Académique Documents
Professionnel Documents
Culture Documents
OneFS
Version 8.0.1
EMC estime que les informations figurant dans cette publication sont exactes à la date de parution. Ces informations sont
sujettes à modification sans préavis.
LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION SONT FOURNIES "EN L' ÉTAT". EMC CORPORATION
NE FOURNIT AUCUNE DÉCLARATION NI GARANTIE CONCERNANT LES INFORMATIONS CONTENUES DANS CETTE
PUBLICATION ET REJETTE PLUS SPÉCIALEMENT TOUTE GARANTIE DE VALEUR MARCHANDE OU D’ADÉQUATION
IMPLICITE À UN BESOIN SPÉCIFIQUE.
EMC², EMC et le logo EMC sont des marques déposées ou des marques commerciales d’EMC Corporation aux États-Unis
et dans d’autres pays. Toutes les autres marques citées dans le présent document sont la propriété de leurs détenteurs
respectifs. Publié en France.
Identité du cluster...................................................................................... 52
Définir le nom du cluster et les informations de contact................ 53
Date et heure du cluster............................................................................. 54
Régler la date et l’heure du cluster................................................ 54
Spécifier un serveur de synchronisation NTP................................ 54
Paramètres de messagerie SMTP.............................................................. 55
Configurer les paramètres de la messagerie SMTP........................55
Configuration du mode de jonction du cluster............................................ 56
Spécifier le mode d’association du cluster..................................... 56
Paramètres du système de fichiers............................................................. 57
Activer ou désactiver le suivi de l’heure d’accès............................ 57
Spécifier le codage des caractères du cluster................................58
Renforcement de la sécurité.......................................................................58
Profil de renforcement de la sécurité STIG....................................59
Appliquer un profil de renforcement de la sécurité........................ 60
Rétablir un profil de renforcement de la sécurité............................61
Afficher l’état de renforcement de la sécurité............................... 62
Surveillance du cluster................................................................................63
Surveiller le cluster........................................................................ 64
Afficher l’état du nœud................................................................. 65
Surveillance du matériel du cluster............................................................. 65
Afficher l’état du matériel du nœud............................................... 65
États des châssis et des disques....................................................66
Vérifier l’état des batteries............................................................ 70
Surveillance SNMP........................................................................ 70
Événements et alertes................................................................................ 73
Présentation des événements........................................................74
Présentation des groupes d’événements....................................... 74
Présentation des alertes................................................................ 75
Présentation des canaux................................................................75
Affichage et modification des groupes d’événements.................... 75
Gestion des alertes........................................................................ 76
Gestion des canaux........................................................................78
Maintenance et tests..................................................................... 82
Maintenance du cluster.............................................................................. 84
Remplacement des composants de nœud......................................85
Mise à niveau des composants de nœud........................................ 85
Gestion du microprogramme des disques...................................... 85
Gestion des nœuds de cluster........................................................ 91
Mise à niveau de OneFS................................................................ 93
Support à distance..................................................................................... 94
Configuration de la prise en charge d’ESRS.................................. 95
Scripts de support à distance........................................................ 96
Activer et configurer ESRS........................................................... 98
FTP.......................................................................................................... 252
Activer et configurer le partage de fichiers FTP.......................... 253
HTTP et HTTPS....................................................................................... 253
Activer et configurer le protocole HTTP...................................... 254
l À propos de ce guide..........................................................................................22
l Présentation du stockage scale-out NAS EMC Isilon......................................... 22
l Présentation D’IsilonSD Edge.............................................................................22
l Où obtenir des services de support ?................................................................. 22
Présentation de ce guide 21
Présentation de ce guide
À propos de ce guide
Ce guide décrit la manière dont l’interface d’administration Web OneFS permet
d’accéder aux fonctions de configuration, gestion et surveillance du cluster.
La plupart des informations de ce guide s’appliquent également à IsilonSD Edge, une
version software-defined de OneFS qui s’exécute sur l’hyperviseur VMware ESXi. Les
éventuelles différences sont signalées dans les sections correspondantes du présent
guide.
Vos suggestions nous aident à améliorer la précision, l’organisation et la qualité globale
de la documentation. Envoyez vos commentaires à https://www.research.net/s/isi-
docfeedback. Si vous ne pouvez pas envoyer vos commentaires via l’URL, envoyez un
e-mail à docfeedback@isilon.com.
Nœud Fonction
A-Series Performance Accelerator Évolutivité indépendante pour des
performances optimales
Remarque
Dans le cas d’IsilonSD Edge, les nœuds échangent des données via le switch Ethernet.
Pour plus d’informations sur les exigences relatives aux réseaux interne et externe
pour Isilon Edge, consultez le Guide d’installation et d’administration d’IsilonSD Edge.
Les clients accèdent au cluster via une connexion Ethernet 1 GigE ou 10 GigE. Puisque
chaque nœud intègre des ports Ethernet, la bande passante du cluster évolue en
fonction des performances et de la capacité, à mesure que vous ajoutez des nœuds.
ATTENTION
Seuls des nœuds Isilon doivent être connectés à votre switch InfiniBand. Les
informations échangées sur le réseau back-end ne sont pas chiffrées. La
connexion d’éléments autres que des nœuds Isilon au switch InfiniBand crée un
risque en matière de sécurité.
Cluster Isilon
Un cluster Isilon se compose de 3 à 144 nœuds matériels. Chaque nœud exécute le
système d’exploitation Isilon OneFS, le logiciel de système de fichiers distribué qui
réunit les nœuds au sein d’un cluster. La capacité de stockage d’un cluster varie entre
18 To minimum et 50 Po maximum.
Si vous exécutez IsilonSD Edge, reportez-vous à la section Cluster IsilonSD de ce guide
pour connaître la configuration requise du cluster IsilonSD.
Administration du cluster
OneFS centralise la gestion du cluster au moyen d’une interface d’administration Web
et d’une interface de ligne de commande. Les deux interfaces fournissent des
méthodes pour : activer les licences, contrôler l’état des nœuds, configurer le cluster,
mettre à niveau le système, générer des alertes, afficher les connexions client, suivre
les performances et modifier différents paramètres.
De plus, OneFS simplifie l’administration en automatisant la maintenance grâce à un
moteur de tâches. Vous pouvez planifier les tâches d’analyse antivirus, de recherche
d’erreurs sur les disques, de récupération d’espace disque et de contrôle de l’intégrité
du système de fichiers. Le moteur gère les tâches afin de minimiser l’impact sur les
performances du cluster.
Avec les versions 2c et 3 de SNMP, vous pouvez surveiller à distance les composants
matériels, le taux d’utilisation du CPU, les switches et les interfaces réseau. EMC Isilon
fournit des bases de données MIB et des notifications pour le système d’exploitation
OneFS.
OneFS comprend également une API répartie en deux domaines fonctionnels : le
premier permet d’accéder aux fonctions de configuration, de gestion et de surveillance
du cluster, et le deuxième permet d’effectuer des opérations sur les fichiers et les
répertoires du cluster. Vous pouvez envoyer des demandes à l’API OneFS via une
interface REST (Representational State Transfer), accessible par le biais des URI de
ressource et des méthodes HTTP standard. L’API s’intègre avec le contrôle d’accès
basé sur les rôles (RBAC) OneFS pour renforcer la sécurité. Consultez le document
Isilon Platform API Reference.
Quorum
Pour fonctionner correctement, un cluster Isilon doit avoir un quorum. Un quorum
empêche les conflits de données (par exemple, différentes versions d’un même
fichier) lorsque deux groupes de nœuds ne sont plus synchronisés. Si un cluster perd
son quorum pour les demandes de lecture et d’écriture, vous ne pouvez pas accéder
au système de fichiers OneFS.
Pour que le quorum soit atteint, plus de la moitié des nœuds doivent être disponibles
sur le réseau interne. Un cluster de sept nœuds, par exemple, nécessite un quorum de
quatre nœuds. Un cluster de dix nœuds nécessite un quorum de six nœuds. Si un
nœud est inaccessible sur le réseau interne, OneFS le sépare du cluster : cette action
est appelée « division ». Une fois le cluster divisé, les opérations du cluster continuent
tant que suffisamment de nœuds restent connectés pour disposer d’un quorum.
Dans un cluster divisé, les nœuds qui restent dans le cluster sont désignés sous le nom
de « groupe majoritaire ». Les nœuds qui sont séparés du cluster sont désignés sous
le nom de « groupe minoritaire ».
Lorsque les nœuds séparés peuvent se reconnecter au cluster et se resynchroniser
avec les autres nœuds, ils rejoignent le groupe majoritaire du cluster : cette action est
appelée « fusion ».
Un cluster OneFS possède deux propriétés de quorum :
l quorum de lecture (efs.gmp.has_quorum)
l quorum d’écriture (efs.gmp.has_super_block_quorum)
En vous connectant à un nœud via SSH et en exécutant l’outil de ligne de commande
sysctl en tant qu’utilisateur root, vous pouvez consulter l’état des deux types de
quorum. Voici l’exemple d’un cluster possédant un quorum pour les opérations
sysctl efs.gmp.has_quorum
efs.gmp.has_quorum: 1
sysctl efs.gmp.has_super_block_quorum
efs.gmp.has_super_block_quorum: 1
Les états dégradés des nœuds (ex. : smartfail, en lecture seule, hors ligne, etc.)
affectent le quorum de différentes manières. L’état smartfail ou en lecture seule
affecte uniquement le quorum d’écriture. L’état hors ligne, en revanche, affecte le
quorum de lecture et le quorum d’écriture. Dans un cluster, la combinaison de nœuds
présentant différents états dégradés détermine si les demandes de lecture et/ou les
demandes d’écriture peuvent aboutir.
Un cluster peut perdre le quorum d’écriture, mais conserver le quorum de lecture.
Imaginons un cluster de quatre nœuds dont les nœuds 1 et 2 fonctionnent
normalement. Le nœud 3 est en lecture seule et le nœud 4 dans un état smartfail. Dans
ce cas, les demandes de lecture adressées au cluster aboutissent. Les demandes
d’écriture, cependant, rencontrent une erreur d’entrée/sortie, car les états des
nœuds 3 et 4 rompent le quorum d’écriture.
Un cluster peut également perdre son quorum de lecture et d’écriture. Si, dans un
cluster de quatre nœuds, les nœuds 3 et 4 sont hors ligne, les demandes d’écriture et
de lecture rencontrent une erreur d’entrée/sortie et vous ne pouvez pas accéder au
système de fichiers. Lorsque OneFS peut se reconnecter aux nœuds, il les fusionne de
nouveau dans le cluster. À la différence d’un système RAID, un nœud Isilon peut
rejoindre le cluster sans être reconstruit ni reconfiguré.
Division et fusion
La division et la fusion optimisent l’utilisation des nœuds sans intervention de votre
part.
OneFS surveille tous les nœuds du cluster. Si un nœud est inaccessible sur le réseau
interne, OneFS le sépare du cluster : cette action est appelée « division ». Lorsque le
cluster peut se reconnecter au nœud, OneFS replace ce dernier dans le cluster : cette
action est appelée « fusion ».
Lorsqu’un nœud est séparé d’un cluster, il continue à recueillir des informations sur les
événements en local. Vous pouvez vous connecter à un nœud séparé via SSH et
exécuter la commande isi event events list afin d’afficher le log des
événements locaux de ce nœud. Le log des événements locaux vous aide à résoudre
les problèmes de connexion ayant entraîné la division. Lorsque le nœud séparé rejoint
le cluster, les événements locaux collectés pendant la division sont supprimés. Vous
pouvez tout de même afficher les événements générés par un nœud séparé dans le
fichier log des événements de ce nœud situé à l’emplacement suivant : /var/log/
isi_celog_events.log.
Si un cluster se divise lors d’une opération d’écriture, il se peut que OneFS doive
réallouer des blocs pour le fichier du côté disposant du quorum, si bien que les blocs
alloués du côté sans quorum deviennent orphelins. Lorsque les nœuds séparés se
reconnectent au cluster, la tâche système OneFS Collect récupère les blocs orphelins.
Pendant ce temps, chaque fois que des nœuds se séparent ou fusionnent avec le
cluster, la tâche OneFS AutoBalance répartit les données de manière homogène sur
les nœuds du cluster de façon à optimiser la protection et à économiser de l’espace.
Division et fusion 29
Système scale-out NAS Isilon
Pools de stockage
Les pools de stockage segmentent les nœuds et les fichiers en divisions logiques afin
de simplifier la gestion et le stockage des données.
Un pool de stockage comporte des pools de nœuds et des niveaux. Les pools de
nœuds regroupent les nœuds équivalents afin de protéger les données et de garantir la
fiabilité. Les niveaux combinent les pools de nœuds afin d’optimiser le stockage selon
les besoins, en fournissant par exemple un niveau à grande vitesse fréquemment utilisé
ou une archive rarement consultée.
Le module SmartPools regroupe les nœuds et les fichiers dans des pools. Si vous
n’activez pas de licence SmartPools, le module provisionne des pools de nœuds et
crée un pool de fichiers. Si vous activez la licence SmartPools, vous bénéficiez de plus
de fonctionnalités. Vous pouvez, par exemple, créer plusieurs pools de fichiers et les
contrôler au moyen de règles. Les règles déplacent les fichiers, les répertoires et les
pools de fichiers entre différents pools de nœuds ou niveaux. Vous pouvez également
définir la manière dont OneFS gère les opérations d’écriture lorsqu’un pool de nœuds
ou un niveau est saturé. SmartPools réserve un disque de secours virtuel pour
reprotéger les données en cas de défaillance d’un disque, que la licence SmartPools
soit activée ou non.
NFS
Le protocole NFS (Network File System) permet aux systèmes UNIX, Linux et
Mac OS X de monter à distance n’importe quel sous-répertoire, y compris ceux
créés par des utilisateurs Windows. OneFS fonctionne avec NFS versions 3 et 4.
L’exportation par défaut est /ifs.
HDFS
Le protocole HDFS (Hadoop Distributed File System) permet à un cluster de
fonctionner avec Apache Hadoop, un framework destiné aux applications
distribuées traitant d’importants volumes de données. L’intégration HDFS exige
l’activation d’une licence séparée.
FTP
Le protocole FTP permet aux systèmes dotés d’un client FTP de se connecter au
cluster et d’échanger des fichiers.
HTTP et HTTPS
HTTP et sa variante sécurisée, HTTPS, offrent aux systèmes un accès aux
ressources via un navigateur. OneFS inclut une prise en charge limitée de
WebDAV.
Swift
Isilon Swift vous permet d’accéder aux données en mode fichier stockées dans
votre cluster EMC Isilon en tant qu’objets. L’API Swift est mise en œuvre sous la
forme d’un ensemble de Web services REST (Representational State Transfer)
via HTTP ou HTTP sécurisé (HTTPS). Le contenu et les métadonnées peuvent
être acquis sous forme d’objets et sont simultanément disponibles par
l’intermédiaire d’autres protocoles EMC Isilon pris en charge. Pour plus
d’informations, reportez-vous à la Isilon Swift Technical Note.
des ACL. Vous pouvez cependant gérer non seulement les bits de mode mais
également les ACL à l’aide d’outils UNIX standard, tels que les commandes chmod et
chown. En outre, les règles ACL vous permettent de configurer la façon dont OneFS
gère les autorisations pour les réseaux associant des systèmes Windows et UNIX.
Zones d’accès
OneFS intègre une fonction de zones d’accès. Les zones d’accès permettent aux
utilisateurs de différents fournisseurs d’authentification, tels que deux domaines
Active Directory non approuvés, d’accéder à diverses ressources OneFS en
fonction de l’adresse IP entrante. Une zone d’accès peut contenir plusieurs
fournisseurs d’authentification et espaces de nommage SMB.
Remarque
Nous vous recommandons de ne pas enregistrer les données sur le chemin racine /
ifs, mais plutôt dans les répertoires sous /ifs. La conception de la structure de
stockage de données doit être soigneusement planifiée. Un répertoire bien conçu
optimise les performances et l’administration du cluster.
le fichier. Vous pouvez optimiser la façon dont OneFS répartit les données en fonction
de votre modèle d’accès dominant (simultané, en temps réel, aléatoire).
détecte une erreur dans les métadonnées, il recherche les métadonnées à un autre
emplacement, puis corrige l’erreur.
répartition
Au cours du processus appelé répartition, OneFS segmente les fichiers en unités de
données, puis distribue ces unités sur l’ensemble des nœuds d’un cluster. La
répartition protège vos données et améliore les performances du cluster.
Pour distribuer un fichier, OneFS le réduit en blocs de données, organise ces blocs en
unités de bande, puis alloue ces unités de bande aux nœuds via le réseau interne.
Il distribue en même temps les codes d’effacement qui protègent le fichier. Les codes
d’effacement codent les données du fichier dans un ensemble distribué de symboles,
ce qui augmente la redondance tout en optimisant l’espace utilisé. Avec seulement une
partie de l’ensemble des symboles, OneFS peut restaurer les données du fichier
d’origine.
Ensemble, les données et leur redondance forment un groupe de protection pour une
zone de données de fichier. OneFS place les groupes de protection sur différents
disques, sur différents nœuds, créant ainsi des bandes de données.
Étant donné que OneFS répartit les données sur des nœuds qui fonctionnent ensemble
comme des homologues, un utilisateur qui se connecte à un nœud profite des
performances de l’ensemble du cluster.
Par défaut, OneFS optimise la répartition pour l’accès simultané. Si votre modèle
d’accès dominant est en temps réel (autrement dit, peu d’accès simultanés et charges
applicatives en flux unique plus importantes, comme avec la vidéo), vous pouvez
modifier la façon dont OneFS répartit les données de façon à augmenter les
performances de lecture séquentielle. Pour améliorer la gestion de l’accès en temps
réel, OneFS répartit les données sur un plus grand nombre de disques. L’accès en
temps réel est plus efficace sur des clusters ou des sous-pools distribuant des fichiers
volumineux.
panne. Vous pouvez également, en lieu et place des codes d’effacement, protéger vos
données avec deux à huit miroirs.
Lorsque vous créez un cluster avec cinq nœuds ou plus, les codes d’effacement
offrent 80 % d’efficacité. Dans les grands clusters, les codes d’effacement n’offrent
pas moins de quatre niveaux de redondance.
En plus des codes d’effacement des données et de la mise en miroir, OneFS inclut les
fonctions suivantes qui protègent l’intégrité, la disponibilité et la confidentialité des
données :
Fonctionnalité Description
Antivirus OneFS peut envoyer des fichiers aux serveurs
exécutant le protocole ICAP (Internet
Content Adaptation Protocol) afin de
rechercher des virus et autres menaces.
Remarque
Les modules logiciels suivants permettent également de protéger les données, mais
exigent l’activation d’une licence distincte :
Intégration VMware
OneFS s’intègre avec plusieurs produits VMware, y compris vSphere, vCenter et
VMware ESXi.
Par exemple, OneFS fonctionne avec VASA (VMware vSphere API for Storage
Awareness) pour vous permettre d’afficher les informations relatives à un cluster
Isilon dans vSphere. OneFS fonctionne également avec VAAI (VMware vSphere API
for Array Integration) afin de prendre en charge les fonctions suivantes pour le
stockage en mode bloc : verrouillage assisté par matériel, copie complète et remise à
zéro des blocs. VAAI for NFS nécessite un plug-in VMware ESXi.
Avec Isilon Storage Replication Adapter, OneFS s’intègre avec VMware vCenter Site
Recovery Manager pour restaurer les machines virtuelles qui sont répliquées entre les
clusters Isilon.
Modules logiciels
Vous pouvez accéder à des fonctions avancées en activant les licences des modules
logiciels EMC Isilon.
Remarque
Si vous exécutez IsilonSD Edge, la liste des modules logiciels pris en charge varie selon
que vous avez configuré la version gratuite ou payante de ce produit. Pour plus
d’informations sur les modules logiciels disponibles avec IsilonSD Edge, reportez-vous
à la section Présentation de la licence IsilonSD Edge.
SmartLock
SmartLock protège les données critiques contre l’altération ou la suppression
accidentelle, malveillante ou prématurée, ce qui vous aide à vous conformer aux
réglementations 17a-4 de la SEC. Vous pouvez automatiquement valider des
données dans un état infalsifiable, puis les conserver avec une horloge de
conformité.
HDFS
OneFS fonctionne avec le protocole HDFS (Hadoop Distributed File System) pour
faciliter l’analyse du Big Data par les clients exécutant Apache Hadoop, un
framework destiné aux applications distribuées traitant d’importants volumes de
données.
Renforcement de la sécurité
Le renforcement de la sécurité consiste à configurer votre système en vue de
réduire ou d’éliminer autant que possible les risques liés à la sécurité. Vous pouvez
appliquer une règle de renforcement qui sécurise la configuration de OneFS
suivant les instructions de cette règle.
SnapshotIQ
SnapshotIQ protège les données à l’aide d’un snapshot (copie logique des
données stockées sur un cluster). Un snapshot peut être restauré vers son
répertoire de premier niveau.
SmartDedupe
Vous pouvez réduire la redondance sur un cluster en exécutant SmartDedupe. La
déduplication crée des liens qui peuvent avoir une incidence sur la vitesse de
lecture et d’écriture des fichiers.
SmartPools
SmartPools vous permet de créer plusieurs pools de fichiers régis par des règles
de pool de fichiers. Ces règles déplacent les fichiers et les répertoires entre
CloudPools
Basé sur le framework de règles SmartPools, CloudPools vous permet d’archiver
des données dans un stockage Cloud et ainsi de définir le Cloud en tant que
niveau supplémentaire de stockage. CloudPools prend en charge les fournisseurs
de stockage Cloud EMC Isilon, EMC ECS Appliance, Virtustream Storage Cloud,
Amazon S3 et Microsoft Azure.
SmartConnect Advanced
En activant une licence SmartConnect Advanced, vous pouvez équilibrer des
règles pour répartir de façon égale l’utilisation du CPU, les connexions client ou le
débit. Vous pouvez également définir des pools d’adresses IP pour prendre en
charge plusieurs zones DNS dans un sous-réseau. En outre, SmartConnect prend
en charge le basculement sur incident des adresses IP, également appelé
basculement sur incident NFS.
InsightIQ
L’appliance virtuelle InsightIQ surveille et analyse les performances de votre
cluster Isilon pour optimiser les ressources de stockage et prévoir les besoins en
capacité.
SmartQuotas
Le module SmartQuotas analyse l’utilisation du disque à l’aide de rapports et
applique des limites de stockage associées à des alertes.
Isilon Swift
Isilon Swift est une passerelle de stockage en mode objet compatible avec l’API
OpenStack Swift 1.0. Grâce à Isilon Swift, vous pouvez accéder aux données en
mode fichier existantes stockées dans votre cluster EMC Isilon en tant qu’objets.
L’API Swift est mise en œuvre sous la forme d’un ensemble de Web services
RESTful via HTTP ou HTTPS. L’API Swift étant considérée comme un protocole,
le contenu et les métadonnées peuvent être acquis sous forme d’objets et sont
simultanément disponibles par l’intermédiaire d’autres protocoles EMC Isilon pris
en charge.
Modules logiciels 39
Système scale-out NAS Isilon
Interfaces utilisateur
OneFS et IsilonSD Edge proposent plusieurs interfaces pour gérer les clusters
EMC Isilon et IsilonSD.
Remarque
Connexion au cluster
L’accès au cluster EMC Isilon est assuré via l’interface d’administration Web ou le
protocole SSH. Vous pouvez utiliser une connexion série afin d’effectuer des tâches
d’administration du cluster via l’interface de ligne de commande.
Vous pouvez également accéder au cluster via le panneau avant du nœud afin
d’exécuter un sous-ensemble de tâches de gestion du cluster. Pour savoir comment
vous connecter au panneau avant du nœud, consultez la documentation d’installation
de votre nœud.
Remarque
Connexion au cluster 43
Administration générale d’un cluster
IPv6
https://[<yourNodeIPaddress>]:8080
Remarque
Les adresses IPv6 ne sont pas prises en charge avec IsilonSD Edge.
l SmartQuotas
l SnapshotIQ
l SyncIQ
Remarque
État Description :
Inactive La licence n’a pas été activée sur le cluster.
Vous ne pouvez pas accéder aux fonctions
fournies par le module correspondant.
Remarque
Si vous exécutez IsilonSD Edge, les licences des modules logiciels varient en fonction
de la licence IsilonSD Edge configurée (gratuite ou achetée), ainsi que des états de
licence correspondants.
Le tableau suivant décrit les fonctions disponibles pour chaque licence en fonction de
son état :
Isilon Swift Les clients ne Les clients peuvent Les clients ne peuvent plus
peuvent pas accéder aux accéder au cluster
accéder au cluster données en mode via Swift.
via Swift. fichier existantes
stockées dans le
cluster en tant
qu’objets par
l’intermédiaire d’une
application client
d’API Swift via
HTTP ou HTTPS.
SmartLock Vous ne pouvez pas Vous pouvez Vous ne pouvez pas créer
appliquer la appliquer la de nouveaux répertoires
rétention des rétention des SmartLock ni modifier les
fichiers avec fichiers avec paramètres de
SmartLock. SmartLock. configuration des
répertoires SmartLock
existants.
Vous pouvez toujours
valider les fichiers à
l’état WORM (write once
read many), même après
avoir annulé la
configuration de la licence
SmartLock, mais vous ne
pouvez pas supprimer les
fichiers validés à
l’état WORM des
répertoires d’entreprise.
SmartPools Tous les fichiers Vous pouvez créer Vous ne pouvez plus gérer
appartiennent au plusieurs pools de les règles de pool de
pool de fichiers par fichiers et règles de fichiers et la tâche
défaut et sont régis pool de fichiers. SmartPools ne s’exécute
par la règle de pool Vous disposez plus. Les fichiers ajoutés
de fichiers par également de la sont gérés par la règle de
défaut. L’allocation gestion des pool de fichiers par défaut,
d’un disque de débordements, qui que la tâche
secours virtuel, qui définit la façon dont SetProtectPlus finit par
réserve de l’espace les opérations appliquer à tous les fichiers
à la réparation de d’écriture sont du cluster.
données en cas de effectuées chaque Si la tâche SmartPools est
défaillance d’un fois qu’un pool de en cours d’exécution au
disque, est stockage n’est pas moment où la licence
également accessible en expire, elle se termine
disponible. écriture. avant d’être désactivée.
Remarque
Dans le cas d’IsilonSD Edge, les licences de modules sont incluses avec les licences
gratuites et payantes d’IsilonSD. Il est inutile de les configurer séparément.
Remarque
Si vous exécutez IsilonSD Edge, vous pouvez activer une licence via IsilonSD Edge
Management Server. Pour plus d’informations, consultez le Guide d’installation et
d’administration d’IsilonSD Edge.
Procédure
1. Cliquez sur Cluster Management > Licensing.
2. Dans la zone Activate Licenses, saisissez la clé de licence d’un module. Cliquez
sur Add Another License Key si vous activez les licences de plusieurs modules.
Procédure
l Cliquez sur Cluster Management > Licensing.
Vous pouvez consulter des informations sur les licences, y compris l’état et la date
d’expiration.
Certificats
Vous pouvez renouveler le certificat SSL (Secure Sockets Layer) de l’interface
d’administration Web Isilon ou le remplacer par un certificat SSL tiers.
Toutes les communications de l’API de plate-forme, qui incluent la communication via
l’interface d’administration Web, se font par SSL. Vous pouvez remplacer ou
renouveler le certificat auto-signé par un certificat que vous générez. Pour remplacer
ou renouveler un certificat SSL, vous devez être connecté en tant qu’utilisateur root.
mkdir /ifs/local/
cd /ifs/local/
Option Description :
Certificat a. Pour générer une nouvelle demande de signature de
d’une AC certificat en plus d’une nouvelle clé, exécutez la commande
tierce openssl req. La commande suivante génère une
(publique ou
privée)
Option Description :
rm /ifs/local/folder1/*
Procédure
1. Ouvrez une fenêtre de navigateur Web.
2. Accédez à https://<common name>:8080, où <common name> est le nom
d’hôte de l’interface d’administration Web EMC Isilon, par exemple
isilon.example.com.
3. Dans les informations de sécurité de la page Web, vérifiez que l’objet et les
autres éléments que vous avez fournis sont corrects.
Remarque
Identité du cluster
Vous pouvez définir les attributs d’identité du cluster EMC Isilon.
Nom du cluster
Le nom du cluster s’affiche sur la page de connexion. Il permet de reconnaître
plus facilement le cluster et ses nœuds sur votre réseau. Chaque nœud du cluster
est identifié par le nom du cluster et le numéro du nœud. Par exemple, le premier
par nœud d’un cluster nommé Images peut être nommé Images-1.
Remarque
Dans le cas d’IsilonSD Edge, vous pouvez attribuer un nom de cluster uniquement
via le plug-in de gestion IsilonSD. Pour plus d’informations, consultez le Guide
d’installation et d’administration d’IsilonSD Edge.
Description du cluster
La description du cluster s’affiche sous le nom du cluster sur la page de
connexion. Cette description est utile si votre environnement comporte plusieurs
clusters.
Message de connexion
Le message de connexion s’affiche sous la forme d’une zone distincte sur la page
de connexion de l’interface d’administration Web OneFS, ou sous la forme d’une
ligne de texte sous le nom du cluster dans l’interface de ligne de commande
OneFS. Il fournit des informations sur le cluster, des instructions de connexion ou
des avertissements dont l’utilisateur doit prendre connaissance avant de se
connecter au cluster. Définissez ces informations à la page Cluster Identity de
l’interface d’administration Web OneFS
Remarque
Dans le cas d’IsilonSD Edge, spécifiez le nom du cluster via le plug-in de gestion
IsilonSD au sein de VMware vCenter. Pour plus d’informations, consultez le
Guide d’installation et d’administration d’IsilonSD Edge.
À effectuer
Vous devez ajouter le nom du cluster à vos serveurs DNS.
Remarque
2. (Facultatif) Dans la zone NTP Servers, entrez l’adresse IPv4 ou IPv6 d’un ou
plusieurs serveurs NTP. Si vous souhaitez utiliser un fichier de clés, saisissez les
numéros de clés dans le champ en regard de l’adresse IP du serveur.
Cliquez sur Add Another NTP Server si vous spécifiez plusieurs serveurs.
3. (Facultatif) Si vous utilisez un fichier de clés pour le serveur NTP, saisissez le
chemin d’accès à ce fichier dans le champ Path to Key File.
4. Dans la zone Chimer Settings, spécifiez le nombre de nœuds chimer qui
contactent les serveurs NTP (la valeur par défaut est 3).
5. Pour exclure un nœud du chiming, saisissez son numéro de nœud logique (LNN)
dans le champ Nodes Excluded from Chiming.
6. Cliquez sur Save Changes.
Mode Description
Manual Vous permet d’ajouter manuellement un nœud
au cluster sans autorisation.
Remarque
Remarque
Dans le cas d’IsilonSD Edge, vous ne pouvez pas configurer le mode de jonction du
cluster. Pour plus d’informations, consultez le Guide d’installation et d’administration
d’IsilonSD Edge.
Procédure
1. Cliquez sur Cluster Management > General Settings > Join Mode.
2. Dans la zone Settings, sélectionnez le mode qui détermine la façon dont les
nœuds peuvent être ajoutés au cluster.
Option Description
Manual La jonction peut être initiée manuellement
Secure La jonction peut être initiée uniquement par le cluster et nécessite
une authentification
Remarque
Procédure
1. Cliquez sur File System Management > File System Settings > Access Time
Tracking.
2. Dans la zone Access Time Tracking, cochez la case Enable access time
tracking pour suivre les horodatages d’accès aux fichiers. Par défaut, cette
fonctionnalité est désactivée.
3. Dans les champs Precision, spécifiez la fréquence de mise à jour de la date de
dernier accès en saisissant une valeur numérique et en sélectionnant une unité
de mesure, telle que secondes, minutes, heures, jours, semaines, mois ou
années.
Par exemple, si vous configurez un paramètre de précision d’un jour, le cluster
met à jour la date de dernier accès une fois par jour, même si certains fichiers
ont été consultés plus d’une fois au cours de la journée.
4. Cliquez sur Save Changes.
Remarque
Si le codage des caractères du cluster n’est pas défini sur UTF-8, les noms de
partage SMB sont sensibles à la casse.
Vous devez redémarrer le cluster pour appliquer les modifications de codage des
caractères.
ATTENTION
Procédure
1. Cliquez sur File System Management > File System Settings > Character
Encoding.
2. (Facultatif) Dans la liste Character encoding, sélectionnez le codage de
caractères que vous souhaitez utiliser.
3. Cliquez sur Save Changes, puis cliquez sur Yes pour confirmer que la
modification de codage prendra effet après le redémarrage du cluster.
4. Redémarrer le cluster.
Résultats
Après le redémarrage du cluster, l’interface d’administration Web de OneFS fait
apparaître vos modifications.
Renforcement de la sécurité
Le renforcement de la sécurité consiste à configurer un système en vue de réduire ou
d’éliminer autant que possible les risques en matière de sécurité.
Lorsque vous appliquez un profil de renforcement de la sécurité, OneFS le lit et en
applique les exigences. Si nécessaire, OneFS identifie les problèmes de configuration
qui empêchent le renforcement de la sécurité sur les nœuds. Par exemple, il se peut
que les autorisations de fichier définies pour un répertoire particulier n’aient pas la
valeur attendue ou que les répertoires requis soient manquants. Si un problème est
détecté, vous pouvez autoriser OneFS à le résoudre ou différer la résolution et
corriger le problème manuellement.
Remarque
Le tableau suivant présente chaque point d’évaluation et le STIG associé appliqué par
le profil de renforcement de la sécurité :
Total: 2 issue(s)
Do you want to resolve the issue(s)?[Y/N]:
3. Résolvez les problèmes de configuration. À l’invite Do you want to resolve
the issue(s)?[Y/N], choisissez l’une des actions suivantes :
l Pour permettre à OneFS de résoudre tous les problèmes, saisissez Y. OneFS
résout les problèmes, puis applique le profil de renforcement.
l Pour différer la résolution et corriger manuellement tous les problèmes
détectés, saisissez N. Après avoir corrigé tous les problèmes différés,
réexécutez la commande isi hardening apply.
Remarque
Vous devez disposer d’une licence de renforcement de la sécurité active pour pouvoir
rétablir un profil de renforcement de la sécurité sur OneFS. Pour obtenir une licence,
contactez un responsable de compte EMC Isilon.
Procédure
1. Ouvrez une session de la console série sur n’importe quel nœud du cluster, puis
connectez-vous en tant qu’utilisateur root.
2. Exécutez la commande isi hardening revert.
OneFS vérifie si le système est à un état attendu.
l Si OneFS ne rencontre aucun problème, le profil de renforcement de la
sécurité est rétabli.
l Si OneFS rencontre des problèmes, le système affiche un résultat semblable
à l’exemple suivant :
Total: 2 issue(s)
Do you want to resolve the issue(s)?[Y/N]:
3. Résolvez les problèmes de configuration. À l’invite Do you want to resolve
the issue(s)?[Y/N], choisissez l’une des actions suivantes :
l Pour permettre à OneFS de résoudre tous les problèmes, saisissez Y. OneFS
définit les configurations concernées à l’état attendu, puis rétablit le profil de
renforcement.
l Pour différer la résolution et corriger manuellement tous les problèmes
détectés, saisissez N. OneFS interrompt le processus de rétablissement
jusqu’à ce que tous les problèmes soient corrigés. Après avoir corrigé tous
les problèmes différés, réexécutez la commande isi hardening revert.
Remarque
concernés par ces problèmes ne sont renforcés qu’une fois que les problèmes sont
résolus et que le profil de renforcement de la sécurité est bien appliqué. Si vous ne
parvenez pas à résoudre ces problèmes, contactez le support technique Isilon.
Avant de commencer
L’affichage de l’état de renforcement de la sécurité exige des privilèges root et
s’effectue uniquement via l’interface de ligne de commande. Pour vous connecter en
tant qu’utilisateur root à un cluster renforcé, vous devez utiliser la console série. La
connexion SSH racine n’est pas autorisée sur un cluster renforcé.
Vous n’avez pas besoin d’une licence de renforcement de la sécurité pour afficher
l’état de renforcement du cluster.
Procédure
1. Ouvrez une session de la console sur n’importe quel nœud du cluster, puis
connectez-vous en tant qu’utilisateur root.
2. Exécutez la commande isi hardening status pour afficher l’état de
renforcement de la sécurité du cluster Isilon et de chacun des nœuds
Le système affiche un résultat semblable à l’exemple suivant :
Surveillance du cluster
Vous pouvez surveiller la santé, les performances et l’état de votre cluster EMC Isilon.
Dans le tableau de bord OneFS de l’interface d’administration Web, vous pouvez
surveiller la santé et l’état du système OneFS. Des informations sont disponibles pour
les différents nœuds, notamment le trafic réseau, les interfaces réseau internes et
externes, ainsi que des détails sur les pools de nœuds, les niveaux et la santé globale
du cluster. Vous pouvez surveiller la santé et les performances de votre cluster EMC
Isilon dans les domaines suivants :
État des nœuds
Statistiques de santé et de performances de chaque nœud du cluster, y compris
l’utilisation des disques durs et des disques SSD.
Connexions client
Nombre de clients connectés par nœud.
Nouveaux événements
Liste des notifications d’événements générées par les événements système,
y compris le niveau de gravité, l’ID d’instance unique, l’heure de début, le message
d’alerte et le périmètre de l’événement.
Taille du cluster
Vue Current : espace utilisé et disponible des disques durs et SSD, et espace
réservé au disque de secours virtuel (VHS).
Vue Historical : espace total utilisé et taille du cluster sur un an.
Surveillance du cluster 63
Administration générale d’un cluster
Utilisation du CPU
Vue Current : taux moyen d’utilisation du CPU par système, par utilisateur et
total sur l’heure écoulée.
Vue Historical : taux d’utilisation du CPU sur les dernières deux semaines.
Surveiller le cluster
Vous pouvez surveiller la santé et les performances d’un cluster EMC Isilon grâce à
des graphiques et à des tableaux indiquant l’état et les performances des nœuds, les
connexions client, les événements, la taille et le débit du cluster, et l’utilisation du
CPU.
Procédure
1. Cliquez sur Dashboard > Cluster Overview > Cluster Status.
2. (Facultatif) Affichez les informations du cluster.
l Status : pour afficher des informations sur un nœud, cliquez sur son
numéro d’ID.
l Client connection summary : pour afficher la liste des connexions actuelles,
cliquez sur Dashboard > Cluster Overview > Client Connections.
l New events : pour afficher plus d’informations sur un événement, cliquez sur
View details dans la colonne Actions.
l Cluster size : pour passer de la vue actuelle à la vue historique et vice versa,
cliquez sur Historical ou Current en regard du titre de section Monitoring.
Dans la vue historique, cliquez sur Used ou sur Cluster size pour modifier
l’affichage.
l Cluster throughput (file system) : pour passer de la vue actuelle à la vue
historique et vice versa, cliquez sur Historical ou Current en regard du titre
de section Monitoring. Pour afficher les statistiques de débit pendant une
période définie au cours des deux dernières semaines, cliquez sur Dashboard
> Cluster Overview > Throughput Distribution.
Remarque
Remarque
Pour masquer ou afficher une courbe, cliquez sur System, User ou Total
dans la légende du graphique. Pour afficher l’utilisation maximale, en regard
de Show, sélectionnez Maximum.
Remarque
Remarque
Pour masquer ou afficher une courbe, cliquez sur System, User ou Total
dans la légende du graphique. Pour afficher l’utilisation maximale, en regard
de Show, sélectionnez Maximum.
Procédure
1. Cliquez sur Dashboard > Cluster Overview > Cluster Status.
2. (Facultatif) Dans la zone Status, cliquez sur le numéro d’ID du nœud.
3. Dans la zone Chassis and drive status, cliquez sur Platform.
Remarque
Si vous exécutez IsilonSD Edge, vous pouvez afficher et gérer les détails de l’état du
châssis et du disque via le plug-in de gestion IsilonSD. Pour plus d’informations,
consultez le Guide d’installation et d’administration d’IsilonSD Edge.
Remarque
Dans l’interface
d’administration Web,
cet état inclut les
états ERASE et
SED_ERROR de
l’interface de ligne de
commande.
Remarque
Dans l’interface
d’administration Web,
cet état est inclus
dans l’état Not
available.
Remarque
Dans l’interface
d’administration Web,
cet état est inclus
dans l’état Not
available.
Remarque
Dans l’interface
d’administration Web,
cet état porte le
libellé
Unencrypted
SED.
Remarque
Dans l’interface de
ligne de commande,
cet état porte le
libellé INSECURE.
Surveillance SNMP
Vous pouvez utiliser le protocole SNMP pour surveiller à distance les composants
matériels du cluster EMC Isilon, tels que les ventilateurs, les détecteurs matériels, les
alimentations et les disques. Utilisez pour cela les outils Linux SNMP par défaut ou un
outil SNMP d’interface utilisateur de votre choix.
Vous pouvez activer la surveillance SNMP sur les différents nœuds de votre cluster.
Vous pouvez également surveiller les informations du cluster à partir de n’importe quel
nœud. Les traps SNMP générées sont envoyées à votre réseau SNMP. Vous pouvez
configurer une règle de notification d’événements qui spécifie la station de réseau où
vous souhaitez envoyer les traps SNMP correspondant à des événements spécifiques.
Ainsi, lorsqu’un événement se produit, le cluster envoie les traps à ce serveur. OneFS
prend en charge SNMP en lecture seule. Il prend en charge SNMP version 2c, qui est
la valeur par défaut, et SNMP version 3.
Remarque
OneFS ne prend pas en charge SNMP version 1. Bien qu’il existe une option pour --
snmp-v1-v2-access dans la commande isi snmp settings modify de
l’interface de ligne de commande (CLI) de OneFS, si vous activez cette fonction,
OneFS n’effectue la surveillance que via SNMP version 2c.
Vous pouvez configurer les paramètres pour SNMP version 3 uniquement ou pour
SNMP versions 2c et 3.
Remarque
Les éléments d'une hiérarchie SNMP sont organisés sous la forme d'une structure
arborescente, comparable à une arborescence de répertoires. Comme dans le cas des
répertoires, les identifiants évoluent du général vers le spécifique à mesure que la
ISILON-TRAP-MIB
Génère des traps SNMP à envoyer à une station de surveillance SNMP lorsque les
conditions définies dans les unités de données du protocole de trap sont réunies.
Les fichiers de base de données MIB OneFS mappent les ID d’objet spécifiques de
OneFS avec des descriptions. Téléchargez ou copiez les fichiers de base de
données MIB dans un répertoire où votre outil SNMP peut les trouver, par
exemple /usr/share/snmp/mibs/.
Pour que les outils Net-SNMP puissent lire les bases de données MIB et ainsi assurer
le mappage automatique des noms avec les OID, ajoutez -m All à la commande,
comme dans l’exemple suivant.
Si les fichiers de base de données MIB ne sont pas dans le répertoire de base de
données MIB Net-SNMP par défaut, vous devez spécifier le chemin complet, comme
dans l’exemple suivant. Notez que les trois lignes constituent une seule commande.
snmpwalk -m /usr/local/share/snmp/mibs/ISILON-MIB.txt:/usr \
/share/snmp/mibs/ISILON-TRAP-MIB.txt:/usr/share/snmp/mibs \
/ONEFS-TRAP-MIB.txt -v2c -C c -c public <node IP> enterprises.onefs
Surveillance SNMP 71
Administration générale d’un cluster
Remarque
Remarque
Le cluster Isilon ne génère pas de traps SNMP, sauf si vous configurez une règle de
notification d’événements de façon à envoyer des événements.
Procédure
1. Cliquez sur Cluster Management > General Settings > SNMP Monitoring.
2. Dans SNMP Service Settings, cliquez sur la case à cocher Enable SNMP
Service. Le service SNMP est activé par défaut.
3. Téléchargez le fichier MIB que vous souhaitez utiliser (base ou trap).
Suivez la procédure de téléchargement spécifique de votre navigateur.
4. Copiez les fichiers MIB dans un répertoire où votre outil SNMP peut les trouver,
par exemple /usr/share/snmp/mibs/.
Pour que les outils Net-SNMP lisent les bases de données MIB et assurent ainsi
le mappage automatique des noms avec les OID, ajoutez -m All à la
commande, comme dans l’exemple suivant.
Événements et alertes
OneFS surveille l’intégrité et les performances de votre cluster en continu et génère
des événements lorsqu’une situation nécessite votre attention.
Les événements peuvent être liés à l’intégrité du système de fichiers, aux connexions
réseau, aux tâches, au matériel et aux autres composants et opérations essentiels de
votre cluster. Une fois les événements capturés, ils sont analysés par OneFS. Les
événements associés à des causes premières similaires sont organisés en groupes
d’événements.
Événements et alertes 73
Administration générale d’un cluster
Remarque
également configurer à quel moment et de quelle manière sont diffusées les alertes
pour un groupe d’événements.
Remarque
Afficher un événement
Vous pouvez afficher les détails d’un événement spécifique.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts.
2. Dans la colonne Actions du groupe d’événements contenant l’événement que
vous souhaitez afficher, cliquez sur View Details.
3. Dans la zone Event Details, dans la colonne Actions de l’événement que vous
souhaitez afficher, cliquez sur View Details.
c. Cliquez sur la case à cocher en regard des champs Event Group Categories
correspondant aux catégories de groupes d’événements que vous souhaitez
associer à l’alerte.
d. Dans le champ Event Group ID, saisissez l’ID du groupe d’événements pour
lequel vous souhaitez obtenir un rapport.
Pour ajouter un autre ID de groupe d’événements à l’alerte, cliquez sur Add
Another Event Group ID.
Remarque
Remarque
c. Cliquez sur la case à cocher en regard des champs Event Group Categories
correspondant aux catégories de groupes d’événements que vous souhaitez
associer à l’alerte.
d. Dans le champ Event Group ID, saisissez l’ID du groupe d’événements pour
lequel vous souhaitez obtenir un rapport.
Pour ajouter un autre ID de groupe d’événements à l’alerte, cliquez sur Add
Another Event Group ID.
