commande. Pour vous connecter en
tant qu’utilisateur root à un cluster renforcé, vous devez utiliser la console série. La
connexion SSH racine n’est pas autorisée sur un cluster renforcé.
Vous n’avez pas besoin d’une licence de renforcement de la sécurité pour afficher
l’état de renforcement du cluster.
Procédure
1. Ouvrez une session de la console sur n’importe quel nœud du cluster, puis
connectez-vous en tant qu’utilisateur root.
2. Exécutez la commande isi hardening status pour afficher l’état de
renforcement de la sécurité du cluster Isilon et de chacun des nœuds
Le système affiche un résultat semblable à l’exemple suivant :

Cluster Name: test-cluster


Hardening Status: Not Hardened
Profile: STIG
Node status:
test-cluster-1: Disabled
test-cluster-2: Enabled
test-cluster-3: Enabled

Surveillance du cluster
Vous pouvez surveiller la santé, les performances et l’état de votre cluster EMC Isilon.
Dans le tableau de bord OneFS de l’interface d’administration Web, vous pouvez
surveiller la santé et l’état du système OneFS. Des informations sont disponibles pour
les différents nœuds, notamment le trafic réseau, les interfaces réseau internes et
externes, ainsi que des détails sur les pools de nœuds, les niveaux et la santé globale
du cluster. Vous pouvez surveiller la santé et les performances de votre cluster EMC
Isilon dans les domaines suivants :
État des nœuds
Statistiques de santé et de performances de chaque nœud du cluster, y compris
l’utilisation des disques durs et des disques SSD.

Connexions client
Nombre de clients connectés par nœud.

Nouveaux événements
Liste des notifications d’événements générées par les événements système,
y compris le niveau de gravité, l’ID d’instance unique, l’heure de début, le message
d’alerte et le périmètre de l’événement.

Taille du cluster
Vue Current : espace utilisé et disponible des disques durs et SSD, et espace
réservé au disque de secours virtuel (VHS).
Vue Historical : espace total utilisé et taille du cluster sur un an.

Surveillance du cluster 63
Administration générale d’un cluster

Débit du cluster (système de fichiers)


Vue Current : volume moyen du trafic entrant et sortant ayant transité par les
nœuds du cluster sur l’heure écoulée.
Vue Historical : volume moyen du trafic entrant et sortant ayant transité par les
nœuds du cluster sur les deux semaines écoulées.

Utilisation du CPU
Vue Current : taux moyen d’utilisation du CPU par système, par utilisateur et
total sur l’heure écoulée.
Vue Historical : taux d’utilisation du CPU sur les dernières deux semaines.

Surveiller le cluster
Vous pouvez surveiller la santé et les performances d’un cluster EMC Isilon grâce à
des graphiques et à des tableaux indiquant l’état et les performances des nœuds, les
connexions client, les événements, la taille et le débit du cluster, et l’utilisation du
CPU.
Procédure
1. Cliquez sur Dashboard > Cluster Overview > Cluster Status.
2. (Facultatif) Affichez les informations du cluster.
l Status : pour afficher des informations sur un nœud, cliquez sur son
numéro d’ID.
l Client connection summary : pour afficher la liste des connexions actuelles,
cliquez sur Dashboard > Cluster Overview > Client Connections.
l New events : pour afficher plus d’informations sur un événement, cliquez sur
View details dans la colonne Actions.
l Cluster size : pour passer de la vue actuelle à la vue historique et vice versa,
cliquez sur Historical ou Current en regard du titre de section Monitoring.
Dans la vue historique, cliquez sur Used ou sur Cluster size pour modifier
l’affichage.
l Cluster throughput (file system) : pour passer de la vue actuelle à la vue
historique et vice versa, cliquez sur Historical ou Current en regard du titre
de section Monitoring. Pour afficher les statistiques de débit pendant une
période définie au cours des deux dernières semaines, cliquez sur Dashboard
> Cluster Overview > Throughput Distribution.

Remarque

Pour masquer ou afficher le débit entrant ou sortant, cliquez sur Inbound ou


Outbound dans la légende du graphique. Pour afficher le débit maximal, en
regard de Show, sélectionnez Maximum.
l Utilisation du CPU : pour passer de la vue actuelle à la vue historique et
vice versa, cliquez sur Historical ou Current en regard du titre de section
Monitoring.

Remarque
Pour masquer ou afficher une courbe, cliquez sur System, User ou Total
dans la légende du graphique. Pour afficher l’utilisation maximale, en regard
de Show, sélectionnez Maximum.

64 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Afficher l’état du nœud


Vous pouvez afficher l’état actuel et historique d’un nœud.
Procédure
1. Cliquez sur Dashboard > Cluster Overview > Cluster Status.
2. (Facultatif) Dans la zone Status, cliquez sur le numéro d’ID du nœud dont vous
voulez afficher l’état.
3. Examinez les informations relatives au nœud.
l Status : pour afficher les paramètres réseau d’une interface de nœud, d’un
pool ou d’un sous-réseau, cliquez sur le lien dans la zone Status.
l Client connections : pour connaître les clients actuels connectés à ce nœud,
consultez la liste dans cette zone.
l État du châssis et des disques : pour afficher l’état des disques de ce nœud,
consultez cette section. Pour afficher des informations sur un disque,
cliquez sur le lien du nom du disque ; par exemple Bay1.
l Node size : pour passer de la vue actuelle à la vue historique et vice versa,
cliquez sur Historical ou Current en regard du titre de section Monitoring.
Dans la vue historique, cliquez sur Used ou sur Cluster size pour modifier
l’affichage comme vous le souhaitez.
l Node throughput (file system) : pour passer de la vue actuelle à la vue
historique et vice versa, cliquez sur Historical ou Current en regard du titre
de section Monitoring. Pour afficher les statistiques de débit pendant une
période donnée au cours des deux dernières semaines, cliquez sur
Dashboard > Cluster Overview > Throughput Distribution.

Remarque

Pour masquer ou afficher le débit entrant ou sortant, cliquez sur Inbound ou


Outbound dans la légende du graphique. Pour afficher le débit maximal, en
regard de Show, sélectionnez Maximum.
l CPU usage : pour passer de la vue actuelle à la vue historique et vice versa,
cliquez sur Historical ou Current en regard du titre de section Monitoring.

Remarque

Pour masquer ou afficher une courbe, cliquez sur System, User ou Total
dans la légende du graphique. Pour afficher l’utilisation maximale, en regard
de Show, sélectionnez Maximum.

Surveillance du matériel du cluster


Vous pouvez vérifier manuellement l’état du matériel du cluster EMC Isilon. Vous
pouvez également activer le protocole SNMP pour surveiller des composants à
distance.

Afficher l’état du matériel du nœud


Vous pouvez afficher l’état du matériel des nœuds.

Afficher l’état du nœud 65


Administration générale d’un cluster

Procédure
1. Cliquez sur Dashboard > Cluster Overview > Cluster Status.
2. (Facultatif) Dans la zone Status, cliquez sur le numéro d’ID du nœud.
3. Dans la zone Chassis and drive status, cliquez sur Platform.

États des châssis et des disques


Vous pouvez afficher des informations détaillées sur l’état des châssis et des disques.
Dans un cluster, la combinaison de nœuds présentant différents états dégradés
détermine si les demandes de lecture et/ou les demandes d’écriture peuvent aboutir.
Un cluster peut perdre le quorum d’écriture, mais conserver le quorum de lecture.
OneFS fournit des informations sur l’état des châssis et des disques de votre cluster.
Le tableau ci-dessous décrit tous les états qui peuvent exister au sein de du cluster.

Remarque

Si vous exécutez IsilonSD Edge, vous pouvez afficher et gérer les détails de l’état du
châssis et du disque via le plug-in de gestion IsilonSD. Pour plus d’informations,
consultez le Guide d’installation et d’administration d’IsilonSD Edge.

State Description Interface État d’erreur

HEALTHY Tous les disques du Interface de ligne de


nœud fonctionnent commande, interface
correctement. d’administration Web

N3 Un disque SSD (SSD) Interface de ligne de


a été déployé en tant commande
que cache de niveau 3
(N3) pour augmenter
la taille de la mémoire
cache et améliorer les
vitesses de débit.

SMARTFAIL ou Le disque est en cours Interface de ligne de


Smartfail or de suppression commande, interface
restripe in sécurisée du système d’administration Web
progress de fichiers, en raison
d’une erreur d’E/S ou
à la demande d’un
utilisateur. Les nœuds
ou les disques à l’état
smartfail ou en
lecture seule n’ont un
impact que sur le
quorum d’écriture.

NOT AVAILABLE Un disque est Interface de ligne de X


indisponible pour commande, interface
diverses raisons. Pour d’administration Web
afficher des
informations
détaillées sur ce
problème, cliquez sur
la baie.

66 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

State Description Interface État d’erreur

Remarque

Dans l’interface
d’administration Web,
cet état inclut les
états ERASE et
SED_ERROR de
l’interface de ligne de
commande.

SUSPENDED Cet état indique que Interface de ligne de


l’activité du disque commande, interface
est temporairement d’administration Web
suspendue et que le
disque n’est pas
utilisé. Cet état est
activé manuellement ;
il ne se produit pas
pendant l’activité
normale du cluster.

NOT IN USE Un nœud à l’état hors Interface de ligne de


ligne affecte les commande, interface
quorums de lecture et d’administration Web
d’écriture.

REPLACE Le disque a fait l’objet Interface de ligne de


d’une opération commande seulement
smartfail et est prêt à
être remplacé.

STALLED Le disque est bloqué Interface de ligne de


et une évaluation du commande seulement
blocage est en cours.
L’évaluation du
blocage permet de
vérifier les disques
dont le
fonctionnement est
ralenti ou qui ont
d’autres problèmes.
En fonction du
résultat de
l’évaluation, le disque
peut être remis en
service ou faire l’objet
d’une opération
smartfail. Il s’agit d’un
état temporaire.

NEW Le disque est nouveau Interface de ligne de


et vide. Il s’agit de commande seulement
l’état d’un disque lors
de l’exécution de la

États des châssis et des disques 67


Administration générale d’un cluster

State Description Interface État d’erreur


commande isi dev
avec l’option -aadd.

USED Le disque a été ajouté Interface de ligne de


et contenait un GUID commande seulement
Isilon, mais il ne fait
pas partie de ce
nœud. Ce disque va
probablement être
formaté dans le
cluster.

PREPARING Le disque subit une Interface de ligne de


opération de commande seulement
formatage. Lorsque le
formatage aboutit, le
disque passe à l’état
HEALTHY

EMPTY Cette baie ne contient Interface de ligne de


aucun disque. commande seulement

WRONG_TYPE Le type de disque Interface de ligne de


n’est pas adapté à ce commande seulement
nœud. Par exemple,
un disque non SED
dans un nœud SED,
SAS au lieu du type
de disque SATA
prévu.

BOOT_DRIVE Propre aux nœuds Interface de ligne de


A100, dont les baies commande seulement
comportent des
disques de
démarrage.

SED_ERROR Le disque ne peut pas Interface de ligne de X


être reconnu par le commande, interface
système OneFS. d’administration Web

Remarque

Dans l’interface
d’administration Web,
cet état est inclus
dans l’état Not
available.

ERASE Le disque est prêt Interface de ligne de


pour la suppression, commande seulement
mais il requiert votre
attention, car les
données n’ont pas été
effacées. Vous
pouvez effacer le

68 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

State Description Interface État d’erreur


disque manuellement
afin de garantir la
suppression des
données.

Remarque

Dans l’interface
d’administration Web,
cet état est inclus
dans l’état Not
available.

INSECURE Les données du Interface de ligne de X


disque SED sont commande seulement
accessibles au
personnel non
autorisé. Les disques
SED ne doivent jamais
être utilisés pour des
données non
chiffrées.

Remarque

Dans l’interface
d’administration Web,
cet état porte le
libellé
Unencrypted
SED.

Les données du Interface X


UNENCRYPTED SED
disque SED sont d’administration Web
accessibles au seulement
personnel non
autorisé. Les disques
SED ne doivent jamais
être utilisés pour des
données non
chiffrées.

Remarque

Dans l’interface de
ligne de commande,
cet état porte le
libellé INSECURE.

États des châssis et des disques 69


Administration générale d’un cluster

Vérifier l’état des batteries


Vous pouvez surveiller l’état des batteries NVRAM et des systèmes de charge. Cette
tâche s’effectue à partir de l’interface de ligne de commande de OneFS uniquement,
sur le matériel de nœud prenant en charge la commande.
Ces instructions ne s’appliquent pas à IsilonSD Edge.
Procédure
1. Ouvrez une connexion SSH vers n’importe quel nœud du cluster.
2. Exécutez la commande isi batterystatus list pour afficher l’état de
toutes les batteries NVRAM et des systèmes de charge du nœud.
Le système affiche un résultat semblable à l’exemple suivant :

Lnn Status1 Status2 Result1 Result2


----------------------------------------
1 Good Good - -
2 Good Good - -
3 Good Good - -
----------------------------------------

Surveillance SNMP
Vous pouvez utiliser le protocole SNMP pour surveiller à distance les composants
matériels du cluster EMC Isilon, tels que les ventilateurs, les détecteurs matériels, les
alimentations et les disques. Utilisez pour cela les outils Linux SNMP par défaut ou un
outil SNMP d’interface utilisateur de votre choix.
Vous pouvez activer la surveillance SNMP sur les différents nœuds de votre cluster.
Vous pouvez également surveiller les informations du cluster à partir de n’importe quel
nœud. Les traps SNMP générées sont envoyées à votre réseau SNMP. Vous pouvez
configurer une règle de notification d’événements qui spécifie la station de réseau où
vous souhaitez envoyer les traps SNMP correspondant à des événements spécifiques.
Ainsi, lorsqu’un événement se produit, le cluster envoie les traps à ce serveur. OneFS
prend en charge SNMP en lecture seule. Il prend en charge SNMP version 2c, qui est
la valeur par défaut, et SNMP version 3.

Remarque

OneFS ne prend pas en charge SNMP version 1. Bien qu’il existe une option pour --
snmp-v1-v2-access dans la commande isi snmp settings modify de
l’interface de ligne de commande (CLI) de OneFS, si vous activez cette fonction,
OneFS n’effectue la surveillance que via SNMP version 2c.

Vous pouvez configurer les paramètres pour SNMP version 3 uniquement ou pour
SNMP versions 2c et 3.

Remarque

Si vous configurez SNMP version 3, OneFS exige le niveau de sécurité spécifique


SNMP AuthNoPriv comme valeur par défaut lors de l’interrogation du cluster. Le
niveau de sécurité AuthPriv n’est pas pris en charge.

Les éléments d'une hiérarchie SNMP sont organisés sous la forme d'une structure
arborescente, comparable à une arborescence de répertoires. Comme dans le cas des
répertoires, les identifiants évoluent du général vers le spécifique à mesure que la

70 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

chaîne progresse de la gauche vers la droite. Cependant, contrairement à une


hiérarchie de fichiers, chaque élément est non seulement nommé, mais également
numéroté.
Par exemple, l'entité
SNMP .iso.org.dod.internet.private.enterprises.isilon.oneFSss.
ssLocalNodeId.0 est mappée sur .1.3.6.1.4.1.12124.3.2.0. La partie du
nom désignant l'espace de nommage SNMP de OneFS est l'élément 12124. Toutes
les indications situées à droite de ce chiffre concernent la surveillance
spécifique OneFS.
Les documents de base de données MIB définissent les noms lisibles par l’utilisateur
des objets gérés et en spécifient les types de données ainsi que d’autres propriétés.
Vous pouvez télécharger les bases de données MIB qui sont créées pour la
surveillance SNMP d’un cluster Isilon à partir de l’interface d’administration Web de
OneFS ou les gérer à l’aide de l’interface de ligne de commande (CLI). Les bases de
données MIB sont stockées dans /usr/share/snmp/mibs/ sur un nœud OneFS.
Les bases de données MIB OneFS ISILON ont deux fonctions :
l Compléter les informations disponibles dans les bases de données MIB standard
l Fournir des informations spécifiques de OneFS qui ne sont pas disponibles dans les
bases de données MIB standard
ISILON-MIB est une base de données MIB d’entreprise enregistrée. Les clusters Isilon
disposent de deux bases de données MIB :
ISILON-MIB
Définit un groupe d’agents SNMP, appelés agents OneFS Statistics Snapshot, qui
sont chargés de répondre aux requêtes du système de surveillance du réseau.
Comme leur nom l’indique, ces agents créent un snapshot de l’état du système de
fichiers OneFS lorsque ce dernier reçoit une demande et renvoie cette
information au système de surveillance du réseau.

ISILON-TRAP-MIB
Génère des traps SNMP à envoyer à une station de surveillance SNMP lorsque les
conditions définies dans les unités de données du protocole de trap sont réunies.

Les fichiers de base de données MIB OneFS mappent les ID d’objet spécifiques de
OneFS avec des descriptions. Téléchargez ou copiez les fichiers de base de
données MIB dans un répertoire où votre outil SNMP peut les trouver, par
exemple /usr/share/snmp/mibs/.
Pour que les outils Net-SNMP puissent lire les bases de données MIB et ainsi assurer
le mappage automatique des noms avec les OID, ajoutez -m All à la commande,
comme dans l’exemple suivant.

snmpwalk -v2c -c public -m All <node IP> isilon

Si les fichiers de base de données MIB ne sont pas dans le répertoire de base de
données MIB Net-SNMP par défaut, vous devez spécifier le chemin complet, comme
dans l’exemple suivant. Notez que les trois lignes constituent une seule commande.

snmpwalk -m /usr/local/share/snmp/mibs/ISILON-MIB.txt:/usr \
/share/snmp/mibs/ISILON-TRAP-MIB.txt:/usr/share/snmp/mibs \
/ONEFS-TRAP-MIB.txt -v2c -C c -c public <node IP> enterprises.onefs

Surveillance SNMP 71
Administration générale d’un cluster

Remarque

Les exemples qui précèdent fonctionnent à partir de la commande snmpwalk


exécutée sur un cluster. Votre version de SNMP peut nécessiter des arguments
différents.

Gestion des paramètres SNMP


Vous pouvez utiliser le protocole SNMP pour surveiller le matériel et les informations
système du cluster. Vous pouvez configurer les paramètres via l’interface
d’administration Web ou l’interface de ligne de commande.
Vous pouvez activer la surveillance SNMP sur différents nœuds d’un cluster. Vous
pouvez également surveiller les informations à l’échelle du cluster à partir de n’importe
quel nœud si vous activez SNMP sur chaque nœud. Lors de l’utilisation de SNMP sur
un cluster Isilon, vous devez saisir un nom d’utilisateur général fixe. Le mot de passe
de l’utilisateur général peut être configuré dans l’interface d’administration Web.
Vous devez configurer un système de surveillance du réseau (NMS) pour interroger
chaque nœud directement via une adresse IPv4 ou IPv6 statique. Cette approche vous
permet de confirmer que tous les nœuds disposent d’adresses IP externes et, par
conséquent, répondent aux requêtes SNMP. Étant donné que le proxy SNMP est
activé par défaut, la mise en œuvre du protocole SNMP sur chaque nœud est
configurée automatiquement en proxy pour tous les autres nœuds du cluster sauf lui-
même. Cette configuration de proxy permet à la base de données MIB Isilon et aux
MIB standard d’être exposées de manière transparente via l’utilisation de chaînes de
contexte pour les versions SNMP prises en charge. Après avoir téléchargé et
enregistré les bases de données MIB appropriées, vous pouvez configurer la
surveillance SNMP via l’interface d’administration Web ou l’interface de ligne de
commande.

Configurer le cluster pour la surveillance SNMP


Vous pouvez configurer votre cluster EMC Isilon pour surveiller les composants
matériels à distance avec SNMP.
Avant de commencer
Lorsque vous utilisez SNMP v3, OneFS exige le niveau de sécurité spécifique
SNMP AuthNoPriv comme valeur par défaut lors de l’interrogation du cluster. Le
niveau de sécurité AuthPriv n’est pas pris en charge.
Vous pouvez activer ou désactiver la surveillance SNMP, autoriser l’accès SNMP en
fonction de la version et configurer d’autres paramètres, dont certains sont en option.
Tous les accès SNMP sont en lecture seule.

Remarque

Le cluster Isilon ne génère pas de traps SNMP, sauf si vous configurez une règle de
notification d’événements de façon à envoyer des événements.

Procédure
1. Cliquez sur Cluster Management > General Settings > SNMP Monitoring.
2. Dans SNMP Service Settings, cliquez sur la case à cocher Enable SNMP
Service. Le service SNMP est activé par défaut.
3. Téléchargez le fichier MIB que vous souhaitez utiliser (base ou trap).
Suivez la procédure de téléchargement spécifique de votre navigateur.

72 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

4. Copiez les fichiers MIB dans un répertoire où votre outil SNMP peut les trouver,
par exemple /usr/share/snmp/mibs/.
Pour que les outils Net-SNMP lisent les bases de données MIB et assurent ainsi
le mappage automatique des noms avec les OID, ajoutez -m All à la
commande, comme dans l’exemple suivant.

snmpwalk -v2c -c public -m All <node IP> isilon

5. Si vous utilisez le protocole SNMPv2, assurez-vous que la case à cocher Allow


SNMPv2 Access est activée. SNMPv2 est sélectionné par défaut.
6. Dans le champ SNMPv2 Read-Only Community Name, saisissez le nom de
communauté approprié. La valeur par défaut est I$ilonpublic.
7. Pour activer SNMPv3, cliquez sur la case à cocher Allow SNMPv3 Access.
8. Configurez les paramètres SNMP v3 :
a. Dans le champ SNMPv3 Read-Only User Name, saisissez le nom de
sécurité SNMPv3 afin de modifier le nom d’utilisateur avec des privilèges de
lecture seule.
L’utilisateur en lecture seule par défaut est general.

b. Dans le champ SNMPv3 Read-Only Password, saisissez le nouveau mot de


passe de l’utilisateur en lecture seule de façon à définir un nouveau mot de
passe d’authentification SNMPv3.
Le mot de passe par défaut est password. Nous vous recommandons de le
modifier pour plus de sécurité. Le mot de passe doit comporter au moins huit
caractères et aucun espace.

c. Saisissez le nouveau mot de passe dans le champ Confirm password pour le


confirmer.
9. Dans la zone SNMP Reporting, renseignez le champ Cluster Description.
10. Dans le champ System Contact Email, saisissez l’adresse e-mail du contact.
11. Cliquez sur Save Changes.

Afficher les paramètres SNMP


Vous pouvez passer en revue les paramètres de surveillance SNMP.
Procédure
l Cliquez sur Cluster Management > General Settings > SNMP Monitoring.

Événements et alertes
OneFS surveille l’intégrité et les performances de votre cluster en continu et génère
des événements lorsqu’une situation nécessite votre attention.
Les événements peuvent être liés à l’intégrité du système de fichiers, aux connexions
réseau, aux tâches, au matériel et aux autres composants et opérations essentiels de
votre cluster. Une fois les événements capturés, ils sont analysés par OneFS. Les
événements associés à des causes premières similaires sont organisés en groupes
d’événements.

Événements et alertes 73
Administration générale d’un cluster

Remarque

Pour obtenir une description de chaque type d’événements par ID de type


d’événements, consultez le guide Référencement des événements OneFS. Certains
événements, tels que les événements matériels, ne s’appliquent pas à IsilonSD Edge.

Un groupe d’événements centralise la gestion de nombreux événements associés à


une situation particulière. Vous pouvez déterminer quels groupes d’événements vous
souhaitez surveiller, ignorer ou résoudre.
Une alerte est un message qui signale une modification au niveau d’un groupe
d’événements.
Vous pouvez contrôler le mode de diffusion des alertes associées à un groupe
d’événements. Les alertes sont distribuées par le biais de canaux. Vous pouvez créer
et configurer un canal pour envoyer des alertes à une audience spécifique, contrôler le
contenu distribué par le canal et limiter la fréquence des alertes.

Présentation des événements


Les événements désignent des occurrences ou conditions spécifiques liées au
workflow de données, aux opérations de maintenance et aux composants matériels de
votre cluster.
OneFS intègre des processus qui permettent une surveillance et une collecte en
continu d’informations sur les opérations du cluster.
En cas de modification de l’état d’un composant ou d’une opération, cette
modification est considérée comme un événement et placée dans une file d’attente de
priorité au niveau du noyau.
Tous les événements comportent deux ID qui permettent d’établir le contexte de
l’événement :
l l’ID de type d’événement, qui identifie le type d’événement survenu ;
l l’ID d’instance d’événement, présenté sous la forme d’un numéro unique propre à
un événement spécifique d’un type d’événement. Lorsqu’un événement est envoyé
à la file d’attente du noyau, un ID d’instance d’événement est attribué. Vous
pouvez référencer l’ID d’instance pour déterminer l’heure exacte à laquelle un
événement s’est produit.
Vous pouvez afficher des événements individuels. En revanche, les événements et
alertes sont gérés au niveau du groupe d’événements.

Présentation des groupes d’événements


Les groupes d’événements désignent des collections d’événements individuels qui
représentent des symptômes d’une situation unique sur votre cluster. Les groupes
d’événements permettent de gérer de façon centralisée plusieurs instances d’un
événement générées en réponse à une situation survenue sur votre cluster.
En cas de panne d’un ventilateur du châssis au niveau d’un nœud, par exemple, OneFS
peut capturer plusieurs événements liés à la fois au ventilateur défaillant lui-même et
au dépassement des seuils de température au niveau du nœud. Tous les événements
concernant le ventilateur seront représentés dans un groupe d’événements unique.
Grâce à une approche centralisée, vous n’avez pas à gérer de nombreux événements
individuels. Vous pouvez gérer la situation en l’abordant comme un problème unique et
cohérent.
Toute la gestion des événements est effectuée au niveau du groupe d’événements.
Vous pouvez marquer un groupe d’événements comme résolu ou ignoré. Vous pouvez

74 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

également configurer à quel moment et de quelle manière sont diffusées les alertes
pour un groupe d’événements.

Présentation des alertes


Une alerte est un message qui décrit une modification au niveau d’un groupe
d’événements.
Vous pouvez afficher les groupes d’événements à tout moment pour suivre les
événements survenus sur votre cluster. Toutefois, vous pouvez également créer des
alertes qui vous informeront de manière proactive en cas de modification d’un groupe
d’événements.
Par exemple, vous pouvez générer une alerte qui se déclenchera en cas d’ajout d’un
événement à un groupe d’événements, de résolution d’un groupe d’événements ou de
modification du niveau de gravité d’un groupe d’événements.
Vous pouvez configurer votre cluster pour qu’il génère des alertes uniquement pour
des conditions, des niveaux de gravité ou des groupes d’événements spécifiques, ou
encore pendant des périodes limitées.
Les alertes sont générées par le biais de canaux. Vous pouvez configurer un canal pour
déterminer quels utilisateurs recevront l’alerte et à quel moment.

Présentation des canaux


Les canaux désignent les chemins utilisés par les groupes d’événements pour l’envoi
d’alertes.
Lorsqu’une alerte est générée, le canal associé à l’alerte détermine le mode de
diffusion et les destinataires de l’alerte.
Vous pouvez configurer un canal pour envoyer des alertes à l’aide d’un des
mécanismes suivants : SMTP, SNMP ou ConnectEMC. Vous pouvez également
spécifier les informations de routage et d’étiquetage requises par le mécanisme
d’envoi.

Affichage et modification des groupes d’événements


Vous pouvez afficher les événements et modifier l’état des groupes d’événements.

Afficher un groupe d’événements


Vous pouvez afficher des informations détaillées sur un groupe d’événements.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts.
2. Dans la colonne Actions du groupe d’événements que vous souhaitez afficher,
cliquez sur View Details.

Changer l’état d’un groupe d’événements


Vous pouvez ignorer ou résoudre un groupe d’événements.
Une fois que vous avez résolu un groupe d’événements, vous ne pouvez pas inverser
cette action. Tout nouvel événement ajouté au groupe d’événements résolu sera
ajouté à un nouveau groupe d’événements.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts.

Présentation des alertes 75


Administration générale d’un cluster

2. Dans la colonne Actions du groupe d’événements que vous souhaitez modifier,


cliquez sur More.
3. Dans le menu qui s’affiche, cliquez sur Mark Resolved pour résoudre le groupe
d’événements ou sur Ignore pour ignorer le groupe d’événements.

Remarque

Vous pouvez effectuer une action sur plusieurs groupes d’événements en


cochant la case en regard de l’ID du groupe d’événements correspondant aux
événements que vous souhaitez modifier, puis en sélectionnant une action dans
la liste déroulante Select a bulk action.

4. Cliquez sur Mark Resolved ou sur Ignore pour confirmer l’action.

Afficher un événement
Vous pouvez afficher les détails d’un événement spécifique.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts.
2. Dans la colonne Actions du groupe d’événements contenant l’événement que
vous souhaitez afficher, cliquez sur View Details.
3. Dans la zone Event Details, dans la colonne Actions de l’événement que vous
souhaitez afficher, cliquez sur View Details.

Gestion des alertes


Vous pouvez afficher, créer, modifier ou supprimer des alertes afin de déterminer les
informations fournies concernant les groupes d’événements.

Afficher une alerte


Vous pouvez afficher des informations détaillées sur une alerte spécifique.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Dans la colonne Actions de l’alerte que vous souhaitez afficher, cliquez sur
View/Edit.

Créer une alerte


Vous pouvez créer de nouvelles alertes pour fournir des mises à jour spécifiques sur les
groupes d’événements.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Cliquez sur Create an Alert.
3. Modifiez les paramètres de la nouvelle alerte comme il convient.
a. Dans le champ Name, saisissez le nom de l’alerte.
b. Dans la zone Alert Channels, cochez la case en regard du canal que vous
souhaitez associer à l’alerte.
Pour associer un nouveau canal à l’alerte, cliquez sur Create an Alert
Channel.

76 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

c. Cliquez sur la case à cocher en regard des champs Event Group Categories
correspondant aux catégories de groupes d’événements que vous souhaitez
associer à l’alerte.
d. Dans le champ Event Group ID, saisissez l’ID du groupe d’événements pour
lequel vous souhaitez obtenir un rapport.
Pour ajouter un autre ID de groupe d’événements à l’alerte, cliquez sur Add
Another Event Group ID.

e. Sélectionnez une condition d’alerte dans la liste déroulante Condition.

Remarque

Selon la condition d’alerte que vous sélectionnez, d’autres paramètres


s’affichent.

f. Pour les conditions New event groups, New events, Interval,


Severity increase, Severity decrease et Resolved event
group, saisissez un nombre et une valeur temporelle représentant la durée
pendant laquelle l’événement doit exister avant d’être signalé par l’alerte.
g. Pour la condition New events, dans le champ Maximum Alert Limit,
modifiez le nombre maximal d’alertes pouvant être envoyées pour les
nouveaux événements.
h. Pour la condition ONGOING, saisissez un nombre et une valeur temporelle
correspondant à l’intervalle qui doit s’écouler entre les alertes relatives à un
événement en cours.
4. Cliquez sur Create Alert.

Supprimer une alerte


Vous pouvez supprimer les alertes que vous avez créées.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Dans la colonne Actions, cliquez sur l’alerte que vous souhaitez supprimer, puis
cliquez sur More.
3. Dans le menu qui s’affiche, cliquez sur Delete.

Remarque

Vous pouvez supprimer plusieurs alertes en sélectionnant la case à cocher en


regard du nom des alertes que vous souhaitez supprimer, puis en sélectionnant
Delete Selections dans la liste déroulante Select an action.

4. Cliquez sur Delete pour confirmer l'opération.

Modifier une alerte


Vous pouvez modifier une alerte que vous avez créée.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Dans la colonne Actions de l’alerte que vous souhaitez modifier, cliquez sur
View/Edit.

Gestion des alertes 77


Administration générale d’un cluster

3. Cliquez sur Edit Alert.


4. Modifiez les paramètres de l’alerte comme il convient.
a. Dans le champ Name, modifiez le nom de l’alerte.
b. Dans la zone Alert Channels, cochez la case en regard du canal que vous
souhaitez associer à l’alerte.
Pour associer un nouveau canal à l’alerte, cliquez sur Create an Alert
Channel.

c. Cliquez sur la case à cocher en regard des champs Event Group Categories
correspondant aux catégories de groupes d’événements que vous souhaitez
associer à l’alerte.
d. Dans le champ Event Group ID, saisissez l’ID du groupe d’événements pour
lequel vous souhaitez obtenir un rapport.
Pour ajouter un autre ID de groupe d’événements à l’alerte, cliquez sur Add
Another Event Group ID.

e. Sélectionnez une condition d’alerte dans la liste déroulante Condition.

Remarque

Selon la condition d’alerte que vous sélectionnez, d’autres paramètres


s’affichent.

f. Pour les conditions New event groups, New events, Interval,


Severity increase, Severity decrease et Resolved event
group, saisissez un nombre et une valeur temporelle représentant la durée
pendant laquelle l’événement doit exister avant d’être signalé par l’alerte.
g. Pour la condition New events, dans le champ Maximum Alert Limit,
modifiez le nombre maximal d’alertes pouvant être envoyées pour les
nouveaux événements.
h. Pour la condition ONGOING, saisissez un nombre et une valeur temporelle
correspondant à l’intervalle qui doit s’écouler entre les alertes relatives à un
événement en cours.
5. Cliquez sur Save Changes.

Gestion des canaux


Vous pouvez afficher, créer, modifier ou supprimer des canaux afin de déterminer la
manière dont sont diffusées les informations concernant les groupes d’événements.

Afficher un canal
Vous pouvez afficher des informations détaillées sur un canal spécifique.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Dans la zone Alert Channels, localisez le canal que vous souhaitez afficher.
3. Dans la colonne Actions du canal que vous souhaitez afficher, cliquez sur View/
Edit.

78 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Créer un canal
Vous pouvez créer et configurer de nouveaux canaux pour envoyer des informations
d’alerte.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Dans la zone Alert Channels, cliquez sur Create an Alert Channel.
3. Dans le champ Name, saisissez le nom du canal.
4. Cochez la case Enable this Channel pour activer ou désactiver le canal.
5. Sélectionnez le mécanisme d’envoi pour le canal dans la liste déroulante Type.

Remarque

Selon le mécanisme d’envoi que vous sélectionnez, différents paramètres


s’affichent.

6. Si vous créez un canal SMTP, vous pouvez configurer les paramètres suivants :
a. Dans le champ Send to, entrez l’adresse e-mail à laquelle vous souhaitez
recevoir des alertes sur ce canal.
Pour ajouter une autre adresse e-mail au canal, cliquez sur Add Another
Email Address.

b. Dans le champ Send from, entrez l’adresse e-mail que vous souhaitez voir
apparaître dans le champ de l’expéditeur des e-mails d’alerte.
c. Dans le champ Subject, entrez le texte que vous souhaitez faire apparaître
dans la ligne d’objet des e-mails d’alerte.
d. Dans le champ SMTP Host or Relay Address, entrez l’adresse de votre
hôte ou relais SMTP.
e. Dans le champ SMTP Relay Port, entrez le numéro de votre port de relais
SMTP.
f. Cochez la case Use SMTP Authentication pour spécifier le nom
d’utilisateur et le mot de passe de votre serveur SMTP.
g. Spécifiez la sécurité de votre connexion entre NONE ou STARTTLS.
h. Dans la liste déroulante Notification Batch Mode, indiquez si les alertes
sont envoyées par lot, selon leur gravité ou leur catégorie.
i. Dans la liste déroulante Notification Email Template, indiquez si les e-mails
seront créés à partir d’un modèle d’e-mail standard ou personnalisé.
Si vous spécifiez un modèle personnalisé, entrez l’emplacement du modèle
sur votre cluster dans le champ Custom Template Location.

j. Dans la zone Master Nodes, dans le champ Allowed Nodes, saisissez le


numéro de nœud d’un nœud du cluster qui est autorisé à envoyer des alertes
par le biais de ce canal.
Pour ajouter un autre nœud autorisé au canal, cliquez sur Add Another
Node. Si vous ne spécifiez pas de nœuds, tous les nœuds du cluster seront
considérés comme des nœuds autorisés.

Gestion des canaux 79


Administration générale d’un cluster

k. Dans le champ Excluded Nodes, saisissez le numéro de nœud d’un nœud du


cluster qui n’est pas autorisé à envoyer des alertes par le biais de ce canal.
Pour ajouter un autre nœud exclu au canal, cliquez sur Exclude Another
Node.
7. Si vous créez un canal ConnectEMC, vous pouvez configurer les paramètres
suivants :
a. Dans la zone Master Nodes, dans le champ Allowed Nodes, saisissez le
numéro de nœud d’un nœud du cluster qui est autorisé à envoyer des alertes
par le biais de ce canal.
Pour ajouter un autre nœud autorisé au canal, cliquez sur Add Another
Node. Si vous ne spécifiez pas de nœuds, tous les nœuds du cluster seront
considérés comme des nœuds autorisés.

b. Dans le champ Excluded Nodes, saisissez le numéro de nœud d’un nœud du


cluster qui n’est pas autorisé à envoyer des alertes par le biais de ce canal.
Pour ajouter un autre nœud exclu au canal, cliquez sur Exclude Another
Node.
8. Si vous créez un canal SNMP, vous pouvez configurer les paramètres suivants :
a. Dans le champ Community, entrez votre chaîne de communauté SNMP.
b. Dans le champ Host, entrez le nom ou l’adresse de votre hôte SNMP.
c. Dans la zone Master Nodes, dans le champ Allowed Nodes, saisissez le
numéro de nœud d’un nœud du cluster qui est autorisé à envoyer des alertes
par le biais de ce canal.
Pour ajouter un autre nœud autorisé au canal, cliquez sur Add Another
Node. Si vous ne spécifiez pas de nœuds, tous les nœuds du cluster seront
considérés comme des nœuds autorisés.

d. Dans le champ Excluded Nodes, saisissez le numéro de nœud d’un nœud du


cluster qui n’est pas autorisé à envoyer des alertes par le biais de ce canal.
Pour ajouter un autre nœud exclu au canal, cliquez sur Exclude Another
Node.
9. Cliquez sur Create Alert Channel.

Modifier un canal
Vous pouvez modifier un canal que vous avez créé.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Dans la zone Alert Channels, localisez le canal que vous souhaitez modifier.
3. Dans la colonne Actions du canal que vous souhaitez modifier, cliquez sur
View/Edit.
4. Cliquez sur Edit Alert Channel.
5. Cochez la case Enable this Channel pour activer ou désactiver le canal.
6. Sélectionnez le mécanisme d’envoi pour le canal dans la liste déroulante Type.

80 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Remarque

Selon le mécanisme d’envoi que vous sélectionnez, différents paramètres


s’affichent.

7. Si vous modifiez un canal SMTP, vous pouvez modifier les paramètres suivants :
a. Dans le champ Send to, entrez l’adresse e-mail à laquelle vous souhaitez
recevoir des alertes sur ce canal.
Pour ajouter une autre adresse e-mail au canal, cliquez sur Add Another
Email Address.

b. Dans le champ Send from, entrez l’adresse e-mail que vous souhaitez voir
apparaître dans le champ de l’expéditeur des e-mails d’alerte.
c. Dans le champ Subject, entrez le texte que vous souhaitez faire apparaître
dans la ligne d’objet des e-mails d’alerte.
d. Dans le champ SMTP Host or Relay Address, entrez l’adresse de votre
hôte ou relais SMTP.
e. Dans le champ SMTP Relay Port, entrez le numéro de votre port de relais
SMTP.
f. Cochez la case Use SMTP Authentication pour spécifier le nom
d’utilisateur et le mot de passe de votre serveur SMTP.
g. Spécifiez la sécurité de votre connexion entre NONE ou STARTTLS.
h. Dans la liste déroulante Notification Batch Mode, indiquez si les alertes
sont envoyées par lot, selon leur gravité ou leur catégorie.
i. Dans la liste déroulante Notification Email Template, indiquez si les e-mails
seront créés à partir d’un modèle d’e-mail standard ou personnalisé.
Si vous spécifiez un modèle personnalisé, entrez l’emplacement du modèle
sur votre cluster dans le champ Custom Template Location.

j. Dans la zone Master Nodes, dans le champ Allowed Nodes, saisissez le


numéro de nœud d’un nœud du cluster qui est autorisé à envoyer des alertes
par le biais de ce canal.
Pour ajouter un autre nœud autorisé au canal, cliquez sur Add Another
Node. Si vous ne spécifiez pas de nœuds, tous les nœuds du cluster seront
considérés comme des nœuds autorisés.

k. Dans le champ Excluded Nodes, saisissez le numéro de nœud d’un nœud du


cluster qui n’est pas autorisé à envoyer des alertes par le biais de ce canal.
Pour ajouter un autre nœud exclu au canal, cliquez sur Exclude Another
Node.
8. Si vous modifiez un canal ConnectEMC, vous pouvez modifier les paramètres
suivants :
a. Dans la zone Master Nodes, dans le champ Allowed Nodes, saisissez le
numéro de nœud d’un nœud du cluster qui est autorisé à envoyer des alertes
par le biais de ce canal.
Pour ajouter un autre nœud autorisé au canal, cliquez sur Add Another
Node. Si vous ne spécifiez pas de nœuds, tous les nœuds du cluster seront
considérés comme des nœuds autorisés.

Gestion des canaux 81


Administration générale d’un cluster

b. Dans le champ Excluded Nodes, saisissez le numéro de nœud d’un nœud du


cluster qui n’est pas autorisé à envoyer des alertes par le biais de ce canal.
Pour ajouter un autre nœud exclu au canal, cliquez sur Exclude Another
Node.
9. Si vous modifiez un canal SNMP, vous pouvez modifier les paramètres
suivants :
a. Dans le champ Community, entrez votre chaîne de communauté SNMP.
b. Dans le champ Host, entrez le nom ou l’adresse de votre hôte SNMP.
c. Dans la zone Master Nodes, dans le champ Allowed Nodes, saisissez le
numéro de nœud d’un nœud du cluster qui est autorisé à envoyer des alertes
par le biais de ce canal.
Pour ajouter un autre nœud autorisé au canal, cliquez sur Add Another
Node. Si vous ne spécifiez pas de nœuds, tous les nœuds du cluster seront
considérés comme des nœuds autorisés.

d. Dans le champ Excluded Nodes, saisissez le numéro de nœud d’un nœud du


cluster qui n’est pas autorisé à envoyer des alertes par le biais de ce canal.
Pour ajouter un autre nœud exclu au canal, cliquez sur Exclude Another
Node.
10. Cliquez sur Save Changes.

Supprimer un canal
Vous pouvez supprimer les canaux que vous avez créés.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Dans la zone Alert Channels, localisez le canal que vous souhaitez supprimer.
3. Dans la colonne Actions, cliquez sur le canal que vous souhaitez supprimer, puis
cliquez sur Delete.

Remarque

Vous pouvez supprimer plusieurs canaux en sélectionnant la case à cocher en


regard du nom des canaux que vous souhaitez supprimer, puis en sélectionnant
Delete Selections dans la liste déroulante Select an action.

4. Cliquez sur Delete pour confirmer l'opération.

Maintenance et tests
Vous pouvez modifier les paramètres d’événement pour spécifier les limites de
stockage et de rétention des données d’événement, pour planifier des fenêtres de
maintenance et pour envoyer des événements de test.

Rétention des données d’événement et limites de stockage


Vous pouvez modifier les paramètres qui déterminent la manière dont sont traitées les
données d’événements sur votre cluster.
Par défaut, les données liées à des groupes d’événements résolus sont conservées
indéfiniment. Vous pouvez définir une limite de rétention pour demander au système

82 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

de supprimer automatiquement les données du groupe d’événements résolu au bout


d’un certain nombre de jours.
Vous pouvez également limiter la quantité de mémoire que les données d’événement
peuvent occuper sur votre cluster. Par défaut, la limite est de 1 mégaoctet de mémoire
pour 1 téraoctet de mémoire totale sur le cluster. Vous pouvez ajuster cette limite sur
une valeur comprise entre 1 et 100 Mo de mémoire. Pour les clusters plus petits, la
quantité minimale de mémoire réservée à cet effet est de 1 Go.
Lorsque votre cluster atteint la limite de stockage, le système commence à supprimer
les données de groupe d’événements les plus anciennes afin de pouvoir en stocker de
nouvelles.

Afficher les paramètres de stockage d’événements


Vous pouvez afficher les paramètres de stockage et de maintenance.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Settings.

Modifier les paramètres de stockage d’événements


Vous pouvez afficher les paramètres de stockage et de maintenance.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Settings.
2. Localisez la zone Event Retention Settings.
3. Dans le champ Resolved Event Group Data Retention, entrez le nombre de
jours pendant lesquels vous souhaitez stocker les groupes d’événements résolus
avant qu’ils ne soient supprimés.
4. Dans le champ Event Log Storage Limit, saisissez la limite de stockage que
vous souhaitez réserver aux données d’événement.
La valeur de ce champ représente le nombre de mégaoctets de données
pouvant être stockés par téraoctet de stockage total du cluster.
5. Cliquez sur Save Changes.

Fenêtres de maintenance
Vous pouvez planifier une fenêtre de maintenance en définissant l’heure de début et la
durée de l’opération de maintenance.
Pendant une fenêtre de maintenance planifiée, le système continue de consigner les
événements, mais ne génère aucune alerte. La planification d’une fenêtre de
maintenance évite d’inonder les canaux d’alertes anodines associées aux procédures
de maintenance du cluster.
Les groupes d’événements actifs recommencent automatiquement à générer des
alertes au terme de la période de maintenance planifiée.

Planifier une fenêtre de maintenance


Vous pouvez planifier une fenêtre de maintenance afin d’interrompre les alertes
pendant l’exécution des tâches de maintenance sur votre cluster.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Settings.
2. Localisez la zone Maintenance Period Settings.

Maintenance et tests 83
Administration générale d’un cluster

3. Dans le champ Start Date, entrez la date de début de la fenêtre de


maintenance.
4. Dans les listes déroulantes Start Date, sélectionnez l’heure de début de la
fenêtre de maintenance.
5. Dans le champ Duration, entrez un nombre et une valeur de temps
correspondant à la durée souhaitée de la fenêtre de maintenance.
6. Cliquez sur Save Changes.

Événements et alertes de test


Les événements de test, également appelés événements heartbeat, sont générés
automatiquement. Vous pouvez également générer des alertes de test manuellement.
Afin de confirmer que le système fonctionne correctement, les événements de test
sont envoyés automatiquement tous les jours, à raison d’un événement pour chaque
nœud de votre cluster. Ces événements heartbeat sont signalés à un groupe
d’événements nommé Heartbeat Event.
Pour tester la configuration des canaux, vous pouvez envoyer manuellement une alerte
de test par l’intermédiaire du système.

Envoyer une alerte de test


Vous pouvez générer manuellement une alerte de test.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Localisez la zone Send Test Alert.
3. Dans le champ Text message, entrez le texte du message à envoyer.
4. Cliquez sur Send Test Alert.

Modifier l’événement heartbeat


Vous pouvez modifier la fréquence à laquelle un événement heartbeat est généré.
Cette procédure n’est disponible que via l’interface de ligne de commande.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Modifiez l’intervalle de l’événement heartbeat en exécutant la commande isi
event settings modify.
La commande suivante modifie l’événement heartbeat afin qu’il soit envoyé
chaque semaine :

isi event settings modify --heartbeat-interval weekly

Maintenance du cluster
Le personnel autorisé peut remplacer ou mettre à niveau les composants des nœuds
Isilon.
Le support technique Isilon peut vous aider à remplacer les composants d’un nœud ou
à les mettre à niveau pour accroître les performances.

84 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Remplacement des composants de nœud


En cas de défaillance d'un composant dans un nœud, le support technique Isilon vous
aide à remplacer rapidement ce composant afin que le nœud redevienne fonctionnel.
Le personnel autorisé peut changer les FRU (pièces de remplacement sur site)
suivantes :

Remarque

Ces composants ne sont pas applicables dans le cas d’un nœud IsilonSD.

l batterie ;
l disque Bootflash ;
l disque SATA/SAS ;
l mémoire (DIMM) ;
l ventilateur ;
l panneau avant ;
l switch d’intrusion ;
l carte réseau ;
l carte InfiniBand ;
l carte NVRAM ;
l contrôleur SAS ;
l alimentation.
Si vous configurez votre cluster pour qu’il envoie des alertes à Isilon, le support
technique Isilon vous contacte si un composant doit être remplacé. Si vous ne
configurez pas votre cluster pour qu’il envoie des alertes à Isilon, vous devez créer une
demande de service.

Mise à niveau des composants de nœud


Vous pouvez mettre à niveau les composants des nœuds de façon à en augmenter les
capacités ou les performances.
Le personnel autorisé peut mettre à niveau les composants suivants sur le terrain :

Remarque

Ces composants de nœud ne sont pas applicables dans le cas d’IsilonSD Edge.

l disque ;
l mémoire (DIMM) ;
l carte réseau.
Si vous souhaitez mettre à niveau les composants de vos nœuds, contactez le support
technique Isilon.

Gestion du microprogramme des disques


Si le microprogramme de n’importe quel disque d’un cluster devient obsolète, les
performances du cluster ou la fiabilité du matériel peuvent en être affectées. Pour
garantir l’intégrité globale des données, vous pouvez mettre à jour le microprogramme

Remplacement des composants de nœud 85


Administration générale d’un cluster

du disque vers la dernière version en installant le module de prise en charge de disque


ou le module de microprogramme de disque.

Remarque

Le microprogramme du disque et ses fonctions connexes ne s’appliquent pas à


IsilonSD Edge.

Vous pouvez déterminer si le microprogramme du disque sur votre cluster correspond


à la version la plus récente en affichant l’état du microprogramme du disque.

Remarque

Nous vous recommandons de contacter le support technique EMC Isilon avant de


mettre à jour le microprogramme du disque.

Présentation de la mise à jour du microprogramme de disque


Vous pouvez mettre à jour le microprogramme du disque à partir des packages de
prise en charge de disques ou des packages de microprogramme de disque.
Téléchargez et installez l’un de ces packages à l’adresse http://support.emc.com
selon la version OneFS exécutée sur votre cluster et selon le type de disques hébergés
sur les nœuds.
Package de prise en charge de disques
Pour les clusters exécutant OneFS 7.1.1 ou version supérieure, installez un package de
prise en charge de disques pour mettre à jour le microprogramme du disque. Il n’est
pas nécessaire de redémarrer les nœuds concernés pour effectuer la mise à jour du
microprogramme. Un package de prise en charge de disques fournit les fonctionnalités
supplémentaires suivantes :
l Mise à jour des informations de configuration des disques suivantes :
n Liste des disques pris en charge
n Métadonnées de microprogramme des disques
n Données de surveillance d’usure des disques SSD
n Paramètres et attributs SAS et SATA
l Mise à jour automatique du microprogramme des disques neufs et de
remplacement vers la dernière version avant formatage et utilisation de ces
disques dans un cluster. Ceci s’applique uniquement aux clusters exécutant
OneFS 7.2 ou version supérieure.

Remarque

Le microprogramme des disques utilisés ne peut pas être mis à jour


automatiquement.

Package de microprogramme de disque


Pour les clusters exécutant des versions de OneFS antérieures à 7.1.1 ou pour les
clusters avec des nœuds non Bootflash, installez un package de microprogramme de
disque à l’échelle du cluster pour mettre à jour le microprogramme du disque. Vous
devez redémarrer les nœuds concernés pour terminer la mise à jour du
microprogramme.

86 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Installation d’un package de prise en charge de disques


Pour les clusters exécutant OneFS 7.1.1 ou version supérieure, installez le package de
prise en charge de disques le plus récent pour mettre à jour le microprogramme des
disques vers la dernière version prise en charge.
Avant de commencer
Reportez-vous à la section Considérations d’installation du package de prise en charge le
plus récent avant de commencer l’installation.
Procédure
1. Accédez à la page de support EMC qui répertorie toutes les versions disponibles
du package de prise en charge de disques.
2. Cliquez sur la dernière version du package et téléchargez le fichier.

Remarque

Reportez-vous à la section relative aux considérations d’installation du package


de prise en charge des disques le plus récent afin de sélectionner la variante de
package appropriée. Si vous ne parvenez pas à télécharger le package,
contactez le support technique EMC Isilon pour obtenir de l’aide.

3. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
4. Créez ou vérifiez la disponibilité de la structure de répertoire /ifs/data/
Isilon_Support/dsp.
5. Copiez le fichier téléchargé dans le répertoire dsp en utilisant le protocole SCP,
FTP, SMB, NFS ou tout autre protocole d’accès aux données pris en charge.
6. Décompressez le fichier en exécutant la commande tar.
Par exemple, à partir de la variante sélectionnée pour le package de prise en
charge de disques, décompressez le package en exécutant l’une des
commandes suivantes :

tar -zxvf Drive_Support_<version>.tgz


tar –zxvf Drive_Support_<version>_No_SSD.tgz

7. Installez le package en exécutant la commande isi_dsp_install.


Par exemple, à partir de la variante sélectionnée pour le package de prise en
charge de disques, installez le package en exécutant l’une des commandes
suivantes :

isi_dsp_install Drive_Support_<version>.tar
isi_dsp_install Drive_Support_<version>_No_SSD.tar

Gestion du microprogramme des disques 87


Administration générale d’un cluster

Remarque

l Vous devez exécuter la commande isi_dsp_install pour installer le


package de prise en charge des disques. N’utilisez pas la commande isi
pkg.
l L’exécution de la commande isi_dsp_install permet d’installer le package
de prise en charge de disques sur l’ensemble du cluster.
l Le processus d’installation installe tous les fichiers requis à partir du package
de prise en charge des disques, suivi des fichiers de désinstallation du
package. Il n’est pas nécessaire de supprimer le package après son
installation ou avant d’installer une version supérieure.

Afficher l’état du microprogramme des disques


Vous pouvez afficher l’état du microprogramme des disques du cluster pour
déterminer si une mise à jour est nécessaire.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Exécutez l’une des tâches suivantes :
l Affichez l’état du microprogramme des disques de tous les nœuds. Selon
votre version de OneFS, exécutez l’une des commandes suivantes :
OneFS 8.0 ou version supérieure
isi devices drive firmware list --node-lnn all

Version antérieure à OneFS 8.0


isi drivefirmware status

l Pour afficher l’état du microprogramme des disques d’un nœud spécifique,


exécutez l’une des commandes suivantes :
OneFS 8.0 ou version supérieure
isi devices drive firmware list --node-lnn<node-
number>
Version antérieure à OneFS 8.0
isi drivefirmware status -n <node-number>

Si aucune mise à jour du microprogramme n’est nécessaire, la colonne Desired


FW est vide.

Mettre à jour le microprogramme des disques


Vous pouvez mettre à jour le microprogramme des disques à la dernière révision ; la
mise à jour du microprogramme garantit l'intégrité globale des données.
Cette procédure explique comment mettre à jour le microprogramme des disques sur
des nœuds qui contiennent des disques Bootflash après avoir installé le dernier
package de prise en charge des disques. Pour obtenir la liste des nœuds contenant des
disques Bootflash, reportez-vous à la section « Configuration matérielle » des Notes
de mise à jour du package de prise en charge des disques Isilon.

88 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Pour mettre à jour le microprogramme des disques sur des nœuds qui ne contiennent
pas de disque Bootflash, téléchargez et installez le dernier package de
microprogramme de disque. Pour plus d’informations, consultez les notes de mise à
jour du package de microprogramme de disque les plus récentes à l'adresse https://
support.emc.com/.

Remarque

L'interruption de l'alimentation des disques lors d'une mise à jour du microprogramme


peut renvoyer des résultats inattendus. Pendant la mise à jour du microprogramme des
disques sur le cluster, ne redémarrez pas les nœuds et ne les mettez pas hors tension.

Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Exécutez la commande suivante pour mettre à jour le microprogramme de
disque pour l’ensemble du cluster :
isi devices drive firmware update start all --node-lnn all
Pour mettre à jour le microprogramme de disque pour un nœud spécifique
uniquement, exécutez la commande suivante :
isi devices drive firmware update start all --node-
lnn<node-number>

ATTENTION

Vous devez attendre que la mise à jour d’un nœud soit terminée avant de
démarrer une mise à jour sur le nœud suivant. Pour vérifier que la mise à
jour d’un nœud est terminée, exécutez la commande suivante :
isi devices drive firmware update list
Un disque qui est toujours en cours de mise à jour présente l’état
FWUPDATE.

La mise à jour du microprogramme d’un seul disque prend environ 15 secondes,


en fonction du modèle de disque. OneFS met à jour les disques de manière
séquentielle.

Vérifier la mise à jour du microprogramme des disques


Après avoir mis à jour le microprogramme des disques d’un nœud, assurez-vous que la
mise à jour a été correctement effectuée et que les disques concernés fonctionnent
correctement.
Procédure
1. Assurez-vous qu’aucune mise à jour du microprogramme du disque n’est en
cours en exécutant la commande suivante :

isi devices drive firmware update list

Si un disque est en cours de mise à jour, [FW_UPDATE] s’affiche dans la


colonne d’état.

Gestion du microprogramme des disques 89


Administration générale d’un cluster

2. Vérifiez que tous les disques ont été mis à jour en exécutant la commande
suivante :

isi devices drive firmware list --node-lnn all

Si tous les disques ont été mis à jour, la colonne Desired FW est vide.
3. Exécutez la commande suivante pour vérifier que tous les disques concernés
fonctionnent correctement :

isi devices drive list --node-lnn all

[HEALTHY] s’affiche dans la colonne d’état d’un disque fonctionnel.

Informations d’état du microprogramme des disques


Vous pouvez afficher des informations relatives à l’état du microprogramme des
disques via l’interface de ligne de commande OneFS.
L’exemple suivant affiche le résultat de la commande isi devices drive
firmware list :

your-cluster-1# isi devices drive firmware list


Lnn Location Firmware Desired Model
------------------------------------------------------
2 Bay 1 A204 - HGST HUSMM1680ASS200
2 Bay 2 A204 - HGST HUSMM1680ASS200
2 Bay 3 MFAOABW0 MFAOAC50 HGST HUS724040ALA640
2 Bay 4 MFAOABW0 MFAOAC50 HGST HUS724040ALA640
2 Bay 5 MFAOABW0 MFAOAC50 HGST HUS724040ALA640
2 Bay 6 MFAOABW0 MFAOAC50 HGST HUS724040ALA640
2 Bay 7 MFAOABW0 MFAOAC50 HGST HUS724040ALA640
2 Bay 8 MFAOABW0 MFAOAC50 HGST HUS724040ALA640
2 Bay 9 MFAOABW0 MFAOAC50 HGST HUS724040ALA640
2 Bay 10 MFAOABW0 MFAOAC50 HGST HUS724040ALA640
2 Bay 11 MFAOABW0 MFAOAC50 HGST HUS724040ALA640
2 Bay 12 MFAOABW0 MFAOAC50 HGST HUS724040ALA640
------------------------------------------------------
Total: 12

Où :
LNN
Affiche le LNN du nœud contenant le disque.

Location
Affiche le numéro de la baie où le disque est installé.

Firmware
Affiche le numéro de version du microprogramme actuellement exécuté sur le
disque.

Desired
Si le microprogramme des disques doit être mis à niveau, affiche le numéro de
version du microprogramme voulu.

Model
Affiche le numéro de modèle du disque.

90 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Remarque

La commande isi devices drive firmware list affiche les informations du


microprogramme des disques du nœud local uniquement. Vous pouvez afficher les
informations du microprogramme des disques pour le cluster dans son ensemble, et
pas seulement le cluster local, en exécutant la commande suivante :
isi devices drive firmware list --node-lnn all

Mise à jour automatique du microprogramme du disque


Pour les clusters exécutant OneFS 7.2 ou version supérieure, installez le dernier
package de prise en charge de disques sur un nœud pour mettre automatiquement à
jour le microprogramme d’un disque neuf ou de remplacement.
Les informations contenues dans le package de prise en charge de disques
déterminent si le microprogramme du disque doit être ou non mis à jour avant
formatage et utilisation du disque. Si une mise à jour est disponible, le disque est
automatiquement mis à jour avec la dernière version du microprogramme.

Remarque

Les disques neufs et de remplacement ajoutés à un cluster sont formatés quel que soit
l’état de révision de leur microprogramme. Vous pouvez identifier un échec de la mise
à jour du microprogramme en affichant l’état du microprogramme pour les disques
d’un nœud spécifique. En cas d’échec, exécutez la commande isi devices avec
l’action fwupdate sur le nœud pour mettre à jour manuellement le microprogramme.
Par exemple, exécutez la commande suivante pour mettre à jour manuellement le
microprogramme sur le nœud 1 :

isi devices -a fwupdate -d 1

Gestion des nœuds de cluster


Vous pouvez ajouter ou supprimer des nœuds dans un cluster. Vous pouvez également
arrêter ou redémarrer l’ensemble du cluster.

Ajouter un nœud à un cluster


Vous pouvez ajouter un nouveau nœud à un cluster Isilon existant.
Avant de commencer
Avant d’ajouter un nœud à un cluster, assurez-vous qu’une adresse IP interne est
disponible. Ajoutez des adresses IP en fonction des besoins avant d’ajouter un
nouveau nœud.
Si un nouveau nœud n’exécute pas la même version de OneFS que le cluster, le
système change la version OneFS du nœud afin qu’elle corresponde à celle du cluster.

Gestion des nœuds de cluster 91


Administration générale d’un cluster

Remarque

l Pour obtenir des informations spécifiques sur la compatibilité des versions entre
OneFS et le matériel d’EMC Isilon, consultez le guide Isilon Supportability and
Compatibility Guide.
l Si vous exécutez IsilonSD Edge, suivez les instructions du Guide d’installation et
d’administration d’IsilonSD Edge pour ajouter un nœud à un cluster IsilonSD.

Procédure
1. Cliquez sur Cluster Management > Hardware Configuration > Add Nodes.
2. Dans le tableau Available Nodes, cliquez sur Add en regard du nœud que vous
voulez ajouter au cluster.

Supprimer un nœud du cluster


Vous pouvez supprimer un nœud d’un cluster EMC Isilon. Lorsque vous supprimez un
nœud, le système exécute le processus smartfail sur le nœud pour s’assurer que ses
données sont transférées vers d’autres nœuds du cluster.
Supprimer un nœud de stockage d’un cluster supprime les données de ce nœud. Avant
que le système supprime les données, la tâche FlexProtect redistribue en toute
sécurité les données sur l’ensemble des nœuds conservés dans le cluster.

Remarque

Si vous exécutez IsilonSD Edge, suivez les instructions du Guide d’installation et


d’administration d’IsilonSD Edge pour supprimer un nœud du cluster.

Procédure
1. Accédez à Cluster Management > Hardware Configuration > Remove Nodes.
2. Dans la zone Remove Node, spécifiez le nœud que vous souhaitez supprimer.
3. Cliquez sur Submit.
Si vous supprimez un nœud de stockage, la progression du processus smartfail
s’affiche dans la zone Cluster Status. Si vous supprimez un nœud
d’accélérateur non destiné au stockage, il est immédiatement retiré du cluster.

Modifier le LNN d’un nœud


Vous pouvez modifier le numéro de nœud logique (LNN) d’un nœud. Cette procédure
n’est disponible que via l’interface de ligne de commande (CLI).
Vous pouvez renommer les nœuds de votre cluster en leur attribuant n’importe quel
nom/nombre entier compris entre 1 et 144. En modifiant le nom de votre nœud, vous
réinitialisez le LNN.

Remarque

l Bien que vous puissiez spécifier n’importe quel nombre entier pour le LNN, nous
vous recommandons de ne pas utiliser un nombre entier supérieur à 144 pour éviter
toute dégradation importante des performances.
l Ignorez ces instructions si vous exécutez IsilonSD Edge, car il est impossible de
modifier le LNN d’un nœud IsilonSD.

92 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Ouvrez une invite de commandes isi config en exécutant la commande
suivante :

isi config

3. Exécutez la commande lnnset .


La commande suivante fait passer le LNN d’un nœud de 12 à 73 :

lnnset 12 73

4. Accédez à commit .
Résultats
Vous devrez peut-être vous reconnecter à votre session SSH avant que le nom du
nœud soit automatiquement modifié.

Arrêter ou redémarrer un cluster


Vous pouvez arrêter ou redémarrer tout un cluster EMC Isilon.
Procédure
1. Cliquez sur Cluster Management > Hardware Configuration > Shutdown &
Reboot Controls.
2. Dans la zone Shut Down or Reboot This Cluster, choisissez une action :

Option Description
Shut down Arrête le cluster.
Reboot Arrête le cluster, puis le redémarre.

3. Cliquez sur Submit.

Mise à niveau de OneFS


Deux options de mise à niveau du système d’exploitation OneFS sont disponibles :
mise à niveau consécutive ou mise à niveau simultanée. Avant la mise à niveau du
logiciel OneFS, une vérification préalable doit être effectuée.
La mise à niveau consécutive met à niveau et redémarre chaque nœud du cluster EMC
Isilon de manière séquentielle. Pendant ce temps, le cluster reste en ligne et continue
de traiter les demandes des clients sans aucune interruption de service, bien que des
réinitialisations de connexion puissent se produire sur les clients SMB. Les mises à
niveau consécutives sont exécutées de manière séquentielle par numéro de nœud.
Elles prennent donc plus de temps qu’une mise à niveau simultanée. Le dernier nœud
du processus de mise à niveau est celui que vous avez utilisé pour démarrer le
processus.

Mise à niveau de OneFS 93


Administration générale d’un cluster

Remarque

Les mises à niveau consécutives ne sont pas disponibles pour tous les clusters. Pour
obtenir des instructions sur la façon de planifier une mise à niveau, de préparer le
cluster et de procéder à la mise à niveau du système d’exploitation, consultez le
OneFS Upgrades – Isilon Info Hub.

Une mise à niveau simultanée installe le nouveau système d’exploitation et redémarre


tous les nœuds du cluster en même temps. Les mises à niveau simultanées sont plus
rapides que les mises à niveau consécutives, mais nécessitent une interruption de
service temporaire. Vos données sont inaccessibles jusqu’à ce que le processus de
mise à niveau soit terminé.
Avant de démarrer une mise à niveau simultanée ou consécutive, OneFS compare le
cluster et le système d’exploitation actuels avec la nouvelle version pour s’assurer que
le cluster répond à certains critères, tels que la compatibilité de la configuration (SMB,
LDAP, SmartPools), la disponibilité des disques et l’absence d’événements critiques
sur le cluster. Si la mise à niveau met en péril le cluster, OneFS vous avertit, fournit
des informations sur les risques et vous invite à confirmer si vous souhaitez poursuivre
la mise à niveau.
Si le cluster ne répond pas aux critères préalables à la mise à niveau, celle-ci ne
s’effectue pas et les états non pris en charge sont répertoriés.

Remarque

Le support technique EMC Isilon recommande d’exécuter les vérifications préalables à


la mise à niveau qui sont facultatives. Avant de démarrer une mise à niveau, OneFS
vérifie que le cluster est suffisamment fonctionnel pour mener à bien ce processus.
Certaines vérifications préalables à la mise à niveau sont obligatoires et seront
effectuées même si vous choisissez d’ignorer les vérifications facultatives. Toutes les
vérifications préalables à la mise à niveau contribuent à une mise à niveau plus sûre.

Support à distance
OneFS prend en charge le support à distance via EMC Secure Remote Services
(ESRS), qui surveille votre cluster EMC Isilon et, avec votre autorisation, autorise
l’accès distant au personnel de Support technique Isilon afin de collecter les données
du cluster et de résoudre les problèmes éventuels.
ESRS est un système de support clients basé sur IP et sécurisé. Il inclut la surveillance
à distance 24x7 et l’authentification sécurisée avec le chiffrement AES 256 bits et les
certificats numériques RSA.
Lorsqu’il est configuré, ESRS surveille votre cluster Isilon nœud par nœud et envoie
des alertes concernant l’intégrité de vos périphériques. Le personnel de Support
technique Isilon peut établir des sessions à distance via SSH ou via l’interface
d’administration Web. Au cours de sessions à distance, le personnel de support peut
exécuter des scripts qui collectent des données de diagnostic concernant les
paramètres et les opérations du cluster, qui sont ensuite envoyées vers un site FTP
sécurisé, et résoudre les demandes de support ouvertes sur votre cluster.
Si vous activez le support à distance, vous devez partager les identifiants de
connexion au cluster avec le personnel du Support technique Isilon. Le personnel du
Support technique Isilon aura besoin d’un accès à distance à votre cluster uniquement
dans le cadre d’une demande de support ouverte, et vous pouvez autoriser ou refuser
la demande de session à distance.

94 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

ESRS est inclus dans le système d’exploitation OneFS et ne nécessite pas l’activation
d’une licence distincte. Vous devez activer et configurer ESRS pour que l’exécution
des scripts de collecte de données puisse avoir lieu. La fonction peut avoir été activée
lors de la configuration initiale du cluster, mais vous pouvez activer ou désactiver
ESRS à tout moment.
Pour obtenir une description complète des caractéristiques et fonctions d’ESRS,
consultez la version la plus récente du document intitulé EMC Secure Remote Services
Technical Description. D’autres documents relatifs à ESRS sont disponibles sur le site
de support en ligne EMC.

Configuration de la prise en charge d’ESRS


Vous pouvez configurer la prise en charge d’ESRS (EMC Secure Remote Services) sur
votre cluster Isilon.
Avant de configurer ESRS, vous devez installer et configurer au minimum un serveur
de passerelle ESRS. Le serveur de passerelle sert de point unique d’entrée et de sortie
pour les activités de support à distance et les notifications de surveillance basées
sur IP. Vous pouvez également configurer un serveur de passerelle secondaire en tant
que serveur de basculement sur incident.
ESRS ne prend pas en charge les communications IPv6. Pour prendre en charge les
transmissions ESRS et les connexions à distance, au moins un sous-réseau du cluster
EMC Isilon doit être configuré pour les adresses IPv4. Tous les nœuds que vous
souhaitez gérer via ESRS doivent disposer d’au moins une interface réseau faisant
partie d’un pool d’adresses IPv4.
Vous devez désigner un ou plusieurs pools d’adresses IP qui traiteront les connexions à
distance à la passerelle établies par le personnel de support. Le pool d’adresses IP doit
appartenir à un sous-réseau de groupnet0, qui est le réseau de groupe système par
défaut, référencé par la zone d’accès System. Nous vous recommandons de désigner
des pools avec des adresses IP statiques dédiées aux connexions à distance via ESRS.
En cas d’échec de la transmission ESRS, vous pouvez demander à ESRS d’envoyer
des notifications d’événements à une adresse SMTP de basculement sur incident.
Vous pouvez également indiquer si un e-mail doit être envoyé en cas d’échec de la
transmission. L’adresse SMTP et l’adresse e-mail sont spécifiées dans les paramètres
généraux de cluster de OneFS.
Lorsque vous activez la prise en charge d’ESRS sur un cluster, le numéro de série et
l’adresse IP de chaque nœud sont envoyés au serveur de passerelle. Une fois les
informations des nœuds reçues, vous pouvez :
l sélectionner les nœuds à gérer via ESRS à l’aide de l’outil de configuration ESRS ;
l créer des règles pour les connexions de support à distance aux nœuds Isilon à
l’aide d’ESRS Policy Manager.
Pour obtenir une description complète des exigences, de l’installation et de la
configuration du serveur de passerelle, consultez la version la plus récente du
document intitulé EMC Secure Remote Services Site Planning Guide.
Pour obtenir une description complète de l’outil de configuration ESRS, consultez la
version la plus récente du document intitulé EMC Secure Remote Services Installation
and Operations Guide.
Pour obtenir une description complète d’ESRS Policy Manager, consultez la version la
plus récente du document intitulé EMC Secure Remote Services Policy Manager
Operations Guide.
D’autres documents relatifs à ESRS sont disponibles sur le site de support en ligne
EMC.

Configuration de la prise en charge d’ESRS 95


Administration générale d’un cluster

Scripts de support à distance


Une fois que le support à distance via ESRS est activé, l’équipe du support technique
Isilon peut demander les logs via des scripts qui collectent les données du cluster
EMC Isilon, puis les téléchargent.
Les scripts de support à distance qui s’appuient sur l’outil Isilon de collecte des logs,
isi_gather_info, se trouvent dans le répertoire /ifs/data/Isilon_Support/
de chaque nœud.
En outre, l’outil isi_phone_home, qui se concentre sur les données spécifiques du
cluster et des nœuds, est activé une fois que vous activez ESRS. Cet outil est
prédéfini pour envoyer chaque semaine des informations sur votre cluster au support
technique Isilon. Vous pouvez désactiver ou activer isi_phone_home à partir de
l’interface de ligne de commande OneFS.
Le tableau suivant répertorie les activités de collecte de données que les scripts de
support à distance effectuent. Ces scripts peuvent s’exécuter automatiquement, à la
demande d’un responsable du support technique Isilon, pour collecter des informations
sur les paramètres de configuration et les opérations de votre cluster. ESRS
télécharge ensuite ces informations vers un site FTP Isilon sécurisé pour les mettre à
la disposition du personnel du support technique Isilon à des fins d’analyse. Les scripts
de support à distance n’ont aucune incidence sur les services du cluster ni sur la
disponibilité de vos données.

Action Description
Clean watch folder Efface le contenu de /var/crash.

Get application data Collecte et télécharge des informations


sur les applications OneFS.

Generate dashboard file daily Génère quotidiennement des


informations de tableau de bord.

Generate dashboard file sequence Génère des informations de tableau de


bord dans l’ordre de leur survenance.

Get ABR data (as built record) Collecte les informations existantes sur
le matériel.

Get ATA control and GMirror status Collecte le résultat du système et


appelle un script lorsqu’il reçoit un
événement qui correspond à un
ID d’événement eventid prédéfini.

Get cluster data Collecte et télécharge des informations


sur la configuration et les opérations
globales du cluster.

Get cluster events Obtient le résultat des événements


critiques existants et télécharge les
informations.

Get cluster status Collecte et télécharge des informations


sur l’état du cluster.

Get contact info Extrait les informations de contact et


télécharge un fichier texte qui les
contient.

96 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

Action Description
Get contents (var/crash) Télécharge le contenu de /var/crash.

Get job status Collecte et télécharge des informations


sur une tâche surveillée.

Get domain data Collecte et télécharge des informations


sur l’appartenance du cluster au
domaine ADS (Active Directory
Services).

Get file system data Collecte et télécharge des informations


sur l’état et la santé du système de
fichiers /ifs/ OneFS.

Get IB data Collecte et télécharge des informations


sur la configuration et le fonctionnement
du réseau back-end InfiniBand.

Get logs data Collecte et télécharge uniquement les


informations de log du cluster les plus
récentes.

Get messages Collecte et télécharge les


fichiers /var/log/messages actifs.

Get network data Collecte et télécharge des informations


sur les paramètres de configuration et
les opérations du réseau au niveau de
chaque nœud et de l’ensemble du
cluster.

Get NFS clients Exécute une commande pour vérifier si


des nœuds sont utilisés comme
clients NFS.

Get node data Collecte et télécharge la configuration,


l’état et les informations opérationnelles
relatives à un nœud spécifique.

Get protocol data Collecte et télécharge des informations


sur l’état du réseau et les paramètres de
configuration des protocoles NFS, SMB,
HDFS, FTP et HTTP.

Get Pcap client stats Collecte et télécharge les statistiques


relatives aux clients.

Get readonly status Émet un avertissement si le châssis est


ouvert et télécharge un fichier texte des
informations relatives à l’événement.

Get usage data Collecte et télécharge des informations


actuelles et historiques sur les
performances et l’utilisation des
ressources des nœuds.

isi_gather_info Collecte et télécharge toutes les


informations récentes du log du cluster.

Scripts de support à distance 97


Administration générale d’un cluster

Action Description
isi_gather_info--incremental Collecte et télécharge les modifications
des informations du log du cluster qui
ont eu lieu depuis l’opération complète la
plus récente.

isi_gather_info --incrementalsingle Collecte et télécharge les modifications


node des informations du log du cluster qui
ont eu lieu depuis l’opération complète la
plus récente.
Vous invite à saisir le numéro du nœud.

isi_gather_infosingle node Collecte et télécharge les informations


relatives à un seul nœud.
Vous invite à saisir le numéro du nœud.

isi_phone_home--script-file Collecte et télécharge les informations


récentes spécifiques du cluster et des
nœuds.

Upload the dashboard file Télécharge les informations de tableau


de bord vers le site FTP sécurisé du
support technique Isilon.

Activer et configurer ESRS


Vous pouvez activer la prise en charge d’ESRS (EMC Secure Remote Services) sur un
cluster Isilon.
Avant de commencer
L’activation d’ESRS sur un cluster Isilon nécessite l’installation et la configuration d’un
serveur de passerelle ESRS. Les pools d’adresses IP utilisés pour les connexions à la
passerelle doivent déjà exister sur le système et doivent appartenir à un sous-réseau
du réseau de groupe 0 (groupnet0), qui correspond au réseau de groupe système par
défaut.
Procédure
1. Cliquez sur Cluster Management > General Settings > ESRS.
2. Cochez la case Enable ESRS Gateway Support pour activer ESRS.
3. Dans le champ Primary ESRS Gateway Server, entrez une adresse IPv4 ou le
nom du serveur de passerelle principal.
4. Dans le champ Secondary ESRS Gateway Server, entrez une adresse IPv4 ou
le nom du serveur de passerelle secondaire.
5. Dans la section Gateway Access Pools, cliquez sur les flèches pour déplacer
des pools d’adresses IP entre les listes Available Pools et Selected Pools.
La liste Available Pools affiche uniquement les pools d’adresses IP appartenant
à un sous-réseau sous groupnet0, c’est-à-dire le réseau de groupe système par
défaut. Vous devez choisir uniquement des pools contenant des plages
d’adresses IPv4.
6. Cochez la case Use SMTP if ESRS transmission fails pour spécifier que les
notifications d’événements doivent être envoyées à une adresse SMTP de
basculement en cas d’échec de la transmission ESRS.

98 OneFS 8.0.1 Guide d’administration Web


Administration générale d’un cluster

L’adresse SMTP est configurée sous Cluster Management > General


Settings > Email Settings.
7. Cochez la case Send email upon transmission failure pour envoyer une alerte
à l’adresse e-mail du client en cas d’échec de la transmission ESRS.
L’adresse e-mail est configurée sous Cluster Management > General
Settings > Cluster Identity.
8. Cliquez sur Save Changes.

Activer et configurer ESRS 99


Administration générale d’un cluster

100 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 4
Zones d’accès

Cette section traite des sujets suivants :

l Présentation des zones d’accès .......................................................................102


l Instructions relatives au répertoire de base...................................................... 102
l Bonnes pratiques en matière de zones d’accès.................................................103
l Zones d’accès d’un cluster secondaire SyncIQ................................................. 104
l Limites des zones d’accès................................................................................ 104
l Qualité de service............................................................................................. 105
l Gestion des zones d’accès................................................................................106

Zones d’accès 101


Zones d’accès

Présentation des zones d’accès


Bien qu’un cluster EMC Isilon soit représenté par défaut comme une seule machine
physique, vous pouvez le partitionner en plusieurs conteneurs virtuels appelés zones
d’accès. Les zones d’accès vous permettent d’isoler des données et de contrôler les
personnes autorisées à accéder aux données dans chaque zone.
Les zones d’accès prennent en charge les paramètres de configuration des services
d’authentification et de gestion des identités sur un cluster afin que vous puissiez
configurer des fournisseurs d’authentification et provisionner des répertoires de
protocole (partages SMB et exportations NFS) zone par zone. Lorsque vous créez une
zone d’accès, un fournisseur local est créé automatiquement, ce qui vous permet de
configurer chaque zone d’accès avec une liste d’utilisateurs et de groupes locaux.
Vous pouvez également effectuer l’authentification via un fournisseur
d’authentification différent pour chaque zone d’accès.
Pour contrôler l’accès aux données, vous devez associer la zone d’accès à un réseau
de groupe, c’est-à-dire un conteneur de mise en réseau de niveau supérieur qui gère
les paramètres de connexion client DNS et contient les sous-réseaux et les pools
d’adresses IP. Lorsque vous créez une zone d’accès, vous devez spécifier un réseau
de groupe. Si aucun réseau de groupe n’est spécifié, la zone d’accès fait référence à
celui par défaut. Plusieurs zones d’accès peuvent faire référence à un même réseau de
groupe. Vous pouvez diriger les connexions entrantes vers la zone d’accès via un pool
d’adresses IP spécifique du réseau de groupe. L’association d’une zone d’accès à un
pool d’adresses IP limite l’authentification à la zone d’accès associée et réduit le
nombre de partages SMB et d’exportations NFS disponibles et accessibles.
Un avantage des zones d’accès multiples est la possibilité de configurer l’accès du
protocole d’audit pour chacune d’elles. Vous pouvez modifier la liste par défaut des
événements d’audit de protocole qui ont réussi ou échoué, puis générer des rapports
via un outil tiers pour une zone d’accès individuelle.
Un cluster dispose d’une zone d’accès intégrée, appelée System, dans laquelle vous
gérez tous les aspects du cluster et les autres zones d’accès. Par défaut, toutes les
adresses IP du cluster se connectent à la zone System. L’accès basé sur des rôles, qui
permet principalement des actions de configuration, est disponible uniquement via la
zone System. Tous les administrateurs, y compris ceux disposant de privilèges fournis
par un rôle, doivent se connecter à la zone System pour configurer un cluster. La zone
System est automatiquement configurée pour référencer le réseau de groupe par
défaut du cluster, c’est-à-dire groupnet0.
La gestion de la configuration d’une zone d’accès autre que System n’est pas
autorisée via SSH, l’API de plate-forme OneFS ou l’interface d’administration Web.
Cependant, vous pouvez créer et supprimer des partages SMB dans une zone d’accès
via MMC (Microsoft Management Console).

Instructions relatives au répertoire de base


Le répertoire de base définit l’arborescence du système de fichiers exposée par la
zone d’accès. La zone d’accès ne peut pas accorder l’accès aux fichiers se trouvant en
dehors du répertoire de base. Vous devez affecter un répertoire de base à chaque
zone d’accès.
Les répertoires de base limitent les options de chemin pour un certain nombre
d’éléments, tels que les partages SMB, les exportations NFS, le répertoire racine
HDFS et le modèle de répertoire personnel du fournisseur local. Le répertoire de base
de la zone d’accès système par défaut est /ifs et ne peut pas être modifié.

102 OneFS 8.0.1 Guide d’administration Web


Zones d’accès

Pour isoler des données au sein d’une zone d’accès, EMC recommande de créer un
chemin de répertoire de base unique qui ne chevauche pas et n’est pas identique à un
autre répertoire de base, à l’exception de la zone d’accès System. Par exemple, ne
spécifiez pas /ifs/data/hr en tant que répertoire de base pour les deux zones
d’accès zone2 et zone3. De même, si /ifs/data/hr est attribué à zone2,
n’attribuez pas /ifs/data/hr/personnel à zone3.
OneFS prend en charge les données qui se chevauchent entre des zones d’accès dans
les cas où vos workflows nécessitent des données partagées. Toutefois, cette
situation augmente la complexité de la configuration des zones d’accès, ce qui peut
entraîner par la suite des problèmes d’accès client. Pour obtenir les meilleurs résultats
avec des données qui se chevauchent entre des zones d’accès, EMC recommande que
les zones d’accès partagent également les mêmes fournisseurs d’authentification.
Avec des fournisseurs partagés, les utilisateurs ont des informations d’identité
cohérentes lorsqu’ils accèdent aux mêmes données via des zones d’accès différentes.
Si vous ne pouvez pas configurer les mêmes fournisseurs d’authentification pour les
zones d’accès comportant des données partagées, EMC vous recommande
d’appliquer les bonnes pratiques suivantes :
l Sélectionnez Active Directory en tant que fournisseur d’authentification dans
chaque zone d’accès. De cette manière, les fichiers stockent des identifiants de
sécurité globalement uniques en tant qu’identités sur disque, ce qui évite que les
utilisateurs des différentes zones accèdent aux données les uns des autres.
l Évitez de sélectionner les fournisseurs d’authentification locaux, LDAP et NIS dans
les zones d’accès. Ces fournisseurs d’authentification utilisent des UID et des GID,
qui ne sont pas forcément globalement uniques. Cela augmente la probabilité que
les utilisateurs des différentes zones soient en mesure d’accéder aux données les
uns des autres.
l Définissez l’identité sur disque sur la valeur native ou, de préférence, sur
l’identifiant de sécurité. Lorsqu’il existe des mappages entre les utilisateurs
d’Active Directory et d’UNIX, ou si l’option Services for Unix est activée
pour le fournisseur Active Directory, OneFS stocke les identifiants de sécurité, et
non les UID, en tant qu’identités sur disque.

Bonnes pratiques en matière de zones d’accès


Les bonnes pratiques suivantes vous aident à éviter les problèmes de configuration sur
le cluster EMC Isilon lors de la création de zones d’accès.

Bonne pratique Détails


Créez des répertoires de base uniques. Pour isoler les données, le chemin du
répertoire de base de chaque zone d’accès
doit être unique et ne doit pas chevaucher le
répertoire de base d’une autre zone d’accès ni
être imbriqué à l’intérieur de celui-ci. Un
chevauchement est autorisé, mais il ne doit
être utilisé que si vos workflows nécessitent
des données partagées.

Séparez la fonction de la zone système des Réservez la zone système à l’accès à la


autres zones d’accès. configuration et créez des zones
supplémentaires pour l’accès aux données.
Déplacez les données de la zone système et
placez-les dans une nouvelle zone d’accès.

Bonnes pratiques en matière de zones d’accès 103


Zones d’accès

Bonne pratique Détails


Créez des zones d’accès pour isoler l’accès Ne créez pas de zones d’accès si un workflow
aux données par différents clients ou nécessite le partage des données entre
utilisateurs. différentes classes de clients ou d’utilisateurs.

Attribuez un seul fournisseur Une zone d’accès est limitée à un seul


d’authentification de chaque type à chaque fournisseur Active Directory ; toutefois,
zone d’accès. OneFS permet d’avoir plusieurs fournisseurs
LDAP, NIS et d’authentification de fichiers
dans chaque zone d’accès. Il est recommandé
d’affecter un seul type de chaque fournisseur
par zone d’accès afin d’en simplifier
l’administration.

Évitez de faire se chevaucher les plages d’ID En cas de chevauchement dans une même
utilisateur ou de groupe des fournisseurs zone d’accès, le risque de conflits d’accès à la
d’authentification d’une même zone d’accès. zone est faible, mais bien réel.

Zones d’accès d’un cluster secondaire SyncIQ


Vous pouvez créer des zones d’accès sur un cluster secondaire SyncIQ utilisé pour la
sauvegarde et la reprise après sinistre, avec certaines limitations.
Si vous disposez d’une licence SyncIQ active, vous pouvez conserver un cluster Isilon
secondaire à des fins de sauvegarde et de basculement au cas où votre serveur
primaire serait hors ligne. Lorsque vous exécutez une tâche de réplication sur le
serveur primaire, les données de fichier sont répliquées vers le serveur de sauvegarde,
y compris les chemins de répertoire et les autres métadonnées associées à ces
fichiers.
Toutefois, les paramètres de configuration du système, tels que les zones d’accès, ne
sont pas répliqués sur le serveur secondaire. Dans un scénario de basculement, vous
souhaitez probablement que les paramètres de configuration des clusters principal et
secondaire soient similaires, voire identiques.
Dans la plupart des cas, y compris avec des zones d’accès, nous vous recommandons
de configurer les paramètres système avant d’exécuter une tâche de réplication
SyncIQ. En effet, une tâche de réplication définit les répertoires cibles en lecture
seule. Si vous tentez de créer une zone d’accès alors que le répertoire de base est déjà
en lecture seule, OneFS vous en empêche et génère un message d’erreur.

Limites des zones d’accès


Vous pouvez suivre les instructions en matière de limites de zone d’accès pour vous
aider à dimensionner les charges applicatives sur le système OneFS.
Si vous configurez plusieurs zones d’accès sur un cluster EMC Isilon, vous pouvez
suivre les instructions en matière de limites de zone d’accès recommandées pour des
performances système optimales. Les limites décrites dans la publication Isilon OneFS
Technical Specifications Guide sont recommandées pour les workflows d’entreprise
volumineux sur un cluster, traitant chaque zone d’accès comme une machine physique
distincte.

104 OneFS 8.0.1 Guide d’administration Web


Zones d’accès

Qualité de service
Vous pouvez définir les limites supérieures de la qualité de service en allouant des
ressources physiques spécifiques à chaque zone d’accès.
La qualité de service concerne les caractéristiques de performances du matériel
physique qui peuvent être mesurées, améliorées et parfois garanties. Les
caractéristiques mesurées dans le cadre de la qualité de service incluent, mais sans s’y
limiter, le débit, l’utilisation du CPU et la volumétrie. Lorsque vous partagez le matériel
physique d’un cluster EMC Isilon entre plusieurs instances virtuelles, une concurrence
existe pour les services suivants :
l CPU
l Mémoire
l Bande passante réseau
l E/S de disque
l Volumétrie
Les zones d’accès n’offrent pas de garanties de qualité de service logique pour ces
ressources, mais vous pouvez partitionner ces dernières entre les zones d’accès d’un
même cluster. Le tableau suivant décrit divers moyens de partitionner les ressources
pour améliorer la qualité de service :

Utilisation Remarques
Cartes réseau Vous pouvez attribuer les cartes réseau
spécifiques de certains nœuds à un pool
d’adresses IP associé à une zone d’accès. En
attribuant ainsi les cartes réseau, vous
déterminez quelles interfaces et quels nœuds
sont associés à une zone d’accès. Il est ainsi
possible de séparer les ressources CPU,
mémoire et bande passante réseau.
Si vous exécutez IsilonSD Edge, le groupe de
ports gère les cartes réseau sur les nœuds
IsilonSD. Pour plus d’informations sur la
configuration du groupe de ports, consultez le
Guide d’installation et d’administration
d’IsilonSD Edge.

SmartPools Les SmartPools sont séparés en classes


d’équivalence du matériel du nœud,
correspondant généralement à différents
niveaux de performances, à savoir haut,
moyen et bas. Les données écrites sur un
SmartPool sont écrites uniquement sur les
disques des nœuds de ce pool.
L’association d’un pool d’adresses IP aux seuls
nœuds d’un SmartPool unique permet de
partitionner les ressources d’E/S des disques.

SmartQuotas Les SmartQuotas limitent la volumétrie par


utilisateur, par groupe ou dans un répertoire.
En appliquant un quota au répertoire de base

Qualité de service 105


Zones d’accès

Utilisation Remarques
d’une zone d’accès, vous pouvez restreindre
la volumétrie utilisée dans cette zone d’accès.

Gestion des zones d’accès


Vous pouvez créer des zones d’accès sur le cluster EMC Isilon, afficher et modifier les
paramètres de zone d’accès, ou encore supprimer des zones d’accès.

Créer une zone d’accès


Vous pouvez créer une zone d’accès et définir des fournisseurs d’authentification et
un répertoire de base.
Procédure
1. Cliquez sur Access > Access Zones.
2. Cliquez sur Create an access zone.
3. Dans le champ Zone Name, saisissez le nom de la zone d’accès.
4. Dans le champ Zone Base Directory, saisissez ou recherchez le chemin d’accès
au répertoire de base pour la zone d’accès.
5. Si le répertoire que vous définissez n’existe pas dans le système, cochez la case
Create zone base directory if it does not exist.
6. Dans la liste Groupnet, sélectionnez un réseau de groupe à associer à la zone
d’accès. La zone d’accès peut uniquement être associée à des pools
d’adresses IP et à des fournisseurs d’authentification qui partagent le réseau de
groupe sélectionné.
7. (Facultatif) Cliquez sur Add a Provider pour ouvrir la fenêtre Add a New Auth
Provider, puis sélectionnez un fournisseur d’authentification pour la zone
d’accès.
a. Dans la liste Authentication Provider Type, sélectionnez un type de
fournisseur. Un type de fournisseur apparaît uniquement si une instance de
ce type existe dans le système.
b. Dans la liste Authentication Provider, sélectionnez le fournisseur
d’authentification.
c. Pour modifier l’ordre de consultation des fournisseurs d’authentification lors
de l’authentification et de la recherche d’utilisateurs, cliquez sur la barre de
titre d’une instance de fournisseur, puis faites-la glisser vers une nouvelle
position dans la liste.
8. Cliquez sur Create Zone.
9. Si le répertoire que vous définissez chevauche le répertoire de base d’une autre
zone d’accès, cliquez sur Create à l’invite pour confirmer que vous souhaitez
autoriser l’accès aux utilisateurs des deux zones d’accès.
À effectuer
Pour que les utilisateurs puissent se connecter à une zone d’accès, vous devez
d’abord l’associer à un pool d’adresses IP.

106 OneFS 8.0.1 Guide d’administration Web


Zones d’accès

Attribuer un répertoire de base à chevauchement


Vous pouvez créer des répertoires de base à chevauchement entre des zones d’accès
lorsque vos workflows font appel à des données partagées.
Procédure
1. Cliquez sur Access > Access Zones.
2. Cliquez sur View/Edit en regard de la zone d’accès que vous souhaitez
modifier.
La fenêtre View Access Zone Details s’affiche.
3. Cliquez sur Edit.
La fenêtre Edit Access Zone Details s’affiche.
4. Dans le champ Zone Base Directory, saisissez ou accédez au chemin d’accès
au répertoire de base pour la zone d’accès.
5. Cliquez sur Save Changes.
Le système vous invite à confirmer que le répertoire que vous définissez
chevauche le répertoire de base d’une autre zone d’accès.
6. À l’invite, cliquez sur Update pour confirmer que vous souhaitez autoriser les
utilisateurs des deux zones d’accès à accéder aux données.
7. Cliquez sur Close.
À effectuer
Pour que les utilisateurs puissent se connecter à une zone d’accès, vous devez
d’abord l’associer à un pool d’adresses IP.

Gérer les fournisseurs d’authentification d’une zone d’accès


Vous pouvez ajouter et supprimer des fournisseurs d’authentification dans une zone
d’accès et gérer l’ordre de vérification des fournisseurs au cours du processus
d’authentification.
Procédure
1. Cliquez sur Access > Access Zones.
2. Cliquez sur View/Edit en regard de la zone d’accès que vous souhaitez
modifier.
La fenêtre View Access Zone Details s’affiche.
3. Cliquez sur Edit.
La fenêtre Edit Access Zone Details s’affiche.
4. (Facultatif) Cliquez sur Add a Provider pour ouvrir la fenêtre Add a New Auth
Provider, puis sélectionnez un fournisseur d’authentification pour la zone
d’accès.
a. Dans la liste Authentication Provider Type, sélectionnez un type de
fournisseur. Un type de fournisseur apparaît uniquement si une instance de
ce type existe dans le système.
b. Dans la liste Authentication Provider, sélectionnez le fournisseur
d’authentification.
c. Pour modifier l’ordre de consultation des fournisseurs d’authentification lors
de l’authentification et de la recherche d’utilisateurs, cliquez sur la barre de

Attribuer un répertoire de base à chevauchement 107


Zones d’accès

titre d’une instance de fournisseur, puis faites-la glisser vers une nouvelle
position dans la liste.
5. Cliquez sur Create Zone.
6. Si le répertoire que vous définissez chevauche le répertoire de base d’une autre
zone d’accès, cliquez sur Create à l’invite pour confirmer que vous souhaitez
autoriser l’accès aux utilisateurs des deux zones d’accès.
À effectuer
Pour que les utilisateurs puissent se connecter à une zone d’accès, vous devez
d’abord l’associer à un pool d’adresses IP.

Associer un pool d’adresses IP à une zone d’accès


Vous pouvez associer un pool d’adresses IP à une zone d’accès pour vous assurer que
les clients ne peuvent se connecter à la zone d’accès qu’à l’aide de la plage
d’adresses IP attribuée au pool.
Avant de commencer
Le pool d’adresses IP doit appartenir au même réseau de groupe référencé par la zone
d’accès.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Dans la liste Access Zone, sélectionnez la zone d’accès que vous souhaitez
associer au pool.
5. Cliquez sur Save Changes.

Modifier une zone d’accès


Vous pouvez modifier les propriétés de n’importe quelle zone d’accès, à quelques
exceptions près : vous ne pouvez pas modifier le nom de la zone System intégrée, et
vous ne pouvez pas modifier le réseau de groupe sélectionné.
Procédure
1. Cliquez sur Access > Access Zones.
2. Cliquez sur View/Edit en regard de la zone d’accès que vous souhaitez
modifier.
La fenêtre View Access Zone Details s’affiche.
3. Cliquez sur Edit.
La fenêtre Edit Access Zone Details s’affiche.
4. Modifiez les paramètres de votre choix, cliquez sur Save Changes, puis sur
Close.

108 OneFS 8.0.1 Guide d’administration Web


Zones d’accès

Supprimer une zone d’accès


Vous pouvez supprimer n’importe quelle zone d’accès à l’exception de la zone d’accès
système intégrée. Lorsque vous supprimez une zone d’accès, tous les fournisseurs
d’authentification associés restent accessibles aux autres zones, mais les adresses IP
ne sont pas réattribuées à d’autres zones. Les partages SMB, les exportations NFS et
les chemins de données HDFS sont supprimés lorsque vous supprimez une zone
d’accès. Cependant, les répertoires et les données existent toujours, et vous pouvez
mapper les nouveaux partages, exportations ou chemins dans une autre zone d’accès.
Procédure
1. Cliquez sur Access > Access Zones.
2. Depuis le tableau des zones d’accès, cliquez sur Delete en regard de la zone
d’accès que vous souhaitez supprimer.
3. Dans la boîte de dialogue Confirm Delete, cliquez sur Delete.

Afficher la liste des zones d’accès


Vous pouvez afficher la liste de toutes les zones d’accès du cluster.
Procédure
1. Cliquez sur Access > Access Zones.
2. Cliquez sur View/Edit en regard de la zone d’accès que vous souhaitez afficher.
La fenêtre View Access Zone Details s’affiche.
3. Cliquez sur Close.

Supprimer une zone d’accès 109


Zones d’accès

110 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 5
Authentification

Cette section traite des points suivants :

l Présentation de l’authentification......................................................................112
l Fonctions du fournisseur d’authentification.......................................................112
l Présentation de l’historique des identifiants de sécurité (SID).......................... 113
l Fournisseurs d’authentification pris en charge.................................................. 113
l Active Directory................................................................................................ 114
l LDAP................................................................................................................. 114
l NIS.................................................................................................................... 115
l Authentification Kerberos..................................................................................116
l Fournisseur de fichiers...................................................................................... 117
l Fournisseur local............................................................................................... 118
l Gestion des fournisseurs Active Directory.........................................................118
l Gestion des fournisseurs LDAP......................................................................... 121
l Gestion des fournisseurs NIS............................................................................126
l Gestion de l’authentification MIT Kerberos.......................................................128
l Gestion des fournisseurs de fichiers................................................................. 134
l Gestion des utilisateurs et des groupes locaux..................................................139

Authentification 111
Authentification

Présentation de l’authentification
OneFS prend en charge les fournisseurs d’authentification locaux et distants afin de
vérifier que les utilisateurs qui tentent d’accéder à un cluster EMC Isilon sont bien qui
ils prétendent être. L’accès anonyme, qui ne nécessite pas d’authentification, est pris
en charge pour les protocoles qui le permettent.
OneFS prend en charge plusieurs types de fournisseur d’authentification simultanés,
qui sont similaires aux services d’annuaire. Par exemple, OneFS est souvent configuré
pour authentifier les clients Windows avec Active Directory et pour authentifier les
clients UNIX avec l’annuaire LDAP. Vous pouvez également configurer le service NIS,
conçu par Sun Microsystems, pour authentifier les utilisateurs et les groupes lorsqu’ils
accèdent à un cluster.

Remarque

OneFS est conforme à la norme RFC 2307.

Fonctions du fournisseur d’authentification


Vous pouvez configurer des fournisseurs d’authentification pour votre environnement.
Les fournisseurs d’authentification prennent en charge une combinaison de fonctions
décrites dans le tableau suivant.

Fonction Description
Authentification Tous les fournisseurs d’authentification
prennent en charge l’authentification en texte
brut. Vous pouvez configurer certains
fournisseurs pour qu’ils prennent également
en charge l’authentification NTLM ou
Kerberos.

Utilisateurs et groupes OneFS permet de gérer les utilisateurs et les


groupes directement sur le cluster.

Groupes réseau Les groupes réseau sont spécifiques de NFS.


Ils limitent l’accès aux exportations NFS.

Propriétés des utilisateurs et des groupes Shell de connexion, répertoire Home, ID


pour UNIX utilisateur et ID de groupe. Les informations
manquantes sont complétées par des modèles
de configuration ou par d’autres fournisseurs
d’authentification.

Propriétés des utilisateurs et des groupes Domaine NetBios et SID. Les informations
pour Windows manquantes sont complétées par des modèles
de configuration.

112 OneFS 8.0.1 Guide d’administration Web


Authentification

Présentation de l’historique des identifiants de sécurité


(SID)
L’historique SID préserve les privilèges d’accès et l’appartenance des utilisateurs et
des groupes au cours d’une migration de domaine Active Directory.
L’historique des identifiants de sécurité (SID) préserve les privilèges d’accès et
l’appartenance des utilisateurs et des groupes au cours d’une migration de domaine
Active Directory. Lorsqu’un objet est déplacé vers un nouveau domaine, ce dernier
génère un nouvel identifiant SID avec un préfixe unique et enregistre les informations
de l’identifiant de sécurité précédent dans un champ LDAP. Ce processus garantit que
les utilisateurs et les groupes conservent les mêmes droits et privilèges d’accès dans le
nouveau domaine que dans le domaine précédent.
Tenez compte des points suivants lorsque vous utilisez des identifiants SID
historiques.
l Utilisez uniquement les identifiants SID historiques pour gérer les privilèges
historiques d’authentification et d’accès aux fichiers.
l Ne les utilisez pas pour ajouter de nouveaux utilisateurs, groupes ou rôles.
l Utilisez toujours l’identifiant SID actuel de l’objet, tel que défini par le domaine,
pour modifier un utilisateur ou pour ajouter un utilisateur à un rôle ou un groupe.

Fournisseurs d’authentification pris en charge


Vous pouvez configurer des fournisseurs d’authentification locaux et distants pour
authentifier ou refuser l’accès des utilisateurs à un cluster EMC Isilon.
Le tableau suivant compare les fonctions disponibles avec chacun des fournisseurs
d’authentification pris en charge par OneFS. Dans ce tableau, un x indique qu’une
fonction est entièrement prise en charge par un fournisseur ; un astérisque (*) indique
qu’une configuration ou un prise en charge supplémentaire d’un autre fournisseur est
nécessaire.

Fournisse NTLM Kerberos Gestion Groupes Propriété Propriété


ur des réseau s d’UNIX s
d’authent utilisateur (RFC Windows
ification s et des 2307)
groupes
Active x x * x
Directory

LDAP * x x x *

NIS x x

Local x x x x

Fichier x x x

MIT x * * *
Kerberos

Présentation de l’historique des identifiants de sécurité (SID) 113


Authentification

Active Directory
Active Directory est une implémentation Microsoft des technologies LDAP
(Lightweight Directory Access Protocol), Kerberos et DNS qui stockent des
informations concernant les ressources réseau. Active Directory peut jouer de
nombreux rôles, mais le principal intérêt du rattachement du cluster à un domaine
Active Directory réside dans l’authentification des utilisateurs et des groupes.
Vous pouvez joindre un cluster EMC Isilon à un domaine Active Directory (AD) en
spécifiant le nom de domaine complet, qui peut être résolu par une adresse IPv4 ou
IPv6, et un nom d’utilisateur autorisé à réaliser l’association. Lorsque le cluster rejoint
un domaine AD, un compte d’ordinateur AD unique est créé. Le compte d’ordinateur
établit une relation de confiance avec le domaine et permet au cluster d’authentifier et
d’autoriser des utilisateurs dans la forêt Active Directory. Par défaut, le compte
d’ordinateur porte le même nom que le cluster. Si le nom du cluster comporte plus de
15 caractères, le nom est haché et affiché une fois le rattachement au domaine
effectué.
OneFS prend en charge NTLM et Microsoft Kerberos pour l’authentification des
utilisateurs du domaine Active Directory. Les informations d’identification du client
NTLM sont obtenues via le processus de connexion, puis présentées dans un format
challenge-réponse chiffré pour l’authentification. Les informations d’identification du
client Microsoft Kerberos sont obtenues à partir d’un centre de distribution des clés
(KDC), puis présentées lorsque les connexions au serveur sont établies. Pour une
sécurité et des performances optimales, nous vous recommandons d’implémenter
Kerberos, suivant les instructions Microsoft, comme protocole d’authentification
principal d’Active Directory.
Chaque fournisseur Active Directory doit être associé à un réseau de groupe. Le
réseau de groupe est un conteneur de mise en réseau de niveau supérieur qui gère la
résolution des noms d’hôte auprès des serveurs de noms DNS et qui contient les sous-
réseaux et les pools d’adresses IP. Le réseau de groupe spécifie les propriétés de mise
en réseau que le fournisseur Active Directory doit utiliser pour communiquer avec des
serveurs externes. Le réseau de groupe associé au fournisseur Active Directory ne
peut pas être modifié. Au lieu de cela, vous devez supprimer le fournisseur Active
Directory, puis le recréer avec la nouvelle association au réseau de groupe.
Vous pouvez ajouter un fournisseur Active Directory à une zone d’accès comme
méthode d’authentification des clients qui se connectent via la zone d’accès. OneFS
prend en charge plusieurs instances d’Active Directory sur un cluster Isilon, mais vous
ne pouvez attribuer qu’un fournisseur Active Directory par zone d’accès. La zone
d’accès et le fournisseur Active Directory doivent référencer le même réseau de
groupe. Configurez plusieurs instances d’Active Directory seulement si vous devez
accorder l’accès à plusieurs ensembles de domaines qui ne sont pas mutuellement
approuvés. En revanche, si tous les domaines ont une relation de confiance,
configurez une seule instance d’Active Directory. Vous pouvez mettre fin à
l’authentification par un fournisseur Active Directory en le supprimant des zones
d’accès qui lui sont associées.

LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole réseau
qui vous permet de définir, d’interroger et de modifier des ressources et des services
d’annuaire.

114 OneFS 8.0.1 Guide d’administration Web


Authentification

OneFS peut authentifier les utilisateurs et les groupes auprès d’un référentiel LDAP
afin de les autoriser à accéder au cluster. OneFS prend en charge l’authentification
Kerberos pour un fournisseur LDAP.
Le service LDAP prend en charge les fonctions suivantes :
l Utilisateurs, groupes et groupes réseau.
l Schémas LDAP configurables. Par exemple, le schéma ldapsam permet
l’authentification NTLM via le protocole SMB pour les utilisateurs ayant des
attributs de type Windows.
l Authentification via une liaison simple, avec et sans SSL.
l Redondance et équilibrage de la charge sur tous les serveurs avec des données de
répertoire identiques.
l Instances multiples de fournisseurs LDAP pour accéder aux serveurs avec des
données utilisateur différentes.
l Mots de passe chiffrés.
l URI du serveur d’adresses IPv4 et IPv6.
Chaque fournisseur LDAP doit être associé à un réseau de groupe. Le réseau de
groupe est un conteneur de mise en réseau de niveau supérieur qui gère la résolution
des noms d’hôte auprès des serveurs de noms DNS et qui contient les sous-réseaux et
les pools d’adresses IP. Le réseau de groupe spécifie les propriétés de mise en réseau
que le fournisseur LDAP doit utiliser pour communiquer avec des serveurs externes. Le
réseau de groupe associé au fournisseur LDAP ne peut pas être modifié. Au lieu de
cela, vous devez supprimer le fournisseur LDAP, puis le recréer avec la nouvelle
association au réseau de groupe.
Vous pouvez ajouter un fournisseur LDAP à une zone d’accès comme méthode
d’authentification des clients qui se connectent via la zone d’accès. Une zone d’accès
peut inclure au maximum un fournisseur LDAP. La zone d’accès et le fournisseur LDAP
doivent référencer le même réseau de groupe. Vous pouvez mettre fin à
l’authentification par un fournisseur LDAP en le supprimant des zones d’accès qui lui
sont associées.

NIS
Le service NIS (Network Information Service) assure l’uniformité de l’authentification
et des identités sur les différents réseaux locaux. OneFS inclut un fournisseur
d’authentification NIS qui vous permet d’intégrer le cluster dans votre infrastructure
NIS.
Le service NIS, conçu par Sun Microsystems, peut authentifier les utilisateurs et les
groupes lorsqu’ils accèdent au cluster. Le fournisseur NIS expose les mappages de
mot de passe, de groupe et de groupe réseau d’un serveur NIS. La recherche de noms
d’hôte est également prise en charge. Vous pouvez spécifier plusieurs serveurs à des
fins de redondance et d’équilibrage de la charge.
Chaque fournisseur NIS doit être associé à un réseau de groupe. Le réseau de groupe
est un conteneur de mise en réseau de niveau supérieur qui gère la résolution des
noms d’hôte auprès des serveurs de noms DNS et qui contient les sous-réseaux et les
pools d’adresses IP. Le réseau de groupe spécifie les propriétés de mise en réseau que
le fournisseur NIS doit utiliser pour communiquer avec des serveurs externes. Le
réseau de groupe associé au fournisseur NIS ne peut pas être modifié. Au lieu de cela,
vous devez supprimer le fournisseur NIS, puis le recréer avec la nouvelle association au
réseau de groupe.
Vous pouvez ajouter un fournisseur NIS à une zone d’accès comme méthode
d’authentification des clients qui se connectent via la zone d’accès. Une zone d’accès

NIS 115
Authentification

peut inclure au maximum un fournisseur NIS. La zone d’accès et le fournisseur NIS


doivent référencer le même réseau de groupe. Vous pouvez mettre fin à
l’authentification par un fournisseur NIS en le supprimant des zones d’accès qui lui
sont associées.

Remarque

NIS est différent de NIS+, qui n’est pas pris en charge par OneFS.

Authentification Kerberos
Kerberos est un fournisseur d’authentification réseau qui négocie les tickets de
chiffrement pour sécuriser une connexion. OneFS prend en charge les fournisseurs
d’authentification Microsoft Kerberos et MIT Kerberos sur un cluster EMC Isilon. Si
vous configurez un fournisseur Active Directory, la prise en charge de
l’authentification Microsoft Kerberos est automatiquement fournie. MIT Kerberos
fonctionne indépendamment d’Active Directory.
Pour l’authentification MIT Kerberos, vous définissez un domaine administratif connu
sous le nom de realm. Dans ce realm, un serveur d’authentification est habilité à
authentifier un utilisateur, un hôte ou un service, et peut utiliser des adresses IPv4 ou
IPv6. Vous pouvez éventuellement définir un domaine MIT Kerberos pour associer des
extensions de domaine supplémentaires à un realm.
Le serveur d’authentification dans un environnement Kerberos, appelé centre de
distribution de clés (KDC), distribue des tickets chiffrés. Lorsqu’un utilisateur
s’authentifie avec un fournisseur MIT Kerberos dans un realm, un ticket chiffré avec le
nom principal de service (SPN) de l’utilisateur est créé et validé pour autoriser en
toute sécurité l’identification de l’utilisateur pour le service demandé.
Chaque fournisseur MIT Kerberos doit être associé à un réseau de groupe. Le réseau
de groupe est un conteneur de mise en réseau de niveau supérieur qui gère la
résolution des noms d’hôte auprès des serveurs de noms DNS et qui contient les sous-
réseaux et les pools d’adresses IP. Le réseau de groupe spécifie les propriétés de mise
en réseau que le fournisseur Kerberos doit utiliser pour communiquer avec des
serveurs externes. Le réseau de groupe associé au fournisseur Kerberos ne peut pas
être modifié. Au lieu de cela, vous devez supprimer le fournisseur Kerberos, puis le
recréer avec la nouvelle association au réseau de groupe.
Vous pouvez ajouter un fournisseur MIT Kerberos à une zone d’accès comme méthode
d’authentification des clients qui se connectent via la zone d’accès. Une zone d’accès
peut inclure au maximum un fournisseur MIT Kerberos. La zone d’accès et le
fournisseur Kerberos doivent référencer le même réseau de groupe. Vous pouvez
mettre fin à l’authentification par un fournisseur MIT Kerberos en le supprimant des
zones d’accès qui lui sont associées.

Présentation des keytabs et des SPN


Un centre de distribution de clés (KDC) est un serveur d’authentification qui stocke
les comptes et les keytabs pour les utilisateurs se connectant à un service réseau dans
un cluster EMC Isilon. Un keytab est une table de clés qui stocke des clés pour valider
et chiffrer les tickets Kerberos.
Le nom principal de service, ou SPN, est l’un des champs d’une entrée keytab. Un
SPN identifie une instance de service unique au sein d’un cluster. Chaque SPN est
associé à une clé spécifique dans le KDC. Les utilisateurs peuvent utiliser le SPN et ses
clés associées pour obtenir des tickets Kerberos permettant d’accéder à divers
services sur le cluster. Un membre du rôle SecurityAdmin peut créer de nouvelles clés

116 OneFS 8.0.1 Guide d’administration Web


Authentification

pour les SPN et les modifier ultérieurement en fonction des besoins. Un SPN pour un
service apparaît généralement en tant que <service>/<fqdn>@<realm>.

Remarque

Les SPN doivent correspondre au nom de zone SmartConnect et au nom d’hôte FQDN
du cluster. Si les paramètres de zone SmartConnect sont modifiés, vous devez mettre
à jour les SPN sur le cluster pour refléter les modifications.

Prise en charge du protocole MIT Kerberos


MIT Kerberos prend en charge certains protocoles de communication réseau standard
tels que HTTP, HDFS et NFS. MIT Kerberos ne prend pas en charge les protocoles
SMB, SSH, et FTP.
Pour la prise en charge du protocole NFS, MIT Kerberos doit être activé pour une
exportation et un fournisseur Kerberos doit également être inclus dans la zone
d’accès.

Fournisseur de fichiers
Un fournisseur de fichiers vous permet de doter le cluster EMC Isilon d’une source
tierce (faisant autorité) d’informations relatives aux utilisateurs et aux groupes. Une
source tierce est utile dans les environnements UNIX et Linux qui synchronisent les
fichiers /etc/passwd, /etc/group et etc/netgroup sur plusieurs serveurs.
Les fichiers BSD standard de base de données /etc/spwd.db et /etc/group
servent de zone de stockage supplémentaire pour le fournisseur de fichiers au sein du
cluster. Pour générer le fichier spwd.db, vous devez exécuter la commande
pwd_mkdb dans l’interface de ligne de commande (CLI) OneFS. Vous pouvez rédiger
des scripts de mise à jour des fichiers de base de données.
Sur un cluster Isilon, un fournisseur de fichiers hache les mots de passe avec
libcrypt. Pour une sécurité optimale, nous vous recommandons d’utiliser le format
MCF (Modular Crypt Format) dans le fichier source /etc/passwd pour déterminer
l’algorithme de hachage. OneFS prend en charge les algorithmes suivants pour MCF :
l MD5
l NT-Hash
l SHA-256
l SHA-512
Pour obtenir des informations sur les autres formats de mot de passe disponibles,
exécutez la commande man 3 crypt dans l’interface de ligne de commande pour
afficher les pages man de chiffrement.

Remarque

Le fournisseur de fichiers System intégré comprend des services permettant de


répertorier et de gérer des comptes système tels que root, admin et nobody, et de les
utiliser pour l’authentification. Nous vous recommandons de ne pas modifier le
fournisseur de fichiers System.

Prise en charge du protocole MIT Kerberos 117


Authentification

Fournisseur local
Le fournisseur local propose des fonctions d’authentification et de recherche pour les
comptes utilisateur ajoutés par un administrateur.
L’authentification locale est utile lorsque les services d’annuaire Active Directory,
LDAP ou NIS ne sont pas configurés, ou lorsqu’un utilisateur ou une application
spécifique a besoin d’accéder au cluster. Les groupes locaux peuvent inclure des
groupes prédéfinis et des groupes Active Directory en tant que membres.
En plus de configurer des sources d’authentification basées sur le réseau, vous pouvez
gérer les utilisateurs et les groupes locaux en configurant une règle locale de mot de
passe pour chaque nœud du cluster. Les paramètres OneFS définissent la complexité,
l’âge et la réutilisation des mots de passe, ainsi que les politiques de verrouillage des
tentatives de mot de passe.

Gestion des fournisseurs Active Directory


Vous pouvez afficher, configurer, modifier et supprimer des fournisseurs Active
Directory. OneFS inclut un fichier de configuration Kerberos pour Active Directory en
plus du fichier de configuration Kerberos global. Vous pouvez configurer ces deux
fichiers via l’interface de ligne de commande. Vous pouvez mettre fin à
l’authentification par un fournisseur Active Directory en le supprimant de toutes les
zones d’accès qui l’utilisent.

Configurer un fournisseur Active Directory


Vous pouvez configurer un ou plusieurs fournisseurs Active Directory, qui doivent être
associés à un domaine Active Directory distinct. Par défaut, lorsque vous configurez
un fournisseur Active Directory, il est automatiquement ajouté à la zone d’accès
système.

Remarque

Gardez à l’esprit les informations suivantes lorsque vous configurez un fournisseur


Active Directory :
l Lorsque vous rejoignez Active Directory à partir de OneFS, l’horodatage du cluster
est mis à jour à partir du serveur Active Directory, du moment qu’un serveur NTP
n’a pas été configuré pour le cluster.
l Si vous migrez des utilisateurs vers un nouveau ou un autre domaine Active
Directory, vous devez réinitialiser les informations de domaine ACL après avoir
configuré le nouveau fournisseur. Vous pouvez utiliser des outils tiers tels que
Microsoft SubInACL.

Procédure
1. Cliquez sur Access > Authentication Providers > Active Directory.
2. Cliquez sur Join a domain.
3. Dans le champ Domain Name, indiquez le nom de domaine Active Directory
complet, lequel peut être traduit en une adresse IPv4 ou IPv6.
Le nom de domaine sera également utilisé comme nom du fournisseur.

118 OneFS 8.0.1 Guide d’administration Web


Authentification

4. Dans le champ User, saisissez le nom d’utilisateur d’un compte autorisé à


rejoindre le domaine Active Directory.
5. Dans le champ Password, saisissez le mot de passe du compte utilisateur.
6. (Facultatif) Dans le champ Organizational Unit, saisissez le nom de l’unité
d’organisation à laquelle se connecter sur le serveur Active Directory. Spécifiez
l’unité d’organisation au format OuName ou OuName1/SubName2.
7. (Facultatif) Dans le champ Machine Account, saisissez le nom du compte
d’ordinateur.

Remarque

Si vous avez défini une unité d’organisation à laquelle vous connecter, la


jonction du domaine échouera si le compte d’ordinateur ne réside pas sur cette
unité d’organisation.

8. Dans la liste Groupnet, sélectionnez le réseau de groupe qui sera référencé par
le fournisseur d’authentification.
9. (Facultatif) Pour activer l’authentification Active Directory pour NFS,
sélectionnez Enable Secure NFS.

Remarque

Si vous avez défini une unité d’organisation à laquelle vous connecter, la


jonction du domaine échouera si le compte d’ordinateur ne réside pas sur cette
unité d’organisation.

Si vous activez ce paramètre, OneFS enregistre les noms principaux de service


NFS lors de la jonction du domaine.

10. (Facultatif) Dans la zone Advanced Active Directory Settings, configurez les
paramètres avancés que vous souhaitez utiliser. Il est déconseillé de modifier les
paramètres avancés si vous n’en comprenez pas les conséquences.
11. Cliquez sur Join.

Modifier un fournisseur Active Directory


Vous pouvez modifier les paramètres avancés pour un fournisseur Active Directory.
Procédure
1. Cliquez sur Access > Authentication Providers > Active Directory.
2. Dans le tableau Active Directory Providers, cliquez sur View details en regard
du fournisseur dont vous souhaitez modifier les paramètres.
3. Cliquez sur Advanced Active Directory Settings.
4. Pour chaque paramètre que vous souhaitez modifier, cliquez sur Edit, apportez
les modifications nécessaires, puis cliquez sur Save.
5. (Facultatif) Cliquez sur Close.

Supprimer un fournisseur Active Directory


Lorsque vous supprimez un fournisseur Active Directory, vous déconnectez le cluster
du domaine Active Directory associé au fournisseur, perturbant ainsi le service pour les

Modifier un fournisseur Active Directory 119


Authentification

utilisateurs qui y accèdent. Une fois que vous avez abandonné un domaine Active
Directory, les utilisateurs ne peuvent plus y accéder depuis le cluster.
Procédure
1. Cliquez sur Access > Authentication Providers > Active Directory.
2. Dans le tableau Active Directory Providers, cliquez sur Leave en regard du
domaine que vous souhaitez quitter.
3. Dans la fenêtre de confirmation, cliquez sur Leave.

Paramètres du fournisseur Active Directory


Vous pouvez afficher ou modifier les paramètres avancés d’un fournisseur Active
Directory.

Paramètre Description
Services For UNIX Indique si les attributs RFC 2307 doivent être
pris en charge pour les contrôleurs de
domaine. La norme RFC 2307 est requise pour
les technologies d’intégration entre Windows
et UNIX, et Windows Services For UNIX.

Map to primary domain Permet de rechercher des noms d’utilisateur


non qualifiés dans le domaine principal. Si ce
paramètre n’est pas activé, le domaine
principal doit être spécifié pour chaque
opération d’authentification.

Ignore trusted domains Ignore tous les domaines de confiance.

Trusted Domains Spécifie les domaines de confiance à inclure si


le paramètre Ignore Trusted Domains est
activé.

Domains to Ignore Spécifie les domaines de confiance à ignorer


même si le paramètre Ignore Trusted
Domains est désactivé.
Send notification when domain is unreachable Envoie une alerte, conformément aux règles
de notification à l’échelle de l’entreprise.

Use enhanced privacy and encryption Chiffre la communication vers et depuis le


contrôleur de domaine.

Home Directory Naming Spécifie le chemin à utiliser comme modèle


pour nommer les répertoires personnels. Le
chemin doit commencer par /ifs et peut
contenir des variables, telles que %U, qui sont
développées pour générer le chemin du
répertoire personnel de l’utilisateur.

Create home directories on first login Crée un répertoire personnel à la première


connexion d’un utilisateur dans le cas où celui-
ci ne dispose pas déjà d’un tel répertoire.

UNIX Shell Spécifie le chemin du shell de connexion à


utiliser si le serveur Active Directory ne
fournit pas les informations relatives au shell
de connexion. Ce paramètre s’applique

120 OneFS 8.0.1 Guide d’administration Web


Authentification

Paramètre Description
uniquement aux utilisateurs qui accèdent au
système de fichiers via SSH.

Query all other providers for UID Si aucun UID n’est disponible dans Active
Directory, recherche les utilisateurs Active
Directory dans tous les autres fournisseurs
afin d’attribuer un UID.

Match users with lowercase Si aucun UID n’est disponible dans Active
Directory, normalise les noms d’utilisateur
Active Directory en lettres minuscules avant
de démarrer une recherche.

Auto-assign UIDs Si aucun UID n’est disponible dans Active


Directory, alloue des UID aux utilisateurs
Active Directory non mappés.

Query all other providers for GID Si aucun GID n’est disponible dans Active
Directory, recherche les groupes Active
Directory dans tous les autres fournisseurs
afin d’attribuer un GID.

Match groups with lowercase Si aucun GID n’est disponible dans Active
Directory, normalise les noms de groupe
Active Directory en lettres minuscules avant
de démarrer une recherche.

Auto-assign GIDs Si aucun GID n’est disponible dans Active


Directory, alloue des GID aux groupes Active
Directory non mappés.

Make UID/GID assignments for users and Limite les recherches d’utilisateurs et de
groups in these specific domains groupes aux domaines spécifiés.

Gestion des fournisseurs LDAP


Vous pouvez afficher, configurer, modifier et supprimer des fournisseurs LDAP. Vous
pouvez mettre fin à l’authentification par un fournisseur LDAP en le supprimant de
toutes les zones d’accès qui l’utilisent.

Configurer un fournisseur LDAP


Par défaut, lorsque vous configurez un fournisseur LDAP, il est automatiquement
ajouté à la zone d’accès système.
Procédure
1. Cliquez sur Access > Authentication Providers > LDAP.
2. Cliquez sur Add an LDAP Provider.
3. Dans le champ LDAP provider name, saisissez le nom du fournisseur.
4. Dans le champ Server URIs, saisissez un ou plusieurs URI de serveur LDAP
valides, à raison d’un par ligne, au format ldaps://<server>:<port> (LDAP
sécurisé) ou ldap://<server>:<port> (LDAP non sécurisé). Un URI de
serveur LDAP peut être spécifié sous forme d’adresse IPv4, d’adresses IPv6 ou
de nom d’hôte.

Gestion des fournisseurs LDAP 121


Authentification

Remarque

l Si vous ne spécifiez pas de port, le port par défaut est utilisé. Le port par
défaut est 389 pour un serveur LDAP non sécurisé (ldap://) et 636 pour un
serveur LDAP sécurisé (ldaps://). En cas de connexion LDAP non sécurisée,
le mot de passe de liaison est transmis au serveur en texte clair.
l Si vous spécifiez une adresse IPv6, celle-ci doit être indiquée entre crochets.
Exemple de format IPv6 approprié pour ce champ : ldap://
[2001:DB8:170:7cff::c001].

5. Activez la case à cocher Connect to a random server on each request pour


vous connecter à un serveur LDAP de façon aléatoire. Si cette case est
désactivée, OneFS se connecte à un serveur LDAP dans l’ordre indiqué dans le
champ Server URIs.
6. Dans le champ Base distinguished name (DN), saisissez le nom unique de
l’entrée à laquelle commencer les recherches LDAP.
Le nom unique de base peut inclure les paramètres cn (nom commun), l
(localité), dc (composant de domaine), ou (unité d’organisation) ou d’autres
composants. Par exemple, dc=emc,dc=com est un nom unique de base
correspondant à emc.com.
7. Dans la liste Groupnet, sélectionnez le réseau de groupe qui sera référencé par
le fournisseur d’authentification.
8. Dans le champ Bind DN, saisissez le nom unique de l’entrée au niveau de
laquelle effectuer la liaison au serveur LDAP.
9. Dans le champ Bind DN password, spécifiez le mot de passe à utiliser pour la
liaison au serveur LDAP.
L’utilisation de ce mot de passe ne nécessite pas de connexion sécurisée ; si la
connexion n’utilise pas le protocole TLS (Transport Layer Security), le mot de
passe est envoyé en texte clair.
10. (Facultatif) Mettez à jour les paramètres des sections suivantes du formulaire
Add an LDAP provider afin de répondre aux besoins de votre environnement :

Option Description
Default Query Permet de modifier les paramètres par défaut des
Settings requêtes d’utilisateurs, de groupes et de groupes
réseau.
User Query Permet de modifier les paramètres des requêtes
Settings d’utilisateurs et du provisionnement des répertoires de
base.
Group Query Permet de modifier les paramètres des requêtes de
Settings groupes.
Netgroup Query Permet de modifier les paramètres des requêtes de
Settings groupes réseau.
Advanced LDAP Permet de modifier les attributs LDAP par défaut
Settings contenant les informations utilisateur ou de modifier les
paramètres de sécurité LDAP.

122 OneFS 8.0.1 Guide d’administration Web


Authentification

11. Cliquez sur Add LDAP Provider.

Modifier un fournisseur LDAP


Vous pouvez modifier tout paramètre défini pour un fournisseur LDAP à l’exception de
son nom. Vous devez spécifier au moins un serveur à activer pour le fournisseur.
Procédure
1. Cliquez sur Access > Authentication Providers > LDAP.
2. Dans le tableau LDAP Providers, cliquez sur View details en regard du
fournisseur dont vous souhaitez modifier les paramètres.
3. Pour chaque paramètre que vous souhaitez modifier, cliquez sur Edit, apportez
les modifications nécessaires, puis cliquez sur Save.
4. (Facultatif) Cliquez sur Close.

Supprimer un fournisseur LDAP


Lorsque vous supprimez un fournisseur LDAP, il est supprimé de toutes les zones
d’accès. Vous pouvez également cesser d’utiliser un fournisseur LDAP en le
supprimant de chaque zone d’accès qui le contient afin que le fournisseur reste
disponible pour une utilisation ultérieure.
Procédure
1. Cliquez sur Access > Authentication Providers > LDAP.
2. Dans le tableau LDAP Providers, cliquez sur Delete en regard du fournisseur
que vous souhaitez supprimer.
3. Dans la fenêtre de confirmation, cliquez sur Delete.

Paramètres des requêtes LDAP


Vous pouvez configurer le point d’entrée et la profondeur des recherches
d’utilisateurs, de groupes et de groupes réseau LDAP. Vous pouvez également
configurer les paramètres de provisionnement des répertoires personnels des
utilisateurs.

Remarque

OneFS est conforme à la norme RFC 2307.

Base distinguished name


Spécifie le nom unique de base (DN de base) de l’entrée à laquelle commencer les
recherches LDAP portant sur les objets utilisateur, groupe ou groupe réseau. Le
nom unique de base peut inclure les paramètres cn (nom commun), l (localité),
dc (composant de domaine), ou (unité d’organisation) ou d’autres composants.
Par exemple dc=emc,dc=com, est un nom unique de base correspondant à
emc.com.

Étendue de recherche
Spécifie la profondeur des recherches LDAP à partir du nom unique de base. Les
valeurs suivantes sont valides :
Standard
Applique l’étendue de recherche définie dans les paramètres par défaut de la
requête. Cette option n’est pas disponible pour l’étendue de recherche de la
requête par défaut.

Modifier un fournisseur LDAP 123


Authentification

Base
Effectue uniquement la recherche dans l’entrée du nom unique de base.

One-level
Recherche toutes les entrées exactement un niveau au-dessous du nom
unique de base.

Subtree
Recherche le nom unique de base et toutes les entrées en dessous.

Enfants
Recherche toutes les entrées sous le nom unique de base, à l’exclusion du
nom unique de base lui-même.

Search timeout
Spécifie le nombre de secondes après lequel arrêter de recommencer et faire
échouer une recherche. La valeur par défaut est 100. Ce paramètre est disponible
uniquement dans les paramètres de requête par défaut.

Query filter
Spécifie le filtre LDAP pour les objets utilisateur, groupe ou groupe réseau. Ce
paramètre n’est pas disponible dans les paramètres de requête par défaut.

Authenticate users from this LDAP provider


Indique si le fournisseur est autorisé à répondre aux demandes d’authentification.
Ce paramètre est disponible uniquement dans les paramètres des requêtes
utilisateur.

Home directory naming template


Spécifie le chemin à utiliser comme modèle pour nommer les répertoires
personnels. Le chemin doit commencer par /ifs et peut contenir des variables,
telles que %U, qui sont développées pour générer le chemin du répertoire
personnel de l’utilisateur. Ce paramètre est disponible uniquement dans les
paramètres des requêtes utilisateur.

Automatically create user home directories on first login


Indique si vous souhaitez créer un répertoire de base la première fois qu’un
utilisateur se connecte s’il n’en a pas déjà un. Ce paramètre est disponible
uniquement dans les paramètres des requêtes utilisateur.

UNIX shell
Spécifie le chemin d’accès au shell de connexion de l’utilisateur pour les
utilisateurs qui accèdent au système de fichiers via le protocole SSH. Ce
paramètre est disponible uniquement dans les paramètres des requêtes
utilisateur.

Paramètres LDAP avancés


Vous pouvez configurer les paramètres de sécurité LDAP et spécifier les attributs
LDAP contenant des informations utilisateur.

Remarque

OneFS est conforme à la norme RFC 2307.

124 OneFS 8.0.1 Guide d’administration Web


Authentification

Attribut Name
Spécifie l’attribut LDAP qui contient les ID utilisateur qui sont utilisés en tant que
noms de connexion. La valeur par défaut est uid.

Common name attribute


Spécifie l’attribut LDAP contenant les noms communs (CN). La valeur par défaut
est cn.

Email attribute
Spécifie l’attribut LDAP qui contient les adresses e-mail. La valeur par défaut est
mail.

GECOS field attribute


Spécifie l’attribut LDAP contenant les champs GECOS. La valeur par défaut est
gecos.

UID attribute
Spécifie l’attribut LDAP qui contient les numéros des ID utilisateur. La valeur par
défaut est uidNumber.

GID attribute
Spécifie l’attribut LDAP contenant les ID de groupe. La valeur par défaut est
gidNumber.

Home directory attribute


Spécifie l’attribut LDAP contenant les répertoires personnels. La valeur par défaut
est homeDirectory.

UNIX shell attribute


Spécifie l’attribut LDAP contenant les shells de connexion UNIX. La valeur par
défaut est loginShell.

Member of attribute
Définit l’attribut à utiliser pour rechercher les appartenances inversées dans
LDAP. Cette valeur LDAP doit être un attribut du type d’utilisateur posixAccount
qui décrit les groupes dont l’utilisateur POSIX est membre. Ce paramètre n’a
aucune valeur par défaut.

Netgroup members attribute


Spécifie l’attribut LDAP contenant les membres de groupes réseau. La valeur par
défaut est memberNisNetgroup.

Netgroup triple attribute


Spécifie l’attribut LDAP qui contient des triples de groupes réseau. La valeur par
défaut est nisNetgroupTriple.

Group members attribute


Spécifie l’attribut LDAP contenant les membres de groupes. La valeur par défaut
est memberUid.

Unique group members attribute


Spécifie l’attribut LDAP contenant les membres de groupe uniques. Cet attribut
sert à déterminer à quels groupes un utilisateur appartient si le serveur LDAP est
interrogé par le nom unique de l’utilisateur au lieu du nom d’utilisateur. Ce
paramètre n’a aucune valeur par défaut.

Paramètres LDAP avancés 125


Authentification

Alternate security identities attribute


Spécifie le nom à utiliser pour rechercher d’autres identités de sécurité. Ce nom
est utilisé lorsque OneFS tente de résoudre une entité Kerberos pour un
utilisateur. Ce paramètre n’a aucune valeur par défaut.

UNIX password attribute


Spécifie l’attribut LDAP contenant les mots de passe UNIX. Ce paramètre n’a
aucune valeur par défaut.

Windows password attribute


Spécifie l’attribut LDAP qui contient des mots de passe Windows. La valeur
ntpasswdhash est couramment utilisée.

Certificate authority file


Spécifie le chemin d’accès complet au fichier de certificats racines.

Require secure connection for passwords


Indique si une connexion TLS (Transport Layer Security) est requise.

Ignore TLS errors


Continue via une connexion sécurisée même si les contrôles d’identité échouent.

Gestion des fournisseurs NIS


Vous pouvez afficher, configurer et modifier des fournisseurs NIS, ou supprimer des
fournisseurs qui ne sont plus nécessaires. Vous pouvez mettre fin à l’authentification
par un fournisseur NIS en le supprimant de toutes les zones d’accès qui l’utilisent.

Configurer un fournisseur NIS


Par défaut, lorsque vous configurez un fournisseur NIS, il est automatiquement ajouté
à la zone d’accès System.
Procédure
1. Cliquez sur Access > Authentication Providers > NIS.
2. Cliquez sur Add a NIS provider.
3. Dans le champ NIS provider name, saisissez le nom du fournisseur.
4. Dans le champ Servers, saisissez une ou plusieurs adresses IPv4 valides, un ou
plusieurs noms d’hôte ou un ou plusieurs noms de domaine complets (FQDN) en
les séparant par des virgules.

Remarque

Si l’option Distribute connections to NIS servers randomly n’est pas


sélectionnée, les serveurs sont accessibles dans l’ordre dans lequel ils sont
répertoriés.

5. Dans le champ NIS domain, saisissez le nom du domaine.


6. (Facultatif) Configurez le paramètre Distribute connections to NIS servers
randomly :
l Pour vous connecter à un serveur NIS de façon aléatoire, activez la case à
cocher.

126 OneFS 8.0.1 Guide d’administration Web


Authentification

l Pour vous connecter en fonction de l’ordre dans lequel les serveurs NIS sont
répertoriés dans le champ Servers, désactivez la case.
7. Dans la liste Groupnet, sélectionnez le réseau de groupe qui sera référencé par
le fournisseur d’authentification.
8. (Facultatif) Spécifiez les paramètres de requête par défaut dans Default query
settings.
a. Dans le champ Search times out after, indiquez la durée en secondes après
laquelle cesser toute tentative et signaler que la recherche a échoué. La
valeur par défaut est 20.
b. Dans le champ Retry search every, spécifiez le délai d’expiration, en
secondes, avant une nouvelle tentative de recherche. La valeur par défaut
est 5.
9. (Facultatif) Spécifiez les paramètres de requête utilisateur dans User query
settings.
a. Pour autoriser le fournisseur à répondre aux demandes d’authentification,
cochez la case Authenticate users from this provider.
b. Dans le champ Path to home directory, saisissez le chemin à utiliser comme
modèle pour nommer les répertoires de base. Le chemin doit commencer
par /ifs et peut contenir des variables d’extension, telles que %U, qui sont
développées pour générer le chemin du répertoire personnel de l’utilisateur.
Pour plus d’informations, consultez la section Répertoires de base.
c. Pour créer un répertoire personnel à la première connexion d’un utilisateur
dans le cas où celui-ci ne dispose pas déjà d’un tel répertoire, cochez la case
Create home directories on first login.
d. Dans la liste UNIX shell, sélectionnez le chemin du shell de connexion des
utilisateurs qui accèdent au système de fichiers via le protocole SSH.
10. (Facultatif) Dans la section Host name query settings, sélectionnez Resolve
hosts from this provider pour activer la résolution de l’hôte. Pour la désactiver,
désactivez la case.
11. Cliquez sur Add NIS provider.

Modifier un fournisseur NIS


Vous pouvez modifier tout paramètre défini pour un fournisseur NIS, à l’exception de
son nom. Vous devez spécifier au moins un serveur à activer pour le fournisseur.
Procédure
1. Cliquez sur Access > Authentication Providers > NIS.
2. Dans le tableau NIS Providers, cliquez sur View details en regard du
fournisseur dont vous souhaitez modifier les paramètres.
3. Pour chaque paramètre que vous souhaitez modifier, cliquez sur Edit, apportez
les modifications nécessaires, puis cliquez sur Save.
4. Cliquez sur Close.

Supprimer un fournisseur NIS


Lorsque vous supprimez un fournisseur NIS, il est supprimé de toutes les zones
d’accès. Vous pouvez également cesser d’utiliser un fournisseur NIS en le supprimant

Modifier un fournisseur NIS 127


Authentification

de chaque zone d’accès qui le contient, de sorte que le fournisseur reste disponible
pour une utilisation ultérieure.
Procédure
1. Cliquez sur Access > Authentication Providers > NIS.
2. Dans le tableau NIS Providers, cliquez sur Delete en regard du fournisseur que
vous souhaitez supprimer.
3. Dans la fenêtre de confirmation, cliquez sur Delete.

Gestion de l’authentification MIT Kerberos


Vous pouvez configurer un fournisseur MIT Kerberos pour une authentification sans
Active Directory. La configuration d’un fournisseur MIT Kerberos suppose de créer un
realm MIT Kerberos, de créer un fournisseur et de rejoindre un realm prédéfini. Vous
pouvez éventuellement configurer un domaine MIT Kerberos pour le fournisseur. Il est
aussi possible de mettre à jour les clés de chiffrement en cas de modifications de
configuration du fournisseur Kerberos. Vous pouvez inclure le fournisseur dans une ou
plusieurs zones d’accès.

Gestion des realms MIT Kerberos


Un realm MIT Kerberos est un domaine administratif qui définit les limites dans
lesquelles un serveur d’authentification dispose de l’autorité pour authentifier un
utilisateur ou un service. Vous pouvez créer, afficher, modifier ou supprimer un realm.
Conformément aux bonnes pratiques, spécifiez un nom de realm par des lettres en
majuscule.

Créer un realm MIT Kerberos


Un realm MIT Kerberos est un domaine administratif qui définit les limites au sein
desquelles un serveur d’authentification dispose de l’autorité pour authentifier un
utilisateur ou un service. Vous pouvez créer un realm pour définir un centre de
distribution de clés (KDC) et un serveur d’administration.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Cliquez sur Create a Kerberos Realm.
3. Dans le champ Realm Name, saisissez le nom de domaine en caractères
majuscules. Par exemple, CLUSTER-NAME.COMPANY.COM.
4. Activez la case à cocher Set as the default realm pour définir le realm comme
valeur par défaut.
5. Dans le champ Key Distribution Centers (KDCs), ajoutez un ou plusieurs
centres de distribution de clés en spécifiant l’adresse IPv4, l’adresse IPv6 ou le
nom d’hôte de chaque serveur.
6. (Facultatif) Dans le champ Admin Server, spécifiez l’adresse IPv4,
l’adresse IPv6 ou le nom d’hôte du serveur d’administrateur, auquel le rôle de
centre de distribution de clés principal est attribué. Si vous omettez cette
étape, le premier centre de distribution de clés que vous avez ajouté
précédemment est utilisé comme serveur d’administration par défaut.
7. (Facultatif) Dans le champ Default Domain, indiquez le nom de domaine à
utiliser pour la conversion des noms principaux de service.

128 OneFS 8.0.1 Guide d’administration Web


Authentification

8. Cliquez sur Create Realm.

Modifier un realm MIT Kerberos


Vous pouvez modifier un realm MIT Kerberos en modifiant les paramètres du centre de
distribution des clés (KDC) et du serveur d’administration correspondant à ce realm.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Dans le tableau Kerberos Realms, sélectionnez un realm et cliquez sur View /
Edit.
3. Dans la page View a Kerberos Realm, cliquez sur Edit Realm.
4. Activez ou désactivez la case à cocher Set as the default realm pour modifier
le paramètre de realm par défaut.
5. Dans le champ Key Distribution Centers (KDCs), spécifiez l’adresse IPv4,
l’adresse IPv6 ou le nom d’hôte de chaque serveur KDC supplémentaire.
6. Dans le champ Admin Server, spécifiez l’adresse IPv4, l’adresse IPv6 ou le nom
d’hôte du serveur d’administrateur, auquel le rôle de centre de distribution de
clés principal est attribué.
7. Dans le champ Default Domain, indiquez un autre nom de domaine pour la
conversion des noms principaux de service.
8. Cliquez sur Save Changes pour revenir à la page View a Kerberos Realm.
9. Cliquez sur Close.

Afficher un realm MIT Kerberos


Vous pouvez afficher les détails relatifs au nom, aux centres de distribution des clés
(KDC) et au serveur administratif associés à un realm MIT Kerberos.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Dans le tableau Kerberos Realms, sélectionnez un realm et cliquez sur View /
Edit pour afficher les informations associées au realm.

Supprimer un realm MIT Kerberos


Vous pouvez supprimer un ou plusieurs realms MIT Kerberos et tous les domaines MIT
Kerberos associés. Les realms Kerberos sont référencés par les fournisseurs Kerberos.
Par conséquent, avant de supprimer un realm pour lequel vous avez créé un
fournisseur, vous devez d’abord supprimer ce fournisseur.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Dans le tableau Kerberos Realms, sélectionnez un ou plusieurs realms, puis
effectuez l’une des actions suivantes :
l Pour supprimer un seul realm, sélectionnez-le et cliquez sur More > Delete
dans la colonne Actions.
l Pour supprimer plusieurs realms, sélectionnez-les, puis sélectionnez Delete
Selection dans la liste Select a bulk action.
3. Dans la fenêtre de confirmation, cliquez sur Delete.

Gestion des realms MIT Kerberos 129


Authentification

Gestion des fournisseurs MIT Kerberos


Vous pouvez créer, afficher, supprimer ou modifier un fournisseur MIT Kerberos. Vous
pouvez également configurer les paramètres d’un fournisseur Kerberos.

Créer un fournisseur MIT Kerberos


Vous pouvez créer un fournisseur MIT Kerberos en obtenant les informations
d’identification nécessaires pour accéder à un cluster par le biais d’un centre de
distribution des clés (KDC) du realm Kerberos. Ce processus consiste également à
rejoindre un realm. Ainsi, lorsque vous créez un fournisseur Kerberos, vous rejoignez
également un realm que vous avez créé précédemment. Vous devez être membre du
rôle SecurityAdmin pour créer un fournisseur MIT Kerberos.
À l’aide de l’interface Web, vous pouvez effectuer les tâches suivantes par le biais d’un
seul workflow ou effectuer chaque tâche individuellement avant de créer le
fournisseur.
l Définir un realm
l Définir un domaine
l Gérer un nom principal de service

Créer un realm, un domaine et un fournisseur MIT Kerberos


Vous pouvez créer un realm, un domaine et un fournisseur MIT Kerberos par le biais
d’un seul workflow au lieu de configurer chacun de ces objets individuellement.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Cliquez sur Get Started.
La fenêtre Create a Kerberos Realm and Provider s’affiche.
3. Dans la section Create Realm, saisissez un nom de domaine dans le champ
Realm Name.
Il est recommandé d’utiliser des majuscules pour le nom de domaine, par
exemple : CLUSTER-NAME.COMPANY.COM.
4. Activez la case à cocher Set as the default realm pour définir le realm comme
valeur par défaut.
5. Dans le champ Key Distribution Centers (KDCs), ajoutez un ou plusieurs
centres de distribution de clés en spécifiant l’adresse IPv4, l’adresse IPv6 ou le
nom d’hôte de chaque serveur.
6. Dans le champ Admin Server, spécifiez l’adresse IPv4, l’adresse IPv6 ou le nom
d’hôte du serveur d’administrateur, auquel le rôle de centre de distribution de
clés principal est attribué. Si vous omettez cette étape, le premier centre de
distribution des clés que vous avez ajouté précédemment est utilisé comme
serveur d’administration par défaut.
7. Dans le champ Default Domain, indiquez le nom de domaine à utiliser pour la
conversion des noms principaux de service.
8. (Facultatif) Dans la section Create Domain(s), spécifiez un ou plusieurs noms
de domaine à associer au realm dans le champ Domain(s).
9. Dans les champs User et Password de la section Authenticate to Realm,
saisissez le nom et le mot de passe d’un utilisateur autorisé à créer des noms
principaux de service dans le realm Kerberos.

130 OneFS 8.0.1 Guide d’administration Web


Authentification

10. Dans la section Create Provider, sélectionnez le réseau de groupe qui sera
référencé par le fournisseur d’authentification à partir de la liste Groupnet.
11. Dans la zone Service Principal Name (SPN), sélectionnez une des options
suivantes pour la gestion des noms principaux de service :
l Use recommended SPNs
l Manually associate SPNs
Si vous sélectionnez cette option, saisissez au moins un SPN au format
service/principal@realm pour l’associer manuellement au realm.
12. Cliquez sur Create Provider and Join Realm.

Créer un fournisseur MIT Kerberos et rejoindre un realm


Vous rejoignez un realm automatiquement lors de la création d’un fournisseur MIT
Kerberos. Un realm définit un domaine au sein duquel a lieu l’authentification d’un
utilisateur ou d’un service donné.
Avant de commencer
Vous devez être membre du rôle SecurityAdmin pour pouvoir visualiser et accéder au
bouton Create a Kerberos Provider et effectuer les tâches décrites dans cette
procédure.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Cliquez sur Create a Kerberos Provider.
3. Dans le champ User, saisissez le nom de l’utilisateur autorisé à créer des noms
principaux de service dans le realm Kerberos.
4. Dans le champ Password, saisissez le mot de passe de l’utilisateur.
5. Dans la liste Realm, sélectionnez le realm que vous souhaitez rejoindre. Le realm
doit déjà être configuré sur le système.
6. Dans la liste Groupnet, sélectionnez le réseau de groupe qui sera référencé par
le fournisseur d’authentification.
7. Dans la zone Service Principal Name (SPN), sélectionnez une des options
suivantes pour la gestion des noms principaux de service :
l Use recommended SPNs
l Manually associate SPNs
Si vous sélectionnez cette option, saisissez au moins un SPN au format
service/principal@realm pour l’associer manuellement au realm.
8. Cliquez sur Create Provider and Join Realm.

Modifier un fournisseur MIT Kerberos


Vous pouvez modifier les informations d’authentification du realm et les informations
des noms principaux de service pour un fournisseur MIT Kerberos.
Avant de commencer
Vous devez être membre du rôle SecurityAdmin pour afficher et accéder au bouton
View / Edit qui permet de modifier un fournisseur MIT Kerberos.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Dans le tableau Kerberos Provider, sélectionnez un domaine et cliquez sur
View / Edit.

Gestion des fournisseurs MIT Kerberos 131


Authentification

3. Dans la page View a Kerberos Provider, cliquez sur Edit Provider.


4. Dans la section Realm Authentication Information, indiquez les informations
d’identification d’un utilisateur avec les autorisations appropriées pour créer les
noms principaux de service dans le realm Kerberos donné.
5. Dans la section Provider Information, sélectionnez l’une des options suivantes
pour gérer les noms principaux de service :
l Utilisez les noms principaux de service recommandés.
l Saisissez un nom principal de service au format service/
principal@realm afin de l’associer manuellement au realm sélectionné.
Vous pouvez ajouter plusieurs noms principaux de service pour l’association,
si nécessaire.
6. Cliquez sur Save Changes pour revenir à la page View a Kerberos Provider.
7. Cliquez sur Close.

Afficher un fournisseur MIT Kerberos


Vous pouvez afficher les informations relatives aux noms principaux de service et aux
realms MIT Kerberos associés à un fournisseur MIT Kerberos.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Dans le tableau Kerberos Providers, sélectionnez un fournisseur et cliquez sur
View / Edit pour afficher les informations du fournisseur, notamment le realm,
les noms principaux de service recommandés et tout autre nom principal de
service découvert.

Supprimer un fournisseur MIT Kerberos


Vous pouvez supprimer un fournisseur MIT Kerberos et le supprimer de toutes les
zones d’accès référencées. Lorsque vous supprimez un fournisseur, vous quittez
également un realm MIT Kerberos.
Avant de commencer
Vous devez être membre du rôle SecurityAdmin pour effectuer les tâches décrites
dans cette procédure.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Dans le tableau Kerberos Providers, sélectionnez un ou plusieurs fournisseurs,
puis effectuez l’une des actions suivantes :
l Pour supprimer un seul fournisseur, sélectionnez-le et cliquez sur More >
Delete dans la colonne Actions.
l Pour supprimer plusieurs fournisseurs, sélectionnez-les, puis sélectionnez
Delete Selection dans la liste Select a bulk action.
3. Dans la fenêtre de confirmation, cliquez sur Delete.

Configurer les paramètres du fournisseur Kerberos


Vous pouvez configurer les paramètres d’un fournisseur Kerberos afin que les
enregistrements DNS puissent localiser le centre de distribution des clés (KDC), les
realms Kerberos et les serveurs d’authentification associés à un realm Kerberos. Ces
paramètres sont généraux et s’appliquent à tous les utilisateurs Kerberos sur
l’ensemble des nœuds, services et zones d’accès. Certains paramètres s’appliquent

132 OneFS 8.0.1 Guide d’administration Web


Authentification

uniquement au système Kerberos côté client concerné lors de l’adhésion à un realm ou


pour communiquer avec Active Directory KDC. En règle générale, il est inutile de
modifier les paramètres après la configuration initiale.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Settings.
2. Dans le champ Default Realm, indiquez le realm à utiliser pour le nom principal
de service. Le realm par défaut est le premier realm que vous créez.
3. Activez une case à cocher pour toujours envoyer une authentification préalable.
Il s’agit d’un paramètre de configuration Kerberos côté client.
L’activation de cette case à cocher permet d’inclure ENC_TIMESTAMP aux
demandes de ticket Kerberos en tant que données d’authentification préalable
même si le serveur d’authentification ne l’a pas demandé. Cette fonction est
utile si vous utilisez des serveurs Active Directory.
4. Activez une case à cocher pour indiquer s’il faut utiliser des enregistrements de
serveur DNS pour localiser les centres de distribution des clés et d’autres
serveurs pour un realm, si ces informations ne sont pas répertoriées pour le
realm.
5. Activez une case à cocher pour spécifier s’il faut utiliser les enregistrements de
texte DNS pour déterminer le realm Kerberos d’un hôte.
6. Cliquez sur Save Changes.

Gestion des domaines MIT Kerberos


Vous pouvez éventuellement définir des domaines MIT Kerberos pour associer des
extensions de domaine supplémentaires à un realm MIT Kerberos. Vous pouvez
toujours spécifier un domaine par défaut pour un realm.
Vous pouvez créer, modifier, supprimer et visualiser un domaine MIT Kerberos. Un
nom de domaine Kerberos est un suffixe DNS que vous spécifiez généralement par des
caractères en minuscules.

Créer un domaine MIT Kerberos


Vous pouvez au besoin créer un domaine MIT Kerberos pour permettre l’association
d’extensions de domaine supplémentaires à un realm MIT Kerberos indépendamment
des domaines par défaut.
Avant de commencer
Vous devez être membre du rôle SecurityAdmin pour effectuer les tâches décrites
dans cette procédure.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Cliquez sur Create a Kerberos Domain.
3. Dans le champ Domain, spécifiez un nom de domaine qui correspond
généralement à un suffixe DNS en caractères minuscules.
4. Dans la liste Realm, sélectionnez un realm que vous avez configuré
précédemment.
5. Cliquez sur Create Domain.

Gestion des domaines MIT Kerberos 133


Authentification

Modifier un domaine MIT Kerberos


Vous pouvez modifier un domaine MIT Kerberos en modifiant les paramètres du realm.
Avant de commencer
Vous devez être membre du rôle SecurityAdmin pour effectuer les tâches décrites
dans cette procédure.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Dans le tableau Kerberos Domains, sélectionnez un domaine et cliquez sur
View / Edit.
3. Dans la page View a Kerberos Domain, cliquez sur Edit Domain.
4. Dans la liste Realm, sélectionnez un autre realm.
5. Cliquez sur Save Changes pour revenir à la page View a Kerberos Domain.
6. Cliquez sur Close.

Afficher un domaine MIT Kerberos


Vous pouvez afficher les propriétés d’un mappage de domaine MIT Kerberos.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Dans le tableau Kerberos Domains, sélectionnez un domaine et cliquez sur
View / Edit pour afficher les propriétés du mappage de domaine.

Supprimer un domaine MIT Kerberos


Vous pouvez supprimer un ou plusieurs mappages de domaine MIT Kerberos.
Avant de commencer
Vous devez être membre du rôle SecurityAdmin pour effectuer les tâches décrites
dans cette procédure.
Procédure
1. Cliquez sur Access > Authentication Providers > Kerberos Provider.
2. Dans le tableau Kerberos Domains, sélectionnez un ou plusieurs mappages de
domaine, puis effectuez l’une des actions suivantes :
l Pour supprimer un seul mappage de domaine, sélectionnez-le et cliquez sur
More > Delete dans la colonne Actions.
l Pour supprimer plusieurs mappages de domaine, sélectionnez-les, puis
sélectionnez Delete Selection dans la liste Select a bulk action.