Remarque
Afficher un canal
Vous pouvez afficher des informations détaillées sur un canal spécifique.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Dans la zone Alert Channels, localisez le canal que vous souhaitez afficher.
3. Dans la colonne Actions du canal que vous souhaitez afficher, cliquez sur View/
Edit.
Créer un canal
Vous pouvez créer et configurer de nouveaux canaux pour envoyer des informations
d’alerte.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Dans la zone Alert Channels, cliquez sur Create an Alert Channel.
3. Dans le champ Name, saisissez le nom du canal.
4. Cochez la case Enable this Channel pour activer ou désactiver le canal.
5. Sélectionnez le mécanisme d’envoi pour le canal dans la liste déroulante Type.
Remarque
6. Si vous créez un canal SMTP, vous pouvez configurer les paramètres suivants :
a. Dans le champ Send to, entrez l’adresse e-mail à laquelle vous souhaitez
recevoir des alertes sur ce canal.
Pour ajouter une autre adresse e-mail au canal, cliquez sur Add Another
Email Address.
b. Dans le champ Send from, entrez l’adresse e-mail que vous souhaitez voir
apparaître dans le champ de l’expéditeur des e-mails d’alerte.
c. Dans le champ Subject, entrez le texte que vous souhaitez faire apparaître
dans la ligne d’objet des e-mails d’alerte.
d. Dans le champ SMTP Host or Relay Address, entrez l’adresse de votre
hôte ou relais SMTP.
e. Dans le champ SMTP Relay Port, entrez le numéro de votre port de relais
SMTP.
f. Cochez la case Use SMTP Authentication pour spécifier le nom
d’utilisateur et le mot de passe de votre serveur SMTP.
g. Spécifiez la sécurité de votre connexion entre NONE ou STARTTLS.
h. Dans la liste déroulante Notification Batch Mode, indiquez si les alertes
sont envoyées par lot, selon leur gravité ou leur catégorie.
i. Dans la liste déroulante Notification Email Template, indiquez si les e-mails
seront créés à partir d’un modèle d’e-mail standard ou personnalisé.
Si vous spécifiez un modèle personnalisé, entrez l’emplacement du modèle
sur votre cluster dans le champ Custom Template Location.
Modifier un canal
Vous pouvez modifier un canal que vous avez créé.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Dans la zone Alert Channels, localisez le canal que vous souhaitez modifier.
3. Dans la colonne Actions du canal que vous souhaitez modifier, cliquez sur
View/Edit.
4. Cliquez sur Edit Alert Channel.
5. Cochez la case Enable this Channel pour activer ou désactiver le canal.
6. Sélectionnez le mécanisme d’envoi pour le canal dans la liste déroulante Type.
Remarque
7. Si vous modifiez un canal SMTP, vous pouvez modifier les paramètres suivants :
a. Dans le champ Send to, entrez l’adresse e-mail à laquelle vous souhaitez
recevoir des alertes sur ce canal.
Pour ajouter une autre adresse e-mail au canal, cliquez sur Add Another
Email Address.
b. Dans le champ Send from, entrez l’adresse e-mail que vous souhaitez voir
apparaître dans le champ de l’expéditeur des e-mails d’alerte.
c. Dans le champ Subject, entrez le texte que vous souhaitez faire apparaître
dans la ligne d’objet des e-mails d’alerte.
d. Dans le champ SMTP Host or Relay Address, entrez l’adresse de votre
hôte ou relais SMTP.
e. Dans le champ SMTP Relay Port, entrez le numéro de votre port de relais
SMTP.
f. Cochez la case Use SMTP Authentication pour spécifier le nom
d’utilisateur et le mot de passe de votre serveur SMTP.
g. Spécifiez la sécurité de votre connexion entre NONE ou STARTTLS.
h. Dans la liste déroulante Notification Batch Mode, indiquez si les alertes
sont envoyées par lot, selon leur gravité ou leur catégorie.
i. Dans la liste déroulante Notification Email Template, indiquez si les e-mails
seront créés à partir d’un modèle d’e-mail standard ou personnalisé.
Si vous spécifiez un modèle personnalisé, entrez l’emplacement du modèle
sur votre cluster dans le champ Custom Template Location.
Supprimer un canal
Vous pouvez supprimer les canaux que vous avez créés.
Procédure
1. Cliquez sur Cluster Management > Events and Alerts > Alerts.
2. Dans la zone Alert Channels, localisez le canal que vous souhaitez supprimer.
3. Dans la colonne Actions, cliquez sur le canal que vous souhaitez supprimer, puis
cliquez sur Delete.
Remarque
Maintenance et tests
Vous pouvez modifier les paramètres d’événement pour spécifier les limites de
stockage et de rétention des données d’événement, pour planifier des fenêtres de
maintenance et pour envoyer des événements de test.
Fenêtres de maintenance
Vous pouvez planifier une fenêtre de maintenance en définissant l’heure de début et la
durée de l’opération de maintenance.
Pendant une fenêtre de maintenance planifiée, le système continue de consigner les
événements, mais ne génère aucune alerte. La planification d’une fenêtre de
maintenance évite d’inonder les canaux d’alertes anodines associées aux procédures
de maintenance du cluster.
Les groupes d’événements actifs recommencent automatiquement à générer des
alertes au terme de la période de maintenance planifiée.
Maintenance et tests 83
Administration générale d’un cluster
Maintenance du cluster
Le personnel autorisé peut remplacer ou mettre à niveau les composants des nœuds
Isilon.
Le support technique Isilon peut vous aider à remplacer les composants d’un nœud ou
à les mettre à niveau pour accroître les performances.
Remarque
Ces composants ne sont pas applicables dans le cas d’un nœud IsilonSD.
l batterie ;
l disque Bootflash ;
l disque SATA/SAS ;
l mémoire (DIMM) ;
l ventilateur ;
l panneau avant ;
l switch d’intrusion ;
l carte réseau ;
l carte InfiniBand ;
l carte NVRAM ;
l contrôleur SAS ;
l alimentation.
Si vous configurez votre cluster pour qu’il envoie des alertes à Isilon, le support
technique Isilon vous contacte si un composant doit être remplacé. Si vous ne
configurez pas votre cluster pour qu’il envoie des alertes à Isilon, vous devez créer une
demande de service.
Remarque
Ces composants de nœud ne sont pas applicables dans le cas d’IsilonSD Edge.
l disque ;
l mémoire (DIMM) ;
l carte réseau.
Si vous souhaitez mettre à niveau les composants de vos nœuds, contactez le support
technique Isilon.
Remarque
Remarque
Remarque
Remarque
3. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
4. Créez ou vérifiez la disponibilité de la structure de répertoire /ifs/data/
Isilon_Support/dsp.
5. Copiez le fichier téléchargé dans le répertoire dsp en utilisant le protocole SCP,
FTP, SMB, NFS ou tout autre protocole d’accès aux données pris en charge.
6. Décompressez le fichier en exécutant la commande tar.
Par exemple, à partir de la variante sélectionnée pour le package de prise en
charge de disques, décompressez le package en exécutant l’une des
commandes suivantes :
isi_dsp_install Drive_Support_<version>.tar
isi_dsp_install Drive_Support_<version>_No_SSD.tar
Remarque
Pour mettre à jour le microprogramme des disques sur des nœuds qui ne contiennent
pas de disque Bootflash, téléchargez et installez le dernier package de
microprogramme de disque. Pour plus d’informations, consultez les notes de mise à
jour du package de microprogramme de disque les plus récentes à l'adresse https://
support.emc.com/.
Remarque
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Exécutez la commande suivante pour mettre à jour le microprogramme de
disque pour l’ensemble du cluster :
isi devices drive firmware update start all --node-lnn all
Pour mettre à jour le microprogramme de disque pour un nœud spécifique
uniquement, exécutez la commande suivante :
isi devices drive firmware update start all --node-
lnn<node-number>
ATTENTION
Vous devez attendre que la mise à jour d’un nœud soit terminée avant de
démarrer une mise à jour sur le nœud suivant. Pour vérifier que la mise à
jour d’un nœud est terminée, exécutez la commande suivante :
isi devices drive firmware update list
Un disque qui est toujours en cours de mise à jour présente l’état
FWUPDATE.
2. Vérifiez que tous les disques ont été mis à jour en exécutant la commande
suivante :
Si tous les disques ont été mis à jour, la colonne Desired FW est vide.
3. Exécutez la commande suivante pour vérifier que tous les disques concernés
fonctionnent correctement :
Où :
LNN
Affiche le LNN du nœud contenant le disque.
Location
Affiche le numéro de la baie où le disque est installé.
Firmware
Affiche le numéro de version du microprogramme actuellement exécuté sur le
disque.
Desired
Si le microprogramme des disques doit être mis à niveau, affiche le numéro de
version du microprogramme voulu.
Model
Affiche le numéro de modèle du disque.
Remarque
Remarque
Les disques neufs et de remplacement ajoutés à un cluster sont formatés quel que soit
l’état de révision de leur microprogramme. Vous pouvez identifier un échec de la mise
à jour du microprogramme en affichant l’état du microprogramme pour les disques
d’un nœud spécifique. En cas d’échec, exécutez la commande isi devices avec
l’action fwupdate sur le nœud pour mettre à jour manuellement le microprogramme.
Par exemple, exécutez la commande suivante pour mettre à jour manuellement le
microprogramme sur le nœud 1 :
Remarque
l Pour obtenir des informations spécifiques sur la compatibilité des versions entre
OneFS et le matériel d’EMC Isilon, consultez le guide Isilon Supportability and
Compatibility Guide.
l Si vous exécutez IsilonSD Edge, suivez les instructions du Guide d’installation et
d’administration d’IsilonSD Edge pour ajouter un nœud à un cluster IsilonSD.
Procédure
1. Cliquez sur Cluster Management > Hardware Configuration > Add Nodes.
2. Dans le tableau Available Nodes, cliquez sur Add en regard du nœud que vous
voulez ajouter au cluster.
Remarque
Procédure
1. Accédez à Cluster Management > Hardware Configuration > Remove Nodes.
2. Dans la zone Remove Node, spécifiez le nœud que vous souhaitez supprimer.
3. Cliquez sur Submit.
Si vous supprimez un nœud de stockage, la progression du processus smartfail
s’affiche dans la zone Cluster Status. Si vous supprimez un nœud
d’accélérateur non destiné au stockage, il est immédiatement retiré du cluster.
Remarque
l Bien que vous puissiez spécifier n’importe quel nombre entier pour le LNN, nous
vous recommandons de ne pas utiliser un nombre entier supérieur à 144 pour éviter
toute dégradation importante des performances.
l Ignorez ces instructions si vous exécutez IsilonSD Edge, car il est impossible de
modifier le LNN d’un nœud IsilonSD.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Ouvrez une invite de commandes isi config en exécutant la commande
suivante :
isi config
lnnset 12 73
4. Accédez à commit .
Résultats
Vous devrez peut-être vous reconnecter à votre session SSH avant que le nom du
nœud soit automatiquement modifié.
Option Description
Shut down Arrête le cluster.
Reboot Arrête le cluster, puis le redémarre.
Remarque
Les mises à niveau consécutives ne sont pas disponibles pour tous les clusters. Pour
obtenir des instructions sur la façon de planifier une mise à niveau, de préparer le
cluster et de procéder à la mise à niveau du système d’exploitation, consultez le
OneFS Upgrades – Isilon Info Hub.
Remarque
Support à distance
OneFS prend en charge le support à distance via EMC Secure Remote Services
(ESRS), qui surveille votre cluster EMC Isilon et, avec votre autorisation, autorise
l’accès distant au personnel de Support technique Isilon afin de collecter les données
du cluster et de résoudre les problèmes éventuels.
ESRS est un système de support clients basé sur IP et sécurisé. Il inclut la surveillance
à distance 24x7 et l’authentification sécurisée avec le chiffrement AES 256 bits et les
certificats numériques RSA.
Lorsqu’il est configuré, ESRS surveille votre cluster Isilon nœud par nœud et envoie
des alertes concernant l’intégrité de vos périphériques. Le personnel de Support
technique Isilon peut établir des sessions à distance via SSH ou via l’interface
d’administration Web. Au cours de sessions à distance, le personnel de support peut
exécuter des scripts qui collectent des données de diagnostic concernant les
paramètres et les opérations du cluster, qui sont ensuite envoyées vers un site FTP
sécurisé, et résoudre les demandes de support ouvertes sur votre cluster.
Si vous activez le support à distance, vous devez partager les identifiants de
connexion au cluster avec le personnel du Support technique Isilon. Le personnel du
Support technique Isilon aura besoin d’un accès à distance à votre cluster uniquement
dans le cadre d’une demande de support ouverte, et vous pouvez autoriser ou refuser
la demande de session à distance.
ESRS est inclus dans le système d’exploitation OneFS et ne nécessite pas l’activation
d’une licence distincte. Vous devez activer et configurer ESRS pour que l’exécution
des scripts de collecte de données puisse avoir lieu. La fonction peut avoir été activée
lors de la configuration initiale du cluster, mais vous pouvez activer ou désactiver
ESRS à tout moment.
Pour obtenir une description complète des caractéristiques et fonctions d’ESRS,
consultez la version la plus récente du document intitulé EMC Secure Remote Services
Technical Description. D’autres documents relatifs à ESRS sont disponibles sur le site
de support en ligne EMC.
Action Description
Clean watch folder Efface le contenu de /var/crash.
Get ABR data (as built record) Collecte les informations existantes sur
le matériel.
Action Description
Get contents (var/crash) Télécharge le contenu de /var/crash.
Action Description
isi_gather_info--incremental Collecte et télécharge les modifications
des informations du log du cluster qui
ont eu lieu depuis l’opération complète la
plus récente.
Pour isoler des données au sein d’une zone d’accès, EMC recommande de créer un
chemin de répertoire de base unique qui ne chevauche pas et n’est pas identique à un
autre répertoire de base, à l’exception de la zone d’accès System. Par exemple, ne
spécifiez pas /ifs/data/hr en tant que répertoire de base pour les deux zones
d’accès zone2 et zone3. De même, si /ifs/data/hr est attribué à zone2,
n’attribuez pas /ifs/data/hr/personnel à zone3.
OneFS prend en charge les données qui se chevauchent entre des zones d’accès dans
les cas où vos workflows nécessitent des données partagées. Toutefois, cette
situation augmente la complexité de la configuration des zones d’accès, ce qui peut
entraîner par la suite des problèmes d’accès client. Pour obtenir les meilleurs résultats
avec des données qui se chevauchent entre des zones d’accès, EMC recommande que
les zones d’accès partagent également les mêmes fournisseurs d’authentification.
Avec des fournisseurs partagés, les utilisateurs ont des informations d’identité
cohérentes lorsqu’ils accèdent aux mêmes données via des zones d’accès différentes.
Si vous ne pouvez pas configurer les mêmes fournisseurs d’authentification pour les
zones d’accès comportant des données partagées, EMC vous recommande
d’appliquer les bonnes pratiques suivantes :
l Sélectionnez Active Directory en tant que fournisseur d’authentification dans
chaque zone d’accès. De cette manière, les fichiers stockent des identifiants de
sécurité globalement uniques en tant qu’identités sur disque, ce qui évite que les
utilisateurs des différentes zones accèdent aux données les uns des autres.
l Évitez de sélectionner les fournisseurs d’authentification locaux, LDAP et NIS dans
les zones d’accès. Ces fournisseurs d’authentification utilisent des UID et des GID,
qui ne sont pas forcément globalement uniques. Cela augmente la probabilité que
les utilisateurs des différentes zones soient en mesure d’accéder aux données les
uns des autres.
l Définissez l’identité sur disque sur la valeur native ou, de préférence, sur
l’identifiant de sécurité. Lorsqu’il existe des mappages entre les utilisateurs
d’Active Directory et d’UNIX, ou si l’option Services for Unix est activée
pour le fournisseur Active Directory, OneFS stocke les identifiants de sécurité, et
non les UID, en tant qu’identités sur disque.
Évitez de faire se chevaucher les plages d’ID En cas de chevauchement dans une même
utilisateur ou de groupe des fournisseurs zone d’accès, le risque de conflits d’accès à la
d’authentification d’une même zone d’accès. zone est faible, mais bien réel.
Qualité de service
Vous pouvez définir les limites supérieures de la qualité de service en allouant des
ressources physiques spécifiques à chaque zone d’accès.
La qualité de service concerne les caractéristiques de performances du matériel
physique qui peuvent être mesurées, améliorées et parfois garanties. Les
caractéristiques mesurées dans le cadre de la qualité de service incluent, mais sans s’y
limiter, le débit, l’utilisation du CPU et la volumétrie. Lorsque vous partagez le matériel
physique d’un cluster EMC Isilon entre plusieurs instances virtuelles, une concurrence
existe pour les services suivants :
l CPU
l Mémoire
l Bande passante réseau
l E/S de disque
l Volumétrie
Les zones d’accès n’offrent pas de garanties de qualité de service logique pour ces
ressources, mais vous pouvez partitionner ces dernières entre les zones d’accès d’un
même cluster. Le tableau suivant décrit divers moyens de partitionner les ressources
pour améliorer la qualité de service :
Utilisation Remarques
Cartes réseau Vous pouvez attribuer les cartes réseau
spécifiques de certains nœuds à un pool
d’adresses IP associé à une zone d’accès. En
attribuant ainsi les cartes réseau, vous
déterminez quelles interfaces et quels nœuds
sont associés à une zone d’accès. Il est ainsi
possible de séparer les ressources CPU,
mémoire et bande passante réseau.
Si vous exécutez IsilonSD Edge, le groupe de
ports gère les cartes réseau sur les nœuds
IsilonSD. Pour plus d’informations sur la
configuration du groupe de ports, consultez le
Guide d’installation et d’administration
d’IsilonSD Edge.
Utilisation Remarques
d’une zone d’accès, vous pouvez restreindre
la volumétrie utilisée dans cette zone d’accès.
titre d’une instance de fournisseur, puis faites-la glisser vers une nouvelle
position dans la liste.
5. Cliquez sur Create Zone.
6. Si le répertoire que vous définissez chevauche le répertoire de base d’une autre
zone d’accès, cliquez sur Create à l’invite pour confirmer que vous souhaitez
autoriser l’accès aux utilisateurs des deux zones d’accès.
À effectuer
Pour que les utilisateurs puissent se connecter à une zone d’accès, vous devez
d’abord l’associer à un pool d’adresses IP.
l Présentation de l’authentification......................................................................112
l Fonctions du fournisseur d’authentification.......................................................112
l Présentation de l’historique des identifiants de sécurité (SID).......................... 113
l Fournisseurs d’authentification pris en charge.................................................. 113
l Active Directory................................................................................................ 114
l LDAP................................................................................................................. 114
l NIS.................................................................................................................... 115
l Authentification Kerberos..................................................................................116
l Fournisseur de fichiers...................................................................................... 117
l Fournisseur local............................................................................................... 118
l Gestion des fournisseurs Active Directory.........................................................118
l Gestion des fournisseurs LDAP......................................................................... 121
l Gestion des fournisseurs NIS............................................................................126
l Gestion de l’authentification MIT Kerberos.......................................................128
l Gestion des fournisseurs de fichiers................................................................. 134
l Gestion des utilisateurs et des groupes locaux..................................................139
Authentification 111
Authentification
Présentation de l’authentification
OneFS prend en charge les fournisseurs d’authentification locaux et distants afin de
vérifier que les utilisateurs qui tentent d’accéder à un cluster EMC Isilon sont bien qui
ils prétendent être. L’accès anonyme, qui ne nécessite pas d’authentification, est pris
en charge pour les protocoles qui le permettent.
OneFS prend en charge plusieurs types de fournisseur d’authentification simultanés,
qui sont similaires aux services d’annuaire. Par exemple, OneFS est souvent configuré
pour authentifier les clients Windows avec Active Directory et pour authentifier les
clients UNIX avec l’annuaire LDAP. Vous pouvez également configurer le service NIS,
conçu par Sun Microsystems, pour authentifier les utilisateurs et les groupes lorsqu’ils
accèdent à un cluster.
Remarque
Fonction Description
Authentification Tous les fournisseurs d’authentification
prennent en charge l’authentification en texte
brut. Vous pouvez configurer certains
fournisseurs pour qu’ils prennent également
en charge l’authentification NTLM ou
Kerberos.
Propriétés des utilisateurs et des groupes Domaine NetBios et SID. Les informations
pour Windows manquantes sont complétées par des modèles
de configuration.
LDAP * x x x *
NIS x x
Local x x x x
Fichier x x x
MIT x * * *
Kerberos
Active Directory
Active Directory est une implémentation Microsoft des technologies LDAP
(Lightweight Directory Access Protocol), Kerberos et DNS qui stockent des
informations concernant les ressources réseau. Active Directory peut jouer de
nombreux rôles, mais le principal intérêt du rattachement du cluster à un domaine
Active Directory réside dans l’authentification des utilisateurs et des groupes.
Vous pouvez joindre un cluster EMC Isilon à un domaine Active Directory (AD) en
spécifiant le nom de domaine complet, qui peut être résolu par une adresse IPv4 ou
IPv6, et un nom d’utilisateur autorisé à réaliser l’association. Lorsque le cluster rejoint
un domaine AD, un compte d’ordinateur AD unique est créé. Le compte d’ordinateur
établit une relation de confiance avec le domaine et permet au cluster d’authentifier et
d’autoriser des utilisateurs dans la forêt Active Directory. Par défaut, le compte
d’ordinateur porte le même nom que le cluster. Si le nom du cluster comporte plus de
15 caractères, le nom est haché et affiché une fois le rattachement au domaine
effectué.
OneFS prend en charge NTLM et Microsoft Kerberos pour l’authentification des
utilisateurs du domaine Active Directory. Les informations d’identification du client
NTLM sont obtenues via le processus de connexion, puis présentées dans un format
challenge-réponse chiffré pour l’authentification. Les informations d’identification du
client Microsoft Kerberos sont obtenues à partir d’un centre de distribution des clés
(KDC), puis présentées lorsque les connexions au serveur sont établies. Pour une
sécurité et des performances optimales, nous vous recommandons d’implémenter
Kerberos, suivant les instructions Microsoft, comme protocole d’authentification
principal d’Active Directory.
Chaque fournisseur Active Directory doit être associé à un réseau de groupe. Le
réseau de groupe est un conteneur de mise en réseau de niveau supérieur qui gère la
résolution des noms d’hôte auprès des serveurs de noms DNS et qui contient les sous-
réseaux et les pools d’adresses IP. Le réseau de groupe spécifie les propriétés de mise
en réseau que le fournisseur Active Directory doit utiliser pour communiquer avec des
serveurs externes. Le réseau de groupe associé au fournisseur Active Directory ne
peut pas être modifié. Au lieu de cela, vous devez supprimer le fournisseur Active
Directory, puis le recréer avec la nouvelle association au réseau de groupe.
Vous pouvez ajouter un fournisseur Active Directory à une zone d’accès comme
méthode d’authentification des clients qui se connectent via la zone d’accès. OneFS
prend en charge plusieurs instances d’Active Directory sur un cluster Isilon, mais vous
ne pouvez attribuer qu’un fournisseur Active Directory par zone d’accès. La zone
d’accès et le fournisseur Active Directory doivent référencer le même réseau de
groupe. Configurez plusieurs instances d’Active Directory seulement si vous devez
accorder l’accès à plusieurs ensembles de domaines qui ne sont pas mutuellement
approuvés. En revanche, si tous les domaines ont une relation de confiance,
configurez une seule instance d’Active Directory. Vous pouvez mettre fin à
l’authentification par un fournisseur Active Directory en le supprimant des zones
d’accès qui lui sont associées.
LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole réseau
qui vous permet de définir, d’interroger et de modifier des ressources et des services
d’annuaire.
OneFS peut authentifier les utilisateurs et les groupes auprès d’un référentiel LDAP
afin de les autoriser à accéder au cluster. OneFS prend en charge l’authentification
Kerberos pour un fournisseur LDAP.
Le service LDAP prend en charge les fonctions suivantes :
l Utilisateurs, groupes et groupes réseau.
l Schémas LDAP configurables. Par exemple, le schéma ldapsam permet
l’authentification NTLM via le protocole SMB pour les utilisateurs ayant des
attributs de type Windows.
l Authentification via une liaison simple, avec et sans SSL.
l Redondance et équilibrage de la charge sur tous les serveurs avec des données de
répertoire identiques.
l Instances multiples de fournisseurs LDAP pour accéder aux serveurs avec des
données utilisateur différentes.
l Mots de passe chiffrés.
l URI du serveur d’adresses IPv4 et IPv6.
Chaque fournisseur LDAP doit être associé à un réseau de groupe. Le réseau de
groupe est un conteneur de mise en réseau de niveau supérieur qui gère la résolution
des noms d’hôte auprès des serveurs de noms DNS et qui contient les sous-réseaux et
les pools d’adresses IP. Le réseau de groupe spécifie les propriétés de mise en réseau
que le fournisseur LDAP doit utiliser pour communiquer avec des serveurs externes. Le
réseau de groupe associé au fournisseur LDAP ne peut pas être modifié. Au lieu de
cela, vous devez supprimer le fournisseur LDAP, puis le recréer avec la nouvelle
association au réseau de groupe.
Vous pouvez ajouter un fournisseur LDAP à une zone d’accès comme méthode
d’authentification des clients qui se connectent via la zone d’accès. Une zone d’accès
peut inclure au maximum un fournisseur LDAP. La zone d’accès et le fournisseur LDAP
doivent référencer le même réseau de groupe. Vous pouvez mettre fin à
l’authentification par un fournisseur LDAP en le supprimant des zones d’accès qui lui
sont associées.
NIS
Le service NIS (Network Information Service) assure l’uniformité de l’authentification
et des identités sur les différents réseaux locaux. OneFS inclut un fournisseur
d’authentification NIS qui vous permet d’intégrer le cluster dans votre infrastructure
NIS.
Le service NIS, conçu par Sun Microsystems, peut authentifier les utilisateurs et les
groupes lorsqu’ils accèdent au cluster. Le fournisseur NIS expose les mappages de
mot de passe, de groupe et de groupe réseau d’un serveur NIS. La recherche de noms
d’hôte est également prise en charge. Vous pouvez spécifier plusieurs serveurs à des
fins de redondance et d’équilibrage de la charge.
Chaque fournisseur NIS doit être associé à un réseau de groupe. Le réseau de groupe
est un conteneur de mise en réseau de niveau supérieur qui gère la résolution des
noms d’hôte auprès des serveurs de noms DNS et qui contient les sous-réseaux et les
pools d’adresses IP. Le réseau de groupe spécifie les propriétés de mise en réseau que
le fournisseur NIS doit utiliser pour communiquer avec des serveurs externes. Le
réseau de groupe associé au fournisseur NIS ne peut pas être modifié. Au lieu de cela,
vous devez supprimer le fournisseur NIS, puis le recréer avec la nouvelle association au
réseau de groupe.
Vous pouvez ajouter un fournisseur NIS à une zone d’accès comme méthode
d’authentification des clients qui se connectent via la zone d’accès. Une zone d’accès
NIS 115
Authentification
Remarque
NIS est différent de NIS+, qui n’est pas pris en charge par OneFS.
Authentification Kerberos
Kerberos est un fournisseur d’authentification réseau qui négocie les tickets de
chiffrement pour sécuriser une connexion. OneFS prend en charge les fournisseurs
d’authentification Microsoft Kerberos et MIT Kerberos sur un cluster EMC Isilon. Si
vous configurez un fournisseur Active Directory, la prise en charge de
l’authentification Microsoft Kerberos est automatiquement fournie. MIT Kerberos
fonctionne indépendamment d’Active Directory.
Pour l’authentification MIT Kerberos, vous définissez un domaine administratif connu
sous le nom de realm. Dans ce realm, un serveur d’authentification est habilité à
authentifier un utilisateur, un hôte ou un service, et peut utiliser des adresses IPv4 ou
IPv6. Vous pouvez éventuellement définir un domaine MIT Kerberos pour associer des
extensions de domaine supplémentaires à un realm.
Le serveur d’authentification dans un environnement Kerberos, appelé centre de
distribution de clés (KDC), distribue des tickets chiffrés. Lorsqu’un utilisateur
s’authentifie avec un fournisseur MIT Kerberos dans un realm, un ticket chiffré avec le
nom principal de service (SPN) de l’utilisateur est créé et validé pour autoriser en
toute sécurité l’identification de l’utilisateur pour le service demandé.
Chaque fournisseur MIT Kerberos doit être associé à un réseau de groupe. Le réseau
de groupe est un conteneur de mise en réseau de niveau supérieur qui gère la
résolution des noms d’hôte auprès des serveurs de noms DNS et qui contient les sous-
réseaux et les pools d’adresses IP. Le réseau de groupe spécifie les propriétés de mise
en réseau que le fournisseur Kerberos doit utiliser pour communiquer avec des
serveurs externes. Le réseau de groupe associé au fournisseur Kerberos ne peut pas
être modifié. Au lieu de cela, vous devez supprimer le fournisseur Kerberos, puis le
recréer avec la nouvelle association au réseau de groupe.
Vous pouvez ajouter un fournisseur MIT Kerberos à une zone d’accès comme méthode
d’authentification des clients qui se connectent via la zone d’accès. Une zone d’accès
peut inclure au maximum un fournisseur MIT Kerberos. La zone d’accès et le
fournisseur Kerberos doivent référencer le même réseau de groupe. Vous pouvez
mettre fin à l’authentification par un fournisseur MIT Kerberos en le supprimant des
zones d’accès qui lui sont associées.
pour les SPN et les modifier ultérieurement en fonction des besoins. Un SPN pour un
service apparaît généralement en tant que <service>/<fqdn>@<realm>.
Remarque
Les SPN doivent correspondre au nom de zone SmartConnect et au nom d’hôte FQDN
du cluster. Si les paramètres de zone SmartConnect sont modifiés, vous devez mettre
à jour les SPN sur le cluster pour refléter les modifications.
Fournisseur de fichiers
Un fournisseur de fichiers vous permet de doter le cluster EMC Isilon d’une source
tierce (faisant autorité) d’informations relatives aux utilisateurs et aux groupes. Une
source tierce est utile dans les environnements UNIX et Linux qui synchronisent les
fichiers /etc/passwd, /etc/group et etc/netgroup sur plusieurs serveurs.
Les fichiers BSD standard de base de données /etc/spwd.db et /etc/group
servent de zone de stockage supplémentaire pour le fournisseur de fichiers au sein du
cluster. Pour générer le fichier spwd.db, vous devez exécuter la commande
pwd_mkdb dans l’interface de ligne de commande (CLI) OneFS. Vous pouvez rédiger
des scripts de mise à jour des fichiers de base de données.
Sur un cluster Isilon, un fournisseur de fichiers hache les mots de passe avec
libcrypt. Pour une sécurité optimale, nous vous recommandons d’utiliser le format
MCF (Modular Crypt Format) dans le fichier source /etc/passwd pour déterminer
l’algorithme de hachage. OneFS prend en charge les algorithmes suivants pour MCF :
l MD5
l NT-Hash
l SHA-256
l SHA-512
Pour obtenir des informations sur les autres formats de mot de passe disponibles,
exécutez la commande man 3 crypt dans l’interface de ligne de commande pour
afficher les pages man de chiffrement.
Remarque
Fournisseur local
Le fournisseur local propose des fonctions d’authentification et de recherche pour les
comptes utilisateur ajoutés par un administrateur.
L’authentification locale est utile lorsque les services d’annuaire Active Directory,
LDAP ou NIS ne sont pas configurés, ou lorsqu’un utilisateur ou une application
spécifique a besoin d’accéder au cluster. Les groupes locaux peuvent inclure des
groupes prédéfinis et des groupes Active Directory en tant que membres.
En plus de configurer des sources d’authentification basées sur le réseau, vous pouvez
gérer les utilisateurs et les groupes locaux en configurant une règle locale de mot de
passe pour chaque nœud du cluster. Les paramètres OneFS définissent la complexité,
l’âge et la réutilisation des mots de passe, ainsi que les politiques de verrouillage des
tentatives de mot de passe.
Remarque
Procédure
1. Cliquez sur Access > Authentication Providers > Active Directory.
2. Cliquez sur Join a domain.
3. Dans le champ Domain Name, indiquez le nom de domaine Active Directory
complet, lequel peut être traduit en une adresse IPv4 ou IPv6.
Le nom de domaine sera également utilisé comme nom du fournisseur.
Remarque
8. Dans la liste Groupnet, sélectionnez le réseau de groupe qui sera référencé par
le fournisseur d’authentification.
9. (Facultatif) Pour activer l’authentification Active Directory pour NFS,
sélectionnez Enable Secure NFS.
Remarque
10. (Facultatif) Dans la zone Advanced Active Directory Settings, configurez les
paramètres avancés que vous souhaitez utiliser. Il est déconseillé de modifier les
paramètres avancés si vous n’en comprenez pas les conséquences.
11. Cliquez sur Join.
utilisateurs qui y accèdent. Une fois que vous avez abandonné un domaine Active
Directory, les utilisateurs ne peuvent plus y accéder depuis le cluster.
Procédure
1. Cliquez sur Access > Authentication Providers > Active Directory.
2. Dans le tableau Active Directory Providers, cliquez sur Leave en regard du
domaine que vous souhaitez quitter.
3. Dans la fenêtre de confirmation, cliquez sur Leave.
Paramètre Description
Services For UNIX Indique si les attributs RFC 2307 doivent être
pris en charge pour les contrôleurs de
domaine. La norme RFC 2307 est requise pour
les technologies d’intégration entre Windows
et UNIX, et Windows Services For UNIX.
Paramètre Description
uniquement aux utilisateurs qui accèdent au
système de fichiers via SSH.
Query all other providers for UID Si aucun UID n’est disponible dans Active
Directory, recherche les utilisateurs Active
Directory dans tous les autres fournisseurs
afin d’attribuer un UID.
Match users with lowercase Si aucun UID n’est disponible dans Active
Directory, normalise les noms d’utilisateur
Active Directory en lettres minuscules avant
de démarrer une recherche.
Query all other providers for GID Si aucun GID n’est disponible dans Active
Directory, recherche les groupes Active
Directory dans tous les autres fournisseurs
afin d’attribuer un GID.
Match groups with lowercase Si aucun GID n’est disponible dans Active
Directory, normalise les noms de groupe
Active Directory en lettres minuscules avant
de démarrer une recherche.
Make UID/GID assignments for users and Limite les recherches d’utilisateurs et de
groups in these specific domains groupes aux domaines spécifiés.
Remarque
l Si vous ne spécifiez pas de port, le port par défaut est utilisé. Le port par
défaut est 389 pour un serveur LDAP non sécurisé (ldap://) et 636 pour un
serveur LDAP sécurisé (ldaps://). En cas de connexion LDAP non sécurisée,
le mot de passe de liaison est transmis au serveur en texte clair.
l Si vous spécifiez une adresse IPv6, celle-ci doit être indiquée entre crochets.
Exemple de format IPv6 approprié pour ce champ : ldap://
[2001:DB8:170:7cff::c001].
Option Description
Default Query Permet de modifier les paramètres par défaut des
Settings requêtes d’utilisateurs, de groupes et de groupes
réseau.
User Query Permet de modifier les paramètres des requêtes
Settings d’utilisateurs et du provisionnement des répertoires de
base.
Group Query Permet de modifier les paramètres des requêtes de
Settings groupes.
Netgroup Query Permet de modifier les paramètres des requêtes de
Settings groupes réseau.
Advanced LDAP Permet de modifier les attributs LDAP par défaut
Settings contenant les informations utilisateur ou de modifier les
paramètres de sécurité LDAP.
Remarque
Étendue de recherche
Spécifie la profondeur des recherches LDAP à partir du nom unique de base. Les
valeurs suivantes sont valides :
Standard
Applique l’étendue de recherche définie dans les paramètres par défaut de la
requête. Cette option n’est pas disponible pour l’étendue de recherche de la
requête par défaut.
Base
Effectue uniquement la recherche dans l’entrée du nom unique de base.
One-level
Recherche toutes les entrées exactement un niveau au-dessous du nom
unique de base.
Subtree
Recherche le nom unique de base et toutes les entrées en dessous.
Enfants
Recherche toutes les entrées sous le nom unique de base, à l’exclusion du
nom unique de base lui-même.
Search timeout
Spécifie le nombre de secondes après lequel arrêter de recommencer et faire
échouer une recherche. La valeur par défaut est 100. Ce paramètre est disponible
uniquement dans les paramètres de requête par défaut.
Query filter
Spécifie le filtre LDAP pour les objets utilisateur, groupe ou groupe réseau. Ce
paramètre n’est pas disponible dans les paramètres de requête par défaut.
UNIX shell
Spécifie le chemin d’accès au shell de connexion de l’utilisateur pour les
utilisateurs qui accèdent au système de fichiers via le protocole SSH. Ce
paramètre est disponible uniquement dans les paramètres des requêtes
utilisateur.
Remarque
Attribut Name
Spécifie l’attribut LDAP qui contient les ID utilisateur qui sont utilisés en tant que
noms de connexion. La valeur par défaut est uid.
Email attribute
Spécifie l’attribut LDAP qui contient les adresses e-mail. La valeur par défaut est
mail.
UID attribute
Spécifie l’attribut LDAP qui contient les numéros des ID utilisateur. La valeur par
défaut est uidNumber.
GID attribute
Spécifie l’attribut LDAP contenant les ID de groupe. La valeur par défaut est
gidNumber.
Member of attribute
Définit l’attribut à utiliser pour rechercher les appartenances inversées dans
LDAP. Cette valeur LDAP doit être un attribut du type d’utilisateur posixAccount
qui décrit les groupes dont l’utilisateur POSIX est membre. Ce paramètre n’a
aucune valeur par défaut.
Remarque
l Pour vous connecter en fonction de l’ordre dans lequel les serveurs NIS sont
répertoriés dans le champ Servers, désactivez la case.
7. Dans la liste Groupnet, sélectionnez le réseau de groupe qui sera référencé par
le fournisseur d’authentification.
8. (Facultatif) Spécifiez les paramètres de requête par défaut dans Default query
settings.
a. Dans le champ Search times out after, indiquez la durée en secondes après
laquelle cesser toute tentative et signaler que la recherche a échoué. La
valeur par défaut est 20.
b. Dans le champ Retry search every, spécifiez le délai d’expiration, en
secondes, avant une nouvelle tentative de recherche. La valeur par défaut
est 5.
9. (Facultatif) Spécifiez les paramètres de requête utilisateur dans User query
settings.
a. Pour autoriser le fournisseur à répondre aux demandes d’authentification,
cochez la case Authenticate users from this provider.
b. Dans le champ Path to home directory, saisissez le chemin à utiliser comme
modèle pour nommer les répertoires de base. Le chemin doit commencer
par /ifs et peut contenir des variables d’extension, telles que %U, qui sont
développées pour générer le chemin du répertoire personnel de l’utilisateur.
Pour plus d’informations, consultez la section Répertoires de base.
c. Pour créer un répertoire personnel à la première connexion d’un utilisateur
dans le cas où celui-ci ne dispose pas déjà d’un tel répertoire, cochez la case
Create home directories on first login.
d. Dans la liste UNIX shell, sélectionnez le chemin du shell de connexion des
utilisateurs qui accèdent au système de fichiers via le protocole SSH.
10. (Facultatif) Dans la section Host name query settings, sélectionnez Resolve
hosts from this provider pour activer la résolution de l’hôte. Pour la désactiver,
désactivez la case.
11. Cliquez sur Add NIS provider.
de chaque zone d’accès qui le contient, de sorte que le fournisseur reste disponible
pour une utilisation ultérieure.
Procédure
1. Cliquez sur Access > Authentication Providers > NIS.
2. Dans le tableau NIS Providers, cliquez sur Delete en regard du fournisseur que
vous souhaitez supprimer.
3. Dans la fenêtre de confirmation, cliquez sur Delete.
10. Dans la section Create Provider, sélectionnez le réseau de groupe qui sera
référencé par le fournisseur d’authentification à partir de la liste Groupnet.
11. Dans la zone Service Principal Name (SPN), sélectionnez une des options
suivantes pour la gestion des noms principaux de service :
l Use recommended SPNs
l Manually associate SPNs
Si vous sélectionnez cette option, saisissez au moins un SPN au format
service/principal@realm pour l’associer manuellement au realm.
12. Cliquez sur Create Provider and Join Realm.
spwd.db, qui offre un accès rapide aux données contenues dans un fichier au
format /etc/master.passwd. Vous devez copier les fichiers de remplacement sur
le cluster et les référencer par le chemin de leur répertoire.
Remarque
Option Description
Authenticate users Indique si le fournisseur est autorisé à répondre aux
from this provider demandes d’authentification.
Create home Indique si vous souhaitez créer un répertoire de base la
directories on first première fois qu’un utilisateur se connecte s’il n’en a pas
login déjà un.
Path to home Spécifie le chemin à utiliser comme modèle pour
directory nommer les répertoires personnels. Le chemin doit
commencer par /ifs et peut contenir des variables
d’extension, telles que %U, qui sont développées pour
générer le chemin du répertoire personnel de
l’utilisateur. Pour plus d’informations, consultez la
section Répertoires de base.
UNIX Shell Spécifie le chemin d’accès au shell de connexion de
l’utilisateur pour les utilisateurs qui accèdent au système
de fichiers via le protocole SSH.
Remarque
Par défaut, le fichier binaire de mots de passe, spwd.db, est créé dans le
répertoire /etc. Vous pouvez remplacer l’emplacement de stockage du fichier
spwd.db en spécifiant l’option -d avec un répertoire cible différent.
pwd_mkdb /ifs/test.passwd
admin:*:10:10::0:0:Web UI Administrator:/ifs/home/admin:/bin/zsh
Les champs sont définis ci-dessous dans le même ordre que dans le fichier.
Remarque
Username
Nom d’utilisateur. Ce champ est sensible à la casse. OneFS n’en limite pas la
longueur, mais de nombreuses applications tronquent le nom à 16 caractères.
Password
Mot de passe chiffré de l’utilisateur. Si aucune authentification n’est requise pour
cet utilisateur, vous pouvez remplacer le mot de passe par un astérisque (*). Le
caractère astérisque garantit l’absence de tout mot de passe correspondant.
UID
Identifiant utilisateur UNIX. Cette valeur doit être un nombre compris dans la
plage 0-4294967294 qui n’est pas réservé ni déjà attribué à un utilisateur. Des
problèmes de compatibilité apparaissent si cette valeur est en conflit avec l’UID
d’un compte existant.
GID
ID du groupe principal de l’utilisateur. Tous les utilisateurs sont membres d’au
moins un groupe, qui est utilisé pour les vérifications d’accès et peut également
être utilisé pour la création des fichiers.
Class
Ce champ n’est pas pris en charge par OneFS et ne doit pas être renseigné.
Change
OneFS ne prend pas en charge la modification des mots de passe des utilisateurs
au niveau du fournisseur de fichiers. Ce champ est ignoré.
Expiry
OneFS ne prend pas en charge l’expiration des comptes utilisateur dans le
fournisseur de fichiers. Ce champ est ignoré.
Gecos
Ce champ peut contenir diverses informations, mais stocke généralement le nom
complet de l’utilisateur.
Home
Chemin absolu du répertoire personnel de l’utilisateur à partir de /ifs.
Shell
Chemin absolu du shell de l’utilisateur. Si ce champ est défini sur /sbin/
nologin, l’utilisateur se voit refuser l’accès à la ligne de commande.
admin:*:10:root,admin
Les champs sont définis ci-dessous dans le même ordre que dans le fichier.
Group name
Nom du groupe. Ce champ est sensible à la casse. Bien que OneFS ne limite pas la
longueur du nom de groupe, de nombreuses applications tronquent le nom à
16 caractères.
Password
Ce champ n’est pas pris en charge par OneFS et doit contenir un astérisque (*).
GID
ID de groupe UNIX. Tout nombre compris dans la plage 0-4294967294 qui n’est
pas réservé ni déjà attribué à un groupe est une valeur valide. Des problèmes de
compatibilité apparaissent si cette valeur est en conflit avec un ID de groupe
existant.
Group members
Liste de noms d’utilisateur séparés par des virgules.
Remarque
Une nouvelle ligne signifie un nouveau groupe réseau. Vous pouvez poursuivre une
longue entrée de groupe réseau sur la ligne suivante en insérant une barre oblique
inverse (\) à l’emplacement le plus à droite de la première ligne.
Option Description
Users Sélectionnez cet onglet pour afficher tous les utilisateurs par
fournisseur.
Groups Sélectionnez cet onglet pour afficher tous les groupes par
fournisseur.
son identifiant utilisateur UNIX (UID), son shell de connexion UNIX et son
appartenance à des groupes.
Procédure
1. Cliquez sur Access > Membership & Roles > Users.
2. Dans la liste Current Access Zone, sélectionnez une zone d’accès.
3. Dans la liste Providers, sélectionnez le fournisseur local de la zone.
4. Cliquez sur Create User.
5. Dans le champ User Name, saisissez le nom d’utilisateur du compte.
6. Dans le champ Password, saisissez le mot de passe de ce compte.
7. (Facultatif) Configurez les paramètres supplémentaires suivants si besoin.
Option Description
UID Si ce paramètre n’est pas renseigné, le système alloue
automatiquement un UID à ce compte. Il s'agit du paramètre
recommandé. Vous ne pouvez pas attribuer un UID qui est
utilisé par un autre compte utilisateur local.
Full Name Saisissez le nom complet de l’utilisateur.
Email Address Saisissez l’adresse e-mail du compte.
Primary Group Pour spécifier le groupe propriétaire à l’aide de la boîte de
dialogue Select a Primary Group, cliquez sur Select group.
a. Pour localiser un groupe sous le fournisseur local
sélectionné, saisissez un nom de groupe ou cliquez sur
Search.
b. Sélectionnez un groupe pour revenir à la fenêtre Manage
Users.
Remarque
Vous ne pouvez pas attribuer un ID de groupe utilisé par un autre groupe. Il est
recommandé de laisser ce champ vide afin que le système génère
automatiquement l’ID de groupe.
7. (Facultatif) Pour chaque membre que vous souhaitez ajouter au groupe, cliquez
sur Add Members, puis effectuez les tâches suivantes dans la boîte de dialogue
Select a User :
a. Recherchez Users, Groups ou Well-known SIDs.
b. Si vous sélectionnez Users ou Groups, spécifiez les valeurs des champs
suivants :
User Name
Saisissez tout ou partie d’un nom d’utilisateur, ou laissez le champ vide
pour rechercher tous les utilisateurs. Vous pouvez utiliser des
caractères génériques.
Group Name
Saisissez tout ou partie d’un nom de groupe, ou laissez le champ vide
pour rechercher tous les utilisateurs. Vous pouvez utiliser des
caractères génériques.
Provider
Sélectionnez un fournisseur d’authentification.
5. Dans la zone Members, cliquez sur Add Members pour ajouter des utilisateurs
au groupe, ou cliquez sur Delete en regard d’un nom d’utilisateur pour
supprimer cet utilisateur du groupe.
6. Cliquez sur Save Changes.
7. Cliquez sur Close.
Remarque
Il est recommandé d’attribuer les utilisateurs à des rôles qui contiennent l’ensemble
minimal de privilèges nécessaires. Dans la plupart des cas, les paramètres de règle
d’autorisation par défaut, la zone d’accès System et les rôles prédéfinis sont
suffisants. En fonction des besoins de votre environnement spécifique, vous pouvez
créer des règles de gestion d’accès basées sur des rôles.
Rôles
Vous pouvez utiliser des rôles pour autoriser et limiter l’accès aux zones
d’administration de votre cluster EMC Isilon en fonction de chaque utilisateur. OneFS
inclut plusieurs rôles d’administrateur prédéfinis. Ceux-ci possèdent des ensembles
prédéfinis de privilèges qui ne peuvent pas être modifiés. Vous pouvez également
créer des rôles personnalisés et leur attribuer des privilèges.
La liste suivante décrit ce que vous pouvez faire ou non au moyen des rôles :
l Vous pouvez attribuer des privilèges à un rôle.
l Vous pouvez créer des rôles personnalisés et leur attribuer des privilèges.
l Vous pouvez copier un rôle existant.
l Vous pouvez ajouter à un rôle n’importe quel utilisateur ou groupe d’utilisateurs, y
compris des groupes connus, tant que les utilisateurs peuvent s’authentifier auprès
du cluster.
l Vous pouvez ajouter un utilisateur ou un groupe à plusieurs rôles.
l Vous ne pouvez pas directement attribuer des privilèges à des utilisateurs ou à des
groupes.
Remarque
Lors de la première installation de OneFS, seuls les utilisateurs root et admin peuvent
se connecter et attribuer des utilisateurs à des rôles.
Rôles personnalisés
Les rôles personnalisés complètent les rôles prédéfinis.
Vous pouvez créer des rôles personnalisés et attribuer des privilèges mappés sur les
zones d’administration de votre environnement de clusters EMC Isilon. Par exemple,
vous pouvez créer des rôles d’administration distincts pour la sécurité, l’audit, le
provisionnement du stockage et la sauvegarde.
Lorsque vous ajoutez un privilège à un rôle, vous pouvez spécifier s’il est en lecture
seule ou en lecture/écriture. Vous pouvez modifier cette option à tout moment pour
ajouter ou supprimer des privilèges à mesure que les responsabilités des utilisateurs
augmentent et évoluent.
Rôles prédéfinis
Les rôles prédéfinis sont inclus dans OneFS et ont été configurés avec les privilèges
les plus probables nécessaires pour l’exécution des opérations d’administration
courantes. Vous ne pouvez pas modifier la liste des privilèges attribués à chaque rôle
prédéfini ; toutefois, vous pouvez attribuer des utilisateurs et des groupes à des rôles
prédéfinis.
ISI_PRIV_LOGIN_PAPI s.o.
ISI_PRIV_LOGIN_SSH s.o.
ISI_PRIV_AUTH Lecture/écriture
ISI_PRIV_ROLE Lecture/écriture
ISI_PRIV_LOGIN_PAPI s.o.
ISI_PRIV_LOGIN_SSH s.o.
ISI_PRIV_SYS_SHUTDOWN s.o.
ISI_PRIV_SYS_TIME Lecture/écriture
ISI_PRIV_SYS_UPGRADE Lecture/écriture
ISI_PRIV_ANTIVIRUS Lecture/écriture
ISI_PRIV_AUDIT Lecture/écriture
ISI_PRIV_CLOUDPOOLS Lecture/écriture
ISI_PRIV_CLUSTER Lecture/écriture
ISI_PRIV_DEVICES Lecture/écriture
ISI_PRIV_EVENT Lecture/écriture
ISI_PRIV_FILE_FILTER Lecture/écriture
ISI_PRIV_FTP Lecture/écriture
ISI_PRIV_HARDENING Lecture/écriture
ISI_PRIV_HDFS Lecture/écriture
ISI_PRIV_HTTP Lecture/écriture
ISI_PRIV_JOB_ENGINE Lecture/écriture
ISI_PRIV_LICENSE Lecture/écriture
ISI_PRIV_MONITORING Lecture/écriture
ISI_PRIV_NDMP Lecture/écriture
ISI_PRIV_NETWORK Lecture/écriture
ISI_PRIV_NFS Lecture/écriture
ISI_PRIV_NTP Lecture/écriture
ISI_PRIV_QUOTA Lecture/écriture
ISI_PRIV_REMOTE_SUPPORT Lecture/écriture
ISI_PRIV_SMARTPOOLS Lecture/écriture
ISI_PRIV_SMB Lecture/écriture
ISI_PRIV_SNAPSHOT Lecture/écriture
ISI_PRIV_SNMP Lecture/écriture
ISI_PRIV_STATISTICS Lecture/écriture
ISI_PRIV_SWIFT Lecture/écriture
ISI_PRIV_SYNCIQ Lecture/écriture
ISI_PRIV_VCENTER Lecture/écriture
ISI_PRIV_WORM Lecture/écriture
ISI_PRIV_NS_TRAVERSE s.o.
ISI_PRIV_NS_IFS_ACCESS s.o.
ISI_PRIV_LOGIN_PAPI s.o.
ISI_PRIV_LOGIN_SSH s.o.
ISI_PRIV_IFS_RESTORE Lecture/écriture
ISI_PRIV_NETWORK Lecture/écriture
ISI_PRIV_SMARTPOOLS Lecture/écriture
ISI_PRIV_SNAPSHOT Lecture/écriture
ISI_PRIV_SYNCIQ Lecture/écriture
ISI_PRIV_VCENTER Lecture/écriture
ISI_PRIV_NS_TRAVERSE s.o.
ISI_PRIV_NS_IFS_ACCESS s.o.
Privilèges
Les privilèges permettent aux utilisateurs d’effectuer des tâches sur un cluster EMC
Isilon.
Les privilèges sont associés à une zone d’administration du cluster, comme le moteur
de tâches, SMB ou les statistiques.
Les privilèges se présentent sous l’une des deux formes suivantes :
Action
Permet à un utilisateur d’effectuer une action spécifique sur un cluster. Par
exemple, le privilège ISI_PRIV_LOGIN_SSH permet à l’utilisateur de se connecter
à un cluster via un client SSH.
Lecture/écriture
Permet à l’utilisateur d’afficher ou de modifier un sous-système de configuration,
tel que les statistiques, les snapshots ou les quotas. Par exemple, le privilège
ISI_PRIV_SNAPSHOT permet à un administrateur de créer et de supprimer des
snapshots et des plannings de snapshots. Un privilège en lecture/écriture peut
accorder un accès en lecture seule ou en lecture/écriture. Un accès en lecture
seule permet à l’utilisateur d’afficher les paramètres de configuration ; un accès
en lecture/écriture lui permet d’afficher et de modifier les paramètres de
configuration.
Les privilèges sont accordés à l’utilisateur lors de la connexion à un cluster via l’API
OneFS, l’interface d’administration Web, le protocole SSH ou une session de console.
Un jeton est généré pour l’utilisateur. Il inclut la liste de tous les privilèges qui sont
accordés à celui-ci. Chaque URI, chaque page de l’interface d’administration Web et
chaque commande requièrent un privilège spécifique pour qu’il soit possible d’afficher
ou de modifier les informations disponibles via l’interface en question.
Dans certains cas, les privilèges ne peuvent pas être accordés ou sont soumis à des
restrictions.
l Aucun privilège n’est accordé aux utilisateurs qui ne se connectent pas à la zone
System lors de l’ouverture de session ou qui se connectent par le service Telnet
(obsolète), même s’ils sont membres d’un rôle.
l Les privilèges ne fournissent pas un accès administrateur aux chemins de
configuration se trouvant en dehors de l’API OneFS. Par exemple, le privilège
ISI_PRIV_SMB n’accorde pas à un utilisateur le droit de configurer les partages
SMB à l’aide de Microsoft Management Console (MMC).
l Les privilèges n’offrent pas un accès administrateur à tous les fichiers log. La
plupart des fichiers log nécessitent un accès root.
Privilèges de connexion
Les privilèges de connexion répertoriés dans le tableau suivant autorisent l’utilisateur à
effectuer des actions spécifiques ou bien octroient un droit d’accès en lecture ou en
écriture à une zone d’administration du cluster EMC Isilon.
Privilèges système
Les privilèges système répertoriés dans le tableau suivant autorisent l’utilisateur à
effectuer des actions spécifiques ou bien octroient un droit d’accès en lecture ou en
écriture à une zone d’administration du cluster EMC Isilon.
Privilèges de sécurité
Les privilèges de sécurité répertoriés dans le tableau suivant autorisent l’utilisateur à
effectuer des actions spécifiques ou bien octroient un droit d’accès en lecture ou en
écriture à une zone d’administration du cluster EMC Isilon.
Privilèges de configuration
Les privilèges de configuration répertoriés dans le tableau suivant autorisent
l’utilisateur à effectuer des actions spécifiques ou bien octroient un droit d’accès en
lecture ou en écriture à une zone d’administration du cluster EMC Isilon.
Remarque
Remarque
Remarque
ATTENTION
Ces privilèges évitent les vérifications traditionnelles d’accès aux fichiers, telles
que les bits de mode ou les ACL NTFS.
isi fc ISI_PRIV_NDMP
ISI_PRIV_NDMP isi fc
isi tape
isi ndmp
l isi services
l isi set
Remarque
Les rôles acceptent aussi bien des utilisateurs que des groupes en tant que membres.
Si un groupe est ajouté à un rôle, tous les utilisateurs qui font partie de ce groupe se
voient attribuer les privilèges associés à ce rôle. De même, les membres de plusieurs
rôles se voient attribuer les privilèges combinés de chaque rôle.
Modifier un rôle
Vous pouvez modifier la description d’un rôle ainsi que ses utilisateurs ou ses groupes
membres, y compris pour les rôles prédéfinis. Toutefois, vous pouvez modifier le nom
et les privilèges uniquement pour les rôles personnalisés.
Procédure
1. Cliquez sur Access > Membership & Roles > Roles.
2. Dans la zone Roles, sélectionnez un rôle et cliquez sur View / Edit.
La boîte de dialogue View Role Details s’affiche.
3. Cliquez sur Edit Role et modifiez les paramètres en fonction des besoins dans la
boîte de dialogue Edit Role Details.
4. Cliquez sur Save Changes pour revenir à la boîte de dialogue View Role
Details.
5. Cliquez sur Close.
Copier un rôle
Vous pouvez copier un rôle existant et ajouter des privilèges et des membres à ce rôle
ou en supprimer en fonction des besoins.
Procédure
1. Cliquez sur Access > Membership & Roles > Roles.
2. Dans la zone Roles, sélectionnez un rôle et cliquez sur More > Copy.
3. Modifiez le nom, la description, les membres et les privilèges du rôle en fonction
des besoins.
4. Cliquez sur Copy Role.
Afficher un rôle
Vous pouvez afficher des informations sur les rôles intégrés et personnalisés.
Procédure
1. Cliquez sur Access > Membership & Roles > Roles.
2. Dans la zone Roles, sélectionnez un rôle et cliquez sur View / Edit.
3. Dans la boîte de dialogue View Role Details, affichez les informations sur le
rôle.
4. Cliquez sur Close pour revenir à la page Membership & Roles.
isi auth id
Types d’identité
OneFS prend en charge trois types d’identité principaux, que vous pouvez stocker
directement dans le système de fichiers. Les types d’identité sont l’identifiant
utilisateur et l’identifiant de groupe pour UNIX, et l’identifiant de sécurité pour
Windows.
Lorsque vous vous connectez à un cluster EMC Isilon, votre identité est étendue pour
inclure vos autres identités auprès de tous les services d’annuaire, notamment Active
Directory, LDAP et NIS. Après que OneFS a mappé vos identités avec les différents
services d’annuaire, il génère un jeton d’accès qui comprend les informations d’identité
associées à vos comptes. Un jeton inclut les identifiants suivants :
l Un identifiant utilisateur (UID) et un identifiant de groupe (GID) UNIX. Un UID ou
un GID est un nombre de 32 bits dont la valeur maximale est 4 294 967 295.
l Un identifiant de sécurité (SID) pour un compte utilisateur Windows. Un SID est
une série d’autorités et de sous-autorités se terminant par un identifiant relatif
(RID) de 32 bits. La plupart des identifiants SID ont le format S-1-5-21-<A>-<B>-
<C>-<RID>, où <A>, <B> et <C> sont propres à un domaine ou à un ordinateur et
<RID> correspond à l’objet dans le domaine.
l Un SID de groupe principal pour un compte de groupe Windows.
l Une liste d’identités supplémentaires, incluant tous les groupes dont l’utilisateur
est membre.
Le jeton contient également les privilèges issus du contrôle d’accès basé sur les rôles
d’administration.
Sur un cluster Isilon, un fichier contient des autorisations, qui apparaissent en tant que
liste de contrôle d’accès (ACL). L’ACL gère l’accès aux répertoires, aux fichiers et à
d’autres objets système pouvant être sécurisés.
Lorsqu’un utilisateur tente d’accéder à un fichier, OneFS compare les identités du
jeton d’accès de l’utilisateur à l’ACL du fichier. OneFS accorde l’accès lorsque l’ACL
du fichier contient une entrée de contrôle d’accès (ACE) qui autorise l’identité du
jeton à accéder au fichier, mais qu’elle ne contient aucune ACE qui refuse l’accès à
cette identité. OneFS compare le jeton d’accès d’un utilisateur à l’ACL d’un fichier.
Remarque
Pour plus d’informations sur les ACL, notamment la description des autorisations et de
leur correspondance avec les bits de mode POSIX, consultez le livre blanc intitulé EMC
Isilon Multiprotocol Data Access with a Unified Security Model sur le site Web de support
en ligne EMC.
Lorsqu’un nom est fourni en tant qu’identifiant, il est converti en objet utilisateur ou
groupe correspondant et au type d’identité approprié. Vous pouvez saisir ou afficher
un nom de différentes manières :
l UNIX prend en compte des espaces de nommage uniques sensibles à la casse pour
les utilisateurs et les groupes. Par exemple, Nom et nom représentent différents
objets.
l Windows fournit un espace de nommage unique, non sensible à la casse, pour tous
les objets et spécifie également un préfixe pour cibler un domaine Active Directory,
par exemple domain\name.
l Kerberos et NFSv4 définissent des entités de sécurité, ce qui nécessite que les
noms aient le même format que des adresses e-mail, par exemple
name@domain.com.
Plusieurs noms peuvent faire référence au même objet. Par exemple, pour le nom
support et le domaine example.com, support, EXAMPLE\support et
support@example.com sont tous les noms d’un objet Active Directory unique.
Jetons d’accès
Un jeton d’accès est créé lorsque l’utilisateur émet une première demande d’accès.
Les jetons d’accès représentent l’identité d’un utilisateur lorsqu’il exécute des actions
sur le cluster. Lors de la création d’un fichier, ils fournissent l’identité du propriétaire
et du groupe principaux. Les jetons d’accès sont également comparés à l’ACL ou aux
bits de mode lors des vérifications d’autorisations.
Lors de l’autorisation des utilisateurs, OneFS compare le jeton d’accès généré lors de
la connexion initiale aux données d’autorisation du fichier. Tous les mappages
d’utilisateurs et d’identités sont effectués lors de la génération des jetons ; aucun
mappage n’a lieu pendant l’évaluation des autorisations.
Un jeton d’accès inclut tous les UID, GID et SID d’une identité, ainsi que l’ensemble
des privilèges OneFS. OneFS lit les informations du jeton pour déterminer si un
utilisateur a accès à une ressource. Il est important que le jeton contienne une liste
correcte d’UID, de GID et de SID. Le jeton d’accès est créé à partir de l’une des
sources suivantes :
Source Authentification
Nom d’utilisateur l Emprunt d’identité SMB
l NFSv3 avec Kerberos
l NFSv4 avec Kerberos
l Mappage des utilisateurs d’une
exportation NFS
l HTTP
l FTP
l HDFS
Remarque
Mappage des ID
Le service de mappage des identités (ID) conserve les informations de relations entre
identifiants Windows et UNIX mappés afin de permettre un contrôle d’accès cohérent
entre les protocoles de partage de fichiers dans une zone d’accès.
Remarque
Malgré la similarité de leur nom, le mappage des ID et le mappage des utilisateurs sont
des services différents.
Remarque
Les recherches des utilisateurs et des groupes peuvent être désactivées ou limitées,
en fonction des paramètres d’Active Directory. Les paramètres de recherche
d’utilisateurs et de groupes sont activés à l’aide de la commande isi auth ads
modify.
Remarque
Lorsqu’un mappage externe est stocké dans le mappage des ID, l’UID est spécifié en
tant qu’identité sur disque pour cet utilisateur. Lorsque le service de mappage des ID
stocke un mappage, le SID est spécifié en tant qu’identité sur disque.
Plage de mappages d ID
Dans les zones d'accès avec plusieurs fournisseurs d'authentification externes tels que
Active Directory et LDAP, il est important d'éviter tout chevauchement entre les UID
et les GID provenant de différents fournisseurs configurés dans la même zone d'accès.
Le chevauchement d'ID utilisateur et de groupe entre plusieurs fournisseurs dans une
zone d'accès peut conduire certains utilisateurs à obtenir un accès aux répertoires et
fichiers d'autres utilisateurs.
La plage d'UID et de GID pouvant être affectés aux mappages produits peut être
configurée dans chaque zone d'accès à l'aide de la commande isi auth settings
mappings modify. La plage par défaut pour les UID et les GID est de 1000000 à
2000000 dans chaque zone d'accès.
N’incluez pas les UID et les GID les plus couramment utilisés dans vos plages d’ID. Par
exemple, les UID et les GID inférieurs à 1 000 sont réservés aux comptes système et
ne doivent pas être attribués à des utilisateurs ou à des groupes.
Mappage utilisateur
Le mappage des utilisateurs permet de contrôler les autorisations en spécifiant les
identifiants de sécurité, les identifiants utilisateur et les identifiants de groupe d’un
utilisateur. OneFS utilise les identifiants pour contrôler la propriété des fichiers ou des
groupes.
Grâce à la fonction de mappage des utilisateurs, vous pouvez appliquer des règles pour
modifier l’identité utilisateur utilisée par OneFS, ajouter des identités utilisateur
supplémentaires et modifier l’appartenance d’un utilisateur à des groupes. Le service
de mappage des utilisateurs combine les identités d’un utilisateur dans différents
services d’annuaire en un seul jeton d’accès, qu’il modifie ensuite en fonction des
règles que vous créez.
Remarque
Vous pouvez configurer des règles de mappage pour chaque zone. Les règles de
mappage doivent être configurées séparément dans chaque zone d’accès qui les
utilise. OneFS ne mappe les utilisateurs qu’au moment de la connexion ou de l’accès du
protocole.
l Options
l Paramètre
l Caractères génériques
Remarque
Arrêtez tout traitement avant d’appliquer une règle de refus par défaut. Pour
ce faire, créez une règle qui met en correspondance les utilisateurs autorisés,
mais qui n’a aucun effet, par exemple un opérateur d’ajout ne comportant
aucun option de champ, mais avec l’option break. Après avoir répertorié les
utilisateurs autorisés, vous pouvez définir une règle catchall deny à la fin pour
remplacer tout utilisateur sans correspondance par un utilisateur vide.
Pour éviter que les règles explicites soient ignorées, dans chaque groupe de
règles, placez les règles explicites avant celles qui contiennent des caractères
génériques.
Remarque
Le type d’identité sur disque SID est destiné à un réseau homogène de systèmes
Windows gérés uniquement avec Active Directory. Lorsque vous procédez à une mise
à niveau depuis une version antérieure à OneFS 6.5, l’identité sur disque est de type
UNIX. Lorsque vous effectuez une mise à niveau à partir de OneFS version 6.5 ou
supérieure, le paramètre d’identité sur disque est conservé. Dans les nouvelles
installations, l’identité sur disque est native.
Remarque
Si vous modifiez le type d’identité sur disque, vous devez exécuter la tâche
PermissionRepair en mode de conversion pour faire en sorte que la représentation sur
disque de tous les fichiers soit cohérente avec le paramètre modifié.
Procédure
1. Établissez une connexion SSH sur n’importe quel nœud du cluster, puis ouvrez
une session.
2. Exécutez la commande isi auth mapping modify.
La commande suivante modifie le mappage de l’utilisateur associé à l’UID 4236
dans la zone d’accès zone3 pour inclure un mappage bidirectionnel inversé entre
les identités source et cible :
Nom : user_36
On-disk: UID: 4236
Unix uid: 4236
Unix gid: -100000
SMB: S-1-22-1-4236
User
Name: user_36
UID: 4236
SID: S-1-22-1-4236
On Disk: 4236
ZID: 3
Zone: zone3
Privileges: -
Primary Group
Name: user_36
GID: 4236
SID: S-1-22-2-4236
On Disk: 4236
Remarque
Procédure
1. Établissez une connexion SSH vers n’importe quel nœud du cluster.
2. Pour afficher une identité utilisateur Active Directory uniquement, exécutez la
commande isi auth users view.
La commande suivante affiche l’identité d’un utilisateur nommé stand dans le
domaine Active Directory YORK :
Name: YORK\stand
DN:
CN=stand,CN=Users,DC=york,DC=hull,DC=example,DC=com
DNS Domain: york.hull.example.com
Domain: YORK
Provider: lsa-activedirectory-
provider:YORK.HULL.EXAMPLE.COM
Sam Account Name: stand
UID: 4326
SID:
S-1-5-21-1195855716-1269722693-1240286574-591111
Primary Group
ID : GID:1000000
Name : YORK\york_sh_udg
Additional Groups: YORK\sd-york space group
YORK\york_sh_udg
YORK\sd-york-group
YORK\sd-group
YORK\domain users
3. Pour afficher une identité utilisateur LDAP uniquement, exécutez la commande
isi auth users view.
La commande suivante affiche l’identité d’un utilisateur LDAP nommé stand :
Name: stand
DN:
uid=stand,ou=People,dc=colorado4,dc=hull,dc=example,dc=com
DNS Domain: -
Domain: LDAP_USERS
Provider: lsa-ldap-provider:Unix LDAP
Sam Account Name: stand
UID: 4326
SID: S-1-22-1-4326
Primary Group
ID : GID:7222
Name : stand
Additional Groups: stand
sd-group
sd-group2
7. Dans la zone User Mapping Rules, cliquez sur la barre de titre de cette règle,
puis faites-la glisser vers un nouvel emplacement pour modifier la position d’une
règle dans la liste.
Les règles sont appliquées dans l’ordre dans lequel elles sont répertoriées. Pour
faire en sorte que chaque règle soit traitée, placez les règles de remplacement
en premier et les règles d’autorisation/de refus en dernier.
8. Si le token d’accès n’est pas associé à un utilisateur UNIX par défaut ou si
l’utilisateur UNIX par défaut n’a pas d’UID ou de GID, sélectionnez l’une des
options suivantes pour l’authentification :
l Générer un UID ou un GID principal depuis la plage réservée des UID et des
GID
l Refuser l’accès à l’utilisateur
l Désigner un autre utilisateur en tant qu’utilisateur UNIX par défaut
Remarque
User
Name:krb_user_002
UID:1002
SID:S-1-22-1-1001
On disk:1001
ZID:1
Zone:System
Privileges:-
Primary Group
Name:krb_user_001
GID:1000
SID:S-1-22-2-1001
On disk:1000
Supplemental Identities
Name:Authenticated Users
GID: -
SID:S-1-5-11
Option Description
Join two users together Insère la nouvelle identité dans le token.
Append field from a user Modifie le token d’accès en y ajoutant des
champs.
Remarque
Les règles sont appelées dans l’ordre dans lequel elles sont répertoriées. Pour
faire en sorte que chaque règle soit traitée, placez les remplacements en
premier et les règles d’autorisation/de refus en dernier. Pour modifier l’ordre
d’apparition d’une règle dans la liste, cliquez sur sa barre de titre, puis faites-la
glisser vers un nouvel emplacement.
une règle de mappage pour contrôler la manière dont OneFS combine les informations,
en donnant la priorité à un groupe LDAP plutôt qu’à un groupe Active Directory pour
un utilisateur.
Procédure
1. Cliquez sur Access > Membership & Roles > User Mapping.
2. Sélectionnez la Current Access Zone qui contient les règles que vous souhaitez
gérer, puis cliquez sur Edit User Mapping Rules.
La boîte de dialogue Edit User Mapping Rules s’affiche.
3. Cliquez sur Create a User Mapping Rule.
La boîte de dialogue Create a User Mapping Rule s’affiche.
4. Dans la liste Operation, sélectionnez Insert fields from a user.
La boîte de dialogue Create a User Mapping Rule s’actualise pour afficher des
champs supplémentaires.
5. Pour renseigner le champ Insert Fields into this User, procédez comme suit :
a. Cliquez sur Browse.
La boîte de dialogue Select a User s’affiche.
b. Sélectionnez un utilisateur et un fournisseur d’authentification Active
Directory.
c. Cliquez sur Search pour afficher les résultats de la recherche.
d. Sélectionnez un nom d’utilisateur et cliquez sur Select pour revenir à la boîte
de dialogue Create a User Mapping Rule.
Le groupe principal du deuxième utilisateur est inséré en tant que groupe
principal du premier utilisateur.
6. Activez la case à cocher Insert primary group SID and GID.
7. Pour renseigner le champ Insert Fields from this User, procédez comme suit :
a. Cliquez sur Browse.
La boîte de dialogue Select a User s’affiche.
b. Sélectionnez un utilisateur et un fournisseur d’authentification LDAP.
c. Cliquez sur Search pour afficher les résultats de la recherche.
d. Sélectionnez un nom d’utilisateur et cliquez sur Select pour revenir à la boîte
de dialogue Create a User Mapping Rule.
8. Cliquez sur Ajouter une règle.
Remarque
Les règles sont appelées dans l’ordre dans lequel elles sont répertoriées. Pour
faire en sorte que chaque règle soit traitée, placez les règles de remplacement
en premier et les règles d’autorisation/de refus en dernier. Pour modifier l’ordre
d’apparition d’une règle dans la liste, cliquez sur sa barre de titre, puis faites-la
glisser vers un nouvel emplacement.
Remarque
Les autorisations du partage sont contrôlées lors de l’accès aux fichiers, avant que les
autorisations du système de fichiers sous-jacent soient vérifiées. L’une ou l’autre de
ces autorisations peut interdire l’accès au fichier ou au répertoire.
Remarque
Les chemins des répertoires personnels doivent commencer par /ifs/ et se trouver
dans le chemin racine de la zone d’accès dans laquelle le partage SMB est créé.
Procédure
1. Exécutez les commandes suivantes sur le cluster avec l’option --allow-
variable-expansion activée. La variable d’extension %U représente le nom
d’utilisateur et l’option --auto-create-directory est activée pour créer le
répertoire s’il n’existe pas :
3. Exécutez une commande semblable à la suivante sur le cluster pour afficher les
autorisations ACL héritées pour le partage user411 :
cd /ifs/home/user411
ls -lde .
Remarque
Créer des répertoires personnels spéciaux avec la variable de partage SMB %U 191
Répertoires personnels
Procédure
1. Pour créer un partage correspondant au nom de connexion de l’utilisateur
authentifié lorsque l’utilisateur se connecte au partage, exécutez la commande
suivante :
Remarque
Procédure
1. Exécutez la commande suivante pour définir le shell de connexion de tous les
utilisateurs locaux sur /bin/bash :
Name: System
Path: /ifs
Groupnet: groupnet0
Map Untrusted: -
Auth Providers: lsa-local-provider:System, lsa-
file-provider:System
NetBIOS Name: -
User Mapping Rules: -
Home Directory Umask: 0077
Skeleton Directory: /usr/share/skel
Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
Zone ID: 1
indique les autorisations qui doivent être désactivées. Ainsi, des valeurs de
masque élevées correspondent à des autorisations faibles. Par exemple, la
valeur umask 000 ou 022 définit les autorisations du répertoire personnel sur
0755, alors que la valeur umask 077 définit les autorisations 0700.
2. Pour accorder au groupe/aux autres des autorisations d'écriture/exécution sur
un répertoire personnel, exécutez une commande semblable à l’exemple
suivant :
Dans cet exemple, les répertoires de base des utilisateurs sont créés avec les
bits de mode 0755 masqués par le champ umask, défini sur la valeur 022. Par
conséquent, les répertoires de base des utilisateurs sont créés avec les bits de
mode 0755, ce qui équivaut à (0755 & ~(022)).
Name: YOUR.DOMAIN.NAME.COM
NetBIOS Domain: YOUR
...
Create Home Directory: Yes
Home Directory Template: /ifs/home/ADS/%D/%U
Login Shell: /bin/sh
4. Exécutez la commande id.
Le système affiche un résultat semblable à l’exemple suivant :
uid=1000008(<your-domain>\user_100) gid=1000000(<your-domain>
\domain users)
groups=1000000(<your-domain>\domain users),1000024(<your-domain>
\c1t),1545(Users)
5. (Facultatif) Pour vérifier ces informations à partir d’un nœud externe UNIX,
exécutez la commande ssh à partir de ce nœud.
Par exemple, la commande suivante crée /ifs/home/ADS/<your-domain>/
user_100 s’il n’existe pas déjà :
ssh <your-domain>\\user_100@cluster.isilon.com
Name: System
...
Skeleton Directory: /usr/share/skel
Remarque
Si elles sont
disponibles, les
informations du
fournisseur
remplacent cette
valeur.
avec des variables d’extension. Par exemple, vous pouvez inclure la variable %U pour
un partage au lieu de créer un partage pour chaque utilisateur. Lorsque %U est incluse
dans le nom, le chemin de chaque utilisateur est différent ; la sécurité reste assurée,
car chaque utilisateur peut afficher et accéder à son répertoire personnel uniquement.
Remarque
Remarque
Utilisateur Extension de %D
authentifié
Utilisateur Active Nom NetBios Active Directory, par exemple YORK pour le fournisseur
Directory YORK.EAST.EXAMPLE.COM
Utilisateur local Nom du cluster en majuscules ; par exemple, si le nom du cluster est
MyCluster, %D a pour forme développée MYCLUSTER.
ACL
Dans les environnements Windows, les autorisations sur les fichiers et les répertoires,
appelées privilèges d’accès, sont définies dans des listes de contrôle d’accès, ou ACL
(Access Control List). Bien que les ACL soient plus complexes que les bits de mode,
elles peuvent définir des ensembles de règles d’accès bien plus granulaires. OneFS
vérifie les règles de traitement des ACL généralement associées aux ACL Windows.
Une ACL Windows contient zéro ou plusieurs entrées de contrôle d’accès, ou ACE
(Access Control Entry). Celles-ci représentent l’identifiant de sécurité (SID) d’un
utilisateur ou d’un groupe considéré comme un client approuvé. Dans OneFS, une ACL
peut contenir des ACE avec un ID utilisateur (UID), un ID de groupe (GID) ou un
identifiant de sécurité (SID) comme client approuvé. Chaque ACE contient un
ensemble de droits qui accordent ou refusent l’accès à un fichier ou à un dossier. Une
ACE contient éventuellement un indicateur d’héritage qui indique si l’ACE doit être
héritée par les dossiers et les fichiers enfants.
Remarque
Au lieu des trois autorisations standard disponibles pour les bits de mode, les ACL
possèdent 32 bits de privilèges d’accès granulaires. Les 16 bits supérieurs sont
généraux et s’appliquent à tous les types d’objet. Les 16 bits inférieurs varient entre
les fichiers et les répertoires mais sont définis de sorte que la plupart des applications
appliquent les mêmes bits pour les fichiers et les répertoires.
Les droits accordent ou refusent l’accès à un client approuvé donné. Vous pouvez
bloquer explicitement l’accès d’un utilisateur par une ACE de refus, ou le faire
implicitement en veillant à ce qu’un utilisateur n’apparaisse pas directement (ou
indirectement par l’intermédiaire d’un groupe) dans une ACE qui octroie ce droit.
Autorisations UNIX
Dans un environnement UNIX, l’accès aux fichiers et aux répertoires est géré par les
bits de mode POSIX, qui octroient des autorisations de lecture, d’écriture ou
d’exécution à l’utilisateur propriétaire, au groupe propriétaire et à tous les autres.
OneFS prend en charge les outils UNIX standard permettant d’afficher et de modifier
les autorisations : ls, chmod et chown. Pour plus d’informations, exécutez les
commandes man ls, man chmod et man chown.
Tous les fichiers contiennent 16 bits d’autorisation, qui fournissent des informations
sur le type de fichier ou de répertoire et sur les autorisations. Les 9 bits inférieurs sont
regroupés en trois ensembles de 3 bits, appelés triplets, qui contiennent les
autorisations de lecture, d’écriture et d’exécution (rwx) pour chaque classe
d’utilisateurs (propriétaire, groupe et autres). Vous pouvez définir des balises
d’autorisation pour octroyer des autorisations à chacune de ces classes.
À moins qu’il ne s’agisse d’un utilisateur root, OneFS vérifie la classe pour déterminer
si l’accès au fichier doit être accordé ou refusé. Les classes ne sont pas cumulatives :
la première classe correspondante est appliquée. Il est donc courant d’accorder les
autorisations par ordre décroissant.
change. Les estimations de bits de mode doivent être récupérées uniquement pour
traiter ces appels.
Remarque
Les mappages SID-UID et SID-GID sont mis en cache dans la base de données de
mappage des ID OneFS et dans le cache stat. Si un mappage a récemment été
modifié, le fichier peut restituer des informations erronées jusqu’à ce qu’il soit mis à
jour ou que le cache soit vidé.
User
Name : <username>
UID : 2018
SID :
SID:S-1-5-21-2141457107-1514332578-1691322784-1018
File
Owner : user:root
Group : group:wheel
Mode : drwxrwxrwx
Relevant Mode : d---rwx---
Permissions
Expected : user:<username> \
allow
dir_gen_read,dir_gen_write,dir_gen_execute,delete_child
Option Description
Send NTLMv2 Indique s’il faut envoyer uniquement des réponses NTLMv2
aux clients SMB dotés d’informations d’identification
compatibles avec NTLM.
On-Disk Contrôle l’identité préférée à stocker sur le disque. Si OneFS
Identity ne peut pas convertir une identité au format préféré, elle est
stockée en l’état. Ce paramètre n’a aucune incidence sur les
identités actuellement stockées sur le disque. Sélectionnez
l'un des paramètres suivants :
native
Permet à OneFS de déterminer l’identité à stocker sur le
disque. Il s'agit du paramètre recommandé.
Unix
Stocke toujours les identifiants UNIX entrants (UID et
GID) sur le disque.
sid
Stocke les identifiants de sécurité (SID) Windows
entrants sur le disque, sauf si le SID a été généré à partir
d’un identifiant UNIX, auquel cas il est reconverti en
identifiant UNIX, puis stocké sur le disque.
ATTENTION
Comme les règles ACL modifient le comportement des autorisations dans tout le
système, elles doivent uniquement être modifiées en cas de nécessité par des
administrateurs expérimentés disposant de connaissances avancées sur les ACL
Windows. Ceci est particulièrement vrai pour les paramètres avancés, qui sont
appliqués indépendamment de l’environnement du cluster.
UNIX only
Permet aux autorisations du cluster EMC Isilon d’utiliser la sémantique UNIX, par
opposition à la sémantique Windows. L’activation de cette option empêche la
création d’ACL sur le système.
Windows only
Permet aux autorisations du cluster Isilon de fonctionner avec la sémantique
Windows, par opposition à la sémantique UNIX. Si vous activez cette option, le
système envoie une erreur aux demandes chmod UNIX.
Custom environment
Vous permet de configurer les options General ACL Settings et Advanced ACL
Settings.
Remarque
Les ACL héritables du système prévalent sur ce paramètre ; Si des ACL héritables
sont définies sur un dossier, tous les nouveaux fichiers et dossiers créés dans ce
dossier héritent de l’ACL de celui-ci. La désactivation de ce paramètre ne
supprime pas les ACL actuellement définies sur les fichiers. Si vous souhaitez
supprimer une ACL existante, exécutez la commande chmod -b <mode><file>
et définissez les autorisations correctes.
Remove the existing ACL and create an ACL equivalent to the UNIX
permissions
Stocke les autorisations UNIX dans une nouvelle ACL Windows. Sélectionnez
cette option seulement si vous voulez supprimer les autorisations Windows,
mais sans que les fichiers aient des ACL synthétiques.
Remove the existing ACL and create an ACL equivalent to the UNIX
permissions, for all users/groups referenced in old ACL
Stocke les autorisations UNIX dans une nouvelle ACL Windows uniquement
pour les utilisateurs et les groupes référencés par l’ancienne ACL.
Sélectionnez cette option seulement si vous voulez supprimer les
autorisations Windows, mais sans que les fichiers aient des ACL
synthétiques.
ATTENTION
Si vous tentez d’exécuter la commande chmod sur les autorisations qui sont
actuellement définies sur un fichier avec une ACL, l’opération risque
d’échouer sans avertissement. L’opération semble avoir réussi, mais en
examinant les autorisations sur le cluster, vous remarquerez que la
commande chmod n’a eu aucun effet. Vous pouvez éventuellement exécuter
la commande chmod indépendamment des autorisations actuelles, puis
exécuter une seconde commande chmod pour rétablir les autorisations
initiales. Par exemple, si votre fichier indique des autorisations UNIX 755 et
si vous voulez confirmer cette valeur, vous pouvez exécuter chmod 700
file; chmod 755 file.
Remarque
Sur NFS, l’opération chown ou chgrp modifie les autorisations ainsi que
l’utilisateur ou le groupe propriétaire. Par exemple, un fichier détenu par
l’utilisateur Joe avec des autorisations rwx------ (700) indique des autorisations
rwx pour le propriétaire, mais aucune autorisation pour qui que ce soit d’autre. Si
vous exécutez la commande chown pour modifier le propriétaire du fichier en la
transférant à l’utilisateur Bob, les autorisations du propriétaire sont toujours rwx,
mais il s’agit désormais des autorisations de Bob et non de Joe, lequel a perdu
toutes ses autorisations. Ce paramètre n’a aucune incidence sur les opérations
UNIX chown ou chgrp qui sont exécutées sur des fichiers avec autorisations
UNIX. Il n’a aucun effet sur les opérations Windows chown ou chgrp, qui ne
modifient aucune autorisation.
Allow the file owner and users with WRITE_DAC and WRITE_OWNER
permissions to change the mode or owner of the file (Windows model)
Permet aux vérifications d’accès chmod et chown de fonctionner avec un
comportement semblable à Windows.
le cluster Isilon mappe les autorisations rwx aux droits Windows, vous devez
activer l’une des options suivantes :
Retain 'rwx' permissions
Génère une ACE qui fournit seulement des autorisations en lecture, en
écriture et en exécution.
Linux and Windows semantics - Inherit group owner from the creator's
primary group
Indique que le propriétaire du groupe est hérité à partir du groupe principal du
créateur du fichier.
Approximate owner mode bits using only the ACE with the owner ID
Rend les autorisations du propriétaire apparemment plus précises, car vous
voyez uniquement les autorisations d’un propriétaire spécifique et non
l’ensemble plus permissif. Cependant, cela peut occasionner des problèmes
de refus d’accès pour les clients UNIX.
Approximate group mode bits using only the ACE with the group ID
Rend les autorisations du groupe apparemment plus précises, car vous voyez
uniquement les autorisations d’un groupe particulier et non l’ensemble plus
permissif. Cependant, cela peut occasionner des problèmes de refus d’accès
pour les clients UNIX.
ATTENTION
Remove “deny” ACEs from ACLs. Ce paramètre peut rendre les ACL plus
permissives que les bits de mode équivalents
N’inclut pas les ACE de refus d’accès lors de la génération d’ACL
synthétiques.
Allow owners and users with ‘write’ access to change utimes to client-
specific times
Permet aux propriétaires ainsi qu’aux utilisateurs ayant unaccès en écriture
de modifier les utimes, ce qui est moins restrictif.
Deny permission to modify files with DOS read-only attribute through NFS
and SMB
Reproduit le comportement des autorisations d’attribut DOS sur les
protocoles NFS et SMB. Par exemple, si les autorisations sur un fichier sont
en lecture seule sur SMB, elles le sont également sur NFS.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
2. (Facultatif) Dans le tableau Job Types, cliquez sur View/Edit dans la ligne de la
tâche PermissionRepair.
La fenêtre View Job Type Details s’affiche.
3. Cliquez sur Edit Job Type.
La fenêtre Edit Job Type Details s’affiche.
4. Sélectionnez Enable this job type.
5. Dans la liste Default Priority, sélectionnez un numéro de priorité qui spécifie la
priorité de la tâche parmi toutes les tâches en cours d’exécution. La priorité de
la tâche est représentée par un chiffre allant de 1 à 10, 1 étant la priorité la plus
élevée et 10 la priorité la plus faible.
6. (Facultatif) Dans la liste Default Impact Policy, sélectionnez la règle d’impact
que doit suivre la tâche.
7. Dans la zone Schedule, spécifiez la façon dont la tâche doit être démarrée.
Option Description
Manual La tâche doit être démarrée manuellement.
Scheduled La tâche est programmée régulièrement. Sélectionnez l’option
Schedule dans la liste déroulante et indiquez les détails du
planning.
Option Description
Clone Applique les paramètres d’autorisation du répertoire spécifié par le
paramètre Template File or Directory au répertoire que vous avez
défini dans les champs Paths.
Inherit Applique de manière récursive l’ACL du répertoire spécifié par le
paramètre Template File or Directory à chaque fichier et sous-
Option Description
répertoire contenu dans les champs Paths spécifiés, conformément
aux règles d’héritage standard.
Convert Pour chaque fichier et répertoire contenu dans les champs Paths
spécifiés, convertit le propriétaire, le groupe et la liste de contrôle
d’accès (ACL) vers l’identité sur disque cible compte tenu du
paramètre Mapping Type .
Option Description
Global Applique l’identité par défaut du système.
SID (Windows) Applique l’identité Windows.
UNIX Applique l’identité UNIX.
Native Si un utilisateur ou un groupe ne possède pas d’identifiant
UNIX autorisé (UID ou GID), applique l’identité Windows
(SID).
Remarque
Nous vous recommandons de ne pas enregistrer les données sur le chemin racine /
ifs, mais plutôt dans les répertoires sous /ifs. La conception de la structure de
stockage de données doit être soigneusement planifiée. Une structure de répertoire
bien conçue optimise les performances et l’administration du cluster.
Vous pouvez définir des autorisations Windows et UNIX sur les fichiers et les
répertoires OneFS. Les utilisateurs qui disposent des autorisations requises et de
privilèges d’administration peuvent créer, modifier et lire des données sur le cluster via
un ou plusieurs des protocoles de partage de fichiers pris en charge.
l SMB. Permet aux clients Microsoft Windows et Mac OS X d’accéder aux fichiers
stockés sur le cluster.
l NFS. Permet aux clients Linux et UNIX conformes aux spécifications RFC1813 (nfs
v3) et RFC3530 (nfs v4) d’accéder aux fichiers stockés sur le cluster.
l HTTP et HTTPS (avec DAV en option). Permettent aux clients d’accéder aux
fichiers stockés sur le cluster via un navigateur Web.
l FTP. Permet à tout client doté d’un programme client FTP d’accéder aux fichiers
stockés sur le cluster via le protocole FTP.
Remarque
Remarque
Nous vous conseillons de maintenir la mise en cache des écritures activée. Il est
également recommandé d’activer la mise en cache des écritures pour toutes les règles
de pool de fichiers.
Protocole Risque
NFS Si un nœud tombe en panne, aucune donnée
n’est perdue, sauf dans le cas improbable où
un client de ce nœud tombe également en
Protocole Risque
panne avant de pouvoir se reconnecter au
cluster. Dans ce cas, les écritures
asynchrones qui n’ont pas été validées sur le
disque sont perdues.
Nous vous conseillons de ne pas désactiver la mise en cache des écritures, quel que
soit le protocole avec lequel vous écrivez. Si vous écrivez dans le cluster avec des
écritures asynchrones et jugez les risques de perte de données trop importants, nous
vous recommandons de configurer vos clients de manière à utiliser des écritures
synchrones plutôt que de désactiver la mise en cache des écritures.
SMB
OneFS inclut un service SMB configurable qui est utilisé pour créer et gérer des
partages SMB. Les partages SMB offrent aux clients Windows un accès réseau aux
ressources du système de fichiers sur le cluster. Vous pouvez autoriser des utilisateurs
et des groupes à effectuer des opérations telles que la lecture, l’écriture et la
définition d’autorisations d’accès sur les partages SMB.
Le répertoire /ifs est configuré en tant que partage SMB et activé par défaut.
OneFS prend en charge les modes de sécurité utilisateur et anonyme. Si le mode de
sécurité utilisateur est activé, les utilisateurs qui se connectent à un partage à partir
d’un client SMB doivent fournir un nom d’utilisateur valide avec les informations
d’identification appropriées.