Gestion des fournisseurs de fichiers


Pour chaque zone d’accès, vous pouvez configurer un ou plusieurs fournisseurs de
fichiers, chacun possédant sa propre combinaison de fichiers de remplacement. Les
fichiers de base de données de mots de passe, que l’on appelle également fichiers de
base de données utilisateur, doivent être au format binaire.
Chaque fournisseur de fichiers s’appuie directement sur un maximum de trois fichiers
de base de données de remplacement : un fichier de groupe ayant le même format
que /etc/group, un fichier de groupes réseau et un fichier binaire de mots de passe,

134 OneFS 8.0.1 Guide d’administration Web


Authentification

spwd.db, qui offre un accès rapide aux données contenues dans un fichier au
format /etc/master.passwd. Vous devez copier les fichiers de remplacement sur
le cluster et les référencer par le chemin de leur répertoire.

Remarque

Si les fichiers de remplacement sont situés en dehors de l’arborescence de


répertoires /ifs, vous devez les distribuer manuellement à chaque nœud du cluster.
Les modifications apportées aux fichiers du fournisseur du système sont distribués
automatiquement à l’ensemble du cluster.

Configurer un fournisseur de fichiers


Pour chaque zone d’accès, vous pouvez configurer un ou plusieurs fournisseurs de
fichiers, chacun possédant sa propre combinaison de fichiers de remplacement. Vous
pouvez spécifier des fichiers de remplacement pour n’importe quelle combinaison
d’utilisateurs, de groupes et de groupes réseau.
Procédure
1. Cliquez sur Access > Authentication Providers > File Provider.
2. Cliquez sur Add a file provider.
3. Dans le champ File provider name, saisissez le nom du fournisseur de fichiers.
4. Pour spécifier un fichier de remplacement d’utilisateur, dans le champ Path to
users file, saisissez ou recherchez l’emplacement du fichier spwd.db.
5. Pour spécifier un fichier de remplacement de groupe réseau, dans le champ
Path to netgroups file, saisissez ou recherchez l’emplacement du fichier
netgroup.
6. Pour spécifier un fichier de remplacement de groupe, dans le champ Path to
groups file, saisissez ou recherchez l’emplacement du fichier group.
7. (Facultatif) Configurez les paramètres suivants :

Option Description
Authenticate users Indique si le fournisseur est autorisé à répondre aux
from this provider demandes d’authentification.
Create home Indique si vous souhaitez créer un répertoire de base la
directories on first première fois qu’un utilisateur se connecte s’il n’en a pas
login déjà un.
Path to home Spécifie le chemin à utiliser comme modèle pour
directory nommer les répertoires personnels. Le chemin doit
commencer par /ifs et peut contenir des variables
d’extension, telles que %U, qui sont développées pour
générer le chemin du répertoire personnel de
l’utilisateur. Pour plus d’informations, consultez la
section Répertoires de base.
UNIX Shell Spécifie le chemin d’accès au shell de connexion de
l’utilisateur pour les utilisateurs qui accèdent au système
de fichiers via le protocole SSH.

8. Cliquez sur Add File Provider.

Configurer un fournisseur de fichiers 135


Authentification

Générer un fichier de mots de passe


Les fichiers de base de données de mots de passe, que l’on appelle également fichiers
de base de données utilisateur, doivent être au format binaire.
Cette procédure doit être effectuée via l’interface de ligne de commande (CLI). Pour
obtenir des instructions relatives à l’utilisation des commandes, exécutez la commande
man pwd_mkdb.
Procédure
1. Établissez une connexion SSH à n’importe quel nœud du cluster.
2. Exécutez la commande pwd_mkdb<file>, où <file> est l’emplacement du fichier
de mots de passe source.

Remarque

Par défaut, le fichier binaire de mots de passe, spwd.db, est créé dans le
répertoire /etc. Vous pouvez remplacer l’emplacement de stockage du fichier
spwd.db en spécifiant l’option -d avec un répertoire cible différent.

La commande suivante génère un fichier spwd.db dans le répertoire /etc à


partir d’un fichier de mots de passe situé dans /ifs/test.passwd :

pwd_mkdb /ifs/test.passwd

La commande suivante génère un fichier spwd.db dans le répertoire /ifs à


partir d’un fichier de mots de passe situé dans /ifs/test.passwd :

pwd_mkdb -d /ifs /ifs/test.passwd

Format du fichier de mots de passe


Le fournisseur de fichiers utilise un fichier binaire de base de données de mots de
passe, spwd.db. Vous pouvez générer un fichier binaire de mots de passe à partir
d’un fichier au format master.passwd en exécutant la commande pwd_mkdb.
Le fichier master.passwd contient dix champs séparés par le signe deux-points,
comme dans l’exemple suivant :

admin:*:10:10::0:0:Web UI Administrator:/ifs/home/admin:/bin/zsh

Les champs sont définis ci-dessous dans le même ordre que dans le fichier.

Remarque

Les systèmes UNIX définissent souvent le format passwd comme un sous-ensemble


de ces champs, en omettant les champs Class, Change et Expiry. Pour convertir un
fichier passwd au formatmaster.passwd, ajoutez :0:0: entre le champ GID et le
champ Gecos.

Username
Nom d’utilisateur. Ce champ est sensible à la casse. OneFS n’en limite pas la
longueur, mais de nombreuses applications tronquent le nom à 16 caractères.

136 OneFS 8.0.1 Guide d’administration Web


Authentification

Password
Mot de passe chiffré de l’utilisateur. Si aucune authentification n’est requise pour
cet utilisateur, vous pouvez remplacer le mot de passe par un astérisque (*). Le
caractère astérisque garantit l’absence de tout mot de passe correspondant.

UID
Identifiant utilisateur UNIX. Cette valeur doit être un nombre compris dans la
plage 0-4294967294 qui n’est pas réservé ni déjà attribué à un utilisateur. Des
problèmes de compatibilité apparaissent si cette valeur est en conflit avec l’UID
d’un compte existant.

GID
ID du groupe principal de l’utilisateur. Tous les utilisateurs sont membres d’au
moins un groupe, qui est utilisé pour les vérifications d’accès et peut également
être utilisé pour la création des fichiers.

Class
Ce champ n’est pas pris en charge par OneFS et ne doit pas être renseigné.

Change
OneFS ne prend pas en charge la modification des mots de passe des utilisateurs
au niveau du fournisseur de fichiers. Ce champ est ignoré.
Expiry
OneFS ne prend pas en charge l’expiration des comptes utilisateur dans le
fournisseur de fichiers. Ce champ est ignoré.

Gecos
Ce champ peut contenir diverses informations, mais stocke généralement le nom
complet de l’utilisateur.

Home
Chemin absolu du répertoire personnel de l’utilisateur à partir de /ifs.

Shell
Chemin absolu du shell de l’utilisateur. Si ce champ est défini sur /sbin/
nologin, l’utilisateur se voit refuser l’accès à la ligne de commande.

Format du fichier de groupe


Le fournisseur de fichiers utilise un fichier de groupe ayant le format du fichier /etc/
group existant sur la plupart des systèmes Unix.
Le fichier group se compose d’une ou plusieurs lignes contenant quatre champs
séparés par le signe deux-points, comme dans l’exemple suivant :

admin:*:10:root,admin

Les champs sont définis ci-dessous dans le même ordre que dans le fichier.
Group name
Nom du groupe. Ce champ est sensible à la casse. Bien que OneFS ne limite pas la
longueur du nom de groupe, de nombreuses applications tronquent le nom à
16 caractères.

Format du fichier de groupe 137


Authentification

Password
Ce champ n’est pas pris en charge par OneFS et doit contenir un astérisque (*).

GID
ID de groupe UNIX. Tout nombre compris dans la plage 0-4294967294 qui n’est
pas réservé ni déjà attribué à un groupe est une valeur valide. Des problèmes de
compatibilité apparaissent si cette valeur est en conflit avec un ID de groupe
existant.

Group members
Liste de noms d’utilisateur séparés par des virgules.

Format du fichier de groupe réseau


Un fichier de groupe réseau est constitué d’un ou plusieurs groupes réseau, pouvant
chacun contenir des membres. Les hôtes, les utilisateurs ou les domaines membres
d’un groupe réseau sont spécifiés dans un triplet de membres. Un groupe réseau peut
également contenir un autre groupe réseau.
Chaque entrée d’un fichier netgroup se compose du nom du groupe réseau, suivi
d’un ensemble de triplets de membres séparés par des espaces et de noms de groupes
réseau imbriqués. Si vous spécifiez un groupe réseau imbriqué, il doit être défini sur
une ligne distincte dans le fichier.
Un triplet de membres prend la forme suivante :

(<host>, <user>, <domain>)

où <host> est un espace réservé à un nom d’ordinateur, <user> un espace réservé à


un nom d’utilisateur et <domain> un espace réservé à un nom de domaine. Toute
combinaison est valide, à l’exception d’un triplet vide : (,,).
L’exemple de fichier suivant contient deux groupes réseau. Le groupe réseau rootgrp
contient quatre hôtes : deux hôtes sont définis dans des triplets de membres et deux
hôtes résident dans le groupe réseau imbriqué othergrp, lequel est défini sur la
deuxième ligne.

rootgrp (myserver, root, somedomain.com) (otherserver, root,


somedomain.com) othergrp
othergrp (other-win,, somedomain.com) (other-linux,, somedomain.com)

Remarque

Une nouvelle ligne signifie un nouveau groupe réseau. Vous pouvez poursuivre une
longue entrée de groupe réseau sur la ligne suivante en insérant une barre oblique
inverse (\) à l’emplacement le plus à droite de la première ligne.

Modifier un fournisseur de fichiers


Vous pouvez modifier n’importe quel paramètre d’un fournisseur de fichiers, mais vous
ne pouvez pas renommer le fournisseur de fichiers System.
Procédure
1. Cliquez sur Access > Authentication Providers > File Provider.

138 OneFS 8.0.1 Guide d’administration Web


Authentification

2. Dans le tableau File Providers, cliquez sur View details en regard du


fournisseur dont vous souhaitez modifier les paramètres.
3. Pour chaque paramètre que vous souhaitez modifier, cliquez sur Edit, apportez
les modifications nécessaires, puis cliquez sur Save.
4. Cliquez sur Close.

Supprimer un fournisseur de fichiers


Pour cesser d’utiliser un fournisseur de fichiers, vous pouvez supprimer tous ses
paramètres de fichiers de remplacement ou vous pouvez supprimer définitivement le
fournisseur.
Procédure
1. Cliquez sur Access > Authentication Providers > File Provider.
2. Dans le tableau File Providers, sélectionnez le nom du fournisseur.
3. Dans la liste Select an action, sélectionnez Delete.
4. Dans la fenêtre de confirmation, cliquez sur Delete.

Gestion des utilisateurs et des groupes locaux


Lorsque vous créez une zone d’accès, chaque zone comprend un fournisseur local qui
vous permet de créer et de gérer des utilisateurs et des groupes locaux. Bien que vous
puissiez afficher la liste des utilisateurs et des groupes à partir de n’importe quel
fournisseur d’authentification, vous pouvez créer, modifier et supprimer des
utilisateurs et des groupes uniquement au sein du fournisseur local.

Afficher une liste d’utilisateurs ou de groupes par fournisseur


Vous pouvez afficher la liste des utilisateurs et des groupes de n’importe quel
fournisseur d’authentification.
Procédure
1. Cliquez sur Access > Membership & Roles.
2. Selon ce que vous souhaitez afficher, cliquez sur l’un des onglets suivants :

Option Description
Users Sélectionnez cet onglet pour afficher tous les utilisateurs par
fournisseur.
Groups Sélectionnez cet onglet pour afficher tous les groupes par
fournisseur.

3. Dans la liste Current Access Zone, sélectionnez une zone d’accès.


4. Sélectionnez le fournisseur local dans la liste Providers.

Créer un utilisateur local


Chaque zone d’accès comprend un fournisseur local qui vous permet de créer et de
gérer les utilisateurs et les groupes locaux. Lors de la création d’un compte utilisateur
local, vous pouvez configurer son nom, son mot de passe, son répertoire personnel,

Supprimer un fournisseur de fichiers 139


Authentification

son identifiant utilisateur UNIX (UID), son shell de connexion UNIX et son
appartenance à des groupes.
Procédure
1. Cliquez sur Access > Membership & Roles > Users.
2. Dans la liste Current Access Zone, sélectionnez une zone d’accès.
3. Dans la liste Providers, sélectionnez le fournisseur local de la zone.
4. Cliquez sur Create User.
5. Dans le champ User Name, saisissez le nom d’utilisateur du compte.
6. Dans le champ Password, saisissez le mot de passe de ce compte.
7. (Facultatif) Configurez les paramètres supplémentaires suivants si besoin.

Option Description
UID Si ce paramètre n’est pas renseigné, le système alloue
automatiquement un UID à ce compte. Il s'agit du paramètre
recommandé. Vous ne pouvez pas attribuer un UID qui est
utilisé par un autre compte utilisateur local.
Full Name Saisissez le nom complet de l’utilisateur.
Email Address Saisissez l’adresse e-mail du compte.
Primary Group Pour spécifier le groupe propriétaire à l’aide de la boîte de
dialogue Select a Primary Group, cliquez sur Select group.
a. Pour localiser un groupe sous le fournisseur local
sélectionné, saisissez un nom de groupe ou cliquez sur
Search.
b. Sélectionnez un groupe pour revenir à la fenêtre Manage
Users.

Additional Pour spécifier des groupes supplémentaires dont vous


Groups souhaitez que cet utilisateur soit membre, cliquez sur Add
group.
Home Saisissez le chemin d’accès au répertoire personnel de
Directory l’utilisateur. Si vous ne spécifiez pas de chemin, un répertoire
est automatiquement créé à l’emplacement /ifs/home/
<username>.
UNIX Shell Ce paramètre s’applique uniquement aux utilisateurs qui
accèdent au système de fichiers via SSH. Sélectionnez un
shell dans la liste. Le shell /bin/zsh est sélectionné par
défaut.
Account Cliquez sur l’icône de calendrier pour sélectionner la date
Expiration d’expiration ou saisissez-la dans le champ, au format <mm>/
Date <dd>/<yyyy>.
Enable the Cochez cette case pour que l’utilisateur puisse s’authentifier
account auprès de la base de données locale pour les protocoles SSH,
FTP, HTTP et le partage de fichiers Windows via SMB. Ce
paramètre n’est pas utilisé pour le partage de fichiers UNIX
via NFS.

8. Cliquez sur Create.

140 OneFS 8.0.1 Guide d’administration Web


Authentification

Créer un groupe local


Dans le fournisseur local d’une zone d’accès, vous pouvez créer des groupes et leur
attribuer des membres.
Procédure
1. Cliquez sur Access > Membership & Roles > Groups.
2. Dans la liste Current Access Zone, sélectionnez une zone d’accès.
3. Dans la liste Providers, sélectionnez le fournisseur local de la zone.
4. Cliquez sur Create Group.
5. Dans le champ Group Name, saisissez le nom du groupe.
6. (Facultatif) Pour remplacer l’allocation automatique de l’ID de groupe UNIX,
saisissez une valeur numérique dans le champ GID.

Remarque

Vous ne pouvez pas attribuer un ID de groupe utilisé par un autre groupe. Il est
recommandé de laisser ce champ vide afin que le système génère
automatiquement l’ID de groupe.

7. (Facultatif) Pour chaque membre que vous souhaitez ajouter au groupe, cliquez
sur Add Members, puis effectuez les tâches suivantes dans la boîte de dialogue
Select a User :
a. Recherchez Users, Groups ou Well-known SIDs.
b. Si vous sélectionnez Users ou Groups, spécifiez les valeurs des champs
suivants :
User Name
Saisissez tout ou partie d’un nom d’utilisateur, ou laissez le champ vide
pour rechercher tous les utilisateurs. Vous pouvez utiliser des
caractères génériques.

Group Name
Saisissez tout ou partie d’un nom de groupe, ou laissez le champ vide
pour rechercher tous les utilisateurs. Vous pouvez utiliser des
caractères génériques.

Provider
Sélectionnez un fournisseur d’authentification.

c. Cliquez sur Search.


d. Dans le tableau Search Results, sélectionnez un utilisateur, puis cliquez sur
Select.
La boîte de dialogue se ferme.
8. Cliquez sur Create Group.

Créer un groupe local 141


Authentification

Règles de dénomination pour les utilisateurs et les groupes locaux


Les noms d’utilisateur et de groupe locaux doivent respecter les règles de
dénomination afin d’assurer une authentification et un accès appropriés au cluster
EMC Isilon.
Vous devez respecter les règles de dénomination suivantes lors de la création et de la
modification des utilisateurs et groupes locaux :
l La longueur maximum d’un nom est de 104 caractères. Il est recommandé d’utiliser
des noms de 64 caractères maximum.
l Les noms ne peuvent pas contenir les caractères non valides suivants :
"/\[]:;|=,+*?<>
l Les noms peuvent contenir n’importe quel caractère spécial qui ne se trouve pas
dans la liste des caractères non valides. Il est déconseillé d’insérer des espaces.
l Les noms ne son pas sensibles à la casse.

Modifier un utilisateur local


Vous pouvez modifier tout paramètre défini pour un compte utilisateur local à
l’exception du nom d’utilisateur.
Procédure
1. Cliquez sur Access > Membership & Roles > Users.
2. Dans la liste Current Access Zone, sélectionnez une zone d’accès.
3. Dans la liste Users, sélectionnez le fournisseur local de cette zone d’accès.
4. Dans la liste des utilisateurs, recherchez l’utilisateur que vous souhaitez mettre
à jour, puis cliquez sur View/Edit.
La boîte de dialogue View User Details s’affiche.
5. Cliquez sur Edit User.
La boîte de dialogue Edit User s'affiche.
6. Mettez à jour les paramètres que vous souhaitez configurer.
7. Cliquez sur Save Changes.
8. Cliquez sur Close.

Modifier un groupe local


Vous pouvez ajouter ou supprimer des membres d’un groupe local.
Procédure
1. Cliquez sur Access > Membership & Roles > Groups.
2. Dans la liste Current Access Zone, sélectionnez une zone d’accès.
3. Dans la liste des groupes, recherchez le groupe que vous souhaitez mettre à
jour, puis cliquez sur View/Edit.
La boîte de dialogue View Group Details s’affiche.
4. Cliquez sur Edit Group.
La boîte de dialogue Edit Group s’affiche.

142 OneFS 8.0.1 Guide d’administration Web


Authentification

5. Dans la zone Members, cliquez sur Add Members pour ajouter des utilisateurs
au groupe, ou cliquez sur Delete en regard d’un nom d’utilisateur pour
supprimer cet utilisateur du groupe.
6. Cliquez sur Save Changes.
7. Cliquez sur Close.

Supprimer un utilisateur local


Un utilisateur supprimé ne peut plus accéder au cluster via l’interface de ligne de
commande, l’interface d’administration Web ou le protocole d’accès aux fichiers.
Lorsque vous supprimez un compte utilisateur local, le répertoire personnel
correspondant reste en place.
Procédure
1. Cliquez sur Access > Membership & Roles > Users.
2. Dans la liste Current Access Zone, sélectionnez une zone d’accès.
3. Dans la liste Providers, sélectionnez le fournisseur local de cette zone d’accès.
4. Dans la liste des utilisateurs, recherchez l’utilisateur que vous souhaitez
supprimer, puis cliquez sur More > Delete.
La boîte de dialogue Confirm Delete s’affiche.
5. Cliquez sur Delete.

Supprimer un groupe local


Vous pouvez supprimer un groupe local même si des membres lui sont attribués. La
suppression d’un groupe n’affecte pas les membres de ce groupe.
Procédure
1. Cliquez sur Access > Membership & Roles > Groups.
2. Dans la liste Current Access Zone, sélectionnez une zone d’accès.
3. Dans la liste Providers, sélectionnez le fournisseur local de cette zone d’accès.
4. Dans la liste des groupes, recherchez le groupe que vous souhaitez supprimer,
puis cliquez sur More > Delete.
La boîte de dialogue Confirm Delete s’affiche.
5. Cliquez sur Delete.

Supprimer un utilisateur local 143


Authentification

144 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 6
Rôles et privilèges d’administrateur

Cette section traite des points suivants :

l Accès basé sur des rôles...................................................................................146


l Rôles.................................................................................................................146
l Privilèges..........................................................................................................150
l Gestion des rôles.............................................................................................. 159

Rôles et privilèges d’administrateur 145


Rôles et privilèges d’administrateur

Accès basé sur des rôles


Vous pouvez attribuer un accès basé sur des rôles à une sélection d’utilisateurs afin de
leur déléguer des tâches d’administration.
Le contrôle d’accès basé sur des rôles (RBAC) permet d’accorder le droit d’exécuter
des actions administratives particulières à n’importe quel utilisateur capable de
s’authentifier auprès d’un cluster. Les rôles sont créés par un administrateur de
sécurité qui leur associe des privilèges et leur attribue des membres. Tous les
administrateurs, y compris ceux disposant de privilèges fournis par un rôle, doivent se
connecter à la zone System pour configurer le cluster. Lorsque ces membres se
connectent au cluster via une interface de configuration, ils disposent de ces
privilèges. Tous les administrateurs peuvent configurer les paramètres de zones
d’accès. Ils ont toujours le contrôle de toutes les zones d’accès du cluster.
Les rôles offrent également la possibilité d’attribuer des privilèges à des utilisateurs et
groupes membres. Par défaut, seul l’utilisateur root et l’utilisateur administrateur
peuvent se connecter à l’interface d’administration Web via HTTP ou à l’interface de
ligne de commande via SSH. En utilisant des rôles, les utilisateurs root et
administrateur peuvent attribuer à d’autres utilisateurs des rôles prédéfinis ou
personnalisés disposant de privilèges de connexion et d’administration afin que ces
utilisateurs effectuent des tâches d’administration spécifiques.

Remarque

Il est recommandé d’attribuer les utilisateurs à des rôles qui contiennent l’ensemble
minimal de privilèges nécessaires. Dans la plupart des cas, les paramètres de règle
d’autorisation par défaut, la zone d’accès System et les rôles prédéfinis sont
suffisants. En fonction des besoins de votre environnement spécifique, vous pouvez
créer des règles de gestion d’accès basées sur des rôles.

Rôles
Vous pouvez utiliser des rôles pour autoriser et limiter l’accès aux zones
d’administration de votre cluster EMC Isilon en fonction de chaque utilisateur. OneFS
inclut plusieurs rôles d’administrateur prédéfinis. Ceux-ci possèdent des ensembles
prédéfinis de privilèges qui ne peuvent pas être modifiés. Vous pouvez également
créer des rôles personnalisés et leur attribuer des privilèges.
La liste suivante décrit ce que vous pouvez faire ou non au moyen des rôles :
l Vous pouvez attribuer des privilèges à un rôle.
l Vous pouvez créer des rôles personnalisés et leur attribuer des privilèges.
l Vous pouvez copier un rôle existant.
l Vous pouvez ajouter à un rôle n’importe quel utilisateur ou groupe d’utilisateurs, y
compris des groupes connus, tant que les utilisateurs peuvent s’authentifier auprès
du cluster.
l Vous pouvez ajouter un utilisateur ou un groupe à plusieurs rôles.
l Vous ne pouvez pas directement attribuer des privilèges à des utilisateurs ou à des
groupes.

146 OneFS 8.0.1 Guide d’administration Web


Rôles et privilèges d’administrateur

Remarque

Lors de la première installation de OneFS, seuls les utilisateurs root et admin peuvent
se connecter et attribuer des utilisateurs à des rôles.

Rôles personnalisés
Les rôles personnalisés complètent les rôles prédéfinis.
Vous pouvez créer des rôles personnalisés et attribuer des privilèges mappés sur les
zones d’administration de votre environnement de clusters EMC Isilon. Par exemple,
vous pouvez créer des rôles d’administration distincts pour la sécurité, l’audit, le
provisionnement du stockage et la sauvegarde.
Lorsque vous ajoutez un privilège à un rôle, vous pouvez spécifier s’il est en lecture
seule ou en lecture/écriture. Vous pouvez modifier cette option à tout moment pour
ajouter ou supprimer des privilèges à mesure que les responsabilités des utilisateurs
augmentent et évoluent.

Rôles prédéfinis
Les rôles prédéfinis sont inclus dans OneFS et ont été configurés avec les privilèges
les plus probables nécessaires pour l’exécution des opérations d’administration
courantes. Vous ne pouvez pas modifier la liste des privilèges attribués à chaque rôle
prédéfini ; toutefois, vous pouvez attribuer des utilisateurs et des groupes à des rôles
prédéfinis.

Rôle intégré SecurityAdmin


Le rôle intégré SecurityAdmin permet de gérer la configuration de la sécurité sur le
cluster, y compris les fournisseurs d’authentification, les utilisateurs et groupes locaux
et l’appartenance aux rôles.

Privilèges Accès en lecture/écriture


ISI_PRIV_LOGIN_CONSOLE s.o.

ISI_PRIV_LOGIN_PAPI s.o.

ISI_PRIV_LOGIN_SSH s.o.

ISI_PRIV_AUTH Lecture/écriture

ISI_PRIV_ROLE Lecture/écriture

Rôle intégré SystemAdmin


Le rôle intégré SystemAdmin permet de gérer tous les aspects de la configuration du
cluster qui ne relèvent pas spécifiquement du rôle SecurityAdmin.

Privilèges Accès en lecture/écriture


ISI_PRIV_LOGIN_CONSOLE s.o.

ISI_PRIV_LOGIN_PAPI s.o.

ISI_PRIV_LOGIN_SSH s.o.

ISI_PRIV_SYS_SHUTDOWN s.o.

Rôles personnalisés 147


Rôles et privilèges d’administrateur

Privilèges Accès en lecture/écriture


ISI_PRIV_SYS_SUPPORT s.o.

ISI_PRIV_SYS_TIME Lecture/écriture

ISI_PRIV_SYS_UPGRADE Lecture/écriture

ISI_PRIV_ANTIVIRUS Lecture/écriture

ISI_PRIV_AUDIT Lecture/écriture

ISI_PRIV_CLOUDPOOLS Lecture/écriture

ISI_PRIV_CLUSTER Lecture/écriture

ISI_PRIV_DEVICES Lecture/écriture

ISI_PRIV_EVENT Lecture/écriture

ISI_PRIV_FILE_FILTER Lecture/écriture

ISI_PRIV_FTP Lecture/écriture

ISI_PRIV_HARDENING Lecture/écriture

ISI_PRIV_HDFS Lecture/écriture

ISI_PRIV_HTTP Lecture/écriture

ISI_PRIV_JOB_ENGINE Lecture/écriture

ISI_PRIV_LICENSE Lecture/écriture

ISI_PRIV_MONITORING Lecture/écriture

ISI_PRIV_NDMP Lecture/écriture

ISI_PRIV_NETWORK Lecture/écriture

ISI_PRIV_NFS Lecture/écriture

ISI_PRIV_NTP Lecture/écriture

ISI_PRIV_QUOTA Lecture/écriture

ISI_PRIV_REMOTE_SUPPORT Lecture/écriture

ISI_PRIV_SMARTPOOLS Lecture/écriture

ISI_PRIV_SMB Lecture/écriture

ISI_PRIV_SNAPSHOT Lecture/écriture

ISI_PRIV_SNMP Lecture/écriture

ISI_PRIV_STATISTICS Lecture/écriture

ISI_PRIV_SWIFT Lecture/écriture

ISI_PRIV_SYNCIQ Lecture/écriture

ISI_PRIV_VCENTER Lecture/écriture

ISI_PRIV_WORM Lecture/écriture

ISI_PRIV_NS_TRAVERSE s.o.

ISI_PRIV_NS_IFS_ACCESS s.o.

148 OneFS 8.0.1 Guide d’administration Web


Rôles et privilèges d’administrateur

Rôle prédéfini AuditAdmin


Le rôle prédéfini AuditAdmin vous permet d’afficher tous les paramètres de
configuration du système.

Privilèges Accès en lecture/écriture


ISI_PRIV_LOGIN_CONSOLE s.o.

ISI_PRIV_LOGIN_PAPI s.o.

ISI_PRIV_LOGIN_SSH s.o.

ISI_PRIV_SYS_TIME Lecture seule

ISI_PRIV_SYS_UPGRADE Lecture seule

ISI_PRIV_ANTIVIRUS Lecture seule

ISI_PRIV_AUDIT Lecture seule

ISI_PRIV_CLOUDPOOLS Lecture seule

ISI_PRIV_CLUSTER Lecture seule

ISI_PRIV_DEVICES Lecture seule

ISI_PRIV_EVENT Lecture seule

ISI_PRIV_FILE_FILTER Lecture seule

ISI_PRIV_FTP Lecture seule

ISI_PRIV_HARDENING Lecture seule

ISI_PRIV_HDFS Lecture seule

ISI_PRIV_HTTP Lecture seule

ISI_PRIV_JOB_ENGINE Lecture seule

ISI_PRIV_LICENSE Lecture seule

ISI_PRIV_MONITORING Lecture seule

SI_PRIV_NDMP Lecture seule

ISI_PRIV_NETWORK Lecture seule

ISI_PRIV_NFS Lecture seule

ISI_PRIV_NTP Lecture seule

ISI_PRIV_QUOTA Lecture seule

ISI_PRIV_REMOTE_SUPPORT Lecture seule

ISI_PRIV_SMARTPOOLS Lecture seule

ISI_PRIV_SMB Lecture seule

ISI_PRIV_SNAPSHOT Lecture seule

ISI_PRIV_SNMP Lecture seule

ISI_PRIV_STATISTICS Lecture seule

ISI_PRIV_SWIFT Lecture seule

Rôles prédéfinis 149


Rôles et privilèges d’administrateur

Privilèges Accès en lecture/écriture


ISI_PRIV_SYNCIQ Lecture seule

ISI_PRIV_VCENTER Lecture seule

ISI_PRIV_WORM Lecture seule

Rôle prédéfini BackupAdmin


Le rôle prédéfini BackupAdmin permet la sauvegarde et la restauration de fichiers à
partir de /ifs.

Privilèges Accès en lecture/écriture


ISI_PRIV_IFS_BACKUP Lecture seule

ISI_PRIV_IFS_RESTORE Lecture/écriture

Rôle intégré VMwareAdmin


Le rôle intégré VMwareAdmin permet l’administration à distance du stockage requis
par VMware vCenter.

Privilèges Accès en lecture/écriture


ISI_PRIV_LOGIN_PAPI s.o.

ISI_PRIV_NETWORK Lecture/écriture

ISI_PRIV_SMARTPOOLS Lecture/écriture

ISI_PRIV_SNAPSHOT Lecture/écriture

ISI_PRIV_SYNCIQ Lecture/écriture

ISI_PRIV_VCENTER Lecture/écriture

ISI_PRIV_NS_TRAVERSE s.o.

ISI_PRIV_NS_IFS_ACCESS s.o.

Privilèges
Les privilèges permettent aux utilisateurs d’effectuer des tâches sur un cluster EMC
Isilon.
Les privilèges sont associés à une zone d’administration du cluster, comme le moteur
de tâches, SMB ou les statistiques.
Les privilèges se présentent sous l’une des deux formes suivantes :
Action
Permet à un utilisateur d’effectuer une action spécifique sur un cluster. Par
exemple, le privilège ISI_PRIV_LOGIN_SSH permet à l’utilisateur de se connecter
à un cluster via un client SSH.

150 OneFS 8.0.1 Guide d’administration Web


Rôles et privilèges d’administrateur

Lecture/écriture
Permet à l’utilisateur d’afficher ou de modifier un sous-système de configuration,
tel que les statistiques, les snapshots ou les quotas. Par exemple, le privilège
ISI_PRIV_SNAPSHOT permet à un administrateur de créer et de supprimer des
snapshots et des plannings de snapshots. Un privilège en lecture/écriture peut
accorder un accès en lecture seule ou en lecture/écriture. Un accès en lecture
seule permet à l’utilisateur d’afficher les paramètres de configuration ; un accès
en lecture/écriture lui permet d’afficher et de modifier les paramètres de
configuration.

Les privilèges sont accordés à l’utilisateur lors de la connexion à un cluster via l’API
OneFS, l’interface d’administration Web, le protocole SSH ou une session de console.
Un jeton est généré pour l’utilisateur. Il inclut la liste de tous les privilèges qui sont
accordés à celui-ci. Chaque URI, chaque page de l’interface d’administration Web et
chaque commande requièrent un privilège spécifique pour qu’il soit possible d’afficher
ou de modifier les informations disponibles via l’interface en question.
Dans certains cas, les privilèges ne peuvent pas être accordés ou sont soumis à des
restrictions.
l Aucun privilège n’est accordé aux utilisateurs qui ne se connectent pas à la zone
System lors de l’ouverture de session ou qui se connectent par le service Telnet
(obsolète), même s’ils sont membres d’un rôle.
l Les privilèges ne fournissent pas un accès administrateur aux chemins de
configuration se trouvant en dehors de l’API OneFS. Par exemple, le privilège
ISI_PRIV_SMB n’accorde pas à un utilisateur le droit de configurer les partages
SMB à l’aide de Microsoft Management Console (MMC).
l Les privilèges n’offrent pas un accès administrateur à tous les fichiers log. La
plupart des fichiers log nécessitent un accès root.

Privilèges OneFS pris en charge


Les privilèges pris en charge par OneFS sont classés en fonction du type d’actions ou
d’accès octroyé à l’utilisateur. Par exemple, il peut s’agir de privilèges de connexion,
de sécurité et de configuration.

Privilèges de connexion
Les privilèges de connexion répertoriés dans le tableau suivant autorisent l’utilisateur à
effectuer des actions spécifiques ou bien octroient un droit d’accès en lecture ou en
écriture à une zone d’administration du cluster EMC Isilon.

Privilège Description Type


ISI_PRIV_LOGIN_CONSOLE Se connecter à partir de la Action
console.

ISI_PRIV_LOGIN_PAPI Se connecter à l’API de plate- Action


forme et à l’interface
d’administration Web.

ISI_PRIV_LOGIN_SSH Se connecter via le protocole Action


SSH.

Privilèges OneFS pris en charge 151


Rôles et privilèges d’administrateur

Privilèges système
Les privilèges système répertoriés dans le tableau suivant autorisent l’utilisateur à
effectuer des actions spécifiques ou bien octroient un droit d’accès en lecture ou en
écriture à une zone d’administration du cluster EMC Isilon.

Privilège Description Type


ISI_PRIV_SYS_SHUTDOWN Arrêter le système. Action

ISI_PRIV_SYS_SUPPORT Exécuter les outils de Action


diagnostic du cluster.

ISI_PRIV_SYS_TIME Modifier l'heure du système. Lecture/écriture

ISI_PRIV_SYS_UPGRADE Mettre à niveau le système Lecture/écriture


OneFS.

Privilèges de sécurité
Les privilèges de sécurité répertoriés dans le tableau suivant autorisent l’utilisateur à
effectuer des actions spécifiques ou bien octroient un droit d’accès en lecture ou en
écriture à une zone d’administration du cluster EMC Isilon.

Privilège Description Type


ISI_PRIV_AUTH Configurer des fournisseurs Lecture/écriture
d’authentification externes.

ISI_PRIV_ROLE Créer des rôles et attribuer Lecture/écriture


des privilèges.

Privilèges de configuration
Les privilèges de configuration répertoriés dans le tableau suivant autorisent
l’utilisateur à effectuer des actions spécifiques ou bien octroient un droit d’accès en
lecture ou en écriture à une zone d’administration du cluster EMC Isilon.

Privilège Description Type


ISI_PRIV_ANTIVIRUS Configurer l’analyse antivirus. Lecture/écriture

ISI_PRIV_AUDIT Configurer des fonctions Lecture/écriture


d’audit.

ISI_PRIV_CLOUDPOOLS Configurer CloudPools. Lecture/écriture

ISI_PRIV_CLUSTER Configurer les paramètres Lecture/écriture


d’identité et généraux du
cluster.

ISI_PRIV_DEVICES Créer des rôles et attribuer Lecture/écriture


des privilèges.

ISI_PRIV_EVENT Afficher et modifier les Lecture/écriture


événements système.

ISI_PRIV_FILE_FILTER Configurer les paramètres de Lecture/écriture


filtrage des fichiers.

152 OneFS 8.0.1 Guide d’administration Web


Rôles et privilèges d’administrateur

Privilège Description Type


ISI_PRIV_FTP Configurer le serveur FTP. Lecture/écriture

ISI_PRIV_HDFS Configurer le serveur HDFS. Lecture/écriture

ISI_PRIV_HTTP Configurer le serveur HTTP. Lecture/écriture

ISI_PRIV_JOB_ENGINE Planifier des tâches à l’échelle Lecture/écriture


du cluster.

ISI_PRIV_LICENSE Activer des licences logicielles Lecture/écriture


OneFS.

ISI_PRIV_MONITORING Enregistrer des applications Lecture/écriture


qui surveillent le cluster.

ISI_PRIV_NDMP Configurer le serveur NDMP. Lecture/écriture

ISI_PRIV_NETWORK Configurer les interfaces Lecture/écriture


réseau.

ISI_PRIV_NFS Configurer le serveur NFS. Lecture/écriture

ISI_PRIV_NTP Configurer NTP. Lecture/écriture

ISI_PRIV_QUOTA Configurer les quotas du Lecture/écriture


système de fichiers.

ISI_PRIV_REMOTE_SUPPOR Configurer le support à Lecture/écriture


T distance.

ISI_PRIV_SMARTPOOLS Configurer les pools de Lecture/écriture


stockage.

ISI_PRIV_SMB Configurer le serveur SMB. Lecture/écriture

ISI_PRIV_SNAPSHOT Planifier, créer et afficher des Lecture/écriture


snapshots.

ISI_PRIV_SNMP Configurer le serveur SNMP. Lecture/écriture

ISI_PRIV_STATISTICS Afficher les statistiques de Lecture/écriture


performances du système de
fichiers.

ISI_PRIV_SWIFT Configurer Swift. Lecture/écriture

ISI_PRIV_SYNCIQ Configurer SyncIQ. Lecture/écriture

ISI_PRIV_VCENTER Configurer VMware for Lecture/écriture


vCenter.

ISI_PRIV_WORM Configurer les répertoires Lecture/écriture


SmartLock.

Privilèges d’accès aux fichiers


Les privilèges d’accès aux fichiers répertoriés dans le tableau suivant autorisent
l’utilisateur à effectuer des actions spécifiques ou bien octroient un droit d’accès en
lecture ou en écriture à une zone d’administration du cluster EMC Isilon.

Privilèges OneFS pris en charge 153


Rôles et privilèges d’administrateur

Privilège Description Type


ISI_PRIV_IFS_BACKUP Sauvegarder des fichiers à Action
partir de /ifs.

Remarque

Ce privilège évite les


vérifications traditionnelles
d’accès aux fichiers, telles
que les bits de mode ou les
ACL NTFS.

ISI_PRIV_IFS_RESTORE Restaurer des fichiers à partir Action


de /ifs.

Remarque

Ce privilège évite les


vérifications traditionnelles
d’accès aux fichiers, telles
que les bits de mode ou les
ACL NTFS.

ISI_PRIV_IFS_WORM_DELE Effectuer une opération de Action


TE suppression avec privilèges
sur des fichiers validés à l’état
WORM.

Remarque

Si vous n’êtes pas connecté


via le compte utilisateur root,
vous devez également
disposer du privilège
ISI_PRIV_NS_IFS_ACCESS.

Privilèges d’espace de nommage


Les privilèges d’espace de nommage répertoriés dans le tableau suivant autorisent
l’utilisateur à effectuer des actions spécifiques ou bien octroient un droit d’accès en
lecture ou en écriture à une zone d’administration du cluster EMC Isilon.

Privilège Description Type


ISI_PRIV_NS_TRAVERSE Parcourir et afficher les Action
métadonnées de répertoire.

ISI_PRIV_NS_IFS_ACCESS Accéder au répertoire /ifs Action


via l’API OneFS.

Privilèges de sauvegarde et de restauration de données


Vous pouvez attribuer à un utilisateur des privilèges qui sont explicitement dédiés aux
opérations de sauvegarde et de restauration des données du cluster.

154 OneFS 8.0.1 Guide d’administration Web


Rôles et privilèges d’administrateur

Deux privilèges permettent à l’utilisateur de sauvegarder et de restaurer des données


de cluster via les protocoles côté client pris en charge : ISI_PRIV_IFS_BACKUP et
ISI_PRIV_IFS_RESTORE.

ATTENTION

Ces privilèges évitent les vérifications traditionnelles d’accès aux fichiers, telles
que les bits de mode ou les ACL NTFS.

La plupart des privilèges de cluster permettent de modifier d’une manière ou d’une


autre la configuration du cluster. Les privilèges de sauvegarde et de restauration
permettent d’accéder aux données du cluster à partir de la zone System, de parcourir
l’ensemble des répertoires et de lire toutes les données et les métadonnées des
fichiers indépendamment des autorisations associées à ces derniers.
Les utilisateurs qui se voient attribuer ces privilèges utilisent le protocole comme
protocole de sauvegarde sur une autre machine sans générer d’erreurs de refus
d’accès et sans avoir à se connecter en tant qu’utilisateur root. Ces deux privilèges
sont pris en charge avec les protocoles côté client suivants :
l SMB
l NFS
l API OneFS
l FTP
l SSH
Sur SMB, les privilèges ISI_PRIV_IFS_BACKUP et ISI_PRIV_IFS_RESTORE émulent
les privilèges Windows SE_BACKUP_NAME et SE_BACKUP_NAME. L’émulation
signifie que les procédures normales d’ouverture de fichier sont protégées par les
autorisations du système de fichiers. Pour activer les privilèges de sauvegarde et de
restauration via le protocole SMB, vous devez ouvrir les fichiers avec l’option
FILE_OPEN_FOR_BACKUP_INTENT, qui est automatiquement appliquée si vous
utilisez un logiciel de sauvegarde Windows, tel que Robocopy. L’application de cette
option n’est pas automatique lorsque vous ouvrez les fichiers à l’aide d’un logiciel
général d’exploration des fichiers, tel que l’Explorateur de fichiers Windows.
Les privilèges ISI_PRIV_IFS_BACKUP et ISI_PRIV_IFS_RESTORE prennent
principalement en charge les outils de sauvegarde Windows, tels que Robocopy. Pour
accéder à toutes les fonctions de Robocopy, notamment la copie des métadonnées
des DACL et des SACL des fichiers, l’utilisateur doit être membre du rôle prédéfini
BackupAdmin.

Privilèges de l’interface de ligne de commande


Vous pouvez exécuter la plupart des tâches accordées par un privilège via l’interface
de ligne de commande (CLI). Certaines commandes OneFS nécessitent un accès root.

Mappage des commandes aux privilèges


Chaque commande CLI est associée à un privilège. Certaines commandes nécessitent
un accès root.

Commande isi Privilège


isi antivirus ISI_PRIV_ANTIVIRUS

isi audit ISI_PRIV_AUDIT

Privilèges de l’interface de ligne de commande 155


Rôles et privilèges d’administrateur

Commande isi Privilège


isi auth, sauf isi auth roles ISI_PRIV_AUTH

isi auth roles ISI_PRIV_ROLE

isi batterystatus ISI_PRIV_DEVICES

isi cloud ISI_PRIV_CLOUDPOOLS

isi config racine

isi dedupe, sauf isi dedupe stats ISI_PRIV_JOB_ENGINE

isi dedupe stats ISI_PRIV_STATISTICS

isi devices ISI_PRIV_DEVICES

isi email ISI_PRIV_CLUSTER

isi event ISI_PRIV_EVENT

isi fc ISI_PRIV_NDMP

isi file-filter ISI_PRIV_FILE_FILTER

isi filepool ISI_PRIV_SMARTPOOLS

isi ftp ISI_PRIV_FTP

isi get racine

isi hardening ISI_PRIV_HARDENING

isi hdfs ISI_PRIV_HDFS

isi http ISI_PRIV_HTTP

isi job ISI_PRIV_JOB_ENGINE

isi license ISI_PRIV_LICENSE

isi ndmp ISI_PRIV_NDMP

isi network ISI_PRIV_NETWORK

isi nfs ISI_PRIV_NFS

ifs ntp ISI_PRIV_NTP

isi quota ISI_PRIV_QUOTA

isi readonly ISI_PRIV_DEVICES

isi remotesupport ISI_PRIV_REMOTE_SUPPORT

isi servicelight ISI_PRIV_DEVICES

isi services racine

isi set racine

isi smb ISI_PRIV_SMB

isi snapshot ISI_PRIV_SNAPSHOT

isi snmp ISI_PRIV_SNMP

isi statistics ISI_PRIV_STATISTICS

156 OneFS 8.0.1 Guide d’administration Web


Rôles et privilèges d’administrateur

Commande isi Privilège


isi status ISI_PRIV_EVENT
ISI_PRIV_DEVICES
ISI_PRIV_JOB_ENGINE
ISI_PRIV_NETWORK
ISI_PRIV_SMARTPOOLS
ISI_PRIV_STATISTICS

isi storagepool ISI_PRIV_SMARTPOOLS

isi swift ISI_PRIV_SWIFT

isi sync ISI_PRIV_SYNCIQ

isi tape ISI_PRIV_NDMP

isi time ISI_PRIV_SYS_TIME

isi upgrade ISI_PRIV_SYS_UPGRADE

isi version ISI_PRIV_CLUSTER

isi worm, sauf isi worm files delete ISI_PRIV_WORM

isi worm files delete ISI_PRIV_IFS_WORM_DELETE

isi zone ISI_PRIV_AUTH

Mappage des privilèges aux commandes


Chaque privilège est associé à une ou plusieurs commandes. Certaines commandes
nécessitent un accès root.

Privilège Commandes isi


ISI_PRIV_ANTIVIRUS isi antivirus

ISI_PRIV_AUDIT isi audit

ISI_PRIV_AUTH isi auth - excluding isi auth role


isi zone

ISI_PRIV_CLOUDPOOLS isi cloud

ISI_PRIV_CLUSTER isi email


isi version

ISI_PRIV_DEVICES isi batterystatus


isi devices
isi readonly
isi servicelight
isi status

ISI_PRIV_EVENT isi event


isi status

ISI_PRIV_FILE_FILTER isi file-filter

Privilèges de l’interface de ligne de commande 157


Rôles et privilèges d’administrateur

Privilège Commandes isi


ISI_PRIV_FTP isi ftp

ISI_PRIV_HARDENING isi hardening

ISI_PRIV_HDFS isi hdfs

ISI_PRIV_HTTP isi http

ISI_PRIV_JOB_ENGINE isi job


isi dedupe
isi status

ISI_PRIV_LICENSE isi license

ISI_PRIV_NDMP isi fc
isi tape
isi ndmp

ISI_PRIV_NETWORK isi network


isi status

ISI_PRIV_NFS isi nfs

ISI_PRIV_NTP isi ntp

ISI_PRIV_QUOTA isi quota

ISI_PRIV_REMOTE_SUPPORT isi remotesupport

ISI_PRIV_ROLE isi auth role

ISI_PRIV_SMARTPOOLS isi filepool


isi storagepool
isi status

ISI_PRIV_SMB isi smb

ISI_PRIV_SNAPSHOT isi snapshot

ISI_PRIV_SNMP isi snmp

ISI_PRIV_STATISTICS isi status


isi statistics
isi dedupe stats

ISI_PRIV_SWIFT isi swift

ISI_PRIV_SYNCIQ isi sync

ISI_PRIV_SYS_TIME isi time

ISI_PRIV_SYS_UPGRADE isi upgrade

ISI_PRIV_WORM isi worm excluding isi worm files delete

ISI_PRIV_IFS_WORM_DELETE isi worm files delete

root l isi config


l isi get

158 OneFS 8.0.1 Guide d’administration Web


Rôles et privilèges d’administrateur

Privilège Commandes isi

l isi services
l isi set

Gestion des rôles


Vous pouvez afficher, ajouter ou supprimer des membres de n’importe quel rôle. À
l’exception des rôles prédéfinis, dont vous ne pouvez pas modifier les privilèges, vous
pouvez ajouter ou supprimer des privilèges OneFS pour un rôle.

Remarque

Les rôles acceptent aussi bien des utilisateurs que des groupes en tant que membres.
Si un groupe est ajouté à un rôle, tous les utilisateurs qui font partie de ce groupe se
voient attribuer les privilèges associés à ce rôle. De même, les membres de plusieurs
rôles se voient attribuer les privilèges combinés de chaque rôle.

Créer un rôle personnalisé


Vous pouvez créer un rôle personnalisé, puis lui ajouter des utilisateurs et des
privilèges.
Procédure
1. Cliquez sur Access > Membership & Roles > Roles.
2. Cliquez sur Create a Role.
3. Dans le champ Role Name, saisissez le nom du rôle.
Le nom du rôle doit respecter les conventions de dénomination POSIX. Par
exemple, le nom du rôle ne doit pas contenir d’espaces ou de traits d’union.
4. Dans le champ Description, saisissez une description.
5. Cliquez sur Add a member to this role pour ajouter un membre au rôle.
6. Cliquez sur Add a privilege to this role pour attribuer des privilèges et des
droits d’accès.
7. Cliquez sur Create Role.

Modifier un rôle
Vous pouvez modifier la description d’un rôle ainsi que ses utilisateurs ou ses groupes
membres, y compris pour les rôles prédéfinis. Toutefois, vous pouvez modifier le nom
et les privilèges uniquement pour les rôles personnalisés.
Procédure
1. Cliquez sur Access > Membership & Roles > Roles.
2. Dans la zone Roles, sélectionnez un rôle et cliquez sur View / Edit.
La boîte de dialogue View Role Details s’affiche.
3. Cliquez sur Edit Role et modifiez les paramètres en fonction des besoins dans la
boîte de dialogue Edit Role Details.

Gestion des rôles 159


Rôles et privilèges d’administrateur

4. Cliquez sur Save Changes pour revenir à la boîte de dialogue View Role
Details.
5. Cliquez sur Close.

Copier un rôle
Vous pouvez copier un rôle existant et ajouter des privilèges et des membres à ce rôle
ou en supprimer en fonction des besoins.
Procédure
1. Cliquez sur Access > Membership & Roles > Roles.
2. Dans la zone Roles, sélectionnez un rôle et cliquez sur More > Copy.
3. Modifiez le nom, la description, les membres et les privilèges du rôle en fonction
des besoins.
4. Cliquez sur Copy Role.

Ajouter un privilège à un rôle personnalisé


Vous pouvez ajouter des privilèges à un rôle personnalisé en fonction des besoins, ou
les supprimer. Vous pouvez préciser que certains privilèges sont en lecture seule ou en
lecture/écriture. Vous pouvez également modifier les privilèges attribués à un rôle
intégré. Répétez cette procédure pour chaque privilège que vous souhaitez ajouter à
un rôle personnalisé.
Procédure
1. Cliquez sur Add a privilege to this role dans la boîte de dialogue permettant de
créer, copier ou modifier un rôle.

2. Dans la boîte de dialogue Add a privilege to this role, sélectionnez un type


d’accès pour le rôle.
3. Sélectionnez un privilège dans la liste.
4. Cliquez sur Add Privilege.

Ajouter un membre à un rôle


Vous pouvez ajouter un ou plusieurs membres à un rôle lors de la création, de la copie
ou de la modification du rôle. Un utilisateur ou un groupe peut être membre de
plusieurs rôles. Les privilèges associés à un rôle sont accordés à tous les membres de
ce rôle. Répétez cette procédure pour ajouter d’autres membres au rôle.
Procédure
1. Cliquez sur Add a member to this role dans la boîte de dialogue permettant de
créer, copier ou modifier un rôle.
2. Dans la boîte de dialogue Select a User, sélectionnez l’une des options
suivantes :
l Users
l Groups
l Well-known SIDs
3. Si vous avez sélectionné User ou Group, localisez l’utilisateur ou le groupe en
utilisant l’une des méthodes suivantes :
l Dans le champ de texte, saisissez le nom d’utilisateur ou de groupe que vous
souhaitez rechercher.

160 OneFS 8.0.1 Guide d’administration Web


Rôles et privilèges d’administrateur

l Sélectionnez le fournisseur d’authentification que vous souhaitez rechercher


dans la liste Provider. Seuls les fournisseurs actuellement configurés et
activés sur le cluster sont répertoriés.
4. Cliquez sur Search.
5. Sélectionnez un nom d’utilisateur, un nom de groupe ou un identifiant de
sécurité connu dans les résultats de la recherche à ajouter en tant que membre
au rôle.
6. Cliquez sur Select.

Supprimer un rôle personnalisé


La suppression d’un rôle personnalisé n’a pas d’incidence sur les privilèges ou les
utilisateurs qui lui sont attribués. Vous ne pouvez pas supprimer les rôles intégrés.
Procédure
1. Cliquez sur Access > Membership & Roles > Roles.
2. Dans la zone Roles, sélectionnez un ou plusieurs rôles, puis effectuez l’une des
actions suivantes :
l Pour supprimer un seul rôle, cliquez sur More > Delete dans la colonne
Actions en regard du rôle sélectionné.
l Pour supprimer plusieurs rôles, sélectionnez Delete Selection dans la liste
Select a bulk action.
3. Dans la fenêtre de confirmation, cliquez sur Delete.

Afficher un rôle
Vous pouvez afficher des informations sur les rôles intégrés et personnalisés.
Procédure
1. Cliquez sur Access > Membership & Roles > Roles.
2. Dans la zone Roles, sélectionnez un rôle et cliquez sur View / Edit.
3. Dans la boîte de dialogue View Role Details, affichez les informations sur le
rôle.
4. Cliquez sur Close pour revenir à la page Membership & Roles.

Afficher les privilèges


Vous pouvez afficher les privilèges de l’utilisateur.
Cette procédure doit être exécutée via l’interface de ligne de commande (CLI). Vous
pouvez afficher la liste de vos privilèges ou de ceux d’un autre utilisateur à l’aide des
commandes suivantes :
Procédure
1. Établissez une connexion SSH vers n’importe quel nœud du cluster.
2. Pour afficher les privilèges, exécutez l’une des commandes suivantes.
l Pour afficher la liste de tous les privilèges, exécutez la commande suivante :

isi auth privileges --verbose

Supprimer un rôle personnalisé 161


Rôles et privilèges d’administrateur

l Pour afficher la liste de vos privilèges, exécutez la commande suivante :

isi auth id

l Pour afficher la liste des privilèges d’un autre utilisateur, exécutez la


commande suivante, dans laquelle <user> est un espace réservé à un autre
utilisateur identifié par son nom :

isi auth mapping token <user>

162 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 7
Gestion des identités

Cette rubrique contient les rubriques suivantes :

l Présentation de la gestion des identités............................................................164


l Types d’identité................................................................................................ 164
l Jetons d’accès..................................................................................................165
l Génération de jetons d’accès............................................................................166
l Gestion des ID de mappage...............................................................................173
l Gestion des identités des utilisateurs................................................................ 177

Gestion des identités 163


Gestion des identités

Présentation de la gestion des identités


Dans les environnements comportant plusieurs types de service d’annuaire, OneFS
mappe les utilisateurs et les groupes des différents services afin de fournir une seule
identité unifiée sur un cluster EMC Isilon ainsi qu’un contrôle d’accès uniforme aux
fichiers et aux répertoires, quel que soit le protocole entrant. Ce processus est appelé
mappage des identités.
Les clusters Isilon sont souvent déployés dans des environnements multiprotocoles
comportant plusieurs types de service d’annuaire, tels qu’Active Directory et LDAP.
Lorsqu’un utilisateur possédant des comptes dans différents services d’annuaire se
connecte à un cluster, OneFS regroupe les identités et les privilèges détenus par cet
utilisateur dans tous les services d’annuaire, pour créer un jeton d’accès natif.
Vous pouvez configurer les paramètres OneFS pour y inclure une liste de règles de
gestion du jeton d’accès destinées à contrôler l’identité et les privilèges de l’utilisateur.
Par exemple, vous pouvez définir une règle de mappage des utilisateurs en vue de
fusionner une identité Active Directory et une identité LDAP dans un seul jeton
permettant d’accéder aux fichiers stockés via SMB et NFS. Le jeton peut inclure des
groupes Active Directory et LDAP. Les règles de mappage que vous créez peuvent
résoudre les problèmes d’identité en gérant les jetons d’accès de différentes façons,
par exemple en accomplissant les actions suivantes :
l Authentifier un utilisateur avec Active Directory tout en lui octroyant une identité
UNIX
l Sélectionner un groupe principal à partir de choix concurrents dans Active
Directory ou LDAP
l Refuser la connexion des utilisateurs qui n’existent pas à la fois dans Active
Directory et dans LDAP
Pour plus d’informations sur la gestion des identités, consultez le livre blanc Managing
identities with the Isilon OneFS user mapping service sur le site de support en ligne EMC.

Types d’identité
OneFS prend en charge trois types d’identité principaux, que vous pouvez stocker
directement dans le système de fichiers. Les types d’identité sont l’identifiant
utilisateur et l’identifiant de groupe pour UNIX, et l’identifiant de sécurité pour
Windows.
Lorsque vous vous connectez à un cluster EMC Isilon, votre identité est étendue pour
inclure vos autres identités auprès de tous les services d’annuaire, notamment Active
Directory, LDAP et NIS. Après que OneFS a mappé vos identités avec les différents
services d’annuaire, il génère un jeton d’accès qui comprend les informations d’identité
associées à vos comptes. Un jeton inclut les identifiants suivants :
l Un identifiant utilisateur (UID) et un identifiant de groupe (GID) UNIX. Un UID ou
un GID est un nombre de 32 bits dont la valeur maximale est 4 294 967 295.
l Un identifiant de sécurité (SID) pour un compte utilisateur Windows. Un SID est
une série d’autorités et de sous-autorités se terminant par un identifiant relatif
(RID) de 32 bits. La plupart des identifiants SID ont le format S-1-5-21-<A>-<B>-
<C>-<RID>, où <A>, <B> et <C> sont propres à un domaine ou à un ordinateur et
<RID> correspond à l’objet dans le domaine.
l Un SID de groupe principal pour un compte de groupe Windows.

164 OneFS 8.0.1 Guide d’administration Web


Gestion des identités

l Une liste d’identités supplémentaires, incluant tous les groupes dont l’utilisateur
est membre.
Le jeton contient également les privilèges issus du contrôle d’accès basé sur les rôles
d’administration.
Sur un cluster Isilon, un fichier contient des autorisations, qui apparaissent en tant que
liste de contrôle d’accès (ACL). L’ACL gère l’accès aux répertoires, aux fichiers et à
d’autres objets système pouvant être sécurisés.
Lorsqu’un utilisateur tente d’accéder à un fichier, OneFS compare les identités du
jeton d’accès de l’utilisateur à l’ACL du fichier. OneFS accorde l’accès lorsque l’ACL
du fichier contient une entrée de contrôle d’accès (ACE) qui autorise l’identité du
jeton à accéder au fichier, mais qu’elle ne contient aucune ACE qui refuse l’accès à
cette identité. OneFS compare le jeton d’accès d’un utilisateur à l’ACL d’un fichier.

Remarque

Pour plus d’informations sur les ACL, notamment la description des autorisations et de
leur correspondance avec les bits de mode POSIX, consultez le livre blanc intitulé EMC
Isilon Multiprotocol Data Access with a Unified Security Model sur le site Web de support
en ligne EMC.

Lorsqu’un nom est fourni en tant qu’identifiant, il est converti en objet utilisateur ou
groupe correspondant et au type d’identité approprié. Vous pouvez saisir ou afficher
un nom de différentes manières :
l UNIX prend en compte des espaces de nommage uniques sensibles à la casse pour
les utilisateurs et les groupes. Par exemple, Nom et nom représentent différents
objets.
l Windows fournit un espace de nommage unique, non sensible à la casse, pour tous
les objets et spécifie également un préfixe pour cibler un domaine Active Directory,
par exemple domain\name.
l Kerberos et NFSv4 définissent des entités de sécurité, ce qui nécessite que les
noms aient le même format que des adresses e-mail, par exemple
name@domain.com.
Plusieurs noms peuvent faire référence au même objet. Par exemple, pour le nom
support et le domaine example.com, support, EXAMPLE\support et
support@example.com sont tous les noms d’un objet Active Directory unique.

Jetons d’accès
Un jeton d’accès est créé lorsque l’utilisateur émet une première demande d’accès.
Les jetons d’accès représentent l’identité d’un utilisateur lorsqu’il exécute des actions
sur le cluster. Lors de la création d’un fichier, ils fournissent l’identité du propriétaire
et du groupe principaux. Les jetons d’accès sont également comparés à l’ACL ou aux
bits de mode lors des vérifications d’autorisations.
Lors de l’autorisation des utilisateurs, OneFS compare le jeton d’accès généré lors de
la connexion initiale aux données d’autorisation du fichier. Tous les mappages
d’utilisateurs et d’identités sont effectués lors de la génération des jetons ; aucun
mappage n’a lieu pendant l’évaluation des autorisations.
Un jeton d’accès inclut tous les UID, GID et SID d’une identité, ainsi que l’ensemble
des privilèges OneFS. OneFS lit les informations du jeton pour déterminer si un
utilisateur a accès à une ressource. Il est important que le jeton contienne une liste
correcte d’UID, de GID et de SID. Le jeton d’accès est créé à partir de l’une des
sources suivantes :

Jetons d’accès 165


Gestion des identités

Source Authentification
Nom d’utilisateur l Emprunt d’identité SMB
l NFSv3 avec Kerberos
l NFSv4 avec Kerberos
l Mappage des utilisateurs d’une
exportation NFS
l HTTP
l FTP
l HDFS

Certificat PAC l SMB NTLM


l Active Directory Kerberos

Identifiant utilisateur (UID) l Mappage NFS AUTH_SYS

Génération de jetons d’accès


Pour la plupart des protocoles, le jeton d’accès est généré à partir du nom d’utilisateur
ou des données d’autorisation extraites lors de l’authentification.
Les étapes suivantes présentent un aperçu simplifié du processus complexe
permettant de générer un jeton d’accès :
Étape 1 : Recherche de l’identité de l’utilisateur
À l’aide de l’identité d’origine, l’utilisateur est recherché dans tous les fournisseurs
d’authentification configurés dans la zone d’accès, dans l’ordre dans lequel ils
sont répertoriés. Les listes d’identités utilisateur et de groupes sont récupérées
auprès du fournisseur d’authentification. Ensuite, les appartenances
supplémentaires à des groupes répertoriées pour l’utilisateur et pour le groupe
sont recherchées dans tous les autres fournisseurs d’authentification. Tous ces
SID, UID et GID sont ajoutés au jeton d’origine.

Remarque

Il n’en va pas de même si le fournisseur AD est configuré pour appeler d’autres


fournisseurs, tels que LDAP ou NIS.

Étape 2 : Mappage des ID


Les identifiants de l’utilisateur sont associés à partir de tous les services
d’annuaire. Tous les SID sont convertis en leur UID/GID équivalent et
inversement. Ces mappages d’ID sont également ajoutés au jeton d’accès.

Étape 3 : Mappage utilisateur


Les jetons d’accès des autres services d’annuaire sont combinés. Si le nom
d’utilisateur correspond à une règle de mappage des utilisateurs, les règles sont
traitées dans l’ordre et le jeton est mis à jour en conséquence.

166 OneFS 8.0.1 Guide d’administration Web


Gestion des identités

Étape 4 : Calcul de l’identité sur disque


L’identité sur disque par défaut est calculée à partir du jeton final et du paramètre
global. Ces identités sont utilisées pour les nouveaux fichiers créés.

Mappage des ID
Le service de mappage des identités (ID) conserve les informations de relations entre
identifiants Windows et UNIX mappés afin de permettre un contrôle d’accès cohérent
entre les protocoles de partage de fichiers dans une zone d’accès.

Remarque

Malgré la similarité de leur nom, le mappage des ID et le mappage des utilisateurs sont
des services différents.

Au cours de l’authentification, le processus d’authentification demande les identités de


mappage auprès du service de mappage des ID afin de créer des tokens d’accès. En
cas de demande, le service de mappage des identités renvoie les identifiants Windows
mappés sur les identifiants UNIX ou, inversement, les identifiants UNIX mappés sur les
identifiants Windows. Lorsqu’un utilisateur s’authentifie auprès d’un cluster sur NFS
avec un UID ou un ID de groupe (GID), le service de mappage des ID renvoie le SID
Windows mappé, ce qui permet l’accès aux fichiers qu’un autre utilisateur a
enregistrés via SMB. Lorsqu’un utilisateur s’authentifie auprès du cluster sur SMB
avec un SID, le service de mappage des ID renvoie l’UID et le SID UNIX mappés, ce qui
permet l’accès aux fichiers qu’un client UNIX a enregistrés via NFS.
Les mappages entre les UID ou GID et les SID sont stockés en fonction de la zone
d’accès dans une base de données distribuée de cluster (appelée mappage des ID).
Chaque mappage est stocké dans le mappage des ID en tant que relation
unidirectionnelle entre la source et le type d’identité cible. Les mappages
bidirectionnels sont enregistrés en tant que mappages unidirectionnels
complémentaires.

Mappage des ID Windows sur des ID UNIX


Lorsqu’un utilisateur Windows s’authentifie avec un SID, le processus
d’authentification lance une recherche dans le fournisseur Active Directory externe
pour rechercher l’utilisateur ou le groupe associé à l’identifiant de sécurité. Si
l’utilisateur ou le groupe n’a qu’un seul SID dans Active Directory, le processus
d’authentification demande un mappage auprès du service de mappage des ID.

Remarque

Les recherches des utilisateurs et des groupes peuvent être désactivées ou limitées,
en fonction des paramètres d’Active Directory. Les paramètres de recherche
d’utilisateurs et de groupes sont activés à l’aide de la commande isi auth ads
modify.

Si le service de mappage des ID ne peut localiser et renvoyer un UID ou un GID mappé


dans le mappage des ID, le processus d’authentification effectue une recherche dans
d’autres fournisseurs d’authentification externes configurés dans la même zone
d’accès pour déterminer si le nom d’un utilisateur correspond à celui de l’utilisateur
Active Directory.
Si un nom d’utilisateur correspondant est identifié dans un autre fournisseur externe,
le processus d’authentification ajoute l’UID ou le GID de l’utilisateur correspondant au
token d’accès de l’utilisateur Active Directory et le service de mappage des ID crée un

Mappage des ID 167


Gestion des identités

mappage entre l’UID ou le GID et le SID de l’utilisateur Active Directory dans le


mappage des ID. Ce processus est appelé mappage externe.

Remarque

Lorsqu’un mappage externe est stocké dans le mappage des ID, l’UID est spécifié en
tant qu’identité sur disque pour cet utilisateur. Lorsque le service de mappage des ID
stocke un mappage, le SID est spécifié en tant qu’identité sur disque.

Si aucun nom d’utilisateur correspondant n’est trouvé dans un autre fournisseur


externe, le processus d’authentification attribue un UID ou un GID de la plage de
mappage des ID à l’identifiant de sécurité de l’utilisateur Active Directory, et le service
de mappage des ID enregistre le mappage dans le mappage des ID. Ce processus est
appelé mappage généré. La plage de mappage des ID est un pool des UID et GID
attribués dans les paramètres de mappage.
Une fois qu’un mappage a été créé pour un utilisateur, le processus d’authentification
récupère l’UID ou le GID stocké dans le mappage des ID au cours des prochaines
recherches sur l’utilisateur.

Mappage des ID UNIX sur des ID Windows


Le service de mappage des ID crée des mappages temporaires entre UID et SID et
entre GID et SID uniquement si le mappage n’existe pas déjà. Les SID UNIX résultant
de ces mappages ne sont jamais stockés sur le disque.
Les UID et les GID disposent d’un jeu prédéfini de mappages vers et depuis les SID.
Si un mappage UID vers SID ou GID vers SID est demandé au cours de
l’authentification, le service de mappage des ID génère un SID UNIX temporaire au
format S-1-22-1-<UID> ou S-1-22-2-<GID> en appliquant les règles suivantes :
l Pour les UID, le service de mappage des ID génère un SID UNIX avec un domaine
de S-1-22-1 et un ID de ressource (RID) correspondant à l’UID. Par exemple, le SID
UNIX correspondant à l’UID 600 est S-1-22-1-600.
l Pour les GID, le service de mappage des ID génère un SID UNIX avec un domaine
de S-1-22-2 et un RID correspondant au GID. Par exemple, le SID UNIX
correspondant au GID 800 est S-1-22-2-800.

Plage de mappages d ID
Dans les zones d'accès avec plusieurs fournisseurs d'authentification externes tels que
Active Directory et LDAP, il est important d'éviter tout chevauchement entre les UID
et les GID provenant de différents fournisseurs configurés dans la même zone d'accès.
Le chevauchement d'ID utilisateur et de groupe entre plusieurs fournisseurs dans une
zone d'accès peut conduire certains utilisateurs à obtenir un accès aux répertoires et
fichiers d'autres utilisateurs.
La plage d'UID et de GID pouvant être affectés aux mappages produits peut être
configurée dans chaque zone d'accès à l'aide de la commande isi auth settings
mappings modify. La plage par défaut pour les UID et les GID est de 1000000 à
2000000 dans chaque zone d'accès.
N’incluez pas les UID et les GID les plus couramment utilisés dans vos plages d’ID. Par
exemple, les UID et les GID inférieurs à 1 000 sont réservés aux comptes système et
ne doivent pas être attribués à des utilisateurs ou à des groupes.

168 OneFS 8.0.1 Guide d’administration Web


Gestion des identités

Mappage utilisateur
Le mappage des utilisateurs permet de contrôler les autorisations en spécifiant les
identifiants de sécurité, les identifiants utilisateur et les identifiants de groupe d’un
utilisateur. OneFS utilise les identifiants pour contrôler la propriété des fichiers ou des
groupes.
Grâce à la fonction de mappage des utilisateurs, vous pouvez appliquer des règles pour
modifier l’identité utilisateur utilisée par OneFS, ajouter des identités utilisateur
supplémentaires et modifier l’appartenance d’un utilisateur à des groupes. Le service
de mappage des utilisateurs combine les identités d’un utilisateur dans différents
services d’annuaire en un seul jeton d’accès, qu’il modifie ensuite en fonction des
règles que vous créez.

Remarque

Vous pouvez configurer des règles de mappage pour chaque zone. Les règles de
mappage doivent être configurées séparément dans chaque zone d’accès qui les
utilise. OneFS ne mappe les utilisateurs qu’au moment de la connexion ou de l’accès du
protocole.

Mappages des utilisateurs par défaut


Les mappages des utilisateurs par défaut déterminent l’accès si aucune règle de
mappage explicite n’a été créée.
Si vous ne configurez pas de règles, un utilisateur qui s’authentifie auprès d’un service
d’annuaire reçoit les informations d’identité d’autres services d’annuaire lorsque le
nom du compte est identique. Par exemple, un utilisateur qui s’authentifie auprès d’un
domaine Active Directory en tant que Desktop\jane reçoit automatiquement, dans le
jeton d’accès final, les identités du compte utilisateur UNIX correspondant à jane dans
l’annuaire LDAP ou NIS.
Dans le scénario le plus courant, OneFS est connecté à deux services d’annuaire,
Active Directory et LDAP. Dans un tel cas, le mappage par défaut fournit à l’utilisateur
les attributs d’identité suivants :
l Un UID provenant de l’annuaire LDAP
l L’identifiant de sécurité utilisateur provenant d’Active Directory
l Un identifiant de sécurité provenant du groupe par défaut dans Active Directory
Les groupes de l’utilisateur proviennent d’Active Directory et de LDAP. Les groupes
LDAP et l’ID de groupe généré automatiquement sont ajoutés à la liste. Pour extraire
des groupes depuis l’annuaire LDAP, le service de mappage interroge l’attribut
memberUid. Le répertoire personnel, le champ Gecos et le shell de l’utilisateur
proviennent d’Active Directory.

Éléments des règles de mappage des utilisateurs


Pour créer une règle de mappage des utilisateurs, vous combinez des opérateurs à des
noms d’utilisateur.
Les éléments suivants ont une incidence sur la manière dont le service de mappage
des utilisateurs applique une règle :
l Opérateur qui détermine l’opération qu’une règle exécute
l Champs des noms d’utilisateur

Mappage utilisateur 169


Gestion des identités

l Options
l Paramètre
l Caractères génériques

Bonnes pratiques relatives au mappage des utilisateurs


Pour simplifier le mappage des utilisateurs, vous pouvez respecter les bonnes
pratiques ci-dessous.
Utiliser Active Directory avec RFC 2307 et Windows Services for UNIX
Utilisez Microsoft Active Directory avec Windows Services for UNIX et les
attributs RFC 2307 pour gérer les systèmes Linux, UNIX et Windows.
L’intégration des systèmes UNIX et Linux avec Active Directory centralise la
gestion des identités et facilite l’interopérabilité ; les règles de mappage des
utilisateurs sont ainsi moins indispensables. Assurez-vous que vos contrôleurs de
domaine exécutent Windows Server 2003 ou une version supérieure.

Utiliser une stratégie de noms d’utilisateur cohérente


Dans les configurations les plus simples, les noms d’utilisateur sont cohérents, de
sorte que chaque utilisateur UNIX correspond à un utilisateur Windows nommé de
la même manière. Une telle convention permet aux règles contenant des
caractères génériques de mettre en correspondance les noms et de les mapper
sans que chaque paire de comptes doive être spécifiée explicitement.

Ne pas utiliser de plages d’ID qui se chevauchent


Dans les réseaux comportant plusieurs référentiels d’identités, tels que LDAP et
Active Directory avec les attributs RFC 2307, vous devez veiller à ce que les
plages d’UID (ID utilisateur) et de GID (ID de groupe) ne se chevauchent pas. Il
est également important que la plage à partir de laquelle OneFS alloue
automatiquement des UID et des GID ne chevauche aucune autre plage d’ID.
OneFS alloue automatiquement des UID et des GID à partir de la plage
1 000 000-2 000 000. Si les UID et les GID chevauchent plusieurs services
d’annuaire, il est possible que certains utilisateurs puissent accéder aux
répertoires et aux fichiers d’autres utilisateurs.

Éviter les UID et les GID couramment utilisés


N’incluez pas les UID et les GID les plus couramment utilisés dans vos plages d’ID.
Par exemple, les UID et les GID inférieurs à 1 000 sont réservés aux comptes
système ; ne les attribuez pas à des utilisateurs ou à des groupes.

Ne pas utiliser d’UPN dans les règles de mappage


Vous ne pouvez pas utiliser un UPN (nom d’utilisateur principal) dans une règle de
mappage des utilisateurs. Un UPN combine un domaine Active Directory et un
nom d’utilisateur pour former un nom au format Internet avec le symbole @, par
exemple une adresse e-mail : jane@example. Si vous insérez un UPN dans une
règle, le service de mappage l’ignore et peut renvoyer une erreur. Il est préférable
de spécifier les noms au format DOMAIN\user.com.

Regrouper les règles par type et les ordonner


Par défaut, le système traite chaque règle de mappage, ce qui peut entraîner des
problèmes lorsque vous appliquez une règle deny-all, par exemple pour refuser
l’accès à tous les utilisateurs inconnus. En outre, les règles de remplacement
peuvent interagir avec les règles qui contiennent des caractères génériques. Pour
plus de simplicité, il est recommandé de regrouper les règles par type et de les
organiser dans l’ordre suivant :

170 OneFS 8.0.1 Guide d’administration Web


Gestion des identités

1. Règles de remplacement : définissez d’abord toutes les règles qui remplacent


une identité de façon que OneFS remplace toutes les instances de cette
identité.
2. Règles de jonction, d’ajout et d’insertion : une fois les noms définis par une
éventuelle opération de remplacement, spécifiez des règles de jonction,
d’ajout et d’insertion de façon à ajouter des identifiants supplémentaires.
3. Règles d’autorisation et de refus : définissez en dernier les règles qui
autorisent ou refusent l’accès.

Remarque

Arrêtez tout traitement avant d’appliquer une règle de refus par défaut. Pour
ce faire, créez une règle qui met en correspondance les utilisateurs autorisés,
mais qui n’a aucun effet, par exemple un opérateur d’ajout ne comportant
aucun option de champ, mais avec l’option break. Après avoir répertorié les
utilisateurs autorisés, vous pouvez définir une règle catchall deny à la fin pour
remplacer tout utilisateur sans correspondance par un utilisateur vide.

Pour éviter que les règles explicites soient ignorées, dans chaque groupe de
règles, placez les règles explicites avant celles qui contiennent des caractères
génériques.

Ajouter le groupe principal LDAP ou NIS aux groupes supplémentaires


Lorsqu’un cluster Isilon est connecté à Active Directory et à LDAP, la bonne
pratique consiste à ajouter le groupe principal LDAP à la liste des groupes
supplémentaires. Ainsi, OneFS honore les autorisations de groupe sur les fichiers
créés via NFS ou ayant fait l’objet d’une migration à partir d’autres systèmes de
stockage UNIX. La même pratique est recommandée lorsqu’un cluster Isilon est
connecté à Active Directory et à NIS.

Identité sur disque


Une fois que le service de mappage des utilisateurs a résolu les identités d’un
utilisateur, OneFS détermine un identifiant faisant autorité pour celui-ci ; il s’agit de
l’identité sur disque privilégiée.
OneFS stocke les identités UNIX ou Windows dans les métadonnées de fichier sur
disque. Les types d’identité sur disque sont UNIX, SID et native. Les identités sont
définies lorsqu’un fichier est créé ou que ses données de contrôle d’accès sont
modifiées. Presque tous les protocoles exigent un certain niveau de mappage pour
fonctionner correctement. Par conséquent, le choix de l’identité privilégiée à stocker
sur disque est important. Vous pouvez configurer OneFS pour qu’il stocke l’identité
UNIX ou Windows, ou l’autoriser à déterminer lui-même la meilleure identité à stocker.
Les types d’identité sur disque sont UNIX, SID et native. Bien que vous puissiez
modifier le type d’identité sur disque, l’identité native convient le mieux à un réseau
comportant des systèmes UNIX et Windows. En mode d’identité sur disque native, la
définition de l’UID en tant qu’identité sur disque améliore les performances de NFS.

Identité sur disque 171


Gestion des identités

Remarque

Le type d’identité sur disque SID est destiné à un réseau homogène de systèmes
Windows gérés uniquement avec Active Directory. Lorsque vous procédez à une mise
à niveau depuis une version antérieure à OneFS 6.5, l’identité sur disque est de type
UNIX. Lorsque vous effectuez une mise à niveau à partir de OneFS version 6.5 ou
supérieure, le paramètre d’identité sur disque est conservé. Dans les nouvelles
installations, l’identité sur disque est native.

L’identité sur disque native permet au processus d’authentification OneFS de


sélectionner la bonne identité à stocker sur le disque en vérifiant les types de mappage
des identités dans l’ordre suivant :

Ordre Type de mappage Description


1 Mappage algorithmique Un SID correspondant à
S-1-22-1-UID ou à S-1-22-2-
GID dans la base de données
de mappage des ID interne est
reconverti en identité UNIX
correspondante, et l’UID et le
GID sont définis en tant
qu’identité sur disque.

2 Mappage externe Pour un utilisateur avec un


UID et un GID explicites
définis dans un service
d’annuaire (tel qu’Active
Directory avec les attributs
RFC 2307, LDAP, NIS, le
fournisseur de fichiers OneFS
ou le fournisseur local),
l’identité UNIX est définie
comme identité sur disque.

3 Mappage persistant Les mappages sont stockés


de manière permanente dans
la base de données de
mappage des identités. Une
identité ayant un mappage
permanent dans la base de
données de mappage des
identités utilise la destination
de ce mappage en tant
qu’identité sur disque, ce qui
se produit principalement
avec les mappages manuels
d’ID. Par exemple, s’il existe
un mappage d’ID de GID:
10000 vers S-1-5-32-545, une
demande de stockage sur
disque de GID:10000 renvoie
S-1-5-32-545.

4 Aucun mappage Si un utilisateur ne dispose


d’aucun UID ni GID, même
après l’interrogation des

172 OneFS 8.0.1 Guide d’administration Web


Gestion des identités

Ordre Type de mappage Description


autres services d’annuaire et
bases de données d’identités,
son SID est défini en tant
qu’identité sur disque. En
outre, pour garantir qu’un
utilisateur peut accéder aux
fichiers via NFS, OneFS alloue
un UID et un GID à partir
d’une plage prédéfinie allant
de 1 000 000 à 2 000 000. En
mode d’identité sur disque
native, un UID ou un GID
généré par OneFS n’est
jamais défini en tant
qu’identité sur disque.

Remarque

Si vous modifiez le type d’identité sur disque, vous devez exécuter la tâche
PermissionRepair en mode de conversion pour faire en sorte que la représentation sur
disque de tous les fichiers soit cohérente avec le paramètre modifié.

Gestion des ID de mappage


Vous pouvez créer, modifier et supprimer des mappages d’identité et en configurer les
paramètres.

Créer un mappage d’identité


Vous pouvez créer un mappage d’identité manuel entre des identités source et cible ou
générer automatiquement un mappage pour une identité source.
Cette procédure n’est disponible que via l’interface de ligne de commande.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi auth mapping create.
La commande suivante spécifie les ID des identités source et cible dans la zone
d’accès zone3 pour créer un mappage bilatéral entre les identités :

isi auth mapping create --2way --source-sid=S-1-5-21-12345 \


--target-uid=5211 --zone=zone3

Modifier un mappage d’identité


Vous pouvez modifier la configuration d’un mappage d’identité.
Cette procédure n’est disponible que via l’interface de ligne de commande.

Gestion des ID de mappage 173


Gestion des identités

Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi auth mapping modify.
La commande suivante modifie le mappage de l’utilisateur associé à l’UID 4236
dans la zone d’accès zone3 pour inclure un mappage bidirectionnel inversé entre
les identités source et cible :

isi auth mapping modify --source-uid=4236 \


--target-sid=S-1-5-21-12345 --zone=zone3 --2way

Supprimer un mappage d’identité


Vous pouvez supprimer un ou plusieurs mappages d’identité.
Cette procédure n’est disponible que via l’interface de ligne de commande.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi auth mapping delete.
La commande suivante supprime tous les mappages d’identité de la zone
d’accès zone3 :

isi auth mapping delete --all --zone=zone3

La commande suivante supprime tous les mappages d’identité de la zone


d’accès zone3 qui ont été créés automatiquement et qui incluent un ID
utilisateur ou de groupe provenant d’une source d’authentification extérieure :

isi auth mapping delete --all --only-external --zone=zone3

La commande suivante supprime le mappage d’identité de l’utilisateur associé à


l’UID 4236 dans la zone d’accès zone3 :

isi auth mapping delete --source-uid=4236 --zone=zone3

Afficher un mappage d’identité


Vous pouvez afficher les informations relatives au mappage pour une identité
spécifique.
Cette procédure n’est disponible que via l’interface de ligne de commande.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi auth mapping view.

174 OneFS 8.0.1 Guide d’administration Web


Gestion des identités

La commande suivante affiche les mappages pour un utilisateur associé à l’UID


4236 dans la zone d’accès zone3 :

isi auth mapping view --uid=4236 --zone=zone3

Le système affiche un résultat semblable à l’exemple suivant :

Nom : user_36
On-disk: UID: 4236
Unix uid: 4236
Unix gid: -100000
SMB: S-1-22-1-4236

Vider le cache de mappage d’identité


Vous pouvez vider le cache de mappage d’identité pour supprimer les copies en
mémoire de tous les mappages d’identité ou de mappages spécifiques.
Les modifications apportées aux mappages d’ID peuvent désynchroniser le cache et
entraîner une lenteur ou un blocage lors de l’authentification des utilisateurs. Vous
pouvez vider le cache pour synchroniser les mappages.
Cette procédure n’est disponible que via l’interface de ligne de commande.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi auth mapping flush.
La commande suivante vide tous les mappages d’identité sur le cluster EMC
Isilon :

isi auth mapping flush --all

La commande suivante vide le mappage de l’utilisateur associé à l’UID 4236


dans la zone d’accès zone3 :

isi auth mapping flush --source-uid-4236 --zone=zone3

Afficher un token d’utilisateur


Vous pouvez afficher le contenu d’un token d’accès généré pour un utilisateur lors de
l’authentification.
Cette procédure n’est disponible que via l’interface de ligne de commande.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi auth mapping token.
La commande suivante affiche le token d’accès d’un utilisateur associé à l’UID
4236 dans la zone d’accès zone3 :

isi auth mapping token --uid=4236 --zone=zone3

Vider le cache de mappage d’identité 175


Gestion des identités

Le système affiche un résultat semblable à l’exemple suivant :

User
Name: user_36
UID: 4236
SID: S-1-22-1-4236
On Disk: 4236
ZID: 3
Zone: zone3
Privileges: -
Primary Group
Name: user_36
GID: 4236
SID: S-1-22-2-4236
On Disk: 4236

Configurer les paramètres de mappage d’identité


Vous pouvez activer ou désactiver l’attribution automatique des ID utilisateur et de
groupe et personnaliser la plage de valeurs d’ID dans chaque zone d’accès. La plage
par défaut est 1000000-2000000.
Cette procédure n’est disponible que via l’interface de ligne de commande.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi auth settings mapping modify.
La commande suivante active l’attribution automatique des ID utilisateur et de
groupe dans la zone d’accès zone3 et définit leurs plages d’allocation sur
25000-50000 :

isi auth settings mapping modify --gid-range-enabled=yes \


--gid-range-min=25000 --gid-range-max=50000 --uid-range-
enabled=yes \
--uid-range-min=25000 --uid-range-max=50000 --zone=zone3

Afficher les paramètres de mappage d’identité


Vous pouvez afficher la configuration actuelle des paramètres de mappage d’identité
dans chaque zone.
Cette procédure n’est disponible que via l’interface de ligne de commande.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi auth settings mapping view.
La commande suivante affiche les paramètres actuels de la zone d’accès
zone3 :

isi auth settings mapping view --zone=zone3

Le système affiche un résultat semblable à l’exemple suivant :

GID Range Enabled: Yes


GID Range Min: 25000

176 OneFS 8.0.1 Guide d’administration Web


Gestion des identités

GID Range Max: 50000


UID Range Enabled: Yes
UID Range Min: 25000
UID Range Max: 50 000

Gestion des identités des utilisateurs


Vous pouvez gérer les identités des utilisateurs en créant des règles de mappage des
utilisateurs.
Lorsque vous créez des règles de mappage des utilisateurs, il est important de garder
à l’esprit les informations suivantes :
l Vous ne pouvez créer des règles de mappage des utilisateurs que si vous êtes
connecté au cluster EMC Isilon via la zone System. Toutefois, vous pouvez
appliquer des règles de mappage des utilisateurs à des zones d’accès spécifiques.
Si vous créez une règle de mappage des utilisateurs pour une zone d’accès
spécifique, cette règle s’applique uniquement dans le contexte de la zone
concernée.
l Lorsque vous modifiez le mappage des utilisateurs sur un nœud, OneFS propage la
modification aux autres nœuds.
l Une fois le mappage des utilisateurs modifié, le service d’authentification OneFS
recharge la configuration.

Afficher l’identité des utilisateurs


Vous pouvez afficher les identités et l’appartenance aux groupes d’un utilisateur dans
les services d’annuaire Active Directory et LDAP, y compris l’historique des
identifiants de sécurité (SID) de l’utilisateur.
Cette procédure doit être exécutée via l’interface de ligne de commande (CLI).

Remarque

Le jeton d’accès utilisateur OneFS contient une combinaison d’identités Active


Directory et LDAP si ces deux services d’annuaire sont configurés. Pour découvrir les
identités stockées dans chaque service d’annuaire, vous pouvez exécuter les
commandes ci-après.

Procédure
1. Établissez une connexion SSH vers n’importe quel nœud du cluster.
2. Pour afficher une identité utilisateur Active Directory uniquement, exécutez la
commande isi auth users view.
La commande suivante affiche l’identité d’un utilisateur nommé stand dans le
domaine Active Directory YORK :

isi auth users view --user=YORK\\stand --show-groups

Le système affiche un résultat semblable à l’exemple suivant :

Name: YORK\stand
DN:
CN=stand,CN=Users,DC=york,DC=hull,DC=example,DC=com
DNS Domain: york.hull.example.com

Gestion des identités des utilisateurs 177


Gestion des identités

Domain: YORK
Provider: lsa-activedirectory-
provider:YORK.HULL.EXAMPLE.COM
Sam Account Name: stand
UID: 4326
SID:
S-1-5-21-1195855716-1269722693-1240286574-591111
Primary Group
ID : GID:1000000
Name : YORK\york_sh_udg
Additional Groups: YORK\sd-york space group
YORK\york_sh_udg
YORK\sd-york-group
YORK\sd-group
YORK\domain users
3. Pour afficher une identité utilisateur LDAP uniquement, exécutez la commande
isi auth users view.
La commande suivante affiche l’identité d’un utilisateur LDAP nommé stand :

isi auth user view --user=stand --show-groups

Le système affiche un résultat semblable à l’exemple suivant :

Name: stand
DN:
uid=stand,ou=People,dc=colorado4,dc=hull,dc=example,dc=com
DNS Domain: -
Domain: LDAP_USERS
Provider: lsa-ldap-provider:Unix LDAP
Sam Account Name: stand
UID: 4326
SID: S-1-22-1-4326
Primary Group
ID : GID:7222
Name : stand
Additional Groups: stand
sd-group
sd-group2

Créer une règle de mappage d’utilisateurs


Vous pouvez créer une règle de mappage des utilisateurs pour gérer leurs identités.
Procédure
1. Cliquez sur Access > Membership & Roles > User Mapping.
2. Dans la liste Current Access Zone, sélectionnez une zone d’accès qui contient
les règles que vous souhaitez gérer, puis cliquez sur Edit User Mapping Rules.
La boîte de dialogue Edit User Mapping Rules s’affiche.
3. Cliquez sur Create a User Mapping Rule.
La boîte de dialogue Create a User Mapping Rule s’affiche.
4. Dans la liste Operation, sélectionnez une opération.
En fonction de votre sélection, la boîte de dialogue Create a User Mapping
Rule affiche des champs supplémentaires.
5. Complétez les champs requis.
6. Cliquez sur Add Rule pour enregistrer la règle et revenir à la boîte de dialogue
Edit User Mapping Rules.

178 OneFS 8.0.1 Guide d’administration Web


Gestion des identités

7. Dans la zone User Mapping Rules, cliquez sur la barre de titre de cette règle,
puis faites-la glisser vers un nouvel emplacement pour modifier la position d’une
règle dans la liste.
Les règles sont appliquées dans l’ordre dans lequel elles sont répertoriées. Pour
faire en sorte que chaque règle soit traitée, placez les règles de remplacement
en premier et les règles d’autorisation/de refus en dernier.
8. Si le token d’accès n’est pas associé à un utilisateur UNIX par défaut ou si
l’utilisateur UNIX par défaut n’a pas d’UID ou de GID, sélectionnez l’une des
options suivantes pour l’authentification :
l Générer un UID ou un GID principal depuis la plage réservée des UID et des
GID
l Refuser l’accès à l’utilisateur
l Désigner un autre utilisateur en tant qu’utilisateur UNIX par défaut

Remarque

Il est recommandé de désigner un utilisateur du compte connu qui dispose


d’un accès en lecture seule.

9. Cliquez sur Save Changes.

Tester une règle de mappage d’utilisateurs


Après avoir créé une règle de mappage d’utilisateurs, vous pouvez la tester pour vous
assurer que les résultats d’un token d’utilisateur sont conformes aux attentes.
Procédure
1. Cliquez sur Access > Membership & Roles > User Mapping.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès contenant les
règles à tester.
3. Dans la zone Test User Mapping, dans le champ User, Group, or Well-known
SID, saisissez un nom d’utilisateur ou de groupe ou un identifiant de sécurité, ou
cliquez sur Browse pour effectuer une sélection.
4. Cliquez sur Test Mapping.
Les résultats de token apparaissent dans la section Results comme suit :

User
Name:krb_user_002
UID:1002
SID:S-1-22-1-1001
On disk:1001
ZID:1
Zone:System

Privileges:-

Primary Group
Name:krb_user_001
GID:1000
SID:S-1-22-2-1001
On disk:1000

Supplemental Identities
Name:Authenticated Users
GID: -
SID:S-1-5-11

Tester une règle de mappage d’utilisateurs 179


Gestion des identités

Fusionner des tokens Windows et UNIX


Vous pouvez utiliser l’opérateur join ou append pour fusionner des tokens de différents
services d’annuaire dans un seul token utilisateur OneFS.
Lorsque les noms d’utilisateur Windows et UNIX ne correspondent pas dans les
services d’annuaire, vous pouvez créer des règles de mappage des utilisateurs qui
utilisent l’opérateur join ou append pour fusionner deux noms d’utilisateur dans un seul
token. Par exemple, si le nom d’utilisateur Windows d’un utilisateur est win_bob et que
son nom d’utilisateur UNIX soit UNIX_bob, vous pouvez joindre ou ajouter les tokens
des deux utilisateurs.
Lorsque vous ajoutez un compte à un autre compte, l’opérateur append ajoute les
informations d’une identité à une autre : OneFS ajoute les champs que les options
spécifient de l’identité source à l’identité cible. OneFS ajoute les identifiants à la liste
de groupes supplémentaires.
Procédure
1. Cliquez sur Access > Membership & Roles > User Mapping.
2. Sélectionnez la Current Access Zone qui contient les règles que vous souhaitez
gérer, puis cliquez sur Edit User Mapping Rules.
La boîte de dialogue Edit User Mapping Rules s’affiche.
3. Cliquez sur Create a User Mapping Rule.
La boîte de dialogue Create a User Mapping Rule s’affiche.
4. Dans la liste Operation, sélectionnez une option :

Option Description
Join two users together Insère la nouvelle identité dans le token.
Append field from a user Modifie le token d’accès en y ajoutant des
champs.

En fonction de votre sélection, la boîte de dialogue Create a User Mapping


Rule s’actualise pour afficher des champs supplémentaires.
5. Complétez les champs requis.
6. Cliquez sur Add Rule.

Remarque

Les règles sont appelées dans l’ordre dans lequel elles sont répertoriées. Pour
faire en sorte que chaque règle soit traitée, placez les remplacements en
premier et les règles d’autorisation/de refus en dernier. Pour modifier l’ordre
d’apparition d’une règle dans la liste, cliquez sur sa barre de titre, puis faites-la
glisser vers un nouvel emplacement.

7. Cliquez sur Save Changes.

Récupérer le groupe principal à partir de LDAP


Vous pouvez créer une règle de mappage des utilisateurs pour insérer les informations
relatives au groupe principal LDAP dans un token d’accès utilisateur.
Par défaut, le service de mappage des utilisateurs associe les informations provenant
d’AD et de LDAP, mais il donne la priorité aux informations d’AD. Vous pouvez créer

180 OneFS 8.0.1 Guide d’administration Web


Gestion des identités

une règle de mappage pour contrôler la manière dont OneFS combine les informations,
en donnant la priorité à un groupe LDAP plutôt qu’à un groupe Active Directory pour
un utilisateur.
Procédure
1. Cliquez sur Access > Membership & Roles > User Mapping.
2. Sélectionnez la Current Access Zone qui contient les règles que vous souhaitez
gérer, puis cliquez sur Edit User Mapping Rules.
La boîte de dialogue Edit User Mapping Rules s’affiche.
3. Cliquez sur Create a User Mapping Rule.
La boîte de dialogue Create a User Mapping Rule s’affiche.
4. Dans la liste Operation, sélectionnez Insert fields from a user.
La boîte de dialogue Create a User Mapping Rule s’actualise pour afficher des
champs supplémentaires.
5. Pour renseigner le champ Insert Fields into this User, procédez comme suit :
a. Cliquez sur Browse.
La boîte de dialogue Select a User s’affiche.
b. Sélectionnez un utilisateur et un fournisseur d’authentification Active
Directory.
c. Cliquez sur Search pour afficher les résultats de la recherche.
d. Sélectionnez un nom d’utilisateur et cliquez sur Select pour revenir à la boîte
de dialogue Create a User Mapping Rule.
Le groupe principal du deuxième utilisateur est inséré en tant que groupe
principal du premier utilisateur.
6. Activez la case à cocher Insert primary group SID and GID.
7. Pour renseigner le champ Insert Fields from this User, procédez comme suit :
a. Cliquez sur Browse.
La boîte de dialogue Select a User s’affiche.
b. Sélectionnez un utilisateur et un fournisseur d’authentification LDAP.
c. Cliquez sur Search pour afficher les résultats de la recherche.
d. Sélectionnez un nom d’utilisateur et cliquez sur Select pour revenir à la boîte
de dialogue Create a User Mapping Rule.
8. Cliquez sur Ajouter une règle.

Remarque

Les règles sont appelées dans l’ordre dans lequel elles sont répertoriées. Pour
faire en sorte que chaque règle soit traitée, placez les règles de remplacement
en premier et les règles d’autorisation/de refus en dernier. Pour modifier l’ordre
d’apparition d’une règle dans la liste, cliquez sur sa barre de titre, puis faites-la
glisser vers un nouvel emplacement.

9. Cliquez sur Save Changes.

Récupérer le groupe principal à partir de LDAP 181


Gestion des identités

Options des règles de mappage


Les règles de mappage peuvent contenir des options qui ciblent les champs d’un jeton
d’accès.
Un champ représente un aspect d’un jeton d’accès interdomaine, tel que l’ID
utilisateur principal et l’identifiant de sécurité d’utilisateur principal d’un utilisateur
sélectionné. Vous pouvez voir certains de ces champs dans l’interface d’administration
Web OneFS. Dans l’interface d’administration Web, User correspond au nom
d’utilisateur. Vous pouvez également afficher les champs d’un jeton d’accès à l’aide de
la commande isi auth mapping token.
Lorsque vous créez une règle, vous pouvez ajouter une option pour définir la façon
dont OneFS combine les aspects de deux identités dans un même jeton. Par exemple,
une option peut forcer OneFS à ajouter les groupes supplémentaires à un jeton.
Un jeton contient les champs suivants, que vous pouvez manipuler au moyen de règles
de mappage des utilisateurs :
l username
l unix_name
l primary_uid
l primary_user_sid
l primary_gid
l primary_group_sid
l additional_ids (comprend les groupes supplémentaires)
Les options contrôlent la manière dont une règle combine les informations d’identité
dans un jeton. L’option break est une exception : elle empêche OneFS de traiter des
règles supplémentaires.
Bien que plusieurs options puissent s’appliquer à une règle, toutes les options ne
s’appliquent à tous les opérateurs. Le tableau suivant décrit l’effet de chaque option et
les opérateurs avec lesquels elle fonctionne.

Option Opérateur Description


user insert, append Copie l’ID utilisateur principal
et l’identifiant de sécurité
d’utilisateur principal, s’ils
existent, dans le jeton.

groups insert, append Copie l’ID de groupe principal


et l’identifiant de sécurité de
groupe principal, s’ils existent,
dans le jeton.

groups insert, append Copie tous les identifiants


supplémentaires dans le jeton.
Les identifiants
supplémentaires ne
comprennent pas l’ID
utilisateur principal, l’ID de
groupe principal, l’identifiant
de sécurité d’utilisateur
principal ni l’identifiant de
sécurité de groupe principal.

182 OneFS 8.0.1 Guide d’administration Web


Gestion des identités

Option Opérateur Description


default_user tous les opérateurs sauf Si le service de mappage ne
remove groups trouve pas le deuxième
utilisateur dans une règle, il
tente de trouver le nom
d’utilisateur de l’utilisateur par
défaut. Le nom de l’utilisateur
par défaut ne peut pas
contenir de caractères
génériques. Lorsque vous
définissez l’option de
l’utilisateur par défaut dans
une règle à partir de
l’interface de ligne de
commande, vous devez
utiliser un trait de
soulignement : default_user.

break tous les opérateurs Empêche le service de


mappage d’appliquer les
règles qui suivent le point
d’insertion de l’option break.
Le service de mappage génère
le jeton final au niveau de
l’option break.

Opérateurs d’une règle de mappage


L’opérateur détermine l’effet d’une règle de mappage.
Vous pouvez créer des règles de mappage des utilisateurs, soit à partir de l’interface
d’administration Web, où les opérateurs sont répertoriés dans une liste, soit à partir de
l’interface de ligne de commande.
Lorsque vous créez une règle de mappage à partir de l’interface de ligne de commande
(CLI) OneFS, vous devez spécifier un opérateur avec un symbole. L’opérateur affecte
la direction dans laquelle le service de mappage traite une règle. Pour plus
d’informations sur la création d’une règle de mappage, consultez le livre blanc
Managing identities with the Isilon OneFS user mapping service. Le tableau ci‑dessous
décrit les opérateurs que vous pouvez utiliser dans une règle de mappage.
Une règle de mappage ne peut contenir qu’un seul opérateur.

Opérateur Interface Web CLI Orientation Description


append Append fields ++ De gauche à Modifie un jeton
from a user droite d’accès en y
ajoutant des
champs. Le
service de
mappage ajoute
les champs
indiqués dans la
liste d’options
(user, group,
groups) à la

Opérateurs d’une règle de mappage 183


Gestion des identités

Opérateur Interface Web CLI Orientation Description


première identité
de la règle. Les
champs sont
copiés à partir de
la deuxième
identité de la
règle. Tous les
identifiants
ajoutés
deviennent des
membres de la
liste de groupes
supplémentaires.
Une règle append
sans option
n’effectue
qu’une opération
de recherche ;
vous devez
inclure une
option pour
modifier un jeton.

insert Insert fields += De gauche à Modifie un jeton


from a user droite d’accès existant
en y ajoutant des
champs. Les
champs indiqués
dans la liste
d’options (user,
group, groups)
sont copiés à
partir de la
nouvelle identité
et insérés dans
l’identité du
jeton. Lorsque la
règle insère un
utilisateur ou un
groupe principal,
celui-ci devient le
nouvel utilisateur
ou groupe
principal du
jeton. Le
précédent
utilisateur ou
groupe principal
est déplacé vers
la liste
d’identifiants
supplémentaires.
La modification
de l’utilisateur

184 OneFS 8.0.1 Guide d’administration Web


Gestion des identités

Opérateur Interface Web CLI Orientation Description


principal laisse le
nom d’utilisateur
du jeton
inchangé. Lors
de l’insertion des
groupes
supplémentaires
à partir d’une
identité, le
service ajoute les
nouveaux
groupes aux
groupes
existants.

replace Replace one => De gauche à Supprime le jeton


user with a droite et le remplace
different user par le nouveau
jeton identifié
par le deuxième
nom d’utilisateur.
Si le deuxième
nom d’utilisateur
est vide, le
service de
mappage
supprime le
premier nom
d’utilisateur du
jeton ; il ne reste
donc plus aucun
nom d’utilisateur.
Si un jeton ne
contient aucun
nom d’utilisateur,
OneFS refuse
l’accès et
retourne une
erreur de type
no such
user.
remove groups Remove -- Unaire Modifie un jeton
supplemental en supprimant
groups from a les groupes
user supplémentaires.

join Join two users &= Bidirectionnelle Insère la nouvelle


together identité dans le
token. Si la
nouvelle identité
est le deuxième
utilisateur, le
service de

Opérateurs d’une règle de mappage 185


Gestion des identités

Opérateur Interface Web CLI Orientation Description


mappage l’insère
après l’identité
existante ; dans
le cas contraire,
il l’insère avant
l’identité
existante.
L’emplacement
du point
d’insertion est
important
lorsque l’identité
existante est
déjà la première
de la liste, car
OneFS utilise la
première identité
pour déterminer
le propriétaire
des nouveaux
objets du
système de
fichiers.

186 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 8
Répertoires personnels

Cette section traite des sujets suivants :

l Présentation des répertoires personnels...........................................................188


l Autorisations des répertoires personnels.......................................................... 188
l Authentification des utilisateurs SMB............................................................... 188
l Création de répertoires personnels via SMB..................................................... 188
l Création de répertoires personnels via SSH et FTP.......................................... 192
l Création de répertoires personnels dans un environnement mixte.................... 196
l Interactions entre ACL et bits de mode............................................................ 196
l Paramètres par défaut des répertoires personnels selon le fournisseur
d’authentification............................................................................................. 196
l Variables d’extension prises en charge..............................................................197
l Variables de domaine pour le provisionnement des répertoires personnels....... 199

Répertoires personnels 187


Répertoires personnels

Présentation des répertoires personnels


Lorsque vous créez un utilisateur local, OneFS crée automatiquement un répertoire
personnel pour cet utilisateur. OneFS prend également en charge le provisionnement
dynamique des répertoires personnels pour les utilisateurs qui accèdent au cluster en
se connectant à un partage SMB ou via FTP ou SSH.
Quelle que soit la méthode utilisée pour créer un répertoire personnel, vous pouvez
configurer l’accès à ce répertoire par une combinaison des protocoles SMB, SSH et
FTP.

Autorisations des répertoires personnels


Vous pouvez configurer le répertoire personnel d’un utilisateur avec une ACL Windows
ou avec des bits de mode POSIX, qui sont ensuite convertis en ACL synthétique. La
méthode utilisée pour créer un répertoire personnel détermine les autorisations
initiales définies pour celui-ci.
Lorsque vous créez un utilisateur local, son répertoire personnel est créé avec des bits
de mode par défaut.
Pour les utilisateurs qui s’authentifient auprès de sources externes, vous pouvez
spécifier des paramètres pour créer des répertoires personnels de manière dynamique
au moment de la connexion. Si un répertoire personnel est créé au cours d’une
connexion via SSH ou FTP, il est configuré avec des bits de mode. S’il est créé au
cours d’une connexion SMB, il reçoit des bits de mode ou une ACL. Par exemple, si un
utilisateur LDAP se connecte pour la première fois via SSH ou FTP, son répertoire
personnel est créé avec des bits de mode. Si ce même utilisateur se connecte pour la
première fois via un partage SMB, son répertoire personnel est créé avec les
autorisations indiquées par les paramètres SMB configurés. Si l’option --
inheritable-path-acl est activée, une ACL est générée. Dans le cas contraire,
des bits de mode sont utilisés.

Authentification des utilisateurs SMB


Vous pouvez authentifier les utilisateurs SMB de fournisseurs d’authentification
prenant en charge les hachages NT.
SMB envoie un hachage HT du mot de passe pour authentifier les utilisateurs SMB.
Ainsi, seuls les utilisateurs des fournisseurs d’authentification prenant en charge les
hachages NT peuvent se connecter via SMB. Les fournisseurs d’authentification
suivants pris en charge par OneFS gèrent les hachages NT :
l Active Directory
l Local
l LDAPSAM (LDAP avec extensions Samba activées)

Création de répertoires personnels via SMB


Vous pouvez créer des partages SMB en incluant des variables d’extension dans leur
chemin d’accès. Les variables d’extension permettent aux utilisateurs d’accéder à leur
répertoire personnel en se connectant au partage. Vous pouvez également activer le

188 OneFS 8.0.1 Guide d’administration Web


Répertoires personnels

provisionnement dynamique des répertoires personnels qui n’existent pas au moment


de la connexion SMB.

Remarque

Les autorisations du partage sont contrôlées lors de l’accès aux fichiers, avant que les
autorisations du système de fichiers sous-jacent soient vérifiées. L’une ou l’autre de
ces autorisations peut interdire l’accès au fichier ou au répertoire.

Créer des répertoires personnels avec des variables d’extension


Pour créer des répertoires personnels dans les partages SMB, vous pouvez configurer
les paramètres avec des variables d’extension.
Lorsque les utilisateurs accèdent au cluster EMC Isilon via SMB, l’accès aux
répertoires personnels se fait par le biais des partages SMB. Vous pouvez configurer
les paramètres avec un chemin qui utilise une syntaxe de variable d’extension pour
permettre à un utilisateur de se connecter à son répertoire personnel dans le partage.

Remarque

Les chemins des répertoires personnels doivent commencer par /ifs/ et se trouver
dans le chemin racine de la zone d’accès dans laquelle le partage SMB est créé.

Dans les commandes suivantes, l’option --allow-variable-expansion est


activée pour indiquer que %U doit représenter le nom de l’utilisateur, à savoir user411
dans cet exemple. L’option --auto-create-directory est activée pour créer le
répertoire s’il n’existe pas :

isi smb shares create HOMEDIR --path=/ifs/home/%U \


--allow-variable-expansion=yes --auto-create-directory=yes
isi smb shares permission modify HOMEDIR --wellknown Everyone \
--permission-type allow --permission full
isi smb shares view HOMEDIR

Le système affiche un résultat semblable à l’exemple suivant :

Share Name : HOMEDIR


Path: /ifs/home/%U
Description:
Client-side Caching Policy: manual
Automatically expand user names or domain names: True
Automatically create home directories for users: True
Browsable: True
Permissions:
Account Account Type Run as Root Permission Type Permission
------------------------------------------------------------
Everyone wellknown False allow full
------------------------------------------------------------
Total: 1
...

Lorsque user411 se connecte au partage en utilisant la commande net use, le


répertoire personnel de l’utilisateur est créé sur /ifs/home/user411. Sur le client
Windows de user411, la commande net usem: se connecte à /ifs/home/user411
via le partage HOMEDIR :

net use m: \\cluster.company.com\HOMEDIR /u:user411

Créer des répertoires personnels avec des variables d’extension 189


Répertoires personnels

Procédure
1. Exécutez les commandes suivantes sur le cluster avec l’option --allow-
variable-expansion activée. La variable d’extension %U représente le nom
d’utilisateur et l’option --auto-create-directory est activée pour créer le
répertoire s’il n’existe pas :

isi smb shares create HOMEDIR --path=/ifs/home/%U \


--allow-variable-expansion=yes --auto-create-directory=yes
isi smb shares permission modify HOMEDIR --wellknown Everyone
\
--permission-type allow --permission full

2. Pour afficher les paramètres de répertoire personnel, utilisez la commande


suivante :

isi smb shares view HOMEDIR

Le système affiche un résultat semblable à l’exemple suivant :

Share Name : HOMEDIR


Path: /ifs/home/%U
Description:
Client-side Caching Policy: manual
Automatically expand user names or domain names: True
Automatically create home directories for users: True
Browsable: True
Permissions:
Account Account Type Run as Root Permission Type Permission
------------------------------------------------------------
Everyone wellknown False allow full
------------------------------------------------------------
Total: 1
...

Si user411 se connecte au partage en utilisant la commande net use, le


répertoire personnel de user411 est créé sur /ifs/home/user411. Sur le
client Windows de user411, la commande net usem: se connecte à /ifs/
home/user411 via le partage HOMEDIR, en mappant la connexion de manière
semblable à ce qui suit :

net use m: \\cluster.company.com\HOMEDIR /u:user411

Créer des répertoires personnels avec l’option --inheritable-path-acl


Vous pouvez activer l’option --inheritable-path-acl pour un partage afin de
spécifier qu’elle doit être héritée sur le chemin du partage si le répertoire parent
possède une ACL héritable.
Avant de commencer
Pour exécuter la plupart des tâches de configuration, vous devez vous connecter en
tant que membre du rôle SecurityAdmin.
Par défaut, le chemin d’accès au répertoire d’un partage SMB est créé avec une ACL
synthétique basée sur les bits de mode. Vous pouvez activer l’option --
inheritable-path-acl pour utiliser l’ACL héritable sur tous les répertoires créés,

190 OneFS 8.0.1 Guide d’administration Web


Répertoires personnels

soit au moment de la création du partage, soit pour les répertoires provisionnés de


manière dynamique lors de la connexion au partage.
Procédure
1. Exécutez des commandes semblables aux suivantes pour activer l’option --
inheritable-path-acl sur le cluster de façon à provisionner de manière
dynamique un répertoire personnel lors de la première connexion à un partage
sur le cluster :

isi smb shares create HOMEDIR_ACL --path=/ifs/home/%U \


--allow-variable-expansion=yes --auto-create-directory=yes
\
--inheritable-path-acl=yes

isi smb shares permission modify HOMEDIR_ACL \


--wellknown Everyone \
--permission-type allow --permission full

2. Exécutez une commande net use semblable à la suivante sur un client


Windows pour mapper le répertoire personnel de l’utilisateur user411 :

net use q: \\cluster.company.com\HOMEDIR_ACL /u:user411

3. Exécutez une commande semblable à la suivante sur le cluster pour afficher les
autorisations ACL héritées pour le partage user411 :

cd /ifs/home/user411
ls -lde .

Le système affiche un résultat semblable à l’exemple suivant :

drwx------ + 2 user411 Isilon Users 0 Oct 19 16:23 ./


OWNER: user:user411
GROUP: group:Isilon Users
CONTROL:dacl_auto_inherited,dacl_protected
0: user:user411 allow
dir_gen_all,object_inherit,container_inherit

Créer des répertoires personnels spéciaux avec la variable de partage SMB


%U
Le nom de partage SMB spécial %U vous permet de créer un partage SMB de
répertoires personnels qui se présente de la même manière que le nom d’utilisateur
d’un utilisateur.
Vous configurez généralement un partage SMB %U avec un chemin de partage
incluant la variable d’extension %U. Si un utilisateur tente de se connecter à un
partage correspondant au nom de connexion et que celui-ci n’existe pas, il se
connecte au partage %U et est dirigé vers le chemin étendu du partage %U.

Remarque

Si un autre partage SMB correspondant au nom de l’utilisateur existe, l’utilisateur se


connecte au partage nommé explicitement plutôt qu’au partage %U.

Créer des répertoires personnels spéciaux avec la variable de partage SMB %U 191
Répertoires personnels

Procédure
1. Pour créer un partage correspondant au nom de connexion de l’utilisateur
authentifié lorsque l’utilisateur se connecte au partage, exécutez la commande
suivante :

isi smb share create %U /ifs/home/%U \


--allow-variable-expansion=yes --auto-create-directory=yes \
--zone=System

Après l’exécution de cette commande, l’utilisateur Zachary voit un partage


nommé zachary au lieu de %U. Lorsqu’il tente de se connecter au partage
nommé zachary, il est redirigé vers /ifs/home/zachary. Sur un client
Windows, si Zachary exécute les commandes suivantes, il voit le contenu de son
répertoire /ifs/home/zachary :

net use m: \\cluster.ip\zachary /u:zachary


cd m:
dir

De même, si l’utilisateur Claudia exécute les commandes suivantes sur un client


Windows, elle voit le contenu du répertoire /ifs/home/claudia :

net use m: \\cluster.ip\claudia /u:claudia


cd m:
dir

Zachary n’a pas accès au répertoire personnel de Claudia, et inversement, car


seul le partage zachary existe pour Zachary et seul le partage claudia existe
pour Claudia.

Création de répertoires personnels via SSH et FTP


Vous pouvez configurer la prise en charge des répertoires personnels des utilisateurs
qui accèdent au cluster via SSH ou FTP en modifiant les paramètres des fournisseurs
d’authentification.

Définir le shell de connexion SSH ou FTP


Vous pouvez utiliser l’option --login-shell pour définir le shell de connexion par
défaut de l’utilisateur.
Par défaut, l’option --login-shell, si elle est spécifiée, remplace toutes les
informations de shell de connexion provenant du fournisseur d’authentification, sauf
pour Active Directory. Si l’option --login-shell est spécifiée avec Active
Directory, elle ne représente le shell de connexion par défaut que si le serveur Active
Directory ne fournit aucune information de shell de connexion.

Remarque

Les exemples suivants concernent la définition du shell de connexion sur /bin/bash.


Vous pouvez également définir le shell sur /bin/rbash.

192 OneFS 8.0.1 Guide d’administration Web


Répertoires personnels

Procédure
1. Exécutez la commande suivante pour définir le shell de connexion de tous les
utilisateurs locaux sur /bin/bash :

isi auth local modify System --login-shell /bin/bash

2. Exécutez la commande suivante pour définir le shell de connexion par défaut de


tous les utilisateurs Active Directory de votre domaine sur /bin/bash :

isi auth ads modify YOUR.DOMAIN.NAME.COM --login-shell /bin/


bash

Définir les autorisations des répertoires personnels SSH/FTP


Vous pouvez définir les autorisations associées à un répertoire personnel accessible via
SSH ou FTP en spécifiant une valeur umask.
Avant de commencer
Pour exécuter la plupart des tâches de configuration, vous devez vous connecter en
tant que membre du rôle SecurityAdmin.
Si le répertoire personnel d’un utilisateur est créé au moment de la connexion via SSH
ou FTP, il est créé à l’aide de bits de mode POSIX. Les autorisations du répertoire
personnel d’un utilisateur sont définies sur 0755, puis elles sont limitées en fonction du
paramètre umask de la zone d’accès de l’utilisateur. Vous pouvez modifier le
paramètre umask d’une zone à l’aide de l’option --home-directory-umask, en
indiquant un nombre octal comme valeur umask.
Procédure
1. Pour afficher le paramètre umask, exécutez la commande suivante :

isi zone zones view System

Le système affiche un résultat semblable à l’exemple suivant :

Name: System
Path: /ifs
Groupnet: groupnet0
Map Untrusted: -
Auth Providers: lsa-local-provider:System, lsa-
file-provider:System
NetBIOS Name: -
User Mapping Rules: -
Home Directory Umask: 0077
Skeleton Directory: /usr/share/skel
Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
Zone ID: 1

Dans le résultat de la commande, vous constatez que le paramètre par défaut de


Home Directory Umask pour le répertoire personnel créé est 0700, ce qui
équivaut à (0755 & ~(077)). Vous pouvez modifier le paramètre Home
Directory Umask d’une zone à l’aide de l’option --home-directory-
umask, en spécifiant un nombre octal comme valeur umask. Cette valeur

Définir les autorisations des répertoires personnels SSH/FTP 193


Répertoires personnels

indique les autorisations qui doivent être désactivées. Ainsi, des valeurs de
masque élevées correspondent à des autorisations faibles. Par exemple, la
valeur umask 000 ou 022 définit les autorisations du répertoire personnel sur
0755, alors que la valeur umask 077 définit les autorisations 0700.
2. Pour accorder au groupe/aux autres des autorisations d'écriture/exécution sur
un répertoire personnel, exécutez une commande semblable à l’exemple
suivant :

isi zone zones modify System --home-directory-umask=022

Dans cet exemple, les répertoires de base des utilisateurs sont créés avec les
bits de mode 0755 masqués par le champ umask, défini sur la valeur 022. Par
conséquent, les répertoires de base des utilisateurs sont créés avec les bits de
mode 0755, ce qui équivaut à (0755 & ~(022)).

Définir les options de création des répertoires personnels SSH/FTP


Vous pouvez configurer la prise en charge du répertoire personnel d’un utilisateur qui
accède au cluster via SSH ou FTP en spécifiant des options de fournisseur
d’authentification.
Procédure
1. Pour afficher les paramètres d’un fournisseur d’authentification Active
Directory sur le cluster, exécutez la commande suivante :

isi auth ads list

Le système affiche un résultat semblable à l’exemple suivant :

Name Authentication Status DC Name Site


---------------------------------------------------------
YOUR.DOMAIN.NAME.COM Yes online - SEA
---------------------------------------------------------
Total: 1
2. Exécutez la commande isi auth ads modify avec les options --home-
directory-template et --create-home-directory.

isi auth ads modify YOUR.DOMAIN.NAME.COM \


--home-directory-template=/ifs/home/ADS/%D/%U \
--create-home-directory=yes

3. Exécutez la commande isi auth ads view avec l’option --verbose.


Le système affiche un résultat semblable à l’exemple suivant :

Name: YOUR.DOMAIN.NAME.COM
NetBIOS Domain: YOUR
...
Create Home Directory: Yes
Home Directory Template: /ifs/home/ADS/%D/%U
Login Shell: /bin/sh
4. Exécutez la commande id.
Le système affiche un résultat semblable à l’exemple suivant :

uid=1000008(<your-domain>\user_100) gid=1000000(<your-domain>
\domain users)

194 OneFS 8.0.1 Guide d’administration Web


Répertoires personnels

groups=1000000(<your-domain>\domain users),1000024(<your-domain>
\c1t),1545(Users)
5. (Facultatif) Pour vérifier ces informations à partir d’un nœud externe UNIX,
exécutez la commande ssh à partir de ce nœud.
Par exemple, la commande suivante crée /ifs/home/ADS/<your-domain>/
user_100 s’il n’existe pas déjà :

ssh <your-domain>\\user_100@cluster.isilon.com

Provisionner des répertoires personnels avec des fichiers dot


Vous pouvez provisionner des répertoires personnels avec des fichiers dot.
Avant de commencer
Pour exécuter la plupart des tâches de configuration, vous devez vous connecter en
tant que membre du rôle SecurityAdmin.
Le répertoire squelette, situé dans /usr/share/skel par défaut, contient un jeu de
fichiers qui sont copiés dans le répertoire personnel de l’utilisateur lorsqu’un utilisateur
local est créé ou lorsqu’un répertoire personnel d’utilisateur est créé de manière
dynamique lors de la connexion. Les fichiers du répertoire squelette commençant par
dot. sont renommés de façon que le préfixe dot soit supprimé lorsqu’ils sont copiés
dans le répertoire personnel de l’utilisateur. Par exemple, dot.cshrc est copié dans
le répertoire personnel de l’utilisateur sous le nom .cshrc. Ce format permet
d’afficher les fichiers dot du répertoire squelette dans l’interface de ligne de
commande sans exécuter la commande ls-a.
Pour les partages SMB susceptibles d’utiliser des répertoires personnels provisionnés
avec des fichiers dot, vous pouvez définir une option qui empêche les utilisateurs qui
se connectent au partage via SMB de visualiser ces fichiers.
Procédure
1. Pour afficher le répertoire squelette par défaut de la zone d’accès System,
exécutez la commande suivante :

isi zone zones view System

Le système affiche un résultat semblable à l’exemple suivant :

Name: System
...
Skeleton Directory: /usr/share/skel

2. Pour modifier le répertoire squelette par défaut, exécutez la commande isi


zone zones modify.
La commande suivante modifie le répertoire squelette par défaut, /usr/
share/skel, dans une zone d’accès, où System est la valeur de l’option
<zone> et /usr/share/skel2 est la valeur de l’option <path> :

isi zone zones modify System --skeleton-directory=/usr/share/


skel2

Provisionner des répertoires personnels avec des fichiers dot 195


Répertoires personnels

Création de répertoires personnels dans un environnement


mixte
Si un utilisateur se connecte à la fois via SMB et SSH, il est recommandé de configurer
les paramètres de répertoire personnel de sorte que le modèle de chemin soit
identique pour le partage SMB et pour tous les fournisseurs d’authentification auprès
desquels l’utilisateur s’authentifie via SSH.

Interactions entre ACL et bits de mode


La configuration des répertoires personnels dépend de plusieurs facteurs, notamment
le mode d’authentification des utilisateurs et les options qui définissent la création de
répertoires personnels.
Le répertoire personnel d’un utilisateur peut être configuré à l’aide d’ACL ou de bits de
mode POSIX, qui sont convertis en ACL synthétique. Le répertoire d’un utilisateur
local est créé en même temps que ce dernier et configuré avec des bits de mode
POSIX par défaut. Les répertoires peuvent être provisionnés de manière dynamique au
moment de la connexion pour les utilisateurs qui s’authentifient auprès de sources
externes et, dans certains cas, pour les utilisateurs qui s’authentifient auprès du
fournisseur de fichiers. Dans ce cas, le répertoire personnel est créé en fonction de la
façon dont l’utilisateur se connecte pour la première fois.
Par exemple, si un utilisateur LDAP se connecte initialement via SSH ou FTP et que
son répertoire personnel soit créé, il est créé avec des bits de mode POSIX par défaut.
Si ce même utilisateur se connecte initialement via un partage SMB de répertoires
personnels, son répertoire personnel est créé comme indiqué par les paramètres des
options SMB. Si l’option --inherited-path-acl est activée, des ACL sont
générées. Dans le cas contraire, des bits de mode POSIX sont utilisés.

Paramètres par défaut des répertoires personnels selon le


fournisseur d’authentification
Les paramètres par défaut qui affectent la configuration des répertoires personnels
diffèrent en fonction du fournisseur d’authentification auprès duquel l’utilisateur
s’authentifie.

Fournisseur Répertoire Création de Shell de connexion


d’authentification personnel répertoires UNIX
personnels
Local l --home- Enabled /bin/sh
directory-
template=/ifs
/home/%U
l --create-
home-
directory=yes
l --login-
shell=/bin/sh

196 OneFS 8.0.1 Guide d’administration Web


Répertoires personnels

Fournisseur Répertoire Création de Shell de connexion


d’authentification personnel répertoires UNIX
personnels
Fichier l --home- Disabled Aucun
directory-
template=""
l --create-
home-
directory=no

Active Directory l --home- Disabled /bin/sh


directory-
template=/ifs
/home/%D/%U
l --create-
home-
directory=no
l --login-
shell=/bin/sh

Remarque

Si elles sont
disponibles, les
informations du
fournisseur
remplacent cette
valeur.

LDAP l --home- Disabled Aucun


directory-
template=""
l --create-
home-
directory=no

NIS l --home- Disabled Aucun


directory-
template=""
l --create-
home-
directory=no

Variables d’extension prises en charge


Vous pouvez inclure des variables d’extension dans un chemin de partage SMB ou
dans le modèle de répertoire personnel d’un fournisseur d’authentification.
OneFS prend en charge les variables d’extension ci-dessous. Vous pouvez améliorer
les performances et réduire le nombre de partages à gérer en configurant des partages

Variables d’extension prises en charge 197


Répertoires personnels

avec des variables d’extension. Par exemple, vous pouvez inclure la variable %U pour
un partage au lieu de créer un partage pour chaque utilisateur. Lorsque %U est incluse
dans le nom, le chemin de chaque utilisateur est différent ; la sécurité reste assurée,
car chaque utilisateur peut afficher et accéder à son répertoire personnel uniquement.

Remarque

Lorsque vous créez un partage SMB au moyen de l’interface d’administration Web,


vous devez cocher la case Allow Variable Expansion, sinon la chaîne est interprétée
de manière littérale par le système.

Variable Valeur Description


%U Nom d’utilisateur (par Représente le nom
exemple, user_001) d’utilisateur pour permettre à
différents utilisateurs
d’utiliser des répertoires
personnels différents. Cette
variable est généralement
incluse à la fin du chemin. Par
exemple, pour un utilisateur
nommé user1, le
chemin /ifs/home/%U est
mappé sur /ifs/home/
user1.

%D Nom de domaine NetBios (par Représente le nom de


exemple, YORK pour domaine de l’utilisateur, en
YORK.EAST.EXAMPLE.COM) fonction du fournisseur
d’authentification :
l Pour les utilisateurs
Active Directory, %D
représente le nom
NetBios Active Directory.
l Pour les utilisateurs
locaux, %D représente le
nom du cluster en
majuscules. Par exemple,
pour un cluster nommé
cluster1, %D représente
CLUSTER1.
l Pour les utilisateurs du
fournisseur de fichiers
System, %D représente
UNIX_USERS.
l Pour les utilisateurs
d’autres fournisseurs de
fichiers, %D représente
FILE_USERS.
l Pour les utilisateurs
LDAP, %D représente
LDAP_USERS.

198 OneFS 8.0.1 Guide d’administration Web


Répertoires personnels

Variable Valeur Description

l Pour les utilisateurs NIS,


%D représente
NIS_USERS.

%Z Nome de zone (par exemple, Représente le nom de la zone


ZoneABC) d’accès. Si plusieurs zones
sont activées, cette variable
est utile pour différencier les
utilisateurs dans des zones
distinctes. Par exemple, pour
un utilisateur nommé user1
dans la zone System, le
chemin /ifs/home/%Z/%U
est mappé sur /ifs/home/
System/user1.

%L Nom d’hôte (nom d’hôte du Représente le nom d’hôte du


cluster en minuscules) cluster en minuscules (format
standard). Utilisation limitée.

%0 Premier caractère du nom Représente le premier


d’utilisateur caractère du nom
d’utilisateur.

%1 Deuxième caractère du nom Représente le deuxième


d’utilisateur caractère du nom
d’utilisateur.

%2 Troisième caractère du nom Représente le troisième


d’utilisateur caractère du nom
d’utilisateur.

Remarque

Si le nom d’utilisateur contient moins de trois caractères, les variables %0, %1 et %2


sont interprétées en boucle. Par exemple, pour un utilisateur nommé ab, les variables
sont mappées sur a, b et a, respectivement. Pour un utilisateur nommé a, les trois
variables sont mappées sur a.

Variables de domaine pour le provisionnement des


répertoires personnels
Vous pouvez utiliser des variables de domaine pour spécifier des fournisseurs
d’authentification lors du provisionnement des répertoires personnels.
La variable de domaine (%D) est généralement utilisée pour les utilisateurs Active
Directory, mais elle dispose d’un jeu de valeurs qui peut être utilisé pour d’autres
fournisseurs d’authentification. La variable %D est développée comme indiqué dans le
tableau suivant pour les différents fournisseurs d’authentification.

Variables de domaine pour le provisionnement des répertoires personnels 199


Répertoires personnels

Utilisateur Extension de %D
authentifié
Utilisateur Active Nom NetBios Active Directory, par exemple YORK pour le fournisseur
Directory YORK.EAST.EXAMPLE.COM

Utilisateur local Nom du cluster en majuscules ; par exemple, si le nom du cluster est
MyCluster, %D a pour forme développée MYCLUSTER.

Utilisateur de l UNIX_USERS (pour le fournisseur de fichiers System)


fichiers
l FILE_USERS (pour tous les autres fournisseurs de fichiers)

Utilisateur LDAP LDAP_USERS (pour tous les fournisseurs d’authentification LDAP)

Utilisateur NIS NIS_USERS (pour tous les fournisseurs d’authentification NIS)

200 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 9
Contrôle d’accès aux données

Cette section traite des points suivants :

l Présentation du contrôle d’accès aux données................................................ 202


l ACL..................................................................................................................202
l Autorisations UNIX...........................................................................................203
l Environnements d’autorisation mixtes..............................................................203
l Gestion des autorisations d’accès.................................................................... 204

Contrôle d’accès aux données 201


Contrôle d’accès aux données

Présentation du contrôle d’accès aux données


OneFS prend en charge deux types d’autorisations qui contrôlent les accès sur les
fichiers et les répertoires : les listes de contrôle d’accès (ACL) de type Windows et les
bits de mode POSIX (autorisations UNIX). Vous pouvez configurer les paramètres
généraux de règle qui vous permettent de personnaliser les autorisations ACL et UNIX
par défaut afin de mieux prendre en charge votre environnement.
Le système de fichiers OneFS s’installe par défaut avec les autorisations UNIX. Vous
pouvez attribuer une ACL à un fichier ou un répertoire à l’aide de l’Explorateur
Windows ou des outils d’administration de OneFS. En général, les fichiers créés via
SMB ou dans un répertoire disposant d’une ACL, reçoivent eux aussi une ACL. Si un
fichier reçoit une ACL, OneFS cesse d’appliquer les bits de mode du fichier ; ces
derniers sont fournis pour la compatibilité du protocole uniquement et non pour le
contrôle d’accès.
OneFS prend en charge l’accès multiprotocole aux données sur SMB (Server Message
Block) et NFS (Network File System) avec un modèle de sécurité unifié. Un utilisateur
se voit accorder ou refuser le même accès à un fichier, qu’il utilise le protocole SMB
pour le partage de fichiers Windows ou le protocole NFS pour le partage de fichiers
UNIX.
NFS permet aux clients Linux et UNIX de monter à distance n’importe quel sous-
répertoire, y compris ceux créés par des utilisateurs de Windows ou de SMB. Les
clients Linux et UNIX peuvent également monter des sous-répertoires protégés par
une ACL qu’un administrateur OneFS a créés. SMB permet aux utilisateurs de
Windows d’accéder aux fichiers, répertoires et autres ressources du système de
fichiers stockés par les systèmes UNIX et Linux. Outre les utilisateurs de Windows, les
ACL peuvent concerner les utilisateurs locaux, NIS et LDAP.
Par défaut, OneFS conserve les mêmes autorisations d’accès aux fichiers, et ce, quels
que soient le système d’exploitation du client, le système de gestion des identités de
l’utilisateur et le protocole de partage de fichiers. Lorsque OneFS doit transformer les
autorisations d’un fichier d’ACL en bits de mode ou vice versa, il fusionne les
autorisations dans une représentation optimale qui équilibre de façon unique les
attentes de l’utilisateur et la sécurité du fichier.

ACL
Dans les environnements Windows, les autorisations sur les fichiers et les répertoires,
appelées privilèges d’accès, sont définies dans des listes de contrôle d’accès, ou ACL
(Access Control List). Bien que les ACL soient plus complexes que les bits de mode,
elles peuvent définir des ensembles de règles d’accès bien plus granulaires. OneFS
vérifie les règles de traitement des ACL généralement associées aux ACL Windows.
Une ACL Windows contient zéro ou plusieurs entrées de contrôle d’accès, ou ACE
(Access Control Entry). Celles-ci représentent l’identifiant de sécurité (SID) d’un
utilisateur ou d’un groupe considéré comme un client approuvé. Dans OneFS, une ACL
peut contenir des ACE avec un ID utilisateur (UID), un ID de groupe (GID) ou un
identifiant de sécurité (SID) comme client approuvé. Chaque ACE contient un
ensemble de droits qui accordent ou refusent l’accès à un fichier ou à un dossier. Une
ACE contient éventuellement un indicateur d’héritage qui indique si l’ACE doit être
héritée par les dossiers et les fichiers enfants.

202 OneFS 8.0.1 Guide d’administration Web


Contrôle d’accès aux données

Remarque

Au lieu des trois autorisations standard disponibles pour les bits de mode, les ACL
possèdent 32 bits de privilèges d’accès granulaires. Les 16 bits supérieurs sont
généraux et s’appliquent à tous les types d’objet. Les 16 bits inférieurs varient entre
les fichiers et les répertoires mais sont définis de sorte que la plupart des applications
appliquent les mêmes bits pour les fichiers et les répertoires.

Les droits accordent ou refusent l’accès à un client approuvé donné. Vous pouvez
bloquer explicitement l’accès d’un utilisateur par une ACE de refus, ou le faire
implicitement en veillant à ce qu’un utilisateur n’apparaisse pas directement (ou
indirectement par l’intermédiaire d’un groupe) dans une ACE qui octroie ce droit.

Autorisations UNIX
Dans un environnement UNIX, l’accès aux fichiers et aux répertoires est géré par les
bits de mode POSIX, qui octroient des autorisations de lecture, d’écriture ou
d’exécution à l’utilisateur propriétaire, au groupe propriétaire et à tous les autres.
OneFS prend en charge les outils UNIX standard permettant d’afficher et de modifier
les autorisations : ls, chmod et chown. Pour plus d’informations, exécutez les
commandes man ls, man chmod et man chown.
Tous les fichiers contiennent 16 bits d’autorisation, qui fournissent des informations
sur le type de fichier ou de répertoire et sur les autorisations. Les 9 bits inférieurs sont
regroupés en trois ensembles de 3 bits, appelés triplets, qui contiennent les
autorisations de lecture, d’écriture et d’exécution (rwx) pour chaque classe
d’utilisateurs (propriétaire, groupe et autres). Vous pouvez définir des balises
d’autorisation pour octroyer des autorisations à chacune de ces classes.
À moins qu’il ne s’agisse d’un utilisateur root, OneFS vérifie la classe pour déterminer
si l’accès au fichier doit être accordé ou refusé. Les classes ne sont pas cumulatives :
la première classe correspondante est appliquée. Il est donc courant d’accorder les
autorisations par ordre décroissant.

Environnements d’autorisation mixtes


Lorsqu’une opération de fichier demande les données d’autorisation d’un objet, par
exemple, avec la commande ls-l via NFS ou avec l’onglet Sécurité de la boîte de
dialogue Propriétés dans l’Explorateur Windows via le protocole SMB, OneFS tente
de fournir ces données au format demandé. Dans un environnement qui combine des
systèmes UNIX et Windows, une conversion peut être nécessaire lors des opérations
de création de fichier, d’accès ou de définition ou de consultation des paramètres de
sécurité.

Accès à NFS des fichiers créés sous Windows


Si un fichier contient un utilisateur ou un groupe propriétaire associé à un SID, le
système tente de le mapper à un UID ou à un GID correspondant avant de le renvoyer
à l’appelant.
Sous UNIX, les données d’autorisation sont récupérées par un appel à stat(2) sur un
fichier et l’examen du propriétaire, du groupe et des bits de mode. Sur NFSv3, la
commande GETATTR fonctionne de la même manière. Le système effectue une
estimation des bits de mode et les associe au fichier à chaque fois que son ACL

Autorisations UNIX 203


Contrôle d’accès aux données

change. Les estimations de bits de mode doivent être récupérées uniquement pour
traiter ces appels.

Remarque
Les mappages SID-UID et SID-GID sont mis en cache dans la base de données de
mappage des ID OneFS et dans le cache stat. Si un mappage a récemment été
modifié, le fichier peut restituer des informations erronées jusqu’à ce qu’il soit mis à
jour ou que le cache soit vidé.

Accès à SMB des fichiers créés sous UNIX


Aucun mappage UID-SID ou GID-SID n’est effectué lors de la création d’une ACL pour
un fichier ; tous les UID et les GID sont convertis en SID ou en entités de sécurité au
moment du renvoi de l’ACL.
OneFS exécute un processus en deux étapes pour retourner un descripteur de
sécurité, qui contient les SID du propriétaire et du groupe principal d’un objet :
1. Le descripteur de sécurité actuel est récupéré à partir du fichier. Si le fichier ne
possède pas de liste de contrôle d’accès discrétionnaire (DACL), une ACL
synthétique est créée à partir des 9 bits de mode inférieurs du fichier, lesquels
sont séparés en trois ensembles de triplets d’autorisation : Propriétaire, Groupe et
Tout le monde. Pour plus d’informations sur les bits de mode, reportez-vous à la
section Autorisations UNIX.
2. Deux entrées de contrôle d’accès (ACE) sont créées pour chaque triplet : l’ACE
d’autorisation contient les droits correspondants qui sont accordés en fonction des
autorisations ; l’ACE de refus contient les droits correspondants qui sont refusés.
Dans les deux cas, le client approuvé ACE correspond au propriétaire du fichier, au
groupe ou à tout le monde. Une fois toutes les ACE générées, celles qui ne sont
pas nécessaires sont supprimées avant le renvoi de l’ACL synthétique.

Gestion des autorisations d’accès


La représentation interne des identités et des autorisations peut contenir des
informations issues de sources UNIX et/ou de sources Windows. Étant donné que les
protocoles d’accès ne sont capables de traiter que les informations provenant de l’une
de ces sources, le système doit éventuellement effectuer des estimations pour
présenter les informations dans un format que le protocole peut traiter.

Afficher les autorisations utilisateur attendues


Vous pouvez afficher les autorisations d’accès à un fichier ou à un répertoire
attendues pour un utilisateur.
Cette procédure doit être exécutée via l’interface de ligne de commande (CLI).
Procédure
1. Établissez une connexion SSH vers n’importe quel nœud du cluster.
2. Affichez les autorisations utilisateur attendues en exécutant la commande isi
auth access.
La commande suivante affiche les autorisations de /ifs/ pour l’utilisateur que
vous spécifiez à la place de <username> :

isi auth access <username> /ifs/

204 OneFS 8.0.1 Guide d’administration Web


Contrôle d’accès aux données

Le système affiche une sortie semblable à l’exemple suivant :

User
Name : <username>
UID : 2018
SID :
SID:S-1-5-21-2141457107-1514332578-1691322784-1018
File
Owner : user:root
Group : group:wheel
Mode : drwxrwxrwx
Relevant Mode : d---rwx---
Permissions
Expected : user:<username> \
allow
dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

3. Affichez les autorisations de bits de mode d’un utilisateur en exécutant la


commande isi auth access.
La commande suivante affiche des informations sur les autorisations de fichiers
en mode explicite dans /ifs/ pour l’utilisateur que vous spécifiez à la place de
<username> :

isi auth access <username> /ifs/ -v

Le système affiche une sortie semblable à l’exemple suivant :

User Name : <username> UID \


: 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018
File Owner : user:root Group : group:wheel Mode : drwxrwxrwx
Relevant Mode : d---rwx--- Permissions Expected :
user:<username>
allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

4. Affichez les autorisations ACL attendues d’un fichier pour un utilisateur en


exécutant la commande isi auth access.
La commande suivante affiche des informations sur les autorisations ACL en
mode explicite du fichier file_with_acl.tx dans /ifs/data/ pour
l’utilisateur que vous spécifiez à la place de <username> :

isi auth access <username> /ifs/data/file_with_acl.tx -v

Le système affiche une sortie semblable à l’exemple suivant :

User Name : <username> \


UID : 2097 SID :
SID:S-1-7-21-2141457107-1614332578-1691322789-1018
File Owner : user:<username> Group : group:wheel
Permissions Expected : user:<username>
allow file_gen_read,file_gen_write,std_write_dac
Relevant Acl: group:<group-name> Users allow file_gen_read
user:<username> allow std_write_dac,file_write,
append,file_write_ext_attr,file_write_attr
group:wheel allow file_gen_read,file_gen_write

Afficher les autorisations utilisateur attendues 205


Contrôle d’accès aux données

Configurer les paramètres de gestion des accès


Les paramètres d’accès par défaut incluent : l’activation ou la désactivation de l’envoi
de réponses NTLMv2 pour les connexions SMB, le type d’identité à stocker sur le
disque, le nom du groupe de travail Windows à utiliser en mode local et la substitution
de caractères pour les espaces rencontrés dans les noms d’utilisateur ou de groupe.
Procédure
1. Cliquez sur Access > Settings.
2. Configurez les paramètres suivants en fonction de vos besoins.

Option Description
Send NTLMv2 Indique s’il faut envoyer uniquement des réponses NTLMv2
aux clients SMB dotés d’informations d’identification
compatibles avec NTLM.
On-Disk Contrôle l’identité préférée à stocker sur le disque. Si OneFS
Identity ne peut pas convertir une identité au format préféré, elle est
stockée en l’état. Ce paramètre n’a aucune incidence sur les
identités actuellement stockées sur le disque. Sélectionnez
l'un des paramètres suivants :
native
Permet à OneFS de déterminer l’identité à stocker sur le
disque. Il s'agit du paramètre recommandé.

Unix
Stocke toujours les identifiants UNIX entrants (UID et
GID) sur le disque.

sid
Stocke les identifiants de sécurité (SID) Windows
entrants sur le disque, sauf si le SID a été généré à partir
d’un identifiant UNIX, auquel cas il est reconverti en
identifiant UNIX, puis stocké sur le disque.

Workgroup Spécifie le groupe de travail NetBIOS. La valeur par défaut


est WORKGROUP.
Space Pour les clients qui rencontrent des difficultés pour analyser
Replacement les espaces dans les noms d’utilisateur ou de groupe, spécifie
un caractère de remplacement.

3. Cliquez sur Save.


À effectuer
Si vous avez modifié la sélection de l’identité sur disque, il est recommandé d’exécuter
la tâche PermissionRepair avec une réparation de type Convert afin d’éviter tout
risque d’erreur d’autorisation. Pour plus d’informations, reportez-vous à la section
Exécuter la tâche PermissionRepair.

Modifier les paramètres de règles ACL


Vous pouvez modifier les paramètres de règles ACL, mais les paramètres de règles
ACL par défaut sont suffisants pour la plupart des déploiements de cluster.

206 OneFS 8.0.1 Guide d’administration Web


Contrôle d’accès aux données

ATTENTION

Comme les règles ACL modifient le comportement des autorisations dans tout le
système, elles doivent uniquement être modifiées en cas de nécessité par des
administrateurs expérimentés disposant de connaissances avancées sur les ACL
Windows. Ceci est particulièrement vrai pour les paramètres avancés, qui sont
appliqués indépendamment de l’environnement du cluster.

Pour UNIX, Windows ou les environnements équilibrés, les paramètres de règles


d’autorisation optimaux sont sélectionnés et ne peuvent pas être modifiés. Toutefois,
vous pouvez choisir de configurer manuellement les paramètres d’autorisation par
défaut du cluster, si nécessaire, pour prendre en charge votre environnement
spécifique.
Procédure
1. Cliquez sur Access > ACL Policy Settings.
2. Dans la zone Environment, sélectionnez l’option qui décrit le mieux votre
environnement, ou sélectionnez Custom environment pour configurer des
règles d’autorisation individuelles.
3. Si vous avez sélectionné l’option Custom environment, modifiez si besoin les
paramètres de la zone General ACL Settings.
4. Dans la zone Advanced ACL Settings, configurez les paramètres en fonction
de vos besoins.

Paramètres des règles ACL


Vous pouvez configurer une règle de liste de contrôle d’accès (ACL) en sélectionnant
des options parmi les paramètres disponibles.
Environnement
En fonction de l’environnement que vous sélectionnez, le système sélectionne
automatiquement les options General ACL Settings et Advanced ACL Settings
optimales pour cet environnement. Vous avez également la possibilité de configurer
manuellement les paramètres généraux et avancés.
Balanced
Permet aux autorisations du cluster Isilon de fonctionner dans un environnement
mixte Unix et Windows. Ce paramètre est recommandé pour la plupart des
déploiements de cluster Isilon.

UNIX only
Permet aux autorisations du cluster EMC Isilon d’utiliser la sémantique UNIX, par
opposition à la sémantique Windows. L’activation de cette option empêche la
création d’ACL sur le système.

Windows only
Permet aux autorisations du cluster Isilon de fonctionner avec la sémantique
Windows, par opposition à la sémantique UNIX. Si vous activez cette option, le
système envoie une erreur aux demandes chmod UNIX.

Custom environment
Vous permet de configurer les options General ACL Settings et Advanced ACL
Settings.

Paramètres des règles ACL 207


Contrôle d’accès aux données

Paramètres ACL généraux


ACL Creation Through SMB
Indique s’il faut autoriser ou refuser la création d’ACL sur SMB. Sélectionnez l’une
des options suivantes :
Do not allow ACLs to be created through SMB
Empêche la création d’ACL sur le cluster.

Allow ACLs to be created through SMB


Permet la création d’ACL sur le cluster.

Remarque

Les ACL héritables du système prévalent sur ce paramètre ; Si des ACL héritables
sont définies sur un dossier, tous les nouveaux fichiers et dossiers créés dans ce
dossier héritent de l’ACL de celui-ci. La désactivation de ce paramètre ne
supprime pas les ACL actuellement définies sur les fichiers. Si vous souhaitez
supprimer une ACL existante, exécutez la commande chmod -b <mode><file>
et définissez les autorisations correctes.

Use the chmod Command On Files With Existing ACLs


Spécifie la façon dont sont gérées les autorisations lorsqu’une opération chmod
est initiée sur un fichier avec ACL, au niveau local ou sur NFS. Ce paramètre
contrôle tous les éléments qui affectent les autorisations UNIX, y compris
l’explorateur du système de fichiers. L’activation de ce paramètre de règle ne
modifie pas l’incidence des opérations chmod sur les fichiers qui n’ont pas d’ACL.
Sélectionnez l’une des options suivantes :
Remove the existing ACL and set UNIX permissions instead
Pour les opérations chmod, cette option supprime toute ACL existante et
définit, à la place, des autorisations chmod. Sélectionnez cette option
seulement si vous n’avez pas besoin que les autorisations soient définies dans
Windows.

Remove the existing ACL and create an ACL equivalent to the UNIX
permissions
Stocke les autorisations UNIX dans une nouvelle ACL Windows. Sélectionnez
cette option seulement si vous voulez supprimer les autorisations Windows,
mais sans que les fichiers aient des ACL synthétiques.

Remove the existing ACL and create an ACL equivalent to the UNIX
permissions, for all users/groups referenced in old ACL
Stocke les autorisations UNIX dans une nouvelle ACL Windows uniquement
pour les utilisateurs et les groupes référencés par l’ancienne ACL.
Sélectionnez cette option seulement si vous voulez supprimer les
autorisations Windows, mais sans que les fichiers aient des ACL
synthétiques.

Merge the new permissions with the existing ACL


Fusionne les autorisations appliquées par chmod avec les ACL existantes.
Une entrée de contrôle d’accès ACE est modifiée ou créée pour chaque
identité (Propriétaire, Groupe et Tout le monde), mais aucune autre ACE
n’est modifiée. Les ACE héritables ne sont pas non plus modifiées, de sorte
que les utilisateurs Windows continuent à hériter des autorisations

208 OneFS 8.0.1 Guide d’administration Web


Contrôle d’accès aux données

appropriées. Toutefois, les utilisateurs UNIX peuvent définir des autorisations


spécifiques pour chacune de ces trois identités standard.

Deny permission to modify the ACL


Empêche les utilisateurs de réaliser des opérations NFS et chmod locales.
Activez ce paramètre si vous ne souhaitez pas autoriser les ensembles
d’autorisations sur NFS.

Ignore operation if file has an existing ACL


Empêche un client NFS de modifier l’ACL. Sélectionnez cette option lorsque
vous avez défini une ACL héritable sur un répertoire et que vous voulez
utiliser cette ACL pour les autorisations.

ATTENTION

Si vous tentez d’exécuter la commande chmod sur les autorisations qui sont
actuellement définies sur un fichier avec une ACL, l’opération risque
d’échouer sans avertissement. L’opération semble avoir réussi, mais en
examinant les autorisations sur le cluster, vous remarquerez que la
commande chmod n’a eu aucun effet. Vous pouvez éventuellement exécuter
la commande chmod indépendamment des autorisations actuelles, puis
exécuter une seconde commande chmod pour rétablir les autorisations
initiales. Par exemple, si votre fichier indique des autorisations UNIX 755 et
si vous voulez confirmer cette valeur, vous pouvez exécuter chmod 700
file; chmod 755 file.

ACLs Created On Directories By the chmod Command


Sur les systèmes Windows, les ACE des répertoires peuvent définir des règles
d’héritage détaillées. Sur un système UNIX, les bits de mode ne sont pas hérités.
Dans un environnement étroitement contrôlé, il est plus sûr de rendre héritables
les ACL créées sur des répertoires par la commande chmod, mais l’accès risque
alors d’être refusé à certains utilisateurs Windows qui s’attendent à bénéficier de
cet accès. Sélectionnez l’une des options suivantes :
l Make ACLs inheritable
l Do not make ACLs inheritable

Use the chown/chgrp On Files With Existing ACLs


Modifie l’utilisateur ou le groupe propriétaire d’un fichier ou dossier. Sélectionnez
l’une des options suivantes :
Modify only the owner and/or group
Permet à l’opération chown ou chgrp de s’exécuter comme elle le fait dans
UNIX. L’activation de ce paramètre modifie toutes les ACE de l’ACL associée
au propriétaire ou au groupe ancien et nouveau.

Modify the owner and/or group and ACL permissions


Permet à l’opération NFS chown ou chgrp de s’exécuter comme elle le fait
dans Windows. Lorsqu’un propriétaire du fichier est modifié dans Windows,
aucune autorisation n’est modifiée dans l’ACL.

Ignore operation if file has an existing ACL


Empêche un client NFS de modifier le propriétaire ou le groupe.

Paramètres des règles ACL 209


Contrôle d’accès aux données

Remarque

Sur NFS, l’opération chown ou chgrp modifie les autorisations ainsi que
l’utilisateur ou le groupe propriétaire. Par exemple, un fichier détenu par
l’utilisateur Joe avec des autorisations rwx------ (700) indique des autorisations
rwx pour le propriétaire, mais aucune autorisation pour qui que ce soit d’autre. Si
vous exécutez la commande chown pour modifier le propriétaire du fichier en la
transférant à l’utilisateur Bob, les autorisations du propriétaire sont toujours rwx,
mais il s’agit désormais des autorisations de Bob et non de Joe, lequel a perdu
toutes ses autorisations. Ce paramètre n’a aucune incidence sur les opérations
UNIX chown ou chgrp qui sont exécutées sur des fichiers avec autorisations
UNIX. Il n’a aucun effet sur les opérations Windows chown ou chgrp, qui ne
modifient aucune autorisation.

Access checks (chmod, chown)


Dans les environnements UNIX, seul le propriétaire du fichier ou le superutilisateur
a le droit d’exécuter une opération chmod ou chown sur un fichier. Dans les
environnements Windows, vous pouvez mettre en œuvre ce paramètre de règle
pour accorder aux utilisateurs le droit d’exécuter des opérations chmod qui
modifient les autorisations, ou le droit d’exécuter des opérations chown qui
permettent une prise de possession, mais pas la désignation d’un autre
propriétaire. Sélectionnez l’une des options suivantes :
Allow only the file owner to change the mode or owner of the file (UNIX
model)
Permet aux vérifications d’accès chmod et chown de fonctionner avec un
comportement semblable à UNIX.

Allow the file owner and users with WRITE_DAC and WRITE_OWNER
permissions to change the mode or owner of the file (Windows model)
Permet aux vérifications d’accès chmod et chown de fonctionner avec un
comportement semblable à Windows.

Paramètres ACL avancés


Treatment of 'rwx' permissions
Dans les environnements UNIX, les autorisations rwx indiquent qu’un utilisateur
ou un groupe dispose d’autorisations en lecture, en écriture et en exécution, et
qu’un utilisateur ou un groupe dispose du niveau d’autorisation maximal.
Lorsque vous attribuez des autorisations UNIX à un fichier, aucune ACL n’est
stockée pour celui-ci. Comme un système Windows traite uniquement les ACLS,
le cluster Isilon doit traduire les autorisations UNIX en ACL lorsque vous affichez
les autorisations d’un fichier sur un système Windows. Ce type d’ACL s’appelle
une ACL synthétique. Les ACL synthétiques ne sont stockées nulle part. Au lieu
de cela, elles sont générées de façon dynamique et supprimées en fonction des
besoins. Si un fichier comporte des autorisations UNIX, vous remarquerez peut-
être des ACL synthétiques lorsque vous exécutez la commande de fichier ls pour
afficher les ACL d’un fichier.
Lorsque vous générez une ACL synthétique, le cluster Isilon mappe les
autorisations UNIX aux droits Windows. Windows prend en charge un modèle
d’autorisation plus granulaire que ne le fait UNIX. En outre, Windows signale les
droits qui ne peuvent pas facilement être mappés à partir d’autorisations UNIX. Si

210 OneFS 8.0.1 Guide d’administration Web


Contrôle d’accès aux données

le cluster Isilon mappe les autorisations rwx aux droits Windows, vous devez
activer l’une des options suivantes :
Retain 'rwx' permissions
Génère une ACE qui fournit seulement des autorisations en lecture, en
écriture et en exécution.

Treat 'rwx' permissions as Full Control


Génère une ACE fournissant les autorisations Windows maximales à un
utilisateur ou à un groupe en ajoutant le droit de modification des
autorisations, le droit de prise de possession et le droit de suppression.

Group Owner Inheritance


Les systèmes d’exploitation ont tendance à utiliser la propriété et les autorisations
de groupe de deux manières différentes : BSD hérite du propriétaire du groupe à
partir du dossier parent du fichier. Windows et Linux héritent du propriétaire du
groupe à partir du groupe principal du créateur du fichier. Si vous activez un
paramètre selon lequel le propriétaire du groupe est hérité à partir du groupe
principal du créateur, vous pouvez le remplacer pour un dossier particulier en
exécutant la commande chmod ci-dessous afin de définir le bit set-gid. Cet
héritage s’applique uniquement lors de la création du fichier. Pour plus
d’informations, reportez‑vous à la page du manuel relative à la commande chmod.
Sélectionnez l’une des options suivantes :
When an ACL exists, use Linux and Windows semantics, otherwise use BSD
semantics
Spécifie que s’il existe une ACL sur un fichier, le propriétaire du groupe hérite
du groupe principal du créateur du fichier. S’il n’existe aucune ACL, le
propriétaire du groupe hérite du dossier parent.