Les partages SMB agissant tels des points de contrôle, les utilisateurs doivent avoir
accès à un partage pour pouvoir accéder aux objets d’un système de fichiers sur un
partage. Si un utilisateur a obtenu l’accès à un système de fichiers, mais pas au
partage sur lequel il réside, il ne pourra pas accéder au système de fichiers, quels que
soient ses privilèges. Par exemple, un partage nommé ABCDocs contient un fichier
appelé file1.txt, dans le chemin /ifs/data/ABCDocs/file1.txtfile1.txt.
Si un utilisateur qui tente d’accéder au fichier ABCDocs ne possède pas de privilèges
de partage sur , il ne peut pas accéder au fichier, même si l’administrateur lui a
initialement octroyé des privilèges en lecture et/ou écriture sur ce fichier.
Le protocole SMB utilise des identifiants de sécurité pour les données d’autorisation.
Toutes les identités sont converties en identifiants de sécurité (SID) lors de la
récupération, puis elles sont reconverties vers leur représentation sur disque avant
leur stockage sur le cluster.
Quand un fichier ou un répertoire est créé, OneFS vérifie l’ACL de son répertoire
parent. Si l’ACL contient des entrées de contrôle d’accès (ACE) héritables, une
nouvelle ACL est générée à partir de celles-ci. Dans le cas contraire, OneFS crée une
ACL à partir des paramètres combinés de création de masque et de mode de fichier et
de répertoire.
OneFS prend en charge les clients SMB suivants :
Le cluster Isilon dispose d’une zone d’accès intégrée, appelée System, dans laquelle
vous gérez tous les aspects du cluster et les autres zones d’accès. Si vous ne spécifiez
pas de zone d’accès lors de la gestion des partages SMB, OneFS utilise par défaut la
zone System.
SMB Multichannel
SMB Multichannel prend en charge l’établissement d’une seule session SMB sur
plusieurs connexions réseau.
SMB Multichannel est une fonction du protocole SMB 3.0 qui procure les
fonctionnalités suivantes :
Débit plus élevé
OneFS peut transmettre davantage de données à un client par l’intermédiaire de
plusieurs connexions sur des adaptateurs réseau à grande vitesse ou sur plusieurs
adaptateurs réseau.
Configurations de carte réseau côté client prises en charge par SMB Multichannel
SMB Multichannel découvre automatiquement les configurations matérielles prises en
charge pour lesquelles plusieurs chemins d’accès sont disponibles.
Chaque nœud du cluster EMC Isilon est doté d’au moins une carte réseau compatible
RSS. La configuration de la carte réseau côté client détermine la façon dont SMB
Multichannel établit des connexions simultanées au réseau pour chaque session SMB.
Configuration de Description
carte réseau
côté client
Carte réseau unique SMB Multichannel crée au maximum quatre connexions réseau au
compatible RSS cluster Isilon sur la carte réseau. Les connexions sont plus susceptibles
d’être réparties sur plusieurs cœurs de CPU, ce qui réduit le risque de
goulot d’étranglement et assure une vitesse optimale à la carte réseau.
Plusieurs cartes Si les cartes réseau sont compatibles RSS, SMB Multichannel crée au
réseau maximum quatre connexions réseau au cluster Isilon sur chaque carte
réseau. Si les cartes réseau du client ne sont pas compatibles RSS, SMB
Multichannel établit une seule connexion réseau au cluster Isilon sur
chaque carte réseau. Ces deux configurations permettent à SMB
Multichannel de tirer le meilleur parti de la bande passante combinée de
plusieurs cartes réseau et offre une tolérance aux pannes de connexion
si une connexion ou une carte réseau est défaillante.
Remarque
Cartes réseau SMB Multichannel établit plusieurs connexions réseau au cluster Isilon
agrégées sur des cartes réseau agrégées, ce qui se traduit par un équilibrage des
connexions sur tous les cœurs de CPU, une utilisation efficace de la
bande passante combinée et une tolérance aux pannes de connexion.
Remarque
Remarque
Les privilèges de contrôle d’accès basé sur des rôles (RBAC) ne s’appliquent pas à
MMC. Un rôle possédant des privilèges SMB n’est pas suffisant pour obtenir
l’accès.
l Vous devez vous connecter à un poste de travail Windows en tant qu’utilisateur
Active Directory membre du groupe local <cluster>\Administrators.
Remarque
Vous pouvez uniquement activer ou désactiver la copie côté serveur SMB pour OneFS
via l’interface de ligne de commande (CLI).
Remarque
Procédure
1. Accédez à Protocols > Windows Sharing (SMB) > SMB Shares.
2. Cliquez sur Create an SMB share.
La fenêtre Create an SMB Share s’ouvre.
3. Sélectionnez Enable continuous availability on the share.
4. (Facultatif) Cliquez sur Show Advanced Settings.
5. (Facultatif) Dans le champ Continuous Availability Timeout, spécifiez la durée
pendant laquelle vous souhaitez conserver un descripteur permanent après la
déconnexion d’un client ou la panne d’un serveur. La valeur par défaut est de
2 minutes.
6. (Facultatif) Définissez Strict Continuous Availability Lockout sur Yes pour
empêcher un client d’ouvrir un fichier si un autre client dispose d’un descripteur
permanent ouvert mais déconnecté de ce fichier. Si ce paramètre est défini sur
no, OneFS émet des descripteurs persistants, mais les annule si un client autre
que le client d’origine tente d’accéder au fichier. L'option par défaut est Yes.
7. Cliquez sur Create Share.
8. Pour configurer les paramètres d’intégrité des écritures, procédez comme suit :
a. Ouvrez une connexion shell sécurisée (SSH) pour l’interface de ligne de
commande (CLI) de OneFS.
b. Définissez le paramètre --ca-write-integrity sur l’une des options
suivantes :
none
Les écritures disponibles en continu sont gérées de la même manière
que les autres écritures sur le cluster. Si vous spécifiez none et qu’un
nœud tombe en panne, une perte de données peut survenir sans que
vous en soyez notifié. Ce paramètre est déconseillé.
write-read-coherent
Les écritures sur le partage sont déplacées vers un stockage persistant
avant la transmission d’un message de réussite au client SMB qui a
envoyé les données. C’est le paramètre par défaut.
full
Les écritures sur le partage sont déplacées vers un stockage persistant
avant la transmission d’un message de réussite au client SMB qui a
envoyé les données et empêche OneFS d’octroyer des baux de mise en
cache des écritures et des descripteurs aux clients SMB.
l Si vous choisissez d’autoriser les écritures de fichiers, vous pouvez spécifier les
extensions des types de fichiers pour lesquels les écritures sont autorisées. OneFS
refuse les écritures pour tous les autres types de fichiers dans le partage.
Vous pouvez ajouter ou supprimer des extensions de fichier si vos règles de restriction
changent.
authentifié auprès des partages SMB que le lien peut suivre. Toutefois, si le client
SMB n’est pas autorisé à accéder au partage, l’accès à la cible est refusé et Windows
n’invite pas l’utilisateur à saisir ses informations d’identification.
Les liens SMB2 et NFS sont interopérables pour les liens relatifs uniquement. Pour une
compatibilité maximale, créez ces liens à partir d’un client POSIX.
Remarque
Les clients SMB1 (Windows XP ou 2002, par exemple) peuvent continuer à utiliser des
liens relatifs, lesquels sont parcourus côté serveur et appelés « fichiers de
raccourci ». Les liens absolus ne fonctionnent pas dans ces environnements.
Pour les clients POSIX utilisant Samba, vous devez définir les options suivantes dans
la section [global] de votre fichier de configuration Samba (smb.conf) afin
d’autoriser les clients Samba à parcourir les liens relatifs et absolus :
follow symlinks=yes
wide links=yes
Dans cet exemple, « wide links » dans le fichier smb.conf désigne les liens absolus.
Le paramètre par défaut de ce fichier est no.
Lorsque vous créez un lien symbolique, il est désigné en tant que lien de fichier ou lien
de répertoire. Une fois le lien défini, sa désignation ne peut pas être modifiée. Vous
pouvez définir les chemins des liens symboliques comme relatifs ou absolus.
Pour supprimer des liens symboliques, utilisez la commande del sous Windows ou la
commande rm dans un environnement POSIX.
Gardez à l’esprit que lorsque vous supprimez un lien symbolique, le fichier ou
répertoire cible continue d’exister. Lorsque vous supprimez un fichier ou un répertoire
cible, le lien symbolique continue d’exister et pointe toujours vers l’ancienne cible,
devenant ainsi un lien rompu.
ATTENTION
Procédure
1. Cliquez sur Protocols > Windows Sharing (SMB) > SMB Server Settings.
2. Dans la zone Service, sélectionnez Enable SMB Service.
3. Dans la zone Advanced Settings, choisissez les valeurs par défaut du système
ou une configuration personnalisée pour les paramètres suivants :
l Visible at root
l Accessible at root
l Visible in subdirectories
l Accessible in subdirectories
4. Cliquez sur Save Changes.
ATTENTION
Si vous modifiez les paramètres par défaut, les modifications sont appliquées à
tous les partages existants de la zone d’accès, sauf si le paramètre a été
configuré au niveau du partage SMB.
Procédure
1. Cliquez sur Protocols > Windows Sharing (SMB) > Default Share Settings.
2. Dans la liste déroulante Current Access Zones, sélectionnez la zone d’accès à
laquelle s’appliquent les paramètres par défaut.
3. Dans la zone File Filtering, sélectionnez Enable file filters pour activer le
filtrage de fichiers.
4. Dans la zone Advanced Settings, choisissez les valeurs par défaut du système
ou une configuration personnalisée pour les paramètres suivants :
l Continuous Availability Timeout
l Strict Continuous Availability Lockout
l Create Permission
l Directory Create Mask
l Directory Create Mode
l File Create Mask
l File Create Mode
l Change Notify
l Oplocks
l Impersonate Guest
l Impersonate User
l NTFS ACL
l Access-based Enumeration
l Host ACL
5. Cliquez sur Save Changes.
ATTENTION
Remarque
Si les bits de masque et de mode correspondent aux valeurs par défaut, une coche
verte apparaît en regard du paramètre, indiquant que l’autorisation en lecture (R), en
écriture (W) ou en exécution (X) spécifiée est activée au niveau de l’utilisateur, du
groupe ou au niveau other. Le niveau other inclut tous les utilisateurs qui ne sont pas
répertoriés en tant que propriétaires du partage et qui ne font pas partie du niveau de
groupe auquel appartient le fichier.
Paramètre Valeur du paramètre
Continuous Availability Timeout Spécifie la durée pendant laquelle vous
souhaitez conserver un descripteur
Directory Create Mask Spécifie les bits de mode UNIX qui sont
supprimés lorsqu’un répertoire est créé, ce qui
limite les autorisations. Les bits de masque
sont appliqués avant les bits de mode.
File Create Mask Spécifie les bits de mode UNIX qui sont
supprimés lors de la création d’un fichier, ce
qui limite les autorisations. Les bits de masque
sont appliqués avant les bits de mode.
Remarque
Remarque
Remarque
Remarque
Si vous souhaitez utiliser une des variables du tableau suivant lorsque vous
spécifiez un chemin de répertoire, activez la case à cocher Allow Variable
Expansion, sans quoi le système interprétera la chaîne de façon littérale.
Variable Expansion
Variable Expansion
Remarque
Remarque
Procédure
1. Cliquez sur Protocols > Windows Sharing (SMB) > SMB Shares.
2. Dans la liste déroulante Current Access Zone, sélectionnez la zone d’accès
contenant le partage à modifier.
3. Dans la liste des partages SMB, recherchez le partage que vous souhaitez
modifier, puis cliquez sur View/Edit.
Les paramètres du partage s’affichent.
4. Cliquez sur Edit SMB Share.
5. Modifiez les paramètres souhaités.
6. (Facultatif) Pour modifier les paramètres d’autorisation, de performances ou de
sécurité des fichiers et des répertoires, cliquez sur Show Advanced Settings.
7. Cliquez sur Save Changes.
Remarque
Vous pouvez supprimer plusieurs partages sur le cluster en cochant les cases en
regard du nom de partage, puis en cliquant sur Delete.
Configuration d’un accès anonyme à tous les partages SMB dans une zone d’accès
Vous pouvez configurer l’accès anonyme aux données stockées dans une zone d’accès
grâce à l’usurpation d’identité d’un utilisateur invité.
Procédure
1. Cliquez sur Access > Membership & Roles > Users.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès pour laquelle
vous souhaitez autoriser un accès anonyme.
3. Dans la liste déroulante Providers, sélectionnez Local.
a. Cliquez sur View/Edit en regard du compte invité.
La boîte de dialogue View User Details s’affiche.
b. Cliquez sur Edit User.
c. Sélectionnez l’option Enable the account, puis cliquez sur Save Changes.
4. Cliquez sur Protocols > Windows Sharing (SMB) > Default Share Settings.
5. Dans la liste Current Access Zone, sélectionnez la zone d’accès pour laquelle
vous souhaitez autoriser un accès anonyme.
6. Recherchez le paramètre Impersonate Guest, puis cliquez sur Use Custom.
La liste déroulante Impersonate Guest s’affiche.
7. Sélectionnez Always dans la liste Impersonate Guest.
8. Cliquez sur Save Changes.
NFS
OneFS offre un serveur NFS, ce qui vous permet de partager des fichiers sur votre
cluster avec les clients NFS conformes aux spécifications RFC1813 (NFSv3) et
RFC3530 (NFSv4).
Dans OneFS, le serveur NFS est entièrement optimisé en tant que service multithread
qui s’exécute non pas dans le noyau mais dans l’espace utilisateur. Cette architecture
équilibre les charges du service NFS sur tous les nœuds du cluster, ce qui assure la
stabilité et l’évolutivité nécessaires à la gestion de milliers de connexions sur plusieurs
clients NFS.
Les montages NFS s’exécutent et s’actualisent rapidement, et le serveur contrôle en
permanence la fluctuation des exigences qui pèsent sur les services NFS et apporte
des ajustements sur l’ensemble des nœuds afin de garantir des performances
continues et fiables. À l’aide d’un planificateur de processus intégré, OneFS garantit
NFS 239
Partage de fichiers
Exports NFS
Vous pouvez gérer différentes règles d’exportation NFS qui définissent des points de
montage (chemins) accessibles aux clients NFS et déterminent la manière dont le
serveur doit agir avec ces clients.
Dans OneFS, vous pouvez créer, supprimer, répertorier, afficher, modifier et
recharger les exportations NFS.
Les règles d’exportation NFS sont sensibles à la zone. Chaque exportation est
associée à une zone, ne peut être montée que par les clients de cette zone et peut
uniquement exposer de chemins se trouvant sous la racine de la zone. Par défaut,
toute commande d’exportation s’applique à la zone actuelle du client.
Chaque règle doit avoir au moins un chemin (point de montage) et peut inclure des
chemins supplémentaires. Vous pouvez également indiquer que tous les sous-
répertoires du ou des chemin(s) spécifié(s) peuvent être montés. Dans le cas
contraire, seuls les chemins spécifiés seront exportés et les répertoires enfants ne
pourront pas être montés.
Une règle d’exportation peut spécifier un ensemble spécifique de clients, ce qui vous
permet de limiter l’accès à certains points de montage ou d’appliquer à ces clients un
ensemble unique d’options. Si la règle ne spécifie pas de clients, elle s’appliquera à
tous les clients qui se connectent au serveur. Si la règle spécifie des clients, elle
s’appliquera uniquement aux clients en question.
Alias NFS
Vous pouvez créer et gérer des alias sous forme de raccourcis pour les chemins de
répertoire dans OneFS. Si ces chemins sont définis comme exportations NFS, les
clients NFS peuvent spécifier les alias comme points de montage NFS.
Les alias NFS sont conçus pour offrir une parité fonctionnelle avec les noms de
partage SMB dans le contexte de NFS. Chaque alias met en correspondance un nom
unique avec un chemin sur le système de fichiers. Les clients NFS peuvent ensuite, au
moment du montage, utiliser le nom d’alias à la place du chemin.
Les alias doivent être structurés comme des noms de chemins Unix de niveau
supérieur, c’est-à-dire avec une barre oblique suivie du nom. Par exemple, vous
pouvez créer un alias nommé /q4 qui sera mis en correspondance avec /ifs/data/
mount cluster_ip:/q4
mount cluster_ip:/ifs/data/finance/accounting/winter2015
Les alias et les exportations sont totalement indépendants. Vous pouvez créer un alias
sans l’associer à une exportation NFS. De même, une exportation NFS ne nécessite
pas d’alias.
Chaque alias doit indiquer un chemin valide sur le système de fichiers. Bien que ce
chemin soit absolu, il doit pointer vers un emplacement se trouvant sous la racine de la
zone (/ifssur la zone système). Si l’alias indique un chemin qui n’existe pas sur le
système de fichiers, tout client tentant de monter l’alias se verra refuser l’accès de la
même manière que s’il tentait de monter un chemin d’accès complet non valide.
Les alias NFS sont sensibles à la zone. Par défaut, un alias s’applique à la zone d’accès
actuelle du client. Pour modifier ce paramètre, vous pouvez spécifier une autre zone
d’accès dans le cadre de la création ou de la modification d’un alias.
Chaque alias ne peut être utilisé que par les clients de cette zone et ne peut
s’appliquer qu’aux chemins se trouvant sous la racine de la zone. Les noms d’alias sont
uniques à chaque zone, mais il est possible d’utiliser le même nom dans des zones
différentes, par exemple /home.
Lorsque vous créez un alias dans l’interface d’administration Web, la liste des alias
affiche l’état de l’alias. De la même manière, l’option --check de la commande isi
nfs aliases vous permet de vérifier l’état d’un alias NFS. Il existe différents états :
good, illegal path, name conflict, not exported ou path not found.
Remarque
Le protocole NFSv4 peut être activé sans interruption sur un cluster OneFS, et il
s’exécute en même temps que NFSv3. Les clients NFSv3 existants ne sont pas
affectés par l’activation de NFSv4.
Créer une règle de restriction au niveau racine pour l’exportation NFS par défaut
Par défaut, le service NFS met en œuvre une règle de restriction au niveau racine pour
l’exportation NFS par défaut. Cette règle empêche les utilisateurs root sur les clients
NFS d’exercer des privilèges root sur le serveur NFS.
Procédure
1. Cliquez sur Protocols > UNIX Sharing (NFS) > NFS Exports.
2. Sélectionnez l’exportation par défaut dans la liste NFS Exports, puis cliquez sur
View/Edit.
3. Dans la zone Root User Mapping, vérifiez que les paramètres par défaut sont
sélectionnés. Si tel est le cas, aucune modification n’est nécessaire et vous
pouvez passer à l’étape 7.
4. Cliquez sur Edit Export.
5. Recherchez le paramètre Root User Mapping, puis cliquez sur Use Default
pour le réinitialiser à ces valeurs :
Résultats
Avec ces paramètres, quelles que soient les informations d’identification des
utilisateurs sur le client NFS, ces derniers ne peuvent pas bénéficier de privilèges root
sur le serveur NFS.
Remarque
Nous vous recommandons de modifier l’exportation par défaut pour limiter l’accès aux
seuls clients fiables ou pour limiter totalement l’accès. Pour éviter que les données
sensibles soient compromises, nous vous recommandons de placer les autres
exportations que vous créez à un niveau inférieur de la hiérarchie des fichiers OneFS
et de les protéger par des zones d’accès ou de les limiter à des clients spécifiques
bénéficiant d’un accès root, en lecture/écriture ou en lecture seule, selon le cas.
Procédure
1. Cliquez sur Protocols > UNIX Sharing (NFS) > NFS Exports.
2. Cliquez sur Create Export.
3. Pour le paramètre Directory Paths, saisissez ou sélectionnez le répertoire à
exporter.
Vous pouvez ajouter plusieurs chemins de répertoire en cliquant sur Add
another directory path pour chaque chemin supplémentaire.
4. (Facultatif) Dans le champ Description, saisissez un commentaire décrivant
l’exportation.
5. (Facultatif) Indiquez les clients autorisés à accéder à l’exportation.
Vous pouvez spécifier les clients NFS dans n’importe quel ou tous les champs
client, tel que décrit dans le tableau suivant. Un client peut être identifié par un
nom d’hôte, une adresse IPv4 ou IPv6, un sous-réseau ou un groupe réseau. Les
adresses IPv4 mappées dans l’espace d’adresse IPv6 sont converties et
stockées en tant qu’adresses IPv4 afin d’éliminer toute ambigüité.
Vous pouvez spécifier plusieurs clients dans chaque champ en saisissant une
entrée par ligne.
Remarque
Si aucun client n’est spécifié, tous les clients du réseau sont autorisés à accéder
à l’exportation. Si vous spécifiez des clients dans l’un des champs de règle, par
exemple Always Read-Only Clients, la règle en vigueur ne s’applique qu’à ces
clients spécifiques. Toutefois, l’ajout d’une entrée à Root Clients n’empêche
pas les autres clients d’accéder à l’exportation.
Si vous ajoutez le même client à plusieurs listes en le saisissant dans le même
format pour chaque entrée, ce client est normalisé à une seule liste dans l’ordre
de priorité suivant :
l Root Clients
l Always Read-Write Clients
l Always Read-Only Clients
l Clients
Paramètre Description :
Clients Spécifie un ou plusieurs clients qui sont autorisés à accéder à
l’exportation. Le niveau d’accès est contrôlé par le biais des
autorisations d’exportation.
Always Read- Spécifie un ou plusieurs clients devant bénéficier d’un accès
Write Clients en lecture/écriture à l’exportation quel que soit le paramètre
de restriction d’accès de l’exportation. Cela revient à ajouter le
client à la liste Clients alors que le paramètre Restrict access
to read-only n’est pas sélectionné.
Always Read- Spécifie un ou plusieurs clients devant bénéficier d’un accès
Only Clients en lecture seule à l’exportation quel que soit le paramètre de
restriction d’accès de l’exportation. Cela revient à ajouter le
client à la liste Clients alors que le paramètre Restrict access
to read-only est sélectionné.
Paramètre Description :
Root Clients Spécifie un ou plusieurs clients devant être mappés en tant
qu’utilisateur root de l’exportation. Ce paramètre permet au
client suivant de monter l’exportation, de présenter l’identité
de l’utilisateur root et d’être mappé à l’utilisateur root. L’ajout
d’un client à cette liste n’empêche pas les autres clients de
monter l’exportation si les clients, les clients en lecture seule
et les clients en lecture/écriture ne sont pas définis.
Remarque
Le type de sécurité par défaut (UNIX) s’appuie sur l’existence d’un réseau de
confiance. Si vous ne faites pas totalement confiance à tous les éléments de
votre réseau, la bonne pratique consiste à choisir une option Kerberos. Si le
système ne prend pas en charge Kerberos, il n’est pas entièrement protégé, car
le protocole NFS sans Kerberos fait confiance à tous les éléments du réseau et
envoie tous les paquets en texte clair. Si vous ne pouvez pas utiliser Kerberos,
vous devez trouver un autre moyen de protéger la connexion Internet. Au
minimum, procédez comme suit :
l Limitez l’accès root au cluster aux adresses IP d’hôtes de confiance.
l Assurez-vous que tous les nouveaux périphériques que vous ajoutez au
réseau sont fiables. Les méthodes pour garantir la fiabilité sont notamment
les suivantes :
n Utilisez un tunnel IPsec. Cette méthode est très sûre, car elle authentifie
les périphériques à l’aide de clés sécurisées.
n Configurez tous les ports de switch pour qu’ils deviennent inactifs s’ils
sont déconnectés physiquement. En outre, assurez-vous que les ports de
switch sont limités en adresses MAC.
Résultats
La nouvelle exportation NFS est créée et s’affiche en haut de la liste NFS Exports.
ATTENTION
Procédure
1. Sélectionnez Protocols > UNIX Sharing (NFS) > NFS Exports.
2. Dans la liste NFS Exports, cochez la case correspondant à l’exportation que
vous souhaitez modifier, puis cliquez sur View/Edit.
3. Cliquez sur Edit Export.
4. Modifiez les paramètres en fonction des besoins.
5. Cliquez sur Show Advanced Settings pour modifier les paramètres
d’exportation avancés.
Il est recommandé de ne modifier les paramètres avancés qu’en cas de
nécessité et seulement si vous comprenez pleinement les conséquences de ces
paramètres.
6. Cliquez sur Save Changes.
7. Cliquez sur Close.
Remarque
Vous pouvez supprimer toutes les exportations d’un cluster simultanément. Activez la
case à cocher Export ID/Path située en haut de la liste NFS Exports, puis
sélectionnez Delete dans la liste déroulante située à droite.
Procédure
1. Sélectionnez Protocols > UNIX Sharing (NFS) > NFS Exports.
2. Dans la liste NFS Exports, activez la case à cocher située à gauche de
l’exportation à supprimer.
3. Cliquez sur Delete.
4. Dans la boîte de dialogue de confirmation, cliquez sur Delete pour confirmer
l’opération.
ID Message
----------
----------
Total: 0
ID Message
-----------------------------------
1 '/ifs/test' does not exist
-----------------------------------
Total: 1
Remarque
Les modifications apportées aux paramètres d’exportation par défaut ont une
incidence sur toutes les exportations NFS actuelles et futures qui utilisent les
paramètres par défaut. Une modification incorrecte de ces paramètres peut nuire à la
disponibilité du service de partage de fichiers NFS. Il est déconseillé de modifier les
paramètres par défaut, et en particulier les paramètres avancés, à moins d’avoir de
l’expérience en matière d’utilisation de NFS. En revanche, il est conseillé de modifier
les paramètres selon les besoins pour les exportations NFS individuelles lors de leur
création.
Procédure
1. Sélectionnez Protocols > UNIX Sharing (NFS) > Export Settings.
Les paramètres d’exportation NFS courants s’affichent dans la zone Export
Settings : Root User Mapping, Non-Root User Mapping, Failed User
Mapping et Security Flavors. Modifiez les paramètres par défaut que vous
souhaitez appliquer à toutes les nouvelles exportations NFS ou aux exportations
existantes utilisant des valeurs par défaut.
2. Dans la zone Advanced Export Settings, vous pouvez modifier les paramètres
avancés.
Remarque
Paramètre Description
Block Size Taille de bloc utilisée pour calculer les
nombres de blocs pour les demandes NFSv3
FSSTAT et NFSv4 GETATTR. La valeur par
défaut est 8192 bytes.
Paramètre Description
Directory Transfer Size Taille privilégiée du transfert de lecture de
répertoire signalée aux clients NFSv3 et
NFSv4. La valeur par défaut est 131072
bytes.
Paramètre Description
Can Set Time Lorsque ce paramètre est activé, OneFS
autorise le client NFS à définir différents
attributs d’heure sur le serveur NFS. La valeur
par défaut est Yes.
FTP
OneFS inclut un service FTP sécurisé, appelé vsftpd (Very Secure FTP Daemon), que
vous pouvez configurer pour les transferts de fichiers FTP et FTPS standard.
Option Description
Enable Autorise les utilisateurs dont le nom d’utilisateur est
anonymous anonymous ou ftp à accéder aux fichiers et aux répertoires
access sans authentification requise. Ce paramètre est désactivé
par défaut.
Enable local Autorise les utilisateurs locaux à accéder aux fichiers et
access aux répertoires avec leur nom d’utilisateur local et leur mot
de passe, ce qui leur permet de télécharger des fichiers
directement par l’intermédiaire du système de fichiers. Ce
paramètre est activé par défaut.
Enable server-to- Autorise le transfert de fichiers entre deux serveurs FTP
server transfers distants. Ce paramètre est désactivé par défaut.
HTTP et HTTPS
OneFS inclut un service HTTP (Hypertext Transfert Protocol) configurable qui est
utilisé pour demander des fichiers stockés sur le cluster et pour interagir avec
l’interface d’administration Web.
OneFS prend en charge le protocole HTTP et sa variante sécurisée, HTTPS. Pour
fournir un accès HTTP, chaque nœud du cluster exécute une instance du serveur
HTTP Apache. Vous pouvez configurer le service HTTP de sorte qu’il s’exécute dans
différents modes.
Les protocoles HTTP et HTTPS sont tous deux pris en charge pour le transfert de
fichiers, mais seul HTTPS est pris en charge pour les appels de l’API de plate-forme.
De même, l’interface d’administration Web n’accepte que HTTPS. De plus, OneFS
prend en charge une forme du protocole DAV basé sur le Web (WebDAV) qui permet
aux utilisateurs de modifier et de gérer des fichiers sur des serveurs Web distants.
OneFS exécute la création distribuée, mais il ne prend pas en charge la gestion des
versions et il n’exécute pas de contrôles de sécurité. Vous pouvez activer DAV dans
l’interface d’administration Web.
Option Description
Enable HTTP Permet un accès HTTP pour l’administration du cluster et l’exploration
de son contenu.
Disable HTTP Ferme le port HTTP utilisé pour l’accès aux fichiers. Les utilisateurs
peuvent continuer à accéder à l’interface d’administration Web en
spécifiant le numéro de port dans l’URL. Le port par défaut est le port
8080.
Remarque
Option Description
Off Désactive l’authentification HTTP.
Option Description
Basic Authentication Active l’authentification HTTP de base et permet au serveur Web
with Access Controls Apache d’effectuer des vérifications d’accès.
Modifier les paramètres de filtrage des fichiers d’une zone d’accès 259
Filtrage des fichiers
Audit 261
Audit
Présentation de l’audit
Vous pouvez auditer les modifications de configuration système et l’activité du
protocole sur un cluster EMC Isilon. Toutes les données d’audit sont stockées et
protégées dans le système de fichiers du cluster, et organisées en rubriques d’audit.
L’audit permet de détecter plusieurs sources possibles de perte de données, comme
les activités frauduleuses, les habilitations inadéquates, les tentatives d’accès
interdites. Les clients des secteurs des services financiers, de la santé, des sciences
de la vie, des médias et du spectacle, ainsi que ceux des administrations, doivent
satisfaire à des obligations réglementaires strictes, mises en place pour lutter contre
ces pertes de données.
L’audit de configuration système analyse et enregistre tous les événements de
configuration qui sont gérés par l’API HTTP OneFS. Le processus implique l’audit de
l’interface de ligne de commande (CLI), de l’interface d’administration Web et des API
OneFS. Lorsque vous activez l’audit de configuration système, aucune configuration
supplémentaire n’est requise. Les événements d’audit de configuration système sont
stockés dans les répertoires de rubriques d’audit config.
L’audit de protocole analyse et consigne les activités effectuées via les connexions des
protocoles SMB, NFS et HDFS. Vous pouvez activer et configurer l’audit de protocole
pour une ou plusieurs zones d’accès d’un cluster. Si vous activez l’audit de protocole
pour une zone d’accès, les événements d’accès aux fichiers via les protocoles SMB,
NFS et HDFS sont stockés dans les répertoires de rubriques d’audit de protocole.
Vous pouvez préciser quels événements consigner pour chaque zone d’accès. Par
exemple, vous pouvez choisir d’auditer l’ensemble des événements de protocol par
défaut dans la zone d’accès System, mais seulement les suppressions de fichier
réussies dans une autre zone d’accès.
Les événements d’audit sont consignés sur les nœuds individuels où le client SMB,
NFS ou HDFS a initié l’activité. Ils sont ensuite stockés dans un fichier binaire sous /
ifs/.ifsvar/audit/logs. Les logs passent ensuite automatiquement à un
nouveau fichier une fois que la taille atteint 1 Go. Les logs sont ensuite compressés
afin de réduire l’espace utilisé.
Le fichier log d’audit protocol est utilisable par les applications d’audit prenant en
charge EMC CEE (Common Event Enabler).
Syslog
Syslog est un protocole servant à transmettre certains messages de notification
d’événements. Vous pouvez configurer un cluster Isilon pour consigner les
événements d’audit et les transférer à Syslog au moyen du service de transmission
Syslog.
Par défaut, tous les événements de protocole qui se produisent sur un nœud
particulier sont transmis au fichier /var/log/audit_protocol.log,
indépendamment de la zone d’accès à l’origine de l’événement. Tous les événements
d’audit de configuration sont consignés dans /var/log/audit_config.log par
défaut.
Syslog est configuré avec une identité qui varie selon le type d’événements d’audit qui
lui est envoyé. Il utilise la fonction daemon et le niveau de priorité Info. Les
événements d’audit de protocole sont consignés dans syslog avec l’identité
audit_protocol. Les événements d’audit de configuration sont consignés dans
syslog avec l’identité audit_config.
Pour configurer l’audit sur un cluster Isilon, vous devez être un utilisateur root ou
posséder un rôle d’administration qui inclut des privilèges d’audit (ISI_PRIV_AUDIT).
Transfert syslog
Le service de transfert de syslog est un processus qui, lorsqu’il est activé, extrait les
événements de modification de configuration et les événements d’audit de protocole
dans une zone d’accès et les transfère à syslog. Seuls les événements de réussite et
d’échec d’audit définis par l’utilisateur peuvent faire l’objet d’un transfert vers syslog.
Chaque nœud contient un processus de transfert du syslog d’audit en cours
d’exécution qui consigne les événements d’audit dans le même processus syslog du
nœud.
Remarque
Pour les protocoles NFS et HDFS, les événements rename et delete ne sont pas
nécessairement inclus avec les événements create et close.
Remarque
EMC CEE ne prend pas en charge la redirection des événements du protocole HDFS
vers une application tierce.
Les différents clients SMB, NFS et HDFS émettent des demandes différentes, et une
version particulière d’une plate-forme comme Windows ou Mac OS X utilisant SMB
peut différer d’une autre plate-forme. De manière similaire, les différentes versions
d’une application telle que Microsoft Word ou l’Explorateur Windows peuvent émettre
des demandes de protocole différentes. Par exemple, un client avec une fenêtre de
l’Explorateur Windows ouverte peut générer de nombreux événements en cas
d’actualisation manuelle ou automatique de cette fenêtre. Les applications émettent
des demandes à l’aide des informations d’identification de l’utilisateur connecté, mais
cela ne signifie pas que toutes les demandes sont des actions volontaires de
l’utilisateur.
Lorsqu’elle est activée, la fonction d’audit de OneFS analyse toutes les modifications
apportées aux fichiers et aux répertoires dans les partages SMB, les exportations NFS
et les données HDFS.
Remarque
Remarque
Dans une configuration globale, il doit y avoir un serveur CEE par nœud.
l Configurez le serveur CEE et activez l’audit de protocole en même temps. Sinon,
un backlog d’événements risque de s’accumuler, donnant lieu à la livraison
d’événements obsolètes pendant un certain temps.
Vous pouvez soit obtenir une vue globale de la progression de la livraison des
événements d’audit de protocole, soit bénéficier d’une vue par numéro de nœud
logique en exécutant la commande isi audit progress view.
Remarque
Le protocole
SMB vous
permet de définir
un fichier en vue
de sa
suppression avec
l’opération
create, mais vous
devez activer
l’événement de
suppression pour
que l’outil d’audit
consigne ce
dernier.
set_security Tentative de X X
modification des
Vous pouvez afficher les logs d’audit de l’accès aux protocoles en exécutant la
commande isi_audit_viewer -t protocol et les logs de configuration système
en exécutant la commande isi_audit_viewer -t config. Le résultat suivant est
un exemple de log de configuration système :
"name": "Test"}}}
Remarque
Étant donné que chaque événement faisant l’objet d’un audit consomme des
ressources système, nous vous recommandons de configurer uniquement les zones
des événements requis par votre application d’audit. Par ailleurs, nous vous
recommandons d’installer et de configurer les applications d’audit tierces avant
d’activer la fonction d’audit OneFS. Dans le cas contraire, le backlog volumineux
généré par cette fonction risque d’empêcher la mise à jour des résultats pendant une
période prolongée.
Procédure
1. Cliquez sur Cluster Management > Auditing.
2. Dans la zone Settings, cochez la case Enable Protocol Access Auditing.
3. Dans la zone Audited Zones, cliquez sur Add Zones.
4. Dans la boîte de dialogue Select Access Zones, cochez la case en regard de la
ou des zones d’accès concernées, puis cliquez sur Add Zones.
5. (Facultatif) Dans la zone Event Forwarding, spécifiez un ou plusieurs serveurs
CEE vers lesquels transférer les événements consignés.
a. Dans le champ CEE Server URIs, saisissez l’URI de chaque serveur CEE du
pool de serveurs CEE.
Le service d’exportation OneFS CEE utilise l’équilibrage de charge à
permutation circulaire lors de l’exportation des événements vers plusieurs
serveurs CEE. Les URI valides commencent par http:// et incluent le
numéro de port et le chemin d’accès au serveur CEE, si besoin. Par
exemple : http://example.com:12228/cee.
Remarque
Bien que cette étape soit facultative, gardez à l’esprit qu’un backlog
d’événements s’accumulera que les serveurs CEE aient été configurés ou
non. Une fois configuré, le transfert CEE commence avec les événements les
plus anciens du backlog et évolue vers les événements les plus récents selon
le principe du premier entré, premier sorti.
Remarque
Procédure
1. Cliquez sur Cluster Management > Auditing.
2. Dans la zone Settings, cochez la case Enable Configuration Change Auditing.
3. Cliquez sur Save Changes.
À effectuer
Vous pouvez activer le transfert des modifications de configuration du système à
syslog en exécutant la commande isi audit settings global modify avec
l’option --config-syslog-enabled. Cette procédure n’est disponible que via
l’interface de ligne de commande.
Remarque
Remarque
Vous devez installer au moins deux serveurs EMC vous recommande d'installer
CEE 6.6.0 ou version supérieure.
Procédure
1. Téléchargez le logiciel de framework CEE à partir du support en ligne d’EMC :
Remarque
l La valeur HttpPort doit correspondre au port des URI CEE que vous
spécifiez lors de la configuration de l’audit du protocole OneFS.
l La valeur EndPoint doit avoir le format <EndPoint_Name>@<IP_Address>.
Vous pouvez spécifier plusieurs points de terminaison en séparant chaque
valeur par un point-virgule (;).
Vous pouvez exécuter la commande isi audit progress view avec l’option
--lnn pour afficher les horodatages de livraison des événements d’audit sur un
nœud spécifié au moyen de son numéro de nœud logique.
Remarque
Les événements qui sont ignorés ne sont pas transmis au serveur CEE, même s’ils sont
toujours disponibles sur le cluster.
Procédure
l Exécutez la commande isi audit settings global modify avec l’option
--cee-log-time pour déplacer la position de log du redirecteur CEE.
Afficher les horodatages de livraison des événements au serveur CEE et à syslog 275
Audit
Node node.audit.cee.export.rate
---------------------------------
1 3904.600000
---------------------------------
Total: 1
Snapshots 277
Snapshots
Au moment où il est créé par OneFS, le snapshot consomme une quantité négligeable
d’espace disque. Il ne consomme pas d’espace disque supplémentaire, à moins que les
données auxquelles il fait référence soient modifiées. Si elles sont modifiées, il stocke
des copies en lecture seule des données d’origine. Un snapshot ne consomme que
l’espace requis pour restaurer le contenu d’un répertoire à l’état dans lequel il se
trouvait au moment de la création du snapshot.
Pour limiter la consommation d’espace disque, les snapshots qui font référence au
même répertoire se font référence mutuellement, les anciens snapshots faisant
référence aux nouveaux. Si un fichier est supprimé alors que plusieurs snapshots y
font référence, un seul snapshot stocke une copie du fichier et les autres snapshots
font référence à celui-ci à partir du snapshot contenant la copie. La taille signalée d’un
snapshot reflète uniquement la quantité de données stockées par celui-ci ; elle n’inclut
pas la quantité de données auxquelles il fait référence.
Étant donné que les snapshots ne consomment pas une quantité définie d’espace de
stockage, il n’existe aucune exigence en matière d’espace disponible pour créer un
snapshot. La taille d’un snapshot se développe en fonction de la façon dont les
données auxquelles il fait référence sont modifiées. Un cluster ne peut pas contenir
plus de 20 000 snapshots.
Plannings de snapshots
Vous pouvez générer automatiquement des snapshots en fonction d’un planning de
snapshots.
Les plannings de snapshots permettent de générer régulièrement des snapshots d’un
répertoire sans avoir à les créer manuellement à chaque fois. Vous pouvez également
définir une période d’expiration qui détermine quand SnapshotIQ supprime chaque
snapshot généré automatiquement.
Alias de snapshot
Un alias de snapshot est un pointeur logique vers un snapshot. Si vous spécifiez un
alias pour un planning de snapshots, il pointe toujours vers le dernier snapshot généré
selon ce planning. L’attribution d’un alias de snapshot vous permet d’identifier
rapidement le snapshot le plus récent généré selon un planning de snapshots, et d’y
accéder.
Si vous permettez aux clients d’accéder aux snapshots via un alias, vous pouvez
réattribuer l’alias pour rediriger les clients vers d’autres snapshots. Vous pouvez
attribuer des alias à des snapshots, mais également à la version active du système de
fichiers. Cela peut être utile si les clients accèdent aux snapshots par le biais d’un alias
de snapshot et que vous souhaitiez les rediriger vers la version active du système de
fichiers.
Le clonage d’un fichier à partir d’un snapshot duplique également le fichier. Toutefois,
contrairement à une copie, qui consomme immédiatement de l’espace supplémentaire
sur le cluster, un clone n’occupe pas d’espace supplémentaire sur le cluster tant que le
clone ou le fichier cloné n’est pas modifié.
Le rétablissement d’un snapshot remplace le contenu d’un répertoire par les données
stockées dans le snapshot. Avant le rétablissement d’un snapshot, SnapshotIQ crée un
snapshot du répertoire remplacé, ce qui vous permet d’annuler ultérieurement le
rétablissement du snapshot. Le rétablissement d’un snapshot peut être utile si vous
souhaitez annuler un grand nombre de modifications que vous avez apportées aux
fichiers et aux répertoires. Si de nouveaux fichiers ou répertoires ont été créés dans
un répertoire depuis qu’un snapshot de celui-ci a été créé, ils sont supprimés lorsque le
snapshot est rétabli.
Remarque
vous choisissez l’heure d’été, la durée des snapshots augmente de ce fait d’une
heure ; lorsque vous quittez l’heure d’été, la durée des snapshots diminue d’une heure,
conformément à l’heure standard.
Clones de fichiers
Pour économiser de l’espace sur le cluster, SnapshotIQ vous permet de créer des
clones de fichiers qui partagent des blocs avec les fichiers existants. Un clone de
fichier occupe généralement moins d’espace et est moins long à créer qu’une copie de
fichier. Bien que vous puissiez cloner des fichiers à partir de snapshots, les clones sont
principalement utilisés en interne par OneFS.
Les blocs partagés entre un clone et le fichier cloné se trouvent dans un fichier
masqué appelé zone de stockage de clichés instantanés. Immédiatement après la
création d’un clone, toutes les données contenues initialement dans le fichier cloné
sont transférées vers une zone de stockage de clichés instantanés. Étant donné que
les deux fichiers font référence à tous les blocs de la zone de stockage de clichés
instantanés, ils n’occupent pas plus d’espace que le fichier d’origine ; le clone n’utilise
pas d’espace supplémentaire sur le cluster. Toutefois, si le fichier cloné ou le clone est
modifié, le fichier et le clone ne partagent que les blocs qui leurs sont communs à tous
les deux. Les blocs modifiés non partagés occupent de l’espace supplémentaire sur le
cluster.
Au fil du temps, il est possible que les blocs partagés qui se trouvent dans la zone de
stockage de clichés instantanés deviennent inutiles si ni le fichier, ni le clone n’y font
référence. Le cluster supprime régulièrement les blocs qui ne sont plus nécessaires.
Vous pouvez imposer au cluster de supprimer les blocs inutilisés à tout moment en
exécutant la tâche ShadowStoreDelete.
Les clones ne peuvent pas contenir d’autres flux de données (ADS). Si vous clonez un
fichier contenant d’autres flux de données, ceux-ci ne se trouveront pas dans le clone.
cible. Les fichiers sont transférés comme s’ils contenaient les données auxquelles
ils font référence dans les zones de stockage de clichés instantanés. Sur le cluster
Isilon ou le périphérique de sauvegarde cible, les fichiers occupent la même
quantité d’espace que s’ils ne faisaient pas référence à des zones de stockage de
clichés instantanés.
l Lorsque OneFS crée une zone de stockage de clichés instantanés, il l’attribue au
pool de stockage d’un fichier qui fait référence à cette zone de stockage. Si vous
supprimez le pool de stockage sur lequel réside une zone de stockage de clichés
instantanés, celle-ci est déplacée vers un pool occupé par un autre fichier qui fait
référence à cette zone de stockage.
l OneFS ne supprime pas un bloc de la zone de stockage de clichés instantanés
immédiatement après la suppression de la dernière référence à ce bloc. Au lieu de
cela, il attend l’exécution de la tâche ShadowStoreDelete pour supprimer le bloc
non référencé. Si un grand nombre de blocs non référencés existent sur le cluster,
OneFS peut signaler des gains de déduplication négatifs jusqu’à ce que la tâche
ShadowStoreDelete soit exécutée.
l Les zones de stockage de clichés instantanés sont protégées au moins autant que
le fichier le plus protégé auquel elles font référence. Par exemple, si un fichier qui
fait référence à une zone de stockage de clichés instantanés réside dans un pool
de stockage protégé au niveau +2 et qu’un autre fichier qui y fait référence réside
dans un pool de stockage protégé au niveau +3, la zone de stockage de clichés
instantanés est protégée au niveau +3.
l Les quotas comptabilisent les fichiers qui font référence à des zones de stockage
de clichés instantanés comme s’ils contenaient les données référencées ; du point
de vue des quotas, les références aux zones de stockage de clichés instantanés
n’existent pas. Toutefois, si un quota inclut l’espace dédié à la protection des
données, il ne tient pas compte de celui associé aux zones de stockage de clichés
instantanés.
Verrous de snapshot
Un verrou de snapshot empêche la suppression d’un snapshot. Si un ou plusieurs
verrous sont appliqués à un snapshot, celui-ci ne peut pas être supprimé : on parle
alors de snapshot verrouillé. Si la durée d’un snapshot verrouillé expire, OneFS ne
supprime pas le snapshot tant que tous ses verrous n’ont pas été supprimés.
OneFS applique des verrous de snapshot afin que les snapshots générés par les
applications OneFS ne soient pas supprimés prématurément. C’est pourquoi il est
recommandé de ne pas supprimer les verrous de snapshot ni de modifier leur durée.
Le nombre de verrous pouvant être appliqués à un snapshot est limité. Si vous créez
des verrous de snapshot, vous risquez d’atteindre le nombre maximal autorisé pour un
snapshot, ce qui peut empêcher OneFS d’appliquer lui-même un verrou de snapshot
au moment voulu. Il est donc recommandé de ne pas créer de verrous de snapshot.
Remarque
L’espace réservé aux snapshots ne limite pas la quantité d’espace que les snapshots
peuvent consommer sur le cluster. Les snapshots peuvent utiliser un pourcentage plus
élevé de la capacité de stockage que celui spécifié pour leur espace réservé. Il est
recommandé de ne pas définir d’espace réservé aux snapshots.
Si une licence SnapshotIQ devient inactive, vous ne pouvez plus créer de nouveaux
snapshots, tous les plannings de snapshots sont désactivés et vous ne pouvez plus
modifier les snapshots ni les paramètres correspondants. Toutefois, il reste possible de
supprimer les snapshots et d’accéder aux données qu’ils contiennent.
WeeklyBackup_%m-%d-%Y_%H:%M
WeeklyBackup_07-13-2014_14:21
5. Dans le champ Path, spécifiez le répertoire qui doit être contenu dans les
snapshots générés suivant ce planning.
6. Dans la liste Schedule, sélectionnez la fréquence à laquelle vous souhaitez
générer des snapshots suivant le planning.
Option Description
Générer des snapshots tous les jours ou Sélectionnez Daily, puis indiquez
laisser passer un certain nombre de jours la fréquence à laquelle vous
sans créer aucun snapshot souhaitez générer des snapshots.
Générer des snapshots certains jours de Sélectionnez Weekly, puis
la semaine et laisser éventuellement indiquez la fréquence à laquelle
passer plusieurs semaines sans créer vous souhaitez générer des
aucun snapshot snapshots.
Générer des snapshots certains jours du Sélectionnez Monthly, puis
mois et laisser éventuellement passer indiquez la fréquence à laquelle
plusieurs mois sans créer aucun snapshot vous souhaitez générer des
snapshots.
Générer des snapshots certains jours de Sélectionnez Yearly, puis
l’année indiquez la fréquence à laquelle
vous souhaitez générer des
snapshots.
Remarque
Créer un snapshot
Vous pouvez créer un snapshot d’un répertoire.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshots.
2. Cliquez sur Create a Snapshot.
Variable Description
%A Jour de la semaine.
%B Nom du mois.
Variable Description
%p AM ou PM.
%{PolicyName} Nom de la règle de réplication pour laquelle le
snapshot a été créé. Cette variable est valide
uniquement si vous spécifiez un modèle de
dénomination des snapshots pour une règle de
réplication.
Variable Description
%S Deux chiffres correspondant aux secondes.
Variable Description
l’UTC. S’il est précédé d’un signe moins, le
fuseau horaire est à l’ouest de l’UTC.
zone de stockage de clichés instantanés ne soient plus référencées par aucun fichier
du cluster. OneFS supprime ces données non référencées lors de l’exécution de la
tâche ShadowStoreDelete. OneFS exécute régulièrement les tâches
ShadowStoreDelete et SnapshotDelete. Cependant, vous pouvez également exécuter
manuellement ces tâches à tout moment.
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshots.
2. Dans la liste des snapshots, sélectionnez le ou les snapshots que vous souhaitez
supprimer.
a. Dans la liste Select an action, sélectionnez Delete.
b. Dans la fenêtre de confirmation, cliquez sur Delete.
3. (Facultatif) Pour augmenter la vitesse à laquelle les données des snapshots
supprimés sont libérées sur le cluster, exécutez la tâche SnapshotDelete.
a. Cliquez sur Cluster Management > Job Operations > Job Types.
b. Dans la zone Job Types, recherchez SnapshotDelete, puis cliquez sur Start
Job.
La boîte de dialogue Start a Job s’affiche.
c. Cliquez sur Start Job.
4. (Facultatif) Pour augmenter la vitesse à laquelle les données supprimées
partagées entre les fichiers dédupliqués et clonés sont libérées sur le cluster,
exécutez la tâche ShadowStoreDelete.
Exécutez la tâche ShadowStoreDelete uniquement après avoir exécuté la tâche
SnapshotDelete.
a. Cliquez sur Cluster Management > Job Operations > Job Types.
b. Dans la zone Job Types, recherchez ShadowStoreDelete, puis cliquez sur
Start Job.
La boîte de dialogue Start a Job s’affiche.
c. Cliquez sur Start Job.
Snapshot Aliases
Indique le nombre total d’alias de snapshot qui existent sur le cluster.
Rétablir un snapshot
Vous pouvez rétablir un répertoire à l’état dans lequel il se trouvait au moment de la
création d’un snapshot. Avant de rétablir un snapshot, OneFS génère un snapshot du
répertoire concerné afin que les données stockées dans ce répertoire ne soient pas
perdues. OneFS ne supprime pas un snapshot après son rétablissement.
Avant de commencer
l Créez un domaine SnapRevert pour le répertoire.
l Créez un snapshot d’un répertoire.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
2. Dans le tableau Job Types, recherchez la tâche SnapRevert, puis cliquez sur
Start Job.
La boîte de dialogue Start a Job s’affiche.
3. (Facultatif) Pour spécifier une priorité pour la tâche, dans la liste Priority,
sélectionnez une priorité.
Plus les valeurs sont faibles, plus la priorité est élevée. Si vous ne spécifiez
aucune priorité, la priorité de rétablissement de snapshot par défaut est
attribuée à la tâche.
Remarque
Procédure
1. Dans l’Explorateur Windows, accédez au répertoire à restaurer ou contenant le
fichier à restaurer.
Si le répertoire a été supprimé, vous devez le recréer.
2. Cliquez avec le bouton droit de la souris sur le dossier, puis cliquez sur
Properties.
3. Dans la fenêtre Properties, cliquez sur l’onglet Previous Versions.
4. Sélectionnez la version du dossier à restaurer ou contenant la version du fichier
à restaurer.
5. Restaurez la version du fichier ou du répertoire.
l Pour restaurer tous les fichiers du répertoire sélectionné, cliquez sur
Restore.
l Pour copier le répertoire sélectionné vers un autre emplacement, cliquez sur
Copy, puis indiquez un emplacement vers lequel copier le répertoire.
l Pour restaurer un fichier spécifique, cliquez sur Open, puis copiez le fichier
dans le répertoire d’origine, en remplaçant la copie existante par la version
du snapshot.
ls /ifs/.snapshot/Snapshot2014Jun04/archive
cp -a /ifs/.snapshot/Snapshot2014Jun04/archive/file1 \
/ifs/archive/file1_copy
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Pour afficher le contenu du snapshot à partir duquel vous souhaitez restaurer
un fichier ou un répertoire, exécutez la commande ls pour un sous-répertoire
du répertoire racine des snapshots.
Par exemple, la commande suivante affiche le contenu du répertoire /archive
de Snapshot2014Jun04 :
ls /ifs/.snapshot/Snapshot2014Jun04/archive
cp -c /ifs/.snapshot/Snapshot2014Jun04/archive/test.txt \
/ifs/archive/test_clone.text
Procédure
1. Cliquez sur Data Protection > SnapshotIQ > Snapshot Schedules.
2. Dans le tableau Schedules, recherchez le planning de snapshots que vous
souhaitez afficher, puis cliquez sur View/Edit.
Name
Nom de l’alias de snapshot.
Target ID
ID numérique du snapshot référencé par l’alias.
Target Name
Nom du snapshot référencé par l’alias.
Created
Date de création de l’alias de snapshot.
ATTENTION
La suppression d’un verrou de snapshot créé par OneFS peut entraîner une perte de
données. Si vous supprimez un verrou de snapshot créé par OneFS, il est possible que
le snapshot correspondant soit supprimé alors qu’il est utilisé par OneFS. Si OneFS ne
peut pas accéder à un snapshot nécessaire à une opération, cette dernière ne
fonctionnera pas correctement et une perte de données est possible. La modification
de la date d’expiration d’un verrou de snapshot créé par OneFS peut également
entraîner une perte de données, dans la mesure où le snapshot correspondant peut
être supprimé prématurément.
ATTENTION
Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Exécutez la commande isi snapshot locks modify.
La commande suivante définit une date d’expiration deux jours après la date
actuelle pour un verrou de snapshot avec un ID de 1 appliqué à un snapshot
nommé SnapshotApril2014 :
ATTENTION
Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Supprimez un verrou de snapshot en exécutant la commande isi snapshot
locks delete.
La commande suivante supprime le verrou de snapshot appliqué à
SnapshotApril2014 et possédant un ID de 1 :
Comment
Description du verrou de snapshot. Il peut s’agir de n’importe quelle chaîne
spécifiée par l’utilisateur.
Expires
Date à laquelle le verrou de snapshot sera automatiquement supprimé par OneFS.
Count
Nombre de fois où le verrou de snapshot est maintenu.
L’opération de clonage de fichiers peut maintenir plusieurs fois un même verrou
de snapshot. Si plusieurs clones de fichiers sont créés simultanément, l’opération
de clonage de fichiers conserve plusieurs fois le même verrou au lieu de créer
plusieurs verrous. Si vous supprimez un verrou de snapshot maintenu plusieurs
fois, vous effacez uniquement l’une des instances de ce verrou. Pour supprimer
un verrou de snapshot maintenu plusieurs fois, vous devez le supprimer le même
nombre de fois qu’indiqué dans le champ du compteur.
Paramètres SnapshotIQ
Les paramètres SnapshotIQ définissent la manière dont les snapshots se comportent
et l’accès aux snapshots.
Il est possible de configurer les paramètres SnapshotIQ suivants :
Snapshot Scheduling
Détermine si des snapshots peuvent être générés.
Remarque
Auto-create Snapshots
Détermine si les snapshots sont générés automatiquement en fonction des
plannings de snapshots.
Auto-delete Snapshots
Détermine si les snapshots sont supprimés automatiquement en fonction de
leur date d’expiration.
Sub-directories Accessible
Détermine si les sous-répertoires de snapshots sont accessibles via NFS.
Sub-directories Accessible
Détermine si les sous-répertoires de snapshots sont accessibles via SMB.
Sub-directories Accessible
Détermine si les sous-répertoires de snapshots sont accessibles via le
système de fichiers local. Vous pouvez accéder au système de fichiers local
via une connexion SSH ou la console locale.
isi_changelist_mod -k 22_24
isi_changelist_mod -l
isi_changelist_mod -a 2_6
Remarque
Les informations contenues dans les listes de modifications sont utilisées par les
applications via l’API de plate-forme OneFS.
st_mode
Affiche le type de fichiers et les autorisations pour l’élément spécifié.
st_size
Affiche la taille totale de l’élément en octets.
st_atime
Affiche l’horodatage POSIX du dernier accès à l’élément.
st_mtime
Affiche l’horodatage POSIX de la dernière modification de l’élément.
st_ctime
Affiche l’horodatage POSIX du dernier changement d’état de l’élément.
cl_flags
Affiche des informations sur l’élément et sur les types de modifications qui lui ont
été apportées.
01
L’élément a été ajouté ou déplacé sous le répertoire racine des snapshots.
02
L’élément a été supprimé ou déplacé hors du répertoire racine des snapshots.
04
Le chemin d’accès de l’élément a été modifié sans que celui-ci soit supprimé
du répertoire racine du snapshot.
10
L’élément contient actuellement ou a contenu d’autres flux de données
(ADS).
20
L’élément est un ADS.
40
L’élément comporte des liens matériels.
Remarque
Ces valeurs sont additionnées dans la sortie. Par exemple, si un ADS a été ajouté,
le code est cl_flags=021.
path
Chemin absolu du fichier ou répertoire spécifié.
Présentation de la déduplication
SmartDedupe vous permet de limiter l’espace de stockage requis sur le cluster en
réduisant les données redondantes. La déduplication optimise l’efficacité du cluster en
diminuant l’espace nécessaire au stockage de plusieurs fichiers présentant des blocs
identiques.
Le module logiciel SmartDedupe assure la déduplication des données en analysant un
cluster Isilon afin de rechercher les blocs de données identiques. La taille de chaque
bloc est de 8 Ko. Si SmartDedupe détecte des doublons, il déplace une seule copie des
blocs vers un fichier masqué appelé « zone de stockage en miroir ». SmartDedupe
supprime ensuite les blocs en double des fichiers d’origine et les remplace par des
pointeurs vers la zone de stockage en miroir.
La déduplication est appliquée au niveau des répertoires et cible tous les fichiers et
dossiers situés sous un ou plusieurs répertoires racines. SmartDedupe déduplique non
seulement les blocs identiques dans des fichiers différents, mais également les blocs
identiques au sein d’un même fichier.
Vous pouvez commencer par évaluer un répertoire afin de déterminer la quantité
d’espace que vous pouvez espérer gagner grâce à la déduplication. Vous pouvez
ensuite décider de dédupliquer ou non le répertoire. Une fois que vous avez commencé
à dédupliquer un répertoire, vous pouvez surveiller en temps réel la quantité d’espace
gagnée grâce à la déduplication.
Pour permettre la déduplication de deux fichiers ou plus, ces derniers doivent être
associés au même ID de règle de pool de disques et à la même règle de protection. Si
au moins l’un de ces attributs varie entre plusieurs fichiers identiques, ou entre des
fichiers comportant des blocs de 8 Ko identiques, les fichiers ne sont pas dédupliqués.
Puisqu’il est possible de spécifier des règles de protection en fonction du fichier ou en
fonction du répertoire, cela peut affecter la déduplication. Prenons l’exemple de deux
fichiers, /ifs/data/projects/alpha/logo.jpg et /ifs/data/projects/
beta/logo.jpg. Bien que les fichiers logo.jpg contenus dans les deux répertoires
soient identiques, ils ne seront pas dédupliqués s'ils ne disposent pas de la même règle
de protection.
En outre, si vous avez activé une licence SmartPools sur votre cluster, vous pouvez
spécifier des règles de pool de fichiers personnalisées. Ces règles peuvent forcer le
stockage de fichiers identiques ou contenant des blocs de 8 Ko identiques dans des
pools de nœuds différents. Dans ce cas, ces fichiers seraient associés à des ID de
règle de pool de disques différents et ne seraient pas dédupliqués.
De même, SmartDedupe ne déduplique pas les fichiers de 32 Ko ou moins, car cela
consommerait trop de ressources de cluster par rapport au gain d’espace de stockage.
La taille par défaut d’une zone de stockage de clichés instantanés est de 2 Go. Chaque
zone de stockage de clichés instantanés peut contenir jusqu’à 256 000 blocs. Chacun
de ces blocs peut être référencé jusqu’à 32 000 fois.
Tâches de déduplication
La déduplication s’effectue par le biais d’une tâche de maintenance système appelée
tâche de déduplication. Vous pouvez surveiller et contrôler les tâches de déduplication
de la même manière que n’importe quelle autre tâche de maintenance sur le cluster.
Bien que l’impact de la déduplication sur les performances globales soit très limité, la
tâche de déduplication consomme 400 Mo de mémoire par nœud.
Remarque
Vous devez exécuter les tâches de déduplication lorsque les utilisateurs n’apportent
aucune modification aux données sur le cluster. Si les utilisateurs modifient en
permanence les fichiers du cluster, la quantité d’espace économisée grâce à la
déduplication est minime, car les blocs dédupliqués sont constamment supprimés de la
zone de stockage de clichés instantanés.
La fréquence à laquelle vous devez exécuter une tâche de déduplication sur votre
cluster Isilon varie en fonction de la taille de votre Dataset, du taux de modifications et
des opportunités. Pour la plupart des clusters, il est recommandé de démarrer une
tâche de déduplication tous les sept à dix jours. Vous pouvez démarrer une tâche de
déduplication manuellement ou planifier une tâche récurrente à des intervalles définis.
Par défaut, la tâche de déduplication est configurée pour s’exécuter à un faible niveau
de priorité. Toutefois, vous pouvez spécifier des contrôles de tâche (priorité et
impact, par exemple) sur les tâches de déduplication exécutées manuellement ou de
façon planifiée.
Les autorisations requises pour modifier les paramètres de déduplication ne sont pas
les mêmes que celles requises pour exécuter une tâche de déduplication. Même si un
utilisateur doit disposer d’une autorisation de tâche de maintenance pour exécuter une
tâche de déduplication, il doit disposer de l’autorisation de déduplication pour pouvoir
modifier les paramètres de déduplication. Par défaut, l’utilisateur root et l’utilisateur
SystemAdmin disposent des autorisations nécessaires pour toutes les opérations de
déduplication.
disponible pour stocker les données dédupliquées comme si elles n’avaient pas été
dédupliquées. Pour réduire la quantité d’espace de stockage consommée sur un
cluster Isilon cible, vous pouvez configurer la déduplication pour les répertoires cibles
de vos règles de réplication. Cela a pour effet de dédupliquer les données sur le
répertoire cible, mais ne permet pas à SyncIQ de transférer les zones de stockage de
clichés instantanés. La déduplication est toujours effectuée par le biais de tâches de
déduplication qui s’exécutent sur le cluster cible.
La quantité de ressources de cluster requise pour sauvegarder et répliquer les données
dédupliquées est la même que pour les données non dédupliquées. Vous pouvez
dédupliquer les données pendant les opérations de réplication ou de sauvegarde.
Gestion de la déduplication
Vous pouvez gérer la déduplication sur un cluster en évaluant d’abord la quantité
d’espace que vous pouvez économiser en dédupliquant des répertoires individuels.
Après avoir identifié les répertoires qui valent la peine d’être dédupliqués, vous pouvez
configurer SmartDedupe pour dédupliquer ces répertoires exclusivement. Vous pouvez
ensuite contrôler le gain réel d’espace disque réalisé.
Option Description
Enable this Permet d’activer ce type de tâches.
job type
Default Permet de définir la priorité de la tâche par rapport aux autres
Priority tâches de maintenance du système qui s’exécutent en même
temps. La priorité de la tâche est représentée par un chiffre
allant de 1 à 10, 1 étant la priorité la plus élevée et 10 la priorité la
plus faible. La valeur par défaut est 4.
Default Permet de sélectionner la quantité de ressources système
Impact utilisées par la tâche par rapport aux autres tâches de
Policy maintenance du système qui s’exécutent en même temps.
Sélectionnez la valeur de règle HIGH, MEDIUM, LOW ou OFF-
HOURS. La valeur par défaut est LOW.
Planning Permet de spécifier si la tâche doit être démarrée manuellement
ou si elle doit s’exécuter à intervalles réguliers selon un planning.
Option Description
Lorsque vous cliquez sur Scheduled, vous pouvez spécifier un
planning quotidien, hebdomadaire, mensuel ou annuel. Pour la
plupart des clusters, il est recommandé d’exécuter la tâche
Dedupe tous les 10 jours.
End time
Heure de fin de la tâche de déduplication.
Iteration Count
Nombre de fois où SmartDedupe a interrompu le processus d’échantillonnage. Si
SmartDedupe prélève des échantillons de grandes quantités de données, il peut
interrompre l’échantillonnage pour commencer la déduplication des données. Une
fois que SmartDedupe a terminé de dédupliquer les données échantillonnées, il
poursuit l’échantillonnage des données restantes.
Scanned blocks
Nombre total de blocs situés sous les répertoires dédupliqués spécifiés.
Sampled blocks
Nombre de blocs pour lesquels SmartDedupe a créé des entrées d’index.
Deduped blocks
Nombre de blocs qui ont été dédupliqués.
Dedupe percent
Pourcentage de blocs analysés qui ont été dédupliqués.
Skipped files
Nombre de fichiers qui n’ont pas été analysés par la tâche de déduplication.
SmartDedupe ignore les fichiers pour un certain nombre de raisons. Par exemple,
il ignore les fichiers qui ont déjà été analysés et qui n’ont pas été modifiés depuis.
SmartDedupe ignore également tous les fichiers dont la taille est inférieure à 4 Ko.
Index entries
Nombre d’entrées existant actuellement dans l’index.
10 Go, car la déduplication économise l’espace qui aurait été occupé par les
métadonnées des fichiers et la capacité dédiée à la protection.
Deduplicated data
Quantité d’espace occupée sur le cluster par les répertoires qui ont été
dédupliqués.
Other data
Quantité d’espace occupée sur le cluster par les répertoires qui n’ont pas été
dédupliqués.
Remarque
Afin d’empêcher toute erreur d’autorisation, vérifiez que les paramètres des règles
ACL sont les mêmes sur les clusters source et cible.
Vous pouvez créer deux types de règles de réplication : les règles de synchronisation
et les règles de copie. Une règle de synchronisation conserve un réplica exact du
répertoire source sur le cluster cible. Si un fichier ou un sous-répertoire est supprimé
du répertoire source, il est également supprimé du cluster cible à la prochaine
exécution de la règle.
Vous pouvez utiliser des règles de synchronisation pour effectuer le basculement sur
incident et le retour arrière des données entre les clusters source et cible. Lorsqu’un
cluster source devient indisponible, vous pouvez basculer les données sur un cluster
cible et les mettre à la disposition des clients. Une fois que le cluster source est à
nouveau disponible, vous pouvez effectuer un retour arrière des données vers celui-ci.
Une règle de copie conserve des versions récentes des fichiers stockés sur le cluster
source. Cependant, les fichiers supprimés du cluster source ne sont pas supprimés du
cluster cible. Le retour arrière n’est pas pris en charge pour les règles de copie. Celles-
ci sont généralement utilisées à des fins d’archivage.
Les règles de copie vous permettent de supprimer des fichiers du cluster source sans
les perdre sur le cluster cible. La suppression de fichiers sur le cluster source améliore
les performances de ce dernier tout en permettant de conserver les fichiers supprimés
sur le cluster cible. Cela est utile si, par exemple, votre cluster source est utilisé pour la
production et votre cluster cible est utilisé uniquement pour l’archivage.
Après avoir créé une tâche pour une règle de réplication, SyncIQ doit attendre que
cette tâche se termine avant d’en créer une nouvelle pour cette même règle. Il n’y a
aucune limite au nombre de règles de réplication pouvant exister sur un cluster à un
moment donné. Toutefois, 50 tâches de réplication maximum peuvent s’exécuter en
même temps sur un cluster source. Si plus de 50 tâches de réplication existent sur un
cluster, les 50 premières tâches s’exécutent, tandis que les autres sont mises en file
d’attente.
Il n’existe aucune limite quant au nombre de tâches de réplication pouvant être
simultanément prises en charge par un cluster cible. Toutefois, étant donné qu’un plus
grand nombre de tâches de réplication consomme davantage de ressources de cluster,
la réplication aura tendance à ralentir à mesure que des tâches simultanées sont
ajoutées.
Lorsqu’une tâche de réplication est en cours d’exécution, OneFS génère des unités de
travail sur le cluster source et le cluster cible. Les opérateurs du cluster source lisent
et envoient des données, tandis que ceux du cluster cible écrivent des données.
OneFS ne génère pas plus de 8 unités de travail par nœud et par tâche de réplication.
Par exemple, dans un cluster de cinq nœuds, OneFS ne créera pas plus de 40 unités de
travail pour une tâche de réplication.
Vous pouvez répliquer un nombre illimité de fichiers et de répertoires avec une seule
tâche de réplication. Vous pouvez empêcher une tâche de réplication volumineuse de
surcharger le système en limitant la quantité de ressources du cluster et de bande
passante réseau que la synchronisation des données est autorisée à consommer.
Comme chaque nœud d’un cluster peut envoyer et recevoir des données, les données
sont répliquées plus rapidement dans les clusters de grande taille.
Lorsqu’une règle est configurée pour démarrer chaque fois que des modifications sont
apportées au répertoire source et qu’une tâche de réplication échoue, SyncIQ attend
une minute avant de tenter de réexécuter la règle. SyncIQ augmente ce délai de
manière exponentielle à chaque défaillance, jusqu’à un délai maximal de huit heures.
Vous pouvez à tout moment remplacer le délai en exécutant la règle manuellement.
Lorsque la tâche associée à la règle se termine correctement, SyncIQ recommence à
vérifier le répertoire source toutes les dix secondes.
Si une règle est configurée pour démarrer chaque fois que des modifications sont
apportées au répertoire source, vous pouvez configurer SyncIQ pour qu’il respecte un
certain délai d’attente après une modification du répertoire source avant de démarrer
une tâche.
Remarque
ATTENTION
ATTENTION
Les données SyncIQ ne sont pas chiffrées. Les tâches SyncIQ en cours
d’exécution via l’Internet public n’offrent aucune protection contre le vol de
données.
SyncIQ vous permet de limiter les tâches de réplication à des nœuds spécifiques de
votre cluster. Par exemple, si votre cluster est composé de 12 nœuds, vous pouvez
limiter les tâches de réplication à seulement trois de ces nœuds. Pour prendre en
charge la fonction NAT, vous devez établir une association de type 1 à 1 entre les
clusters source et cible. Ainsi, si vous limitez les tâches de réplication à trois nœuds de
votre cluster source, vous devez leur associer trois nœuds de votre cluster cible.
Dans ce cas, vous devez configurer la fonction NAT statique, parfois appelée mappage
entrant. Sur les clusters source et cible, vous devez associer une adresse NAT
statique à l’adresse privée attribuée à chaque nœud. Par exemple :
Pour configurer la fonction NAT statique, vous devez modifier le fichier /etc/
local/hosts sur les six nœuds et les associer à leurs homologues en ajoutant
l’adresse NAT et le nom de nœud appropriés. Par exemple, dans le fichier /etc/
local/hosts des trois nœuds du cluster source, les entrées se présentent comme
suit :
10.1.2.11 target-1
10.1.2.12 target-2
10.1.2.13 target-3
De même, sur les trois nœuds du cluster cible, vous devez modifier le fichier /etc/
local/hosts en y insérant l’adresse NAT et le nom du nœud associé sur le cluster
source. Par exemple, sur les trois nœuds du cluster cible, les entrées se présentent
comme suit :
10.8.8.201 source-1
10.8.8.202 source-2
10.8.8.203 source-3
Lorsque le serveur NAT reçoit les paquets de données SyncIQ d’un nœud du cluster
source, il remplace les en-têtes des paquets, ainsi que le numéro de port et
l’adresse IP interne du nœud par son propre numéro de port et son adresse IP externe.
Le serveur NAT du réseau source envoie ensuite les paquets via Internet au réseau
cible, où un autre serveur NAT exécute un processus similaire pour transmettre les
données au nœud cible. Le processus est inversé lorsque les données font l’objet d’un
retour arrière.
Avec ce type de configurations, SyncIQ peut déterminer les adresses correctes avec
lesquelles se connecter afin d’envoyer et de recevoir des données. Dans ce scénario,
aucune configuration de zone SmartConnect n’est requise.
Pour plus d’informations sur les ports utilisés par SyncIQ, consultez le Guide de
configuration de la sécurité de OneFS correspondant à votre version de OneFS.
Remarque
Les règles d’opération de fichiers peuvent ne pas fonctionner correctement pour les
fichiers dont le transfert prend plus d’une seconde, ainsi que pour les fichiers pouvant
avoir des tailles variables.
Rapports de réplication
Une fois qu’une tâche de réplication est terminée, SyncIQ génère un rapport de
réplication qui contient des informations détaillées sur cette tâche, notamment la
durée d’exécution de celle-ci, la quantité de données transférées et les erreurs qui se
sont produites.
Si une tâche de réplication est interrompue, SyncIQ peut créer un sous-rapport sur la
progression de la tâche jusqu’au moment de l’interruption. Si la tâche est ensuite
redémarrée, SyncIQ crée un nouveau sous-rapport sur la progression de la tâche
jusqu’à ce que cette dernière soit terminée ou de nouveau interrompue. SyncIQ crée
un sous-rapport chaque fois que la tâche est interrompue, et ce, jusqu’à ce qu’elle se
termine correctement. Si plusieurs sous-rapports sont créés pour une tâche, SyncIQ
associe les informations des sous-rapports dans un rapport unique.
SyncIQ supprime régulièrement les rapports de réplication. Vous pouvez spécifier le
nombre maximal de rapports de réplication que SyncIQ conserve et la durée de
rétention de ces rapports. Si le nombre maximal de rapports de réplication est dépassé
sur un cluster, SyncIQ supprime le rapport le plus ancien chaque fois qu’un nouveau
rapport est créé.
Vous ne pouvez pas personnaliser le contenu d’un rapport de réplication.
Remarque
Snapshots de réplication
SyncIQ génère des snapshots pour faciliter la réplication, le basculement sur incident
et le retour arrière entre les clusters Isilon. Les snapshots générés par SyncIQ peuvent
également être utilisés à des fins d’archivage sur le cluster cible.
par règle de réplication et supprime l’ancien snapshot une fois le nouveau snapshot
créé.
Si une licence SnapshotIQ est activée sur le cluster cible, vous pouvez configurer
SyncIQ pour qu’il génère des snapshots d’archivage sur le cluster cible qui ne seront
pas supprimés automatiquement lors de l’exécution des prochaines tâches de
réplication. Les snapshots d’archivage contiennent les mêmes données que les
snapshots qui sont générés pour le basculement sur incident. Cependant, vous pouvez
configurer la durée pendant laquelle les snapshots d’archivage sont conservés sur le
cluster cible. Vous pouvez accéder aux snapshots d’archivage de la même manière que
vous accédez aux autres snapshots générés sur un cluster.
Remarque
Le basculement et le retour arrière des données sont pris en charge aussi bien pour les
répertoires SmartLock d’entreprise que de conformité. Les répertoires de conformité
SmartLock respectent la réglementation 17a-4(f) de la SEC (Securities and Exchange
Commission des États-Unis), qui exige que les courtiers en valeurs mobilières et les
cabinets de courtage conservent les enregistrements dans un format non effaçable et
non réinscriptible. SyncIQ maintient la conformité à la réglementation 17a-4(f) en cas
de basculement et de retour arrière.
SmartLock Non SmartLock Oui, mais les Oui, mais les fichiers ne
entreprise dates de seront pas à l’état WORM
rétention et les
états de
validation des
fichiers seront
perdus.
Le RTO est le délai maximal nécessaire pour mettre les données de sauvegarde à la
disposition des clients après un sinistre. Le RTO est toujours inférieur ou à peu près
identique au RPO, en fonction de la vitesse à laquelle les tâches de réplication sont
créées pour une règle donnée.
Si les tâches de réplication s’exécutent en continu, ce qui signifie qu’une nouvelle
tâche de réplication est créée pour la règle avant que la tâche de réplication
précédente ne se termine, le RTO est à peu près identique au RPO. Lorsque le cluster
secondaire fait l’objet d’un basculement sur incident, les données du cluster sont
réinitialises dans l’état dans lequel elles étaient au moment où la dernière tâche s’est
terminée. La durée de la réinitialisation des données est proportionnelle au temps mis
par les utilisateurs pour modifier les données.
Si les tâches de réplication s’exécutent par intervalles, ce qui signifie qu’une période
de temps s’écoule entre le moment où une tâche de réplication se termine et celui où
la tâche de réplication suivante pour la règle démarre, la différence entre le RTO et le
RPO varie selon qu’une tâche de réplication est ou non en cours d’exécution lors du
sinistre. Si une tâche est en cours lorsque le sinistre se produit, le RTO est à peu près
identique au RPO. Toutefois, si aucune tâche n’est en cours d’exécution lorsque le
sinistre se produit, le RTO est négligeable, car le cluster secondaire n’a pas été modifié
depuis l’exécution de la dernière tâche de réplication et le processus de basculement
sur incident est quasiment instantané.
Alertes RPO
Vous pouvez configurer SyncIQ pour créer des événements OneFS qui vous informent
en cas de dépassement d’un objectif de point de restauration (RPO) spécifié. Vous
pouvez afficher ces événements via la même interface que les autres événements
OneFS.
Ces événements portent l’ID 400040020. Le message d’événement de ces alertes
utilise le format suivant :
Supposons que vous définissiez un RPO de 5 heures. Une tâche démarre à 13h00 et se
termine à 15h00. Une deuxième tâche débute à 15h30. Si elle ne se termine pas à
18h00 au plus tard, SyncIQ crée un événement OneFS.
Remarque
Le retour arrière n’est pas pris en charge pour les règles de réplication qui excluent les
répertoires.
Par défaut, tous les fichiers et les répertoires du répertoire source d’une règle de
réplication sont répliqués sur le cluster cible. Toutefois, vous pouvez faire en sorte que
certains répertoires du répertoire source ne soient pas répliqués.
Si vous spécifiez un répertoire à exclure, les fichiers et les répertoires du répertoire
exclu ne sont pas répliqués sur le cluster cible. Si vous spécifiez un répertoire à inclure,
seuls les fichiers et les répertoires du répertoire inclus sont répliqués sur le cluster
cible ; tous les répertoire qui ne se trouvent pas dans le répertoire inclus sont exclus.
Si vous incluez et excluez des répertoires, tous les répertoires exclus doivent se
trouver dans l’un des répertoires inclus. Dans le cas contraire, le paramètre d’exclusion
de répertoire reste sans effet. Prenons l’exemple d’une règle avec les paramètres
suivants :
l Le répertoire racine est /ifs/data
l Les répertoires inclus sont /ifs/data/media/music et /ifs/data/media/
movies
l Les répertoires exclus sont /ifs/data/archive et /ifs/data/media/
music/working
Dans cet exemple, le paramètre qui exclut le répertoire /ifs/data/archive reste
sans effet, car le répertoire /ifs/data/archive n’est pas dans l’un des répertoires
inclus. Le répertoire /ifs/data/archive n’est pas répliqué, qu’il soit explicitement
exclu ou non. En revanche, le paramètre qui exclut le répertoire /ifs/data/media/
music/working s’applique, car ce répertoire aurait été répliqué si ce paramètre
n’avait pas été spécifié.
En outre, si vous excluez un répertoire contenant le répertoire source, le paramètre
d’exclusion de répertoire reste sans effet. Par exemple, si le répertoire racine d’une
Remarque
Vous ne pouvez pas effectuer un retour arrière des règles de réplication qui excluent
des fichiers.
Vous pouvez spécifier une date et une heure relatives, par exemple « il y a deux
semaines », ou une date et une heure spécifiques, par exemple
« 1er janvier 2012 ». Les paramètres d’heure sont au format 24 heures.
Date accessed
Inclut ou exclut des fichiers en fonction de leur dernière date d’accès. Cette
option est disponible uniquement pour les règles de copie, et seulement si l’option
globale de suivi des dates d’accès du cluster est activée.
Vous pouvez spécifier une date et une heure relatives, par exemple « il y a deux
semaines », ou une date et une heure spécifiques, par exemple
« 1er janvier 2012 ». Les paramètres d’heure sont au format 24 heures.
Date modified
Inclut ou exclut des fichiers en fonction de leur dernière date de modification.
Cette option est disponible uniquement pour les règles de copie.
Vous pouvez spécifier une date et une heure relatives, par exemple « il y a deux
semaines », ou une date et une heure spécifiques, par exemple
« 1er janvier 2012 ». Les paramètres d’heure sont au format 24 heures.
File name
Inclut ou exclut des fichiers en fonction de leur nom. Vous pouvez choisir d’inclure
ou exclure des noms partiels ou complets contenant un texte spécifique.
Les caractères génériques suivants sont acceptés :
Remarque
Vous pouvez également filtrer les noms de fichier à l’aide d’expressions régulières
(regex) POSIX. Les clusters Isilon prennent en charge les expressions régulières
de la norme IEEE 1003.2 (POSIX.2). Pour plus d’informations sur les expressions
régulières POSIX, consultez les pages man BSD.
Path
Inclut ou exclut des fichiers en fonction de leur chemin. Cette option est
disponible uniquement pour les règles de copie.
Vous pouvez choisir d’inclure ou exclure des chemins partiels ou complets
contenant un texte spécifique. Vous pouvez également inclure les caractères
génériques *, ? et [ ].
Size
Inclut ou exclut des fichiers en fonction de leur taille.
Remarque
Les tailles de fichier sont représentées par des multiples de 1 024 et non de 1 000.
Type
Inclut ou exclut des fichiers selon l’un des types d’objet suivants du système de
fichiers :
l Lien logiciel
l Fichier standard
l Répertoire
2. Dans la section Default Policy Settings, si vous souhaitez que les règles ne se
connectent qu’aux nœuds d’une zone SmartConnect spécifique, sélectionnez
Connect only to the nodes within the target cluster SmartConnect zone.
Remarque
Cette option ne concerne que les règles qui spécifient le cluster cible en tant
que zone SmartConnect.
Option Description
Pour connecter les règles à tous Cliquez sur Run the policy on all nodes in
les nœuds d’un cluster source, this cluster.
procédez comme suit :
Pour connecter les règles a. Cliquez sur Run the policy only on
uniquement aux nœuds d’un nodes in the specified subnet and
sous-réseau et d’un pool pool.
spécifiés, procédez comme suit :
b. Dans la liste Subnet and pool,
sélectionnez le sous-réseau et le pool.
Remarque
l Répertoire cible
Remarque
Si vous créez une règle de réplication pour un répertoire de conformité SmartLock, les
domaines de conformité SyncIQ et SmartLock doivent être configurés au même
niveau du répertoire racine. Un domaine de conformité SmartLock ne peut pas être
imbriqué dans un domaine SyncIQ.
Remarque
Le retour arrière n’est pas pris en charge pour les règles de copie.
l Pour copier tous les fichiers du répertoire source vers le répertoire cible et
supprimer de ce dernier tous les fichiers qui ne figurent pas dans le
répertoire source, cliquez sur Synchronize.
6. Pour le paramètre Run job, indiquez si les tâches de réplication doivent être
exécutées.
Option Description
Exécuter les tâches Cliquez sur Manually.
uniquement lorsqu’elles
sont initiées
manuellement par un
utilisateur
Exécuter les tâches a. Cliquez sur On a schedule.
automatiquement selon
un planning b. Spécifiez un planning à utiliser.
Si vous configurez une règle de réplication pour
qu’elle s’exécute plus d’une fois par jour, vous ne
pouvez pas configurer l’intervalle pour qu’il
s’étende sur deux jours. Par exemple, vous ne
pouvez pas configurer une règle de réplication
pour qu’elle s’exécute toutes les heures
de 19h00 à 1h00 le lendemain.
c. Pour empêcher l’exécution de la règle lorsque le
contenu du répertoire source n’a pas été modifié,
Option Description
Remarque
À effectuer
L’étape suivante du processus de création d’une règle de réplication consiste à définir
les répertoires et les fichiers sources.
ATTENTION
Procédure
1. Dans la zone Source Cluster, dans le champ Source Root Directory, saisissez
le chemin d’accès complet du répertoire source que vous souhaitez répliquer sur
le cluster cible.
Vous devez spécifier un répertoire contenu dans /ifs. Vous ne pouvez pas
spécifier le répertoire /ifs/.snapshot ou l’un de ses sous-répertoires.
Option Description
Connectez la règle à tous les Cliquez sur Run the policy on all nodes in
nœuds du cluster source. this cluster.
Connectez la règle uniquement a. Cliquez sur Run the policy only on nodes
aux nœuds contenus dans le in the specified subnet and pool.
sous-réseau et le pool
spécifiés. b. Dans la liste Subnet and pool,
sélectionnez le sous-réseau et le pool.
Remarque
À effectuer
L’étape suivante du processus de création d’une règle de réplication consiste à
spécifier le répertoire cible.
Remarque
ATTENTION
Si le répertoire cible spécifié n’existe pas encore sur le cluster cible, il est créé
lors de la première exécution de la tâche. Il est conseillé de ne pas choisir le
répertoire /ifs. Si vous indiquez le répertoire /ifs, l’ensemble du cluster cible
est configuré en lecture seule, ce qui vous empêche d’y stocker d’autres
données.
S’il s’agit d’une règle de copie et si les fichiers du répertoire cible ont le même
nom que ceux du répertoire source, les fichiers du répertoire cible sont
remplacés lors de l’exécution de la tâche.
À effectuer
L’étape suivante du processus de création d’une règle de réplication consiste à
spécifier les paramètres des snapshots cibles de la règle.
%{PolicyName}-on-%{SrcCluster}-latest
newPolicy-on-Cluster1-latest
%{PolicyName}-from-%{SrcCluster}-at-%H:%M-on-%m-%d-%Y
newPolicy-from-Cluster1-at-10:30-on-7-12-2012
4. Sélectionnez l’une des options suivantes pour définir le mode d’expiration des
snapshots :
l Cliquez sur Snapshots do not expire.
Remarque
6. (Facultatif) Indiquez s’il faut enregistrer les informations relatives aux fichiers
supprimés par les tâches de réplication en sélectionnant l’une des options
suivantes :
l Cliquez sur Record when a synchronization deletes files or directories.
l Cliquez sur Do not record when a synchronization deletes files or
directories.
Cette option s’applique uniquement aux règles de synchronisation.
À effectuer
L’étape.suivante du processus de création d’une règle de réplication consiste à
enregistrer les paramètres de cette règle de réplication.
Remarque
Vous ne pouvez tester que les règles de réplication qui n’ont jamais été exécutées.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau SyncIQ Policies, sur la ligne d’une règle de réplication, dans la
colonne Actions, sélectionnez Assess Sync.
3. Cliquez sur Data Protection > SyncIQ > Summary.
4. Une fois la tâche exécutée, dans le tableau SyncIQ Recent Reports, sur la ligne
de la tâche de réplication, cliquez sur View Details.
Le rapport affiche le volume total de données qui auraient été transférées dans
le champ Total Data.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Summary.
2. Dans le tableau Active Jobs, dans la colonne Actions d’une tâche, cliquez sur
Pause Running Job.
Paused
La tâche a été temporairement interrompue.
Policy Name
Nom de la règle de réplication associée.
Started
Heure à laquelle la tâche a débuté.
Elapsed
Temps écoulé depuis que la tâche a démarré.
Transferred
Nombre de fichiers qui ont été transférés et taille totale de l’ensemble des fichiers
transférés.
Source Directory
Chemin du répertoire source sur le cluster source.
Target Host
Répertoire cible sur le cluster cible.
Actions
Affiche toutes les actions relatives à la tâche que vous pouvez effectuer.
Remarque
Le basculement et le retour arrière des données sont désormais pris en charge pour les
répertoires SmartLock d’entreprise et de conformité. Les répertoires de conformité
SmartLock peuvent uniquement être créés sur des clusters qui ont été configurés en
mode de conformité lors de leur configuration initiale.
Remarque
Le basculement des données est pris en charge pour les répertoires SmartLock
d’entreprise et de conformité. Un répertoire de conformité SmartLock requiert sa
propre règle de réplication distincte.
Exécutez la procédure suivante pour chaque règle de réplication que vous souhaitez
faire basculer.
Procédure
1. Si votre cluster principal est toujours en ligne, procédez comme suit :
Démarrage du basculement sur incident et du retour arrière des données avec SyncIQ 343
Réplication des données avec SyncIQ
Remarque
Le retour arrière des données est pris en charge pour les répertoires SmartLock
d’entreprise et de conformité. Si des clients ont validé de nouveaux fichiers
SmartLock alors que le cluster secondaire était en fonctionnement, ces fichiers
SmartLock sont répliqués vers le cluster principal lors du retour arrière.
Procédure
1. Sur le cluster principal, cliquez sur Data Protection > SyncIQ > Policies.
2. Dans la liste SyncIQ Policies, en regard d’une règle de réplication, cliquez sur
More > Resync-prep.
Suite à cette action, SyncIQ crée une règle de mise en miroir pour la règle de
réplication sur le cluster secondaire. La règle de mise en miroir est placée sous
Data Protection > SyncIQ > Local Targets sur le cluster secondaire.
SyncIQ nomme les règles miroirs selon le modèle suivant :
<replication-policy-name>_mirror
3. Avant de commencer le processus de retour arrière, empêchez les clients
d’accéder au cluster secondaire.
Cette action garantit que SyncIQ applique le retour arrière au Dataset le plus
récent, en incluant toutes les modifications que les utilisateurs ont apportées
aux données sur le cluster secondaire lorsque le cluster principal était hors
service. Nous vous recommandons d’attendre que l’activité des clients soit
réduite avant de bloquer l’accès au cluster secondaire.
4. Sur le cluster secondaire, cliquez sur Data Protection > SyncIQ > Policies.
5. Dans la liste SyncIQ Policies, en regard de la règle de mise en miroir, cliquez
sur More > Start Job.
Vous pouvez également modifier la règle de mise en miroir sur le cluster
secondaire et définir un planning pour exécuter celle-ci.
6. Sur le cluster principal, cliquez sur Data Protection > SyncIQ > Local Targets.
7. Sur le cluster principal, dans la liste SyncIQ Local Targets, en regard de la règle
de mise en miroir, sélectionnez More > Allow Writes.
8. Sur le cluster secondaire, cliquez sur Data Protection > SyncIQ > Policies.
9. Sur le cluster secondaire, dans la liste SyncIQ Policies, cliquez sur More >
Resync-prep en regard de la règle de mise en miroir.
Cette action rétablit le cluster secondaire en lecture seule et garantit que les
Datasets sont cohérents sur les deux clusters, principal et secondaire.
À effectuer
Redirigez les clients pour qu’ils accèdent désormais à leurs données sur le cluster
principal. Il est possible, bien que cela ne soit pas obligatoire, de supprimer sans risque
une règle de mise en miroir après l’exécution d’un retour arrière.
Reprise après sinistre pour les répertoires SmartLock plus anciens 345
Réplication des données avec SyncIQ
Remarque
SIQ-Failover-<policy-name>-<year>-<month>-<day>_<hour>-
<minute>-<second>
À effectuer
Redirigez les clients pour qu’ils accèdent au cluster cible.
3. (Facultatif) Pour vous assurer que la protection SmartLock est appliquée à tous
les fichiers, validez tous les fichiers migrés dans le répertoire SmartLock cible à
l’état WORM.
Étant donné que les informations de validation automatique ne sont pas
transférées depuis le cluster de restauration, validez tous les fichiers migrés
dans les répertoires SmartLock cibles à l’état WORM.