BSD semantics - Inherit group owner from the parent folder


Indique que le propriétaire du groupe est hérité à partir du dossier parent du
fichier.

Linux and Windows semantics - Inherit group owner from the creator's
primary group
Indique que le propriétaire du groupe est hérité à partir du groupe principal du
créateur du fichier.

chmod (007) On Files With Existing ACLs


Indique s’il convient de supprimer les ACL lors de l’exécution de la commande
chmod (007). Sélectionnez l’une des options suivantes.
chmod(007) does not remove existing ACL
Définit les autorisations UNIX 007 sans supprimer l’ACL existante.

chmod(007) removes existing ACL and sets 007 UNIX permissions


Supprime les ACL des fichiers sur le partage de fichiers UNIX (NFS) et
localement sur le cluster par le biais de la commande chmod (007). Si vous
activez ce paramètre, veillez à exécuter la commande chmod sur le fichier
juste après avoir utilisé chmod (007) pour supprimer une ACL. Dans la
plupart des cas, il vaut mieux ne pas laisser d’autorisations 007 sur le fichier.

Paramètres des règles ACL 211


Contrôle d’accès aux données

Approximate Owner Mode Bits When ACL Exists


Les ACL Windows sont plus complexes que les autorisations UNIX. Lorsqu’un
client UNIX demande des autorisations UNIX pour un fichier avec ACL sur NFS, il
reçoit une estimation des autorisations réelles du fichier. L’exécution de la
commande ls -l à partir d’un client UNIX renvoie un ensemble d’autorisations
plus ouvert que ce à quoi s’attend l’utilisateur. Cette permissivité compense les
applications qui inspectent elles-mêmes, de façon incorrecte, les autorisations
UNIX afin de déterminer s’il faut tenter une opération de système de fichiers.
L’objectif de ce paramètre de règle est de s’assurer que ces applications
exécutent effectivement l’opération, de façon à permettre au système de fichiers
de déterminer correctement l’accès des utilisateurs via l’ACL. Sélectionnez l’une
des options suivantes :
Approximate owner mode bits using all possible group ACEs in ACL
Rend les autorisations du propriétaire apparemment plus permissives que les
autorisations réelles sur le fichier.

Approximate owner mode bits using only the ACE with the owner ID
Rend les autorisations du propriétaire apparemment plus précises, car vous
voyez uniquement les autorisations d’un propriétaire spécifique et non
l’ensemble plus permissif. Cependant, cela peut occasionner des problèmes
de refus d’accès pour les clients UNIX.

Approximate Group Mode Bits When ACL Exists


Sélectionnez l’une des options suivantes pour les autorisations de groupe :
Approximate group mode bits using all possible group ACEs in ACL
Rend les autorisations du groupe apparemment plus permissives que les
autorisations réelles sur le fichier.

Approximate group mode bits using only the ACE with the group ID
Rend les autorisations du groupe apparemment plus précises, car vous voyez
uniquement les autorisations d’un groupe particulier et non l’ensemble plus
permissif. Cependant, cela peut occasionner des problèmes de refus d’accès
pour les clients UNIX.

Synthetic "deny" ACEs


L’interface utilisateur des ACL Windows ne peut pas afficher une ACL si les ACE
de refus d’accès ne suivent pas l’ordre canonique de l’ACL. Pour représenter
correctement les autorisations UNIX, il peut être nécessaire que les ACE de refus
d’accès ne soient pas dans l’ordre canonique de l’ACL. Sélectionnez l’une des
options suivantes :
Do not modify synthetic ACLs and mode bit approximations
Empêche les modifications apportées à la génération d’ACL synthétiques et
permet de générer si besoin des ACE « de refus ».

ATTENTION

Cette option peut entraîner une réorganisation des autorisations et un


refus d’accès permanent si un utilisateur ou une application Windows
effectue une obtention d’ACL, une modification d’ACL et une définition
d’ACL vers et à partir de Windows.

212 OneFS 8.0.1 Guide d’administration Web


Contrôle d’accès aux données

Remove “deny” ACEs from ACLs. Ce paramètre peut rendre les ACL plus
permissives que les bits de mode équivalents
N’inclut pas les ACE de refus d’accès lors de la génération d’ACL
synthétiques.

Access check (utimes)


Vous pouvez contrôler qui est autorisé à modifier les utimes, qui sont les temps
d’accès et de modification d’un fichier. Sélectionnez l’une des options suivantes :
Allow only owners to change utimes to client-specific times (POSIX
compliant)
Autorise uniquement les propriétaires à modifier les utimes, ce qui est
conforme à la norme POSIX.

Allow owners and users with ‘write’ access to change utimes to client-
specific times
Permet aux propriétaires ainsi qu’aux utilisateurs ayant unaccès en écriture
de modifier les utimes, ce qui est moins restrictif.

Read-only DOS attribute


Deny permission to modify files with DOS read-only attribute over Windows
Files Sharing (SMB)
Reproduit le comportement des autorisations d’attribut DOS uniquement sur
le protocole SMB, de sorte que les fichiers utilisent l’attribut en lecture seule
sur SMB.

Deny permission to modify files with DOS read-only attribute through NFS
and SMB
Reproduit le comportement des autorisations d’attribut DOS sur les
protocoles NFS et SMB. Par exemple, si les autorisations sur un fichier sont
en lecture seule sur SMB, elles le sont également sur NFS.

Displayed mode bits


Use ACL to approximate mode bits
Affiche le rapprochement des bits de mode NFS qui sont basés sur les
autorisations ACL.

Always display 777 if ACL exists


Affiche les autorisations de fichier 777. Si les autorisations NFS estimées
sont moins permissives que celles de l’ACL, vous pouvez utiliser ce paramètre
afin que le client NFS n’arrête pas la vérification d’accès avant de procéder à
l’opération. Utilisez ce paramètre lorsqu’une application tierce peut être
bloquée si l’ACL ne fournit pas l’accès approprié.

Exécuter la tâche PermissionRepair


Vous pouvez mettre à jour les autorisations ou la propriété des fichiers et des
répertoires en exécutant la tâche PermissionRepair. Pour éviter les problèmes
d’autorisations qui peuvent survenir après la modification de l’identité sur disque,
exécutez cette tâche en association avec la tâche Convert Permissions de façon à
propager les modifications à l’ensemble du cluster.

Exécuter la tâche PermissionRepair 213


Contrôle d’accès aux données

Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
2. (Facultatif) Dans le tableau Job Types, cliquez sur View/Edit dans la ligne de la
tâche PermissionRepair.
La fenêtre View Job Type Details s’affiche.
3. Cliquez sur Edit Job Type.
La fenêtre Edit Job Type Details s’affiche.
4. Sélectionnez Enable this job type.
5. Dans la liste Default Priority, sélectionnez un numéro de priorité qui spécifie la
priorité de la tâche parmi toutes les tâches en cours d’exécution. La priorité de
la tâche est représentée par un chiffre allant de 1 à 10, 1 étant la priorité la plus
élevée et 10 la priorité la plus faible.
6. (Facultatif) Dans la liste Default Impact Policy, sélectionnez la règle d’impact
que doit suivre la tâche.
7. Dans la zone Schedule, spécifiez la façon dont la tâche doit être démarrée.

Option Description
Manual La tâche doit être démarrée manuellement.
Scheduled La tâche est programmée régulièrement. Sélectionnez l’option
Schedule dans la liste déroulante et indiquez les détails du
planning.

8. Cliquez sur Save Changes, puis sur Close.


9. (Facultatif) Dans le tableau Job Types, cliquez sur Start Job.
La fenêtre Start a Job s’ouvre.
10. Activez ou désactivez la case Allow Duplicate Jobs.
11. (Facultatif) Dans la liste Impact policy, sélectionnez une règle d’impact pour la
tâche qui doit suivre.
12. Dans le champ Paths, saisissez ou recherchez le répertoire dans /ifs dont
vous souhaitez réparer les autorisations.
13. (Facultatif) Cliquez sur Add another directory path et, dans le champ Paths,
saisissez ou recherchez un répertoire supplémentaire dans /ifs dont vous
souhaitez réparer les autorisations.
Vous pouvez répéter cette étape pour ajouter si besoin des chemins de
répertoire.
14. Dans la liste Repair Type, sélectionnez l’une des méthodes suivantes pour
mettre à jour les autorisations :

Option Description
Clone Applique les paramètres d’autorisation du répertoire spécifié par le
paramètre Template File or Directory au répertoire que vous avez
défini dans les champs Paths.
Inherit Applique de manière récursive l’ACL du répertoire spécifié par le
paramètre Template File or Directory à chaque fichier et sous-

214 OneFS 8.0.1 Guide d’administration Web


Contrôle d’accès aux données

Option Description
répertoire contenu dans les champs Paths spécifiés, conformément
aux règles d’héritage standard.
Convert Pour chaque fichier et répertoire contenu dans les champs Paths
spécifiés, convertit le propriétaire, le groupe et la liste de contrôle
d’accès (ACL) vers l’identité sur disque cible compte tenu du
paramètre Mapping Type .

Les autres options des paramètres varient en fonction de la tâche de réparation


sélectionnée.
15. Dans le champ Template File or Directory, saisissez ou recherchez le
répertoire dans /ifs à partir duquel vous souhaitez copier les autorisations. Ce
paramètre s’applique uniquement aux types de réparation Clone et Inherit.
16. (Facultatif) Dans la liste Mapping Type, sélectionnez le type d’identités sur
disque privilégié à appliquer. Ce paramètre s’applique uniquement à la tâche de
réparation Convert permissions.

Option Description
Global Applique l’identité par défaut du système.
SID (Windows) Applique l’identité Windows.
UNIX Applique l’identité UNIX.
Native Si un utilisateur ou un groupe ne possède pas d’identifiant
UNIX autorisé (UID ou GID), applique l’identité Windows
(SID).

17. (Facultatif) Cliquez sur Start Job.

Exécuter la tâche PermissionRepair 215


Contrôle d’accès aux données

216 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 10
Partage de fichiers

Cette section traite des sujets suivants :

l Présentation du partage de fichiers.................................................................. 218


l SMB.................................................................................................................220
l NFS..................................................................................................................239
l FTP.................................................................................................................. 252
l HTTP et HTTPS............................................................................................... 253

Partage de fichiers 217


Partage de fichiers

Présentation du partage de fichiers


La prise en charge multiprotocole dans OneFS permet l’accès à des fichiers et
répertoires hébergés sur le cluster Isilon via SMB pour le partage de fichiers Windows,
via NFS pour le partage de fichiers UNIX, mais aussi via SSH, FTP et HTTP. Par
défaut, seuls les protocoles SMB et NFS sont activés.
OneFS crée le répertoire /ifs, qui est le répertoire racine de l’ensemble des données
du système de fichiers du cluster. Le répertoire /ifs est configuré en tant que
partage SMB et exportation NFS par défaut. Vous pouvez créer des partages et des
exportations supplémentaires dans l’arborescence de répertoires /ifs.

Remarque

Nous vous recommandons de ne pas enregistrer les données sur le chemin racine /
ifs, mais plutôt dans les répertoires sous /ifs. La conception de la structure de
stockage de données doit être soigneusement planifiée. Une structure de répertoire
bien conçue optimise les performances et l’administration du cluster.

Vous pouvez définir des autorisations Windows et UNIX sur les fichiers et les
répertoires OneFS. Les utilisateurs qui disposent des autorisations requises et de
privilèges d’administration peuvent créer, modifier et lire des données sur le cluster via
un ou plusieurs des protocoles de partage de fichiers pris en charge.
l SMB. Permet aux clients Microsoft Windows et Mac OS X d’accéder aux fichiers
stockés sur le cluster.
l NFS. Permet aux clients Linux et UNIX conformes aux spécifications RFC1813 (nfs
v3) et RFC3530 (nfs v4) d’accéder aux fichiers stockés sur le cluster.
l HTTP et HTTPS (avec DAV en option). Permettent aux clients d’accéder aux
fichiers stockés sur le cluster via un navigateur Web.
l FTP. Permet à tout client doté d’un programme client FTP d’accéder aux fichiers
stockés sur le cluster via le protocole FTP.

Environnements à protocoles mixtes


Le répertoire /ifs est le répertoire racine de toutes les données du système de
fichiers du cluster. Il fait office de partage SMB, d’exportation NFS et de répertoire
racine du document. Vous pouvez créer des partages et des exportations
supplémentaires dans l’arborescence de répertoires /ifs. Vous pouvez configurer
votre cluster OneFS de façon qu’il utilise exclusivement SMB ou NFS, ou bien les
deux. Vous pouvez également activer les protocoles HTTP, FTP et SSH.
Les privilèges d’accès sont systématiquement appliqués à tous les protocoles d’accès
sur tous les modèles de sécurité. Un utilisateur se voit accorder ou refuser les mêmes
droits sur un fichier, qu’il utilise le protocole SMB ou NFS. Les clusters exécutant
OneFS prennent en charge un ensemble de paramètres généraux de règle qui vous
permettent de personnaliser les paramètres par défaut des autorisations ACL et UNIX.
OneFS est configuré avec les autorisations UNIX standard sur l’arborescence de
fichiers. Les outils d’administration de l’Explorateur Windows ou de OneFS vous
permettent d’attribuer une ACL à n’importe quel fichier ou répertoire. En plus des
utilisateurs et des groupes du domaine Windows, les ACL de OneFS peuvent inclure
des utilisateurs et des groupes locaux, NIS et LDAP. Une fois qu’un fichier a reçu une
ACL, les bits de mode ne sont plus appliqués et n’existent qu’en tant qu’estimation des
autorisations effectives.

218 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Remarque

Nous vous recommandons de configurer l’ACL et les autorisations UNIX seulement si


vous comprenez parfaitement la façon dont ils interagissent les uns avec les autres.

Mise en cache des écritures avec SmartCache


La mise en cache des écritures accélère le processus d’écriture des données dans le
cluster. OneFS intègre une fonction de mise en cache des écritures appelée
SmartCache, laquelle est activée par défaut pour tous les fichiers et les répertoires.
Si la mise en cache des écritures est activée, OneFS écrit les données dans un cache à
écriture différée au lieu de les écrire immédiatement sur le disque. OneFS peut écrire
les données sur le disque à un moment plus opportun.

Remarque

Nous vous conseillons de maintenir la mise en cache des écritures activée. Il est
également recommandé d’activer la mise en cache des écritures pour toutes les règles
de pool de fichiers.

OneFS interprète les écritures vers le cluster en tant qu’écritures synchrones ou


asynchrones, selon les spécifications du client. L’impact de la mise en cache des
écritures et les risques qui lui sont associés dépendent des protocoles utilisés par le
client pour écrire sur le cluster, ainsi que de l’interprétation des écritures en tant
qu’écritures synchrones ou asynchrones. Si vous désactivez la mise en cache des
écritures, les spécifications du client sont ignorées et toutes les écritures sont
exécutées de manière synchrone.
Le tableau suivant explique la façon dont les spécifications du client sont interprétées,
en fonction du protocole.

Protocole Synchrone Asynchrone


NFS Le champ stable est défini sur Le champ stable est défini sur
data_sync ou file_sync. unstable.

SMB La balise write-through a La balise write-through


été appliquée. n’a pas été appliquée.

Mise en cache des écritures asynchrones


L’écriture asynchrone sur le cluster associée à la mise en cache des écritures
constitue la méthode la plus rapide pour écrire des données sur le cluster.
La mise en cache des écritures asynchrones nécessite moins de ressources du cluster
que la mise en cache des écritures synchrones. En outre, elle améliore les
performances générales du cluster pour la plupart des workflows. Toutefois, les
écritures asynchrones s’accompagnent d’un certain risque de perte de données.
Le tableau suivant décrit le risque de perte de données de chaque protocole lorsque la
mise en cache des écritures asynchrones est activée :

Protocole Risque
NFS Si un nœud tombe en panne, aucune donnée
n’est perdue, sauf dans le cas improbable où
un client de ce nœud tombe également en

Mise en cache des écritures avec SmartCache 219


Partage de fichiers

Protocole Risque
panne avant de pouvoir se reconnecter au
cluster. Dans ce cas, les écritures
asynchrones qui n’ont pas été validées sur le
disque sont perdues.

SMB Si un nœud tombe en panne, les écritures


asynchrones qui n’ont pas été validées sur le
disque sont perdues.

Nous vous conseillons de ne pas désactiver la mise en cache des écritures, quel que
soit le protocole avec lequel vous écrivez. Si vous écrivez dans le cluster avec des
écritures asynchrones et jugez les risques de perte de données trop importants, nous
vous recommandons de configurer vos clients de manière à utiliser des écritures
synchrones plutôt que de désactiver la mise en cache des écritures.

Mise en cache des écritures synchrones


La mise en cache des écritures synchrones utilise les ressources du cluster, y compris
une quantité négligeable d’espace de stockage. Bien qu’elle ne soit pas aussi rapide
que la mise en cache des écritures asynchrones, la mise en cache des écritures
synchrones est plus rapide que l’écriture dans le cluster sans mise en cache des
écritures (à moins que les ressources du cluster ne soient extrêmement limitées).
La mise en cache des écritures n’affecte pas l’intégrité des écritures synchrones. Si un
cluster ou un nœud tombe en panne, aucune des données du cache d’écriture différée
pour écritures synchrones n’est perdue.

SMB
OneFS inclut un service SMB configurable qui est utilisé pour créer et gérer des
partages SMB. Les partages SMB offrent aux clients Windows un accès réseau aux
ressources du système de fichiers sur le cluster. Vous pouvez autoriser des utilisateurs
et des groupes à effectuer des opérations telles que la lecture, l’écriture et la
définition d’autorisations d’accès sur les partages SMB.
Le répertoire /ifs est configuré en tant que partage SMB et activé par défaut.
OneFS prend en charge les modes de sécurité utilisateur et anonyme. Si le mode de
sécurité utilisateur est activé, les utilisateurs qui se connectent à un partage à partir
d’un client SMB doivent fournir un nom d’utilisateur valide avec les informations
d’identification appropriées.
Les partages SMB agissant tels des points de contrôle, les utilisateurs doivent avoir
accès à un partage pour pouvoir accéder aux objets d’un système de fichiers sur un
partage. Si un utilisateur a obtenu l’accès à un système de fichiers, mais pas au
partage sur lequel il réside, il ne pourra pas accéder au système de fichiers, quels que
soient ses privilèges. Par exemple, un partage nommé ABCDocs contient un fichier
appelé file1.txt, dans le chemin /ifs/data/ABCDocs/file1.txtfile1.txt.
Si un utilisateur qui tente d’accéder au fichier ABCDocs ne possède pas de privilèges
de partage sur , il ne peut pas accéder au fichier, même si l’administrateur lui a
initialement octroyé des privilèges en lecture et/ou écriture sur ce fichier.
Le protocole SMB utilise des identifiants de sécurité pour les données d’autorisation.
Toutes les identités sont converties en identifiants de sécurité (SID) lors de la
récupération, puis elles sont reconverties vers leur représentation sur disque avant
leur stockage sur le cluster.

220 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Quand un fichier ou un répertoire est créé, OneFS vérifie l’ACL de son répertoire
parent. Si l’ACL contient des entrées de contrôle d’accès (ACE) héritables, une
nouvelle ACL est générée à partir de celles-ci. Dans le cas contraire, OneFS crée une
ACL à partir des paramètres combinés de création de masque et de mode de fichier et
de répertoire.
OneFS prend en charge les clients SMB suivants :

Version SMB Systèmes d'exploitation pris en charge


3.0 - Multichannel uniquement Windows 8 ou version supérieure
Windows Server 2012 ou version supérieure

2.1 Windows 7 ou version supérieure


Windows Server 2008 R2 ou version
supérieure

2.0 Windows Vista ou version supérieure


Windows Server 2008 ou version supérieure
Mac OS X 10.9 ou version supérieure

1.0 Windows 2000 ou version supérieure


Windows XP ou version supérieure
Mac OS X 10.5 ou version supérieure

Partages SMB dans les zones d’accès


Vous pouvez créer et gérer des partages SMB dans les zones d’accès.
Vous pouvez créer des zones d’accès qui partitionnent le stockage sur le cluster
EMC Isilon en plusieurs conteneurs virtuels. Les zones d’accès prennent en charge
tous les paramètres de configuration des services d’authentification et de gestion des
identités sur le cluster. Vous pouvez ainsi configurer des fournisseurs
d’authentification et provisionner des partages SMB pour chaque zone. Lorsque vous
créez une zone d’accès, un fournisseur local est créé automatiquement, ce qui vous
permet de configurer chaque zone d’accès avec une liste d’utilisateurs et de groupes
locaux. Vous pouvez également effectuer l’authentification via un fournisseur Active
Directory différent dans chaque zone d’accès. Vous pouvez contrôler l’accès aux
données en dirigeant les connexions entrantes vers la zone d’accès à partir d’une
adresse IP spécifique dans un pool. L’association d’une zone d’accès à un pool
d’adresses IP limite l’authentification à la zone d’accès associée et réduit le nombre de
partages SMB disponibles et accessibles.
Voici quelques moyens de simplifier la gestion de SMB avec des zones d accès :
l Faites migrer plusieurs serveurs SMB, par exemple des serveurs de fichiers
Windows ou des systèmes de fichiers NetApp, vers un même cluster Isilon, puis
configurez une zone d’accès distincte pour chaque serveur SMB.
l Configurez chaque zone d’accès avec un ensemble unique de noms de partages
SMB qui n’entrent pas en conflit avec ceux d’autres zones d’accès, puis rattachez
chaque zone d’accès à un domaine Active Directory différent.
l Réduisez le nombre de partages disponibles et accessibles pour la gestion en
associant un pool d’adresses IP à une zone d’accès de façon à limiter
l’authentification à cette zone.
l Configurez des paramètres par défaut qui s’appliquent à tous les partages SMB
d’une zone d’accès.

Partages SMB dans les zones d’accès 221


Partage de fichiers

Le cluster Isilon dispose d’une zone d’accès intégrée, appelée System, dans laquelle
vous gérez tous les aspects du cluster et les autres zones d’accès. Si vous ne spécifiez
pas de zone d’accès lors de la gestion des partages SMB, OneFS utilise par défaut la
zone System.

SMB Multichannel
SMB Multichannel prend en charge l’établissement d’une seule session SMB sur
plusieurs connexions réseau.
SMB Multichannel est une fonction du protocole SMB 3.0 qui procure les
fonctionnalités suivantes :
Débit plus élevé
OneFS peut transmettre davantage de données à un client par l’intermédiaire de
plusieurs connexions sur des adaptateurs réseau à grande vitesse ou sur plusieurs
adaptateurs réseau.

Tolérance aux pannes de connexion


Lorsqu’une session SMB Multichannel est établie sur plusieurs connexions réseau,
elle n’est pas perdue si l’une des connexions présente une défaillance réseau, ce
qui permet au client de continuer à travailler.
Découverte automatique
SMB Multichannel découvre automatiquement les configurations matérielles
prises en charge sur le client qui ont plusieurs chemins d’accès disponibles, puis il
négocie et établit une session sur plusieurs connexions réseau. Il est inutile
d’installer des composants, rôles, services de rôle ou fonctions.

Exigences relatives à SMB Multichannel


Pour que le cluster EMC Isilon prenne en charge SMB Multichannel, vous devez
répondre à certaines exigences de configuration du logiciel et de la carte réseau.
OneFS peut uniquement prendre en charge SMB Multichannel lorsque les exigences
logicielles suivantes sont respectées :
l Clients Windows Server 2012, 2012 R2 ou Windows 8, 8.1.
l SMB Multichannel doit être activé sur le cluster EMC Isilon et sur l’ordinateur
client Windows. Il est activé sur le cluster Isilon par défaut.
SMB Multichannel établit une seule session SMB sur plusieurs connexions réseau
uniquement pour les configurations de carte réseau prises en charge. SMB
Multichannel requiert au moins l’une des configurations de carte réseau suivantes sur
l’ordinateur client :
l Deux cartes réseau ou plus.
l Une ou plusieurs cartes réseau prenant en charge le partage du trafic entrant, ou
RSS (Receive Side Scaling).
l Une ou plusieurs cartes réseau configurées avec l’agrégation de liens. Cette
dernière combine la bande passante de plusieurs cartes réseau d’un nœud en une
seule et même interface logique.

Configurations de carte réseau côté client prises en charge par SMB Multichannel
SMB Multichannel découvre automatiquement les configurations matérielles prises en
charge pour lesquelles plusieurs chemins d’accès sont disponibles.

222 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Chaque nœud du cluster EMC Isilon est doté d’au moins une carte réseau compatible
RSS. La configuration de la carte réseau côté client détermine la façon dont SMB
Multichannel établit des connexions simultanées au réseau pour chaque session SMB.

Configuration de Description
carte réseau
côté client
Carte réseau unique SMB Multichannel crée au maximum quatre connexions réseau au
compatible RSS cluster Isilon sur la carte réseau. Les connexions sont plus susceptibles
d’être réparties sur plusieurs cœurs de CPU, ce qui réduit le risque de
goulot d’étranglement et assure une vitesse optimale à la carte réseau.

Plusieurs cartes Si les cartes réseau sont compatibles RSS, SMB Multichannel crée au
réseau maximum quatre connexions réseau au cluster Isilon sur chaque carte
réseau. Si les cartes réseau du client ne sont pas compatibles RSS, SMB
Multichannel établit une seule connexion réseau au cluster Isilon sur
chaque carte réseau. Ces deux configurations permettent à SMB
Multichannel de tirer le meilleur parti de la bande passante combinée de
plusieurs cartes réseau et offre une tolérance aux pannes de connexion
si une connexion ou une carte réseau est défaillante.

Remarque

SMB Multichannel ne peut pas établir plus de huit connexions réseau


simultanées par session. Dans une configuration à plusieurs cartes
réseau, cela peut limiter le nombre de connexions autorisées par carte
réseau. Si, par exemple, la configuration contient trois cartes réseau
compatibles RSS, SMB Multichannel peut établir trois connexions sur la
première carte réseau, trois connexions sur la deuxième et deux
connexions sur la troisième.

Cartes réseau SMB Multichannel établit plusieurs connexions réseau au cluster Isilon
agrégées sur des cartes réseau agrégées, ce qui se traduit par un équilibrage des
connexions sur tous les cœurs de CPU, une utilisation efficace de la
bande passante combinée et une tolérance aux pannes de connexion.

Remarque

La configuration de carte réseau agrégée fournit de façon inhérente une


tolérance aux pannes de carte réseau qui ne dépend pas de SMB.

Gestion des partages SMB à l’aide de MMC


OneFS prend en charge le composant logiciel enfichable Dossiers partagés pour MMC
(Microsoft Management Console), qui permet de gérer les partages SMB sur le
cluster EMC Isilon à l’aide de l’outil MMC.
En général, pour gérer et configurer les partages, il convient de se connecter à la zone
System globale via l’interface d’administration Web ou l’interface de ligne de
commande. Si vous configurez des zones d’accès, vous pouvez vous connecter à une
zone par l’intermédiaire du composant logiciel enfichable Dossiers partagés de MMC,
et ainsi gérer directement tous les partages dans cette zone.
Vous pouvez établir une connexion à un nœud Isilon via le composant logiciel
enfichable Dossiers partagés de MMC et effectuer les tâches de gestion des partages
SMB suivantes :

Gestion des partages SMB à l’aide de MMC 223


Partage de fichiers

l Créer et supprimer des dossiers partagés


l Configurer les autorisations d’accès à un partage SMB
l Afficher la liste des sessions SMB actives
l Fermer les sessions SMB ouvertes
l Afficher la liste des fichiers ouverts
l Fermer les fichiers ouverts
Lorsque vous vous connectez à une zone par le biais du composant logiciel enfichable
Dossiers partagés de MMC, vous pouvez afficher et gérer tous les partages SMB
attribués à cette zone. Toutefois, vous pouvez uniquement afficher les sessions SMB
actives et les fichiers ouverts sur le nœud spécifique auquel vous êtes connecté dans
cette zone. Les modifications que vous apportez aux partages à l’aide du composant
logiciel enfichable Dossiers partagés de MMC sont propagées dans tout le cluster.

Exigences pour la connexion à MMC


Vous pouvez vous connecter à un cluster EMC Isilon via le composant logiciel
enfichable Dossiers partagés de MMC si vous remplissez certaines exigences d’accès.
Les conditions requises sont les suivantes :
l Vous devez exécuter MMC (Microsoft Management Console) depuis un poste de
travail Windows rattaché au domaine d’un fournisseur AD (Active Directory)
configuré sur le cluster.
l Vous devez être membre du groupe local <cluster>\Administrators.

Remarque

Les privilèges de contrôle d’accès basé sur des rôles (RBAC) ne s’appliquent pas à
MMC. Un rôle possédant des privilèges SMB n’est pas suffisant pour obtenir
l’accès.
l Vous devez vous connecter à un poste de travail Windows en tant qu’utilisateur
Active Directory membre du groupe local <cluster>\Administrators.

Copie côté serveur SMB


Afin d’augmenter les performances système, les clients SMB 2 et version supérieure
peuvent utiliser la fonction de copie côté serveur de OneFS.
Les clients Windows qui utilisent la copie côté serveur peuvent constater des
améliorations de performances au niveau des opérations de copie de fichier, car les
données de fichier n’ont plus à traverser le réseau. La fonction de copie côté serveur
lit et écrit des fichiers uniquement sur le serveur, évitant ainsi les allers-retours sur le
réseau et la duplication des données de fichier. Cette fonction concerne uniquement
les opérations de copie ou de copie partielle de fichier pour lesquelles les descripteurs
des fichiers sources et de destination sont ouverts dans le même partage. Elle ne
s’applique pas aux opérations entre plusieurs partages.
Cette fonction est activée par défaut sur l’ensemble des clusters OneFS. Elle ne peut
être désactivée qu’à l’échelle du système dans toutes les zones. En outre, la copie
côté serveur dans OneFS est incompatible avec la fonction de disponibilité continue
SMB. Si la disponibilité continue est activée pour un partage et que le client ouvre un
descripteur de fichier persistant, la copie côté serveur est automatiquement
désactivée pour ce fichier.

224 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Remarque

Vous pouvez uniquement activer ou désactiver la copie côté serveur SMB pour OneFS
via l’interface de ligne de commande (CLI).

Activer ou désactiver la fonction de copie côté serveur de SMB


Vous pouvez activer ou désactiver la fonction de copie côté serveur de SMB.
La fonction de copie côté serveur de SMB est activée par défaut dans OneFS.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers le cluster EMC Isilon.
2. Exécutez la commande isi smb settings global modify.
3. Modifiez l’option --server-side-copy, si nécessaire.
Cette fonction est activée par défaut.

Par exemple, la commande suivante désactive la copie côté serveur de SMB :

isi smb settings global modify --server-side-copy=no

Disponibilité continue SMB


Si OneFS s’exécute dans un environnement SMB 3.0, vous autorisez certains clients
Windows à ouvrir des fichiers sur un serveur où la fonction de disponibilité continue
est activée.
Si un serveur utilise Windows 8 ou Windows Server 2012, les clients peuvent créer des
descripteurs de fichier persistants qui peuvent être récupérés après une panne, par
exemple une déconnexion réseau ou la défaillance d’un serveur. Vous pouvez spécifier
la durée pendant laquelle le descripteur permanent est conservé après une
déconnexion ou une panne de serveur, mais également forcer l’application de
verrouillages stricts aux utilisateurs qui tentent d’ouvrir un fichier appartenant à un
autre descripteur. En outre, via l’interface de ligne de commande (CLI) de OneFS,
vous pouvez configurer les paramètres d’intégrité des écritures pour contrôler la
stabilité des écritures dans le partage.
Si la disponibilité continue est activée pour un partage et que le client ouvre un
descripteur de fichier persistant, la copie côté serveur est automatiquement
désactivée pour ce fichier.

Remarque

Vous ne pouvez activer la disponibilité continue qu’au moment de la création d’un


partage, mais vous pouvez mettre à jour les paramètres d’expiration du délai, de
verrouillage et d’intégrité des écritures lors de la création ou de la modification d’un
partage.

Activer la disponibilité continue de SMB


Vous pouvez activer la disponibilité continue de SMB 3.0 et configurer les paramètres
lorsque vous créez un partage.
Vous pouvez également mettre à jour les paramètres d’expiration de la disponibilité
continue, de verrouillage et d’intégrité des écritures lorsque vous modifiez un partage.

Disponibilité continue SMB 225


Partage de fichiers

Procédure
1. Accédez à Protocols > Windows Sharing (SMB) > SMB Shares.
2. Cliquez sur Create an SMB share.
La fenêtre Create an SMB Share s’ouvre.
3. Sélectionnez Enable continuous availability on the share.
4. (Facultatif) Cliquez sur Show Advanced Settings.
5. (Facultatif) Dans le champ Continuous Availability Timeout, spécifiez la durée
pendant laquelle vous souhaitez conserver un descripteur permanent après la
déconnexion d’un client ou la panne d’un serveur. La valeur par défaut est de
2 minutes.
6. (Facultatif) Définissez Strict Continuous Availability Lockout sur Yes pour
empêcher un client d’ouvrir un fichier si un autre client dispose d’un descripteur
permanent ouvert mais déconnecté de ce fichier. Si ce paramètre est défini sur
no, OneFS émet des descripteurs persistants, mais les annule si un client autre
que le client d’origine tente d’accéder au fichier. L'option par défaut est Yes.
7. Cliquez sur Create Share.
8. Pour configurer les paramètres d’intégrité des écritures, procédez comme suit :
a. Ouvrez une connexion shell sécurisée (SSH) pour l’interface de ligne de
commande (CLI) de OneFS.
b. Définissez le paramètre --ca-write-integrity sur l’une des options
suivantes :
none
Les écritures disponibles en continu sont gérées de la même manière
que les autres écritures sur le cluster. Si vous spécifiez none et qu’un
nœud tombe en panne, une perte de données peut survenir sans que
vous en soyez notifié. Ce paramètre est déconseillé.
write-read-coherent
Les écritures sur le partage sont déplacées vers un stockage persistant
avant la transmission d’un message de réussite au client SMB qui a
envoyé les données. C’est le paramètre par défaut.
full
Les écritures sur le partage sont déplacées vers un stockage persistant
avant la transmission d’un message de réussite au client SMB qui a
envoyé les données et empêche OneFS d’octroyer des baux de mise en
cache des écritures et des descripteurs aux clients SMB.

Filtrage de fichiers SMB


Vous pouvez utiliser le filtrage de fichiers SMB pour autoriser ou refuser les écritures
de fichiers dans une zone d’accès ou un partage.
Cette fonction vous permet de refuser certains types de fichiers qui risquent de
provoquer des problèmes de débit, de sécurité, de productivité ou d’encombrement du
stockage. Vous pouvez restreindre les écritures en autorisant les écritures de certains
types de fichiers dans un partage.
l Si vous choisissez de refuser les écritures de fichiers, vous pouvez spécifier les
extensions des types de fichiers pour lesquels les écritures ne sont pas autorisées.
OneFS autorise les écritures pour tous les autres types de fichiers dans le partage.

226 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

l Si vous choisissez d’autoriser les écritures de fichiers, vous pouvez spécifier les
extensions des types de fichiers pour lesquels les écritures sont autorisées. OneFS
refuse les écritures pour tous les autres types de fichiers dans le partage.
Vous pouvez ajouter ou supprimer des extensions de fichier si vos règles de restriction
changent.

Activer le filtrage de fichiers SMB


Vous pouvez activer ou désactiver le filtrage de fichiers SMB pour un partage.
Procédure
1. Cliquez sur Protocols > Windows Sharing (SMB) > Default Share Settings.
2. Sélectionnez Enable file filters.
Les paramètres des extensions de fichier s’affichent.
3. Dans la liste File Extensions, sélectionnez l’une des options suivantes :
l Deny writes for list of file extensions. Les types de fichier que vous
spécifiez ne peuvent pas être écrits sur le partage.
l Allow writes for list of file extensions. Les types de fichier que vous
spécifiez types sont les seuls fichiers qu’il est possible d’écrire sur le
partage.
4. Cliquez sur Add file extensions.
5. Saisissez un type de fichiers, tel que .wav ou .mpg, dans le champ File
Extensions.
6. (Facultatif) Pour spécifier plusieurs types de fichier, cliquez sur Add another
file extension.
7. Cliquez sur Add Extensions pour enregistrer les modifications.
8. Pour supprimer un type de fichiers de la liste des extensions, cochez la case
correspondant à l’extension, puis cliquez sur Delete.

Liens symboliques et clients SMB


OneFS permet aux clients SMB2 d’accéder aux liens symboliques de manière
transparente. De nombreux administrateurs déploient les liens symboliques afin de
réorganiser de façon virtuelle les hiérarchies de systèmes de fichiers, surtout lorsque
des fichiers ou répertoires essentiels sont dispersés dans un environnement.
Dans un partage SMB, un lien symbolique (également appelé symlink ou lien logiciel)
est un type de fichier contenant un chemin vers un fichier ou répertoire cible. Les liens
symboliques sont transparents pour les applications s’exécutant sur des clients SMB
et ils fonctionnent comme des fichiers et répertoires classiques. La prise en charge
des liens relatifs et absolus est activée par le client SMB. La configuration spécifique
dépend du type et de la version du client.
Un lien symbolique qui pointe vers un fichier ou un répertoire réseau ne se trouvant
pas dans le chemin de la session SMB active est appelé lien absolu (ou distant). Les
liens absolus pointent toujours vers le même emplacement d’un système de fichiers,
quel que soit le répertoire actif, et contiennent généralement le répertoire racine dans
leur chemin. À l’inverse, un lien relatif est un lien symbolique qui pointe directement
vers le répertoire actif d’une application ou d’un utilisateur ; il n’est donc pas
nécessaire de spécifier le chemin absolu complet lors de la création du lien.
OneFS expose les liens symboliques par le biais du protocole SMB2, ce qui permet aux
clients SMB2 de résoudre eux-mêmes les liens au lieu de compter sur OneFS pour le
faire à leur place. Pour parcourir un lien relatif ou absolu, le client SMB doit être

Liens symboliques et clients SMB 227


Partage de fichiers

authentifié auprès des partages SMB que le lien peut suivre. Toutefois, si le client
SMB n’est pas autorisé à accéder au partage, l’accès à la cible est refusé et Windows
n’invite pas l’utilisateur à saisir ses informations d’identification.
Les liens SMB2 et NFS sont interopérables pour les liens relatifs uniquement. Pour une
compatibilité maximale, créez ces liens à partir d’un client POSIX.

Remarque

Les clients SMB1 (Windows XP ou 2002, par exemple) peuvent continuer à utiliser des
liens relatifs, lesquels sont parcourus côté serveur et appelés « fichiers de
raccourci ». Les liens absolus ne fonctionnent pas dans ces environnements.

Activation des liens symboliques


Avant de pouvoir utiliser les liens symboliques dans un environnement SMB, vous
devez les activer.
Pour que les clients SMB Windows puissent parcourir chaque type de lien symbolique,
vous devez les activer sur le client. Windows prend en charge les types de liens
suivants :
l local à local ;
l distant à distant ;
l local à distant ;
l distant à local ;
Vous devez exécuter la commande Windows suivante pour activer les quatre types de
liens :

fsutil behavior set SymlinkEvaluation L2L:1 R2R:1 L2R:1 R2L:1

Pour les clients POSIX utilisant Samba, vous devez définir les options suivantes dans
la section [global] de votre fichier de configuration Samba (smb.conf) afin
d’autoriser les clients Samba à parcourir les liens relatifs et absolus :

follow symlinks=yes
wide links=yes

Dans cet exemple, « wide links » dans le fichier smb.conf désigne les liens absolus.
Le paramètre par défaut de ce fichier est no.

Gestion des liens symboliques


Après avoir activé les liens symboliques, vous pouvez en créer ou en supprimer à partir
de l’invite de commandes Windows ou d’une ligne de commande POSIX.
Créez des liens symboliques à l’aide de la commande Windows mklink sur un client
SMB2 ou de la commande ln à partir d’une interface de ligne de commande POSIX.
Par exemple un administrateur peut permettre à l’utilisateur User1 d’accéder au fichier
File1.doc situé dans le répertoire /ifs/data/ sans avoir besoin de lui accorder un
accès spécifique à ce répertoire, en créant un lien Link1 :

mklink \ifs\home\users\User1\Link1 \ifs\data\Share1\File1.doc

228 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Lorsque vous créez un lien symbolique, il est désigné en tant que lien de fichier ou lien
de répertoire. Une fois le lien défini, sa désignation ne peut pas être modifiée. Vous
pouvez définir les chemins des liens symboliques comme relatifs ou absolus.
Pour supprimer des liens symboliques, utilisez la commande del sous Windows ou la
commande rm dans un environnement POSIX.
Gardez à l’esprit que lorsque vous supprimez un lien symbolique, le fichier ou
répertoire cible continue d’exister. Lorsque vous supprimez un fichier ou un répertoire
cible, le lien symbolique continue d’exister et pointe toujours vers l’ancienne cible,
devenant ainsi un lien rompu.

Accès anonyme aux partages SMB


Vous pouvez configurer un accès anonyme aux partages SMB en activant l’utilisateur
invité local et en autorisant l’usurpation d’identité de l’utilisateur invité.
Par exemple, si vous stockez des fichiers tels que des fichiers exécutables de
navigateur ou d’autres données accessibles sur Internet, l’accès anonyme permet à
n’importe quel utilisateur d’accéder au partage SMB sans avoir à s’authentifier.

Gestion des paramètres SMB


Vous pouvez activer ou désactiver le service SMB, configurer ses paramètres
généraux et définir des paramètres par défaut spécifiques pour les partages SMB de
chaque zone d’accès.

Configurer les paramètres du serveur SMB


Vous pouvez activer ou désactiver le serveur SMB, et configurer les paramètres
généraux des partages SMB et des répertoires de snapshots.

ATTENTION

La modification des paramètres avancés peut provoquer des problèmes


opérationnels. Soyez conscient de ces conséquences potentielles avant de valider
les modifications de ces paramètres.

Procédure
1. Cliquez sur Protocols > Windows Sharing (SMB) > SMB Server Settings.
2. Dans la zone Service, sélectionnez Enable SMB Service.
3. Dans la zone Advanced Settings, choisissez les valeurs par défaut du système
ou une configuration personnalisée pour les paramètres suivants :
l Visible at root
l Accessible at root
l Visible in subdirectories
l Accessible in subdirectories
4. Cliquez sur Save Changes.

Configurer les paramètres par défaut des partages SMB


Vous pouvez configurer les paramètres des partages SMB spécifiques de chaque zone
d’accès.
Les paramètres par défaut sont appliqués à tous les nouveaux partages qui sont
ajoutés à la zone d’accès.

Accès anonyme aux partages SMB 229


Partage de fichiers

ATTENTION

Si vous modifiez les paramètres par défaut, les modifications sont appliquées à
tous les partages existants de la zone d’accès, sauf si le paramètre a été
configuré au niveau du partage SMB.

Procédure
1. Cliquez sur Protocols > Windows Sharing (SMB) > Default Share Settings.
2. Dans la liste déroulante Current Access Zones, sélectionnez la zone d’accès à
laquelle s’appliquent les paramètres par défaut.
3. Dans la zone File Filtering, sélectionnez Enable file filters pour activer le
filtrage de fichiers.
4. Dans la zone Advanced Settings, choisissez les valeurs par défaut du système
ou une configuration personnalisée pour les paramètres suivants :
l Continuous Availability Timeout
l Strict Continuous Availability Lockout
l Create Permission
l Directory Create Mask
l Directory Create Mode
l File Create Mask
l File Create Mode
l Change Notify
l Oplocks
l Impersonate Guest
l Impersonate User
l NTFS ACL
l Access-based Enumeration
l Host ACL
5. Cliquez sur Save Changes.

Activer ou désactiver SMB Multichannel


SMB Multichannel est requis pour l’ouverture de plusieurs sessions SMB simultanées
depuis un ordinateur client Windows vers le nœud d’un cluster EMC Isilon. Par défaut,
SMB Multichannel est activé dans le cluster Isilon.
L’activation ou la désactivation de SMB Multichannel s’effectue uniquement via
l’interface de ligne de commande.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Exécutez la commande isi smb settings global modify.
La commande suivante active SMB Multichannel sur le cluster EMC Isilon :

isi smb settings global modify –-support-multichannel=yes

230 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

La commande suivante désactive SMB Multichannel sur le cluster EMC Isilon :

isi smb settings global modify –-support-multichannel=no

Paramètres des répertoires de snapshots


Vous pouvez afficher et configurer les paramètres qui contrôlent les répertoires de
snapshots dans SMB.

ATTENTION

Ces paramètres affectent le comportement du service SMB. Les modifications


apportées à ces paramètres ont une incidence sur tous les partages SMB actuels
et futurs.

Paramètre Valeur du paramètre

Visible at Root Indique si le répertoire .snapshot doit être


visible ou non à la racine du partage. La valeur
par défaut est Yes.

Accessible at Root Indique si le répertoire .snapshot doit être


accessible ou non à la racine du partage. La
valeur par défaut est Yes.

Visible in Subdirectories Indique si le répertoire .snapshot doit être


visible ou non dans les sous-répertoires de la
racine du partage. La valeur par défaut est No.

Accessible in Subdirectories Indique si le répertoire .snapshot doit être


accessible ou non dans les sous-répertoires de
la racine du partage. La valeur par défaut est
Yes.

Paramètres d’autorisation des fichiers et répertoires


Vous pouvez afficher et configurer les autorisations sources par défaut et les bits de
masque/mode UNIX appliqués lorsqu’un fichier ou un répertoire est créé dans un
partage SMB.

Remarque

Les modifications apportées directement à un partage SMB remplacent les paramètres


par défaut configurés sous l’onglet Default SMB Share Settings.

Si les bits de masque et de mode correspondent aux valeurs par défaut, une coche
verte apparaît en regard du paramètre, indiquant que l’autorisation en lecture (R), en
écriture (W) ou en exécution (X) spécifiée est activée au niveau de l’utilisateur, du
groupe ou au niveau other. Le niveau other inclut tous les utilisateurs qui ne sont pas
répertoriés en tant que propriétaires du partage et qui ne font pas partie du niveau de
groupe auquel appartient le fichier.
Paramètre Valeur du paramètre
Continuous Availability Timeout Spécifie la durée pendant laquelle vous
souhaitez conserver un descripteur

Gestion des paramètres SMB 231


Partage de fichiers

Paramètre Valeur du paramètre


permanent après la déconnexion d’un client ou
la panne d’un serveur. La valeur par défaut est
de 2 minutes.

Strict Continuous Availability Lockout Empêche un client d’ouvrir un fichier si un


autre client dispose d’un descripteur
permanent ouvert mais déconnecté de ce
fichier. Si la valeur est no, OneFS émet des
descripteurs persistants, mais les annule si
tout client autre que le client d’origine tente
d’ouvrir le fichier. L'option par défaut est no.

Create Permission Définit les autorisations sources par défaut à


appliquer lors de la création d’un fichier ou
d’un répertoire. La valeur par défaut est
Default ACL.

Directory Create Mask Spécifie les bits de mode UNIX qui sont
supprimés lorsqu’un répertoire est créé, ce qui
limite les autorisations. Les bits de masque
sont appliqués avant les bits de mode.

Directory Create Mode Spécifie les bits de mode UNIX ajoutés


lorsqu’un répertoire est créé, ce qui active les
autorisations. Les bits de mode sont appliqués
après les bits de masque.

File Create Mask Spécifie les bits de mode UNIX qui sont
supprimés lors de la création d’un fichier, ce
qui limite les autorisations. Les bits de masque
sont appliqués avant les bits de mode.

File Create Mode Spécifie les bits de mode UNIX ajoutés


lorsqu’un fichier est créé, ce qui active les
autorisations. Les bits de mode sont appliqués
après les bits de masque.

Paramètres de performances SMB


Vous pouvez afficher et configurer les paramètres de performances de notification des
modifications et de verrouillage opportuniste des fichiers (oplock) d’un partage SMB.

Remarque

Les modifications apportées directement à un partage SMB remplacent les paramètres


par défaut configurés sous l’onglet Default SMB Share Settings.

Paramètre Valeur du paramètre


Change Notify Configure la notification envoyée aux clients
lorsque des fichiers ou des répertoires sont
modifiés. Ce paramètre évite que les clients
ne voient un contenu obsolète, mais il
nécessite des ressources serveur. La valeur
par défaut est Norecurse.

232 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Paramètre Valeur du paramètre


Oplocks Indique si une demande de verrouillage
opportuniste (oplock) est autorisée. Un
oplock améliore les performances des clients
en utilisant des informations mises en cache
localement. La valeur par défaut est Yes.

Paramètres de sécurité SMB


Vous pouvez afficher et configurer les paramètres de sécurité d’un partage SMB.

Remarque

Les modifications apportées directement à un partage SMB remplacent les paramètres


par défaut configurés sous l’onglet Default SMB Share Settings.

Paramètre Valeur du paramètre


Impersonate Guest Détermine l’accès de l’invité au partage. La
valeur par défaut est Never.

Impersonate User Permet d’accéder aux fichiers en tant qu’un


utilisateur spécifique. Cette valeur doit être un
nom d’utilisateur complet. La valeur par
défaut est No value.

NTFS ACL Permet aux ACL d’être stockées et modifiées


à partir de clients SMB. La valeur par défaut
est Yes.

Access-based Enumeration Active Access-based Enumeration


uniquement sur les fichiers et les dossiers
auxquels le demandeur peut accéder. La
valeur par défaut est No.

HOST ACL ACL qui définit l’accès à l’hôte. Aucune valeur


n’est spécifiée par défaut.

Gestion des partages SMB


Vous pouvez configurer les règles et les autres paramètres qui régissent les
interactions entre votre réseau Windows et les différents partages SMB du cluster.
OneFS prend en charge l’extension des variables %U, %D, %Z, %L, %0, %1, %2 et
%3, ainsi que le provisionnement automatique des répertoires personnels des
utilisateurs.
Vous pouvez configurer les utilisateurs et les groupes qui sont associés à un partage
SMB, et afficher ou modifier leurs autorisations au niveau du partage.

Remarque

Nous vous recommandons de configurer les paramètres avancés du partage SMB


seulement si vous possédez une connaissance approfondie du protocole SMB.

Gestion des partages SMB 233


Partage de fichiers

Créer un partage SMB


Lorsque vous créez un partage SMB, vous pouvez remplacer les autorisations, les
performances et les paramètres d’accès par défaut. Vous pouvez configurer le
provisionnement de répertoires personnels SMB en intégrant des variables d’extension
au chemin du partage afin de créer des utilisateurs et de les rediriger automatiquement
vers leur répertoire personnel.
Avant de commencer
Spécifiez un chemin à utiliser en tant que partage SMB et créez le répertoire avant de
créer le partage SMB. Les partages sont spécifiques des zones d’accès et le chemin
du partage doit se trouver dans le chemin de la zone. Créez des zones d’accès avant
de créer des partages SMB.
Procédure
1. Cliquez sur Protocols > Windows Sharing (SMB) > SMB Shares.
2. Dans la liste déroulante Current Access Zones, sélectionnez la zone d’accès
dans laquelle vous souhaitez créer le partage.
3. Cliquez sur Create an SMB Share.
4. Dans le champ Name, saisissez le nom du partage.
Les noms de partage peuvent contenir jusqu’à 80 caractères, à l’exception des
suivants : " \ / [ ] : | < > + = ; , * ?
En outre, si le codage des caractères du cluster n’est pas défini sur UTF-8, les
noms de partage SMB sont sensibles à la casse.

5. (Facultatif) Dans le champ Description, saisissez un commentaire sur le


partage.
La description est facultative, mais elle peut se révéler utile si vous gérez
plusieurs partages. Ce champ est limité à 255 caractères.
6. Dans le champ Path, saisissez le chemin de répertoire complet du partage en
commençant par /ifs, ou cliquez sur Browse pour localiser le chemin de
répertoire.

Remarque

Si vous souhaitez utiliser une des variables du tableau suivant lorsque vous
spécifiez un chemin de répertoire, activez la case à cocher Allow Variable
Expansion, sans quoi le système interprétera la chaîne de façon littérale.

Variable Expansion

%D Nom du domaine NetBIOS

%U Nom de l’utilisateur, par exemple user_001.

%Z Nom de la zone, par exemple System

%L Nom d’hôte du cluster, en minuscules (format


standard).

%0 Premier caractère du nom d’utilisateur.

%1 Deuxième caractère du nom d’utilisateur.

234 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Variable Expansion

%2 Troisième caractère du nom d’utilisateur.

Par exemple, si un utilisateur appartient à un domaine nommé DOMAIN et utilise


le nom d’utilisateur user_1, le chemin /ifs/home/%D/%U a pour forme
étendue /ifs/home/DOMAIN/user_1.
7. Sélectionnez Create SMB share directory if it does not exist
pour que OneFS crée le répertoire de partage pour le chemin spécifié s’il
n’existe pas déjà.
8. Appliquez les paramètres ACL initiaux au répertoire. Vous pourrez modifier ces
paramètres ultérieurement.
l Pour appliquer une ACL par défaut au répertoire partagé, sélectionnez Apply
Windows default ACLs.

Remarque

Si le paramètre Create SMB share directory if it does not exist est


sélectionné, OneFS crée une ACL avec l’équivalent des autorisations de bits
de mode UNIX 700 pour tout répertoire créé automatiquement.
l Pour conserver les autorisations existantes du répertoire partagé,
sélectionnez Do not change existing permissions.
9. (Facultatif) Configurez les paramètres de provisionnement du répertoire
personnel.
l Pour étendre les variables de chemin telles que %U dans le chemin du
répertoire partagé, sélectionnez Allow Variable Expansion.
l Pour créer automatiquement des répertoires personnels lorsque des
utilisateurs accèdent au partage pour la première fois, sélectionnez Auto-
Create Directories. Cette option est uniquement disponible si la case à
cocher Allow Variable Expansion est activée.
10. Sélectionnez l’option Enable continuous availability on the share pour
permettre aux clients de créer des descripteurs persistants qui peuvent être
récupérés après une panne telle qu’une déconnexion liée au réseau ou une
défaillance de serveur. Les serveurs doivent utiliser Windows 8 ou Windows
2012 R2 (ou version supérieure).
11. Cliquez sur Add User or Group pour modifier les paramètres de l’utilisateur et
du groupe.
La configuration des autorisations par défaut est en accès en lecture seule pour
le compte Everyone connu. Modifiez les paramètres pour permettre aux
utilisateurs d’écrire dans ce partage.
12. Sélectionnez File Filter Extensions pour activer la prise en charge du filtrage
des fichiers. Ajoutez les types de fichiers à appliquer à la méthode de filtrage
des fichiers.
13. (Facultatif) Cliquez sur Show Advanced Settings pour appliquer des
paramètres de partage SMB avancés si besoin.
14. Cliquez sur Create Share.

Gestion des partages SMB 235


Partage de fichiers

Modifier les autorisations, les performances ou la sécurité des partages SMB


Vous pouvez modifier les paramètres d’autorisation, de performances et d’accès de
partages SMB individuels.
Vous pouvez configurer le provisionnement des répertoires personnels SMB en
utilisant des variables de chemin de répertoire ou d’extension afin de créer des
utilisateurs et de les rediriger automatiquement vers leurs propres répertoires
personnels.

Remarque

Les modifications apportées à ces paramètres affectent uniquement ce partage. Si


vous devez modifier les valeurs par défaut du partage SMB, vous pouvez le faire sous
l’onglet Default SMB Share Settings.

Procédure
1. Cliquez sur Protocols > Windows Sharing (SMB) > SMB Shares.
2. Dans la liste déroulante Current Access Zone, sélectionnez la zone d’accès
contenant le partage à modifier.
3. Dans la liste des partages SMB, recherchez le partage que vous souhaitez
modifier, puis cliquez sur View/Edit.
Les paramètres du partage s’affichent.
4. Cliquez sur Edit SMB Share.
5. Modifiez les paramètres souhaités.
6. (Facultatif) Pour modifier les paramètres d’autorisation, de performances ou de
sécurité des fichiers et des répertoires, cliquez sur Show Advanced Settings.
7. Cliquez sur Save Changes.

Supprimer un partage SMB


Vous pouvez supprimer les partages SMB qui ne sont plus nécessaires.
Les partages SMB inutilisés ne perturbent pas les performances du cluster. Si vous
supprimez un partage SMB, le chemin du partage est supprimé, mais le répertoire
auquel il fait référence est conservé. Si vous créez un nouveau partage ayant le même
chemin que le partage supprimé, le répertoire auquel le partage précédent faisait
référence est de nouveau accessible à partir du nouveau partage.
Procédure
1. Cliquez sur Protocols > Windows Sharing (SMB) > SMB Shares.
2. Dans la liste déroulante Current Access Zones, sélectionnez la zone d’accès
contenant le partage à supprimer.
3. Dans la liste des partages SMB, sélectionnez le partage à supprimer.

Remarque

Vous pouvez supprimer plusieurs partages sur le cluster en cochant les cases en
regard du nom de partage, puis en cliquant sur Delete.

4. Dans la fenêtre de confirmation, cliquez sur Delete pour confirmer la


suppression.

236 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Limiter l’accès du compte Everyone au partage /ifs


Par défaut, le répertoire racine /ifs est configuré en tant que partage SMB dans la
zone d’accès système. Il est recommandé de limiter le compte Everyone (Tout le
monde) de ce partage à un accès en lecture seule.
Procédure
1. Cliquez sur Protocols > Windows Sharing (SMB) > SMB Shares.
2. Dans la liste déroulante Current Access Zone, sélectionnez System.
3. Sélectionnez la case à cocher correspondant au partage /ifs, puis cliquez sur
View/Edit.
La boîte de dialogue View SMB Share Details s’affiche.
4. Cliquez sur Edit SMB Share.
La boîte de dialogue Edit SMB Share Details s’affiche.
5. Dans la zone Users and Groups, cochez la case correspondant au compte
Everyone, puis cliquez sur View/Edit.
La boîte de dialogue Edit Persona s’affiche.
6. Sélectionnez Specify Permission Level, puis cochez la case Read. Désactivez
les cases à cocher Full Control et
Read-Write si ces options sont sélectionnées.
7. Cliquez sur Apply.

Configuration d’un accès anonyme à un seul partage SMB


Vous pouvez configurer l’accès anonyme aux données stockées sur un seul partage
grâce à l’usurpation d’identité d’un utilisateur invité.
Procédure
1. Cliquez sur Access > Membership & Roles > Users.
2. Dans la liste Current Access Zones, sélectionnez la zone d’accès contenant le
partage pour lequel vous souhaitez autoriser un accès anonyme.
3. Dans la liste déroulante Providers, sélectionnez Local.
a. Cliquez sur View/Edit en regard du compte invité.
La boîte de dialogue View User Details s’affiche.
b. Cliquez sur Edit User.
c. Sélectionnez l’option Enable the account, puis cliquez sur Save Changes.
4. Cliquez sur Protocols > Windows Sharing (SMB) > SMB Shares.
5. Cliquez sur View/Edit en regard du partage auquel vous souhaitez autoriser
l’accès anonyme.
6. Cliquez sur Edit SMB Share.
7. Cliquez sur Show Advanced Settings.
8. Recherchez le paramètre Impersonate Guest, puis cliquez sur Use Custom.
La liste déroulante Impersonate Guest s’affiche.
9. Sélectionnez Always dans la liste Impersonate Guest.

Gestion des partages SMB 237


Partage de fichiers

10. Cliquez sur Save Changes.

Configuration d’un accès anonyme à tous les partages SMB dans une zone d’accès
Vous pouvez configurer l’accès anonyme aux données stockées dans une zone d’accès
grâce à l’usurpation d’identité d’un utilisateur invité.
Procédure
1. Cliquez sur Access > Membership & Roles > Users.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès pour laquelle
vous souhaitez autoriser un accès anonyme.
3. Dans la liste déroulante Providers, sélectionnez Local.
a. Cliquez sur View/Edit en regard du compte invité.
La boîte de dialogue View User Details s’affiche.
b. Cliquez sur Edit User.
c. Sélectionnez l’option Enable the account, puis cliquez sur Save Changes.
4. Cliquez sur Protocols > Windows Sharing (SMB) > Default Share Settings.
5. Dans la liste Current Access Zone, sélectionnez la zone d’accès pour laquelle
vous souhaitez autoriser un accès anonyme.
6. Recherchez le paramètre Impersonate Guest, puis cliquez sur Use Custom.
La liste déroulante Impersonate Guest s’affiche.
7. Sélectionnez Always dans la liste Impersonate Guest.
8. Cliquez sur Save Changes.

Ajouter un utilisateur ou un groupe à un partage SMB


Pour chaque partage SMB, vous pouvez ajouter des autorisations au niveau du partage
pour des utilisateurs et des groupes spécifiques.
Procédure
1. Cliquez sur Protocols > Windows Sharing (SMB) > SMB Shares.
2. Dans la liste déroulante Current Access Zone, sélectionnez la zone d’accès
contenant le partage auquel vous voulez ajouter un utilisateur ou un groupe.
3. Dans la liste des partages SMB, recherchez le partage que vous souhaitez
modifier, puis cliquez sur View/Edit.
4. Cliquez sur Edit SMB Share.
5. Dans la section Users and Groups, cliquez sur Add a User or Group.
La boîte de dialogue Add Persona s’affiche.
6. Cliquez sur Select User.
La boîte de dialogue Select Persona s’affiche.
7. Vous pouvez localiser l’utilisateur ou le groupe en utilisant l’une des méthodes
suivantes :
l Dans le champ de texte, saisissez le nom d’utilisateur ou de groupe que vous
souhaitez rechercher, puis cliquez sur Search.
l Dans le champ de texte, sélectionnez le fournisseur d’authentification que
vous souhaitez rechercher, puis cliquez sur Search. Seuls les fournisseurs
actuellement configurés et activés sur le cluster sont répertoriés.

238 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

l Saisissez le nom d’utilisateur ou de groupe, sélectionnez un fournisseur


d’authentification, puis cliquez sur Search.
8. Si vous avez sélectionné l’option Well-known SIDs, cliquez sur Search.
9. Dans les résultats de la recherche, cliquez sur l’utilisateur, le groupe ou
l’identifiant SID que vous souhaitez ajouter au partage SMB, puis cliquez sur
Select.
10. Par défaut, les droits d’accès du nouveau compte sont définis sur Deny All.
Pour permettre à un utilisateur ou un groupe d’accéder au partage, suivez ces
étapes supplémentaires :
a. En regard du compte utilisateur ou de groupe que vous avez ajouté, cliquez
sur Edit.
b. Sélectionnez Run as Root ou Specify Permission Level, puis sélectionnez
un ou plusieurs des niveaux de permission suivants : Full Control, Read-
Write et Read.
11. Cliquez sur Add Persona.
12. Cliquez sur Save Changes.

Configurer l’accès multiprotocole aux répertoires personnels


Pour les utilisateurs qui accèdent au partage via FTP ou SSH, vous pouvez vous
assurer que le chemin de leur répertoire personnel est le même, qu’ils se connectent
par le biais de SMB ou qu’ils ouvrent une session par FTP ou SSH. Cette tâche
s’exécute uniquement à partir de l’interface de ligne de commande de OneFS.
Cette commande oblige le partage SMB à utiliser le modèle de répertoire personnel qui
est spécifié dans le fournisseur d’authentification de l’utilisateur. Cette procédure
n’est disponible que via l’interface de ligne de commande.
Procédure
1. Établissez une connexion SSH vers n’importe quel nœud du cluster.
2. Exécutez la commande suivante, où <share> correspond au nom du partage
SMB et --path au chemin de répertoire du modèle de répertoire personnel
spécifié par le fournisseur d’authentification de l’utilisateur :

isi smb shares modify <share> --path=""

NFS
OneFS offre un serveur NFS, ce qui vous permet de partager des fichiers sur votre
cluster avec les clients NFS conformes aux spécifications RFC1813 (NFSv3) et
RFC3530 (NFSv4).
Dans OneFS, le serveur NFS est entièrement optimisé en tant que service multithread
qui s’exécute non pas dans le noyau mais dans l’espace utilisateur. Cette architecture
équilibre les charges du service NFS sur tous les nœuds du cluster, ce qui assure la
stabilité et l’évolutivité nécessaires à la gestion de milliers de connexions sur plusieurs
clients NFS.
Les montages NFS s’exécutent et s’actualisent rapidement, et le serveur contrôle en
permanence la fluctuation des exigences qui pèsent sur les services NFS et apporte
des ajustements sur l’ensemble des nœuds afin de garantir des performances
continues et fiables. À l’aide d’un planificateur de processus intégré, OneFS garantit

NFS 239
Partage de fichiers

une allocation de ressources du nœud équitable de sorte qu’aucun client ne puisse


accaparer plus de services NFS que nécessaire.
Le serveur NFS prend également en charge les zones d’accès définies dans OneFS,
afin que les clients puissent accéder uniquement aux exportations correspondant à
leur zone. Par exemple, si des exportations NFS sont spécifiées pour la Zone 2, seuls
les clients affectés à cette zone peuvent accéder à ces exportations.
Pour simplifier les connexions client, en particulier pour les exportations associées à
des chemins d’accès volumineux, le serveur NFS prend également en charge les alias,
c’est-à-dire des raccourcis vers des points de montage que les clients peuvent
directement spécifier.
Pour un partage de fichiers NFS sécurisé, OneFS prend en charge les fournisseurs
d’authentification NIS et LDAP.

Exports NFS
Vous pouvez gérer différentes règles d’exportation NFS qui définissent des points de
montage (chemins) accessibles aux clients NFS et déterminent la manière dont le
serveur doit agir avec ces clients.
Dans OneFS, vous pouvez créer, supprimer, répertorier, afficher, modifier et
recharger les exportations NFS.
Les règles d’exportation NFS sont sensibles à la zone. Chaque exportation est
associée à une zone, ne peut être montée que par les clients de cette zone et peut
uniquement exposer de chemins se trouvant sous la racine de la zone. Par défaut,
toute commande d’exportation s’applique à la zone actuelle du client.
Chaque règle doit avoir au moins un chemin (point de montage) et peut inclure des
chemins supplémentaires. Vous pouvez également indiquer que tous les sous-
répertoires du ou des chemin(s) spécifié(s) peuvent être montés. Dans le cas
contraire, seuls les chemins spécifiés seront exportés et les répertoires enfants ne
pourront pas être montés.
Une règle d’exportation peut spécifier un ensemble spécifique de clients, ce qui vous
permet de limiter l’accès à certains points de montage ou d’appliquer à ces clients un
ensemble unique d’options. Si la règle ne spécifie pas de clients, elle s’appliquera à
tous les clients qui se connectent au serveur. Si la règle spécifie des clients, elle
s’appliquera uniquement aux clients en question.

Alias NFS
Vous pouvez créer et gérer des alias sous forme de raccourcis pour les chemins de
répertoire dans OneFS. Si ces chemins sont définis comme exportations NFS, les
clients NFS peuvent spécifier les alias comme points de montage NFS.
Les alias NFS sont conçus pour offrir une parité fonctionnelle avec les noms de
partage SMB dans le contexte de NFS. Chaque alias met en correspondance un nom
unique avec un chemin sur le système de fichiers. Les clients NFS peuvent ensuite, au
moment du montage, utiliser le nom d’alias à la place du chemin.
Les alias doivent être structurés comme des noms de chemins Unix de niveau
supérieur, c’est-à-dire avec une barre oblique suivie du nom. Par exemple, vous
pouvez créer un alias nommé /q4 qui sera mis en correspondance avec /ifs/data/

240 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

finance/accounting/winter2015 (un chemin de OneFS). Un client NFS peut


monter ce répertoire de l’une des manières suivantes :

mount cluster_ip:/q4

mount cluster_ip:/ifs/data/finance/accounting/winter2015

Les alias et les exportations sont totalement indépendants. Vous pouvez créer un alias
sans l’associer à une exportation NFS. De même, une exportation NFS ne nécessite
pas d’alias.
Chaque alias doit indiquer un chemin valide sur le système de fichiers. Bien que ce
chemin soit absolu, il doit pointer vers un emplacement se trouvant sous la racine de la
zone (/ifssur la zone système). Si l’alias indique un chemin qui n’existe pas sur le
système de fichiers, tout client tentant de monter l’alias se verra refuser l’accès de la
même manière que s’il tentait de monter un chemin d’accès complet non valide.
Les alias NFS sont sensibles à la zone. Par défaut, un alias s’applique à la zone d’accès
actuelle du client. Pour modifier ce paramètre, vous pouvez spécifier une autre zone
d’accès dans le cadre de la création ou de la modification d’un alias.
Chaque alias ne peut être utilisé que par les clients de cette zone et ne peut
s’appliquer qu’aux chemins se trouvant sous la racine de la zone. Les noms d’alias sont
uniques à chaque zone, mais il est possible d’utiliser le même nom dans des zones
différentes, par exemple /home.
Lorsque vous créez un alias dans l’interface d’administration Web, la liste des alias
affiche l’état de l’alias. De la même manière, l’option --check de la commande isi
nfs aliases vous permet de vérifier l’état d’un alias NFS. Il existe différents états :
good, illegal path, name conflict, not exported ou path not found.

Fichiers log NFS


OneFS enregistre les messages log associés à des événements NFS dans un ensemble
de fichiers sous/var/log.
Avec l’option de niveau de consignation, vous pouvez à présent indiquer le niveau de
détail auquel les messages log sont diffusés vers des fichiers log. Le tableau suivant
décrit les fichiers log associés à NFS.

Fichier log Description


nfs.log Principales fonctionnalités du serveur NFS (v3, v4, montage)

rpc_lockd.log Événements de verrouillage de NFS v3 via le protocole NLM

rpc_statd.log Détection de redémarrage de NFS v3 via le protocole NSM

isi_netgroup_d.log Résolution et mise en cache du groupe réseau

Gestion du service NFS


Vous pouvez activer ou désactiver le service NFS et spécifier les versions de NFS à
prendre en charge (NFSv3 ou NFSv4). Les paramètres NFS sont appliqués à
l’ensemble des nœuds du cluster.

Fichiers log NFS 241


Partage de fichiers

Remarque

Le protocole NFSv4 peut être activé sans interruption sur un cluster OneFS, et il
s’exécute en même temps que NFSv3. Les clients NFSv3 existants ne sont pas
affectés par l’activation de NFSv4.

Configurer le partage de fichiers NFS


Vous pouvez activer ou désactiver le service NFS, et définir le niveau de protection
par verrouillage et le type de sécurité. Ces paramètres sont appliqués à tous les nœuds
du cluster. Vous pouvez modifier les paramètres des exportations NFS individuelles
que vous définissez.
Procédure
1. Cliquez sur Protocols > UNIX Sharing (NFS) > Global Settings.
2. Activez ou désactivez les paramètres suivants :
l NFS Export Service
l NFSv3
l NFSv4
3. Cliquez sur Reload dans la section Cached Export Configuration pour
recharger les paramètres d’exportation NFS mis en cache.
Les paramètres d’exportation NFS mis en cache sont rechargés pour garantir
l’application des modifications apportées au DNS ou au NIS.
4. Cliquez sur Save Changes.

Créer une règle de restriction au niveau racine pour l’exportation NFS par défaut
Par défaut, le service NFS met en œuvre une règle de restriction au niveau racine pour
l’exportation NFS par défaut. Cette règle empêche les utilisateurs root sur les clients
NFS d’exercer des privilèges root sur le serveur NFS.
Procédure
1. Cliquez sur Protocols > UNIX Sharing (NFS) > NFS Exports.
2. Sélectionnez l’exportation par défaut dans la liste NFS Exports, puis cliquez sur
View/Edit.
3. Dans la zone Root User Mapping, vérifiez que les paramètres par défaut sont
sélectionnés. Si tel est le cas, aucune modification n’est nécessaire et vous
pouvez passer à l’étape 7.
4. Cliquez sur Edit Export.
5. Recherchez le paramètre Root User Mapping, puis cliquez sur Use Default
pour le réinitialiser à ces valeurs :

User: Map root users to user nobody


Primary Group: No primary group
Secondary Groups: No secondary groups

6. Cliquez sur Save Changes.


7. Cliquez sur Close.

242 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Résultats
Avec ces paramètres, quelles que soient les informations d’identification des
utilisateurs sur le client NFS, ces derniers ne peuvent pas bénéficier de privilèges root
sur le serveur NFS.

Paramètres généraux NFS


Les paramètres généraux NFS déterminent la façon dont le service NFS fonctionne.
Vous pouvez modifier ces paramètres selon les besoins de votre entreprise.
Le tableau suivant décrit les paramètres globaux NFS et leurs valeurs par défaut :
Paramètre Description
NFS Export Service Active ou désactive le service NFS. Ce
paramètre est activé par défaut.

NFSv3 Active ou désactive la prise en charge de


NFSv3. Ce paramètre est activé par défaut.

NFSv4 Active ou désactive la prise en charge de


NFSv4. Ce paramètre est désactivé par
défaut.

Cached Export Configuration Permet de recharger les exportations NFS


mises en cache de sorte que les modifications
du domaine ou du réseau prennent effet
immédiatement.

Gestion des exportations NFS


Vous pouvez créer des exportations NFS, afficher et modifier leurs paramètres, et
supprimer les exportations dont vous n’avez plus besoin.
Le répertoire /ifs est le répertoire de niveau supérieur pour le stockage des données
dans OneFS ; il correspond également au chemin défini dans l’exportation par défaut.
Par défaut, l’exportation /ifs désactive l’accès root, mais d’autres permettent aux
clients UNIX de monter ce répertoire et tous les sous-répertoires qu’il contient.

Remarque

Nous vous recommandons de modifier l’exportation par défaut pour limiter l’accès aux
seuls clients fiables ou pour limiter totalement l’accès. Pour éviter que les données
sensibles soient compromises, nous vous recommandons de placer les autres
exportations que vous créez à un niveau inférieur de la hiérarchie des fichiers OneFS
et de les protéger par des zones d’accès ou de les limiter à des clients spécifiques
bénéficiant d’un accès root, en lecture/écriture ou en lecture seule, selon le cas.

Créer une exportation NFS


Vous pouvez créer des exportations NFS pour partager les fichiers dans OneFS avec
des clients de type Unix.
Le service NFS s’exécute dans l’espace utilisateur et répartit la charge entre tous les
nœuds du cluster. Ainsi le service est hautement évolutif et peut prendre en charge
des milliers d’exportations. Il est toutefois recommandé d’éviter de créer une
exportation distincte pour chaque client de votre réseau. Il est plus efficace de créer
moins d’exportations et d’utiliser les zones d’accès et le mappage utilisateur pour
contrôler l’accès.

Gestion des exportations NFS 243


Partage de fichiers

Procédure
1. Cliquez sur Protocols > UNIX Sharing (NFS) > NFS Exports.
2. Cliquez sur Create Export.
3. Pour le paramètre Directory Paths, saisissez ou sélectionnez le répertoire à
exporter.
Vous pouvez ajouter plusieurs chemins de répertoire en cliquant sur Add
another directory path pour chaque chemin supplémentaire.
4. (Facultatif) Dans le champ Description, saisissez un commentaire décrivant
l’exportation.
5. (Facultatif) Indiquez les clients autorisés à accéder à l’exportation.
Vous pouvez spécifier les clients NFS dans n’importe quel ou tous les champs
client, tel que décrit dans le tableau suivant. Un client peut être identifié par un
nom d’hôte, une adresse IPv4 ou IPv6, un sous-réseau ou un groupe réseau. Les
adresses IPv4 mappées dans l’espace d’adresse IPv6 sont converties et
stockées en tant qu’adresses IPv4 afin d’éliminer toute ambigüité.
Vous pouvez spécifier plusieurs clients dans chaque champ en saisissant une
entrée par ligne.

Remarque

Si aucun client n’est spécifié, tous les clients du réseau sont autorisés à accéder
à l’exportation. Si vous spécifiez des clients dans l’un des champs de règle, par
exemple Always Read-Only Clients, la règle en vigueur ne s’applique qu’à ces
clients spécifiques. Toutefois, l’ajout d’une entrée à Root Clients n’empêche
pas les autres clients d’accéder à l’exportation.
Si vous ajoutez le même client à plusieurs listes en le saisissant dans le même
format pour chaque entrée, ce client est normalisé à une seule liste dans l’ordre
de priorité suivant :
l Root Clients
l Always Read-Write Clients
l Always Read-Only Clients
l Clients

Paramètre Description :
Clients Spécifie un ou plusieurs clients qui sont autorisés à accéder à
l’exportation. Le niveau d’accès est contrôlé par le biais des
autorisations d’exportation.
Always Read- Spécifie un ou plusieurs clients devant bénéficier d’un accès
Write Clients en lecture/écriture à l’exportation quel que soit le paramètre
de restriction d’accès de l’exportation. Cela revient à ajouter le
client à la liste Clients alors que le paramètre Restrict access
to read-only n’est pas sélectionné.
Always Read- Spécifie un ou plusieurs clients devant bénéficier d’un accès
Only Clients en lecture seule à l’exportation quel que soit le paramètre de
restriction d’accès de l’exportation. Cela revient à ajouter le
client à la liste Clients alors que le paramètre Restrict access
to read-only est sélectionné.

244 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Paramètre Description :
Root Clients Spécifie un ou plusieurs clients devant être mappés en tant
qu’utilisateur root de l’exportation. Ce paramètre permet au
client suivant de monter l’exportation, de présenter l’identité
de l’utilisateur root et d’être mappé à l’utilisateur root. L’ajout
d’un client à cette liste n’empêche pas les autres clients de
monter l’exportation si les clients, les clients en lecture seule
et les clients en lecture/écriture ne sont pas définis.

6. Sélectionnez le paramètre des autorisations d’exportation à utiliser :


l Limitez les actions au mode lecture seule.
l Activez l’accès en montage aux sous-répertoires. Autorisez les sous-
répertoires sous le ou les chemins devant être montés.
7. Spécifiez les mappages d’utilisateurs et de groupes.
Sélectionnez l’option Use custom pour limiter l’accès en mappant les
utilisateurs root ou tous les utilisateurs à un ID d’utilisateur et de groupe précis.
Pour restreindre les privilèges d’accès de l’utilisateur root, mappez les
utilisateurs root au nom d’utilisateur nobody.
8. Recherchez le paramètre Security Flavors. Définissez le type de sécurité à
utiliser. UNIX est le paramètre par défaut.
Cliquez sur Use custom pour sélectionner un ou plusieurs des types de sécurité
suivants :
l UNIX (système)
l Kerberos5
l Kerberos5 Integrity
l Kerberos5 Privacy

Remarque

Le type de sécurité par défaut (UNIX) s’appuie sur l’existence d’un réseau de
confiance. Si vous ne faites pas totalement confiance à tous les éléments de
votre réseau, la bonne pratique consiste à choisir une option Kerberos. Si le
système ne prend pas en charge Kerberos, il n’est pas entièrement protégé, car
le protocole NFS sans Kerberos fait confiance à tous les éléments du réseau et
envoie tous les paquets en texte clair. Si vous ne pouvez pas utiliser Kerberos,
vous devez trouver un autre moyen de protéger la connexion Internet. Au
minimum, procédez comme suit :
l Limitez l’accès root au cluster aux adresses IP d’hôtes de confiance.
l Assurez-vous que tous les nouveaux périphériques que vous ajoutez au
réseau sont fiables. Les méthodes pour garantir la fiabilité sont notamment
les suivantes :
n Utilisez un tunnel IPsec. Cette méthode est très sûre, car elle authentifie
les périphériques à l’aide de clés sécurisées.
n Configurez tous les ports de switch pour qu’ils deviennent inactifs s’ils
sont déconnectés physiquement. En outre, assurez-vous que les ports de
switch sont limités en adresses MAC.

Gestion des exportations NFS 245


Partage de fichiers

9. Cliquez sur Show Advanced Settings pour configurer les paramètres


d’exportation NFS avancés.
Ne modifiez les paramètres avancés qu’en cas de nécessité et seulement si vous
comprenez pleinement les conséquences de ces modifications.
10. Cliquez sur Save Changes.

Résultats
La nouvelle exportation NFS est créée et s’affiche en haut de la liste NFS Exports.

Modifier une exportation NFS


Vous pouvez modifier les paramètres d’une exportation NFS existante.

ATTENTION

La modification des paramètres d’exportation peut entraîner des problèmes de


performance. Assurez-vous que vous comprenez l’impact potentiel des
modifications que vous apportez aux paramètres avant de les enregistrer.

Procédure
1. Sélectionnez Protocols > UNIX Sharing (NFS) > NFS Exports.
2. Dans la liste NFS Exports, cochez la case correspondant à l’exportation que
vous souhaitez modifier, puis cliquez sur View/Edit.
3. Cliquez sur Edit Export.
4. Modifiez les paramètres en fonction des besoins.
5. Cliquez sur Show Advanced Settings pour modifier les paramètres
d’exportation avancés.
Il est recommandé de ne modifier les paramètres avancés qu’en cas de
nécessité et seulement si vous comprenez pleinement les conséquences de ces
paramètres.
6. Cliquez sur Save Changes.
7. Cliquez sur Close.

Supprimer une exportation NFS


Vous pouvez supprimer les exportations NFS inutiles. Les connexions client NFS
actuelles à ces exportations deviennent non valides.

Remarque

Vous pouvez supprimer toutes les exportations d’un cluster simultanément. Activez la
case à cocher Export ID/Path située en haut de la liste NFS Exports, puis
sélectionnez Delete dans la liste déroulante située à droite.

Procédure
1. Sélectionnez Protocols > UNIX Sharing (NFS) > NFS Exports.
2. Dans la liste NFS Exports, activez la case à cocher située à gauche de
l’exportation à supprimer.
3. Cliquez sur Delete.
4. Dans la boîte de dialogue de confirmation, cliquez sur Delete pour confirmer
l’opération.

246 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Rechercher d’éventuelles erreurs dans les exportations NFS


Vous pouvez vérifier les éventuelles erreurs dans les exportations NFS, par exemple
les règles d’exportation contradictoires, les chemins non valides et les noms d’hôte et
groupes réseau non résolus. Cette tâche s’exécute uniquement à partir de l’interface
de ligne de commande de OneFS.
Procédure
1. Établissez une connexion SSH vers n’importe quel nœud du cluster.
2. Exécutez la commande isi nfs exports check.
Dans l’exemple de sortie suivant, aucune erreur n’a été détectée :

ID Message
----------
----------
Total: 0

Dans l’exemple de sortie suivant, l’exportation 1 contient un chemin de


répertoire actuellement inexistant :

ID Message
-----------------------------------
1 '/ifs/test' does not exist
-----------------------------------
Total: 1

Afficher et configurer les paramètres d’exportation NFS par défaut


Vous pouvez afficher et configurer les paramètres d’exportation NFS par défaut. Les
modifications apportées à ces paramètres s’appliquent à toutes les exportations
nouvelles et existantes qui utilisent les valeurs par défaut.

Remarque

Les modifications apportées aux paramètres d’exportation par défaut ont une
incidence sur toutes les exportations NFS actuelles et futures qui utilisent les
paramètres par défaut. Une modification incorrecte de ces paramètres peut nuire à la
disponibilité du service de partage de fichiers NFS. Il est déconseillé de modifier les
paramètres par défaut, et en particulier les paramètres avancés, à moins d’avoir de
l’expérience en matière d’utilisation de NFS. En revanche, il est conseillé de modifier
les paramètres selon les besoins pour les exportations NFS individuelles lors de leur
création.

Procédure
1. Sélectionnez Protocols > UNIX Sharing (NFS) > Export Settings.
Les paramètres d’exportation NFS courants s’affichent dans la zone Export
Settings : Root User Mapping, Non-Root User Mapping, Failed User
Mapping et Security Flavors. Modifiez les paramètres par défaut que vous
souhaitez appliquer à toutes les nouvelles exportations NFS ou aux exportations
existantes utilisant des valeurs par défaut.
2. Dans la zone Advanced Export Settings, vous pouvez modifier les paramètres
avancés.

Gestion des exportations NFS 247


Partage de fichiers

Il est recommandé de ne modifier les paramètres avancés qu’en cas de


nécessité et seulement si vous comprenez pleinement les conséquences de ces
modifications.
3. Cliquez sur Save Changes.

Paramètres d’exportation NFS de base


Les paramètres d’exportation NFS de base sont des paramètres généraux qui
s’appliquent à toutes les nouvelles exportations NFS que vous créez.
Le tableau ci-dessous décrit les paramètres d’exportation NFS de base.

Paramètre Valeurs par défaut


Root User Mapping Utilisateur : Map root users to user nobody
Primary Group: No primary group
Secondary Groups: No secondary groups

Remarque

Les paramètres par défaut se traduisent par


une règle de restriction au niveau racine selon
laquelle aucun utilisateur sur le client NFS,
même un utilisateur root, ne peut obtenir des
privilèges root sur le serveur NFS.

Non-Root User Mapping Le mappage d’utilisateurs est désactivé par


défaut. Il est recommandé de définir ce
paramètre en fonction du port, le cas échéant.

Failed User Mapping Le mappage d’utilisateurs est désactivé par


défaut. Il est recommandé de définir ce
paramètre en fonction du port, le cas échéant.

Security Flavors Les options disponibles incluent UNIX


(system), le paramètre par défaut,
Kerberos5, Kerberos5 Integrity et
Kerberos5 Privacy.

Paramètres de performances des exportations NFS


Vous pouvez spécifier des paramètres afin de contrôler les performances des
exportations NFS.
Le tableau suivant décrit la catégorie de performances des paramètres pour les
exportations NFS :

Paramètre Description
Block Size Taille de bloc utilisée pour calculer les
nombres de blocs pour les demandes NFSv3
FSSTAT et NFSv4 GETATTR. La valeur par
défaut est 8192 bytes.

Commit Asynchronous Si sa valeur est définie sur yes, ce paramètre


autorise les opérations COMMIT de NFSv3 et
NFSv4 à être asynchrones. La valeur par
défaut est No.

248 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Paramètre Description
Directory Transfer Size Taille privilégiée du transfert de lecture de
répertoire signalée aux clients NFSv3 et
NFSv4. La valeur par défaut est 131072
bytes.

Read Transfer Max Size Taille maximale du transfert de lecture


signalée aux clients NFSv3 et NFSv4. La
valeur par défaut est 1048576 bytes.

Read Transfer Multiple Multiple de la taille de transfert de lecture


recommandée signalée aux clients NFSv3 et
NFSv4. La valeur par défaut est 512 bytes.

Read Transfer Preferred Size Taille privilégiée du transfert de lecture


signalée aux clients pour NFSv3 et NFSv4. La
valeur par défaut est 131072 bytes.

Setattr Asynchronous S’il est défini sur Yes, ce paramètre exécute


les opérations de définition des attributs de
manière asynchrone. La valeur par défaut est
No.

Write Datasync Action Action à exécuter pour les écritures


DATASYNC. La valeur par défaut est
DATASYNC.

Write Datasync Reply Réponse à envoyer pour les écritures


DATASYNC. La valeur par défaut est
DATASYNC.

Write Filesync Action Action à exécuter pour les écritures


FILESYNC. La valeur par défaut est
FILESYNC.

Write Filesync Reply Réponse à envoyer pour les écritures


FILESYNC. La valeur par défaut est
FILESYNC.

Write Transfer Max Size Taille maximale de transfert d’écriture


signalée aux clients NFSv3 et NFSv4. La
valeur par défaut est 1048576 bytes.

Write Transfer Multiple Taille recommandée du transfert d’écriture


signalée aux clients NFSv3 et NFSv4. La
valeur par défaut est 512 bytes.

Write Transfer Preferred Taille privilégiée du transfert d’écriture


signalée aux clients NFSv3 et NFSv4. La
valeur par défaut est 524288.

Write Unstable Action Action à exécuter pour les écritures


UNSTABLE. La valeur par défaut est
UNSTABLE.

Write Unstable Reply Réponse à envoyer pour les écritures


UNSTABLE. La valeur par défaut est
UNSTABLE.

Gestion des exportations NFS 249


Partage de fichiers

Paramètres de compatibilité du client de l’exportation NFS


Les paramètres de compatibilité du client de l’exportation NFS affectent la
personnalisation des exportations NFS.
Ces paramètres sont décrits dans le tableau suivant.

Paramètre Valeur du paramètre


Max File Size Indique la taille de fichier maximale autorisée.
Ce paramètre a un caractère consultatif et est
renvoyé au client dans le cadre d’une réponse
à une demande NFSv3 FSINFO ou NFSv4
GETATTR. La valeur par défaut est
9223372036854776000 bytes.

Readdirplus Enable Permet d’utiliser le service NFSv3 readdirplus


selon lequel un client peut envoyer une
demande et recevoir des informations
détaillées sur le répertoire et les fichiers de
l’exportation. La valeur par défaut est Yes.

Return 32 bit File IDs Indique de renvoyer les ID de fichier de 32 bits


au client. La valeur par défaut est No.

Paramètres de comportement des exportations NFS


Les paramètres de comportement des exportations NFS déterminent si les clients NFS
peuvent exécuter certaines fonctions sur le serveur NFS, comme le réglage de l’heure.
Le tableau ci-dessous décrit les paramètres de comportement des exportations NFS.

Paramètre Description
Can Set Time Lorsque ce paramètre est activé, OneFS
autorise le client NFS à définir différents
attributs d’heure sur le serveur NFS. La valeur
par défaut est Yes.

Encoding Remplace les paramètres généraux de codage


utilisés par le cluster pour l’exportation. La
valeur par défaut est DEFAULT.

Map Lookup UID Recherche les identifiants d’utilisateur entrant


(UID) dans la base de données
d’authentification locale. La valeur par défaut
est No.

Symlinks Informe le client NFS que le système de


fichiers prend en charge les types de fichier
de lien symbolique. La valeur par défaut est
Yes.

Time Delta Définit la granularité de l’horloge du serveur.


La valeur par défaut est de 1e-9 seconds
(0,000000001 seconde).

250 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Gestion des alias NFS


Vous pouvez créer des alias NFS pour simplifier les exportations auxquelles les clients
se connectent. Un alias NFS mappe un chemin de répertoire absolu à un chemin de
répertoire simple.
Par exemple, supposons que vous créiez une exportation NFS vers /ifs/data/hq/
home/archive/first-quarter/finance. Vous pouvez créer l’alias /finance1
pour mapper vers ce chemin de répertoire.
Les alias NFS peuvent être créés dans n’importe quelle zone d’accès, y compris la
zone System.

Créer un alias NFS


Vous pouvez créer un alias NFS pour mapper un chemin de répertoire version longue à
un chemin d’accès simple.
Les alias doivent avoir le format d’un chemin de répertoire de style Unix simple, par
exemple, /home.
Procédure
1. Sélectionnez Protocols > UNIX Sharing (NFS) > NFS Aliases.
2. Cliquez sur Create Alias.
3. Dans le champ Alias Name, saisissez le nom de l’alias.
Le nom de l’alias doit avoir le format d’un chemin de style UNIX simple composé
d’un élément, par exemple, /home.
4. Dans le champ Path, saisissez le chemin complet auquel l’alias doit être associé
ou cliquez sur Browse pour rechercher le chemin.
Si vous avez défini des zones d’accès dans OneFS, le chemin d’accès complet
doit commencer par la racine de la zone d’accès actuelle.
5. Cliquez sur Create Alias.
Résultats
Le nom, l’état et le chemin du nouvel alias s’affichent en haut de la liste NFS Aliases.

Modifier un alias NFS


Vous pouvez modifier un alias NFS.
Procédure
1. Sélectionnez Protocols > UNIX Sharing (NFS) > NFS Aliases.
2. Dans la liste NFS Aliases, recherchez l’alias que vous souhaitez modifier, puis
cliquez sur View/Edit.
3. Dans la boîte de dialogue View Alias Details, cliquez sur Edit Alias.
4. Dans le champ Alias Name, saisissez le nom de l’alias.
Le nom de l’alias doit avoir le format d’un chemin de style UNIX simple composé
d’un élément, par exemple, /home.
5. Dans le champ Path, saisissez le chemin complet auquel l’alias doit être associé
ou cliquez sur Browse pour rechercher le chemin.
Si vous avez défini des zones d’accès dans OneFS, le chemin d’accès complet
doit commencer par la racine de la zone d’accès actuelle.

Gestion des alias NFS 251


Partage de fichiers

6. Cliquez sur Save Changes.


La boîte de dialogue View Alias Details s’affiche, et un message indique que la
modification a réussi.
7. Cliquez sur Close.
Résultats
Le nom, l’état et le chemin d’alias modifié sont affichés dans la liste NFS Aliases.

Supprimer un alias NFS


Vous pouvez supprimer un alias NFS.
Si un NFS alias est mappé à une exportation NFS, la suppression de l’alias peut
déconnecter les clients qui ont utilisé l’alias pour monter l’exportation.
Procédure
1. Sélectionnez Protocols > UNIX Sharing (NFS) > NFS Aliases.
2. Sélectionnez la case à cocher correspondant à l’alias que vous souhaitez
supprimer, puis cliquez sur More.
3. Cliquez sur Delete.
La boîte de dialogue Confirm Delete s’affiche.
4. Cliquez sur Delete.
L’alias est supprimé de la liste NFS Aliases.

Répertorier les alias NFS


Vous pouvez afficher la liste des alias NFS qui ont déjà été configurés pour une zone
spécifique. Les alias dans la zone système sont répertoriés par défaut.
Procédure
l Sélectionnez Protocols > UNIX Sharing (NFS) > NFS Aliases.
La liste NFS Aliases s’affiche. Elle affiche tous les alias pour la zone d’accès
actuelle. Les noms, les états et les chemins de tous les alias sont affichés.

Afficher un alias NFS


Vous pouvez afficher les paramètres d’un alias NFS.
Procédure
1. Sélectionnez Protocols > UNIX Sharing (NFS) > NFS Aliases.
2. Sélectionnez la case à cocher correspondant à l’alias que vous souhaitez
afficher, puis cliquez sur View/Edit.
La boîte de dialogue View Alias Details affiche les paramètres associés à l’alias.
3. Lorsque vous avez fini d’étudier l’alias, cliquez sur Close.

FTP
OneFS inclut un service FTP sécurisé, appelé vsftpd (Very Secure FTP Daemon), que
vous pouvez configurer pour les transferts de fichiers FTP et FTPS standard.

252 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Activer et configurer le partage de fichiers FTP


Vous pouvez configurer le service FTP pour permettre à n’importe quel nœud du
cluster de répondre aux demandes FTP par le biais d’un compte utilisateur standard.
Vous pouvez activer le transfert des fichiers entre serveurs FTP distants et activer le
service FTP anonyme sur la racine en créant un utilisateur local nommé anonymous ou
ftp.
Lors de la configuration de l’accès FTP, assurez-vous que la racine FTP spécifiée
correspond au répertoire de base de l’utilisateur qui se connecte. Par exemple, la
racine FTP de l’utilisateur local jsmith doit être ifs/home/jsmith.
Procédure
1. Cliquez sur Protocols > FTP Settings.
2. Dans la zone Service, sélectionnez Enable FTP service.
3. Dans la zone Settings, sélectionnez une ou plusieurs des options suivantes :

Option Description
Enable Autorise les utilisateurs dont le nom d’utilisateur est
anonymous anonymous ou ftp à accéder aux fichiers et aux répertoires
access sans authentification requise. Ce paramètre est désactivé
par défaut.
Enable local Autorise les utilisateurs locaux à accéder aux fichiers et
access aux répertoires avec leur nom d’utilisateur local et leur mot
de passe, ce qui leur permet de télécharger des fichiers
directement par l’intermédiaire du système de fichiers. Ce
paramètre est activé par défaut.
Enable server-to- Autorise le transfert de fichiers entre deux serveurs FTP
server transfers distants. Ce paramètre est désactivé par défaut.

4. Cliquez sur Save Changes.

HTTP et HTTPS
OneFS inclut un service HTTP (Hypertext Transfert Protocol) configurable qui est
utilisé pour demander des fichiers stockés sur le cluster et pour interagir avec
l’interface d’administration Web.
OneFS prend en charge le protocole HTTP et sa variante sécurisée, HTTPS. Pour
fournir un accès HTTP, chaque nœud du cluster exécute une instance du serveur
HTTP Apache. Vous pouvez configurer le service HTTP de sorte qu’il s’exécute dans
différents modes.
Les protocoles HTTP et HTTPS sont tous deux pris en charge pour le transfert de
fichiers, mais seul HTTPS est pris en charge pour les appels de l’API de plate-forme.
De même, l’interface d’administration Web n’accepte que HTTPS. De plus, OneFS
prend en charge une forme du protocole DAV basé sur le Web (WebDAV) qui permet
aux utilisateurs de modifier et de gérer des fichiers sur des serveurs Web distants.
OneFS exécute la création distribuée, mais il ne prend pas en charge la gestion des
versions et il n’exécute pas de contrôles de sécurité. Vous pouvez activer DAV dans
l’interface d’administration Web.

Activer et configurer le partage de fichiers FTP 253


Partage de fichiers

Activer et configurer le protocole HTTP


Vous pouvez configurer les protocoles HTTP et DAV pour permettre aux utilisateurs
de modifier et de gérer de façon collaborative les fichiers sur des serveurs Web
distants. Vous pouvez uniquement effectuer cette tâche via l’interface
d’administration Web de OneFS.
Procédure
1. Cliquez sur Protocols > HTTP Settings.
2. Dans la section Service, sélectionnez l’un des paramètres suivants :

Option Description
Enable HTTP Permet un accès HTTP pour l’administration du cluster et l’exploration
de son contenu.

Disable HTTP and Autorise uniquement un accès administrateur à l’interface


redirect to the d’administration Web. C’est le paramètre par défaut.
OneFS Web
Administration
interface

Disable HTTP Ferme le port HTTP utilisé pour l’accès aux fichiers. Les utilisateurs
peuvent continuer à accéder à l’interface d’administration Web en
spécifiant le numéro de port dans l’URL. Le port par défaut est le port
8080.

3. Dans le champ Document root directory de la zone Protocol Settings,


saisissez le chemin ou cliquez sur Browse pour accéder à un répertoire existant
sous /ifs.

Remarque

Le serveur HTTP s’exécute en tant qu’utilisateur et groupe de processus. Pour


appliquer correctement les contrôles d’accès, vous devez accorder à
l’utilisateur ou au groupe de processus l’accès en lecture à tous les fichiers
situés sous le répertoire racine du document et autoriser le serveur HTTP à
parcourir ce répertoire.

4. Dans la zone Authentication Settings, sélectionnez un paramètre


d’authentification dans la liste HTTP Authentication :

Option Description
Off Désactive l’authentification HTTP.

Basic Authentication Active l’authentification HTTP de base. Les informations


Only d’identification sont envoyées en texte brut.

Integrated Active l’authentification HTTP via NTLM, Kerberos ou les deux.


Authentication Only

Integrated and Basic Active l’authentification de base et intégrée.


Authentication

254 OneFS 8.0.1 Guide d’administration Web


Partage de fichiers

Option Description
Basic Authentication Active l’authentification HTTP de base et permet au serveur Web
with Access Controls Apache d’effectuer des vérifications d’accès.

Integrated Active l’authentification HTTP intégrée via NTLM et Kerberos, et


Authentication with permet au serveur Web Apache d’effectuer des vérifications d’accès.
Access Controls

Integrated and Basic Active l’authentification HTTP de base et intégrée, et permet au


Authentication with serveur Web Apache d’effectuer des vérifications d’accès.
Access Controls

5. Pour permettre à plusieurs utilisateurs de gérer et de modifier des fichiers de


façon collaborative sur des serveurs Web distants, cochez la case Enable
WebDAV.
6. Sélectionnez Enable access logging.
7. Cliquez sur Save Changes.

Activer et configurer le protocole HTTP 255


Partage de fichiers

256 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 11
Filtrage des fichiers

Cette section traite des points suivants :

l Filtrage des fichiers dans une zone d’accès......................................................258


l Activer et configurer le filtrage des fichiers dans une zone d’accès................. 258
l Modifier les paramètres de filtrage des fichiers d’une zone d’accès.................259
l Afficher les paramètres de filtrage de fichiers..................................................259

Filtrage des fichiers 257


Filtrage des fichiers

Filtrage des fichiers dans une zone d’accès


Dans une zone d’accès, vous pouvez utiliser le filtrage de fichiers pour autoriser ou
refuser les écritures de fichiers en fonction du type de fichier.
Si certains types de fichiers risquent d’entraîner des problèmes de débit, de sécurité,
de productivité ou d’encombrement du stockage sur votre cluster EMC Isilon, ou si
votre organisation doit respecter des règles de fichiers spécifiques, vous pouvez
limiter les écritures à certains types de fichiers ou autoriser uniquement les écritures
dans une liste de types de fichiers donnée. Lorsque vous activez le filtrage des fichiers
dans une zone d’accès, OneFS applique les règles de filtrage de fichiers uniquement
aux fichiers contenus dans cette zone d’accès.
l Si vous choisissez de refuser les écritures de fichiers, vous pouvez spécifier les
extensions des types de fichiers pour lesquels les écritures ne sont pas autorisées.
OneFS autorise les écritures pour tous les autres types de fichiers.
l Si vous choisissez d’autoriser les écritures de fichiers, vous pouvez spécifier les
extensions des types de fichiers pour lesquels les écritures sont autorisées. OneFS
refuse les écritures pour tous les autres types de fichiers.
OneFS ne prend pas en compte le protocole de partage de fichiers utilisé pour se
connecter à la zone d’accès lors de l’application des règles de filtrage de fichiers. Vous
pouvez toutefois appliquer un filtrage de fichiers supplémentaire au niveau du partage
SMB. Reportez-vous à la section Filtrage des fichiers SMB du chapitre Partage de
fichiers du présent guide.

Activer et configurer le filtrage des fichiers dans une zone


d’accès
Vous pouvez activer le filtrage des fichiers au niveau de zones d’accès individuelles et
spécifier les types de fichiers accessibles ou non en écriture par les utilisateurs au sein
de la zone d’accès.
Procédure
1. Cliquez sur Access > File Filter.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès à laquelle vous
souhaitez appliquer le filtrage des fichiers.
3. Sélectionnez Enable file filters.
4. Dans la liste File Extensions, sélectionnez l’une des méthodes de filtrage
suivantes :
l Deny writes for list of file extensions
l Allow writes for list of file extensions
5. Cliquez sur Add file extensions.
La boîte de dialogue Add File Extensions s’affiche.
6. Dans le champ File Extensions, saisissez l’extension de nom de fichier du type
de fichiers que vous souhaitez filtrer.
L’extension doit commencer par un point, par exemple .txt.
7. (Facultatif) Cliquez sur Add another file extension pour saisir plusieurs
extensions.

258 OneFS 8.0.1 Guide d’administration Web


Filtrage des fichiers

8. Cliquez sur Add Extensions.


9. Cliquez sur Save Changes.

Modifier les paramètres de filtrage des fichiers d’une zone


d’accès
Vous pouvez modifier les paramètres de filtrage des fichiers en modifiant la méthode
de filtrage ou les extensions de fichier.
Procédure
1. Cliquez sur Access > File Filter.
2. Dans la liste déroulante Current Access Zone, sélectionnez la zone d’accès
dans laquelle vous souhaitez modifier les paramètres.
3. Pour désactiver le filtrage des fichiers dans la zone d’accès, désactivez la case
Enable file filters.
4. Pour modifier la méthode de filtrage des fichiers, sélectionnez l’une des
méthodes de filtrage suivantes dans la liste File Extensions :
l Deny writes for list of file extensions
l Allow writes for list of file extensions
5. Pour ajouter une extension de nom de fichier, cliquez sur Add file extensions,
saisissez l’extension, puis cliquez sur Add Extensions.
6. Pour supprimer une extension de nom de fichier, cliquez sur le bouton Remove
Filter en regard de l’extension en question.
7. Cliquez sur Save Changes.

Afficher les paramètres de filtrage de fichiers


Vous pouvez afficher les paramètres de filtrage de fichiers d’une zone d’accès.
Procédure
1. Cliquez sur Access > File Filter.
2. Dans la liste déroulante Current Access Zone, sélectionnez la zone d’accès
dans laquelle vous souhaitez modifier les paramètres.
Les paramètres de la zone d’accès sélectionnée s’affichent sur l’onglet File
Filter Settings.

Modifier les paramètres de filtrage des fichiers d’une zone d’accès 259
Filtrage des fichiers

260 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 12
Audit

Cette section traite des sujets suivants :

l Présentation de l’audit..................................................................................... 262


l Syslog.............................................................................................................. 262
l Événements d’audit de protocole..................................................................... 263
l Outils d’audit pris en charge.............................................................................264
l Livraison des événements d’audit de protocole à plusieurs serveurs CEE.........264
l Types d’événement pris en charge...................................................................265
l Exemple de fichier log d’audit.......................................................................... 266
l Gestion des paramètres d’audit........................................................................267
l Intégration avec l’EMC Common Event Enabler............................................... 272
l Suivi de la livraison des événements d’audit de protocole.................................274

Audit 261
Audit

Présentation de l’audit
Vous pouvez auditer les modifications de configuration système et l’activité du
protocole sur un cluster EMC Isilon. Toutes les données d’audit sont stockées et
protégées dans le système de fichiers du cluster, et organisées en rubriques d’audit.
L’audit permet de détecter plusieurs sources possibles de perte de données, comme
les activités frauduleuses, les habilitations inadéquates, les tentatives d’accès
interdites. Les clients des secteurs des services financiers, de la santé, des sciences
de la vie, des médias et du spectacle, ainsi que ceux des administrations, doivent
satisfaire à des obligations réglementaires strictes, mises en place pour lutter contre
ces pertes de données.
L’audit de configuration système analyse et enregistre tous les événements de
configuration qui sont gérés par l’API HTTP OneFS. Le processus implique l’audit de
l’interface de ligne de commande (CLI), de l’interface d’administration Web et des API
OneFS. Lorsque vous activez l’audit de configuration système, aucune configuration
supplémentaire n’est requise. Les événements d’audit de configuration système sont
stockés dans les répertoires de rubriques d’audit config.
L’audit de protocole analyse et consigne les activités effectuées via les connexions des
protocoles SMB, NFS et HDFS. Vous pouvez activer et configurer l’audit de protocole
pour une ou plusieurs zones d’accès d’un cluster. Si vous activez l’audit de protocole
pour une zone d’accès, les événements d’accès aux fichiers via les protocoles SMB,
NFS et HDFS sont stockés dans les répertoires de rubriques d’audit de protocole.
Vous pouvez préciser quels événements consigner pour chaque zone d’accès. Par
exemple, vous pouvez choisir d’auditer l’ensemble des événements de protocol par
défaut dans la zone d’accès System, mais seulement les suppressions de fichier
réussies dans une autre zone d’accès.
Les événements d’audit sont consignés sur les nœuds individuels où le client SMB,
NFS ou HDFS a initié l’activité. Ils sont ensuite stockés dans un fichier binaire sous /
ifs/.ifsvar/audit/logs. Les logs passent ensuite automatiquement à un
nouveau fichier une fois que la taille atteint 1 Go. Les logs sont ensuite compressés
afin de réduire l’espace utilisé.
Le fichier log d’audit protocol est utilisable par les applications d’audit prenant en
charge EMC CEE (Common Event Enabler).

Syslog
Syslog est un protocole servant à transmettre certains messages de notification
d’événements. Vous pouvez configurer un cluster Isilon pour consigner les
événements d’audit et les transférer à Syslog au moyen du service de transmission
Syslog.
Par défaut, tous les événements de protocole qui se produisent sur un nœud
particulier sont transmis au fichier /var/log/audit_protocol.log,
indépendamment de la zone d’accès à l’origine de l’événement. Tous les événements
d’audit de configuration sont consignés dans /var/log/audit_config.log par
défaut.
Syslog est configuré avec une identité qui varie selon le type d’événements d’audit qui
lui est envoyé. Il utilise la fonction daemon et le niveau de priorité Info. Les
événements d’audit de protocole sont consignés dans syslog avec l’identité
audit_protocol. Les événements d’audit de configuration sont consignés dans
syslog avec l’identité audit_config.

262 OneFS 8.0.1 Guide d’administration Web


Audit

Pour configurer l’audit sur un cluster Isilon, vous devez être un utilisateur root ou
posséder un rôle d’administration qui inclut des privilèges d’audit (ISI_PRIV_AUDIT).

Transfert syslog
Le service de transfert de syslog est un processus qui, lorsqu’il est activé, extrait les
événements de modification de configuration et les événements d’audit de protocole
dans une zone d’accès et les transfère à syslog. Seuls les événements de réussite et
d’échec d’audit définis par l’utilisateur peuvent faire l’objet d’un transfert vers syslog.
Chaque nœud contient un processus de transfert du syslog d’audit en cours
d’exécution qui consigne les événements d’audit dans le même processus syslog du
nœud.

Événements d’audit de protocole


Par défaut, les zones d’accès auditées analysent uniquement certains événements du
cluster EMC Isilon, notamment les tentatives d’accès aux fichiers ou aux répertoires
qui ont abouti ou échoué.
Les événements create, close, delete, rename et set_security sont analysés par
défaut.
Les noms des événements générés sont librement basés sur le modèle de paquet de
demande d’E/S Windows, dans lequel toutes les opérations commencent par un
événement de création pour obtenir un descripteur de fichier. Un événement de
création est requis avant toutes les opérations d’E/S, y compris close, create, delete,
get_security, read, rename, set_security et write. Un événement close indique que le
client s’est terminé avec un descripteur de fichier qui a été généré par un événement
create.

Remarque

Pour les protocoles NFS et HDFS, les événements rename et delete ne sont pas
nécessairement inclus avec les événements create et close.

Ces événements stockés en interne sont traduits en événements transférés à


l’application d’audit par EMC CEE. Ce mappage est assuré grâce aux fonctions
d’exportation d’EMC CEE sur OneFS. Vous pouvez utiliser CEE pour établir une
connexion à toute application tierce prenant en charge EMC CEE.

Remarque

EMC CEE ne prend pas en charge la redirection des événements du protocole HDFS
vers une application tierce.

Les différents clients SMB, NFS et HDFS émettent des demandes différentes, et une
version particulière d’une plate-forme comme Windows ou Mac OS X utilisant SMB
peut différer d’une autre plate-forme. De manière similaire, les différentes versions
d’une application telle que Microsoft Word ou l’Explorateur Windows peuvent émettre
des demandes de protocole différentes. Par exemple, un client avec une fenêtre de
l’Explorateur Windows ouverte peut générer de nombreux événements en cas
d’actualisation manuelle ou automatique de cette fenêtre. Les applications émettent
des demandes à l’aide des informations d’identification de l’utilisateur connecté, mais
cela ne signifie pas que toutes les demandes sont des actions volontaires de
l’utilisateur.

Transfert syslog 263


Audit

Lorsqu’elle est activée, la fonction d’audit de OneFS analyse toutes les modifications
apportées aux fichiers et aux répertoires dans les partages SMB, les exportations NFS
et les données HDFS.

Outils d’audit pris en charge


Vous pouvez configurer OneFS de manière à pouvoir envoyer des logs d’audit du
protocole à des serveurs prenant en charge l’EMC Common Event Enabler (CEE).
L’outil CEE a été testé et fonctionne avec plusieurs logiciels de fournisseurs tiers.

Remarque

Nous vous recommandons d’installer et de configurer les applications d’audit tierces


avant d’activer la fonction d’audit OneFS. Sinon, tous les événements consignés sont
transférés à l’application d’audit, et un backlog volumineux retarde la réception des
événements les plus récents .

Livraison des événements d’audit de protocole à plusieurs


serveurs CEE
OneFS prend en charge la livraison simultanée des événements d’audit de protocole à
plusieurs serveurs CEE exécutant le service EMC CEE.
Vous pouvez établir jusqu’à 20 connexions HTTP 1.1 avec un sous-ensemble de
serveurs CEE. Chaque nœud d’un cluster EMC Isilon peut sélectionner jusqu’à cinq
serveurs CEE pour la livraison. Les serveurs CEE sont partagés dans une configuration
globale et sont configurés avec OneFS via l’ajout de l’URI de chaque serveur à la
configuration de OneFS.
Une fois les serveurs CEE configurés, un nœud d’un cluster EMC Isilon les sélectionne
automatiquement dans une liste ordonnée d’URI CEE. Les serveurs sont sélectionnés à
partir de la valeur de décalage du numéro de nœud logique du nœud dans la liste
ordonnée. Lorsqu’un serveur CEE est indisponible, le serveur disponible suivant est
sélectionné dans l’ordre de tri. Toutes les connexions sont réparties uniformément
entre les serveurs sélectionnés. Lorsqu’un nœud est déplacé parce qu’un serveur CEE
était précédemment indisponible, une vérification de la disponibilité du serveur CEE
est effectuée toutes les 15 minutes. Le nœud est remis en place dès que le
serveur CEE est disponible.
Avant de configurer les serveurs CEE, suivez ces bonnes pratiques :
l Nous vous recommandons d’indiquer un seul serveur CEE par nœud. Vous ne
pouvez utiliser des serveurs CEE supplémentaires au-delà de la taille du cluster
EMC Isilon que lorsque le serveur CEE sélectionné est hors ligne.

Remarque

Dans une configuration globale, il doit y avoir un serveur CEE par nœud.
l Configurez le serveur CEE et activez l’audit de protocole en même temps. Sinon,
un backlog d’événements risque de s’accumuler, donnant lieu à la livraison
d’événements obsolètes pendant un certain temps.
Vous pouvez soit obtenir une vue globale de la progression de la livraison des
événements d’audit de protocole, soit bénéficier d’une vue par numéro de nœud
logique en exécutant la commande isi audit progress view.

264 OneFS 8.0.1 Guide d’administration Web


Audit

Types d’événement pris en charge


Vous pouvez afficher ou modifier les types d’événement soumis à l’audit dans une
zone d’accès.

Nom de Exemple Soumis par Exportation Exportation


l’événement d’activité de défaut à l’audit possible via impossible
protocole CEE via CEE
create l Création d’un X X
fichier ou d’un
répertoire
l Ouverture d’un
fichier, d’un
répertoire ou
d’un partage
l Montage d’un
partage
l Suppression d’un
fichier

Remarque

Le protocole
SMB vous
permet de définir
un fichier en vue
de sa
suppression avec
l’opération
create, mais vous
devez activer
l’événement de
suppression pour
que l’outil d’audit
consigne ce
dernier.

close l Fermeture d’un X X


répertoire
l Fermeture d’un
fichier modifié ou
non modifié

rename Renommage d’un X X


fichier ou d’un
répertoire

delete Suppression d’un X X


fichier ou d’un
répertoire

set_security Tentative de X X
modification des

Types d’événement pris en charge 265


Audit

Nom de Exemple Soumis par Exportation Exportation


l’événement d’activité de défaut à l’audit possible via impossible
protocole CEE via CEE
autorisations d’un
fichier ou d’un
répertoire

read Première demande X


de lecture sur un
descripteur de fichier
ouvert

write Première demande X


d’écriture sur un
descripteur de fichier
ouvert

get_security Lecture des X


informations de
sécurité par le client
pour un descripteur
de fichier ouvert

logon Demande de création X


de session SMB par
un client

logoff Déconnexion d’une X


session SMB

tree_connect Première tentative X


d’accès à un partage
par SMB

Exemple de fichier log d’audit


Vous pouvez afficher les logs d’audit de configuration et d’audit de protocole en
exécutant la commande isi_audit_viewer sur n’importe quel nœud du cluster
Isilon.

Vous pouvez afficher les logs d’audit de l’accès aux protocoles en exécutant la
commande isi_audit_viewer -t protocol et les logs de configuration système
en exécutant la commande isi_audit_viewer -t config. Le résultat suivant est
un exemple de log de configuration système :

[0: Fri Jan 23 16:17:03 2015] {"id":"524e0928-


a35e-11e4-9d0c-005056302134","timestamp":
1422058623106323,"payload":"PAPI config logging started."}

[1: Fri Jan 23 16:17:03 2015] {"id":"5249b99d-


a35e-11e4-9d0c-005056302134","timestamp":1422058623112992,"payload":
{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID":
"SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:
70", "GID:10"], "protocol": 17, "zone id": 1, "client":
"10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/protocols/smb/
shares","method":"POST","args":"","body":{"path": "/ifs/data",

266 OneFS 8.0.1 Guide d’administration Web


Audit

"name": "Test"}}}

[2: Fri Jan 23 16:17:05 2015] {"id":"5249b99d-


a35e-11e4-9d0c-005056302134","timestamp":1422058625144567,"payload":
{"status":201,"statusmsg":"Created","body":{"id":"Test"}}}

[3: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-


a35e-11e4-9d0c-005056302134","timestamp":1422058659345539,"payload":
{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID":
"SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:
70", "GID:10"], "protocol": 17, "zone id": 1, "client":
"10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/audit/
settings","method":"PUT","args":"","body":{"config_syslog_enabled":
true}}}

[4: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-


a35e-11e4-9d0c-005056302134","timestamp":1422058659387928,"payload":
{"status":204,"statusmsg":"No Content","body":{}}}

Les événements d’audit de configuration s’affichent par paire : un pré-événement est


consigné avant l’exécution de la commande et un post-événement est consigné après
le déclenchement de l’événement. Les événements d’audit de protocole sont
consignés en tant que post-événements après qu’une opération a été effectuée. Il est
possible d’établir une corrélation entre les événements d’audit de configuration en
faisant correspondre le champ id.
Le pré-événement s’affiche toujours en premier et contient des informations sur le
token de l’utilisateur, le chemin PAPI et les éventuels arguments transmis à l’appel
PAPI. Dans l’événement 1, une demande POST a été transmise à /1/
protocols/smb/shares avec les arguments path=/ifs/data et name=Test. Le
post-événement contient l’état de retour HTTP et toute sortie retournée par le
serveur.

Gestion des paramètres d’audit


Vous pouvez activer et désactiver les paramètres d’audit de la configuration du
système et de l’accès aux protocoles, en plus de configurer l’intégration avec l’EMC
Common Event Enabler.

Activer l’audit de l’accès au protocole


Vous pouvez auditer l’accès aux protocoles SMB, NFS et HDFS par zone d’accès et
éventuellement transférer les événements générés à EMC CEE (Common Event
Enabler) en vue de les exporter vers des produits tiers.

Remarque

Étant donné que chaque événement faisant l’objet d’un audit consomme des
ressources système, nous vous recommandons de configurer uniquement les zones
des événements requis par votre application d’audit. Par ailleurs, nous vous
recommandons d’installer et de configurer les applications d’audit tierces avant
d’activer la fonction d’audit OneFS. Dans le cas contraire, le backlog volumineux
généré par cette fonction risque d’empêcher la mise à jour des résultats pendant une
période prolongée.

Gestion des paramètres d’audit 267


Audit

Procédure
1. Cliquez sur Cluster Management > Auditing.
2. Dans la zone Settings, cochez la case Enable Protocol Access Auditing.
3. Dans la zone Audited Zones, cliquez sur Add Zones.
4. Dans la boîte de dialogue Select Access Zones, cochez la case en regard de la
ou des zones d’accès concernées, puis cliquez sur Add Zones.
5. (Facultatif) Dans la zone Event Forwarding, spécifiez un ou plusieurs serveurs
CEE vers lesquels transférer les événements consignés.
a. Dans le champ CEE Server URIs, saisissez l’URI de chaque serveur CEE du
pool de serveurs CEE.
Le service d’exportation OneFS CEE utilise l’équilibrage de charge à
permutation circulaire lors de l’exportation des événements vers plusieurs
serveurs CEE. Les URI valides commencent par http:// et incluent le
numéro de port et le chemin d’accès au serveur CEE, si besoin. Par
exemple : http://example.com:12228/cee.

b. Dans le champ Storage Cluster Name, indiquez le nom du cluster de


stockage à utiliser lors du transfert des événements de protocole.
Ce nom correspond généralement au nom de zone SmartConnect. Mais si
SmartConnect n’est pas implémenté, il doit correspondre au nom d’hôte du
cluster tel qu’il est identifié par l’application tierce. Si le champ est laissé
vide, les événements de chaque nœud sont renseignés avec le nom du nœud
(nom cluster + lnn). Ce paramètre est nécessaire uniquement s’il est requis
par votre application tierce d’audit.

Remarque

Bien que cette étape soit facultative, gardez à l’esprit qu’un backlog
d’événements s’accumulera que les serveurs CEE aient été configurés ou
non. Une fois configuré, le transfert CEE commence avec les événements les
plus anciens du backlog et évolue vers les événements les plus récents selon
le principe du premier entré, premier sorti.

6. Cliquez sur Save Changes.


Résultats
Les événements de protocole suivants sont collectés pour les zones d’accès faisant
l’objet d’un audit par défaut : create, close, delete, rename et set_security.
Vous pouvez modifier l’ensemble d’événements soumis à l’audit dans une zone d’accès
en exécutant la commande isi audit settings modify dans l’interface de ligne
de commande. Étant donné que chaque événement faisant l’objet d’un audit
consomme des ressources système, nous vous recommandons de configurer
uniquement les zones des événements requis par votre application d’audit.
À effectuer
Vous pouvez modifier les types d’événements d’accès aux protocoles devant faire
l’objet d’un audit en exécutant la commande isi audit settings modify. Vous
pouvez également activer le transfert des événements d’accès aux protocoles dans
syslog en exécutant la commande isi audit settings modify avec l’option --
syslog-forwarding-enabled. Ces procédures ne sont disponibles que via
l’interface de ligne de commande.

268 OneFS 8.0.1 Guide d’administration Web


Audit

Transférer les événements d’accès aux protocoles dans syslog


Vous pouvez activer ou désactiver le transfert dans syslog des événements d’accès
aux protocoles audités dans chaque zone d’accès. Le transfert n’est pas activé par
défaut lorsque l’audit des accès aux protocoles est activé. Cette procédure n’est
disponible que via l’interface de ligne de commande.
Avant de commencer
Pour activer le transfert des événements d’accès aux protocoles dans une zone
d’accès, vous devez d’abord activer l’audit des accès aux protocoles dans cette zone.
Les options --audit-success et --audit-failure définissent les types
d’événements faisant l’objet d’un audit, et l’option --syslog-audit-events
précise les types d’événements transférés dans syslog. Seuls les types d’événements
audités peuvent être transférés dans syslog. Si le transfert dans syslog est activé, les
événements d’accès aux protocoles sont écrits dans le fichier /var/log/
audit_protocol.log.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi audit settings modify avec l’option --
syslog-forwarding-enabled pour activer ou désactiver le syslog d’audit.
La commande suivante permet de transférer les événements d’accès aux
protocoles audités dans la zone d’accès zone3 ; elle précise que seuls les
événements de type close, create et delete sont transférés :

isi audit settings modify --syslog-forwarding-enabled=yes --


syslog-audit-events=close,create,delete --zone=zone3

La commande suivante désactive le transfert des événements d’accès aux


protocoles audités dans la zone d’accès zone3 :

isi audit settings modify --syslog-forwarding-enabled=no --


zone=zone3

Activer l’audit de la configuration du système


OneFS peut auditer les événements de configuration du système sur votre cluster
Isilon. Tous les événements de configuration gérés par l’API de la plate-forme, y
compris les écritures, les modifications et les suppressions, sont analysés et stockés
dans les répertoires de rubriques d’audit de la configuration. Lorsque vous activez ou
désactivez l’audit de configuration système, aucune configuration supplémentaire
n’est requise.
Les événements de configuration ne sont consignés dans /var/log/
audit_config.log que si vous avez activé le transfert syslog pour les audits de
configuration. Les logs de modification de configuration sont remplis dans la rubrique
config de la zone de stockage back-end sous /ifs/.ifsvar/audit.

Transférer les événements d’accès aux protocoles dans syslog 269


Audit

Remarque

Les événements de configuration ne sont pas transférés au CEE (Common Event


Enabler).

Procédure
1. Cliquez sur Cluster Management > Auditing.
2. Dans la zone Settings, cochez la case Enable Configuration Change Auditing.
3. Cliquez sur Save Changes.
À effectuer
Vous pouvez activer le transfert des modifications de configuration du système à
syslog en exécutant la commande isi audit settings global modify avec
l’option --config-syslog-enabled. Cette procédure n’est disponible que via
l’interface de ligne de commande.

Définir le nom d’hôte d’audit


Vous pouvez éventuellement définir le nom d’hôte d’audit pour certaines applications
d’audit tierces nécessitant un nom d’hôte unifié. Si vous ne définissez pas de nom
d’hôte pour ces applications, chaque nœud du cluster EMC Isilon envoie son nom
d’hôte en tant que nom de serveur au serveur CEE. Si vous configurez le nom d’hôte
d’audit, celui-ci est utilisé comme nom de serveur global.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi audit settings global modify avec
l’option --hostname pour définir le nom d’hôte d’audit.
La commande suivante définit mycluster en tant que nom d’hôte d’audit :

isi audit settings global modify --hostname=mycluster

Configurer les zones faisant l’objet d’un audit de protocole


Seuls les événements d’audit de protocole d’une zone auditée sont capturés et
envoyés au serveur CEE. Par conséquent, vous devez configurer une zone faisant
l’objet d’un audit de protocole pour envoyer des événements d’audit.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi audit settings global modify avec
l’option --audited-zones pour configurer les zones faisant l’objet d’un audit
de protocole.

270 OneFS 8.0.1 Guide d’administration Web


Audit

La commande suivante configure HomeDirectory et Misc en tant que zones


faisant l’objet d’un audit de protocole :

isi audit settings global modify --audited-


zones=HomeDirectory,Misc

Transférer les modifications de configuration système dans syslog


Vous pouvez activer ou désactiver le transfert des modifications de configuration
système sur le cluster EMC Isilon dans syslog, qui est enregistré dans /var/log/
audit_config.log. Cette procédure est uniquement disponible via l’interface de
ligne de commande.
Avant de commencer
Le transfert n’est pas activé par défaut lorsque l’audit de la configuration système est
activé. Pour activer le transfert des modifications de configuration système dans
syslog, vous devez d’abord activer l’audit de configuration système sur le cluster.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi audit settings global modify avec
l’option --config-syslog-enabled pour activer ou désactiver le transfert
des modifications de configuration système.
La commande suivante active le transfert des modifications de configuration
système dans syslog :

isi audit settings global modify --config-syslog-enabled=yes

La commande suivante désactive le transfert des modifications de configuration


système dans syslog :

isi audit settings global modify --config-syslog-enabled=no

Configurer des filtres d’événements de protocole


Vous pouvez filtrer les types d’événements d’accès aux protocoles à auditer dans une
zone d’accès. Vous pouvez créer des filtres pour les événements ayant réussi et pour
ceux en échec. Par défaut, les événements de protocole suivants sont collectés pour
les zones d’accès faisant l’objet d’un audit : create, delete, rename, close et
set_security. Cette procédure n’est disponible que via l’interface de ligne de
commande.
Avant de commencer
Pour créer des filtres d’événements de protocole, vous devez tout d’abord activer
l’audit des accès aux protocoles dans la zone d’accès.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi audit settings modify.

Transférer les modifications de configuration système dans syslog 271


Audit

La commande suivante crée un filtre permettant d’auditer les événements de


types create, close et delete en échec dans la zone d’accès zone3 :

isi audit settings modify --audit-failure=create,close,delete


--zone=zone3

La commande suivante crée un filtre permettant d’auditer les événements de


types create, close et delete ayant réussi dans la zone d’accès zone5 :

isi audit settings modify --audit-success=create,close,delete


--zone=zone5

Intégration avec l’EMC Common Event Enabler


L’intégration de OneFS avec l’EMC Common Event Enabler (CEE) permet aux
applications d’audit tierces de collecter et d’analyser les logs d’audit de protocole.
Pour obtenir la liste le plus récente des outils d’audit pris en charge, consultez Isilon
Third-Party Software & Hardware Compatibility Guide.
OneFS prend en charge le composant Common Event Publishing Agent (CEPA) de
CEE for Windows. Pour permettre l’intégration avec OneFS, vous devez installer et
configurer CEE for Windows sur un client Windows pris en charge.

Remarque

Nous vous recommandons d’installer et de configurer les applications d’audit tierces


avant d’activer la fonction d’audit OneFS. Dans le cas contraire, le backlog volumineux
résultant de cette fonction risque d’empêcher la mise à jour des résultats pendant une
période prolongée.

Installer CEE for Windows


Pour intégrer CEE avec OneFS, vous devez commencer par installer CEE sur un
ordinateur qui exécute le système d’exploitation Windows.
Avant de commencer
Soyez prêt à extraire les fichiers à partir du fichier .iso en suivant les étapes ci-
dessous. Si vous n’êtes pas familiarisé avec le processus, nous vous recommandons de
sélectionner l’une des méthodes suivantes :
1. Installez WinRAR ou un autre programme d’archivage adapté capable d’ouvrir les
fichiers .iso en tant qu’archive et de copier les fichiers.
2. Gravez l’image sur un CD-ROM, puis copiez les fichiers.
3. Installez SlySoft Virtual CloneDrive, qui vous permet de monter une image ISO en
tant que lecteur à partir duquel vous pouvez copier des fichiers.

Remarque

Vous devez installer au moins deux serveurs EMC vous recommande d'installer
CEE 6.6.0 ou version supérieure.

Procédure
1. Téléchargez le logiciel de framework CEE à partir du support en ligne d’EMC :

272 OneFS 8.0.1 Guide d’administration Web


Audit

a. Dans votre navigateur Web, accédez à https://support.emc.com/search/.


b. Dans le champ de recherche, saisissez Common Event Enabler for
Windows, puis cliquez sur l’icône de recherche.
c. Cliquez sur Common Event Enabler <Version> for Windows, où <Version>
correspond à 6.2 ou à une version supérieure, puis suivez les instructions
pour ouvrir ou sauvegarder le fichier .iso.
2. À partir du fichier .iso, extrayez le fichier exécutable 32 bits ou 64 bits
EMC_CEE_Pack dont vous avez besoin.
Une fois l’extraction terminée, l’assistant d’installation EMC Common Event
s’ouvre.
3. Cliquez sur Next pour accéder à la page License Agreement.
4. Sélectionnez l’option I accept... pour accepter les termes du contrat de licence,
puis cliquez sur Next.
5. À la page Customer informations, saisissez votre nom d’utilisateur et le nom
de votre entreprise, sélectionnez vos préférences d’installation, puis cliquez
sur Next.
6. À la page Setup Type, sélectionnez Complete, puis cliquez sur Next.
7. Cliquez sur Install pour commencer l’installation.
La page Installing EMC Common Event Enabler affiche la progression de
l’installation. Lorsque l’installation est terminée, la page InstallShield Wizard
Completed s’affiche.
8. Pour quitter l’assistant, cliquez sur Finish.
9. Redémarrez le système.

Configurer CEE for Windows


Après avoir installé CEE for Windows sur un ordinateur client, vous devez configurer
des paramètres supplémentaires par le biais de l’Éditeur du Registre de Windows
(regedit.exe).
Procédure
1. Ouvrez l’Éditeur du Registre de Windows.
2. Configurez les clés de registre suivantes, si votre application d’audit le permet :

Paramètr Emplacement du registre Clé Valeur


e
Port [HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE HttpPort 12228
d’écoute \Configuration]
CEE HTTP

Activation [HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE Enabled 1


de points \CEPP\Audit\Configuration]
de
terminaison
distants
d’audit

Points de [HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE EndPoint <EndPoint>


terminaison \CEPP\Audit\Configuration]

Configurer CEE for Windows 273


Audit

Paramètr Emplacement du registre Clé Valeur


e
distants
d’audit

Remarque

l La valeur HttpPort doit correspondre au port des URI CEE que vous
spécifiez lors de la configuration de l’audit du protocole OneFS.
l La valeur EndPoint doit avoir le format <EndPoint_Name>@<IP_Address>.
Vous pouvez spécifier plusieurs points de terminaison en séparant chaque
valeur par un point-virgule (;).

La clé suivante spécifie un seul point de terminaison distant :


[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit
\Configuration] EndPoint = AuditApplication@10.7.1.2
La clé suivante spécifie plusieurs points de terminaison distants :
[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit
\Configuration] EndPoint =
AuditApplication@192.168.22.3;AuditApplication@192.168.33.2
3. Fermez l’Éditeur du Registre de Windows.

Configurer les serveurs CEE afin de livrer des événements d’audit de


protocole
Vous pouvez configurer les serveurs CEE avec OneFS pour livrer des événements
d’audit de protocole en ajoutant l’URI de chaque serveur à la configuration de OneFS.
Procédure
l Exécutez la commande isi audit settings global modify avec l’option
--cee-server-uris pour ajouter les URI des serveurs CEE à la configuration de
OneFS.
La commande suivante ajoute l’URI de trois serveurs CEE à la configuration de
OneFS :

isi audit settings global modify --cee-server-uris=http://


server1.example.com:12228/vee,http://server2.example.com:12228/
vee,http://server3.example.com:12228/vee

Suivi de la livraison des événements d’audit de protocole


Les processus consistant à capturer les événements d’audit de protocole et à les livrer
au serveur CEE ne s’exécutent pas simultanément. Par conséquent, même si aucun
serveur CEE n’est disponible, les événements d’audit de protocole sont toujours
capturés et stockés en vue d’être livrés au serveur CEE à une date ultérieure.
Vous pouvez afficher l’heure du dernier événement d’audit de protocole capturé et
l’heure du dernier événement qui a été envoyé au serveur CEE. Vous pouvez
également déplacer la position de log du redirecteur CEE à l’heure souhaitée.

274 OneFS 8.0.1 Guide d’administration Web


Audit

Afficher les horodatages de livraison des événements au serveur CEE et à


syslog
Vous pouvez afficher les horodatages de livraison des événements au serveur CEE et à
syslog sur le nœud sur lequel vous exécutez la commande isi audit progress
view.
Ce paramètre n’est disponible que via l’interface de ligne de commande.
Procédure
l Exécutez la commande isi audit progress view pour afficher les
horodatages de livraison des événements au serveur CEE et à syslog sur le nœud
sur lequel vous exécutez la commande.
Un exemple de sortie de la commande isi audit progress view est
présenté ci-dessous :

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016


Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016
Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016

Vous pouvez exécuter la commande isi audit progress view avec l’option
--lnn pour afficher les horodatages de livraison des événements d’audit sur un
nœud spécifié au moyen de son numéro de nœud logique.

La commande suivante affiche la progression de la livraison des événements


d’audit sur un nœud portant le numéro de nœud logique 2 :

isi audit progress view --lnn=2

Le résultat s’affiche comme illustré ci-dessous :

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016


Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016
Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016

Déplacer la position de log du redirecteur CEE


Vous pouvez déplacer manuellement la position de log du redirecteur CEE si l’heure
d’événement dans le log d’audit indique un décalage par rapport à l’heure actuelle.
Cette action déplace à l’échelle globale l’heure d’événement de tous les logs du
redirecteur CEE au sein d’un cluster EMC Isilon pour qu’elle indique l’heure la plus
proche.

Remarque

Les événements qui sont ignorés ne sont pas transmis au serveur CEE, même s’ils sont
toujours disponibles sur le cluster.

Procédure
l Exécutez la commande isi audit settings global modify avec l’option
--cee-log-time pour déplacer la position de log du redirecteur CEE.

Afficher les horodatages de livraison des événements au serveur CEE et à syslog 275
Audit

La commande suivante permet de déplacer manuellement la position de log du


redirecteur CEE :

isi audit settings global modify --cee-log-


time='protocol@2016-01-27 01:03:02'

Afficher le taux de livraison des événements d’audit de protocole au serveur


CEE
Vous pouvez afficher le taux de livraison des événements d’audit de protocole au
serveur CEE.
Procédure
l Exécutez la commande isi statistics query pour afficher le taux actuel de
livraison des événements d’audit de protocole au serveur CEE sur un nœud
EMC Isilon.
La commande suivante affiche le taux actuel de livraison des événements d’audit
de protocole au serveur CEE :

isi statistics query current list --


keys=node.audit.cee.export.rate

Le résultat s’affiche comme illustré ci-dessous :

Node node.audit.cee.export.rate
---------------------------------
1 3904.600000
---------------------------------
Total: 1

276 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 13
Snapshots

Cette section traite des sujets suivants :

l Présentation des snapshots............................................................................. 278


l Protection des données avec SnapshotIQ........................................................ 278
l Utilisation de l’espace disque par les snapshots................................................278
l Plannings de snapshots.................................................................................... 279
l Alias de snapshot..............................................................................................279
l Restauration des fichiers et des répertoires..................................................... 279
l Bonnes pratiques relatives à la création de snapshots......................................280
l Bonnes pratiques relatives à la création de plannings de snapshots.................. 281
l Clones de fichiers.............................................................................................282
l Verrous de snapshot........................................................................................ 283
l Espace réservé aux snapshots..........................................................................283
l Fonctions sous licence SnapshotIQ.................................................................. 284
l Création de snapshots avec SnapshotIQ.......................................................... 284
l Gestion des snapshots .................................................................................... 290
l Restauration des données des snapshots......................................................... 292
l Gestion des plannings de snapshots.................................................................295
l Gestion des alias de snapshot.......................................................................... 296
l Gestion des verrous de snapshot......................................................................297
l Configurer les paramètres SnapshotIQ............................................................ 300
l Définir un espace réservé aux snapshots.......................................................... 301
l Gestion des listes de modifications................................................................... 301

Snapshots 277
Snapshots

Présentation des snapshots


Un snapshot OneFS est un pointeur logique vers les données stockées sur un cluster à
un point donné dans le temps.
Un snapshot référence un répertoire sur un cluster, y compris toutes les données
stockées dans le répertoire et ses sous-répertoires. Si les données référencées par un
snapshot sont modifiées, le snapshot stocke une copie physique des données qui ont
été modifiées. Les snapshots sont créés selon les spécifications de l’utilisateur ou sont
générés automatiquement par OneFS afin de faciliter les opérations système.
Pour créer et gérer des snapshots, vous devez activer une licence SnapshotIQ sur le
cluster. Certaines applications doivent générer des snapshots pour fonctionner, mais
ne nécessitent pas l’activation d’une licence de SnapshotIQ. Par défaut, ces snapshots
sont automatiquement supprimés lorsque OneFS n’en a plus besoin. Toutefois, si vous
activez une licence SnapshotIQ, vous pouvez conserver ces snapshots. Vous pouvez
afficher les snapshots générés par d’autres modules sans activer de licence
SnapshotIQ.
Vous pouvez identifier et localiser les snapshots par nom ou par ID. Un nom de
snapshot est spécifié par l’utilisateur et attribué au répertoire virtuel contenant le
snapshot. Un ID de snapshot est un identifiant numérique que OneFS attribue
automatiquement à un snapshot.

Protection des données avec SnapshotIQ


Vous pouvez créer des snapshots pour protéger les données à l’aide du module logiciel
SnapshotIQ. Les snapshots protègent les données contre la modification et la
suppression accidentelles en vous permettant de restaurer les fichiers supprimés et
modifiés. Pour utiliser SnapshotIQ, vous devez activer une licence SnapshotIQ sur le
cluster.
Les snapshots sont moins coûteux que la sauvegarde des données sur un périphérique
de stockage physique séparé, car ils prennent moins de temps et consomment moins
de stockage. Le temps nécessaire pour déplacer les données vers un autre
périphérique physique dépend de la quantité de données à déplacer, tandis que les
snapshots sont toujours créés presque instantanément, quelle que soit la quantité de
données référencées par le snapshot. En outre, étant donné que les snapshots sont
disponibles en local, les utilisateurs peuvent généralement restaurer leurs données
sans avoir besoin de l’aide d’un administrateur système. Les snapshots nécessitent
moins d’espace qu’une sauvegarde à distance, car les données non modifiées sont
référencées et non recréées.
Les snapshots n’offrent aucune protection contre les incidents liés au matériel ou au
système de fichiers. Les snapshots font référence à des données stockées sur un
cluster, de sorte que si ces données deviennent indisponibles, les snapshots le sont
également. C’est pourquoi il est recommandé de sauvegarder les données sur des
périphériques physiques distincts, en plus de créer des snapshots.

Utilisation de l’espace disque par les snapshots


L’espace disque utilisé par un snapshot dépend non seulement de la quantité de
données stockées par ce snapshot, mais aussi de la quantité de données d’autres
snapshots auxquelles il fait référence.

278 OneFS 8.0.1 Guide d’administration Web


Snapshots

Au moment où il est créé par OneFS, le snapshot consomme une quantité négligeable
d’espace disque. Il ne consomme pas d’espace disque supplémentaire, à moins que les
données auxquelles il fait référence soient modifiées. Si elles sont modifiées, il stocke
des copies en lecture seule des données d’origine. Un snapshot ne consomme que
l’espace requis pour restaurer le contenu d’un répertoire à l’état dans lequel il se
trouvait au moment de la création du snapshot.
Pour limiter la consommation d’espace disque, les snapshots qui font référence au
même répertoire se font référence mutuellement, les anciens snapshots faisant
référence aux nouveaux. Si un fichier est supprimé alors que plusieurs snapshots y
font référence, un seul snapshot stocke une copie du fichier et les autres snapshots
font référence à celui-ci à partir du snapshot contenant la copie. La taille signalée d’un
snapshot reflète uniquement la quantité de données stockées par celui-ci ; elle n’inclut
pas la quantité de données auxquelles il fait référence.
Étant donné que les snapshots ne consomment pas une quantité définie d’espace de
stockage, il n’existe aucune exigence en matière d’espace disponible pour créer un
snapshot. La taille d’un snapshot se développe en fonction de la façon dont les
données auxquelles il fait référence sont modifiées. Un cluster ne peut pas contenir
plus de 20 000 snapshots.

Plannings de snapshots
Vous pouvez générer automatiquement des snapshots en fonction d’un planning de
snapshots.
Les plannings de snapshots permettent de générer régulièrement des snapshots d’un
répertoire sans avoir à les créer manuellement à chaque fois. Vous pouvez également
définir une période d’expiration qui détermine quand SnapshotIQ supprime chaque
snapshot généré automatiquement.

Alias de snapshot
Un alias de snapshot est un pointeur logique vers un snapshot. Si vous spécifiez un
alias pour un planning de snapshots, il pointe toujours vers le dernier snapshot généré
selon ce planning. L’attribution d’un alias de snapshot vous permet d’identifier
rapidement le snapshot le plus récent généré selon un planning de snapshots, et d’y
accéder.
Si vous permettez aux clients d’accéder aux snapshots via un alias, vous pouvez
réattribuer l’alias pour rediriger les clients vers d’autres snapshots. Vous pouvez
attribuer des alias à des snapshots, mais également à la version active du système de
fichiers. Cela peut être utile si les clients accèdent aux snapshots par le biais d’un alias
de snapshot et que vous souhaitiez les rediriger vers la version active du système de
fichiers.

Restauration des fichiers et des répertoires


Vous pouvez restaurer les fichiers et les répertoires référencés par un alias de
snapshot en copiant les données du snapshot, en clonant un fichier à partir du
snapshot ou en rétablissant l’ensemble du snapshot.
La copie d’un fichier à partir d’un snapshot duplique le fichier, ce qui multiplie environ
par deux la quantité d’espace de stockage utilisée. Même si vous supprimez le fichier
d’origine du répertoire non snapshot, la copie du fichier est conservée dans le
snapshot.

Plannings de snapshots 279


Snapshots

Le clonage d’un fichier à partir d’un snapshot duplique également le fichier. Toutefois,
contrairement à une copie, qui consomme immédiatement de l’espace supplémentaire
sur le cluster, un clone n’occupe pas d’espace supplémentaire sur le cluster tant que le
clone ou le fichier cloné n’est pas modifié.
Le rétablissement d’un snapshot remplace le contenu d’un répertoire par les données
stockées dans le snapshot. Avant le rétablissement d’un snapshot, SnapshotIQ crée un
snapshot du répertoire remplacé, ce qui vous permet d’annuler ultérieurement le
rétablissement du snapshot. Le rétablissement d’un snapshot peut être utile si vous
souhaitez annuler un grand nombre de modifications que vous avez apportées aux
fichiers et aux répertoires. Si de nouveaux fichiers ou répertoires ont été créés dans
un répertoire depuis qu’un snapshot de celui-ci a été créé, ils sont supprimés lorsque le
snapshot est rétabli.

Remarque

Si vous déplacez un répertoire, vous ne pouvez pas rétablir les snapshots de ce


répertoire qui ont été réalisés avant son déplacement.

Bonnes pratiques relatives à la création de snapshots


Lorsque vous utilisez un grand nombre de snapshots, tenez compte des bonnes
pratiques suivantes.
Pour éviter toute dégradation des performances, il est recommandé de ne pas créer
plus de 1 000 snapshots d’un même répertoire. Si vous créez un snapshot d’un
répertoire racine, il est pris en compte dans le nombre total de snapshots pour tous les
sous-répertoires du répertoire racine. Par exemple, si vous créez 500 snapshots
de /ifs/data et 500 snapshots de /ifs/data/media, vous créez 1 000 snapshots
de /ifs/data/media. Évitez de créer des snapshots de répertoires qui sont déjà
référencés par d’autres snapshots.
Pour éviter toute dégradation des performances, il est recommandé de ne pas créer
plus de 1 000 liens matériels par fichier dans un snapshot. Efforcez-vous d’utiliser des
chemins de répertoire aussi peu profonds que possible. Plus la profondeur des
répertoires référencés par les snapshots est importante, plus les performances sont
dégradées.
La création de snapshots de répertoires situés plus haut dans une arborescence
augmente le temps nécessaire pour modifier les données référencées par le snapshot
et requiert davantage de ressources de cluster pour gérer le snapshot et le répertoire.
Toutefois, la création de snapshots de répertoires situés plus bas dans les
arborescences nécessite plus de plannings de snapshots, ce qui peut être difficile à
gérer. Il est recommandé de ne pas créer de snapshots de /ifs ou /ifs/data.
Vous pouvez créer jusqu’à 20 000 snapshots à la fois sur un cluster. Si le workflow
nécessite régulièrement un grand nombre de snapshots, vous constaterez peut-être
qu’il est préférable de gérer les snapshots via l’interface de ligne de commande OneFS
plutôt que via l’interface d’administration Web OneFS. Dans la CLI, vous pouvez
appliquer un large éventail d’options de tri et de filtrage, et rediriger les listes vers des
fichiers texte.
Vous devez marquer les snapshots en vue de leur suppression lorsqu’ils ne sont plus
nécessaires et vous assurer que la tâche système SnapshotDelete est activée. La
désactivation de cette tâche empêche la libération de l’espace disque inutilisé et peut
également entraîner une dégradation des performances au fil du temps.
Si l’horloge système est définie sur un fuseau horaire autre que celui de l’heure
universelle (UTC), SnapShotIQ modifie la durée des snapshots suivant l’heure d’été. Si

280 OneFS 8.0.1 Guide d’administration Web


Snapshots

vous choisissez l’heure d’été, la durée des snapshots augmente de ce fait d’une
heure ; lorsque vous quittez l’heure d’été, la durée des snapshots diminue d’une heure,
conformément à l’heure standard.

Bonnes pratiques relatives à la création de plannings de


snapshots
Les configurations de plannings de snapshots peuvent être classées selon la façon
dont elles suppriment les snapshots : suppressions ordonnées ou suppressions non
ordonnées.
Une suppression ordonnée supprime le snapshot le plus ancien d’un répertoire. Une
suppression non ordonnée supprime un snapshot qui n’est pas le plus ancien d’un
répertoire. Les suppressions non ordonnées durent environ deux fois plus longtemps et
utilisent plus de ressources du cluster que les suppressions ordonnées. Toutefois, elles
économisent de l’espace en conservant moins de snapshots au total.
Les avantages des suppressions non ordonnées par rapport aux suppressions
ordonnées dépendent de la fréquence de modification des données référencées par les
snapshots. Si les données sont modifiées fréquemment, les suppressions non
ordonnées offrent un gain d’espace. Toutefois, si les données ne sont pas modifiées,
les suppressions non ordonnées ne permettent généralement pas d’économiser de
l’espace ; il est recommandé d’effectuer des suppressions ordonnées pour libérer des
ressources du cluster.
Pour implémenter des suppressions ordonnées, définissez la même durée pour tous les
snapshots d’un répertoire. Les snapshots peuvent être créés dans le cadre d’un ou
plusieurs plannings de snapshots. Assurez-vous systématiquement que le nombre de
snapshots d’un répertoire ne dépasse pas 1 000.
Pour implémenter des suppressions de snapshots non ordonnées, créez plusieurs
plannings de snapshots pour un répertoire, puis définissez des durées de snapshots
différentes pour chaque planning. Assurez-vous que tous les snapshots sont créés en
même temps, si possible.
Le tableau suivant décrit les plannings de snapshots qui respectent les bonnes
pratiques :

Tableau 1 Configurations de plannings de snapshots

Type de Fréquence des Durée des Expiration des Nombre maximal


suppress snapshots snapshots snapshots de snapshots
ion conservés
Suppressi Toutes les heures De 0h00 à 11h59 Un mois 720
on
ordonnée
(pour des
données
essentielle
ment
statiques)

Suppressi Toutes les deux De 0h00 à 23h59 1 jour 27


on non heures
ordonnée
Tous les jours À 0h00 Une semaine
(pour des
données

Bonnes pratiques relatives à la création de plannings de snapshots 281


Snapshots

Tableau 1 Configurations de plannings de snapshots (suite)

Type de Fréquence des Durée des Expiration des Nombre maximal


suppress snapshots snapshots snapshots de snapshots
ion conservés
fréquemm Chaque semaine Samedi à 0h00 Un mois
ent
Chaque mois Le premier samedi Trois mois
modifiées)
du mois à 0h00

Clones de fichiers
Pour économiser de l’espace sur le cluster, SnapshotIQ vous permet de créer des
clones de fichiers qui partagent des blocs avec les fichiers existants. Un clone de
fichier occupe généralement moins d’espace et est moins long à créer qu’une copie de
fichier. Bien que vous puissiez cloner des fichiers à partir de snapshots, les clones sont
principalement utilisés en interne par OneFS.
Les blocs partagés entre un clone et le fichier cloné se trouvent dans un fichier
masqué appelé zone de stockage de clichés instantanés. Immédiatement après la
création d’un clone, toutes les données contenues initialement dans le fichier cloné
sont transférées vers une zone de stockage de clichés instantanés. Étant donné que
les deux fichiers font référence à tous les blocs de la zone de stockage de clichés
instantanés, ils n’occupent pas plus d’espace que le fichier d’origine ; le clone n’utilise
pas d’espace supplémentaire sur le cluster. Toutefois, si le fichier cloné ou le clone est
modifié, le fichier et le clone ne partagent que les blocs qui leurs sont communs à tous
les deux. Les blocs modifiés non partagés occupent de l’espace supplémentaire sur le
cluster.
Au fil du temps, il est possible que les blocs partagés qui se trouvent dans la zone de
stockage de clichés instantanés deviennent inutiles si ni le fichier, ni le clone n’y font
référence. Le cluster supprime régulièrement les blocs qui ne sont plus nécessaires.
Vous pouvez imposer au cluster de supprimer les blocs inutilisés à tout moment en
exécutant la tâche ShadowStoreDelete.
Les clones ne peuvent pas contenir d’autres flux de données (ADS). Si vous clonez un
fichier contenant d’autres flux de données, ceux-ci ne se trouveront pas dans le clone.

Considérations relatives aux zones de stockage de clichés instantanés


Les zones de stockage de clichés instantanés sont des fichiers masqués auxquels font
référence les fichiers clonés et dédupliqués. Les fichiers qui font référence à des
zones de stockage de clichés instantanés ont un comportement différent des autres
fichiers.
l La lecture des références aux zones de stockage de clichés instantanés peut
prendre plus de temps que la lecture directe des données. Plus précisément, la
lecture des références non mises en cache est plus lente que la lecture des
données non mises en cache. La lecture des références mises en cache ne prend
pas plus de temps que la lecture des données mises en cache.
l Lorsque des fichiers qui font référence à des zones de stockage de clichés
instantanés sont répliqués vers un autre cluster Isilon ou sauvegardés sur un
périphérique de sauvegarde NDMP, les zones de stockage de clichés instantanés
ne sont pas transférées vers le cluster Isilon ou le périphérique de sauvegarde

282 OneFS 8.0.1 Guide d’administration Web


Snapshots

cible. Les fichiers sont transférés comme s’ils contenaient les données auxquelles
ils font référence dans les zones de stockage de clichés instantanés. Sur le cluster
Isilon ou le périphérique de sauvegarde cible, les fichiers occupent la même
quantité d’espace que s’ils ne faisaient pas référence à des zones de stockage de
clichés instantanés.
l Lorsque OneFS crée une zone de stockage de clichés instantanés, il l’attribue au
pool de stockage d’un fichier qui fait référence à cette zone de stockage. Si vous
supprimez le pool de stockage sur lequel réside une zone de stockage de clichés
instantanés, celle-ci est déplacée vers un pool occupé par un autre fichier qui fait
référence à cette zone de stockage.
l OneFS ne supprime pas un bloc de la zone de stockage de clichés instantanés
immédiatement après la suppression de la dernière référence à ce bloc. Au lieu de
cela, il attend l’exécution de la tâche ShadowStoreDelete pour supprimer le bloc
non référencé. Si un grand nombre de blocs non référencés existent sur le cluster,
OneFS peut signaler des gains de déduplication négatifs jusqu’à ce que la tâche
ShadowStoreDelete soit exécutée.
l Les zones de stockage de clichés instantanés sont protégées au moins autant que
le fichier le plus protégé auquel elles font référence. Par exemple, si un fichier qui
fait référence à une zone de stockage de clichés instantanés réside dans un pool
de stockage protégé au niveau +2 et qu’un autre fichier qui y fait référence réside
dans un pool de stockage protégé au niveau +3, la zone de stockage de clichés
instantanés est protégée au niveau +3.
l Les quotas comptabilisent les fichiers qui font référence à des zones de stockage
de clichés instantanés comme s’ils contenaient les données référencées ; du point
de vue des quotas, les références aux zones de stockage de clichés instantanés
n’existent pas. Toutefois, si un quota inclut l’espace dédié à la protection des
données, il ne tient pas compte de celui associé aux zones de stockage de clichés
instantanés.

Verrous de snapshot
Un verrou de snapshot empêche la suppression d’un snapshot. Si un ou plusieurs
verrous sont appliqués à un snapshot, celui-ci ne peut pas être supprimé : on parle
alors de snapshot verrouillé. Si la durée d’un snapshot verrouillé expire, OneFS ne
supprime pas le snapshot tant que tous ses verrous n’ont pas été supprimés.
OneFS applique des verrous de snapshot afin que les snapshots générés par les
applications OneFS ne soient pas supprimés prématurément. C’est pourquoi il est
recommandé de ne pas supprimer les verrous de snapshot ni de modifier leur durée.
Le nombre de verrous pouvant être appliqués à un snapshot est limité. Si vous créez
des verrous de snapshot, vous risquez d’atteindre le nombre maximal autorisé pour un
snapshot, ce qui peut empêcher OneFS d’appliquer lui-même un verrou de snapshot
au moment voulu. Il est donc recommandé de ne pas créer de verrous de snapshot.