Par exemple, la commande suivante permet de faire passer automatiquement
tous les fichiers du répertoire /ifs/data/smartlock à l’état WORM après
une minute :
Cette étape est inutile si vous avez configuré une période de validation
automatique pour les répertoires SmartLock que vous migrez.
4. Sur le cluster contenant les données migrées, cliquez sur Data Protection >
SyncIQ > Local Targets.
Si vous souhaitez suspendre temporairement une règle de réplication afin qu’elle cesse
de créer des tâches de réplication, vous pouvez la désactiver et la réactiver
ultérieurement.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau SyncIQ Policies, accédez à la ligne d’une règle, puis
sélectionnez Delete Policy.
3. Dans la fenêtre de confirmation, cliquez sur Delete.
Remarque
Remarque
Si vous désactivez une règle de réplication alors qu’une tâche de réplication associée
est en cours d’exécution, cette tâche n’est pas interrompue. Cependant, la règle ne
crée plus de nouvelle tâche jusqu’à ce qu’elle soit réactivée.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau SyncIQ Policies, sur la ligne de la règle de réplication,
sélectionnez Enable Policy ou Disable Policy.
Si Enable Policy et Disable Policy ne s’affichent pas, vérifiez qu’une tâche de
réplication n’est pas en cours d’exécution pour cette règle. Si aucune tâche de
réplication associée n’est en cours d’exécution, assurez-vous que la licence
SyncIQ est active sur le cluster.
State
Indique si la règle est activée ou désactivée.
Last Known Good
Indique la dernière fois où la tâche s’est exécutée avec succès.
Planning
Indique la prochaine exécution planifiée de la tâche. La valeur Manual indique que
la tâche peut uniquement être exécutée manuellement. La valeur When source is
modified indique que la tâche s’exécute chaque fois que des modifications sont
apportées au répertoire source.
Source Directory
Chemin du répertoire source sur le cluster source.
Actions
Toute action relative à la règle que vous pouvez exécuter.
Description
Décrit la règle. Par exemple, la description peut expliquer l’objet ou la fonction de
la règle.
Enabled
Détermine si la règle est activée.
Action
Détermine la manière dont la règle réplique les données. Toutes les règles copient
les fichiers du répertoire source vers le répertoire cible et mettent à jour les
fichiers dans le répertoire cible pour qu’ils correspondent à ceux du répertoire
source. L’action détermine la manière dont la suppression d’un fichier du
répertoire source affecte la cible. Les valeurs suivantes sont valides :
Copy
Si un fichier est supprimé du répertoire source, il n’est pas supprimé du
répertoire cible.
Synchronize
Supprime les fichiers du répertoire cible s’ils ne sont plus présents dans la
source. Cela garantit qu’un réplica exact du répertoire source est conservé
sur le cluster cible.
Run job
Détermine si les tâches sont exécutées automatiquement en fonction d’un
planning ou uniquement lorsqu’elles sont spécifiées manuellement par un
utilisateur.
Last Started
Affiche la dernière date d’exécution de la règle.
Excluded Directories
Détermine les répertoires à exclure de la réplication. Aucun répertoire spécifié par
ce paramètre n’est répliqué.
Target Host
Adresse IP ou nom de domaine complet du cluster cible.
Target Directory
Chemin complet du répertoire cible. Les données sont répliquées vers le
répertoire cible à partir du répertoire source.
Capture Snapshots
Détermine si les snapshots d’archivage sont générés sur le cluster cible.
Snapshot Expiration
Spécifie la durée pendant laquelle les snapshots d’archivage sont conservés sur le
cluster cible avant d’être automatiquement supprimés par le système.
Log Level
Indique la quantité d’informations consignées pour les tâches de réplication.
Les options plus explicites incluent toutes les informations des options moins
explicites. La liste suivante décrit les niveaux de consignation, du moins explicite
au plus explicite :
l Irrécupérable
l Error
l Notice
l Info
l Copy
l Debug
l Traçage
Les logs de réplication sont généralement utilisés à des fins de débogage. Si
nécessaire, vous pouvez vous connecter à un nœud via l’interface de ligne de
commande et afficher le contenu du fichier /var/log/isi_migrate.log sur
le nœud.
Remarque
Source Pool
Spécifie si les tâches de réplication se connectent à tous les nœuds du cluster ou
si elles peuvent se connecter uniquement aux nœuds d’un pool spécifique.
Password Set
Spécifie un mot de passe permettant d’accéder au cluster cible.
Remarque
Resolve
Détermine si vous pouvez résoudre manuellement la règle lorsqu’une tâche de
réplication rencontre une erreur.
l’association d’un cluster source et d’un cluster cible entraîne une réplication complète
par SyncIQ lors de la prochaine exécution de la règle.
ATTENTION
Une fois qu’une règle de réplication a été redéfinie, SyncIQ effectue une
réplication complète ou différentielle à la prochaine exécution de la règle. En
fonction de la quantité de données en cours de réplication, une réplication
complète ou différentielle peut prendre beaucoup de temps.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Local Targets.
2. Dans le tableau SyncIQ Local Targets, sélectionnez Break Association sur la
ligne d’une règle de réplication.
3. Dans la boîte de dialogue Confirm, cliquez sur Yes.
ID
Identifiant de la règle de réplication.
Policy Name
Nom de la règle de réplication.
Source Host
Nom du cluster source.
Coordinator IP
Adresse IP du nœud du cluster source qui agit en tant que coordinateur de la
tâche.
Mise à jour
Heure de dernière collecte des données relatives à la règle ou à la tâche à partir
du cluster source.
Target Path
Chemin du répertoire cible sur le cluster cible.
Status
État actuel de la tâche de réplication.
Actions
Affiche toutes les actions relatives à la tâche que vous pouvez effectuer.
Procédure
1. Cliquez sur Data Protection > SyncIQ > Performance Rules.
2. Les informations sur les règles de performances s’affichent dans le tableau
SyncIQ Performance Rules.
Status
Affiche l’état de la tâche. Les états de tâches suivants existent :
Running
La tâche est en cours d’exécution sans erreur.
Paused
La tâche a été temporairement interrompue.
Finished
La tâche s’est exécutée correctement.
Failed
L’exécution de la tâche a échoué.
Started
Indique quand la tâche a démarré.
Ended
Indique quand la tâche s’est terminée.
Duration
Indique la durée d’exécution de la tâche.
Transferred
Indique le nombre total de fichiers qui ont été transférés pendant l’exécution de la
tâche, ainsi que la taille totale de l’ensemble des fichiers transférés. Pour les
règles évaluées, la mention Assessment s’affiche.
Source Directory
Chemin du répertoire source sur le cluster source.
Target Host
Adresse IP ou nom de domaine complet du cluster cible.
Action
Affiche toutes les actions relatives à un rapport que vous pouvez exécuter.
Remarque
ATTENTION
Procédure
1. Cliquez sur Data Protection > SyncIQ > Policies.
2. Dans le tableau SyncIQ Policies, accédez à la ligne d’une règle, puis
sélectionnez Reset Sync State.
Présentation de FlexProtect
Un cluster Isilon est conçu pour distribuer des données en permanence, même
lorsqu’un ou plusieurs composants tombent en panne simultanément. Pour garantir la
disponibilité des données, OneFS répartit ou met en miroir les données au sein du
cluster. En cas de défaillance d’un composant du cluster, les données stockées sur le
composant défaillant sont disponibles sur un autre composant. Suite à la défaillance
d’un composant, les données perdues sont restaurées sur des composants
fonctionnels par le système propriétaire FlexProtect.
La protection des données est spécifiée au niveau des fichiers et non au niveau des
blocs, ce qui permet au système de restaurer rapidement les données. Comme toutes
les données, les métadonnées et les informations de parité sont distribuées sur tous
les nœuds, il n’est pas nécessaire que le cluster dispose d’un nœud ou d’un disque de
parité dédié. Cela garantit qu’aucun nœud ne limite la vitesse du processus de
reconstruction.
Smartfail
OneFS protège les données stockées sur des nœuds ou des disques défaillants via un
processus appelé smartfail.
Durant le processus smartfail, OneFS place un périphérique en quarantaine. Les
données stockées sur les périphériques mis en quarantaine sont en lecture seule.
Lorsqu’un périphérique est mis en quarantaine, OneFS reprotège ses données en les
distribuant à d’autres périphériques. Une fois toutes les données migrées, OneFS
supprime logiquement le périphérique du cluster. Le cluster modifie logiquement sa
largeur en fonction de la nouvelle configuration, et le nœud ou le disque peut être
physiquement remplacé.
OneFS n’applique le processus smartfail aux périphériques qu’en dernier recours. Vous
pouvez appliquer manuellement le processus smartfail à des nœuds ou à des disques,
mais nous vous recommandons de consulter d’abord le support technique Isilon.
Il peut arriver qu’un périphérique tombe en panne avant que OneFS ne détecte un
problème. En cas de défaillance d’un disque n’ayant pas fait l’objet d’une opération
smartfail, OneFS commence automatiquement la reconstruction des données dans
l’espace disponible du cluster. Cependant, sachant qu’un nœud peut se remettre d’une
défaillance, OneFS ne démarre pas la reconstruction des données dès que le nœud
tombe en panne, mais seulement une fois qu’il est supprimé logiquement du cluster.
Défaillances de nœud
Une perte de nœud n’étant généralement que temporaire, OneFS n’entreprend pas
automatiquement la reprotection des données dès qu’un nœud connaît une défaillance
ou passe hors ligne. Si un nœud redémarre, le système de fichiers n’a pas besoin
d’être reconstruit, car il reste intact pendant la défaillance temporaire.
Si vous configurez la protection des données N+1 sur un cluster et qu’un nœud tombe
en panne, toutes les données restent accessibles sur chaque autre nœud du cluster. Si
le nœud est remis en ligne, il réintègre le cluster automatiquement, sans nécessiter de
reconstruction complète.
Pour garantir que les données sont protégées, si vous supprimez un nœud du cluster,
vous devez également procéder à son retrait logique du cluster. Une fois supprimé de
façon logique, le nœud reformate automatiquement ses propres disques, puis reprend
ses paramètres d’usine par défaut. La réinitialisation n’a lieu qu’une fois que OneFS a
confirmé que toutes les données sont reprotégées. Vous pouvez supprimer un nœud
de façon logique à l’aide du processus smartfail. Il est important de n’appliquer le
processus smartfail qu’aux nœuds que vous voulez supprimer définitivement du
cluster.
Si vous supprimez un nœud défaillant avant d’en ajouter un nouveau, les données
stockées sur le nœud défaillant doivent être reconstruites dans l’espace disponible du
cluster. Une fois le nouveau nœud ajouté, OneFS distribue les données au nouveau
nœud. Il est recommandé d’ajouter un nœud de remplacement au cluster avant
d’abandonner l’ancien nœud, car ceci permet à OneFS d’utiliser immédiatement le
nouveau nœud pour reconstruire les données stockées sur le nœud défaillant.
Pour des résultats optimaux, nous vous conseillons d’accepter au moins la protection
recommandée pour les données de votre cluster. Vous pouvez toujours spécifier un
niveau de protection supérieur à la protection recommandée pour les fichiers, les
répertoires ou les pools de nœuds critiques.
OneFS vous permet de demander un niveau de protection que le cluster ne peut pas
atteindre pour le moment. Si vous demandez une protection qu'il n'est pas possible
d'obtenir, le cluster continue de tenter d’atteindre la protection demandée jusqu’à ce
que cela soit possible. Par exemple, dans un cluster de quatre nœuds, vous pouvez
demander une protection par mise en miroir de 5x. Dans cet exemple, OneFS
protègera les données au niveau 4x jusqu’à ce que vous ajoutiez un cinquième nœud au
cluster, après quoi il les reprotègera au niveau 5x.
Si vous définissez la protection demandée à un niveau inférieur à la protection
recommandée, OneFS affiche un avertissement.
Remarque
Pour les nœuds 4U Isilon IQ gamme X et gamme NL et les plates-formes qui
combinent des nœuds IQ 12000X/EX 12000, un cluster avec la taille minimale de trois
nœuds nécessite au moins une protection N+2:1.
Nombre [+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]
de
nœuds
3 2 +1 4+2 — 6+3 3 + 3 (50 %) — 8+4 — —
(33 %) (33 %) (33 %) (33 %)
Nombre [+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]
de
nœuds
6 5 +1 10 + 2 4+2 15 + 3 9 + 3 (25 %) 3+3 16 + 4 8+4 —
(17 %) (17 %) (33 %) (17 %) (50 %) (20 %) (33 %)
14 13 + 1 16 + 2 12 + 2 15 + 3 15 +3 (17 %) 11 + 3 16 + 4 16 + 4 10 + 4
(7 %) (11 %) (14 %) (17 %) (21 %) (20 %) (20 %) (29 %)
16 15 + 1 16 + 2 14 + 2 15 + 3 15 +3 (17 %) 13 + 3 16 + 4 16 + 4 12 + 4
(6 %) (11 %) (13 %) (17 %) (19 %) (20 %) (20 %) (25 %)
18 16 + 1 16 + 2 16 + 2 15 + 3 15 +3 (17 %) 15 + 3 16 + 4 16 + 4 14 + 4
(6 %) (11 %) (11 %) (17 %) (17 %) (20 %) (20 %) (22 %)
20 16 + 1 16 + 2 16 + 2 16 + 3 16 + 3 (16 %) 16 + 3 16 + 4 16 + 4 16 + 4
(6 %) (11 %) (11 %) (16 %) (16 %) (20 %) (20 %) (20 %)
30 16 + 1 16 + 2 16 + 2 16 + 3 16 + 3 (16 %) 16 + 3 16 + 4 16 + 4 16 + 4
(6 %) (11 %) (11 %) (16 %) (16 %) (20 %) (20 %) (20 %)
La surcharge de parité pour la protection des données par mise en miroir n'est pas
affectée par le nombre de nœuds du cluster. Le tableau suivant décrit la surcharge de
parité pour la protection demandée par mise en miroir.
2x 3x 4x 5x 6x 7x 8x
50 % 67 % 75 % 80 % 83 % 86 % 88 %
de bande à un switch Fibre Channel et connectez ensuite ce switch à deux ports Fibre
Channel, OneFS crée deux entrées pour le périphérique, une pour chaque chemin.
Remarque
La sauvegarde NDMP bidirectionnelle n’est pas prise en charge avec IsilonSD Edge.
Remarque
Tableau 3 Prise en charge des sauvegardes incrémentielles basées sur des snapshots par les
DMA
Tableau 3 Prise en charge des sauvegardes incrémentielles basées sur des snapshots par les
DMA (suite)
Remarque
Remarque
Dans une sauvegarde NDMP de niveau 10, seules les données modifiées depuis la
dernière sauvegarde incrémentielle (niveaux 1 à 9) ou depuis la dernière
sauvegarde de niveau 10 sont copiées. En répétant des sauvegardes de niveau 10,
vous avez la garantie que les dernières versions des fichiers de votre Dataset sont
sauvegardées sans avoir à effectuer une sauvegarde complète.
l Sauvegardes NDMP basées sur des jetons
l Type de sauvegarde NDMP tar
l Type de sauvegarde dump
l Format d’historique de fichier basé sur le chemin et sur le répertoire/nœud
l Restauration par accès direct (DAR)
l Restauration par accès direct du répertoire (DDAR)
l Inclusion et exclusion de fichiers et de répertoires spécifiques de la sauvegarde
l Sauvegarde des attributs de fichier
l Sauvegarde des listes de contrôle d’accès (ACL)
Remarque
Toutes les DMA prises en charge peuvent se connecter à un cluster EMC Isilon via le
protocole IPv4, mais seules certaines d’entre elles peuvent le faire au moyen du
protocole IPv6.
Gamme NL 3
Gamme S 3
Gamme HD 3
Tableau 5 Caractères génériques pour la spécification des fichiers et des répertoires NDMP
Remarque
"" sont requis pour Symantec NetBackup lorsque plusieurs modèles sont spécifiés. Les
modèles ne sont pas limités aux répertoires.
Les modèles non ancrés tels que home ou user1 renvoient à une chaîne de texte qui
peut appartenir à un grand nombre de fichiers ou de répertoires. Si un modèle contient
le caractère /, il s’agit d’un modèle ancré. Un modèle ancré est toujours mis en
correspondance à partir du début d’un chemin. Un modèle au milieu d’un chemin n’est
pas mis en correspondance. Les modèles ancrés ciblent des chemins d’accès à des
fichiers spécifiques, tels que ifs/data/home. Vous pouvez inclure ou exclure l’un ou
l’autre des deux types de modèles.
Si vous spécifiez à la fois les modèles d’inclusion et d’exclusion, le modèle d’inclusion
est traité en premier.
Si vous spécifiez à la fois les modèles d’inclusion et d’exclusion, les fichiers ou les
répertoires exclus sous les répertoires inclus ne sont pas sauvegardés. Si les
répertoires exclus ne figurent pas dans les répertoires inclus, la spécification
d’exclusion n’a aucun effet.
Remarque
La définition de modèles non ancrés peut dégrader les performances des sauvegardes.
Il est recommandé d’éviter les modèles non ancrés autant que possible.
Procédure
1. Cliquez sur Data Protection > NDMP > NDMP Settings.
2. Dans la zone Service, désactivez la case à cocher Enable NDMP service pour
désactiver la sauvegarde NDMP.
Remarque
Remarque
Procédure
1. Cliquez sur Data Protection > NDMP > NDMP Settings.
2. Dans la zone NDMP Administrators, sélectionnez la case à cocher en regard du
nom d’administrateur de votre choix, puis cliquez sur View/Edit.
La boîte de dialogue View NDMP Administrator Details s’affiche.
3. Cliquez sur Edit.
La boîte de dialogue Edit NDMP Administrator Details s’affiche.
4. Saisissez un nouveau mot de passe, confirmez-le, puis cliquez sur Save
Changes.
Si vous ne pouvez pas définir de variable d’environnement directement sur une DMA
dans le cadre de vos opérations de sauvegarde ou de restauration NDMP, connectez-
vous à un cluster EMC Isilon via un client SSH et définissez la variable
d’environnement sur le cluster à l’aide de la commande isi ndmp settings
variables set.
Paramètre Description
Add Variables Ajouter de nouvelles variables
d’environnement de chemin d’accès, avec les
valeurs associées.
Remarque
0
Sauvegarde les
données de cache
modifiées.
0x00000100
Lit les données des
fichiers SmartLink
sur le Cloud et
sauvegarde ces
fichiers comme des
fichiers ordinaires.
0x00000200 -
Sauvegarde toutes
les données mises en
cache stockées dans
les fichiers
SmartLink.
0x00000400
Rappelle et
sauvegarde les
données stockées
dans les fichiers
SmartLink.
0x00000001
Ajoute toujours
DUMP_DATE à la
liste des variables
d’environnement à la
fin d’une opération
de sauvegarde. La
valeur DUMP_DATE
est l’heure de
création du snapshot
de sauvegarde. Une
DMA peut utiliser la
valeur DUMP_DATE
pour définir la valeur
BASE_DATE de
l’opération de
sauvegarde suivante.
0x00000002
Conserve le snapshot
de sauvegarde basée
sur un jeton dans le
fichier dumpdates.
Dans la mesure où
une sauvegarde
basée sur un jeton
n’a aucun paramètre
LEVEL, son niveau
est défini sur 10 par
défaut. Le snapshot
permet une
sauvegarde
incrémentielle plus
rapide lorsque la
sauvegarde
incrémentielle
suivante est
effectuée après la
sauvegarde basée sur
un jeton.
0x00000004
Conserve le snapshot
précédent. Après une
sauvegarde
incrémentielle plus
rapide, le snapshot
précédent est
enregistré au
niveau 10. Pour éviter
que deux snapshots
ne soient au même
niveau, le snapshot
précédent est
conservé à un niveau
inférieur dans le
fichier dumpdates.
Cela permet aux
paramètres
BASE_DATE et
BACKUP_MODE=sna
pshot de déclencher
une sauvegarde
incrémentielle plus
rapide au lieu d’une
sauvegarde basée sur
un jeton. Les
paramètres des
variables
d’environnement
indiquent au serveur
N
Désactive DAR et
DDAR.
Remarque
F
Spécifie l’historique
du fichier basé sur le
chemin.
Y
Spécifie le format
d’historique de
fichier par défaut
déterminé par vos
paramètres de
sauvegarde NDMP.
N
Désactive l’historique
de fichier.
1-9
Effectue une
sauvegarde
incrémentielle au
niveau spécifié.
10
Effectue des
sauvegardes
incrémentielles
systématiques.
Remarque
0x00000002
Force l’opération de
restauration à
remplacer les
autorisations des
répertoires existants
selon les
informations du flux
de restauration.
Cette option
s’applique
uniquement aux
répertoires figurant
dans la liste nlist.
0x00000004
Dans les versions
antérieures à
OneFS 8.0.0, les
autorisations par
défaut des
répertoires
intermédiaires créés
lors d’une opération
de restauration sont
définies. Dans
OneFS 8.0.0 et
versions supérieures,
les autorisations d’un
répertoire
intermédiaire sont
identiques à celles du
premier fichier
restauré au sein de
ce répertoire.
0x00000004 revient
à la méthode de
restauration
précédente et définit
les autorisations des
répertoires
intermédiaires
sur 0700 et les
UID/GID sur 0.
N
OneFS ne met pas à
jour le fichier
dumpdates.
Définition des variables d’environnement pour les opérations de sauvegarde et de restauration 391
Présentation de la sauvegarde et de la restauration NDMP
n BACKUP_OPTIONS=7
Remarque
Paramètre Description
Élément Description
Élément Description
Paused
Le Data Mover est temporairement incapable de recevoir des
données. Quand le Data Mover est interrompu, le serveur de
données ne peut pas lui envoyer de données. Le serveur de
données ne peut pas être interrompu.
Idle
Le Data Mover ou le serveur de données n’envoie pas de
données et n’en reçoit pas.
Listen
Le Data Mover ou le serveur de données attend de se
connecter au serveur de données ou au Data Mover.
Élément Description
S : mode snapshot
s : mode snapshot et sauvegarde complète (lorsque le
répertoire root est nouveau)
r : sauvegarde redémarrable
R : sauvegarde redémarrée
0 à 10 : niveau de vidage
R ({M|s}[F | D | S]{h})
Où :
M : restauration en mode multi-flux
s : restauration sur un seul thread (lorsque
RESTORE_OPTIONS = 1)
F : restauration complète
D : DAR
S : restauration sélective
h : restauration de hardlinks par table
Mode Spécifie la Façon dont OneFS interagit avec les données sur le
serveur de média de sauvegarde, via les options suivantes :
Read/Write
OneFS lit et écrit des données dans le cadre d’une opération
de sauvegarde.
Read
OneFS lit des données dans le cadre d’une opération de
restauration.
Raw
La DMA a accès aux lecteurs de bande, mais les lecteurs ne
contiennent pas de supports de bande inscriptibles.
Paramètre Description
Topology Spécifie le type de topologie Fibre Channel pris en charge par le port. Les
options sont les suivantes :
Point to Point
Un seul périphérique de sauvegarde ou switch Fibre Channel
directement connecté au port.
Loop
Plusieurs périphériques de sauvegarde connectés à un port unique au
sein d’une formation circulaire.
Auto
Détecte automatiquement la topologie du périphérique connecté. Il
s’agit du paramètre recommandé, qui est obligatoire dans le cas
d’une topologie de switch fabric.
WWPN Spécifie le nom de port universel (WWPN) du port. Ce nom est différent
pour chaque port.
Rate Spécifie la vitesse à laquelle les données sont transmises via le port. La
vitesse peut être définie sur 1 Gb/s,2 Gb/s,4 Gb/s,8 Gb/s et Auto.
8 Gb/s est disponible pour les nœuds A100 uniquement. Si elle est
définie sur Auto, la puce Fibre Channel négocie avec le switch Fibre
Channel ou avec les périphériques Fibre Channel connectés pour
déterminer la vitesse. Le paramètre recommandé est Auto.
Paramètre Description
WWPN Spécifie le nom de port universel (WWPN) du port sur l’unité de bande ou
le changeur de médias.
Device Name Spécifie le nom du périphérique standard qui s’affiche sous le système
d’exploitation FreeBSD.
Si vous indiquez un port et un nœud, seul le port spécifié sur ce nœud est
analysé. Toutefois, si vous indiquez uniquement un port, le port spécifié est
analysé sur tous les nœuds.
Procédure
1. Cliquez sur Data Protection > NDMP > Devices.
2. Dans le tableau Tape Devices ou Media Changer Devices, cochez la case
correspondant au périphérique que vous souhaitez supprimer.
3. Cliquez sur Delete.
4. Dans la boîte de dialogue Confirm Delete, cliquez sur Delete.
Paramètre Description
Date Spécifie la date à laquelle une entrée a été
ajoutée au fichier dumpdates.
Afficher les snapshots pour les sauvegardes incrémentielles basées sur des
snapshots
Vous pouvez afficher les snapshots créés pour les sauvegardes incrémentielles basées
sur des snapshots.
Procédure
1. Cliquez sur Data Protection > NDMP > Environment Settings.
2. Le tableau Dumpdates affiche des informations sur les sauvegardes
incrémentielles basées sur des snapshots.
Remarque
Procédure
1. Cliquez sur Data Protection > NDMP > Environment Settings.
2. Dans le tableau Dumpdates, cliquez sur Delete en regard de l’entrée que vous
souhaitez supprimer.
3. Dans la boîte de dialogue Confirm Delete, cliquez sur Delete.
l Présentation de SmartLock..............................................................................408
l Mode de conformité.........................................................................................408
l Mode d’entreprise............................................................................................408
l Répertoires SmartLock.................................................................................... 409
l Accès à SmartLock avec IsilonSD Edge........................................................... 409
l Réplication et sauvegarde avec SmartLock...................................................... 410
l Fonctions sous licence SmartLock....................................................................410
l Considérations relatives à SmartLock................................................................411
l Régler l’horloge de conformité.......................................................................... 411
l Afficher l’horloge de conformité........................................................................411
l Création d’un répertoire SmartLock..................................................................412
l Gestion des répertoires SmartLock...................................................................414
l Gestion des fichiers dans des répertoires SmartLock....................................... 416
Présentation de SmartLock
Grâce au module logiciel SmartLock, vous pouvez protéger les fichiers d’un cluster
EMC Isilon contre la modification, le remplacement ou la suppression. Pour protéger
les fichiers de cette manière, vous devez activer une licence SmartLock.
Avec SmartLock, vous pouvez désigner un répertoire OneFS en tant que domaine
WORM. WORM (write once, read many) signifie écriture unique, lectures multiples.
Tous les fichiers au sein du domaine WORM peuvent être validés à l’état WORM, ce
qui signifie qu’ils ne peuvent pas être remplacés, modifiés ni supprimés.
Lorsque l’état WORM est désactivé pour un fichier, vous pouvez supprimer ce fichier.
Toutefois, vous ne pouvez jamais modifier un fichier qui a été validé à l’état WORM,
même après la désactivation de cet état.
Dans OneFS, SmartLock peut être déployé dans l’un des deux modes suivants : mode
de conformité ou mode d’entreprise.
Mode de conformité
Le mode de conformité SmartLock vous permet de protéger vos données
conformément à la réglementation définie par la règle 17a-4 de la SEC (Securities and
Exchange Commission). Cette réglementation, qui s’adresse aux courtiers en valeurs
mobilières et aux cabinets de courtage, stipule que les enregistrements de toutes les
opérations sur titres doivent être archivés de manière non effaçable et non
réinscriptible.
Remarque
Vous pouvez configurer un cluster EMC Isilon pour qu’il fonctionne en mode de
conformité SmartLock uniquement pendant la procédure de configuration initiale du
cluster, avant d’activer la licence SmartLock. Un cluster ne peut pas être converti en
mode de conformité SmartLock une fois qu’il a fait l’objet d’une configuration initiale
et qu’il a été mis en production.
Mode d’entreprise
Vous pouvez créer des domaines SmartLock et appliquer l’état WORM aux fichiers en
activant une licence SmartLock sur un cluster dans une configuration standard. C’est
ce que l’on appelle le mode d’entreprise SmartLock.
Le mode d’entreprise SmartLock n’est pas conforme aux réglementations SEC, mais il
vous permet de créer des répertoires SmartLock et d’appliquer des contrôles
SmartLock pour protéger les fichiers afin qu’ils ne puissent pas être réécrits ni
effacés. En outre, le compte utilisateur root demeure sur votre système.
Répertoires SmartLock
Dans un répertoire SmartLock, vous pouvez valider un fichier à l’état WORM
manuellement ou configurer SmartLock pour qu’il valide automatiquement le fichier.
Avant de créer des répertoires SmartLock, vous devez activer une licence SmartLock
sur le cluster.
Vous pouvez créer deux types de répertoire SmartLock : entreprise et conformité.
Cependant, vous pouvez créer des répertoires de conformité seulement si le cluster
EMC Isilon a été configuré en mode de conformité SmartLock lors de sa configuration
initiale.
Les répertoires d’entreprise vous permettent de protéger vos données sans restriction
de votre cluster afin de vous conformer aux réglementations définies par la règle 17a-4
de l’US. Securities and Exchange Commission. Si vous validez un fichier à l’état
WORM dans un répertoire d’entreprise, il ne peut jamais être modifié et il ne peut être
supprimé qu’à la fin de la période de rétention.
Toutefois, si vous êtes propriétaire d’un fichier et que vous disposiez du privilège
ISI_PRIV_IFS_WORM_DELETE ou que vous vous connectiez avec un compte
utilisateur root, vous pouvez supprimer le fichier avant la fin de la période de rétention
grâce à la fonction de suppression avec privilèges. Cette fonction n’est pas disponible
pour les répertoires de conformité. Pour gérer les opérations horodatées, y compris la
rétention des fichiers, les répertoires d’entreprise se réfèrent à l’horloge système.
Les répertoires de conformité vous permettent de protéger vos données
conformément à la réglementation définie par la règle 17a-4 de la SEC (Securities and
Exchange Commission). Si vous validez un fichier à l’état WORM dans un répertoire
de conformité, il ne peut pas être modifié ou supprimé avant la fin de la période de
rétention. Vous ne pouvez pas supprimer les fichiers validés, même si vous êtes
connecté au compte administrateur de conformité. Pour gérer les opérations
horodatées, y compris la rétention des fichiers, les répertoires de conformité se
réfèrent à l’horloge de conformité.
Avant de créer des répertoires de conformité, vous devez configurer l’horloge de
conformité. Vous ne pouvez régler l’horloge de conformité qu’une seule fois, après
quoi vous ne pourrez plus en modifier l’heure. Vous pouvez augmenter la durée de
rétention des fichiers validés à l’état WORM sur une base individuelle, si vous le
souhaitez, mais vous ne pouvez pas réduire cette durée.
Celle-ci est contrôlée par le processus d’horloge de conformité. Les utilisateurs root et
administrateurs de conformité peuvent désactiver le processus d’horloge de
conformité, ce qui a pour effet d’augmenter la durée de rétention de tous les fichiers
validés à l’état WORM. Cependant, une telle action est déconseillée.
Remarque
Si vous répliquez des données vers un répertoire SmartLock, ne configurez pas les
paramètres SmartLock pour ce répertoire tant que la réplication n’est pas terminée. La
configuration d’une période de validation automatique pour un répertoire SmartLock
cible, par exemple, peut entraîner l’échec des tâches de réplication. Si le répertoire
cible valide un fichier à l’état WORM et si le fichier est modifié sur le cluster source, la
tâche de réplication suivante échoue, car le fichier validé ne peut pas être remplacé.
Si vous sauvegardez des données sur un périphérique NDMP, toutes les métadonnées
SmartLock relatives à la date de rétention et à l’état de validation sont transférées au
périphérique NDMP. Si vous restaurez des données dans un répertoire SmartLock du
cluster, les métadonnées sont conservées sur le cluster. En revanche, si le répertoire
dans lequel vous restaurez les données n’est pas un répertoire SmartLock, les
métadonnées sont perdues. Vous pouvez restaurer les données dans un répertoire
SmartLock uniquement si celui-ci est vide.
Procédure
1. Cliquez sur File System > SmartLock > WORM.
2. La zone Compliance Clock affiche l’horloge de conformité.
Périodes de rétention
La période de rétention est la durée pendant laquelle un fichier reste à l’état WORM
avant que cet état ne soit désactivé. Vous pouvez configurer les paramètres du
répertoire SmartLock qui appliquent les périodes de rétention par défaut, maximale et
minimale au répertoire.
Si vous validez manuellement un fichier, vous pouvez éventuellement spécifier la date
à laquelle l’état WORM doit être désactivé. Pour empêcher que les fichiers soient
conservés pour une période trop longue ou trop courte, vous pouvez configurer une
période de rétention minimale et maximale pour un répertoire SmartLock. Il est
recommandé de spécifier une période de rétention minimale pour tous les répertoires
SmartLock.
Par exemple, supposons que vous ayez un répertoire SmartLock avec une période de
rétention minimale de deux jours. À 13h00 le lundi, vous validez un fichier à l’état
WORM, puis spécifiez que cet état doit être désactivé mardi à 15h00. Il ne le sera que
deux jours plus tard, mercredi à 13h00, car désactiver l’état WORM du fichier plus tôt
violerait la période de rétention minimale.
Vous pouvez également configurer une période de rétention par défaut qui est
attribuée lorsque vous validez un fichier sans spécifier de date de désactivation de
l’état WORM.
Remarque
Procédure
1. Cliquez sur File System > SmartLock > WORM.
2. Dans le tableau Write Once Read many (WORM) Domains, cliquez sur View /
Edit au niveau de la ligne d’un répertoire SmartLock.
3. Dans la boîte de dialogue View WORM Domain Details, affichez les paramètres
du répertoire SmartLock.
ID
Identifiant numérique du domaine SmartLock correspondant.
Type
Type de répertoire SmartLock.
Entreprise
Les répertoires d’entreprise vous permettent de protéger vos données sans
obliger votre cluster à respecter la réglementation 17a-4 de la SEC
(Securities and Exchange Commission des États-Unis)
Compliance
Les répertoires de conformité vous permettent de protéger vos données
conformément à la réglementation 17a-4 de la SEC (Securities and Exchange
Commission des États-Unis).
Privileged Delete
Indique si les fichiers du répertoire validés à l’état WORM peuvent être supprimés
au moyen de la fonction de suppression avec privilèges. Pour accéder à la
fonction de suppression avec privilèges, vous devez disposer du privilège
ISI_PRIV_IFS_WORM_DELETE et être propriétaire du fichier que vous souhaitez
supprimer. Vous pouvez également accéder à la fonction de suppression avec
privilèges pour n’importe quel fichier si vous êtes connecté sous le compte
utilisateur root ou compadmin.
on
Les fichiers validés à l’état WORM peuvent être supprimés avec la
commande isi worm files delete.
off
Les fichiers validés à l’état WORM ne peuvent pas être supprimés, même
avec la commande isi worm files delete.
disabled
Les fichiers validés à l’état WORM ne peuvent pas être supprimés, même
avec la commande isi worm files delete. Une fois ce paramètre
appliqué, il ne peut pas être modifié.
Override retention periods and protect all files until a specific date
Date de rétention de remplacement du répertoire. Les fichiers validés à un état
WORM ne sont libérés de cet état qu’après la date spécifiée, quelle que soit la
période de rétention maximale du répertoire ou même si un utilisateur indique une
date de libération antérieure.
3. Pour spécifier le nom du fichier pour lequel vous souhaitez définir une période
de rétention, créez un objet.
Le fichier doit exister dans un répertoire SmartLock.
Définir une période de rétention via une ligne de commande UNIX 417
Rétention des fichiers avec SmartLock
Procédure
1. Établissez une connexion au cluster EMC Isilon via l’interface de ligne de
commande UNIX et connectez-vous.
2. Pour supprimer les privilèges d’écriture du fichier, exécutez la commande
chmod.
La commande suivante supprime les privilèges d’écriture de /ifs/data/
smartlock/file.txt :
WORM Domains
ID Root Path
------------------------------------
65539 /ifs/data/SmartLock/directory1
domaines de protection tant que les répertoires sont vides, puis d’ajouter des
fichiers aux répertoires.
l Si un domaine empêche actuellement la modification ou la suppression d’un fichier,
vous ne pouvez pas créer un domaine de protection pour un répertoire contenant
ce fichier. Par exemple, si /ifs/data/smartlock/file.txt est défini à l’état
WORM par un domaine SmartLock, vous ne pouvez pas créer un domaine
SnapRevert pour /ifs/data/.
Remarque
Si vous utilisez SyncIQ pour créer une règle de réplication pour un répertoire de
conformité SmartLock, les domaines de conformité SyncIQ et SmartLock doivent être
configurés au même niveau du répertoire racine. Un domaine de conformité
SmartLock ne peut pas être imbriqué dans un domaine SyncIQ.
Remarque
Tous les nœuds d’un cluster doivent utiliser des disques SED. Les nœuds mixtes ne
sont pas pris en charge.
l Lorsqu’un disque fait l’objet d’une opération smartfail et est supprimé du nœud, la
clé de chiffrement du disque est supprimée. Étant donné que la clé de chiffrement
utilisée pour lire les données du disque doit être la même que celle qui a été utilisée
pour les écrire, il est impossible de déchiffrer les données précédemment écrites
sur le disque. Lorsque vous appliquez le processus smartfail et supprimez un
disque, ce dernier est effacé cryptographiquement.
Remarque
l Lorsqu’un disque SED fait l’objet d’une opération smartfail, les clés
d’authentification du disque sont supprimées du nœud. Les données du disque ne
peuvent pas être déchiffrées et sont par conséquent illisibles, ce qui sécurise le
disque.
l Lorsqu’un disque fait l’objet d’une opération smartfail et est supprimé du nœud, la
clé de chiffrement du disque est supprimée. Étant donné que la clé de chiffrement
utilisée pour lire les données du disque doit être la même que celle qui a été utilisée
pour les écrire, il est impossible de déchiffrer les données précédemment écrites
sur le disque. Lorsque vous appliquez le processus smartfail et supprimez un
disque, ce dernier est effacé cryptographiquement.
Remarque
Remarque
La migration des données vers un cluster de disques SED doit être effectuée par Isilon
Professional Services. Pour plus d’informations, contactez un responsable de compte
EMC Isilon.
Remarque
Si vous exécutez IsilonSD Edge, vous pouvez afficher et gérer les détails de l’état du
châssis et du disque via le plug-in de gestion IsilonSD. Pour plus d’informations,
consultez le Guide d’installation et d’administration d’IsilonSD Edge.
Remarque
Dans l’interface
d’administration Web,
cet état inclut les
états ERASE et
SED_ERROR de
l’interface de ligne de
commande.
Remarque
Dans l’interface
d’administration Web,
cet état est inclus
dans l’état Not
available.
Remarque
Dans l’interface
d’administration Web,
cet état est inclus
dans l’état Not
available.
Remarque
Dans l’interface
d’administration Web,
cet état porte le
libellé
Unencrypted
SED.
Remarque
Dans l’interface de
ligne de commande,
cet état porte le
libellé INSECURE.
Node 1, [ATTN]
Bay 1 Lnum 11 [SMARTFAIL] SN:Z296M8HK
000093172YE04 /dev/da1
Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5
00009330EYE03 /dev/da2
Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4
00009330EYE03 /dev/da3
Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW
00009327BYE03 /dev/da4
Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB
00009330KYE03 /dev/da5
Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7
000093172YE03 /dev/da6
Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF
00009330KYE03 /dev/da7
Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD
00009330EYE03 /dev/da8
Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA
00009330EYE03 /dev/da9
Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7
00009330EYE03 /dev/da10
Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP
00009330EYE04 /dev/da11
Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ
00009330JYE03 /dev/da12
Si vous exécutez la commande isi dev une fois le processus Smartfail terminé avec
succès, le système affiche un résultat semblable à l’exemple suivant, qui indique que
l’état du disque est REPLACE :
Node 1, [ATTN]
Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK
000093172YE04 /dev/da1
Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5
00009330EYE03 /dev/da2
Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4
00009330EYE03 /dev/da3
Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW
00009327BYE03 /dev/da4
Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB
00009330KYE03 /dev/da5
Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7
000093172YE03 /dev/da6
Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF
00009330KYE03 /dev/da7
Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD
00009330EYE03 /dev/da8
Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA
00009330EYE03 /dev/da9
Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7
00009330EYE03 /dev/da10
Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP
00009330EYE04 /dev/da11
Si vous exécutez la commande isi dev alors que le disque de la baie 3 fait l’objet
d’une opération Smartfail, le système affiche un résultat semblable à l’exemple
suivant :
Node 1, [ATTN]
Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK
000093172YE04 /dev/da1
Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5
00009330EYE03 /dev/da2
Bay 3 Lnum 9 [SMARTFAIL] SN:Z296LBP4
00009330EYE03 N/A
Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW
00009327BYE03 /dev/da4
Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB
00009330KYE03 /dev/da5
Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7
000093172YE03 /dev/da6
Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF
00009330KYE03 /dev/da7
Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD
00009330EYE03 /dev/da8
Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA
00009330EYE03 /dev/da9
Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7
00009330EYE03 /dev/da10
Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP
00009330EYE04 /dev/da11
Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ
00009330JYE03 /dev/da12
Remarque
l Pour supprimer en toute sécurité la clé d’authentification sur un seul disque, vous
devez exécuter une opération Smartfail sur ce disque.
l Pour supprimer en toute sécurité la clé d’authentification sur un seul nœud, vous
devez exécuter une opération Smartfail sur ce nœud.
l Pour supprimer en toute sécurité les clés d’authentification sur l’ensemble d’un
cluster, vous devez effectuer une opération Smartfail sur chaque nœud et
exécuter la commande isi_reformat_node sur le dernier nœud.
Node 1, [ATTN]
Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK
000093172YE04 /dev/da1
Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5
00009330EYE03 /dev/da2
État ERASE d’un disque ayant fait l’objet d’une opération SmartFail 433
Chiffrement des données inactives
Les disques qui présentent l’état ERASE peuvent être retirés, réutilisés ou renvoyés en
toute sécurité.
Pour pouvoir accéder à un disque affichant l’état ERASE, il faut que la clé
d’authentification du disque soit définie sur l’ID de sécurité d’usine par défaut (MSID).
Cette action efface la clé de chiffrement des données sur le disque et rend
définitivement illisibles toutes les données présentes sur le disque.
SmartQuotas 435
SmartQuotas
Présentation de SmartQuotas
Le module SmartQuotas est un outil facultatif de gestion des quotas. Il surveille et
applique des limites de stockage définies par l’administrateur. À l’aide de quotas de
comptabilité et de mise en œuvre, de fonctions de reporting et de notifications
automatiques, SmartQuotas gère l’utilisation du stockage, surveille le stockage sur
disque et génère des alertes en cas de dépassement des limites de stockage sur
disque.
Les quotas vous aident à gérer l’utilisation du stockage selon des critères que vous
définissez. Ils permettent de suivre (et parfois de limiter) l’espace de stockage qu’un
utilisateur, un groupe ou un projet consomme. Les quotas permettent de s’assurer
qu’un utilisateur ou un service n’empiète pas sur l’espace de stockage alloué à d’autres
utilisateurs ou services. Dans certaines mises en œuvre de quotas, les écritures au-
delà de l’espace défini sont refusées et, dans d’autres cas, une simple notification est
envoyée.
Remarque
Le module SmartQuotas nécessite une licence distincte. Pour plus d’informations sur
le module SmartQuotas ou sur son activation, contactez un responsable de compte
EMC Isilon.
Types de quota
OneFS utilise le concept des types de quota comme unité d’organisation fondamentale
des quotas de stockage. Les quotas de stockage incluent un ensemble de ressources
et une comptabilité de chaque type de ressource pour cet ensemble. Les quotas de
stockage sont également appelés domaines de stockage.
La création de quotas de stockage nécessite d’identifier trois éléments :
l le répertoire à surveiller ;
l la nécessité ou non d’inclure les snapshots dans le suivi du quota ;
l le type de quota (répertoire, utilisateur ou groupe).
Remarque
Ne créez aucun quota, de quelque type que ce soit, sur la racine OneFS (/ifs). Un
quota de niveau racine peut considérablement dégrader les performances.
User
Un utilisateur spécifique ou un utilisateur par défaut (every user). Les quotas
d’utilisateur spécifique que vous configurez ont la priorité sur le quota d’utilisateur
par défaut.
Groupe
Tous les membres d’un groupe spécifique ou d’un groupe par défaut (every
group). Les quotas de groupe spécifique que vous configurez ont la priorité sur le
quota de groupe par défaut. L’association d’un quota de groupe à un quota de
groupe par défaut crée un quota lié.
Vous pouvez créer plusieurs types de quota sur le même répertoire, mais ils doivent
être d’un type différent ou ne pas avoir la même option de snapshot. Vous pouvez
spécifier des types de quota pour n’importe quel répertoire OneFS et les imbriquer les
uns dans les autres pour créer une hiérarchie de règles d’utilisation du stockage
complexes.
Les quotas de stockage imbriqués peuvent se chevaucher. Par exemple, les
paramètres de quota suivants garantissent que le répertoire finance ne dépasse jamais
5 To, tout en limitant les utilisateurs du département financier à 1 To chacun :
l Définissez un quota strict de 5 To sur /ifs/data/finance.
l Définissez des quotas souples de 1 To pour chaque utilisateur du département
financier.
Dans cet exemple, le type d’utilisateurs par défaut a automatiquement créé un type
d’utilisateurs spécifique (user:admin) et lui a ajouté la nouvelle utilisation. L’utilisateur
par défaut n’est associé à aucune utilisation, car il sert uniquement à générer
automatiquement de nouveaux quotas. La mise en œuvre correspondant à l’utilisateur
par défaut est copiée vers un utilisateur spécifique (user:admin) et le quota hérité est
appelé un quota lié. De cette façon, chaque compte utilisateur bénéficie de sa propre
comptabilité d’utilisation.
Les quotas par défaut peuvent se chevaucher. Par exemple, default-user@/ifs/dir-1 et
default-user@/ifs/cs peuvent tous deux être définis. Si la mise en œuvre par défaut
est modifiée, les quotas de stockage OneFS propagent les modifications apportées
aux quotas liés de manière asynchrone. La mise à jour étant asynchrone, un certain
délai s’écoule avant qu’elle ne s’applique. Si un type par défaut, tel que every user ou
every group, est supprimé, OneFS supprime tous les enfants marqués comme hérités.
Vous pouvez, si vous le souhaitez, supprimer le quota par défaut sans supprimer les
enfants. Toutefois, il est important de noter que cette action rompt l’héritage pour
tous les enfants hérités.
Pour poursuivre cet exemple, ajoutez un autre fichier appartenant à l’utilisateur root.
Étant donné que le type root existe déjà, cette nouvelle utilisation lui est ajoutée.
Linked: Yes
--------------------------------------------------------------------
---
Type: user
AppliesTo: admin
Path: /ifs/dir-1
Snap: No
Thresholds
Hard : -
Soft : -
Adv : -
Grace : -
Usage
Files : 1
With Overhead : 1.50K
W/O Overhead : 0.00b
Over: -
Enforced: No
Container: No
Linked: Yes
La mise en œuvre correspondant à l’utilisateur par défaut est copiée vers l’utilisateur
spécifique lorsque ce dernier effectue une allocation correspondant à ce type de
quota. Le nouveau type de quota hérité est également un quota lié.
Remarque
Les modifications de configuration des quotas liés doivent être apportées au quota
parent à partir duquel le quota lié est hérité. Les modifications apportées au quota
parent sont propagées à tous les quotas enfants. Pour remplacer la configuration du
quota parent, dissociez d’abord le quota.
Remarque
Si un type de quota utilise l’option de comptabilité uniquement, les limites de mise en
œuvre ne peuvent pas être utilisées pour ce quota.
Les actions d’un administrateur connecté en tant qu’utilisateur root peuvent faire
passer un domaine au-delà du seuil de quota. Par exemple, la modification du niveau de
protection et la création d’un snapshot sont susceptibles de dépasser les paramètres
de quota. Les actions effectuées sur le système, telles que les réparations, peuvent
également faire passer un quota de domaine au-delà de la limite autorisée.
Le système fournit trois types de seuil de mise en œuvre définis par l’administrateur.
Remarque
Les quotas traitent les fichiers clonés et dédupliqués comme des fichiers ordinaires. Si
le quota inclut l’espace dédié à la protection des données, celui qui correspond à des
données partagées n’est pas inclus dans le calcul de l’utilisation.
Vous pouvez configurer les quotas pour qu’ils incluent l’espace utilisé par les
snapshots. Deux quotas peuvent être appliqués à un même chemin : un sans utilisation
de snapshots (valeur par défaut) et un autre avec utilisation des snapshots. Si vous
incluez les snapshots dans le quota, les calculs intègrent un plus grand nombre de
fichiers que ceux présents dans le répertoire actuel. En effet, l’utilisation réelle du
disque correspond à la somme de l’utilisation du répertoire actuel et de celle de tous
les snapshots de ce répertoire. Vous pouvez voir quels snapshots sont inclus dans le
calcul en examinant le répertoire .snapshot du chemin du quota.
Remarque
Seuls les snapshots créés après la fin de tâche QuotaScan sont inclus dans le calcul.
Notifications de quota
Les notifications de quota sont générées pour les quotas de mise en œuvre. Elles
fournissent des informations aux utilisateurs en cas de violation de quota. Des rappels
sont envoyés régulièrement tant que le problème persiste.
Chaque règle de notification définit la condition qui doit être mise en œuvre et l’action
qui doit être effectuée lorsque cette condition est vraie. Un quota de mise en œuvre
peut définir plusieurs règles de notification. Lorsque les seuils sont dépassés, des
notifications automatiques par e-mail peuvent être envoyées aux utilisateurs spécifiés,
ou vous pouvez gérer les notifications comme des alertes système ou recevoir des e-
mails pour ces événements.
Les notifications peuvent être configurées globalement,de façon à s’appliquer à tous
les domaines de quota, ou être configurées pour des domaines de quota spécifiques.
Les quotas de mise en œuvre prennent en charge les paramètres de notification
suivants. Un quota donné ne peut utiliser que l’un de ces paramètres.
Turn Off Notifications for this Quota Désactive toutes les notifications pour le
quota.
Use Default Notification Rules Utilise la notification globale par défaut pour
le type de quota spécifié.
Notifications continues
Générées sur une base planifiée pour indiquer une condition qui persiste, par
exemple lorsqu’un seuil souple, strict ou consultatif dépasse une limite ou que le
délai de grâce d’un seuil souple a expiré depuis un certain temps.
aucune limite au nombre de rapports pouvant être configurés, hormis celle de l’espace
nécessaire à leur stockage.
OneFS offre les méthodes de collecte de données et de reporting suivantes :
l Les rapports planifiés sont générés et enregistrés à intervalles réguliers.
l Les rapports ad hoc sont générés et enregistrés à la demande de l’utilisateur.
l Les rapports dynamiques sont générés pour une visualisation immédiate et
temporaire.
Les rapports planifiés sont placés par défaut dans le répertoire /ifs/.isilon/
smartquotas/reports, mais l’emplacement peut être configuré dans n’importe
quel répertoire se trouvant sous /ifs. Chaque rapport généré inclut la définition du
domaine de quota, l’état, l’utilisation et les paramètres de configuration globaux. Par
défaut, dix rapports sont conservés et les rapports plus anciens sont purgés. Vous
pouvez créer des rapports ad hoc à tout moment pour afficher l’état actuel du
système de quotas de stockage. Ces rapports dynamiques peuvent être enregistrés
manuellement. Les rapports ad hoc sont enregistrés à un emplacement différent de
celui des rapports planifiés pour éviter de désorganiser les ensembles de rapports
datés.
Création de quotas
Vous pouvez créer deux types de quotas de stockage pour surveiller les données : les
quotas de comptabilité et les quotas de mise en œuvre. Les limites et les restrictions
de quota de stockage peuvent s’appliquer à des utilisateurs, des groupes ou des
répertoires spécifiques.
Le type de quota que vous créez dépend de votre objectif.
l Les quotas de mise en œuvre surveillent et limitent l’utilisation du disque. Vous
pouvez créer des quotas de mise en œuvre qui utilisent n’importe quelle
combinaison de limites strictes, souples et consultatives.
Remarque
Il n’est pas recommandé d’utiliser des quotas de mise en œuvre pour les domaines
de quotas de suivi des snapshots.
l Les quotas de comptabilité surveillent mais ne limitent pas l’utilisation du disque.
Remarque
Avant d’utiliser les données de quota à des fins d’analyse ou autres, vérifiez qu’aucune
tâche QuotaScan n’est en cours d’exécution.
Remarque
Le déplacement des répertoires de quota dans les domaines de quota n’est pas pris en
charge.
Remarque
Pour effacer l’ensemble des résultats et afficher tous les quotas de stockage, cliquez
sur Reset.
Remarque
Procédure
1. Cliquez sur File System > SmartQuotas > Quotas & Usage.
2. (Facultatif) Dans la barre de filtres, sélectionnez les options de filtrage.
l Dans la liste Type, sélectionnez le type de quotas à rechercher.
l Pour rechercher des quotas qui dépassent la limite, sélectionnez Over limit
dans la liste Exceeded.
l Dans le champ Path, indiquez le chemin complet ou partiel. Vous pouvez
utiliser le caractère générique (*) dans le champ Path.
l Pour effectuer la recherche dans les sous-répertoires, sélectionnez Include
children dans la liste Recursive.
Les quotas qui correspondent aux critères de recherche s’affichent dans le
tableau Quotas & Usage.
3. (Facultatif) Recherchez le quota que vous souhaitez gérer. Vous pouvez
effectuer les actions suivantes :
l Pour consulter ou modifier ce quota, cliquez sur View Details.
Remarque
4. Dans la zone Email Mapping, définissez la ou les règles de mappage que vous
souhaitez utiliser. Pour ajouter une règle de mappage d’e-mail, cliquez sur Add a
Mapping Rule, puis spécifiez les paramètres de la règle.
5. Dans la zone Notification Rules, définissez les règles de notification par défaut
pour chaque type de règles.
a. Cliquez sur Add a Notification Rule.
La boîte de dialogue Create a Notification Rule s’affiche.
b. Dans la liste Rule type, sélectionnez le type de règles à utiliser.
c. Dans la zone Rule Settings, sélectionnez l’option de notification à utiliser.
6. Cliquez sur Create Rule.
7. Cliquez sur Save Changes.
À effectuer
Avant d’utiliser des données de quota à des fins d’analyse ou autres, vérifiez
qu’aucune tâche QuotaScan n’est en cours en sélectionnant Cluster Management >
Job Operations > Job Summary.
Remarque
Pour effectuer cette tâche, vous devez être connecté à l’interface d’administration
Web.
Procédure
1. Cliquez sur File System > SmartQuotas > Settings.
2. (Facultatif) Dans la zone Email Mapping, cliquez sur Add a Mapping Rule.
3. Dans la liste Type, sélectionnez le type de fournisseurs d’authentification pour
cette règle de notification. La valeur par défaut est Local. Pour connaître les
fournisseurs d’authentification disponibles sur le cluster, accédez à Access >
Authentication Providers.
4. Dans la liste Current domain, sélectionnez le domaine que vous souhaitez
utiliser pour la règle de mappage. Si la liste est vide, accédez à Cluster
Management > Network Configuration, puis spécifiez les domaines à utiliser
pour le mappage.
5. Dans le champ Map to domain, saisissez le nom du domaine vers lequel vous
souhaitez mapper les notifications par e-mail. Il peut s’agir du nom de domaine
sélectionné dans la liste Current domain. Pour spécifier plusieurs domaines,
séparez leurs noms par une virgule.
6. Cliquez sur Create Rule.
Modèle Description
quota_email_template.txt Notification indiquant que le quota de disques
a été dépassé.
Si les modèles par défaut ne répondent pas à vos besoins, vous pouvez configurer vos
propres modèles de notification par e-mail à l’aide d’une combinaison de texte et de
Si vous souhaitez inclure des informations sur l’expéditeur du message, ajoutez une
ligne From: immédiatement en dessous de la ligne d’objet. Si vous utilisez une adresse
e-mail, ajoutez le nom de domaine complet de l’adresse. Par exemple :
From: administrator@abcd.com
Ce texte est un exemple de notification envoyée par e-mail à l’utilisateur (notez que
les variables SmartQuotas sont résolues) :
Remarque
Il est recommandé de ne pas modifier directement les modèles, mais de les copier dans
un autre répertoire, puis de les modifier et de les déployer.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Copiez l’un des modèles par défaut dans un répertoire dans lequel vous pouvez
modifier le fichier et y accéder ultérieurement via l’interface d’administration
Web OneFS. Par exemple :
cp /etc/ifs/quota_email_template.txt /ifs/data/quotanotifiers/
quota_email_template_copy.txt
edit /ifs/data/quotanotifiers/quota_email_template_copy.txt
Procédure
1. Cliquez sur File System > SmartQuotas > Generated Reports Archive.
2. Cliquez sur Create a Manual Report.
Résultats
Le nouveau rapport apparaît dans la liste Quota Reports.
Remarque
Si les rapports de quota ne sont pas dans le répertoire par défaut, vous pouvez
exécuter la commande isi quota settings pour rechercher le répertoire
dans lequel ils sont stockés.
ls -a *.xml
ls <filename>.xml
Option Description
Option Description
Include snapshots in the storage quota Permet de comptabiliser toutes les données
de snapshot dans les limites d’utilisation.
Cette option ne peut pas être modifiée une
fois que le quota a été créé.
Remarque
Remarque
Vous ne pouvez
ajouter qu’une
seule adresse e-
mail. Si vous
souhaitez avertir
plusieurs
personnes, créez
une liste de
diffusion que vous
utiliserez comme
adresse e-mail.
Remarque
Use the system settings for quota Utilise les règles de notification par défaut que
notifications vous avez configurées pour le type de seuils
spécifié.
Paramètre Description
Paramètre Description
provisionnement automatique des nœuds dans des pools de nœuds permet à OneFS
d’optimiser les performances, la fiabilité et la protection des données sur le cluster.
Sans licence SmartPools active, OneFS applique une règle de pools de fichiers par
défaut pour organiser toutes les données dans un seul pool de fichiers. Cette règle
permet à OneFS de répartir les données sur l’ensemble du cluster pour qu’elles soient
protégées et facilement accessibles. Lorsque vous activez une licence SmartPools,
des fonctions supplémentaires deviennent disponibles.
OneFS fournit les fonctions suivantes, avec ou sans licence SmartPools active :
Provisionnement automatique des pools de nœuds
Regroupe automatiquement les nœuds de classe équivalente dans des pools de
nœuds pour une efficacité et une protection optimales du stockage. Pour que le
provisionnement automatique fonctionne, il faut au minimum trois nœuds de
classe équivalente.
Niveaux
Regroupe les pools de nœuds dans des niveaux de stockage logiques. Si vous
activez une licence SmartPools pour cette fonction, vous pouvez créer des règles
de pools de fichiers personnalisées et affecter les différents pools de fichiers aux
niveaux de stockage appropriés.
Requested protection
Spécifie un paramètre de protection demandé pour le pool de fichiers par défaut,
par pool de nœuds ou bien sur des fichiers individuels. Vous pouvez conserver la
valeur par défaut ou sélectionner la protection suggérée calculée par OneFS pour
une protection optimale des données.
Stratégies SSD
Définit le type de données stockées sur des disques SSD dans le cluster. Par
exemple, stockage de métadonnées pour l’accélération des opérations de lecture/
écriture.
Cache N3
Spécifie que les disques SSD des nœuds sont utilisés pour augmenter la mémoire
cache et accélérer les performances du système de fichiers sur l’ensemble des
jeux de fichiers de travail volumineux.
Lorsque vous activez une licence SmartPools, OneFS fournit les fonctions
supplémentaires suivantes :
Règles de pools de fichiers personnalisées
Crée des règles de pools de fichiers personnalisées pour identifier différentes
classes de fichiers et stocke ces pools de fichiers dans des niveaux de stockage
logique. Vous pouvez, par exemple, définir un niveau de stockage hautes
performances pour les pools de nœuds de la gamme S d’Isilon et un niveau
d’archivage pour les pools de nœuds Isilon NL400 et HD400 haute capacité. Puis,
grâce à des règles de pools de fichiers personnalisées, vous pouvez identifier les
pools de fichiers à partir des critères de correspondance et définir les actions à
exécuter sur ces pools. Par exemple, une règle de pools de fichiers peut identifier
tous les fichiers JPEG de plus d'un an et les stocker dans un niveau d’archivage.
Une autre règle peut déplacer tous les fichiers qui ont été créés ou modifiés au
cours des trois derniers mois dans un niveau de performances.
l Les disques des nœuds IsilonSD sont toujours reconnus par IsilonSD Edge en tant
que disques durs, quel que soit le pool de stockage dans lequel ils sont hébergés.
l Vous ne pouvez pas créer de nœuds hétérogènes au sein du même cluster
IsilonSD.
Provisionnement automatique
Lorsque vous ajoutez un nœud à un cluster Isilon, OneFS tente de l’affecter à un pool
de nœuds. Ce processus, appelé provisionnement automatique, permet à OneFS de
faire en sorte que les performances, l’équilibrage de charge et l’intégrité du système
de fichiers soient optimaux dans l’ensemble d’un cluster.
Un nœud n’est provisionné automatiquement dans un pool et inscriptible que lorsque
trois nœuds de classe équivalente au minimum sont ajoutés au cluster. Si vous
n’ajoutez au cluster que deux nœuds de classe équivalente, aucune information n’est
stockée sur ces nœuds jusqu’à ce que vous ajoutiez un troisième nœud de même
classe.
De même, si un nœud est mis hors service ou supprimé du cluster de sorte que le pool
contient moins de trois nœuds de classe équivalente, le pool de nœuds devient alors
sous-provisionné. Dans ce cas, les deux nœuds restants demeurent accessibles en
écriture. Toutefois, s’il ne reste qu’un seul nœud de cette classe, il n’est pas accessible
en écriture, mais demeure lisible.
Au fil du temps, lorsque vous ajoutez des nœuds Isilon à votre cluster, ceux-ci risquent
d’une certaine manière d’être différents des anciens nœuds. Par exemple, ils peuvent
être d’une génération différente ou présenter des configurations de disque
différentes. À moins que vous n’ajoutiez trois nouveaux nœuds de la même classe
d’équivalence à chaque fois que vous mettez à niveau votre cluster, les nouveaux
nœuds ne sont pas provisionnés automatiquement.
Pour contourner ces restrictions, OneFS vous permet de créer trois types de
compatibilités : classe de nœud, capacité de disque SSD et nombre de disques SSD.
En mettant en place les compatibilités appropriées, vous pouvez provisionner les
nouveaux types de nœuds dans des pools de nœuds existants. Vous pouvez ajouter
des nœuds un par un à votre cluster. Ceux-ci deviennent alors des homologues
entièrement opérationnels dans les pools de nœuds existants.
Par exemple, supposons qu’un cluster comporte un pool de nœuds composé de
trois nœuds S200 et que vous achetiez un nœud S210. Au-delà du fait qu’il appartient
à une autre génération, le nœud S210 peut avoir un nombre et une capacité de disques
SSD différents. Avec les compatibilités appropriées, le nouveau nœud S210 peut être
provisionné dans le pool de nœuds S200.
Pools de nœuds
Un pool de nœuds est un groupe d’au moins trois nœuds Isilon qui constitue un pool de
stockage unique. À mesure que vous ajoutez des nœuds à votre cluster Isilon, OneFS
tente de les provisionner automatiquement dans des pools de nœuds.
OneFS peut provisionner automatiquement un nœud à condition qu’il soit d’une classe
équivalente à celle des autres nœuds du pool. OneFS utilise les critères suivants pour
déterminer si le nouveau nœud est de classe équivalente :
l Code de famille
l Code de châssis
l Code de génération
l Configuration de disques
l Capacité de RAM
Si le nouveau nœud répond à tous les critères, OneFS l’ajoute au pool de nœuds. Tous
les nœuds d’un pool de nœuds sont des homologues et les données sont réparties
entre les nœuds du pool. Chaque nœud provisionné augmente la capacité globale
réseau, de disque, de cache et de CPU du cluster.
Nous vous recommandons fortement de laisser OneFS gérer le provisionnement des
nœuds. Toutefois, en cas d’exigence ou d’utilisation particulière, vous pouvez déplacer
des nœuds depuis un pool de nœuds provisionné automatiquement vers un pool que
vous définissez manuellement. La fonction de création de pools de nœuds définis
manuellement est disponible uniquement via l’interface de ligne de commande de
OneFS. Il n’est conseillé de la déployer qu’après consultation du Support Clients
d’EMC Isilon.
Si vous tentez de supprimer un nœud d’un pool afin de l’ajouter à un pool de nœuds
manuel de sorte qu’il resterait moins de trois nœuds dans le pool d’origine, l’opération
échoue. Lorsque vous supprimez un nœud d’un pool de nœuds défini manuellement,
OneFS tente de reprovisionner automatiquement le nœud dans un pool de nœuds de
classe équivalente.
Si vous ajoutez moins de trois nœuds de classe équivalente à votre cluster, OneFS ne
peut pas les provisionner automatiquement. Dans ce cas, vous pouvez généralement
créer une ou plusieurs compatibilités afin de permettre à OneFS de provisionner les
nœuds nouvellement ajoutés dans un pool de nœuds compatible.
Les types de compatibilités incluent la classe de nœud, la capacité des disques SSD et
le nombre de disques SSD.
48 Go 64 Go 12 Go 48 Go 64 Go 24 Go 24 Go
96 Go 128 Go 24 Go 24 Go 96 Go 128 Go 48 Go 48 Go
Remarque
Une fois que vous avez ajouté à votre cluster au moins trois nœuds de nouvelle
génération d’une classe d’équivalence particulière, vous pouvez éventuellement
supprimer les compatibilités de classe de nœuds que vous avez créées. Cette étape
permet à OneFS de provisionner automatiquement les nouveaux nœuds S210, X210,
X410 ou NL410 dans leurs propres pools de nœuds et de bénéficier des
caractéristiques de performances des nouveaux types de nœuds. Toutefois, étant
donné que les grands pools de nœuds stockent plus efficacement les données, la
suppression des compatibilités peut également réduire la quantité de stockage
disponible sur votre cluster. Si vous avez des doutes quant à la suppression des
compatibilités, nous vous recommandons de consulter au préalable un responsable de
compte EMC Isilon.
* Nécessite également une compatibilité de classe de nœuds avec la classe de pool de nœuds
existante.
Remarque
La création de compatibilités de disque SSD nécessite que le cache N3 soit activé sur
tous les nœuds. Si vous essayez de créer une compatibilité de classe de nœuds et des
compatibilités de disque SSD appropriées, et que le processus échoue avec un
message d’erreur, assurez-vous que le cache N3 est activé sur le pool de nœuds
existant. Ensuite, réessayez de créer la compatibilité. Le cache N3 peut uniquement
être activé sur les nœuds qui comportent moins de 16 disques SSD.
ATTENTION
Remarque
Les paramètres VHS affectent la fonction de débordement. Si l’option VHS Deny data
writes to reserved disk space est activée mais pas le paramètre Ignore reserved
space when calculating available free space, le débordement se produit avant que le
système de fichiers n’indique un taux d’utilisation de 100 %.
Débordement
Lorsque vous activez une licence SmartPools, vous pouvez désigner un pool de nœuds
ou un niveau pour recevoir les données de débordement lorsque le matériel spécifié
par une règle de pool de fichiers est saturé ou non inscriptible.
Si vous ne souhaitez pas que les données débordent vers un autre emplacement parce
que le pool de nœuds ou le niveau est saturé ou non inscriptible, vous pouvez
désactiver cette fonction.
Remarque
Protection recommandée
Selon la configuration de votre cluster Isilon, OneFS calcule automatiquement la
protection recommandée pour respecter les exigences strictes en matière de
protection des données d’EMC Isilon.
OneFS intègre une fonction permettant de calculer la protection recommandée pour
les données, de façon à assurer un ratio MTDDL (Mean Time to Data Loss, temps
moyen/perte de données) théorique de 5 000 ans. La protection recommandée offre
un équilibre optimal entre la protection des données et l’efficacité du stockage sur
votre cluster.
Lors de la configuration des politiques de pools de fichiers, vous pouvez choisir parmi
plusieurs paramètres de protection pour un seul fichier, pour des sous-ensembles de
fichiers appelés pools de fichiers, ou pour l’ensemble des fichiers sur le cluster.
Débordement 471
Pools de stockage
Politiques de protection
OneFS propose un certain nombre de politiques de protection permettant de protéger
un fichier ou de spécifier une règle de pool de fichiers.
Plus votre cluster contient de nœuds, dans la limite de 20, plus OneFS peut stocker et
protéger vos données efficacement, et plus les niveaux de protection demandée que le
système d’exploitation peut atteindre sont élevés. En fonction de la configuration de
votre cluster et du volume de données enregistrées, OneFS peut ne pas être en
mesure d’atteindre le niveau de protection dont vous avez besoin. Par exemple, si
vous disposez d’un cluster comportant trois nœuds qui atteint sa capacité maximale et
que vous demandez une protection +2n, OneFS ne sera peut-être pas en mesure
d’assurer la protection dont vous avez besoin.
Le tableau suivant décrit les politiques de protection disponibles dans OneFS.
Politique de Résumé
protection
+1n Tolérer la défaillance de 1 disque ou de 1 nœud
5X Les miroirs peuvent utiliser plus de données que les autres politiques
de protection, mais peuvent être efficaces pour protéger les fichiers
6X
écrits de manière non séquentielle ou pour offrir un accès plus
7X rapide aux fichiers importants.
8X
Stratégies SSD
Les clusters OneFS peuvent contenir des nœuds comportant des disques SSD. OneFS
provisionne automatiquement dans un ou plusieurs pools de nœuds les nœuds de
classe équivalente comprenant des disques SSD. La stratégie de disques SSD définie
dans la règle de pools de fichiers par défaut détermine la manière dont les disques SSD
sont utilisés dans le cluster. Elle peut être désactivée afin d’augmenter les
performances sur divers workflows.
Vous pouvez configurer des règles de pool de fichiers pour appliquer des stratégies
SSD spécifiques en fonction des besoins. Lorsque vous sélectionnez les options SSD
lors de la création d’une règle de pool de fichiers, vous pouvez identifier les fichiers du
cluster OneFS qui nécessitent des performances plus rapides ou plus lentes. Lors de
l’exécution de la tâche SmartPools, OneFS utilise les règles de pools de fichiers pour
déplacer ces données vers le pool de stockage et le type de disque appropriés.
Les options suivantes de la stratégie de disques SSD que vous pouvez définir dans une
règle de pools de fichiers sont répertoriées de la plus lente à la plus rapide :
Avoid SSDs
Enregistre toutes les données et métadonnées des fichiers associés sur des
disques durs uniquement.
ATTENTION
Utilisez cette option pour libérer de l’espace SSD uniquement après avoir
consulté l’équipe du support technique Isilon. L’utilisation de cette stratégie
peut dégrader les performances.
Data on SSDs
Utilise des pools de nœuds SSD pour les données et les métadonnées, que
l’accélération de l’espace de nommage global soit activée ou non. Cette stratégie
SSD n’entraîne pas la création de miroirs supplémentaires au-delà de la protection
normale demandée, mais ses exigences en matière de stockage sont nettement
supérieures à celles des autres options de stratégie SSD.
Remarque
Les pools de nœuds dont le cache N3 est activé sont effectivement invisibles pour
l’accélération de l’espace de nommage global. Tous les calculs de ratio pour
l’accélération de l’espace de nommage global concernent exclusivement les pools de
nœuds dont le cache N3 est désactivé. Par exemple, si votre cluster comporte six
nœuds et que le cache N3 de trois d’entre eux est activé, l’accélération de l’espace de
nommage global est appliquée aux trois nœuds de pool restants. Sur les pools de
nœuds dont le cache N3 est activé, les métadonnées n’ont pas besoin d’un miroir GNA
supplémentaire car l’accès aux métadonnées est déjà accéléré par le cache N3.
Présentation du cache N3
Vous pouvez configurer des nœuds avec des disques SSD pour augmenter la mémoire
cache et accélérer les performances du système de fichiers lorsque des jeux de
fichiers de travail volumineux sont utilisés.
OneFS met en cache les données et les métadonnées des fichiers à plusieurs niveaux.
Le tableau suivant décrit les types de cache du système de fichiers disponibles dans un
cluster Isilon.
OneFS met en cache les métadonnées et les fichiers fréquemment utilisés dans la
RAM disponible. La mise en cache permet à OneFS d’optimiser la protection des
données et les performances du système de fichiers. Lorsque le cache RAM atteint sa
capacité maximale, OneFS supprime normalement les données en cache les plus
anciennes et traite les nouvelles demandes de données en accédant aux disques de
stockage. Ce cycle est répété chaque fois que le cache RAM est plein.
Vous pouvez déployer des disques SSD en tant que cache N3 pour réduire les
problèmes de cycle du cache et pour améliorer encore les performances du système
de fichiers. Le cache N3 augmente considérablement la mémoire cache disponible et
offre un accès aux données plus rapide que les disques durs.
Lorsque le cache N2 atteint sa capacité, OneFS évalue les données à retirer et, selon
votre workflow, les déplace vers le cache N3. Ainsi, davantage de données
fréquemment utilisées sont stockées dans le cache et les performances globales du
système de fichiers sont améliorées.
Prenons l’exemple d’un cluster avec 128 Go de RAM. En général, la quantité de RAM
disponible pour le cache varie en fonction des autres processus actifs. Si 50 % de la
RAM est disponible pour le cache, la taille du cache est d’environ 64 Go. Si ce même
cluster comporte trois nœuds, chacun équipé de deux disques SSD de 200 Go, la taille
du cache N3 est de 1,2 To, soit environ 18 fois la quantité de cache N2 disponible.
Le cache N3 est activé par défaut pour les nouveaux pools de nœuds. Un pool de
nœuds est un ensemble de nœuds ayant tous la même classe d’équivalence ou pour
lesquels des compatibilités sont créées. Le cache N3 s’applique uniquement aux
nœuds où résident les disques SSD. Pour le nœud HD400, essentiellement utilisé à des
fins d’archivage, le cache N3 est activé par défaut et ne peut pas être désactivé. Sur
le HD400, le cache N3 n’est utilisé que pour les métadonnées.
Si vous activez le cache N3 sur un pool de nœuds, OneFS gère tous les niveaux de
cache afin d’offrir une protection des données, une disponibilité et des performances
optimales. En outre, en cas de coupure d’alimentation, les données du cache N3 sont
conservées et sont à nouveau disponibles une fois l’alimentation rétablie.
Remarque
Bien que le cache N3 présente certains avantages dans les workflows avec accès aux
fichiers en temps réel et simultané, il est particulièrement efficace dans les workflows
à accès aléatoire.
Vous devez confirmer si OneFS doit ou non poursuivre la migration. Cela fait, OneFS
gère la migration intelligemment en arrière-plan. Vous pouvez continuer à gérer le
cluster lors de la migration.
Si vous choisissez de désactiver le cache de niveau 3 sur un pool de nœuds, le
processus de migration est très rapide.
Niveaux
Un niveau est un ensemble de pools de nœuds défini par l’utilisateur que vous pouvez
spécifier en tant que pool de stockage pour les fichiers. Un pool de nœuds ne peut
appartenir qu’à un seul niveau.
Vous pouvez créer des niveaux pour attribuer vos données à n’importe quel pool de
nœuds du niveau. Par exemple, vous pouvez attribuer un ensemble de pools de nœuds
à un niveau spécifiquement créé pour le stockage des données qui nécessitent une
haute disponibilité et un accès rapide. Dans un système à trois niveaux, il peut s’agir du
niveau 1. Vous pouvez classer les données utilisées moins fréquemment, auxquelles
moins d’utilisateurs accèdent, en tant que données de niveau 2. Le niveau 3 regroupe
habituellement les données qui sont rarement utilisées et qui peuvent être archivées à
des des fins d’historique ou réglementaires.
Le nom d’un pool de nœuds doit commencer par une lettre ou un tiret bas, et ne
doit contenir ensuite que des lettres, des chiffres, des tirets, des tirets bas et
des points.
Remarque
Les nouveaux nœuds doivent disposer d’une RAM compatible et des mêmes
configurations de disques que leurs homologues plus anciens afin d’être provisionnés
dans les pools de nœuds existants. Si les configurations de disques présentent des
différences, que ce soit au niveau du nombre de disques SSD ou de leur capacité, vous
pouvez également créer des compatibilités de disques SSD.
Procédure
1. Sélectionnez File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux listes : Tiers & Node Pools et
Compatibilities.
2. Cliquez sur Create a Compatibility.
La boîte de dialogue Create a Compatibility affiche une liste déroulante de
types de compatibilité.
3. Dans la liste Compatibility Type, sélectionnez Node Class.
Deux listes déroulantes supplémentaires sont ajoutées : First Node Class et
Second Node Class.
4. Dans la liste First Node Class, acceptez la sélection actuelle ou effectuez une
nouvelle sélection.
5. Dans la liste Second Node Class, acceptez la sélection actuelle ou effectuez
une nouvelle sélection.
6. Cliquez sur Create Compatibility.
La boîte de dialogue Confirm Create Compatibility s’affiche. Elle contient une
ou plusieurs cases à cocher que vous devez sélectionner avant de continuer. Les
cases à cocher décrivent les résultats de l’opération.
7. Sélectionnez toutes les cases à cocher, puis cliquez sur Confirm.
Résultats
La compatibilité de classe de nœud est créée et décrite dans la liste Compatibilities.
Par exemple, un message tel que « The S200 Node Class is now considered
compatible with the S210 Node Class » s’affiche. Le résultat de la nouvelle
compatibilité apparaît dans la liste Tiers & Node Pools. Si les nouveaux nœuds
présentent une compatibilité de classe de nœud mais restent non provisionnés, vous
devez toujours créer une compatibilité SSD pour les nouveaux nœuds. Si le cache L3
est désactivé sur le pool de nœuds cible, les nouveaux nœuds restent non provisionnés
et un message d’erreur s’affiche.
Remarque
Les types de nœud plus récents affichent généralement des performances supérieures
à celles des nœuds plus anciens. De ce fait, la fusion des deux types peut entraîner une
baisse des performances globales. En outre, lorsque deux pools de nœuds sont
fusionnés, OneFS répartit de nouveau les données, ce qui peut prendre beaucoup de
temps selon la taille de votre Dataset.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux listes : Tiers & Node Pools et
Compatibilities.
2. Cliquez sur Create a Compatibility.
La boîte de dialogue Create a Compatibility affiche une liste déroulante de
types de compatibilité.
3. Dans la liste Compatibility Type, sélectionnez Node Class.
Deux listes déroulantes supplémentaires sont ajoutées : First Node Class et
Second Node Class.
4. Dans la liste First Node Class, acceptez la sélection actuelle ou effectuez une
nouvelle sélection.
5. Dans la liste Second Node Class, acceptez la sélection actuelle ou effectuez
une nouvelle sélection.
6. Cliquez sur Create Compatibility.
La boîte de dialogue Confirm Create Compatibility s’affiche. Elle contient une
ou plusieurs cases à cocher que vous devez sélectionner avant de continuer. Les
cases à cocher décrivent les résultats de l’opération.
7. Sélectionnez toutes les cases à cocher, puis cliquez sur Confirm.
Résultats
La compatibilité de classe de nœud est créée et décrite dans la liste Compatibilities.
Par exemple, un message tel que « The S200 Node Class is now considered
compatible with the S210 Node Class » s’affiche. Le résultat de la nouvelle
compatibilité apparaît dans la liste Tiers & Node Pools. Si la compatibilité est bien
créée, mais que les pools de nœuds ne sont pas fusionnés, vous devrez probablement
créer une compatibilité de disque SSD entre les deux pools de nœuds. Si la création de
la compatibilité échoue avec un message d’erreur, le cache N3 est désactivé sur l’un
des pools de nœuds ou bien sur les deux.
ATTENTION
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux listes : Tiers & Node Pools et
Compatibilities.
2. Dans la liste Compatibilities, en regard de la compatibilité à supprimer, cliquez
sur Delete.
La boîte de dialogue Confirm Delete Compatibility s’affiche. Elle contient une
ou plusieurs cases à cocher que vous devez sélectionner avant de continuer.
3. Cochez toutes les cases dans la boîte de dialogue, puis cliquez sur Confirm.
Résultats
La compatibilité est supprimée et le nouvel état des nœuds concernés apparaît dans la
liste Tiers & Node Pools.
ATTENTION
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux listes : Tiers & Node Pools et
Compatibilities.
2. Dans la liste Compatibilities, en regard de la compatibilité SSD à supprimer,
cliquez sur Delete.
La boîte de dialogue Confirm Delete Compatibility s’affiche. Elle contient une
ou plusieurs cases à cocher que vous devez sélectionner avant de continuer. Les
cases à cocher décrivent le résultat de l’opération.
3. Cochez toutes les cases dans la boîte de dialogue, puis cliquez sur Confirm.
Résultats
La compatibilité SSD est supprimée et le nouvel état des nœuds concernés apparaît
dans la liste Tiers & Node Pools. Par exemple, un nœud précédemment provisionné
n’est désormais plus provisionné.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
La page SmartPools s’affiche et présente la liste des niveaux et des pools de
nœuds.
2. Dans la liste Tiers & Node Pools, cliquez sur View/Edit en regard du pool de
nœuds cible.
La boîte de dialogue View Node Pool Details s’affiche, présentant les
paramètres actuels du pool de nœuds.
3. Cliquez sur Edit.
La boîte de dialogue Edit Node Pool Details s’affiche.
4. Cochez la case Enable L3 cache.
La case à cocher est grisée pour les pools de nœuds sans disques SSD, ou pour
lesquels le paramètre ne peut pas être modifié.
5. Cliquez sur Save Changes.
Le message Confirm Change to L3 Cache Setting s’affiche.
6. Cliquez sur le bouton Continue.
Le processus de migration vers le cache N3 commence et peut prendre un
certain temps, selon le nombre et la taille des disques SSD du pool de nœuds.
Lorsque la migration est terminée, la boîte de dialogue View Node Pool Details
s’affiche.
7. Cliquez sur Close.
Restaurer les disques SSD sur des disques de stockage pour un pool de
nœuds
Vous pouvez désactiver le cache N3 pour les disques SSD d’un pool de nœuds et
rétablir ces disques en tant que disques de stockage.
Remarque
Sur les pools de nœuds HD400, les disques SSD servent uniquement au cache N3, qui
est activé par défaut et ne peut pas être désactivé. Tous les autres pools de nœuds
équipés de disques SSD pour le cache N3 peuvent de nouveau les faire migrer vers les
disques de stockage.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
2. Dans la zone Tiers & Node Pools de l’onglet SmartPools, sélectionnez View/
Edit en regard du pool de nœuds cible.
La boîte de dialogue View Node Pool Details s’affiche, présentant les
paramètres actuels du pool de nœuds.
3. Cliquez sur Edit.
La boîte de dialogue Edit Node Pool Details s’affiche.
4. Désactivez la case Enable L3 cache.
Le paramètre est grisé pour les pools de nœuds sans disques SSD, ou pour
lesquels le paramètre ne peut pas être modifié.
Créer un niveau
Vous pouvez créer un niveau contenant un ou plusieurs pools de nœuds. Vous pouvez
utiliser ce niveau pour stocker des catégories de fichiers spécifiques.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools s’affiche et présente deux sections : Tiers & Node Pools
et Compatibilities.
2. Dans la section Tiers & Node Pools, cliquez sur Create a Tier.
3. À la page Create a Tier qui s’affiche, saisissez le nom du niveau.
4. Pour chaque pool de nœuds que vous voulez ajouter au niveau, sélectionnez un
pool de nœuds dans la liste Available Node Pools, puis cliquez sur Add.
Le pool de nœuds est déplacé vers la liste Selected Node Pools for this Tier.
5. Cliquez sur Create Tier.
La page Create a Tier se ferme et le nouveau niveau est ajouté à la section
Tiers & Node Pools. Les pools de nœuds que vous avez ajoutés sont affichés
sous le nom du niveau.
Modifier un niveau
Vous pouvez modifier le nom d’un niveau et les pools de nœuds qui lui sont attribués.
Un nom de niveau peut contenir des caractères alphanumériques et des traits de
soulignement, mais il ne peut pas commencer par un nombre.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux groupes : Tiers & Node Pools et
Compatibilities.
2. Dans la zone Tiers & Node Pools, en regard du niveau à modifier, cliquez sur
View/Edit.
3. Dans la boîte de dialogue View Tier Details, cliquez sur Edit Tier.
4. Dans la boîte de dialogue Edit Tier Details, apportez les modifications voulues
aux paramètres suivants :
Option Description
Tier Name Pour modifier le nom du niveau, sélectionnez le nom
existant et remplacez-le par le nouveau.
Node Pool Pour modifier la sélection de pool de nœuds,
Selection sélectionnez un pool, puis cliquez sur Add ou Remove.
5. Une fois que vous avez terminé de modifier les paramètres du niveau, cliquez
sur Save Changes.
6. Dans la boîte de dialogue View Tier Details, cliquez sur Close.
Supprimer un niveau
Vous pouvez supprimer un niveau auquel aucun pool de nœuds n’est attribué.
Avant de commencer
Pour supprimer un niveau auquel des pools de nœuds sont attribués, vous devez
d’abord supprimer les pools de nœuds du niveau.
Procédure
1. Cliquez sur File System > Storage Pools > SmartPools.
L’onglet SmartPools affiche deux listes : Tiers & Node Pools et
Compatibilities.
2. Dans la liste Tiers & Node Pools, en regard du niveau à supprimer, cliquez sur
More > Delete Tier.
Un message vous demande de confirmer ou d’annuler l’opération.
3. Cliquez sur Delete Tier pour confirmer l’opération.
Résultats
Le niveau est supprimé de la liste Tiers & Node Pools.
Remarque
Vous pouvez réorganiser la liste des règles de pool de fichiers à tout moment, mais la
règle de pool de fichiers par défaut est toujours la dernière de la liste.
OneFS fournit également des modèles de règles personnalisables que vous pouvez
copier pour définir vos propres règles. Cependant, ces modèles sont uniquement
disponibles à partir de l’interface d’administration Web OneFS.
ATTENTION
Si les règles de pools de fichiers existantes transfèrent les données vers un pool
de stockage spécifique, ne configurez pas d’autres règles de pools de fichiers
avec anywhere pour l’option Data storage target. Étant donné que le pool de
stockage spécifié est inclus lorsque vous utilisez anywhere, ciblez des pools de
stockage spécifiques pour éviter tout résultat inattendu.
Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
2. Cliquez sur Create a File Pool Policy.
3. Dans la boîte de dialogue Create a File Pool Policy, saisissez le nom de la règle
et, éventuellement, une description.
4. Indiquez les fichiers que la règle de pool de fichiers doit gérer.
Pour définir le pool de fichiers, vous pouvez spécifier des critères de
correspondance en combinant des conditions IF, AND et OR. Vous pouvez
définir ces conditions avec un certain nombre d’attributs de fichier, tels que le
nom, le chemin, le type, la taille et les informations d’horodatage.
5. Spécifiez les actions SmartPools à appliquer au pool de fichiers sélectionné.
Vous pouvez définir des paramètres de stockage et d’optimisation des E/S à
appliquer.
6. Cliquez sur Create Policy.
Résultats
La règle de pool de fichiers est créée et appliquée lors de l’exécution planifiée suivante
de la tâche système SmartPools. Par défaut, cette tâche s’exécute une fois par jour,
mais vous avez également la possibilité de la démarrer immédiatement.
Remarque
OneFS prend en charge la correspondance de schémas de type shell UNIX (glob) pour
les attributs de nom et les chemins de fichier.
Le tableau ci-dessous répertorie les attributs de fichier que vous pouvez utiliser pour
définir une règle de pool de fichiers.
File type Inclut ou exclut des fichiers selon l’un des types d’objet
suivants du système de fichiers :
l Fichier
l Répertoire
l Autre
Remarque
Remarque
Le tableau suivant répertorie les caractères génériques valides que vous pouvez
associer à des options de correspondance de fichiers pour définir une règle de pool de
fichiers.
Caractère Description
générique
* Met en correspondance n’importe quelle chaîne à la place de
l’astérisque.
Par exemple, m* correspond à movies et à m123.
Paramètres SmartPools
Les paramètres SmartPools englobent la protection des répertoires, l’accélération de
l’espace de nommage global, le cache N3, le disque de secours virtuel, le
débordement, la gestion de la protection demandée et l’optimisation des E/S.
Increase directory --protect-directories-one- Définit un niveau de protection Ce paramètre doit être activé
protection to a higher level-higher des répertoires plus élevé que (option par défaut).
level than its contents celui appliqué aux répertoires et Lorsque ce paramètre est
aux fichiers qu’ils incluent, afin désactivé, le répertoire qui
de maintenir l’accès aux données contient un pool de fichiers est
qui ne sont pas perdues. protégé en fonction de vos
Lorsqu’une panne de paramètres de niveau de
périphérique entraîne une perte protection, mais les périphériques
de données (par exemple, trois utilisés pour stocker le répertoire
disques ou deux nœuds dans une et le fichier ne sont pas
règle +2:1), l’activation de ce nécessairement les mêmes. Vous
paramètre garantit que les risquez de perdre des nœuds
données intactes sont toujours contenant des données de fichier
accessibles. intactes sans pouvoir accéder à
ces données, car ces nœuds
contenaient le répertoire.
Remarque
Use SSDs as L3 Cache --ssd-l3-cache-default- Pour les pools de nœuds Le cache N3 est activé par défaut
by default for new enabled comprenant des disques SSD, sur les nouveaux pools de nœuds.
node pools déploie des disques SSD en tant Lorsque vous activez le cache N3
que cache N3. Le cache N3 sur un pool de nœuds existant,
étend le cache N2 tout en OneFS effectue une migration,
accélérant les performances du qui déplace toutes les données
système de fichiers pour les présentes sur les disques SSD
grands jeux de fichiers de travail. vers d’autres emplacements du
cluster.
Ce paramètre ne s’applique pas à
IsilonSD Edge.
OneFS gère tous les niveaux de
cache afin d’offrir une protection,
une disponibilité et des
performances optimales. En cas
de coupure d’alimentation, les
données du cache N3 sont
conservées et sont à nouveau
disponibles une fois l’alimentation
rétablie.
Virtual Hot Spare --virtual-hot-spare-deny- Réserve un volume minimal Si vous configurez un nombre
writes d’espace dans le pool de nœuds minimal de disques virtuels et un
--virtual-hot-spare-hide- qui peut être utilisé pour réparer pourcentage minimal d’espace
spare les données en cas de défaillance disque total lorsque vous
de disque. configurez l’espace VHS réservé,
--virtual-hot-spare-limit-
la valeur minimale appliquée
drives Pour réserver de l’espace disque
répond aux deux exigences.
en tant que disque de secours
--virtual-hot-spare-limit-
virtuel, effectuez un choix parmi Si ce paramètre est activé alors
percent
les options suivantes : que Deny new data writes est
désactivé, il est possible que le
l Ignore reserved disk
taux d’utilisation du système de
space when calculating
fichiers affiché soit supérieur à
available free space. 100 %.
Soustrait l’espace réservé au
disque de secours virtuel lors
du calcul de l’espace
disponible.
Enable global spillover --no-spillover Indique comment gérer les l Lorsque cette option est
opérations d’écriture sur un pool activée, elle redirige les
de nœuds qui n’est pas opérations d’écriture d’un
accessible en écriture. pool de nœuds qui n’est pas
accessible en écriture vers un
autre pool de nœuds ou
ailleurs sur le cluster (option
par défaut).
l Lorsque cette option est
désactivée, une erreur
d’espace disque est renvoyée
pour les opérations d’écriture
sur un pool de nœuds qui
n’est pas accessible en
écriture.