Espace réservé aux snapshots


L’espace réservé aux snapshots vous permet de mettre de côté un pourcentage
minimal de la capacité de stockage du cluster spécifiquement pour les snapshots. Dans
un tel cas, aucune autre opération OneFS ne peut accéder au pourcentage de la
capacité du cluster réservé aux snapshots.

Verrous de snapshot 283


Snapshots

Remarque

L’espace réservé aux snapshots ne limite pas la quantité d’espace que les snapshots
peuvent consommer sur le cluster. Les snapshots peuvent utiliser un pourcentage plus
élevé de la capacité de stockage que celui spécifié pour leur espace réservé. Il est
recommandé de ne pas définir d’espace réservé aux snapshots.

Fonctions sous licence SnapshotIQ


Vous ne pouvez créer des snapshots que si vous activez une licence SnapshotIQ sur le
cluster. Cependant, vous pouvez afficher les snapshots et les verrous de snapshot
créés pour être utilisés en interne par OneFS sans activer de licence SnapshotIQ.
Le tableau suivant décrit les fonctions de snapshot disponibles selon que la licence
SnapshotIQ est activée ou non :

Ressource Inactive Active


Créer des snapshots et Non Oui
des plannings de snapshot

Configurer les paramètres Non Oui


SnapshotIQ

Afficher les plannings de Oui Oui


snapshots

Supprimer des snapshots Oui Oui

Accéder aux données de Oui Oui


snapshots

Afficher les snapshots Oui Oui

Si une licence SnapshotIQ devient inactive, vous ne pouvez plus créer de nouveaux
snapshots, tous les plannings de snapshots sont désactivés et vous ne pouvez plus
modifier les snapshots ni les paramètres correspondants. Toutefois, il reste possible de
supprimer les snapshots et d’accéder aux données qu’ils contiennent.

Création de snapshots avec SnapshotIQ


Pour créer des snapshots, vous devez configurer la licence SnapshotIQ sur le cluster.
Vous pouvez créer des snapshots en établissant un planning de snapshots ou en
générant manuellement un snapshot individuel.
Les snapshots manuels sont utiles pour créer un snapshot immédiatement ou à un
moment non spécifié dans un planning de snapshots. Par exemple, si vous prévoyez
d’apporter des modifications à votre système de fichiers, mais que vous n’en mesuriez
pas exactement les conséquences, vous pouvez capturer l’état actuel du système de
fichiers dans un snapshot avant d’effectuer les modifications.
Avant de créer des snapshots, tenez compte du fait que le rétablissement d’un
snapshot nécessite qu’un domaine SnapRevert existe pour le répertoire rétabli. Si vous
avez l’intention de rétablir des snapshots de répertoires, il est recommandé de créer
des domaines SnapRevert pour ces répertoires pendant que ceux-ci sont vides. La
création d’un domaine pour un répertoire contenant peu de données prend moins de
temps.

284 OneFS 8.0.1 Guide d’administration Web


Snapshots

Créer un domaine SnapRevert


Avant de rétablir un snapshot qui contient un répertoire, vous devez créer un domaine
SnapRevert pour ce répertoire. Il est recommandé de créer un domaine SnapRevert
pour un répertoire lorsque celui-ci est vide.
Le chemin racine du domaine SnapRevert doit être le même que celui du snapshot. Par
exemple, un domaine dont le chemin racine est /ifs/data/media ne peut pas être
utilisé pour rétablir un snapshot dont le chemin racine est /ifs/data/media/
archive. Pour rétablir /ifs/data/media/archive, vous devez créer un domaine
SnapRevert dont le chemin racine est /ifs/data/media/archive.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
2. Dans la zone Job Types, sur la ligne DomainMark, dans la colonne Actions,
sélectionnez Start Job.
3. Dans le champ Domain Root Path, saisissez le chemin du répertoire racine d’un
snapshot.
4. Dans la liste Type of domain, sélectionnez SnapRevert.
5. Assurez-vous que la case Delete this domain est désactivée.
6. Cliquez sur Start Job.

Créer un planning de snapshots


Pour générer en permanence des snapshots de répertoires, vous pouvez créer un
planning de snapshots.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshot Schedules.
2. Cliquez sur Create a Schedule.
La boîte de dialogue Create a Schedule s’affiche.
3. (Facultatif) Dans le champ Schedule Name, saisissez le nom du planning de
snapshots.
4. (Facultatif) Dans le champ Naming pattern for Generated Snapshots,
saisissez un modèle de dénomination. Chaque snapshot généré suivant ce
planning se voit attribuer un nom basé sur ce modèle.
Par exemple, le modèle de dénomination suivant est valide :

WeeklyBackup_%m-%d-%Y_%H:%M

Cet exemple produit des noms semblables au suivant :

WeeklyBackup_07-13-2014_14:21

5. Dans le champ Path, spécifiez le répertoire qui doit être contenu dans les
snapshots générés suivant ce planning.
6. Dans la liste Schedule, sélectionnez la fréquence à laquelle vous souhaitez
générer des snapshots suivant le planning.

Créer un domaine SnapRevert 285


Snapshots

Option Description
Générer des snapshots tous les jours ou Sélectionnez Daily, puis indiquez
laisser passer un certain nombre de jours la fréquence à laquelle vous
sans créer aucun snapshot souhaitez générer des snapshots.
Générer des snapshots certains jours de Sélectionnez Weekly, puis
la semaine et laisser éventuellement indiquez la fréquence à laquelle
passer plusieurs semaines sans créer vous souhaitez générer des
aucun snapshot snapshots.
Générer des snapshots certains jours du Sélectionnez Monthly, puis
mois et laisser éventuellement passer indiquez la fréquence à laquelle
plusieurs mois sans créer aucun snapshot vous souhaitez générer des
snapshots.
Générer des snapshots certains jours de Sélectionnez Yearly, puis
l’année indiquez la fréquence à laquelle
vous souhaitez générer des
snapshots.

Remarque

Un planning de snapshots ne peut pas s’étendre sur plusieurs jours. Par


exemple, vous ne pouvez pas indiquer que la création de snapshots commence
lundi à 17h00 et se termine mardi à 5h00. Pour générer en permanence des
snapshots pendant une période d’une durée supérieure à un jour, vous devez
créer deux plannings de snapshots. Par exemple, pour générer des snapshots de
lundi à 17h00 à mardi à 05h00, créez un planning qui génère des snapshots de
05h00 à 23h59 le lundi, et un autre qui génère des snapshots de minuit à 05h00
le mardi.

7. (Facultatif) Pour attribuer un autre nom au dernier snapshot généré par le


planning, spécifiez un alias de snapshot.
a. En regard de Create an Alias, cliquez sur Yes.
b. Pour modifier le nom d’alias de snapshot par défaut, dans le champ Alias
Name, saisissez un autre nom pour le snapshot.
8. (Facultatif) Pour indiquer la durée pendant laquelle les snapshots générés
suivant le planning doivent être conservés avant d’être supprimés par OneFS,
spécifiez une période d’expiration.
a. En regard de Snapshot Expiration, sélectionnez Snapshots expire.
b. En regard de Snapshots expire, indiquez la durée de conservation des
snapshots générés suivant le planning.
9. Cliquez sur Create Schedule.

Créer un snapshot
Vous pouvez créer un snapshot d’un répertoire.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshots.
2. Cliquez sur Create a Snapshot.

286 OneFS 8.0.1 Guide d’administration Web


Snapshots

La boîte de dialogue Create a Snapshot s’affiche.


3. (Facultatif) Dans le champ Snapshot Name, saisissez le nom du snapshot.
4. Dans le champ Path, spécifiez le répertoire que doit contenir le snapshot.
5. (Facultatif) Pour créer un autre nom pour le snapshot, sélectionnez Create a
snapshot alias, puis saisissez le nom d’alias.
6. (Facultatif) Pour définir le moment où OneFS doit supprimer automatiquement
le snapshot, spécifiez une période d’expiration.
a. Sélectionnez Snapshot Expires on.
b. Dans le calendrier, spécifiez le jour où vous souhaitez que le snapshot soit
automatiquement supprimé.
7. Cliquez sur le bouton Create a snapshot.

Modèles de dénomination des snapshots


Si vous planifiez la génération automatique de snapshots en fonction d’un planning de
snapshots ou d’une règle de réplication, vous devez définir un modèle de dénomination
qui détermine les noms attribués aux snapshots. Les modèles de dénomination des
snapshots contiennent des variables qui fournissent des informations sur la façon dont
le snapshot a été créé, et à quel moment.
Un modèle de dénomination des snapshots peut inclure les variables suivantes :

Variable Description
%A Jour de la semaine.

%a Abréviation du jour de la semaine. Par


exemple, si le snapshot est créé un dimanche,
%a est remplacé par Sun.

%B Nom du mois.

%b Abréviation du nom du mois. Par exemple, si le


snapshot est créé en septembre, %b est
remplacé par Sep.

%C Deux premiers chiffres de l’année. Par


exemple, si le snapshot est créé en 2014, %C
est remplacé par 20.

%c Heure et jour. Cette variable équivaut à %a


%b %e %T %Y.

%d Deux chiffres correspondant au jour du mois.

%e Jour du mois. Pour un jour à un seul chiffre,


celui-ci est précédé d’un espace.

%F Date. Cette variable équivaut à %Y-%m-%d.

%G Année. Cette variable équivaut à %Y.


Toutefois, si le snapshot est créé au cours
d’une semaine qui comporte moins de quatre
jours dans l’année en cours, l’année qui
contient la majorité des jours s’affiche. Le
premier jour de la semaine est le lundi. Par
exemple, si un snapshot est créé le dimanche

Modèles de dénomination des snapshots 287


Snapshots

Variable Description

1er janvier 2017, %G est remplacé par 2016,


car un seul jour de cette semaine se situe en
2017.

%g Abréviation de l’année. Cette variable


équivaut à %y. Toutefois, si le snapshot a été
créé au cours d’une semaine qui comporte
moins de quatre jours dans l’année en cours,
l’année qui contient la majorité des jours
s’affiche. Le premier jour de la semaine est le
lundi. Par exemple, si un snapshot est créé le
dimanche 1er janvier 2017, %g est remplacé
par 16, car un seul jour de cette semaine se
situe en 2017.

%H Heure. L’heure est représentée au format


24 heures. Pour une heure à un seul chiffre,
celui-ci est précédé d’un zéro. Par exemple, si
un snapshot est créé à 1h45, %H est remplacé
par 01.

%h Abréviation du nom du mois. Cette variable


équivaut à %b.

%I Heure au format 12 heures. Pour une heure à


un seul chiffre, celui-ci est précédé d’un zéro.
Par exemple, si un snapshot est créé à
1h45 PM, %I est remplacé par 01.

%j Numéro du jour dans l’année. Par exemple, si


un snapshot est créé le 1er février, %j est
remplacé par 32.

%k Heure au format 24 heures. Pour une heure à


un seul chiffre, celui-ci est précédé d’un
espace.

%l Heure au format 12 heures. Pour une heure à


un seul chiffre, celui-ci est précédé d’un
espace. Par exemple, si un snapshot est créé
à 1h45, %l est remplacé par 1.

%M Deux chiffres correspondant aux minutes.

%m Deux chiffres correspondant au mois.

%p AM ou PM.
%{PolicyName} Nom de la règle de réplication pour laquelle le
snapshot a été créé. Cette variable est valide
uniquement si vous spécifiez un modèle de
dénomination des snapshots pour une règle de
réplication.

%R Heure. Cette variable équivaut à %H:%M.

%r Heure. Cette variable équivaut à %I:%M:%S


%p.

288 OneFS 8.0.1 Guide d’administration Web


Snapshots

Variable Description
%S Deux chiffres correspondant aux secondes.

%s Secondes au format UNIX ou POSIX.

%{SrcCluster} Nom du cluster source de la règle de


réplication pour laquelle le snapshot a été
créé. Cette variable est valide uniquement si
vous spécifiez un modèle de dénomination des
snapshots pour une règle de réplication.

%T Heure. Cette variable équivaut à %H:%M:%S.

%U Numéro à deux chiffres de la semaine dans


l’année. Les numéros vont de 00 à 53. Le
premier jour de la semaine est le dimanche.

%u Numéro du jour de la semaine. Les numéros


vont de 1 à 7. Le premier jour de la semaine
est le lundi. Par exemple, si un snapshot est
créé un dimanche, %u est remplacé par 7.

%V Numéro à deux chiffres de la semaine de


création du snapshot. Les numéros vont de
01 à 53. Le premier jour de la semaine est le
lundi. Si la semaine du 1er janvier comporte
quatre jours ou plus, elle est considérée
comme la première semaine de l’année.

%v Jour de création du snapshot. Cette variable


équivaut à %e-%b-%Y.

%W Numéro à deux chiffres de la semaine de


création du snapshot. Les numéros vont de
00 à 53. Le premier jour de la semaine est le
lundi.

%w Numéro du jour de la semaine où le snapshot a


été créé. Les numéros vont de 0 à 6. Le
premier jour de la semaine est le dimanche.
Par exemple, si le snapshot a été créé un
dimanche, %w est remplacé par 0.

%X Heure de création du snapshot. Cette variable


équivaut à %H:%M:%S.

%Y Année de création du snapshot.

%y Deux derniers chiffres de l’année de création


du snapshot. Par exemple, si le snapshot a été
créé en 2014, %y est remplacé par 14.

%Z Fuseau horaire dans lequel le snapshot a été


créé.

%z Décalage par rapport à l’heure universelle


(UTC) du fuseau horaire dans lequel le
snapshot a été créé. S’il est précédé d’un
signe plus, le fuseau horaire est à l’est de

Modèles de dénomination des snapshots 289


Snapshots

Variable Description
l’UTC. S’il est précédé d’un signe moins, le
fuseau horaire est à l’ouest de l’UTC.

%+ Date et heure de création du snapshot. Cette


variable équivaut à %a %b %e %X %Z %Y.

%% Échappement du signe de pourcentage. Par


exemple, 100%% est remplacé par 100%.

Gestion des snapshots


Vous pouvez supprimer et afficher des snapshots. Vous pouvez également modifier le
nom, la durée et l’alias d’un snapshot existant. Toutefois, vous ne pouvez pas modifier
les données contenues dans un snapshot : celles-ci sont en lecture seule.

Réduction de l’utilisation de l’espace disque par les snapshots


Si plusieurs snapshots contiennent les mêmes répertoires, il est possible que la
suppression de l’un des snapshots ne libère pas tout l’espace correspondant à la taille
du snapshot signalée par le système. La taille d’un snapshot représente la quantité
maximale de données qui peuvent être libérées en cas de suppression du snapshot.
La suppression d’un snapshot libère uniquement l’espace utilisé exclusivement par ce
snapshot. Si deux snapshots font référence aux mêmes données stockées, celles-ci ne
sont pas libérées tant que les deux snapshots ne sont pas supprimés. N’oubliez pas
que les snapshots stockent les données contenues dans tous les sous-répertoires du
répertoire racine : si snapshot_one contient /ifs/data/ et que snapshot_two
contienne /ifs/data/dir, il est très probable que les deux snapshots partagent des
données.
Si vous supprimez, puis recréez un répertoire, un snapshot contenant le répertoire
stocke l’ensemble du répertoire recréé, même si les fichiers de ce répertoire ne sont
jamais modifiés.
La suppression de plusieurs snapshots qui contiennent les mêmes répertoires est plus
susceptible de libérer des données que la suppression de plusieurs snapshots qui
contiennent des répertoires différents.
Si plusieurs snapshots contiennent les mêmes répertoires, la suppression des
snapshots les plus anciens libère généralement plus d’espace disque que la
suppression des snapshots récents.
Les snapshots qui se voient attribuer des dates d’expiration sont automatiquement
marqués pour suppression par le processus de snapshot. Si ce processus est
désactivé, les snapshots ne sont pas automatiquement supprimés par le système. Il est
déconseillé de désactiver le processus de snapshot.

Supprimer des snapshots


Vous pouvez supprimer un snapshot si vous n’avez plus besoin d’accéder aux données
qu’il contient.
OneFS libère l’espace disque occupé par les snapshots supprimés lors de l’exécution
de la tâche SnapshotDelete. En outre, si vous supprimez un snapshot qui contient des
clones ou des fichiers clonés, il est possible que les données correspondantes d’une

290 OneFS 8.0.1 Guide d’administration Web


Snapshots

zone de stockage de clichés instantanés ne soient plus référencées par aucun fichier
du cluster. OneFS supprime ces données non référencées lors de l’exécution de la
tâche ShadowStoreDelete. OneFS exécute régulièrement les tâches
ShadowStoreDelete et SnapshotDelete. Cependant, vous pouvez également exécuter
manuellement ces tâches à tout moment.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshots.
2. Dans la liste des snapshots, sélectionnez le ou les snapshots que vous souhaitez
supprimer.
a. Dans la liste Select an action, sélectionnez Delete.
b. Dans la fenêtre de confirmation, cliquez sur Delete.
3. (Facultatif) Pour augmenter la vitesse à laquelle les données des snapshots
supprimés sont libérées sur le cluster, exécutez la tâche SnapshotDelete.
a. Cliquez sur Cluster Management > Job Operations > Job Types.
b. Dans la zone Job Types, recherchez SnapshotDelete, puis cliquez sur Start
Job.
La boîte de dialogue Start a Job s’affiche.
c. Cliquez sur Start Job.
4. (Facultatif) Pour augmenter la vitesse à laquelle les données supprimées
partagées entre les fichiers dédupliqués et clonés sont libérées sur le cluster,
exécutez la tâche ShadowStoreDelete.
Exécutez la tâche ShadowStoreDelete uniquement après avoir exécuté la tâche
SnapshotDelete.

a. Cliquez sur Cluster Management > Job Operations > Job Types.
b. Dans la zone Job Types, recherchez ShadowStoreDelete, puis cliquez sur
Start Job.
La boîte de dialogue Start a Job s’affiche.
c. Cliquez sur Start Job.

Modifier les attributs des snapshots


Vous pouvez modifier le nom et la date d’expiration d’un snapshot.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshots.
2. Dans la liste des snapshots, recherchez le snapshot que vous souhaitez
modifier, puis cliquez sur View/Edit.
La boîte de dialogue View Snapshot Details s’affiche.
3. Cliquez sur Edit.
La boîte de dialogue Edit Snapshot Details s’affiche.
4. Modifiez les attributs en fonction de vos besoins.
5. Cliquez sur Save Changes.

Modifier les attributs des snapshots 291


Snapshots

Attribuer un alias à un snapshot


Vous pouvez attribuer un alias à un snapshot.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshots.
2. Dans le tableau Snapshot Aliases, sur la ligne d’un alias, cliquez sur View/Edit.
3. Dans la zone Alias Name, cliquez sur Edit.
4. Dans le champ Alias Name, saisissez un nouveau nom d’alias.
5. Cliquez sur Save.

Afficher les snapshots


Vous pouvez afficher la liste des snapshots.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshots.
Les snapshots sont répertoriés dans le tableau Snapshots.

Informations sur le snapshot


Vous pouvez afficher des informations sur les snapshots, y compris la quantité totale
d’espace occupée par l’ensemble des snapshots.
Les informations suivantes s’affichent dans la zone Saved Snapshots :
Saved Snapshots
Indique le nombre total de snapshots qui existent sur le cluster.

Snapshots Pending Deletion


Indique le nombre total de snapshots qui ont été supprimés du cluster depuis la
dernière exécution de la tâche SnapshotDelete. L’espace occupé par les
snapshots supprimés n’est pas libéré tant que la tâche SnapshotDelete n’est pas
réexécutée.

Snapshot Aliases
Indique le nombre total d’alias de snapshot qui existent sur le cluster.

Capacity Used by Snapshots


Indique la quantité totale d’espace occupée par l’ensemble des snapshots.

Restauration des données des snapshots


Diverses méthodes permettent de restaurer les données des snapshots. Vous pouvez
rétablir un snapshot ou accéder aux données d’un snapshot via le répertoire de
snapshots.
À partir du répertoire de snapshots, vous pouvez cloner un fichier ou copier un
répertoire ou un fichier. Le répertoire de snapshots est accessible par le biais de
l’Explorateur Windows ou d’une ligne de commande UNIX. Vous pouvez désactiver et
activer l’accès au répertoire de snapshots pour chacune de ces méthodes en
définissant des paramètres de snapshot.

292 OneFS 8.0.1 Guide d’administration Web


Snapshots

Rétablir un snapshot
Vous pouvez rétablir un répertoire à l’état dans lequel il se trouvait au moment de la
création d’un snapshot. Avant de rétablir un snapshot, OneFS génère un snapshot du
répertoire concerné afin que les données stockées dans ce répertoire ne soient pas
perdues. OneFS ne supprime pas un snapshot après son rétablissement.
Avant de commencer
l Créez un domaine SnapRevert pour le répertoire.
l Créez un snapshot d’un répertoire.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
2. Dans le tableau Job Types, recherchez la tâche SnapRevert, puis cliquez sur
Start Job.
La boîte de dialogue Start a Job s’affiche.
3. (Facultatif) Pour spécifier une priorité pour la tâche, dans la liste Priority,
sélectionnez une priorité.
Plus les valeurs sont faibles, plus la priorité est élevée. Si vous ne spécifiez
aucune priorité, la priorité de rétablissement de snapshot par défaut est
attribuée à la tâche.

4. (Facultatif) Pour spécifier la quantité de ressources de cluster que la tâche est


autorisée à consommer, dans la liste Impact Policy, sélectionnez une règle
d’impact.
Si vous ne spécifiez aucune règle, la règle de rétablissement de snapshot par
défaut est attribuée à la tâche.

5. Dans le champ Snapshot ID to revert, saisissez le nom ou l’ID du snapshot à


rétablir, puis cliquez sur Start Job.

Restaurer un fichier ou un répertoire à l’aide de l’Explorateur Windows


Si le client Microsoft Shadow Copy est installé sur votre ordinateur, vous pouvez
l’utiliser pour restaurer les fichiers et les répertoires stockés dans des snapshots.
Cette méthode de restauration des fichiers et des répertoires ne conserve pas les
autorisations initiales. Elle attribue au fichier ou au répertoire les mêmes autorisations
que le répertoire dans lequel vous copiez ce fichier ou répertoire. Pour conserver les
autorisations lors de la restauration des données à partir d’un snapshot, exécutez la
commande cp avec l’option -a sur une ligne de commande UNIX.

Remarque

Vous pouvez accéder à jusqu’à 64 snapshots d’un répertoire via l’Explorateur


Windows, en commençant par le snapshot le plus récent. Pour accéder à plus de
64 snapshots d’un répertoire, accédez au cluster à partir de la ligne de commande
UNIX.

Procédure
1. Dans l’Explorateur Windows, accédez au répertoire à restaurer ou contenant le
fichier à restaurer.
Si le répertoire a été supprimé, vous devez le recréer.

Rétablir un snapshot 293


Snapshots

2. Cliquez avec le bouton droit de la souris sur le dossier, puis cliquez sur
Properties.
3. Dans la fenêtre Properties, cliquez sur l’onglet Previous Versions.
4. Sélectionnez la version du dossier à restaurer ou contenant la version du fichier
à restaurer.
5. Restaurez la version du fichier ou du répertoire.
l Pour restaurer tous les fichiers du répertoire sélectionné, cliquez sur
Restore.
l Pour copier le répertoire sélectionné vers un autre emplacement, cliquez sur
Copy, puis indiquez un emplacement vers lequel copier le répertoire.
l Pour restaurer un fichier spécifique, cliquez sur Open, puis copiez le fichier
dans le répertoire d’origine, en remplaçant la copie existante par la version
du snapshot.

Restaurer un fichier ou un répertoire à partir d’une ligne de commande UNIX


Vous pouvez restaurer un fichier ou un répertoire depuis un snapshot à partir d’une
ligne de commande UNIX.
Procédure
1. Ouvrez une connexion au cluster à partir d’une ligne de commande UNIX.
2. (Facultatif) Pour afficher le contenu du snapshot à partir duquel vous souhaitez
restaurer un fichier ou un répertoire, exécutez la commande ls pour un
répertoire présent dans le répertoire racine des snapshots.
Par exemple, la commande suivante affiche le contenu du répertoire /archive
de Snapshot2014Jun04 :

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. Copiez le fichier ou le répertoire à l’aide de la commande cp.


Par exemple, la commande suivante crée une copie du fichier file1 :

cp -a /ifs/.snapshot/Snapshot2014Jun04/archive/file1 \
/ifs/archive/file1_copy

Cloner un fichier à partir d’un snapshot


Vous pouvez cloner un fichier à partir d’un snapshot.

Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Pour afficher le contenu du snapshot à partir duquel vous souhaitez restaurer
un fichier ou un répertoire, exécutez la commande ls pour un sous-répertoire
du répertoire racine des snapshots.
Par exemple, la commande suivante affiche le contenu du répertoire /archive
de Snapshot2014Jun04 :

ls /ifs/.snapshot/Snapshot2014Jun04/archive

294 OneFS 8.0.1 Guide d’administration Web


Snapshots

3. Clonez un fichier à partir du snapshot en exécutant la commande cp avec


l’option -c.
Par exemple, la commande suivante clone test.txt à partir de
Snapshot2014Jun04 :

cp -c /ifs/.snapshot/Snapshot2014Jun04/archive/test.txt \
/ifs/archive/test_clone.text

Gestion des plannings de snapshots


Vous pouvez modifier, supprimer et afficher des plannings de snapshots.

Modifier un planning de snapshots


Toute modification apportée à un planning de snapshots est uniquement appliquée aux
snapshots générés après que ces modifications ont été effectuées. Les modifications
de planning n’affectent pas les snapshots existants.
Si vous modifiez l’alias de snapshot d’un planning de snapshots, l’alias est attribué au
prochain snapshot généré suivant le planning. Toutefois, l’ancien alias n’est pas
supprimé du dernier snapshot auquel il a été attribué. À moins que vous ne supprimiez
manuellement l’ancien alias, celui-ci reste rattaché au dernier snapshot auquel il a été
attribué.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshot Schedules.
2. Dans le tableau Schedules, recherchez le planning de snapshots que vous
souhaitez modifier, puis cliquez sur View/Edit.
La boîte de dialogue View Snapshot Schedule Details s’affiche.
3. Cliquez sur Edit.
La boîte de dialogue Edit Snapshot Schedule Details s’affiche.
4. Modifiez les attributs du planning de snapshots en fonction de vos besoins.
5. Cliquez sur Save Changes.

Supprimer un planning de snapshots


Vous pouvez supprimer un planning de snapshots. La suppression d’un planning de
snapshots ne supprime pas les snapshots qui ont été générés suivant ce planning.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshot Schedules.
2. Dans le tableau Schedules, recherchez le planning de snapshots que vous
souhaitez supprimer, puis cliquez sur Delete.
La boîte de dialogue Confirm Delete s’affiche.
3. Cliquez sur Delete.

Afficher les plannings de snapshots


Vous pouvez afficher les plannings de snapshots.

Gestion des plannings de snapshots 295


Snapshots

Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshot Schedules.
2. Dans le tableau Schedules, recherchez le planning de snapshots que vous
souhaitez afficher, puis cliquez sur View/Edit.

Gestion des alias de snapshot


Vous pouvez configurer les plannings de snapshots de façon à attribuer un alias au
snapshot le plus récent créé par le planning. Vous pouvez également attribuer
manuellement des alias à des snapshots spécifiques ou à la version active du système
de fichiers.

Configurer un alias de snapshot pour un planning de snapshots


Vous pouvez configurer un planning de snapshots de façon à attribuer un alias au
snapshot le plus récent créé par ce planning.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshot Schedules.
2. Dans le tableau Schedules, recherchez le planning de snapshots que vous
souhaitez configurer, puis cliquez sur View/Edit.
La boîte de dialogue View Snapshot Schedule Details s’affiche.
3. Cliquez sur Edit.
La boîte de dialogue Edit Snapshot Schedule Details s’affiche.
4. Sélectionnez Create a snapshot alias.
5. Dans le champ Snapshot Alias, saisissez le nom de l’alias de snapshot.
6. Cliquez sur Save Changes.

Attribuer un alias à un snapshot


Vous pouvez attribuer un alias à un snapshot.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshots.
2. Dans le tableau Snapshot Aliases, sur la ligne d’un alias, cliquez sur View/Edit.
3. Dans la zone Alias Name, cliquez sur Edit.
4. Dans le champ Alias Name, saisissez un nouveau nom d’alias.
5. Cliquez sur Save.

Réattribution d’un alias de snapshot au système de fichiers actif


Vous pouvez réattribuer un alias de snapshot de façon à rediriger les clients depuis un
snapshot vers le système de fichiers actif.
Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.

296 OneFS 8.0.1 Guide d’administration Web


Snapshots

2. Exécutez la commande isi snapshot aliases modify.


La commande suivante réattribue l’alias latestWeekly au système de fichiers
actif :

isi snapshot aliases modify latestWeekly --target LIVE

Afficher les alias de snapshot


Vous pouvez afficher la liste de tous les alias de snapshot.
Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Pour afficher la liste de tous les alias de snapshot, exécutez la commande
suivante :

isi snapshot aliases list

Si un alias de snapshot fait référence à la version active du système de fichiers,


le paramètre Target ID est défini sur -1.

3. (Facultatif) Pour afficher les informations relatives à un snapshot spécifique,


exécutez la commande isi snapshot aliases view.
La commande suivante affiche des informations sur latestWeekly :

isi snapshot aliases view latestWeekly

Informations relatives à l’alias de snapshot


Vous pouvez afficher des informations sur les alias de snapshot grâce au résultat de la
commande isi snapshot aliases view.
ID
ID numérique de l’alias de snapshot.

Name
Nom de l’alias de snapshot.

Target ID
ID numérique du snapshot référencé par l’alias.

Target Name
Nom du snapshot référencé par l’alias.

Created
Date de création de l’alias de snapshot.

Gestion des verrous de snapshot


Vous pouvez supprimer, créer et modifier la date d’expiration des verrous de snapshot.

Afficher les alias de snapshot 297


Snapshots

ATTENTION

Il est recommandé de ne pas créer, supprimer ni modifier les verrous de snapshot


à moins que le support technique Isilon ne vous y invite.

La suppression d’un verrou de snapshot créé par OneFS peut entraîner une perte de
données. Si vous supprimez un verrou de snapshot créé par OneFS, il est possible que
le snapshot correspondant soit supprimé alors qu’il est utilisé par OneFS. Si OneFS ne
peut pas accéder à un snapshot nécessaire à une opération, cette dernière ne
fonctionnera pas correctement et une perte de données est possible. La modification
de la date d’expiration d’un verrou de snapshot créé par OneFS peut également
entraîner une perte de données, dans la mesure où le snapshot correspondant peut
être supprimé prématurément.

Créer un verrou de snapshot


Vous pouvez créer des verrous de snapshot qui empêchent la suppression des
snapshots.
Bien qu’il soit possible d’éviter la suppression automatique d’un snapshot en créant un
verrou, il est recommandé de ne pas procéder de cette façon. Pour éviter la
suppression automatique d’un snapshot,mieux vaut augmenter la durée de celui-ci.
Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Créez un verrou de snapshot en exécutant la commande isi snapshot
locks create.
Par exemple, la commande suivante applique un verrou de snapshot à
SnapshotApril2016, définit un délai d’expiration d’un mois et ajoute une
description expliquant qu’il s’agit d’un verrou de maintenance :

isi snapshot locks create SnapshotApril2016 --expires 1M \


--comment "Maintenance Lock"

Modifier la date d’expiration d’un verrou de snapshot


Vous pouvez modifier la date d’expiration d’un verrou de snapshot.

ATTENTION

Il est recommandé de ne pas modifier les dates d’expiration des verrous de


snapshot.

Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Exécutez la commande isi snapshot locks modify.

298 OneFS 8.0.1 Guide d’administration Web


Snapshots

La commande suivante définit une date d’expiration deux jours après la date
actuelle pour un verrou de snapshot avec un ID de 1 appliqué à un snapshot
nommé SnapshotApril2014 :

isi snapshot locks modify SnapshotApril2014 1 --expires 2D

Supprimer un verrou de snapshot


Vous pouvez supprimer un verrou de snapshot.

ATTENTION

Il est recommandé de ne pas supprimer les verrous de snapshot.

Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Supprimez un verrou de snapshot en exécutant la commande isi snapshot
locks delete.
La commande suivante supprime le verrou de snapshot appliqué à
SnapshotApril2014 et possédant un ID de 1 :

isi snapshot locks delete Snapshot2014Apr16 1

Le système vous demande de confirmer la suppression du verrou de snapshot.


3. Saisissez yes et appuyez sur Entrée.

Informations sur les verrous de snapshot


Vous pouvez afficher les informations sur les verrous de snapshot à l’aide des
commandes isi snapshot locks view et isi snapshot locks list.
ID
Numéro d’identification numérique du verrou de snapshot.

Comment
Description du verrou de snapshot. Il peut s’agir de n’importe quelle chaîne
spécifiée par l’utilisateur.

Expires
Date à laquelle le verrou de snapshot sera automatiquement supprimé par OneFS.

Count
Nombre de fois où le verrou de snapshot est maintenu.
L’opération de clonage de fichiers peut maintenir plusieurs fois un même verrou
de snapshot. Si plusieurs clones de fichiers sont créés simultanément, l’opération
de clonage de fichiers conserve plusieurs fois le même verrou au lieu de créer
plusieurs verrous. Si vous supprimez un verrou de snapshot maintenu plusieurs
fois, vous effacez uniquement l’une des instances de ce verrou. Pour supprimer
un verrou de snapshot maintenu plusieurs fois, vous devez le supprimer le même
nombre de fois qu’indiqué dans le champ du compteur.

Supprimer un verrou de snapshot 299


Snapshots

Configurer les paramètres SnapshotIQ


Vous pouvez configurer les paramètres SnapshotIQ qui déterminent la façon dont les
snapshots peuvent être créés et les méthodes que les utilisateurs peuvent utiliser pour
accéder aux données des snapshots.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Settings.
2. Modifiez les paramètres SnapshotIQ, puis cliquez sur Save.

Paramètres SnapshotIQ
Les paramètres SnapshotIQ définissent la manière dont les snapshots se comportent
et l’accès aux snapshots.
Il est possible de configurer les paramètres SnapshotIQ suivants :
Snapshot Scheduling
Détermine si des snapshots peuvent être générés.

Remarque

La désactivation de la génération de snapshot peut provoquer l’échec de


certaines opérations OneFS. Il est recommandé de ne pas désactiver ce
paramètre.

Auto-create Snapshots
Détermine si les snapshots sont générés automatiquement en fonction des
plannings de snapshots.

Auto-delete Snapshots
Détermine si les snapshots sont supprimés automatiquement en fonction de
leur date d’expiration.

NFS Visibility & Accessibility


Root Directory Accessible
Détermine si les répertoires de snapshots sont accessibles via NFS.

Root Directory Visible


Détermine si les répertoires de snapshots sont visibles via NFS.

Sub-directories Accessible
Détermine si les sous-répertoires de snapshots sont accessibles via NFS.

SMB Visibility & Accessible


Root Directory Accessible
Détermine si les répertoires de snapshots sont accessibles via SMB.

Root Directory Visible


Détermine si les répertoires de snapshots sont visibles via SMB.

300 OneFS 8.0.1 Guide d’administration Web


Snapshots

Sub-directories Accessible
Détermine si les sous-répertoires de snapshots sont accessibles via SMB.

Local Visibility & Accessibility


Root Directory Accessible
Détermine si les répertoires de snapshots sont accessibles via le système de
fichiers local. Vous pouvez accéder au système de fichiers local via une
connexion SSH ou la console locale.

Root Directory Visible


Détermine si les répertoires de snapshots sont visibles via le système de
fichiers local. Vous pouvez accéder au système de fichiers local via une
connexion SSH ou la console locale.

Sub-directories Accessible
Détermine si les sous-répertoires de snapshots sont accessibles via le
système de fichiers local. Vous pouvez accéder au système de fichiers local
via une connexion SSH ou la console locale.

Définir un espace réservé aux snapshots


Vous pouvez spécifier un pourcentage minimal de la capacité de stockage du cluster
que vous souhaitez réserver aux snapshots.
L’espace réservé aux snapshots ne limite pas la quantité d’espace que les snapshots
sont autorisés à consommer sur le cluster. Les snapshots peuvent consommer
davantage que le pourcentage de capacité spécifié pour leur espace réservé. Il est
recommandé de ne pas définir d’espace réservé aux snapshots.
Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Définissez l’espace réservé aux snapshots en exécutant la commande isi
snapshot settings modify avec l’option --reserve.
Par exemple, la commande suivante définit l’espace réservé aux snapshots à
20 % :

isi snapshot settings modify --reserve 20

Gestion des listes de modifications


Vous pouvez créer et afficher des listes de modifications qui décrivent les différences
entre deux snapshots. Vous pouvez créer une liste de modifications pour deux
snapshots partageant un répertoire racine commun.
Le plus souvent, les applications accèdent aux listes de modifications via l’API de
plate-forme OneFS. Par exemple, une application personnalisée peut comparer
régulièrement les deux snapshots les plus récents d’un chemin de répertoire critique
afin de déterminer s’il faut sauvegarder le répertoire ou déclencher d’autres actions.

Définir un espace réservé aux snapshots 301


Snapshots

Créer une liste de modifications


Vous pouvez créer une liste de modifications pour afficher les différences entre deux
snapshots.
Procédure
1. (Facultatif) Notez les identifiants des snapshots.
a. Cliquez sur Data Protection > SnapshotIQ > Snapshots.
b. Sur la ligne de chaque snapshot pour lequel vous souhaitez créer une liste de
modifications, cliquez sur View Details, puis notez l’identifiant du snapshot.
2. Cliquez sur Cluster Management > Job Operations > Job Types.
3. Dans la zone Job Types, ligne ChangelistCreate, colonne Actions,
sélectionnez Start Job.
4. Dans le champ Older Snapshot ID, saisissez l’ID de l’ancien snapshot.
5. Dans le champ Newer Snapshot ID, saisissez l’ID du snapshot plus récent.
6. Cliquez sur Start Job.

Supprimer une liste de modifications


Vous pouvez supprimer une liste de modifications.
Procédure
1. Exécutez la commande isi_changelist_mod avec l’option -k.
La commande suivante supprime la liste de modifications 22_24 :

isi_changelist_mod -k 22_24

Afficher une liste de modifications


Vous pouvez afficher une liste de modifications décrivant les différences entre deux
snapshots. Cette procédure n’est disponible que via l’interface de ligne de
commande (CLI).
Procédure
1. Affichez les identifiants des listes de modifications en exécutant la commande
suivante :

isi_changelist_mod -l

Les identifiants de la liste de modifications incluent les identifiants des deux


snapshots utilisés pour la créer. Si OneFS est toujours en train de créer une liste
de modifications, le suffixe inprog est ajouté à l’identifiant de celle-ci.

2. (Facultatif) Affichez l’ensemble du contenu d’une liste de modifications en


exécutant la commande isi_changelist_mod avec l’option -a.

302 OneFS 8.0.1 Guide d’administration Web


Snapshots

La commande suivante affiche le contenu d’une liste de modifications nommée


2_6 :

isi_changelist_mod -a 2_6

Informations des listes de modifications


Vous pouvez afficher les informations contenues dans les listes de modifications.

Remarque

Les informations contenues dans les listes de modifications sont utilisées par les
applications via l’API de plate-forme OneFS.

Les informations suivantes s’affichent pour chaque élément de la liste de modifications


lorsque vous exécutez la commande isi_changelist_mod :
st_ino
Affiche le numéro d’inode de l’élément spécifié.

st_mode
Affiche le type de fichiers et les autorisations pour l’élément spécifié.

st_size
Affiche la taille totale de l’élément en octets.

st_atime
Affiche l’horodatage POSIX du dernier accès à l’élément.

st_mtime
Affiche l’horodatage POSIX de la dernière modification de l’élément.

st_ctime
Affiche l’horodatage POSIX du dernier changement d’état de l’élément.

cl_flags
Affiche des informations sur l’élément et sur les types de modifications qui lui ont
été apportées.
01
L’élément a été ajouté ou déplacé sous le répertoire racine des snapshots.

02
L’élément a été supprimé ou déplacé hors du répertoire racine des snapshots.

04
Le chemin d’accès de l’élément a été modifié sans que celui-ci soit supprimé
du répertoire racine du snapshot.

10
L’élément contient actuellement ou a contenu d’autres flux de données
(ADS).

20
L’élément est un ADS.

Informations des listes de modifications 303


Snapshots

40
L’élément comporte des liens matériels.

Remarque

Ces valeurs sont additionnées dans la sortie. Par exemple, si un ADS a été ajouté,
le code est cl_flags=021.

path
Chemin absolu du fichier ou répertoire spécifié.

304 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 14
Déduplication avec SmartDedupe

Cette section traite des sujets suivants :

l Présentation de la déduplication...................................................................... 306


l Tâches de déduplication...................................................................................306
l Réplication et sauvegarde des données avec déduplication..............................307
l Snapshots avec déduplication.......................................................................... 308
l Considérations relatives à la déduplication....................................................... 308
l Considérations relatives aux zones de stockage de clichés instantanés........... 309
l Fonctions sous licence SmartDedupe............................................................... 310
l Gestion de la déduplication............................................................................... 310

Déduplication avec SmartDedupe 305


Déduplication avec SmartDedupe

Présentation de la déduplication
SmartDedupe vous permet de limiter l’espace de stockage requis sur le cluster en
réduisant les données redondantes. La déduplication optimise l’efficacité du cluster en
diminuant l’espace nécessaire au stockage de plusieurs fichiers présentant des blocs
identiques.
Le module logiciel SmartDedupe assure la déduplication des données en analysant un
cluster Isilon afin de rechercher les blocs de données identiques. La taille de chaque
bloc est de 8 Ko. Si SmartDedupe détecte des doublons, il déplace une seule copie des
blocs vers un fichier masqué appelé « zone de stockage en miroir ». SmartDedupe
supprime ensuite les blocs en double des fichiers d’origine et les remplace par des
pointeurs vers la zone de stockage en miroir.
La déduplication est appliquée au niveau des répertoires et cible tous les fichiers et
dossiers situés sous un ou plusieurs répertoires racines. SmartDedupe déduplique non
seulement les blocs identiques dans des fichiers différents, mais également les blocs
identiques au sein d’un même fichier.
Vous pouvez commencer par évaluer un répertoire afin de déterminer la quantité
d’espace que vous pouvez espérer gagner grâce à la déduplication. Vous pouvez
ensuite décider de dédupliquer ou non le répertoire. Une fois que vous avez commencé
à dédupliquer un répertoire, vous pouvez surveiller en temps réel la quantité d’espace
gagnée grâce à la déduplication.
Pour permettre la déduplication de deux fichiers ou plus, ces derniers doivent être
associés au même ID de règle de pool de disques et à la même règle de protection. Si
au moins l’un de ces attributs varie entre plusieurs fichiers identiques, ou entre des
fichiers comportant des blocs de 8 Ko identiques, les fichiers ne sont pas dédupliqués.
Puisqu’il est possible de spécifier des règles de protection en fonction du fichier ou en
fonction du répertoire, cela peut affecter la déduplication. Prenons l’exemple de deux
fichiers, /ifs/data/projects/alpha/logo.jpg et /ifs/data/projects/
beta/logo.jpg. Bien que les fichiers logo.jpg contenus dans les deux répertoires
soient identiques, ils ne seront pas dédupliqués s'ils ne disposent pas de la même règle
de protection.
En outre, si vous avez activé une licence SmartPools sur votre cluster, vous pouvez
spécifier des règles de pool de fichiers personnalisées. Ces règles peuvent forcer le
stockage de fichiers identiques ou contenant des blocs de 8 Ko identiques dans des
pools de nœuds différents. Dans ce cas, ces fichiers seraient associés à des ID de
règle de pool de disques différents et ne seraient pas dédupliqués.
De même, SmartDedupe ne déduplique pas les fichiers de 32 Ko ou moins, car cela
consommerait trop de ressources de cluster par rapport au gain d’espace de stockage.
La taille par défaut d’une zone de stockage de clichés instantanés est de 2 Go. Chaque
zone de stockage de clichés instantanés peut contenir jusqu’à 256 000 blocs. Chacun
de ces blocs peut être référencé jusqu’à 32 000 fois.

Tâches de déduplication
La déduplication s’effectue par le biais d’une tâche de maintenance système appelée
tâche de déduplication. Vous pouvez surveiller et contrôler les tâches de déduplication
de la même manière que n’importe quelle autre tâche de maintenance sur le cluster.
Bien que l’impact de la déduplication sur les performances globales soit très limité, la
tâche de déduplication consomme 400 Mo de mémoire par nœud.

306 OneFS 8.0.1 Guide d’administration Web


Déduplication avec SmartDedupe

Lorsqu’une tâche de déduplication s’exécute pour la première fois sur un cluster,


SmartDedupe prélève des échantillons des blocs de chaque fichier et crée des entrées
d’index pour ces blocs. Si les entrées d’index de deux blocs sont identiques,
SmartDedupe analyse les blocs adjacents à cette paire de blocs, puis déduplique tous
les blocs en double. Dès lors qu’une tâche de déduplication a échantillonné un fichier,
ce dernier ne sera pas échantillonné par les nouvelles tâches de déduplication tant qu’il
n’aura pas été modifié.
La première tâche de déduplication que vous exécutez peut prendre beaucoup plus de
temps que les tâches de déduplication suivantes. La première tâche de déduplication
doit analyser tous les fichiers des répertoires spécifiés afin de générer l’index initial. Si
les tâches de déduplication suivantes prennent beaucoup de temps, cela signifie
probablement que la déduplication porte sur un grand nombre de données. Toutefois,
cela peut également indiquer que les utilisateurs stockent une quantité importante de
nouvelles données sur le cluster. Si une tâche de déduplication a été interrompue au
cours du processus de déduplication, elle redémarrera automatiquement le processus
d’analyse au point où elle a été interrompue.

Remarque

Vous devez exécuter les tâches de déduplication lorsque les utilisateurs n’apportent
aucune modification aux données sur le cluster. Si les utilisateurs modifient en
permanence les fichiers du cluster, la quantité d’espace économisée grâce à la
déduplication est minime, car les blocs dédupliqués sont constamment supprimés de la
zone de stockage de clichés instantanés.

La fréquence à laquelle vous devez exécuter une tâche de déduplication sur votre
cluster Isilon varie en fonction de la taille de votre Dataset, du taux de modifications et
des opportunités. Pour la plupart des clusters, il est recommandé de démarrer une
tâche de déduplication tous les sept à dix jours. Vous pouvez démarrer une tâche de
déduplication manuellement ou planifier une tâche récurrente à des intervalles définis.
Par défaut, la tâche de déduplication est configurée pour s’exécuter à un faible niveau
de priorité. Toutefois, vous pouvez spécifier des contrôles de tâche (priorité et
impact, par exemple) sur les tâches de déduplication exécutées manuellement ou de
façon planifiée.
Les autorisations requises pour modifier les paramètres de déduplication ne sont pas
les mêmes que celles requises pour exécuter une tâche de déduplication. Même si un
utilisateur doit disposer d’une autorisation de tâche de maintenance pour exécuter une
tâche de déduplication, il doit disposer de l’autorisation de déduplication pour pouvoir
modifier les paramètres de déduplication. Par défaut, l’utilisateur root et l’utilisateur
SystemAdmin disposent des autorisations nécessaires pour toutes les opérations de
déduplication.

Réplication et sauvegarde des données avec déduplication


Lorsque des fichiers dédupliqués sont répliqués sur un autre cluster Isilon ou
sauvegardés sur une unité de bande, ils ne partagent plus de blocs sur le cluster Isilon
ou le périphérique de sauvegarde cible. Cependant, bien que vous puissiez dédupliquer
des données sur un cluster Isilon cible, vous ne pouvez pas le faire sur un périphérique
de sauvegarde NDMP.
Les zones de stockage de clichés instantanés ne sont pas transférées vers les clusters
cibles ou les périphériques de sauvegarde. Pour cette raison, les fichiers dédupliqués
ne consomment pas moins d’espace que les fichiers non dédupliqués lorsqu’ils sont
répliqués ou sauvegardés. Afin d’éviter d’être à court d’espace, vous devez vous
assurer que les clusters et unités de bande cibles possèdent suffisamment d’espace

Réplication et sauvegarde des données avec déduplication 307


Déduplication avec SmartDedupe

disponible pour stocker les données dédupliquées comme si elles n’avaient pas été
dédupliquées. Pour réduire la quantité d’espace de stockage consommée sur un
cluster Isilon cible, vous pouvez configurer la déduplication pour les répertoires cibles
de vos règles de réplication. Cela a pour effet de dédupliquer les données sur le
répertoire cible, mais ne permet pas à SyncIQ de transférer les zones de stockage de
clichés instantanés. La déduplication est toujours effectuée par le biais de tâches de
déduplication qui s’exécutent sur le cluster cible.
La quantité de ressources de cluster requise pour sauvegarder et répliquer les données
dédupliquées est la même que pour les données non dédupliquées. Vous pouvez
dédupliquer les données pendant les opérations de réplication ou de sauvegarde.

Snapshots avec déduplication


Vous ne pouvez pas dédupliquer les données stockées dans un snapshot. En revanche,
vous pouvez créer des snapshots des données dédupliquées.
Si vous créez un snapshot pour un répertoire dédupliqué et modifiez ensuite le
contenu de ce répertoire, les références aux zones de stockage de clichés instantanés
seront transférées au snapshot au fil du temps. Par conséquent, si vous activez la
déduplication avant de créer des snapshots, vous gagnez plus d’espace sur le cluster.
Si vous implémentez la déduplication sur un cluster qui possède déjà une grande
quantité de données stockées dans des snapshots, celles-ci ne seront pas affectées
par la déduplication avant longtemps. Les snapshots nouvellement créés peuvent
contenir des données dédupliquées, mais pas ceux créés avant l’implémentation de la
déduplication.
Si vous prévoyez de rétablir un snapshot, il est préférable de le faire avant d’exécuter
une tâche de déduplication. La restauration d’un snapshot peut remplacer une grande
partie des fichiers résidant sur le cluster. Tous les fichiers dédupliqués redeviennent
des fichiers normaux s’ils sont remplacés lors du rétablissement d’un snapshot. Mais
une fois le snapshot rétabli, vous pouvez dédupliquer le répertoire et maintenir les
gains d’espace sur le cluster.

Considérations relatives à la déduplication


La déduplication augmente considérablement l’efficacité du stockage des données.
Toutefois, ses effets varient en fonction du cluster.
Vous pouvez réduire la redondance sur un cluster en exécutant SmartDedupe. La
déduplication crée des liens qui peuvent avoir une incidence sur la vitesse de lecture et
d’écriture des fichiers. En particulier, la lecture séquentielle de fragments de moins de
512 Ko d’un fichier dédupliqué peut être nettement plus lente que la lecture des
mêmes petits fragments séquentiels d’un fichier non dédupliqué. Cette dégradation
des performances s’applique uniquement si vous lisez des données non mises en
cache. Pour les données mises en cache, les performances des fichiers dédupliqués
sont potentiellement meilleures que celles des fichiers non dédupliqués. Si vous
transférez des fragments de plus de 512 Ko, la déduplication a peu d’impact sur les
performances de lecture du fichier. Si vous prévoyez de diffuser 8 Ko ou moins de
chaque fichier à la fois et n’envisagez pas une diffusion simultanée des fichiers, il est
recommandé de ne pas les dédupliquer.
La déduplication est plus efficace lorsqu’elle est appliquée à des fichiers et des
répertoires statiques ou archivés. Moins les fichiers sont modifiés, moins la
déduplication a un effet négatif sur le cluster. Par exemple, les machines virtuelles
contiennent souvent plusieurs copies de fichiers identiques rarement modifiés. La

308 OneFS 8.0.1 Guide d’administration Web


Déduplication avec SmartDedupe

déduplication d’un grand nombre de machines virtuelles réduit considérablement


l’espace de stockage consommé.

Considérations relatives aux zones de stockage de clichés


instantanés
Les zones de stockage de clichés instantanés sont des fichiers masqués auxquels font
référence les fichiers clonés et dédupliqués. Les fichiers qui font référence à des
zones de stockage de clichés instantanés ont un comportement différent des autres
fichiers.
l La lecture des références aux zones de stockage de clichés instantanés peut
prendre plus de temps que la lecture directe des données. Plus précisément, la
lecture des références non mises en cache est plus lente que la lecture des
données non mises en cache. La lecture des références mises en cache ne prend
pas plus de temps que la lecture des données mises en cache.
l Lorsque des fichiers qui font référence à des zones de stockage de clichés
instantanés sont répliqués vers un autre cluster Isilon ou sauvegardés sur un
périphérique de sauvegarde NDMP, les zones de stockage de clichés instantanés
ne sont pas transférées vers le cluster Isilon ou le périphérique de sauvegarde
cible. Les fichiers sont transférés comme s’ils contenaient les données auxquelles
ils font référence dans les zones de stockage de clichés instantanés. Sur le cluster
Isilon ou le périphérique de sauvegarde cible, les fichiers occupent la même
quantité d’espace que s’ils ne faisaient pas référence à des zones de stockage de
clichés instantanés.
l Lorsque OneFS crée une zone de stockage de clichés instantanés, il l’attribue au
pool de stockage d’un fichier qui fait référence à cette zone de stockage. Si vous
supprimez le pool de stockage sur lequel réside une zone de stockage de clichés
instantanés, celle-ci est déplacée vers un pool occupé par un autre fichier qui fait
référence à cette zone de stockage.
l OneFS ne supprime pas un bloc de la zone de stockage de clichés instantanés
immédiatement après la suppression de la dernière référence à ce bloc. Au lieu de
cela, il attend l’exécution de la tâche ShadowStoreDelete pour supprimer le bloc
non référencé. Si un grand nombre de blocs non référencés existent sur le cluster,
OneFS peut signaler des gains de déduplication négatifs jusqu’à ce que la tâche
ShadowStoreDelete soit exécutée.
l Les zones de stockage de clichés instantanés sont protégées au moins autant que
le fichier le plus protégé auquel elles font référence. Par exemple, si un fichier qui
fait référence à une zone de stockage de clichés instantanés réside dans un pool
de stockage protégé au niveau +2 et qu’un autre fichier qui y fait référence réside
dans un pool de stockage protégé au niveau +3, la zone de stockage de clichés
instantanés est protégée au niveau +3.
l Les quotas comptabilisent les fichiers qui font référence à des zones de stockage
de clichés instantanés comme s’ils contenaient les données référencées ; du point
de vue des quotas, les références aux zones de stockage de clichés instantanés
n’existent pas. Toutefois, si un quota inclut l’espace dédié à la protection des
données, il ne tient pas compte de celui associé aux zones de stockage de clichés
instantanés.

Considérations relatives aux zones de stockage de clichés instantanés 309


Déduplication avec SmartDedupe

Fonctions sous licence SmartDedupe


Vous ne pouvez dédupliquer des données que si vous activez une licence
SmartDedupe sur le cluster. Toutefois, vous pouvez évaluer les économies réalisables
grâce à la déduplication sans avoir à activer une licence SmartDedupe.
Si vous activez une licence SmartDedupe, puis procédez à une déduplication des
données, les économies d’espace ne sont pas perdues si la licence devient inactive.
Vous pouvez également consulter les économies réalisables grâce à la déduplication
alors que la licence est inactive. Cependant, vous ne pouvez pas dédupliquer d’autres
données tant que vous n’avez pas réactivé la licence SmartDedupe.

Gestion de la déduplication
Vous pouvez gérer la déduplication sur un cluster en évaluant d’abord la quantité
d’espace que vous pouvez économiser en dédupliquant des répertoires individuels.
Après avoir identifié les répertoires qui valent la peine d’être dédupliqués, vous pouvez
configurer SmartDedupe pour dédupliquer ces répertoires exclusivement. Vous pouvez
ensuite contrôler le gain réel d’espace disque réalisé.

Évaluer les gains d’espace apportés par la déduplication


Vous pouvez évaluer la quantité d’espace disque que vous économiserez en
dédupliquant un dossier.
Procédure
1. Cliquez sur File System > Deduplication > Settings.
2. Dans la zone Assess Deduplication, cliquez sur Browse, puis sélectionnez le
répertoire que vous souhaitez dédupliquer.
Si vous évaluez plusieurs répertoires, les gains d’espace disque ne sont pas
différenciés en fonction du répertoire dans le rapport de déduplication.

3. Cliquez sur Save pour enregistrer les paramètres de déduplication.


4. Cliquez sur Cluster Management > Job Operations > Job Types.
5. Dans le tableau Job Types, recherchez la tâche DedupeAssessment, puis
cliquez sur Start Job.
La boîte de dialogue Start a Job s’affiche.
6. Cliquez sur Start Job.
7. Cliquez sur Cluster Management > Job Operations > Job Summary.
Les tâches actives s’affichent dans la liste Active Jobs.
8. Attendez la fin de la tâche d’évaluation.
Lorsque la tâche DedupeAssessment est terminée, elle est supprimée de la liste
Active Jobs.
9. Cliquez sur File System > Deduplication > Summary.
Dans la zone Deduplication Assessment Reports, sur la ligne de la tâche
d’évaluation la plus récente, cliquez sur View Report.
10. Prenez connaissance du gain d’espace disque que vous obtiendrez en
dédupliquant le répertoire.

310 OneFS 8.0.1 Guide d’administration Web


Déduplication avec SmartDedupe

Le nombre de blocs qui seront dédupliqués apparaît dans le champ Deduped


blocks.

Spécifier les paramètres de déduplication


Vous pouvez spécifier les répertoires que vous souhaitez dédupliquer.
Procédure
1. Cliquez sur File System > Deduplication > Settings.
2. Dans la zone Deduplication Settings, cliquez sur Browse, puis sélectionnez le
répertoire que vous souhaitez dédupliquer.
3. (Facultatif) Spécifiez des répertoires supplémentaires.
a. Cliquez sur Add another directory path.
b. Cliquez sur Browse, puis sélectionnez un répertoire à dédupliquer.
4. Cliquez sur Save Changes.

Démarrer ou planifier une tâche de déduplication


Vous pouvez démarrer manuellement une tâche de déduplication ou spécifier un
planning de répétition pour exécuter automatiquement la tâche.
Il est recommandé d’exécuter la tâche Dedupe tous les 10 jours. La première
déduplication que vous exécutez sur le cluster peut prendre beaucoup plus de temps
que les tâches de déduplication suivantes.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
2. Dans la liste Job Types, recherchez la tâche Dedupe, puis cliquez sur View/
Edit.
La boîte de dialogue View Job Type Details s’affiche.
3. Cliquez sur Edit Job Type.
La boîte de dialogue Edit Job Type Details s’affiche.
4. Spécifiez les contrôles de tâche comme suit :

Option Description
Enable this Permet d’activer ce type de tâches.
job type
Default Permet de définir la priorité de la tâche par rapport aux autres
Priority tâches de maintenance du système qui s’exécutent en même
temps. La priorité de la tâche est représentée par un chiffre
allant de 1 à 10, 1 étant la priorité la plus élevée et 10 la priorité la
plus faible. La valeur par défaut est 4.
Default Permet de sélectionner la quantité de ressources système
Impact utilisées par la tâche par rapport aux autres tâches de
Policy maintenance du système qui s’exécutent en même temps.
Sélectionnez la valeur de règle HIGH, MEDIUM, LOW ou OFF-
HOURS. La valeur par défaut est LOW.
Planning Permet de spécifier si la tâche doit être démarrée manuellement
ou si elle doit s’exécuter à intervalles réguliers selon un planning.

Spécifier les paramètres de déduplication 311


Déduplication avec SmartDedupe

Option Description
Lorsque vous cliquez sur Scheduled, vous pouvez spécifier un
planning quotidien, hebdomadaire, mensuel ou annuel. Pour la
plupart des clusters, il est recommandé d’exécuter la tâche
Dedupe tous les 10 jours.

5. Cliquez sur Save Changes, puis sur Close.


Les nouveaux contrôles de tâche sont enregistrés et la boîte de dialogue se
ferme.
6. Cliquez sur Start Job.
Résultats
La tâche de déduplication s’exécute avec les nouveaux contrôles.

Afficher les gains d’espace résultant de la déduplication


Vous pouvez afficher la quantité d’espace disque que vous économisez actuellement
grâce à la déduplication.
Procédure
1. Cliquez sur File System > Deduplication > Summary.
2. Dans la zone Deduplication Savings, la quantité d’espace disque économisée
est indiquée.

Afficher un rapport de déduplication


Une fois qu’une tâche de déduplication est terminée, vous pouvez afficher des
informations sur la tâche dans un rapport de déduplication.
Procédure
1. Cliquez sur File System > Deduplication > Summary.
2. Dans la section Deduplication Reports ou Deduplication Assessment Reports,
recherchez le rapport que vous souhaitez afficher, puis cliquez sur View
Report.

Informations du rapport de tâches de déduplication


Vous pouvez afficher les informations suivantes relatives à la déduplication dans les
rapports de tâches de déduplication :
Start time
Heure de début de la tâche de déduplication.

End time
Heure de fin de la tâche de déduplication.

Iteration Count
Nombre de fois où SmartDedupe a interrompu le processus d’échantillonnage. Si
SmartDedupe prélève des échantillons de grandes quantités de données, il peut
interrompre l’échantillonnage pour commencer la déduplication des données. Une
fois que SmartDedupe a terminé de dédupliquer les données échantillonnées, il
poursuit l’échantillonnage des données restantes.

312 OneFS 8.0.1 Guide d’administration Web


Déduplication avec SmartDedupe

Scanned blocks
Nombre total de blocs situés sous les répertoires dédupliqués spécifiés.

Sampled blocks
Nombre de blocs pour lesquels SmartDedupe a créé des entrées d’index.

Deduped blocks
Nombre de blocs qui ont été dédupliqués.

Dedupe percent
Pourcentage de blocs analysés qui ont été dédupliqués.

Created dedupe requests


Nombre total de demandes de déduplication créées. Une demande de
déduplication est créée pour chaque paire de blocs de données identiques. Par
exemple, si 3 blocs de données correspondent, SmartDedupe crée 2 demandes.
L’une des demandes peut concerner la paire file1 et file2, et l’autre la paire file2 et
file3.

Successful dedupe requests


Nombre de demandes de déduplication ayant abouti.
Failed dedupe requests
Nombre de demandes de déduplication ayant échoué. L’échec d’une demande de
déduplication ne signifie pas nécessairement que la tâche elle-même a échoué.
Une demande de déduplication peut échouer pour de nombreuses raisons. Par
exemple, le fichier a peut-être été modifié depuis son échantillonnage.

Skipped files
Nombre de fichiers qui n’ont pas été analysés par la tâche de déduplication.
SmartDedupe ignore les fichiers pour un certain nombre de raisons. Par exemple,
il ignore les fichiers qui ont déjà été analysés et qui n’ont pas été modifiés depuis.
SmartDedupe ignore également tous les fichiers dont la taille est inférieure à 4 Ko.

Index entries
Nombre d’entrées existant actuellement dans l’index.

Index lookup attempts


Nombre total de recherches effectuées par les tâches de déduplication plus
anciennes ainsi que par la présente tâche de déduplication. On parle de recherche
lorsque la tâche de déduplication tente de faire correspondre un bloc indexé avec
un bloc qui n’a pas été indexé.

Index lookup hits


Nombre de blocs correspondant à des entrées d’index.

Informations relatives à la déduplication


Vous pouvez afficher la quantité d’espace disque gagnée par la déduplication dans la
zone Deduplication Savings :
Space Savings
Quantité totale d’espace disque physique gagnée par la déduplication, y compris
la capacité dédiée à la protection et les métadonnées. Par exemple, si vous avez
trois fichiers identiques de 5 Go, l’économie physique estimée est supérieure à

Informations relatives à la déduplication 313


Déduplication avec SmartDedupe

10 Go, car la déduplication économise l’espace qui aurait été occupé par les
métadonnées des fichiers et la capacité dédiée à la protection.

Deduplicated data
Quantité d’espace occupée sur le cluster par les répertoires qui ont été
dédupliqués.

Other data
Quantité d’espace occupée sur le cluster par les répertoires qui n’ont pas été
dédupliqués.

314 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 15
Réplication des données avec SyncIQ

Cette section traite des sujets suivants :

l Tour d’horizon de la fonction de réplication des données SyncIQ..................... 316


l Règles et tâches de réplication......................................................................... 316
l Snapshots de réplication.................................................................................. 323
l Basculement sur incident et retour arrière des données avec SyncIQ.............. 324
l Objectifs et temps de restauration de SyncIQ.................................................. 327
l Priorité des règles de réplication...................................................................... 328
l Fonctions sous licence SyncIQ......................................................................... 329
l Création de règles de réplication...................................................................... 329
l Gestion de la réplication sur des clusters distants.............................................341
l Démarrage du basculement sur incident et du retour arrière des données avec
SyncIQ............................................................................................................. 343
l Reprise après sinistre pour les répertoires SmartLock plus anciens..................345
l Gestion des règles de réplication......................................................................348
l Gestion de la réplication vers le cluster local.................................................... 353
l Gestion des règles de performances pour la réplication................................... 355
l Gestion des rapports de réplication.................................................................. 357
l Gestion des tâches de réplication ayant échoué...............................................359

Réplication des données avec SyncIQ 315


Réplication des données avec SyncIQ

Tour d’horizon de la fonction de réplication des données


SyncIQ
OneFS vous permet de répliquer des données d’un cluster Isilon vers un autre à l’aide
du module logiciel SyncIQ. Vous devez activer une licence SyncIQ sur les deux clusters
Isilon pour pouvoir répliquer des données entre eux.
Vous pouvez répliquer des données au niveau des répertoires en excluant
éventuellement certains fichiers et sous-répertoires spécifiques. SyncIQ crée et
référence des snapshots pour répliquer une image cohérente d’un répertoire source à
un point dans le temps. Les métadonnées, notamment les listes de contrôle d’accès
(ACL) et autres flux de données (ADS), sont répliquées avec les données.
SyncIQ vous permet de conserver un réplica cohérent de vos données sur un autre
cluster Isilon et de contrôler la fréquence de réplication des données. Par exemple,
vous pouvez configurer SyncIQ pour sauvegarder les données de votre cluster
principal vers un cluster secondaire une fois par jour à 22h00. Selon la taille de votre
Dataset, la première opération de réplication peut prendre beaucoup de temps. En
revanche, les opérations de réplication suivantes se déroulent plus rapidement.
SyncIQ offre également des fonctions automatisées de basculement et de retour
arrière qui vous permettent d’assurer la continuité des opérations sur le cluster Isilon
secondaire si le cluster principal devient indisponible.

Accès à SyncIQ avec IsilonSD Edge


Le module logiciel SyncIQ est disponible uniquement avec une licence IsilonSD Edge
payante. Il n’est pas fourni avec la licence gratuite de ce produit. Par conséquent, vous
devez acheter une licence IsilonSD Edge pour accéder aux fonctions de sauvegarde et
de réplication de SyncIQ.

Règles et tâches de réplication


La réplication des données est coordonnée en fonction de règles et de tâches de
réplication. Les règles de réplication spécifient quelles données sont répliquées, où
elles le sont et à quelle fréquence. Les tâches de réplication sont les opérations qui
répliquent les données d’un cluster Isilon sur un autre. SyncIQ génère des tâches de
réplication en fonction des règles de réplication.
Une règle de réplication spécifie deux clusters : le cluster source et le cluster cible. Le
cluster sur lequel la règle de réplication existe est le cluster source. Le cluster sur
lequel les données sont répliquées est le cluster cible. Lorsqu’une règle de réplication
démarre, SyncIQ génère une tâche de réplication pour cette règle. Lorsqu’une tâche
de réplication est en cours d’exécution, les fichiers d’une arborescence de répertoire
du cluster source sont répliqués dans une arborescence de répertoire du cluster cible.
Ces arborescences de répertoires sont appelées répertoire source et répertoire cible.
Une fois que la première tâche de réplication créée par une règle de réplication est
terminée, le répertoire cible et tous les fichiers qu’il contient sont définis en lecture
seule et ne peuvent être modifiés que par d’autres tâches de réplication appartenant à
la même règle de réplication. Nous vous recommandons de ne pas créer plus de
1 000 règles sur un cluster.

316 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Remarque

Afin d’empêcher toute erreur d’autorisation, vérifiez que les paramètres des règles
ACL sont les mêmes sur les clusters source et cible.

Vous pouvez créer deux types de règles de réplication : les règles de synchronisation
et les règles de copie. Une règle de synchronisation conserve un réplica exact du
répertoire source sur le cluster cible. Si un fichier ou un sous-répertoire est supprimé
du répertoire source, il est également supprimé du cluster cible à la prochaine
exécution de la règle.
Vous pouvez utiliser des règles de synchronisation pour effectuer le basculement sur
incident et le retour arrière des données entre les clusters source et cible. Lorsqu’un
cluster source devient indisponible, vous pouvez basculer les données sur un cluster
cible et les mettre à la disposition des clients. Une fois que le cluster source est à
nouveau disponible, vous pouvez effectuer un retour arrière des données vers celui-ci.
Une règle de copie conserve des versions récentes des fichiers stockés sur le cluster
source. Cependant, les fichiers supprimés du cluster source ne sont pas supprimés du
cluster cible. Le retour arrière n’est pas pris en charge pour les règles de copie. Celles-
ci sont généralement utilisées à des fins d’archivage.
Les règles de copie vous permettent de supprimer des fichiers du cluster source sans
les perdre sur le cluster cible. La suppression de fichiers sur le cluster source améliore
les performances de ce dernier tout en permettant de conserver les fichiers supprimés
sur le cluster cible. Cela est utile si, par exemple, votre cluster source est utilisé pour la
production et votre cluster cible est utilisé uniquement pour l’archivage.
Après avoir créé une tâche pour une règle de réplication, SyncIQ doit attendre que
cette tâche se termine avant d’en créer une nouvelle pour cette même règle. Il n’y a
aucune limite au nombre de règles de réplication pouvant exister sur un cluster à un
moment donné. Toutefois, 50 tâches de réplication maximum peuvent s’exécuter en
même temps sur un cluster source. Si plus de 50 tâches de réplication existent sur un
cluster, les 50 premières tâches s’exécutent, tandis que les autres sont mises en file
d’attente.
Il n’existe aucune limite quant au nombre de tâches de réplication pouvant être
simultanément prises en charge par un cluster cible. Toutefois, étant donné qu’un plus
grand nombre de tâches de réplication consomme davantage de ressources de cluster,
la réplication aura tendance à ralentir à mesure que des tâches simultanées sont
ajoutées.
Lorsqu’une tâche de réplication est en cours d’exécution, OneFS génère des unités de
travail sur le cluster source et le cluster cible. Les opérateurs du cluster source lisent
et envoient des données, tandis que ceux du cluster cible écrivent des données.
OneFS ne génère pas plus de 8 unités de travail par nœud et par tâche de réplication.
Par exemple, dans un cluster de cinq nœuds, OneFS ne créera pas plus de 40 unités de
travail pour une tâche de réplication.
Vous pouvez répliquer un nombre illimité de fichiers et de répertoires avec une seule
tâche de réplication. Vous pouvez empêcher une tâche de réplication volumineuse de
surcharger le système en limitant la quantité de ressources du cluster et de bande
passante réseau que la synchronisation des données est autorisée à consommer.
Comme chaque nœud d’un cluster peut envoyer et recevoir des données, les données
sont répliquées plus rapidement dans les clusters de grande taille.

Règles et tâches de réplication 317


Réplication des données avec SyncIQ

Règles de réplication automatisées


Vous pouvez à tout moment démarrer manuellement une règle de réplication, mais
vous pouvez également configurer des règles de réplication pour qu’elles démarrent
automatiquement en fonction des modifications du répertoire source ou des plannings.
Vous pouvez configurer une règle de réplication pour qu’elle s’exécute en fonction
d’un planning de façon à contrôler le moment où la réplication est effectuée. Vous
pouvez également configurer des règles pour répliquer les données capturées dans les
snapshots d’un répertoire. Vous pouvez également configurer une règle de réplication
pour qu’elle démarre lorsque SyncIQ détecte une modification du répertoire source,
afin que SyncIQ conserve une version plus récente de vos données sur le cluster cible.
La planification d’une règle s’avère utile dans les conditions suivantes :
l Vous voulez répliquer les données lorsque l’activité des utilisateurs est minimale.
l Vous pouvez prévoir précisément à quel moment des modifications seront
apportées aux données.
Si une règle est configurée pour s’exécuter selon un planning, vous pouvez la
configurer pour qu’elle ne s’exécute pas si aucune modification n’a été apportée au
contenu du répertoire source depuis la dernière exécution de la tâche. Toutefois, si
des modifications sont apportées au répertoire parent ou à un répertoire frère du
répertoire source, et si un snapshot du répertoire parent est ensuite effectué, SyncIQ
crée une tâche pour la règle, même si aucune modification n’a été apportée au
répertoire source. En outre, si vous surveillez le cluster à l’aide de la fonction FSA (File
System Analytics) d’InsightIQ, la tâche FSA crée des snapshots de /ifs, ce qui
entraînera très probablement le démarrage d’une tâche de réplication chaque fois que
la tâche FSA est exécutée.
La réplication des données contenues dans les snapshots d’un répertoire peut être
utile dans les conditions suivantes :
l Vous souhaitez répliquer les données selon un planning alors que vous générez déjà
des snapshots du répertoire source selon un planning de snapshots.
l Vous souhaitez conserver des snapshots identiques sur les clusters source et cible.
l Vous voulez répliquer les snapshots existants sur le cluster cible.
Pour ce faire, vous devez activer les snapshots d’archivage sur le cluster cible. Ce
paramètre peut uniquement être activé lors de la création de la règle.
Si une règle est configurée pour répliquer des snapshots, vous pouvez configurer
SyncIQ pour répliquer uniquement les snapshots qui correspondent à un modèle de
dénomination spécifié.
La configuration d’une règle pour qu’elle démarre lorsque des modifications sont
apportées au répertoire source s’avère utile dans les conditions suivantes :
l Vous souhaitez conserver une copie à jour de vos données à tout moment.
l Vous prévoyez un grand nombre des modifications à des intervalles imprévisibles.
Dans le cas de règles configurées pour démarrer chaque fois que des modifications
sont apportées au répertoire source, SyncIQ vérifie les répertoires sources toutes les
dix secondes. SyncIQ vérifie tous les fichiers et les dossiers situés sous le répertoire
source, que ces fichiers ou répertoires soient ou non exclus de la réplication, ce qui
signifie qu’il peut parfois exécuter une tâche de réplication inutilement. Supposons que
newPolicy réplique /ifs/data/media, mais exclue /ifs/data/media/temp. Si
une modification est apportée à /ifs/data/media/temp/file.txt, SyncIQ
exécute newPolicy, même si /ifs/data/media/temp/file.txt n’est pas
répliqué.

318 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Lorsqu’une règle est configurée pour démarrer chaque fois que des modifications sont
apportées au répertoire source et qu’une tâche de réplication échoue, SyncIQ attend
une minute avant de tenter de réexécuter la règle. SyncIQ augmente ce délai de
manière exponentielle à chaque défaillance, jusqu’à un délai maximal de huit heures.
Vous pouvez à tout moment remplacer le délai en exécutant la règle manuellement.
Lorsque la tâche associée à la règle se termine correctement, SyncIQ recommence à
vérifier le répertoire source toutes les dix secondes.
Si une règle est configurée pour démarrer chaque fois que des modifications sont
apportées au répertoire source, vous pouvez configurer SyncIQ pour qu’il respecte un
certain délai d’attente après une modification du répertoire source avant de démarrer
une tâche.

Remarque

Afin d’éviter une synchronisation fréquente de petits ensembles de modifications, ce


qui solliciterait excessivement les ressources système, nous vous déconseillons
fortement de configurer la réplication continue lorsque le répertoire source est très
actif. Dans un tel cas, il est souvent préférable de configurer la réplication continue
avec un délai de plusieurs heures déclenché en cas de modification, de manière à
consolider les groupes de modifications.

Association d’un cluster source et d’un cluster cible


SyncIQ associe une règle de réplication à un cluster cible en le marquant en tant que
tel lorsque la tâche s’exécute pour la première fois. Même si vous modifiez le nom ou
l’adresse IP du cluster cible, il conserve cette marque. Lorsqu’une règle de réplication
est exécutée, SyncIQ contrôle la marque pour garantir que les données sont répliquées
au bon endroit.
Sur le cluster cible, vous pouvez rompre manuellement l’association entre une règle de
réplication et un répertoire cible. La rupture de l’association entre un cluster source et
un cluster cible entraîne la suppression de la marque sur ce dernier. Vous pouvez
rompre manuellement l’association avec une cible si elle est obsolète. Si vous rompez
l’association d’une règle, la règle est désactivée sur le cluster source et vous ne
pouvez pas l’exécuter. Si vous souhaitez exécuter à nouveau la règle désactivée, vous
devez la réinitialiser.
La rupture de l’association d’une règle de réplication entraîne une réplication complète
ou différentielle lors de la prochaine exécution de cette règle. Lors d’une réplication
complète ou différentielle, SyncIQ crée une nouvelle association entre les clusters
source et cible. En fonction de la quantité de données en cours de réplication, une
réplication complète ou différentielle peut prendre beaucoup de temps.

ATTENTION

Les modifications apportées à la configuration du cluster cible en dehors de


SyncIQ peuvent générer une erreur ayant pour effet de rompre l’association
entre le cluster source et le cluster cible. Ce problème peut survenir, par
exemple, lorsque vous modifiez l’enregistrement DNS du cluster cible. Si vous
avez besoin d’apporter d’importantes modifications de configuration au cluster
cible en dehors de SyncIQ, assurez-vous que la connexion est maintenue entre
vos règles SyncIQ et le cluster cible.

Association d’un cluster source et d’un cluster cible 319


Réplication des données avec SyncIQ

Configuration des clusters source et cible SyncIQ avec NAT


Les clusters source et cible peuvent utiliser la fonction NAT (Network Address
Translation) à des fins de basculement et de retour arrière SyncIQ, mais ils doivent
être configurés correctement.
Dans ce scénario, les clusters source et cible se trouvent généralement sur des sites
physiques différents, ils utilisent un espace d’adressage privé non routable et ils n’ont
pas de connexion directe à Internet. Chaque cluster est généralement doté d’une
plage d’adresses IP privées. Par exemple, un cluster de 12 nœuds peut être associé
aux adresses IP 192.168.10.11 à 192.168.10.22.
Pour que les clusters source et cible communiquent via l’Internet public, tous les
paquets de données entrants et sortants doivent être correctement traduits et
redirigés par un routeur ou un pare-feu compatible NAT.

ATTENTION

Les données SyncIQ ne sont pas chiffrées. Les tâches SyncIQ en cours
d’exécution via l’Internet public n’offrent aucune protection contre le vol de
données.

SyncIQ vous permet de limiter les tâches de réplication à des nœuds spécifiques de
votre cluster. Par exemple, si votre cluster est composé de 12 nœuds, vous pouvez
limiter les tâches de réplication à seulement trois de ces nœuds. Pour prendre en
charge la fonction NAT, vous devez établir une association de type 1 à 1 entre les
clusters source et cible. Ainsi, si vous limitez les tâches de réplication à trois nœuds de
votre cluster source, vous devez leur associer trois nœuds de votre cluster cible.
Dans ce cas, vous devez configurer la fonction NAT statique, parfois appelée mappage
entrant. Sur les clusters source et cible, vous devez associer une adresse NAT
statique à l’adresse privée attribuée à chaque nœud. Par exemple :

Cluster source Cluster cible

Nom du Adresse Adresse Nom du Adresse Adresse


nœud privée NAT nœud privée NAT
source-1 192.168.10.11 10.8.8.201 target-1 192.168.55.10 10.1.2.11
1

source-2 192.168.10.12 10.8.8.202 target-2 192.168.55.10 10.1.2.12


2

source-3 192.168.10.13 10.8.8.203 target-3 192.168.55.10 10.1.2.13


3

Pour configurer la fonction NAT statique, vous devez modifier le fichier /etc/
local/hosts sur les six nœuds et les associer à leurs homologues en ajoutant
l’adresse NAT et le nom de nœud appropriés. Par exemple, dans le fichier /etc/
local/hosts des trois nœuds du cluster source, les entrées se présentent comme
suit :

10.1.2.11 target-1

10.1.2.12 target-2

10.1.2.13 target-3

320 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

De même, sur les trois nœuds du cluster cible, vous devez modifier le fichier /etc/
local/hosts en y insérant l’adresse NAT et le nom du nœud associé sur le cluster
source. Par exemple, sur les trois nœuds du cluster cible, les entrées se présentent
comme suit :

10.8.8.201 source-1

10.8.8.202 source-2

10.8.8.203 source-3

Lorsque le serveur NAT reçoit les paquets de données SyncIQ d’un nœud du cluster
source, il remplace les en-têtes des paquets, ainsi que le numéro de port et
l’adresse IP interne du nœud par son propre numéro de port et son adresse IP externe.
Le serveur NAT du réseau source envoie ensuite les paquets via Internet au réseau
cible, où un autre serveur NAT exécute un processus similaire pour transmettre les
données au nœud cible. Le processus est inversé lorsque les données font l’objet d’un
retour arrière.
Avec ce type de configurations, SyncIQ peut déterminer les adresses correctes avec
lesquelles se connecter afin d’envoyer et de recevoir des données. Dans ce scénario,
aucune configuration de zone SmartConnect n’est requise.
Pour plus d’informations sur les ports utilisés par SyncIQ, consultez le Guide de
configuration de la sécurité de OneFS correspondant à votre version de OneFS.

Réplication complète et différentielle


Si une règle de réplication rencontre un problème qui ne peut pas être corrigé (par
exemple, si l’association a été rompue sur le cluster cible), vous pouvez la réinitialiser.
Si vous réinitialisez une règle de réplication, SyncIQ effectue une réplication complète
ou différentielle lors de la prochaine exécution de la règle. Vous pouvez spécifier le
type de réplication qu’exécute SyncIQ.
Lors d’une réplication complète, SyncIQ transfère toutes les données du cluster
source, quelles que soient les données présentes sur le cluster cible. Une opération de
réplication complète consomme une grande quantité de bande passante réseau et peut
prendre beaucoup de temps. Toutefois, elle utilise moins de ressources CPU qu’une
réplication différentielle.
Lors d’une réplication différentielle, SyncIQ vérifie si un fichier existe déjà sur le
cluster cible: puis transfère uniquement les données qui n’existent pas déjà sur celui-
ci. Une réplication différentielle consomme moins de bande passante réseau, mais
davantage de CPU qu’une réplication complète. La réplication différentielle est
beaucoup plus rapide qu’une réplication complète si la tâche dispose d’une quantité de
ressources CPU suffisante.

Contrôle de la consommation des ressources par les tâches de réplication


Vous pouvez créer des règles qui limitent le trafic réseau créé par les tâches de
réplication, la vitesse à laquelle les fichiers sont envoyés par les tâches de réplication,
le pourcentage de CPU utilisé par les tâches de réplication et le nombre d’opérateurs
créés pour les tâches de réplication.
Si vous limitez le pourcentage du nombre total d’opérateurs que SyncIQ peut créer, la
limite est appliquée à la quantité totale d’opérateurs pouvant être créés par SyncIQ, ce
qui dépend du matériel du cluster. Les opérateurs du cluster source lisent et envoient
des données, tandis que ceux du cluster cible écrivent des données.

Réplication complète et différentielle 321


Réplication des données avec SyncIQ

Remarque

Les règles d’opération de fichiers peuvent ne pas fonctionner correctement pour les
fichiers dont le transfert prend plus d’une seconde, ainsi que pour les fichiers pouvant
avoir des tailles variables.

Priorité des règles de réplication


Lorsque vous créez une règle de réplication, vous pouvez configurer une règle pour
qu’elle ait priorité sur les autres tâches.
Si plusieurs tâches de réplication sont en attente d’exécution parce que le nombre de
tâches en cours d’exécution a déjà atteint le niveau maximal autorisé, les tâches
créées par les règles prioritaires sont exécutées avant les tâches non prioritaires.
Supposons que 50 tâches soient en cours d’exécution. Une tâche non prioritaire est
créée et mise en file d’attente. Une tâche prioritaire est ensuite créée et placée à son
tour dans la file d’attente. La tâche prioritaire s’exécute en premier, même si la tâche
non prioritaire se trouve dans la file d’attente depuis plus longtemps.
SyncIQ interrompt également les tâches de réplication non prioritaires afin de
permettre l’exécution des tâches prioritaires. Supposons que 50 tâches soient déjà en
cours d’exécution et que l’une d’elles ne soit pas prioritaire. Si une tâche de réplication
prioritaire est créée, SyncIQ interrompt la tâche de réplication non prioritaire et
exécute la tâche prioritaire.

Rapports de réplication
Une fois qu’une tâche de réplication est terminée, SyncIQ génère un rapport de
réplication qui contient des informations détaillées sur cette tâche, notamment la
durée d’exécution de celle-ci, la quantité de données transférées et les erreurs qui se
sont produites.
Si une tâche de réplication est interrompue, SyncIQ peut créer un sous-rapport sur la
progression de la tâche jusqu’au moment de l’interruption. Si la tâche est ensuite
redémarrée, SyncIQ crée un nouveau sous-rapport sur la progression de la tâche
jusqu’à ce que cette dernière soit terminée ou de nouveau interrompue. SyncIQ crée
un sous-rapport chaque fois que la tâche est interrompue, et ce, jusqu’à ce qu’elle se
termine correctement. Si plusieurs sous-rapports sont créés pour une tâche, SyncIQ
associe les informations des sous-rapports dans un rapport unique.
SyncIQ supprime régulièrement les rapports de réplication. Vous pouvez spécifier le
nombre maximal de rapports de réplication que SyncIQ conserve et la durée de
rétention de ces rapports. Si le nombre maximal de rapports de réplication est dépassé
sur un cluster, SyncIQ supprime le rapport le plus ancien chaque fois qu’un nouveau
rapport est créé.
Vous ne pouvez pas personnaliser le contenu d’un rapport de réplication.

Remarque

Si vous supprimez une règle de réplication, SyncIQ supprime automatiquement tous


les rapports qui ont été créés pour cette règle.

322 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Snapshots de réplication
SyncIQ génère des snapshots pour faciliter la réplication, le basculement sur incident
et le retour arrière entre les clusters Isilon. Les snapshots générés par SyncIQ peuvent
également être utilisés à des fins d’archivage sur le cluster cible.

Snapshots du cluster source


SyncIQ génère des snapshots sur le cluster source afin qu’une image ponctuelle
cohérente soit répliquée et que les données inchangées ne soient pas envoyées au
cluster cible.
Avant d’exécuter une tâche de réplication, SyncIQ crée un snapshot du répertoire
source. SyncIQ réplique ensuite les données en fonction du snapshot plutôt que de
l’état actuel du cluster, ce qui permet aux utilisateurs de modifier les fichiers du
répertoire source tout en assurant la réplication d’une image ponctuelle exacte de
celui-ci.
Par exemple, si une tâche de réplication de /ifs/data/dir/ débute à 13h00 et
s’achève à 13h20 et si /ifs/data/dir/file est modifié à 13h10, les modifications
ne sont pas reflétées sur le cluster cible, même si /ifs/data/dir/file n’est pas
répliqué avant 13h15.
Vous pouvez répliquer les données en fonction d’un snapshot généré à l’aide du
module logiciel SnapshotIQ. Si vous répliquez les données en fonction d’un snapshot
SnapshotIQ, SyncIQ ne génère aucun autre snapshot du répertoire source. Cette
méthode se révèle utile si vous souhaitez répliquer des copies identiques des données
sur plusieurs clusters Isilon.
SyncIQ génère des snapshots sources pour empêcher les tâches de réplication de
transférer les données non modifiées. Lorsqu’une tâche est créée pour une règle de
réplication, SyncIQ vérifie s’il s’agit de la première tâche créée pour cette règle. Si ce
n’est pas le cas, SyncIQ compare le snapshot généré pour la tâche antérieure à celui
généré pour la nouvelle tâche.
SyncIQ réplique uniquement les données qui ont été modifiées depuis la dernière
génération d’un snapshot pour la règle de réplication. Lorsqu’une tâche de réplication
est terminée, SyncIQ supprime le snapshot précédent du cluster source et conserve le
snapshot le plus récent jusqu’à l’exécution de la tâche suivante.

Snapshots du cluster cible


Lorsqu’une tâche de réplication est effectuée, SyncIQ génère un snapshot sur le
cluster cible afin de faciliter les opérations de basculement sur incident. Lorsque la
tâche de réplication suivante est créée pour la règle de réplication, elle crée un
nouveau snapshot et supprime l’ancien.
Si une licence SnapshotIQ est activée sur le cluster cible, vous pouvez configurer une
règle de réplication pour qu’elle génère des snapshots supplémentaires qui
demeureront sur le cluster cible même lors de l’exécution des prochaines tâches de
réplication.
SyncIQ génère des snapshots cibles pour faciliter le basculement sur incident sur le
cluster cible, qu’une licence SnapshotIQ ait été configurée ou non sur le cluster cible.
Les snapshots de basculement sur incident sont générés lorsqu’une tâche de
réplication se termine. SyncIQ conserve un seul snapshot de basculement sur incident

Snapshots de réplication 323


Réplication des données avec SyncIQ

par règle de réplication et supprime l’ancien snapshot une fois le nouveau snapshot
créé.
Si une licence SnapshotIQ est activée sur le cluster cible, vous pouvez configurer
SyncIQ pour qu’il génère des snapshots d’archivage sur le cluster cible qui ne seront
pas supprimés automatiquement lors de l’exécution des prochaines tâches de
réplication. Les snapshots d’archivage contiennent les mêmes données que les
snapshots qui sont générés pour le basculement sur incident. Cependant, vous pouvez
configurer la durée pendant laquelle les snapshots d’archivage sont conservés sur le
cluster cible. Vous pouvez accéder aux snapshots d’archivage de la même manière que
vous accédez aux autres snapshots générés sur un cluster.

Basculement sur incident et retour arrière des données avec


SyncIQ
SyncIQ automatise les opérations de basculement sur incident et de retour arrière des
données entre les clusters Isilon. Si votre cluster principal est hors ligne, vous pouvez
basculer vers un cluster Isilon secondaire, ce qui permet aux clients de continuer à
accéder à leurs données. Vous pouvez ensuite effectuer un retour arrière sur le cluster
principal si celui-ci redevient opérationnel.
Dans le contexte du basculement et du retour arrière SyncIQ, le cluster initialement
accessible aux clients est appelé cluster principal. Le cluster vers lequel les données
client sont répliquées est appelé cluster secondaire.
Le basculement est un processus qui permet aux clients d’accéder aux données, de les
consulter et de les modifier sur un cluster secondaire. Le retour arrière est un
processus qui permet aux clients de revenir à leur workflow sur le cluster principal.
Lors du retour arrière, toutes les modifications apportées aux données sur le cluster
secondaire sont recopiées vers le cluster principal par le biais d’une tâche de
réplication utilisant une règle de mise en miroir.
Le basculement et le retour arrière peuvent être utiles dans les situations de reprise
après sinistre. Par exemple, si un cluster principal est endommagé suite à une
catastrophe naturelle, vous pouvez migrer les clients vers un cluster secondaire, où ils
peuvent poursuivre les opérations normales. Lorsque le cluster principal est réparé et
de nouveau en ligne, vous pouvez migrer les clients pour qu’ils reprennent les
opérations sur le cluster principal.
Vous pouvez également avoir recours au basculement et au retour arrière pour faciliter
la maintenance planifiée du cluster. Par exemple, si vous mettez à niveau le cluster
principal, vous pouvez migrer les clients vers un cluster secondaire jusqu’à la fin de la
mise à niveau, puis les migrer de nouveau vers le cluster principal.

Remarque

Le basculement et le retour arrière des données sont pris en charge aussi bien pour les
répertoires SmartLock d’entreprise que de conformité. Les répertoires de conformité
SmartLock respectent la réglementation 17a-4(f) de la SEC (Securities and Exchange
Commission des États-Unis), qui exige que les courtiers en valeurs mobilières et les
cabinets de courtage conservent les enregistrements dans un format non effaçable et
non réinscriptible. SyncIQ maintient la conformité à la réglementation 17a-4(f) en cas
de basculement et de retour arrière.

324 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Basculement sur incident des données


Le basculement est un processus qui consiste à préparer les données sur un cluster
secondaire et à basculer vers ce dernier pour les opérations normales des clients.
Lorsque vous avez effectué un basculement vers un cluster secondaire, vous pouvez
rediriger les clients pour qu’ils accèdent à leurs données, les consultent et les
modifient sur ce cluster secondaire.
Avant de procéder au basculement, vous devez créer et exécuter une règle de
réplication SyncIQ sur le cluster principal. Vous démarrez le processus de basculement
sur incident sur le cluster secondaire. Pour migrer des données du cluster principal qui
sont réparties entre plusieurs règles de réplication, vous devez démarrer le
basculement pour chaque règle de réplication.
Si l’action associée à la règle de réplication est la copie, tout fichier supprimé du
cluster principal est encore présent sur le cluster secondaire. Lorsque le client se
connecte au cluster secondaire, tous les fichiers qui ont été supprimés du cluster
principal sont donc disponibles.
Si vous démarrez le basculement sur incident pour une règle de réplication alors
qu’une tâche de réplication associée est en cours d’exécution, l’opération de reprise
est menée à son terme, mais la tâche de réplication échoue. Sachant que les données
peuvent se trouver dans un état incohérent, SyncIQ utilise le snapshot généré par la
dernière tâche de réplication réussie pour rétablir les données sur le cluster secondaire
au dernier point de restauration.
Si un sinistre se produit sur le cluster principal, les modifications apportées aux
données après le démarrage de la dernière tâche de réplication réussie ne sont pas
répercutées sur le cluster secondaire. Lorsqu’un client se connecte au cluster
secondaire, ses données apparaissent telles qu’elles se présentaient lors du démarrage
de la dernière tâche de réplication réussie.

Retour arrière des données


Le retour arrière est un processus qui consiste à restaurer les clusters principal et
secondaire aux rôles qu’ils occupaient avant une opération de reprise. Une fois le
retour arrière terminé, le cluster principal contient le Dataset le plus récent et reprend
les opérations normales, y compris l’hébergement des clients et la réplication des
données vers le cluster secondaire à l’aide des règles de réplication SyncIQ en place.
La première étape du processus de retour arrière est la mise à jour du cluster principal
avec toutes les modifications apportées aux données sur le cluster secondaire. L’étape
suivante est la préparation du cluster principal pour qu’il soit accessible aux clients. La
dernière étape est la reprise de la réplication des données du cluster principal vers le
cluster secondaire. À la fin du processus de retour arrière, vous pouvez rediriger les
utilisateurs de façon qu’ils accèdent à nouveau aux données du cluster principal.
Pour mettre à jour le cluster principal avec les modifications apportées sur le cluster
secondaire, SyncIQ doit créer un domaine SyncIQ pour le répertoire source.
Vous pouvez effectuer un retour arrière des données avec n’importe quelle règle de
réplication répondant à tous les critères suivants :
l La règle a fait l’objet d’un basculement sur incident.
l La règle est une règle de synchronisation (et non de copie).
l La règle n’exclut pas de fichiers ou de répertoires de la réplication.

Basculement sur incident des données 325


Réplication des données avec SyncIQ

Basculement et retour arrière en mode de conformité SmartLock


Depuis la version 8.0.1, OneFS prend en charge la réplication des domaines en mode
de conformité SmartLock sur un cluster cible. Cette prise en charge inclut le
basculement et le retour arrière de ces domaines SmartLock.
Étant donné que le mode de conformité SmartLock respecte la
réglementation 17a-4(f) de la SEC (Securities and Exchange Commission des États-
Unis), le basculement et le retour arrière d’un domaine WORM en mode de conformité
nécessitent une planification et une configuration particulières.
Avant tout, vos clusters principal (source) et secondaire (cible) doivent être
configurés en mode de conformité lors de leur configuration initiale. Ce processus est
décrit dans le guide d’installation Isilon correspondant à votre modèle de nœud (par
exemple, Isilon S210 Installation Guide).
En outre, les deux clusters doivent disposer de répertoires définis en tant que
domaines WORM de type conformité. Par exemple, si vous stockez vos fichiers à
l’état WORM dans le domaine de conformité SmartLock /ifs/financial-
records/locked sur le cluster principal, vous devez disposer d’un domaine de
conformité SmartLock sur le cluster cible pour effectuer le basculement. Les domaines
de conformité SmartLock source et cible peuvent avoir le même chemin d’accès, mais
ce n’est pas obligatoire.
Par ailleurs, vous devez démarrer l’horloge de conformité sur les deux clusters.

Limites de la réplication SmartLock


Tenez compte des limites de réplication et de retour arrière des répertoires SmartLock
avec SyncIQ.
Si le répertoire source ou le répertoire cible d’une règle SyncIQ est un répertoire
SmartLock, il se peut que la réplication et le retour arrière ne soient pas autorisés.
Pour plus d’informations, reportez-vous au tableau suivant :

Type de Type de répertoire Réplication Retour arrière autorisé


répertoire cible autorisée
source
Non SmartLock Non SmartLock Oui Oui

Non SmartLock SmartLock entreprise Oui Oui, sauf si les fichiers


sont validés à l’état
WORM sur le cluster cible

Non SmartLock SmartLock conformité Non Non

SmartLock Non SmartLock Oui, mais les Oui, mais les fichiers ne
entreprise dates de seront pas à l’état WORM
rétention et les
états de
validation des
fichiers seront
perdus.

SmartLock SmartLock entreprise Oui Oui, et tous les fichiers


entreprise nouvellement validés à
l’état WORM seront inclus

326 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Type de Type de répertoire Réplication Retour arrière autorisé


répertoire cible autorisée
source
SmartLock SmartLock conformité Non Non
entreprise

SmartLock Non SmartLock Non Non


conformité

SmartLock SmartLock entreprise Non Non


conformité

SmartLock SmartLock conformité Oui Oui, et tous les fichiers


conformité nouvellement validés à
l’état WORM seront inclus

Si vous répliquez un répertoire SmartLock vers un autre répertoire SmartLock, vous


devez créer le répertoire SmartLock cible avant d’exécuter la règle de réplication.
Même si OneFS crée automatiquement un répertoire cible s’il n’en existe pas, OneFS
ne crée pas automatiquement de répertoire SmartLock cible. Si vous essayez de
répliquer un répertoire d’entreprise avant la création du répertoire cible, OneFS crée
un répertoire cible non SmartLock pour que la tâche de réplication réussisse. Si vous
répliquez un répertoire de conformité avant la création du répertoire cible, la tâche de
réplication échoue.
Si vous répliquez des répertoires SmartLock sur un autre cluster EMC Isilon
avec SyncIQ, l’état WORM des fichiers est répliqué. Cependant, les paramètres de
configuration du répertoire SmartLock ne sont pas transférés au répertoire cible.
Par exemple, si vous répliquez un répertoire contenant un fichier validé, configuré
pour expirer le 4 mars, ce fichier reste configuré pour expirer le 4 mars sur le cluster
cible. Cependant, si le répertoire du cluster source est configuré pour empêcher que
les fichiers ne soient validés pour plus d’un an, le répertoire cible n’est pas
automatiquement configuré avec la même restriction.

Objectifs et temps de restauration de SyncIQ


L’objectif de point de restauration (RPO) et l’objectif de temps de restauration (RTO)
sont des mesures des impacts qu’un sinistre peut avoir sur les opérations métiers.
Vous pouvez calculer les RPO et RTO d’une reprise après sinistre avec des règles de
réplication.
Le RPO correspond à la durée maximale durant laquelle les données sont perdues si un
cluster devient soudainement indisponible. Pour un cluster Isilon, le RPO correspond
au temps écoulé depuis le démarrage de la dernière tâche de réplication menée à
terme. Le RPO n’est jamais supérieur au temps nécessaire pour exécuter et terminer
deux tâches de réplication consécutives.
Si un sinistre se produit alors qu’une tâche de réplication est en cours d’exécution, les
données du cluster secondaire sont rétablies dans l’état dans lequel elles étaient au
moment où la dernière tâche de réplication s’est terminée. Prenons l’exemple d’un
environnement dans lequel une règle de réplication est planifiée pour s’exécuter toutes
les trois heures, et où les tâches de réplication se terminent en deux heures. Si un
sinistre se produit une heure après le démarrage d’une tâche de réplication, le RPO est
de quatre heures, car quatre heures se sont écoulées depuis qu’une tâche terminée a
commencé à répliquer les données.

Objectifs et temps de restauration de SyncIQ 327


Réplication des données avec SyncIQ

Le RTO est le délai maximal nécessaire pour mettre les données de sauvegarde à la
disposition des clients après un sinistre. Le RTO est toujours inférieur ou à peu près
identique au RPO, en fonction de la vitesse à laquelle les tâches de réplication sont
créées pour une règle donnée.
Si les tâches de réplication s’exécutent en continu, ce qui signifie qu’une nouvelle
tâche de réplication est créée pour la règle avant que la tâche de réplication
précédente ne se termine, le RTO est à peu près identique au RPO. Lorsque le cluster
secondaire fait l’objet d’un basculement sur incident, les données du cluster sont
réinitialises dans l’état dans lequel elles étaient au moment où la dernière tâche s’est
terminée. La durée de la réinitialisation des données est proportionnelle au temps mis
par les utilisateurs pour modifier les données.
Si les tâches de réplication s’exécutent par intervalles, ce qui signifie qu’une période
de temps s’écoule entre le moment où une tâche de réplication se termine et celui où
la tâche de réplication suivante pour la règle démarre, la différence entre le RTO et le
RPO varie selon qu’une tâche de réplication est ou non en cours d’exécution lors du
sinistre. Si une tâche est en cours lorsque le sinistre se produit, le RTO est à peu près
identique au RPO. Toutefois, si aucune tâche n’est en cours d’exécution lorsque le
sinistre se produit, le RTO est négligeable, car le cluster secondaire n’a pas été modifié
depuis l’exécution de la dernière tâche de réplication et le processus de basculement
sur incident est quasiment instantané.

Alertes RPO
Vous pouvez configurer SyncIQ pour créer des événements OneFS qui vous informent
en cas de dépassement d’un objectif de point de restauration (RPO) spécifié. Vous
pouvez afficher ces événements via la même interface que les autres événements
OneFS.
Ces événements portent l’ID 400040020. Le message d’événement de ces alertes
utilise le format suivant :

SW_SIQ_RPO_EXCEEDED: SyncIQ RPO exceeded for policy


<replication_policy>

Supposons que vous définissiez un RPO de 5 heures. Une tâche démarre à 13h00 et se
termine à 15h00. Une deuxième tâche débute à 15h30. Si elle ne se termine pas à
18h00 au plus tard, SyncIQ crée un événement OneFS.

Priorité des règles de réplication


Lorsque vous créez une règle de réplication, vous pouvez configurer une règle pour
qu’elle ait priorité sur les autres tâches.
Si plusieurs tâches de réplication sont en attente d’exécution parce que le nombre de
tâches en cours d’exécution a déjà atteint le niveau maximal autorisé, les tâches
créées par les règles prioritaires sont exécutées avant les tâches non prioritaires.
Supposons que 50 tâches soient en cours d’exécution. Une tâche non prioritaire est
créée et mise en file d’attente. Une tâche prioritaire est ensuite créée et placée à son
tour dans la file d’attente. La tâche prioritaire s’exécute en premier, même si la tâche
non prioritaire se trouve dans la file d’attente depuis plus longtemps.
SyncIQ interrompt également les tâches de réplication non prioritaires afin de
permettre l’exécution des tâches prioritaires. Supposons que 50 tâches soient déjà en
cours d’exécution et que l’une d’elles ne soit pas prioritaire. Si une tâche de réplication
prioritaire est créée, SyncIQ interrompt la tâche de réplication non prioritaire et
exécute la tâche prioritaire.

328 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Fonctions sous licence SyncIQ


Vous pouvez répliquer les données sur un autre cluster Isilon uniquement si vous
activez une licence SyncIQ sur le cluster local et sur le cluster cible.
Si une licence SyncIQ devient inactive, vous ne pouvez pas créer, exécuter ni gérer les
règles de réplication. En outre, toutes les règles de réplication créées précédemment
sont désactivées. Les règles de réplication qui ciblent le cluster local sont également
désactivées. Toutefois, les données qui ont déjà été répliquées sur le cluster local sont
toujours disponibles.

Création de règles de réplication


Vous pouvez créer des règles de réplication qui indiquent quand les données doivent
être répliquées avec SyncIQ.

Exclusion de répertoires de la réplication


Vous pouvez empêcher des règles de réplication de répliquer des répertoires même
s’ils existent dans le répertoire source spécifié.

Remarque

Le retour arrière n’est pas pris en charge pour les règles de réplication qui excluent les
répertoires.

Par défaut, tous les fichiers et les répertoires du répertoire source d’une règle de
réplication sont répliqués sur le cluster cible. Toutefois, vous pouvez faire en sorte que
certains répertoires du répertoire source ne soient pas répliqués.
Si vous spécifiez un répertoire à exclure, les fichiers et les répertoires du répertoire
exclu ne sont pas répliqués sur le cluster cible. Si vous spécifiez un répertoire à inclure,
seuls les fichiers et les répertoires du répertoire inclus sont répliqués sur le cluster
cible ; tous les répertoire qui ne se trouvent pas dans le répertoire inclus sont exclus.
Si vous incluez et excluez des répertoires, tous les répertoires exclus doivent se
trouver dans l’un des répertoires inclus. Dans le cas contraire, le paramètre d’exclusion
de répertoire reste sans effet. Prenons l’exemple d’une règle avec les paramètres
suivants :
l Le répertoire racine est /ifs/data
l Les répertoires inclus sont /ifs/data/media/music et /ifs/data/media/
movies
l Les répertoires exclus sont /ifs/data/archive et /ifs/data/media/
music/working
Dans cet exemple, le paramètre qui exclut le répertoire /ifs/data/archive reste
sans effet, car le répertoire /ifs/data/archive n’est pas dans l’un des répertoires
inclus. Le répertoire /ifs/data/archive n’est pas répliqué, qu’il soit explicitement
exclu ou non. En revanche, le paramètre qui exclut le répertoire /ifs/data/media/
music/working s’applique, car ce répertoire aurait été répliqué si ce paramètre
n’avait pas été spécifié.
En outre, si vous excluez un répertoire contenant le répertoire source, le paramètre
d’exclusion de répertoire reste sans effet. Par exemple, si le répertoire racine d’une

Fonctions sous licence SyncIQ 329


Réplication des données avec SyncIQ

règle est /ifs/data, le fait d’exclure explicitement le répertoire /ifs n’empêche


pas la réplication de /ifs/data.
Tous les répertoires que vous incluez ou excluez explicitement doivent faire partie du
répertoire racine spécifié. Prenons l’exemple d’une règle dans laquelle le répertoire
racine spécifié est /ifs/data. Dans cet exemple, vous pouvez inclure les
répertoires /ifs/data/media et /ifs/data/users/, car ils se trouvent
sous /ifs/data.
L’exclusion de répertoires d’une règle de synchronisation n’entraîne pas la suppression
de ces répertoires sur le cluster cible. Prenons l’exemple d’une règle de réplication
synchronisant /ifs/data dans le cluster source sur /ifs/data dans le cluster
cible. Si la règle exclut /ifs/data/media de la réplication et que /ifs/data/
media/file existe dans le cluster cible, l’exécution de la règle n’entraîne pas la
suppression de /ifs/data/media/file sur le cluster cible.

Exclusion de fichiers de la réplication


Si vous ne souhaitez pas que des fichiers spécifiques soient répliqués par une règle de
réplication, vous pouvez les exclure du processus de réplication via des instructions de
critères de correspondance de fichiers. Vous pouvez configurer ces instructions au
cours du processus de création des règles de réplication.

Remarque

Vous ne pouvez pas effectuer un retour arrière des règles de réplication qui excluent
des fichiers.

Une instruction de critères de fichiers peut inclure un ou plusieurs éléments. Chaque


élément de critère de fichiers contient un attribut de fichier, un opérateur de
comparaison et une valeur de comparaison. Vous pouvez combiner plusieurs éléments
de critère dans une instruction avec les opérateurs booléens AND et OR. Vous pouvez
configurer un nombre illimité de définitions de critères de fichiers.
La configuration d’instructions de critères de fichiers peut ralentir l’exécution des
tâches associées. Il est recommandé de ne définir les instructions de critères de
fichiers d’une règle de réplication que si cela est nécessaire.
La modification d’une instruction de critères de fichiers entraîne l’exécution d’une
réplication complète au prochain démarrage de la règle de réplication. En fonction de
la quantité de données à répliquer, une réplication complète peut prendre beaucoup de
temps.
Pour les règles de synchronisation, si vous modifiez les opérateurs ou les valeurs de
comparaison d’un attribut de fichier et qu’un fichier ne corresponde plus aux critères
de correspondance de fichiers spécifiés, ce fichier est supprimé lors de la prochaine
exécution de la tâche. Ce point ne s’applique pas aux règles de copie.

Options de critères de fichier


Vous pouvez configurer une règle de réplication pour exclure les fichiers répondant ou
non à des critères spécifiques.
Vous pouvez spécifier des critères de fichier en fonction des attributs de fichier
suivants :
Date created
Inclut ou exclut des fichiers en fonction de leur date de création. Cette option est
disponible uniquement pour les règles de copie.

330 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Vous pouvez spécifier une date et une heure relatives, par exemple « il y a deux
semaines », ou une date et une heure spécifiques, par exemple
« 1er janvier 2012 ». Les paramètres d’heure sont au format 24 heures.

Date accessed
Inclut ou exclut des fichiers en fonction de leur dernière date d’accès. Cette
option est disponible uniquement pour les règles de copie, et seulement si l’option
globale de suivi des dates d’accès du cluster est activée.
Vous pouvez spécifier une date et une heure relatives, par exemple « il y a deux
semaines », ou une date et une heure spécifiques, par exemple
« 1er janvier 2012 ». Les paramètres d’heure sont au format 24 heures.

Date modified
Inclut ou exclut des fichiers en fonction de leur dernière date de modification.
Cette option est disponible uniquement pour les règles de copie.
Vous pouvez spécifier une date et une heure relatives, par exemple « il y a deux
semaines », ou une date et une heure spécifiques, par exemple
« 1er janvier 2012 ». Les paramètres d’heure sont au format 24 heures.

File name
Inclut ou exclut des fichiers en fonction de leur nom. Vous pouvez choisir d’inclure
ou exclure des noms partiels ou complets contenant un texte spécifique.
Les caractères génériques suivants sont acceptés :

Remarque

Vous pouvez également filtrer les noms de fichier à l’aide d’expressions régulières
(regex) POSIX. Les clusters Isilon prennent en charge les expressions régulières
de la norme IEEE 1003.2 (POSIX.2). Pour plus d’informations sur les expressions
régulières POSIX, consultez les pages man BSD.

Tableau 2 Caractères génériques pour la spécification des fichiers de réplication

Caractère générique Description


* Met en correspondance n’importe quelle
chaîne à la place de l’astérisque.
Par exemple, m* correspond à movies et à
m123.

[ ] Met en correspondance tout caractère situé


entre les crochets ou une plage de caractères
séparés par un tiret.
Par exemple, b[aei]t correspond à bat,
bet et bit.
Par exemple, 1[4-7]2 correspond à 142,
152, 162 et 172.
Vous pouvez exclure des caractères entre
crochets en faisant suivre le premier crochet
par un point d’exclamation.
Par exemple, b[!ie] correspond à bat,
mais ni à bit, ni à bet.

Options de critères de fichier 331


Réplication des données avec SyncIQ

Tableau 2 Caractères génériques pour la spécification des fichiers de réplication (suite)

Caractère générique Description


Vous pouvez mettre en correspondance un
crochet à l’intérieur de crochets s’il s’agit du
premier ou du dernier caractère.
Par exemple, [[c]at correspond à cat et à
[at.
Vous pouvez mettre en correspondance un
tiret à l’intérieur de crochets s’il s’agit du
premier ou du dernier caractère.
Par exemple, car[-s] correspond à cars
et à car-.

? Met en correspondance n’importe quel


caractère à la place du point d’interrogation.
Par exemple, t?p correspond à tap, tip et
top.

Path
Inclut ou exclut des fichiers en fonction de leur chemin. Cette option est
disponible uniquement pour les règles de copie.
Vous pouvez choisir d’inclure ou exclure des chemins partiels ou complets
contenant un texte spécifique. Vous pouvez également inclure les caractères
génériques *, ? et [ ].

Size
Inclut ou exclut des fichiers en fonction de leur taille.

Remarque

Les tailles de fichier sont représentées par des multiples de 1 024 et non de 1 000.

Type
Inclut ou exclut des fichiers selon l’un des types d’objet suivants du système de
fichiers :
l Lien logiciel
l Fichier standard
l Répertoire

Configurer les paramètres par défaut des règles de réplication


Vous pouvez configurer les paramètres par défaut des règles de réplication. Si vous ne
modifiez pas ces paramètres lors de la création d’une règle de réplication, les
paramètres par défaut spécifiés sont appliqués.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Settings.

332 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

2. Dans la section Default Policy Settings, si vous souhaitez que les règles ne se
connectent qu’aux nœuds d’une zone SmartConnect spécifique, sélectionnez
Connect only to the nodes within the target cluster SmartConnect zone.

Remarque

Cette option ne concerne que les règles qui spécifient le cluster cible en tant
que zone SmartConnect.

3. Indiquez à quels nœuds vous souhaitez que les règles de réplication se


connectent lorsqu’elles s’exécutent.

Option Description
Pour connecter les règles à tous Cliquez sur Run the policy on all nodes in
les nœuds d’un cluster source, this cluster.
procédez comme suit :

Pour connecter les règles a. Cliquez sur Run the policy only on
uniquement aux nœuds d’un nodes in the specified subnet and
sous-réseau et d’un pool pool.
spécifiés, procédez comme suit :
b. Dans la liste Subnet and pool,
sélectionnez le sous-réseau et le pool.

Remarque

SyncIQ ne prend pas en charge les pools d’adresses IP allouées de manière


dynamique. Si une tâche de réplication se connecte à une adresse IP allouée de
manière dynamique, SmartConnect peut réattribuer l’adresse pendant qu’une
tâche de réplication est en cours d’exécution, ce qui entraîne la déconnexion de
la tâche et son échec.

4. Cliquez sur Save Changes.

Création d’une règle de réplication


Vous pouvez créer une règle de réplication avec SyncIQ qui définit la manière dont les
données sont répliquées sur un autre cluster Isilon ainsi que le moment où elles le sont.
La configuration d’une règle de réplication se fait en cinq étapes.
Faites preuve de précaution lorsque vous configurez les règles de réplication. Si vous
modifiez l’un des paramètres de règle suivants après l’exécution de la règle, OneFS
effectuera une réplication complète ou différentielle lors de l’exécution suivante de la
règle :
l Répertoire source
l Répertoires inclus ou exclus
l Déclaration relative aux critères des fichiers
l Nom ou adresse du cluster cible
Cela s’applique uniquement lorsque vous ciblez un cluster différent. Si vous
modifiez l’adresse IP ou le nom de domaine d’un cluster cible, puis modifiez la règle
de réplication sur le cluster source pour qu’elle corresponde à la nouvelle
adresse IP ou au nouveau nom de domaine, une réplication complète ne sera pas
effectuée.

Création d’une règle de réplication 333


Réplication des données avec SyncIQ

l Répertoire cible

Remarque

Si vous créez une règle de réplication pour un répertoire de conformité SmartLock, les
domaines de conformité SyncIQ et SmartLock doivent être configurés au même
niveau du répertoire racine. Un domaine de conformité SmartLock ne peut pas être
imbriqué dans un domaine SyncIQ.

Configurer les paramètres de base d’une règle


Vous devez configurer les paramètres de base des règles de réplication.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Cliquez sur Create a SyncIQ policy.
3. Dans la zone Settings, dans le champ Policy name, saisissez le nom de la règle
de réplication.
4. (Facultatif) Dans le champ Description, saisissez la description de la règle de
réplication.
5. Pour le paramètre Action, spécifiez le type de règles de réplication.
l Pour copier tous les fichiers du répertoire source vers le répertoire cible,
cliquez sur Copy.

Remarque

Le retour arrière n’est pas pris en charge pour les règles de copie.
l Pour copier tous les fichiers du répertoire source vers le répertoire cible et
supprimer de ce dernier tous les fichiers qui ne figurent pas dans le
répertoire source, cliquez sur Synchronize.
6. Pour le paramètre Run job, indiquez si les tâches de réplication doivent être
exécutées.

Option Description
Exécuter les tâches Cliquez sur Manually.
uniquement lorsqu’elles
sont initiées
manuellement par un
utilisateur
Exécuter les tâches a. Cliquez sur On a schedule.
automatiquement selon
un planning b. Spécifiez un planning à utiliser.
Si vous configurez une règle de réplication pour
qu’elle s’exécute plus d’une fois par jour, vous ne
pouvez pas configurer l’intervalle pour qu’il
s’étende sur deux jours. Par exemple, vous ne
pouvez pas configurer une règle de réplication
pour qu’elle s’exécute toutes les heures
de 19h00 à 1h00 le lendemain.
c. Pour empêcher l’exécution de la règle lorsque le
contenu du répertoire source n’a pas été modifié,

334 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Option Description

cliquez surOnly run if source directory


contents are modified.
d. Pour créer des événements OneFS en cas de
dépassement d’un RPO spécifié, cliquez sur
Send RPO alerts after... et indiquez un RPO.
Supposons que vous définissiez un RPO de 5
hours. Une tâche démarre à 13h00 et se
termine à 15h00. Une deuxième tâche débute à
15h30 ; si elle ne se termine pas à 18h00 au plus
tard, SyncIQ crée un événement OneFS.

Remarque

Cette option est valide uniquement si les alertes


RPO ont été activées globalement, via les
paramètres de SyncIQ. Les événements portent
l’ID 400040020.

Exécuter les tâches a. Cliquez sur Whenever the source is modified.


automatiquement
chaque fois qu’une b. Pour faire en sorte que SyncIQ démarre une
modification est tâche de réplication en respectant un certain
effectuée dans le délai d’attente après une modification du
répertoire source répertoire source, cliquez sur Change-
Triggered Sync Job Delay et indiquez un délai.

Exécuter les tâches a. Cliquez sur Whenever a snapshot of the source


automatiquement directory is taken.
chaque fois qu’un
snapshot est créé dans b. Pour répliquer uniquement les données
le répertoire source contenues dans les snapshots qui correspondent
à un modèle de dénomination spécifique,
saisissez un modèle de dénomination de
snapshot dans la zone Run job if snapshot
name matches the following pattern.
c. Pour répliquer les données contenues dans tous
les snapshots qui ont été créés dans le répertoire
source avant la création de la règle, cliquez sur
Sync existing snapshots before policy
creation time.

À effectuer
L’étape suivante du processus de création d’une règle de réplication consiste à définir
les répertoires et les fichiers sources.

Spécifier les répertoires et les fichiers sources


Vous devez spécifier les répertoires et les fichiers que vous souhaitez répliquer.

Création d’une règle de réplication 335


Réplication des données avec SyncIQ

ATTENTION

Dans une règle de réplication SyncIQ, OneFS vous permet de spécifier un


répertoire source qui est assimilé à un répertoire cible ou qui est contenu dans un
répertoire cible, à partir d’une règle de réplication différente. Cet exemple
d’utilisation, appelé réplication en cascade, s’applique spécifiquement à des fins
de sauvegarde et doit être utilisé avec précaution. OneFS ne prend pas en charge
le processus de retour arrière dans ce cas.

Procédure
1. Dans la zone Source Cluster, dans le champ Source Root Directory, saisissez
le chemin d’accès complet du répertoire source que vous souhaitez répliquer sur
le cluster cible.
Vous devez spécifier un répertoire contenu dans /ifs. Vous ne pouvez pas
spécifier le répertoire /ifs/.snapshot ou l’un de ses sous-répertoires.

2. (Facultatif) Empêchez que des sous-répertoires spécifiques du répertoire


source soient répliqués.
l Pour inclure un répertoire, dans la zone Included Directories, cliquez sur
Add a directory path.
l Pour exclure un répertoire, dans la zone Excluded Directories, cliquez sur
Add a directory path.
3. (Facultatif) Empêchez que des fichiers spécifiques soient répliqués en
spécifiant des critères de mise en correspondance de fichiers.
a. Dans la zone File Matching Criteria, sélectionnez un type de filtre.
b. Sélectionnez un opérateur.
c. Saisissez une valeur.
Les fichiers non conformes aux critères spécifiés ne sont pas répliqués sur le
cluster cible. Par exemple, si vous spécifiez File Type doesn't
match .txt, SyncIQ ne réplique aucun fichier portant l’extension de
fichier .txt. Si vous spécifiez Created after 08/14/2013, SyncIQ ne
réplique aucun fichier créé avant le 14 août 2013.
Si vous voulez spécifier plusieurs critères de mise en correspondance de
fichiers, vous pouvez contrôler la manière dont les critères sont reliés entre eux
en cliquant sur Add an "Or" condition ou sur Add an "And" condition.

4. Indiquez à quels nœuds la règle de réplication doit se connecter lorsqu’elle


s’exécute.

Option Description
Connectez la règle à tous les Cliquez sur Run the policy on all nodes in
nœuds du cluster source. this cluster.

Connectez la règle uniquement a. Cliquez sur Run the policy only on nodes
aux nœuds contenus dans le in the specified subnet and pool.
sous-réseau et le pool
spécifiés. b. Dans la liste Subnet and pool,
sélectionnez le sous-réseau et le pool.

336 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Remarque

SyncIQ ne prend pas en charge les pools d’adresses IP allouées de manière


dynamique. Si une tâche de réplication se connecte à une adresse IP allouée de
manière dynamique, SmartConnect peut réattribuer l’adresse pendant qu’une
tâche de réplication est en cours d’exécution, ce qui entraîne la déconnexion de
la tâche et son échec.

À effectuer
L’étape suivante du processus de création d’une règle de réplication consiste à
spécifier le répertoire cible.

Spécifier le répertoire cible de la règle


Vous devez spécifier un cluster et un répertoire cibles dans lesquels répliquer les
données.
Procédure
1. Dans la zone Target Cluster, saisissez l’un des éléments suivants dans le champ
Target Host :
l Nom de domaine complet (FQDN) d’un nœud du cluster cible
l Nom d’hôte d’un nœud du cluster cible
l Nom d’une zone SmartConnect du cluster cible
l Adresse IPv4 ou IPv6 d’un nœud du cluster cible
l localhost
Les données sont alors répliquées dans un autre répertoire du cluster local.

Remarque

SyncIQ ne prend pas en charge les pools d’adresses IP allouées de manière


dynamique. Si une tâche de réplication se connecte à une adresse IP allouée de
manière dynamique, SmartConnect risque de réattribuer l’adresse alors qu’une
tâche de réplication est en cours d’exécution, ce qui déconnecterait la tâche et
entraînerait son échec.

2. Dans le champ Target Directory, saisissez le chemin absolu du répertoire du


cluster cible dans lequel vous voulez répliquer les données.

ATTENTION

Si vous indiquez un répertoire existant du cluster cible, assurez-vous qu’il


n’est pas la cible d’une autre règle de réplication. S’il s’agit d’une règle de
synchronisation, assurez-vous que le répertoire est vide. Tous les fichiers
sont supprimés de la cible d’une règle de synchronisation lors de la
première exécution de la règle.

Si le répertoire cible spécifié n’existe pas encore sur le cluster cible, il est créé
lors de la première exécution de la tâche. Il est conseillé de ne pas choisir le
répertoire /ifs. Si vous indiquez le répertoire /ifs, l’ensemble du cluster cible
est configuré en lecture seule, ce qui vous empêche d’y stocker d’autres
données.

Création d’une règle de réplication 337


Réplication des données avec SyncIQ

S’il s’agit d’une règle de copie et si les fichiers du répertoire cible ont le même
nom que ceux du répertoire source, les fichiers du répertoire cible sont
remplacés lors de l’exécution de la tâche.

3. Si vous voulez que les tâches de réplication se connectent uniquement aux


nœuds inclus dans la zone SmartConnect spécifiée par le cluster cible, cliquez
sur Connect only to the nodes within the target cluster SmartConnect
Zone.

À effectuer
L’étape suivante du processus de création d’une règle de réplication consiste à
spécifier les paramètres des snapshots cibles de la règle.

Configurer les paramètres des snapshots cibles d’une règle


Vous pouvez au besoin spécifier la manière dont sont générés les snapshots
d’archivage sur le cluster cible. Vous pouvez accéder aux snapshots d’archivage de la
même manière que vous accédez aux snapshots SnapshotIQ.
SyncIQ conserve toujours un snapshot sur le cluster cible pour faciliter le basculement
sur incident, quels que soient ces paramètres.
Procédure
1. Pour créer des snapshots d’archivage sur le cluster cible, accédez à la zone
Target Snapshots, puis sélectionnez Enable capture of snapshots on the
target cluster.
2. (Facultatif) Pour modifier l’alias par défaut du dernier snapshot créé
conformément à la règle de réplication, saisissez un nouvel alias dans le champ
Snapshot Alias Name.
Vous pouvez spécifier le nom d’alias en tant que modèle de dénomination de
snapshot. Par exemple, le modèle de dénomination suivant est valide :

%{PolicyName}-on-%{SrcCluster}-latest

L’exemple précédent génère des noms similaires à ce qui suit :

newPolicy-on-Cluster1-latest

3. (Facultatif) Pour modifier le modèle de dénomination des snapshots créés


conformément à la règle de réplication, saisissez un modèle de dénomination
dans le champ Snapshot Naming Pattern. Chaque snapshot généré pour cette
règle de réplication se voit attribuer un nom basé sur ce modèle.
Par exemple, le modèle de dénomination suivant est valide :

%{PolicyName}-from-%{SrcCluster}-at-%H:%M-on-%m-%d-%Y

Cet exemple produit des noms semblables au suivant :

newPolicy-from-Cluster1-at-10:30-on-7-12-2012

4. Sélectionnez l’une des options suivantes pour définir le mode d’expiration des
snapshots :
l Cliquez sur Snapshots do not expire.

338 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

l Cliquez sur Snapshots expire after..., puis spécifiez une période


d’expiration.
À effectuer
L’étape suivante du processus de création d’une règle de réplication consiste à
configurer les paramètres avancés de la règle.

Configurer les paramètres avancés d’une règle


Vous pouvez éventuellement configurer les paramètres avancés d’une règle de
réplication.
Procédure
1. (Facultatif) Dans le champ Priority, indiquez si la stratégie est associée à une
priorité.
Si vous sélectionnez Normal, les tâches créées par la règle ne seront pas
prioritaires. Si vous sélectionnez High, les tâches créées par la règle seront
prioritaires.
2. (Facultatif) Dans la liste Log Level, sélectionnez le niveau de consignation que
SyncIQ doit appliquer aux tâches de réplication.
Les niveaux de consignation suivants, présentés du moins explicite au plus
explicite, sont valides :
l Fatal
l Error
l Notice
l Info
l Copy
l Debug
l Trace
Les logs de réplication sont généralement utilisés à des fins de débogage. Si
nécessaire, vous pouvez vous connecter à un nœud via l’interface de ligne de
commande et afficher le contenu du fichier /var/log/isi_migrate.log
sur le nœud.

Remarque

Notice correspond au niveau de consignation recommandé.

3. (Facultatif) Si vous voulez que SyncIQ calcule un checksum pour chaque


paquet de données de fichier qui est affecté par la règle de réplication, activez
la case à cocher Validate File Integrity.
Si vous activez cette option mais que les valeurs de checksum d’un paquet de
données de fichier ne correspondent pas, SyncIQ retransmet le paquet affecté.

4. (Facultatif) Pour accélérer le retour arrière de la règle, cliquez sur Prepare


policy for accelerated failback performance.
Cette option permet à SyncIQ d’effectuer les tâches de configuration du retour
arrière lors de la prochaine exécution d’une tâche, sans attendre que le
processus de retour arrière ait lieu. Cela réduit le temps nécessaire pour
effectuer les opérations de retour arrière lors du lancement de la procédure de
retour arrière.

Création d’une règle de réplication 339


Réplication des données avec SyncIQ

5. (Facultatif) Pour modifier la durée pendant laquelle SyncIQ conserve les


rapports de réplication de la règle, indiquez une durée dans la zone Keep
Reports For.
Une fois la période d’expiration spécifiée pour un rapport écoulée, SyncIQ
supprime automatiquement le rapport.
Lorsque vous consultez un rapport, certaines unités de temps ne s’affichent pas
de la même manière que lorsqu’elles ont été saisies. La saisie d’un nombre de
jours égal à une valeur correspondante en semaines, en mois ou en années
entraîne l’affichage de l’unité de temps la plus grande. Par exemple, si vous
saisissez la valeur 7 days, le rapport, une fois créé, affiche 1 week. La raison
de ce changement est que SyncIQ enregistre en interne les durées de
conservation des rapports en secondes, puis les convertit en jours, semaines,
mois ou années.

6. (Facultatif) Indiquez s’il faut enregistrer les informations relatives aux fichiers
supprimés par les tâches de réplication en sélectionnant l’une des options
suivantes :
l Cliquez sur Record when a synchronization deletes files or directories.
l Cliquez sur Do not record when a synchronization deletes files or
directories.
Cette option s’applique uniquement aux règles de synchronisation.

7. Indiquez la manière dont la règle réplique les fichiers SmartLink de CloudPools.


Si vous sélectionnez Deny, SyncIQ réplique tous les fichiers SmartLink de
CloudPools sur le cluster cible en tant que tels. Si le cluster cible ne prend pas
en charge CloudPools, la tâche échoue. Si vous sélectionnez Force, SyncIQ
réplique tous les fichiers SmartLink sur le cluster cible comme des fichiers
ordinaires. Si vous sélectionnez Allow, SyncIQ tente de répliquer les fichiers
SmartLink sur le cluster cible en tant que tels. Si le cluster cible ne prend pas en
charge CloudPools, SyncIQ réplique les fichiers SmartLink comme des fichiers
ordinaires.

À effectuer
L’étape.suivante du processus de création d’une règle de réplication consiste à
enregistrer les paramètres de cette règle de réplication.

Enregistrer les paramètres d’une règle de réplication


SyncIQ ne crée pas de tâches de réplication pour une règle de réplication tant que
vous n’avez pas enregistré cette dernière.
Avant de commencer
Vérifiez les paramètres actuels de la règle de réplication. Modifiez-les si nécessaire.
Procédure
1. Dans la boîte de dialogue Create SyncIQ Policy, cliquez sur Create Policy
après avoir défini les paramètres de la règle.

Évaluer une règle de réplication


Avant d’exécuter une règle de réplication pour la première fois, vous pouvez afficher
les statistiques des fichiers qui seraient affectés par la réplication sans transférer ces
fichiers. Cela peut être utile si vous souhaitez afficher un aperçu de la taille du Dataset
qui sera transféré si vous exécutez la règle.

340 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Remarque

Vous ne pouvez tester que les règles de réplication qui n’ont jamais été exécutées.

Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau SyncIQ Policies, sur la ligne d’une règle de réplication, dans la
colonne Actions, sélectionnez Assess Sync.
3. Cliquez sur Data Protection > SyncIQ > Summary.
4. Une fois la tâche exécutée, dans le tableau SyncIQ Recent Reports, sur la ligne
de la tâche de réplication, cliquez sur View Details.
Le rapport affiche le volume total de données qui auraient été transférées dans
le champ Total Data.

Gestion de la réplication sur des clusters distants


Vous pouvez exécuter, afficher, évaluer, interrompre, reprendre, annuler, résoudre et
réinitialiser manuellement les tâches de réplication qui ciblent d’autres clusters.
Après le démarrage d’une tâche liée à une règle, vous pouvez interrompre la tâche
pour suspendre les activités de réplication. Ensuite, vous pouvez reprendre la tâche et
poursuivre la réplication à partir du point où la tâche a été interrompue. Vous pouvez
également annuler une tâche de réplication en cours d’exécution ou interrompue pour
libérer les ressources du cluster qui lui sont allouées. Une tâche interrompue réserve
les ressources du cluster, qu’elles soient utilisées ou non. Une tâche annulée libère les
ressources du cluster et permet à une autre tâche de réplication de les consommer. Il
ne peut pas y avoir plus de cinq tâches de réplication en cours ou interrompues à la
fois sur un cluster. En revanche, il peut y avoir un nombre illimité de tâches de
réplication annulées sur un cluster. Si une tâche de réplication reste interrompue
durant plus d’une semaine, SyncIQ l’annule automatiquement.

Démarrer une tâche de réplication


Vous pouvez démarrer manuellement une tâche de réplication pour une règle de
réplication à tout moment.
Si vous voulez répliquer les données en fonction d’un snapshot existant, à l’invite de
commandes du système OneFS, exécutez la commande isi sync jobs start
avec l’option --source-snapshot. Vous ne pouvez pas répliquer les données en
fonction des snapshots générés par SyncIQ.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau SyncIQ Policies, accédez à la colonne Actions d’une tâche,
puis sélectionnez Start Job.

Interrompre une tâche de réplication


Vous pouvez interrompre une tâche de réplication, puis la reprendre ultérieurement. Le
fait de suspendre une tâche de réplication arrête temporairement la réplication des
données, mais ne libère pas les ressources du cluster engagées dans le processus de
réplication.

Gestion de la réplication sur des clusters distants 341


Réplication des données avec SyncIQ

Procédure
1. Cliquez sur Data Protection > SyncIQ > Summary.
2. Dans le tableau Active Jobs, dans la colonne Actions d’une tâche, cliquez sur
Pause Running Job.

Reprendre une tâche de réplication


Vous pouvez reprendre une tâche de réplication interrompue.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Summary.
2. Dans le tableau Currently Running, accédez à la colonne Actions d’une tâche,
puis cliquez sur Resume Running Job.

Annuler une tâche de réplication


Vous pouvez annuler une tâche de réplication en cours ou interrompue. L’annulation
d’une tâche de réplication met fin à la réplication des données et libère les ressources
de cluster qui étaient utilisées pour répliquer les données. Vous ne pouvez pas
reprendre une tâche de réplication annulée. Pour redémarrer la réplication, vous devez
redémarrer la règle de réplication.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Summary.
2. Dans le tableau Active Jobs, dans la colonne Actions d’une tâche, cliquez sur
Cancel Running Job.

Afficher les tâches de réplication actives


Vous pouvez afficher des informations sur les tâches de réplication en cours ou
interrompues.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau Active Jobs, vous pouvez consulter les informations relatives
aux tâches de réplication actives.

Informations sur les tâches de réplication


Vous pouvez afficher les informations sur les tâches de réplication via le tableau
Active Jobs
Status
État de la tâche. Les états de tâches suivants existent :
Running
La tâche est en cours d’exécution sans erreur.

Paused
La tâche a été temporairement interrompue.

Policy Name
Nom de la règle de réplication associée.

342 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Started
Heure à laquelle la tâche a débuté.

Elapsed
Temps écoulé depuis que la tâche a démarré.

Transferred
Nombre de fichiers qui ont été transférés et taille totale de l’ensemble des fichiers
transférés.

Source Directory
Chemin du répertoire source sur le cluster source.

Target Host
Répertoire cible sur le cluster cible.

Actions
Affiche toutes les actions relatives à la tâche que vous pouvez effectuer.

Démarrage du basculement sur incident et du retour arrière


des données avec SyncIQ
Vous pouvez basculer d’un cluster Isilon vers un autre si, par exemple, le cluster
principal n’est plus disponible. Vous pouvez ensuite effectuer un retour arrière sur le
cluster principal si celui-ci redevient disponible. Vous pouvez annuler le basculement si
vous décidez qu’il est inutile ou si vous l’avez effectué à des fins de test.

Remarque

Le basculement et le retour arrière des données sont désormais pris en charge pour les
répertoires SmartLock d’entreprise et de conformité. Les répertoires de conformité
SmartLock peuvent uniquement être créés sur des clusters qui ont été configurés en
mode de conformité lors de leur configuration initiale.

Faire basculer des données vers un cluster secondaire


Vous pouvez basculer vers un cluster Isilon secondaire si le cluster principal n’est plus
disponible.
Avant de commencer
Vous devez avoir créé et exécuté une règle de réplication sur le cluster principal. De
cette façon, les données sont répliquées vers le cluster secondaire.

Remarque

Le basculement des données est pris en charge pour les répertoires SmartLock
d’entreprise et de conformité. Un répertoire de conformité SmartLock requiert sa
propre règle de réplication distincte.

Exécutez la procédure suivante pour chaque règle de réplication que vous souhaitez
faire basculer.
Procédure
1. Si votre cluster principal est toujours en ligne, procédez comme suit :

Démarrage du basculement sur incident et du retour arrière des données avec SyncIQ 343
Réplication des données avec SyncIQ

a. Arrêtez toutes les écritures vers le chemin de la règle de réplication, y


compris les activités locales et celles des clients.
Cette action garantit qu’aucune nouvelle donnée n’est écrite vers le chemin
de la règle pendant que vous préparez le basculement vers le cluster
secondaire.

b. Modifiez la règle de réplication de façon qu’elle soit exécutable


manuellement uniquement.
Cette action permet d’éviter que la règle du cluster principal n’exécute
automatiquement une tâche de réplication. Si la règle du cluster principal
exécute une tâche de réplication alors que les écritures sont autorisées sur le
répertoire cible, la tâche échoue et la règle de réplication est désactivée. Si
cela se produit, modifiez la règle afin qu’elle ne soit exécutable que
manuellement, résolvez la règle et terminez le processus de retour arrière.
Une fois le processus de retour arrière terminé, vous pouvez modifier la règle
de sorte qu’elle s’exécute à nouveau en mode planifié.
2. Sur le cluster secondaire, cliquez sur Data Protection > SyncIQ > Local
Targets.
3. Dans le tableau SyncIQ Local Targets, sélectionnez More > Allow Writes en
regard d’une règle de réplication.
4. Réactivez l’accès client et indiquez aux utilisateurs qu’ils doivent désormais
accéder à leurs données à partir du cluster secondaire.

Annuler une opération de reprise


L’annulation d’une opération de reprise sur un cluster secondaire vous permet de
répliquer de nouveau les données du cluster principal vers le cluster secondaire.
L’annulation d’une opération de reprise est utile si le cluster principal devient
disponible avant que les données ne soient modifiées sur le cluster secondaire ou si
vous avez basculé vers un cluster secondaire à des fins de test.
Avant de commencer
Le basculement s’effectue par l’exécution d’une règle de réplication.
L’annulation d’une opération de reprise ne renvoie pas les données modifiées sur le
cluster principal. Pour migrer les données modifiées par les clients sur le cluster
secondaire, vous devez effectuer un retour arrière vers le cluster principal.
Exécutez la procédure suivante pour chaque règle de réplication que vous souhaitez
basculer :
Procédure
1. Cliquez sur Data Protection > SyncIQ > Local Targets.
2. Dans le tableau SyncIQ Local Targets, accédez à la ligne d’une règle de
réplication et, dans la colonne Actions, sélectionnez Disallow Writes.

Effectuer un retour arrière des données sur un cluster principal


Après un basculement sur incident sur un cluster secondaire, vous pouvez effectuer
un retour arrière sur le cluster principal.
Avant de commencer
Pour pouvoir effectuer un retour arrière vers le cluster principal, vous devez avoir déjà
basculé sur le cluster secondaire. En outre, vous devez vous assurer que le cluster
principal est de nouveau en ligne.

344 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Remarque

Le retour arrière des données est pris en charge pour les répertoires SmartLock
d’entreprise et de conformité. Si des clients ont validé de nouveaux fichiers
SmartLock alors que le cluster secondaire était en fonctionnement, ces fichiers
SmartLock sont répliqués vers le cluster principal lors du retour arrière.

Procédure
1. Sur le cluster principal, cliquez sur Data Protection > SyncIQ > Policies.
2. Dans la liste SyncIQ Policies, en regard d’une règle de réplication, cliquez sur
More > Resync-prep.
Suite à cette action, SyncIQ crée une règle de mise en miroir pour la règle de
réplication sur le cluster secondaire. La règle de mise en miroir est placée sous
Data Protection > SyncIQ > Local Targets sur le cluster secondaire.
SyncIQ nomme les règles miroirs selon le modèle suivant :

<replication-policy-name>_mirror
3. Avant de commencer le processus de retour arrière, empêchez les clients
d’accéder au cluster secondaire.
Cette action garantit que SyncIQ applique le retour arrière au Dataset le plus
récent, en incluant toutes les modifications que les utilisateurs ont apportées
aux données sur le cluster secondaire lorsque le cluster principal était hors
service. Nous vous recommandons d’attendre que l’activité des clients soit
réduite avant de bloquer l’accès au cluster secondaire.
4. Sur le cluster secondaire, cliquez sur Data Protection > SyncIQ > Policies.
5. Dans la liste SyncIQ Policies, en regard de la règle de mise en miroir, cliquez
sur More > Start Job.
Vous pouvez également modifier la règle de mise en miroir sur le cluster
secondaire et définir un planning pour exécuter celle-ci.
6. Sur le cluster principal, cliquez sur Data Protection > SyncIQ > Local Targets.
7. Sur le cluster principal, dans la liste SyncIQ Local Targets, en regard de la règle
de mise en miroir, sélectionnez More > Allow Writes.
8. Sur le cluster secondaire, cliquez sur Data Protection > SyncIQ > Policies.
9. Sur le cluster secondaire, dans la liste SyncIQ Policies, cliquez sur More >
Resync-prep en regard de la règle de mise en miroir.
Cette action rétablit le cluster secondaire en lecture seule et garantit que les
Datasets sont cohérents sur les deux clusters, principal et secondaire.

À effectuer
Redirigez les clients pour qu’ils accèdent désormais à leurs données sur le cluster
principal. Il est possible, bien que cela ne soit pas obligatoire, de supprimer sans risque
une règle de mise en miroir après l’exécution d’un retour arrière.

Reprise après sinistre pour les répertoires SmartLock plus


anciens
Si vous avez répliqué un répertoire de conformité SmartLock sur un cluster secondaire
exécutant OneFS 7.2.1 ou version antérieure, vous ne pouvez pas effectuer un retour

Reprise après sinistre pour les répertoires SmartLock plus anciens 345
Réplication des données avec SyncIQ

arrière du répertoire de conformité SmartLock sur un cluster principal exécutant


OneFS 8.0.1. Toutefois, vous pouvez restaurer le répertoire de conformité SmartLock
stocké sur le cluster secondaire et le migrer vers le cluster principal.

Remarque

Le basculement et le retour arrière des données avec des versions antérieures de


OneFS sont pris en charge pour les répertoires d’entreprise SmartLock.

Restaurer des répertoires de conformité SmartLock sur un cluster cible


Vous pouvez restaurer des répertoires de conformité SmartLock que vous avez
répliqués vers un cluster secondaire exécutant OneFS 7.2.1 ou version antérieure.
Exécutez la procédure suivante pour chaque répertoire de conformité SmartLock que
vous souhaitez restaurer.
Procédure
1. Sur le cluster secondaire, cliquez sur Data Protection > SyncIQ > Local
Targets.
2. Dans le tableau SyncIQ Local Targets, en regard de la règle de réplication,
activez les écritures dans le répertoire cible de la règle.
l Si la dernière tâche de réplication s’est achevée correctement et si aucune
tâche de réplication n’est en cours d’exécution, sélectionnez Allow Writes.
l Si une tâche de réplication est en cours d’exécution, attendez qu’elle se
termine, puis sélectionnez Allow Writes.
l Si le cluster principal devient indisponible pendant l’exécution d’une tâche de
réplication, sélectionnez Break Association. Vous ne devez rompre
l’association que si le cluster principal a été définitivement mis hors ligne.
3. Si vous avez cliqué sur Break Association, restaurez tout fichier laissé dans un
état incohérent.
a. Supprimez tous les fichiers qui ne sont pas passés à l’état WORM à partir du
répertoire cible.
b. Copiez tous les fichiers du snapshot ayant fait l’objet d’un basculement sur
incident vers le répertoire cible.
Les snapshots ayant fait l’objet d’un basculement sur incident sont nommés
en fonction du modèle de dénomination suivant :

SIQ-Failover-<policy-name>-<year>-<month>-<day>_<hour>-
<minute>-<second>

Les snapshots sont stockés dans le répertoire /ifs/.snapshot.

4. Si des paramètres de configuration des répertoires SmartLock, tels qu’une


période de validation automatique, ont été spécifiés pour le répertoire source de
la règle de réplication, appliquez-les au répertoire cible.
Les informations de validation automatique ne sont pas transmises au cluster
cible. Par conséquent, les fichiers pour lesquels une validation à l’état WORM
avait été planifiée sur le cluster source d’origine ne passeront pas à cet état au
même moment sur le cluster cible. Pour garantir un délai de rétention approprié
pour chaque fichier, vous pouvez valider tous les fichiers des répertoires
SmartLock cibles à l’état WORM.

346 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Par exemple, la commande suivante permet de faire passer automatiquement


tous les fichiers du répertoire /ifs/data/smartlock à l’état WORM après
une minute :

isi worm domains modify /ifs/data/smartlock --autocommit-


offset 1m

À effectuer
Redirigez les clients pour qu’ils accèdent au cluster cible.

Migrer les répertoires de conformité SmartLock


Vous pouvez migrer les répertoires de conformité SmartLock à partir d’un cluster de
restauration, en répliquant les répertoires vers le cluster source d’origine ou vers un
nouveau cluster. La migration est uniquement nécessaire lorsque le cluster de
restauration exécute OneFS 7.2.1 ou version antérieure. Ces versions de OneFS ne
prennent pas en charge le basculement et le retour arrière des répertoires de
conformité SmartLock.
Procédure
1. Sur le cluster de restauration, créez une règle de réplication pour chaque
répertoire de conformité SmartLock que vous souhaitez migrer vers un autre
cluster (le cluster principal d’origine ou un nouveau cluster).
La règle doit respecter les exigences suivantes :
l Le répertoire source du cluster de restauration est le répertoire de
conformité SmartLock que vous migrez.
l Le répertoire cible est un répertoire de conformité SmartLock vide sur le
cluster vers lequel vous souhaitez migrer les données. Les répertoires source
et cible doivent tous deux être des répertoires de conformité SmartLock.

2. Répliquez les données de restauration vers le répertoire cible en exécutant les


règles que vous avez créées.
Vous pouvez répliquer des données en démarrant manuellement les règles ou en
définissant un planning.

3. (Facultatif) Pour vous assurer que la protection SmartLock est appliquée à tous
les fichiers, validez tous les fichiers migrés dans le répertoire SmartLock cible à
l’état WORM.
Étant donné que les informations de validation automatique ne sont pas
transférées depuis le cluster de restauration, validez tous les fichiers migrés
dans les répertoires SmartLock cibles à l’état WORM.
Par exemple, la commande suivante permet de faire passer automatiquement
tous les fichiers du répertoire /ifs/data/smartlock à l’état WORM après
une minute :

isi worm domains modify /ifs/data/smartlock --autocommit-


offset 1m

Cette étape est inutile si vous avez configuré une période de validation
automatique pour les répertoires SmartLock que vous migrez.
4. Sur le cluster contenant les données migrées, cliquez sur Data Protection >
SyncIQ > Local Targets.

Migrer les répertoires de conformité SmartLock 347


Réplication des données avec SyncIQ

5. Dans le tableau SyncIQ Local Targets, en regard de chaque règle de


réplication, sélectionnez More > Allow Writes.
6. (Facultatif) Si des paramètres de configuration du répertoire SmartLock, tels
qu’une période de validation automatique, ont été définis pour les répertoires
sources des règles de réplication, appliquez ces paramètres aux répertoires
cibles du cluster qui contient désormais les données migrées.
7. (Facultatif) Supprimez la copie des données SmartLock sur le cluster de
restauration.
Vous ne pourrez récupérer l’espace occupé par les répertoires SmartLock
sources qu’une fois que plus aucun fichier ne sera à l’état WORM. Si vous
souhaitez libérer cet espace avant que les fichiers passent à un autre état que
WORM, contactez le support technique Isilon pour obtenir des informations sur
le reformatage de votre cluster de restauration.

Gestion des règles de réplication


Vous pouvez modifier, afficher, activer et désactiver les règles de réplication.

Modifier une règle de réplication


Vous pouvez modifier les paramètres d’une règle de réplication.
Si vous modifiez l’un des paramètres suivants de la règle après l’exécution de celle-ci,
OneFS effectue une réplication complète ou différentielle lors de la prochaine
exécution de la règle :
l Répertoire source
l Répertoires inclus ou exclus
l Déclaration relative aux critères des fichiers
l Cluster cible
Cela s’applique uniquement lorsque vous ciblez un cluster différent. Si vous
modifiez l’adresse IP ou le nom de domaine d’un cluster cible, puis modifiez la règle
de réplication sur le cluster source pour qu’elle corresponde à la nouvelle
adresse IP ou au nouveau nom de domaine, une réplication complète ne sera pas
effectuée.
l Répertoire cible
Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau SyncIQ Policies, sur la ligne correspondant à la règle, cliquez
sur View/Edit.
3. Dans la boîte de dialogue View SyncIQ Policy Details, cliquez sur Edit Policy.
4. Modifiez les paramètres de la règle de réplication, puis cliquez sur Save
Changes.

Supprimer une règle de réplication


Vous pouvez supprimer une règle de réplication. Une fois qu’une règle est supprimée,
SyncIQ ne crée plus de tâches de réplication pour cette règle. La suppression d’une
règle de réplication rompt l’association cible sur le cluster cible et autorise les écritures
sur le répertoire cible.

348 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Si vous souhaitez suspendre temporairement une règle de réplication afin qu’elle cesse
de créer des tâches de réplication, vous pouvez la désactiver et la réactiver
ultérieurement.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau SyncIQ Policies, accédez à la ligne d’une règle, puis
sélectionnez Delete Policy.
3. Dans la fenêtre de confirmation, cliquez sur Delete.

Remarque

L’opération échoue jusqu’à ce que SyncIQ puisse communiquer avec le cluster


cible ; entre-temps, la règle n’est pas supprimée du tableau SyncIQ Policies.
Une fois que la connexion entre le cluster source et le cluster cible est rétablie,
SyncIQ supprime la règle lors de la prochaine exécution planifiée de la tâche. Si
la règle est configurée pour une exécution manuelle uniquement, vous devez la
réexécuter manuellement. Si SyncIQ ne peut définitivement plus communiquer
avec le cluster cible, exécutez la commande isi sync policies delete
avec l’option --local-only. Cette action supprime la règle du cluster local
uniquement et ne rompt pas l’association cible sur le cluster cible. Pour plus
d’informations, consultez le Guide d’administration CLI OneFS.

Activer ou désactiver une règle de réplication


Vous pouvez suspendre temporairement la création de tâches de réplication par une
règle de réplication, puis la réactiver ultérieurement.

Remarque
Si vous désactivez une règle de réplication alors qu’une tâche de réplication associée
est en cours d’exécution, cette tâche n’est pas interrompue. Cependant, la règle ne
crée plus de nouvelle tâche jusqu’à ce qu’elle soit réactivée.

Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau SyncIQ Policies, sur la ligne de la règle de réplication,
sélectionnez Enable Policy ou Disable Policy.
Si Enable Policy et Disable Policy ne s’affichent pas, vérifiez qu’une tâche de
réplication n’est pas en cours d’exécution pour cette règle. Si aucune tâche de
réplication associée n’est en cours d’exécution, assurez-vous que la licence
SyncIQ est active sur le cluster.

Afficher les règles de réplication


Vous pouvez afficher des informations sur les règles de réplication.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau SyncIQ Policies, consultez les informations sur les règles de
réplication.

Activer ou désactiver une règle de réplication 349


Réplication des données avec SyncIQ

Informations sur les règles de réplication


Vous pouvez afficher des informations sur les règles de réplication dans le tableau
SyncIQ Policies.
Policy Name
Nom de la règle.

State
Indique si la règle est activée ou désactivée.
Last Known Good
Indique la dernière fois où la tâche s’est exécutée avec succès.

Planning
Indique la prochaine exécution planifiée de la tâche. La valeur Manual indique que
la tâche peut uniquement être exécutée manuellement. La valeur When source is
modified indique que la tâche s’exécute chaque fois que des modifications sont
apportées au répertoire source.

Source Directory
Chemin du répertoire source sur le cluster source.

Target Host Répertoire


Adresse IP ou nom de domaine complet du cluster cible et chemin complet du
répertoire cible.

Actions
Toute action relative à la règle que vous pouvez exécuter.

Paramètres des règles de réplication


Vous pouvez configurer des règles de réplication pour qu’elles s’exécutent selon
certains paramètres.
Policy name
Nom de la règle.

Description
Décrit la règle. Par exemple, la description peut expliquer l’objet ou la fonction de
la règle.

Enabled
Détermine si la règle est activée.
Action
Détermine la manière dont la règle réplique les données. Toutes les règles copient
les fichiers du répertoire source vers le répertoire cible et mettent à jour les
fichiers dans le répertoire cible pour qu’ils correspondent à ceux du répertoire
source. L’action détermine la manière dont la suppression d’un fichier du
répertoire source affecte la cible. Les valeurs suivantes sont valides :
Copy
Si un fichier est supprimé du répertoire source, il n’est pas supprimé du
répertoire cible.

350 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Synchronize
Supprime les fichiers du répertoire cible s’ils ne sont plus présents dans la
source. Cela garantit qu’un réplica exact du répertoire source est conservé
sur le cluster cible.

Run job
Détermine si les tâches sont exécutées automatiquement en fonction d’un
planning ou uniquement lorsqu’elles sont spécifiées manuellement par un
utilisateur.

Last Successful Run


Affiche la dernière date d’exécution réussie d’une tâche de réplication pour la
règle.

Last Started
Affiche la dernière date d’exécution de la règle.

Source Root Directory


Chemin complet du répertoire source. Les données sont répliquées du répertoire
source vers le répertoire cible.
Included Directories
Détermine les répertoires à inclure dans la réplication. Si un ou plusieurs
répertoires sont spécifiés par ce paramètre, les répertoires non spécifiés ne sont
pas répliqués.

Excluded Directories
Détermine les répertoires à exclure de la réplication. Aucun répertoire spécifié par
ce paramètre n’est répliqué.

File Matching Criteria


Détermine les fichiers à exclure de la réplication. Les fichiers non conformes aux
critères spécifiés ne sont pas répliqués.

Restrict Source Nodes


Détermine si la règle peut s’exécuter sur tous les nœuds du cluster source ou
uniquement sur des nœuds spécifiques.

Target Host
Adresse IP ou nom de domaine complet du cluster cible.

Target Directory
Chemin complet du répertoire cible. Les données sont répliquées vers le
répertoire cible à partir du répertoire source.

Restrict Target Nodes


Détermine si la règle peut se connecter à tous les nœuds du cluster cible ou
uniquement à des nœuds spécifiques.

Capture Snapshots
Détermine si les snapshots d’archivage sont générés sur le cluster cible.

Snapshot Alias Name


Spécifie un alias de snapshot pour le dernier snapshot d’archivage créé sur le
cluster cible.

Paramètres des règles de réplication 351


Réplication des données avec SyncIQ

Snapshot Naming Pattern


Détermine le modèle de dénomination des snapshots d’archivage sur le cluster
cible.

Snapshot Expiration
Spécifie la durée pendant laquelle les snapshots d’archivage sont conservés sur le
cluster cible avant d’être automatiquement supprimés par le système.

Workers Threads Per Node


Spécifie le nombre d’unités de travail par nœud qui sont générées par OneFS pour
chaque tâche de réplication correspondant à la règle.

Log Level
Indique la quantité d’informations consignées pour les tâches de réplication.
Les options plus explicites incluent toutes les informations des options moins
explicites. La liste suivante décrit les niveaux de consignation, du moins explicite
au plus explicite :
l Irrécupérable
l Error
l Notice
l Info
l Copy
l Debug
l Traçage
Les logs de réplication sont généralement utilisés à des fins de débogage. Si
nécessaire, vous pouvez vous connecter à un nœud via l’interface de ligne de
commande et afficher le contenu du fichier /var/log/isi_migrate.log sur
le nœud.

Remarque

Il s’agit du niveau de consignation recommandé.

Validate File Integrity


Détermine si OneFS calcule ou non un checksum pour chaque paquet de données
de fichier affecté par une tâche de réplication. Si une valeur de checksum ne
correspond pas, OneFS retransmet le paquet de données de fichier concerné.

Keep Reports For


Spécifie la durée pendant laquelle les rapports de réplication sont conservés avant
d’être automatiquement supprimés par OneFS.

Log Deletions on Synchronization


Détermine si OneFS consigne les suppressions de fichier ou de répertoire
effectuées sur le cluster cible par une tâche de synchronisation.

Les champs suivants de la règle de réplication sont disponibles uniquement via


l’interface de ligne de commande OneFS.
Source Subnet
Spécifie si les tâches de réplication se connectent à tous les nœuds du cluster ou
si elles peuvent se connecter uniquement aux nœuds d’un sous-réseau spécifique.

352 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Source Pool
Spécifie si les tâches de réplication se connectent à tous les nœuds du cluster ou
si elles peuvent se connecter uniquement aux nœuds d’un pool spécifique.

Password Set
Spécifie un mot de passe permettant d’accéder au cluster cible.

Report Max Count


Spécifie le nombre maximal de rapports de réplication conservés pour cette règle.

Target Compare Initial Sync


Détermine si des réplications complètes ou différentielles sont exécutées pour
cette règle. Des réplications complètes ou différentielles sont effectuées
lorsqu’une règle s’exécute pour la première fois et lorsqu’elle est réinitialisée.

Source Snapshot Archive


Détermine si les snapshots générés sur le cluster source pour la règle de
réplication sont supprimés lors de l’exécution de la règle de réplication suivante.
L’activation des snapshots d’archivage sources ne vous oblige pas à activer la
licence SnapshotIQ sur le cluster.
Source Snapshot Pattern
Si les snapshots générés sur le cluster source pour la règle de réplication sont
conservés, renomme les snapshots selon le modèle spécifié.

Source Snapshot Expiration


Si les snapshots générés sur le cluster source pour la règle de réplication sont
conservés, spécifie la période d’expiration des snapshots.

Restrict Target Network


Détermine si les tâches de réplication se connectent uniquement aux nœuds d’une
zone SmartConnect donnée. Ce paramètre s’applique seulement si l’hôte cible est
spécifié en tant que zone SmartConnect.

Target Detect Modifications


Détermine si SyncIQ doit vérifier si le répertoire cible a été modifié avant de
répliquer les fichiers. Par défaut, SyncIQ vérifie toujours les modifications.

Remarque

La désactivation de cette option peut entraîner une perte de données. Il est


recommandé de consulter le support technique Isilon avant de désactiver cette
option.

Resolve
Détermine si vous pouvez résoudre manuellement la règle lorsqu’une tâche de
réplication rencontre une erreur.

Gestion de la réplication vers le cluster local


Vous pouvez interrompre les tâches de réplication qui ciblent le cluster local.
Vous pouvez annuler une tâche en cours d’exécution qui cible le cluster local ou
rompre l’association entre une règle et la cible spécifiée pour celle-ci. La rupture de

Gestion de la réplication vers le cluster local 353


Réplication des données avec SyncIQ

l’association d’un cluster source et d’un cluster cible entraîne une réplication complète
par SyncIQ lors de la prochaine exécution de la règle.

Annuler la réplication sur le cluster local


Vous pouvez annuler une tâche de réplication ciblant les clusters locaux.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Local Targets.
2. Dans le tableau SyncIQ Local Targets, indiquez s’il faut annuler une tâche de
réplication spécifique ou toutes les tâches de réplication ciblant le cluster local.
l Pour annuler une tâche spécifique, sélectionnez Cancel Running Job sur la
ligne de la tâche de réplication.
l Pour annuler toutes les tâches ciblant le cluster local, activez la case à
cocher en regard de Policy Name, puis sélectionnez Cancel Selection dans
la liste Select a bulk action.

Rompre l’association avec la cible locale


Vous pouvez supprimer l’association entre une règle de réplication et le cluster local.
La rupture de l’association avec la cible autorise les écritures dans le répertoire cible,
mais exige également que vous réinitialisiez la règle de réplication avant de la
réexécuter.

ATTENTION

Une fois qu’une règle de réplication a été redéfinie, SyncIQ effectue une
réplication complète ou différentielle à la prochaine exécution de la règle. En
fonction de la quantité de données en cours de réplication, une réplication
complète ou différentielle peut prendre beaucoup de temps.

Procédure
1. Cliquez sur Data Protection > SyncIQ > Local Targets.
2. Dans le tableau SyncIQ Local Targets, sélectionnez Break Association sur la
ligne d’une règle de réplication.
3. Dans la boîte de dialogue Confirm, cliquez sur Yes.

Afficher les règles de réplication qui ciblent le cluster local


Vous pouvez afficher des informations sur les règles de réplication qui répliquent
actuellement des données sur le cluster local.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Local Targets.
2. Dans le tableau SyncIQ Local Targets, les informations sur les règles de
réplication s’affichent.

Informations relatives aux règles de réplication à distance


Vous pouvez afficher des informations concernant les règles de réplication qui ciblent
actuellement le cluster local.
Les informations suivantes s’affichent dans le tableau SyncIQ Local Targets :

354 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

ID
Identifiant de la règle de réplication.

Policy Name
Nom de la règle de réplication.

Source Host
Nom du cluster source.

Source Cluster GUID


GUID du cluster source.

Coordinator IP
Adresse IP du nœud du cluster source qui agit en tant que coordinateur de la
tâche.

Mise à jour
Heure de dernière collecte des données relatives à la règle ou à la tâche à partir
du cluster source.

Target Path
Chemin du répertoire cible sur le cluster cible.

Status
État actuel de la tâche de réplication.

Actions
Affiche toutes les actions relatives à la tâche que vous pouvez effectuer.

Gestion des règles de performances pour la réplication


Pour gérer l’impact de la réplication sur les performances du cluster, vous pouvez
créer des règles qui limitent le trafic réseau créé et la fréquence à laquelle les fichiers
sont envoyés par les tâches de réplication.

Créer une règle de trafic réseau


Vous pouvez créer une règle de trafic réseau qui limite le volume de trafic réseau que
les règles de réplication sont autorisées à générer au cours de la période spécifiée.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Performance Rules.
2. Cliquez sur Create a SyncIQ Performance Rule.
3. Dans la liste Rule Type, sélectionnez Bandwidth.
4. Dans le champ Limit, indiquez le nombre maximal de kilobits par seconde que
les règles de réplication sont autorisées à envoyer.
5. Dans la zone Schedule, spécifiez l’heure et les jours de la semaine où vous
souhaitez appliquer la règle.
6. Cliquez sur Create Performance Rule.

Gestion des règles de performances pour la réplication 355


Réplication des données avec SyncIQ

Créer une règle d’opérations de fichier


Vous pouvez créer des règles relatives aux opérations sur les fichiers qui limitent le
nombre de fichiers que les tâches de réplication peuvent envoyer par seconde.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Performance Rules.
2. Cliquez sur Create a SyncIQ Performance Rule.
3. Dans la liste Rule Type, sélectionnez Bandwidth.
4. Dans le champ Limit, indiquez le nombre maximal de fichiers par seconde que
les règles de réplication sont autorisées à envoyer.
5. Dans la zone Schedule, spécifiez l’heure et les jours de la semaine où vous
souhaitez appliquer la règle.
6. Cliquez sur Create Performance Rule.

Modifier une règle de performances


Vous pouvez modifier une règle de performances.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Performance Rules.
2. Dans le tableau SyncIQ Performance Rules, cliquez sur View/Edit sur la ligne
de la règle que vous voulez modifier.
3. Cliquez sur Edit Performance Rule.
4. Modifiez les paramètres de la règle, puis cliquez sur Save Changes.

Supprimer une règle de performances


Vous pouvez supprimer une règle de performances.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Performance Rules.
2. Dans le tableau SyncIQ Performance Rules, sélectionnez Delete Rule sur la
ligne de la règle que vous voulez supprimer.
3. Dans la boîte de dialogue Confirm Delete, cliquez sur Delete.

Activer ou désactiver une règle de performances


Vous pouvez désactiver une règle de performances pour empêcher temporairement
son application. Vous pouvez également réactiver une règle de performances après
qu’elle a été désactivée.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Performance Rules.
2. Dans le tableau SyncIQ Performance Rules, sur la ligne de la règle que vous
voulez activer ou désactiver, sélectionnez Enable Rule ou Disable Rule.

Afficher les règles de performances


Vous pouvez afficher des informations sur les règles de performances de la réplication.

356 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Procédure
1. Cliquez sur Data Protection > SyncIQ > Performance Rules.
2. Les informations sur les règles de performances s’affichent dans le tableau
SyncIQ Performance Rules.

Gestion des rapports de réplication


Vous pouvez afficher les rapports de réplication, mais également configurer la durée
pendant laquelle ils sont conservés sur le cluster. Vous pouvez également supprimer
tout rapport ayant dépassé sa période d’expiration.

Configurer les paramètres par défaut des rapports de réplication


Vous pouvez configurer la période par défaut pendant laquelle SyncIQ conserve les
rapports de réplication. Vous pouvez également configurer le nombre maximal de
rapports que SyncIQ conserve pour chaque règle de réplication.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Settings.
2. Dans la zone Report Settings, accédez à la zone Keep Reports For, puis
indiquez la durée de conservation des rapports de réplication.
Une fois la période d’expiration spécifiée pour un rapport écoulée, SyncIQ
supprime automatiquement le rapport.
Lorsque vous consultez un rapport, certaines unités de temps ne s’affichent pas
de la même manière que lorsqu’elles ont été saisies. La saisie d’un nombre de
jours égal à une valeur correspondante en semaines, en mois ou en années
entraîne l’affichage de l’unité de temps la plus grande. Par exemple, si vous
saisissez une valeur de 7 jours, c’est la valeur 1 semaine qui apparaît pour ce
rapport après sa création. La raison de ce changement est que SyncIQ
enregistre en interne les durées de conservation des rapports en secondes, puis
les convertit en jours, semaines, mois ou années avant de les afficher.

3. Dans le champ Number of Reports to Keep Per Policy, saisissez le nombre


maximal de rapports que vous voulez conserver simultanément pour une règle
de réplication.
4. Cliquez sur Submit.

Supprimer des rapports de réplication


Les rapports de réplication sont régulièrement supprimés par SyncIQ une fois leur date
d’expiration dépassée. SyncIQ supprime également des rapports lorsque le nombre de
rapports dépasse la limite spécifiée. SyncIQ supprime régulièrement les rapports
excédentaires. Toutefois, vous pouvez à tout moment supprimer manuellement tous
les rapports de réplication excédentaires. Cette procédure n’est disponible que via
l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.

Gestion des rapports de réplication 357


Réplication des données avec SyncIQ

2. Supprimez les rapports de réplication excédentaires en exécutant la commande


suivante :

isi sync reports rotate

Afficher les rapports de réplication


Vous pouvez afficher des rapports et des sous-rapports de réplication.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Reports.
2. Dans le tableau SyncIQ Reports, accédez à la ligne d’un rapport, puis cliquez
sur View Details.
Si un rapport se compose de sous-rapports, il s’affiche sous forme de dossier.
Les sous-rapports s’affichent sous forme de fichiers dans les dossiers des
rapports.

Informations des rapports de réplication


Vous pouvez afficher des informations sur les tâches de réplication par le biais du
tableau de rapports.
Policy Name
Nom de la règle associée à la tâche. Vous pouvez afficher ou modifier les
paramètres de la règle en cliquant sur son nom.

Status
Affiche l’état de la tâche. Les états de tâches suivants existent :
Running
La tâche est en cours d’exécution sans erreur.

Paused
La tâche a été temporairement interrompue.

Finished
La tâche s’est exécutée correctement.

Failed
L’exécution de la tâche a échoué.

Started
Indique quand la tâche a démarré.

Ended
Indique quand la tâche s’est terminée.

Duration
Indique la durée d’exécution de la tâche.

Transferred
Indique le nombre total de fichiers qui ont été transférés pendant l’exécution de la
tâche, ainsi que la taille totale de l’ensemble des fichiers transférés. Pour les
règles évaluées, la mention Assessment s’affiche.

358 OneFS 8.0.1 Guide d’administration Web


Réplication des données avec SyncIQ

Source Directory
Chemin du répertoire source sur le cluster source.

Target Host
Adresse IP ou nom de domaine complet du cluster cible.

Action
Affiche toutes les actions relatives à un rapport que vous pouvez exécuter.

Gestion des tâches de réplication ayant échoué


Si une tâche de réplication échoue en raison d’une erreur, SyncIQ peut désactiver la
règle de réplication correspondante. Par exemple, SyncIQ peut désactiver une règle de
réplication en cas de modification de l’adresse IP ou du nom d’hôte du cluster cible. Si
une règle de réplication est désactivée, elle ne peut pas être exécutée.
Pour reprendre la réplication d’une règle désactivée, vous devez corriger l’erreur ayant
entraîné la désactivation de la règle ou réinitialiser cette dernière. Il est recommandé
de tenter de résoudre le problème plutôt que de réinitialiser la règle. Si vous pensez
avoir corrigé l’erreur, vous pouvez réactiver la règle de réplication en la résolvant.
Vous pouvez ensuite réexécuter la règle pour vérifier que le problème a été résolu. Si
vous ne parvenez pas à résoudre le problème, vous pouvez réinitialiser la règle de
réplication. Toutefois, la réinitialisation de la règle entraîne une réplication complète ou
différentielle lors de la prochaine exécution de la règle.

Remarque

Selon le volume de données synchronisées ou copiées, les réplications complètes et


différentielles peuvent prendre beaucoup de temps.

Résoudre une règle de réplication


Si SyncIQ désactive une règle de réplication en raison d’une erreur de réplication et
que vous corrigiez le problème à l’origine de l’erreur, vous pouvez résoudre la règle de
réplication. La résolution d’une règle de réplication vous permet de réexécuter la règle.
Si vous ne parvenez pas à résoudre le problème à l’origine de l’erreur, vous pouvez
réinitialiser la règle de réplication.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau Policies, sélectionnez Resolve sur la ligne d’une règle.

Réinitialiser une règle de réplication


Si une tâche de réplication rencontre une erreur que vous ne pouvez pas résoudre,
vous pouvez réinitialiser les paramètres de la règle de réplication correspondante. Une
fois qu’une règle de réplication a été réinitialisée, OneFS effectue une réplication
complète ou différentielle lors de l’exécution suivante de la règle. La réinitialisation de
la règle de réplication supprime le dernier snapshot généré pour la règle sur le cluster
source.

Gestion des tâches de réplication ayant échoué 359


Réplication des données avec SyncIQ

ATTENTION

En fonction de la quantité de données en cours de réplication, une réplication


complète ou différentielle peut prendre beaucoup de temps. Ne réinitialisez une
règle de réplication que si vous ne parvenez pas à résoudre le problème à l’origine
de l’erreur de réplication. Si vous résolvez le problème à l’origine de l’erreur,
corrigez la règle plutôt que de la réinitialiser.

Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau SyncIQ Policies, accédez à la ligne d’une règle, puis
sélectionnez Reset Sync State.

Effectuer une réplication complète ou différentielle


Après avoir réinitialisé une règle de réplication, vous devez effectuer une réplication
complète ou différentielle. Vous pouvez effectuer cette action uniquement à partir de
la CLI.
Avant de commencer
Réinitialisez une règle de réplication.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous à l’aide du compte root ou administrateur de la conformité.
2. Spécifiez le type de réplication souhaité en exécutant la commande isi sync
policies modify.
l Pour effectuer une réplication complète, désactivez l’option --target-
compare-initial-sync.
Par exemple, la commande suivante désactive la synchronisation
différentielle pour newPolicy :

isi sync policies modify newPolicy \


--target-compare-initial-sync off

l Pour effectuer une réplication différentielle, activez l’option --target-


compare-initial-sync.
Par exemple, la commande suivante active la synchronisation différentielle
pour newPolicy :

isi sync policies modify newPolicy \


--target-compare-initial-sync on

3. Exécutez la règle à l’aide de la commande isi sync jobs start.


Par exemple, la commande suivante exécute newPolicy :

isi sync jobs start newPolicy

360 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 16
Répartition des données avec FlexProtect

Cette section traite des sujets suivants :

l Présentation de FlexProtect............................................................................ 362


l Répartition des fichiers.................................................................................... 362
l Protection demandée des données.................................................................. 362
l Restauration des données FlexProtect.............................................................363
l Demande de protection des données............................................................... 364
l Paramètres de protection demandée............................................................... 365
l Utilisation de l’espace disque pour la protection demandée..............................366

Répartition des données avec FlexProtect 361


Répartition des données avec FlexProtect

Présentation de FlexProtect
Un cluster Isilon est conçu pour distribuer des données en permanence, même
lorsqu’un ou plusieurs composants tombent en panne simultanément. Pour garantir la
disponibilité des données, OneFS répartit ou met en miroir les données au sein du
cluster. En cas de défaillance d’un composant du cluster, les données stockées sur le
composant défaillant sont disponibles sur un autre composant. Suite à la défaillance
d’un composant, les données perdues sont restaurées sur des composants
fonctionnels par le système propriétaire FlexProtect.
La protection des données est spécifiée au niveau des fichiers et non au niveau des
blocs, ce qui permet au système de restaurer rapidement les données. Comme toutes
les données, les métadonnées et les informations de parité sont distribuées sur tous
les nœuds, il n’est pas nécessaire que le cluster dispose d’un nœud ou d’un disque de
parité dédié. Cela garantit qu’aucun nœud ne limite la vitesse du processus de
reconstruction.

Répartition des fichiers


OneFS utilise le réseau interne d’un cluster Isilon pour répartir automatiquement les
données entre les nœuds et les disques du cluster. OneFS protège les fichiers au fur et
à mesure que les données sont écrites. Aucune action supplémentaire n’est nécessaire
pour protéger les données.
Avant d’écrire les fichiers dans le stockage, OneFS les divise en petits fragments
logiques nommés bandes. La taille de chaque fragment de fichier est appelée taille
d’unité de bande. Chaque bloc OneFS présente une taille de 8 Ko et une unité de
bande est composée de 16 blocs, ce qui donne un total de 128 Ko par unité de bande.
Lors d’une opération d’écriture, OneFS fractionne les données en bandes, puis place
les données de manière logique dans une unité de bande. À mesure que OneFS écrit
les données sur le cluster, il remplit l’unité de bande et protège les données en
fonction du nombre de nœuds inscriptibles et de la règle de protection spécifiée.
OneFS peut réallouer les données en continu et améliorer ainsi l’utilisation et
l’efficacité de l’espace de stockage. À mesure que la taille du cluster augmente, OneFS
stocke les fichiers volumineux plus efficacement.
Pour protéger les fichiers d’une taille de 128 Ko ou moins, OneFS ne les fractionne pas
en petits fragments logiques. Au lieu de cela, OneFS utilise la mise en miroir avec
correction d’erreur directe, ou FEC (Forward Error Correction). Avec la mise en
miroir, OneFS effectue des copies des données de chaque petit fichier (N), ajoute un
fragment de parité FEC (M), puis distribue plusieurs instances de l’unité de protection
dans son ensemble (N+M) au sein du cluster.

Protection demandée des données


La protection demandée des données détermine la quantité de données redondantes
créées sur le cluster pour garantir que les données sont protégées en cas de
défaillance d’un composant. OneFS vous permet de modifier la protection demandée
en temps réel, pendant que les clients lisent et écrivent des données sur le cluster.
OneFS fournit plusieurs paramètres de protection des données. Vous pouvez modifier
ces paramètres de protection à tout moment sans redémarrer ni mettre le cluster ou le
système de fichiers hors ligne. Lors de la planification de votre solution de stockage,
n’oubliez pas qu’augmenter la protection demandée diminue les performances

362 OneFS 8.0.1 Guide d’administration Web


Répartition des données avec FlexProtect

d’écriture et nécessite de l’espace de stockage supplémentaire, le nombre de nœuds


étant plus élevé.
OneFS utilise l’algorithme Reed-Solomon pour assurer la protection N+M. Dans le
modèle de protection des données N+M, N représente le nombre d’unités de bande de
données et M le nombre de défaillances simultanées de nœuds et/ou de disques que le
cluster peut supporter sans subir de pertes de données. N doit être plus élevé que M.
En plus de la protection des données N+M, OneFS prend en charge la mise en miroir
des données de 2x à 8x, ce qui permet de disposer de deux à huit miroirs de données.
En ce qui concerne les performances globales du cluster et l’utilisation des ressources,
la protection N+M est souvent plus efficace que la protection par mise en miroir.
Toutefois, étant donné que les performances de lecture et d’écriture sont réduites
avec la protection N+M, la mise en miroir peut être plus rapide pour les données moins
volumineuses et fréquemment mises à jour. La mise en miroir des données nécessite
un espace de stockage significatif et n’est pas toujours la meilleure méthode de
protection des données. Par exemple, si vous activez une mise en miroir de 3x, le
contenu spécifié est copié trois fois sur le cluster. En fonction de la quantité de
contenu mis en miroir, cela peut accaparer une grande quantité d’espace de stockage.

Restauration des données FlexProtect


OneFS utilise le système propriétaire FlexProtect pour détecter et réparer les fichiers
et les répertoires présentant un état dégradé en raison de défaillances de nœuds ou de
disques.
OneFS protège les données du cluster en fonction de la règle de protection
configurée. OneFS reconstruit les disques défaillants et utilise l’espace de stockage
disponible sur l’ensemble du cluster pour éviter les pertes de données. Il surveille les
données et migre celles qui résident sur des composants à risque.
OneFS distribue toutes les données et les informations de correction des erreurs sur
l’ensemble du cluster. Il garantit l’intégrité et l’accessibilité continues de toutes les
données, même si plusieurs défaillances de composant surviennent simultanément.
Dans des conditions de fonctionnement normales, toutes les données du cluster sont
protégées contre une ou plusieurs défaillances d’un nœud ou d’un disque. Si une
défaillance de disque ou de nœud survient, l’état de protection du cluster est
considéré comme dégradé jusqu’à ce que les données soient à nouveau protégées par
OneFS. Pour reprotéger les données, OneFS les reconstruit dans l’espace disponible
du cluster. Tant que la protection est à l’état dégradé, le risque de pertes de données
est accru.
Les données sont dans l’espace disponible du cluster. Le cluster n'a donc pas besoin
de nœuds ou de disques de secours dédiés pour effectuer une restauration à la suite
de la défaillance d’un composant. Un certain volume d’espace disponible est
nécessaire pour reconstruire les données. Il est donc préférable de réserver l’espace
disponible adéquat via la fonction de disque de secours virtuel.
À mesure que vous ajoutez des nœuds, le cluster a davantage de mémoire, de CPU et
de disques à sa disposition pour les opérations de restauration. Plus un cluster
s’agrandit, plus la rerépartition des données devient rapide.

Smartfail
OneFS protège les données stockées sur des nœuds ou des disques défaillants via un
processus appelé smartfail.
Durant le processus smartfail, OneFS place un périphérique en quarantaine. Les
données stockées sur les périphériques mis en quarantaine sont en lecture seule.

Restauration des données FlexProtect 363


Répartition des données avec FlexProtect

Lorsqu’un périphérique est mis en quarantaine, OneFS reprotège ses données en les
distribuant à d’autres périphériques. Une fois toutes les données migrées, OneFS
supprime logiquement le périphérique du cluster. Le cluster modifie logiquement sa
largeur en fonction de la nouvelle configuration, et le nœud ou le disque peut être
physiquement remplacé.
OneFS n’applique le processus smartfail aux périphériques qu’en dernier recours. Vous
pouvez appliquer manuellement le processus smartfail à des nœuds ou à des disques,
mais nous vous recommandons de consulter d’abord le support technique Isilon.
Il peut arriver qu’un périphérique tombe en panne avant que OneFS ne détecte un
problème. En cas de défaillance d’un disque n’ayant pas fait l’objet d’une opération
smartfail, OneFS commence automatiquement la reconstruction des données dans
l’espace disponible du cluster. Cependant, sachant qu’un nœud peut se remettre d’une
défaillance, OneFS ne démarre pas la reconstruction des données dès que le nœud
tombe en panne, mais seulement une fois qu’il est supprimé logiquement du cluster.

Défaillances de nœud
Une perte de nœud n’étant généralement que temporaire, OneFS n’entreprend pas
automatiquement la reprotection des données dès qu’un nœud connaît une défaillance
ou passe hors ligne. Si un nœud redémarre, le système de fichiers n’a pas besoin
d’être reconstruit, car il reste intact pendant la défaillance temporaire.
Si vous configurez la protection des données N+1 sur un cluster et qu’un nœud tombe
en panne, toutes les données restent accessibles sur chaque autre nœud du cluster. Si
le nœud est remis en ligne, il réintègre le cluster automatiquement, sans nécessiter de
reconstruction complète.
Pour garantir que les données sont protégées, si vous supprimez un nœud du cluster,
vous devez également procéder à son retrait logique du cluster. Une fois supprimé de
façon logique, le nœud reformate automatiquement ses propres disques, puis reprend
ses paramètres d’usine par défaut. La réinitialisation n’a lieu qu’une fois que OneFS a
confirmé que toutes les données sont reprotégées. Vous pouvez supprimer un nœud
de façon logique à l’aide du processus smartfail. Il est important de n’appliquer le
processus smartfail qu’aux nœuds que vous voulez supprimer définitivement du
cluster.
Si vous supprimez un nœud défaillant avant d’en ajouter un nouveau, les données
stockées sur le nœud défaillant doivent être reconstruites dans l’espace disponible du
cluster. Une fois le nouveau nœud ajouté, OneFS distribue les données au nouveau
nœud. Il est recommandé d’ajouter un nœud de remplacement au cluster avant
d’abandonner l’ancien nœud, car ceci permet à OneFS d’utiliser immédiatement le
nouveau nœud pour reconstruire les données stockées sur le nœud défaillant.

Demande de protection des données


Vous pouvez spécifier la protection demandée pour un fichier ou un répertoire. Cette
flexibilité vous permet de protéger des Datasets distincts à des niveaux supérieurs à
ceux par défaut.
La protection demandée des données est calculée par OneFS et définie
automatiquement sur les pools de stockage du cluster. Le paramètre par défaut est
nommé protection recommandée et offre un équilibre optimal entre la protection des
données et l’efficacité du stockage. Par exemple, une protection recommandée de N
+2:1 signifie que deux disques ou un nœud peuvent tomber en panne sans entraîner de
perte de données.

364 OneFS 8.0.1 Guide d’administration Web


Répartition des données avec FlexProtect

Pour des résultats optimaux, nous vous conseillons d’accepter au moins la protection
recommandée pour les données de votre cluster. Vous pouvez toujours spécifier un
niveau de protection supérieur à la protection recommandée pour les fichiers, les
répertoires ou les pools de nœuds critiques.
OneFS vous permet de demander un niveau de protection que le cluster ne peut pas
atteindre pour le moment. Si vous demandez une protection qu'il n'est pas possible
d'obtenir, le cluster continue de tenter d’atteindre la protection demandée jusqu’à ce
que cela soit possible. Par exemple, dans un cluster de quatre nœuds, vous pouvez
demander une protection par mise en miroir de 5x. Dans cet exemple, OneFS
protègera les données au niveau 4x jusqu’à ce que vous ajoutiez un cinquième nœud au
cluster, après quoi il les reprotègera au niveau 5x.
Si vous définissez la protection demandée à un niveau inférieur à la protection
recommandée, OneFS affiche un avertissement.

Remarque
Pour les nœuds 4U Isilon IQ gamme X et gamme NL et les plates-formes qui
combinent des nœuds IQ 12000X/EX 12000, un cluster avec la taille minimale de trois
nœuds nécessite au moins une protection N+2:1.

Paramètres de protection demandée


Les paramètres de protection demandée déterminent le niveau de panne matérielle
jusqu’auquel un cluster peut être restauré sans perte de données.

Paramètre de protection Nombre minimal de Définition


demandée nœuds requis
[+1n] 3 Le cluster peut être restauré sans
perte de données après la
défaillance d’un disque ou d’un
nœud.

[+2d:1n] 3 Le cluster peut être restauré sans


perte de données après la
défaillance simultanée de deux
disques ou d’un seul nœud.

[+2n] 4 Le cluster peut être restauré sans


perte de données après la
défaillance simultanée de deux
disques ou nœuds.

[+3d:1n] 3 Le cluster peut être restauré sans


perte de données après la
défaillance simultanée de trois
disques ou d’un seul nœud.

[+3d:1n1d] 3 Le cluster peut être restauré sans


perte de données après la
défaillance simultanée de trois
disques ou la défaillance simultanée
d’un seul nœud et d'un seul disque.

[+3n] 6 Le cluster peut être restauré sans


perte de données après la

Paramètres de protection demandée 365


Répartition des données avec FlexProtect

Paramètre de protection Nombre minimal de Définition


demandée nœuds requis
défaillance simultanée de trois
disques ou nœuds.

[+4d:1n] 3 Le cluster peut être restauré sans


perte de données après la
défaillance simultanée de quatre
disques ou la défaillance d’un seul
nœud.

[+4d:2n] 4 Le cluster peut être restauré sans


perte de données après la
défaillance simultanée de quatre
disques ou la défaillance de deux
nœuds.

[+4n] 8 Le cluster peut être restauré sans


perte de données après la
défaillance simultanée de quatre
disques ou nœuds.

Nx (mise en miroir des N Le cluster peut être restauré sans


données) Par exemple, perte de données après la
5x nécessite un défaillance de N - 1 disque ou nœud.
minimum de cinq Par exemple, la protection 5x
nœuds. signifie que le cluster peut être
restauré après la défaillance de
quatre disques ou nœuds.

Utilisation de l’espace disque pour la protection demandée


Le fait d’augmenter la protection demandée augmente également la quantité d’espace
utilisée par les données sur le cluster.
La surcharge de parité pour la protection N + M dépend de la taille des fichiers et du
nombre de nœuds du cluster. Le pourcentage de surcharge de parité diminue au fur et
à mesure que le cluster s’agrandit.
Le tableau suivant indique le pourcentage de surcharge estimé en fonction de la
protection demandée et de la taille du cluster ou du pool de nœuds. Il n'indique pas les
niveaux de protection recommandés en fonction de la taille du cluster.

Nombre [+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]
de
nœuds
3 2 +1 4+2 — 6+3 3 + 3 (50 %) — 8+4 — —
(33 %) (33 %) (33 %) (33 %)

4 3 +1 6+2 2+2 9+3 5 + 3 (38 %) — 12 + 4 4+4 —


(25 %) (25 %) (50 %) (25 %) (25 %) (50 %)

5 4 +1 8+2 3+2 12 + 3 7 + 3 (30 %) — 16 + 4 6+4 —


(20 %) (20 %) (40 %) (20 %) (20 %) (40 %)

366 OneFS 8.0.1 Guide d’administration Web


Répartition des données avec FlexProtect

Nombre [+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]
de
nœuds
6 5 +1 10 + 2 4+2 15 + 3 9 + 3 (25 %) 3+3 16 + 4 8+4 —
(17 %) (17 %) (33 %) (17 %) (50 %) (20 %) (33 %)

7 6 +1 12 + 2 5+2 15 + 3 11 + 3 (21 %) 4+3 16 + 4 10 + 4 —


(14 %) (14 %) (29 %) (17 %) (43 %) (20 %) (29 %)

8 7 +1 14 + 2 6+2 15 + 3 13 + 3 (19 %) 5 + 3 16 + 4 12 + 4 4+4


(13 %) (12,5 %) (25 %) (17 %) (38 %) (20 %) (25 %) (50 %)

9 8 +1 (11 %) 16 + 2 7+2 15 + 3 15 +3 (17 %) 6+3 16 + 4 14 + 4 5+4


(11 %) (22 %) (17 %) (33 %) (20 %) (22 %) (44 %)

10 9 +1 16 + 2 8+2 15 + 3 15 +3 (17 %) 7+3 16 + 4 16 + 4 6+4


(10 %) (11 %) (20 %) (17 %) (30 %) (20 %) (20 %) (40 %)

12 11 +1 (8 %) 16 + 2 10 + 2 15 + 3 15 +3 (17 %) 9+3 16 + 4 16 + 4 8+4


(11 %) (17 %) (17 %) (25 %) (20 %) (20 %) (33 %)

14 13 + 1 16 + 2 12 + 2 15 + 3 15 +3 (17 %) 11 + 3 16 + 4 16 + 4 10 + 4
(7 %) (11 %) (14 %) (17 %) (21 %) (20 %) (20 %) (29 %)

16 15 + 1 16 + 2 14 + 2 15 + 3 15 +3 (17 %) 13 + 3 16 + 4 16 + 4 12 + 4
(6 %) (11 %) (13 %) (17 %) (19 %) (20 %) (20 %) (25 %)

18 16 + 1 16 + 2 16 + 2 15 + 3 15 +3 (17 %) 15 + 3 16 + 4 16 + 4 14 + 4
(6 %) (11 %) (11 %) (17 %) (17 %) (20 %) (20 %) (22 %)

20 16 + 1 16 + 2 16 + 2 16 + 3 16 + 3 (16 %) 16 + 3 16 + 4 16 + 4 16 + 4
(6 %) (11 %) (11 %) (16 %) (16 %) (20 %) (20 %) (20 %)

30 16 + 1 16 + 2 16 + 2 16 + 3 16 + 3 (16 %) 16 + 3 16 + 4 16 + 4 16 + 4
(6 %) (11 %) (11 %) (16 %) (16 %) (20 %) (20 %) (20 %)

La surcharge de parité pour la protection des données par mise en miroir n'est pas
affectée par le nombre de nœuds du cluster. Le tableau suivant décrit la surcharge de
parité pour la protection demandée par mise en miroir.

2x 3x 4x 5x 6x 7x 8x

50 % 67 % 75 % 80 % 83 % 86 % 88 %

Utilisation de l’espace disque pour la protection demandée 367


Répartition des données avec FlexProtect

368 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 17
Présentation de la sauvegarde et de la
restauration NDMP

Cette section traite des points suivants :

l Présentation de la sauvegarde et de la restauration NDMP..............................370


l Sauvegarde NDMP bidirectionnelle.................................................................. 370
l Sauvegarde NDMP tridirectionnelle.................................................................. 371
l Définition des adresses IP préférées pour les opérations NDMP tridirectionnelles
..........................................................................................................................371
l Sauvegarde et restauration NDMP multiflux..................................................... 371
l Sauvegardes incrémentielles basées sur des snapshots....................................372
l Prise en charge du protocole NDMP................................................................ 373
l DMA prises en charge...................................................................................... 374
l Matériel pris en charge pour NDMP................................................................. 374
l Limites des sauvegardes NDMP....................................................................... 374
l Recommandations relatives aux performances NDMP..................................... 375
l Exclusion de fichiers et de répertoires des sauvegardes NDMP....................... 376
l Configuration des paramètres de sauvegarde NDMP de base.......................... 378
l Gestion des comptes utilisateur NDMP............................................................ 379
l Présentation des variables d’environnement NDMP.........................................380
l Gestion des contextes NDMP.......................................................................... 392
l Gestion des sessions NDMP.............................................................................393
l Gestion des ports NDMP Fibre Channel........................................................... 397
l Gestion des paramètres IP NDMP préférés......................................................398
l Gestion des périphériques de sauvegarde NDMP.............................................400
l Présentation du fichier NDMP dumpdates....................................................... 403
l Opérations de restauration NDMP................................................................... 404
l Partage de lecteurs de bande entre les clusters...............................................405
l Gestion des sauvegardes incrémentielles basées sur des snapshots................ 405

Présentation de la sauvegarde et de la restauration NDMP 369


Présentation de la sauvegarde et de la restauration NDMP

Présentation de la sauvegarde et de la restauration NDMP


Dans OneFS, vous pouvez sauvegarder et restaurer les données du système de
fichiers au moyen du protocole NDMP (Network Data Management Protocol). À partir
d’un serveur de sauvegarde, vous pouvez acheminer les processus de sauvegarde et
de restauration entre un cluster EMC Isilon et des périphériques de sauvegarde tels
que des unités de bande, des serveurs de média et des bibliothèques de bandes
virtuelles (VTL).
Certaines des fonctions NDMP sont décrites ci-dessous :
l NDMP prend en charge les modèles de sauvegarde bidirectionnelle et
tridirectionnelle.
l Avec certaines applications de gestion des données, NDMP prend en charge
l’extension de sauvegarde redémarrable (BRE). Celle-ci vous permet de reprendre
une tâche de sauvegarde en échec à partir du dernier point de contrôle créé avant
l’échec. La tâche en échec est immédiatement redémarrée et ne peut pas être
planifiée ni démarrée manuellement.
l Il n’est pas nécessaire d’activer une licence SnapshotIQ sur le cluster pour
exécuter des sauvegardes NDMP. Si vous avez activé une licence SnapshotIQ sur
le cluster, vous pouvez générer un snapshot au moyen de l’outil SnapshotIQ, puis
enregistrer le même snapshot. Si vous sauvegardez un snapshot SnapshotIQ,
OneFS ne crée pas d’autre snapshot pour la sauvegarde.
l Vous pouvez sauvegarder des domaines WORM via NDMP.

Sauvegarde et restauration NDMP pour IsilonSD Edge


IsilonSD Edge prend uniquement en charge le modèle de sauvegarde NDMP
tridirectionnelle. Les sauvegardes NDMP bidirectionnelles nécessitent un nœud
Backup Accelerator sur le cluster IsilonSD, lequel n’est pas pris en charge.

Sauvegarde NDMP bidirectionnelle


La sauvegarde NDMP bidirectionnelle est également appelée sauvegarde NDMP locale
ou directe. Pour effectuer des sauvegardes NDMP bidirectionnelles, vous devez
connecter votre cluster EMC Isilon à un nœud Backup Accelerator et rattacher une
unité de bande au nœud Backup Accelerator. Vous devez ensuite utiliser OneFS pour
détecter l’unité de bande avant de pouvoir y sauvegarder des données.
Vous pouvez connecter les unités de bande prises en charge directement aux ports
Fibre Channel d’un nœud Backup Accelerator. Vous pouvez également connecter les
switches Fibre Channel aux ports Fibre Channel du nœud Backup Accelerator et
connecter les unités de bande et les changeurs de médias aux switches Fibre Channel.
Pour plus d’informations, consultez la documentation de votre switch Fibre Channel au
sujet du zoning de switch permettant la communication entre le nœud Backup
Accelerator et les unités de bande et changeurs de médias connectés.
Si vous rattachez des unités de bande à un nœud Backup Accelerator, le cluster
détecte les périphériques lorsque vous démarrez ou redémarrez le nœud, ou lorsque
vous relancez une analyse des ports Fibre Channel afin de découvrir les périphériques.
Si un cluster détecte des unités de bande, il crée une entrée correspondant au chemin
d’accès à chaque périphérique détecté.
Si vous connectez un périphérique par le biais d’un switch Fibre Channel, un même
périphérique peut avoir plusieurs chemins. Par exemple, si vous connectez une unité

370 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

de bande à un switch Fibre Channel et connectez ensuite ce switch à deux ports Fibre
Channel, OneFS crée deux entrées pour le périphérique, une pour chaque chemin.

Remarque

La sauvegarde NDMP bidirectionnelle n’est pas prise en charge avec IsilonSD Edge.

Sauvegarde NDMP tridirectionnelle


La sauvegarde NDMP tridirectionnelle est également appelée sauvegarde NDMP
distante.
Lors d’une opération de sauvegarde NDMP tridirectionnelle, une application de gestion
des données (DMA) sur un serveur de sauvegarde demande au cluster de démarrer la
sauvegarde des données sur un serveur de média sur bande rattaché au LAN ou
directement rattaché à la DMA. Le service NDMP s’exécute sur un serveur NDMP et
le service de bandes NDMP sur un serveur distinct. Les deux serveurs sont connectés
l’un à l’autre sur la limite du réseau.

Définition des adresses IP préférées pour les opérations


NDMP tridirectionnelles
Si vous utilisez Avamar en tant qu’application de gestion des données (DMA) pour des
opérations NDMP tridirectionnelles dans un environnement comptant plusieurs
interfaces réseau, vous pouvez appliquer un paramètre IP préféré à l’ensemble d’un
cluster EMC Isilon ou à un ou plusieurs sous-réseaux définis dans OneFS. Un
paramètre IP préféré est une liste des adresses IP prioritaires auxquelles un serveur de
données ou un serveur de bandes se connecte au cours d’une opération NDMP
tridirectionnelle.
L’adresse IP sur le serveur NDMP qui reçoit la demande entrante de la DMA détermine
le périmètre et la priorité qui définissent la préférence. Si l’adresse IP entrante est
comprise dans un périmètre de sous-réseau qui possède une préférence, ce paramètre
préféré est appliqué. S’il n’existe pas de préférence spécifique pour un sous-réseau,
mais qu’il en existe une à l’échelle du cluster, le paramètre préféré à l’échelle du
cluster est appliqué. La préférence spécifique d’un sous-réseau remplace toujours la
préférence à l’échelle du cluster. S’il n’existe aucune préférence à l’échelle du cluster
ni spécifique d’un sous-réseau, les adresses IP au sein du sous-réseau de l’adresse IP
qui reçoit les demandes entrantes de la DMA sont utilisées en tant qu’adresses IP
préférées.
Vous pouvez avoir un paramètre IP préféré par cluster ou par sous-réseau.
Vous pouvez spécifier une liste d’adresses IP NDMP préférées à l’aide de la commande
isi ndmp settings preferred-ips.

Sauvegarde et restauration NDMP multiflux


Vous pouvez utiliser la fonction de sauvegarde NDMP multiflux, en conjonction avec
certaines applications de gestion des données (DMA), pour accélérer les sauvegardes.
La sauvegarde multiflux vous permet d’utiliser votre DMA pour spécifier plusieurs flux
de données à sauvegarder simultanément. OneFS considère que tous les flux d’une
opération de sauvegarde en mode multi-flux spécifique font partie du même contexte
de sauvegarde. Le contexte de sauvegarde multiflux est supprimé si la session de

Sauvegarde NDMP tridirectionnelle 371


Présentation de la sauvegarde et de la restauration NDMP

sauvegarde multiflux réussit. En cas d’échec d’un flux spécifique, le contexte de


sauvegarde est conservé pendant cinq minutes après la fin de l’opération de
sauvegarde, délai pendant lequel vous pouvez réessayer de sauvegarder le flux en
échec.
Si vous avez utilisé la fonction de sauvegarde NDMP multiflux pour sauvegarder des
données sur des lecteurs de bande, vous pouvez également restaurer les données en
plusieurs flux, en fonction de la DMA. Dans OneFS 8.0.0, les sauvegardes multiflux
sont prises en charge avec CommVault Simpana version 11.0 Service Pack 3 et avec
EMC NetWorker version 9.0.1. Si vous sauvegardez des données à l’aide de
CommVault Simpana, un contexte multiflux est créé, mais les données sont restaurées
au rythme d’un flux à la fois.

Remarque

La fonction de sauvegarde NDMP redémarrable ne prend pas en charge les


sauvegardes multiflux OneFS.

Sauvegardes incrémentielles basées sur des snapshots


Pour augmenter la vitesse d’exécution des sauvegardes incrémentielles, vous pouvez
les baser sur des snapshots.
Au cours d’une sauvegarde incrémentielle basée sur un snapshot, OneFS examine le
snapshot créé pour l’opération de sauvegarde NDMP précédente et le compare à un
nouveau snapshot. OneFS sauvegarde alors tous les fichiers qui ont été modifiés
depuis le dernier snapshot.
Si la sauvegarde incrémentielle n’utilise pas de snapshots, OneFS doit analyser le
répertoire pour identifier les fichiers qui ont été modifiés. OneFS peut effectuer des
sauvegardes incrémentielles beaucoup plus rapidement si le taux de modification est
faible.
Vous pouvez effectuer des sauvegardes incrémentielles sans activer de licence
SnapshotIQ sur le cluster. Bien que SnapshotIQ offre un certain nombre de fonctions
utiles, il n’améliore pas les fonctions de snapshot de la sauvegarde et de la restauration
NDMP.
Définissez la variable d’environnement BACKUP_MODE sur SNAPSHOT pour activer les
sauvegardes incrémentielles basées sur des snapshots. Si vous activez des
sauvegardes incrémentielles basées sur des snapshots, OneFS conserve chaque
snapshot créé pour les sauvegardes NDMP jusqu’à ce qu’une nouvelle sauvegarde
d’un niveau identique ou inférieur soit exécutée. Cependant, si vous n’activez pas de
sauvegardes incrémentielles basées sur des snapshots, OneFS supprime
automatiquement chaque snapshot généré une fois la sauvegarde correspondante
terminée ou annulée.
Après avoir défini la variable d’environnement BACKUP_MODE, la sauvegarde
incrémentielle basée sur des snapshots fonctionnera avec certaines applications de
gestion des données (DMA) comme indiqué dans le tableau suivant.

Tableau 3 Prise en charge des sauvegardes incrémentielles basées sur des snapshots par les
DMA

DMA Pris en charge


Symantec NetBackup Non

372 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Tableau 3 Prise en charge des sauvegardes incrémentielles basées sur des snapshots par les
DMA (suite)

DMA Pris en charge

Remarque

Vous pouvez activer les sauvegardes


incrémentielles basées sur des snapshots à
l’aide d’une variable d’environnement.

EMC NetWorker Oui

EMC Avamar Oui

CommVault Simpana Oui

IBM Tivoli Storage Manager Non

Symantec Backup Exec Non

Dell NetVault Non

ASG-Time Navigator Non

Prise en charge du protocole NDMP


Vous pouvez sauvegarder les données du cluster EMC Isilon avec la version 3 ou 4 du
protocole NDMP.
OneFS prend en charge les fonctions suivantes des versions NDMP 3 et 4 :
l Sauvegardes NDMP complètes (niveau 0)
l Sauvegardes NDMP incrémentielles (niveaux 1 à 9) et sauvegardes incrémentielles
systématiques (niveau 10)

Remarque

Dans une sauvegarde NDMP de niveau 10, seules les données modifiées depuis la
dernière sauvegarde incrémentielle (niveaux 1 à 9) ou depuis la dernière
sauvegarde de niveau 10 sont copiées. En répétant des sauvegardes de niveau 10,
vous avez la garantie que les dernières versions des fichiers de votre Dataset sont
sauvegardées sans avoir à effectuer une sauvegarde complète.
l Sauvegardes NDMP basées sur des jetons
l Type de sauvegarde NDMP tar
l Type de sauvegarde dump
l Format d’historique de fichier basé sur le chemin et sur le répertoire/nœud
l Restauration par accès direct (DAR)
l Restauration par accès direct du répertoire (DDAR)
l Inclusion et exclusion de fichiers et de répertoires spécifiques de la sauvegarde
l Sauvegarde des attributs de fichier
l Sauvegarde des listes de contrôle d’accès (ACL)

Prise en charge du protocole NDMP 373


Présentation de la sauvegarde et de la restauration NDMP

l Sauvegarde des autres flux de données (ADS)


l Extension de sauvegarde redémarrable (BRE)
OneFS prend en charge la connexion aux clusters via IPv4 ou IPv6.

DMA prises en charge


Les sauvegardes NDMP sont coordonnées par une application de gestion des données
(DMA) qui s’exécute sur un serveur de sauvegarde.
OneFS prend en charge toutes les DMA répertoriées dans le guide intitulé Isilon Third-
Party Software and Hardware Compatibility Guide.

Remarque

Toutes les DMA prises en charge peuvent se connecter à un cluster EMC Isilon via le
protocole IPv4, mais seules certaines d’entre elles peuvent le faire au moyen du
protocole IPv6.

Matériel pris en charge pour NDMP


OneFS peut sauvegarder des données vers et restaurer des données à partir d’unités
de bande et de librairies de bandes virtuelles (VTL).
Unités de bande prises en charge
Consultez la section OneFS and NDMP hardware compatibility du guide intitulé
Isilon Third-Party Software and Hardware Compatibility Guide pour obtenir la liste
des unités de bande prises en charge pour les sauvegardes NDMP
bidirectionnelles. Dans le cas des sauvegardes NDMP tridirectionnelles,
l’application de gestion des données (DMA) détermine les unités de bande prises
en charge.

Librairies de bandes prises en charge


Pour les sauvegardes NDMP bidirectionnelles et tridirectionnelles, OneFS prend
en charge toutes les librairies de bandes compatibles avec la DMA.

Librairies de bandes virtuelles prises en charge


Consultez la section ONEFS AND NDMP HARDWARE COMPATIBILITY du guide
intitulé Isilon Third-Party Software and Hardware Compatibility Guide pour
obtenir la liste des librairies de bandes virtuelles prises en charge. Pour les
sauvegardes NDMP tridirectionnelles, la DMA détermine les librairies de bandes
virtuelles prises en charge.

Limites des sauvegardes NDMP


Les sauvegardes NDMP présentent les limites suivantes :
l Les chemins de plus de 4 Ko ne sont pas pris en charge.
l Les données de configuration du système de fichiers, telles que les règles de
niveau de protection des fichiers et les quotas, ne sont pas sauvegardées.
l Les blocs de bande de plus de 256 Ko ne sont pas sauvegardés.
l La restauration de données à partir d’un système de fichiers autre que OneFS
n’est pas prise en charge. Toutefois, il est possible de migrer des données via le

374 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

protocole NDMP depuis un système de stockage NetApp ou EMC VNX vers


OneFS et ce, au moyen des outils isi_vol_copy. Pour plus d’informations sur ces
outils, consultez le document intitulé OneFS Migration Tools Guide.
l Les nœuds Backup Accelerator ne peuvent pas interagir avec plus de
4 096 chemins de bande.

Recommandations relatives aux performances NDMP


Pour optimiser les sauvegardes NDMP de OneFS, tenez compte des recommandations
suivantes.
Recommandations générales en matière de performances
l Installez les derniers correctifs pour OneFS et vos DMA.
l Exécutez un maximum de huit sessions NDMP simultanées par nœud Accelerator
Backup A100 et un maximum de quatre sessions NDMP simultanées par nœud
Isilon IQ Backup Accelerator pour obtenir un débit optimal par session.
l Les sauvegardes NDMP génèrent des objectifs de point de restauration (RPO) et
des objectifs de temps de restauration (RTO) très élevés. Vous pouvez réduire le
RPO et le RTO en associant au moins un nœud Backup Accelerator au cluster, puis
en exécutant des sauvegardes NDMP bidirectionnelles.
l Le débit d’un cluster Isilon durant les opérations de sauvegarde et de restauration
dépend du Dataset et est considérablement réduit pour les fichiers de petite taille.
l Si vous sauvegardez un grand nombre de petits fichiers, configurez un
ordonnanceur distinct pour chaque répertoire.
l Si vous effectuez des sauvegardes NDMP tridirectionnelles, exécutez plusieurs
sessions NDMP sur plusieurs nœuds de votre cluster Isilon.
l Restaurez les fichiers par le biais d’une restauration par accès direct (DAR), en
particulier si vous restaurez fréquemment des fichiers. Toutefois, il est
recommandé de ne pas utiliser la restauration DAR pour restaurer une sauvegarde
complète ou un grand nombre de fichiers, car elle convient plutôt à la restauration
de petits nombres de fichiers.
l Si vous restaurez fréquemment un grand nombre de fichiers, utilisez une
restauration DAR de répertoire (DDAR).
l Utilisez la plus grande taille d’enregistrement sur bande disponible pour votre
version de OneFS afin d’augmenter le débit.
l Si possible, évitez d’inclure ou d’exclure des fichiers de la sauvegarde. L’inclusion
ou l’exclusion de fichiers peut affecter les performances de sauvegarde, en raison
du temps système de filtrage.
l Limitez la profondeur des sous-répertoires imbriqués dans votre système de
fichiers.
l Limitez le nombre de fichiers dans un répertoire. Distribuez les fichiers sur
plusieurs répertoires au lieu d’inclure un grand nombre de fichiers dans un seul
répertoire.
Recommandations SmartConnect
l Une session de sauvegarde NDMP bidirectionnelle avec SmartConnect nécessite
des accélérateurs de sauvegarde pour les opérations de sauvegarde et de
restauration. Cependant, une session NDMP tridirectionnelle avec SmartConnect
ne nécessite pas d’accélérateurs de sauvegarde pour ces opérations.

Recommandations relatives aux performances NDMP 375


Présentation de la sauvegarde et de la restauration NDMP

l Pour une session de sauvegarde NDMP bidirectionnelle avec SmartConnect,


établissez une connexion à la session NDMP via une zone SmartConnect dédiée
composée d’un pool de cartes réseau sur les nœuds d’accélérateur de sauvegarde.
l Pour une session de sauvegarde NDMP bidirectionnelle sans SmartConnect, initiez
la session de sauvegarde à l’aide d’une adresse IP statique ou du nom de domaine
complet du nœud d’accélérateur de sauvegarde.
l Pour une opération de sauvegarde NDMP tridirectionnelle, le réseau Ethernet
front-end ou les interfaces des nœuds sont utilisés pour le trafic de sauvegarde.
C’est pourquoi il est recommandé de configurer une DMA pour initier une session
NDMP utilisant uniquement les nœuds qui ne sont pas déjà surchargés par d’autres
charges applicatives ou connexions.
l Pour une opération de sauvegarde NDMP tridirectionnelle avec ou sans
SmartConnect, initiez la session de sauvegarde à l’aide des adresses IP des nœuds
identifiés pour l’exécution des sessions NDMP.
Recommandations relatives à Backup Accelerator
l Attribuez des adresses IP statiques aux nœuds Backup Accelerator.
l Rattachez davantage de nœuds Backup Accelerator aux grands clusters. Le
nombre recommandé de nœuds Backup Accelerator est indiqué dans le tableau
suivant.
Tableau 4 Nombre de nœuds par nœud Backup Accelerator

Type de nœud Nombre recommandé de nœuds par


nœud Backup Accelerator
Gamme X 3

Gamme NL 3

Gamme S 3

Gamme HD 3

l Rattachez davantage de nœuds Backup Accelerator si vous effectuez des


sauvegardes sur un plus grand nombre d’unités de bande.
Recommandations relatives aux DMA
l Activez le parallélisme pour la DMA si elle prend en charge cette option. Cela
permet à OneFS de sauvegarder simultanément des données sur plusieurs unités
de bande.

Exclusion de fichiers et de répertoires des sauvegardes


NDMP
Vous pouvez exclure des fichiers et des répertoires des opérations de sauvegarde
NDMP en spécifiant des variables d’environnement NDMP à partir d’une application
de gestion des données (DMA). Si vous incluez un fichier ou un répertoire, tous les
autres fichiers et répertoires sont automatiquement exclus des opérations de
sauvegarde. Si vous excluez un fichier ou un répertoire, tous les fichiers et les
répertoires sont sauvegardés, à l’exception de ceux que vous avez exclus.
Vous pouvez inclure ou exclure des fichiers et des répertoires en spécifiant les
modèles de caractère suivants. Les exemples donnés dans le tableau ne sont valides
que si le chemin de sauvegarde est /ifs/data.

376 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Tableau 5 Caractères génériques pour la spécification des fichiers et des répertoires NDMP

Caractère Description Exemple Inclut ou exclut les répertoires


suivants
* Remplace un ou archive* archive1
plusieurs src/archive42_a/media
caractères

[] Remplace une data_store_[a-f] /ifs/data/data_store_a


série de lettres ou data_store_[0-9] /ifs/data/data_store_c
de chiffres /ifs/data/data_store_8

? Remplace user_? /ifs/data/user_1


n’importe quel /ifs/data/user_2
caractère unique

\ Inclut un espace user\ 1 /ifs/data/user 1

// Remplace la barre ifs//data//archive /ifs/data/archive


oblique unique (/)

*** Remplace un seul


astérisque (*)

.. Ignore le modèle ../home/john home/john


s’il est placé en
début de chemin

Remarque

"" sont requis pour Symantec NetBackup lorsque plusieurs modèles sont spécifiés. Les
modèles ne sont pas limités aux répertoires.

Les modèles non ancrés tels que home ou user1 renvoient à une chaîne de texte qui
peut appartenir à un grand nombre de fichiers ou de répertoires. Si un modèle contient
le caractère /, il s’agit d’un modèle ancré. Un modèle ancré est toujours mis en
correspondance à partir du début d’un chemin. Un modèle au milieu d’un chemin n’est
pas mis en correspondance. Les modèles ancrés ciblent des chemins d’accès à des
fichiers spécifiques, tels que ifs/data/home. Vous pouvez inclure ou exclure l’un ou
l’autre des deux types de modèles.
Si vous spécifiez à la fois les modèles d’inclusion et d’exclusion, le modèle d’inclusion
est traité en premier.
Si vous spécifiez à la fois les modèles d’inclusion et d’exclusion, les fichiers ou les
répertoires exclus sous les répertoires inclus ne sont pas sauvegardés. Si les
répertoires exclus ne figurent pas dans les répertoires inclus, la spécification
d’exclusion n’a aucun effet.

Remarque

La définition de modèles non ancrés peut dégrader les performances des sauvegardes.
Il est recommandé d’éviter les modèles non ancrés autant que possible.

Exclusion de fichiers et de répertoires des sauvegardes NDMP 377


Présentation de la sauvegarde et de la restauration NDMP

Configuration des paramètres de sauvegarde NDMP de base


Vous pouvez configurer les paramètres de sauvegarde NDMP de façon à contrôler
l’exécution de ces sauvegardes sur le cluster EMC Isilon. Vous pouvez également
configurer OneFS afin qu’il interagisse avec une application de gestion des données
(DMA) spécifique pour les sauvegardes NDMP.

Configurer et activer la sauvegarde NDMP


OneFS empêche les sauvegardes NDMP par défaut. Pour effectuer des sauvegardes
NDMP, vous devez les activer et configurer les paramètres NDMP.
Procédure
1. Cliquez sur Data Protection > NDMP > NDMP Settings.
2. Dans la zone Service, cliquez sur Enable NDMP Service.
3. Dans le champ Port number, spécifiez le numéro de port via lequel une
application de gestion des données (DMA) peut se connecter au cluster
EMC Isilon. Le numéro de port par défaut est 10000.
4. (Facultatif) Dans la liste DMA vendor, sélectionnez le nom du fournisseur DMA
qui doit gérer les opérations de sauvegarde. Si votre fournisseur DMA n’est pas
inclus dans la liste, sélectionnez generic. Toutefois, il convient de noter que les
fournisseurs qui ne figurent pas dans la liste ne sont pas officiellement pris en
charge et risquent de ne pas fonctionner comme prévu.
5. Dans la zone NDMP Administrators, cliquez sur Add an NDMP Administrator
pour ajouter un nouvel administrateur.
La boîte de dialogue Add NDMP Administrator s’affiche.
6. Saisissez un nom d’administrateur et un mot de passe, confirmez le mot de
passe, puis cliquez sur Add NDMP Administrator.
7. Cliquez sur Save Changes pour enregistrer tous les paramètres. Vous pouvez
également cliquer sur Revert Changes pour annuler les modifications et rétablir
les paramètres précédents.

Afficher les paramètres de sauvegarde NDMP


Vous pouvez afficher les paramètres de sauvegarde NDMP actuels. Ces paramètres
indiquent si la fonction de sauvegarde NDMP est activée, le port utilisé par votre
application de gestion des données (DMA) pour se connecter au cluster EMC Isilon et
le fournisseur DMA avec lequel OneFS est configuré pour interagir.
Procédure
1. Cliquez sur Data Protection > NDMP > NDMP Settings et affichez les
paramètres de sauvegarde NDMP.
2. Dans la zone Settings, vérifiez les paramètres de sauvegarde NDMP.

Désactiver la sauvegarde NDMP


Vous pouvez désactiver la sauvegarde NDMP si vous ne souhaitez plus utiliser cette
méthode de sauvegarde.

378 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Procédure
1. Cliquez sur Data Protection > NDMP > NDMP Settings.

2. Dans la zone Service, désactivez la case à cocher Enable NDMP service pour
désactiver la sauvegarde NDMP.

Gestion des comptes utilisateur NDMP


Vous pouvez créer, supprimer et modifier les mots de passe des comptes utilisateur
NDMP.

Créer un compte d’administrateur NDMP


Pour effectuer des sauvegardes NDMP, vous devez créer un compte d’administrateur
NDMP que votre application de gestion des données (DMA) utilisera pour accéder au
cluster EMC Isilon.
Procédure
1. Cliquez sur Data Protection > NDMP > NDMP Settings.
2. Dans la zone NDMP Administrators, cliquez sur Add an NDMP Administrator.
La boîte de dialogue Add NDMP Administrator s’affiche.
3. Dans le champ Name de la boîte de dialogue Add NDMP Administrator,
saisissez le nom du compte.

Remarque

L’administrateur NDMP que vous créez à cette étape s’applique uniquement


aux opérations NDMP. Vous ne pouvez pas le lier à un quelconque autre
utilisateur, groupe ou identité sur le cluster.

4. Dans les champs Password et Confirm password, saisissez le mot de passe du


compte.

Remarque

Aucune règle de mot de passe particulière n’est requise pour un administrateur


NDMP.

5. Cliquez sur Add NDMP Administrator.

Afficher les comptes utilisateur NDMP


Vous pouvez afficher des informations sur les comptes utilisateur NDMP.
Procédure
1. Cliquez sur Data Protection > NDMP > NDMP Settings.
2. Dans la zone NDMP Administrators, cochez la case correspondant à un
administrateur NDMP en cliquant surView/Edit pour en afficher les détails.

Modifier le mot de passe d’un compte d’administrateur NDMP


Vous pouvez modifier le mot de passe d’un compte d’administrateur NDMP.

Gestion des comptes utilisateur NDMP 379


Présentation de la sauvegarde et de la restauration NDMP

Procédure
1. Cliquez sur Data Protection > NDMP > NDMP Settings.
2. Dans la zone NDMP Administrators, sélectionnez la case à cocher en regard du
nom d’administrateur de votre choix, puis cliquez sur View/Edit.
La boîte de dialogue View NDMP Administrator Details s’affiche.
3. Cliquez sur Edit.
La boîte de dialogue Edit NDMP Administrator Details s’affiche.
4. Saisissez un nouveau mot de passe, confirmez-le, puis cliquez sur Save
Changes.

Supprimer un compte d’administrateur NDMP


Vous pouvez supprimer un compte d’administrateur NDMP.
Procédure
1. Cliquez sur Data Protection > NDMP > NDMP Settings.
2. Dans la zone NDMP Administrators, sélectionnez la case à cocher en regard du
nom d’administrateur de votre choix, puis cliquez sur Delete.
Le nom d’administrateur est supprimé de la liste des administrateurs NDMP.

Présentation des variables d’environnement NDMP


Les variables d’environnement NDMP sont associées à des chemins d’accès. Lorsque
le chemin d’une variable d’environnement correspond au chemin d’une opération de
sauvegarde ou de restauration, la variable d’environnement est appliquée à cette
opération.
Toutes les variables d’environnement se trouvent dans le répertoire /ifs. Deux autres
chemins virtuels, /BACKUP et /RESTORE, contiennent des variables d’environnement.
Les variables d’environnement se trouvant sous ce chemin peuvent être appliquées à
un niveau global. Les variables d’environnement se trouvant sous /BACKUP sont
appliquées à toutes les opérations de sauvegarde. Les variables d’environnement se
trouvant sous /RESTORE sont appliquées à toutes les opérations de restauration. Les
variables d’environnement globales sont appliquées uniquement après l’application des
variables d’environnement spécifiques à un chemin. Par conséquent, les variables
spécifiques à un chemin sont prioritaires sur les variables globales.

Gestion des variables d’environnement NDMP


Dans OneFS, vous pouvez gérer les opérations de sauvegarde et de restauration
NDMP en spécifiant les variables d’environnement NDMP par défaut. Vous pouvez
également remplacer les variables d’environnement NDMP par défaut dans votre
application de gestion des données (DMA).
Vous pouvez ajouter, afficher, modifier et supprimer des variables d’environnement.
Les variables d’environnement peuvent être gérées par chemin de sauvegarde. Elles
sont ajoutées aux variables d’environnement transmises à partir d’une DMA dans une
session de sauvegarde ou de restauration.
Le tableau ci-dessous répertorie les DMA permettant de définir directement les
variables d’environnement :

380 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Tableau 6 Prise en charge de DMA pour la définition des variables d’environnement

DMA Prise en charge Prise en charge via l’interface de


directement sur la ligne de commande de OneFS
DMA
Symantec NetBackup Oui Oui

EMC NetWorker Oui Oui

EMC Avamar Non Oui

CommVault Simpana Non Oui

IBM Tivoli Storage Non Oui


Manager

Symantec Backup Exec Non Oui

Dell NetVault Non Oui

ASG-Time Navigator Non Oui

Si vous ne pouvez pas définir de variable d’environnement directement sur une DMA
dans le cadre de vos opérations de sauvegarde ou de restauration NDMP, connectez-
vous à un cluster EMC Isilon via un client SSH et définissez la variable
d’environnement sur le cluster à l’aide de la commande isi ndmp settings
variables set.

Paramètres des variables d’environnement NDMP


Vous pouvez afficher les paramètres des variables d’environnement NDMP et les gérer
comme il convient.
Les paramètres suivants s’affichent dans le tableau Variables :

Paramètre Description
Add Variables Ajouter de nouvelles variables
d’environnement de chemin d’accès, avec les
valeurs associées.

Path Chemin sous le répertoire /ifs destiné au


stockage des nouvelles variables
d’environnement. Si Path est défini sur /
BACKUP, la variable d’environnement est
appliquée à toutes les opérations de
sauvegarde. Si Path est défini sur /RESTORE,
la variable d’environnement est appliquée à
toutes les opérations de restauration.

Add Name/Value Ajouter un nom et une valeur pour la nouvelle


variable d’environnement.

Name Nom de la variable d’environnement.

Value Valeur définie pour la variable


d’environnement.

Action Modifier, afficher ou supprimer une variable


d’environnement dans un chemin spécifié.

Paramètres des variables d’environnement NDMP 381


Présentation de la sauvegarde et de la restauration NDMP

Ajouter une variable d’environnement NDMP


Vous pouvez ajouter à un chemin d’accès spécifié des variables d’environnement
pouvant être appliquées globalement ou selon un chemin de sauvegarde spécifique.
Procédure
1. Cliquez sur Data Protection > NDMP > Environment Settings.
2. Cliquez sur Add Variables pour ouvrir la boîte de dialogue Add Path Variables.
3. Dans la zone Variable Settings, spécifiez les paramètres suivants :
a. Spécifiez ou accédez à un chemin sous /ifs pour stocker la variable
d’environnement.

Remarque

l Pour définir une variable d’environnement globale pour les opérations de


sauvegarde et de restauration, spécifiez le chemin d’accès /BACKUP
dans le cas d’une opération de sauvegarde et le chemin d’accès /
RESTORE dans le cas d’une opération de restauration.
l Le chemin de sauvegarde doit inclure .snapshot/<snapshot name>
lorsque vous exécutez une sauvegarde d’un snapshot créé par
l’utilisateur.

b. Cliquez sur Add Name/Value, spécifiez le nom et la valeur de la variable


d’environnement, puis cliquez sur Create Variable.

Afficher les variables d’environnement NDMP


Vous pouvez afficher des détails sur les variables d’environnement NDMP
Procédure
1. Cliquez sur Data Protection > NDMP > Environment Settings.
2. Dans le tableau Variables, cliquez sur la case à cocher correspondant à une
variable d’environnement, puis cliquez sur View/Edit.
3. Dans la boîte de dialogue Display Path Variables, passez en revue les détails.

Modifier une variable d’environnement NDMP


Vous pouvez modifier une variable d’environnement NDMP.
Procédure
1. Cliquez sur Data Protection > NDMP > Environment Settings.
2. Dans le tableau Variables, cliquez sur la case à cocher correspondant à une
variable d’environnement, puis cliquez sur View/Edit.
3. Dans la boîte de dialogue Display Path Variables, cliquez sur Edit Path
Variables.
4. Dans la boîte de dialogue Edit Variables, cliquez sur Add Name/Value et
attribuez un nouveau nom et une valeur à la variable d’environnement.

382 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Supprimer une variable d’environnement NDMP


Vous pouvez supprimer une variable d’environnement NDMP.
Procédure
1. Cliquez sur Data Protection > NDMP > Environment Settings.
2. Dans le tableau Variables, cliquez sur la case à cocher correspondant à une
variable d’environnement, puis cliquez sur Delete.
3. Dans la fenêtre de confirmation, cliquez sur Delete.
Résultats
Vous pouvez également supprimer une variable d’environnement NDMP par le biais de
la boîte de dialogue Edit Variables qui s’affiche lorsque vous cliquez sur View/Edit
puis sur Edit Path Variables.

Variables d’environnement NDMP


Vous pouvez spécifier les paramètres par défaut des opérations de sauvegarde et de
restauration NDMP via les variables d’environnement NDMP. Vous pouvez également
spécifier des variables d’environnement NDMP par le biais de votre DMA.
Symantec NetBackup et EMC NetWorker sont les seules DMA qui vous permettent de
définir directement des variables d’environnement et de les propager sur OneFS.

Tableau 7 Variables d’environnement NDMP

Variable Valeurs valides Standard Description


d’environnement
BACKUP_FILE_LIST <file-path> Aucune Déclenche la sauvegarde
d’une liste de fichiers.
Actuellement, seuls EMC
NetWorker et Symantec
NetBackup peuvent
transmettre des variables
d’environnement à OneFS.

BACKUP_MODE TIMESTAMP TIMESTAMP Active ou désactive les


SNAPSHOT sauvegardes
incrémentielles basées sur
snapshot. Pour activer les
sauvegardes
incrémentielles basées sur
snapshot, spécifiez
SNAPSHOT.

BACKUP_OPTIONS 0x00000100 0 Cette variable


0x00000200 d’environnement
0x00000400 concerne uniquement le
Dataset contenant des
0x00000001 fichiers SmartLink de
0x00000002 CloudPools.
Contrôle le comportement
0x00000004
de la sauvegarde.

Supprimer une variable d’environnement NDMP 383


Présentation de la sauvegarde et de la restauration NDMP

Tableau 7 Variables d’environnement NDMP (suite)

Variable Valeurs valides Standard Description


d’environnement

0
Sauvegarde les
données de cache
modifiées.

0x00000100
Lit les données des
fichiers SmartLink
sur le Cloud et
sauvegarde ces
fichiers comme des
fichiers ordinaires.

0x00000200 -
Sauvegarde toutes
les données mises en
cache stockées dans
les fichiers
SmartLink.

0x00000400
Rappelle et
sauvegarde les
données stockées
dans les fichiers
SmartLink.

0x00000001
Ajoute toujours
DUMP_DATE à la
liste des variables
d’environnement à la
fin d’une opération
de sauvegarde. La
valeur DUMP_DATE
est l’heure de
création du snapshot
de sauvegarde. Une
DMA peut utiliser la
valeur DUMP_DATE
pour définir la valeur
BASE_DATE de
l’opération de
sauvegarde suivante.

0x00000002
Conserve le snapshot
de sauvegarde basée
sur un jeton dans le

384 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Tableau 7 Variables d’environnement NDMP (suite)

Variable Valeurs valides Standard Description


d’environnement

fichier dumpdates.
Dans la mesure où
une sauvegarde
basée sur un jeton
n’a aucun paramètre
LEVEL, son niveau
est défini sur 10 par
défaut. Le snapshot
permet une
sauvegarde
incrémentielle plus
rapide lorsque la
sauvegarde
incrémentielle
suivante est
effectuée après la
sauvegarde basée sur
un jeton.

0x00000004
Conserve le snapshot
précédent. Après une
sauvegarde
incrémentielle plus
rapide, le snapshot
précédent est
enregistré au
niveau 10. Pour éviter
que deux snapshots
ne soient au même
niveau, le snapshot
précédent est
conservé à un niveau
inférieur dans le
fichier dumpdates.
Cela permet aux
paramètres
BASE_DATE et
BACKUP_MODE=sna
pshot de déclencher
une sauvegarde
incrémentielle plus
rapide au lieu d’une
sauvegarde basée sur
un jeton. Les
paramètres des
variables
d’environnement
indiquent au serveur

Variables d’environnement NDMP 385


Présentation de la sauvegarde et de la restauration NDMP

Tableau 7 Variables d’environnement NDMP (suite)

Variable Valeurs valides Standard Description


d’environnement

NDMP qu’il doit


comparer la valeur
BASE_DATE à
l’horodatage du
fichier dumpdates
pour trouver la
sauvegarde
précédente. Même si
la dernière
sauvegarde
incrémentielle plus
rapide effectuée par
la DMA échoue,
OneFS conserve le
snapshot précédent.
La DMA peut alors
réessayer d’effectuer
la sauvegarde
incrémentielle plus
rapide lors du
prochain cycle de
sauvegarde à l’aide
de la valeur
BASE_DATE de la
sauvegarde
précédente.

BASE_DATE Active la sauvegarde


incrémentielle basée sur
des jetons. Dans ce cas, le
fichier dumpdates n’est
pas mis à jour.

DIRECT Y N Active ou désactive la


N restauration par accès
direct (DAR) et la
restauration par accès
direct de répertoire
(DDAR). Les valeurs
suivantes sont valides :
Y
Active DAR et DDAR.

N
Désactive DAR et
DDAR.

EXCLUDE <file-matching- Aucune Si vous choisissez cette


pattern> option, OneFS ne

386 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Tableau 7 Variables d’environnement NDMP (suite)

Variable Valeurs valides Standard Description


d’environnement
sauvegarde pas les
fichiers et les répertoires
qui respectent le modèle
indiqué. Séparez les
différents modèles par un
espace.

FILES <file-matching- Aucune Si vous choisissez cette


pattern> option, OneFS ne
sauvegarde que les
fichiers et les répertoires
qui respectent le modèle
indiqué. Séparez les
différents modèles par un
espace.

Remarque

En règle générale, les


fichiers sont mis en
correspondance avant
l’application du modèle
EXCLUDE.

HIST <file-history- Y Spécifie le format de


format> l’historique de fichier.
Les valeurs suivantes sont
valides :
D
Spécifie l’historique
du fichier de
répertoire ou de
nœud.

F
Spécifie l’historique
du fichier basé sur le
chemin.

Y
Spécifie le format
d’historique de
fichier par défaut
déterminé par vos
paramètres de
sauvegarde NDMP.

N
Désactive l’historique
de fichier.

Variables d’environnement NDMP 387


Présentation de la sauvegarde et de la restauration NDMP

Tableau 7 Variables d’environnement NDMP (suite)

Variable Valeurs valides Standard Description


d’environnement
LEVEL <integer> 0 Indique le niveau de
sauvegarde NDMP à
exécuter. Les valeurs
suivantes sont valides :
0
Effectue une
sauvegarde NDMP
complète.

1-9
Effectue une
sauvegarde
incrémentielle au
niveau spécifié.

10
Effectue des
sauvegardes
incrémentielles
systématiques.

MSB_RETENTION_PERIOD Entier 300 s Spécifie la période de


rétention du contexte de
sauvegarde.

MSR_RETENTION_PERIOD 0 à 60*60*24 600 s Spécifie la période de


rétention du contexte de
restauration au cours de
laquelle il est possible de
retenter une session de
restauration.

RECURSIVE Y Y Indique que la session de


N sauvegarde est récursive.

RESTORE_BIRTHTIME Y N Indique s’il convient de


N restaurer l’heure de
naissance d’une session
de restauration.

RESTORE_HARDLINK Y N Dans le cas d’une session


_BY_TABLE N de restauration à un seul
thread, détermine si
OneFS restaure les liens
matériels en générant un
tableau de liens matériels
lors des opérations de
restauration. Choisissez
cette option si des liens
matériels sont
sauvegardés de manière

388 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Tableau 7 Variables d’environnement NDMP (suite)

Variable Valeurs valides Standard Description


d’environnement
incorrecte et si les
opérations de restauration
échouent.
Si une opération de
restauration échoue en
raison d’une sauvegarde
incorrecte des liens
matériels, le message
suivant s’affiche dans les
logs de sauvegarde
NDMP :

Bad hardlink path


for <path>

Remarque

Cette variable n’est pas


efficace pour une
opération de restauration
parallèle.

RESTORE_OPTIONS 0 0 Pour améliorer les


1 performances, l’opération
0x00000002 de restauration est de
type multithread par
0x00000004 défaut. Si vous souhaitez
exécutez une restauration
à un seul thread, spécifiez
RESTORE_OPTIONS=1
Les options de
restauration suivantes
concernent uniquement la
restauration parallèle :
0
L’opération de
restauration ne
remplace pas les
autorisations des
répertoires existants.

0x00000002
Force l’opération de
restauration à
remplacer les
autorisations des
répertoires existants
selon les
informations du flux
de restauration.

Variables d’environnement NDMP 389


Présentation de la sauvegarde et de la restauration NDMP

Tableau 7 Variables d’environnement NDMP (suite)

Variable Valeurs valides Standard Description


d’environnement

Cette option
s’applique
uniquement aux
répertoires figurant
dans la liste nlist.

0x00000004
Dans les versions
antérieures à
OneFS 8.0.0, les
autorisations par
défaut des
répertoires
intermédiaires créés
lors d’une opération
de restauration sont
définies. Dans
OneFS 8.0.0 et
versions supérieures,
les autorisations d’un
répertoire
intermédiaire sont
identiques à celles du
premier fichier
restauré au sein de
ce répertoire.
0x00000004 revient
à la méthode de
restauration
précédente et définit
les autorisations des
répertoires
intermédiaires
sur 0700 et les
UID/GID sur 0.

UPDATE Y Y Détermine si OneFS met à


N jour le fichier dumpdates.
Y
OneFS met à jour le
fichier dumpdates.

N
OneFS ne met pas à
jour le fichier
dumpdates.

390 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Définition des variables d’environnement pour les opérations de sauvegarde


et de restauration
Vous pouvez définir des variables d’environnement pour prendre en charge les
opérations de sauvegarde et de restauration de votre session NDMP.
Vous pouvez définir les variables d’environnement à l’aide d’une application de gestion
des données (DMA) ou de l’interface de ligne de commande. Vous pouvez également
définir des variables d’environnement globales. L’ordre de priorité des paramètres à
appliquer à une opération de sauvegarde ou de restauration est le suivant :
l Les variables d’environnement définies via une DMA ont la priorité la plus élevée.
l Les variables d’environnement spécifiques d’un chemin définies par la commande
isi ndmp settings variables ont ensuite la priorité.
l Les paramètres des variables d’environnement globales de "/BACKUP" ou "/
RESTORE" ont la priorité la plus basse.
Vous pouvez définir des variables d’environnement pour prendre en charge différents
types d’opérations de sauvegarde, comme décrit dans les scénarios suivants :
l Si la variable d’environnement BASE_DATE est définie sur une valeur quelconque
et si vous définissez la variable d’environnement BACKUP_MODE sur SNAPSHOT, la
variable d’environnement LEVEL est automatiquement définie sur 10 et une
sauvegarde incrémentielle systématique est effectuée.
l Si la variable d’environnement BASE_DATE est définie sur 0, une sauvegarde
complète est effectuée.
l Si la variable d’environnement BACKUP_MODE est définie sur snapshot et si la
variable d’environnement BASE_DATE n’est pas définie sur 0, les entrées du fichier
dumpdates sont lues et comparées à la variable d’environnement BASE_DATE. Si
une entrée est trouvée et qu’un snapshot valide antérieur soit disponible, une
sauvegarde incrémentielle plus rapide est effectuée.
l Si la variable d’environnement BACKUP_MODE est définie sur snapshot tandis que
la variable d’environnement BASE_DATE n’est pas définie sur 0, et si aucune
entrée ne figure dans le fichier dumpdates et qu’aucun snapshot valide antérieur
ne soit disponible, une sauvegarde basée sur un jeton est effectuée à l’aide de la
valeur de la variable d’environnement BASE_DATE.
l Si la variable d’environnement BASE_DATE est définie, la variable d’environnement
BACKUP_OPTIONS est définie sur 0x00000001 par défaut.
l Si la variable d’environnement BACKUP_MODE est définie sur snapshot, la
variable d’environnement BACKUP_OPTIONS est définie sur 0x00000002 par
défaut.
l Si la variable d’environnement BACKUP_OPTIONS est définie sur 0x00000004, le
snapshot est enregistré et géré par l’application utilisée pour le processus de
sauvegarde.
l Pour exécuter une sauvegarde incrémentielle systématique avec des sauvegardes
incrémentielles plus rapides, vous devez définir les variables d’environnement
suivantes :
n BASE_DATE=<time>
n BACKUP_MODE=snapshot

Définition des variables d’environnement pour les opérations de sauvegarde et de restauration 391
Présentation de la sauvegarde et de la restauration NDMP

n BACKUP_OPTIONS=7

Gestion des contextes NDMP


Chaque processus NDMP (sauvegarde, restauration, sauvegarde redémarrable et
sauvegarde en mode multi-flux) crée un contexte. Le serveur NDMP stocke les
fichiers de travail correspondants dans le contexte. Vous pouvez afficher ou supprimer
un contexte.

Remarque

Si vous supprimez un contexte de sauvegarde redémarrable, vous ne pouvez pas


redémarrer la session de sauvegarde correspondante.

Paramètres de contexte NDMP


Vous pouvez afficher les détails des contextes NDMP et gérer ces contextes.
Les paramètres suivants s’affichent dans le tableau Contexts :

Paramètre Description

Type Type de contexte. Il peut s’agir d’un contexte


de sauvegarde, de sauvegarde redémarrable
ou de restauration.

ID Identifiant d’une tâche de sauvegarde ou de


restauration. Une tâche de sauvegarde ou de
restauration se compose d’un ou plusieurs flux
identifiés par cet identifiant. Cet identifiant
est généré par le processus de sauvegarde
NDMP.

Start Time Date de démarrage du contexte au format


mois jour heure année.

Actions Afficher ou supprimer un contexte


sélectionné.

Status État du contexte. L’état est actif (Active) si


une tâche de sauvegarde ou de restauration
est déclenchée et se poursuit pour demeurer
active jusqu’à la fin du flux de sauvegarde ou
la génération d’une erreur.

Path Chemin d’accès de l’emplacement de


stockage de tous les fichiers de travail du
contexte sélectionné.

MultiStream Spécifie si le processus de sauvegarde


multistream est activé.

Lead Session ID Identifiant de la première session de


sauvegarde ou de restauration correspondant
à une opération de sauvegarde ou de
restauration.

Sessions Tableau répertoriant toutes les sessions


associées au contexte sélectionné.

392 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Afficher les contextes NDMP


Vous pouvez afficher des informations relatives aux contextes de sauvegarde, de
sauvegarde redémarrable et de restauration NDMP.
Procédure
1. Cliquez sur Data Protection > NDMP > Contexts.
2. Dans le tableau Contexts, cochez la case correspondant au contexte que vous
souhaitez consulter, puis cliquez sur View Details.
3. Passez en revue les informations sur le contexte dans la boîte de dialogue
Display Backup Context.

Supprimer un contexte NDMP


Vous pouvez supprimer un contexte NDMP.
Les contextes de sauvegarde et de restauration sont associés à des périodes de
rétention au-delà desquelles les contextes sont automatiquement supprimés.
Toutefois, vous pouvez choisir de supprimer un contexte avant sa période de rétention
afin de libérer des ressources. Vous ne pouvez pas supprimer les contextes associés à
des sessions actives. De même, vous ne pouvez pas supprimer les contextes de
sauvegarde avec des contextes BRE actifs. Vous pouvez supprimer les contextes BRE
uniquement s’ils ne font pas partie de sessions actives.
Procédure
1. Cliquez sur Data Protection > NDMP > Contexts.
2. Dans le tableau Contexts, sélectionnez un contexte et cliquez sur Delete.
3. Dans la fenêtre de confirmation, cliquez sur Delete.

Gestion des sessions NDMP


Vous pouvez afficher l’état des sessions NDMP ou arrêter une session en cours.

Informations sur les sessions NDMP


Les applications de gestion des données (DMA) établissent des sessions avec le
processus NDMP en cours d’exécution sur le nœud Backup Accelerator. La
communication entre la DMA et le processus NDMP est gérée dans le contexte d’une
session.
Les éléments suivants s’affichent dans le tableau Sessions :

Élément Description

Session Spécifie le numéro d’identification unique que OneFS a attribué à


la session.

Elapsed Spécifie le temps écoulé depuis le démarrage de la session.

Transferred Spécifie la quantité de données transférées lors de la session.

Throughput Spécifie le débit moyen de la session au cours des cinq dernières


minutes.

Afficher les contextes NDMP 393


Présentation de la sauvegarde et de la restauration NDMP

Élément Description

Client/Remote Spécifie l’adresse IP du serveur de sauvegarde sur lequel


s’exécute la DMA. Si une opération de sauvegarde ou de
restauration NDMP tridirectionnelle est en cours d’exécution,
l’adresse IP du serveur de média de bande distant apparaît
également.

Mover/Data Spécifie l’état actuel du Data Mover et du serveur de données. Le


premier mot décrit l’activité du Data Mover. Le second mot décrit
l’activité du serveur de données.
Lors des opérations de sauvegarde et de restauration, le Data
Mover et le serveur de données échangent des données. Le Data
Mover est un composant du serveur de sauvegarde qui reçoit des
données au cours des sauvegardes et envoie des données au
cours des opérations de restauration. Le serveur de données est
un composant OneFS qui envoie des données au cours des
sauvegardes et reçoit des informations au cours des opérations de
restauration.
Les états suivants peuvent s’afficher :
Active
Le Data Mover ou le serveur de données est actuellement en
train d’envoyer ou de recevoir des données.

Paused
Le Data Mover est temporairement incapable de recevoir des
données. Quand le Data Mover est interrompu, le serveur de
données ne peut pas lui envoyer de données. Le serveur de
données ne peut pas être interrompu.

Idle
Le Data Mover ou le serveur de données n’envoie pas de
données et n’en reçoit pas.

Listen
Le Data Mover ou le serveur de données attend de se
connecter au serveur de données ou au Data Mover.

Operation Spécifie le type d’opération (sauvegarde ou restauration)


actuellement en cours. Si aucune opération n’est en cours, ce
champ est vide.
B ({M} {F} [L[0-10] | T0 | Ti | S[0-10]] {r | R})
Où :
[ a ] : a est obligatoire
{ a } : a est facultatif
a | b : a ou b mais pas les deux en même temps
M : sauvegarde en mode multi-flux
F : liste de fichiers
L : basée sur le niveau
T : basée sur le jeton

394 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Élément Description

S : mode snapshot
s : mode snapshot et sauvegarde complète (lorsque le
répertoire root est nouveau)
r : sauvegarde redémarrable
R : sauvegarde redémarrée
0 à 10 : niveau de vidage

R ({M|s}[F | D | S]{h})
Où :
M : restauration en mode multi-flux
s : restauration sur un seul thread (lorsque
RESTORE_OPTIONS = 1)
F : restauration complète
D : DAR
S : restauration sélective
h : restauration de hardlinks par table

Source/Destination Si une opération est actuellement en cours, indique les


répertoires /ifs concernés par l’opération. Si une sauvegarde
est en cours, affiche le chemin du répertoire source en cours de
sauvegarde. Si une opération de restauration est en cours, affiche
le chemin du répertoire en cours de restauration, ainsi que le
répertoire cible vers lequel le serveur de média de bande restaure
les données. Si vous restaurez les données au même
emplacement que celui à partir duquel vous les avez
sauvegardées, le même chemin s’affiche deux fois.

Device Spécifie le nom de l’unité de bande ou du changeur de médias qui


communique avec le cluster EMC Isilon.

Mode Spécifie la Façon dont OneFS interagit avec les données sur le
serveur de média de sauvegarde, via les options suivantes :
Read/Write
OneFS lit et écrit des données dans le cadre d’une opération
de sauvegarde.

Read
OneFS lit des données dans le cadre d’une opération de
restauration.

Raw
La DMA a accès aux lecteurs de bande, mais les lecteurs ne
contiennent pas de supports de bande inscriptibles.

Actions Permet d’explorer ou de supprimer une session.

Informations sur les sessions NDMP 395


Présentation de la sauvegarde et de la restauration NDMP

Exemple 1 Opérations de sauvegarde et de restauration NDMP

L’exemple ci-dessous présente des sessions de sauvegarde NDMP actives indiquées


par le biais du champ Operation décrit dans le tableau précédent :

B(T0): Token based full backup


B(Ti): Token based incremental backup
B(L0): Level based full backup
B(L5): Level 5 incremental backup
B(S0): Snapshot based full backup
B(S3): Snapshot based level 3 backup
B(FT0): Token based full filelist backup
B(FL4): Level 4 incremental filelist backup
B(L0r): Restartable level based full backup
B(S4r): Restartable snapshot based level 4 incremental backup
B(L7R): Restarted level 7 backup
B(FT1R): Restarted token based incremental filelist backup
B(ML0): Multi-stream full backup

L’exemple ci-dessous présente des sessions de restauration NDMP actives indiquées


par le biais du champ Operation décrit dans le tableau précédent :

R(F): Full restore


R(D): DAR
R(S): Selective restore
R(MF): Multi-stream full restore
R(sFh): single threaded full restore with restore hardlinks by
table option

Afficher les sessions NDMP


Vous pouvez afficher des informations sur les sessions actives de NDMP.
Procédure
1. Cliquez sur Data Protection > NDMP > Sessions.
2. Dans le tableau Sessions, examinez les informations relatives aux sessions
NDMP.

Abandonner une session NDMP


Vous pouvez à tout moment abandonner une session de sauvegarde ou de restauration
NDMP.
Procédure
1. Cliquez sur Data Protection > NDMP > Sessions.
2. Dans le tableau Sessions, cochez la case correspondant à la session que vous
souhaitez abandonner, puis cliquez sur Delete.
3. Dans la fenêtre de confirmation, cliquez sur Delete.

396 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Gestion des ports NDMP Fibre Channel


Vous pouvez gérer les ports Fibre Channel qui connectent les unités de bande et les
changeurs de médias à un nœud Backup Accelerator. Vous pouvez également activer,
désactiver ou modifier les paramètres d’un port NDMP Fibre Channel.

Paramètres des ports de sauvegarde NDMP


OneFS attribue des paramètres par défaut à chaque port Fibre Channel sur le nœud
Backup Accelerator associé au cluster EMC Isilon. Ces paramètres identifient le port
et déterminent la manière dont il interagit avec les périphériques de sauvegarde
NDMP.
Les paramètres suivants s’affichent dans le tableau Ports :

Paramètre Description

LNN Spécifie le numéro de nœud logique du nœud Backup Accelerator.

Port Spécifie le nom du nœud Backup Accelerator et le numéro du port.

Topology Spécifie le type de topologie Fibre Channel pris en charge par le port. Les
options sont les suivantes :
Point to Point
Un seul périphérique de sauvegarde ou switch Fibre Channel
directement connecté au port.

Loop
Plusieurs périphériques de sauvegarde connectés à un port unique au
sein d’une formation circulaire.

Auto
Détecte automatiquement la topologie du périphérique connecté. Il
s’agit du paramètre recommandé, qui est obligatoire dans le cas
d’une topologie de switch fabric.

WWNN Spécifie le nom de nœud universel (WWNN) du port. Ce nom est


identique pour chaque port d’un nœud donné.

WWPN Spécifie le nom de port universel (WWPN) du port. Ce nom est différent
pour chaque port.

Rate Spécifie la vitesse à laquelle les données sont transmises via le port. La
vitesse peut être définie sur 1 Gb/s,2 Gb/s,4 Gb/s,8 Gb/s et Auto.
8 Gb/s est disponible pour les nœuds A100 uniquement. Si elle est
définie sur Auto, la puce Fibre Channel négocie avec le switch Fibre
Channel ou avec les périphériques Fibre Channel connectés pour
déterminer la vitesse. Le paramètre recommandé est Auto.

State Indique si un port est activé ou désactivé.

Actions Permet d’afficher et de modifier les paramètres du port.

Gestion des ports NDMP Fibre Channel 397


Présentation de la sauvegarde et de la restauration NDMP

Activer ou désactiver un port de sauvegarde NDMP


Vous pouvez activer ou désactiver un port de sauvegarde NDMP.
Procédure
1. Cliquez sur Data Protection > NDMP > Ports.
2. Au niveau de la ligne d’un port, cliquez sur View/Edit.
La boîte de dialogue View Port s’affiche.
3. Cliquez sur le bouton Edit Port.
La boîte de dialogue Edit Port s’affiche.
4. Dans la liste déroulante State, sélectionnez Enable ou Disable.
5. Cliquez sur le bouton Save Changes.

Afficher les ports de sauvegarde NDMP


Vous pouvez afficher des informations sur les ports Fibre Channel des nœuds Backup
Accelerator rattachés à un cluster EMC Isilon.
Procédure
1. Cliquez sur Data Protection > NDMP > Ports.
2. Dans le tableau Ports, examinez les informations relatives aux ports de
sauvegarde NDMP. Pour obtenir plus d’informations sur un port spécifique,
cliquez sur le bouton View/Edit correspondant à ce port.

Modifier les paramètres d’un port de sauvegarde NDMP


Vous pouvez modifier les paramètres d’un port de sauvegarde NDMP.
Procédure
1. Cliquez sur Data Protection > NDMP > Ports.
2. Cliquez sur le bouton View/Edit correspondant au port que vous souhaitez
modifier.
La boîte de dialogue View Port s’affiche.
3. Cliquez sur le bouton Edit Port.
La boîte de dialogue Edit Port s’affiche.
4. Modifiez les paramètres dans la boîte de dialogue Edit Port, puis cliquez sur
Save Changes lorsque vous avez terminé.

Gestion des paramètres IP NDMP préférés


Si vous effectuez des opérations NDMP tridirectionnelles à l’aide d’EMC Avamar dans
un environnement comptant plusieurs interfaces réseau, vous pouvez créer, modifier,
supprimer, répertorier et afficher les paramètres IP NDMP préférés à l’échelle du
cluster ou spécifiques d’un sous-réseau.
Vous ne pouvez gérer les paramètres IP NDMP préférés que via l’interface de ligne de
commande OneFS.

398 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Créer un paramètre IP NDMP préféré


Si vous effectuez une opération de sauvegarde ou de restauration NDMP
tridirectionnelle à l’aide d’EMC Avamar, vous pouvez créer un paramètre IP NDMP
préféré à l’échelle du cluster ou spécifique d’un sous-réseau.
Procédure
l Pour créer un paramètre IP NDMP préféré, exécutez la commande isi ndmp
settings preferred-ips create.
Par exemple, exécutez la commande suivante pour appliquer un paramètre IP
préféré à un cluster :

isi ndmp settings preferred-ips create cluster


groupnet0.subnet0,10gnet.subnet0

Exécutez la commande comme illustré dans l’exemple suivant pour appliquer un


paramètre IP préféré à un groupe de sous-réseau :

isi ndmp settings preferred-ips create 10gnet.subnet0


10gnet.subnet0,groupnet0.subnet0

Modifier un paramètre IP NDMP préféré


Si vous effectuez une opération de sauvegarde ou de restauration NDMP
tridirectionnelle à l’aide d’EMC Avamar, vous pouvez modifier un paramètre IP NDMP
préféré en ajoutant ou en supprimant un groupe de sous-réseau.
Procédure
l Pour modifier un paramètre IP NDMP préféré, exécutez la commande isi ndmp
settings preferred-ips modify.
Par exemple, exécutez les commandes suivantes pour modifier le paramètre IP
NDMP préféré d’un cluster :

isi ndmp settings preferred-ips modify 10gnet.subnet0 --add


10gnet.subnet0,groupnet0.subnet0

Exécutez la commande comme illustré dans l’exemple suivant pour modifier le


paramètre IP NDMP préféré d’un sous-réseau :

isi ndmp settings preferred-ips modify 10gnet.subnet0 --remove


groupnet0.subnet0

Répertorier les paramètres IP NDMP préférés


Si vous effectuez une opération de sauvegarde ou de restauration NDMP
tridirectionnelle à l’aide d’EMC Avamar, vous pouvez répertorier tous les
paramètres IP NDMP préférés.
Procédure
l Pour répertorier les paramètres IP NDMP préférés, exécutez la commande isi
ndmp settings preferred-ips list.

Créer un paramètre IP NDMP préféré 399


Présentation de la sauvegarde et de la restauration NDMP

Par exemple, exécutez la commande suivante pour répertorier les paramètres IP


NDMP préférés :

isi ndmp settings preferred-ips list

Afficher les paramètres IP NDMP préférés


Si vous effectuez une opération de sauvegarde ou de restauration NDMP
tridirectionnelle à l’aide d’EMC Avamar, vous pouvez afficher les paramètres IP NDMP
préférés du cluster ou d’un sous-réseau.
Procédure
l Pour afficher un paramètre IP NDMP préféré, exécutez la commande isi ndmp
settings preferred-ips view.
Par exemple, exécutez la commande suivante pour afficher le paramètre IP préféré
d’un sous-réseau :

isi ndmp settings preferred-ips view 10gnet.subnet0

Supprimer les paramètres IP NDMP préférés


Si vous effectuez une opération de sauvegarde ou de restauration NDMP
tridirectionnelle à l’aide d’EMC Avamar, vous pouvez supprimer le paramètre IP NDMP
préféré du cluster ou d’un sous-réseau.
Procédure
l Pour supprimer les paramètres IP NDMP préférés, exécutez la commande isi
ndmp settings preferred-ips delete.
Par exemple, exécutez la commande suivante pour supprimer le paramètre IP
préféré d’un sous-réseau :

isi ndmp settings preferred-ips delete 10gnet.subnet0

Gestion des périphériques de sauvegarde NDMP


Après avoir rattaché une unité de bande ou un changeur de médias à un nœud Backup
Accelerator, vous devez configurer OneFS pour qu’il détecte le périphérique et
établisse une connexion avec lui. Une fois la connexion entre le cluster et le
périphérique de sauvegarde établie, vous pouvez modifier le nom que le cluster a
attribué au périphérique ou déconnecter le périphérique du cluster.
Dans le cas où le périphérique possède plusieurs LUN, vous devez configurer LUN0
afin que toutes les LUN soient correctement détectées.

Paramètres des périphériques de sauvegarde NDMP


OneFS crée une entrée de périphérique pour chaque périphérique que vous rattachez
au cluster par l’intermédiaire d’un nœud Backup Accelerator.
Le tableau suivant décrit les paramètres que vous pouvez consulter pour une unité de
bande ou un changeur de médias dans le tableau Devices ou via la boîte de dialogue
View Tape Devices qui s’affiche lorsque vous sélectionnez un périphérique et que
vous cliquez sur View.Edit :

400 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Paramètre Description

Name Spécifie un nom de périphérique attribué par OneFS.

State Indique si le périphérique est en cours d’utilisation. Si des données sont


actuellement en cours de sauvegarde ou de restauration à partir du
périphérique, Read/Write s’affiche. Si le périphérique n’est pas en
cours d’utilisation, Closed s’affiche.

WWNN Spécifie le nom de nœud universel du périphérique.

Product Spécifie le nom du fournisseur du périphérique et nom du modèle ou


(Vendor/ numéro du périphérique.
Model/
Revision)
Serial Number Spécifie le numéro de série du périphérique.

Actions Permet d’afficher, de modifier ou de supprimer un périphérique.

Path Spécifie le nom du nœud Backup Accelerator auquel le périphérique est


rattaché et les numéros de port auxquels le périphérique est connecté.

LUN Spécifie l'unité logique (LUN) du périphérique.

State Indique si le périphérique est actif ou inactif.

WWPN Spécifie le nom de port universel (WWPN) du port sur l’unité de bande ou
le changeur de médias.

Port ID Spécifie l’ID de port du périphérique liant l’unité logique au périphérique


physique.

Open Count Dénombre les connexions actives et ouvertes sur le périphérique.

Device Name Spécifie le nom du périphérique standard qui s’affiche sous le système
d’exploitation FreeBSD.

Pass Name Spécifie le nom du périphérique pass-through qui s’affiche sous le


système d’exploitation FreeBSD.

Détecter les périphériques de sauvegarde NDMP


Si vous connectez une unité de bande ou un changeur de médias à un nœud Backup
Accelerator, vous devez configurer OneFS pour qu’il détecte le périphérique. Ce n’est
qu’alors que OneFS peut sauvegarder des données sur le périphérique et restaurer des
données à partir de celui-ci. Dans OneFS, vous pouvez analyser un nœud EMC Isilon
spécifique, un port spécifique ou tous les ports de tous les nœuds.
Procédure
1. Cliquez sur Data Protection > NDMP > Devices.
2. Cliquez sur le lien Discover Devices.
La boîte de dialogue Discover Devices s’affiche.
3. (Facultatif) Pour analyser uniquement un nœud spécifique pour les
périphériques NDMP, sélectionnez ce nœud dans la liste Node.
4. (Facultatif) Pour analyser uniquement un port spécifique pour les périphériques
NDMP, sélectionnez ce port dans la liste Ports.

Détecter les périphériques de sauvegarde NDMP 401


Présentation de la sauvegarde et de la restauration NDMP

Si vous indiquez un port et un nœud, seul le port spécifié sur ce nœud est
analysé. Toutefois, si vous indiquez uniquement un port, le port spécifié est
analysé sur tous les nœuds.

5. (Facultatif) Pour supprimer les entrées correspondant à des périphériques ou à


des chemins devenus inaccessibles, activez la case à cocher Delete
inaccessible paths or devices.
6. Cliquez sur Submit.
Résultats
Pour chaque périphérique qui est détecté, une entrée est ajoutée au tableau Tape
Devices ou Media Changers.

Afficher les périphériques de sauvegarde NDMP


Vous pouvez afficher des informations sur les unités de bande et les changeurs de
médias actuellement rattachés au cluster EMC Isilon.
Procédure
1. Cliquez sur Data Protection > NDMP > Devices.
2. Dans les tableaux Tape Devices et Media Changer Devices, examinez les
informations relatives aux périphériques de sauvegarde NDMP.

Modifier le nom d’un périphérique de sauvegarde NDMP


Vous pouvez modifier le nom d’un périphérique de sauvegarde NDMP dans OneFS.
Procédure
1. Cliquez sur Data Protection > NDMP > Devices.
2. Dans le tableau Tape Devices ou Media Changer Devices, cochez la case
correspondant au nom d’une entrée de périphérique de sauvegarde.
3. Cliquez sur View/Edit.
La boîte de dialogue View Tape Devices ou View Media Changers s’affiche.
4. Cliquez sur Edit Tape Device.
La boîte de dialogue Edit Tape Devices ou Edit Media Changers s’affiche.
5. Modifiez le nom du périphérique.
6. Cliquez sur Save Changes.

Supprimer une entrée de périphérique de sauvegarde NDMP


Si vous retirez physiquement un périphérique NDMP d’un cluster EMC Isilon, OneFS
conserve l’entrée du périphérique. Vous pouvez supprimer l’entrée de périphérique
d’un périphérique supprimé. Vous pouvez également supprimer l’entrée de
périphérique d’un périphérique qui encore est attaché physiquement au cluster ; ainsi,
OneFS se déconnectera du périphérique.
Si vous supprimez l’entrée de périphérique d’un périphérique connecté au cluster et
que vous ne débranchiez pas le périphérique physiquement, OneFS détectera le
périphérique la prochaine fois qu’il analysera les ports. Vous ne pouvez pas supprimer
une entrée de périphérique pour un périphérique en cours d’utilisation.

402 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Procédure
1. Cliquez sur Data Protection > NDMP > Devices.
2. Dans le tableau Tape Devices ou Media Changer Devices, cochez la case
correspondant au périphérique que vous souhaitez supprimer.
3. Cliquez sur Delete.
4. Dans la boîte de dialogue Confirm Delete, cliquez sur Delete.

Présentation du fichier NDMP dumpdates


Lorsque vous définissez la variable d’environnement UPDATE sur Y, le processus
NDMP conserve un fichier dumpdates pour enregistrer toutes les sessions de
sauvegarde à l’exception de celles basées sur des jetons. L’horodatage contenu dans
le fichier dumpdates vous aide à identifier les fichiers modifiés pour la prochaine
sauvegarde basée sur le niveau. Les entrées du fichier dumpdates fournissent
également des informations sur la dernière session de sauvegarde sur un chemin
donné, ainsi que sur le type de sessions de sauvegarde (sauvegarde complète,
sauvegarde incrémentielle basée sur le niveau ou sauvegarde basée sur des
snapshots). Ces informations déterminent le type de sauvegarde incrémentielle que
vous devez ensuite exécuter. Lorsque le chemin de sauvegarde est supprimé, les
entrées du fichier dumpdates peuvent être obsolètes. Dans ce cas, toutes les entrées
obsolètes peuvent être supprimées du fichier dumpdates.

Gestion du fichier NDMP dumpdates


Vous pouvez afficher ou supprimer des entrées du fichier NDMP dumpdates.

Paramètres du fichier NDMP dumpdates


Vous pouvez afficher des informations relatives aux entrées du fichier NDMP
dumpdates et les supprimer si nécessaire.
Les paramètres suivants s’affichent dans le tableau Dumpdates :

Paramètre Description
Date Spécifie la date à laquelle une entrée a été
ajoutée au fichier dumpdates.

ID Identifiant d’une entrée dans le fichier


dumpdates.

Niveau Spécifie le niveau de sauvegarde.

Chemin Spécifie le chemin où le fichier dumpdates


est enregistré.

Snapshot ID Identifie les fichiers modifiés pour le niveau


suivant de la sauvegarde. Cet ID s’applique
uniquement aux sauvegardes basées sur des
snapshots. Dans tous les autres cas, la valeur
est 0.

Actions Supprime une entrée du fichier dumpdates.

Présentation du fichier NDMP dumpdates 403


Présentation de la sauvegarde et de la restauration NDMP

Afficher les entrées du fichier NDMP dumpdates


Vous pouvez afficher toutes les entrées du fichier NDMP dumpdates.
Procédure
1. Cliquez sur Data Protection > NDMP > Environment Settings.
2. Le tableau Dumpdates affiche des informations sur les entrées du fichier
NDMP dumpdates.

Supprimer des entrées du fichier NDMP dumpdates


Vous pouvez supprimer des entrées du fichier NDMP dumpdates.
Procédure
1. Cliquez sur Data Protection > NDMP > Environment Settings.
2. Dans le tableau Dumpdates, cliquez sur Delete en regard de l’entrée que vous
souhaitez supprimer.
3. Dans la boîte de dialogue Confirm Delete, cliquez sur Delete.

Opérations de restauration NDMP


NDMP prend en charge les types de restaurations suivants :
l Restauration parallèle NDMP (processus multithread)
l Restauration série NDMP (processus à un seul thread)

Opération de restauration parallèle NDMP


La restauration parallèle (multithread) accélère les opérations de restauration
complètes ou partielles en écrivant les données dans le cluster aussi rapidement
qu’elles sont lues à partir de la bande. Dans OneFS, la restauration parallèle est le
mécanisme de restauration par défaut.
Vous pouvez restaurer plusieurs fichiers simultanément via le mécanisme de
restauration parallèle.

Opération de restauration série NDMP


À des fins de dépannage ou autres, vous pouvez exécuter une opération de
restauration série, qui utilise moins de ressources système. Le processus de
restauration série s’exécute sous la forme d’une opération à un seul thread au cours de
laquelle un seul fichier est restauré à la fois vers le chemin indiqué.

Spécifier une opération de restauration série NDMP


Vous pouvez utiliser la variable d’environnement RESTORE_OPTIONS pour spécifier
une opération de restauration série (à un seul thread).
Procédure
1. Dans votre DMA, configurez une opération de restauration comme vous le feriez
normalement.
2. Assurez-vous que la variable d’environnement RESTORE_OPTIONS est définie
sur 1 dans votre application de gestion des données.

404 OneFS 8.0.1 Guide d’administration Web


Présentation de la sauvegarde et de la restauration NDMP

Si la variable d’environnement RESTORE_OPTIONS n’est pas déjà définie sur 1,


spécifiez la commande isi ndmp settings variables modify à partir
de la ligne de commande de OneFS. La commande suivante spécifie la
restauration série pour le répertoire /ifs/data/projects :

isi ndmp settings variables modify /ifs/data/projects


RESTORE_OPTIONS 1

La valeur de l’option path doit correspondre à la variable d’environnement


FILESYSTEM définie lors de l’opération de sauvegarde. La valeur que vous
spécifiez pour l’option name est sensible à la casse.
3. Démarrez l’opération de restauration.

Partage de lecteurs de bande entre les clusters


Plusieurs clusters EMC Isilon, ou un cluster Isilon et un système NAS tiers, peuvent
être configurés pour partager un lecteur de bande unique. Cela optimise l’utilisation de
l’infrastructure de bande de votre datacenter.
Dans votre DMA, vous devez configurer le serveur NDMP pour qu’il contrôle le lecteur
de bande et s’assure qu’il est correctement partagé. Les configurations suivantes sont
prises en charge :

Versions DMA prises en charge Configurations testées


OneFS

l 7.1.1 l EMC NetWorker 8.0 et l Nœud Isilon Backup Accelerator


version supérieure avec un second nœud Backup
l 7.1.0.1 (et
Accelerator
versions l Symantec NetBackup 7.5 et
supérieures)* version supérieure l Nœud Isilon Backup Accelerator
avec un système de stockage
l 8.0.0
NetApp
l 8.0.1

* OneFS 7.0.1 ne prend pas en charge la fonction de partage de lecteur de bande.

Dans EMC NetWorker, la fonction de partage de lecteur de bande est dénommée


partage dynamique de lecteur. Symantec NetBackup utilise le terme SSO (Shared
Storage Option). Pour connaître les instructions de configuration, consultez la
documentation fournisseur de votre DMA.

Gestion des sauvegardes incrémentielles basées sur des


snapshots
Après avoir activé les sauvegardes incrémentielles basées sur des snapshots, vous
pouvez afficher et supprimer les snapshots créés pour ces sauvegardes.

Activer les sauvegardes incrémentielles basées sur des snapshots pour un


répertoire
Vous pouvez configurer OneFS pour qu’il exécute des sauvegardes incrémentielles
basées sur des snapshots pour un répertoire par défaut. Vous pouvez également

Partage de lecteurs de bande entre les clusters 405


Présentation de la sauvegarde et de la restauration NDMP

remplacer le paramètre par défaut de votre application de gestion des données


(DMA).
Procédure
l Exécutez la commande isi ndmp settings variable create.
La commande suivante active les sauvegardes incrémentielles basées sur des
snapshots pour /ifs/data/media :

isi ndmp settings variables create /ifs/data/media BACKUP_MODE


SNAPSHOT

Afficher les snapshots pour les sauvegardes incrémentielles basées sur des
snapshots
Vous pouvez afficher les snapshots créés pour les sauvegardes incrémentielles basées
sur des snapshots.
Procédure
1. Cliquez sur Data Protection > NDMP > Environment Settings.
2. Le tableau Dumpdates affiche des informations sur les sauvegardes
incrémentielles basées sur des snapshots.

Supprimer des snapshots pour les sauvegardes incrémentielles basées sur


des snapshots
Vous pouvez supprimer des snapshots créés pour les sauvegardes incrémentielles
basées sur des snapshots.

Remarque

Il est déconseillé de supprimer les snapshots créés pour les sauvegardes


incrémentielles basées sur des snapshots. Si tous les snapshots sont supprimés pour
un chemin donné, la prochaine sauvegarde exécutée pour ce chemin sera une
sauvegarde complète.

Procédure
1. Cliquez sur Data Protection > NDMP > Environment Settings.
2. Dans le tableau Dumpdates, cliquez sur Delete en regard de l’entrée que vous
souhaitez supprimer.
3. Dans la boîte de dialogue Confirm Delete, cliquez sur Delete.

406 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 18
Rétention des fichiers avec SmartLock

Cette section traite des sujets suivants :

l Présentation de SmartLock..............................................................................408
l Mode de conformité.........................................................................................408
l Mode d’entreprise............................................................................................408
l Répertoires SmartLock.................................................................................... 409
l Accès à SmartLock avec IsilonSD Edge........................................................... 409
l Réplication et sauvegarde avec SmartLock...................................................... 410
l Fonctions sous licence SmartLock....................................................................410
l Considérations relatives à SmartLock................................................................411
l Régler l’horloge de conformité.......................................................................... 411
l Afficher l’horloge de conformité........................................................................411
l Création d’un répertoire SmartLock..................................................................412
l Gestion des répertoires SmartLock...................................................................414
l Gestion des fichiers dans des répertoires SmartLock....................................... 416

Rétention des fichiers avec SmartLock 407


Rétention des fichiers avec SmartLock

Présentation de SmartLock
Grâce au module logiciel SmartLock, vous pouvez protéger les fichiers d’un cluster
EMC Isilon contre la modification, le remplacement ou la suppression. Pour protéger
les fichiers de cette manière, vous devez activer une licence SmartLock.
Avec SmartLock, vous pouvez désigner un répertoire OneFS en tant que domaine
WORM. WORM (write once, read many) signifie écriture unique, lectures multiples.
Tous les fichiers au sein du domaine WORM peuvent être validés à l’état WORM, ce
qui signifie qu’ils ne peuvent pas être remplacés, modifiés ni supprimés.
Lorsque l’état WORM est désactivé pour un fichier, vous pouvez supprimer ce fichier.
Toutefois, vous ne pouvez jamais modifier un fichier qui a été validé à l’état WORM,
même après la désactivation de cet état.
Dans OneFS, SmartLock peut être déployé dans l’un des deux modes suivants : mode
de conformité ou mode d’entreprise.

Mode de conformité
Le mode de conformité SmartLock vous permet de protéger vos données
conformément à la réglementation définie par la règle 17a-4 de la SEC (Securities and
Exchange Commission). Cette réglementation, qui s’adresse aux courtiers en valeurs
mobilières et aux cabinets de courtage, stipule que les enregistrements de toutes les
opérations sur titres doivent être archivés de manière non effaçable et non
réinscriptible.

Remarque

Vous pouvez configurer un cluster EMC Isilon pour qu’il fonctionne en mode de
conformité SmartLock uniquement pendant la procédure de configuration initiale du
cluster, avant d’activer la licence SmartLock. Un cluster ne peut pas être converti en
mode de conformité SmartLock une fois qu’il a fait l’objet d’une configuration initiale
et qu’il a été mis en production.

Si vous configurez un cluster pour le mode de conformité SmartLock, l’utilisateur root


est désactivé et vous n’êtes pas en mesure de vous connecter à ce cluster avec le
compte utilisateur root. En revanche, vous pouvez vous connecter au cluster avec le
compte administrateur de conformité configuré lors de la configuration initiale du
mode de conformité SmartLock.
Lorsque vous vous connectez à un cluster en mode de conformité SmartLock au
moyen du compte administrateur de conformité, vous pouvez effectuer des tâches
d’administration à l’aide de la commande sudo.

Mode d’entreprise
Vous pouvez créer des domaines SmartLock et appliquer l’état WORM aux fichiers en
activant une licence SmartLock sur un cluster dans une configuration standard. C’est
ce que l’on appelle le mode d’entreprise SmartLock.
Le mode d’entreprise SmartLock n’est pas conforme aux réglementations SEC, mais il
vous permet de créer des répertoires SmartLock et d’appliquer des contrôles
SmartLock pour protéger les fichiers afin qu’ils ne puissent pas être réécrits ni
effacés. En outre, le compte utilisateur root demeure sur votre système.

408 OneFS 8.0.1 Guide d’administration Web


Rétention des fichiers avec SmartLock

Répertoires SmartLock
Dans un répertoire SmartLock, vous pouvez valider un fichier à l’état WORM
manuellement ou configurer SmartLock pour qu’il valide automatiquement le fichier.
Avant de créer des répertoires SmartLock, vous devez activer une licence SmartLock
sur le cluster.
Vous pouvez créer deux types de répertoire SmartLock : entreprise et conformité.
Cependant, vous pouvez créer des répertoires de conformité seulement si le cluster
EMC Isilon a été configuré en mode de conformité SmartLock lors de sa configuration
initiale.
Les répertoires d’entreprise vous permettent de protéger vos données sans restriction
de votre cluster afin de vous conformer aux réglementations définies par la règle 17a-4
de l’US. Securities and Exchange Commission. Si vous validez un fichier à l’état
WORM dans un répertoire d’entreprise, il ne peut jamais être modifié et il ne peut être
supprimé qu’à la fin de la période de rétention.
Toutefois, si vous êtes propriétaire d’un fichier et que vous disposiez du privilège
ISI_PRIV_IFS_WORM_DELETE ou que vous vous connectiez avec un compte
utilisateur root, vous pouvez supprimer le fichier avant la fin de la période de rétention
grâce à la fonction de suppression avec privilèges. Cette fonction n’est pas disponible
pour les répertoires de conformité. Pour gérer les opérations horodatées, y compris la
rétention des fichiers, les répertoires d’entreprise se réfèrent à l’horloge système.
Les répertoires de conformité vous permettent de protéger vos données
conformément à la réglementation définie par la règle 17a-4 de la SEC (Securities and
Exchange Commission). Si vous validez un fichier à l’état WORM dans un répertoire
de conformité, il ne peut pas être modifié ou supprimé avant la fin de la période de
rétention. Vous ne pouvez pas supprimer les fichiers validés, même si vous êtes
connecté au compte administrateur de conformité. Pour gérer les opérations
horodatées, y compris la rétention des fichiers, les répertoires de conformité se
réfèrent à l’horloge de conformité.
Avant de créer des répertoires de conformité, vous devez configurer l’horloge de
conformité. Vous ne pouvez régler l’horloge de conformité qu’une seule fois, après
quoi vous ne pourrez plus en modifier l’heure. Vous pouvez augmenter la durée de
rétention des fichiers validés à l’état WORM sur une base individuelle, si vous le
souhaitez, mais vous ne pouvez pas réduire cette durée.
Celle-ci est contrôlée par le processus d’horloge de conformité. Les utilisateurs root et
administrateurs de conformité peuvent désactiver le processus d’horloge de
conformité, ce qui a pour effet d’augmenter la durée de rétention de tous les fichiers
validés à l’état WORM. Cependant, une telle action est déconseillée.

Accès à SmartLock avec IsilonSD Edge


Si vous exécutez IsilonSD Edge, le module logiciel SmartLock est uniquement
disponible avec une licence payante. Il n’est pas fourni avec la licence gratuite
d’IsilonSD Edge.
Notez les remarques suivantes avant d’utiliser SmartLock avec IsilonSD Edge :
l IsilonSD Edge prend en charge les fonctions SmartLock aussi bien en mode
d’entreprise qu’en mode de conformité. Toutefois, il est probable qu’un cluster
IsilonSD ne soit pas conforme à la réglementation 17a-4 de la SEC (Securities and

Répertoires SmartLock 409


Rétention des fichiers avec SmartLock

Exchange Commission des États-Unis). En effet, le logiciel de virtualisation sur


lequel s’exécute le cluster IsilonSD conserve un utilisateur root qui, en théorie,
pourrait altérer la configuration des disques du cluster virtuel et par conséquent,
les données stockées sur celui-ci.
l Lorsqu’un cluster IsilonSD est placé en mode de conformité, vous ne pouvez pas
ajouter de nouveaux nœuds au cluster. Par conséquent, vous devez ajouter tous
les nœuds nécessaires avant de mettre à niveau le cluster vers le mode de
conformité SmartLock.

Réplication et sauvegarde avec SmartLock


OneFS permet de répliquer ou de sauvegarder les répertoires d’entreprise et de
conformité SmartLock sur un cluster cible.
Si vous répliquez des répertoires SmartLock avec SyncIQ, nous vous recommandons
de configurer tous les nœuds des clusters source et cible en mode homologue NTP
(Network Time Protocol) afin de garantir que les horloges des nœuds sont
synchronisées. Pour les clusters de conformité, nous vous recommandons de
configurer tous les nœuds des clusters source et cible en mode homologue NTP avant
de régler les horloges de conformité. De cette manière, les clusters source et cible
sont initialement réglés à la même heure, ce qui contribue au respect de la
réglementation 17a-4 de la SEC (Securities and Exchange Commission des États-
Unis).

Remarque

Si vous répliquez des données vers un répertoire SmartLock, ne configurez pas les
paramètres SmartLock pour ce répertoire tant que la réplication n’est pas terminée. La
configuration d’une période de validation automatique pour un répertoire SmartLock
cible, par exemple, peut entraîner l’échec des tâches de réplication. Si le répertoire
cible valide un fichier à l’état WORM et si le fichier est modifié sur le cluster source, la
tâche de réplication suivante échoue, car le fichier validé ne peut pas être remplacé.

Si vous sauvegardez des données sur un périphérique NDMP, toutes les métadonnées
SmartLock relatives à la date de rétention et à l’état de validation sont transférées au
périphérique NDMP. Si vous restaurez des données dans un répertoire SmartLock du
cluster, les métadonnées sont conservées sur le cluster. En revanche, si le répertoire
dans lequel vous restaurez les données n’est pas un répertoire SmartLock, les
métadonnées sont perdues. Vous pouvez restaurer les données dans un répertoire
SmartLock uniquement si celui-ci est vide.

Fonctions sous licence SmartLock


Avant de créer des répertoires SmartLock et de valider les fichiers à l’état WORM,
vous devez activer une licence SmartLock sur le cluster EMC Isilon.
Si une licence SmartLock devient inactive, vous ne pouvez pas créer de nouveaux
répertoires SmartLock sur le cluster, modifier les paramètres de configuration du
répertoire SmartLock ni supprimer des fichiers validés à l’état WORM dans des
répertoires d’entreprise avant leur date d’expiration. Vous pouvez cependant
continuer à valider les fichiers des répertoires SmartLock existants à l’état WORM.
Si une licence SmartLock devient inactive sur un cluster fonctionnant en mode de
conformité SmartLock, l’accès root au cluster n’est pas restauré.

410 OneFS 8.0.1 Guide d’administration Web


Rétention des fichiers avec SmartLock

Considérations relatives à SmartLock


l Si un fichier appartient exclusivement à l’utilisateur root et réside sur un cluster
EMC Isilon en mode de conformité SmartLock, il est inaccessible. En effet, en
mode de conformité, le compte utilisateur root est désactivé. Par exemple, cette
situation peut se produire si un fichier appartenant à l’utilisateur root sur un cluster
qui n’a pas été configuré en mode de conformité est ensuite répliqué sur un cluster
en mode de conformité. Cela peut également se produire si un fichier appartenant
à l’utilisateur root est restauré sur un cluster de conformité à partir d’une
sauvegarde.
l Il est recommandé de créer les fichiers en dehors des répertoires SmartLock, puis
de les transférer dans un répertoire SmartLock une fois le travail sur le fichier
terminé. Si vous téléchargez des fichiers sur un cluster, il est recommandé de les
télécharger dans un répertoire non SmartLock, puis de les transférer
ultérieurement dans un répertoire SmartLock. Si un fichier est validé à l’état
WORM alors qu’il est en cours de téléchargement, il est bloqué dans un état
incohérent.
l Les fichiers peuvent être validés à l’état WORM lorsqu’ils sont ouverts. Si vous
spécifiez une période d’autovalidation pour un répertoire, cette période est
calculée en fonction du temps écoulé depuis la dernière modification du fichier, et
non selon la date de fermeture du fichier. Si vous retardez l’écriture dans un fichier
ouvert pour une période plus longue que celle de validation automatique, le fichier
est automatiquement validé à l’état WORM et vous ne pouvez plus écrire dans ce
fichier.
l Dans un environnement Microsoft Windows, si vous validez un fichier à l’état
WORM, vous ne pouvez plus modifier les attributs cachés ou les attributs
d’archive. Toute tentative de modification des attributs cachés ou des attributs
d’archive d’un fichier validé à l’état WORM génère une erreur. Cette erreur peut
empêcher des applications tierces de modifier les attributs cachés ou d’archive.

Régler l’horloge de conformité


Avant de créer des répertoires de conformité SmartLock, vous devez configurer
l’horloge de conformité.
La configuration de l’horloge de conformité règle l’horloge à la même heure que
l’horloge système du cluster EMC Isilon. Avant de configurer l’horloge de conformité,
assurez-vous que l’horloge du système est réglée à la bonne heure. Si, par la suite,
l’horloge de conformité se désynchronise de l’horloge système, elle se corrige
lentement pour correspondre à cette dernière. L’horloge de conformité se corrige à
une vitesse d’environ une semaine par an.
Procédure
1. Cliquez sur File System > SmartLock > WORM.
2. Cliquez sur Start Compliance Clock.

Afficher l’horloge de conformité


Vous pouvez afficher l’heure actuelle de l’horloge de conformité.

Considérations relatives à SmartLock 411


Rétention des fichiers avec SmartLock

Procédure
1. Cliquez sur File System > SmartLock > WORM.
2. La zone Compliance Clock affiche l’horloge de conformité.

Création d’un répertoire SmartLock


Vous pouvez créer un répertoire SmartLock et configurer les paramètres qui
contrôlent la durée pendant laquelle les fichiers sont conservés à l’état WORM et le
moment où ils sont automatiquement validés à l’état WORM. Vous ne pouvez pas
déplacer ni renommer un répertoire contenant un répertoire SmartLock.

Périodes de rétention
La période de rétention est la durée pendant laquelle un fichier reste à l’état WORM
avant que cet état ne soit désactivé. Vous pouvez configurer les paramètres du
répertoire SmartLock qui appliquent les périodes de rétention par défaut, maximale et
minimale au répertoire.
Si vous validez manuellement un fichier, vous pouvez éventuellement spécifier la date
à laquelle l’état WORM doit être désactivé. Pour empêcher que les fichiers soient
conservés pour une période trop longue ou trop courte, vous pouvez configurer une
période de rétention minimale et maximale pour un répertoire SmartLock. Il est
recommandé de spécifier une période de rétention minimale pour tous les répertoires
SmartLock.
Par exemple, supposons que vous ayez un répertoire SmartLock avec une période de
rétention minimale de deux jours. À 13h00 le lundi, vous validez un fichier à l’état
WORM, puis spécifiez que cet état doit être désactivé mardi à 15h00. Il ne le sera que
deux jours plus tard, mercredi à 13h00, car désactiver l’état WORM du fichier plus tôt
violerait la période de rétention minimale.
Vous pouvez également configurer une période de rétention par défaut qui est
attribuée lorsque vous validez un fichier sans spécifier de date de désactivation de
l’état WORM.

Périodes de validation automatique


Vous pouvez configurer une période de validation automatique des répertoires
SmartLock. Ainsi, les fichiers qui sont présents dans un répertoire SmartLock depuis
un certain temps sans avoir été modifiés sont automatiquement validés à l’état
WORM.
Si vous modifiez la période de validation automatique d’un répertoire SmartLock qui
contient des fichiers non validés, la nouvelle période est immédiatement appliquée aux
fichiers qui existaient avant la modification. Prenons l’exemple d’un répertoire
SmartLock doté d’une période de validation automatique de 2 heures. Si vous modifiez
un fichier du répertoire SmartLock à 13h00 et si vous réduisez de 1 heure la période de
validation automatique à 14h15, le fichier est instantanément validé à l’état WORM.
Si un fichier est validé à l’état WORM manuellement, ses autorisations de lecture/
écriture sont modifiées. En revanche, s’il est validé à l’état WORM automatiquement,
ses autorisations de lecture/écriture ne sont pas modifiées.

412 OneFS 8.0.1 Guide d’administration Web


Rétention des fichiers avec SmartLock

Créer un répertoire d’entreprise à partir d’un répertoire non vide


Vous pouvez convertir un répertoire non vide en un répertoire d’entreprise SmartLock.
Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Avant de créer un répertoire SmartLock, prenez en compte les conditions et les
exigences suivantes :
l Vous ne pouvez pas créer de répertoire SmartLock en tant que sous-répertoire
d’un répertoire SmartLock existant.
l Les liens matériels ne peuvent pas traverser les limites de répertoire SmartLock.
l La création d’un répertoire SmartLock entraîne la création d’un domaine
SmartLock correspondant à ce répertoire.
Procédure
1. Exécutez la commande isi job jobs start.
La commande suivante crée un domaine d’entreprise SmartLock pour /ifs/
data/smartlock :

isi job jobs start DomainMark --root /ifs/data/smartlock --dm-


type Worm

Créer un répertoire SmartLock


Vous pouvez créer un répertoire SmartLock et valider les fichiers à l’état WORM dans
ce répertoire.
Avant de créer un répertoire SmartLock, prenez en compte les conditions et les
exigences suivantes :
l Vous ne pouvez pas créer de répertoire SmartLock en tant que sous-répertoire
d’un répertoire SmartLock existant.
l Les liens matériels ne peuvent pas traverser les limites de répertoire SmartLock.
l La création d’un répertoire SmartLock entraîne la création d’un domaine
SmartLock correspondant à ce répertoire.
Procédure
1. Cliquez sur File System > SmartLock > WORM.
2. Cliquez sur Create Domain.
3. Dans la liste Type, indiquez si le répertoire est un répertoire d’entreprise ou un
répertoire de conformité.
Les répertoires de conformité vous permettent de protéger vos données
conformément à la réglementation 17a-4 de la SEC (Securities and Exchange
Commission des États-Unis). Les répertoires d’entreprise vous permettent de
protéger vos données sans vous conformer à ces restrictions.
Cette option n’est valable que si le cluster s’exécute en mode de conformité
SmartLock. Si le cluster n’est pas en mode de conformité, tous les répertoires
SmartLock sont des répertoires d’entreprise.

4. Dans la liste Privileged Delete, indiquez si vous souhaitez autoriser l’utilisateur


root à supprimer les fichiers qui sont actuellement validés à l’état WORM.

Créer un répertoire d’entreprise à partir d’un répertoire non vide 413


Rétention des fichiers avec SmartLock

Remarque

Cette fonctionnalité n’est disponible que pour les répertoires d’entreprise


SmartLock.

5. Dans le champ Path, saisissez le chemin complet du répertoire que vous


souhaitez placer dans un répertoire SmartLock.
Le chemin spécifié doit appartenir à un répertoire vide sur le cluster.
6. (Facultatif) Pour spécifier une période de rétention par défaut pour le
répertoire, cliquez sur Apply a default retention span, puis spécifiez une
période.
La période de rétention par défaut est attribuée si vous validez un fichier à l’état
WORM sans spécifier de jour précis pour sortir le fichier de l’état WORM.
7. (Facultatif) Pour spécifier une période de rétention minimale pour le répertoire,
cliquez sur Apply a minimum retention span, puis spécifiez une période.
La période de rétention minimale garantit que les fichiers sont conservés à l’état
WORM pendant au moins la période spécifiée.
8. (Facultatif) Pour spécifier une période de rétention maximale pour le répertoire,
cliquez sur Apply a maximum retention span, puis spécifiez une période.
La période de rétention minimale garantit que les fichiers ne seront pas
conservés à l’état WORM au-delà de la période spécifiée.
9. Cliquez sur Create Domain.
10. Cliquez sur Create.

Gestion des répertoires SmartLock


Vous pouvez modifier les paramètres d’un répertoire SmartLock, notamment la
période de rétention par défaut minimale et maximale, ainsi que la période de validation
automatique.
Un répertoire SmartLock peut être renommé uniquement s’il est vide.

Modifier un répertoire SmartLock


Vous pouvez modifier les paramètres de configuration SmartLock d’un répertoire
SmartLock.
Procédure
1. Cliquez sur File System > SmartLock > WORM.
2. Dans le tableau Write Once Read many (WORM) Domains, cliquez sur View /
Edit au niveau de la ligne d’un répertoire SmartLock.
3. Cliquez sur Edit Domain.
4. Modifiez les paramètres, puis cliquez sur Save Changes.

Afficher les paramètres d’un répertoire SmartLock


Vous pouvez afficher les paramètres d’un répertoire SmartLock.

414 OneFS 8.0.1 Guide d’administration Web


Rétention des fichiers avec SmartLock

Procédure
1. Cliquez sur File System > SmartLock > WORM.
2. Dans le tableau Write Once Read many (WORM) Domains, cliquez sur View /
Edit au niveau de la ligne d’un répertoire SmartLock.
3. Dans la boîte de dialogue View WORM Domain Details, affichez les paramètres
du répertoire SmartLock.

Paramètres de configuration du répertoire SmartLock


Vous pouvez configurer les paramètres d’un répertoire SmartLock et indiquer quand et
pour combien de temps les fichiers doivent être validés à l’état WORM.
Path
Chemin du répertoire.

Root Logical Inode (LIN)


LIN du répertoire.

ID
Identifiant numérique du domaine SmartLock correspondant.
Type
Type de répertoire SmartLock.
Entreprise
Les répertoires d’entreprise vous permettent de protéger vos données sans
obliger votre cluster à respecter la réglementation 17a-4 de la SEC
(Securities and Exchange Commission des États-Unis)

Compliance
Les répertoires de conformité vous permettent de protéger vos données
conformément à la réglementation 17a-4 de la SEC (Securities and Exchange
Commission des États-Unis).

Privileged Delete
Indique si les fichiers du répertoire validés à l’état WORM peuvent être supprimés
au moyen de la fonction de suppression avec privilèges. Pour accéder à la
fonction de suppression avec privilèges, vous devez disposer du privilège
ISI_PRIV_IFS_WORM_DELETE et être propriétaire du fichier que vous souhaitez
supprimer. Vous pouvez également accéder à la fonction de suppression avec
privilèges pour n’importe quel fichier si vous êtes connecté sous le compte
utilisateur root ou compadmin.
on
Les fichiers validés à l’état WORM peuvent être supprimés avec la
commande isi worm files delete.

off
Les fichiers validés à l’état WORM ne peuvent pas être supprimés, même
avec la commande isi worm files delete.

Paramètres de configuration du répertoire SmartLock 415


Rétention des fichiers avec SmartLock

disabled
Les fichiers validés à l’état WORM ne peuvent pas être supprimés, même
avec la commande isi worm files delete. Une fois ce paramètre
appliqué, il ne peut pas être modifié.

Apply a default retention span


Période de rétention par défaut du répertoire. Si un utilisateur ne spécifie pas de
date de fin d’état WORM pour un fichier, la période de rétention par défaut est
appliquée.

Enforce a minimum retention time span


Période de rétention minimale du répertoire. Les fichiers sont conservés à
l’état WORM au moins pour la durée indiquée, même si un utilisateur spécifie une
date d’expiration correspondant à une période de rétention plus courte.

Enforce a maximum retention time span


Période de rétention maximale du répertoire. Les fichiers ne peuvent pas être
conservés dans un état WORM pendant plus longtemps que la durée indiquée,
même si un utilisateur spécifie une date d’expiration qui allonge la durée de
rétention.
Automatically commit files after a specific period of time
Période de validation automatique du répertoire. Un fichier présent dans ce
répertoire SmartLock et n’ayant pas été modifié durant la période spécifiée est
automatiquement validé à l’état WORM.

Override retention periods and protect all files until a specific date
Date de rétention de remplacement du répertoire. Les fichiers validés à un état
WORM ne sont libérés de cet état qu’après la date spécifiée, quelle que soit la
période de rétention maximale du répertoire ou même si un utilisateur indique une
date de libération antérieure.

Gestion des fichiers dans des répertoires SmartLock


Pour valider des fichiers à l’état WORM dans des répertoires SmartLock, supprimez
les privilèges de lecture/écriture de ces fichiers. Vous pouvez également définir une
date spécifique d’expiration de la période de rétention du fichier. Une fois qu’un fichier
est validé à l’état WORM, vous pouvez augmenter sa période de rétention, mais pas la
réduire. Vous ne pouvez pas déplacer un fichier qui a été validé à l’état WORM, même
après que sa période de rétention a expiré.
Pour définir la date d’expiration de la période de rétention, modifiez la date d’accès
d’un fichier. Dans une ligne de commande UNIX, vous pouvez modifier la date d’accès
avec la commande touch. Bien qu’il n’existe pas de méthode pour modifier la date
d’accès via l’Explorateur Windows, vous pouvez le faire via Windows PowerShell. Le
fait d’accéder à un fichier ne définit pas la date d’expiration de la période de rétention.
Si vous exécutez la commande touch sur le fichier d’un répertoire SmartLock sans
spécifier la date de désactivation de l’état SmartLock et si vous validez ensuite ce
fichier, la période de rétention est automatiquement définie sur la période de rétention
par défaut spécifiée pour le répertoire SmartLock. Si vous n’avez pas spécifié de
période de rétention par défaut pour le répertoire SmartLock, une période de rétention
de zéro seconde est attribuée au fichier. Il est recommandé de spécifier une période
de rétention minimale pour tous les répertoires SmartLock.

416 OneFS 8.0.1 Guide d’administration Web


Rétention des fichiers avec SmartLock

Définir une période de rétention via une ligne de commande UNIX


Vous pouvez spécifier le moment où un fichier ne doit plus être à l’état WORM via une
ligne de commande UNIX.
Procédure
1. Ouvrez une connexion vers n’importe quel nœud du cluster EMC Isilon via une
ligne de commande UNIX et connectez-vous.
2. Pour définir la période de rétention, modifiez la date d’accès au fichier avec la
commande touch.
La commande suivante définit une date d’expiration au 1er juin 2015 pour /ifs/
data/test.txt :

touch -at 201506010000 /ifs/data/test.txt

Définir une période de rétention via Windows PowerShell


Vous pouvez spécifier le moment où un fichier ne doit plus être à l’état WORM via
Microsoft Windows PowerShell.
Procédure
1. Ouvrez l’invite de commandes Windows PowerShell.
2. (Facultatif) Pour établir la connexion au cluster EMC Isilon, exécutez la
commande net use.
La commande suivante établit une connexion au répertoire /ifs sur
cluster.ip.address.com :

net use "\\cluster.ip.address.com\ifs" /user:root password

3. Pour spécifier le nom du fichier pour lequel vous souhaitez définir une période
de rétention, créez un objet.
Le fichier doit exister dans un répertoire SmartLock.

La commande suivante crée un objet pour /smartlock/file.txt :

$file = Get-Item "\\cluster.ip.address.com\ifs\smartlock


\file.txt"

4. Pour spécifier la période de rétention, définissez la date du dernier accès au


fichier.
La commande suivante définit une date d’expiration au 1er juillet 2015 à 13h00 :

$file.LastAccessTime = Get-Date "2015/7/1 1:00 pm"

Valider un fichier à l’état WORM via une ligne de commande UNIX


Vous pouvez valider un fichier à l’état WORM via une ligne de commande UNIX.
Pour valider un fichier à l’état WORM, vous devez supprimer tous les privilèges
d’écriture du fichier. Si un fichier est déjà défini en lecture seule, vous devez d’abord
lui ajouter des privilèges d’écriture, puis le remettre en lecture seule.

Définir une période de rétention via une ligne de commande UNIX 417
Rétention des fichiers avec SmartLock

Procédure
1. Établissez une connexion au cluster EMC Isilon via l’interface de ligne de
commande UNIX et connectez-vous.
2. Pour supprimer les privilèges d’écriture du fichier, exécutez la commande
chmod.
La commande suivante supprime les privilèges d’écriture de /ifs/data/
smartlock/file.txt :

chmod ugo-w /ifs/data/smartlock/file.txt

Valider un fichier à l’état WORM via l’Explorateur Windows


Vous pouvez valider un fichier à l’état WORM via l’Explorateur Microsoft Windows.
Cette procédure explique comment valider un fichier sous Windows 7.
Pour valider un fichier à l’état WORM, vous devez appliquer le paramètre lecture
seule. Si un fichier est déjà en lecture seule, vous devez d’abord désactiver cet état,
puis le remettre en lecture seule.
Procédure
1. Dans l’Explorateur Windows, accédez au fichier que vous souhaitez valider à
l’état WORM.
2. Cliquez sur le dossier avec le bouton droit de la souris, puis cliquez sur
Propriétés.
3. Dans la fenêtre Propriétés, cliquez sur l’onglet Général.
4. Cochez la case Lecture seule, puis cliquez sur OK.

Remplacer la période de rétention de tous les fichiers d’un répertoire


SmartLock
Vous pouvez remplacer la période de rétention des fichiers d’un répertoire SmartLock.
Tous les fichiers validés à l’état WORM dans le répertoire conservent cet état jusqu’au
jour indiqué.
Si des fichiers sont validés à l’état WORM après le remplacement de la période de
rétention, la date de remplacement fonctionne comme date de rétention minimale.
Tous les fichiers validés à l’état WORM expirent au plus tôt le jour spécifié, quelles que
soient les spécifications de l’utilisateur.
Procédure
1. Cliquez sur File System > SmartLock > WORM.
2. Dans le tableau Write Once Read many (WORM) Domains, cliquez sur View /
Edit au niveau de la ligne d’un répertoire SmartLock.
3. Cliquez sur Edit Domain.
4. Cliquez sur Override retention periods and protect all files until a specific
date et spécifiez une date.
5. Cliquez sur Save Changes.

418 OneFS 8.0.1 Guide d’administration Web


Rétention des fichiers avec SmartLock

Supprimer un fichier validé à l’état WORM


Vous pouvez supprimer un fichier validé à l’état WORM avant la date d’expiration par
le biais de la fonction de suppression avec privilèges. Cette procédure n’est disponible
que via l’interface de ligne de commande (CLI).
Avant de commencer
l La fonction de suppression avec privilèges ne doit pas avoir été définitivement
désactivée pour le répertoire SmartLock contenant le fichier.
l Vous devez être le propriétaire du fichier et disposer des privilèges
ISI_PRIV_IFS_WORM_DELETE et ISI_PRIV_NS_IFS_ACCESS ou être connecté
via le compte utilisateur root.
Procédure
1. Ouvrez une connexion au cluster EMC Isilon via une ligne de commande UNIX et
connectez-vous.
2. Si la fonction de suppression avec privilèges a été désactivée pour le répertoire
SmartLock, modifiez le répertoire en exécutant la commande isi worm
domains modify avec l’option --privileged-delete.
La commande suivante active la suppression avec privilèges pour /ifs/data/
SmartLock/directory1 :

isi worm domains modify /ifs/data/SmartLock/directory1 \


--privileged-delete true

3. Supprimez le fichier validé à l’état WORM en exécutant la commande isi


worm files delete.
La commande suivante supprime /ifs/data/SmartLock/directory1/
file :

isi worm files delete /ifs/data/SmartLock/directory1/file

Le système affiche un résultat semblable à la ligne suivante :

Are you sure? (yes, [no]):


4. Saisissez yes et appuyez sur Entrée.

Afficher l’état WORM d’un fichier


Vous pouvez afficher l’état WORM d’un fichier particulier. Cette procédure n’est
disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion au cluster EMC Isilon à partir d’une ligne de commande
UNIX.
2. Pour afficher l’état WORM d’un fichier, exécutez la commande isi worm
files view.
Par exemple, la commande suivante affiche l’état WORM d’un fichier :

isi worm files view /ifs/data/SmartLock/directory1/file

Supprimer un fichier validé à l’état WORM 419


Rétention des fichiers avec SmartLock

Le système affiche un résultat semblable à la ligne suivante :

WORM Domains
ID Root Path
------------------------------------
65539 /ifs/data/SmartLock/directory1

WORM State: COMMITTED


Expires: 2015-06-01T00:00:00

420 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 19
Domaines de protection

Cette section traite des sujets suivants :

l Présentation des domaines de protection........................................................ 422


l Considérations relatives aux domaines de protection....................................... 422
l Créer un domaine de protection....................................................................... 423
l Supprimer un domaine de protection................................................................423

Domaines de protection 421


Domaines de protection

Présentation des domaines de protection


Les domaines de protection sont des marqueurs qui empêchent de modifier les fichiers
et les répertoires. Si un domaine est appliqué à un répertoire, il l’est également à tous
les fichiers et sous-répertoires de celui-ci. Vous pouvez spécifier des domaines
manuellement. Toutefois, OneFS les crée généralement automatiquement.
Il existe trois types de domaine : les domaines SyncIQ, les domaines SmartLock et les
domaines SnapRevert. Les domaines SyncIQ peuvent être attribués aux répertoires
sources et cibles des règles de réplication. OneFS crée automatiquement un domaine
SyncIQ pour le répertoire cible d’une règle de réplication lors de la première exécution
de cette règle. Il en crée également un pour le répertoire source d’une règle de
réplication au cours du processus de retour arrière. Vous pouvez créer manuellement
un domaine SyncIQ pour un répertoire source avant de démarrer le processus de
retour arrière en configurant la règle pour permettre un retour arrière accéléré, mais
vous ne pouvez pas supprimer un domaine de SyncIQ qui marque le répertoire cible
d’une règle de réplication.
Les domaines SmartLock sont attribués à des répertoires SmartLock pour éviter que
les fichiers validés soient modifiés ou supprimés. OneFS crée automatiquement un
domaine SmartLock lorsqu’un répertoire SmartLock est créé. Vous ne pouvez pas
supprimer un domaine SmartLock. Toutefois, si vous supprimez un répertoire
SmartLock, OneFS supprime automatiquement le domaine SmartLock associé.
Les domaines SnapRevert sont attribués aux répertoires qui se trouvent dans les
snapshots afin d’éviter que les fichiers et les répertoires soient modifiés lorsqu’un
snapshot est rétabli. OneFS ne crée pas automatiquement de domaines SnapRevert.
Vous ne pouvez pas rétablir un snapshot tant que vous n’avez pas créé un domaine
SnapRevert pour le répertoire qu’il contient. Vous pouvez créer des domaines
SnapRevert pour les sous-répertoires des répertoires auxquels des domaines
SnapRevert sont déjà associés Par exemple, vous pourriez créer des domaines
SnapRevert pour /ifs/data et /ifs/data/archive. Vous pouvez supprimer un
domaine SnapRevert si vous ne voulez plus rétablir les snapshots d’un répertoire.

Domaines de protection d’IsilonSD Edge


Si vous avez acheté une licence IsilonSD Edge, vous pouvez accéder aux domaines de
protection SyncIQ et SmartLock.

Considérations relatives aux domaines de protection


Vous pouvez créer manuellement des domaines de protection avant qu’ils soient requis
par OneFS pour l’exécution de certaines actions. Toutefois, la création manuelle de
domaines de protection peut limiter votre capacité à interagir avec les données
marquées par le domaine.
l La copie d’un grand nombre de fichiers dans un domaine de protection peut être
très longue, car chaque fichier doit être marqué individuellement comme
appartenant au domaine de protection.
l Vous ne pouvez pas déplacer les répertoires vers les domaines de protection ou
hors de ceux-ci. Toutefois, vous pouvez déplacer un répertoire situé dans un
domaine de protection vers un autre emplacement dans le même domaine de
protection.
l La création d’un domaine de protection prend plus de temps si le répertoire
contient de nombreux fichiers. C’est pourquoi il est recommandé de créer des

422 OneFS 8.0.1 Guide d’administration Web


Domaines de protection

domaines de protection tant que les répertoires sont vides, puis d’ajouter des
fichiers aux répertoires.
l Si un domaine empêche actuellement la modification ou la suppression d’un fichier,
vous ne pouvez pas créer un domaine de protection pour un répertoire contenant
ce fichier. Par exemple, si /ifs/data/smartlock/file.txt est défini à l’état
WORM par un domaine SmartLock, vous ne pouvez pas créer un domaine
SnapRevert pour /ifs/data/.

Remarque

Si vous utilisez SyncIQ pour créer une règle de réplication pour un répertoire de
conformité SmartLock, les domaines de conformité SyncIQ et SmartLock doivent être
configurés au même niveau du répertoire racine. Un domaine de conformité
SmartLock ne peut pas être imbriqué dans un domaine SyncIQ.

Créer un domaine de protection


Pour faciliter le rétablissement des snapshots et les opérations de reprise, vous
pouvez créer des domaines SyncIQ ou SnapRevert. Vous ne pouvez pas créer de
domaine SmartLock. OneFS crée automatiquement un domaine SmartLock lorsque
vous créez un répertoire SmartLock.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
2. Dans la zone Job Types, sur la ligne DomainMark, dans la colonne Actions,
sélectionnez Start Job.
3. Dans le champ Domain Root Path, saisissez le chemin du répertoire pour lequel
vous souhaitez créer un domaine de protection.
4. Dans la liste Type of Domain, indiquez le type de domaine que vous souhaitez
créer.
5. Assurez-vous que la case Delete this domain est désactivée.
6. Cliquez sur Start Job.

Supprimer un domaine de protection


Vous pouvez supprimer des domaines SyncIQ ou SnapRevert si vous voulez déplacer
des répertoires hors de ces domaines. Vous ne pouvez pas supprimer un domaine
SmartLock. OneFS supprime automatiquement un domaine SmartLock lorsque vous
supprimez un répertoire SmartLock.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
2. Dans la zone Job Types, sur la ligne DomainMark, dans la colonne Actions,
sélectionnez Start Job.
3. Dans le champ Domain Root Path, saisissez le chemin du répertoire pour lequel
vous souhaitez supprimer un domaine de protection.
4. Dans la liste Type of Domain, indiquez le type de domaine que vous souhaitez
supprimer.
5. Sélectionnez Delete this domain.

Créer un domaine de protection 423


Domaines de protection

6. Cliquez sur Start Job.

424 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 20
Chiffrement des données inactives

Cette section traite des sujets suivants :

l Présentation du chiffrement des données inactives......................................... 426


l Disques à chiffrement automatique (SED)....................................................... 426
l Sécurité des données sur des disques SED...................................................... 426
l Migration des données vers un cluster équipé de disques SED......................... 427
l États des châssis et des disques...................................................................... 428
l État REPLACE d’un disque ayant fait l’objet d’une opération SmartFail...........432
l État ERASE d’un disque ayant fait l’objet d’une opération SmartFail............... 433

Chiffrement des données inactives 425


Chiffrement des données inactives

Présentation du chiffrement des données inactives


Vous pouvez améliorer la sécurité des données avec un cluster EMC Isilon uniquement
composé de nœuds de disques à chiffrement automatique SED (Self-Encrypting
Drive) assurant la protection des données inactives.
Le système OneFS est disponible sous la forme d’un cluster composé de nœuds Isilon
OneFS contenant uniquement des disques SED. Les configurations système requises
et la gestion des données inactives sur les nœuds SED sont identiques à celles des
nœuds ne contenant pas de disques SED. Les clusters associant différents types de
nœud ne sont pas pris en charge.

Chiffrement des données inactives pour IsilonSD Edge


IsilonSD Edge ne prend pas en charge le chiffrement des données inactives, car les
nœuds IsilonSD ne prennent pas en charge le type de disques à chiffrement
automatique (SED).

Disques à chiffrement automatique (SED)


Les disques à chiffrement automatique, ou disques SED (Self-Encrypting Drive),
stockent les données sur un cluster EMC Isilon spécialement conçu pour le
chiffrement des données inactives.
Le chiffrement des données inactives sur les disques SED intervient lorsque les
données stockées sur un périphérique sont chiffrées afin d’empêcher tout accès non
autorisé. Toutes les données écrites sur le périphérique de stockage sont chiffrées au
moment où elles sont stockées. Toutes les données lues à partir du périphérique de
stockage sont déchiffrées au moment où elles sont lues. Les données stockées sont
chiffrées à l’aide d’une clé de chiffrement AES 256 bits et déchiffrées de la même
manière. OneFS contrôle l’accès aux données en combinant la clé d’authentification du
disque aux clés de chiffrement des données sur disque.

Remarque

Tous les nœuds d’un cluster doivent utiliser des disques SED. Les nœuds mixtes ne
sont pas pris en charge.

Sécurité des données sur des disques SED


L’application du processus smartfail aux disques SED garantit la sécurité des données
après suppression.
Les données présentes sur les disques SED sont protégées contre l’accès non autorisé
par des clés de chiffrement d’authentification. Les clés de chiffrement ne quittent
jamais le disque. Lorsqu’un disque est verrouillé, une authentification réussie le
déverrouille pour permettre l’accès aux données.
Les données des disques SED ne sont plus accessibles dans les conditions suivantes :
l Lorsqu’un disque SED fait l’objet d’une opération smartfail, les clés
d’authentification du disque sont supprimées du nœud. Les données du disque ne
peuvent pas être déchiffrées et sont par conséquent illisibles, ce qui sécurise le
disque.

426 OneFS 8.0.1 Guide d’administration Web


Chiffrement des données inactives

l Lorsqu’un disque fait l’objet d’une opération smartfail et est supprimé du nœud, la
clé de chiffrement du disque est supprimée. Étant donné que la clé de chiffrement
utilisée pour lire les données du disque doit être la même que celle qui a été utilisée
pour les écrire, il est impossible de déchiffrer les données précédemment écrites
sur le disque. Lorsque vous appliquez le processus smartfail et supprimez un
disque, ce dernier est effacé cryptographiquement.

Remarque

Le processus smartfail est la méthode privilégiée pour supprimer un disque SED.


La suppression d’un nœud ayant fait l’objet d’une opération smartfail garantit que
les données sont inaccessibles.
l Lorsqu’un disque SED subit une coupure d’alimentation, il se verrouille pour
empêcher tout accès non autorisé. Lorsque l’alimentation est rétablie, les données
redeviennent accessibles à condition que la clé d’authentification du disque soit
fournie.

l Lorsqu’un disque SED fait l’objet d’une opération smartfail, les clés
d’authentification du disque sont supprimées du nœud. Les données du disque ne
peuvent pas être déchiffrées et sont par conséquent illisibles, ce qui sécurise le
disque.
l Lorsqu’un disque fait l’objet d’une opération smartfail et est supprimé du nœud, la
clé de chiffrement du disque est supprimée. Étant donné que la clé de chiffrement
utilisée pour lire les données du disque doit être la même que celle qui a été utilisée
pour les écrire, il est impossible de déchiffrer les données précédemment écrites
sur le disque. Lorsque vous appliquez le processus smartfail et supprimez un
disque, ce dernier est effacé cryptographiquement.

Remarque

Le processus smartfail est la méthode privilégiée pour supprimer un disque SED.


La suppression d’un nœud ayant fait l’objet d’une opération smartfail garantit que
les données sont inaccessibles.
l Lorsqu’un disque SED subit une coupure d’alimentation, il se verrouille pour
empêcher tout accès non autorisé. Lorsque l’alimentation est rétablie, les données
redeviennent accessibles à condition que la clé d’authentification du disque soit
fournie.

Migration des données vers un cluster équipé de disques


SED
Il est possible de migrer les données d’un cluster existant vers un cluster de nœuds
composés de disques à chiffrement automatique, ou SED (Self-Encrypting Drives). En
conséquence, toutes les données migrées et à venir sur le nouveau cluster seront
chiffrées.

Remarque

La migration des données vers un cluster de disques SED doit être effectuée par Isilon
Professional Services. Pour plus d’informations, contactez un responsable de compte
EMC Isilon.

Migration des données vers un cluster équipé de disques SED 427


Chiffrement des données inactives

États des châssis et des disques


Vous pouvez afficher des informations détaillées sur l’état des châssis et des disques.
Dans un cluster, la combinaison de nœuds présentant différents états dégradés
détermine si les demandes de lecture et/ou les demandes d’écriture peuvent aboutir.
Un cluster peut perdre le quorum d’écriture, mais conserver le quorum de lecture.
OneFS fournit des informations sur l’état des châssis et des disques de votre cluster.
Le tableau ci-dessous décrit tous les états qui peuvent exister au sein de du cluster.

Remarque

Si vous exécutez IsilonSD Edge, vous pouvez afficher et gérer les détails de l’état du
châssis et du disque via le plug-in de gestion IsilonSD. Pour plus d’informations,
consultez le Guide d’installation et d’administration d’IsilonSD Edge.

State Description Interface État d’erreur

HEALTHY Tous les disques du Interface de ligne de


nœud fonctionnent commande, interface
correctement. d’administration Web

N3 Un disque SSD (SSD) Interface de ligne de


a été déployé en tant commande
que cache de niveau 3
(N3) pour augmenter
la taille de la mémoire
cache et améliorer les
vitesses de débit.

SMARTFAIL ou Le disque est en cours Interface de ligne de


Smartfail or de suppression commande, interface
restripe in sécurisée du système d’administration Web
progress de fichiers, en raison
d’une erreur d’E/S ou
à la demande d’un
utilisateur. Les nœuds
ou les disques à l’état
smartfail ou en
lecture seule n’ont un
impact que sur le
quorum d’écriture.

NOT AVAILABLE Un disque est Interface de ligne de X


indisponible pour commande, interface
diverses raisons. Pour d’administration Web
afficher des
informations
détaillées sur ce
problème, cliquez sur
la baie.

428 OneFS 8.0.1 Guide d’administration Web


Chiffrement des données inactives

State Description Interface État d’erreur

Remarque

Dans l’interface
d’administration Web,
cet état inclut les
états ERASE et
SED_ERROR de
l’interface de ligne de
commande.

SUSPENDED Cet état indique que Interface de ligne de


l’activité du disque commande, interface
est temporairement d’administration Web
suspendue et que le
disque n’est pas
utilisé. Cet état est
activé manuellement ;
il ne se produit pas
pendant l’activité
normale du cluster.

NOT IN USE Un nœud à l’état hors Interface de ligne de


ligne affecte les commande, interface
quorums de lecture et d’administration Web
d’écriture.

REPLACE Le disque a fait l’objet Interface de ligne de


d’une opération commande seulement
smartfail et est prêt à
être remplacé.

STALLED Le disque est bloqué Interface de ligne de


et une évaluation du commande seulement
blocage est en cours.
L’évaluation du
blocage permet de
vérifier les disques
dont le
fonctionnement est
ralenti ou qui ont
d’autres problèmes.
En fonction du
résultat de
l’évaluation, le disque
peut être remis en
service ou faire l’objet
d’une opération
smartfail. Il s’agit d’un
état temporaire.

NEW Le disque est nouveau Interface de ligne de


et vide. Il s’agit de commande seulement
l’état d’un disque lors
de l’exécution de la

États des châssis et des disques 429


Chiffrement des données inactives

State Description Interface État d’erreur


commande isi dev
avec l’option -aadd.

USED Le disque a été ajouté Interface de ligne de


et contenait un GUID commande seulement
Isilon, mais il ne fait
pas partie de ce
nœud. Ce disque va
probablement être
formaté dans le
cluster.

PREPARING Le disque subit une Interface de ligne de


opération de commande seulement
formatage. Lorsque le
formatage aboutit, le
disque passe à l’état
HEALTHY

EMPTY Cette baie ne contient Interface de ligne de


aucun disque. commande seulement

WRONG_TYPE Le type de disque Interface de ligne de


n’est pas adapté à ce commande seulement
nœud. Par exemple,
un disque non SED
dans un nœud SED,
SAS au lieu du type
de disque SATA
prévu.

BOOT_DRIVE Propre aux nœuds Interface de ligne de


A100, dont les baies commande seulement
comportent des
disques de
démarrage.

SED_ERROR Le disque ne peut pas Interface de ligne de X


être reconnu par le commande, interface
système OneFS. d’administration Web

Remarque

Dans l’interface
d’administration Web,
cet état est inclus
dans l’état Not
available.

ERASE Le disque est prêt Interface de ligne de


pour la suppression, commande seulement
mais il requiert votre
attention, car les
données n’ont pas été
effacées. Vous
pouvez effacer le

430 OneFS 8.0.1 Guide d’administration Web


Chiffrement des données inactives

State Description Interface État d’erreur


disque manuellement
afin de garantir la
suppression des
données.

Remarque

Dans l’interface
d’administration Web,
cet état est inclus
dans l’état Not
available.

INSECURE Les données du Interface de ligne de X


disque SED sont commande seulement
accessibles au
personnel non
autorisé. Les disques
SED ne doivent jamais
être utilisés pour des
données non
chiffrées.

Remarque

Dans l’interface
d’administration Web,
cet état porte le
libellé
Unencrypted
SED.

Les données du Interface X


UNENCRYPTED SED
disque SED sont d’administration Web
accessibles au seulement
personnel non
autorisé. Les disques
SED ne doivent jamais
être utilisés pour des
données non
chiffrées.

Remarque

Dans l’interface de
ligne de commande,
cet état porte le
libellé INSECURE.

États des châssis et des disques 431


Chiffrement des données inactives

État REPLACE d’un disque ayant fait l’objet d’une opération


SmartFail
Vous pouvez voir différents états de disque au cours du processus Smartfail.
Si vous exécutez la commande isi dev alors que le disque de la baie 1 fait l’objet
d’une opération Smartfail, le système affiche un résultat semblable à l’exemple
suivant :

Node 1, [ATTN]
Bay 1 Lnum 11 [SMARTFAIL] SN:Z296M8HK
000093172YE04 /dev/da1
Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5
00009330EYE03 /dev/da2
Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4
00009330EYE03 /dev/da3
Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW
00009327BYE03 /dev/da4
Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB
00009330KYE03 /dev/da5
Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7
000093172YE03 /dev/da6
Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF
00009330KYE03 /dev/da7
Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD
00009330EYE03 /dev/da8
Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA
00009330EYE03 /dev/da9
Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7
00009330EYE03 /dev/da10
Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP
00009330EYE04 /dev/da11
Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ
00009330JYE03 /dev/da12

Si vous exécutez la commande isi dev une fois le processus Smartfail terminé avec
succès, le système affiche un résultat semblable à l’exemple suivant, qui indique que
l’état du disque est REPLACE :

Node 1, [ATTN]
Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK
000093172YE04 /dev/da1
Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5
00009330EYE03 /dev/da2
Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4
00009330EYE03 /dev/da3
Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW
00009327BYE03 /dev/da4
Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB
00009330KYE03 /dev/da5
Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7
000093172YE03 /dev/da6
Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF
00009330KYE03 /dev/da7
Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD
00009330EYE03 /dev/da8
Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA
00009330EYE03 /dev/da9
Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7
00009330EYE03 /dev/da10
Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP
00009330EYE04 /dev/da11

432 OneFS 8.0.1 Guide d’administration Web


Chiffrement des données inactives

Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ


00009330JYE03 /dev/da12

Si vous exécutez la commande isi dev alors que le disque de la baie 3 fait l’objet
d’une opération Smartfail, le système affiche un résultat semblable à l’exemple
suivant :

Node 1, [ATTN]
Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK
000093172YE04 /dev/da1
Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5
00009330EYE03 /dev/da2
Bay 3 Lnum 9 [SMARTFAIL] SN:Z296LBP4
00009330EYE03 N/A
Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW
00009327BYE03 /dev/da4
Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB
00009330KYE03 /dev/da5
Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7
000093172YE03 /dev/da6
Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF
00009330KYE03 /dev/da7
Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD
00009330EYE03 /dev/da8
Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA
00009330EYE03 /dev/da9
Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7
00009330EYE03 /dev/da10
Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP
00009330EYE04 /dev/da11
Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ
00009330JYE03 /dev/da12

État ERASE d’un disque ayant fait l’objet d’une opération


SmartFail
À la fin d’un processus Smartfail, OneFS tente de supprimer la clé d’authentification
sur un disque s’il ne parvient pas à la réinitialiser.

Remarque

l Pour supprimer en toute sécurité la clé d’authentification sur un seul disque, vous
devez exécuter une opération Smartfail sur ce disque.
l Pour supprimer en toute sécurité la clé d’authentification sur un seul nœud, vous
devez exécuter une opération Smartfail sur ce nœud.
l Pour supprimer en toute sécurité les clés d’authentification sur l’ensemble d’un
cluster, vous devez effectuer une opération Smartfail sur chaque nœud et
exécuter la commande isi_reformat_node sur le dernier nœud.

À la suite de l’exécution de la commande isi dev, le système affiche un résultat


semblable à l’exemple suivant, qui indique que l’état du disque est ERASE :

Node 1, [ATTN]
Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK
000093172YE04 /dev/da1
Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5
00009330EYE03 /dev/da2

État ERASE d’un disque ayant fait l’objet d’une opération SmartFail 433
Chiffrement des données inactives

Bay 3 Lnum 9 [ERASE] SN:Z296LBP4


00009330EYE03 /dev/da3

Les disques qui présentent l’état ERASE peuvent être retirés, réutilisés ou renvoyés en
toute sécurité.
Pour pouvoir accéder à un disque affichant l’état ERASE, il faut que la clé
d’authentification du disque soit définie sur l’ID de sécurité d’usine par défaut (MSID).
Cette action efface la clé de chiffrement des données sur le disque et rend
définitivement illisibles toutes les données présentes sur le disque.

434 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 21
SmartQuotas

Cette rubrique contient les rubriques suivantes :

l Présentation de SmartQuotas.......................................................................... 436


l Types de quota................................................................................................ 436
l Type de quota par défaut................................................................................. 437
l Comptabilité et limites d’utilisation.................................................................. 439
l Calcul de l’utilisation du disque......................................................................... 441
l Notifications de quota...................................................................................... 442
l Règles de notification de quota........................................................................ 443
l Rapports sur les quotas....................................................................................443
l Création de quotas........................................................................................... 444
l Gestion des quotas...........................................................................................446
l Gestion des notifications de quota................................................................... 449
l Messages de notification de quota par e-mail................................................... 451
l Gestion des rapports sur les quotas................................................................. 454
l Paramètres de base des quotas....................................................................... 455
l Paramètres des règles de notification de quota consultatif.............................. 456
l Paramètres des règles de notification de quota souple.....................................457
l Paramètres des règles de notification de quota strict...................................... 459
l Paramètres de notification de limite.................................................................460
l Paramètres des rapports de quota................................................................... 460

SmartQuotas 435
SmartQuotas

Présentation de SmartQuotas
Le module SmartQuotas est un outil facultatif de gestion des quotas. Il surveille et
applique des limites de stockage définies par l’administrateur. À l’aide de quotas de
comptabilité et de mise en œuvre, de fonctions de reporting et de notifications
automatiques, SmartQuotas gère l’utilisation du stockage, surveille le stockage sur
disque et génère des alertes en cas de dépassement des limites de stockage sur
disque.
Les quotas vous aident à gérer l’utilisation du stockage selon des critères que vous
définissez. Ils permettent de suivre (et parfois de limiter) l’espace de stockage qu’un
utilisateur, un groupe ou un projet consomme. Les quotas permettent de s’assurer
qu’un utilisateur ou un service n’empiète pas sur l’espace de stockage alloué à d’autres
utilisateurs ou services. Dans certaines mises en œuvre de quotas, les écritures au-
delà de l’espace défini sont refusées et, dans d’autres cas, une simple notification est
envoyée.

Remarque

N’appliquez pas de quotas au répertoire /ifs/.ifsvar/ ni à ses sous-répertoires. Si


vous limitez la taille du répertoire /ifs/.ifsvar/ au moyen d’un quota et que le
répertoire atteigne cette limite, les tâches telles que File-System Analytics échouent.
Un quota empêche la suppression des rapports sur les tâches plus anciens des sous-
répertoires /ifs/.ifsvar/, ce qui permettrait de libérer de la place pour les
nouveaux rapports.

Le module SmartQuotas nécessite une licence distincte. Pour plus d’informations sur
le module SmartQuotas ou sur son activation, contactez un responsable de compte
EMC Isilon.

Types de quota
OneFS utilise le concept des types de quota comme unité d’organisation fondamentale
des quotas de stockage. Les quotas de stockage incluent un ensemble de ressources
et une comptabilité de chaque type de ressource pour cet ensemble. Les quotas de
stockage sont également appelés domaines de stockage.
La création de quotas de stockage nécessite d’identifier trois éléments :
l le répertoire à surveiller ;
l la nécessité ou non d’inclure les snapshots dans le suivi du quota ;
l le type de quota (répertoire, utilisateur ou groupe).

Remarque

Ne créez aucun quota, de quelque type que ce soit, sur la racine OneFS (/ifs). Un
quota de niveau racine peut considérablement dégrader les performances.

Vous pouvez sélectionner un type de quota parmi les entités suivantes :


Répertoire
Un répertoire spécifique et ses sous-répertoires.

436 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

User
Un utilisateur spécifique ou un utilisateur par défaut (every user). Les quotas
d’utilisateur spécifique que vous configurez ont la priorité sur le quota d’utilisateur
par défaut.

Groupe
Tous les membres d’un groupe spécifique ou d’un groupe par défaut (every
group). Les quotas de groupe spécifique que vous configurez ont la priorité sur le
quota de groupe par défaut. L’association d’un quota de groupe à un quota de
groupe par défaut crée un quota lié.

Vous pouvez créer plusieurs types de quota sur le même répertoire, mais ils doivent
être d’un type différent ou ne pas avoir la même option de snapshot. Vous pouvez
spécifier des types de quota pour n’importe quel répertoire OneFS et les imbriquer les
uns dans les autres pour créer une hiérarchie de règles d’utilisation du stockage
complexes.
Les quotas de stockage imbriqués peuvent se chevaucher. Par exemple, les
paramètres de quota suivants garantissent que le répertoire finance ne dépasse jamais
5 To, tout en limitant les utilisateurs du département financier à 1 To chacun :
l Définissez un quota strict de 5 To sur /ifs/data/finance.
l Définissez des quotas souples de 1 To pour chaque utilisateur du département
financier.

Type de quota par défaut


Les quotas par défaut créent automatiquement d’autres quotas pour les utilisateurs ou
les groupes dans un répertoire spécifié.
Un quota par défaut spécifie une règle pour les nouvelles entités correspondant à un
déclencheur. Le quota d’utilisateur par défaut default-user@/ifs/cs devient specific-
user@/ifs/cs pour chaque utilisateur spécifique qui n’est pas défini par ailleurs.
Par exemple, vous pouvez créer un quota d’utilisateur par défaut pour le
répertoire /ifs/dir-1, qui appartient à l’utilisateur root. Le type d’utilisateurs par
défaut crée automatiquement un domaine dans ce répertoire pour l’utilisateur root et
en ajoute l’utilisation ici :

my-OneFS-1# mkdir /ifs/dir-1


my-OneFS-1# isi quota quotas create /ifs/dir-1 default-user
my-OneFS-1# isi quota quotas ls --path=/ifs/dir-1
Type AppliesTo Path Snap Hard Soft Adv Used
---------------------------------------------------------------
default-user DEFAULT /ifs/dir-1 No - - - 0b
user root /ifs/dir-1 No - - - 0b
---------------------------------------------------------------

Ajoutez maintenant un fichier appartenant à un autre utilisateur (admin) :

my-OneFS-1# touch /ifs/dir-1/somefile


my-OneFS-1# chown admin /ifs/dir-1/somefile
my-OneFS-1# isi quota quotas ls --path=/ifs/dir-1
Type AppliesTo Path Snap Hard Soft Adv Used
---------------------------------------------------------------
default-user DEFAULT /ifs/dir-1 No - - - 0b
user root /ifs/dir-1 No - - - 26b

Type de quota par défaut 437


SmartQuotas

user admin /ifs/dir-1 No - - - 0b


---------------------------------------------------------------
Total: 3

Dans cet exemple, le type d’utilisateurs par défaut a automatiquement créé un type
d’utilisateurs spécifique (user:admin) et lui a ajouté la nouvelle utilisation. L’utilisateur
par défaut n’est associé à aucune utilisation, car il sert uniquement à générer
automatiquement de nouveaux quotas. La mise en œuvre correspondant à l’utilisateur
par défaut est copiée vers un utilisateur spécifique (user:admin) et le quota hérité est
appelé un quota lié. De cette façon, chaque compte utilisateur bénéficie de sa propre
comptabilité d’utilisation.
Les quotas par défaut peuvent se chevaucher. Par exemple, default-user@/ifs/dir-1 et
default-user@/ifs/cs peuvent tous deux être définis. Si la mise en œuvre par défaut
est modifiée, les quotas de stockage OneFS propagent les modifications apportées
aux quotas liés de manière asynchrone. La mise à jour étant asynchrone, un certain
délai s’écoule avant qu’elle ne s’applique. Si un type par défaut, tel que every user ou
every group, est supprimé, OneFS supprime tous les enfants marqués comme hérités.
Vous pouvez, si vous le souhaitez, supprimer le quota par défaut sans supprimer les
enfants. Toutefois, il est important de noter que cette action rompt l’héritage pour
tous les enfants hérités.
Pour poursuivre cet exemple, ajoutez un autre fichier appartenant à l’utilisateur root.
Étant donné que le type root existe déjà, cette nouvelle utilisation lui est ajoutée.

my-OneFS-1# touch /ifs/dir-1/anotherfile


my-OneFS-1# isi quota ls -v --path=/ifs/dir-1 --format=list
Type: default-user
AppliesTo: DEFAULT
Path: /ifs/dir-1
Snap: No
Thresholds
Hard : -
Soft : -
Adv : -
Grace : -
Usage
Files : 0
With Overhead : 0.00b
W/O Overhead : 0.00b
Over: -
Enforced: No
Container: No
Linked: -
--------------------------------------------------------------------
--
Type: user
AppliesTo: root
Path: /ifs/dir-1
Snap: No
Thresholds
Hard : -
Soft : -
Adv : -
Grace : -
Usage
Files : 2
With Overhead : 3.50K
W/O Overhead : 55.00b
Over: -
Enforced: No
Container: No

438 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

Linked: Yes
--------------------------------------------------------------------
---
Type: user
AppliesTo: admin
Path: /ifs/dir-1
Snap: No
Thresholds
Hard : -
Soft : -
Adv : -
Grace : -
Usage
Files : 1
With Overhead : 1.50K
W/O Overhead : 0.00b
Over: -
Enforced: No
Container: No
Linked: Yes

La mise en œuvre correspondant à l’utilisateur par défaut est copiée vers l’utilisateur
spécifique lorsque ce dernier effectue une allocation correspondant à ce type de
quota. Le nouveau type de quota hérité est également un quota lié.

Remarque

Les modifications de configuration des quotas liés doivent être apportées au quota
parent à partir duquel le quota lié est hérité. Les modifications apportées au quota
parent sont propagées à tous les quotas enfants. Pour remplacer la configuration du
quota parent, dissociez d’abord le quota.

Comptabilité et limites d’utilisation


Les quotas de stockage prennent en charge deux types d’utilisation que vous pouvez
créer pour gérer l’espace de stockage : la comptabilité d’utilisation et les limites de
mise en œuvre.
Vous pouvez configurer des quotas OneFS par type d’utilisation pour analyser ou
limiter l’utilisation du stockage. L’option de comptabilité, qui surveille l’utilisation du
stockage sur disque, est utile pour l’audit, la planification et la facturation. Les limites
de mise en œuvre permettent de définir des limites de stockage pour des utilisateurs,
des groupes ou des répertoires.
Analyser le stockage sans spécifier de limite de stockage
L’option de comptabilité analyse l’utilisation du stockage sur disque, mais ne la
limite pas. Grâce à l’option de comptabilité d’un quota, vous contrôlez le nombre
d’inodes, ainsi que l’espace de stockage physique et logique. L’espace physique
fait référence à l’ensemble de l’espace utilisé pour stocker les fichiers et les
répertoires, y compris les données et les métadonnées du domaine. L’espace
logique fait référence à la somme des tailles de tous les fichiers, à l’exception des
métadonnées de fichier et des zones incomplètes. Le stockage des données
utilisateur fait l’objet d’une analyse à l’aide de calculs de l’espace logique, qui ne
tiennent pas compte de l’espace dédié à la protection des données. Par exemple,
à l’aide de l’option de comptabilité, vous pouvez effectuer les opérations
suivantes :

Comptabilité et limites d’utilisation 439


SmartQuotas

l analyser la quantité d’espace disque consommée par différents utilisateurs ou


groupes afin de facturer chaque utilisateur, groupe ou répertoire pour l’espace
disque qu’il a effectivement utilisé ;
l examiner et analyser des rapports pour identifier plus facilement les schémas
d’utilisation du stockage et définir des règles de stockage ;
l planifier la capacité et d’autres besoins en stockage.

Spécifier des limites de stockage


Les limites de mise en œuvre incluent les mêmes fonctions que l’option de
comptabilité, avec en plus la possibilité de limiter le stockage sur disque et
d’envoyer des notifications. À l’aide des limites de mise en œuvre, vous pouvez
partitionner logiquement un cluster pour contrôler ou limiter le volume de
stockage qu’un utilisateur, qu'un groupe ou qu'un répertoire peut utiliser. Par
exemple, vous pouvez définir des limites de capacité strictes ou souples pour vous
assurer que l’espace adéquat est toujours disponible pour les projets essentiels et
les applications critiques, et que les utilisateurs du cluster ne dépassent pas la
capacité de stockage qui leur est allouée. Si vous le souhaitez, vous pouvez
envoyer en temps réel des notifications par e-mail aux utilisateurs, aux
responsables de groupes ou aux administrateurs lorsqu’ils approchent ou
dépassent une limite de quota.

Remarque
Si un type de quota utilise l’option de comptabilité uniquement, les limites de mise en
œuvre ne peuvent pas être utilisées pour ce quota.

Les actions d’un administrateur connecté en tant qu’utilisateur root peuvent faire
passer un domaine au-delà du seuil de quota. Par exemple, la modification du niveau de
protection et la création d’un snapshot sont susceptibles de dépasser les paramètres
de quota. Les actions effectuées sur le système, telles que les réparations, peuvent
également faire passer un quota de domaine au-delà de la limite autorisée.
Le système fournit trois types de seuil de mise en œuvre définis par l’administrateur.

Type de seuil Description

Strict Limite l’utilisation du disque à une taille qui ne


peut pas être dépassée. Si une opération, telle
qu’une écriture de fichier, entraîne le
dépassement d’un quota strict par un objectif
de quota, les événements suivants se
produisent :
l L’opération échoue.
l Une alerte est consignée sur le cluster.
l Une notification est envoyée aux
destinataires indiqués.
L’opération d’écriture reprend lorsque
l’utilisation revient à un niveau inférieur au
seuil.

Doux Établit une limite qui peut être dépassée


jusqu’à l’expiration d’un délai de grâce.
Lorsqu’un quota souple est dépassé, une

440 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

Type de seuil Description

alerte est consignée sur le cluster et une


notification est envoyée aux destinataires
spécifiés. Toutefois, l’écriture de données est
autorisée pendant le délai de grâce.
Si le seuil souple est toujours dépassé lorsque
le délai de grâce expire, l’écriture des données
échoue et une notification de limite stricte est
envoyée aux destinataires que vous avez
indiqués.
L’opération d’écriture reprend lorsque
l’utilisation revient à un niveau inférieur au
seuil.

Consultatif Il s’agit d’une limite informative qui peut être


dépassée. Lorsqu’un seuil de quota consultatif
est dépassé, une alerte est consignée sur le
cluster et une notification est envoyée aux
destinataires spécifiés. Les seuils consultatifs
n’empêchent pas l’écriture de données.

Calcul de l’utilisation du disque


Pour tous les quotas que vous configurez, vous pouvez indiquer si l’espace dédié à la
protection des données doit être inclus dans les futurs calculs de l’utilisation du
disque.
Pour la plupart des configurations de quota, il n’est pas nécessaire d’inclure cet
espace supplémentaire. Si vous ne l’incluez pas, les futurs calculs de l’utilisation du
disque pour le quota intègrent uniquement l’espace nécessaire au stockage des
fichiers et des répertoires. L’espace requis pour le paramètre de protection des
données du cluster n’est pas inclus.
Prenons par exemple le même utilisateur, désormais limité par un quota de 40 Go qui
n’inclut pas l’espace dédié à la protection des données dans les calculs de l’utilisation
du disque. Si votre cluster est configuré avec un niveau de protection des données de
2x et que l’utilisateur écrit un fichier de 10 Go sur le cluster, ce fichier utilise 20 Go
d’espace, mais les 10 Go d’espace dédié à la protection des données ne sont pas pris
en compte dans le calcul du quota. Dans cet exemple, l’utilisateur a atteint 25 % du
quota de 40 Go en écrivant un fichier de 10 Go sur le cluster. Cette méthode de calcul
de l’utilisation du disque est conseillée pour la plupart des configurations de quota.
Si vous incluez l’espace dédié à la protection des données dans les calculs d’utilisation
d’un quota, ceux-ci intègrent non seulement la quantité totale d’espace nécessaire
pour stocker les fichiers et les répertoires, mais aussi tout espace requis pour
respecter vos paramètres de protection des données, notamment la parité ou la mise
en miroir. Prenons l’exemple d’un utilisateur qui est limité par un quota de 40 Go qui
inclut l’espace dédié à la protection des données dans les calculs de l’utilisation du
disque. Si votre cluster est configuré avec un niveau de protection des données de 2x
(en miroir) et que l’utilisateur écrit un fichier de 10 Go sur le cluster, ce fichier
consomme en réalité 20 Go d’espace : 10 Go pour le fichier et 10 Go pour l’espace
dédié à la protection des données. Dans cet exemple, l’utilisateur a atteint 50 % du
quota de 40 Go en écrivant un fichier de 10 Go sur le cluster.

Calcul de l’utilisation du disque 441


SmartQuotas

Remarque

Les quotas traitent les fichiers clonés et dédupliqués comme des fichiers ordinaires. Si
le quota inclut l’espace dédié à la protection des données, celui qui correspond à des
données partagées n’est pas inclus dans le calcul de l’utilisation.

Vous pouvez configurer les quotas pour qu’ils incluent l’espace utilisé par les
snapshots. Deux quotas peuvent être appliqués à un même chemin : un sans utilisation
de snapshots (valeur par défaut) et un autre avec utilisation des snapshots. Si vous
incluez les snapshots dans le quota, les calculs intègrent un plus grand nombre de
fichiers que ceux présents dans le répertoire actuel. En effet, l’utilisation réelle du
disque correspond à la somme de l’utilisation du répertoire actuel et de celle de tous
les snapshots de ce répertoire. Vous pouvez voir quels snapshots sont inclus dans le
calcul en examinant le répertoire .snapshot du chemin du quota.

Remarque

Seuls les snapshots créés après la fin de tâche QuotaScan sont inclus dans le calcul.

Notifications de quota
Les notifications de quota sont générées pour les quotas de mise en œuvre. Elles
fournissent des informations aux utilisateurs en cas de violation de quota. Des rappels
sont envoyés régulièrement tant que le problème persiste.
Chaque règle de notification définit la condition qui doit être mise en œuvre et l’action
qui doit être effectuée lorsque cette condition est vraie. Un quota de mise en œuvre
peut définir plusieurs règles de notification. Lorsque les seuils sont dépassés, des
notifications automatiques par e-mail peuvent être envoyées aux utilisateurs spécifiés,
ou vous pouvez gérer les notifications comme des alertes système ou recevoir des e-
mails pour ces événements.
Les notifications peuvent être configurées globalement,de façon à s’appliquer à tous
les domaines de quota, ou être configurées pour des domaines de quota spécifiques.
Les quotas de mise en œuvre prennent en charge les paramètres de notification
suivants. Un quota donné ne peut utiliser que l’un de ces paramètres.

Paramètres de notification de limite Description

Turn Off Notifications for this Quota Désactive toutes les notifications pour le
quota.

Use Default Notification Rules Utilise la notification globale par défaut pour
le type de quota spécifié.

Use Custom Notification Rules Permet de créer des notifications avancées


personnalisées qui s’appliquent au quota
spécifié. Les notifications personnalisées
peuvent être configurées pour tout ou partie
des types de seuil (stricts, souples ou
consultatifs) pour le quota spécifié.

442 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

Règles de notification de quota


Pour générer des alertes déclenchées par des seuils d’événement, vous pouvez écrire
des règles de notification de quota.
Lorsqu’un événement se produit, une notification est déclenchée en fonction de la
règle de notification. Par exemple, vous pouvez créer une règle de notification qui
envoie un e-mail lorsqu’un seuil d’allocation d’espace disque est dépassé par un
groupe.
Vous pouvez configurer des règles de notification pour déclencher une action en
fonction des seuils d’événement (condition de notification). Une règle peut préciser un
planning, par exemple tous les jours à 1h00 du matin, pour l’exécution d’une action ou
l’envoi d’une notification immédiate pour certains changements d’état. Lorsqu’un
événement se produit, le déclencheur de notification peut exécuter une ou plusieurs
actions, telles que l’envoi d’un e-mail ou d’une alerte de cluster à l’interface. Les
exemples suivants illustrent les types de critère que vous pouvez utiliser pour
configurer les règles de notification.
l Avertir lorsqu’un seuil est dépassé ; au maximum une fois toutes les 5 minutes
l Avertir lorsque l’allocation est refusée ; au maximum une fois par heure
l Avertir lorsque le seuil est dépassé ; tous les jours à 2h00 du matin
l Avertir lorsque le délai de grâce expire ; chaque semaine, le dimanche à 2h00 du
matin
Les notifications sont déclenchées pour des événements regroupés en fonction des
catégories suivantes :
Notifications instantanées
Inclut la notification de refus d’écriture, déclenchée lorsqu’un seuil strict refuse
une écriture, et la notification de dépassement de seuil, déclenchée dès qu’un
seuil souple, strict ou consultatif est dépassé. Ces notifications ne sont envoyées
qu’une seule fois, car elles représentent un événements distinct dans le temps.

Notifications continues
Générées sur une base planifiée pour indiquer une condition qui persiste, par
exemple lorsqu’un seuil souple, strict ou consultatif dépasse une limite ou que le
délai de grâce d’un seuil souple a expiré depuis un certain temps.

Rapports sur les quotas


Le module SmartQuotas de OneFS fournit des options de reporting qui permettent aux
administrateurs de gérer les ressources du cluster et d’analyser les statistiques
d’utilisation.
Les rapports de quota de stockage offrent une vue récapitulative de l’état passé ou
actuel des domaines de quota. Une fois que les données brutes de reporting ont été
collectées par OneFS, vous pouvez générer des synthèses de données à l’aide d’un
ensemble de paramètres de filtrage et de types de tri. Les rapports de quota de
stockage comprennent des informations sur les transgresseurs, regroupés en fonction
des types de seuil. Vous pouvez générer des rapports à partir d’un échantillon de
données historiques ou des données actuelles. Dans les deux cas, les rapports
représentent les données d’utilisation à un moment donné. OneFS ne fournit pas de
rapports sur les données agrégées au fil du temps, comme des rapports de tendance,
mais vous pouvez utiliser les données brutes pour analyser les tendances. Il n’y a

Règles de notification de quota 443


SmartQuotas

aucune limite au nombre de rapports pouvant être configurés, hormis celle de l’espace
nécessaire à leur stockage.
OneFS offre les méthodes de collecte de données et de reporting suivantes :
l Les rapports planifiés sont générés et enregistrés à intervalles réguliers.
l Les rapports ad hoc sont générés et enregistrés à la demande de l’utilisateur.
l Les rapports dynamiques sont générés pour une visualisation immédiate et
temporaire.
Les rapports planifiés sont placés par défaut dans le répertoire /ifs/.isilon/
smartquotas/reports, mais l’emplacement peut être configuré dans n’importe
quel répertoire se trouvant sous /ifs. Chaque rapport généré inclut la définition du
domaine de quota, l’état, l’utilisation et les paramètres de configuration globaux. Par
défaut, dix rapports sont conservés et les rapports plus anciens sont purgés. Vous
pouvez créer des rapports ad hoc à tout moment pour afficher l’état actuel du
système de quotas de stockage. Ces rapports dynamiques peuvent être enregistrés
manuellement. Les rapports ad hoc sont enregistrés à un emplacement différent de
celui des rapports planifiés pour éviter de désorganiser les ensembles de rapports
datés.

Création de quotas
Vous pouvez créer deux types de quotas de stockage pour surveiller les données : les
quotas de comptabilité et les quotas de mise en œuvre. Les limites et les restrictions
de quota de stockage peuvent s’appliquer à des utilisateurs, des groupes ou des
répertoires spécifiques.
Le type de quota que vous créez dépend de votre objectif.
l Les quotas de mise en œuvre surveillent et limitent l’utilisation du disque. Vous
pouvez créer des quotas de mise en œuvre qui utilisent n’importe quelle
combinaison de limites strictes, souples et consultatives.

Remarque

Il n’est pas recommandé d’utiliser des quotas de mise en œuvre pour les domaines
de quotas de suivi des snapshots.
l Les quotas de comptabilité surveillent mais ne limitent pas l’utilisation du disque.

Remarque

Avant d’utiliser les données de quota à des fins d’analyse ou autres, vérifiez qu’aucune
tâche QuotaScan n’est en cours d’exécution.

Créer un quota de comptabilité


Vous pouvez créer un quota de comptabilité pour surveiller, mais pas limiter,
l’utilisation du disque.
Si vous le souhaitez, vous pouvez inclure les données de snapshot, le temps système
lié à la protection des données ou les deux dans le quota de comptabilité.
Procédure
1. Cliquez sur File System > SmartQuotas > Quotas & Usage.
2. Cliquez sur Create a Quota.
La boîte de dialogue Create a Quota s’affiche.

444 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

3. Dans la liste Quota Type, sélectionnez la cible de ce quota.


l Directory quota
l User quota
l Group quota
4. En fonction de la cible que vous avez sélectionnée, sélectionnez l’entité à
laquelle appliquer le quota. Par exemple, si vous avez sélectionné User quota
dans la liste Quota Type, vous pouvez cibler tous les utilisateurs ou un
utilisateur spécifique.
5. Dans le champ Path, saisissez le chemin du quota ou cliquez sur Browse, puis
sélectionnez un répertoire.
6. (Facultatif) Dans la zone Quota Accounting, sélectionnez les options que vous
souhaitez utiliser.
l Pour inclure les données de snapshot dans le quota de comptabilité,
sélectionnez l’option Include Snapshot Data.
l Pour inclure l’espace dédié à la protection des données dans le quota de
comptabilité, sélectionnez l’option Include Data-Protection Overhead.
7. Dans la zone Quota Limits, sélectionnez Track storage without specifying a
storage limit.
8. Cliquez sur Create Quota.
À effectuer
Avant d’utiliser des données de quota à des fins d’analyse ou autres, vérifiez
qu’aucune tâche QuotaScan n’est en cours en sélectionnant Cluster Management >
Job Operations > Job Summary.

Créer un quota de mise en œuvre


Vous pouvez créer un quota de mise en œuvre pour surveiller et limiter l’utilisation du
disque.
Vous pouvez créer des quotas de mise en œuvre qui fixent des limites strictes, souples
et consultatives.
Procédure
1. Cliquez sur File System > SmartQuotas > Quotas & Usage.
2. Cliquez sur Create a Quota.
La boîte de dialogue Create a Quota s’affiche.
3. Dans la liste Quota Type, sélectionnez la cible de ce quota.
l Directory quota
l User quota
l Group quota
4. En fonction de la cible que vous avez sélectionnée, sélectionnez l’entité à
laquelle appliquer le quota. Par exemple, si vous avez sélectionné User quota
dans la liste Quota Type, vous pouvez cibler tous les utilisateurs ou un
utilisateur spécifique.
5. Dans le champ Path, saisissez le chemin du quota ou cliquez sur Browse, puis
sélectionnez un répertoire.
6. (Facultatif) Dans la zone Quota Accounting, sélectionnez les options que vous
souhaitez utiliser.

Créer un quota de mise en œuvre 445


SmartQuotas

l Pour inclure les données de snapshot dans le quota de comptabilité,


sélectionnez l’option Include Snapshot Data.
l Pour inclure l’espace dédié à la protection des données dans le quota de
comptabilité, sélectionnez l’option Include Data-Protection Overhead.
7. Dans la zone Quota Limits, sélectionnez Specify storage limits.
8. Cochez la case située en regard de chaque limite que vous souhaitez appliquer.
9. Saisissez des chiffres dans les champs et sélectionnez dans les listes les valeurs
que vous souhaitez utiliser pour le quota.
10. Dans la zone Quota Notifications, sélectionnez l’option de notification que
vous souhaitez appliquer au quota.
11. (Facultatif) Si vous avez choisi d’utiliser des règles de notification
personnalisées, cliquez sur le lien pour développer le type de notification
personnalisée qui s’applique aux sélections de limites d’utilisation.
12. Cliquez sur Create Quota.
À effectuer
Avant d’utiliser des données de quota à des fins d’analyse ou autres, vérifiez
qu’aucune tâche QuotaScan n’est en cours en sélectionnant Cluster Management >
Job Operations > Job Summary.

Gestion des quotas


Vous pouvez modifier les valeurs configurées d’un quota de stockage, et vous pouvez
activer ou désactiver un quota. Vous pouvez également créer des limites et des
restrictions de quota qui s’appliquent à des utilisateurs, des groupes ou des répertoires
spécifiques.
La gestion des quotas dans OneFS est simplifiée grâce à la fonction de recherche de
quota, qui vous permet de localiser un ou plusieurs quotas à l’aide de filtres. Vous
pouvez dissocier des quotas liés à un quota parent et configurer des notifications de
quota personnalisées. Vous pouvez également désactiver temporairement un quota,
puis le réactiver en cas de besoin.

Remarque

Le déplacement des répertoires de quota dans les domaines de quota n’est pas pris en
charge.

Rechercher des quotas


Vous pouvez rechercher un quota à l’aide de divers critères de recherche.
Par défaut, tous les quotas de stockage et les options d’affichage sont répertoriés sur
cette page avant l’application de filtres de rapport ou de recherche. Si la section
Quotas & Storage est réduite, cliquez sur Define quota display.
Procédure
1. Cliquez sur File System > SmartQuotas > Quotas & Usage.
2. Dans la barre de filtres, sélectionnez les options de filtrage.
l Dans la liste Type, sélectionnez le type de quotas à rechercher.
l Pour rechercher des quotas qui dépassent la limite, sélectionnez Over limit
dans la liste Exceeded.

446 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

l Dans le champ Path, indiquez le chemin complet ou partiel. Vous pouvez


utiliser le caractère générique (*) dans le champ Path.
l Pour effectuer la recherche dans les sous-répertoires, sélectionnez Include
children dans la liste Recursive.
Les quotas qui correspondent aux critères de recherche s’affichent dans le
tableau Quotas & Usage.
Résultats
Un quota de comptabilité ou de mise en œuvre avec une valeur de seuil de zéro est
indiqué par un tiret (–). Vous pouvez cliquer sur les en-têtes de colonne pour trier
l’ensemble des résultats.

Remarque
Pour effacer l’ensemble des résultats et afficher tous les quotas de stockage, cliquez
sur Reset.

Gérer les quotas


Les quotas vous aident à surveiller et à analyser l’utilisation en cours ou passée du
stockage sur disque. Vous pouvez rechercher des quotas et les afficher, les modifier,
les supprimer et les dissocier.
Vous devez exécuter une première tâche QuotaScan pour les quotas par défaut ou
planifiés, sinon les données affichées risquent d’être incomplètes.
Avant de modifier un quota, il convient de prendre en compte la façon dont les
changements affecteront le système de fichiers et les utilisateurs.

Remarque

l Les options qui permettent de modifier ou de supprimer un quota s’affichent


uniquement si ce quota n’est pas lié à un quota par défaut.
l L’option permettant de dissocier un quota est disponible uniquement lorsque ce
quota est lié à un quota par défaut.

Procédure
1. Cliquez sur File System > SmartQuotas > Quotas & Usage.
2. (Facultatif) Dans la barre de filtres, sélectionnez les options de filtrage.
l Dans la liste Type, sélectionnez le type de quotas à rechercher.
l Pour rechercher des quotas qui dépassent la limite, sélectionnez Over limit
dans la liste Exceeded.
l Dans le champ Path, indiquez le chemin complet ou partiel. Vous pouvez
utiliser le caractère générique (*) dans le champ Path.
l Pour effectuer la recherche dans les sous-répertoires, sélectionnez Include
children dans la liste Recursive.
Les quotas qui correspondent aux critères de recherche s’affichent dans le
tableau Quotas & Usage.
3. (Facultatif) Recherchez le quota que vous souhaitez gérer. Vous pouvez
effectuer les actions suivantes :
l Pour consulter ou modifier ce quota, cliquez sur View Details.

Gérer les quotas 447


SmartQuotas

l Pour supprimer le quota, cliquez sur Delete.


l Pour dissocier un quota lié, cliquez sur Unlink.

Remarque

Les modifications de configuration des quotas liés doivent être apportées au


quota parent (par défaut) à partir duquel le quota lié est hérité. Les
modifications apportées au quota parent sont propagées à tous les quotas
enfants. Si vous souhaitez remplacer la configuration du quota parent, vous
devez d’abord dissocier le quota.

Exporter un fichier de configuration de quota


Vous pouvez exporter les paramètres des quotas sous la forme d’un fichier de
configuration, qui peut ensuite être importé pour être réutilisé dans un autre cluster
Isilon. Vous pouvez également conserver les configurations de quota exportées en
dehors du cluster. Cette tâche s’exécute uniquement à partir de l’interface de ligne de
commande de OneFS.
Vous pouvez envoyer le rapport XML dans un fichier ou dans un répertoire. Le fichier
peut ensuite être importé dans un autre cluster.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. À l’invite de commandes, exécutez la commande suivante :

isi_classic quota list --export

Le fichier de configuration de quota s’affiche au format XML brut.

Importer un fichier de configuration de quota


Vous pouvez importer des paramètres de quota sous la forme d'un fichier de
configuration exporté depuis un autre cluster Isilon. Cette tâche s’exécute uniquement
à partir de l’interface de ligne de commande de OneFS.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Accédez à l’emplacement du fichier de configuration de quota exporté.
3. À l’invite de commandes, exécutez la commande suivante, où <filename> est le
nom d’un fichier de configuration exporté :

isi_classic quota import --from-file=<filename>

Le système analyse le fichier de configuration, puis importe les paramètres de


quota à partir de celui-ci. Les paramètres de quota que vous avez configurés
avant d’importer le fichier de configuration de quota sont conservés et les
paramètres de quota importés sont immédiatement pris en compte.

448 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

Gestion des notifications de quota


Les notifications de quota peuvent être activées, désactivées, modifiées et
supprimées.
Par défaut, une notification de quota globale est déjà configurée et appliquée à tous
les quotas. Vous pouvez continuer à utiliser les paramètres de notification de quota
globale, modifier ces paramètres ou désactiver ou définir une notification
personnalisée pour un quota.
Les quotas de mise en œuvre prennent en charge quatre types de notification et de
rappel :
l Seuil dépassé
l Rappel de sur-quota
l Délai de grâce expiré
l Accès en écriture refusé
Si un service d’annuaire est utilisé pour authentifier les utilisateurs, vous pouvez
configurer des mappages de notification qui gèrent la façon dont les adresses e-mail
sont résolues lorsque le cluster envoie une notification de quota. Si nécessaire, vous
pouvez remapper le domaine qui est utilisé pour les notifications par e-mail des quotas,
ainsi que les domaines Active Directory et/ou les domaines UNIX locaux.

Configurer les paramètres de notification de quota par défaut


Vous pouvez configurer des paramètres globaux de notification de quota par défaut
qui s’appliquent à tous les quotas d’un type spécifique de seuil.
Les paramètres de notification personnalisés que vous configurez pour un quota sont
prioritaires sur les paramètres globaux de notification par défaut.
Procédure
1. Cliquez sur File System > SmartQuotas > Settings.
2. Dans la zone Scheduled Reporting, vous pouvez configurer les options de
reporting suivantes :
l Dans le champ Archive Directory, saisissez ou recherchez le répertoire dans
lequel vous souhaitez archiver les rapports de quotas planifiés.
l Dans le champ Number of Scheduled Reports Retained, saisissez le
nombre de rapports que vous souhaitez archiver.
l Sélectionnez les options de planification de reporting voulues, puis cliquez
sur Select.
l Sélectionnez Scheduled pour activer le reporting planifié ou Manual pour le
désactiver.
3. Dans la zone Manual Reporting, vous pouvez configurer les options de
reporting suivantes :
l Dans le champ Archive Directory, saisissez ou recherchez le répertoire dans
lequel vous souhaitez archiver les rapports de quotas générés manuellement.
l Dans le champ Number of Live Reports Retained, saisissez le nombre de
rapports que vous souhaitez archiver.

Gestion des notifications de quota 449


SmartQuotas

4. Dans la zone Email Mapping, définissez la ou les règles de mappage que vous
souhaitez utiliser. Pour ajouter une règle de mappage d’e-mail, cliquez sur Add a
Mapping Rule, puis spécifiez les paramètres de la règle.
5. Dans la zone Notification Rules, définissez les règles de notification par défaut
pour chaque type de règles.
a. Cliquez sur Add a Notification Rule.
La boîte de dialogue Create a Notification Rule s’affiche.
b. Dans la liste Rule type, sélectionnez le type de règles à utiliser.
c. Dans la zone Rule Settings, sélectionnez l’option de notification à utiliser.
6. Cliquez sur Create Rule.
7. Cliquez sur Save Changes.

À effectuer
Avant d’utiliser des données de quota à des fins d’analyse ou autres, vérifiez
qu’aucune tâche QuotaScan n’est en cours en sélectionnant Cluster Management >
Job Operations > Job Summary.

Configurer des règles de notification de quota personnalisées


Vous pouvez configurer des règles de notification de quota personnalisées qui
s’appliquent uniquement à un quota spécifique.
Avant de commencer
La configuration d’une règle de notification personnalisée nécessite qu’un quota de
mise en œuvre existe déjà ou soit en cours de création. Pour configurer des
notifications pour un quota de mise en œuvre existant, suivez la procédure de
modification des quotas, puis suivez ces étapes de définition des règles de notification
du quota.
Les règles de notification personnalisées d’un quota spécifique doivent être
configurées pour ce quota. Si aucune règle de notification n’est configurée pour un
quota, la configuration de la notification d’événements par défaut est utilisée. Pour
plus d’informations sur la configuration des règles de notification par défaut, reportez-
vous à la section Créer une règle de notification d’événements.
Procédure
1. Dans la boîte de dialogue Edit Quota Details, sélectionnez Create custom
notification rules.
2. Pour ajouter une règle de notification, cliquez sur Create a notification rule,
puis sélectionnez les valeurs que vous souhaitez utiliser pour la notification.
3. Lorsque vous avez fini de configurer les paramètres de cette notification,
cliquez sur Create Rule.
4. Cliquez sur Save Changes.
À effectuer
Avant d’utiliser des données de quota à des fins d’analyse ou autres, vérifiez
qu’aucune tâche QuotaScan n’est en cours en sélectionnant Cluster Management >
Job Operations > Job Summary.

450 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

Mapper une règle de notification par e-mail pour un quota


Les règles de mappage des notifications par e-mail contrôlent la façon dont les
adresses e-mail sont résolues lorsque le cluster envoie une notification de quota.
Si nécessaire, vous pouvez remapper le domaine utilisé pour les notifications par e-
mail de SmartQuotas. Vous pouvez également remapper les domaines Windows Active
Directory, les domaines UNIX locaux ou les domaines NIS.

Remarque

Pour effectuer cette tâche, vous devez être connecté à l’interface d’administration
Web.

Procédure
1. Cliquez sur File System > SmartQuotas > Settings.
2. (Facultatif) Dans la zone Email Mapping, cliquez sur Add a Mapping Rule.
3. Dans la liste Type, sélectionnez le type de fournisseurs d’authentification pour
cette règle de notification. La valeur par défaut est Local. Pour connaître les
fournisseurs d’authentification disponibles sur le cluster, accédez à Access >
Authentication Providers.
4. Dans la liste Current domain, sélectionnez le domaine que vous souhaitez
utiliser pour la règle de mappage. Si la liste est vide, accédez à Cluster
Management > Network Configuration, puis spécifiez les domaines à utiliser
pour le mappage.
5. Dans le champ Map to domain, saisissez le nom du domaine vers lequel vous
souhaitez mapper les notifications par e-mail. Il peut s’agir du nom de domaine
sélectionné dans la liste Current domain. Pour spécifier plusieurs domaines,
séparez leurs noms par une virgule.
6. Cliquez sur Create Rule.

Messages de notification de quota par e-mail


Si les notifications par e-mail relatives au dépassement des quotas sont activées, vous
pouvez personnaliser les modèles Isilon de notification par e-mail ou créer vos propres
modèles.
Trois modèles de notification par e-mail sont fournis avec OneFS. Les modèles sont
situés dans le répertoire /etc/ifs et décrits dans le tableau suivant :

Modèle Description
quota_email_template.txt Notification indiquant que le quota de disques
a été dépassé.

quota_email_grace_template.txt Notification indiquant que le quota de disques


a été dépassé (inclut également un paramètre
permettant de définir un délai de grâce en
jours).

quota_email_test_template.txt Message test que vous pouvez utiliser pour


vérifier si un utilisateur reçoit bien les
notifications par e-mail.

Si les modèles par défaut ne répondent pas à vos besoins, vous pouvez configurer vos
propres modèles de notification par e-mail à l’aide d’une combinaison de texte et de

Mapper une règle de notification par e-mail pour un quota 451


SmartQuotas

variables SmartQuotas. Vous pouvez choisir de créer vos propres modèles ou de


modifier ceux qui existent déjà. Dans les deux cas, assurez-vous que la première ligne
du fichier de modèle est une ligne Subject:. Par exemple :

Subject: Disk quota exceeded

Si vous souhaitez inclure des informations sur l’expéditeur du message, ajoutez une
ligne From: immédiatement en dessous de la ligne d’objet. Si vous utilisez une adresse
e-mail, ajoutez le nom de domaine complet de l’adresse. Par exemple :

From: administrator@abcd.com

Cet exemple de fichier quota_email_template.txt contient une ligne From. Par


ailleurs, le texte par défaut « Contact your system administrator for details » au bas
du modèle est remplacé par le nom de l’administrateur :

Subject: Disk quota exceeded


From: administrator@abcd.com

The <ISI_QUOTA_TYPE> disk quota on directory <ISI_QUOTA_PATH>


owned by <ISI_QUOTA_OWNER> on <ISI_QUOTA_NODE> was exceeded.

The quota limit is <ISI_QUOTA_THRESHOLD>, and <ISI_QUOTA_USAGE>


is currently in use. You may be able to free some disk space by
deleting unnecessary files. If your quota includes snapshot usage,
your administrator may be able to free some disk space by deleting
one or more snapshots. Contact Jane Anderson (janderson@abcd.com)
for details.

Ce texte est un exemple de notification envoyée par e-mail à l’utilisateur (notez que
les variables SmartQuotas sont résolues) :

Subject: Disk quota exceeded


From: administrator@abcd.com

The advisory disk quota on directory /ifs/data/sales_tools/collateral


owned by jsmith on production-Boris was exceeded.

The quota limit is 10 GB, and 11 GB is in use. You may be able


to free some disk space by deleting unnecessary files. If your
quota includes snapshot usage, your administrator may be able
to free some disk space by deleting one or more snapshots.
Contact Jane Anderson (janderson@abcd.com) for details.

Descriptions des variables du modèle personnalisé de notification par e-mail


Un modèle d’e-mail contient du texte et, éventuellement, des variables qui
représentent des valeurs. Vous pouvez utiliser toutes les variables SmartQuotas dans
vos modèles.

Variable Description Exemple


ISI_QUOTA_PATH Chemin du domaine de quota /ifs/data

ISI_QUOTA_THRESHOLD Valeur seuil 20 Go

ISI_QUOTA_USAGE Espace disque en cours 10,5 Go


d’utilisation

ISI_QUOTA_OWNER Nom du propriétaire du jdurand


domaine de quota

ISI_QUOTA_TYPE Type de seuil Consultatif

452 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

Variable Description Exemple


ISI_QUOTA_GRACE Délai de grâce en nombre de 5 jours
jours

ISI_QUOTA_EXPIRATION Date d’expiration du délai de Fri May 22 14:23:19 PST 2015


grâce

ISI_QUOTA_NODE Nom d’hôte du nœud sur someHost-prod-wf-1


lequel s’est produit
l’événement de quota

Personnaliser les modèles de notification de quota par e-mail


Vous pouvez personnaliser les modèles Isilon de notification par e-mail. La
personnalisation des modèles s’effectue uniquement à partir de l’interface de ligne de
commande OneFS.
Cette procédure suppose que vous utilisiez les modèles Isilon situés dans le
répertoire /etc/ifs.

Remarque

Il est recommandé de ne pas modifier directement les modèles, mais de les copier dans
un autre répertoire, puis de les modifier et de les déployer.

Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Copiez l’un des modèles par défaut dans un répertoire dans lequel vous pouvez
modifier le fichier et y accéder ultérieurement via l’interface d’administration
Web OneFS. Par exemple :

cp /etc/ifs/quota_email_template.txt /ifs/data/quotanotifiers/
quota_email_template_copy.txt

3. Ouvrez le fichier de modèle dans un éditeur de texte. Par exemple :

edit /ifs/data/quotanotifiers/quota_email_template_copy.txt

Le modèle s’affiche dans l’éditeur.


4. Modifiez le modèle. Si vous utilisez ou créez un modèle personnalisé, assurez-
vous qu’il possède une ligne Subject:.
5. Enregistrez les modifications. Les modèles doivent être enregistrés sous forme
de fichier .txt.
6. Dans l’interface d’administration Web, accédez à File System > SmartQuotas >
Settings.

7. Dans la zone Notification Rules, cliquez sur Add a Notification Rule.


La boîte de dialogue Create a Notification Rule s’affiche.
8. Dans la liste Rule type, sélectionnez le type de règles de notification que vous
souhaitez utiliser avec le modèle.

Personnaliser les modèles de notification de quota par e-mail 453


SmartQuotas

9. Dans la zone Rule Settings, sélectionnez une option de notification.


10. Selon le type de règles sélectionné, un formulaire de planification peut
s’afficher. Sélectionnez les options de planification de votre choix.
11. Dans le champ Message template, saisissez le chemin du modèle de message
ou cliquez sur Browse pour rechercher le modèle.
12. (Facultatif) Cliquez sur Create Rule.

Gestion des rapports sur les quotas


Vous pouvez configurer et planifier des rapports pour surveiller et analyser l’utilisation
du stockage sur un cluster Isilon.
Vous pouvez afficher et planifier des rapports, et personnaliser leurs paramètres pour
surveiller et analyser l’utilisation du stockage sur disque. Les rapports sur les quotas
sont gérés en configurant les paramètres qui contrôlent le moment où ils sont
planifiés, la façon dont ils sont générés, le nombre de rapports stockés et leur
emplacement, ainsi que le mode d’affichage associé. Le nombre maximal de rapports
planifiés disponibles pour affichage dans l’interface d’administration Web peut être
configuré pour chaque type de rapport. Lorsque le nombre maximal de rapports
stockés est atteint, le système supprime les anciens rapports afin de libérer de
l’espace pour les nouveaux à mesure qu’ils sont générés.

Créer un planning de rapport sur les quotas


Vous pouvez configurer les paramètres du rapport sur les quotas de manière à générer
le rapport suivant un planning précis.
Ces paramètres déterminent si et quand les rapports planifiés sont générés, et où et
comment ils sont stockés. Si vous désactivez un rapport planifié, vous pouvez
continuer d’exécuter les rapports non planifiés à tout moment.
Procédure
1. Cliquez sur File System > SmartQuotas > Settings.
2. (Facultatif) À la page Quota Settings, dans la zone Scheduled Reporting,
sélectionnez Scheduled.
Le panneau de planification s’affiche.
3. Dans le panneau de planification, sélectionnez la fréquence de rapport et les
options de planification que vous souhaitez définir.
4. Cliquez sur Save Changes.
Résultats
Les rapports sont générés en fonction des critères de planification et vous pouvez les
afficher en cliquant sur File System > SmartQuotas > Generated Reports Archive.

Générer un rapport de quota


En plus des rapports de quota planifiés, vous pouvez générer un rapport pour capturer
les statistiques d’utilisation à un point dans le temps.
Avant de commencer
Afin de pouvoir générer un rapport de quota, des quotas doivent exister et aucune
tâche QuotaScan ne doit être en cours.

454 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

Procédure
1. Cliquez sur File System > SmartQuotas > Generated Reports Archive.
2. Cliquez sur Create a Manual Report.
Résultats
Le nouveau rapport apparaît dans la liste Quota Reports.

Localiser un rapport de quota


Vous pouvez localiser les rapports de quota, qui sont stockés sous forme de
fichiers XML, et utiliser vos propres outils pour les afficher. Cette tâche s’exécute
uniquement à partir de l’interface de ligne de commande de OneFS.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Accédez au répertoire dans lequel les rapports de quota sont stockés. Le
chemin d’accès suivant correspond à l’emplacement par défaut des rapports de
quota :
/ifs/.isilon/smartquotas/reports

Remarque

Si les rapports de quota ne sont pas dans le répertoire par défaut, vous pouvez
exécuter la commande isi quota settings pour rechercher le répertoire
dans lequel ils sont stockés.

3. À partir de l’invite de commande, exécutez la commande ls.


l Pour afficher la liste de tous les rapports sur les quotas dans le répertoire,
exécutez la commande suivante :

ls -a *.xml

l Pour afficher un rapport sur les quotas spécifique dans le répertoire,


exécutez la commande suivante :

ls <filename>.xml

Paramètres de base des quotas


Lorsque vous créez un quota de stockage, vous devez, au minimum, définir les
attributs suivants. Lorsque vous spécifiez des limites d’utilisation, des options
supplémentaires sont disponibles pour définir le quota.

Option Description

Chemin Répertoire auquel est appliqué le quota.

Directory Quota Permet de définir des limites de stockage


pour un répertoire.

Localiser un rapport de quota 455


SmartQuotas

Option Description

User Quota Permet de créer un quota pour chaque


utilisateur actuel ou futur qui stocke des
données dans le répertoire spécifié.

Group Quota Permet de créer un quota pour chaque


groupe actuel ou futur qui stocke des
données dans le répertoire spécifié.

Include snapshots in the storage quota Permet de comptabiliser toutes les données
de snapshot dans les limites d’utilisation.
Cette option ne peut pas être modifiée une
fois que le quota a été créé.

Include data-protection overhead in the storage Permet de comptabiliser l’espace dédié à la


quota protection dans les limites d’utilisation.

Track storage without specifying a storage limit Permet de comptabiliser uniquement


l’utilisation.

Spécifier des limites de stockage Permet de définir et de mettre en œuvre des


limites consultatives, souples ou absolues.

Paramètres des règles de notification de quota consultatif


Vous pouvez configurer des règles de notification personnalisées pour les quotas
dotés de limites consultatives. Ces paramètres sont disponibles lorsque vous
sélectionnez l’option permettant d’utiliser des règles de notification personnalisées.

Option Description Dépassé Reste dépassé


Notify owner Pour envoyer une notification Oui Oui
par e-mail au propriétaire de
l’entité, sélectionnez cette
option.

Notify another contact Pour envoyer une notification Oui Oui


par e-mail à un autre
destinataire et pour saisir son
adresse e-mail, sélectionnez
cette option.

Remarque

Vous ne pouvez ajouter


qu’une seule adresse e-mail.
Si vous souhaitez avertir
plusieurs personnes, créez
une liste de diffusion que vous
utiliserez comme adresse e-
mail.

Message template Saisissez le chemin du modèle Oui Oui


personnalisé ou cliquez sur
Browse pour le rechercher.

456 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

Option Description Dépassé Reste dépassé


Laissez le champ vide pour
utiliser le modèle par défaut.

Create cluster event Pour générer une notification Oui Oui


d’événements lorsque le
quota est dépassé,
sélectionnez cette option.

Notification delay Spécifiez le délai (en heures, Oui Non


jours ou semaines) devant
s’écouler avant qu’une
notification soit générée.

Planning Spécifiez la fréquence de Non Oui


notification et d’alerte :
quotidienne, hebdomadaire,
mensuelle ou annuelle. Selon
votre sélection, spécifiez des
intervalles, le jour d’envoi,
l’heure du jour et plusieurs
messages d’e-mail par règle.

Paramètres des règles de notification de quota souple


Vous pouvez configurer des règles de notification personnalisées pour les quotas
dotés de limites souples. Ces paramètres sont disponibles lorsque vous sélectionnez
l’option permettant d’utiliser des règles de notification personnalisées.

Option Description Dépassé Reste dépassé Délai de grâce Accès en


expiré écriture refusé
Notify owner Pour envoyer une Oui Oui Oui Oui
notification par e-
mail au propriétaire
de l’entité,
sélectionnez cette
option.

Notify another Pour envoyer une Oui Oui Oui Oui


contact notification par e-
mail à un autre
destinataire et pour
saisir son adresse
e-mail,
sélectionnez cette
option.

Paramètres des règles de notification de quota souple 457


SmartQuotas

Option Description Dépassé Reste dépassé Délai de grâce Accès en


expiré écriture refusé

Remarque

Vous ne pouvez
ajouter qu’une
seule adresse e-
mail. Si vous
souhaitez avertir
plusieurs
personnes, créez
une liste de
diffusion que vous
utiliserez comme
adresse e-mail.

Message template Saisissez le chemin Oui Oui Oui Oui


du modèle
personnalisé ou
cliquez sur
Browse pour le
rechercher.
Laissez le champ
vide pour utiliser le
modèle par défaut.

Create cluster Pour générer une Oui Oui Oui Oui


event notification
d’événements pour
le quota,
sélectionnez cette
option.

Notification delay Spécifiez le délai Oui Non Non Oui


(en heures, jours
ou semaines)
devant s’écouler
avant qu’une
notification soit
générée.

Planning Spécifiez la Non Oui Oui Non


fréquence de
notification et
d’alerte :
quotidienne,
hebdomadaire,
mensuelle ou
annuelle. Selon
votre sélection,
spécifiez des
intervalles, le jour
d’envoi, l’heure du
jour et plusieurs

458 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

Option Description Dépassé Reste dépassé Délai de grâce Accès en


expiré écriture refusé
messages d’e-mail
par règle.

Paramètres des règles de notification de quota strict


Vous pouvez configurer des règles de notification personnalisées pour les quotas
dotés de limites strictes. Ces paramètres sont disponibles lorsque vous sélectionnez
l’option permettant d’utiliser des règles de notification personnalisées.

Option Description : Accès en écriture refusé Dépassé


Notify owner Pour envoyer une notification Oui Oui
par e-mail au propriétaire de
l’entité, sélectionnez cette
option.

Notify another contact Pour envoyer une notification Oui Oui


par e-mail à un autre
destinataire et pour saisir son
adresse e-mail, sélectionnez
cette option.

Remarque

Vous ne pouvez ajouter


qu’une seule adresse e-mail.
Si vous souhaitez avertir
plusieurs personnes, créez
une liste de diffusion que vous
utiliserez comme adresse e-
mail.

Message template Saisissez le chemin du modèle Oui Oui


personnalisé ou cliquez sur
Browse pour le rechercher.
Laissez le champ vide pour
utiliser le modèle par défaut.

Create cluster event Pour générer une notification Oui Oui


d’événements pour le quota,
sélectionnez cette option.

Notification delay Spécifiez le délai (en heures, Oui Non


jours ou semaines) devant
s’écouler avant qu’une
notification soit générée.

Planning Spécifiez la fréquence de Non Oui


notification et d’alerte :
quotidienne, hebdomadaire,
mensuelle ou annuelle. Selon
votre sélection, spécifiez des
intervalles, le jour d’envoi,

Paramètres des règles de notification de quota strict 459


SmartQuotas

Option Description : Accès en écriture refusé Dépassé


l’heure du jour et plusieurs
messages d’e-mail par règle.

Paramètres de notification de limite


Les quotas de mise en œuvre prennent en charge les paramètres de notification
suivants pour chaque type de seuil. Un quota ne peut utiliser que l’un de ces
paramètres.

Paramètre de notification Description


Disable quota notifications Désactive toutes les notifications pour le
quota.

Use the system settings for quota Utilise les règles de notification par défaut que
notifications vous avez configurées pour le type de seuils
spécifié.

Create custom notification rules Fournit des paramètres permettant de créer


des notifications personnalisées de base qui
s’appliquent uniquement à ce quota.

Paramètres des rapports de quota


Vous pouvez configurer les paramètres des rapports de quota qui analysent l’utilisation
du disque. Ces paramètres déterminent si et quand des rapports planifiés sont
générés, et où et comment ils sont stockés. Lorsque le nombre maximal de rapports
stockés est atteint, le système supprime les anciens rapports afin de libérer de
l’espace pour les nouveaux à mesure qu’ils sont générés.

Paramètre Description

Scheduled reporting Active ou désactive la fonction de reporting planifié.


l Off. Il est possible de générer des rapports à la demande
à tout moment.
l On. Les rapports s’exécutent automatiquement en
fonction du planning que vous spécifiez.

Report frequency Indique la fréquence d’exécution des rapports : quotidienne,


hebdomadaire, mensuelle ou annuelle. Vous pouvez utiliser les
options suivantes pour affiner le planning des rapports.
Generate report every. Spécifiez la valeur numérique
correspondant à la fréquence sélectionnée pour le rapport ;
par exemple tous les 2 mois.
Generate reports on. Sélectionnez le ou les jours où les
rapports doivent être générés.
Select report day by. Spécifiez la date ou le jour de la
semaine où le rapport doit être généré.

460 OneFS 8.0.1 Guide d’administration Web


SmartQuotas

Paramètre Description

Generate one report per specified by. Définissez l’heure


à laquelle le rapport doit être généré.
Generate multiple reports per specified day. Indiquez
à quels intervalles et à quelles heures le rapport doit être
généré le jour en question.

Scheduled report archiving Détermine le nombre maximal de rapports planifiés pouvant


être consultés à la page Reports de SmartQuotas.

Limit archive size. Limite la taille d’archive des rapports


planifiés à un nombre spécifié de rapports. Pour spécifier le
nombre maximal de rapports à conserver, saisissez un nombre
entier.
Archive Directory. Accédez au répertoire dans lequel vous
souhaitez stocker les rapports de quota à des fins d’archivage.

Manual report archiving Détermine le nombre maximal de rapports générés


manuellement (à la demande) pouvant être consultés à la
page Reports de SmartQuotas.

Limit archive size. Limite la taille d’archive des rapports


dynamiques à un nombre spécifié de rapports. Pour spécifier
le nombre maximal de rapports à conserver, saisissez un
nombre entier.
Archive Directory. Accédez au répertoire dans lequel vous
souhaitez stocker les rapports de quota à des fins d’archivage.

Paramètres des rapports de quota 461


SmartQuotas

462 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 22
Pools de stockage

Cette rubrique contient les rubriques suivantes :

l Présentation des pools de stockage................................................................. 464


l Fonctions d’un pool de stockage...................................................................... 464
l Provisionnement automatique.......................................................................... 467
l Pools de nœuds................................................................................................467
l Disque de secours virtuel..................................................................................470
l Débordement.................................................................................................... 471
l Protection recommandée..................................................................................471
l Politiques de protection................................................................................... 472
l Stratégies SSD.................................................................................................472
l Accélération de l’espace de nommage global....................................................473
l Présentation du cache N3................................................................................ 474
l Niveaux............................................................................................................ 476
l Règles de pool de fichiers................................................................................. 477
l Gestion des pools de nœuds dans l’interface d’administration Web..................478
l Gestion du cache N3 à partir de l’interface d’administration Web.................... 483
l Gestion des niveaux......................................................................................... 485
l Création de règles de pool de fichiers.............................................................. 486
l Gestion des règles de pool de fichiers.............................................................. 494
l Surveillance des pools de stockage.................................................................. 499

Pools de stockage 463


Pools de stockage

Présentation des pools de stockage


OneFS organise différents types de nœuds en pools de nœuds distincts. En outre,
vous pouvez organiser ces pools de nœuds en niveaux logiques de stockage. Lors de
l’activation d’une licence SmartPools, vous pouvez créer des règles de pools de
fichiers permettant de stocker automatiquement les fichiers à ces niveaux, en fonction
des critères de correspondance de fichier que vous spécifiez.
Sans licence SmartPools active, OneFS gère tous les pools de nœuds sous la forme
d’un seul pool de stockage. Les données de fichier et les métadonnées sont réparties
sur l’ensemble du cluster afin d’être protégées, sécurisées et rapidement accessibles.
Tous les fichiers appartiennent au pool de fichiers par défaut et sont régis par la règle
de pool de fichiers par défaut. Dans ce mode, OneFS offre plusieurs fonctions comme
le provisionnement automatisé, les compatibilités, les disques de secours virtuels
(VHS), les stratégies de disque SSD, l’accélération de l’espace de nommage global
(GNA), le cache N3 et les niveaux de stockage.
Lorsque vous activez une licence SmartPools, vous accédez à d’autres fonctions,
telles que les règles de pool de fichiers personnalisées et la gestion du débordement.
Une licence SmartPools vous permet de gérer de manière plus granulaire votre
Dataset afin d’optimiser les performances de votre cluster.
Le tableau suivant synthétise les fonctions de pool de stockage selon qu’une licence
SmartPools est active ou non.

Fonction Licence SmartPools Licence SmartPools


inactive active
Provisionnement automatique Oui Oui
du pool de stockage

Compatibilité de classe de Oui Oui


nœuds (équivalence de
nœud)

Compatibilités de capacité de Oui Oui


disque SSD

Compatibilités de nombre de Oui Oui


disques SSD

Disque de secours virtuel Oui Oui

Stratégies SSD Oui Oui

Cache N3 Oui Oui

Niveaux Oui Oui

GNA Oui Oui

Règles de pools de fichiers Non Oui

Gestion des débordements Non Oui

Fonctions d’un pool de stockage


Lorsqu’un cluster est installé, et chaque fois que des nœuds sont ajoutés à ce cluster,
OneFS regroupe automatiquement les nœuds dans des pools de nœuds. Le

464 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

provisionnement automatique des nœuds dans des pools de nœuds permet à OneFS
d’optimiser les performances, la fiabilité et la protection des données sur le cluster.
Sans licence SmartPools active, OneFS applique une règle de pools de fichiers par
défaut pour organiser toutes les données dans un seul pool de fichiers. Cette règle
permet à OneFS de répartir les données sur l’ensemble du cluster pour qu’elles soient
protégées et facilement accessibles. Lorsque vous activez une licence SmartPools,
des fonctions supplémentaires deviennent disponibles.
OneFS fournit les fonctions suivantes, avec ou sans licence SmartPools active :
Provisionnement automatique des pools de nœuds
Regroupe automatiquement les nœuds de classe équivalente dans des pools de
nœuds pour une efficacité et une protection optimales du stockage. Pour que le
provisionnement automatique fonctionne, il faut au minimum trois nœuds de
classe équivalente.

Compatibilité de classe de nœuds (équivalence de nœud)


Autorise certains nœuds qui ne sont pas de classe équivalente à rejoindre des
pools de nœuds existants. OneFS prend en charge les compatibilités de classes
entre les nœuds Isilon S200 et S210, X200 et X210, X400 et X410, NL400 et
NL410. Le cache N3 doit être activé sur les pools de nœuds pour que les
compatibilités de classe de nœuds fonctionnent.
Compatibilités de capacité de disque SSD
Permet aux nœuds ayant des capacités SSD différentes d’être provisionnés dans
un pool de nœuds compatible. À défaut, les nœuds compatibles ayant des
capacités SSD différentes ne peuvent pas rejoindre le même pool de nœuds. Si
vous avez moins de trois nœuds qui possèdent une capacité SSD différente, ils ne
sont pas provisionnés et ne sont donc pas fonctionnels. Le cache N3 doit être
activé sur les pools de nœuds pour que les compatibilités de capacité de
disque SSD fonctionnent.

Compatibilités de nombre de disques SSD


Permet aux nœuds ayant des nombres de disques SSD différents d’être
provisionnés dans le même pool de nœuds. À défaut, les nœuds compatibles ayant
des nombres de disques SSD différents ne peuvent pas rejoindre le même pool de
nœuds. Si vous avez moins de trois nœuds qui possèdent un nombre de disques
SSD donné, ces nœuds ne sont pas provisionnés et ne fonctionnent donc pas tant
que vous n’avez pas créé une compatibilité de nombre de disques SSD. Le
cache N3 doit être activé sur les pools de nœuds pour que les compatibilités de
nombre de disques SSD fonctionnent.

Niveaux
Regroupe les pools de nœuds dans des niveaux de stockage logiques. Si vous
activez une licence SmartPools pour cette fonction, vous pouvez créer des règles
de pools de fichiers personnalisées et affecter les différents pools de fichiers aux
niveaux de stockage appropriés.

Règle de pools de fichiers par défaut


Régit tous les types de fichiers et permet de stocker des fichiers n’importe où sur
le cluster. Les règles de pools de fichiers personnalisées, qui nécessitent une
licence SmartPools active, ont priorité sur la règle de pools de fichiers par défaut.

Requested protection
Spécifie un paramètre de protection demandé pour le pool de fichiers par défaut,
par pool de nœuds ou bien sur des fichiers individuels. Vous pouvez conserver la

Fonctions d’un pool de stockage 465


Pools de stockage

valeur par défaut ou sélectionner la protection suggérée calculée par OneFS pour
une protection optimale des données.

Disque de secours virtuel


Réserve une partie de l’espace de stockage disponible pour la réparation des
données en cas de panne de disque.

Stratégies SSD
Définit le type de données stockées sur des disques SSD dans le cluster. Par
exemple, stockage de métadonnées pour l’accélération des opérations de lecture/
écriture.

Cache N3
Spécifie que les disques SSD des nœuds sont utilisés pour augmenter la mémoire
cache et accélérer les performances du système de fichiers sur l’ensemble des
jeux de fichiers de travail volumineux.

Accélération de l’espace de nommage global


Active l’accélération de l’espace de nommage global (GNA), qui permet aux
données stockées sur les pools de nœuds sans disques SSD d’accéder aux disques
SSD ailleurs dans le cluster, pour stocker des miroirs de métadonnées
supplémentaires. Ces miroirs accélèrent les opérations de lecture de
métadonnées.

Lorsque vous activez une licence SmartPools, OneFS fournit les fonctions
supplémentaires suivantes :
Règles de pools de fichiers personnalisées
Crée des règles de pools de fichiers personnalisées pour identifier différentes
classes de fichiers et stocke ces pools de fichiers dans des niveaux de stockage
logique. Vous pouvez, par exemple, définir un niveau de stockage hautes
performances pour les pools de nœuds de la gamme S d’Isilon et un niveau
d’archivage pour les pools de nœuds Isilon NL400 et HD400 haute capacité. Puis,
grâce à des règles de pools de fichiers personnalisées, vous pouvez identifier les
pools de fichiers à partir des critères de correspondance et définir les actions à
exécuter sur ces pools. Par exemple, une règle de pools de fichiers peut identifier
tous les fichiers JPEG de plus d'un an et les stocker dans un niveau d’archivage.
Une autre règle peut déplacer tous les fichiers qui ont été créés ou modifiés au
cours des trois derniers mois dans un niveau de performances.

Débordement de pool de stockage


Active la gestion automatisée du dépassement de capacité pour les pools de
stockage. Le débordement définit la gestion des opérations d’écriture lorsqu’un
pool de stockage n’est pas accessible en écriture. Si le débordement est activé,
les données sont redirigées vers un pool de stockage donné. Si le débordement
est désactivé, les nouvelles écritures de données échouent et un message
d’erreur est envoyé au client qui tente d’effectuer l’opération d’écriture.

Fonctions de pool de stockage prises en charge par IsilonSD Edge


IsilonSD Edge prend uniquement en charge les fonctions de pool de stockage
suivantes : règle de pool de fichiers par défaut, protection demandée et disques de
secours virtuels.
Notez les remarques suivantes avant d’utiliser des pools de stockage avec IsilonSD
Edge :

466 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

l Les disques des nœuds IsilonSD sont toujours reconnus par IsilonSD Edge en tant
que disques durs, quel que soit le pool de stockage dans lequel ils sont hébergés.
l Vous ne pouvez pas créer de nœuds hétérogènes au sein du même cluster
IsilonSD.

Provisionnement automatique
Lorsque vous ajoutez un nœud à un cluster Isilon, OneFS tente de l’affecter à un pool
de nœuds. Ce processus, appelé provisionnement automatique, permet à OneFS de
faire en sorte que les performances, l’équilibrage de charge et l’intégrité du système
de fichiers soient optimaux dans l’ensemble d’un cluster.
Un nœud n’est provisionné automatiquement dans un pool et inscriptible que lorsque
trois nœuds de classe équivalente au minimum sont ajoutés au cluster. Si vous
n’ajoutez au cluster que deux nœuds de classe équivalente, aucune information n’est
stockée sur ces nœuds jusqu’à ce que vous ajoutiez un troisième nœud de même
classe.
De même, si un nœud est mis hors service ou supprimé du cluster de sorte que le pool
contient moins de trois nœuds de classe équivalente, le pool de nœuds devient alors
sous-provisionné. Dans ce cas, les deux nœuds restants demeurent accessibles en
écriture. Toutefois, s’il ne reste qu’un seul nœud de cette classe, il n’est pas accessible
en écriture, mais demeure lisible.
Au fil du temps, lorsque vous ajoutez des nœuds Isilon à votre cluster, ceux-ci risquent
d’une certaine manière d’être différents des anciens nœuds. Par exemple, ils peuvent
être d’une génération différente ou présenter des configurations de disque
différentes. À moins que vous n’ajoutiez trois nouveaux nœuds de la même classe
d’équivalence à chaque fois que vous mettez à niveau votre cluster, les nouveaux
nœuds ne sont pas provisionnés automatiquement.
Pour contourner ces restrictions, OneFS vous permet de créer trois types de
compatibilités : classe de nœud, capacité de disque SSD et nombre de disques SSD.
En mettant en place les compatibilités appropriées, vous pouvez provisionner les
nouveaux types de nœuds dans des pools de nœuds existants. Vous pouvez ajouter
des nœuds un par un à votre cluster. Ceux-ci deviennent alors des homologues
entièrement opérationnels dans les pools de nœuds existants.
Par exemple, supposons qu’un cluster comporte un pool de nœuds composé de
trois nœuds S200 et que vous achetiez un nœud S210. Au-delà du fait qu’il appartient
à une autre génération, le nœud S210 peut avoir un nombre et une capacité de disques
SSD différents. Avec les compatibilités appropriées, le nouveau nœud S210 peut être
provisionné dans le pool de nœuds S200.

Pools de nœuds
Un pool de nœuds est un groupe d’au moins trois nœuds Isilon qui constitue un pool de
stockage unique. À mesure que vous ajoutez des nœuds à votre cluster Isilon, OneFS
tente de les provisionner automatiquement dans des pools de nœuds.
OneFS peut provisionner automatiquement un nœud à condition qu’il soit d’une classe
équivalente à celle des autres nœuds du pool. OneFS utilise les critères suivants pour
déterminer si le nouveau nœud est de classe équivalente :
l Code de famille
l Code de châssis
l Code de génération

Provisionnement automatique 467


Pools de stockage

l Configuration de disques
l Capacité de RAM
Si le nouveau nœud répond à tous les critères, OneFS l’ajoute au pool de nœuds. Tous
les nœuds d’un pool de nœuds sont des homologues et les données sont réparties
entre les nœuds du pool. Chaque nœud provisionné augmente la capacité globale
réseau, de disque, de cache et de CPU du cluster.
Nous vous recommandons fortement de laisser OneFS gérer le provisionnement des
nœuds. Toutefois, en cas d’exigence ou d’utilisation particulière, vous pouvez déplacer
des nœuds depuis un pool de nœuds provisionné automatiquement vers un pool que
vous définissez manuellement. La fonction de création de pools de nœuds définis
manuellement est disponible uniquement via l’interface de ligne de commande de
OneFS. Il n’est conseillé de la déployer qu’après consultation du Support Clients
d’EMC Isilon.
Si vous tentez de supprimer un nœud d’un pool afin de l’ajouter à un pool de nœuds
manuel de sorte qu’il resterait moins de trois nœuds dans le pool d’origine, l’opération
échoue. Lorsque vous supprimez un nœud d’un pool de nœuds défini manuellement,
OneFS tente de reprovisionner automatiquement le nœud dans un pool de nœuds de
classe équivalente.
Si vous ajoutez moins de trois nœuds de classe équivalente à votre cluster, OneFS ne
peut pas les provisionner automatiquement. Dans ce cas, vous pouvez généralement
créer une ou plusieurs compatibilités afin de permettre à OneFS de provisionner les
nœuds nouvellement ajoutés dans un pool de nœuds compatible.
Les types de compatibilités incluent la classe de nœud, la capacité des disques SSD et
le nombre de disques SSD.

Compatibilités de classes de nœuds


Pour pouvoir faire l’objet d’un provisionnement automatique, un nœud doit être de
classe équivalente à celle des autres nœuds du pool. Si ce n’est pas le cas, vous
pouvez néanmoins provisionner ce nœud dans un pool de nœuds existant,
généralement en définissant une compatibilité de classe de nœuds.
Si vous disposez de pools de nœuds S200, X200, X400 ou NL400 et que vous ajoutez
moins de trois nœuds Isilon S210, X210, X410 ou NL410, vous pouvez créer des
compatibilités de classe de nœuds de manière à provisionner les nouveaux nœuds et
les rendre fonctionnels au sein du cluster. À l’heure actuelle, seuls les nœuds S210,
X210, X410 et NL410 peuvent faire l’objet d’une compatibilité de classe de nœuds avec
des nœuds plus anciens.
Pour être provisionnés, les nouveaux nœuds doivent avoir les mêmes configurations de
disques que leurs équivalents plus anciens et disposer de quantités de RAM
compatibles, comme indiqué dans le tableau suivant :

Compatibilité Compatibilité Compatibilité Compatibilité


S200/S210 X200/X210 X400/X410 NL400/NL410

RAM RAM RAM RAM RAM RAM RAM RAM


S200 S210 X200 X210 X400 X410 NL400 NL410
24 Go 32 Go 6 Go Non 24 Go 32 Go 12 Go Non
disponible disponible

48 Go 64 Go 12 Go 48 Go 64 Go 24 Go 24 Go

96 Go 128 Go 24 Go 24 Go 96 Go 128 Go 48 Go 48 Go

468 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

Compatibilité Compatibilité Compatibilité Compatibilité


S200/S210 X200/X210 X400/X410 NL400/NL410

RAM RAM RAM RAM RAM RAM RAM RAM


S200 S210 X200 X210 X400 X410 NL400 NL410
256 Go 48 Go 48 Go 192 Go 256 Go – –

Si les nouveaux nœuds ont des configurations de disques différentes (capacités ou


nombres de disques SSD différents), vous devez créer des compatibilités de capacité
ou de nombre de disques SSD en plus des compatibilités de classe de nœuds.

Remarque

Une fois que vous avez ajouté à votre cluster au moins trois nœuds de nouvelle
génération d’une classe d’équivalence particulière, vous pouvez éventuellement
supprimer les compatibilités de classe de nœuds que vous avez créées. Cette étape
permet à OneFS de provisionner automatiquement les nouveaux nœuds S210, X210,
X410 ou NL410 dans leurs propres pools de nœuds et de bénéficier des
caractéristiques de performances des nouveaux types de nœuds. Toutefois, étant
donné que les grands pools de nœuds stockent plus efficacement les données, la
suppression des compatibilités peut également réduire la quantité de stockage
disponible sur votre cluster. Si vous avez des doutes quant à la suppression des
compatibilités, nous vous recommandons de consulter au préalable un responsable de
compte EMC Isilon.

Compatibilités de disque SSD


Pour que le provisionnement automatique fonctionne, OneFS requiert que tous les
nœuds d’un pool de nœuds possèdent la même répartition de disques durs et disques
SSD. OneFS ne peut pas provisionner automatiquement les nouveaux nœuds s’ils
possèdent des capacités ou des nombres de disques SSD différents de ceux des
nœuds du pool existant. Pour permettre aux nouveaux nœuds ayant des capacités ou
des nombres de disques SSD différents de rejoindre un pool de nœuds compatible,
vous pouvez créer des compatibilités de disque SSD.
Par exemple, si votre cluster possède déjà un pool de nœuds S200 et que vous ajoutez
un nouveau nœud S200, OneFS va tenter de provisionner automatiquement le
nouveau nœud dans le pool de nœuds S200. Cependant, si le nouveau nœud S200
possède des disques SSD de capacité supérieure ou un nombre de disques SSD
différent de celui des nœuds S200 plus anciens, OneFS ne peut pas procéder au
provisionnement automatique du nouveau nœud. Pour permettre le provisionnement
automatique du nouveau nœud, vous pouvez créer des compatibilités de disque SSD
pour le type de nœuds S200.
Comme pour les compatibilités de classe de nœuds, les compatibilités de disque SSD
exigent que les nœuds soient compatibles, comme illustré dans le tableau suivant :

Pool de nœuds existant Compatibilités de disque SSD pouvant être créées


S200 S200 S210*

X200 X200 X210*

X400 X400 X410*

NL400 NL400 NL410*

Compatibilités de disque SSD 469


Pools de stockage

Pool de nœuds existant Compatibilités de disque SSD pouvant être créées


S210 S210 S200*

X210 X210 X200*

X410 X410 X400*

NL410 NL410 NL400*

* Nécessite également une compatibilité de classe de nœuds avec la classe de pool de nœuds
existante.

Remarque

La création de compatibilités de disque SSD nécessite que le cache N3 soit activé sur
tous les nœuds. Si vous essayez de créer une compatibilité de classe de nœuds et des
compatibilités de disque SSD appropriées, et que le processus échoue avec un
message d’erreur, assurez-vous que le cache N3 est activé sur le pool de nœuds
existant. Ensuite, réessayez de créer la compatibilité. Le cache N3 peut uniquement
être activé sur les nœuds qui comportent moins de 16 disques SSD.

Pools de nœuds manuels


Si les pools de nœuds automatiquement provisionnés par OneFS ne répondent pas à
vos besoins, vous pouvez configurer des pools de nœuds manuellement. Pour ce faire,
vous devez déplacer les nœuds d’un pool de nœuds existant vers le pool de nœuds
manuel.
Cette fonction vous permet de stocker des données sur des nœuds spécifiques en
fonction de vos besoins ; elle n’est disponible que via l’interface de ligne de commande
OneFS.

ATTENTION

Il est recommandé de configurer OneFS pour provisionner automatiquement les


nœuds. Il est possible que les pools de nœuds créés manuellement ne fournissent
pas les mêmes niveaux de performances et d’efficacité que ceux gérés
automatiquement, en particulier s’ils comportent moins de 20 nœuds suite à vos
modifications.

Disque de secours virtuel


Les paramètres de disque de secours virtuel (VHS) vous permettent de réserver
l’espace disque afin de reconstruire les données dans l’éventualité d’une panne de
disque.
Vous pouvez spécifier à la fois le nombre de disques virtuels à réserver et un
pourcentage de l’espace total de stockage. Par exemple, si vous spécifiez deux
disques virtuels et 15 %, chaque pool de nœuds réserve un espace disque virtuel
équivalent à deux disques ou 15 % de sa capacité totale (la plus élevée des deux
valeurs étant prise en compte).
Vous pouvez réserver de l’espace dans les pools de nœuds du cluster en spécifiant les
options suivantes :
l 1 à 4 disques virtuels au minimum

470 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

l Entre 0 et 20 % du stockage total au minimum


OneFS calcule la valeur la plus élevée de ces deux facteurs pour déterminer l’espace
alloué. Lorsque vous configurez les paramètres VHS, veillez à tenir compte des
informations suivantes :
l Si vous désélectionnez l'option Ignore reserved space when calculating
available free space (par défaut), les calculs d’espace disponible incluent l’espace
réservé pour VHS.
l Si vous désélectionnez l’option Deny data writes to reserved disk space (par
défaut), OneFS peut utiliser VHS pour les écritures de données normales. Nous
vous recommandons de laisser cette option sélectionnée pour ne pas
compromettre la réparation des données.
l Si l’option Ignore reserved space when calculating available free space est
activée, mais pas l’option Deny data writes to reserved disk space, il est possible
que le système de fichiers signale un taux d’utilisation supérieur à 100 %.

Remarque

Les paramètres VHS affectent la fonction de débordement. Si l’option VHS Deny data
writes to reserved disk space est activée mais pas le paramètre Ignore reserved
space when calculating available free space, le débordement se produit avant que le
système de fichiers n’indique un taux d’utilisation de 100 %.

Débordement
Lorsque vous activez une licence SmartPools, vous pouvez désigner un pool de nœuds
ou un niveau pour recevoir les données de débordement lorsque le matériel spécifié
par une règle de pool de fichiers est saturé ou non inscriptible.
Si vous ne souhaitez pas que les données débordent vers un autre emplacement parce
que le pool de nœuds ou le niveau est saturé ou non inscriptible, vous pouvez
désactiver cette fonction.

Remarque

Les réservations de disques de secours virtuels affectent le débordement. Si le


paramètre Deny data writes to reserved disk space est activé et que le paramètre
Ignore reserved space when calculating available free space est désactivé, le
débordement se produit avant que le système de fichiers n’indique un taux d’utilisation
de 100 %.

Protection recommandée
Selon la configuration de votre cluster Isilon, OneFS calcule automatiquement la
protection recommandée pour respecter les exigences strictes en matière de
protection des données d’EMC Isilon.
OneFS intègre une fonction permettant de calculer la protection recommandée pour
les données, de façon à assurer un ratio MTDDL (Mean Time to Data Loss, temps
moyen/perte de données) théorique de 5 000 ans. La protection recommandée offre
un équilibre optimal entre la protection des données et l’efficacité du stockage sur
votre cluster.
Lors de la configuration des politiques de pools de fichiers, vous pouvez choisir parmi
plusieurs paramètres de protection pour un seul fichier, pour des sous-ensembles de
fichiers appelés pools de fichiers, ou pour l’ensemble des fichiers sur le cluster.

Débordement 471
Pools de stockage

Il est recommandé de ne pas définir un paramètre inférieur à la protection


recommandée. OneFS contrôle périodiquement le niveau de protection sur le cluster,
et vous avertit si les données passent sous le niveau de protection recommandé.

Politiques de protection
OneFS propose un certain nombre de politiques de protection permettant de protéger
un fichier ou de spécifier une règle de pool de fichiers.
Plus votre cluster contient de nœuds, dans la limite de 20, plus OneFS peut stocker et
protéger vos données efficacement, et plus les niveaux de protection demandée que le
système d’exploitation peut atteindre sont élevés. En fonction de la configuration de
votre cluster et du volume de données enregistrées, OneFS peut ne pas être en
mesure d’atteindre le niveau de protection dont vous avez besoin. Par exemple, si
vous disposez d’un cluster comportant trois nœuds qui atteint sa capacité maximale et
que vous demandez une protection +2n, OneFS ne sera peut-être pas en mesure
d’assurer la protection dont vous avez besoin.
Le tableau suivant décrit les politiques de protection disponibles dans OneFS.

Politique de Résumé
protection
+1n Tolérer la défaillance de 1 disque ou de 1 nœud

+2d:1n Tolérer la défaillance de 2 disques ou de 1 nœud

+2n Tolérer la défaillance de 2 disques ou de 2 nœuds

+3d:1n Tolérer la défaillance de 3 disques ou de 1 nœud

+3d:1n1d Tolérer la défaillance de 3 disques ou de 1 nœud et 1 disque

+3n Tolérer la défaillance de 3 disques ou de 3 nœuds

+4d:1n Tolérer la défaillance de 4 disques ou de 1 nœud

+4d:2n Tolérer la défaillance de 4 disques ou de 2 nœuds

+4n Tolérer la défaillance de 4 disques ou de 4 nœuds

Miroirs : Réplique ou met en miroir les données sur le nombre spécifié de


2x nœuds. Par exemple, 2 x se traduit par deux copies de chaque bloc
de données.
3X
4X Remarque

5X Les miroirs peuvent utiliser plus de données que les autres politiques
de protection, mais peuvent être efficaces pour protéger les fichiers
6X
écrits de manière non séquentielle ou pour offrir un accès plus
7X rapide aux fichiers importants.
8X

Stratégies SSD
Les clusters OneFS peuvent contenir des nœuds comportant des disques SSD. OneFS
provisionne automatiquement dans un ou plusieurs pools de nœuds les nœuds de
classe équivalente comprenant des disques SSD. La stratégie de disques SSD définie
dans la règle de pools de fichiers par défaut détermine la manière dont les disques SSD

472 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

sont utilisés dans le cluster. Elle peut être désactivée afin d’augmenter les
performances sur divers workflows.
Vous pouvez configurer des règles de pool de fichiers pour appliquer des stratégies
SSD spécifiques en fonction des besoins. Lorsque vous sélectionnez les options SSD
lors de la création d’une règle de pool de fichiers, vous pouvez identifier les fichiers du
cluster OneFS qui nécessitent des performances plus rapides ou plus lentes. Lors de
l’exécution de la tâche SmartPools, OneFS utilise les règles de pools de fichiers pour
déplacer ces données vers le pool de stockage et le type de disque appropriés.
Les options suivantes de la stratégie de disques SSD que vous pouvez définir dans une
règle de pools de fichiers sont répertoriées de la plus lente à la plus rapide :
Avoid SSDs
Enregistre toutes les données et métadonnées des fichiers associés sur des
disques durs uniquement.

ATTENTION

Utilisez cette option pour libérer de l’espace SSD uniquement après avoir
consulté l’équipe du support technique Isilon. L’utilisation de cette stratégie
peut dégrader les performances.

Metadata read acceleration


Enregistre les données et métadonnées des fichiers sur des disques durs. C’est le
paramètre par défaut. Un miroir supplémentaire des métadonnées de fichier est
écrit sur des disques SSD, s’ils sont disponibles. Le miroir SSD supplémentaire est
inclus dans le nombre de miroirs requis, le cas échéant, pour se conformer à la
protection demandée.

Metadata read/write acceleration


Enregistre les données des fichiers sur des disques durs et les métadonnées sur
des disques SSD, lorsque des disques SSD sont disponibles. Cette stratégie
accélère les écritures de métadonnées en plus des lectures, mais elle nécessite
environ quatre à cinq fois plus de stockage SSD que le paramètre Metadata read
acceleration. L’activation de GNA n’affecte pas l’accélération en lecture/
écriture.

Data on SSDs
Utilise des pools de nœuds SSD pour les données et les métadonnées, que
l’accélération de l’espace de nommage global soit activée ou non. Cette stratégie
SSD n’entraîne pas la création de miroirs supplémentaires au-delà de la protection
normale demandée, mais ses exigences en matière de stockage sont nettement
supérieures à celles des autres options de stratégie SSD.

Accélération de l’espace de nommage global


L’accélération de l’espace de nommage global (GNA) permet aux données présentes
dans des pools de nœuds sans disques SSD de disposer de miroirs de métadonnées
supplémentaires sur les disques SSD ailleurs dans le cluster. Les miroirs de
métadonnées sur les disques SSD peuvent améliorer les performances du système de
fichiers en accélérant les opérations de lecture de métadonnées.
Vous ne pouvez activer l’accélération de l’espace de nommage global que si au moins
20 % des nœuds du cluster contiennent au moins un disque SSD et si 1,5 % ou plus du
stockage total du cluster est basé sur des disques SSD. Pour obtenir des résultats

Accélération de l’espace de nommage global 473


Pools de stockage

optimaux, avant d’activer l’accélération de l’espace de nommage global, assurez-vous


qu’au minimum 2 % du stockage total du cluster reposent sur des disques SSD.
Même lorsqu’elle est activée, l’accélération de l’espace de nommage global devient
inactive si le rapport entre les disques SSD et les disques durs tombe sous le seuil de
1,5 % ou si le pourcentage de nœuds contenant au moins un disque SSD est inférieur à
20 %. L’accélération de l’espace de nommage global est réactivée lorsque ces
exigences sont satisfaites. Lorsque l’accélération de l’espace de nommage global est
inactive dans de tels cas, les miroirs SSD existants sont accessibles en lecture, mais
les nouvelles métadonnées écrites n’incluent pas le miroir SSD supplémentaire.

Remarque

Les pools de nœuds dont le cache N3 est activé sont effectivement invisibles pour
l’accélération de l’espace de nommage global. Tous les calculs de ratio pour
l’accélération de l’espace de nommage global concernent exclusivement les pools de
nœuds dont le cache N3 est désactivé. Par exemple, si votre cluster comporte six
nœuds et que le cache N3 de trois d’entre eux est activé, l’accélération de l’espace de
nommage global est appliquée aux trois nœuds de pool restants. Sur les pools de
nœuds dont le cache N3 est activé, les métadonnées n’ont pas besoin d’un miroir GNA
supplémentaire car l’accès aux métadonnées est déjà accéléré par le cache N3.

Présentation du cache N3
Vous pouvez configurer des nœuds avec des disques SSD pour augmenter la mémoire
cache et accélérer les performances du système de fichiers lorsque des jeux de
fichiers de travail volumineux sont utilisés.
OneFS met en cache les données et les métadonnées des fichiers à plusieurs niveaux.
Le tableau suivant décrit les types de cache du système de fichiers disponibles dans un
cluster Isilon.

Nom Type Profil Périmè Description


tre
Cache N1 RAM Volatile Nœud Également appelé cache front-end, il stocke
local des copies des métadonnées et des données
du système de fichiers demandées par le
réseau front-end (via NFS, SMB, HTTP,
etc.).

Cache N2 RAM Volatile Global Également appelé cache back-end, il stocke


des copies des métadonnées et des données
du système de fichiers sur le nœud
propriétaire des données.

SmartCache Variable Non Nœud Contient toutes les modifications en attente


volatile local des fichiers front-end devant être écrites
dans le stockage. Ce type de cache protège
les données à écriture différée à l’aide d’une
combinaison de RAM et de stockage stable.

Cache N3 Disque Non Global Contient les données et les métadonnées de


SSD volatile fichier retirées du cache N2, augmentant
ainsi la capacité de ce dernier.

474 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

OneFS met en cache les métadonnées et les fichiers fréquemment utilisés dans la
RAM disponible. La mise en cache permet à OneFS d’optimiser la protection des
données et les performances du système de fichiers. Lorsque le cache RAM atteint sa
capacité maximale, OneFS supprime normalement les données en cache les plus
anciennes et traite les nouvelles demandes de données en accédant aux disques de
stockage. Ce cycle est répété chaque fois que le cache RAM est plein.
Vous pouvez déployer des disques SSD en tant que cache N3 pour réduire les
problèmes de cycle du cache et pour améliorer encore les performances du système
de fichiers. Le cache N3 augmente considérablement la mémoire cache disponible et
offre un accès aux données plus rapide que les disques durs.
Lorsque le cache N2 atteint sa capacité, OneFS évalue les données à retirer et, selon
votre workflow, les déplace vers le cache N3. Ainsi, davantage de données
fréquemment utilisées sont stockées dans le cache et les performances globales du
système de fichiers sont améliorées.
Prenons l’exemple d’un cluster avec 128 Go de RAM. En général, la quantité de RAM
disponible pour le cache varie en fonction des autres processus actifs. Si 50 % de la
RAM est disponible pour le cache, la taille du cache est d’environ 64 Go. Si ce même
cluster comporte trois nœuds, chacun équipé de deux disques SSD de 200 Go, la taille
du cache N3 est de 1,2 To, soit environ 18 fois la quantité de cache N2 disponible.
Le cache N3 est activé par défaut pour les nouveaux pools de nœuds. Un pool de
nœuds est un ensemble de nœuds ayant tous la même classe d’équivalence ou pour
lesquels des compatibilités sont créées. Le cache N3 s’applique uniquement aux
nœuds où résident les disques SSD. Pour le nœud HD400, essentiellement utilisé à des
fins d’archivage, le cache N3 est activé par défaut et ne peut pas être désactivé. Sur
le HD400, le cache N3 n’est utilisé que pour les métadonnées.
Si vous activez le cache N3 sur un pool de nœuds, OneFS gère tous les niveaux de
cache afin d’offrir une protection des données, une disponibilité et des performances
optimales. En outre, en cas de coupure d’alimentation, les données du cache N3 sont
conservées et sont à nouveau disponibles une fois l’alimentation rétablie.

Remarque

Bien que le cache N3 présente certains avantages dans les workflows avec accès aux
fichiers en temps réel et simultané, il est particulièrement efficace dans les workflows
à accès aléatoire.

Migration vers le cache de niveau 3


Le cache de niveau 3 est activé par défaut sur les nouveaux nœuds. Si vous mettez à
niveau votre cluster à partir d’une ancienne version (antérieure à OneFS 7.1.1), vous
devez activer manuellement le cache de niveau 3 sur les pools de nœuds qui
comportent des disques SSD. Lorsque vous activez le cache de niveau 3, OneFS
enclenche un processus qui permet de migrer les disques SSD, des disques de
stockage vers le cache. Les données de fichiers actuellement sur les disques SSD sont
déplacées vers un autre emplacement du cluster.
Vous pouvez activer le cache de niveau 3 par défaut pour tous les nouveaux pools de
nœuds ou bien manuellement pour un pool de nœuds spécifique, via la ligne de
commande ou depuis l’interface d’administration Web. Vous pouvez activer le cache
de niveau 3 uniquement sur les pools de nœuds comportant des disques SSD.

Migration vers le cache de niveau 3 475


Pools de stockage

En fonction du volume de données stockées sur vos disques SSD, le processus de


migration peut prendre un certain temps. OneFS affiche un message signalant que la
migration est sur le point de démarrer :

WARNING: Changes to L3 cache configuration can have a long completion


time. If this is a concern, please contact EMC Isilon Support for
more information.

Vous devez confirmer si OneFS doit ou non poursuivre la migration. Cela fait, OneFS
gère la migration intelligemment en arrière-plan. Vous pouvez continuer à gérer le
cluster lors de la migration.
Si vous choisissez de désactiver le cache de niveau 3 sur un pool de nœuds, le
processus de migration est très rapide.

Cache N3 sur les pools de nœuds des gammes NL et HD


Les nœuds des gammes HD et NL offrent une haute capacité et sont principalement
conçus pour les workflows d’archivage. Les workflows d’archivage présentent un
pourcentage d’écritures de données supérieur à celui des lectures de données ; le
cache N3 avec des disques SSD peut considérablement accélérer les activités de
traversée de système de fichiers telles que la recherche de répertoire.
Le cache N3 est activé par défaut sur les pools de nœuds des gammes HD et NL.
Pour les nœuds NL comportant des disques durs (HDD) d’une capacité inférieure à
4 To, le cache N3 stocke les données et les métadonnées sur des disques SSD, par
défaut. Vous pouvez désactiver le cache N3 sur les nœuds de la gamme NL
comportant des disques durs d’une capacité inférieure ou égale à 4 To. Nous vous
recommandons toutefois de laisser le cache N3 à l’état activé, étant donné que les
nœuds de la gamme NL ne possèdent généralement pas un grand nombre de
disques SSD. Du point de vue des performances, les avantages du cache N3
dépassent ceux liés à l’utilisation de disques SSD en tant que disques de stockage sur
ces nœuds.
Pour les nœuds de la gamme NL avec disques durs de plus de 4 To de capacité et tous
les nœuds de la gamme HD, le cache N3 stocke les métadonnées uniquement sur les
disques SSD et ne peut pas être désactivé. Un cache N3 stockant les métadonnées
uniquement sur des disques SSD garantit des performances optimales pour l’archivage
de données sur ces nœuds haute capacité.

Niveaux
Un niveau est un ensemble de pools de nœuds défini par l’utilisateur que vous pouvez
spécifier en tant que pool de stockage pour les fichiers. Un pool de nœuds ne peut
appartenir qu’à un seul niveau.
Vous pouvez créer des niveaux pour attribuer vos données à n’importe quel pool de
nœuds du niveau. Par exemple, vous pouvez attribuer un ensemble de pools de nœuds
à un niveau spécifiquement créé pour le stockage des données qui nécessitent une
haute disponibilité et un accès rapide. Dans un système à trois niveaux, il peut s’agir du
niveau 1. Vous pouvez classer les données utilisées moins fréquemment, auxquelles
moins d’utilisateurs accèdent, en tant que données de niveau 2. Le niveau 3 regroupe
habituellement les données qui sont rarement utilisées et qui peuvent être archivées à
des des fins d’historique ou réglementaires.

476 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

Règles de pool de fichiers


Les règles de pools de fichiers définissent les ensembles de fichiers (pools de fichiers),
ainsi que leur lieu et leur mode de stockage sur votre cluster. Vous pouvez configurer
plusieurs règles de pools de fichiers avec des règles de filtrage qui identifient des pools
de fichiers spécifiques et les paramètres de protection et d’optimisation des E/S
requis pour ces pools de fichiers. La création de règles de pools de fichiers
personnalisées nécessite une licence SmartPools active.
L’installation initiale de OneFS place tous les fichiers dans un même pool de fichiers,
soumis à la règle de pool de fichiers par défaut. Sans licence SmartPools active, vous
ne pouvez configurer que la règle du pool de fichiers par défaut, qui contrôle tous les
fichiers et les stocke n’importe où sur le cluster.
Avec une licence SmartPools active, OneFS augmente les fonctions de stockage de
base en vous permettant de créer des règles de pool de fichiers personnalisées qui
identifient, protègent et contrôlent plusieurs pools de fichiers. Avec une règle de pool
de fichiers personnalisée, vous pouvez, par exemple, définir et stocker un pool de
fichiers sur un pool ou un niveau spécifique pour y accéder rapidement ou à des fins
d’archivage.
Lorsque vous créez une règle de pool de fichiers, des critères de filtrage flexibles vous
permettent de spécifier des attributs de temps concernant les dates de création, de
modification ou d’accès aux fichiers. Vous pouvez également définir des attributs de
temps relatifs, par exemple : 30 jours avant la date du jour. Les autres critères de
filtrage sont le type, le nom et la taille du fichier et les attributs personnalisés. Les
exemples suivants illustrent certaines manières de configurer des règles de pool de
fichiers :
l Une règle de pool de fichiers pour définir un niveau de protection plus élevé sur
des ensembles de fichiers importants.
l Une règle de pool de fichiers pour stocker les fichiers fréquemment utilisés dans
un pool de nœuds qui offre les opérations de lecture ou de lecture/écriture les plus
rapides.
l Une règle de pool de fichiers pour évaluer l’heure du dernier accès aux fichiers,
afin que les fichiers plus anciens soient stockés dans un pool de nœuds mieux
adapté à l’archivage probatoire.
Lorsque la tâche SmartPools s’exécute, en général une fois par jour, elle traite les
règles de pool de fichiers par ordre de priorité. Vous pouvez modifier, réorganiser ou
supprimer des règles de pool de fichiers à tout moment. La règle de pool de fichiers
par défaut, toutefois, figure toujours en dernier dans l’ordre de priorité. Bien que vous
puissiez modifier la règle de pool de fichiers par défaut, vous ne pouvez pas la
réorganiser ni la supprimer. Lorsque des règles de pool de fichiers personnalisées sont
en place, les paramètres de la règle de pool de fichiers par défaut s’appliquent
uniquement aux fichiers qui ne sont pas couverts par une autre règle de pool de
fichiers.
Lors de la création d’un fichier, OneFS sélectionne un pool de stockage en fonction de
la règle de pool de fichiers par défaut, ou, le cas échéant, d’une règle de pool de
fichiers personnalisée ayant un niveau de priorité plus élevé et qui correspond au
fichier. Si un nouveau fichier a été initialement associé à la règle de pool de fichiers par
défaut et si vous créez ensuite une règle de pool de fichiers personnalisée qui
correspond au fichier, le fichier est contrôlé par la nouvelle règle personnalisée. Le
fichier pourrait donc être placé dans un autre pool de stockage lors de la prochaine
exécution de la tâche SmartPools.

Règles de pool de fichiers 477


Pools de stockage

Gestion des pools de nœuds dans l’interface


d’administration Web
Vous pouvez gérer les pools de nœuds par le biais de l’interface d’administration Web
OneFS. Vous devez disposer des privilèges d’administration SmartPools ou supérieurs.

Ajouter des pools de nœuds à un niveau


Vous pouvez regrouper les pools de nœuds disponibles en niveaux.
Un pool de nœuds ne peut être ajouté qu’à un seul niveau à la fois. Si les pools de
nœuds n’apparaissent pas comme disponibles, ils appartiennent déjà à d’autres
niveaux.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
La page SmartPools affiche deux groupes : Tiers & Node Pools et
Compatibilities.
2. Dans la zone Tiers & Node Pools, cliquez sur View/Edit en regard du niveau.
3. Sur la page View Tier Details, cliquez sur Edit Tier.
La page Edit Tier Details s’affiche.
4. Dans la liste Available Node Pools, sélectionnez un pool de nœuds et cliquez
sur Add.
Le pool de nœuds passe dans la liste Selected Node Pools for this Tier.
5. Répétez l’étape 4 pour chaque pool de nœuds que vous souhaitez ajouter.
Lorsque tous les pools de nœuds ont été ajoutés, cliquez sur Save Changes.
Un message vous informe que l’opération a réussi. La page View Tier Details
reste ouverte.
6. Cliquez sur Close.
Le groupe Tiers & Node Pools indique désormais que les pools de nœuds font
partie du niveau.

Modifier le nom ou la protection demandée d’un pool de nœuds


Vous pouvez modifier le nom ou la protection demandée d’un pool de nœuds.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
2. Dans le groupe Tiers & Node Pools, sur la ligne du pool de nœuds à modifier,
cliquez sur View/Edit.
La page View Node Pools Details s’affiche.
3. Cliquez sur Edit.
La page Edit Node Pools Details s’affiche.
4. Saisissez un nouveau nom pour le pool de nœuds et/ou sélectionnez un nouveau
niveau de protection demandée dans la liste.

478 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

Le nom d’un pool de nœuds doit commencer par une lettre ou un tiret bas, et ne
doit contenir ensuite que des lettres, des chiffres, des tirets, des tirets bas et
des points.

5. À la page Edit Node Pools Details, cliquez sur Save Changes.


6. À la page View Node Pools Details, cliquez sur Close.

Créer une compatibilité de classe de nœuds


OneFS ajoute automatiquement un nouveau nœud de même classe équivalente à un
pool de nœuds existant. Pour les nouveaux nœuds qui ne sont pas de classe
équivalente, vous pouvez créer une compatibilité de classe de nœud afin d’ajouter ces
nœuds à un pool de nœuds existant.
Les compatibilités suivantes sont actuellement prises en charge : S200/S210, X200/
X210, X400/X410 et NL400/NL410. Par exemple, si vous disposez d’un pool de nœuds
composé de trois nœuds S200 ou plus, vous pouvez créer une compatibilité de façon à
ce que les nouveaux nœuds S210 soient automatiquement ajoutés au pool de nœuds
S200.

Remarque

Les nouveaux nœuds doivent disposer d’une RAM compatible et des mêmes
configurations de disques que leurs homologues plus anciens afin d’être provisionnés
dans les pools de nœuds existants. Si les configurations de disques présentent des
différences, que ce soit au niveau du nombre de disques SSD ou de leur capacité, vous
pouvez également créer des compatibilités de disques SSD.

Procédure
1. Sélectionnez File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux listes : Tiers & Node Pools et
Compatibilities.
2. Cliquez sur Create a Compatibility.
La boîte de dialogue Create a Compatibility affiche une liste déroulante de
types de compatibilité.
3. Dans la liste Compatibility Type, sélectionnez Node Class.
Deux listes déroulantes supplémentaires sont ajoutées : First Node Class et
Second Node Class.
4. Dans la liste First Node Class, acceptez la sélection actuelle ou effectuez une
nouvelle sélection.
5. Dans la liste Second Node Class, acceptez la sélection actuelle ou effectuez
une nouvelle sélection.
6. Cliquez sur Create Compatibility.
La boîte de dialogue Confirm Create Compatibility s’affiche. Elle contient une
ou plusieurs cases à cocher que vous devez sélectionner avant de continuer. Les
cases à cocher décrivent les résultats de l’opération.
7. Sélectionnez toutes les cases à cocher, puis cliquez sur Confirm.
Résultats
La compatibilité de classe de nœud est créée et décrite dans la liste Compatibilities.
Par exemple, un message tel que « The S200 Node Class is now considered
compatible with the S210 Node Class » s’affiche. Le résultat de la nouvelle

Créer une compatibilité de classe de nœuds 479


Pools de stockage

compatibilité apparaît dans la liste Tiers & Node Pools. Si les nouveaux nœuds
présentent une compatibilité de classe de nœud mais restent non provisionnés, vous
devez toujours créer une compatibilité SSD pour les nouveaux nœuds. Si le cache L3
est désactivé sur le pool de nœuds cible, les nouveaux nœuds restent non provisionnés
et un message d’erreur s’affiche.

Fusionner des pools de nœuds compatibles


Vous pouvez créer une compatibilité de classe de nœud afin de fusionner plusieurs
pools de nœuds compatibles. Les pools de nœuds de plus grande taille, jusqu’à
20 nœuds, permettent à OneFS de protéger les données de manière plus efficace, et
ainsi de conserver plus d’espace de stockage pour les nouvelles données.
Par exemple, si vous possédez six nœuds S200 dans un pool de nœuds et trois
nœuds S210 dans un autre pool de nœuds, vous pouvez créer une compatibilité afin de
fusionner les deux pools de nœuds au sein d’un pool de neuf nœuds.

Remarque

Les types de nœud plus récents affichent généralement des performances supérieures
à celles des nœuds plus anciens. De ce fait, la fusion des deux types peut entraîner une
baisse des performances globales. En outre, lorsque deux pools de nœuds sont
fusionnés, OneFS répartit de nouveau les données, ce qui peut prendre beaucoup de
temps selon la taille de votre Dataset.

Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux listes : Tiers & Node Pools et
Compatibilities.
2. Cliquez sur Create a Compatibility.
La boîte de dialogue Create a Compatibility affiche une liste déroulante de
types de compatibilité.
3. Dans la liste Compatibility Type, sélectionnez Node Class.
Deux listes déroulantes supplémentaires sont ajoutées : First Node Class et
Second Node Class.
4. Dans la liste First Node Class, acceptez la sélection actuelle ou effectuez une
nouvelle sélection.
5. Dans la liste Second Node Class, acceptez la sélection actuelle ou effectuez
une nouvelle sélection.
6. Cliquez sur Create Compatibility.
La boîte de dialogue Confirm Create Compatibility s’affiche. Elle contient une
ou plusieurs cases à cocher que vous devez sélectionner avant de continuer. Les
cases à cocher décrivent les résultats de l’opération.
7. Sélectionnez toutes les cases à cocher, puis cliquez sur Confirm.
Résultats
La compatibilité de classe de nœud est créée et décrite dans la liste Compatibilities.
Par exemple, un message tel que « The S200 Node Class is now considered
compatible with the S210 Node Class » s’affiche. Le résultat de la nouvelle
compatibilité apparaît dans la liste Tiers & Node Pools. Si la compatibilité est bien
créée, mais que les pools de nœuds ne sont pas fusionnés, vous devrez probablement
créer une compatibilité de disque SSD entre les deux pools de nœuds. Si la création de

480 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

la compatibilité échoue avec un message d’erreur, le cache N3 est désactivé sur l’un
des pools de nœuds ou bien sur les deux.

Supprimer une compatibilité de classe de nœuds


Vous pouvez supprimer une compatibilité de classe de nœud : tous les nœuds qui ont
été provisionnés vers un pool de nœuds en raison de cette compatibilité sont
supprimés du pool de nœuds.

ATTENTION

La suppression d’une compatibilité de classe de nœud peut entraîner des


conséquences imprévues. Par exemple, si vous supprimez une compatibilité et
que moins de trois nœuds compatibles sont supprimés du pool de nœuds, ces
nœuds sont supprimés du pool de stockage disponible dans votre cluster. Lors de
la prochaine exécution de la tâche SmartPools, les données présentes sur ces
nœuds seront à nouveau réparties ailleurs sur le cluster. Ce processus peut
prendre beaucoup de temps. Si au moins trois nœuds compatibles sont
supprimés du pool de nœuds, ils forment alors leur propre pool de nœuds et les
données sont à nouveau réparties. Toute règle de pool de fichiers pointant vers le
pool de nœuds d’origine pointe désormais vers le niveau du pool de nœuds, le cas
échéant, ou vers un nouveau niveau créé par OneFS.

Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux listes : Tiers & Node Pools et
Compatibilities.
2. Dans la liste Compatibilities, en regard de la compatibilité à supprimer, cliquez
sur Delete.
La boîte de dialogue Confirm Delete Compatibility s’affiche. Elle contient une
ou plusieurs cases à cocher que vous devez sélectionner avant de continuer.
3. Cochez toutes les cases dans la boîte de dialogue, puis cliquez sur Confirm.
Résultats
La compatibilité est supprimée et le nouvel état des nœuds concernés apparaît dans la
liste Tiers & Node Pools.

Créer une compatibilité de disque SSD


Vous pouvez créer des compatibilités de disque SSD, tant en nombre qu’en capacité,
afin de permettre le provisionnement de nouveaux nœuds dans des pools de nœuds
présentant des caractéristiques de disque SSD différentes. Il est possible de créer des
compatibilités de disque SSD pour les types de nœuds suivants : S200, S210, X200,
X210, X400, X410, NL400 et NL410.
Par exemple, si vous possédez un pool de nœuds composé de trois nœuds S200
équipés de disques SSD de 100 Go et que vous installez un nœud S200 équipé de
disques SSD en nombre égal mais d’une capacité de 200 Go, le nouveau nœud S200
n’est pas provisionné automatiquement dans le pool de nœuds S200 tant que vous
n’avez pas créé de compatibilité de disque SSD. Si les nœuds du pool de nœuds S200
comportent chacun six disques SSD et que le nouveau nœud S200 en contient huit,
vous devez également créer une compatibilité de nombre de disques SSD afin de
permettre le provisionnement du nouveau nœud S200 dans le pool de nœuds S200.

Supprimer une compatibilité de classe de nœuds 481


Pools de stockage

De même, si vous disposez de nœuds de générations différentes mais de classes


compatibles, tels que les nœuds S200 et S210, vous pouvez créer des compatibilités
de disque SSD entre ces types de nœuds.
Procédure
1. Sélectionnez File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux listes : Tiers & Node Pools et
Compatibilities.
2. Cliquez sur Create a compatibility.
La boîte de dialogue Create a Compatibility affiche une liste déroulante de
types de compatibilité.
3. Dans la liste Compatibility Type, sélectionnez SSD.
Une liste déroulante supplémentaire, intitulée Node Class, est ajoutée.
4. Dans la liste Node Class, acceptez la sélection actuelle ou effectuez une
nouvelle sélection, comme il convient.
5. Le cas échéant, cochez également la case SSD Count Compatibility.
6. Cliquez sur Create Compatibility.
La boîte de dialogue Confirm Create Compatibility s’affiche. Elle contient une
ou plusieurs cases à cocher que vous devez sélectionner avant de continuer. Les
cases à cocher décrivent les résultats de l’opération.
7. Sélectionnez toutes les cases à cocher, puis cliquez sur Confirm.
Résultats
La compatibilité SSD est créée et décrite dans la liste Compatibilities. Par exemple,
un message tel que « S200 and S210 nodes are SSD compatible » s’affiche. Le
résultat de la compatibilité SSD apparaît également dans la liste Tiers & Node Pools.
Si le cache L3 est désactivé sur un pool de nœuds susceptible d’être concerné par la
compatibilité SSD, cette dernière n’est pas créée et un message d’erreur s’affiche.
Pour y remédier, activer le cache L3 pour ces pools de nœuds.

Supprimer une compatibilité SSD


Vous pouvez supprimer une compatibilité de disque SSD. Si vous effectuez cette
opération, tous les nœuds qui font partie d’un pool de nœuds en raison de cette
compatibilité sont supprimés du pool de nœuds.

ATTENTION

La suppression d’une compatibilité SSD peut entraîner des conséquences


imprévues. Par exemple, si vous supprimez une compatibilité SSD et que moins
de trois nœuds compatibles sont supprimés d’un pool de nœuds, ces nœuds sont
supprimés du pool de stockage disponible dans votre cluster. Lors de la prochaine
exécution de la tâche SmartPools, les données présentes sur ces nœuds sont à
nouveau réparties ailleurs sur le cluster. Ce processus peut prendre beaucoup de
temps. Si au moins trois nœuds compatibles sont supprimés du pool de nœuds,
ils forment alors leur propre pool de nœuds, et les données sont à nouveau
réparties. Toute règle de pool de fichiers pointant vers le pool de nœuds d’origine
pointe désormais vers le niveau du pool de nœuds, le cas échéant, ou vers un
nouveau niveau créé par OneFS.

482 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux listes : Tiers & Node Pools et
Compatibilities.
2. Dans la liste Compatibilities, en regard de la compatibilité SSD à supprimer,
cliquez sur Delete.
La boîte de dialogue Confirm Delete Compatibility s’affiche. Elle contient une
ou plusieurs cases à cocher que vous devez sélectionner avant de continuer. Les
cases à cocher décrivent le résultat de l’opération.
3. Cochez toutes les cases dans la boîte de dialogue, puis cliquez sur Confirm.
Résultats
La compatibilité SSD est supprimée et le nouvel état des nœuds concernés apparaît
dans la liste Tiers & Node Pools. Par exemple, un nœud précédemment provisionné
n’est désormais plus provisionné.

Gestion du cache N3 à partir de l’interface d’administration


Web
Vous pouvez gérer le cache N3 de manière globale ou sur des pools de nœuds
spécifiques depuis l’interface d’administration Web. Vous devez disposer des
privilèges d’administration SmartPools ou supérieurs. Sur les nœuds HD400, le cache
N3 est activé par défaut et ne peut pas être désactivé.

Définir le cache N3 comme cache par défaut des pools de nœuds


Vous pouvez définir le cache N3 comme cache par défaut de sorte que, lorsque de
nouveaux pools de nœuds sont créés, le cache N3 est automatiquement activé.
Avant de commencer
Le cache N3 n’est utilisé que sur les nœuds qui comportent des disques SSD. Si aucun
de vos clusters ne comporte de disques SSD, il n’est pas nécessaire d’activer N3
comme cache par défaut.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools Settings.
La page Edit SmartPools Settings s’affiche.
2. Sous Local Storage Settings, cliquez sur Use SSDs as L3 Cache by default
for new node pools.
3. Cliquez sur Save Changes.
Résultats
Lorsque vous ajoutez de nouveaux nœuds avec des disques SSD au cluster et que
OneFS désigne de nouveaux pools de nœuds, le cache N3 est automatiquement activé
pour ces pools. Le cache N3 n’est pas activé par défaut sur les nouveaux pools de
nœuds sans disques SSD.

Définir le cache N3 pour un pool de nœuds spécifique


Vous pouvez activer le cache N3 pour un pool de nœuds spécifique.

Gestion du cache N3 à partir de l’interface d’administration Web 483


Pools de stockage

Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
La page SmartPools s’affiche et présente la liste des niveaux et des pools de
nœuds.
2. Dans la liste Tiers & Node Pools, cliquez sur View/Edit en regard du pool de
nœuds cible.
La boîte de dialogue View Node Pool Details s’affiche, présentant les
paramètres actuels du pool de nœuds.
3. Cliquez sur Edit.
La boîte de dialogue Edit Node Pool Details s’affiche.
4. Cochez la case Enable L3 cache.
La case à cocher est grisée pour les pools de nœuds sans disques SSD, ou pour
lesquels le paramètre ne peut pas être modifié.
5. Cliquez sur Save Changes.
Le message Confirm Change to L3 Cache Setting s’affiche.
6. Cliquez sur le bouton Continue.
Le processus de migration vers le cache N3 commence et peut prendre un
certain temps, selon le nombre et la taille des disques SSD du pool de nœuds.
Lorsque la migration est terminée, la boîte de dialogue View Node Pool Details
s’affiche.
7. Cliquez sur Close.

Restaurer les disques SSD sur des disques de stockage pour un pool de
nœuds
Vous pouvez désactiver le cache N3 pour les disques SSD d’un pool de nœuds et
rétablir ces disques en tant que disques de stockage.

Remarque

Sur les pools de nœuds HD400, les disques SSD servent uniquement au cache N3, qui
est activé par défaut et ne peut pas être désactivé. Tous les autres pools de nœuds
équipés de disques SSD pour le cache N3 peuvent de nouveau les faire migrer vers les
disques de stockage.

Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
2. Dans la zone Tiers & Node Pools de l’onglet SmartPools, sélectionnez View/
Edit en regard du pool de nœuds cible.
La boîte de dialogue View Node Pool Details s’affiche, présentant les
paramètres actuels du pool de nœuds.
3. Cliquez sur Edit.
La boîte de dialogue Edit Node Pool Details s’affiche.
4. Désactivez la case Enable L3 cache.
Le paramètre est grisé pour les pools de nœuds sans disques SSD, ou pour
lesquels le paramètre ne peut pas être modifié.

484 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

5. Cliquez sur Save Changes.


Le message Confirm Change to L3 Cache Setting s’affiche.
6. Cliquez sur Continue.
Le processus de migration visant à désactiver le cache N3 commence et peut
prendre un certain temps, selon le nombre et la taille des disques SSD du pool
de nœuds. Lorsque la migration est terminée, la boîte de dialogue View Node
Pool Details s’affiche.
7. Cliquez sur Close.

Gestion des niveaux


Pour optimiser la gestion des fichiers et du stockage, vous pouvez déplacer des pools
de nœuds vers des niveaux. La gestion des niveaux nécessite des privilèges
d’administration SmartPools ou supérieurs.

Créer un niveau
Vous pouvez créer un niveau contenant un ou plusieurs pools de nœuds. Vous pouvez
utiliser ce niveau pour stocker des catégories de fichiers spécifiques.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools s’affiche et présente deux sections : Tiers & Node Pools
et Compatibilities.
2. Dans la section Tiers & Node Pools, cliquez sur Create a Tier.
3. À la page Create a Tier qui s’affiche, saisissez le nom du niveau.
4. Pour chaque pool de nœuds que vous voulez ajouter au niveau, sélectionnez un
pool de nœuds dans la liste Available Node Pools, puis cliquez sur Add.
Le pool de nœuds est déplacé vers la liste Selected Node Pools for this Tier.
5. Cliquez sur Create Tier.
La page Create a Tier se ferme et le nouveau niveau est ajouté à la section
Tiers & Node Pools. Les pools de nœuds que vous avez ajoutés sont affichés
sous le nom du niveau.

Modifier un niveau
Vous pouvez modifier le nom d’un niveau et les pools de nœuds qui lui sont attribués.
Un nom de niveau peut contenir des caractères alphanumériques et des traits de
soulignement, mais il ne peut pas commencer par un nombre.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux groupes : Tiers & Node Pools et
Compatibilities.
2. Dans la zone Tiers & Node Pools, en regard du niveau à modifier, cliquez sur
View/Edit.
3. Dans la boîte de dialogue View Tier Details, cliquez sur Edit Tier.

Gestion des niveaux 485


Pools de stockage

4. Dans la boîte de dialogue Edit Tier Details, apportez les modifications voulues
aux paramètres suivants :

Option Description
Tier Name Pour modifier le nom du niveau, sélectionnez le nom
existant et remplacez-le par le nouveau.
Node Pool Pour modifier la sélection de pool de nœuds,
Selection sélectionnez un pool, puis cliquez sur Add ou Remove.

5. Une fois que vous avez terminé de modifier les paramètres du niveau, cliquez
sur Save Changes.
6. Dans la boîte de dialogue View Tier Details, cliquez sur Close.

Supprimer un niveau
Vous pouvez supprimer un niveau auquel aucun pool de nœuds n’est attribué.
Avant de commencer
Pour supprimer un niveau auquel des pools de nœuds sont attribués, vous devez
d’abord supprimer les pools de nœuds du niveau.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux listes : Tiers & Node Pools et
Compatibilities.
2. Dans la liste Tiers & Node Pools, en regard du niveau à supprimer, cliquez sur
More > Delete Tier.
Un message vous demande de confirmer ou d’annuler l’opération.
3. Cliquez sur Delete Tier pour confirmer l’opération.
Résultats
Le niveau est supprimé de la liste Tiers & Node Pools.

Création de règles de pool de fichiers


Vous pouvez configurer des règles de pool de fichiers pour identifier des groupes
logiques de fichiers nommés pools de fichiers, et vous pouvez spécifier des opérations
de stockage pour ces fichiers.
Avant de pouvoir créer des règles de pool de fichiers, vous devez activer une licence
SmartPools et disposer des privilèges SmartPools ou de privilèges d’administration
supérieurs.
Les règles de pool de fichiers se composent de deux parties : les critères de
correspondance de fichiers qui définissent un pool de fichiers et les actions à appliquer
au pool. Vous pouvez définir des pools de fichiers en fonction de caractéristiques du
fichier, telles que le type, la taille, le chemin ou l’horodatage (création, modification et
accès), et combiner ces critères avec des opérateurs booléens (AND, OR).
En plus des critères de correspondance de fichiers, vous pouvez indiquer diverses
actions à appliquer au pool de fichiers. Ces actions sont les suivantes :
l Définition des paramètres de protection demandée et d’optimisation de l’accès aux
données

486 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

l Identification des cibles de stockage de données et de snapshots


l Définition des stratégies SSD pour les données et les snapshots
l Activation ou désactivation de SmartCache
Par exemple, pour libérer de l’espace disque sur votre niveau de performances (pools
de nœuds de la gamme S), vous pouvez créer une règle de pool de fichiers qui
recherche tous les fichiers d’une taille supérieure à 25 Mo n’ayant fait l’objet d’aucun
accès ni d’aucune modification depuis plus d’un mois, puis qui les déplace vers votre
niveau d’archivage (pools de nœuds de la gamme NL).
Vous pouvez configurer et hiérarchiser plusieurs règles de pool de fichiers afin
d’optimiser le stockage des fichiers pour vos flux de travail et votre configuration de
cluster spécifiques. Lorsque la tâche SmartPools s’exécute, par défaut une fois par
jour, elle applique les règles de pool de fichiers par ordre de priorité. Lorsqu’un pool de
fichiers correspond aux critères définis dans une règle, les actions de cette règle sont
appliquées et les règles personnalisées à faible priorité sont ignorées pour ce pool de
fichiers.
Une fois la liste des règles de pool de fichiers personnalisées parcourue, si l’une des
actions n’a pas été appliquée à un fichier, les actions de la règle de pool de fichiers par
défaut sont appliquées. Ainsi, la règle de pool de fichiers par défaut garantit que toutes
les actions s’appliquent à chaque fichier.

Remarque

Vous pouvez réorganiser la liste des règles de pool de fichiers à tout moment, mais la
règle de pool de fichiers par défaut est toujours la dernière de la liste.

OneFS fournit également des modèles de règles personnalisables que vous pouvez
copier pour définir vos propres règles. Cependant, ces modèles sont uniquement
disponibles à partir de l’interface d’administration Web OneFS.

Créer une règle de pools de fichiers


Vous pouvez créer une règle de pool de fichiers pour définir un jeu de fichiers
spécifique et indiquer des actions SmartPools à appliquer aux fichiers sélectionnés.
Ces actions SmartPools incluent le déplacement des fichiers vers certains niveaux ou
pools de nœuds, la modification des niveaux de protection demandés, ainsi que
l’optimisation des performances d’écriture et de l’accès aux données.

ATTENTION

Si les règles de pools de fichiers existantes transfèrent les données vers un pool
de stockage spécifique, ne configurez pas d’autres règles de pools de fichiers
avec anywhere pour l’option Data storage target. Étant donné que le pool de
stockage spécifié est inclus lorsque vous utilisez anywhere, ciblez des pools de
stockage spécifiques pour éviter tout résultat inattendu.

Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
2. Cliquez sur Create a File Pool Policy.
3. Dans la boîte de dialogue Create a File Pool Policy, saisissez le nom de la règle
et, éventuellement, une description.
4. Indiquez les fichiers que la règle de pool de fichiers doit gérer.
Pour définir le pool de fichiers, vous pouvez spécifier des critères de
correspondance en combinant des conditions IF, AND et OR. Vous pouvez

Créer une règle de pools de fichiers 487


Pools de stockage

définir ces conditions avec un certain nombre d’attributs de fichier, tels que le
nom, le chemin, le type, la taille et les informations d’horodatage.
5. Spécifiez les actions SmartPools à appliquer au pool de fichiers sélectionné.
Vous pouvez définir des paramètres de stockage et d’optimisation des E/S à
appliquer.
6. Cliquez sur Create Policy.
Résultats
La règle de pool de fichiers est créée et appliquée lors de l’exécution planifiée suivante
de la tâche système SmartPools. Par défaut, cette tâche s’exécute une fois par jour,
mais vous avez également la possibilité de la démarrer immédiatement.

Options de correspondance de fichiers pour les règles de pool de fichiers


Vous pouvez configurer une règle de pool de fichiers pour les fichiers répondant à des
critères spécifiques.
Les options de correspondance de fichiers ci-dessous peuvent être spécifiées lorsque
vous créez ou modifiez une règle de pool de fichiers.

Remarque
OneFS prend en charge la correspondance de schémas de type shell UNIX (glob) pour
les attributs de nom et les chemins de fichier.

Le tableau ci-dessous répertorie les attributs de fichier que vous pouvez utiliser pour
définir une règle de pool de fichiers.

Attribut de fichier Spécifie

Name Inclut ou exclut des fichiers en fonction de leur nom.


Vous pouvez choisir d’inclure ou d’exclure des noms partiels
ou complets contenant un texte spécifique. Les caractères
génériques ne sont pas autorisés.

Path Inclut ou exclut des fichiers en fonction de leur chemin.


Vous pouvez choisir d’inclure ou exclure des chemins
partiels ou complets contenant un texte spécifique. Vous
pouvez également inclure les caractères génériques *, ? et
[ ].

File type Inclut ou exclut des fichiers selon l’un des types d’objet
suivants du système de fichiers :
l Fichier
l Répertoire
l Autre

Size Inclut ou exclut des fichiers en fonction de leur taille.

Remarque

Les tailles de fichier sont représentées par des multiples de


1 024 et non de 1 000.

488 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

Attribut de fichier Spécifie

Modified Inclut ou exclut des fichiers en fonction de leur dernière


date de modification.
Dans l’interface d’administration Web, vous pouvez
spécifier une date et une heure relatives, par exemple « plus
de 2 semaines » ou une date et une heure spécifiques, par
exemple « avant le 1er janvier 2012 ». Les paramètres
d’heure sont au format 24 heures.

Created Inclut ou exclut des fichiers en fonction de leur date de


création.
Dans l’interface d’administration Web, vous pouvez
spécifier une date et une heure relatives, par exemple « plus
de 2 semaines » ou une date et une heure spécifiques, par
exemple « avant le 1er janvier 2012 ». Les paramètres
d’heure sont au format 24 heures.

Metadata changed Inclut ou exclut des fichiers en fonction de la dernière date


de modification des métadonnées. Cette option est
disponible seulement si l’option globale de suivi des dates
d’accès du cluster est activée.
Dans l’interface d’administration Web, vous pouvez
spécifier une date et une heure relatives, par exemple « plus
de 2 semaines » ou une date et une heure spécifiques, par
exemple « avant le 1er janvier 2012 ». Les paramètres
d’heure sont au format 24 heures.

Accessed Inclut ou exclut des fichiers en fonction de leur dernière


date d’accès, selon les unités de temps suivantes :
Dans l’interface d’administration Web, vous pouvez
spécifier une date et une heure relatives, par exemple « plus
de 2 semaines » ou une date et une heure spécifiques, par
exemple « avant le 1er janvier 2012 ». Les paramètres
d’heure sont au format 24 heures.

Remarque

Étant donné qu’il affecte les performances, le suivi des


dates d’accès en tant que critère de règle de pool de
fichiers est désactivé par défaut.

File attribute Inclut ou exclut des fichiers en fonction d’un attribut


personnalisé défini par l’utilisateur.

Caractères génériques valides


Vous pouvez combiner des caractères génériques et des options de correspondance
de fichiers pour définir une règle de pool de fichiers.
OneFS prend en charge la correspondance de schémas de type shell UNIX (glob) pour
les attributs de nom et les chemins de fichier.

Caractères génériques valides 489


Pools de stockage

Le tableau suivant répertorie les caractères génériques valides que vous pouvez
associer à des options de correspondance de fichiers pour définir une règle de pool de
fichiers.

Caractère Description
générique
* Met en correspondance n’importe quelle chaîne à la place de
l’astérisque.
Par exemple, m* correspond à movies et à m123.

[a-z] Met en correspondance tout caractère situé entre les crochets ou


une plage de caractères séparés par un tiret. Par exemple, b[aei]t
correspond à bat, bet et bit, et 1[4-7]2 correspond à 142,
152, 162 et 172.
Vous pouvez exclure des caractères entre crochets en faisant suivre
le premier crochet par un point d’exclamation. Par exemple, b[!ie]
correspond à bat, mais ni à bit, ni à bet.
Vous pouvez mettre en correspondance un crochet à l’intérieur de
crochets s’il s’agit du premier ou du dernier caractère. Par exemple,
[[c]at correspond à cat et à [at.
Vous pouvez mettre en correspondance un tiret à l’intérieur de
crochets s’il s’agit du premier ou du dernier caractère. Par exemple,
car[-s] correspond à cars et à car-.

? Met en correspondance n’importe quel caractère à la place du point


d’interrogation. Par exemple, t?p correspond à tap, tip et top.

Paramètres SmartPools
Les paramètres SmartPools englobent la protection des répertoires, l’accélération de
l’espace de nommage global, le cache N3, le disque de secours virtuel, le
débordement, la gestion de la protection demandée et l’optimisation des E/S.

Paramètres dans Paramètres dans la Description Remarques


l’admin Web CLI

Increase directory --protect-directories-one- Définit un niveau de protection Ce paramètre doit être activé
protection to a higher level-higher des répertoires plus élevé que (option par défaut).
level than its contents celui appliqué aux répertoires et Lorsque ce paramètre est
aux fichiers qu’ils incluent, afin désactivé, le répertoire qui
de maintenir l’accès aux données contient un pool de fichiers est
qui ne sont pas perdues. protégé en fonction de vos
Lorsqu’une panne de paramètres de niveau de
périphérique entraîne une perte protection, mais les périphériques
de données (par exemple, trois utilisés pour stocker le répertoire
disques ou deux nœuds dans une et le fichier ne sont pas
règle +2:1), l’activation de ce nécessairement les mêmes. Vous
paramètre garantit que les risquez de perdre des nœuds
données intactes sont toujours contenant des données de fichier
accessibles. intactes sans pouvoir accéder à
ces données, car ces nœuds
contenaient le répertoire.

490 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

Paramètres dans Paramètres dans la Description Remarques


l’admin Web CLI
Prenons l’exemple d’un cluster
qui a un paramètre de protection
de pool de fichiers par défaut
de +2 et aucune règle
supplémentaire de pool de
fichiers. Les répertoires OneFS
sont toujours mis en miroir, de
sorte qu’ils sont stockés à 3x, ce
qui équivaut à la protection par
défaut de +2 avec mise en miroir.
Cette configuration peut
supporter une défaillance de deux
nœuds avant la perte ou
l’inaccessibilité des données. Si
ce paramètre est activé, tous les
répertoires sont protégés à 4x. Si
le cluster rencontre trois
défaillances de nœuds, même si
certains fichiers sont
inaccessibles, l’arborescence est
disponible et permet l’accès aux
fichiers qui restent accessibles.
En outre, si une autre règle de
pool de fichiers protège certains
fichiers à un niveau plus élevé,
ceux-ci sont également
accessibles en cas de défaillance
de trois nœuds.

Enable global --global-namespace- Permet d’autoriser les Ce paramètre est disponible


namespace acceleration-enabled métadonnées par fichier à utiliser uniquement si au moins 20 % des
acceleration les disques SSD du pool de nœuds du cluster contiennent des
nœuds. disques SSD et si au moins 1,5 %
de l’ensemble du stockage de
l Lorsque cette option est
cluster est basé sur des
désactivée, les métadonnées
disques SSD.
par fichier sont limitées à la
Ce paramètre ne s’applique pas à
règle de pool de stockage du
IsilonSD Edge.
fichier, sauf en cas de
débordement. C’est le Si des nœuds sont ajoutés ou
paramètre par défaut. supprimés d’un cluster de sorte
que les seuils des disques SSD ne
l Lorsque cette option est
sont plus respectés,
activée, les métadonnées par
l’accélération de l’espace de
fichier peuvent utiliser les
nommage global (GNA) ne
disques SSD de n’importe
fonctionne plus, mais reste
quel pool de nœuds.
activée. Ainsi, elle se remet à
fonctionner si les seuils des
disques SSD sont à nouveau
respectés.

Paramètres SmartPools 491


Pools de stockage

Paramètres dans Paramètres dans la Description Remarques


l’admin Web CLI

Remarque

Les pools de nœuds dont le


cache N3 est activé sont
effectivement invisibles pour
l’accélération de l’espace de
nommage global. Tous les calculs
de ratio pour l’accélération de
l’espace de nommage global
concernent exclusivement les
pools de nœuds dont le cache N3
est désactivé.

Use SSDs as L3 Cache --ssd-l3-cache-default- Pour les pools de nœuds Le cache N3 est activé par défaut
by default for new enabled comprenant des disques SSD, sur les nouveaux pools de nœuds.
node pools déploie des disques SSD en tant Lorsque vous activez le cache N3
que cache N3. Le cache N3 sur un pool de nœuds existant,
étend le cache N2 tout en OneFS effectue une migration,
accélérant les performances du qui déplace toutes les données
système de fichiers pour les présentes sur les disques SSD
grands jeux de fichiers de travail. vers d’autres emplacements du
cluster.
Ce paramètre ne s’applique pas à
IsilonSD Edge.
OneFS gère tous les niveaux de
cache afin d’offrir une protection,
une disponibilité et des
performances optimales. En cas
de coupure d’alimentation, les
données du cache N3 sont
conservées et sont à nouveau
disponibles une fois l’alimentation
rétablie.

Virtual Hot Spare --virtual-hot-spare-deny- Réserve un volume minimal Si vous configurez un nombre
writes d’espace dans le pool de nœuds minimal de disques virtuels et un
--virtual-hot-spare-hide- qui peut être utilisé pour réparer pourcentage minimal d’espace
spare les données en cas de défaillance disque total lorsque vous
de disque. configurez l’espace VHS réservé,
--virtual-hot-spare-limit-
la valeur minimale appliquée
drives Pour réserver de l’espace disque
répond aux deux exigences.
en tant que disque de secours
--virtual-hot-spare-limit-
virtuel, effectuez un choix parmi Si ce paramètre est activé alors
percent
les options suivantes : que Deny new data writes est
désactivé, il est possible que le
l Ignore reserved disk
taux d’utilisation du système de
space when calculating
fichiers affiché soit supérieur à
available free space. 100 %.
Soustrait l’espace réservé au
disque de secours virtuel lors
du calcul de l’espace
disponible.

492 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

Paramètres dans Paramètres dans la Description Remarques


l’admin Web CLI

l Deny data writes to


reserved disk space.
Empêche les opérations
d’écriture d’utiliser l’espace
disque réservé.
l VHS Space Reserved.
Vous pouvez réserver un
nombre minimal de disques
virtuels (1 à 4), ainsi qu’un
pourcentage minimal
d’espace disque total
(0 à 20 %).

Enable global spillover --no-spillover Indique comment gérer les l Lorsque cette option est
opérations d’écriture sur un pool activée, elle redirige les
de nœuds qui n’est pas opérations d’écriture d’un
accessible en écriture. pool de nœuds qui n’est pas
accessible en écriture vers un
autre pool de nœuds ou
ailleurs sur le cluster (option
par défaut).
l Lorsque cette option est
désactivée, une erreur
d’espace disque est renvoyée
pour les opérations d’écriture
sur un pool de nœuds qui
n’est pas accessible en
écriture.

Spillover Data Target --spillover-target Spécifie un autre pool de Lorsque le débordement est
--spillover-anywhere stockage à cibler lorsqu’un pool activé, mais qu’il est important
de stockage n’est pas accessible que les écritures de données
en écriture. n’échouent pas, sélectionnez
anywhere pour le paramètre
Spillover Data Target, même
si les règles de pool de fichiers
envoient les données à des pools
spécifiques.

Manage protection --automatically-manage- Lorsque ce paramètre est activé, Lorsque l’option Apply to files
settings protection SmartPools gère with manually-managed
automatiquement les niveaux de protection est activée, tous les
protection demandés. paramètres de protection qui ont
été configurés via l’explorateur du
système de fichiers ou l’interface
de ligne de commande sont
écrasés.

Manage I/O --automatically-manage- Lorsque cette option est activée, Lorsque l’option Apply to files
optimization settings io-optimization la technologie SmartPools est with manually-managed I/
utilisée pour gérer l’optimisation O optimization settings est
des E/S.

Paramètres SmartPools 493


Pools de stockage

Paramètres dans Paramètres dans la Description Remarques


l’admin Web CLI
activée, tous les paramètres
d’optimisation des E/S qui ont
été configurés via l’explorateur du
système de fichiers ou l’interface
de ligne de commande sont
écrasés.

Gestion des règles de pool de fichiers


Vous pouvez modifier, réorganiser, copier et supprimer des règles de pool de fichiers
personnalisées. Vous pouvez modifier la règle de pool de fichiers par défaut, mais vous
ne pouvez pas la réorganiser ni la supprimer.
Pour gérer les règles de pools de fichiers, effectuez les tâches suivantes :
l modifier les règles de pool de fichiers ;
l modifier la règle de pool de fichiers par défaut ;
l copier les règles de pool de fichiers ;
l utiliser un modèle de règle de pool de fichiers ;
l réorganiser des règles de pool de fichiers ;
l supprimer des règles de pool de fichiers.

Configurer les paramètres de protection du pool de fichiers par défaut


Vous pouvez configurer les paramètres de protection du pool de fichiers par défaut.
Les paramètres par défaut sont appliqués à tous les fichiers qui ne sont pas couverts
par une autre règle de pool de fichiers.

ATTENTION

Si les règles de pool de fichiers existantes dirigent les données vers un pool de
stockage spécifique, n’ajoutez pas et ne modifiez pas une règle de pool de
fichiers avec anywhere pour l’option Data storage target. À la place, ciblez un
pool de fichiers spécifique.

Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
2. Sous l’onglet File Pool Policies, en regard de Default Policy dans la liste,
cliquez sur View/Edit.
La boîte de dialogue View Default Policy Details s’affiche.
3. Cliquez sur Edit Policy.
La boîte de dialogue Edit Default Policy Details s’affiche.
4. Dans la section Apply SmartPools Actions to Selected Files, sélectionnez les
paramètres de stockage que vous souhaitez appliquer par défaut pour Storage
Target, Snapshot Storage Target et Requested Protection.
5. Cliquez sur Save Changes, puis sur Close.

494 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

Résultats
La prochaine fois que la tâche SmartPools s’exécute, les paramètres que vous avez
sélectionnés sont appliqués à tous les fichiers non couverts par une autre règle de pool
de fichiers.

Paramètres de protection demandée du pool de fichiers par défaut


Les paramètres de protection par défaut permettent de spécifier la cible de stockage
des données, la cible de stockage des snapshots, la protection demandée et la
stratégie de disque SSD pour les fichiers filtrés par la règle de pool de fichiers par
défaut.

Paramètres Paramètres (CLI) Description Remarques


(admin Web)
Storage Target --data-storage- Spécifie le pool de stockage (pool de nœuds ou
Remarque
target niveau) que vous souhaitez cibler avec cette règle
--data-ssd-strategy de pool de fichiers. Si l’accélération de l’espace
de nommage global (GNA)
ATTENTION n’est pas activée et que le
pool de stockage
Si les règles de pools de fichiers existantes
sélectionné comme cible ne
transfèrent les données vers un pool de
contient pas de disque SSD,
stockage spécifique, ne configurez pas d’autres
vous ne pouvez pas définir
règles de pools de fichiers avec anywhere pour
de stratégie SSD.
l’option Data storage target. Étant donné que
le pool de stockage spécifié est inclus lorsque L’option Use SSDs for
vous utilisez anywhere, ciblez des pools de
metadata read
stockage spécifiques pour éviter les
acceleration écrit les
emplacements de stockage de fichiers non
données et les
souhaités.
métadonnées de fichier sur
des pools de stockage HDD,
Pour définir votre stratégie SSD, sélectionnez l’une mais ajoute un miroir SSD,
des options suivantes : si cela est possible, pour
Use SSDs for metadata read acceleration accélérer les performances
de lecture. Cette option
Paramètre par défaut. Écrit les données et les
utilise des disques durs pour
métadonnées de fichier sur des disques durs,
garantir la fiabilité et fournit
et les métadonnées sur des disques SSD.
un miroir de métadonnées
Accélère uniquement la lecture des
supplémentaire sur des
métadonnées. Utilise moins d’espace SSD que
disques SSD, si cela est
le paramètre Metadata read/write
possible, afin d’améliorer les
acceleration. performances de lecture.
Cette option est
Use SSDs for metadata read/write recommandée pour la
acceleration plupart des utilisations.
Écrit les métadonnées sur des pools de
Lorsque vous sélectionnez
disques SSD. Utilise beaucoup plus d’espace
l’option Use SSDs for
SSD que l’option Metadata read
metadata read/write
acceleration, mais accélère les lectures et
acceleration, la stratégie
les écritures des métadonnées.
utilise des disques SSD, s’ils
sont disponibles dans la
cible de stockage, pour des
performances et une

Paramètres de protection demandée du pool de fichiers par défaut 495


Pools de stockage

Paramètres Paramètres (CLI) Description Remarques


(admin Web)

Use SSDs for data & metadata fiabilité optimales. Le miroir


supplémentaire peut
Utilise des disques SSD pour les données et
provenir d’un pool de
les métadonnées. Que l’accélération de
stockage différent avec
l’espace de nommage global soit activée ou
activation GNA ou du même
non, tous les blocs de disques SSD résident
pool de nœuds.
sur la cible de stockage si l’espace est
suffisant. Ni la stratégie Use SSDs
for data & metadata, ni
Avoid SSDs la stratégie Use SSDs for
Écrit toutes les données et les métadonnées metadata read/write
de fichier associées sur des disques durs acceleration n’entraînent
uniquement. la création de miroirs
supplémentaires au-delà de
ATTENTION la protection demandée
Utilisez ce paramètre pour libérer de normale. Les données et les
l’espace SSD uniquement après avoir métadonnées de fichier
consulté le personnel du support technique sont stockées sur des
Isilon. Ce paramètre peut dégrader les disques SSD, s’ils sont
performances. disponibles dans la règle de
pool de fichiers. Cette
option nécessite une grande
quantité de stockage SSD.

Snapshot storage --snapshot-storage- Spécifie le nom du pool de stockage que vous Les remarques relatives aux
target target souhaitez cibler pour le stockage des snapshots paramètres data-storage-
--snapshot-ssd- avec cette règle de pool de fichiers. Les target s’appliquent
strategy paramètres sont les mêmes que pour data-storage- également aux paramètres
target, mais s’appliquent aux données des snapshot-storage-target.
snapshots.

Requested --set-requested- Default of storage pool. Attribue la protection Pour modifier la protection
protection protection demandée par défaut du pool de stockage aux demandée, sélectionnez une
fichiers filtrés. nouvelle valeur dans la liste.

Specific level. Attribue une protection demandée


spécifique aux fichiers filtrés.

Configurer les paramètres d’optimisation des E/S par défaut


Vous pouvez configurer les paramètres d’optimisation des E/S par défaut.
Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
2. Sous l’onglet File Pool Policies, en regard de Default Policy dans la liste,
cliquez sur View/Edit.
La boîte de dialogue View Default Policy Details s’affiche.
3. Cliquez sur Edit Policy.
La boîte de dialogue Edit Default Policy Details s’affiche.

496 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

4. Dans la section Apply SmartPools Actions to Selected Files, sous I/O


Optimization Settings, choisissez les paramètres que vous voulez appliquer par
défaut pour Write Performance et Data Access Pattern.
5. Cliquez sur Save Changes, puis sur Close.
Résultats
La prochaine fois que la tâche SmartPools s’exécute, les paramètres que vous avez
sélectionnés sont appliqués à tous les fichiers non couverts par une autre règle de pool
de fichiers.

Paramètres d’optimisation des E/S du pool de fichiers par défaut


Vous pouvez gérer les paramètres d’optimisation des E/S qui sont utilisés dans la règle
de pool de fichiers par défaut, qui peut inclure les fichiers avec des attributs gérés
manuellement.
Pour permettre à SmartPools de remplacer les paramètres d’optimisation configurés à
l’aide de l’explorateur du système de fichiers ou de la commande isi set,
sélectionnez l’option Including files with manually-managed I/O optimization
settings dans le groupe Default Protection Settings. Dans l’interface de ligne de
commande, utilisez l’option --automatically-manage-io-optimization avec
la commande isi storagepool settings modify.

Paramètre Paramètre (CLI) Description Remarques


(admin Web)
Performances en --enable-coalescer Active ou désactive Enable SmartCache est le paramètre recommandé
écriture SmartCache (également pour obtenir les meilleures performances d’écriture.
appelé fusionneur). Avec les écritures asynchrones, le serveur Isilon met
les écritures en mémoire tampon. Toutefois, si vous
souhaitez désactiver cette mise en mémoire tampon,
nous vous recommandons de configurer vos
applications pour qu’elles utilisent des écritures
synchrones. Si cela n’est pas possible, désactivez
SmartCache.

Data Access --data-access- Définit les paramètres Les fichiers et les répertoires utilisent un modèle
Pattern pattern d’optimisation pour d’accès simultané par défaut. Pour optimiser les
l’accès simultané, en performances, sélectionnez le modèle correspondant à
temps réel ou aléatoire votre workflow. Par exemple, un workflow d’édition
aux différents types de vidéo important doit être défini sur Optimize for
données. streaming access. Ce workflow rencontrera des
problèmes si le modèle d’accès aux données est défini
sur Optimize for random access.

Modifier une règle de pools de fichiers


Vous pouvez modifier une règle de pool de fichiers.

Paramètres d’optimisation des E/S du pool de fichiers par défaut 497


Pools de stockage

ATTENTION

Si les règles de pools de fichiers existantes transfèrent les données vers un pool
de stockage spécifique, ne configurez pas d’autres règles de pools de fichiers
avec anywhere pour l’option Data storage target. Étant donné que le pool de
stockage spécifié est inclus lorsque vous utilisez anywhere, ciblez des pools de
stockage spécifiques pour éviter les emplacements de stockage de fichiers non
souhaités.

Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
2. Dans la liste File Pool Policies, en regard de la règle que vous souhaitez
modifier, cliquez sur View/Edit.
La boîte de dialogue View File Pool Policy Details s’affiche.
3. Cliquez sur Edit Policy.
La boîte de dialogue Edit File Pool Policy Details s’affiche.
4. Modifiez les paramètres de la règle, puis cliquez sur Save Changes.
5. Cliquez sur Close dans la boîte de dialogue View File Pool Policy Details.
Résultats
Les modifications apportées à la règle de pools de fichiers sont appliquées lors de
l’exécution de la tâche SmartPools suivante. Vous pouvez également démarrer la
tâche SmartPools manuellement pour exécuter la règle immédiatement.

Hiérarchiser une règle de pools de fichiers


Vous pouvez modifier la priorité des règles de pool de fichiers personnalisées. Les
règles de pools de fichiers sont évaluées par ordre décroissant en fonction de leur
position dans la liste des règles de pools de fichiers.
Par défaut, les nouvelles règles sont insérées immédiatement au-dessus de la règle de
pool de fichiers par défaut, qui est toujours placée à la fin de la liste et a donc la
priorité la plus faible. Pour attribuer une priorité plus ou moins élevée à une règle
personnalisée, déplacez-la vers le haut ou vers le bas de la liste.
Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
L’onglet File Pool Policies comporte deux listes : File Pool Policies et Policy
Templates.
2. Dans la liste File Pool Policies, dans la colonne Order, cliquez sur l’icône
représentant une flèche en regard de la règle pour la déplacer vers le haut ou
vers le bas dans l’ordre des priorités.
3. Répétez l’étape ci-dessus pour chaque règle dont vous souhaitez modifier la
priorité.
Résultats
Lors de l’exécution d’une tâche système SmartPools, les règles de pool de fichiers
sont traitées dans l’ordre de priorité. La règle de pool de fichiers par défaut est
appliquée à tous les fichiers qui ne sont concernés par aucune autre règle de pool de
fichiers.

498 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

Créer une règle de pool de fichiers à partir d’un modèle


Vous pouvez créer une nouvelle règle de pool de fichiers à partir d’un modèle de règle.
Les modèles sont préconfigurés pour les workflows classiques, tels que l’archivage des
fichiers plus anciens ou la gestion des machines virtuelles (fichiers .vmdk).
Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
L’onglet File Pool Policies comporte deux listes : File Pool Policies et Policy
Templates.
2. Dans la liste Policy Templates, en regard du nom du modèle à utiliser, cliquez
sur View/Use Template.
La boîte de dialogue View File Pool Policy Template Details s’ouvre.
3. Cliquez sur Use Template.
La boîte de dialogue Create a File Pool Policy s’ouvre.
4. (Requis) Indiquez le nom de la règle et sa description, puis modifiez comme
vous le souhaitez les paramètres de la règle.
5. Cliquez sur Save Changes.

Résultats
La nouvelle règle personnalisée est ajoutée à la liste File Pool Policies, juste au-dessus
de la règle par défaut.

Supprimer une règle de pools de fichiers


Vous pouvez supprimer toutes les règles de pool de fichiers, à l’exception de la règle
par défaut.
Lorsque vous supprimez une règle de pool de fichiers, son pool de fichiers est contrôlé
par une autre règle ou par la règle par défaut à la prochaine exécution de tâche
SmartPools.
Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
L’onglet File Pool Policies comporte deux listes : File Pool Policies et Policy
Templates.
2. Dans la liste File Pool Policies, en regard de la règle que vous souhaitez
supprimer, cliquez sur Delete.
3. Dans la boîte de dialogue Confirm Delete, cliquez sur Delete.
Résultats
La règle de pool de fichiers est retirée de la liste File Pool Policies.

Surveillance des pools de stockage


Vous pouvez accéder aux informations relatives à la santé et à l’utilisation d'un pool de
stockage.
Les informations suivantes sont disponibles :
l Fonctionnement de la règle de pool de fichiers

Créer une règle de pool de fichiers à partir d’un modèle 499


Pools de stockage

l Fonctionnement de SmartPools, y compris les niveaux, les pools de nœuds et les


sous-pools
l Pour chaque pool de stockage, pourcentage d’utilisation de l’espace des disques
durs et des disques SSD
l État de la tâche SmartPools

Surveiller les pools de stockage


Vous pouvez afficher l’état des règles de pool de fichiers, de SmartPools et des
paramètres.
Procédure
1. Cliquez sur File System > Storage Pools > Summary.
L’onglet Summary contient deux sections : la liste Status et le graphique Local
Storage Usage.
2. Dans la liste Status, vérifiez l’état des règles, de SmartPools et des paramètres
SmartPools.
3. (Facultatif) Si l’état d’un élément n’est pas Good, cliquez sur View Details pour
afficher et résoudre les problèmes.
4. Dans la zone Local Storage Usage, consultez les statistiques associées à
chaque pool de nœuds.
Par exemple, si le taux d’utilisation du pool de nœuds n’est pas équilibré, il peut
être utile d’envisager de modifier vos règles de pool de fichiers.

Afficher l’état de santé des sous-pools


OneFS répertorie dans une liste les sous-pools qui ne sont pas fonctionnels afin que
vous corrigiez les éventuels problèmes.
Un sous-pool, également appelé pool de disques, est un ensemble de disques qui fait
partie d’un pool de nœuds.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche trois groupes : Tiers & Node Pools,
Compatibilities et Subpools Health.
2. Dans la zone Subpools Health, vous pouvez consulter les informations sur les
pools non fonctionnels afin de prendre les mesures adéquates.

Afficher les résultats d’une tâche SmartPools


Vous pouvez consulter les résultats détaillés de la dernière exécution de la tâche
SmartPools.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Reports.
L’onglet Jobs Reports affiche une liste de rapports de tâche.
2. Dans la liste Job Reports, dans la colonne Type, recherchez la dernière tâche
SmartPools, puis cliquez sur View Details.
La boîte de dialogue View Job Report Details s’ouvre et affiche le rapport sur
la tâche.

500 OneFS 8.0.1 Guide d’administration Web


Pools de stockage

3. Parcourez le rapport pour consulter les résultats de chaque règle de pool de


fichiers.
4. Lorsque vous avez terminé, cliquez sur Close dans la boîte de dialogue View
Job Report Details.

Afficher les résultats d’une tâche SmartPools 501


Pools de stockage

502 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 23
CloudPools

Cette section traite des points suivants :

l Présentation de CloudPools............................................................................. 504


l Fournisseurs de Cloud pris en charge...............................................................505
l Concepts de CloudPools.................................................................................. 507
l Traitement des fichiers avec CloudPools......................................................... 509
l Archivage des fichiers avec des règles de pool de fichiers................................ 510
l Récupération des données de fichier à partir du Cloud..................................... 518
l Interopérabilité de CloudPools avec les autres fonctions de OneFS..................519
l Bonnes pratiques CloudPools...........................................................................526
l Résolution des problèmes liés à CloudPools..................................................... 527
l Serveurs proxy réseau avec CloudPools...........................................................530
l Gestion des comptes de stockage Cloud..........................................................533
l Gestion de CloudPools..................................................................................... 535
l Gestion des règles du Cloud.............................................................................536

CloudPools 503
CloudPools

Présentation de CloudPools
CloudPools étend les fonctions de OneFS en vous permettant de spécifier les données
à déplacer vers un stockage Cloud plus économique. CloudPools peut se connecter en
toute transparence aux systèmes de stockage Cloud EMC ainsi qu’aux fournisseurs
tiers les plus courants, à savoir Amazon S3 et Microsoft Azure.
CloudPools est un module sous licence basé sur le framework de règles de pool de
fichiers SmartPools, qui vous offre un contrôle granulaire du stockage en mode fichier
sur votre cluster. CloudPools étend ce contrôle du stockage de fichiers à un ou
plusieurs référentiels de Cloud, qui agissent comme des niveaux supplémentaires du
stockage OneFS.
Avant l’introduction de CloudPools, SmartPools permettait le regroupement de nœuds
dans des pools de stockage appelés pools de nœuds, ainsi que la classification des
pools de nœuds en tant que différents niveaux de stockage. SmartPools inclut un
framework de règles qui vous permet de séparer les fichiers en groupes logiques
appelés pools de fichiers et de stocker ces pools de fichiers sur des niveaux de
stockage spécifiques.
CloudPools étend le framework SmartPools en traitant un référentiel de Cloud comme
un niveau de stockage supplémentaire. Cela vous permet de déplacer les données
anciennes ou rarement utilisées vers le stockage Cloud et de libérer ainsi de l’espace
sur votre cluster.
Comme avec SmartPools, vous définissez les fichiers à stocker dans le Cloud en
créant des règles de pool de fichiers. Ces règles utilisent des critères de
correspondance de fichiers pour déterminer quels pools de fichiers doivent être
déplacés vers le Cloud.
Les règles de pool de fichiers sont appliquées lors de l’exécution de la tâche système
SmartPools (quotidiennement, par défaut). Pour chaque règle, tous les fichiers mis en
correspondance sur le cluster sont gérés selon les spécifications de la règle.
Lorsque les fichiers correspondent à une règle de pool de fichiers contenant des
actions CloudPools, OneFS déplace leurs données vers le Cloud. Le cluster conserve
uniquement les métadonnées et un fichier de proxy, ce qui libère de l’espace de
stockage.
Bien que les données de fichier soient déplacées vers le stockage distant, les fichiers
restent visibles dans le système de fichiers OneFS. CloudPools accomplit cette tâche
en conservant un fichier SmartLink local, qui pointe vers l’emplacement des données
dans le Cloud. Vous pouvez, au besoin, lire, écrire, archiver et rappeler des fichiers à
partir du Cloud.
Lorsqu’un utilisateur accède à un cluster et affiche le système de fichiers OneFS via
un protocole pris en charge (SMB, NFS, Swift ou HDFS), les fichiers SmartLink
apparaissent comme les fichiers d’origine. Lorsque l’utilisateur ouvre un fichier
SmartLink, OneFS récupère automatiquement toutes les données requises du Cloud et
les met en cache. Cette opération est appelée accès à la volée. Les modifications
apportées à un fichier par l’utilisateur lors d’un accès à la volée sont mises à jour dans
les données de fichiers stockées dans le Cloud.
Outre l’accès à la volée, CloudPools fournit une commande CLI permettant d’activer le
rappel complet des fichiers à partir du Cloud, auquel cas les fichiers SmartLink sont
remplacés par les fichiers eux-mêmes.

504 OneFS 8.0.1 Guide d’administration Web


CloudPools

Accès à CloudPools avec IsilonSD Edge


Le module logiciel CloudPools est disponible uniquement avec une licence IsilonSD
Edge payante. Il n’est pas fourni avec la licence gratuite de ce produit.

Fournisseurs de Cloud pris en charge


Avec CloudPools, OneFS prend en charge les fournisseurs de Cloud suivants :
EMC Isilon, EMC ECS Appliance, Virtustream Storage Cloud, Amazon S3 et Microsoft
Windows Azure.

EMC Isilon
CloudPools permet à un cluster EMC Isilon de fonctionner à la manière d’un
fournisseur de stockage Cloud.
Dans ce scénario, un cluster EMC Isilon secondaire fournit une solution de Cloud privé.
Le cluster secondaire archive les fichiers à partir de votre cluster principal et est géré
dans votre datacenter d’entreprise.
Pour fonctionner comme un fournisseur de stockage Cloud, un cluster EMC Isilon
utilise un ensemble d’API intégrant des fonctions qui permettent de configurer les
règles CloudPools, de définir des comptes de stockage Cloud et de récupérer des
rapports d’utilisation du stockage Cloud. Ces API sont désignées collectivement sous
le nom d’API de plate-forme Isilon. Elles sont décrites dans le document OneFS 8.0 API
Reference.
Le cluster secondaire doit exécuter la même version de OneFS en tant que cluster
principal et doit disposer de licences SmartPools et CloudPools actives.
Pour configurer un cluster EMC Isilon secondaire en tant que référentiel de stockage
Cloud, vous devez effectuer plusieurs tâches :
l Sur le cluster secondaire, connectez-vous en tant qu’administrateur système et
créez un nouvel utilisateur.
l Sur le cluster secondaire, créez un rôle disposant d’un accès aux privilèges
Console, Platform API, HTTP, License, Namespace Traverse et Namespace
Access, puis configurez le nouvel utilisateur en tant que membre de ce rôle.
l Sur le cluster secondaire, connectez-vous sous les identifiants du nouvel
utilisateur, puis créez le répertoire dans lequel doivent être stockées les données
du Cloud. Par exemple : /ifs/data/HQ-Archive.
l Sur le cluster principal, configurez le compte de stockage Cloud EMC Isilon en
spécifiant les informations d’identification du nouvel utilisateur et l’URI approprié
pour le cluster secondaire. Puisque le cluster secondaire réside au sein de votre
réseau d’entreprise, l’URI doit avoir un aspect similaire à ce qui suit :

https://10.1.210.310:8080/namespace/ifs/data/HQ-Archive

l Sur le cluster principal, créez un CloudPool qui contient le compte de stockage


Cloud EMC Isilon.

Appliance EMC ECS


CloudPools prend en charge l’appliance EMC ECS (Elastic Cloud Service) en tant que
fournisseur de Cloud.

Accès à CloudPools avec IsilonSD Edge 505


CloudPools

ECS est une plate-forme de stockage Cloud software-defined complète déployée sur
une appliance clé en main d’EMC. Elle prend en charge le stockage, la manipulation et
l’analyse des données non structurées à grande échelle.
L’appliance ECS est spécialement conçue pour répondre aux besoins des applications
mobiles, Cloud, Big Data et nouvelle génération. Comme il s’agit d’une appliance, elle
est simple à installer et à déployer, et prend en charge le multitenancy, l’accès en
libre-service, le suivi d’utilisation, le stockage as-a-service à la demande dans le Cloud
et le provisionnement dynamique des applications.

Virtustream Storage Cloud


CloudPools prend en charge Virtustream Storage Cloud en tant que fournisseur de
Cloud.
Virtustream Storage Cloud (VCS) est un service EMC de Cloud computing géré qui
offre à la fois les avantages d’un Cloud privé dédié et d’un Cloud public multitenant.
VSC permet aux entreprises d’exécuter des applications critiques complexes avec
toutes les économies, l’automatisation et l’agilité du Cloud, mais aussi de respecter
des contrats de niveau de service exigeants, tant sur le plan des performances des
applications que de la disponibilité. En outre, Virtustream fournit une base pour le
respect des exigences du pays et du secteur en matière de sécurité, de conformité et
d’audit.
Virtustream Storage Cloud peut être géré dans votre propre datacenter ou être
proposé sous la forme d’une solution tierce.

Amazon S3
CloudPools peut être configuré pour stocker des données sur Amazon S3 (Simple
Storage System), un fournisseur de Cloud public.
Lorsque vous configurez CloudPools afin d’utiliser Amazon S3 pour le stockage Cloud,
vous devez spécifier les attributs suivants en plus de l’URI, du nom d’utilisateur et de
la clé d’accès.
l ID du compte S3
l Compartiment de reporting de télémétrie S3
l Zone de stockage S3
Lorsque vous créez un compte Amazon S3, le fournisseur de Cloud vous attribue un ID
de compte et vous permet de choisir une zone de stockage. Amazon S3 propose
plusieurs zones de stockage aux États-Unis et dans d’autres régions du monde.

Remarque

CloudPools prend en charge Amazon Web Services Signature V2 pour authentifier les
requêtes sur son stockage Cloud. CloudPools ne prend pas en charge Signature V4.

Pour utiliser CloudPools, vous devez également identifier un compartiment de


reporting de télémétrie S3. Il s’agit de l’emplacement de stockage des rapports de
facturation sur Amazon S3. Ce compartiment doit être accessible à CloudPools.
Pour configurer un compartiment de reporting de télémétrie S3, accédez aux
préférences Billing & Cost Management de la console S3. Indiquez que vous
souhaitez recevoir des rapports de facturation et spécifiez le compartiment dans
lequel ces rapports doivent être enregistrés. Utilisez ce nom de compartiment comme
compartiment de reporting de télémétrie lors de la configuration d’un compte de
stockage Cloud S3 dans CloudPools.

506 OneFS 8.0.1 Guide d’administration Web


CloudPools

Microsoft Azure
Vous pouvez configurer CloudPools pour stocker des données dans Microsoft Azure,
un fournisseur de Cloud public.
Lorsque vous ouvrez un compte Microsoft Azure, vous créez un nom d’utilisateur et
obtenez de Microsoft un URI et une clé d’accès. Lorsque vous configurez CloudPools
pour utiliser Azure, vous devez spécifier les mêmes URI, nom d’utilisateur et clé
d’accès.

Concepts de CloudPools
CloudPools est un module sous licence qui vous permet de déplacer des données de
fichiers de votre cluster Isilon vers le Cloud et de consulter ou de rappeler ces fichiers
lorsque vous en avez besoin. L’utilisation de CloudPools vous oblige à configurer les
comptes de stockage Cloud et les règles de pool de fichiers qui définissent les cibles
du stockage Cloud.
Vous pouvez configurer CloudPools pour transférer automatiquement des fichiers vers
le Cloud, en fonction des règles de pool de fichiers. Vous pouvez également utiliser
une commande OneFS pour archiver des fichiers individuels sur le Cloud ou pour
rappeler des fichiers à partir du Cloud.
CloudPools utilise un flux de travail similaire à celui de OneFS SmartPools. Pour
stocker des fichiers dans le Cloud, vous devez disposer d’au moins un compte auprès
d’un fournisseur de stockage Cloud. Vous devez également configurer OneFS pour un
stockage Cloud et créer des règles de pool de fichiers qui identifient et déplacent des
fichiers vers le Cloud.
Lorsque la tâche SmartPools s’exécute (généralement une fois par jour), les règles de
pool de fichiers sont exécutées et les fichiers mis en correspondance sont envoyés
vers la cible de stockage Cloud. Pour accéder aux données de fichiers stockées dans le
Cloud, vous pouvez ouvrir le fichier SmartLink qui leur est associé via n’importe quel
protocole pris en charge (SMB, NFS, Swift ou HDFS). C’est ce que l’on appelle un
« accès à la volée ». Pour rappeler entièrement un fichier à partir du Cloud, vous
pouvez émettre une commande isi cloud recall à partir de l’interface de ligne
de commande de OneFS.
Voici une description des principaux concepts de CloudPools :
Archive
Processus utilisé par CloudPools pour déplacement des données de fichier vers le
Cloud. Ce processus implique d’extraire les données du fichier et de les placer
dans un ou plusieurs objets de Cloud. CloudPools transfère alors ces objets vers le
stockage Cloud et laisse sur le cluster local un fichier représentatif appelé
SmartLink.

Rappel
Processus utilisé par CloudPools pour inverser le processus d’archivage. Lorsque
vous rappelez un fichier à partir du Cloud, CloudPools remplace le fichier
SmartLink en restaurant les données de fichier d’origine sur OneFS et en
supprimant les objets Cloud du stockage Cloud.

Fichier SmartLink
Pour chaque fichier archivé dans le Cloud, OneFS conserve un fichier SmartLink
associé sur le cluster. Un fichier SmartLink contient des métadonnées et des

Microsoft Azure 507


CloudPools

informations de mappage afin que les données hébergées dans le Cloud puissent
être accessibles ou entièrement rappelées. Si la règle d’archivage d’un fichier
SmartLink l’autorise, l’accès au fichier SmartLink sur le cluster a
automatiquement pour effet de récupérer et mettre en cache les données à partir
du Cloud. Comme les autres fichiers, les fichiers SmartLink peuvent être
sauvegardés individuellement via NDMP ou synchronisés avec les autres clusters
à l’aide de SyncIQ. Lorsque les fichiers SmartLink sont récupérés à partir d’une
sauvegarde ou d’une opération SyncIQ, CloudPools conserve leurs liens avec les
données de fichier associés dans le Cloud.

Règles de pools de fichiers


Les règles de pool de fichiers représentent des mécanismes de contrôle essentiels
pour SmartPools et CloudPools. OneFS exécute toutes les règles de pool de
fichiers à une fréquence régulière. Chaque règle de pool de fichiers spécifie les
fichiers à gérer, les actions à entreprendre sur les fichiers, les niveaux de
protection et les paramètres d’optimisation des E/S.
Si CloudPools a été activé, chaque règle de pool de fichiers peut également
contenir des paramètres propres au Cloud qui définissent le compte Cloud à
distance dans lequel archiver les fichiers et spécifient la manière de gérer les
fichiers avant leur archivage. En outre, une règle peut également spécifier les
cibles SmartPools qui définissent l’emplacement de stockage des fichiers
SmartLink conservés en local et associés aux données stockées dans le Cloud.

Comptes de fournisseur de Cloud


L’utilisation d’un stockage Cloud suppose de configurer un ou plusieurs comptes
auprès d’un fournisseur de Cloud. Sont actuellement pris en charge les systèmes
de stockage Cloud EMC Isilon, EMC ECS Appliance, Virtustream Storage Cloud,
Amazon S3 et Microsoft Azure. Les informations de compte du fournisseur de
Cloud doivent correspondre aux informations que vous utilisez lorsque vous
configurez des comptes de Cloud sur votre cluster Isilon.

Comptes de stockage Cloud


Un compte de stockage Cloud est une entité OneFS qui définit l’accès à un
compte de fournisseur de Cloud spécifique. Les paramètres du compte du
stockage Cloud doivent correspondre aux informations d’identification du compte
fournies par le fournisseur de Cloud.

CloudPool
Un CloudPool est une entité OneFS qui contient un compte de stockage Cloud
unique et fournit un canal entre OneFS et le référentiel de stockage Cloud. Au
moins un compte de stockage Cloud doit être disponible pour pouvoir créer un
CloudPool. Le compte de stockage Cloud doit être du même type que le
CloudPool.

Accès à la volée
Les CloudPools permettent aux utilisateurs qui se connectent à un cluster via les
protocoles pris en charge d’accéder aux données du Cloud en ouvrant les fichiers
SmartLink associés. Ce processus est appelé « accès à la volée ». Pour
l’utilisateur qui se connecte à OneFS via un protocole pris en charge, un fichier
SmartLink apparaît comme le fichier d’origine. Lorsque l’utilisateur ouvre un
fichier SmartLink, CloudPools récupère et met en cache localement les données
du Cloud. L’utilisateur peut afficher et modifier le fichier selon la procédure
habituelle. CloudPools récupère automatiquement toutes les données de fichiers
mises à jour et les renvoie au Cloud qui stockera ainsi la version la plus récente.

508 OneFS 8.0.1 Guide d’administration Web


CloudPools

Remarque

CloudPools offre un accès à la volée pour des raisons de commodité. Toutefois,


CloudPools est principalement conçu comme une solution d’archivage et n’est pas
destiné à stocker des données qui sont fréquemment mises à jour. Il est conseillé
de laisser ce type de données sur le cluster local jusqu’à ce qu’elles se stabilisent
et qu’elles soient prêtes pour l’archivage.

Traitement des fichiers avec CloudPools


CloudPools archive les données de fichier dans le Cloud et vous permet d’accéder à
ces données ou de les rappeler entièrement chaque fois que nécessaire.
Vous pouvez créer des règles de pool de fichiers qui identifient les fichiers à archiver
dans le Cloud. Lors de l’exécution d’une règle de pool de fichiers contenant des
actions dans le Cloud, CloudPools transfère les données de fichier vers le Cloud et les
stocke dans des objets de données de Cloud spécialisés, collectivement désignés sous
le nom de données de Cloud. Les données de fichier peuvent être chiffrées et
compressées avant leur archivage dans le Cloud.
À la place de chaque fichier archivé, CloudPools conserve un proxy local appelé fichier
SmartLink. Les fichiers SmartLink incluent des métadonnées spéciales et un mappage
vers les données de fichier résidant dans le Cloud.
Lorsqu’un utilisateur accède à OneFS, généralement via une connexion SMB ou une
exportation NFS, les fichiers SmartLink s’affichent à la place des fichiers auxquels ils
renvoient. Lorsqu’un utilisateur ouvre un fichier SmartLink (processus appelé accès à
la volée), CloudPools récupère les données de fichier à partir du Cloud et les met en
cache localement.
L’utilisateur peut afficher le fichier, tandis que CloudPools continue de mettre en
cache toutes les données requises par l’application. Si l’utilisateur modifie et
enregistre le fichier, les modifications sont également mises en cache. CloudPools
analyse régulièrement les fichiers SmartLink afin de détecter les modifications de
données en attente, et il les écrit dans les objets appropriés dans le Cloud. De cette
façon, les données archivées sont tenues à jour.
Vous pouvez également rappeler des fichiers archivés à partir du Cloud. Dans ce cas,
les fichiers SmartLink sont entièrement remplacés par les fichiers rappelés.
Comme tous les fichiers dans OneFS, les fichiers SmartLink sont contrôlés soit par la
règle de pool de fichiers par défaut, soit par les paramètres inclus dans une règle de
pool de fichiers personnalisée. Si vous configurez des règles de pool de fichiers
supplémentaires, ces dernières sont prioritaires sur la règle de pool de fichiers par
défaut.
Les règles de pool de fichiers contiennent des instructions qui déterminent la façon
dont OneFS gère les fichiers dans un cluster et dans le Cloud.
Comme les fichiers SmartLink générés par CloudPools sont conservés sur le cluster,
OneFS leur applique également les règles de pool de fichiers.
Lors de l’exécution de règles de pool de fichiers, le système compare chaque fichier du
système à chaque règle. Un fichier peut correspondre à seulement certains aspects
d’une règle de pool de fichiers personnalisée (par exemple, la stratégie SSD et la
configuration des snapshots). Dans ce cas, ces aspects de la gestion des fichiers sont
régis par la règle de pool de fichiers personnalisée. Tous les autres aspects sont régis
par la règle de pool de fichiers par défaut.

Traitement des fichiers avec CloudPools 509


CloudPools

Reportez-vous au chapitre SmartPools pour des informations complètes sur les règles
de pool de fichiers.

Archivage des fichiers avec des règles de pool de fichiers


Vous pouvez configurer une règle de pool de fichiers pour identifier les fichiers que
vous souhaitez archiver dans le Cloud et définir les actions CloudPools à leur appliquer.

Lorsque vous spécifiez une règle de pool de fichiers, vous pouvez archiver des fichiers
à l’aide de l’interface d’administration Web OneFS ou de l’interface de ligne de
commande. Une règle de pool de fichiers qui archive les fichiers dans le Cloud doit
spécifier les informations suivantes :
l Fichiers à gérer : il peut s’agir de fichiers d’un certain type, de fichiers se trouvant
dans un chemin spécifié, ou encore de fichiers qui correspondent aux critères
spécifiés, tels que la taille, la date de création ou la date de dernière modification.
l Actions CloudPools : pool de stockage Cloud vers lequel envoyer des données de
fichier ; indique si les données doivent être compressées ou chiffrées.

Exemples de règles avec des actions CloudPools


Chaque règle de pool de fichiers identifie un ensemble de fichiers, ainsi que les actions
CloudPools à appliquer au pool de fichiers. Vous pouvez identifier les fichiers à
archiver en fonction de plusieurs critères, y compris le type de fichiers, la taille, le
chemin de répertoire, l’heure de création, l’heure de dernier accès et l’heure de
dernière modification du fichier.
Les critères de correspondance de fichiers d’une règle de pool de fichiers vous
permettent de définir un groupe logique de fichiers appelé pool de fichiers. Après avoir
défini un pool de fichiers, vous spécifiez les actions CloudPools à effectuer sur ces
fichiers, y compris la cible de stockage Cloud, la compression et le chiffrement.
Par exemple, vous pouvez définir des règles de pool de fichiers spécifiant les fichiers à
archiver en fonction de critères similaires à ce qui suit :
l Fichiers de type <type>, consultés pour la dernière fois avant le <date>
l Fichiers antérieurs au <date>, consultés pour la dernière fois après le <date> et de
type <type>
l Fichiers contenus dans le répertoire <directory> et antérieurs au <date>
l Fichiers marqués par l’attribut personnalisé <custom attribute> et antérieurs au
<date>
Vous pouvez spécifier des critères de correspondance de fichiers règle par règle.
Chaque règle de pool de fichiers vous permet de combiner plusieurs critères à l’aide
des instructions AND et OR, pour une grande flexibilité et un meilleur contrôle de votre
workflow.

À propos de l’ordre des règles de pool de fichiers


OneFS compare dans l’ordre tous les fichiers aux règles de pool de fichiers. La
première règle personnalisée qui correspond à un fichier détermine la manière dont ce
fichier est traité. Toutes les autres règles de pool de fichiers personnalisées contenues
dans la liste ordonnée sont ignorées. Pour les attributs qui ne sont pas spécifiés par la
règle personnalisée correspondante, la valeur de la règle par défaut est appliquée.
L’ordre des règles de pool de fichiers est donc important. Si deux règles de pool de
fichiers ou plus correspondent au même fichier, vous devez vous assurer que l’ordre
des règles respecte vos préférences en matière de gestion des fichiers.

510 OneFS 8.0.1 Guide d’administration Web


CloudPools

En cas de correspondance entre un fichier et une règle de pool de fichiers, le système


utilise les paramètres de la règle correspondante pour stocker et protéger le fichier. Il
se peut toutefois qu’une règle correspondante ne spécifie pas tous les paramètres du
fichier concerné. Dans ce cas, la règle par défaut est utilisée pour les paramètres non
spécifiés dans la règle personnalisée. Pour chaque fichier stocké sur le cluster OneFS,
le système doit déterminer les éléments suivants :
l Niveau de protection requis
l Cible de stockage de données pour le cache de données local
l Stratégie de disques SSD pour les métadonnées et les données
l Niveau de protection pour le cache de données local
l Configuration des snapshots
l Paramètre SmartCache
l Paramètre du cache N3
l Schéma d’accès aux données
l Actions CloudPools (le cas échéant)
Si aucune règle personnalisée ne correspond à un fichier, la règle par défaut spécifie
tous les paramètres de stockage de ce fichier. La règle par défaut établit en effet une
correspondance avec tous les fichiers qui ne correspondent à aucune autre règle
SmartPools. Pour cette raison, la règle par défaut est la dernière de la liste des règles
de pool de fichiers, et toujours la dernière règle appliquée par le système.
Les fichiers archivés dans le Cloud sont toujours régis par la règle d’origine.

Paramètres d’archivage Cloud de la règle de pool de fichiers


CloudPools fournit un ensemble spécifique de paramètres de pool de fichiers qui
prennent en charge l’archivage de fichiers dans le Cloud. Le tableau suivant répertorie
et décrit ces paramètres.

Paramètre de Paramètre de Description : Notes


l’interface l’interface de ligne de d’utilisation
d’administration Web commande
CloudPool Storage Target cloud-pool Conteneur Chaque CloudPool
d’administratio ne peut contenir
n Isilon d’un qu’un seul compte
compte de de stockage Cloud
stockage auprès d’un
Cloud. fournisseur de
Cloud. Vous devez
créer un compte de
stockage Cloud
avant de créer et
configurer un
CloudPool. Un
CloudPool et le
compte de stockage
Cloud qu’il contient
doivent être du
même type :
EMC Isilon,
EMC ECS Appliance,

Paramètres d’archivage Cloud de la règle de pool de fichiers 511


CloudPools

Paramètre de Paramètre de Description : Notes


l’interface l’interface de ligne de d’utilisation
d’administration Web commande
Virtustream Storage
Cloud, Amazon S3
ou Microsoft Azure.

Encrypt data before cloud-encryption- Spécifie si Spécifie si les


transfer enabled CloudPools données sont
chiffre les chiffrées avant leur
données avant archivage dans le
leur archivage Cloud. Les données
de Cloud sont
La valeur par
déchiffrées
défaut est
lorsqu’elles sont
disabled.
consultées ou
rappelées.

Compress data before cloud-compression- Spécifie si Spécifie si les


transfer enabled CloudPools données sont
compresse les compressées avant
données avant leur archivage dans
leur archivage. le Cloud. Les
données de Cloud
La valeur par
sont décompressées
défaut est
lorsqu’elles sont
disabled.
consultées ou
rappelées.

Cloud Data Retention cloud-data-retention Durée pendant Spécifie la durée


Period laquelle les pendant laquelle les
fichiers de objets de Cloud sont
Cloud sont conservés après le
conservés remplacement d’un
après un rappel fichier SmartLink par
complet des le fichier rappelé.
fichiers. Lorsque cela se
produit, CloudPools
La valeur par
nettoie les
défaut est 1
ressources locales
week.
allouées aux fichiers
SmartLink et
supprime également
les objets de Cloud
associés. Cette
tâche est effectuée
une fois par semaine
par la tâche de
nettoyage de
mémoire des objets
de Cloud.

512 OneFS 8.0.1 Guide d’administration Web


CloudPools

Paramètre de Paramètre de Description : Notes


l’interface l’interface de ligne de d’utilisation
d’administration Web commande

Remarque

Le système
supprime (nettoie)
les objets de Cloud
lors de la
suppression de leurs
fichiers SmartLink et
toutes les
références locales.
Si un fichier
SmartLink a été
sauvegardé et que le
fichier SmartLink
d’origine est ensuite
supprimé, les objets
de Cloud associés
sont supprimés
seulement après
expiration de la
durée de rétention
du fichier SmartLink
sauvegardé.

Incremental Backup cloud-incremental- Spécifie la Si un fichier


Retention Period for backup-retention durée pendant SmartLink a été
NDMP Incremental laquelle OneFS sauvegardé et que le
Backup and SyncIQ conserve les fichier SmartLink
données de d’origine est ensuite
Cloud supprimé, les objets
référencées par de Cloud associés
un fichier sont supprimés
SmartLink qui a seulement après
été répliqué par expiration de la
SyncIQ ou par durée de rétention
une sauvegarde du fichier SmartLink
NDMP sauvegardé.
incrémentielle.
La valeur par
défaut est 5
years.

Full Backup Retention cloud-full-backup- Spécifie la Si un fichier


Period for NDMP Only retention durée pendant SmartLink a été
laquelle OneFS sauvegardé et que le
conserve les fichier SmartLink
données de d’origine est ensuite
Cloud supprimé, les objets
référencées par de Cloud associés
un fichier sont supprimés
SmartLink qui a seulement après

Paramètres d’archivage Cloud de la règle de pool de fichiers 513


CloudPools

Paramètre de Paramètre de Description : Notes


l’interface l’interface de ligne de d’utilisation
d’administration Web commande
été sauvegardé expiration de la
dans le cadre durée de rétention
d’une initiale, ou après
sauvegarde ND expiration d’une
MP complète. période de rétention
plus longue associée
La valeur par
à une sauvegarde
défaut est 5
incrémentielle ou
years.
complète.
Writeback Frequency cloud-writeback- Spécifie la Spécifie la
frequency fréquence à fréquence à laquelle
laquelle le les fichiers
système écrit SmartLink modifiés
les données sur le cluster sont
stockées dans écrits sur les objets
le cache de de données Cloud
fichiers associés.
SmartLink vers
le Cloud.
La valeur par
défaut est 9
hours.

Accessibilité cloud-accessibility Spécifie la Détermine si les


manière dont données de Cloud
les données sont mises en cache
sont mises en lors de l’accès à un
cache dans les fichier sur le cluster
fichiers local.
SmartLink
cached
lorsqu’un
utilisateur ou Lorsque
une application cached est
accède à un sélectionné, les
fichier données de
SmartLink sur Cloud
le cluster. Les consultées sont
valeurs sont mises en cache
« cached » et dans le fichier
« no-cache ». SmartLink
associé à un
La valeur par accès en
défaut est lecture ou en
cached. écriture.

no-cache
Lorsque no-
cache est
sélectionné, le
système ne met

514 OneFS 8.0.1 Guide d’administration Web


CloudPools

Paramètre de Paramètre de Description : Notes


l’interface l’interface de ligne de d’utilisation
d’administration Web commande

pas en cache
les données
dans les
fichiers
SmartLink
associés à un
accès en
lecture, mais
les transfère à
l’application qui
y accède en
local. Si vous
écrivez des
données
consultées
lorsque ce
paramètre est
appliqué, le
système met en
cache vos
modifications.
Choisissez no-
cache si vous
souhaitez
limiter
l’utilisation des
ressources du
cluster.

Cache Read Ahead cloud-readahead Spécifie la Spécifie si les


stratégie de données de Cloud
lecture sont entièrement ou
anticipée du partiellement
cache pour les rappelées lorsque
fichiers de vous accédez à un
Cloud (partielle fichier SmartLink sur
ou complète) le cluster. Si
partial est
La valeur par
défaut est spécifié, le système
partial. rappelle uniquement
les blocs de fichiers
nécessaires lors de
l’accès à un fichier
SmartLink. Si full
est spécifié, toutes
les données de
Cloud sont
entièrement mises
en cache lors de
l’accès au fichier
SmartLink.

Paramètres d’archivage Cloud de la règle de pool de fichiers 515


CloudPools

Paramètre de Paramètre de Description : Notes


l’interface l’interface de ligne de d’utilisation
d’administration Web commande
Cache Expiration cloud-cache-expiration Spécifie le Spécifie la durée
nombre de pendant laquelle le
jours avant que système conserve
le système ne les données de
vide les Cloud qui ont été
informations de rappelées dans le
cache ayant cache de fichiers
expiré dans les SmartLink associés.
fichiers Le système vide le
SmartLink. cache de fichiers
SmartLink pour les
La valeur par
données qui n’ont
défaut est 1
pas été consultées
day.
pendant le nombre
de jours spécifié.

Archive Files with cloud-archive-snapshot- Spécifie si la Les snapshots


Snapshots files règle doit capturent les
archiver les fichiers à un moment
fichiers avec donné. Si une règle
des snapshots. correspond à un
La valeur par fichier qui est inclus
défaut est dans un snapshot, le
« on ». fichier peut être
archivé ou non, en
fonction de ce
paramètre.

Options de correspondance de fichiers pour les règles d’archivage Cloud


Chaque règle de pool de fichiers doit fournir des critères de correspondance pour
identifier les fichiers à archiver et la cible Cloud où ils doivent être stockés.
Le tableau suivant décrit les critères de correspondance à utiliser lors de la création de
règles de pool de fichiers.

Critères de correspondance Description

Interface Interface de
d’administrati ligne de
on Web commande
Filename --name Inclut ou exclut des fichiers en fonction de leur nom.
Vous pouvez choisir d’inclure ou d’exclure des noms
partiels ou complets contenant un texte spécifique.
Les caractères génériques sont pris en charge.

Path --path Inclut ou exclut des fichiers en fonction de leur chemin.


Vous pouvez choisir d’inclure ou exclure des chemins
partiels ou complets contenant un texte spécifique.
Vous pouvez également inclure les caractères
génériques *, ? et [ ].

516 OneFS 8.0.1 Guide d’administration Web


CloudPools

Critères de correspondance Description

Interface Interface de
d’administrati ligne de
on Web commande
File Type --file-type Inclut ou exclut des fichiers selon l’un des types d’objet
suivants du système de fichiers :
l Fichier standard
l Répertoire
l Autre

File Attribute --custom- Inclut ou exclut des fichiers en fonction d’un attribut
attribute personnalisé défini par l’utilisateur.

Modified --changed-time Inclut ou exclut des fichiers en fonction de leur


dernière date de modification.
Vous pouvez spécifier une date et une heure relatives,
par exemple « il y a plus de deux semaines », ou une
date et une heure spécifiques, par exemple « avant le
1er janvier 2012 ». Les paramètres d’heure sont au
format 24 heures.

Accessed --accessed-time Inclut ou exclut des fichiers en fonction de leur


dernière date d’accès.
Vous pouvez spécifier une date et une heure relatives,
par exemple « il y a plus de deux semaines », ou une
date et une heure spécifiques, par exemple « avant le
1er janvier 2012 ». Les paramètres d’heure sont au
format 24 heures.

Remarque

Étant donné qu’il affecte les performances, le suivi des


dates d’accès en tant que critère de règle de pool de
fichiers est désactivé par défaut.

Metadata --metadata- Inclut ou exclut des fichiers en fonction de la dernière


Changed changed-time date de modification des métadonnées. Cette option
est disponible seulement si l’option globale de suivi des
dates d’accès du cluster est activée.
Vous pouvez spécifier une date et une heure relatives,
par exemple « il y a plus de deux semaines », ou une
date et une heure spécifiques, par exemple « avant le
1er janvier 2012 ». Les paramètres d’heure sont au
format 24 heures.

Created --birth-time Inclut ou exclut des fichiers en fonction de leur date de


création.
Vous pouvez spécifier une date et une heure relatives,
par exemple « il y a plus de deux semaines », ou une
date et une heure spécifiques, par exemple « avant le
1er janvier 2012 ». Les paramètres d’heure sont au
format 24 heures.

Size --size Inclut ou exclut des fichiers en fonction de leur taille.

Options de correspondance de fichiers pour les règles d’archivage Cloud 517


CloudPools

Critères de correspondance Description

Interface Interface de
d’administrati ligne de
on Web commande

Remarque

Les tailles de fichier sont représentées par des


multiples de 1 024 et non de 1 000.

Combinaison d’actions de règles de stockage Cloud et en local


Vous pouvez spécifier des actions de stockage Cloud et en local dans la même règle de
pool de fichiers. Les actions Cloud sont appliquées aux données des fichiers
correspondants, tandis que les actions en local s’appliquent aux fichiers SmartLink qui
sont créés à la place.

Les paramètres SmartPools peuvent déterminer le pool ou le niveau de stockage cible,


le niveau de protection des fichiers, ainsi que l’optimisation des E/S et de l’accès aux
données. Les fichiers SmartLink sont traités selon les paramètres SmartPools
spécifiés. Si certains paramètres ne sont pas spécifiés dans la règle de pool de fichiers
personnalisée, ceux de la règle de pool de fichiers par défaut sont appliqués aux
fichiers SmartLink.

Récupération des données de fichier à partir du Cloud


Vous pouvez récupérer des données de fichier à partir du Cloud grâce à un accès à la
volée via un protocole pris en charge (SMB, NFS, Swift ou HDFS), ou par un rappel
total des fichiers.

Accès à la volée aux données de Cloud


Les utilisateurs peuvent récupérer des données de fichier dans le Cloud en accédant à
un fichier SmartLink sur le cluster local par le biais d’un protocole pris en charge.
Cette méthode est appelée accès à la volée.
Lorsque l’utilisateur ouvre un fichier SmartLink, par exemple par le biais d’un
partage SMB, CloudPools récupère et met en cache les données de fichier en local à
partir du Cloud. La quantité de données mises en cache est déterminée par le
paramètre Cache Read Ahead de CloudPools.
Si l’utilisateur apporte des modifications au fichier, CloudPools conserve celles-ci dans
le cache et met régulièrement à jour les données de fichier dans le Cloud afin que la
version la plus récente soit toujours archivée.

Rappel de fichiers à partir du Cloud


Vous pouvez rappeler entièrement un fichier à partir d’un stockage Cloud. Dans ce
cas, CloudPools restaure le fichier complet sur le cluster et remplace le fichier
SmartLink qui lui est associé. Dans le cadre des opérations de maintenance
quotidiennes, CloudPools supprime aussi entièrement les données de fichier rappelées
à partir du Cloud.

518 OneFS 8.0.1 Guide d’administration Web


CloudPools

Vous pouvez rappeler des fichiers à partir du stockage Cloud uniquement à l’aide de la
commande CLI isi cloud recall. Vous pouvez rappeler des fichiers
individuellement par leur nom ou en spécifiant un chemin de répertoire entièrement
récursif.

Remarque

Lorsque vous utilisez la commande isi cloud recall pour rappeler un fichier à
partir d’un stockage Cloud, le fichier complet est restauré dans son répertoire
d’origine. Si la règle de pool de fichiers utilisée pour l’archivage initial du fichier dans le
Cloud est toujours valide, le fichier rappelé sera de nouveau archivé dans le Cloud lors
de la prochaine exécution de la tâche SmartPools. Si vous ne souhaitez pas réarchiver
le fichier rappelé, vous pouvez déplacer le fichier vers un autre répertoire qui ne sera
pas affecté par la règle de pool de fichiers. Vous pouvez également modifier ou
supprimer la règle.

Interopérabilité de CloudPools avec les autres fonctions de


OneFS
CloudPools est conçu pour fonctionner de manière transparente avec d’autres
fonctions de OneFS, notamment le chiffrement et la compression des données, la
prise en charge de SMB et de NFS, SyncIQ, les snapshots et les opérations de
sauvegarde et de restauration NDMP.

Compression et chiffrement des données de Cloud


Vous pouvez spécifier la compression et le chiffrement des données qui sont
déplacées vers le Cloud.
Avec CloudPools, vous pouvez activer la compression et le chiffrement en fonction
d’une règle. Le chiffrement et la compression sont désactivés par défaut.
Les fichiers chiffrés ou compressés dans le cadre d’un stockage dans le Cloud sont
automatiquement déchiffrés et décompressés lorsque les données sont mises en
cache (accès à la volée) ou lorsque le fichier est rappelé du Cloud vers le stockage
local.
CloudPools utilise une clé de chiffrement principale pour chiffrer les clés de
chiffrement de données. Le chiffrement s’applique à la fois au fichier SmartLink et aux
données de fichier archivées dans le Cloud. Le fichier SmartLink et les données
archivées incluent les copies chiffrées des clés de chiffrement de données. Une fois
qu’un fichier est chiffré, il n’est possible de le déchiffrer que par un rappel.
CloudPools assure le suivi de l’état de chiffrement des fichiers SmartLink dans les
snapshots et les données référencées dans le Cloud. Si les fichiers SmartLink
contenus dans les snapshots sont chiffrés et font référence à des objets de Cloud non
chiffrés, les fichiers SmartLink des snapshots restent chiffrés même si vous créez une
nouvelle règle CloudPools qui chiffre la dernière version du fichier.
OneFS stocke la clé de chiffrement principale dans le système de gestion local des
clés. Vous pouvez générer une nouvelle version de la clé si vous pensez que la clé a été
compromise. Si vous la régénérez, la nouvelle clé principale sécurise les nouvelles
données écrites sur le Cloud. Les données précédemment écrites sont sécurisées par
les anciennes clés de chiffrement de données résidant dans les fichiers SmartLink en
local.

Interopérabilité de CloudPools avec les autres fonctions de OneFS 519


CloudPools

Remarque

CloudPools fonctionne de manière transparente avec les nœuds équipés de disques à


chiffrement automatique, ou SED (Self-Encrypting Drives). CloudPools peut appliquer
le chiffrement aux fichiers qui sont archivés dans le stockage Cloud. De même, tous
les fichiers SmartLink placés sur des disques SED sont traités comme n’importe quel
autre fichier.

Accès à la volée NFS


CloudPools permet l’accès à des fichiers SmartLink à partir d’exportations NFS.
Lorsqu’un utilisateur se connecte à un cluster via une exportation NFS et qu’il parcourt
le système de fichiers, les fichiers SmartLink apparaissent comme les fichiers
d’origine. Lorsque l’utilisateur ouvre un fichier SmartLink, CloudPools récupère et met
en cache les données du fichier d’origine à partir du Cloud. En fonction du paramètre
Cache Read Ahead, la mise en cache porte soit sur une partie des données du fichier,
soit sur l’intégralité du fichier.
Si l’utilisateur modifie le fichier, CloudPools stocke les modifications dans le cache et
les réécrit régulièrement dans le Cloud. De cette façon, les données de Cloud sont
parfaitement tenues à jour.

Accès à la volée SMB


CloudPools permet l’accès à des fichiers SmartLink à partir de partages SMB.
Lorsqu’un utilisateur se connecte à un cluster via un partage SMB et qu’il parcourt le
système de fichiers, les fichiers SmartLink apparaissent comme les fichiers d’origine.
Lorsque l’utilisateur ouvre un fichier SmartLink, CloudPools récupère et met en cache
les données du fichier d’origine à partir du Cloud. En fonction du paramètre Cache
Read Ahead, la mise en cache porte soit sur une partie des données du fichier, soit sur
l’intégralité du fichier.
Si l’utilisateur modifie le fichier, CloudPools met en cache les modifications et les
réécrit régulièrement dans le Cloud. De cette façon, les données de Cloud sont
parfaitement tenues à jour.

Autres protocoles prenant en charge l’accès à la volée


Les données de Cloud sont accessibles par un programme via Swift et HDFS, par le
biais d’un accès aux fichiers SmartLink associés.
Nous vous recommandons de consulter un responsable de compte Isilon pour plus
d’informations sur ces exemples d’utilisation.

Interopérabilité de SyncIQ
SyncIQ vous permet de synchroniser les données entre votre cluster Isilon principal
(source) et un cluster secondaire (cible). Si votre cluster principal est indisponible,
vous pouvez basculer vers le cluster secondaire, et les utilisateurs peuvent continuer à
accéder aux données, y compris à celles stockées dans le Cloud.
Lors de la réplication SyncIQ, tous les fichiers, y compris les fichiers SmartLink, sont
copiés du cluster source vers le cluster cible. Les utilisateurs ayant accès au cluster
cible via les protocoles pris en charge peuvent récupérer les données de Cloud ou
entièrement rappeler les fichiers à partir du Cloud. Dans ce cas, CloudPools récupère
et met en cache les données (accès à la volée) ou rappelle le fichier complet
exactement comme il le ferait à partir du cluster source d’origine.

520 OneFS 8.0.1 Guide d’administration Web


CloudPools

Sauf si vous accordez spécifiquement l’accès en écriture au Cloud au cluster


secondaire, CloudPools stocke les modifications apportées aux fichiers SmartLink
dans le cache local, qui est limité uniquement par l’espace disponible sur le cluster.

Règles SyncIQ
CloudPools prend en charge la réplication SyncIQ des fichiers SmartLink vers un ou
plusieurs clusters cibles. SyncIQ peut également servir à restaurer les fichiers
SmartLink sauvegardés vers leur cluster d’origine (source).
Les deux types de règles SyncIQ sont les règles de synchronisation et les règles de
copie. Ces règles peuvent être exécutées manuellement ou être configurées pour
s’exécuter automatiquement en fonction des paramètres de la règle.
CloudPools prend en charge les deux types de règles SyncIQ. Lorsque SyncIQ réplique
les fichiers SmartLink vers un cluster cible, les informations secondaires associées au
fichier SmartLink, telles que l’état du cache local et les données de cache
non synchronisées, sont également répliquées.
Si votre cluster source (principal) tombe en panne ou est indisponible pour une raison
quelconque, et que vous effectuiez un basculement sur incident vers votre cluster
secondaire, les utilisateurs peuvent continuer à accéder aux fichiers SmartLink et, par
conséquent, aux données de Cloud, comme ils le feraient normalement.
Si le basculement sur incident est temporaire et que vous prévoyiez de rétablir le
fonctionnement normal de votre cluster source, vous n’avez pas besoin d’activer
l’accès en écriture au Cloud sur le cluster secondaire. Toutes les modifications
apportées par les utilisateurs aux fichiers SmartLink sont stockées dans le cache local,
qui est limité uniquement par la quantité d’espace disponible sur votre cluster.
Lorsque vous effectuez un retour arrière vers le cluster source et que vous restaurez
les fichiers SmartLink mis à jour, CloudPools réécrit alors les modifications mises en
cache dans le Cloud.

ATTENTION

Si le basculement sur incident est à long terme ou permanent, vous pouvez


accorder un accès en écriture au Cloud au cluster secondaire à l’aide de la
commande isi cloud access add de la CLI. Toutefois, vous ne devez
accorder l’accès en écriture au Cloud qu’à un cluster à la fois. Dans le cas
contraire, les données de Cloud risquent d’être corrompues.

Durée de rétention des données de Cloud CloudPools


Dans CloudPools, les données de Cloud sont régies par un concept que l’on appelle
rétention. La durée de rétention définit une durée absolue pendant laquelle les
données de Cloud doivent demeurer dans le stockage Cloud après la suppression du
fichier SmartLink associé.
Lorsque vous utilisez CloudPools pour archiver un fichier de votre cluster dans le
stockage Cloud, un fichier SmartLink est créé sur le cluster Isilon à la place du fichier
archivé. Tant que les données d’un fichier demeurent dans le Cloud, le fichier
SmartLink reste en place pour représenter et pointer vers les données du Cloud.
Puisqu’il est possible de sauvegarder un fichier SmartLink sur bande via NDMP et de le
répliquer vers un autre cluster Isilon par le biais de SyncIQ, plusieurs fichiers
SmartLink peuvent pointer vers les mêmes données de Cloud en même temps.
Plus important encore toutefois, les données de Cloud peuvent être supprimées même
s’il existe un fichier SmartLink associé sur un autre cluster qui a été restauré par un

Interopérabilité de SyncIQ 521


CloudPools

processus SyncIQ ou NDMP. Les données de Cloud sont maintenues jusqu’à


l’expiration de la durée minimale de leur période de rétention sur tous les clusters.
La durée de rétention est affectée par les périodes de rétention suivantes de la règle
d’archivage :
l Cloud Data Retention Period : spécifie la durée de rétention des données de
Cloud après la suppression d’un fichier SmartLink local associé. Le paramètre par
défaut est une semaine.
l Backup Retention Period for NDMP Incremental Backup and SyncIQ : spécifie
la durée de rétention des données de Cloud dont le fichier SmartLink a été
sauvegardé par une sauvegarde NDMP incrémentielle ou répliqué par une
opération SyncIQ. Si un fichier SmartLink local est supprimé, il est possible de
restaurer sa copie et de continuer à accéder aux données de Cloud. Le paramètre
par défaut est cinq ans.
l Full Backup Retention Period for NDMP Only : spécifie la durée de rétention des
données de Cloud dont le fichier SmartLink a été sauvegardé par une sauvegarde
NDMP complète uniquement. Si un fichier SmartLink local est supprimé, il est
possible de restaurer sa copie à partir de la sauvegarde et de continuer à accéder
aux données de Cloud. Le paramètre par défaut est cinq ans.

Gestion des fichiers SmartLink ayant été répliqués


Si vous modifiez ou supprimez un fichier SmartLink qui a été répliqué par une
opération SyncIQ, CloudPools peut modifier ou supprimer les objets de Cloud qui lui
sont associés.
Si vous modifiez un fichier SmartLink sur le cluster principal, les modifications sont
mises en cache et, selon le paramètre Writeback Frequency, elles sont régulièrement
réécrites dans le Cloud. De cette façon, les données de Cloud sont toujours tenues à
jour.
Si vous modifiez un fichier SmartLink sur un cluster secondaire, étant donné que le
cluster principal est temporairement indisponible, les modifications restent dans le
cache. Lorsque vous effectuez un retour arrière sur le cluster principal, les
modifications peuvent alors être réécrites dans le Cloud en fonction du paramètre
Writeback Frequency.
De même, lorsqu’un fichier SmartLink qui a été répliqué par une opération SyncIQ est
supprimé, CloudPools gère en conséquence les données de Cloud associées. Deux
périodes de rétention peuvent avoir une incidence sur les objets de Cloud associés à
un fichier SmartLink qui a été répliqué : Cloud Data Retention Period et Incremental
Backup Retention Period for NDMP Incremental Backup and SyncIQ.
Lorsqu’un fichier SmartLink a été répliqué vers un cluster secondaire et est ensuite
supprimé du cluster principal, CloudPools utilise à la fois les paramètres Cloud Data
Retention Period et Incremental Backup Retention Period for NDMP Incremental
Backup and SyncIQ afin de déterminer à quel moment les objets de Cloud associés
doivent être supprimés. CloudPools utilise la plus longue de ces deux durées pour
déterminer quand supprimer les données de Cloud.
Par exemple, si la plus longue des deux périodes de rétention est Incremental Backup
Retention Period for NDMP Incremental Backup and SyncIQ, CloudPools utilise ce
paramètre pour déterminer quand supprimer les données de Cloud après la
suppression du fichier SmartLink associé.
Si vous supprimez un fichier SmartLink sur un cluster secondaire, étant donné que le
cluster principal est temporairement indisponible, l’état supprimé reste dans le cache.
Lorsque vous effectuez un retour arrière vers le cluster principal, CloudPools supprime

522 OneFS 8.0.1 Guide d’administration Web


CloudPools

le fichier SmartLink et utilise les paramètres de rétention pour déterminer quand


supprimer les données de Cloud associées.

Copie profonde SyncIQ


Vous pouvez créer une règle SyncIQ qui restaure des fichiers complets au lieu de
fichiers SmartLink lors de la copie des données entre le cluster principal (source) et un
cluster secondaire (cible).
Lorsque vous créez une règle SyncIQ, vous pouvez modifier le paramètre Deep Copy
for CloudPools. Le paramètre par défaut est Deny, ce qui signifie que, lors d’une
opération SyncIQ, les fichiers SmartLink sont répliqués sur le cluster cible.
Vous pouvez également sélectionner l’option Allow ou Force pour la copie profonde.
Lorsque vous sélectionnez Allow, SyncIQ continue de répliquer les fichiers SmartLink
sur le cluster cible, sauf en cas d’incompatibilité de version SmartLink, auquel cas les
données de fichier complètes sont récupérées à partir du Cloud et répliquées.
Lorsque vous spécifiez Force pour la copie profonde, CloudPools récupère et copie
les données de fichiers complètes à partir du Cloud pour tous les fichiers SmartLink
concernés par la règle SyncIQ, puis il réplique les fichiers complets sur le cluster cible.

Remarque

Une opération SyncIQ qui force une copie profonde peut prendre beaucoup plus de
temps et consommer davantage de ressources système. Nous vous recommandons de
ne pas définir de copie profonde à moins d’avoir une bonne raison de le faire. Par
exemple, si vous sauvegardez des données du cluster principal vers un cluster
secondaire qui exécute une ancienne version (antérieure à la version 8.0) de OneFS,
vous devez utiliser la fonction de copie profonde. Si vous avez des doutes quant à
l’utilisation de la fonction de copie profonde, demandez conseil à un responsable de
compte EMC Isilon.

Sauvegarde et restauration NDMP des données de Cloud


Vous pouvez effectuer des opérations de sauvegarde et de restauration NDMP sur les
données qui ont été archivées dans le Cloud.
Les fonctions de sauvegarde et de restauration disponibles pour les données
CloudPools sont les suivantes :
l Archivage de fichiers SmartLink d'archive lors d’une sauvegarde à partir d’un
cluster
l Restauration des données, y compris des fichiers SmartLink, sur le même cluster
l Restauration des données, y compris des fichiers SmartLink, sur un autre cluster
Avec la sauvegarde NDMP, par défaut, CloudPools prend en charge la sauvegarde des
fichiers SmartLink uniquement. Aucune donnée du Cloud n’est incluse dans la
sauvegarde. Les informations secondaires, telles que les informations de compte,
l’état du cache local et les données de cache désynchronisées, associées au fichier
SmartLink sont également sauvegardées.
Toutefois, vous pouvez forcer la sauvegarde NDMP à stocker une copie complète des
données de fichiers au lieu des fichiers SmartLink. Cette possibilité est parfois appelée
option de copie profonde. Pour spécifier une copie profonde, définissez la variable
d’environnement BACKUP_OPTIONS sur 0x00000100.
Dans les paramètres de Cloudpools, vous pouvez définir trois périodes de rétention
ayant une incidence sur les fichiers SmartLink sauvegardés et sur leurs données de
Cloud associées :

Sauvegarde et restauration NDMP des données de Cloud 523


CloudPools

l La période de rétention de sauvegarde complète pour les sauvegardes NDMP


prend effet lorsque le fichier SmartLink est sauvegardé dans le cadre d’une
sauvegarde complète. La valeur par défaut est de cinq ans.
l La période de rétention de sauvegarde incrémentielle pour les sauvegardes NDMP
incrémentielles et pour SyncIQ prend effet lorsqu’un fichier SmartLink est
sauvegardé dans le cadre d’une sauvegarde incrémentielle. La valeur par défaut est
de cinq ans.
l La période de rétention des données de Cloud définit la durée pendant laquelle les
données dans le Cloud sont conservées lorsque le fichier SmartLink associé est
supprimé. La valeur par défaut est d’une semaine.
CloudPools vérifie la validité d’un fichier SmartLink sauvegardé pendant la période de
rétention des données de Cloud. Il est important de définir les périodes de rétention de
manière appropriée afin de garantir que le fichier SmartLink reste valide lorsqu’il est
restauré à partir d’une bande. CloudPools interdit de restaurer les fichiers SmartLink
non valides.
Pour vérifier si un fichier SmartLink sauvegardé est toujours valide, CloudPools vérifie
les périodes de rétention stockées sur bande correspondant au fichier. Si la durée de
rétention dépasse le délai de restauration, CloudPools empêche NDMP de restaurer le
fichier SmartLink.
CloudPools permet également de s’assurer que le compte sous lequel les fichiers
SmartLink ont été initialement créés n’a pas été supprimé. Si tel est le cas, les
opérations de sauvegarde et restauration NDMP de fichiers SmartLink échoueront.

Comportement de CloudPools avec des snapshots


Les fonctions de sauvegarde NDMP, FSAnalyze, SnapshotIQ et SyncIQ créent des
snapshots à un point dans le temps des répertoires dans OneFS. Même lorsque les
fichiers sont modifiés, les versions de snapshot sont conservées. Avec CloudPools,
vous pouvez décider si les fichiers qui ont des versions de snapshot doivent ou non
être stockés dans le Cloud.
Dans le cadre de la mise en correspondance des fichiers, CloudPools peut inclure les
fichiers qui ont des versions de snapshot. CloudPools archive les dernières versions de
ces fichiers dans le Cloud et crée des fichiers SmartLink locaux à leur place. Toutefois,
tant que les snapshots sont conservés, OneFS conserve également les versions de
données complètes de ces fichiers dans les snapshots. Par défaut, CloudPools
autorise l’archivage des fichiers avec des versions de snapshot, mais vous pouvez
modifier ce paramètre par défaut.

Remarque

Le fait d’autoriser l’archivage des fichiers ayant des versions de snapshot vous
empêche de gagner de l’espace sur le cluster local tant que les snapshots ne sont pas
supprimés. Certaines fonctions, telles que FSAnalyze, SyncIQ et la sauvegarde NDMP,
suppriment automatiquement les snapshots lorsqu’ils ne sont plus nécessaires. En
revanche, les snapshots créés avec SnapshotIQ ne sont pas supprimés
automatiquement. Pour libérer de l’espace sur votre cluster., nous vous
recommandons de supprimer régulièrement les anciens snapshots dont vous n’avez
plus besoin.

CloudPools prend également en charge SnapRevert pour les fichiers SmartLink. Par
exemple, supposons que CloudPools ait archivé un répertoire nommé /ifs/data/
images dans le Cloud. Les fichiers du répertoire images seraient remplacés par des
fichiers SmartLink.

524 OneFS 8.0.1 Guide d’administration Web


CloudPools

Si vous créez un domaine SnapRevert pour le répertoire et exécutez la tâche


SnapRevert, le processus d’archivage CloudPools est annulé et les fichiers d’origine
sont restaurés dans le répertoire. CloudPools supprime toutes les données de Cloud
qui ont été créées dans le cadre du processus d’archivage d’origine.

CloudPools avec SmartLock


CloudPools archive les fichiers vers un référentiel de stockage Cloud et laisse des
fichiers SmartLink à leur place dans le stockage local. CloudPools n’est pas conçu pour
être utilisé avec les domaines SmartLock, dans lesquels les fichiers sont validés à l’état
WORM (write-once, read-many).
Lorsque vous créez des règles de pool de fichiers afin d’archiver certains fichiers dans
le stockage Cloud, assurez-vous que ces règles évitent les domaines SmartLock et les
fichiers à l’état WORM qu’ils incluent.
Si vous tentez par inadvertance d’archiver des fichiers à l’état WORM dans le Cloud,
CloudPools génère le message d’erreur « file system read-only ». Bien qu’il soit
possible d’archiver un fichier dans le Cloud, puis d’ajouter le fichier SmartLink qui en
résulte à un domaine WORM en le validant ou non à l’état WORM, une telle opération
est déconseillée.

CloudPools et SmartQuotas
L’administrateur peut imposer des limites de stockage aux utilisateurs à l’aide de
SmartQuotas. Dans ce cas, les utilisateurs doivent comprendre que le fait de rappeler
des données du Cloud risque potentiellement de les amener à dépasser ces limites.
Lorsque CloudPools archive des fichiers dans le stockage Cloud, il crée des fichiers
SmartLink dans le stockage local à la place des fichiers archivés. Les fichiers
SmartLink occupent généralement beaucoup moins d’espace de stockage que les
fichiers archivés qu’ils remplacent.
Lorsque les utilisateurs rappellent des fichiers archivés à partir du Cloud, les fichiers
complets remplacent les fichiers SmartLink dans le stockage local. Cela peut amener
les utilisateurs à dépasser leurs quotas. Par exemple, supposons que le quota d’un
utilisateur soit de 500 Mo et que les fichiers datant de plus de six mois soient archivés
dans le Cloud. L’utilisateur économise ainsi 250 Mo d’espace, car les fichiers
SmartLink occupent relativement peu d’espace de stockage local. Pendant ce temps,
l’utilisateur ajoute d’autres fichiers, si bien qu’il dispose désormais de plus de 400 Mo
de données dans le stockage local. Si jamais l’utilisateur rappelle des fichiers du Cloud
qui nécessitent plus de 100 Mo de stockage, il dépassera le quota.
En tant qu’administrateur de stockage, vous devez expliquer ce risque aux utilisateurs,
ainsi que la meilleure façon de résoudre le problème.

CloudPools et SmartDedupe
SmartDedupe analyse le système de fichiers OneFS en recherchant les fichiers qui
contiennent des blocs de données identiques. Si SmartDedupe détecte des doublons, il
déplace une seule copie des blocs vers un fichier masqué appelé « zone de stockage
en miroir ». SmartDedupe supprime ensuite les blocs en double des fichiers d’origine
et les remplace par des pointeurs vers la zone de stockage en miroir.
CloudPools interagit comme suit avec SmartDedupe :
l Si une règle de pool de fichiers spécifie que les fichiers dédupliqués doivent être
archivés dans le stockage Cloud, CloudPools les archive et laisse les fichiers
SmartLink à leur place dans le stockage local.

CloudPools avec SmartLock 525


CloudPools

l Lorsqu’un fichier archivé qui avait été dédupliqué est rappelé du Cloud, le fichier
SmartLink est remplacé et le fichier rappelé qui est placé dans le stockage local
n’est plus dédupliqué.
l SmartDedupe ne déduplique pas les fichiers SmartLink.

Bonnes pratiques CloudPools


Pour utiliser CloudPools de façon optimale, suivez ces bonnes pratiques.

Utilisation d’horodatages pour l’archivage et le rappel de données dans le


Cloud
Utilisez des schémas de correspondance temporelle (création, modification, dernier
accès) lors de l’archivage et du rappel de données dans le Cloud. Cela renforce
l’efficacité des opérations d’archivage et de rappel, et garantit par conséquent de
meilleures performances.
Lorsque vous créez une règle de pool de fichiers pour l’archivage de données dans le
Cloud, plusieurs critères de correspondance de fichiers impliquent une notion de
temps :
l Created
l Accessed
l Modified
Par conséquent, vous pouvez spécifier des critères de correspondance de fichiers qui
indiquent à quel moment les fichiers ont été créés ou ont été consultés ou modifiés
pour la dernière fois.
CloudPools peut également rappeler plus efficacement les fichiers à partir des
horodatages.

Archivage CloudPools et taille des fichiers


Vous pouvez tirer pleinement parti de CloudPools pour libérer de l’espace de stockage
sur votre cluster en archivant les fichiers plus volumineux. L’archivage de fichiers de
petite taille présente moins d’avantages, voire aucun.
L’un des avantages de l’archivage de fichiers dans le Cloud avec CloudPools est la
rapidité avec laquelle vous pouvez rappeler ces fichiers en cas de besoin.
Pour rappeler rapidement les données, CloudPools crée un fichier SmartLink pour tous
les fichiers dont les données sont archivées dans le Cloud. Chaque fichier SmartLink
contient un mappage vers les données hébergées dans le Cloud, ainsi que des
métadonnées et de l’espace de cache. Les fichiers SmartLink sont généralement peu
volumineux, mais ils peuvent le devenir si les données sont mises en cache via un
accès à la volée.
Par conséquent, si vous archivez de petits fichiers dans le Cloud, les fichiers
SmartLink prennent leur place sur le cluster et peuvent approcher, voire dépasser, la
taille du fichier d’origine.

Création de comptes exclusifs pour CloudPools


Vous devez créer, chez votre fournisseur de Cloud, un compte exclusivement réservé
à l’utilisation de CloudPools. Cela évite les conflits qui peuvent entraîner une
corruption ou une perte de données.

526 OneFS 8.0.1 Guide d’administration Web


CloudPools

Si votre organisation accède à des comptes de fournisseur de Cloud en dehors de


l’utilisation de OneFS CloudPools, les utilisateurs doivent veiller à ne consulter ou
modifier en aucune manière les données archivées par CloudPools. Une consultation
ou une modification de ces données pourrait corrompre celles-ci et compromettre leur
récupération et leur rappel à partir de CloudPools.
Pour éviter ce problème, créez dans CloudPools un compte exclusivement dédié à
l’utilisation de CloudPools. Utilisez des comptes bien distincts pour les autres
applications Cloud gérées avec votre fournisseur de Cloud.

Résolution des problèmes liés à CloudPools


Si vous rencontrez des problèmes lors de l’utilisation de CloudPools, reportez-vous
aux informations fournies dans cette section avant de contacter le Support clients
Isilon.

Comportements prévus de CloudPools


Lors du fonctionnement normal de CloudPools, vous devez tenir compte des limites et
des comportements attendus décrits ci-dessous.
Mise à niveau consécutive avant l’utilisation de CloudPools
Si vous effectuez une mise à niveau consécutive vers la nouvelle version de
OneFS, assurez-vous que la mise à niveau est entièrement terminée avant
d’activer CloudPools.

Suppression du compte de stockage Cloud


Avertissement : ne supprimez pas un compte de stockage Cloud utilisé par les
fichiers archivés. Cela pourrait provoquer une perte ou une indisponibilité des
données pour les fichiers archivés qui utilisent ce compte. Toute tentative
d’ouverture des fichiers SmartLink associés à un compte supprimé échoue avec
des messages d’erreur d’E/S. En outre, les opérations de sauvegarde/
restauration NDMP et de basculement sur incident/retour arrière SyncIQ
échouent en cas de suppression d’un compte de stockage Cloud. Si, par un accès
à la volée, un utilisateur NFS ou SMB tente d’ouvrir un fichier SmartLink et reçoit
un message d’erreur d’E/S, cela peut signifier que le compte de stockage Cloud
associé a été supprimé. Nous vous recommandons de tenter un accès à la volée
aux autres fichiers SmartLink contenus dans le même CloudPool. Si la même
erreur est générée pour ces fichiers, cela signifie que le compte de stockage
Cloud a été supprimé et que les données sont perdues. Si les autres fichiers
SmartLink sont accessibles, il se peut que le fichier SmartLink qui a généré
l’erreur soit corrompu. Dans tous les cas, contactez le Support EMC Isilon pour
obtenir de l’aide.

Accès aux fichiers SmartLink


Vous pouvez afficher et modifier les données de Cloud en accédant aux fichiers
SmartLink via les protocoles pris en charge (NFS, SMB, Swift et HDFS). Si vous
tentez d’accéder à un fichier SmartLink directement sur le cluster, via une
commande en cours d’exécution sur le cluster ou via un protocole non pris en
charge, une erreur d’E/S est générée. L’accès local aux fichiers SmartLink est
bloqué pour les commandes tar, gzip, scp et AVscan, ainsi que pour les tâches
du moteur de tâches. Le clonage d’un fichier SmartLink est également impossible
et renvoie une erreur EINVAL.

Résolution des problèmes liés à CloudPools 527


CloudPools

Possibilité de modification des horodatages des fichiers SmartLink


L’ouverture d’un fichier SmartLink via un protocole pris en charge peut modifier
les données d’horodatage. Lorsqu’un fichier est archivé pour la première fois et
que le fichier SmartLink est créé à sa place, l’horodatage ctime reste le même que
celui du fichier d’origine. Mais à la première ouverture du fichier SmartLink (accès
à la volée), l’horodatage ctime change tandis qu’un composant de cache est
ajouté au fichier. En outre, si un fichier archivé est totalement rappelé, ses
horodatages ctime et mtime changent.

Accès à la volée semblant convertir un fichier SmartLink en fichier standard


Lorsqu’un utilisateur accède à un fichier SmartLink sur le cluster Isilon via un
protocole pris en charge, le fichier s’ouvre dans une application sur l’ordinateur
client. Pendant ce processus appelé accès à la volée, la plupart des applications
prennent en charge la création d’un cache CloudPools à partir duquel les
utilisateurs peuvent afficher et, s’ils le souhaitent, modifier les données archivées.
Avec un accès à la volée, le fichier SmartLink reste intact sur le cluster et toutes
les modifications apportées par l’utilisateur aux données de fichier sont stockées
dans le cache et mises à jour dans le Cloud.
Toutefois, certaines applications ne prennent pas en charge l’accès à la volée. Au
lieu de cela, elles créent une copie du fichier d’origine distincte du fichier
SmartLink. Le nouveau fichier, contenant toutes les données du fichier d’origine,
se voit attribuer un nouveau numéro d’inode logique (LIN) et des horodatages
différents de ceux du fichier initialement archivé. Ce comportement n’a été
observé que dans quelques programmes, y compris les applications Microsoft
Office. Dans ce cas, étant donné qu’un fichier entièrement nouveau est créé, le
fichier SmartLink d’origine et les données associées dans le Cloud sont balisés en
vue d’être supprimés (récupération d’espace).
Si le nouveau fichier correspond aux critères de la règle de pool de fichiers utilisée
pour archiver le fichier d’origine dans le Cloud, il est archivé dans le Cloud à la
prochaine exécution de la tâche SmartPools et un nouveau fichier SmartLink est
créé à sa place sur le cluster local. Si le nouveau fichier ne respecte pas les
critères de la règle, le fichier complet reste sur le cluster.
Pour utiliser CloudPools de façon optimale, nous vous recommandons d’éviter
l’archivage de fichiers qui sont toujours activement modifiés par les utilisateurs.

Risque de corruption du fichier SmartLink lorsqu’il est copié d’un cluster à un autre
Si vous utilisez la commande scp (copie sécurisée) ou d’autres commandes de
copie pour copier un fichier SmartLink d’un cluster à un autre, le fichier SmartLink
obtenu est corrompu.

Erreurs lors de l’exécution du logiciel antivirus sur les fichiers SmartLink


Nous vous recommandons d’éviter de créer des règles qui exécutent un antivirus
sur des répertoires contenant des fichiers SmartLink. L’exécution du logiciel
antivirus sur les fichiers SmartLink génère des messages d’erreur. Si vous
exécutez tout de même un antivirus sur ces répertoires, vous pouvez ignorer ces
messages en toute sécurité.

Autres problèmes liés à l’accès aux fichiers SmartLink


Si le nœud ne dispose pas de quorum, si le système de fichiers est en lecture seule
ou si /ifs n’est pas disponible, vous risquez de rencontrer des problèmes lors de
l’accès aux fichiers SmartLink.

528 OneFS 8.0.1 Guide d’administration Web


CloudPools

Outils basés sur le client et fichiers SmartLink


Si vous exécutez un outil basé sur le client SMB ou NFS, tel qu’AVScan (analyses
antivirus) ou une application de sauvegarde, les données de fichier dans le Cloud
sont entièrement mises en cache dans les fichiers SmartLink. Cela peut non
seulement augmenter l’utilisation du réseau et les coûts liés au Service Provider,
mais également annuler les économies d’espace sur votre cluster.

Fichiers SmartLink ayant expiré


Les fichiers SmartLink ayant expiré ne sont pas restaurés via NDMP et ne sont
pas synchronisés avec SyncIQ. Un fichier SmartLink sur un cluster de sauvegarde
NDMP ou sur un cluster secondaire (cible) SyncIQ expire lorsque le fichier
SmartLink d’origine a été supprimé du cluster principal (source) ou que les
données du fichier d’origine dans le Cloud ont été entièrement rappelées.

Risque d’interruption du rappel


Lorsqu’une mise en cache complète est en cours (autrement dit, lorsqu’un
utilisateur accède à la volée à un fichier SmartLink à partir d’un partage SMB ou
d’une exportation NFS), le rappel de ce fichier peut échouer. Lorsque cela se
produit, la mise en cache complète doit d’abord se terminer, après quoi
l’utilisateur doit retenter la procédure de rappel.
Fichiers ADS
CloudPools ne prend pas en charge l’archivage et le rappel des fichiers ADS
(Alternate Data Stream).

SMB Oplock
SMB Oplock (bail/notification) ne fonctionne pas dans les cas où vous créez un
fichier avec la balise SUPERCEDE et que ce fichier existe déjà et est archivé.

Logs CloudPools
Vous pouvez accéder aux logs CloudPools pour afficher l’activité et résoudre les
problèmes.
Les logs suivants sont disponibles dans OneFS pour CloudPools.

Type Nom Chemin


Logs côté cluster Cpool daemon /var/log/isi_cpool_d.log
du client
Job Engine /var/log/isi_job_d.log

SMB and NFS I/O /var/log/isi_cpool_io_d.log


et /var/log/lwiod.log

Provisioning /var/log/isi_papi_d.log

NDMP /var/log/isi_ndmp_d.log

SyncIQ /var/log/isi_migrate.log

Messages /var/log/messages

Logs côté Cloud Platform API (RAN) /var/log/isi_object_d.log


de l’API de plate-
HTTPd apache /var/log/apache2/webui_httpd_error.log
forme
et
/var/log/apache2/
webui_httpd_access.log

Logs CloudPools 529


CloudPools

Type Nom Chemin


Session
authentication

Messages /var/log/messages

Remarque

Assurez-vous que l’heure côté cluster du client correspond à celle du fournisseur de


Cloud à 15 minutes près.

Résolution des problèmes liés à CloudPools


Cette section décrit les autres éléments de dépannage applicables à l’administration et
au fonctionnement de CloudPools.
Compte de stockage Cloud ne pouvant pas se connecter au Cloud
Dans OneFS, si un compte de stockage Cloud apparaît dans l’interface
d’administration Web avec une icône Needs Attention rouge, ou s’il apparaît
dans l’interface CLI avec l’état Unreachable, cela signifie généralement que le
cluster a perdu la connectivité Internet ou que le site de stockage Cloud du
Service Provider est hors ligne. Assurez-vous que le cluster dispose d’une
connectivité Internet. Si c’est le cas, contactez votre Service Provider pour
obtenir de l’aide.

Comment déterminer si un fichier est un fichier SmartLink


Pour déterminer si un fichier a été archivé dans le Cloud, vous pouvez vérifier si la
version locale résidant sur le cluster est un fichier SmartLink. Exécutez la
commande isi get -D comme dans l’exemple suivant :

isi get -D koala.jpg | grep Stubbed:

Vous devez obtenir la sortie suivante si le fichier spécifié est un fichier SmartLink
(stub) :

* Stubbed: True

Si le fichier n’est pas un fichier SmartLink, la sortie est False.

Serveurs proxy réseau avec CloudPools


Vous pouvez configurer CloudPools afin que les données archivées ou rappelées
auprès d’un fournisseur de Cloud public soient acheminées via un serveur proxy.
Par défaut, CloudPools communique directement avec le fournisseur de Cloud
désigné. Si le fournisseur de Cloud est privé, par exemple s’il s’agit d’un autre cluster
Isilon ou d’une appliance EMC ECS s’exécutant sur le même réseau d’entreprise, le
protocole de communication par défaut peut être acceptable.
En revanche, si CloudPools archive les données auprès d’un fournisseur de Cloud
public comme Amazon S3 ou Microsoft Azure, une communication directe via
l’Internet public peut violer les règles de sécurité instaurées par certaines entreprises.

530 OneFS 8.0.1 Guide d’administration Web


CloudPools

Dans une configuration classique, le cluster Isilon est installé dans un datacenter
derrière un ou plusieurs pare-feu. Les ports qui permettent la communication avec
l’Internet public sont souvent fermés. Pour que CloudPools archive les données auprès
d’un fournisseur de Cloud public, il peut être configuré de façon à fonctionner avec un
serveur proxy.
CloudPools est compatible avec des serveurs proxy exécutant les protocoles suivants :
l SOCKS v4
l SOCKS v5
l HTTP
La configuration du côté CloudPools inclut la création du proxy réseau et la connexion
de ce dernier à un compte de stockage Cloud. Les protocoles SOCKS v5 et HTTP
peuvent tous deux être configurés avec ou sans authentification. SOCKS v4 ne prend
pas en charge l’authentification.
À partir de OneFS, vous pouvez également répertorier les proxys réseau, afficher leurs
propriétés, modifier les paramètres de proxy et supprimer des proxys. Vous devez
utiliser la CLI pour exécuter toutes les commandes de serveur proxy, à l’exception de
la connexion du proxy réseau à un compte de stockage Cloud.

Créer un proxy réseau


Vous pouvez créer un proxy réseau pour rediriger le trafic entre CloudPools et un
fournisseur de Cloud public. CloudPools prend en charge les serveurs proxy exécutant
les protocoles SOCKS v4, SOCKS v5 et HTTP.
Avant de commencer
Le serveur proxy doit être en ligne et prêt à accepter une connexion à partir d’un
cluster Isilon.
Procédure
1. Exécutez la commande isi cloud proxies create.
La commande suivante crée un objet proxy nommé myproxy1 et l’associe à une
URL de serveur proxy, un type de proxys et un port spécifiques :

isi cloud proxies create myproxy1 10.99.58.250 socks_5 1080

Résultats
Lorsque, par la suite, vous créez ou modifiez un compte de stockage Cloud, le proxy
réseau myproxy1 est disponible. Lorsque vous sélectionnez le proxy et enregistrez les
modifications, CloudPools vérifie que la connexion au serveur proxy peut être
effectuée.

Afficher la liste des proxys réseau


Vous pouvez afficher la liste des proxys réseau existants dans CloudPools.
Avant de commencer
Vous (ou une autre personne de votre organisation) devez déjà avoir créé les proxys
réseau à l’aide de la commande isi cloud proxies create.
Procédure
1. Exécutez la commande isi cloud proxies list.

Créer un proxy réseau 531


CloudPools

Le système affiche un résultat semblable à l’exemple suivant :

Name Host Type


------------------------------------------
myproxy2 myproxy1.example.com socks_5
myproxy2 myproxy2.example.com http
myproxy3 myproxy3.example.com socks_4
------------------------------------------
Total: 3

Afficher les propriétés d’un proxy réseau


Vous pouvez afficher les propriétés d’un proxy réseau.
Avant de commencer
Vous (ou une autre personne de votre organisation) devez avoir créé un proxy réseau
à l’aide de la commande isi cloud proxies create.
Procédure
1. Exécutez la commande isi cloud proxies view.
La commande suivante affiche les propriétés d’un proxy nommé myproxy1 :

isi cloud proxies view myproxy1

La sortie de la commande est semblable à ce qui suit :

ID: 00505690602b8805a1570221dced3a85
Name: myproxy1
Host: 10.99.58.244
Type: socks_5
Port: 1080

Modifier un proxy réseau


Vous pouvez modifier les propriétés d’un proxy réseau existant dans CloudPools.
Avant de commencer
Vous (ou une autre personne de votre organisation) devez avoir créé le proxy réseau à
l’aide de la commande isi cloud proxies create.
Procédure
1. Exécutez la commande isi cloud proxies modify.
La commande suivante ajoute le nom d’utilisateur et le mot de passe
nécessaires pour se connecter à un proxy réseau :

isi cloud proxies modify myproxy1 --username cloud1 --


password @xy16+RZ20

Résultats
Vous pouvez à présent ajouter le proxy réseau à un compte de stockage Cloud.

532 OneFS 8.0.1 Guide d’administration Web


CloudPools

Supprimer un proxy réseau


Vous pouvez supprimer un proxy réseau existant dans CloudPools. Toutefois, si le
proxy est connecté à un compte de stockage Cloud, vous ne pouvez pas le supprimer.
Avant de commencer
Vous (ou une autre personne de votre organisation) devez avoir créé le proxy réseau à
l’aide de la commande isi cloud proxies create.
Procédure
1. Exécutez la commande isi cloud proxies delete.
La commande suivante supprime le proxy nommé myproxy1 :

isi cloud proxies delete myproxy1

OneFS vous demande de confirmer la suppression :

Are you sure? (yes/no):

2. Saisissez yes et appuyez sur Entrée.

Résultats
Si le proxy est déjà connecté à un compte de stockage Cloud dans CloudPools, OneFS
vous empêche de le supprimer. Dans le cas contraire, le proxy est supprimé.

Gestion des comptes de stockage Cloud


Un compte de stockage Cloud fournit à OneFS les informations dont il a besoin pour se
connecter au fournisseur de stockage Cloud à distance.
Vous pouvez créer et modifier un ou plusieurs comptes de stockage Cloud dans
OneFS.

Créer des comptes de stockage Cloud


La définition de comptes de stockage Cloud sur votre cluster OneFS fait partie
intégrante de la configuration de CloudPools. Le nom d’utilisateur du compte, le mot
de passe et l’URI que vous avez utilisés pour établir un compte auprès de votre
fournisseur de Cloud sont obligatoires. Vous pouvez également spécifier un serveur
proxy pour rediriger le trafic d’archivage et d’extraction entre CloudPools et un
fournisseur de Cloud public.
Procédure
1. Cliquez sur File System > Storage Pools > CloudPools.
2. Cliquez sur + Create a Cloud Storage Account.
3. Dans la boîte de dialogue Create a Cloud Storage Account, exécutez les
actions suivantes :
a. Dans le champ Name or Alias, saisissez le nom du compte.
b. Dans le menu déroulant Type, sélectionnez un type de compte Cloud. Vous
avez le choix entre EMC Isilon, EMC ECS Appliance, Virtustream
Storage Cloud, Microsoft Azure et Amazon S3.

Supprimer un proxy réseau 533


CloudPools

c. Dans le champ URI, saisissez l’URI complet du compte. L’URI doit utiliser le
protocole HTTPS et correspondre à l’URI utilisé pour configurer le compte
auprès de votre fournisseur de Cloud.
d. Dans le champ User Name, saisissez le nom d’utilisateur du compte, qui doit
être identique à celui communiqué au fournisseur de Cloud ou indiqué par ce
dernier.
e. Dans le champ Key, saisissez le mot de passe du compte. Le mot de passe
doit être identique à celui que vous avez fourni au fournisseur de Cloud, ou à
la clé que vous a émise le fournisseur de Cloud.
f. Si vous avez déjà défini un ou plusieurs proxys réseau et que vous souhaitiez
en utiliser un pour ce compte Cloud, sélectionnez son nom dans la liste
déroulante Proxy.
g. Si vous créez un compte Amazon S3, vous devez également spécifier les
paramètres S3 Account ID, S3 Telemetry Reporting Bucket et S3
Storage Region.
4. Cliquez sur le bouton Connect Account.
La boîte de dialogue Create a Cloud Storage Account se ferme et le nouveau
compte Cloud s’affiche dans la liste Cloud Storage Accounts. Un compte
Cloud est représenté par une icône d’utilisateur orange. Le nom, le type, l’état,
le nom d’utilisateur et l’URI associés au compte s’affichent.

Modifier un compte de stockage Cloud


Vous pouvez modifier certains des paramètres d’un compte de stockage Cloud
existant.
Procédure
1. Cliquez sur File System > Storage Pools > CloudPools.
2. Dans la liste Cloud Storage Accounts, cliquez sur le bouton View/Edit à droite
du compte que vous souhaitez modifier.
3. Dans la boîte de dialogue View Cloud Storage Account Details, cliquez sur le
bouton Edit Account.
4. Dans la boîte de dialogue Edit Cloud Storage Account Details, exécutez l’une
des actions suivantes :
a. Dans le champ Name or Alias, saisissez le nouveau nom du compte. Vous ne
pouvez pas modifier le type de compte.
b. Dans le champ URI, saisissez l’URI complet du compte. L’URI doit utiliser le
protocole HTTPS et correspondre à l’URI utilisé pour configurer le compte
auprès de votre fournisseur de Cloud.
c. Dans le champ Username, saisissez le nom d’utilisateur du compte, qui doit
être identique à celui fourni au fournisseur de Cloud.
d. Dans le champ Key, saisissez le mot de passe du compte. Le mot de passe
doit être identique à celui que vous avez fourni au fournisseur de Cloud, ou à
la clé que vous a émise le fournisseur de Cloud.
e. Si vous souhaitez utiliser un serveur proxy différent pour ce compte Cloud,
sélectionnez le nom du nouveau proxy dans la liste déroulante Proxy.
f. Si vous modifiez un compte Amazon S3, vous pouvez également spécifier de
nouveaux paramètres S3 Account ID et S3 Telemetry Reporting

534 OneFS 8.0.1 Guide d’administration Web


CloudPools

Bucket. Vous ne pouvez toutefois pas modifier le paramètre S3 Storage


Region.
5. Cliquez sur le bouton Save Changes.
CloudPools confirme que vos données de Cloud sont toujours accessibles. Dans
le cas contraire, vous en êtes averti et les modifications ne sont pas
enregistrées.

Gestion de CloudPools
Un CloudPool contient un ou plusieurs comptes de stockage Cloud. Il permet à OneFS
d’utiliser le stockage Cloud simplement comme un autre niveau de stockage disponible
sur le cluster.
Vous pouvez créer, afficher, modifier et surveiller les CloudPools.

Créer un CloudPool
Vous pouvez créer un CloudPool en tant que conteneur pour un ou plusieurs comptes
de stockage Cloud. Une règle de pool de fichiers peut pointer vers le CloudPool en
tant que cible de stockage des données dans le Cloud.
Procédure
1. Cliquez sur File System > Storage Pools > CloudPools.
2. Cliquez sur le bouton + Create a CloudPool.
3. Dans le champ Name de la boîte de dialogue Create a CloudPool, saisissez le
nom du CloudPool. Le nom doit être unique sur votre cluster.
4. Dans le menu déroulant Type, sélectionnez un type de comptes Cloud : EMC
Isilon, EMC ECS Appliance, Virtustream Storage Cloud,
Microsoft Azure ou Amazon S3.
5. Saisissez le fournisseur et la description du CloudPool.
6. Dans la liste Account in CloudPool, sélectionnez le compte de stockage Cloud
que ce CloudPool doit contenir. Cette liste est vide jusqu’à ce que vous
sélectionniez une valeur dans la liste Type. Ensuite, la liste Account in
CloudPool affiche uniquement les comptes de stockage Cloud qui
correspondent à ce type, par exemple Azure.
7. Cliquez sur Create a CloudPool.
La boîte de dialogue se ferme et la liste CloudPools fait apparaître le nouveau
CloudPool ainsi que son type, son état, son fournisseur et sa description.

Affichez des informations sur un CloudPool


Vous pouvez afficher des informations sur un CloudPools.
Procédure
1. Cliquez sur File System > Storage Pools > CloudPools.
Dans la liste CloudPools, chaque CloudPool est représenté par un nuage bleu.
Les comptes Cloud associés sont répertoriés sous chaque CloudPool et
représentés par une icône d’utilisateur orange. Le type, le fournisseur et la
description associés à chaque CloudPool s’affichent.
2. Pour explorer les paramètres d’un CloudPool, cliquez sur View/Edit à droite du
CloudPool.

Gestion de CloudPools 535


CloudPools

La boîte de dialogue View Cloud Storage Pool Details affiche des informations
sur le CloudPool.
3. Cliquez sur Close pour fermer la boîte de dialogue.

Modifier un CloudPool
Vous pouvez modifier certains des paramètres associés à un CloudPool.
Procédure
1. Cliquez sur File System > Storage Pools > CloudPools.
Dans la liste CloudPools, chaque CloudPool est représenté par une icône en
forme de nuage bleu. Le compte Cloud associé à chaque CloudPool est
répertorié et représenté par une icône d’utilisateur orange. Le type, le
fournisseur et la description sont également indiqués.
2. Cliquez sur View/Edit à droite du CloudPool que vous souhaitez modifier.
La boîte de dialogue View Cloud Storage Pool Details s’affiche.
3. Cliquez sur le bouton Edit CloudPool.
La boîte de dialogue Edit CloudPool Details s’affiche.
4. Modifiez le nom, le fournisseur ou la description comme il convient.
5. Dans la liste déroulante Account in CloudPool, sélectionnez un autre compte du
même type.
6. Cliquez sur le bouton Save Changes.
7. Dans la boîte de dialogue View Cloud Storage Pool Details, cliquez sur Close.
Résultats
Toutes les modifications apportées au CloudPool sont reflétées dans la liste
CloudPools.

Surveillance de CloudPools
Vous pouvez surveiller l’intégrité des CloudPools configurés sur votre cluster.
Procédure
1. Cliquez sur File System > Storage Pools > Summary.
2. Dans la liste Status, vérifiez l’état des CloudPools.
Il existe deux conditions d’état : Good et Needs Attention. L’état Needs
Attention s’affiche lorsqu’un CloudPool ne peut pas se connecter au
fournisseur Cloud distant. Cela peut indiquer des problèmes de connexion
Internet ou avec le fournisseur de Cloud. Si vous confirmez que votre connexion
Internet est bonne, contactez votre fournisseur de Cloud pour plus
d’informations.

Gestion des règles du Cloud


CloudPools tire parti de l’infrastructure SmartPools et applique les règles de pool de
fichiers afin de déterminer quels fichiers doivent être archivés sur le Cloud.
Vous devez donc activer une licence SmartPools et une licence CloudPools pour
stocker les données dans le Cloud.

536 OneFS 8.0.1 Guide d’administration Web


CloudPools

En définissant des règles de pool de fichiers, vous pouvez faire en sorte que OneFS
archive automatiquement les fichiers dans le Cloud lorsqu’ils correspondent à
certaines caractéristiques (par exemple, âge, taille, type ou emplacement).

Afficher ou modifier les paramètres par défaut de la règle de pool de fichiers


Vous pouvez afficher et modifier les paramètres de pool de fichiers par défaut qui
s’appliquent à tous les fichiers qui ne correspondent pas à une autre règle.
Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
La règle par défaut est la dernière répertoriée dans la liste File Pool Policies.
2. Cliquez sur View/Edit en regard de la règle par défaut.
La boîte de dialogue View Default Policy Details s’affiche ; vous pouvez faire
défiler la liste vers le bas pour afficher toutes les règles par défaut. La règle par
défaut ne contient aucune action CloudPools et ne contrôle pas les paramètres
des règles pour les fichiers, y compris les fichiers SmartLink, qui ne sont pas
spécifiés dans une règle de pool de fichiers personnalisée.
3. Pour modifier les paramètres de règle par défaut, cliquez sur Edit Policy.
La boîte de dialogue Edit Default Policy Details s’affiche.
4. Effectuez toutes les modifications nécessaires.
5. Cliquez sur Save Changes.
Résultats
Les modifications apportées à la règle de fichier par défaut prennent effet à la
prochaine exécution de la tâche SmartPools. Tous les fichiers qui ne sont pas
contrôlés par une règle personnalisée suivent les paramètres de la règle de pool de
fichiers par défaut.

Créer une règle de pool de fichiers pour un stockage Cloud


Vous pouvez créer des règles de pool de fichiers pour spécifier les actions CloudPools
à appliquer aux fichiers sélectionnés.
Les règles de pool de fichiers s’appliquent aussi bien à SmartPools qu’à CloudPools.
Une règle de pool de fichiers peut indiquer une cible de stockage locale et/ou une cible
de stockage Cloud. Si vous créez une règle qui spécifie à la fois une cible locale et une
cible Cloud, la règle déplace les données du fichier vers le Cloud et applique les
paramètres locaux aux fichiers SmartLink conservés sur le cluster local. Si l’objectif
d’une règle de pool de fichiers consiste à déplacer les fichiers vers un pool ou un
niveau de nœuds local, ne configurez pas de cible Cloud. À l'inverse, si une règle a pour
but d’archiver des fichiers dans le Cloud, il n’est pas nécessaire de configurer une cible
locale, bien que cela soit autorisé. Dans ce cas, le système utilise les paramètres de la
règle de pool de fichiers par défaut pour stocker les fichiers SmartLink locaux.
Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
2. Cliquez sur le bouton + Create a File Pool Policy.
La boîte de dialogue Create a File Pool Policy s’affiche.
3. Indiquez un nom de règle, ainsi qu’une description, le cas échéant.
4. Dans la zone Select Files to Manage, utilisez les menus déroulants pour
spécifier les critères de sélection de fichier pour le stockage Cloud. Les critères

Afficher ou modifier les paramètres par défaut de la règle de pool de fichiers 537
CloudPools

que vous spécifiez sont utilisés par OneFS afin de déterminer les fichiers à
archiver. Les critères de sélection de fichier que vous spécifiez peuvent inclure
les attributs suivants, lesquels sont combinés à des opérateurs booléens :
l Filename
l Path
l File Type
l File Attribute
l Modified
l Accessed
l Metadata Changed
l Created
l Size
5. Dans la zone Apply CloudPools Actions to Selected Files, sélectionnez Move
to cloud storage.
6. Dans le menu déroulant CloudPool Storage Target, sélectionnez un CloudPool
existant et indiquez si vous souhaitez chiffrer et compresser les données avant
leur archivage sur le Cloud.
7. Cliquez sur Show Advanced CloudPool Settings pour spécifier des options de
stockage Cloud supplémentaires, comme décrit dans le tableau suivant :

Paramètre Description
Data l Cloud Data Retention Period : spécifie la durée pendant
Retention laquelle les objets de Cloud sont conservés après la
Settings suppression d’un fichier SmartLink. Lorsqu’un fichier
SmartLink est supprimé sur le cluster local, CloudPools
nettoie les ressources locales allouées aux fichiers
SmartLink et supprime également les objets de Cloud
associés. Cette tâche est effectuée une fois par semaine
par la tâche de nettoyage de mémoire des objets de Cloud.
l Incremental Backup Retention Period for NDMP
Incremental Backup and SyncIQ : spécifie la période de
rétention des sauvegardes pour les fichiers SmartLink
créés avec une règle de sauvegarde NDMP incrémentielle
ou une règle SyncIQ. Cette valeur s’applique uniquement
aux sauvegardes NDMP incrémentielles et à la réplication
SyncIQ.
l Full Backup Retention Period for NDMP Only : spécifie la
période de rétention des sauvegardes pour les fichiers
SmartLink créés avec une règle de sauvegarde NDMP
complète. Cette valeur s’applique uniquement aux
sauvegardes NDMP complètes.

Accessibility l Writeback Frequency : spécifie la fréquence à laquelle les


and Cache fichiers SmartLink modifiés sur le cluster Isilon sont écrits
Settings sur les objets de données Cloud associés.
l Accessibility : indique si les données archivées doivent ou
non être mises en cache localement. Une mise en cache

538 OneFS 8.0.1 Guide d’administration Web


CloudPools

Paramètre Description

locale permet un accès plus rapide aux données du Cloud,


mais réduit le gain d’espace sur votre cluster.
l Cache Read Ahead : spécifie si les données de Cloud sont
entièrement ou partiellement mises en cache lorsque vous
accédez à un fichier SmartLink sur le système de fichiers
local. Si la règle spécifie une mise en cache partielle, le
système met en cache uniquement les blocs nécessaires
lors de l’accès à un fichier. Si la règle spécifie une mise en
cache complète, les données du Cloud sont entièrement
mises en cache lors de l’accès au fichier SmartLink.
l Cache Expiration : spécifie la durée pendant laquelle les
données de Cloud qui ont été mises en cache sont
conservées dans le cache local des fichiers SmartLink
associés. Le système vide le cache SmartLink des données
qui n’ont pas été consultées pendant le nombre de jours
spécifié.

Archive files Indique que CloudPools doit archiver les fichiers qui ont une ou
with plusieurs versions de snapshot. Les dernières versions de ces
snapshots fichiers sont créées puis archivées, et les fichiers SmartLink
restent à leur place sur le cluster local. Étant donné que les
versions complètes de snapshot des fichiers sont conservées
sur le cluster, l’archivage de ces fichiers ne permet pas
d’économiser de l’espace sur le cluster.

8. Cliquez sur Create Policy.


La règle de pool de fichiers apparaît sous File Pool Policies, dans la fenêtre File
Pool Policies.
Résultats
À la prochaine exécution de la tâche système SmartPools, la règle de pool de fichiers
exécute les actions spécifiées.

Modifier les attributs de Cloud dans une règle de pool de fichiers


Vous pouvez modifier tous les aspects d’une règle de pool de fichiers, y compris des
actions de Cloud. Une modification des actions de Cloud dans la règle n’affecte pas les
données qui ont déjà été archivées dans le Cloud. Dans ce cas, la règle n’exécuterait
plus les actions de cloud initialement spécifiées.
Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
La page File Pool Policies s’affiche.
2. Dans la liste File Pool Policies, en regard de la règle de pool de fichiers que vous
souhaitez modifier, cliquez sur View/Edit.
La boîte de dialogue View File Pool Policy Details s’affiche.
3. Cliquez sur Edit Policy.
La boîte de dialogue Edit Node Pool Details s’affiche.
4. Apportez les modifications nécessaires dans les zones appropriées et cliquez sur
Save Changes.

Modifier les attributs de Cloud dans une règle de pool de fichiers 539
CloudPools

Résultats
Les modifications apportées à la règle de pool de fichiers sont appliquées lors de la
prochaine exécution de la tâche système SmartPools.

540 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 24
Tâches système

Cette section traite des sujets suivants :

l Présentation des tâches système.....................................................................542


l Bibliothèque de tâches système....................................................................... 542
l Exécution des tâches....................................................................................... 546
l Impact des tâches sur les performances.......................................................... 547
l Priorités des tâches......................................................................................... 548
l Gestion des tâches système.............................................................................548
l Gestion des règles d’impact..............................................................................551
l Affichage des statistiques et des rapports relatifs aux tâches..........................554

Tâches système 541


Tâches système

Présentation des tâches système


La fonction la plus importante de OneFS consiste à maintenir l’intégrité des données
de votre cluster Isilon. Les autres fonctions importantes de maintenance du système
incluent la surveillance et l’optimisation des performances, la détection des
défaillances de disque et de nœud et la limitation de leur impact, ainsi que la libération
d’espace disponible.
Étant donné que les fonctions de maintenance utilisent des ressources système et
peuvent durer plusieurs heures, OneFS les exécute en tant que tâches d’arrière-plan
par le biais du moteur de tâches. Le temps nécessaire à l’exécution d’une tâche peut
varier considérablement en fonction d’un certain nombre de facteurs. Il s’agit
notamment de l’exécution simultanée d’autres tâches système, d’autres processus qui
utilisent des cycles de CPU et d’E/S pendant l’exécution de la tâche, de la
configuration de votre cluster, de la taille de votre Dataset et du temps écoulé depuis
la dernière exécution de la tâche.
Jusqu’à trois tâches peuvent s’exécuter simultanément. Pour que les tâches de
maintenance ne perturbent pas votre productivité et n’entrent pas en conflit les unes
avec les autres, le moteur de tâches les classe dans des catégories, les exécute selon
des niveaux de priorité et d’impact différents, et peut les suspendre temporairement
(sans perte de progression) pour permettre aux tâches et aux opérations
d’administration prioritaires de s’exécuter.
En cas de coupure d’alimentation, le moteur de tâches utilise un système de points de
contrôle pour faire reprendre les tâches aussi près que possible du point où elles ont
été interrompues. Le système de points de contrôle aide le moteur de tâches à assurer
le suivi des phases des tâches et des opérations qui ont été déjà effectuées. Une fois
que le cluster fonctionne de nouveau, le moteur de tâches redémarre la tâche au début
de la phase ou de l’opération qui était en cours lorsque la coupure d’alimentation s’est
produite.
Le moteur de tâches permet à l’administrateur système de surveiller, de planifier,
d’exécuter et d’arrêter les tâches de maintenance système, ainsi que de leur appliquer
d’autres contrôles. Il fournit des statistiques et des outils de reporting permettant de
déterminer la durée d’exécution des différentes tâches système dans votre
environnement OneFS.

Remarque

Pour démarrer une tâche du moteur de tâches, vous devez disposer du rôle
SystemAdmin au sein du système OneFS.

Bibliothèque de tâches système


OneFS contient une bibliothèque de tâches système qui s’exécutent en arrière-plan
pour contribuer au maintien en conditions opérationnelles de votre cluster Isilon. Par
défaut, les tâches système sont classées en deux catégories : manuelles ou planifiées.
Vous pouvez néanmoins exécuter n’importe quelle tâche manuellement ou bien
planifier une tâche afin qu’elle s’exécute régulièrement selon votre workflow. Par
ailleurs, OneFS démarre certaines tâches automatiquement en présence de conditions
système particulières. C’est le cas notamment des tâches FlexProtect et
FlexProtectLin, qui démarrent lorsqu’un disque a fait l’objet d’un processus smartfail.

542 OneFS 8.0.1 Guide d’administration Web


Tâches système

Nom de la tâche Description Ensemble Règle Priorité Opération


d’exclusio d’impac
n t
AutoBalance Équilibre l’espace disponible dans un cluster. Nouvelle Basse 4 Manuelle
Est plus efficace dans les clusters qui ne répartition
contiennent que des disques durs (HDD).
Est exécutée dans le cadre de MultiScan, ou
automatiquement par le système lorsqu’un
périphérique intègre (ou réintègre) le
cluster.

AutoBalanceLin Équilibre l’espace disponible dans un Nouvelle Basse 4 Manuelle


cluster . Est plus efficace dans les clusters répartition
où les métadonnées du système de fichiers
sont stockées sur des disques SSD. Est
exécutée dans le cadre de MultiScan, ou
automatiquement par le système lorsqu’un
périphérique intègre (ou réintègre) le
cluster.

AVScan Exécute une analyse antivirus de tous les Aucune Basse 6 Manuelle
fichiers.

ChangelistCreate Crée une liste de modifications entre deux Aucune Basse 5 Manuelle
snapshots présentant des chemins d’accès
racine semblables. Vous pouvez spécifier
ces snapshots à partir de la CLI.

Collect Récupère l’espace disponible qui n’a pas pu Marquage Basse 4 Manuelle
être libéré auparavant en raison d’une
indisponibilité du nœud ou du disque. Est
exécutée dans le cadre de MultiScan, ou
automatiquement par le système lorsqu’un
périphérique intègre (ou réintègre) le
cluster.

Dedupe* Analyse un répertoire pour identifier les Aucune Basse 4 Manuelle


blocs de données redondants et déduplique
toutes les données redondantes stockées
dans le répertoire. Disponible uniquement si
vous activez une licence SmartDedupe.

DedupeAssessment Analyse un répertoire pour identifier les Aucune Basse 6 Manuelle


blocs de données redondants et fournit une
estimation du gain d’espace qui peut être
réalisé en dédupliquant le répertoire.

DomainMark Associe un chemin et son contenu à un Aucune Basse 5 Manuelle


domaine.

FlexProtect Analyse le système de fichiers après la Nouvelle Moyenne 1 Manuelle


défaillance d’un périphérique pour s’assurer répartition
que tous les fichiers demeurent protégés.
FlexProtect est plus efficace dans les
clusters qui contiennent uniquement des
disques durs. En cas de panne de
périphérique sur un cluster, seule la tâche
FlexProtect (ou FlexProtectLin) est

Bibliothèque de tâches système 543


Tâches système

Nom de la tâche Description Ensemble Règle Priorité Opération


d’exclusio d’impac
n t
autorisée à s’exécuter. Selon la taille de
votre Dataset, ce processus peut durer
pendant une période prolongée. Le cluster
est considéré comme étant dans un état
dégradé jusqu’à ce que la tâche FlexProtect
(ou FlexProtectLin) se termine. Si vous
constatez que d’autres tâches système ne
peuvent pas démarrer ou sont interrompues,
vous pouvez utiliser la commande isi job
status --verbose et voir si le message
« Cluster Is Degraded » s’affiche.

Remarque

Contrairement aux disques durs et aux


disques SSD utilisés pour le stockage,
lorsqu’un disque SSD utilisé pour le
cache N3 tombe en panne, l’état du disque
doit immédiatement passer à REPLACE sans
qu’une tâche FlexProtect soit nécessaire.
Un disque SSD utilisé pour le cache N3
contient uniquement des données de cache
qui n’ont pas besoin d’être protégées par
FlexProtect. Une fois que l’état du disque
est passé à REPLACE, vous pouvez retirer
et remplacer le disque SSD défaillant.

FlexProtectLin Analyse le système de fichiers après la Nouvelle Moyenne 1 Manuelle


défaillance d’un périphérique pour s’assurer répartition
que tous les fichiers demeurent protégés.
Cette commande est plus efficace si les
métadonnées du système de fichiers sont
stockées sur des disques SSD. Dans ce cas,
exécutez FlexProtectLin au lieu de
FlexProtect.

FSAnalyze* Collecte et fait état des informations Aucune Basse 1 Planifiée


relatives à tous les fichiers et répertoires
figurant sous le chemin /ifs. Cette tâche
requiert l’activation d’une licence InsightIQ.
Les utilisateurs de InsightIQ utilisent les
rapports générés par cette tâche à des fins
d’analyse du système. Pour plus
d’informations, consultez le Guide
d’utilisation de InsightIQ.

IntegrityScan Vérifie l’intégrité du système de fichiers. Marquage Moyenne 1 Manuelle

MediaScan Localise les erreurs au niveau des médias sur Nouvelle Basse 8 Planifiée
les disques et les supprime afin de garantir la répartition
protection de toutes les données.

MultiScan Effectue simultanément le travail des tâches Nouvelle Basse 4 Manuelle


AutoBalance et Collect. répartition

544 OneFS 8.0.1 Guide d’administration Web


Tâches système

Nom de la tâche Description Ensemble Règle Priorité Opération


d’exclusio d’impac
n t
Marquage

PermissionRepair Utilise un répertoire ou un fichier de modèle Aucune Basse 5 Manuelle


comme base pour la définition des
autorisations sur un répertoire ou fichier
cible. Le répertoire cible doit toujours être
subordonné au chemin /ifs. Cette tâche
doit être démarrée manuellement.

QuotaScan* Met à jour le décompte des quotas pour les Aucune Basse 6 Manuelle
domaines créés sur une arborescence de
fichiers existante. Disponible uniquement si
vous activez une licence SmartQuotas. Il
convient d’exécuter cette tâche
manuellement en dehors des heures de
travail après avoir configuré tous les quotas,
puis chaque fois que de nouveaux quotas
sont définis.

SetProtectPlus Applique une règle de fichier par défaut à Nouvelle Basse 6 Manuelle
l’ensemble du cluster. S’exécute uniquement répartition
si aucune licence SmartPools n’est activée.

ShadowStoreDelete Libère de l’espace associé à des zones de Aucune Basse 2 Planifiée


stockage de clichés instantanés. Les zones
de stockage de clichés instantanés sont des
fichiers masqués auxquels font référence les
fichiers clonés et dédupliqués.

ShadowStoreProtect Protège les zones de stockage de clichés Aucune Basse 6 Planifiée


instantanés référencées par un inode logique
(LIN) grâce à niveau de protection plus
élevé.

SmartPools* Applique les règles de pools de fichiers Nouvelle Basse 6 Planifiée


SmartPools. Disponible uniquement si vous répartition
activez une licence SmartPools. Cette tâche
s’exécute sur la base d’un planning régulier
et peut également être démarrée par le
système suite à une modification (par
exemple, lors de la création d’une
compatibilité entraînant la fusion de pools de
nœuds).

SnapRevert Inverse l’intégralité d’un snapshot. Aucune Basse 5 Manuelle

SnapshotDelete Crée un espace disponible associé aux Aucune Moyenne 2 Manuelle


snapshots supprimés. Déclenchée par le
système lorsque vous marquez des
snapshots en vue de leur suppression.

TreeDelete Supprime un chemin de fichier défini dans le Aucune Moyenne 4 Manuelle


répertoire /ifs.

Upgrade Met à niveau le système de fichiers après la Nouvelle Moyenne 3 Manuelle


mise à niveau d’une version logicielle. répartition

Bibliothèque de tâches système 545


Tâches système

Nom de la tâche Description Ensemble Règle Priorité Opération


d’exclusio d’impac
n t

Remarque

La tâche de mise à niveau ne doit être


exécutée que lors de la mise à jour du cluster
avec une version logicielle majeure. Pour
obtenir des informations complètes,
consultez le Guide de planification et de
traitement des mises à niveau d’Isilon OneFS.

WormQueue Traite la file d’attente WORM, qui analyse Aucune Basse 6 Planifiée
les temps de validation des fichiers à l’état
WORM. Une fois qu’un fichier est validé à
l’état WORM, il est supprimé de la file
d’attente.

* Disponible uniquement si vous activez une licence supplémentaire

Exécution des tâches


OneFS inclut des tâches de maintenance du système qui s’exécutent afin de garantir
le fonctionnement optimal du cluster Isilon. Avec le moteur de tâches, OneFS exécute
automatiquement un sous-ensemble de ces tâches, en fonction des besoins, pour
garantir l’intégrité des fichiers et des données, détecter et prévenir les défaillances
des disques et des nœuds, et optimiser l’espace disponible. Pour d’autres tâches, par
exemple la déduplication, vous pouvez utiliser le moteur de tâches pour les démarrer
manuellement ou pour planifier leur exécution automatique à intervalles réguliers.
Le moteur de tâches exécute les tâches de maintenance du système en arrière-plan et
empêche l’exécution simultanée des tâches entrant dans la même classification
(ensemble d’exclusion). Deux jeux d’exclusion sont appliqués : le rembobinage et le
marquage.
Les types de tâche de rembobinage sont les suivants :
l AutoBalance
l AutoBalanceLin
l FlexProtect
l FlexProtectLin
l MediaScan
l MultiScan
l SetProtectPlus
l SmartPools
Les types de tâche de marquage sont les suivants :
l Collect
l IntegrityScan
l MultiScan

546 OneFS 8.0.1 Guide d’administration Web


Tâches système

Notez que MultiScan est membre à la fois des ensembles d’exclusion de rembobinage
et de marquage. Vous ne pouvez pas modifier le paramètre d’ensemble d’exclusion
d’un type de tâche.
Le moteur de tâches est également sensible à la priorité des tâches. Il peut exécuter
jusqu’à trois tâches simultanément, quel que soit leur niveau de priorité. La priorité de
la tâche est représentée par un chiffre allant de 1 à 10, 1 étant la priorité la plus élevée
et 10 la priorité la plus faible. Le système utilise la priorité des tâches en cas de conflit
entre les tâches exécutées ou en attente. Par exemple, si vous démarrez
manuellement une tâche qui a une priorité plus élevée que trois autres tâches déjà en
cours d’exécution, le moteur de tâches suspend la tâche active de plus faible priorité,
exécute la nouvelle tâche, puis redémarre la tâche plus ancienne au point auquel elle a
été interrompue. De même, si vous démarrez une tâche dans l’ensemble d’exclusion de
rembobinage alors qu’une autre tâche de rembobinage est en cours, le système utilise
les priorités pour déterminer quelle tâche doit être exécutée (ou doit continuer de
s’exécuter) et quelle tâche doit être (ou rester) interrompue.
D’autres paramètres de tâche permettent de déterminer si les tâches sont activées,
leur impact sur les performances et leur planning d’exécution. En tant
qu’administrateur système, vous pouvez accepter les paramètres par défaut de la
tâche ou les modifier (à l’exception de l’ensemble d’exclusion) en fonction de vos
besoins.
Lorsqu’une tâche démarre, le moteur de tâches en distribue les segments (phases et
opérations) entre les différents nœuds du cluster. Un nœud agit comme un
coordinateur de tâche et collabore en permanence avec les autres nœuds pour
équilibrer la charge. De cette manière, aucun nœud n’est surchargé et les ressources
système restent disponibles pour d’autres activités d’administration et d’E/S système
qui ne sont pas déclenchées par le moteur de tâches.
Au terme de l’exécution d’une tâche, chaque nœud rend compte de l’état de celle-ci
au coordinateur de la tâche. Le nœud qui agit comme un coordinateur de tâche
enregistre ces informations d’état dans un fichier de point de contrôle. Par
conséquent, en cas de panne d’alimentation ou d’interruption de la tâche, cette
dernière peut toujours être redémarrée à partir du point auquel elle a été interrompue.
Cet aspect est d’autant plus important que certaines tâches peuvent durer plusieurs
heures et utiliser des ressources système considérables.

Impact des tâches sur les performances


Le moteur de tâches surveille les performances du système afin de s’assurer que les
tâches de maintenance ne perturbent pas de manière significative l’activité d’E/S
normale du cluster ni les autres tâches d’administration système. Le moteur de tâches
utilise des règles d’impact que vous pouvez gérer afin de contrôler à quel moment une
tâche peut s’exécuter ainsi que les ressources système qu’elle consomme.
Il comporte quatre règles d’impact par défaut que vous pouvez utiliser, mais pas
modifier. Les règles d’impact par défaut sont les suivantes :

Règle d’impact Moment d’exécution Consommation de ressources

LOW Toute heure du jour. Faible

MEDIUM Toute heure du jour. Moyenne

HIGH Toute heure du jour. Élevée

Impact des tâches sur les performances 547


Tâches système

Règle d’impact Moment d’exécution Consommation de ressources

OFF_HOURS En dehors des heures de Faible


bureau. Les heures de
bureau sont fixées de 9h
à 17h, du lundi au
vendredi. La règle
OFF_HOURS est
interrompue pendant les
heures de bureau.

Si, pour une tâche, vous préférez utiliser une règle d’impact autre que celles définies
par défaut, vous pouvez créer une règle personnalisée avec de nouveaux paramètres.
Les tâches associées à une règle d’impact LOW ont le moins d’impact sur les
ressources de CPU et d’E/S disque disponibles. Les tâches associées à une règle
d’impact HIGH ont un impact sensiblement plus élevé. Dans tous les cas, cependant, le
moteur de tâches utilise des algorithmes de régulation du CPU et des disques pour
octroyer une priorité plus élevée aux tâches que vous déclenchez manuellement ainsi
qu’aux autres tâches d’E/S non liées au moteur de tâches.

Priorités des tâches


Les priorités des tâches déterminent quelle tâche prévaut lorsque plus de trois tâches
d’ensembles d’exclusion différents tentent de s’exécuter simultanément. Le moteur de
tâches attribue à chaque tâche une valeur de priorité comprise entre 1 et 10, la valeur 1
étant la plus importante et 10 la moins importante.
Le nombre maximal de tâches pouvant s’exécuter simultanément est de trois. Si une
quatrième tâche associée à une priorité plus élevée est démarrée, que ce soit
manuellement ou par un événement système, le moteur de tâches interrompt l’une des
tâches de plus faible priorité en cours d’exécution. Il place la tâche interrompue dans
une file d’attente de priorité et la reprend automatiquement lorsque l’une des autres
tâches est terminée.
Si deux tâches de même niveau de priorité sont planifiées pour s’exécuter
simultanément alors que deux autres tâches plus prioritaires sont déjà en cours
d’exécution, la tâche qui est placée dans la file d’attente en premier est exécutée en
premier.

Gestion des tâches système


Le moteur de tâches vous permet de contrôler les tâches périodiques de maintenance
du système qui garantissent la stabilité et l’intégrité du système de fichiers OneFS.
Pendant que les tâches de maintenance s’exécutent, le moteur de tâches surveille et
atténue constamment leur impact sur les performances générales du cluster.
En tant qu’administrateur système, vous pouvez adapter ces tâches au workflow
spécifique de votre cluster Isilon. Vous pouvez afficher les tâches actives et
l’historique des tâches, modifier les paramètres des tâches et démarrer, interrompre,
reprendre, annuler et mettre à jour les instances de tâche.

548 OneFS 8.0.1 Guide d’administration Web


Tâches système

Afficher les tâches actives


Si vous constatez que le système répond plus lentement lors de l’accomplissement de
tâches d’administration, vous pouvez afficher les tâches en cours d’exécution sur
votre cluster Isilon.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Summary.
2. Le tableau Active Jobs affiche des informations sur l’état de toutes les tâches
en cours d’exécution, les paramètres des tâches et le détail de leur progression.
a. Vous pouvez effectuer des actions en masse sur les tâches actives en
activant la case à cocher Status, puis en sélectionnant une action dans la
liste déroulante Select a bulk action.

Afficher l’historique des tâches


Si vous souhaitez vérifier quand une tâche critique s’est exécutée pour la dernière fois,
vous pouvez consulter l’activité récente d’une tâche spécifique ou de l’ensemble des
tâches.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Reports.
Le tableau Job Reports affiche la liste chronologique des événements de tâche
qui se sont produits dans le cluster. Les informations sur l’événement incluent
l’heure à laquelle l’événement s’est produit, la tâche responsable de
l’événement et les résultats de l’événement.
2. Pour filtrer les rapports par type de tâches, sélectionnez la tâche dans la liste
déroulante Filter by Job Type.
3. Pour afficher les événements récents se rapportant uniquement à une certaine
tâche, cliquez sur View Details en regard du nom de celle-ci.
Les événements récents de la tâche apparaissent dans la fenêtre View Job
Report Details. Ils incluent des informations telles que l’heure de début, la
durée et la réussite ou non de la tâche.

Démarrer une tâche


Par défaut, seules quelques tâches de maintenance système sont planifiées pour
s’exécuter automatiquement. Cependant, vous pouvez à tout moment démarrer
manuellement une tâche quelle qu’elle soit.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
2. Dans la liste Job Types, recherchez la tâche que vous souhaitez démarrer, puis
cliquez sur Start Job.
La boîte de dialogue Start a Job s’affiche.
3. Indiquez les informations relatives à la tâche, puis cliquez sur Start Job.

Afficher les tâches actives 549


Tâches système

Interrompre une tâche


Vous pouvez interrompre temporairement une tâche afin de libérer des ressources
système.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Summary.
2. Dans le tableau Active Jobs, cliquez sur More en regard de la tâche à
interrompre.
3. Dans le menu qui s’affiche, cliquez sur Pause Running Job.
La tâche s’interrompt jusqu’à ce que vous la fassiez reprendre.

Reprendre une tâche


Vous pouvez reprendre une tâche interrompue.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Summary.
2. Dans le tableau Active Jobs, cliquez sur More en regard de la tâche que vous
voulez reprendre.
3. Dans le menu qui s’affiche, cliquez sur Resume Running Job.
Résultats
La tâche reprend à partir de la phase ou de l’opération au niveau de laquelle elle a été
interrompue.

Annuler une tâche


Pour libérer des ressources système ou pour toute autre raison, vous pouvez arrêter
de manière définitive une tâche en cours d’exécution, interrompue ou en attente.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Summary.
2. Dans le tableau Active Jobs, cliquez sur More en regard de la tâche à annuler.
3. Dans le menu qui s’affiche, cliquez sur Cancel Running Job.

Mettre à jour une tâche


Vous pouvez modifier la priorité et la règle d’impact d’une tâche en cours d’exécution,
en attente ou interrompue.
Lorsque vous mettez à jour une tâche, seule l’instance actuelle de la tâche s’exécute
avec les paramètres mis à jour. L’instance suivante revient aux paramètres par défaut
de cette tâche.

Remarque

Pour modifier les paramètres de la tâche de manière permanente, reportez-vous à la


section Modifier les paramètres d’un type de tâche.

Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Summary.

550 OneFS 8.0.1 Guide d’administration Web


Tâches système

2. Dans le tableau Active Jobs, cliquez sur View/Edit en regard de la tâche à


mettre à jour.
3. (Requis) Dans la fenêtre View Active Job Details, cliquez sur Edit Job.
a. Dans la liste déroulante Priority, sélectionnez un nouveau niveau de priorité.
b. Dans la liste déroulante Impact Policy, sélectionnez un niveau de règle
d’impact.
4. Cliquez sur Save Changes.
Lorsque vous mettez à jour une tâche en cours d’exécution, celle-ci reprend
automatiquement. Lorsque vous mettez à jour une tâche interrompue ou
inactive, celle-ci reste dans cet état jusqu’à ce que vous la redémarriez.

Modifier les paramètres d’un type de tâche


Vous pouvez personnaliser les tâches de maintenance du système de votre workflow
administratif en modifiant le niveau de priorité par défaut, le niveau d’impact et le
planning d’un type de tâche.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
2. Dans le tableau Job Types, recherchez la ligne de la règle à modifier, puis
cliquez sur View/Edit.
La fenêtre View Job Type Details s’ouvre et affiche les paramètres par défaut
actuels, le planning, l’état actuel et l’activité récente.
3. Cliquez sur Edit Job Type. La fenêtre Edit Job Type Details s’affiche.
4. Modifiez les éléments voulus. Vous pouvez modifier la priorité par défaut, la
règle d’impact par défaut, l’activation ou non de la tâche, et l’exécution
manuelle ou planifiée de la tâche.
5. Pour modifier le planning d’une tâche, cliquez sur Scheduled, puis sélectionnez
une option de planification dans la liste déroulante.
6. Cliquez sur Save Changes.
Les modifications sont enregistrées et appliquées à toutes les instances de ce
type de tâche. Les résultats sont affichés dans la fenêtre View Job Type
Details.
7. Cliquez sur Fermer.

Gestion des règles d’impact


Pour les tâches de maintenance du système qui s’exécutent par le biais du service de
moteur de tâches, vous pouvez créer et attribuer des règles qui contrôlent la façon
dont les tâches affectent les performances système.
En tant qu’administrateur système, vous pouvez créer, copier, modifier et supprimer
des règles d’impact, et afficher leurs paramètres.

Créer une règle d’impact


Le moteur de tâches comprend quatre règles d’impact que vous ne pouvez ni modifier,
ni supprimer. En revanche, vous pouvez créer et configurer de nouvelles règles
d’impact.

Modifier les paramètres d’un type de tâche 551


Tâches système

Procédure
1. Cliquez sur Cluster Management > Job Operations > Impact Policies.
2. Cliquez sur Add an Impact Policy.
La fenêtre Create Impact Policy s’affiche.
3. Dans le champ de texte Name, saisissez le nom de la règle. Ce champ est
obligatoire.
4. (Requis) Dans le champ de texte Description, saisissez un commentaire sur la
règle d’impact.
Incluez des informations spécifiques concernant la règle d’impact, telles que des
paramètres de planning ou des exigences logistiques uniques qui rendent cette
règle nécessaire.

5. Cliquez sur Add an Impact Policy Interval.


a. Dans la fenêtre Add an Impact Policy Interval, sélectionnez le niveau
d’impact et les heures de début et de fin dans les listes déroulantes.
b. Cliquez sur Add Impact Policy Interval.
La fenêtre Add an Impact Policy Interval se ferme et les paramètres que vous
avez sélectionnés apparaissent dans le tableau Impact Schedule.
6. Cliquez sur Create Impact Policy.
Votre copie de la règle d’impact est enregistrée et répertoriée par ordre
alphabétique dans le tableau Impact Policies.

Copier une règle d’impact


Vous pouvez utiliser une règle d’impact par défaut en tant que modèle d’une nouvelle
règle en effectuant et modifiant une copie.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Impact Policies.
2. Dans le tableau Impact Policies, recherchez la ligne de la règle que vous
souhaitez copier, puis cliquez sur More > Copy Impact Policy. La fenêtre Copy
Impact Policy s’ouvre.
3. Dans le champ Name, saisissez le nom de la nouvelle règle.
4. Dans le champ de texte Description, saisissez la description de la nouvelle
règle.
Incluez des informations spécifiques concernant la règle d’impact, telles que des
paramètres de planning ou des exigences logistiques uniques qui rendent cette
règle nécessaire.

5. Cliquez sur Add an Impact Policy Interval.


a. Dans la fenêtre Add an Impact Policy Interval, sélectionnez le niveau
d’impact et les heures de début et de fin dans les listes déroulantes.
b. Cliquez sur Add Impact Policy Interval.
La fenêtre Add an Impact Policy Interval se ferme et les paramètres que vous
avez sélectionnés s’affichent dans le tableau Impact Schedule.
6. Cliquez sur Copy Impact Policy.

552 OneFS 8.0.1 Guide d’administration Web


Tâches système

La copie de la règle d’impact est enregistrée et répertoriée par ordre


alphabétique dans le tableau Impact Policies.

Modifier une règle d’impact


Vous pouvez modifier le nom, la description et les intervalles d’impact d’une règle
d’impact personnalisée.
Avant de commencer
Vous ne pouvez pas modifier les règles d’impact par défaut, à savoir HIGH, MEDIUM,
LOW et OFF_HOURS. Si vous souhaitez modifier une règle, créez et modifiez la copie
d’une règle par défaut.
Procédure
1. Accédez à Cluster Management > Job Operations > Impact Policies.
2. Dans le tableau Impact Policies, cliquez sur View/Edit en regard de la règle à
modifier.
La fenêtre Edit Impact Policy s’affiche.
3. Cliquez sur Edit Impact Policy, puis modifiez un ou tous les éléments suivants :

Option Description
Policy description a. Dans le champ Description, saisissez une nouvelle
description de la règle d’impact.
b. Cliquez sur Submit.

Impact schedule a. Dans la zone Impact Schedule, modifiez le planning de


la règle d’impact en ajoutant, modifiant ou supprimant
des intervalles d’impact.
b. Cliquez sur Save Changes.

La règle d’impact modifiée est enregistrée et répertoriée par ordre alphabétique


dans le tableau Impact Policies.

Supprimer une règle d’impact


Vous pouvez supprimer les règles d’impact que vous avez créées.
Vous ne pouvez pas supprimer les règles d’impact par défaut, à savoir HIGH, MEDIUM,
LOW et OFF_HOURS.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Impact Policies.
2. Dans le tableau Impact Policies, recherchez la règle d’impact personnalisée que
vous souhaitez supprimer, puis cliquez sur More > Delete.
La boîte de dialogue Confirm Delete s’affiche.
3. Cliquez sur Delete.

Afficher les paramètres de règle d’impact


Vous pouvez afficher les paramètres de règle d’impact de toutes les tâches.

Modifier une règle d’impact 553


Tâches système

Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
Le tableau Job Types s’affiche.
2. Si nécessaire, parcourez le tableau Job Types pour trouver une tâche
particulière.
Les paramètres de règle d’impact de la tâche s’affichent dans le tableau Job
Types.

Affichage des statistiques et des rapports relatifs aux


tâches
Vous pouvez afficher des statistiques et générer des rapports relatifs aux tâches
système afin de mieux déterminer la quantité de ressources système qui est utilisée.
La plupart des tâches système contrôlées par le moteur de tâches s’exécutent avec
une priorité faible et avec une règle d’impact Low. Elles n’ont généralement pas
d’impact notable sur les performances du cluster.
Certaines tâches, en raison des fonctions critiques qu’elles assument, s’exécutent
avec une priorité plus élevée et avec une règle d’impact Medium. Il s’agit notamment
des tâches FlexProtect et FlexProtect Lin, FSAnalyze, SnapshotDelete et TreeDelete.
En tant qu’administrateur système, si vous vous inquiétez de l’impact possible d’une
tâche système sur les performances du cluster, vous pouvez afficher des statistiques
et des rapports sur les tâches. Ces outils vous permettent d’afficher des informations
détaillées sur la charge des tâches, y compris sur l’utilisation du CPU et de la mémoire,
et sur les opérations d’E/S.

Afficher les statistiques relatives à une tâche en cours


Vous pouvez afficher les statistiques relatives à une tâche en cours.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Summary.
Les tâches qui sont en cours d’exécution figurent dans la zone Active Jobs.
2. Cliquez sur l’option View/Edit à droite de la tâche.
Résultats
L’écran View Active Jobs Details s’affiche. Il permet de consulter des statistiques
telles que les données traitées, le temps écoulé, la phase et la progression, ainsi qu’une
estimation du temps restant jusqu’à l’achèvement de la tâche.

Afficher un rapport pour une tâche terminée


Une fois qu’une tâche est terminée, vous pouvez afficher un rapport sur cette tâche.
Avant de commencer
Un rapport sur une tâche ne devient disponible qu’une fois la tâche terminée.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Reports.
La page Job Reports s’affiche.

554 OneFS 8.0.1 Guide d’administration Web


Tâches système

2. Recherchez la tâche dont vous voulez afficher le rapport.


3. Cliquez sur View Details.
L’écran View Job Report Details s’affiche. Il répertorie des statistiques
relatives à la tâche, telles que le temps écoulé, l’utilisation du CPU et de la
mémoire, et le nombre total d’opérations d’E/S.
4. Lorsque vous avez fini d’étudier le rapport, cliquez sur Close.

Afficher un rapport pour une tâche terminée 555


Tâches système

556 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 25
Gestion réseau

Cette section traite des sujets suivants :

l Présentation de la gestion réseau.................................................................... 558


l À propos du réseau interne.............................................................................. 558
l À propos du réseau externe............................................................................. 559
l Configuration du réseau interne....................................................................... 568
l Gestion des réseaux de groupe......................................................................... 571
l Gestion des sous-réseaux de réseau externe....................................................574
l Gestion des pools d’adresses IP....................................................................... 577
l Gestion des paramètres SmartConnect............................................................579
l Gestion des membres de l’interface réseau......................................................586
l Gestion des règles de provisionnement de nœuds............................................588
l Gestion des options de routage........................................................................590
l Gestion des paramètres de cache DNS.............................................................591
l Gestion des ports TCP..................................................................................... 592

Gestion réseau 557


Gestion réseau

Présentation de la gestion réseau


Après avoir déterminé la topologie de votre réseau, vous pouvez configurer et gérer
vos réseaux internes et externes.
Il existe deux types de réseaux sur un cluster EMC Isilon :
Interne
Les nœuds communiquent les uns avec les autres au moyen d’un réseau à grande
vitesse InfiniBand à faible latence. Vous pouvez éventuellement configurer un
second réseau InfiniBand pour permettre le basculement sur incident à des fins de
redondance.

Externe
Les clients se connectent au cluster via le réseau externe par Ethernet. Le cluster
Isilon prend en charge les protocoles de communication réseau standard, à savoir
NFS, SMB, HDFS, HTTP et FTP. Le cluster comprend plusieurs connexions
Ethernet externes, ce qui offre une réelle flexibilité pour une large gamme de
configurations réseau.

À propos du réseau interne


Le cluster EMC Isilon doit se connecter à au moins un switch InfiniBand à haut débit et
à faible latence pour les communications internes et le transfert de données. La
connexion au switch InfiniBand est également connue sous le nom de réseau interne.
Ce dernier est distinct du réseau externe (Ethernet) par lequel les utilisateurs
accèdent au cluster.
Lors de la configuration initiale de votre cluster, OneFS crée un réseau interne initial
pour le switch InfiniBand. L’interface du réseau interne par défaut est int-a. Il est
possible d’ajouter un réseau interne pour un second switch InfiniBand à des fins de
basculement sur incident et de redondance. Le basculement sur incident garantit une
connectivité en continu en cas de défaillance des chemins. L’interface du réseau
interne secondaire est int-b. Elle est appelée int-b/failover dans l’interface
d’administration Web.

ATTENTION

Seuls des nœuds Isilon doivent être connectés à votre switch InfiniBand. Les
informations échangées sur le réseau back-end ne sont pas chiffrées. La
connexion d’éléments autres que des nœuds Isilon au switch InfiniBand crée un
risque en matière de sécurité.

Plages d’adresses IP internes


Le nombre d’adresses IP attribuées au réseau interne détermine le nombre de nœuds
pouvant être joints au cluster EMC Isilon.
Lors de la configuration initiale du cluster, vous spécifiez une ou plusieurs plages
d’adresses IP pour le switch InfiniBand principal. Cette plage d’adresses est utilisée
par les nœuds pour communiquer les uns avec les autres. Il est recommandé de créer
une plage d’adresses suffisamment grande pour faciliter l’ajout de nœuds
supplémentaires à votre cluster.

558 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

Bien que tous les clusters disposent, au minimum, d’un réseau InfiniBand interne (int-
a), vous pouvez activer un second réseau interne pour prendre en charge un autre
switch InfiniBand avec une fonction de basculement sur incident du réseau (int-b/
failover). Vous devez attribuer au moins une plage d’adresses IP pour le réseau
secondaire et une plage pour le basculement sur incident.
Si les plages d’adresses IP définies lors de la configuration initiale sont trop restrictives
au regard de la taille du réseau interne, vous pouvez ajouter des plages aux réseaux
int-a ou int-b/failover, ce qui risque de nécessiter un redémarrage du cluster. D’autres
modifications de configuration, telles que la suppression d’une adresse IP attribuée à
un nœud, requièrent également un redémarrage du cluster.

Basculement sur incident du réseau interne


Pour assurer la redondance des communications intracluster., vous pouvez configurer
un switch interne en tant que réseau de basculement sur incident.
Pour prendre en charge un réseau de basculement sur incident interne, le port int-a de
chaque nœud du cluster doit être physiquement connecté à l’un des switches
InfiniBand, et le port int-b de chaque nœud doit être connecté à l’autre switch
InfiniBand.
Une fois les ports connectés, vous devez configurer deux plages d’adresses IP : une
pour la prise en charge des interfaces internes int-b et une pour la prise en charge du
basculement sur incident. Ces adresses permettent un basculement sur incident
transparent en cas de défaillance du switch int-a ou int-b.

Configuration du réseau interne pour IsilonSD Edge


Dans le cas d’IsilonSD Edge, les communications internes et le transfert des données
entre les nœuds IsilonSD s’effectuent via le switch Ethernet.
Vous devez isoler le réseau interne et, dans l’idéal, l’acheminer via un LAN virtuel ou un
switch physique dédié. Vous pouvez configurer le protocole LACP ou un groupe de
canaux de port pour améliorer la fiabilité du réseau et augmenter le débit du trafic
intercluster.
Pour la plage d’adresses IP interne, vous devez spécifier une adresse IP par nœud
IsilonSD. Les adresses IP que vous configurez pour les nœuds doivent être contiguës.
Pour le basculement sur incident du réseau interne, IsilonSD Edge s’appuie sur les
règles de basculement réseau et d’équilibrage de la charge qui sont prises en charge
par VMware vSphere. Vous n’avez pas besoin de configurer le réseau int-b/de
basculement sur incident.
Pour plus d’informations sur les exigences de mise en réseau, consultez le Guide
d’installation et d’administration d’IsilonSD Edge.

À propos du réseau externe


Vous connectez un ordinateur client au cluster EMC Isilon via le réseau externe. La
configuration du réseau externe se compose de réseaux de groupe, de sous-réseaux,
de pools d’adresses IP et de règles de provisionnement des nœuds.
Les réseaux de groupe correspondent au niveau de configuration pour la gestion de
plusieurs tenants sur votre réseau externe. Les paramètres du client DNS, tels que les
serveurs de noms et la liste de recherche DNS, sont des propriétés du réseau de
groupe. Les réseaux de groupe résident au niveau supérieur de la hiérarchie de mise en
réseau. Vous pouvez créer un ou plusieurs sous-réseaux au sein d’un réseau de
groupe.

Basculement sur incident du réseau interne 559


Gestion réseau

Les sous-réseaux simplifient la gestion du réseau externe (front-end) et offrent une


flexibilité de mise en œuvre et de maintenance du réseau en cluster. Vous pouvez
créer des pools d’adresses IP dans les sous-réseaux de façon à partitionner vos
interfaces réseau en fonction du type de workflow ou de nœud.
Le pool d’adresses IP d’un sous-réseau est composé d’une ou plusieurs plages
d’adresses IP. Les pools d’adresses IP peuvent être associés à des interfaces réseau
sur les nœuds du cluster. Les paramètres de connexion client sont configurés au
niveau du pool d’adresses IP.
Un sous-réseau de réseau externe initial est créé lors de la configuration de votre
cluster EMC Isilon avec la configuration suivante :
l Un réseau de groupe initial appelé groupnet0, avec les paramètres DNS sortants
globaux spécifiés dans la liste des serveurs de noms de domaine et dans la liste de
recherche DNS, le cas échéant.
l Un sous-réseau initial appelé subnet0, avec le masque de réseau, la passerelle et
l’adresse du service SmartConnect spécifiés.
l Un pool d’adresses IP initial appelé pool0, avec la plage d’adresses IP spécifiée, le
nom de zone SmartConnect et l’interface réseau du premier nœud du cluster en
tant que seul membre du pool.
l Une règle de provisionnement des nœuds initiale appelée rule0, qui attribue
automatiquement la première interface réseau pour tous les nœuds nouvellement
ajoutés à pool0.
l L’ajout de subnet0 à groupnet0.
l Il ajoute pool0 à subnet0 et configure pool0 pour qu’il utilise l’adresse IP virtuelle
de subnet0 en tant qu’adresse de service SmartConnect.

Réseaux de groupe
Les réseaux de groupe résident au niveau supérieur de la hiérarchie de mise en réseau.
Ils correspondent au niveau de configuration permettant la gestion de plusieurs
tenants sur votre réseau externe. Les paramètres du client DNS, tels que les serveurs
de noms et la liste de recherche DNS, sont des propriétés du réseau de groupe. Vous
pouvez créer un réseau de groupe distinct pour chaque espace de nommage DNS que
vous souhaitez utiliser pour attribuer à certaines parties du cluster Isilon des
propriétés de mise en réseau différentes pour la résolution de noms. Chaque réseau de
groupe gère son propre cache DNS, qui est activé par défaut.
Un réseau de groupe est un conteneur qui inclut les sous-réseaux, les pools
d’adresses IP et les règles de provisionnement. Les réseaux de groupe peuvent
contenir un ou plusieurs sous-réseaux, et chaque sous-réseau est attribué à un seul
réseau de groupe. Chaque cluster EMC Isilon contient un réseau de groupe par défaut
nommé groupnet0 qui contient un sous-réseau initial nommé subnet0, un pool
d’adresses IP initial nommé pool0 et une règle de provisionnement initiale nommée
rule0.
Chaque réseau de groupe est référencé par une ou plusieurs zones d’accès. Lorsque
vous créez une zone d’accès, vous pouvez spécifier un réseau de groupe. Si aucun
réseau de groupe n’est spécifié, la zone d’accès fait référence à celui par défaut. La
zone d’accès System par défaut est automatiquement associée au réseau de groupe
par défaut. Les fournisseurs d’authentification qui communiquent avec un serveur
externe, tel qu’Active Directory et LDAP, doivent également faire référence à un
réseau de groupe. Vous pouvez définir le fournisseur d’authentification avec un réseau
de groupe spécifique. Dans le cas contraire, le fournisseur fait référence au réseau de
groupe par défaut. Vous ne pouvez ajouter un fournisseur d’authentification à une
zone d’accès que s’ils sont associés au même réseau de groupe. Les protocoles

560 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

clients, tels que SMB, NFS, HDFS et Swift, sont pris en charge par les réseaux de
groupe via les zones d’accès qui leur sont associées.

Résolution de noms DNS


Vous pouvez désigner jusqu’à trois serveurs DNS par réseau de groupe pour gérer la
résolution de noms DNS.
Les serveurs DNS doivent être configurés en tant qu’adresse IPv4 ou IPv6. Vous
pouvez spécifier jusqu’à six suffixes de recherche DNS par réseau de groupe. Les
paramètres de suffixes sont ajoutés aux noms de domaine qui ne sont pas entièrement
qualifiés.
Les paramètres de serveur DNS supplémentaires au niveau du réseau de groupe
incluent l’activation d’un cache DNS, des recherches côté serveur et de la résolution
DNS par rotation.

Sous-réseaux
Les sous-réseaux sont des conteneurs de mise en réseau qui vous permettent de
subdiviser votre réseau en de plus petits réseaux IP logiques.
Sur un cluster EMC Isilon, les sous-réseaux sont créés sous un réseau de groupe et
chaque sous-réseau contient un ou plusieurs pools d’adresses IP. Les adresses IPv4 et
IPv6 sont prises en charge par OneFS. Toutefois, un sous-réseau ne peut pas contenir
une combinaison des deux. Lorsque vous créez un sous-réseau, vous indiquez s’il
prend en charge les adresses IPv4 ou IPv6.
Vous pouvez configurer les options suivantes lorsque vous créez un sous-réseau :
l serveurs de passerelle qui acheminent les paquets sortants et priorité de
passerelle ;
l MTU utilisée par les interfaces réseau du sous-réseau pour les communications
réseau ;
l adresse du service SmartConnect, qui est l’adresse IP sur laquelle le module
SmartConnect écoute les demandes DNS sur ce sous-réseau ;
l balisage VLAN permettant à un cluster de participer à plusieurs réseaux virtuels ;
l adresse DSR (Direct Server Return) si votre cluster Isilon contient un switch
externe d’équilibrage de la charge matérielle qui utilise DSR.
La manière dont vous installez vos sous-réseaux de réseau externe dépend de la
topologie de votre réseau. Par exemple, dans une topologie réseau de base dans
laquelle toutes les communications entre les clients et les nœuds s’effectuent par
l’intermédiaire de connexions directes, un seul sous-réseau externe est requis. Dans un
autre exemple, si vous souhaitez que les clients se connectent via des adresses IPv4 et
IPv6, vous devez configurer plusieurs sous-réseaux.

Prise en charge d’IPv6


OneFS prend en charge les formats d’adresse IPv4 et IPv6 sur un cluster EMC Isilon.
IPv6 représente la nouvelle génération d’adresses IP et a été conçu pour faire face à la
demande croissance d’adresses IP. Le tableau suivant présente les différences entre
IPv4 et IPv6.
IPv4 IPv6
Adresses 32 bits Adresses 128 bits

ARP (Address Resolution Protocol) NDP (Neighbor Discovery Protocol)

Sous-réseaux 561
Gestion réseau

Vous pouvez configurer le cluster Isilon pour le format IPv4, IPv6 ou les deux (double
pile) dans OneFS. Vous définissez le type IP lorsque vous créez un sous-réseau. Tous
les pools d’adresses IP affectés au sous-réseau doivent utiliser le format sélectionné.

Réseaux VLAN
Le balisage de LAN virtuel (VLAN) est un paramètre facultatif qui permet à un cluster
EMC Isilon de participer à plusieurs réseaux virtuels.
Vous pouvez partitionner un réseau physique en plusieurs domaines de diffusion, ou
réseaux VLAN. Vous pouvez activer un cluster afin qu’il participe à un VLAN, ce qui
permet la prise en charge de plusieurs sous-réseaux de cluster sans nécessiter
plusieurs switches réseau : un seul switch physique permet de créer plusieurs sous-
réseaux virtuels.
Le balisage VLAN insère un ID dans les en-têtes des paquets. Le switch se réfère à cet
ID pour identifier le VLAN d’origine du paquet et l’interface réseau à laquelle le paquet
doit être envoyé.

Pools d’adresses IP
Les pools d’adresses IP sont attribués à un sous-réseau et se composent d’une ou
plusieurs plages d’adresses IP. Vous pouvez partitionner les nœuds et les interfaces
réseau dans des pools logiques d’adresses IP. Les pools d’adresses IP sont également
utilisés lors de la configuration des zones DNS SmartConnect et de la gestion des
connexions client.
Chaque pool d’adresses IP appartient à un sous-réseau unique. Un même sous-réseau
ne peut avoir plusieurs pools que si vous activez une licence SmartConnect Advanced.
Les plages d’adresses IP attribuées à un pool doivent être uniques et appartenir à la
famille d’adresses IP (IPv4 ou IPv6) spécifiée par le sous-réseau contenant le pool.
Vous pouvez ajouter des interfaces réseau aux pools d’adresses IP pour associer des
plages d’adresses à un nœud ou à un groupe de nœuds. Par exemple, en fonction du
trafic réseau prévu, vous pouvez décider d’établir un pool d’adresses IP pour les
nœuds de stockage et un autre pour les nœuds d’accélérateur.
Les paramètres SmartConnect qui gèrent les réponses aux requêtes DNS et les
connexions client sont configurés au niveau du pool d’adresses IP.

Remarque

IsilonSD Edge ne prend pas en charge les adresses IPv6 pour la connexion aux clusters
IsilonSD.

Agrégation de liens
L’agrégation de liens, également connue sous le nom d’agrégation de cartes réseau,
combine les interfaces réseau d’un nœud physique en une seule connexion logique afin
d’améliorer le débit du réseau.
Vous pouvez ajouter des interfaces réseau à un pool d’adresses IP séparément ou sous
la forme d’un agrégat. Un mode d’agrégation de liens est sélectionné pour chaque pool
et s’applique à toutes les interfaces réseau agrégées dans le pool d’adresses IP. Le
mode d’agrégation de liens détermine la manière dont le trafic est équilibré et
acheminé entre les interfaces réseau agrégées.

562 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

Module SmartConnect
SmartConnect est un module qui spécifie la manière dont le serveur DNS du cluster
EMC Isilon gère les demandes de connexion émanant des clients, ainsi que les règles
utilisées pour attribuer des adresses IP aux interfaces réseau, notamment le
basculement sur incident et le rééquilibrage.
Les règles et les paramètres configurés pour SmartConnect sont appliqués par pool
d’adresses IP. Vous pouvez configurer les paramètres de base et avancés de
SmartConnect.
SmartConnect Basic
SmartConnect Basic est fourni avec OneFS en tant que fonction standard et ne
nécessite pas de licence. SmartConnect Basic prend en charge les paramètres
suivants :
l Spécification de la zone DNS
l Méthode d’équilibrage des connexions par permutation circulaire uniquement
l Sous-réseau de service pour répondre aux demandes DNS
SmartConnect Basic impose les limitations suivantes à la configuration du pool
d’adresses IP :
l Vous pouvez uniquement spécifier une règle d’allocation d’adresse IP statique.
l Vous ne pouvez pas spécifier de règle de basculement sur incident des
adresses IP.
l Vous ne pouvez pas spécifier de règle de rééquilibrage des adresses IP.
l Vous pouvez uniquement attribuer un seul pool d’adresses IP par sous-réseau de
réseau externe.
SmartConnect Advanced
SmartConnect Advanced étend les paramètres disponibles dans SmartConnect Basic.
Il nécessite une licence active. SmartConnect Advanced prend en charge les
paramètres suivants :
l Permutation circulaire, utilisation du CPU, comptabilisation des connexions et
méthodes d’équilibrage du débit.
l Allocation d’adresses IP statiques et dynamiques.
SmartConnect Advanced vous permet de définir les options de configuration de pools
d’adresses IP suivantes :
l Vous pouvez définir une règle de basculement sur incident des adresses IP du pool.
l Vous pouvez définir une règle de rééquilibrage des adresses IP du pool.
l SmartConnect Advanced prend en charge plusieurs pools d’adresses IP par sous-
réseau externe afin d’autoriser plusieurs zones DNS dans un même sous-réseau.

Alias et zones SmartConnect


Les clients peuvent se connecter au cluster EMC Isilon via une adresse IP spécifique
ou via un domaine qui représente un pool d’adresses IP.
Vous pouvez configurer un nom de zone DNS SmartConnect pour chaque pool
d’adresses IP. Le nom de la zone doit être un nom de domaine complet. SmartConnect
nécessite l’ajout d’un nouvel enregistrement de serveur de noms (NS) référençant
l’adresse IP du service SmartConnect à la zone DNS existante qui fait autorité et
contient le cluster. Vous devez également mettre en place une délégation de zones

Module SmartConnect 563


Gestion réseau

vers le nom de domaine complet (FQDN) de la zone SmartConnect dans votre


infrastructure DNS.
Si vous possédez une licence SmartConnect Advanced, vous pouvez également
spécifier une liste d’autres noms de zone DNS SmartConnect pour le pool
d’adresses IP.
Lorsqu’un client se connecte au cluster via une zone DNS SmartConnect,
SmartConnect gère les demandes DNS entrantes au nom du pool d’adresses IP, et le
sous-réseau de service distribue les demandes DNS entrantes en fonction de la règle
d’équilibrage des connexions du pool.

Gestion des demandes DNS


SmartConnect gère toutes les demandes DNS entrantes pour le compte d’un pool
d’adresses IP si un sous-réseau de service SmartConnect a été associé au pool.
Le sous-réseau de service SmartConnect est un paramètre du pool d’adresses IP.
Vous pouvez spécifier n’importe quel sous-réseau qui a été configuré avec une
adresse IP de service SmartConnect et qui fait référence au même réseau de groupe
que le pool. Pour gérer les demandes DNS des clients, vous devez disposer d’au moins
un sous-réseau configuré avec une adresse IP de service SmartConnect. Vous ne
pouvez configurer qu’une adresse IP de service par sous-réseau.
L’adresse IP du service SmartConnect doit être utilisée exclusivement pour répondre
aux demandes DNS. Il ne doit pas s’agir d’une adresse IP qui se trouve dans la plage
d’adresses IP de l’un des pools. Les connexions client qui transitent par l’adresse IP du
service SmartConnect entraînent un comportement inattendu ou une déconnexion.
Une fois qu’un sous-réseau de service SmartConnect est associé à un pool
d’adresses IP, il distribue les demandes DNS entrantes en fonction de la règle
d’équilibrage des connexions du pool. Si un pool ne comporte pas de sous-réseau de
service désigné, les demandes DNS entrantes reçoivent une réponse du sous-réseau
contenant le pool, à condition que ce sous-réseau soit configuré avec une adresse IP
du service SmartConnect. Dans le cas contraire, les demandes DNS sont exclues.

Remarque

SmartConnect nécessite l’ajout d’un nouvel enregistrement de serveur de noms (NS)


référençant l’adresse IP du service SmartConnect à la zone DNS existante qui fait
autorité et contient le cluster. Vous devez également mettre en place une délégation
de zones vers le nom de domaine complet (FQDN) de la zone SmartConnect.

Allocation d’adresses IP
La règle d’allocation d’adresse IP spécifie la manière dont les adresses IP du pool sont
attribuées à une interface réseau disponible.
Vous avez le choix entre une allocation statique ou dynamique.
Static
Cette méthode attribue une adresse IP à chaque interface réseau ajoutée au pool
d’adresses IP, mais elle ne garantit pas que toutes les adresses IP sont attribuées.
Une fois l’adresse IP allouée, l’interface réseau la conserve indéfiniment , même si
elle devient indisponible. Pour libérer l’adresse IP, supprimez l’interface réseau du
pool ou du nœud.
En l’absence d’une licence SmartConnect Advanced, la méthode statique est la
seule disponible pour l’allocation d’adresses IP.

564 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

Dynamic
Cette méthode attribue des adresses IP à chaque interface réseau ajoutée au pool
d’adresses IP jusqu’à ce que toutes les adresses IP soient attribuées. Cela garantit
une réponse lorsque des clients se connectent à une adresse IP du pool.
Si une interface réseau devient indisponible, ses adresses IP sont
automatiquement déplacées vers d’autres interfaces réseau disponibles dans le
pool, comme le détermine la règle de basculement sur incident des adresses IP.
Cette méthode est uniquement disponible dans le cadre d’une licence
SmartConnect Advanced.

Basculement sur incident des adresses IP


Lorsqu’une interface réseau devient indisponible, la règle de basculement sur incident
des adresses IP spécifie la manière de gérer les adresses IP qui lui étaient attribuées.
Pour définir une règle de basculement sur incident des adresses IP, vous devez
disposer d’une licence SmartConnect Advanced et la règle d’allocation d’adresse IP
doit être dynamique. L’allocation dynamique des adresses IP garantit que toutes les
adresses IP du pool sont attribuées à des interfaces réseau disponibles.
Lorsqu’une interface réseau devient indisponible, les adresses IP qui lui ont été
attribuées sont redistribuées aux interfaces réseau disponibles en fonction de la règle
de basculement sur incident des adresses IP. Les connexions client suivantes sont
dirigées vers les nouvelles interfaces réseau.
Vous pouvez sélectionner l’une des méthodes d’équilibrage des connexions suivantes
pour déterminer de quelle manière la règle de basculement sur incident des
adresses IP sélectionne l’interface réseau qui doit recevoir une adresse IP
redistribuée :
l Round-robin
l Nombre de connexions
l Débit du réseau
l Utilisation du CPU

Équilibrage des connexions


La règle d’équilibrage des connexions détermine la façon dont le serveur DNS gère les
connexions client au cluster EMC Isilon.
Vous pouvez spécifier l’une des méthodes d’équilibrage suivantes :
Round-robin
Sélectionne la prochaine interface réseau disponible par rotation. Il s’agit de la
méthode par défaut. En l’absence d’une licence SmartConnect pour paramètres
avancés, il s’agit de la seule méthode disponible pour l’équilibrage de la charge.

Nombre de connexions
Détermine le nombre de connexions TCP ouvertes sur chaque interface réseau
disponible et sélectionne l’interface réseau comportant le moins de connexions
client.

Débit du réseau
Détermine le débit moyen sur chaque interface réseau disponible et sélectionne
l’interface réseau dont la charge est la plus faible.

Module SmartConnect 565


Gestion réseau

Utilisation du CPU
Détermine l’utilisation moyenne du CPU sur chaque interface réseau disponible et
sélectionne l’interface réseau dont l’utilisation du processeur est la plus faible.

Rééquilibrage des adresses IP


La règle de rééquilibrage des adresses IP indique quand redistribuer les adresses IP si
une ou plusieurs interfaces réseau précédemment indisponibles redeviennent
disponibles.
Pour définir une règle de rééquilibrage des adresses IP, vous devez disposer d’une
licence SmartConnect Advanced et la règle d’allocation d’adresse IP doit être
dynamique. L’allocation dynamique des adresses IP garantit que toutes les adresses IP
du pool sont attribuées à des interfaces réseau disponibles.
Vous pouvez définir le rééquilibrage pour qu’il s’exécute de façon manuelle ou
automatique :
Manual
Ne redistribue pas les adresses IP tant que vous ne démarrez pas manuellement le
processus de rééquilibrage.
Une fois le rééquilibrage effectué, les adresses IP sont redistribuées
conformément à la méthode d’équilibrage des connexions spécifiée par la règle de
basculement sur incident des adresses IP définie pour le pool d’adresses IP.

Automatic
Redistribue automatiquement les adresses IP conformément à la méthode
d’équilibrage des connexions spécifiée par la règle de basculement sur incident
des adresses IP définie pour le pool d’adresses IP.
Le rééquilibrage automatique peut également être déclenché par des
modifications apportées aux nœuds de cluster, aux interfaces réseau ou à la
configuration du réseau externe.

Remarque

Le rééquilibrage peut interrompre les connexions client. Assurez-vous que le


workflow du client sur le pool d’adresses IP est adapté au rééquilibrage
automatique.

Règles de provisionnement de nœuds


Les règles de provisionnement de nœuds indiquent comment les nouveaux nœuds sont
configurés lors de leur ajout à un cluster EMC Isilon.
Si le nouveau type de nœuds correspond au type défini dans une règle, les interfaces
réseau du nœud sont ajoutées au sous-réseau et au pool d’adresses IP définis dans la
règle.
Par exemple, vous pouvez créer une règle de provisionnement de nœuds qui configure
les nouveaux nœuds de stockage Isilon et une autre règle qui configure les nouveaux
nœuds d’accélérateur.
Lorsque de nouvelles règles sont ajoutées, OneFS recherche automatiquement la
présence éventuelle de plusieurs règles de provisionnement afin de s’assurer de
l’absence de conflits.

566 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

Options de routage
OneFS prend en charge le routage basé sur la source ainsi que les routes statiques, qui
garantissent un contrôle plus granulaire du sens du trafic client sortant sur le cluster
EMC Isilon.
Si aucune option de routage n’est définie, par défaut, le trafic client sortant sur le
cluster est acheminé via la passerelle par défaut, c’est-à-dire la passerelle la moins
prioritaire du nœud. Si le trafic est acheminé vers un sous-réseau local et n’a pas
besoin de transiter par une passerelle, il est directement acheminé via une interface de
ce sous-réseau.

Routage basé sur la source


Le routage basé sur la source sélectionne la passerelle par laquelle acheminer le trafic
client sortant à partir de l’adresse IP source inscrite dans chaque en-tête de paquet.
Lorsque cette option est activée, le routage basé sur la source analyse
automatiquement votre configuration réseau pour créer des règles de trafic client. Si
vous apportez des modifications à la configuration du réseau, par exemple si vous
modifiez l’adresse IP d’un serveur de passerelle, le routage basé sur la source ajustera
les règles. Le routage basé sur la source est appliqué à l’ensemble du cluster
EMC Isilon et ne prend pas en charge le protocole IPv6.
Dans l’exemple suivant, on active le routage basé sur la source sur un cluster Isilon
connecté à SubnetA et SubnetB. Chaque sous-réseau est configuré avec une zone
SmartConnect et une passerelle, également désignées par A et B. Lorsqu’un client sur
SubnetA transmet une demande à SmartConnect ZoneB, la réponse sera émise par
ZoneB. Une adresse ZoneB apparaît alors comme adresse IP source dans l’en-tête de
paquet et la réponse est acheminée via GatewayB. Sans le routage basé sur la source,
la route par défaut est basée sur la destination, ce qui signifie que la réponse transite
par GatewayA.
Autre exemple : un client sur SubnetC, qui n’est pas connecté au cluster Isilon,
transmet une demande à SmartConnect ZoneA et ZoneB. La réponse de ZoneA est
acheminée via GatewayA, et la réponse de ZoneB est acheminée via GatewayB. En
d’autres termes, le trafic est partagé entre les passerelles. Sans le routage basé sur la
source, les deux réponses sont acheminées via la même passerelle.
Le routage basé sur la source est désactivé par défaut. L’activation ou la désactivation
du routage basé sur la source prend effet immédiatement. Les paquets en transit
poursuivent leur parcours initial et le trafic suivant est acheminé en fonction du
changement d’état. Les transactions composées de plusieurs paquets peuvent être
interrompues ou retardées si l’état de routage basé sur la source est modifié au cours
de l’envoi.
Le routage basé sur la source est en conflit avec les routes statiques. En cas de conflit
de routage, les règles de routage basées sur la source sont prioritaires sur la route
statique.
Vous pouvez activer le routage basé sur la source dans le cas d’un grand réseau
associé à une topologie complexe. Par exemple, si votre réseau est un environnement
multitenant avec plusieurs passerelles, le trafic est plus efficacement distribué si vous
optez pour un routage basé sur la source.

Routage statique
Une route statique achemine le trafic client sortant vers une passerelle spécifiée en
fonction de l’adresse IP de la connexion client.

Options de routage 567


Gestion réseau

Vous pouvez configurer les routes statiques par pool d’adresses IP. Chaque route
s’applique à tous les nœuds ayant des interfaces réseau qui appartiennent à ce pool
d’adresses IP.
Vous pouvez configurer le routage statique pour établir une connexion aux réseaux
indisponibles en utilisant les routes par défaut ou si vous possédez un petit réseau qui
ne nécessite qu’une ou deux routes.

Remarque

Si vous avez effectué une mise à niveau depuis une version inférieure à OneFS 7.0.0,
les routes statiques existantes qui ont été ajoutées à l’aide de scripts rc ne
fonctionnent plus et doivent être recréées.

Configuration du réseau interne


Vous pouvez modifier les paramètres du réseau interne de votre cluster EMC Isilon.
Les actions suivantes sont disponibles :
l Modifier les plages d’adresses IP du réseau interne et du réseau int-b/de
basculement sur incident
l Modifier le masque de réseau du réseau interne
l Configurer et activer un réseau interne de basculement sur incident
l Désactiver le basculement sur incident du réseau interne
Vous pouvez configurer le réseau int-b/de basculement sur incident de manière à
fournir une sauvegarde en cas de panne du réseau int-a. Cette configuration implique
la définition d’un masque de réseau et d’une plage d’adresses IP valides pour le réseau
de basculement sur incident.

Modifier la plage d’adresses IP interne


Chaque réseau InfiniBand interne nécessite une plage d’adresses IP. Les plages
doivent avoir un nombre suffisant d’adresses IP pour les conditions de fonctionnement
actuelles, ainsi que pour l’extension et l’ajout futurs de nœuds. Vous pouvez ajouter,
supprimer ou migrer des adresses IP à la fois pour le réseau interne initial (int-a) et e
réseau interne secondaire (int-b/failover).
Procédure
1. Cliquez sur Cluster Management > Network Configuration > Internal
Network.
2. Dans la zone Internal Networks Settings, sélectionnez le réseau pour lequel
vous voulez ajouter des adresses IP.
l Pour sélectionner le réseau int-a, cliquez sur int-a.
l Pour sélectionner le réseau int-b/de basculement sur incident, cliquez sur
int-b/Failover.

Remarque

Ignorez cette étape si vous spécifiez les paramètres de réseau interne pour
IsilonSD Edge.

3. La zone IP Ranges vous permet d’ajouter, de supprimer ou de migrer les plages


d’adresses IP.

568 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

Dans l’idéal, la nouvelle plage est contiguë à la précédente. Par exemple, si votre
plage d’adresses IP actuelle est 192.168.160.60 - 192.168.160.162, la nouvelle
plage doit commencer par 192.168.160.163.
4. Cliquez sur Submit.
5. Redémarrez le cluster, si nécessaire.
l Si vous supprimez une adresse IP qui est en cours d’utilisation, vous devez
redémarrer le cluster.
l Si vous modifiez des adresses IP dans le masque de réseau interne, il est
inutile de redémarrer le cluster.
l Si vous modifiez le masque de réseau interne, vous devez redémarrer le
cluster.
l Si vous migrez les plages d’adresses IP, vous devez redémarrer le cluster.

Modifier le masque de réseau du réseau interne


Vous pouvez modifier la valeur de masque de réseau du réseau interne.
Si le masque de réseau est trop restrictif pour la taille du réseau interne, vous devez
modifier ses paramètres. Il est recommandé de définir un masque de réseau de
classe C, tel que 255.255.255.0, pour le masque de réseau interne. Ce masque de
réseau est suffisamment grand pour prendre en charge les futurs nœuds.

Remarque

Pour que les modifications apportées à la valeur du masque de réseau prennent effet,
vous devez redémarrer le cluster.

Procédure
1. Cliquez sur Cluster Management > Network Configuration > Internal
Network.
2. Dans la zone Internal Network Settings, sélectionnez le réseau pour lequel
vous voulez configurer le masque de réseau.
l Pour sélectionner le réseau int-a, cliquez sur int-a.
l Pour sélectionner le réseau int-b/de basculement sur incident, cliquez sur
int-b/Failover.

Remarque

Ignorez cette étape si vous configurez le masque de réseau pour


IsilonSD Edge.

Nous vous recommandons de spécifier des valeurs de masque réseau identiques


pour les réseaux int-a, int-b/failover. Si vous modifiez la valeur d’un masque
réseau, modifiez l’autre.
3. Dans le champ Netmask, saisissez une valeur de masque de réseau.
Vous ne pouvez pas modifier la valeur du masque de réseau si le changement
affecte la validité de certaines adresses de nœud.
4. Cliquez sur Envoyer.
Une boîte de dialogue vous invite à redémarrer le cluster.
5. Spécifiez quand vous voulez redémarrer le cluster.

Modifier le masque de réseau du réseau interne 569


Gestion réseau

l Pour le redémarrer immédiatement, cliquez sur Yes. Lorsque le redémarrage


du cluster est terminé, la page de connexion s’affiche.
l Cliquez sur No pour revenir à la page Edit Internal Network sans modifier
les paramètres ni redémarrer le cluster.

Configurer et activer le basculement sur incident interne


Vous pouvez activer un basculement sur incident interne sur votre cluster EMC Isilon.
Le basculement sur incident interne sur un cluster IsilonSD est activé par le biais de la
règle de basculement prise en charge par VMware vSphere. Par conséquent, cette
procédure ne s’applique pas à IsilonSD Edge.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > Internal
Network.
2. Dans la zone Internal Network Settings, cliquez sur int-b/Failover.
3. Dans la zone IP Ranges, en regard du réseau int-b, cliquez sur Add range.
4. Dans la boîte de dialogue Add IP Range, saisissez l’adresse IP correspondant à
l’extrémité inférieure de la plage dans le premier champ IP range.
5. Dans le second champ IP range, saisissez l’adresse IP correspondant à
l’extrémité supérieure de la plage.
Assurez-vous qu’il n’y a pas de chevauchement des adresses IP entre les plages
des réseaux int-a et int-b/de basculement sur incident. Par exemple, si la plage
d’adresses IP du réseau int-a est 192.168.1.1 - 192.168.1.100, spécifiez la plage
192.168.2.1 - 192.168.2.100 pour le réseau int-b.
6. Cliquez sur Submit.
7. Dans la zone IP Ranges du réseau Failover, cliquez sur Add range.
Ajoutez une plage d’adresses IP pour le réseau de basculement sur incident, en
veillant à ce qu’il n’y ait pas de chevauchement avec le réseau int-a ou int-b.

La page Edit Internal Network s’affiche et la nouvelle plage d’adresses IP


apparaît dans la liste IP Ranges.
8. Dans la zone Settings, spécifiez un masque de réseau valide. Assurez-vous qu’il
n’y a pas de chevauchement entre les plages d’adresses IP du réseau int-b ou
du réseau de basculement sur incident.
Nous vous recommandons de spécifier des valeurs de masque réseau identiques
pour les réseaux int-a, int-b/de basculement sur incident.
9. Dans la zone Settings, en regard de State, cliquez sur Enable pour activer les
réseau int-b et de basculement sur incident.
10. Cliquez sur Submit.
La boîte de dialogue Confirm Cluster Reboot s’affiche.
11. Redémarrez le cluster en cliquant sur Yes.

Désactiver le basculement sur incident du réseau interne


Vous pouvez désactiver les réseaux internes int-b et de basculement sur incident.
Ignorez ces étapes si vous exécutez IsilonSD Edge.

570 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

Procédure
1. Cliquez sur Cluster Management > Network Configuration > Internal
Network.
2. Dans la zone Internal Network Settings, cliquez sur int-b/Failover.
3. Dans la zone State, cliquez sur Disable.
4. Cliquez sur Envoyer.
La boîte de dialogue Confirm Cluster Reboot s’affiche.
5. Redémarrez le cluster en cliquant sur Yes.

Gestion des réseaux de groupe


Vous pouvez créer et gérer des réseaux de groupe sur le cluster EMC Isilon.

Créer un réseau de groupe


Vous pouvez créer un réseau de groupe et configurer les paramètres des clients DNS.
Procédure
1. Cliquez sur Cluster Management > Networking Configuration > External
Network.
2. Cliquez sur Add a groupnet.
La fenêtre Create Groupnet s’ouvre.
3. Dans le champ Name, entrez un nom unique pour le réseau de groupe.
Ce nom peut comporter jusqu’à 32 caractères alphanumériques et inclure des
traits de soulignement ou des tirets, mais aucun espace ou autre signe de
ponctuation.
4. (Facultatif) Dans le champ Description, saisissez un commentaire descriptif sur
le réseau de groupe.
La description ne peut pas dépasser 128 caractères.
5. Dans la zone DNS Settings, configurez les paramètres DNS suivants que vous
souhaitez appliquer au réseau de groupe :
l DNS Servers
l DNS Search Suffixes
l DNS Resolver Rotate
l Server-side DNS Search
l DNS Cache
6. Cliquez sur Add Groupnet.

Paramètres DNS
Vous pouvez attribuer des serveurs DNS à un réseau de groupe et modifier les
paramètres DNS qui définissent le comportement du serveur DNS.

Gestion des réseaux de groupe 571


Gestion réseau

Paramètre Description
DNS Servers Dresse la liste des adresses IP DNS. Les
nœuds envoient des demandes DNS à ces
adresses IP.
Vous ne pouvez pas spécifier plus de trois
serveurs DNS.

DNS Search Suffixes Dresse la liste des suffixes de recherche DNS.


Des suffixes sont ajoutés aux noms de
domaine qui ne sont pas complets.
Vous ne pouvez pas spécifier plus de six
suffixes.

Enable DNS resolver rotation Définit une rotation ou une permutation


circulaire du resolver DNS sur des serveurs
DNS.

Enable DNS server-side search Spécifie si la recherche DNS côté serveur est
activée, ce qui ajoute les listes de recherche
DNS aux demandes DNS du client gérées par
une adresse IP du service SmartConnect.

Enable DNS cache Spécifie si la mise en cache DNS pour le


réseau de groupe est activée.

Modifier un réseau de groupe


Vous pouvez modifier les attributs d’un réseau de groupe, notamment le nom, les
serveurs DNS pris en charge et les paramètres de configuration DNS.
Procédure
1. Cliquez sur Cluster Management > Networking Configuration > External
Network.
2. Cliquez sur le bouton View/Edit dans la ligne du réseau de groupe que vous
souhaitez modifier.
3. Dans la fenêtre View Groupnet Details, cliquez sur Edit.
4. Dans la fenêtre Edit Groupnet Details, modifiez les paramètres du réseau de
groupe en fonction des besoins.
5. Cliquez sur Save Changes.

Supprimer un réseau de groupe


Vous pouvez supprimer un réseau de groupe du système, sauf s’il est associé à une
zone d’accès ou à un fournisseur d’authentification, ou s’il s’agit du réseau de groupe
par défaut. La suppression d’un réseau de groupe du système peut avoir une incidence
sur plusieurs autres aspects de OneFS. Il convient donc d’user de prudence.
Avant de commencer
Dans certains cas, l’association entre un réseau de groupe et un autre composant de
OneFS, notamment les zones d’accès ou les fournisseurs d’authentification, est
absolue. Vous ne pouvez pas modifier ces composants afin de les associer à un autre
réseau de groupe.
Si vous devez supprimer un réseau de groupe, EMC vous recommande d’effectuer les
tâches suivantes dans l’ordre indiqué :

572 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

1. Supprimez les pools d’adresses IP dans les sous-réseaux associés au réseau de


groupe.
2. Supprimez les sous-réseaux associés au réseau de groupe.
3. Supprimez les fournisseurs d’authentification associés au réseau de groupe.
4. Supprimez les zones d’accès associées au réseau de groupe.
Procédure
1. Cliquez sur Cluster Management > Networking Configuration > External
Network.
2. Cliquez sur le bouton More au niveau de la ligne du réseau de groupe que vous
souhaitez supprimer, puis cliquez sur Delete Groupnet.
3. Dans la boîte de dialogue Confirm Delete, cliquez sur Delete.
Si vous n’avez pas au préalable supprimé les zones d’accès associées au réseau
de groupe, la suppression échoue et le système affiche un message d’erreur.

Afficher les réseaux de groupe


Vous pouvez afficher la liste de tous les réseaux de groupe du système et afficher des
informations détaillées sur un réseau de groupe spécifique.
Procédure
1. Cliquez sur Cluster Management > Networking Configuration > External
Network.
Le tableau External Network affiche tous les réseaux de groupe du système,
ainsi que les attributs suivants :
l Nom du réseau de groupe
l Serveurs DNS attribués au réseau de groupe
l Type de réseau de groupe
l Description du réseau de groupe
2. Cliquez sur le bouton View/Edit dans une ligne pour afficher les paramètres
actuels du réseau de groupe.
La boîte de dialogue View Groupnet Details s’ouvre et affiche les paramètres
suivants :
l Nom du réseau de groupe
l Description du réseau de groupe
l Serveurs DNS attribués au réseau de groupe
l Suffixes de recherche DNS
l Activation ou non du programme de résolution DNS
l Activation ou non de la recherche DNS
l Activation ou non de la mise en cache DNS
3. Cliquez sur la flèche de l’arborescence en regard d’un nom de réseau de groupe
pour afficher les sous-réseaux attribués à ce réseau de groupe.
Le tableau affiche chaque sous-réseau dans une nouvelle ligne de
l’arborescence des réseaux de groupe.
4. Lorsque vous avez terminé de consulter les détails du réseau de groupe, cliquez
sur Close.

Afficher les réseaux de groupe 573


Gestion réseau

Gestion des sous-réseaux de réseau externe


Vous pouvez créer et gérer des sous-réseaux sur le cluster EMC Isilon.

Créer un sous-réseau
Vous pouvez ajouter un sous-réseau au réseau externe. Les sous-réseaux sont créés
sous un groupnet.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur More > Add Subnet en regard du réseau de groupe qui contiendra le
nouveau sous-réseau.
La fenêtre Create Subnet s’affiche.
3. Dans le champ Name, indiquez le nom du nouveau sous-réseau.
Ce nom peut comporter jusqu’à 32 caractères alphanumériques et inclure des
traits de soulignement ou des tirets, mais aucun espace ou autre signe de
ponctuation.
4. (Facultatif) Dans le champ Description, saisissez un commentaire descriptif sur
le sous-réseau.
Le commentaire ne doit pas comporter plus de 128 caractères.
5. Dans la zone IP Family, sélectionnez l’un des formats d’adresse IP suivants
pour le sous-réseau :
l IPv4
l IPv6

Remarque

Le format d’adresse IPv6 n’est pas pris en charge pour IsilonSD Edge.

Tous les paramètres de sous-réseau et les pools d’adresses IP ajoutés au sous-


réseau doivent utiliser le format d’adresse spécifié. Vous ne pouvez pas modifier
la famille d’adresses une fois le sous-réseau créé.
6. Dans le champ Netmask, indiquez un masque de sous-réseau ou une longueur
de préfixe, en fonction de la famille d’adresses IP que vous avez sélectionnée.
l Pour un sous-réseau IPv4, saisissez un octet en notation décimale (x.x.x.x)
représentant le masque de sous-réseau.
l Pour un sous-réseau IPv6, saisissez un nombre entier (allant de 1 à 128)
représentant la longueur de préfixe du réseau.
7. Dans le champ Gateway Address, saisissez l’adresse IP de la passerelle par
l’intermédiaire de laquelle le cluster achemine les communications avec les
systèmes situés hors du sous-réseau.
8. Dans le champ Gateway Priority, saisissez la priorité (nombre entier) qui
détermine quelle passerelle de sous-réseau sera installée en tant que passerelle
par défaut sur les nœuds qui ont plusieurs sous-réseaux.
La valeur 1 représente la priorité la plus élevée.

574 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

9. Dans la liste MTU, saisissez ou sélectionnez la taille de MTU que le cluster


utilise dans la communication réseau. Toutes les valeurs numériques sont
autorisées, mais elles doivent être compatibles avec votre réseau et avec la
configuration de tous les périphériques dans le chemin réseau. Les paramètres
courants sont 1 500 (trames standard) et 9 000 (trames Jumbo).
Bien que OneFS prenne en charge 1500 MTU et 9000 MTU, l’utilisation d’une
taille de trame supérieure pour le trafic réseau assure une communication plus
efficace sur le réseau externe entre les clients et les nœuds de cluster. Par
exemple, si un sous-réseau est connecté via une interface 10 GbE et que
l’agrégation des cartes réseau est configurée pour les pools d’adresses IP dans
le sous-réseau, nous vous recommandons de définir la MTU sur 9000 Pour qu’il
soit possible de tirer parti de l’utilisation de trames jumbo, tous les périphériques
dans le chemin d’accès réseau doivent être configurés pour utiliser ces trames.
10. Si vous prévoyez d’utiliser SmartConnect pour l’équilibrage des connexions,
dans le champ SmartConnect Service IP, saisissez l’adresse IP qui recevra
toutes les demandes DNS entrantes pour chaque pool d’adresses IP
conformément à la règle de connexion client. Pour utiliser l’équilibrage des
connexions, vous devez disposer d’au moins un sous-réseau configuré avec une
adresse IP de service SmartConnect.
11. Dans le champ SmartConnect Service Name, spécifiez le nom du service
SmartConnect.
12. Dans la section Advanced Settings, vous pouvez activer le balisage VLAN si
vous souhaitez autoriser un cluster à faire partie de réseaux virtuels.

Remarque

La configuration d’un VLAN nécessite une connaissance approfondie des


switches réseau. Avant de configurer votre cluster pour un VLAN, consultez la
documentation de votre switch réseau.

13. Si vous activez le balisage VLAN, saisissez un ID de VLAN correspondant à celui


défini sur le switch, avec une valeur comprise entre 2 et 4 094.
14. Dans le champ Hardware Load Balancing IPs, saisissez l’adresse IP d’un switch
d’équilibrage de charge matérielle utilisant la fonction DSR (Direct Server
Return). L’ensemble du trafic du client est alors routé vers le cluster par
l’intermédiaire du switch. Ce dernier détermine quel nœud gère le trafic pour le
client, puis transmet le trafic à ce nœud.
15. Cliquez sur Remove IP pour supprimer une adresse IP d’équilibrage de charge
matérielle.
16. Cliquez sur Add Subnet.

Modifier un sous-réseau
Vous pouvez modifier un sous-réseau sur le réseau externe.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du sous-réseau que vous souhaitez modifier.
Le système affiche la fenêtre View Subnet Details.
3. Cliquez sur Edit.

Modifier un sous-réseau 575


Gestion réseau

Le système affiche la fenêtre Edit Subnet Details.


4. Modifiez les paramètres du sous-réseau, puis cliquez sur Save Changes.

Supprimer un sous-réseau
Vous pouvez modifier un sous-réseau à partir du réseau externe.
La suppression d’un sous-réseau qui est en cours d’utilisation peut empêcher l’accès
au cluster EMC Isilon. Les connexions client au cluster via n’importe quel pool
d’adresses IP appartenant au sous-réseau supprimé sont interrompues.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur More > Delete Subnet en regard du sous-réseau que vous souhaitez
supprimer.
3. À l’invite de confirmation, cliquez sur Delete.

Afficher les paramètres de sous-réseau


Vous pouvez afficher les détails des paramètres d’un sous-réseau spécifique.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du sous-réseau que vous souhaitez afficher.
Le système affiche la fenêtre View Subnet Details.
3. Cliquez sur Close pour fermer la fenêtre.

Configurer une adresse IP pour le service SmartConnect


Vous pouvez définir une adresse IP du service SmartConnect sur un sous-réseau qui
doit recevoir toutes les demandes DNS entrantes pour chaque pool d’adresses IP
configuré pour utiliser ce sous-réseau en tant que sous-réseau du service
SmartConnect.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du sous-réseau que vous souhaitez modifier.
Le système affiche la fenêtre View Subnet Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Subnet Details.
4. Dans le champ SmartConnect Service IP, saisissez l’adresse IP.
5. Cliquez sur Save Changes.
À effectuer
Si vous souhaitez qu’un pool d’adresses IP utilise l’adresse IP du service
SmartConnect configurée pour répondre aux demandes DNS, modifiez les paramètres
du pool afin de spécifier ce sous-réseau en tant que sous-réseau du service
SmartConnect.

576 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

Activer ou désactiver le balisage VLAN


Vous pouvez configurer un cluster pour qu’il participe à plusieurs réseaux privés
virtuels, également appelés LAN virtuels ou VLAN.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du sous-réseau que vous souhaitez modifier.
Le système affiche la fenêtre View Subnet Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Subnet Details.
4. Sélectionnez la case Allow VLAN Tagging pour activer ou désactiver le balisage
VLAN.
5. Si vous activez le balisage VLAN, saisissez un nombre compris entre 2 et 4 094
dans le champ VLAN ID. Ce nombre doit correspondre à l’ID de VLAN défini sur
le switch.
6. Cliquez sur Save Changes.

Ajouter ou supprimer une adresse DRS


Si votre réseau contient un switch d’équilibrage de charge matériel à l'aide du serveur
de retour fonction DSR (Direct), vous devez configurer une adresse DSR pour chaque
sous-réseau.
L’adresse DSR achemine l’ensemble du trafic du client vers le cluster EMC Isilon par
l’intermédiaire du switch. Ce dernier détermine quel nœud gère le trafic pour le client,
puis transmet le trafic à ce nœud.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du sous-réseau que vous souhaitez modifier.
Le système affiche la fenêtre View Subnet Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Subnet Details.
4. Dans le champ Hardware Load Balancing IPs, saisissez l’adresse DSR.
5. Cliquez sur Save Changes.

Gestion des pools d’adresses IP


Vous pouvez créer et gérer des pools d’adresses IP sur le cluster EMC Isilon.

Créer un pool d’adresses IP


Vous pouvez ajouter un pool d’adresses IP au réseau externe. Les pools sont créés
sous un sous-réseau.

Activer ou désactiver le balisage VLAN 577


Gestion réseau

Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Click More > Add Pool en regard du sous-réseau qui contiendra le nouveau pool
d’adresses IP.
La fenêtre Create Pool s’affiche.
3. Dans le champ Name, indiquez le nom du nouveau pool d’adresses IP.
Ce nom peut comporter jusqu’à 32 caractères alphanumériques et inclure des
traits de soulignement ou des tirets, mais aucun espace ou autre signe de
ponctuation.
4. (Facultatif) Dans le champ Description, saisissez un commentaire descriptif sur
le pool d’adresses IP.
Le commentaire ne doit pas comporter plus de 128 caractères.
5. Dans la liste Access Zone, sélectionnez la zone d’accès que vous souhaitez
associer au pool d’adresses IP.
Les clients qui se connectent à ce pool via des adresses IP peuvent accéder aux
données uniquement dans la zone d’accès associée.
6. Dans la zone IP Range, saisissez une plage d’adresses IP que vous souhaitez
attribuer au pool d’adresses IP dans les champs indiqués.
Spécifiez la plage au format suivant : <lower_ip_address>–
<higher_ip_address>.
7. Cliquez sur Add Pool.

Modifier un pool d’adresses IP


Vous pouvez modifier un pool d’adresses IP sur le réseau externe.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Modifiez les paramètres du pool d’adresses IP, puis cliquez sur Save Changes.

Supprimer un pool d’adresses IP


Vous pouvez utiliser l’interface Web pour effacer les paramètres d’un pool
d’adresses IP.
La suppression d’un pool d’adresses IP en cours d’utilisation peut empêcher l’accès au
cluster EMC Isilon. Les connexions client au cluster via n’importe quelle adresse IP
figurant dans le pool sont interrompues.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.

578 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

2. Cliquez sur More > Delete Pool en regard du pool d’adresses IP que vous
souhaitez supprimer.
3. À l’invite de confirmation, cliquez sur Delete.

Afficher les paramètres du pool d’adresses IP


Vous pouvez afficher les détails des paramètres d’un pool d’adresses IP spécifique.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
afficher.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Close pour fermer la fenêtre.

Ajouter ou supprimer une plage d’adresses IP


Vous pouvez ajouter ou supprimer une plage d’adresses IP dans les paramètres du pool
d’adresses IP.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Pour ajouter une plage, dans la zone IP Range, saisissez une plage
d’adresses IP que vous souhaitez attribuer au pool d’adresses IP dans les
champs indiqués.
Spécifiez la plage au format suivant : adresse IP basse - adresse IP haute
5. Pour ajouter une plage supplémentaire, cliquez sur Add an IP Range.
Le système propose des champs dans lesquels vous pouvez saisir les adresses
IP basses et hautes de la plage supplémentaire.
6. Pour supprimer une plage d’adresses IP, cliquez sur Remove IP range en regard
de la plage en question.
7. Cliquez sur Save Changes.

Gestion des paramètres SmartConnect


Vous pouvez configurer les paramètres de SmartConnect au sein de chaque pool
d’adresses IP du cluster EMC Isilon.

Afficher les paramètres du pool d’adresses IP 579


Gestion réseau

Modifier une zone DNS SmartConnect


Vous pouvez spécifier une zone DNS SmartConnect, ainsi que d’autres alias de
zone DNS qui géreront les demandes DNS pour un pool d’adresses IP.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Dans la zone SmartConnect Basic, spécifiez la zone DNS SmartConnect dans
le champ Zone Name.
La zone DNS SmartConnect doit être un nom d’hôte complètement qualifié
(FQDN).
5. (Facultatif) Dans la zone SmartConnect Advanced, spécifiez tous les alias de
la zone DNS SmartConnect dans le champ SmartConnect Zone Aliases.
Une licence SmartConnect Advanced est requise pour spécifier les alias de
zone.
6. Cliquez sur Save Changes.
À effectuer
Pour utiliser la zone SmartConnect, vous devez configurer votre infrastructure DNS
pour déléguer la zone DNS. Ajoutez un nouvel enregistrement de serveur de nom (NS)
pointant vers l’adresse IP du service SmartConnect, puis ajoutez une délégation de
zone au nouveau serveur de nom correspondant au FQDN du nom de la zone
SmartConnect.

Spécifier un sous-réseau pour le service SmartConnect


Vous pouvez spécifier un sous-réseau dédié au service SmartConnect pour un pool
d’adresses IP. Le sous-réseau de service répond à toutes les demandes DNS pour le
compte de la zone DNS SmartConnect du pool.
Avant de commencer
Le sous-réseau choisi pour le service SmartConnect doit être configuré avec
l’adresse IP du service SmartConnect et figurer dans le même réseau de groupe que le
pool d’adresses IP. Par exemple, vous pouvez désigner subnet5 en tant que sous-
réseau du service SmartConnect même si le pool appartient à subnet3, à condition que
ces deux sous-réseaux soient dans le même réseau de groupe.
Si un pool ne comporte pas de sous-réseau de service désigné, les demandes DNS
entrantes reçoivent une réponse du sous-réseau contenant le pool, à condition que ce
sous-réseau soit configuré avec une adresse IP du service SmartConnect. Dans le cas
contraire, les demandes DNS sont exclues.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.

580 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez


modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Dans la zone SmartConnect Basic, sélectionnez un sous-réseau dans la liste
SmartConnect Service Subnet.
5. Cliquez sur Save Changes.

Suspendre ou réactiver un nœud


Vous pouvez suspendre et réactiver les réponses DNS de SmartConnect au niveau
d’un nœud.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Pour suspendre un nœud :
a. Dans la zone SmartConnect Suspended Nodes, cliquez sur Suspend
Nodes.
La fenêtre Suspend Nodes s’affiche.
b. Sélectionnez un numéro de nœud logique (LNN) dans le tableau Available,
puis cliquez sur Add.
c. Cliquez sur Suspend Nodes.
d. Dans la fenêtre de confirmation, cliquez sur Confirm.
5. Pour réactiver un nœud :
a. Dans le tableau SmartConnect Suspended Nodes, cliquez sur le bouton
Resume en regard du numéro de nœud que vous souhaitez réactiver.
b. Dans la fenêtre de confirmation, cliquez sur Confirm.
6. Cliquez sur Close.

Configurer l’allocation d’adresses IP


Vous pouvez spécifier si les adresses IP d’un pool d’adresses IP sont allouées aux
interfaces réseau de manière statique ou dynamique.
Avant de commencer
Pour configurer l’allocation d’adresses IP dynamiques, vous devez activer une licence
SmartConnect Advanced.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.

Suspendre ou réactiver un nœud 581


Gestion réseau

2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez


modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Dans la liste Allocation Method de la zone SmartConnect Advanced Settings,
sélectionnez l’une des méthodes d’allocation suivantes :
l Static
l Dynamic
5. Cliquez sur Save Changes.

Méthodes d’allocation d’adresses IP prises en charge


La règle d’allocation d’adresse IP spécifie la manière dont les adresses IP du pool sont
attribuées à une interface réseau disponible.
Vous avez le choix entre une allocation statique ou dynamique.
Static
Cette méthode attribue une adresse IP à chaque interface réseau ajoutée au pool
d’adresses IP, mais elle ne garantit pas que toutes les adresses IP sont attribuées.
Une fois l’adresse IP allouée, l’interface réseau la conserve indéfiniment , même si
elle devient indisponible. Pour libérer l’adresse IP, supprimez l’interface réseau du
pool ou du cluster.
En l’absence d’une licence SmartConnect Advanced, la méthode statique est la
seule disponible pour l’allocation d’adresses IP.

Dynamic
Cette méthode attribue des adresses IP à chaque interface réseau ajoutée au pool
d’adresses IP jusqu’à ce que toutes les adresses IP soient attribuées. Cela garantit
une réponse lorsque des clients se connectent à une adresse IP du pool.
Si une interface réseau devient indisponible, ses adresses IP sont
automatiquement déplacées vers d’autres interfaces réseau disponibles dans le
pool, comme le détermine la règle de basculement sur incident des adresses IP.
Cette méthode est uniquement disponible dans le cadre d’une licence
SmartConnect Advanced.

Méthode d’allocation recommandée en fonction du protocole de partage de fichiers


Nous vous conseillons de sélectionner une méthode d’allocation statique si vos clients
se connectent via des protocoles à état, et d’opter pour une méthode dynamique pour
les protocoles sans état.
Le tableau suivant présente plusieurs protocoles courants et leur méthode d’allocation
recommandée :
Protocole de partage de fichiers Méthode d’allocation recommandée

l SMB Static
l HTTP
l FTP
l sFTP

582 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

Protocole de partage de fichiers Méthode d’allocation recommandée

l FTPS
l SyncIQ
l Swift

l NFSv3 Dynamic

l NFSv4
l HDFS

Configurer une règle d’équilibrage des connexions


Vous pouvez définir une règle d’équilibrage des connexions pour un pool d’adresses IP.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Dans la zone SmartConnect Advanced, sélectionnez une des méthodes
d’équilibrage suivantes à partir de la liste Client Connection Balancing Policy :
l Round-robin

Remarque

La permutation circulaire, activée par défaut, est la seule règle d’équilibrage


des connexions disponible sans activation de licence SmartConnect
Advanced.
l Connection count
l Throughput
l CPU usage
5. Cliquez sur Save Changes.

Méthodes d’équilibrage des connexions prises en charge


La règle d’équilibrage des connexions détermine la façon dont le serveur DNS gère les
connexions client au cluster EMC Isilon.
Vous pouvez spécifier l’une des méthodes d’équilibrage suivantes :
Round-robin
Sélectionne le prochain nœud disponible par rotation. Il s’agit de la méthode par
défaut. En l’absence d’une licence SmartConnect pour paramètres avancés, il
s’agit de la seule méthode disponible pour l’équilibrage de la charge.

Nombre de connexions
Détermine le nombre de connexions TCP ouvertes sur chaque nœud disponible et
sélectionne le nœud comportant le moins de connexions client.

Configurer une règle d’équilibrage des connexions 583


Gestion réseau

Débit du réseau
Détermine le débit moyen sur chaque nœud disponible et sélectionne le nœud
dont la charge d’interface réseau est la plus faible.

Utilisation du CPU
Détermine l’utilisation moyenne du CPU sur chaque nœud disponible et
sélectionne le nœud dont l’utilisation du processeur est la plus faible.

Configurer une règle de basculement IP


Vous pouvez définir une règle de basculement IP pour un pool d’adresses IP.
Avant de commencer
Pour configurer une règle de basculement IP, vous devez activer une licence
SmartConnect Advanced.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Dans la zone SmartConnect Advanced, sélectionnez une des méthodes de
basculement suivantes à partir de la liste IP Failover Policy :
l Round-robin
l Connection count
l Throughput
l CPU usage
5. Cliquez sur Save Changes.

Configurer une règle de rééquilibrage IP


Vous pouvez configurer une règle de rééquilibrage automatique ou manuel pour un
pool d’adresses IP.
Avant de commencer
Pour configurer une règle de rééquilibrage pour un pool d’adresses IP, vous devez
activer une licence SmartConnect Advanced et définir la méthode d’allocation sur
dynamic.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.

584 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

4. Dans la zone SmartConnect Advanced, sélectionnez une des méthodes de


rééquilibrage suivantes à partir de la liste Rebalance Policy :
l Automatic
l Manual
5. Cliquez sur Save Changes.

Méthodes de rééquilibrage prises en charge


La règle de rééquilibrage des adresses IP indique quand redistribuer les adresses IP si
une ou plusieurs interfaces réseau précédemment indisponibles redeviennent
disponibles.
Vous pouvez définir le rééquilibrage pour qu’il s’exécute de façon manuelle ou
automatique :
Manuel
Ne redistribue pas les adresses IP tant que vous n’avez pas déclenché
manuellement une commande de rééquilibrage via l’interface de ligne de
commande.
Une fois le rééquilibrage effectué, les adresses IP sont redistribuées
conformément à la méthode d’équilibrage des connexions spécifiée par la règle de
basculement sur incident des adresses IP définie pour le pool d’adresses IP.

Automatique
Redistribue automatiquement les adresses IP conformément à la méthode
d’équilibrage des connexions spécifiée par la règle de basculement sur incident
des adresses IP définie pour le pool d’adresses IP.
Le rééquilibrage automatique peut également être déclenché par des
modifications apportées aux nœuds de cluster, aux interfaces réseau ou à la
configuration du réseau externe.

Remarque

Le rééquilibrage peut interrompre les connexions client. Assurez-vous que le


workflow du client sur le pool d’adresses IP est adapté au rééquilibrage
automatique.

Rééquilibrer manuellement les adresses IP


Vous pouvez rééquilibrer manuellement un pool d’adresses IP spécifique ou tous les
pools du réseau externe.
Avant de commencer
Vous devez activer une licence SmartConnect Advanced.
Procédure
1. Pour rééquilibrer manuellement les adresses IP d’un pool :
a. Cliquez sur Cluster Management > Network Configuration > External
Network.
b. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
modifier.
Le système affiche la fenêtre View Pool Details.

Configurer une règle de rééquilibrage IP 585


Gestion réseau

c. Cliquez sur Edit.


Le système affiche la fenêtre Edit Pool Details.
d. Dans la zone Advanced Settings, cliquez sur Rebalance Pool IPs.
e. Dans la fenêtre de confirmation, cliquez sur Confirm.
f. Cliquez sur Cancel pour fermer la fenêtre Edit Pool Details.
2. Pour rééquilibrer manuellement tous les pools d’adresses IP :
a. Cliquez sur Cluster Management > Network Configuration > Settings.
b. Cliquez sur Rebalance All IPs.
c. Dans la fenêtre de confirmation, cliquez sur Confirm.

Gestion des membres de l’interface réseau


Vous pouvez ajouter et supprimer des interfaces réseau dans les pools d’adresses IP.

Ajouter ou supprimer une interface réseau


Vous pouvez définir les interfaces réseau affectées à un pool d’adresses IP.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Pour ajouter une interface réseau au pool d’adresses IP :
a. Dans la zone Pool Interface Members, sélectionnez votre interface dans le
tableau Available.
Si l’interface que vous ajoutez au pool est une interface agrégée, vous ne
pouvez pas ajouter individuellement les interfaces qu’elle regroupe.
b. Cliquez sur Add.
5. Pour supprimer une interface réseau du pool :
a. Dans la zone Pool Interface Members, sélectionnez votre interface dans le
tableau In Pool.
b. Cliquez sur Remove.
6. Cliquez sur Save Changes.

Configurer une agrégation de liens


L’agrégation de liens vous permet de regrouper plusieurs interfaces réseau physiques
externes d’un nœud en une seule et même interface logique.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.

586 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez


modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Dans la zone Pool Interface Members, sélectionnez votre interface agrégée
dans le tableau Available et cliquez sur Add.
5. Dans la zone Advanced Settings, sélectionnez une des méthodes d’agrégation
de liens suivantes dans la liste Aggregation Mode :
l Round-robin
l Failover
l LACP
l FEC
6. Cliquez sur Save Changes.

Modes d’agrégation de liens


Le mode d’agrégation de liens détermine la manière dont le trafic est équilibré et
acheminé entre les interfaces réseau agrégées. Sa sélection s’effectue sur la base de
pools individuels. Le mode ainsi choisi s’applique à toutes les interfaces réseau
agrégées dans le pool d’adresses IP.
OneFS prend en charge les modes d’agrégation dynamiques et statiques. Un mode
d’agrégation dynamique permet aux nœuds comportant des interfaces agrégées de
communiquer avec le switch afin que ce dernier puisse utiliser un mode d’agrégation
similaire. Les modes statiques ne permettent pas la communication entre les nœuds et
le switch.
OneFS prend en charge les modes d’agrégation de liens suivants :
Protocole LACP (Link Aggregation Control Protocol)
Mode d’agrégation dynamique prenant en charge le protocole
LACP IEEE 802.3ad. Vous pouvez configurer le protocole LACP au niveau du
switch, ce qui permet au nœud de négocier l’agrégation d’interfaces avec le
switch. Le protocole LACP équilibre le trafic sortant entre les différentes
interfaces en fonction des informations d’en-tête hachées de protocole
comprenant les adresses source et de destination, ainsi que la balise VLAN, le cas
échéant. Il s’agit là du mode d’agrégation par défaut.

LoadBalance (FEC)
Méthode d’agrégation statique qui accepte tout le trafic entrant et équilibre le
trafic sortant sur les interfaces agrégées, en fonction des informations d’en-tête
hachées de protocole comprenant des adresses source et de destination.

Basculement sur incident actif/passif


Mode d’agrégation statique qui bascule sur l’interface active suivante lorsque
l’interface principale n’est plus disponible. L’interface principale gère le trafic
jusqu’à ce qu’une interruption de communication se produise. À ce stade, l’une
des interfaces secondaires prend le relais de l’interface principale.

Round-robin
Mode d’agrégation statique qui permet la rotation des connexions sur les
différents nœuds selon une séquence « premier entré, premier sorti », traitant

Configurer une agrégation de liens 587


Gestion réseau

tous les processus sans priorité. Équilibre le trafic sortant sur tous les ports actifs
de la liaison agrégée et accepte le trafic entrant sur n’importe quel port.

Remarque

Il est déconseillé de choisir cette méthode si votre cluster EMC Isilon utilise des
charges applicatives TCP/IP.

Mappage de l’agrégation de liens


Les interfaces réseau pouvant être ajoutées à un pool d’adresses IP en tant
qu’interface agrégée sont incluses lors de l’affichage de la liste des interfaces réseau
sur un nœud. Le tableau suivant présente des exemples de mappage des interfaces
agrégées à des interfaces non agrégées.

Interface réseau LNI agrégée


logique (LNI)
ext-1 ext-agg = ext-1 + ext-2
ext-2

ext-1 ext-agg = ext-1 + ext-2


ext-2 ext-agg-2 = ext-3 + ext-4
ext-3 ext-agg-3 = ext-3 + ext-4 + ext-1 + ext-2
ext-4

ext-1 ext-agg = ext-1 + ext-2


ext-2 10gige-agg-1 = 10gige-1 + 10gige-2
10gige-1
10gige-2

Gestion des règles de provisionnement de nœuds


Vous pouvez créer et gérer des règles de provisionnement de nœuds qui automatisent
la configuration des nouvelles interfaces réseau.

Créer une règle de provisionnement de nœud


Vous pouvez créer une règle de provisionnement de nœud pour préciser la façon dont
les interfaces réseau des nouveaux nœuds sont configurées lorsque ces nœuds sont
ajoutés à un cluster EMC Isilon. Les règles de provisionnement de nœud sont créées
dans un pool d’adresses IP.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur More > Add Rule en regard du pool d’adresses IP qui contiendra la
nouvelle de règle de provisionnement de nœud.
La fenêtre Create Rule s’affiche.
3. Dans le champ Name, spécifiez le nom de la nouvelle règle de provisionnement
de nœud.

588 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

4. (Facultatif) Dans le champ Description, saisissez un commentaire descriptif sur


la règle.
Le commentaire ne doit pas comporter plus de 128 caractères.
5. Dans la liste Interface Type, sélectionnez le type d’interface réseau qui sera
ajouté au pool lors de l’ajout du nouveau nœud au cluster.
6. Dans la liste Node Type, sélectionnez l’un des types de nœud suivants :
l Any
l Storage
l Accelerator
l Backup accelerator
La règle est appliquée lorsqu’un nœud correspondant au type sélectionné est
ajouté au cluster.

Remarque

Dans le cas d’IsilonSD Edge, le type de nœud doit être le même dans un cluster
IsilonSD donné. Par conséquent, l’option Node Type ne s’applique pas à
IsilonSD Edge.

7. Cliquez sur Add rule.

Modifier une règle de provisionnement de nœud


Vous pouvez modifier les paramètres d’une règle de provisionnement de nœud.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard de la règle de provisionnement de nœud que
vous souhaitez modifier.
La fenêtre View Rule Details s’affiche.
3. Cliquez sur Edit.
La fenêtre Edit Rule Details s’affiche.
4. Modifiez les paramètres de la règle de provisionnement de nœud, puis cliquez
sur Save Changes.

Supprimer une règle de provisionnement de nœud


Vous pouvez supprimer une règle de provisionnement de nœud qui n’est plus
nécessaire.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur More > Delete Rule en regard de la règle de provisionnement de
nœud que vous souhaitez supprimer.
3. À l’invite de confirmation, cliquez sur Delete.

Modifier une règle de provisionnement de nœud 589


Gestion réseau

Afficher les paramètres de règle de provisionnement de nœud


Vous pouvez afficher les détails des paramètres d’une règle de provisionnement de
nœud spécifique.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard de la règle de provisionnement de nœud que
vous souhaitez afficher.
La fenêtre View Rule Details s’affiche.
3. Cliquez sur Close pour fermer la fenêtre.

Gestion des options de routage


Vous pouvez renforcer le contrôle du sens du trafic client sortant en configurant un
routage basé sur la source ou une route statique.
Si le routage basé sur la source et les routes statiques sont tous les deux configurés,
les routes statiques sont prioritaires pour le trafic qui leur correspond.

Activer ou désactiver le routage basé sur la source


Vous pouvez activer ou désactiver globalement le routage basé sur la source sur le
cluster EMC Isilon.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > Settings.
2. Cochez ou décochez la case Enable source based routing.
3. Cliquez sur Save Changes.

Ajouter ou supprimer une route statique


Vous pouvez configurer les routes statiques pour acheminer le trafic sortant à des
destinations particulières via une passerelle spécifique. Les routes statiques sont
configurées au niveau du pool d’adresses IP.
Avant de commencer
Les routes statiques doivent correspondre à la famille d’adresses IP (IPv4 ou IPv6) du
pool d’adresses IP dans lesquels elles sont configurées.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du pool d’adresses IP que vous souhaitez
modifier.
Le système affiche la fenêtre View Pool Details.
3. Cliquez sur Edit.
Le système affiche la fenêtre Edit Pool Details.
4. Pour ajouter une route statique :

590 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

a. Dans la zone Static Routes, cliquez sur Add static route.


La fenêtre Create Static Route s’affiche.
b. Dans le champ Subnet, indiquez l’adresse IPv4 ou IPv6 du sous-réseau vers
lequel est acheminé le trafic.
c. Dans le champ Netmask ou Prefixlen, indiquez le masque de réseau (IPv4)
ou la longueur de préfixe (IPv6) du sous-réseau que vous avez fourni.
d. Dans le champ Gateway, spécifiez l’adresse IPv4 ou IPv6 de la passerelle par
laquelle est acheminé le trafic.
e. Cliquez sur Add Static Route.
5. Pour supprimer une route statique, dans le tableau Static Routes, cliquez sur le
bouton Remove en regard de la route à supprimer.
6. Cliquez sur Save Changes.

Gestion des paramètres de cache DNS


Vous pouvez définir les paramètres du cache DNS pour le réseau externe.

Vider le cache DNS


Vous pouvez vider simultanément le cache DNS de chaque réseau de groupe pour
lequel la mise en cache DNS est activée.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > DNS Cache.
2. Dans la zone Actions, cliquez sur Flush DNS Cache.
3. Dans la fenêtre de confirmation, cliquez sur Confirm.

Modifier les paramètres du cache DNS


Vous pouvez modifier les paramètres généraux qui sont appliqués au cache DNS de
chaque réseau de groupe pour lequel la mise en cache DNS est activée.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > DNS Cache.
2. Modifiez les paramètres du cache DNS, puis cliquez sur Save Changes.

Paramètres du cache DNS


Vous pouvez configurer les paramètres du cache DNS.

Paramètre Description
TTL No Error Minimum Spécifie la limite minimale de durée de vie
pour les opérations de cache réussies.
La valeur par défaut est de 30 secondes.

TTL No Error Maximum Spécifie la limite maximale de durée de vie


pour les opérations de cache réussies.
La valeur par défaut est de 3 600 secondes.

Gestion des paramètres de cache DNS 591


Gestion réseau

Paramètre Description
TTL Non-existent Domain Minimum Spécifie la limite minimale de durée de vie
pour nxdomain.
La valeur par défaut est de 15 secondes.

TTL Non-existent Domain Maximum Spécifie la limite maximale de durée de vie


pour nxdomain.
La valeur par défaut est de 3 600 secondes.

TTL Other Failures Minimum Spécifie la limite minimale de durée de vie


pour les échecs non nxdomain.
La valeur par défaut est de 0 seconde.

TTL Other Failures Maximum Spécifie la limite maximale de durée de vie


pour les échecs non nxdomain.
La valeur par défaut est 60 secondes.

TTL Lower Limit For Server Failures Spécifie la limite minimale de durée de vie
pour les pannes de serveur DNS.
La valeur par défaut est de 300 secondes.

TTL Upper Limit For Server Failures Spécifie la limite maximale de durée de vie
pour les pannes de serveur DNS.
La valeur par défaut est de 3 600 secondes.

Eager Refresh Spécifie le délai nécessaire pour actualiser les


entrées de cache qui vont bientôt expirer.
La valeur par défaut est de 0 seconde.

Cache Entry Limit Spécifie le nombre maximal d’entrées que le


cache DNS peut contenir.
La valeur par défaut est de 65 536 entrées.

Test Ping Delta Spécifie le delta pour la vérification de l’état


de santé du cluster cbind.
La valeur par défaut est de 30 secondes.

Gestion des ports TCP


Vous pouvez modifier la liste des ports TCP clients disponibles pour le réseau externe.

Ajouter ou supprimer des ports TCP


Vous pouvez ajouter et supprimer des ports TCP dans la liste des ports disponibles
pour le réseau externe.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > Settings.
2. Pour ajouter un port TCP :
a. Dans la zone TCP Ports, cliquez sur Add TCP Ports.
Le système affiche la fenêtre Add TCP Ports.
b. Dans le champ TCP Ports, saisissez un numéro de port.

592 OneFS 8.0.1 Guide d’administration Web


Gestion réseau

c. (Facultatif) Cliquez sur Add another port pour spécifier des numéros de
port supplémentaires.
d. Cliquez sur Add Ports.
3. Pour supprimer un port TCP, dans le tableau TCP Ports, cliquez sur le bouton
Remove en regard du port que vous souhaitez supprimer.
4. Cliquez sur Save Changes.

Ajouter ou supprimer des ports TCP 593


Gestion réseau

594 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 26
Hadoop

Cette section traite des sujets suivants :

l Présentation de Hadoop.................................................................................. 596


l Architecture Hadoop........................................................................................596
l Implémentation de Hadoop dans OneFS...........................................................597
l Distributions Hadoop prises en charge par OneFS............................................597
l Fichiers et répertoires HDFS............................................................................ 597
l Comptes utilisateur et de groupe Hadoop........................................................ 598
l Méthodes d’authentification HDFS.................................................................. 598
l HDFS et SmartConnect................................................................................... 598
l WebHDFS........................................................................................................ 599
l Usurpation d'identité sécurisée........................................................................ 599
l Agent Ambari................................................................................................... 600
l Chiffrement sur le réseau HDFS...................................................................... 600
l Prise en charge d’Apache Ranger..................................................................... 601
l Racks HDFS virtuels......................................................................................... 601
l Déploiement de Hadoop avec OneFS............................................................... 602
l Gestion du service HDFS................................................................................. 602
l Définir le répertoire racine HDFS..................................................................... 604
l Configuration des méthodes d’authentification HDFS..................................... 605
l Créer un utilisateur local Hadoop..................................................................... 606
l Activer ou désactiver WebHDFS...................................................................... 607
l Configurer une usurpation d’identité sécurisée................................................ 607
l Configurer les paramètres de l’agent Ambari................................................... 609
l Modifier les paramètres du plug-in Ranger....................................................... 610
l Configurer le chiffrement sur le réseau HDFS.................................................. 610
l Gestion des racks HDFS virtuels....................................................................... 611

Hadoop 595
Hadoop

Présentation de Hadoop
Hadoop est une plate-forme Open Source qui applique des fonctions d’analytique à
des Datasets volumineux sur un système de fichiers distribué.
Dans une implémentation Hadoop sur un cluster EMC Isilon, OneFS agit en tant que
système de fichiers distribué et HDFS est pris en charge en tant que protocole natif.
Les clients d’un cluster Hadoop se connectent au cluster Isilon au moyen du protocole
HDFS pour gérer et traiter les données.
La prise en charge de Hadoop sur le cluster nécessite l’activation d’une licence HDFS.
Pour obtenir une licence, contactez un responsable de compte EMC Isilon.

Architecture Hadoop
Hadoop se compose d’une couche de traitement des données et d’une couche de
stockage.
Dans une implémentation Hadoop classique, les deux couches existent dans le même
cluster.

Couche de traitement
YARN est le moteur de traitement de tâches de la couche de traitement Hadoop.
Il exécute diverses tâches (également appelées applications), ou requêtes, sur de
grands Datasets, et extrait les informations. YARN dépend des composants clés
suivants :
ResourceManager
Autorité globale qui alloue des ressources (CPU, mémoire, disques, réseau) à
NodeManagers, et planifie les tâches en fonction des besoins en ressources.

NodeManager
Composant de niveau nœud qui exécute des tâches et surveille la consommation
des ressources de la tâche.

Couche de stockage
La couche de stockage est appelée HDFS (Hadoop Distributed File System).
Elle contient les données accessibles et traitées par la couche de traitement des
données. HDFS dépend de deux composants clés :
NameNode
Nœud qui stocke en mémoire le mappage de chaque fichier, y compris les
informations précisant sur quel DataNode et à quel emplacement le fichier est
situé.

DataNode
Nœud qui stocke les données et répond aux demandes de lecture et d’écriture en
fonction des ordres du composant NameNode.

Une mise en œuvre classique de Hadoop contient un NameNode qui joue le rôle de
maître et achemine les demandes d’accès aux données vers le DataNode approprié.

596 OneFS 8.0.1 Guide d’administration Web


Hadoop

Implémentation de Hadoop dans OneFS


Dans une implémentation Hadoop sur le cluster EMC Isilon, les données sont stockées
sur OneFS. HDFS est pris en charge en tant que protocole utilisé par les clients de
traitement Hadoop pour accéder aux données.
Une implémentation Hadoop avec OneFS présente les différences suivantes par
rapport à une implémentation classique :
l Les couches de traitement et de stockage se trouvent sur des clusters distincts, et
non sur le même cluster.
l Au lieu de stocker les données dans un système de fichiers distribué Hadoop, les
fonctions de la couche de stockage sont assurées par OneFS sur un cluster EMC
Isilon. Les nœuds du cluster Isilon font office de NameNode et de DataNode.
l La couche de traitement repose sur un cluster de traitement Hadoop séparé du
cluster Isilon. MapReduce et ses composants sont installés sur le cluster de
traitement Hadoop uniquement.
l Au lieu d’être une couche de stockage, HDFS est mis en œuvre dans OneFS en
tant que couche de protocole native et légère entre le cluster Isilon et le cluster de
traitement Hadoop. Les clients du cluster de traitement Hadoop se connectent via
HDFS pour accéder aux données du cluster Isilon.
l Outre HDFS, les clients du cluster de traitement Hadoop peuvent se connecter au
cluster Isilon via tout protocole pris en charge par OneFS, tel que NFS, SMB, FTP
et HTTP.
l Les clients de traitement Hadoop peuvent se connecter à tout nœud du cluster
Isilon qui fonctionne en tant que NameNode au lieu d’être routés par un seul
NameNode.

Distributions Hadoop prises en charge par OneFS


Vous pouvez exécuter la plupart des distributions courantes de Hadoop avec le cluster
EMC Isilon.
OneFS prend en charge de nombreuses distributions de HDFS (Hadoop Distributed
File System). Ces distributions sont mises à jour indépendamment de OneFS, selon
leurs propres plannings.
Pour obtenir les informations les plus récentes sur les distributions Hadoop prises en
charge par OneFS, consultez la page Supported Hadoop Distributions and Products
sur EMC Community Network (ECN).

Fichiers et répertoires HDFS


Avant d’implémenter Hadoop, assurez-vous que les répertoires dont vous avez besoin
sont configurés sur le cluster EMC Isilon.
Vous configurez un répertoire racine HDFS dans chaque zone d’accès devant contenir
des données accessibles aux clients de traitement Hadoop. Lorsqu’un client de
traitement Hadoop se connecte au cluster, l’utilisateur peut accéder à tous les fichiers
et sous-répertoires du répertoire racine spécifié. Le répertoire HDFS par défaut est /
ifs.
Chaque pool d’adresses IP du cluster doit être associée à une zone d’accès. Lorsque
les clients de traitement Hadoop se connectent au cluster par le biais d’un pool

Implémentation de Hadoop dans OneFS 597


Hadoop

d’adresses IP donné, ils ne peuvent accéder qu’aux données HDFS de la zone d’accès
associée. Cette configuration isole les données dans les zones d’accès et vous permet
de limiter l’accès client aux données.
À la différence des montages NFS ou des partages SMB, les clients qui se connectent
au cluster via HDFS ne peuvent pas avoir accès à seulement certains dossiers du
répertoire racine. Si vous avez plusieurs workflows Hadoop nécessitant des Datasets
distincts, vous pouvez créer plusieurs zones d’accès et configurer un répertoire
racine HDFS pour chaque zone.
Lorsque vous configurez des répertoires et des fichiers sous le répertoire racine,
assurez-vous qu’ils disposent des autorisations adéquates afin que les clients et les
applications Hadoop puissent y accéder. Les répertoires et les autorisations varient en
fonction de la distribution Hadoop, de l’environnement, des exigences et des règles de
sécurité.

Comptes utilisateur et de groupe Hadoop


Avant d’implémenter Hadoop, assurez-vous que les comptes utilisateur et de groupe
nécessaires à la connexion via Hadoop sont configurés sur le cluster EMC Isilon.
Vous devez également vous assurer que les comptes utilisateur requis par votre
distribution Hadoop sont configurés sur le cluster Isilon zone par zone. Les comptes
utilisateur dont vous avez besoin, ainsi que les paramètres de propriétaire et de groupe
associés, varient en fonction de la distribution, des exigences et des règles de
sécurité. Le profil des comptes du cluster Isilon, y compris les ID utilisateur et de
groupe, doit correspondre à celui des comptes de vos clients de traitement Hadoop.
OneFS doit pouvoir rechercher un utilisateur ou un groupe Hadoop local par son nom.
S’il n’existe aucun service d’annuaire (Active Directory ou LDAP, par exemple)
permettant d’effectuer une recherche d’utilisateur, vous devez créer un utilisateur ou
un groupe Hadoop local. Si des services d’annuaire sont disponibles, aucun compte
utilisateur ou de groupe local n’est requis.

Méthodes d’authentification HDFS


Vous pouvez configurer une méthode d’authentification HDFS en fonction de la zone
d’accès.
Lorsqu’un client de traitement Hadoop se connecte au cluster EMC Isilon via une zone
d’accès, il doit s’authentifier à l’aide de la méthode spécifiée pour cette zone.
HDFS prend en charge l’authentification simple, l’authentification Kerberos ou les
deux. Par défaut, HDFS accepte l’authentification simple et l’authentification
Kerberos.

HDFS et SmartConnect
Vous pouvez configurer une zone DNS SmartConnect pour gérer les connexions des
clients de traitement Hadoop.
SmartConnect est un module qui spécifie la manière dont le serveur DNS du cluster
EMC Isilon traite les demandes de connexion des clients. Pour chaque pool
d’adresses IP de votre cluster Isilon, vous pouvez configurer une zone DNS
SmartConnect correspondant à un nom de domaine complet (FQDN). Les clients de
traitement Hadoop peuvent se connecter au cluster via le nom de la zone DNS
SmartConnect. SmartConnect répartit équitablement les demandes NameNode entre
les adresses IP et les nœuds du pool.

598 OneFS 8.0.1 Guide d’administration Web


Hadoop

Lorsqu’un client de traitement Hadoop émet une première demande DNS pour se
connecter à la zone SmartConnect, il est dirigé vers l’adresse IP d’un nœud Isilon
servant de NameNode. Les demandes suivantes du client de traitement Hadoop sont
dirigées vers le même nœud. Lorsqu’un deuxième client Hadoop émet une demande
DNS pour la zone SmartConnect, SmartConnect équilibre le trafic et dirige la
connexion client vers un autre nœud que celui utilisé par le client de traitement
Hadoop précédent.
Si vous spécifiez une zone DNS SmartConnect via laquelle les clients de traitement
Hadoop doivent se connecter, vous devez ajouter un nouvel enregistrement de serveur
de noms (NS) en tant que domaine délégué à la zone DNS faisant autorité qui contient
le cluster Isilon. Sur le cluster de traitement Hadoop, vous devez définir la valeur de la
propriété fs.defaultFS sur le nom de la zone DNS SmartConnect dans le fichier
core-site.xml.
SmartConnect est abordé plus en détail dans la section Gestion réseau de ce guide.

WebHDFS
OneFS prend en charge l’accès aux données HDFS via des applications client
WebHDFS.
WebHDFS est une interface de programmation RESTful basée sur des opérations
HTTP comme GET, PUT, POST et DELETE ; elle est disponible pour la création
d’applications client. Les applications client WebHDFS vous permettent d’accéder aux
données HDFS et d’effectuer des opérations HDFS via HTTP et HTTPS.
WebHDFS est pris en charge par OneFS au niveau de chaque zone d’accès et est
activé par défaut.
WebHDFS prend en charge l’authentification simple ou l’authentification Kerberos. Si
la méthode d’authentification HDFS pour une zone d’accès est définie sur All, OneFS
utilise l’authentification simple pour WebHDFS.

Remarque

Afin d’empêcher tout accès client non autorisé via l’authentification simple, désactivez
WebHDFS dans chaque zone d’accès qui ne doit pas prendre en charge cette méthode
d’authentification.

Usurpation d'identité sécurisée


L’usurpation d’identité sécurisée vous permet de créer des utilisateurs proxy pouvant
usurper l’identité d’autres utilisateurs pour exécuter des tâches Hadoop.
Vous pouvez configurer l’usurpation d’identité sécurisée si vous utilisez des
applications, par exemple Apache Oozie, pour planifier, gérer et exécuter
automatiquement des tâches Hadoop. Par exemple, vous pouvez créer un utilisateur
proxy d’Oozie qui usurpe l’identité d’un utilisateur appelé HadoopAdmin, pour
permettre à l’utilisateur d’Oozie de demander à ce que les tâches Hadoop soient
exécutées par l’utilisateur HadoopAdmin.
Les utilisateurs proxy dans le cadre d’une usurpation d’identité sécurisée sont
configurés zone par zone ; de même, les utilisateurs ou groupes d’utilisateurs que vous
attribuez comme membres de l’utilisateur proxy doivent provenir de la même zone
d’accès. Un membre peut avoir un ou plusieurs des types d’identité suivants :
l Utilisateur spécifié par un nom d’utilisateur ou UID

WebHDFS 599
Hadoop

l Groupe d’utilisateurs spécifié par un nom de groupe ou GID


l Utilisateur, groupe, machine ou compte spécifié par un SID
l Utilisateur bien connu spécifié par son nom
Si l’utilisateur proxy ne présente pas d’informations d’identification valides ou s’il
n’existe aucun membre d’utilisateur proxy sur le cluster, l’accès sera refusé.
L’utilisateur proxy ne pourra pas accéder aux fichiers et sous-répertoires situés dans le
répertoire racine HDFS de la zone d’accès. Il est recommandé de limiter les membres
dont l’identité peut être usurpée par l’utilisateur proxy aux utilisateurs disposant d’un
accès uniquement aux données dont a besoin l’utilisateur proxy.

Agent Ambari
Le framework client/serveur Ambari est un outil tiers qui vous permet de configurer,
gérer et surveiller un cluster Hadoop via une interface basée sur un navigateur.
L’agent OneFS Ambari est configuré par zone d’accès. Vous pouvez configurer l’agent
OneFS Ambari dans toute zone d’accès contenant des données HDFS. Pour démarrer
un agent OneFS Ambari dans une zone d’accès, vous devez spécifier l’adresse IPv4 du
serveur Ambari externe et l’adresse d’un NameNode. Le NameNode sert de point de
contact pour la zone d’accès.
Le serveur Ambari externe accepte les communications de l’agent OneFS Ambari. Une
fois que l’agent OneFS Ambari est attribué à la zone d’accès, il s’inscrit auprès du
serveur Ambari. Ensuite, il fournit un état heartbeat au serveur. Le serveur Ambari
externe doit disposer d’une adresse IPv4, d’un nom de domaine complet ou d’un nom
d’hôte pouvant être résolu, et il doit être attribué à une zone d’accès.
Le NameNode correspond au point de contact désigné dans une zone d’accès que les
services Hadoop gèrent par le biais de l’interface Ambari. Par exemple, si vous gérez
des services tels que YARN ou Oozie par le biais de l’agent Ambari, ces services se
connectent à la zone d’accès via le NameNode spécifié. L’agent Ambari communique
l’emplacement du NameNode désigné au serveur Ambari et à l’agent Ambari. Si vous
modifiez l’adresse NameNode indiquée, l’agent Ambari met à jour le serveur Ambari.
Le NameNode doit être un nom de zone SmartConnect valide ou une adresse IP du
pool d’adresses IP associé à la zone d’accès.

Remarque

La valeur de NameNode spécifiée est mappée aux composants NameNode, NameNode


secondaire et DataNode sur l’agent OneFS Ambari.

L’agent OneFS Ambari repose sur le framework Apache Ambari et est compatible avec
plusieurs versions du serveur Ambari. Pour obtenir la liste complète des versions prises
en charge, consultez la page Hadoop Distributions and Products Supported by OneFS
du site EMC Community Network (ECN).

Chiffrement sur le réseau HDFS


Le chiffrement sur le réseau HDFS permet la transmission de données chiffrées via le
protocole HDFS entre des clients OneFS et HDFS.
Le chiffrement sur le réseau HDFS permet à OneFS de chiffrer les données qui sont
transmises entre OneFS et HDFS afin de respecter les exigences réglementaires. Le
chiffrement sur le réseau utilise la norme AES (Advanced Encryption Standard) pour
chiffrer les données. Des longueurs de clé de 128, 192 et 256 bits sont disponibles.

600 OneFS 8.0.1 Guide d’administration Web


Hadoop

Remarque

Lorsque le chiffrement sur le réseau HDFS est activé, il a un impact considérable sur
les performances d’E/S et le débit du protocole HDFS.

Prise en charge d’Apache Ranger


OneFS prend en charge Apache Ranger dans le cadre d’un déploiement Hadoop avec
un cluster Isilon.
La console Apache Ranger fournit un framework de sécurité centralisé pour gérer le
contrôle d’accès sur les composants d’accès aux données Hadoop tels qu’Apache Hive
et Apache HBase. Ces règles peuvent être définies pour des utilisateurs individuels ou
des groupes, puis être systématiquement appliquées aux fichiers, aux dossiers et aux
bases de données.
OneFS prend en charge la gestion par Ranger des composants HDP suivants.
l Apache Hadoop HDFS
Seules les règles d’autorisation HDFS Ranger avec des conditions Deny sont prises
en charge par OneFS. La documentation d’Apache JIRA RANGER-606 explique
comment utiliser les conditions Deny, qui ont été ajoutées à Ranger 0.6.0.
l Apache Hadoop YARN
l Apache Hive
l Apache HBase
l Apache Kafka
l Apache Knox
l Apache Solr
l Apache Storm
Les méthodes d’authentification AD, Kerberos et locale sont prises en charge.
L’audit de l’accès HDFS par Ranger n’est pas pris en charge actuellement.
Les règles de balise ne sont pas prises en charge actuellement.

Racks HDFS virtuels


Pour optimiser les performances et réduire le temps de latence lors de l’accès aux
données HDFS, vous pouvez créer un rack HDFS virtuel de nœuds sur le cluster
EMC Isilon.
OneFS vous permet de spécifier un groupe de nœuds HDFS favoris sur le cluster
EMC Isilon et de lui associer un groupe de clients de traitement Hadoop en tant que
rack HDFS virtuel. Les racks HDFS virtuels vous permettent d’ajuster la connectivité
client en dirigeant les clients de traitement Hadoop vers des switches plus rapides et
moins occupés, ou vers des nœuds plus rapides, en fonction de votre topologie réseau.
Lorsqu’un client de traitement Hadoop du groupe défini se connecte au cluster, OneFS
renvoie au moins deux adresses IP à partir du groupe de nœuds HDFS favoris. Vous
spécifiez les nœuds HDFS favoris par pool d’adresses IP. Les pools d’adresses IP de la
gamme IPv6 ne sont pas pris en charge par les racks HDFS virtuels.

Prise en charge d’Apache Ranger 601


Hadoop

Déploiement de Hadoop avec OneFS


Pour que Hadoop soit pris en charge sur un cluster EMC Isilon, vous devez configurer
HDFS sur le cluster Isilon pour qu’il communique avec le cluster Hadoop.
Le processus de configuration de HDFS sur le cluster Isilon est résumé dans la liste
suivante :
l Activez une licence HDFS. Lorsqu'une licence est activée, le service HDFS est
activé par défaut.
l Créez sur le cluster des répertoires qui seront définis en tant que répertoires
racine HDFS.
l Créez une zone SmartConnect pour l’équilibrage des connexions des clients de
traitement Hadoop.
l Créez des utilisateurs Hadoop locaux dans les zones d’accès ne disposant pas de
services d’annuaire tels que Active Directory ou LDAP.
l Définissez le répertoire racine HDFS dans chaque zone d’accès qui prend en
charge les connexions HDFS.
l Activez ou désactivez WebHDFS dans chaque zone d’accès.
l Définissez une méthode d’authentification dans chaque zone d’accès qui prend en
charge les connexions HDFS.
l Configurez les paramètres du service HDFS sur le cluster.
l Configurez les utilisateurs proxy pour une usurpation d'identité sécurisée.
l Configurez les racks HDFS virtuels.

Gestion du service HDFS


Vous pouvez configurer les paramètres du service HDFS sur le cluster EMC Isilon pour
améliorer les performances des workflows HDFS.

Activer ou désactiver le service HDFS


Vous pouvez activer ou désactiver le service HDFS pour une zone d’accès particulière.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Settings.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès dans laquelle
vous souhaitez activer ou désactiver le service HDFS.
3. Dans la zone HDFS Service Settings, sélectionnez ou désélectionnez la case
Enable HDFS service.
4. Cliquez sur Save Changes.

Configurer les paramètres du service HDFS


Vous pouvez configurer les paramètres du service HDFS de chaque zone d’accès pour
améliorer les performances des workflows HDFS.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Settings.

602 OneFS 8.0.1 Guide d’administration Web


Hadoop

2. Dans la liste Current Access Zone, sélectionnez la zone d’accès dans laquelle
vous souhaitez configurer les paramètres du service.
3. Dans la zone HDFS Service Settings, sélectionnez la taille de bloc HDFS de
votre choix dans la liste Default Block Size.
La taille de bloc HDFS détermine la façon dont le service HDFS renvoie les
données lors des demandes de lecture du client de traitement Hadoop.
4. Sélectionnez le type de checksum dans la liste Default Checksum Type.
Le service HDFS n’envoie aucune donnée de checksum, quel que soit le type de
checksum.
5. Cliquez sur Save Changes.

Paramètres du service HDFS


Les paramètres du service HDFS affectent les performances des workflows HDFS.
Vous pouvez configurer les paramètres suivants du service HDFS :
Paramètre Description
Taille de bloc Le paramètre de taille de bloc HDFS configuré sur le cluster EMC détermine
la façon dont le service HDFS renvoie les données lors des demandes de
lecture du client de traitement Hadoop.
Vous pouvez modifier la taille de bloc HDFS sur le cluster de façon à
l’augmenter de 4 Ko à 1 Go. La valeur par défaut est de 128 Mo.
L’augmentation de la taille de bloc permet aux nœuds du cluster Isilon de lire
et d’écrire des données HDFS sur des blocs volumineux et d’optimiser les
performances dans la plupart des exemples d’utilisation.
Le cluster Hadoop conserve une taille de bloc différente qui détermine la
manière dont un client de traitement Hadoop écrit un bloc de données de
fichiers sur le cluster Isilon. La taille de bloc optimale dépend de vos données,
de la façon dont vous les gérez et d’autres facteurs. Vous pouvez définir la
taille de bloc du cluster Hadoop dans le fichier de configuration hdfs-
site.xml avec la propriété suivante : dfs.block.size.

Type de Le service HDFS envoie le type de checksum aux clients de traitement


checksum Hadoop, mais il n’envoie aucune donnée de checksum, quel que soit son type.
Le type de checksums par défaut est défini sur None. Si votre distribution
Hadoop nécessite l’envoi d’un type de checksums autre que None au client,
vous pouvez définir le type de checksums sur CRC32 ou CRC32C.

Afficher les paramètres HDFS


Vous pouvez afficher les paramètres HDFS d’une zone d’accès.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Settings.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès dans laquelle
vous souhaitez afficher les paramètres HDFS.
L’onglet Settings affiche les options HDFS actuelles dans les domaines
suivants :
l Paramètres du service HDFS

Paramètres du service HDFS 603


Hadoop

l Paramètres du protocole HDFS


l Paramètres du serveur Ambari

Modifier les niveaux de consignation HDFS


Vous pouvez définir le niveau de consignation par défaut des événements de services
HDFS pour n’importe quel nœud du cluster EMC Isilon.
Cette procédure n’est disponible que via l’interface de ligne de commande
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers un nœud du cluster et
connectez-vous.
2. Exécutez la commande isi hdfs log-level modify.
La commande suivante définit le niveau de consignation HDFS du nœud sur
trace :

isi hdfs log-level modify --set=trace

Afficher les niveaux de consignation HDFS


Vous pouvez afficher le niveau de consignation par défaut des événements de
services HDFS pour n’importe quel nœud du cluster EMC Isilon.
Cette procédure n’est disponible que via l’interface de ligne de commande
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers un nœud du cluster et
connectez-vous.
2. Exécutez la commande isi hdfs log-level view.
Le système affiche un résultat semblable à l’exemple suivant :

Current HDFS service log-level at the node is: trace

Définir le répertoire racine HDFS


Vous pouvez spécifier un répertoire racine HDFS pour chaque zone d’accès. Les
clients de traitement Hadoop connectés à la zone d’accès peuvent accéder à tous les
fichiers et sous-répertoires du répertoire racine spécifié.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Settings.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès dans laquelle
vous souhaitez spécifier le répertoire racine.
3. Dans la zone HDFS Protocol Settings, entrez ou recherchez votre répertoire
dans le champ HDFS Root Directory.
Le répertoire racine doit se trouver dans /ifs.
4. Cliquez sur Save Changes.

604 OneFS 8.0.1 Guide d’administration Web


Hadoop

Configuration des méthodes d’authentification HDFS


Vous pouvez configurer une méthode d’authentification HDFS en fonction de la zone
d’accès.
Si vous souhaitez que les clients de traitement exécutant Hadoop 2.2 ou version
supérieure se connectent à une zone d’accès via Kerberos, vous devez configurer les
propriétés d’authentification HDFS sur le client Hadoop.

Définir la méthode d’authentification HDFS


Vous pouvez spécifier la méthode HDFS utilisée pour authentifier les connexions du
client de traitement Hadoop à une zone d’accès.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Settings.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès dans laquelle
vous souhaitez spécifier la méthode d’authentification.
3. Dans la zone HDFS Protocol Settings, sélectionnez une des méthodes
d’authentification suivantes dans la liste Authentication Type :
l Both Simple and Kerberos authentication
l Authentification simple
l Authentification Kerberos
4. Cliquez sur Save Changes.

Configurer les propriétés d’authentification HDFS sur le client Hadoop


Si vous souhaitez que les clients de traitement exécutant Hadoop 2.2 ou version
supérieure se connectent à une zone d’accès via Kerberos, vous devez apporter
certaines modifications aux fichiers core-site.xml et hdfs-site.xml de ces
clients.
Avant de commencer
Vous devez définir Kerberos comme méthode d’authentification HDFS dans la zone
d’accès. Vous devez également configurer un fournisseur d’authentification Kerberos
et l’attribuer à la zone d’accès.
Procédure
1. Accédez au répertoire $HADOOP_CONF sur votre client Hadoop.
2. Ouvrez le fichier core-site.xml dans un éditeur de texte.
3. Définissez la valeur de la propriété hadoop.security.token.service.use_ip sur
false, comme indiqué dans l’exemple suivant :

<property>
<name>hadoop.security.token.service.use_ip</name>
<value>false</value>
</property>

4. Enregistrez et fermez le fichier core-site.xml.


5. Ouvrez le fichier hdfs-site.xml dans un éditeur de texte.

Configuration des méthodes d’authentification HDFS 605


Hadoop

6. Définissez la valeur de la propriété dfs.namenode.kerberos.principal.pattern sur


le realm Kerberos configuré au niveau du fournisseur d’authentification
Kerberos, comme indiqué dans l’exemple suivant :

<property>
<name>dfs.namenode.kerberos.principal.pattern</name>
<value>hdfs/*@storage.company.com</value>
</property>

7. Enregistrez et fermez le fichier hdfs-site.xml.

Méthodes d’authentification HDFS prises en charge


Elle détermine les informations d’identification requises pour que OneFS établisse une
connexion avec un client de traitement Hadoop.
Une méthode d’authentification HDFS est spécifiée pour chaque zone d’accès. OneFS
prend en charge les méthodes d’authentification suivantes pour HDFS :
Méthode Description
d’authentific
ation
Simple Nécessite uniquement un nom d’utilisateur pour établir des connexions
uniquement client.

Kerberos Nécessite uniquement les informations d’identification Kerberos pour établir


uniquement des connexions client.

Remarque

Vous devez configurer Kerberos en tant que fournisseur d’authentification


sur le cluster EMC Isilon et modifier le fichier core-site.xml sur les
clients qui exécutent Hadoop 2.2 ou version supérieure.

Toutes (valeur Accepte l’authentification simple et les informations d’identification


par défaut) Kerberos. Si les paramètres Kerberos et les modifications de fichiers ne sont
pas terminés, les connexions client seront configurées par défaut sur une
authentification simple.

ATTENTION

Pour empêcher l’accès involontaire via l’authentification simple,


définissez la méthode d’authentification sur Kerberos only pour
appliquer l’accès client via Kerberos.

Créer un utilisateur local Hadoop


OneFS doit pouvoir rechercher un utilisateur Hadoop local par son nom. Si la zone
d’accès ne dispose d’aucun service d’annuaire pour effectuer une recherche
d’utilisateur, vous devez créer un utilisateur Hadoop local qui sera mappé à un
utilisateur sur un client de traitement Hadoop pour cette zone d'accès. Si des services
d’annuaire sont disponibles, un compte utilisateur local n’est pas requis.
Procédure
1. Cliquez sur Access > Membership & Roles > Users.

606 OneFS 8.0.1 Guide d’administration Web


Hadoop

2. Dans la liste Current Access Zone, sélectionnez la zone d’accès dans laquelle
vous souhaitez créer un utilisateur Hadoop local.
3. Dans la liste Providers, sélectionnez LOCAL.
4. Cliquez sur Create User, puis saisissez un nom d’utilisateur Hadoop dans le
champ Username.
5. Cliquez sur Create User.

Activer ou désactiver WebHDFS


Vous pouvez spécifier si l’accès aux données HDFS via les applications clients
WebHDFS est pris en charge dans chaque zone d’accès.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Settings.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès dans laquelle
vous souhaitez activer ou désactiver WebHDFS.
3. Dans la zone HDFS Protocol Settings, activez ou désactivez la case Enable
WebHDFS Access.
4. Cliquez sur Save Changes.

Configurer une usurpation d’identité sécurisée


Configurez et gérez les utilisateurs proxy qui peuvent usurper l’identité d’autres
utilisateurs et groupes de façon sécurisée.

Remarque

Les noms ne peuvent pas contenir les caractères non valides suivants :
"/\[]:;|=,+*?<>

Créer un utilisateur proxy


Vous pouvez créer un utilisateur proxy en définissant un utilisateur existant en mesure
d’usurper en toute sécurité l’identité d’un autre utilisateur ou ensemble d’utilisateurs.
Avant de commencer
Ajoutez les utilisateurs que vous souhaitez désigner en tant qu’utilisateurs proxy ou
membres du cluster EMC Isilon. L’utilisateur proxy et ses membres doivent appartenir
à la même zone d'accès.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Proxy Users.
2. Dans la liste Current Access Zones, sélectionnez la zone d’accès dans laquelle
vous souhaitez ajouter un utilisateur proxy.
3. Cliquez sur Create a Proxy User.
4. Dans le champ Name, saisissez ou recherchez l’utilisateur que vous souhaitez
désigner en tant que nouvel utilisateur proxy.
Si vous recherchez un utilisateur, vous pouvez effectuer une recherche au sein
de chaque fournisseur d’authentification attribué à la zone d’accès actuelle via
la boîte de dialogue Select a User.

Activer ou désactiver WebHDFS 607


Hadoop

5. Cliquez sur Add a Member. La boîte de dialogue Select a User, Group, or


Well-known SID s’affiche.
6. Dans la zone Search for, sélectionnez le type de membres que vous souhaitez
rechercher.
Les membres peuvent être des utilisateurs individuels ou des groupes. Vous
pouvez rechercher un utilisateur ou un groupe par son nom ou par son
identifiant de sécurité connu.
7. (Facultatif) Cliquez sur Search pour afficher les résultats en fonction des
critères de recherche.
8. Sélectionnez le membre de votre choix à partir de la liste Search Results, puis
cliquez sur Select.
La boîte de dialogue Select a User, Group, or Well-known SID se ferme.
9. Cliquez sur Create a Proxy User.

Modifier un utilisateur proxy


Vous pouvez modifier la liste des membres dont l’identité peut être usurpée de façon
sécurisée par un utilisateur proxy.
Vous ne pouvez pas modifier l’utilisateur désigné en tant qu’utilisateur proxy.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Proxy Users.
2. Dans la liste Current Access Zones, sélectionnez la zone d’accès dans laquelle
vous souhaitez modifier un utilisateur proxy.
3. Dans la liste Proxy Users, cochez la case en regard de l’utilisateur proxy que
vous souhaitez modifier, puis cliquez sur View/Edit.
4. Dans la boîte de dialogue View Proxy User Details, cliquez sur Edit Proxy
User.
5. Ajoutez ou supprimez des membres, puis cliquez sur Save Changes.

Supprimer un utilisateur proxy


Vous pouvez supprimer un utilisateur proxy qui usurpe l’identité d’un autre utilisateur
de façon sécurisée.
Si vous supprimez un utilisateur proxy, cet utilisateur ne sera pas supprimé du système
mais simplement de la liste des utilisateurs qui peuvent effectuer une usurpation
d’identité sécurisée.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Proxy Users.
2. Dans la liste Current Access Zones, sélectionnez la zone d’accès dans laquelle
vous souhaitez supprimer un utilisateur proxy.
3. Dans la liste Proxy Users, cochez la case en regard de l’utilisateur proxy que
vous souhaitez supprimer, puis cliquez sur Delete.
4. Dans la fenêtre de confirmation, cliquez sur Delete.

608 OneFS 8.0.1 Guide d’administration Web


Hadoop

Afficher un utilisateur proxy


Vous pouvez afficher la liste de tous les utilisateurs proxy configurés dans une zone
d’accès, ainsi que des informations détaillées sur chacun d’eux.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Proxy Users.
2. Dans la liste Current Access Zones, sélectionnez la zone d’accès dans laquelle
vous souhaitez afficher un utilisateur proxy.
La liste Proxy UsersU affiche tous les utilisateurs proxy configurés dans la zone
d’accès.
3. Dans la liste Proxy Users, cochez la case en regard de l’utilisateur proxy que
vous souhaitez afficher, puis cliquez sur View/Edit.
La boîte de dialogue View Proxy User Details s’affiche.
4. Cliquez sur Close lorsque vous avez terminé de consulter les détails de
l’utilisateur proxy.

Configurer les paramètres de l’agent Ambari


Vous pouvez configurer la prise en charge de l’agent Ambari dans chaque zone
d’accès contenant des données HDFS.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Settings.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès dans laquelle
vous souhaitez activer les paramètres du serveur Ambari.
3. Dans le champ Ambari Server de la zoneAmbari Server Settings, saisissez le
nom du serveur Ambari externe qui reçoit la communication de l’agent Ambari.
La valeur doit être une adresse IPv4 ou IPv6, un nom de domaine complet ou un
nom d’hôte pouvant être résolu.
4. Dans le champ Ambari NameNode, indiquez l’adresse IP ou le FQDN
SmartConnect de la zone d’accès dans laquelle se trouvent les données HDFS
sur le cluster.
L’adresse IP doit appartenir à un pool d’adresses IP qui partage la même zone
d’accès. Les adresses IPv6 ne sont pas prises en charge.
5. Dans le champ ODP Version, spécifiez la version du référentiel de pile ODP
(Open Data Platform), notamment le numéro de build installé par le serveur
Ambari, le cas échéant.
La version ODP est nécessaire pour prendre en charge les mises à niveau ODP
sur d’autres systèmes faisant partie du cluster Hadoop.
6. Dans le champ Ambari Metrics Collector, spécifiez le nom de l’hôte Ambari
externe où est installé le composant Ambari Metrics Collector.
La valeur doit être une adresse IPv4 ou IPv6, un nom de domaine complet ou un
nom d’hôte pouvant être résolu.
7. Cliquez sur Save Changes.

Afficher un utilisateur proxy 609


Hadoop

Modifier les paramètres du plug-in Ranger


Activez le plug-in HDFS Ranger pour permettre une supervision supplémentaire de
l’authentification du protocole HDFS via Apache Ranger.
L’activation du plug-in Apache Ranger active les règles d’autorisation définies dans
l’instance de service HDFS Ranger, également appelée référentiel avant la version
Apache Ranger 0.6.0. Les règles doivent tout d’abord autoriser les utilisateurs ou les
groupes à accéder aux ressources, puis refuser l’accès à des utilisateurs ou des
groupes spécifiques. Si un utilisateur n’est pas inclus dans la liste autorisée, l’accès lui
est refusé par défaut.

Remarque

Une règle mal formulée peut avoir un impact inattendu, par exemple en bloquant
l’accès.

Le nom du référentiel est un paramètre au sein d’Apache Ranger. La version minimale


prise en charge d’Apache Ranger est la 0.6.0. Dans la version 0.6.0, Apache Ranger a
renommé cette fonction « instance de service ». L’instance de service est le nom de
l’instance de service HDFS au sein de l’interface d’administration Apache Ranger qui
est utilisé comme nom du référentiel.
L’URL du gestionnaire de règles Policy Manager se trouve sur le serveur Ambari sous
Ambari > Ranger > Configs, avec la dénomination policymgr_external_url. Cette
URL se compose de http:// suivi du nom de l’hôte où Ranger Admin est installé,
suivi du port ranger.service.http.port (généralement 6080), suivi de /.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Ranger Plugin Settings.
2. Dans la zone Ranger Plugin settings, sélectionnez Enable Ranger Plugin.
3. Dans le champ Policy manager URL, saisissez l’URL qui pointe vers
l’emplacement de Policy Manager.
4. Dans le champ Repository name, saisissez le nom du référentiel HDFS.
5. Cliquez sur Save Changes.

Configurer le chiffrement sur le réseau HDFS


Configurez le chiffrement sur le réseau HDFS via le protocole HDFS entre OneFS et
les clients HDFS.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Settings.
2. Dans la zone de liste Data Transfer Cipher, sélectionnez l’une des options
suivantes.

Option Description
Activer le chiffrement sur Sélectionnez l’un des chiffrements AES
le réseau HDFS (Advanced Encryption Standard) : AES/CTR/
NoPadding with 128 bit key, AES/CTR/
NoPadding with 192 bit key ou AES/CTR/
NoPadding with 256 bit key.

610 OneFS 8.0.1 Guide d’administration Web


Hadoop

Option Description
Désactiver le chiffrement Sélectionnez Do not encrypt data.
sur le réseau HDFS

3. Cliquez sur Save Settings.

Gestion des racks HDFS virtuels


Vous pouvez gérer les racks HDFS virtuels de nœuds sur le cluster EMC Isilon.
Un rack HDFS virtuel est un groupe de nœuds du cluster Isilon associé à un pool de
clients de traitement Hadoop. Vous pouvez créer, modifier, supprimer et afficher des
racks virtuels.

Créer un rack HDFS virtuel


Pour optimiser les performances et réduire le temps de latence lors de l’accès aux
données HDFS, vous pouvez créer un rack HDFS virtuel de nœuds sur le cluster
EMC Isilon.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Virtual Racks.
2. Dans la liste Current Access Zones, sélectionnez la zone d’accès dans laquelle
vous souhaitez ajouter un rack HDFS virtuel.
3. Cliquez sur Create a Virtual Rack.
4. Dans le champ Name, entrez le nom du nouveau rack virtuel.
Le nom d’un rack doit commencer par une barre oblique, par exemple /hdfs-
rack2.
5. Dans les champs Client IP Ranges, spécifiez la plage d’adresses IP des clients
de traitement Hadoop à associer au rack HDFS virtuel.
Vous pouvez associer plusieurs plages d’adresses IP.
6. Dans la zone IP Pools, sélectionnez le pool d’adresses IP de votre choix à partir
du tableau Available Pools, puis cliquez sur Add.
7. Cliquez sur Create Virtual Rack.

Modifier un rack HDFS virtuel


Vous pouvez modifier les paramètres d’un rack HDFS virtuel.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Virtual Racks.
2. Dans la liste Current Access Zones, sélectionnez la zone d’accès dans laquelle
vous souhaitez modifier un rack HDFS virtuel.
3. Dans la liste Virtual Racks, cochez la case en regard du rack HDFS virtuel que
vous souhaitez modifier, puis cliquez sur View/Edit.
4. Dans la boîte de dialogue View Virtual Rack Settings, cliquez sur Edit Virtual
Rack.
5. Modifiez les paramètres du rack virtuel, puis cliquez sur Save Changes.

Gestion des racks HDFS virtuels 611


Hadoop

Supprimer un rack HDFS virtuel


Vous pouvez supprimer un rack HDFS virtuel du cluster EMC Isilon.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Virtual Racks.
2. Dans la liste Current Access Zones, sélectionnez la zone d’accès dans laquelle
vous souhaitez supprimer un rack HDFS virtuel.
3. Dans la liste Virtual Racks, cochez la case en regard du rack HDFS virtuel que
vous souhaitez supprimer, puis cliquez sur Delete.
4. Dans la fenêtre de confirmation, cliquez sur Delete.

Afficher un rack HDFS virtuel


Vous pouvez afficher la liste de tous les racks HDFS virtuels configurés dans une zone
d’accès, ainsi que des informations détaillées sur chacun d’eux.
Procédure
1. Cliquez sur Protocols > Hadoop (HDFS) > Virtual Racks.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès dans laquelle
vous souhaitez afficher un rack HDFS virtuel.
La liste Virtual Racks affiche tous les racks HDFS virtuels configurés dans la
zone d’accès.
3. Dans la liste Virtual Racks, cochez la case en regard du rack HDFS virtuel que
vous souhaitez afficher, puis cliquez sur View/Edit.
La boîte de dialogue View Virtual Rack Settings s’affiche.
4. Cliquez sur Close lorsque vous avez terminé de consulter les détails du rack
HDFS virtuel.

612 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 27
Antivirus

Cette section traite des sujets suivants :

l Présentation de l’antivirus................................................................................ 614


l Analyse à l’accès...............................................................................................614
l Analyse par des règles antivirus........................................................................ 615
l Analyse de fichiers individuels...........................................................................615
l Fichiers à l’état WORM et antivirus.................................................................. 615
l Rapports d’analyse antivirus............................................................................. 616
l Serveurs ICAP.................................................................................................. 616
l Réponses aux menaces virales..........................................................................616
l Configuration des paramètres antivirus généraux............................................. 618
l Gestion des serveurs ICAP...............................................................................620
l Créer une règle antivirus.................................................................................. 622
l Gestion des règles antivirus............................................................................. 623
l Gestion des analyses antivirus..........................................................................623
l Gestion des menaces virales............................................................................ 624
l Gestion des rapports du logiciel antivirus......................................................... 626

Antivirus 613
Antivirus

Présentation de l’antivirus
Vous pouvez analyser les fichiers que vous stockez sur un cluster Isilon à la recherche
de virus informatiques et d’autres menaces pour la sécurité à l’aide de services
d’analyse tiers intégrés via le protocole ICAP (Internet Content Adaptation Protocol).
OneFS envoie des fichiers via ICAP à un serveur qui exécute le logiciel d’analyse
antivirus tiers. Ces serveurs sont appelés serveurs ICAP. Ils analysent les fichiers à la
recherche de virus.
Après qu’un serveur ICAP a analysé un fichier, il indique à OneFS si celui-ci représente
une menace. Si une menace est détectée, OneFS informe les administrateurs système
en créant un événement, en affichant des informations récapitulatives en temps quasi-
réel, et en documentant la menace dans un rapport d’analyse antivirus. Vous pouvez
configurer OneFS de telle sorte que les serveurs ICAP tentent de réparer les fichiers
infectés. Vous pouvez également configurer OneFS de manière à protéger les
utilisateurs contre les fichiers potentiellement dangereux en tronquant ou en plaçant
en quarantaine les fichiers infectés.
Avant que OneFS envoie un fichier pour analyse, il s’assure que l’analyse n’est pas
redondante. Si un fichier a déjà été analysé et qu’il n’ait pas été modifié, OneFS ne
l’envoie pas pour analyse, à moins que la base de données de virus sur le serveur ICAP
n’ait été mise à jour depuis la dernière analyse.

Remarque

L’analyse antivirus n’est disponible que si tous les nœuds du cluster sont connectés au
réseau externe.

Analyse à l’accès
Vous pouvez configurer OneFS pour qu’il envoie des fichiers à analyser avant leur
ouverture et/ou après leur fermeture. L’envoi de fichiers à analyser après leur
fermeture est plus rapide, mais moins sécurisé. L’envoi de fichiers à analyser avant
leur ouverture est plus lent, mais plus sécurisé.
Si OneFS est configuré de façon que les fichiers soient analysés une fois fermés, il
place dans une file d’attente d’analyse tout fichier créé ou modifié sur le cluster par un
utilisateur. Il envoie ensuite ce fichier à un serveur ICAP pour qu’il soit analysé au
moment opportun. Dans cette configuration, les utilisateurs peuvent toujours accéder
instantanément aux fichiers. Toutefois, lorsqu’un fichier est modifié ou créé par un
utilisateur, il peut arriver qu’un second utilisateur y accède avant qu’il ne soit analysé.
Si un virus a été introduit dans le fichier du premier utilisateur, le deuxième utilisateur
accédera au fichier infecté. De même, si un serveur ICAP ne peut pas analyser un
fichier, ce dernier sera toujours accessible aux utilisateurs.
Si OneFS fait en sorte que les fichiers soient analysés avant d’être ouverts, lorsqu’un
utilisateur tente de télécharger un fichier depuis le cluster, OneFS envoie ce fichier à
un serveur ICAP pour analyse. Le fichier n’est envoyé à l’utilisateur qu’une fois
l’analyse terminée. L’analyse des fichiers avant leur ouverture est une procédure plus
sécurisée qu’une analyse après leur fermeture, car les utilisateurs peuvent uniquement
accéder aux fichiers analysés. Cependant, elle implique que les utilisateurs attendent la
fin de l’analyse des fichiers. Vous pouvez également configurer OneFS pour qu’il
refuse l’accès aux fichiers qui ne peuvent pas être analysés par un serveur ICAP, ce
qui peut prolonger le délai. Par exemple, si aucun serveur ICAP n’est disponible, les

614 OneFS 8.0.1 Guide d’administration Web


Antivirus

utilisateurs ne pourront accéder à aucun fichier tant que les serveurs ICAP ne seront
pas de nouveau disponibles.
Si vous configurez OneFS pour que les fichiers soient analysés avant d’être ouverts, il
est recommandé de le configurer également pour qu’ils soient analysés après leur
fermeture. Une analyse des fichiers avant leur ouverture et après leur fermeture
n’améliore pas nécessairement la sécurité, mais augmente généralement la
disponibilité des données par rapport à une analyse des fichiers uniquement à leur
ouverture. Si un utilisateur souhaite accéder à un fichier, il est possible que ce dernier
ait déjà été analysé après sa dernière modification, auquel cas il n’est pas nécessaire
de l’analyser de nouveau si la base de données du serveur ICAP n’a pas été mise à jour
depuis la dernière analyse.

Analyse par des règles antivirus


Vous pouvez créer des règles d’analyse antivirus qui envoient des fichiers à analyser à
partir d’un répertoire spécifié. Les règles antivirus peuvent être exécutées
manuellement à tout moment, ou être configurées pour s’exécuter selon un planning.
Les règles antivirus ciblent un répertoire spécifique sur le cluster. Vous pouvez
empêcher une règle antivirus d’envoyer certains fichiers du répertoire racine spécifié
en fonction de leur taille, de leur nom ou de leur extension. Les règles antivirus ne
ciblent pas les snapshots. Seules les analyses à l’accès incluent les snapshots. Les
analyses antivirus sont gérées par le moteur de tâches OneFS et fonctionnent de la
même façon que n’importe quelle tâche système.

Analyse de fichiers individuels


Vous pouvez envoyer à tout moment un fichier spécifique à un serveur ICAP pour
analyse.
Si un virus est détecté dans un fichier, mais que le serveur ICAP ne peut le pas
réparer, vous pouvez l’envoyer au serveur ICAP en vue de sa réparation une fois la
base de données antivirus mise à jour. Vous pouvez également analyser des fichiers
individuels pour tester la connexion entre le cluster et les serveurs ICAP.

Fichiers à l’état WORM et antivirus


Les fichiers à l’état WORM (write-once, read-many) peuvent être analysés et mis en
quarantaine par les logiciels antivirus, mais ils ne peuvent pas être réparés ni
supprimés tant que leur période de rétention n’a pas expiré.
Le module logiciel SmartLock vous permet de désigner un répertoire de OneFS en tant
que domaine WORM. Tous les fichiers au sein du domaine WORM sont validés à l’état
WORM, ce qui signifie qu’ils ne peuvent pas être remplacés, modifiés ni supprimés.
Comme les autres fichiers dans OneFS, les fichiers à l’état WORM peuvent être
analysés afin de permettre la détection des virus et autres menaces de sécurité.
Toutefois, en raison de leur nature protégée en lecture seule, les fichiers à l’état
WORM ne peuvent pas être réparés ni supprimés au cours d’une analyse antivirus. Si
un fichier à l’état WORM est détecté comme étant une menace, il est mis en
quarantaine.
Si les circonstances le permettent, vous pouvez exécuter une analyse antivirus des
fichiers avant qu’ils ne soient validés à l’état WORM.

Analyse par des règles antivirus 615


Antivirus

Rapports d’analyse antivirus


OneFS génère des rapports sur les analyses antivirus. À chaque fois qu’une règle
antivirus est exécutée, il génère un rapport pour cette règle. OneFS génère également
toutes les 24 heures un rapport qui répertorie toutes les analyses à l’accès qui se sont
produites au cours de la journée.
Les rapports d’analyse antivirus contiennent les informations suivantes :
l L’heure à laquelle l’analyse a démarré.
l L’heure à laquelle l’analyse s’est terminée.
l Le nombre total de fichiers analysés
l La taille totale des fichiers analysés.
l Le trafic réseau total envoyé.
l Le débit réseau consommé par l’analyse antivirus.
l La réussite ou l’échec de l’analyse.
l Le nombre total de fichiers infectés détectés.
l Le nom des fichiers infectés.
l Les menaces liées aux fichiers infectés.
l La réponse de OneFS aux menaces détectées.

Serveurs ICAP
Le nombre de serveurs ICAP nécessaires pour prendre en charge un cluster Isilon
dépend de la façon dont l’analyse antivirus est configurée, du volume de données
traité par un cluster et de la puissance de traitement des serveurs ICAP.
Si vous avez l’intention d’analyser les fichiers exclusivement à partir des règles
d’analyse antivirus, nous vous recommandons de prévoir au moins deux serveurs ICAP
par cluster. Si vous comptez analyser les fichiers lors de l’accès, il est recommandé de
prévoir au moins un serveur ICAP pour chaque nœud du cluster.
Si vous configurez plusieurs serveurs ICAP pour un cluster, il est important de veiller à
ce que la puissance de traitement de chaque serveur ICAP demeure relativement
égale. OneFS répartit les fichiers sur les serveurs ICAP par rotation, quelle que soit la
puissance de traitement de ces serveurs. Si un serveur est beaucoup plus puissant que
les autres, OneFS ne lui envoie pas pour autant davantage de fichiers.

Réponses aux menaces virales


Vous pouvez configurer le système de façon à réparer, mettre en quarantaine ou
tronquer tous les fichiers dans lesquels le serveur ICAP détecte des virus.
Lorsque des menaces sont détectées, les serveurs OneFS et ICAP réagissent d’une ou
plusieurs des manières suivantes :
Alerte
Toutes les menaces détectées conduisent à la génération d’un événement de type
avertissement dans OneFS, quelle que soit la configuration de la réponse aux
menaces.

616 OneFS 8.0.1 Guide d’administration Web


Antivirus

Repair
Le serveur ICAP tente de réparer le fichier infecté avant de le renvoyer à OneFS.

Quarantine
OneFS met en quarantaine le fichier infecté. Un fichier mis en quarantaine n’est
accessible à aucun utilisateur. L’utilisateur root peut toutefois annuler sa mise en
quarantaine à condition d’être connecté au cluster par le protocole SSH. Si vous
sauvegardez votre cluster par une sauvegarde NDMP, les fichiers mis en
quarantaine restent en quarantaine une fois restaurés. Si vous répliquez des
fichiers mis en quarantaine vers un autre cluster Isilon, ils restent en quarantaine
sur le cluster cible Les mises en quarantaine fonctionnent indépendamment des
listes de contrôle d’accès (ACL).

Truncate
OneFS tronque le fichier infecté. Lorsqu’un fichier est tronqué, OneFS réduit sa
taille à zéro octet pour le rendre inoffensif.

Vous pouvez configurer les serveurs OneFS et ICAP pour qu’ils réagissent de l’une des
manières suivantes lorsque des menaces sont détectées :
Repair or quarantine
Tente de réparer les fichiers infectés. Si un serveur ICAP ne parvient pas à
réparer un fichier, OneFS met ce dernier en quarantaine. Si le serveur ICAP
réussit à réparer le fichier, OneFS envoie ce dernier à l’utilisateur. Le paramètre
Repair or quarantine est utile si vous souhaitez protéger les utilisateurs contre
tout accès à des fichiers infectés tout en conservant l’ensemble des données d’un
cluster.

Repair or truncate
Tente de réparer les fichiers infectés. Si un serveur ICAP ne parvient pas à
réparer un fichier, OneFS tronque le fichier. Si le serveur ICAP réussit à réparer le
fichier, OneFS envoie ce dernier à l’utilisateur. Le paramètre Repair or truncate
est utile si vous n’avez pas besoin de conserver toutes les données de votre
cluster et si vous souhaitez libérer de l’espace de stockage. Toutefois, les
données des fichiers infectés sont perdues.

Alert only
Génère uniquement un événement pour chaque fichier infecté. Il est déconseillé
d’appliquer ce paramètre.

Repair only
Tente de réparer les fichiers infectés. OneFS envoie ensuite les fichiers à
l’utilisateur, que le serveur ICAP ait réussi à les réparer ou non. Il est déconseillé
d’appliquer ce paramètre. Si vous tentez uniquement de réparer les fichiers, les
utilisateurs peuvent toujours accéder aux fichiers infectés qui ne peuvent pas être
réparés.

Quarantine
Met en quarantaine tous les fichiers infectés. Il est déconseillé d’appliquer ce
paramètre. Si vous mettez en quarantaine des fichiers sans tenter de les réparer,
vous risquez de refuser l’accès à des fichiers infectés qui auraient pu être réparés.

Truncate
Tronque tous les fichiers infectés. Il est déconseillé d’appliquer ce paramètre. Si
vous tronquez des fichiers sans tenter de les réparer, vous risquez d’effacer
inutilement des données.

Réponses aux menaces virales 617


Antivirus

Configuration des paramètres antivirus généraux


Vous pouvez configurer les paramètres antivirus globaux appliqués par défaut à toutes
les analyses antivirus.

Exclure des fichiers des analyses antivirus


Vous pouvez faire en sorte que certains fichiers ne soient pas traités par des analyses
antivirus. Ces paramètres s’appliquent à toutes les analyses antivirus.
Procédure
1. Cliquez sur Data Protection > Antivirus > Settings.
2. (Facultatif) Pour exclure des fichiers en fonction de leur taille, spécifiez la plus
grande taille de fichier que vous voulez analyser dans la zone Maximum File
Scan Size.
3. Pour exclure des fichiers en fonction de leur nom, procédez comme suit :
a. Sélectionnez Enable filters.
b. Dans la zone Filter Matching, indiquez si vous voulez analyser tous les
fichiers qui correspondent à un filtre spécifique ou bien tous les fichiers qui
ne correspondent pas à un filtre spécifique.
c. Spécifiez un ou plusieurs filtres.
a. Cliquez sur Add Filters.
b. Indiquez le filtre.
Vous pouvez inclure les caractères génériques suivants :

Caractère générique Description


* Met en correspondance n’importe quelle
chaîne à la place de l’astérisque. Par
exemple, m* correspond à movies et à
m123.
[ ] Met en correspondance tout caractère
situé entre les crochets ou une plage de
caractères séparés par un tiret.
Par exemple, b[aei]t correspond à bat,
bet et bit.
Par exemple, 1[4-7]2 correspond à 142,
152, 162 et 172
Vous pouvez exclure des caractères entre
crochets en faisant suivre le premier
crochet par un point d’exclamation.
Par exemple, b[!ie] correspond à bat,
mais ni à bit ni à bet.
Vous pouvez mettre en correspondance
un crochet à l’intérieur de crochets s’il
s’agit du premier ou du dernier caractère.

618 OneFS 8.0.1 Guide d’administration Web


Antivirus

Caractère générique Description

Par exemple, [[c]at correspond à cat


et à [at.
Vous pouvez mettre en correspondance
un tiret à l’intérieur de crochets s’il s’agit
du premier ou du dernier caractère.
Par exemple, car[-s] correspond à
cars et à car-.

? Met en correspondance n’importe quel


caractère à la place du point
d’interrogation.
Par exemple, t?p correspond à tap, tip
et top.

c. Cliquez sur Add Filters.

4. Cliquez sur Save Changes.

Configurer les paramètres d’analyse à l’accès


Vous pouvez configurer OneFS pour qu’il analyse automatiquement les fichiers lorsque
les utilisateurs y accèdent. Les analyses à l’accès fonctionnent indépendamment des
règles antivirus.
Procédure
1. Cliquez sur Data Protection > Antivirus > Settings.
2. Dans la zone On Access Scans, indiquez si vous voulez que les fichiers soient
analysés dès qu’ils font l’objet d’un accès.
l Pour demander que tous les fichiers soient analysés avant d’être ouverts par
un utilisateur, sélectionnez Enable scan of files on open, puis cochez ou
décochez la case Enable file access when scanning fails pour spécifier si
vous souhaitez autoriser l’accès aux fichiers qui ne peuvent pas être
analysés.
l Pour analyser les fichiers après leur fermeture, sélectionnez Enable scan of
files on close.
3. Dans le champ Path Prefixes de la zone All Scans, spécifiez les répertoires
auxquels vous souhaitez appliquer les paramètres d’analyse à l’accès.
4. Cliquez sur Save Changes.

Configurer les paramètres de réponse aux menaces virales


Vous pouvez configurer la façon dont OneFS répond aux menaces détectées.
Procédure
1. Cliquez sur Data Protection > Antivirus > Settings.
2. Dans la zone Action On Detection, indiquez la façon dont OneFS doit réagir
face aux fichiers potentiellement infectés.

Configurer les paramètres d’analyse à l’accès 619


Antivirus

Configurer les paramètres de rétention des rapports antivirus


Vous pouvez configurer la durée pendant laquelle OneFS conserve les rapports du
logiciel antivirus avant de les supprimer automatiquement.
Procédure
1. Cliquez sur Data Protection > Antivirus > Settings.
2. Dans la zone Reports, indiquez la durée pendant laquelle OneFS doit conserver
les rapports.

Activer ou désactiver l’analyse antivirus


Vous pouvez activer ou désactiver toute analyse antivirus.
Cette procédure n’est disponible que via l’interface d’administration Web.
Procédure
1. Cliquez sur Data Protection > Antivirus > Summary.
2. Dans la zone Service, sélectionnez ou désélectionnez la case Enable Antivirus
service.

Gestion des serveurs ICAP


Avant d’envoyer des fichiers à un serveur ICAP pour analyse, vous devez configurer
OneFS pour qu’il se connecte à ce serveur. Vous pouvez tester, modifier et supprimer
une connexion à un serveur ICAP. Vous pouvez également vous déconnecter
temporairement, puis vous reconnecter à un serveur ICAP.

Ajouter un serveur ICAP et s’y connecter


Vous pouvez ajouter un serveur ICAP et vous y connecter. Une fois le serveur ajouté,
OneFS peut lui envoyer des fichiers pour qu’il les soumette à une analyse antivirus.
Procédure
1. Cliquez sur Data Protection > Antivirus > ICAP Servers.
2. Dans la zone ICAP Servers, cliquez sur Add an ICAP Server.
3. (Facultatif) Pour activer le serveur ICAP, cliquez sur Enable ICAP Server.
4. Dans la boîte de dialogue Create ICAP Server, dans le champ ICAP Server
URL, saisissez l’adresse IPv4 ou IPv6 d’un serveur ICAP.
5. (Facultatif) Dans le champ Description, saisissez la description du serveur.
6. Cliquez sur Add Server.

Tester la connexion au serveur ICAP


Vous pouvez tester la connexion entre OneFS et un serveur ICAP. Cette procédure
n’est disponible que via l’interface d’administration Web.
Procédure
1. Cliquez sur Data Protection > Antivirus > ICAP Servers.
2. Dans le tableau ICAP Servers, cliquez sur View/Edit sur la ligne du serveur
ICAP.

620 OneFS 8.0.1 Guide d’administration Web


Antivirus

Si le cluster est connecté au serveur ICAP, dans la zone Details, l’état Active
s’affiche dans le champ Status.

Modifier les paramètres de connexion ICAP


Vous pouvez modifier l’adresse IP et la description facultative des connexions au
serveur ICAP.
Procédure
1. Cliquez sur Data Protection > Antivirus > ICAP Servers.
2. Dans le tableau ICAP Servers, cliquez sur View/Edit sur la ligne d’un serveur
ICAP.
3. Cliquez sur Edit.
4. Modifiez les paramètres, puis cliquez sur Save Changes.

Se déconnecter temporairement d’un serveur ICAP


Si vous souhaitez empêcher OneFS d’envoyer des fichiers à un serveur ICAP, mais
tout en conservant les paramètres de connexion à ce serveur, vous pouvez
temporairement vous déconnecter de celui-ci.
Procédure
1. Cliquez sur Data Protection > Antivirus > ICAP Servers.
2. Dans le tableau ICAP Servers, cliquez sur View/Edit sur la ligne d’un serveur
ICAP.
3. Cliquez sur Edit.
4. Décochez la case Enable ICAP Server, puis cliquez sur Save Changes.

Se reconnecter à un serveur ICAP


Vous pouvez vous reconnecter à un serveur ICAP dont vous vous êtes temporairement
déconnecté.
Procédure
1. Cliquez sur Data Protection > Antivirus > ICAP Servers.
2. Dans le tableau ICAP Servers, cliquez sur View/Edit sur la ligne d’un serveur
ICAP.
3. Cliquez sur Edit.
4. Sélectionnez Enable ICAP Server, puis cliquez sur Save Changes.

Supprimer un serveur ICAP


Vous pouvez vous déconnecter temporairement du serveur ICAP.
Procédure
1. Cliquez sur Data Protection > Antivirus > ICAP Servers.
2. Dans le tableau ICAP Servers, cliquez sur Delete sur la ligne d’un serveur ICAP.

Modifier les paramètres de connexion ICAP 621


Antivirus

Créer une règle antivirus


Vous pouvez créer une règle antivirus qui, chaque fois qu’elle est exécutée, démarre
une analyse antivirus de fichiers spécifiques.
Procédure
1. Cliquez sur Data Protection > Antivirus > Policies.
2. Cliquez sur Create an Antivirus Policy.
3. (Facultatif) Pour activer la règle, cliquez sur Enable antivirus policy.
4. Dans le champ Policy Name, saisissez le nom de la règle antivirus.
5. (Facultatif) Pour spécifier une description facultative de la règle, saisissez une
description dans le champ Description.
6. Dans le champ Paths, spécifiez le répertoire que vous souhaitez analyser.
Si vous le souhaitez, cliquez sur Add another directory path pour spécifier des
répertoires supplémentaires.
7. Dans la zone Recursion Depth, spécifiez la quantité à analyser parmi les
répertoires spécifiés.
l Pour analyser tous les sous-répertoires des répertoires spécifiés, cliquez sur
Full Recursion.
l Pour analyser un nombre limité de sous-répertoires parmi les répertoires
spécifiés, cliquez sur Limit depth et indiquez le nombre de sous-répertoires
que vous voulez analyser.
8. (Facultatif) Pour analyser tous les fichiers, même si OneFS a marqué des
fichiers comme ayant été analysés et même si les paramètres généraux
spécifient que certains fichiers ne doivent pas être analysés, sélectionnez
Enable force run of policy regardless of impact policy.
9. (Facultatif) Pour modifier la règle d’impact par défaut des analyses antivirus,
sélectionnez une nouvelle règle d’impact dans la liste Impact Policy.
10. Dans la zone Schedule, indiquez si vous voulez exécuter la règle en fonction
d’un planning ou manuellement.
Les règles planifiées peuvent également être exécutées manuellement à tout
moment.

Option Description
Exécuter la règle manuellement Cliquez sur Manual.
uniquement
Exécuter la règle en fonction d’un a. Cliquez sur Scheduled.
planning
b. Indiquez la fréquence à laquelle vous
souhaitez exécuter la règle.

11. Cliquez sur Create Policy.

622 OneFS 8.0.1 Guide d’administration Web


Antivirus

Gestion des règles antivirus


Vous pouvez modifier et supprimer des règles antivirus. Vous pouvez aussi désactiver
temporairement une règle antivirus si vous souhaitez la conserver, mais ne pas
analyser les fichiers.

Modifier une règle antivirus


Vous pouvez modifier une règle antivirus.
Procédure
1. Cliquez sur Data Protection > Antivirus > Policies.
2. Dans le tableau Antivirus Policies, cliquez sur View / Edit au niveau de la ligne
de la règle antivirus à modifier.
3. Dans la boîte de dialogue View Antivirus Policy Details, cliquez sur Edit.
4. Modifiez les paramètres, puis cliquez sur Save Changes.

Supprimer une règle antivirus


Vous pouvez supprimer une règle antivirus.
Procédure
1. Cliquez sur Data Protection > Antivirus > Policies.
2. Dans le tableau Antivirus Policies, cliquez sur More > Delete sur la ligne de la
règle antivirus que vous souhaitez supprimer.

Activer ou désactiver une règle antivirus


Vous pouvez désactiver temporairement une règle antivirus si vous souhaitez la
conserver, mais ne pas analyser les fichiers.
Procédure
1. Cliquez sur Data Protection > Antivirus > Policies.
2. Dans le tableau Antivirus Policies, sur la ligne de la règle antivirus que vous
souhaitez activer ou désactiver, cliquez sur More > Enable Policy ou sur
More > Disable Policy.

Afficher les règles antivirus


Vous pouvez afficher les règles antivirus.
Procédure
1. Cliquez sur Data Protection > Antivirus > Policies.
2. Le tableau Antivirus Policies affiche les règles antivirus.

Gestion des analyses antivirus


Vous pouvez analyser plusieurs fichiers en exécutant manuellement une règle
antivirus, ou analyser un fichier individuel sans règle antivirus. Vous pouvez également
arrêter les analyses antivirus.

Gestion des règles antivirus 623


Antivirus

Analyser un fichier
Vous pouvez analyser manuellement un fichier afin d’y rechercher des virus.
Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Exécutez la commande isi antivirus scan.
La commande suivante analyse le fichier /ifs/data/virus_file pour y
rechercher des virus :

isi antivirus scan /ifs/data/virus_file

Exécuter manuellement une règle antivirus


Vous pouvez exécuter manuellement une règle antivirus à tout moment.
Cette procédure n’est disponible que via l’interface d’administration Web.
Procédure
1. Cliquez sur Data Protection > Antivirus > Policies.
2. Dans le tableau Antivirus Policies, cliquez sur More > Run Policy sur la ligne
d’une règle.

Arrêter une analyse antivirus en cours


Vous pouvez arrêter une analyse antivirus en cours d’exécution. Cette procédure n’est
disponible que via l’interface d’administration Web.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Summary.
2. Dans le tableau Active Jobs, sur la ligne de type AVScan, cliquez sur More >
Cancel Running Job.

Gestion des menaces virales


Vous pouvez réparer, mettre en quarantaine ou tronquer les fichiers dans lesquels des
menaces sont détectées. Si vous pensez qu’un fichier mis en quarantaine ne
représente plus une menace, vous pouvez relancer une analyse de celui-ci ou annuler
sa mise en quarantaine.

Mettre manuellement un fichier en quarantaine


Vous pouvez mettre en quarantaine un fichier pour le rendre inaccessible aux
utilisateurs.
Procédure
1. Cliquez sur Data Protection > Antivirus > Detected Threats.

624 OneFS 8.0.1 Guide d’administration Web


Antivirus

2. Dans le tableau Antivirus Threat Reports, cliquez sur More > Quarantine File
au niveau de la ligne d’un fichier.

Relancer l’analyse d’un fichier


Vous pouvez relancer l’analyse d’un fichier pour rechercher des virus si, par exemple,
vous pensez qu’un fichier n’est plus une menace.
Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Exécutez la commande isi antivirus scan.
Par exemple, la commande suivante permet d’analyser /ifs/data/
virus_file :

isi antivirus scan /ifs/data/virus_file

Annuler la mise en quarantaine d’un fichier


Vous pouvez annuler la mise en quarantaine d’un fichier si, par exemple, vous pensez
qu’il n’est plus une menace.
Procédure
1. Cliquez sur Data Protection > Antivirus > Detected Threats.
2. Dans le tableau Antivirus Threat Reports, cliquez sur More > Restore File au
niveau de la ligne d’un fichier.

Tronquer manuellement un fichier


Si une menace est détectée dans un fichier qui est irréparable et n’est plus nécessaire,
vous pouvez tronquer manuellement ce fichier.
Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Exécutez la commande rm sur un fichier.
La commande suivante tronque le fichier /ifs/data/virus_file :

rm /ifs/data/virus_file

Afficher les menaces


Vous pouvez afficher les fichiers qui ont été identifiés comme des menaces par un
serveur ICAP.
Procédure
1. Cliquez sur Data Protection > Antivirus > Detected Threats.

Relancer l’analyse d’un fichier 625


Antivirus

2. Les fichiers potentiellement infectés sont affichés dans le tableau Antivirus


Threat Reports.

Informations relatives aux menaces virales


Vous pouvez afficher des informations sur les menaces virales qui sont signalées par
un serveur ICAP.
Nom
Affiche le nom de la menace telle qu’elle a été identifiée par le serveur ICAP.

Chemin
Affiche le chemin d’accès du fichier potentiellement infecté.

Remediation
Indique comment OneFS a traité le fichier lorsque la menace a été détectée.

Policy
Affiche l’ID de la règle antivirus qui a permis de détecter la menace.

Detected
Affiche l’heure à laquelle la menace a été détectée.
Actions
Affiche les actions qui peuvent être exécutées sur le fichier.

Gestion des rapports du logiciel antivirus


Vous pouvez afficher les rapports antivirus via l’interface d’administration Web. Vous
pouvez également afficher les événements qui sont liés à l’activité antivirus.

Afficher les rapports antivirus


Vous pouvez afficher les rapports antivirus.
Procédure
1. Cliquez sur Data Protection > Antivirus > Reports.
2. Dans le tableau Antivirus Scan Reports, cliquez sur View Details sur la ligne
d’un rapport.

Afficher les événements antivirus


Vous pouvez afficher les événements relatifs à l’activité antivirus.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Events.
2. Le tableau Event Groups affiche tous les événements.
Tous les événements associés à des analyses antivirus sont classés comme des
avertissements. Les événements suivants sont liés aux activités antivirus :
AVScan Infected File Found
Une analyse antivirus a détecté une menace. Ces événements se réfèrent
aux rapports spécifiques de la page Antivirus Reports, mais ne fournissent
aucun détail sur la menace.

626 OneFS 8.0.1 Guide d’administration Web


Antivirus

No ICAP Servers available


OneFS ne peut communiquer avec aucun serveur ICAP.

ICAP Server Misconfigured, Unreachable or Unresponsive


OneFS ne peut pas communiquer avec un serveur ICAP.

Afficher les événements antivirus 627


Antivirus

628 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 28
IsilonSD Edge

Cette section traite des points suivants :

l Stockage et architecture d’EMC IsilonSD Edge............................................... 630


l Présentation du cluster IsilonSD....................................................................... 631
l Tour d’horizon de l’attribution de licence EMC IsilonSD Edge...........................631
l Tour d’horizon du serveur de gestion IsilonSD..................................................634
l Déploiement et configuration de clusters IsilonSD........................................... 635

IsilonSD Edge 629


IsilonSD Edge

Stockage et architecture d’EMC IsilonSD Edge


EMC IsilonSD Edge crée des clusters virtuels OneFS à l’aide des ressources
disponibles sur les hôtes VMware ESXi. Les clusters OneFS sont déployés en tant que
machines virtuelles (VM) et les disques sont hébergés sur des disques de données.
Les composants IsilonSD Edge sont le serveur de gestion IsilonSD, le plug-in de
gestion IsilonSD et les fichiers de machine virtuelle OneFS. Le plug-in de gestion est
fourni avec le serveur de gestion et s’installe automatiquement lorsque le serveur de
gestion est déployé sur un hôte ESXi et qu’un serveur VMware vCenter est enregistré.
Le plug-in de gestion vous permet de créer un cluster IsilonSD en sélectionnant les
hôtes ESXi et des disques sur ces hôtes. Un maximum de six nœuds, en réalité des
machines virtuelles OneFS, peut être ajouté à un cluster. Afin de conserver le même
modèle de protection pris en compte pour les clusters EMC Isilon physiques, une
correspondance individuelle est maintenue entre un hôte ESXi et un nœud. De même,
une correspondance individuelle est maintenue entre un lecteur qui est accessible sur
un nœud et un disque physique. Tous ces contrôles sont effectués par le serveur de
gestion.
Lorsque le serveur de gestion déploie les nœuds, il empêche le partage du même
hôte ESXi par deux nœuds (ou plus) du même cluster. Lors de la sélection des disques
physiques pour un nœud, le serveur de gestion empêche l’hébergement de plus d’un
disque virtuel sur n’importe quel lecteur unique.
Aspects liés à la mise en réseau d’EMC IsilonSD Edge
Le chemin de données OneFS nécessite un minimum de deux cartes réseau pour
établir la connectivité des réseaux back-end et front-end, respectivement. Dans un
déploiement EMC IsilonSD Edge, des cartes réseau virtuelles connectées à des
switchs virtuels sont allouées à un nœud. Nous vous recommandons de connecter les
réseaux Ethernet back-end et front-end à deux sous-réseaux différents. Le sous-
réseau Ethernet front-end est destiné à l’accès client et de gestion, et doit être
toujours accessible. Une adresse IP de gestion ou de service doit être allouée au
cluster dans le même sous-réseau que la plage d’adresses IP front-end. Le serveur de
gestion interagit avec le cluster par le biais de cette adresse IP. Nous vous
recommandons de créer un cluster avec la plus grande plage d’adresses IP possible
afin de tenir compte de vos besoins futurs. Le périphérique de port série des nœuds
doit être accessible via le réseau à des fins de prise en charge. Cet accès passe par
l’utilisation d’un concentrateur de port série virtuel (vSPC) qui s’exécute sur le
serveur de gestion. L’hôte ESXi d’un nœud doit être en mesure d’établir une
connexion TCP vers le port 8080 sur le serveur de gestion. Assurez-vous qu’il existe
une route adéquate et qu’aucun pare-feu n’est configuré entre les hôtes et le vCenter.
Aspects liés au stockage EMC IsilonSD Edge
Dans EMC IsilonSD Edge, le disque de démarrage et le disque de journal d’un nœud
sont sauvegardés par des périphériques de stockage. Ces périphériques déterminent la
fiabilité d’un nœud. Le débit et la latence du disque du journal déterminent le débit
d’écriture et la latence du nœud. C’est pourquoi nous vous recommandons d’héberger
un disque de journal sur un périphérique de stockage sauvegardé sur flash. En résumé,
chaque nœud requiert autant de périphériques de stockage uniques que de disques de
données requis pour un nœud. Le périphérique de stockage d’un hôte donné ne peut
pas être partagé entre les disques de données du même nœud.

630 OneFS 8.0.1 Guide d’administration Web


IsilonSD Edge

Remarque

IsilonSD Edge ne prend en charge que des disques en attachement direct et des
datastores (disques de données) VMFS 5 créés à partir des disques en attachement
direct. Les disques iSCSI et SAN Fibre Channel ou les datastores VMFS 5 créés à
l’aide de ces disques ne sont pas pris en charge.

L’architecture d’un cluster à trois nœuds est illustrée sur la figure suivante :

Présentation du cluster IsilonSD


Un cluster IsilonSD se compose de trois à six nœuds virtuels hébergés sur VMware
ESXi. Chaque nœud virtuel exécute le système d’exploitation Isilon OneFS, le logiciel
de système de fichiers distribué qui réunit les nœuds au sein d’un cluster.
La capacité de stockage du cluster varie en fonction des facteurs suivants :
l Type de licences IsilonSD
l Taille minimale du disque de données
l Nombre minimal de disques de données par nœud
l Nombre de nœuds du cluster
Pour plus d’informations sur la capacité du cluster, consultez le Guide d’installation et
d’administration d’IsilonSD Edge.

Tour d’horizon de l’attribution de licence


EMC IsilonSD Edge
EMC IsilonSD Edge vous permet de configurer une licence par cluster pour gérer vos
besoins en matière de stockage. Cette licence contient une licence de cluster et une
licence de fonctionnalités OneFS. Ces deux licences déterminent le nombre maximal
de nœuds, la capacité, la mémoire, les vCPU, les disques et les fonctions de cluster
IsilonSD dont vous disposez.
Vous pouvez installer IsilonSD Edge en configurant la licence gratuite fournie avec le
module d’installation. Cette licence ne prend cependant pas en charge toutes les
fonctions de cluster. Pour accéder aux fonctions de cluster avancées, vous devez

Présentation du cluster IsilonSD 631


IsilonSD Edge

acquérir une licence qui prend en charge ces fonctions. Après avoir obtenu les clés de
licence, vous pouvez activer les licences par le biais du serveur de gestion IsilonSD.
Pour les questions liées à l’octroi de licence, contactez l’équipe eLicensing d’EMC.
Pour plus d’informations sur l’achat de licences, contactez votre responsable de
compte EMC Isilon.

Remarque

Si vous avez déployé un cluster IsilonSD en configurant la licence gratuite, vous n’avez
droit à aucune prise en charge d’EMC Isilon pour les questions liées au produit. Vous
pouvez soumettre vos questions à https://community.emc.com/community/
products/isilon pour obtenir une assistance.

Le tableau suivant présente succinctement les fonctions de cluster disponibles en


fonction du type de licences que vous avez configuré pour votre installation.

Fonctionnalit Fonction Licence gratuite Licence payée


é
CloudPools Crée des règles de non oui
pool de fichiers qui
archivent les
fichiers dans le
Cloud

NFS, SMB, Protocoles de oui oui


HTTP, FTP, partage de fichiers
HDFS et de transfert

InsightIQ Surveille et analyse oui oui


les performances
d’un cluster pour
optimiser les
ressources de
stockage et prévoir
les besoins en
capacité

SyncIQ Réplique de façon non oui


asynchrone les
données sur un
autre cluster et
automatise le
basculement sur
incident et le retour
arrière entre les
clusters.

SmartLock Protège les données non oui


critiques contre la
modification et la
suppression
accidentelles,
prématurées et
malveillantes.

632 OneFS 8.0.1 Guide d’administration Web


IsilonSD Edge

Fonctionnalit Fonction Licence gratuite Licence payée


é

Remarque

IsilonSD Edge prend en


charge le module
logiciel SmartLock dans
les modes d’entreprise
et de conformité.
Toutefois, si le cluster
s’exécute en mode de
conformité, vous ne
pouvez pas ajouter de
nouveaux nœuds au
cluster. En outre, le
cluster IsilonSD risque
de ne pas respecter les
réglementations SEC.

SmartConnect Gère les connexions oui oui


Advanced de permutation
circulaire,
l’utilisation du CPU,
la comptabilisation
des connexions et
l’équilibrage du
débit

SmartPools Regroupe les nœuds oui oui


et les fichiers dans
des pools

SmartDedupe Économise l’espace oui oui


de stockage sur un
cluster en réduisant
les données
redondantes

SmartQuota Surveille et applique oui oui


les limites de
stockage définies
par l’administrateur

SnapShotIQ Les snapshots oui oui


protègent les
données contre la
modification et la
suppression
accidentelles en
vous permettant de
restaurer les
données supprimées
ou modifiées.

Isilon Swift Fournit des oui oui


fonctions de

Tour d’horizon de l’attribution de licence EMC IsilonSD Edge 633


IsilonSD Edge

Fonctionnalit Fonction Licence gratuite Licence payée


é
stockage en mode
objet

Sauvegarde ND Protocole NDMP non non


MP (Network Data
bidirectionnelle Management
Protocol) dans
lequel une
application de
gestion des
données (DMA) sur
un serveur de
sauvegarde
demande à un nœud
Backup Accelerator
du cluster de
sauvegarder les
données sur un
serveur de bandes
rattaché au nœud
Backup Accelerator

Sauvegarde ND Protocole NDMP oui oui


MP (Network Data
tridirectionnelle Management
Protocol) dans
lequel une
application de
gestion des
données (DMA) sur
un serveur de
sauvegarde
demande au cluster
de sauvegarder les
données sur un
serveur de bandes
rattaché au réseau
local ou directement
à la DMA

Tour d’horizon du serveur de gestion IsilonSD


Le serveur de gestion IsilonSD sert de passerelle pour le déploiement des clusters
OneFS sur VMware ESXi. Vous devez correctement déployer et configurer le serveur
de gestion afin de déployer les clusters OneFS.
Le serveur de gestion gère les licences IsilonSD qui, à leur tour, déterminent les
modules logiciels qui sont disponibles pour l’accès à des fonctions de cluster avancées.
Pour plus d’informations sur le déploiement et la configuration d’IsilonSD Management
Server, consultez le Guide d’installation et d’administration d’IsilonSD Edge.

634 OneFS 8.0.1 Guide d’administration Web


IsilonSD Edge

Une fois que vous avez déployé et configuré le serveur de gestion, IsilonSD
Management Plug-in est enregistré au sein de VMware vCenter. Vous pouvez utiliser
ce plug-in pour effectuer les tâches suivantes :
l Déployer un cluster
l Supprimer un cluster
l Configurer les licences IsilonSD
l Mettre à niveau les licences IsilonSD
l Ajouter des nœuds à un cluster
l Supprimer des nœuds du cluster
l Ajouter des disques
l Supprimer des disques
l Exécuter une opération SmartFail sur des nœuds
l Exécuter une opération SmartFail sur des disques

Remarque

Vous ne pouvez pas effectuer les tâches ci-dessus via l’interface d’administration
Web.

Pour plus d’informations sur ces tâches, consultez le Guide d’installation et


d’administration d’IsilonSD Edge.

Déploiement et configuration de clusters IsilonSD


Vous pouvez utiliser le plug-in de gestion IsilonSD pour déployer et configurer des
clusters IsilonSD. Après l’enregistrement d’un serveur VMware vCenter à l’aide de
l’interface utilisateur du serveur de gestion IsilonSD, le plug-in de gestion est installé
sur cette instance de serveur vCenter.
Le plug-in de gestion vous permet également de faire évoluer les clusters en ajoutant
des nœuds. Le nombre de nœuds que vous pouvez ajouter à votre cluster dépend du
nombre de licences que vous possédez et de l’infrastructure de virtualisation sous-
jacente.
Vous pouvez également utiliser le plug-in de gestion pour configurer le stockage pour
les clusters, à condition de configurer le stockage en attachement direct par le biais de
la technologie RAID, de LUN ou de disques bruts, puis d’exposer ces derniers à
l’hôte VMware ESXi. Le plug-in de gestion crée ensuite des disques virtuels, les
formate et les met à disposition des clusters.

Déploiement et configuration de clusters IsilonSD 635


IsilonSD Edge

636 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 29
Intégration VMware

Cette section traite des sujets suivants :

l Présentation de l’intégration avec VMware......................................................638


l VAAI.................................................................................................................638
l VASA............................................................................................................... 638
l Configuration de la prise en charge de VASA................................................... 639
l Désactiver ou réactiver VASA.......................................................................... 643
l Dépannage des défaillances d’affichage du stockage VASA............................. 643

Intégration VMware 637


Intégration VMware

Présentation de l’intégration avec VMware


OneFS s’intègre avec les infrastructures VMware, y compris vSphere, vCenter et
VMware ESXi. L’intégration avec VMware vous permet de consulter des informations
sur les clusters Isilon et d’interagir avec eux au moyen des applications VMware.
OneFS interagit avec les infrastructures VMware via VASA (VMware vSphere API for
Storage Awareness) et VAAI (VMware vSphere API for Array Integration). Pour plus
d’informations sur VAAI, consultez le document Isilon VAAI NAS plug-in for Isilon
Release Notes.
OneFS s’intègre avec VMware vCenter SRM (Site Recovery Manager) via Isilon SRA
(Storage Replication Adapter). VMware SRM facilite la migration et la reprise après
sinistre des machines virtuelles stockées sur les clusters Isilon. Isilon SRA permet à
VMware vCenter SRM de gérer automatiquement les composants de configuration, de
test et de basculement des processus de reprise après sinistre des clusters Isilon. Pour
plus d’informations sur Isilon SRA for VMware SRM, consultez le document Isilon SRA
for VMware SRM Release Notes.

VAAI
OneFS utilise VAAI (VMware vSphere API for Array Integration) pour le déchargement
de certaines opérations de stockage et de gestion des machines virtuelles depuis les
hyperviseurs VMware ESXi vers un cluster Isilon.
La prise en charge de VAAI accélère le processus de création de machines et de
disques virtuels. Pour que OneFS interagisse avec vSphere via VAAI, votre
environnement VMware doit inclure des hyperviseurs VMware ESXi 5.0 ou version
supérieure.
Si vous activez les fonctions VAAI pour un cluster Isilon, lorsque vous clonez une
machine virtuelle résidant sur le cluster à l’aide de VMware, OneFS clone les fichiers
associés à cette machine virtuelle.
Pour que OneFS utilise VAAI, vous devez installer le plug-in VAAI NAS for Isilon sur le
serveur VMware ESXi. Pour plus d’informations sur le plug-in VAAI NAS for Isilon,
consultez le document VAAI NAS plug-in for Isilon Release Notes.

VASA
OneFS communique avec VMware vSphere par le biais de VASA (VMware vSphere
API for Storage Awareness).
La prise en charge de VASA vous permet de consulter des informations sur les clusters
Isilon via vSphere, y compris les alarmes propres à Isilon dans vCenter. La prise en
charge de VASA permet également l’intégration avec le stockage basés sur des profils
de VMware en fournissant des fonctions de stockage pour les clusters Isilon dans
vCenter. Pour que OneFS communique avec vSphere via VASA, votre environnement
VMware doit inclure des hyperviseurs VMware ESXi 5.0 ou version supérieure.

Alarmes VASA Isilon


Si le service VASA est activé sur un cluster Isilon et que ce cluster est ajouté en tant
que fournisseur VASA (VMware vSphere API for Storage Awareness) dans vCenter,
OneFS génère des alarmes dans vSphere.

638 OneFS 8.0.1 Guide d’administration Web


Intégration VMware

Le tableau suivant décrit l’alarme générée par OneFS :

Nom de l’alarme Description

Thin-provisioned LUN capacity exceeded Il n’y a pas suffisamment d’espace disponible


sur le cluster pour allouer de l’espace pour
l’écriture de données sur les LUN allouées de
façon dynamique. Si cette situation persiste,
vous ne pouvez pas écrire sur la machine
virtuelle sur ce cluster. Pour résoudre ce
problème, vous devez libérer de l’espace de
stockage sur le cluster.

Fonctions de stockage VASA


Pour afficher les fonctions de stockage des clusters Isilon dans vCenter, OneFS
s’intègre avec VMware vCenter par le biais de VASA (VMware vSphere API for
Storage Awareness).
Les fonctions de stockage suivantes sont affichées dans vCenter :
Archive
Le cluster Isilon se compose de nœuds Isilon de la gamme NL. Le cluster est
configuré pour une capacité maximale.

Performances
Le cluster Isilon se compose de nœuds Isilon des gammes i, X ou S. Le cluster est
configuré pour des performances maximales.

Remarque

Si un type de nœuds prend en charge les disques SSD, mais qu’aucun n’est
installé, le cluster est reconnu comme cluster de capacité.

Capacité
Le cluster Isilon se compose de nœuds Isilon de la gamme X qui ne contiennent
pas de disques SSD. Le cluster est configuré pour l’équilibre entre performances
et capacité.

Hybride
Le cluster Isilon se compose de nœuds associés à deux fonctions de stockage ou
plus. Par exemple, si le cluster contient des nœuds Isilon des gammes S et NL, sa
fonction de stockage est affichée comme Hybride.

Configuration de la prise en charge de VASA


Pour activer la prise en charge de VMware VASA (vSphere API for Storage
Awareness) pour un cluster, vous devez activer le processus VASA sur le cluster et
ajouter le certificat de fournisseur Isilon dans vCenter.

Fonctions de stockage VASA 639


Intégration VMware

Remarque

Si vous exécutez vCenter version 6.0, vous devez créer un certificat auto-signé,
comme décrit à la section Créer un certificat auto-signé, avant d’ajouter le certificat de
fournisseur Isilon et d’enregistrer le fournisseur VASA via vCenter.

Activer VASA
Pour autoriser un cluster Isilon à communiquer avec VASA (VMware vSphere API for
Storage Awareness), vous devez activer le processus VASA.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Pour activer VASA, exécutez la commande suivante :
isi services isi_vasa_d enable

Télécharger le certificat de fournisseur Isilon


Pour ajouter un cluster Isilon en tant que fournisseur VASA dans VMware vCenter,
vous devez utiliser un certificat de fournisseur.
Procédure
1. Dans un navigateur Web pris en charge, connectez-vous à un cluster Isilon à
l’adresse https://<IPAddress>, où <IPAddress> correspond à l’adresse IP
du cluster Isilon.
2. Ajoutez une exception de sécurité et affichez le certificat de sécurité pour vous
assurer qu’il est à jour.
3. Téléchargez le certificat de sécurité et enregistrez-le sur votre ordinateur.
Pour plus d’informations sur l’exportation d’un certificat de sécurité, consultez
la documentation de votre navigateur.

Remarque

Prenez note de l’emplacement où vous avez enregistré le certificat. Vous aurez


besoin de ce chemin lors de l’ajout du fournisseur dans vCenter.

À effectuer
Si vous utilisez vCenter version 6.0, suivez les instructions de la section Créer un
certificat auto-signé. Si vous exécutez l’une des versions précédentes de vCenter,
ignorez la section suivante et suivez les instructions de la section Ajouter le fournisseur
Isilon.

Créer un certificat auto-signé


Si vous exécutez VMware vCenter version 6.0, vous devez créer un certificat auto-
signé avant d’ajouter et d’enregistrer un fournisseur VASA via vCenter.
Vous pouvez créer un certificat auto-signé en ouvrant une connexion SSH (Secure
Shell) vers un nœud du cluster EMC Isilon qui sera utilisé en tant que fournisseur
VASA. Après avoir créé un certificat auto-signé sur un nœud, vous pouvez également

640 OneFS 8.0.1 Guide d’administration Web


Intégration VMware

copier ce certificat vers n’importe quel autre nœud du cluster et enregistrer ce nœud
en tant que fournisseur VASA dans vCenter.
Procédure
1. Créez une clé RSA en exécutant la commande suivante :

openssl genrsa -aes128 -out vp.key 1024

2. Supprimez la phrase de passe de la clé en exécutant les commandes suivantes


de manière séquentielle :

cp vp.key vp.key.withpassphrase
openssl rsa -in vp.key.withpassphrase -out vp.key

3. Créez une demande de signature de certificat en exécutant la commande


suivante :

openssl req -new -key vp.key -out vp.csr

4. Générez un certificat auto-signé sans fonction de signature de l’autorité de


certification en exécutant les commandes suivantes de manière séquentielle :

echo "basicConstraints=CA:FALSE" > vp.ext


openssl x509 -req -days 365 -in vp.csr -sha256 -signkey
vp.key -extfile vp.ext -out vp.crt:

Remarque

Avec une période de validité de 365 jours, vous pouvez modifier le certificat
auto-signé, si nécessaire.

5. Affichez le nouveau certificat avec les informations des extensions à des fins de
vérification en exécutant la commande suivante :

openssl x509 -text -noout -purpose -in vp.crt

6. Créez une sauvegarde de la clé server.key d’origine en exécutant la


commande suivante :

cp /usr/local/apache2/conf/ssl.key/server.key /usr/local/
apache2/conf/ssl.key/server.key.bkp

7. Remplacez la clé de serveur précédente par la nouvelle en exécutant la


commande suivante :

cp vp.key /usr/local/apache2/conf/ssl.key/server.key

où vp.key est la nouvelle clé de serveur.

Créer un certificat auto-signé 641


Intégration VMware

8. Créez une sauvegarde du certificat d’origine en exécutant la commande


suivante :

cp /usr/local/apache2/conf/ssl.crt/server.crt /usr/local/
apache2/conf/ssl.crt/server.crt.bkp

où server.crt est le certificat d’origine.


9. Remplacez le certificat d’origine par le nouveau sur le serveur en exécutant la
commande suivante :

cp vp.crt /usr/local/apache2/conf/ssl.crt/server.crt

où vp.crt est le nouveau certificat.


10. Une fois que le certificat a été remplacé, arrêtez, puis redémarrez le service
Apache httpd à l’emplacement /usr/local/apache2/bin/ en exécutant
les commandes suivantes de manière séquentielle :

killall httpd
/usr/local/apache2/bin/httpd -k start

Ajouter le fournisseur Isilon


Pour afficher des informations sur les fonctions de stockage d’un cluster EMC Isilon
via VMware vCenter, vous devez d’abord ajouter ce cluster en tant que fournisseur
dans vCenter
Avant de commencer
Téléchargez un certificat de fournisseur. Créez un certificat auto-signé si vous utilisez
vCenter version 6.0.
Procédure
1. Dans vCenter, accédez à la fenêtre Add Vendor Provider.
2. Dans la fenêtre Add Vendor Provider, renseignez les champs suivants :
Name
Saisissez le nom du fournisseur VASA. Spécifiez-le comme pour toute autre
chaîne. Par exemple, saisissez EMC Isilon Systems.

URL
Saisissez https://<IPAddress>:8081/vasaprovider, où <IPAddress>
est l’adresse IP d’un nœud du cluster Isilon.

Login
Saisissez root.

Password
Saisissez le mot de passe de l’utilisateur root.

Certificate location
Saisissez le chemin du certificat de fournisseur de ce cluster.

642 OneFS 8.0.1 Guide d’administration Web


Intégration VMware

3. Cochez la case Use Vendor Provider Certificate.


4. Cliquez sur OK.

Désactiver ou réactiver VASA


Vous pouvez désactiver ou réactiver la communication d’un cluster Isilon avec
VMware vSphere via VASA (VMware vSphere API for Storage Awareness).
Pour désactiver la prise en charge de VASA, vous devez désactiver le processus VASA
et l’interface d’administration Web Isilon. Une fois l’interface Web désactivée, vous ne
pouvez plus administrer le cluster à partir d’un navigateur Internet. Pour réactiver la
prise en charge de VASA, vous devez activer le processus VASA et l’interface Web.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Pour activer/désactiver l’interface Web, exécutez l’une des commandes
suivantes :
l isi services apache2 disable
l isi services apache2 enable

3. Pour activer/désactiver le processus VASA, exécutez l’une des commandes


suivantes :
l isi services isi_vasa_d disable
l isi services isi_vasa_d enable

Dépannage des défaillances d’affichage du stockage VASA


Si vous ne parvenez pas à afficher les informations relatives aux clusters Isilon à l’aide
de vSphere, suivez les instructions de dépannage ci-dessous pour résoudre le
problème.
l Assurez-vous que le certificat du fournisseur est à jour et n’a pas expiré.
l Assurez-vous que le cluster Isilon est en mesure de communiquer avec VASA par
l’intermédiaire du processus VASA. Si le processus VASA est désactivé, exécutez
la commande suivante pour l’activer :

isi services isi_vasa_d enable

l Assurez-vous que la date et l’heure du cluster sont correctement définies.


l Assurez-vous que les données ont été correctement synchronisées à partir de
vCenter.

Désactiver ou réactiver VASA 643


Intégration VMware

644 OneFS 8.0.1 Guide d’administration Web


CHAPITRE 30
Explorateur du système de fichiers

Cette section traite des sujets suivants :

l Présentation de l’explorateur du système de fichiers....................................... 646


l Parcourir le système de fichiers....................................................................... 646
l Créer un répertoire.......................................................................................... 646
l Modifier les propriétés des fichiers et des répertoires......................................647
l Afficher les propriétés des fichiers et des répertoires...................................... 647
l Propriétés des fichiers et des répertoires.........................................................647

Explorateur du système de fichiers 645


Explorateur du système de fichiers

Présentation de l’explorateur du système de fichiers


L’explorateur du système de fichiers est une interface Web qui vous permet de gérer
le contenu stocké sur votre cluster EMC Isilon. Vous pouvez utiliser l’explorateur du
système de fichiers pour parcourir le système de fichiers Isilon (/ifs), ajouter des
répertoires et gérer les propriétés des fichiers et des répertoires, notamment en
matière de protection des données, d’optimisation des E/S et d’autorisations UNIX.
Au départ, les autorisations des répertoires du système de fichiers Isilon sont
configurées pour accorder un accès total à tous les utilisateurs. Tout utilisateur peut
supprimer n’importe quel fichier, quelles que soient les autorisations associées. Selon
votre environnement, vous devez restreindre les autorisations au moyen de
l’explorateur du système de fichiers.
L’explorateur du système de fichiers prend en charge les zones d’accès. Par défaut,
l’utilisateur root et l’utilisateur sysadmin ont accès à la zone d’accès de niveau
supérieur, c’est-à-dire System (/ifs). Les autres utilisateurs peuvent être limités à
des zones d’accès spécifiques, par exemple, /ifs/home.
Vous pouvez afficher et configurer les propriétés des fichiers et des répertoires à
partir des clients Windows connectés au cluster. Toutefois, étant donné que les
autorisations Windows et UNIX diffèrent les unes des autres, veillez à n’apporter
aucune modification involontaire ayant une incidence sur l’accès aux fichiers et aux
répertoires.

Parcourir le système de fichiers


Vous pouvez parcourir le système de fichiers Isilon (/ifs) au moyen de l’explorateur
du système de fichiers.
Procédure
1. Cliquez sur File System > File System Explorer.
2. Les fichiers et les répertoires s’affichent.
Vous pouvez cliquer sur un répertoire pour en afficher le contenu.

Créer un répertoire
Vous pouvez créer un répertoire dans l’arborescence de répertoires /ifs à l’aide de
l’explorateur du système de fichiers.
Procédure
1. Cliquez sur File System > File System Explorer.
2. Accédez au répertoire auquel vous souhaitez ajouter le répertoire.
3. Cliquez sur Create Directory.
4. Dans le champ Directory Name de la boîte de dialogue Create a Directory,
saisissez le nom du répertoire.
5. Dans la zone Permissions, attribuez des autorisations au répertoire.
6. Cliquez sur Create Directory.

646 OneFS 8.0.1 Guide d’administration Web


Explorateur du système de fichiers

Modifier les propriétés des fichiers et des répertoires


Vous pouvez modifier les propriétés d’un fichier et d’un répertoire via l’explorateur du
système de fichiers.
Procédure
1. Cliquez sur File System Management > File System Explorer.
2. Accédez au fichier ou au répertoire que vous souhaitez modifier.
3. Dans la ligne du fichier ou du répertoire, cliquez sur View/Edit.
4. Cliquez sur Edit Properties.
5. Modifiez les propriétés du fichier ou du répertoire, puis cliquez sur Save
Changes.

Afficher les propriétés des fichiers et des répertoires


Vous pouvez afficher les propriétés d’un fichier et d’un répertoire via l’explorateur du
système de fichiers.
Procédure
1. Cliquez sur File System Management > File System Explorer.
2. Accédez au fichier ou au répertoire que vous souhaitez afficher.
3. Dans la ligne du fichier ou du répertoire, cliquez sur View/Edit.

Propriétés des fichiers et des répertoires


Les propriétés de fichier et de répertoire suivantes s’affichent dans l’Explorateur du
système de fichiers :
Properties
Path
Affiche le chemin absolu du fichier ou du répertoire.

File Size
Affiche la taille logique du fichier ou du répertoire.

Space Used
Affiche la taille physique du fichier ou du répertoire.

Last Modified
Affiche l’heure de dernière modification du fichier ou du répertoire.

Last Accessed
Affiche l’heure de dernière consultation du fichier ou du répertoire.

Autorisations UNIX
User
Affiche les autorisations attribuées au propriétaire du fichier ou du répertoire.

Group
Affiche les autorisations attribuées au groupe du fichier ou du répertoire.

Modifier les propriétés des fichiers et des répertoires 647


Explorateur du système de fichiers

Others
Affiche les autorisations attribuées à d’autres utilisateurs sur le fichier ou le
répertoire.

648 OneFS 8.0.1 Guide d’administration Web

Vous aimerez peut-être aussi