Spillover Data Target --spillover-target Spécifie un autre pool de Lorsque le débordement est
--spillover-anywhere stockage à cibler lorsqu’un pool activé, mais qu’il est important
de stockage n’est pas accessible que les écritures de données
en écriture. n’échouent pas, sélectionnez
anywhere pour le paramètre
Spillover Data Target, même
si les règles de pool de fichiers
envoient les données à des pools
spécifiques.
Manage protection --automatically-manage- Lorsque ce paramètre est activé, Lorsque l’option Apply to files
settings protection SmartPools gère with manually-managed
automatiquement les niveaux de protection est activée, tous les
protection demandés. paramètres de protection qui ont
été configurés via l’explorateur du
système de fichiers ou l’interface
de ligne de commande sont
écrasés.
Manage I/O --automatically-manage- Lorsque cette option est activée, Lorsque l’option Apply to files
optimization settings io-optimization la technologie SmartPools est with manually-managed I/
utilisée pour gérer l’optimisation O optimization settings est
des E/S.
ATTENTION
Si les règles de pool de fichiers existantes dirigent les données vers un pool de
stockage spécifique, n’ajoutez pas et ne modifiez pas une règle de pool de
fichiers avec anywhere pour l’option Data storage target. À la place, ciblez un
pool de fichiers spécifique.
Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
2. Sous l’onglet File Pool Policies, en regard de Default Policy dans la liste,
cliquez sur View/Edit.
La boîte de dialogue View Default Policy Details s’affiche.
3. Cliquez sur Edit Policy.
La boîte de dialogue Edit Default Policy Details s’affiche.
4. Dans la section Apply SmartPools Actions to Selected Files, sélectionnez les
paramètres de stockage que vous souhaitez appliquer par défaut pour Storage
Target, Snapshot Storage Target et Requested Protection.
5. Cliquez sur Save Changes, puis sur Close.
Résultats
La prochaine fois que la tâche SmartPools s’exécute, les paramètres que vous avez
sélectionnés sont appliqués à tous les fichiers non couverts par une autre règle de pool
de fichiers.
Snapshot storage --snapshot-storage- Spécifie le nom du pool de stockage que vous Les remarques relatives aux
target target souhaitez cibler pour le stockage des snapshots paramètres data-storage-
--snapshot-ssd- avec cette règle de pool de fichiers. Les target s’appliquent
strategy paramètres sont les mêmes que pour data-storage- également aux paramètres
target, mais s’appliquent aux données des snapshot-storage-target.
snapshots.
Requested --set-requested- Default of storage pool. Attribue la protection Pour modifier la protection
protection protection demandée par défaut du pool de stockage aux demandée, sélectionnez une
fichiers filtrés. nouvelle valeur dans la liste.
Data Access --data-access- Définit les paramètres Les fichiers et les répertoires utilisent un modèle
Pattern pattern d’optimisation pour d’accès simultané par défaut. Pour optimiser les
l’accès simultané, en performances, sélectionnez le modèle correspondant à
temps réel ou aléatoire votre workflow. Par exemple, un workflow d’édition
aux différents types de vidéo important doit être défini sur Optimize for
données. streaming access. Ce workflow rencontrera des
problèmes si le modèle d’accès aux données est défini
sur Optimize for random access.
ATTENTION
Si les règles de pools de fichiers existantes transfèrent les données vers un pool
de stockage spécifique, ne configurez pas d’autres règles de pools de fichiers
avec anywhere pour l’option Data storage target. Étant donné que le pool de
stockage spécifié est inclus lorsque vous utilisez anywhere, ciblez des pools de
stockage spécifiques pour éviter les emplacements de stockage de fichiers non
souhaités.
Procédure
1. Cliquez sur File System > Storage Pools > File Pool Policies.
2. Dans la liste File Pool Policies, en regard de la règle que vous souhaitez
modifier, cliquez sur View/Edit.
La boîte de dialogue View File Pool Policy Details s’affiche.
3. Cliquez sur Edit Policy.
La boîte de dialogue Edit File Pool Policy Details s’affiche.
4. Modifiez les paramètres de la règle, puis cliquez sur Save Changes.
5. Cliquez sur Close dans la boîte de dialogue View File Pool Policy Details.
Résultats
Les modifications apportées à la règle de pools de fichiers sont appliquées lors de
l’exécution de la tâche SmartPools suivante. Vous pouvez également démarrer la
tâche SmartPools manuellement pour exécuter la règle immédiatement.
Résultats
La nouvelle règle personnalisée est ajoutée à la liste File Pool Policies, juste au-dessus
de la règle par défaut.
CloudPools 503
CloudPools
Présentation de CloudPools
CloudPools étend les fonctions de OneFS en vous permettant de spécifier les données
à déplacer vers un stockage Cloud plus économique. CloudPools peut se connecter en
toute transparence aux systèmes de stockage Cloud EMC ainsi qu’aux fournisseurs
tiers les plus courants, à savoir Amazon S3 et Microsoft Azure.
CloudPools est un module sous licence basé sur le framework de règles de pool de
fichiers SmartPools, qui vous offre un contrôle granulaire du stockage en mode fichier
sur votre cluster. CloudPools étend ce contrôle du stockage de fichiers à un ou
plusieurs référentiels de Cloud, qui agissent comme des niveaux supplémentaires du
stockage OneFS.
Avant l’introduction de CloudPools, SmartPools permettait le regroupement de nœuds
dans des pools de stockage appelés pools de nœuds, ainsi que la classification des
pools de nœuds en tant que différents niveaux de stockage. SmartPools inclut un
framework de règles qui vous permet de séparer les fichiers en groupes logiques
appelés pools de fichiers et de stocker ces pools de fichiers sur des niveaux de
stockage spécifiques.
CloudPools étend le framework SmartPools en traitant un référentiel de Cloud comme
un niveau de stockage supplémentaire. Cela vous permet de déplacer les données
anciennes ou rarement utilisées vers le stockage Cloud et de libérer ainsi de l’espace
sur votre cluster.
Comme avec SmartPools, vous définissez les fichiers à stocker dans le Cloud en
créant des règles de pool de fichiers. Ces règles utilisent des critères de
correspondance de fichiers pour déterminer quels pools de fichiers doivent être
déplacés vers le Cloud.
Les règles de pool de fichiers sont appliquées lors de l’exécution de la tâche système
SmartPools (quotidiennement, par défaut). Pour chaque règle, tous les fichiers mis en
correspondance sur le cluster sont gérés selon les spécifications de la règle.
Lorsque les fichiers correspondent à une règle de pool de fichiers contenant des
actions CloudPools, OneFS déplace leurs données vers le Cloud. Le cluster conserve
uniquement les métadonnées et un fichier de proxy, ce qui libère de l’espace de
stockage.
Bien que les données de fichier soient déplacées vers le stockage distant, les fichiers
restent visibles dans le système de fichiers OneFS. CloudPools accomplit cette tâche
en conservant un fichier SmartLink local, qui pointe vers l’emplacement des données
dans le Cloud. Vous pouvez, au besoin, lire, écrire, archiver et rappeler des fichiers à
partir du Cloud.
Lorsqu’un utilisateur accède à un cluster et affiche le système de fichiers OneFS via
un protocole pris en charge (SMB, NFS, Swift ou HDFS), les fichiers SmartLink
apparaissent comme les fichiers d’origine. Lorsque l’utilisateur ouvre un fichier
SmartLink, OneFS récupère automatiquement toutes les données requises du Cloud et
les met en cache. Cette opération est appelée accès à la volée. Les modifications
apportées à un fichier par l’utilisateur lors d’un accès à la volée sont mises à jour dans
les données de fichiers stockées dans le Cloud.
Outre l’accès à la volée, CloudPools fournit une commande CLI permettant d’activer le
rappel complet des fichiers à partir du Cloud, auquel cas les fichiers SmartLink sont
remplacés par les fichiers eux-mêmes.
EMC Isilon
CloudPools permet à un cluster EMC Isilon de fonctionner à la manière d’un
fournisseur de stockage Cloud.
Dans ce scénario, un cluster EMC Isilon secondaire fournit une solution de Cloud privé.
Le cluster secondaire archive les fichiers à partir de votre cluster principal et est géré
dans votre datacenter d’entreprise.
Pour fonctionner comme un fournisseur de stockage Cloud, un cluster EMC Isilon
utilise un ensemble d’API intégrant des fonctions qui permettent de configurer les
règles CloudPools, de définir des comptes de stockage Cloud et de récupérer des
rapports d’utilisation du stockage Cloud. Ces API sont désignées collectivement sous
le nom d’API de plate-forme Isilon. Elles sont décrites dans le document OneFS 8.0 API
Reference.
Le cluster secondaire doit exécuter la même version de OneFS en tant que cluster
principal et doit disposer de licences SmartPools et CloudPools actives.
Pour configurer un cluster EMC Isilon secondaire en tant que référentiel de stockage
Cloud, vous devez effectuer plusieurs tâches :
l Sur le cluster secondaire, connectez-vous en tant qu’administrateur système et
créez un nouvel utilisateur.
l Sur le cluster secondaire, créez un rôle disposant d’un accès aux privilèges
Console, Platform API, HTTP, License, Namespace Traverse et Namespace
Access, puis configurez le nouvel utilisateur en tant que membre de ce rôle.
l Sur le cluster secondaire, connectez-vous sous les identifiants du nouvel
utilisateur, puis créez le répertoire dans lequel doivent être stockées les données
du Cloud. Par exemple : /ifs/data/HQ-Archive.
l Sur le cluster principal, configurez le compte de stockage Cloud EMC Isilon en
spécifiant les informations d’identification du nouvel utilisateur et l’URI approprié
pour le cluster secondaire. Puisque le cluster secondaire réside au sein de votre
réseau d’entreprise, l’URI doit avoir un aspect similaire à ce qui suit :
https://10.1.210.310:8080/namespace/ifs/data/HQ-Archive
ECS est une plate-forme de stockage Cloud software-defined complète déployée sur
une appliance clé en main d’EMC. Elle prend en charge le stockage, la manipulation et
l’analyse des données non structurées à grande échelle.
L’appliance ECS est spécialement conçue pour répondre aux besoins des applications
mobiles, Cloud, Big Data et nouvelle génération. Comme il s’agit d’une appliance, elle
est simple à installer et à déployer, et prend en charge le multitenancy, l’accès en
libre-service, le suivi d’utilisation, le stockage as-a-service à la demande dans le Cloud
et le provisionnement dynamique des applications.
Amazon S3
CloudPools peut être configuré pour stocker des données sur Amazon S3 (Simple
Storage System), un fournisseur de Cloud public.
Lorsque vous configurez CloudPools afin d’utiliser Amazon S3 pour le stockage Cloud,
vous devez spécifier les attributs suivants en plus de l’URI, du nom d’utilisateur et de
la clé d’accès.
l ID du compte S3
l Compartiment de reporting de télémétrie S3
l Zone de stockage S3
Lorsque vous créez un compte Amazon S3, le fournisseur de Cloud vous attribue un ID
de compte et vous permet de choisir une zone de stockage. Amazon S3 propose
plusieurs zones de stockage aux États-Unis et dans d’autres régions du monde.
Remarque
CloudPools prend en charge Amazon Web Services Signature V2 pour authentifier les
requêtes sur son stockage Cloud. CloudPools ne prend pas en charge Signature V4.
Microsoft Azure
Vous pouvez configurer CloudPools pour stocker des données dans Microsoft Azure,
un fournisseur de Cloud public.
Lorsque vous ouvrez un compte Microsoft Azure, vous créez un nom d’utilisateur et
obtenez de Microsoft un URI et une clé d’accès. Lorsque vous configurez CloudPools
pour utiliser Azure, vous devez spécifier les mêmes URI, nom d’utilisateur et clé
d’accès.
Concepts de CloudPools
CloudPools est un module sous licence qui vous permet de déplacer des données de
fichiers de votre cluster Isilon vers le Cloud et de consulter ou de rappeler ces fichiers
lorsque vous en avez besoin. L’utilisation de CloudPools vous oblige à configurer les
comptes de stockage Cloud et les règles de pool de fichiers qui définissent les cibles
du stockage Cloud.
Vous pouvez configurer CloudPools pour transférer automatiquement des fichiers vers
le Cloud, en fonction des règles de pool de fichiers. Vous pouvez également utiliser
une commande OneFS pour archiver des fichiers individuels sur le Cloud ou pour
rappeler des fichiers à partir du Cloud.
CloudPools utilise un flux de travail similaire à celui de OneFS SmartPools. Pour
stocker des fichiers dans le Cloud, vous devez disposer d’au moins un compte auprès
d’un fournisseur de stockage Cloud. Vous devez également configurer OneFS pour un
stockage Cloud et créer des règles de pool de fichiers qui identifient et déplacent des
fichiers vers le Cloud.
Lorsque la tâche SmartPools s’exécute (généralement une fois par jour), les règles de
pool de fichiers sont exécutées et les fichiers mis en correspondance sont envoyés
vers la cible de stockage Cloud. Pour accéder aux données de fichiers stockées dans le
Cloud, vous pouvez ouvrir le fichier SmartLink qui leur est associé via n’importe quel
protocole pris en charge (SMB, NFS, Swift ou HDFS). C’est ce que l’on appelle un
« accès à la volée ». Pour rappeler entièrement un fichier à partir du Cloud, vous
pouvez émettre une commande isi cloud recall à partir de l’interface de ligne
de commande de OneFS.
Voici une description des principaux concepts de CloudPools :
Archive
Processus utilisé par CloudPools pour déplacement des données de fichier vers le
Cloud. Ce processus implique d’extraire les données du fichier et de les placer
dans un ou plusieurs objets de Cloud. CloudPools transfère alors ces objets vers le
stockage Cloud et laisse sur le cluster local un fichier représentatif appelé
SmartLink.
Rappel
Processus utilisé par CloudPools pour inverser le processus d’archivage. Lorsque
vous rappelez un fichier à partir du Cloud, CloudPools remplace le fichier
SmartLink en restaurant les données de fichier d’origine sur OneFS et en
supprimant les objets Cloud du stockage Cloud.
Fichier SmartLink
Pour chaque fichier archivé dans le Cloud, OneFS conserve un fichier SmartLink
associé sur le cluster. Un fichier SmartLink contient des métadonnées et des
informations de mappage afin que les données hébergées dans le Cloud puissent
être accessibles ou entièrement rappelées. Si la règle d’archivage d’un fichier
SmartLink l’autorise, l’accès au fichier SmartLink sur le cluster a
automatiquement pour effet de récupérer et mettre en cache les données à partir
du Cloud. Comme les autres fichiers, les fichiers SmartLink peuvent être
sauvegardés individuellement via NDMP ou synchronisés avec les autres clusters
à l’aide de SyncIQ. Lorsque les fichiers SmartLink sont récupérés à partir d’une
sauvegarde ou d’une opération SyncIQ, CloudPools conserve leurs liens avec les
données de fichier associés dans le Cloud.
CloudPool
Un CloudPool est une entité OneFS qui contient un compte de stockage Cloud
unique et fournit un canal entre OneFS et le référentiel de stockage Cloud. Au
moins un compte de stockage Cloud doit être disponible pour pouvoir créer un
CloudPool. Le compte de stockage Cloud doit être du même type que le
CloudPool.
Accès à la volée
Les CloudPools permettent aux utilisateurs qui se connectent à un cluster via les
protocoles pris en charge d’accéder aux données du Cloud en ouvrant les fichiers
SmartLink associés. Ce processus est appelé « accès à la volée ». Pour
l’utilisateur qui se connecte à OneFS via un protocole pris en charge, un fichier
SmartLink apparaît comme le fichier d’origine. Lorsque l’utilisateur ouvre un
fichier SmartLink, CloudPools récupère et met en cache localement les données
du Cloud. L’utilisateur peut afficher et modifier le fichier selon la procédure
habituelle. CloudPools récupère automatiquement toutes les données de fichiers
mises à jour et les renvoie au Cloud qui stockera ainsi la version la plus récente.
Remarque
Reportez-vous au chapitre SmartPools pour des informations complètes sur les règles
de pool de fichiers.
Lorsque vous spécifiez une règle de pool de fichiers, vous pouvez archiver des fichiers
à l’aide de l’interface d’administration Web OneFS ou de l’interface de ligne de
commande. Une règle de pool de fichiers qui archive les fichiers dans le Cloud doit
spécifier les informations suivantes :
l Fichiers à gérer : il peut s’agir de fichiers d’un certain type, de fichiers se trouvant
dans un chemin spécifié, ou encore de fichiers qui correspondent aux critères
spécifiés, tels que la taille, la date de création ou la date de dernière modification.
l Actions CloudPools : pool de stockage Cloud vers lequel envoyer des données de
fichier ; indique si les données doivent être compressées ou chiffrées.
Remarque
Le système
supprime (nettoie)
les objets de Cloud
lors de la
suppression de leurs
fichiers SmartLink et
toutes les
références locales.
Si un fichier
SmartLink a été
sauvegardé et que le
fichier SmartLink
d’origine est ensuite
supprimé, les objets
de Cloud associés
sont supprimés
seulement après
expiration de la
durée de rétention
du fichier SmartLink
sauvegardé.
no-cache
Lorsque no-
cache est
sélectionné, le
système ne met
pas en cache
les données
dans les
fichiers
SmartLink
associés à un
accès en
lecture, mais
les transfère à
l’application qui
y accède en
local. Si vous
écrivez des
données
consultées
lorsque ce
paramètre est
appliqué, le
système met en
cache vos
modifications.
Choisissez no-
cache si vous
souhaitez
limiter
l’utilisation des
ressources du
cluster.
Interface Interface de
d’administrati ligne de
on Web commande
Filename --name Inclut ou exclut des fichiers en fonction de leur nom.
Vous pouvez choisir d’inclure ou d’exclure des noms
partiels ou complets contenant un texte spécifique.
Les caractères génériques sont pris en charge.
Interface Interface de
d’administrati ligne de
on Web commande
File Type --file-type Inclut ou exclut des fichiers selon l’un des types d’objet
suivants du système de fichiers :
l Fichier standard
l Répertoire
l Autre
File Attribute --custom- Inclut ou exclut des fichiers en fonction d’un attribut
attribute personnalisé défini par l’utilisateur.
Remarque
Interface Interface de
d’administrati ligne de
on Web commande
Remarque
Vous pouvez rappeler des fichiers à partir du stockage Cloud uniquement à l’aide de la
commande CLI isi cloud recall. Vous pouvez rappeler des fichiers
individuellement par leur nom ou en spécifiant un chemin de répertoire entièrement
récursif.
Remarque
Lorsque vous utilisez la commande isi cloud recall pour rappeler un fichier à
partir d’un stockage Cloud, le fichier complet est restauré dans son répertoire
d’origine. Si la règle de pool de fichiers utilisée pour l’archivage initial du fichier dans le
Cloud est toujours valide, le fichier rappelé sera de nouveau archivé dans le Cloud lors
de la prochaine exécution de la tâche SmartPools. Si vous ne souhaitez pas réarchiver
le fichier rappelé, vous pouvez déplacer le fichier vers un autre répertoire qui ne sera
pas affecté par la règle de pool de fichiers. Vous pouvez également modifier ou
supprimer la règle.
Remarque
Interopérabilité de SyncIQ
SyncIQ vous permet de synchroniser les données entre votre cluster Isilon principal
(source) et un cluster secondaire (cible). Si votre cluster principal est indisponible,
vous pouvez basculer vers le cluster secondaire, et les utilisateurs peuvent continuer à
accéder aux données, y compris à celles stockées dans le Cloud.
Lors de la réplication SyncIQ, tous les fichiers, y compris les fichiers SmartLink, sont
copiés du cluster source vers le cluster cible. Les utilisateurs ayant accès au cluster
cible via les protocoles pris en charge peuvent récupérer les données de Cloud ou
entièrement rappeler les fichiers à partir du Cloud. Dans ce cas, CloudPools récupère
et met en cache les données (accès à la volée) ou rappelle le fichier complet
exactement comme il le ferait à partir du cluster source d’origine.
Règles SyncIQ
CloudPools prend en charge la réplication SyncIQ des fichiers SmartLink vers un ou
plusieurs clusters cibles. SyncIQ peut également servir à restaurer les fichiers
SmartLink sauvegardés vers leur cluster d’origine (source).
Les deux types de règles SyncIQ sont les règles de synchronisation et les règles de
copie. Ces règles peuvent être exécutées manuellement ou être configurées pour
s’exécuter automatiquement en fonction des paramètres de la règle.
CloudPools prend en charge les deux types de règles SyncIQ. Lorsque SyncIQ réplique
les fichiers SmartLink vers un cluster cible, les informations secondaires associées au
fichier SmartLink, telles que l’état du cache local et les données de cache
non synchronisées, sont également répliquées.
Si votre cluster source (principal) tombe en panne ou est indisponible pour une raison
quelconque, et que vous effectuiez un basculement sur incident vers votre cluster
secondaire, les utilisateurs peuvent continuer à accéder aux fichiers SmartLink et, par
conséquent, aux données de Cloud, comme ils le feraient normalement.
Si le basculement sur incident est temporaire et que vous prévoyiez de rétablir le
fonctionnement normal de votre cluster source, vous n’avez pas besoin d’activer
l’accès en écriture au Cloud sur le cluster secondaire. Toutes les modifications
apportées par les utilisateurs aux fichiers SmartLink sont stockées dans le cache local,
qui est limité uniquement par la quantité d’espace disponible sur votre cluster.
Lorsque vous effectuez un retour arrière vers le cluster source et que vous restaurez
les fichiers SmartLink mis à jour, CloudPools réécrit alors les modifications mises en
cache dans le Cloud.
ATTENTION
Remarque
Une opération SyncIQ qui force une copie profonde peut prendre beaucoup plus de
temps et consommer davantage de ressources système. Nous vous recommandons de
ne pas définir de copie profonde à moins d’avoir une bonne raison de le faire. Par
exemple, si vous sauvegardez des données du cluster principal vers un cluster
secondaire qui exécute une ancienne version (antérieure à la version 8.0) de OneFS,
vous devez utiliser la fonction de copie profonde. Si vous avez des doutes quant à
l’utilisation de la fonction de copie profonde, demandez conseil à un responsable de
compte EMC Isilon.
Remarque
Le fait d’autoriser l’archivage des fichiers ayant des versions de snapshot vous
empêche de gagner de l’espace sur le cluster local tant que les snapshots ne sont pas
supprimés. Certaines fonctions, telles que FSAnalyze, SyncIQ et la sauvegarde NDMP,
suppriment automatiquement les snapshots lorsqu’ils ne sont plus nécessaires. En
revanche, les snapshots créés avec SnapshotIQ ne sont pas supprimés
automatiquement. Pour libérer de l’espace sur votre cluster., nous vous
recommandons de supprimer régulièrement les anciens snapshots dont vous n’avez
plus besoin.
CloudPools prend également en charge SnapRevert pour les fichiers SmartLink. Par
exemple, supposons que CloudPools ait archivé un répertoire nommé /ifs/data/
images dans le Cloud. Les fichiers du répertoire images seraient remplacés par des
fichiers SmartLink.
CloudPools et SmartQuotas
L’administrateur peut imposer des limites de stockage aux utilisateurs à l’aide de
SmartQuotas. Dans ce cas, les utilisateurs doivent comprendre que le fait de rappeler
des données du Cloud risque potentiellement de les amener à dépasser ces limites.
Lorsque CloudPools archive des fichiers dans le stockage Cloud, il crée des fichiers
SmartLink dans le stockage local à la place des fichiers archivés. Les fichiers
SmartLink occupent généralement beaucoup moins d’espace de stockage que les
fichiers archivés qu’ils remplacent.
Lorsque les utilisateurs rappellent des fichiers archivés à partir du Cloud, les fichiers
complets remplacent les fichiers SmartLink dans le stockage local. Cela peut amener
les utilisateurs à dépasser leurs quotas. Par exemple, supposons que le quota d’un
utilisateur soit de 500 Mo et que les fichiers datant de plus de six mois soient archivés
dans le Cloud. L’utilisateur économise ainsi 250 Mo d’espace, car les fichiers
SmartLink occupent relativement peu d’espace de stockage local. Pendant ce temps,
l’utilisateur ajoute d’autres fichiers, si bien qu’il dispose désormais de plus de 400 Mo
de données dans le stockage local. Si jamais l’utilisateur rappelle des fichiers du Cloud
qui nécessitent plus de 100 Mo de stockage, il dépassera le quota.
En tant qu’administrateur de stockage, vous devez expliquer ce risque aux utilisateurs,
ainsi que la meilleure façon de résoudre le problème.
CloudPools et SmartDedupe
SmartDedupe analyse le système de fichiers OneFS en recherchant les fichiers qui
contiennent des blocs de données identiques. Si SmartDedupe détecte des doublons, il
déplace une seule copie des blocs vers un fichier masqué appelé « zone de stockage
en miroir ». SmartDedupe supprime ensuite les blocs en double des fichiers d’origine
et les remplace par des pointeurs vers la zone de stockage en miroir.
CloudPools interagit comme suit avec SmartDedupe :
l Si une règle de pool de fichiers spécifie que les fichiers dédupliqués doivent être
archivés dans le stockage Cloud, CloudPools les archive et laisse les fichiers
SmartLink à leur place dans le stockage local.
l Lorsqu’un fichier archivé qui avait été dédupliqué est rappelé du Cloud, le fichier
SmartLink est remplacé et le fichier rappelé qui est placé dans le stockage local
n’est plus dédupliqué.
l SmartDedupe ne déduplique pas les fichiers SmartLink.
Risque de corruption du fichier SmartLink lorsqu’il est copié d’un cluster à un autre
Si vous utilisez la commande scp (copie sécurisée) ou d’autres commandes de
copie pour copier un fichier SmartLink d’un cluster à un autre, le fichier SmartLink
obtenu est corrompu.
SMB Oplock
SMB Oplock (bail/notification) ne fonctionne pas dans les cas où vous créez un
fichier avec la balise SUPERCEDE et que ce fichier existe déjà et est archivé.
Logs CloudPools
Vous pouvez accéder aux logs CloudPools pour afficher l’activité et résoudre les
problèmes.
Les logs suivants sont disponibles dans OneFS pour CloudPools.
Provisioning /var/log/isi_papi_d.log
NDMP /var/log/isi_ndmp_d.log
SyncIQ /var/log/isi_migrate.log
Messages /var/log/messages
Messages /var/log/messages
Remarque
Vous devez obtenir la sortie suivante si le fichier spécifié est un fichier SmartLink
(stub) :
* Stubbed: True
Dans une configuration classique, le cluster Isilon est installé dans un datacenter
derrière un ou plusieurs pare-feu. Les ports qui permettent la communication avec
l’Internet public sont souvent fermés. Pour que CloudPools archive les données auprès
d’un fournisseur de Cloud public, il peut être configuré de façon à fonctionner avec un
serveur proxy.
CloudPools est compatible avec des serveurs proxy exécutant les protocoles suivants :
l SOCKS v4
l SOCKS v5
l HTTP
La configuration du côté CloudPools inclut la création du proxy réseau et la connexion
de ce dernier à un compte de stockage Cloud. Les protocoles SOCKS v5 et HTTP
peuvent tous deux être configurés avec ou sans authentification. SOCKS v4 ne prend
pas en charge l’authentification.
À partir de OneFS, vous pouvez également répertorier les proxys réseau, afficher leurs
propriétés, modifier les paramètres de proxy et supprimer des proxys. Vous devez
utiliser la CLI pour exécuter toutes les commandes de serveur proxy, à l’exception de
la connexion du proxy réseau à un compte de stockage Cloud.
Résultats
Lorsque, par la suite, vous créez ou modifiez un compte de stockage Cloud, le proxy
réseau myproxy1 est disponible. Lorsque vous sélectionnez le proxy et enregistrez les
modifications, CloudPools vérifie que la connexion au serveur proxy peut être
effectuée.
ID: 00505690602b8805a1570221dced3a85
Name: myproxy1
Host: 10.99.58.244
Type: socks_5
Port: 1080
Résultats
Vous pouvez à présent ajouter le proxy réseau à un compte de stockage Cloud.
Résultats
Si le proxy est déjà connecté à un compte de stockage Cloud dans CloudPools, OneFS
vous empêche de le supprimer. Dans le cas contraire, le proxy est supprimé.
c. Dans le champ URI, saisissez l’URI complet du compte. L’URI doit utiliser le
protocole HTTPS et correspondre à l’URI utilisé pour configurer le compte
auprès de votre fournisseur de Cloud.
d. Dans le champ User Name, saisissez le nom d’utilisateur du compte, qui doit
être identique à celui communiqué au fournisseur de Cloud ou indiqué par ce
dernier.
e. Dans le champ Key, saisissez le mot de passe du compte. Le mot de passe
doit être identique à celui que vous avez fourni au fournisseur de Cloud, ou à
la clé que vous a émise le fournisseur de Cloud.
f. Si vous avez déjà défini un ou plusieurs proxys réseau et que vous souhaitiez
en utiliser un pour ce compte Cloud, sélectionnez son nom dans la liste
déroulante Proxy.
g. Si vous créez un compte Amazon S3, vous devez également spécifier les
paramètres S3 Account ID, S3 Telemetry Reporting Bucket et S3
Storage Region.
4. Cliquez sur le bouton Connect Account.
La boîte de dialogue Create a Cloud Storage Account se ferme et le nouveau
compte Cloud s’affiche dans la liste Cloud Storage Accounts. Un compte
Cloud est représenté par une icône d’utilisateur orange. Le nom, le type, l’état,
le nom d’utilisateur et l’URI associés au compte s’affichent.
Gestion de CloudPools
Un CloudPool contient un ou plusieurs comptes de stockage Cloud. Il permet à OneFS
d’utiliser le stockage Cloud simplement comme un autre niveau de stockage disponible
sur le cluster.
Vous pouvez créer, afficher, modifier et surveiller les CloudPools.
Créer un CloudPool
Vous pouvez créer un CloudPool en tant que conteneur pour un ou plusieurs comptes
de stockage Cloud. Une règle de pool de fichiers peut pointer vers le CloudPool en
tant que cible de stockage des données dans le Cloud.
Procédure
1. Cliquez sur File System > Storage Pools > CloudPools.
2. Cliquez sur le bouton + Create a CloudPool.
3. Dans le champ Name de la boîte de dialogue Create a CloudPool, saisissez le
nom du CloudPool. Le nom doit être unique sur votre cluster.
4. Dans le menu déroulant Type, sélectionnez un type de comptes Cloud : EMC
Isilon, EMC ECS Appliance, Virtustream Storage Cloud,
Microsoft Azure ou Amazon S3.
5. Saisissez le fournisseur et la description du CloudPool.
6. Dans la liste Account in CloudPool, sélectionnez le compte de stockage Cloud
que ce CloudPool doit contenir. Cette liste est vide jusqu’à ce que vous
sélectionniez une valeur dans la liste Type. Ensuite, la liste Account in
CloudPool affiche uniquement les comptes de stockage Cloud qui
correspondent à ce type, par exemple Azure.
7. Cliquez sur Create a CloudPool.
La boîte de dialogue se ferme et la liste CloudPools fait apparaître le nouveau
CloudPool ainsi que son type, son état, son fournisseur et sa description.
La boîte de dialogue View Cloud Storage Pool Details affiche des informations
sur le CloudPool.
3. Cliquez sur Close pour fermer la boîte de dialogue.
Modifier un CloudPool
Vous pouvez modifier certains des paramètres associés à un CloudPool.
Procédure
1. Cliquez sur File System > Storage Pools > CloudPools.
Dans la liste CloudPools, chaque CloudPool est représenté par une icône en
forme de nuage bleu. Le compte Cloud associé à chaque CloudPool est
répertorié et représenté par une icône d’utilisateur orange. Le type, le
fournisseur et la description sont également indiqués.
2. Cliquez sur View/Edit à droite du CloudPool que vous souhaitez modifier.
La boîte de dialogue View Cloud Storage Pool Details s’affiche.
3. Cliquez sur le bouton Edit CloudPool.
La boîte de dialogue Edit CloudPool Details s’affiche.
4. Modifiez le nom, le fournisseur ou la description comme il convient.
5. Dans la liste déroulante Account in CloudPool, sélectionnez un autre compte du
même type.
6. Cliquez sur le bouton Save Changes.
7. Dans la boîte de dialogue View Cloud Storage Pool Details, cliquez sur Close.
Résultats
Toutes les modifications apportées au CloudPool sont reflétées dans la liste
CloudPools.
Surveillance de CloudPools
Vous pouvez surveiller l’intégrité des CloudPools configurés sur votre cluster.
Procédure
1. Cliquez sur File System > Storage Pools > Summary.
2. Dans la liste Status, vérifiez l’état des CloudPools.
Il existe deux conditions d’état : Good et Needs Attention. L’état Needs
Attention s’affiche lorsqu’un CloudPool ne peut pas se connecter au
fournisseur Cloud distant. Cela peut indiquer des problèmes de connexion
Internet ou avec le fournisseur de Cloud. Si vous confirmez que votre connexion
Internet est bonne, contactez votre fournisseur de Cloud pour plus
d’informations.
En définissant des règles de pool de fichiers, vous pouvez faire en sorte que OneFS
archive automatiquement les fichiers dans le Cloud lorsqu’ils correspondent à
certaines caractéristiques (par exemple, âge, taille, type ou emplacement).
Afficher ou modifier les paramètres par défaut de la règle de pool de fichiers 537
CloudPools
que vous spécifiez sont utilisés par OneFS afin de déterminer les fichiers à
archiver. Les critères de sélection de fichier que vous spécifiez peuvent inclure
les attributs suivants, lesquels sont combinés à des opérateurs booléens :
l Filename
l Path
l File Type
l File Attribute
l Modified
l Accessed
l Metadata Changed
l Created
l Size
5. Dans la zone Apply CloudPools Actions to Selected Files, sélectionnez Move
to cloud storage.
6. Dans le menu déroulant CloudPool Storage Target, sélectionnez un CloudPool
existant et indiquez si vous souhaitez chiffrer et compresser les données avant
leur archivage sur le Cloud.
7. Cliquez sur Show Advanced CloudPool Settings pour spécifier des options de
stockage Cloud supplémentaires, comme décrit dans le tableau suivant :
Paramètre Description
Data l Cloud Data Retention Period : spécifie la durée pendant
Retention laquelle les objets de Cloud sont conservés après la
Settings suppression d’un fichier SmartLink. Lorsqu’un fichier
SmartLink est supprimé sur le cluster local, CloudPools
nettoie les ressources locales allouées aux fichiers
SmartLink et supprime également les objets de Cloud
associés. Cette tâche est effectuée une fois par semaine
par la tâche de nettoyage de mémoire des objets de Cloud.
l Incremental Backup Retention Period for NDMP
Incremental Backup and SyncIQ : spécifie la période de
rétention des sauvegardes pour les fichiers SmartLink
créés avec une règle de sauvegarde NDMP incrémentielle
ou une règle SyncIQ. Cette valeur s’applique uniquement
aux sauvegardes NDMP incrémentielles et à la réplication
SyncIQ.
l Full Backup Retention Period for NDMP Only : spécifie la
période de rétention des sauvegardes pour les fichiers
SmartLink créés avec une règle de sauvegarde NDMP
complète. Cette valeur s’applique uniquement aux
sauvegardes NDMP complètes.
Paramètre Description
Archive files Indique que CloudPools doit archiver les fichiers qui ont une ou
with plusieurs versions de snapshot. Les dernières versions de ces
snapshots fichiers sont créées puis archivées, et les fichiers SmartLink
restent à leur place sur le cluster local. Étant donné que les
versions complètes de snapshot des fichiers sont conservées
sur le cluster, l’archivage de ces fichiers ne permet pas
d’économiser de l’espace sur le cluster.
Modifier les attributs de Cloud dans une règle de pool de fichiers 539
CloudPools
Résultats
Les modifications apportées à la règle de pool de fichiers sont appliquées lors de la
prochaine exécution de la tâche système SmartPools.
Remarque
Pour démarrer une tâche du moteur de tâches, vous devez disposer du rôle
SystemAdmin au sein du système OneFS.
AVScan Exécute une analyse antivirus de tous les Aucune Basse 6 Manuelle
fichiers.
ChangelistCreate Crée une liste de modifications entre deux Aucune Basse 5 Manuelle
snapshots présentant des chemins d’accès
racine semblables. Vous pouvez spécifier
ces snapshots à partir de la CLI.
Collect Récupère l’espace disponible qui n’a pas pu Marquage Basse 4 Manuelle
être libéré auparavant en raison d’une
indisponibilité du nœud ou du disque. Est
exécutée dans le cadre de MultiScan, ou
automatiquement par le système lorsqu’un
périphérique intègre (ou réintègre) le
cluster.
Remarque
MediaScan Localise les erreurs au niveau des médias sur Nouvelle Basse 8 Planifiée
les disques et les supprime afin de garantir la répartition
protection de toutes les données.
QuotaScan* Met à jour le décompte des quotas pour les Aucune Basse 6 Manuelle
domaines créés sur une arborescence de
fichiers existante. Disponible uniquement si
vous activez une licence SmartQuotas. Il
convient d’exécuter cette tâche
manuellement en dehors des heures de
travail après avoir configuré tous les quotas,
puis chaque fois que de nouveaux quotas
sont définis.
SetProtectPlus Applique une règle de fichier par défaut à Nouvelle Basse 6 Manuelle
l’ensemble du cluster. S’exécute uniquement répartition
si aucune licence SmartPools n’est activée.
Remarque
WormQueue Traite la file d’attente WORM, qui analyse Aucune Basse 6 Planifiée
les temps de validation des fichiers à l’état
WORM. Une fois qu’un fichier est validé à
l’état WORM, il est supprimé de la file
d’attente.
Notez que MultiScan est membre à la fois des ensembles d’exclusion de rembobinage
et de marquage. Vous ne pouvez pas modifier le paramètre d’ensemble d’exclusion
d’un type de tâche.
Le moteur de tâches est également sensible à la priorité des tâches. Il peut exécuter
jusqu’à trois tâches simultanément, quel que soit leur niveau de priorité. La priorité de
la tâche est représentée par un chiffre allant de 1 à 10, 1 étant la priorité la plus élevée
et 10 la priorité la plus faible. Le système utilise la priorité des tâches en cas de conflit
entre les tâches exécutées ou en attente. Par exemple, si vous démarrez
manuellement une tâche qui a une priorité plus élevée que trois autres tâches déjà en
cours d’exécution, le moteur de tâches suspend la tâche active de plus faible priorité,
exécute la nouvelle tâche, puis redémarre la tâche plus ancienne au point auquel elle a
été interrompue. De même, si vous démarrez une tâche dans l’ensemble d’exclusion de
rembobinage alors qu’une autre tâche de rembobinage est en cours, le système utilise
les priorités pour déterminer quelle tâche doit être exécutée (ou doit continuer de
s’exécuter) et quelle tâche doit être (ou rester) interrompue.
D’autres paramètres de tâche permettent de déterminer si les tâches sont activées,
leur impact sur les performances et leur planning d’exécution. En tant
qu’administrateur système, vous pouvez accepter les paramètres par défaut de la
tâche ou les modifier (à l’exception de l’ensemble d’exclusion) en fonction de vos
besoins.
Lorsqu’une tâche démarre, le moteur de tâches en distribue les segments (phases et
opérations) entre les différents nœuds du cluster. Un nœud agit comme un
coordinateur de tâche et collabore en permanence avec les autres nœuds pour
équilibrer la charge. De cette manière, aucun nœud n’est surchargé et les ressources
système restent disponibles pour d’autres activités d’administration et d’E/S système
qui ne sont pas déclenchées par le moteur de tâches.
Au terme de l’exécution d’une tâche, chaque nœud rend compte de l’état de celle-ci
au coordinateur de la tâche. Le nœud qui agit comme un coordinateur de tâche
enregistre ces informations d’état dans un fichier de point de contrôle. Par
conséquent, en cas de panne d’alimentation ou d’interruption de la tâche, cette
dernière peut toujours être redémarrée à partir du point auquel elle a été interrompue.
Cet aspect est d’autant plus important que certaines tâches peuvent durer plusieurs
heures et utiliser des ressources système considérables.
Si, pour une tâche, vous préférez utiliser une règle d’impact autre que celles définies
par défaut, vous pouvez créer une règle personnalisée avec de nouveaux paramètres.
Les tâches associées à une règle d’impact LOW ont le moins d’impact sur les
ressources de CPU et d’E/S disque disponibles. Les tâches associées à une règle
d’impact HIGH ont un impact sensiblement plus élevé. Dans tous les cas, cependant, le
moteur de tâches utilise des algorithmes de régulation du CPU et des disques pour
octroyer une priorité plus élevée aux tâches que vous déclenchez manuellement ainsi
qu’aux autres tâches d’E/S non liées au moteur de tâches.
Remarque
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Summary.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Impact Policies.
2. Cliquez sur Add an Impact Policy.
La fenêtre Create Impact Policy s’affiche.
3. Dans le champ de texte Name, saisissez le nom de la règle. Ce champ est
obligatoire.
4. (Requis) Dans le champ de texte Description, saisissez un commentaire sur la
règle d’impact.
Incluez des informations spécifiques concernant la règle d’impact, telles que des
paramètres de planning ou des exigences logistiques uniques qui rendent cette
règle nécessaire.
Option Description
Policy description a. Dans le champ Description, saisissez une nouvelle
description de la règle d’impact.
b. Cliquez sur Submit.
Procédure
1. Cliquez sur Cluster Management > Job Operations > Job Types.
Le tableau Job Types s’affiche.
2. Si nécessaire, parcourez le tableau Job Types pour trouver une tâche
particulière.
Les paramètres de règle d’impact de la tâche s’affichent dans le tableau Job
Types.
Externe
Les clients se connectent au cluster via le réseau externe par Ethernet. Le cluster
Isilon prend en charge les protocoles de communication réseau standard, à savoir
NFS, SMB, HDFS, HTTP et FTP. Le cluster comprend plusieurs connexions
Ethernet externes, ce qui offre une réelle flexibilité pour une large gamme de
configurations réseau.
ATTENTION
Seuls des nœuds Isilon doivent être connectés à votre switch InfiniBand. Les
informations échangées sur le réseau back-end ne sont pas chiffrées. La
connexion d’éléments autres que des nœuds Isilon au switch InfiniBand crée un
risque en matière de sécurité.
Bien que tous les clusters disposent, au minimum, d’un réseau InfiniBand interne (int-
a), vous pouvez activer un second réseau interne pour prendre en charge un autre
switch InfiniBand avec une fonction de basculement sur incident du réseau (int-b/
failover). Vous devez attribuer au moins une plage d’adresses IP pour le réseau
secondaire et une plage pour le basculement sur incident.
Si les plages d’adresses IP définies lors de la configuration initiale sont trop restrictives
au regard de la taille du réseau interne, vous pouvez ajouter des plages aux réseaux
int-a ou int-b/failover, ce qui risque de nécessiter un redémarrage du cluster. D’autres
modifications de configuration, telles que la suppression d’une adresse IP attribuée à
un nœud, requièrent également un redémarrage du cluster.
Réseaux de groupe
Les réseaux de groupe résident au niveau supérieur de la hiérarchie de mise en réseau.
Ils correspondent au niveau de configuration permettant la gestion de plusieurs
tenants sur votre réseau externe. Les paramètres du client DNS, tels que les serveurs
de noms et la liste de recherche DNS, sont des propriétés du réseau de groupe. Vous
pouvez créer un réseau de groupe distinct pour chaque espace de nommage DNS que
vous souhaitez utiliser pour attribuer à certaines parties du cluster Isilon des
propriétés de mise en réseau différentes pour la résolution de noms. Chaque réseau de
groupe gère son propre cache DNS, qui est activé par défaut.
Un réseau de groupe est un conteneur qui inclut les sous-réseaux, les pools
d’adresses IP et les règles de provisionnement. Les réseaux de groupe peuvent
contenir un ou plusieurs sous-réseaux, et chaque sous-réseau est attribué à un seul
réseau de groupe. Chaque cluster EMC Isilon contient un réseau de groupe par défaut
nommé groupnet0 qui contient un sous-réseau initial nommé subnet0, un pool
d’adresses IP initial nommé pool0 et une règle de provisionnement initiale nommée
rule0.
Chaque réseau de groupe est référencé par une ou plusieurs zones d’accès. Lorsque
vous créez une zone d’accès, vous pouvez spécifier un réseau de groupe. Si aucun
réseau de groupe n’est spécifié, la zone d’accès fait référence à celui par défaut. La
zone d’accès System par défaut est automatiquement associée au réseau de groupe
par défaut. Les fournisseurs d’authentification qui communiquent avec un serveur
externe, tel qu’Active Directory et LDAP, doivent également faire référence à un
réseau de groupe. Vous pouvez définir le fournisseur d’authentification avec un réseau
de groupe spécifique. Dans le cas contraire, le fournisseur fait référence au réseau de
groupe par défaut. Vous ne pouvez ajouter un fournisseur d’authentification à une
zone d’accès que s’ils sont associés au même réseau de groupe. Les protocoles
clients, tels que SMB, NFS, HDFS et Swift, sont pris en charge par les réseaux de
groupe via les zones d’accès qui leur sont associées.
Sous-réseaux
Les sous-réseaux sont des conteneurs de mise en réseau qui vous permettent de
subdiviser votre réseau en de plus petits réseaux IP logiques.
Sur un cluster EMC Isilon, les sous-réseaux sont créés sous un réseau de groupe et
chaque sous-réseau contient un ou plusieurs pools d’adresses IP. Les adresses IPv4 et
IPv6 sont prises en charge par OneFS. Toutefois, un sous-réseau ne peut pas contenir
une combinaison des deux. Lorsque vous créez un sous-réseau, vous indiquez s’il
prend en charge les adresses IPv4 ou IPv6.
Vous pouvez configurer les options suivantes lorsque vous créez un sous-réseau :
l serveurs de passerelle qui acheminent les paquets sortants et priorité de
passerelle ;
l MTU utilisée par les interfaces réseau du sous-réseau pour les communications
réseau ;
l adresse du service SmartConnect, qui est l’adresse IP sur laquelle le module
SmartConnect écoute les demandes DNS sur ce sous-réseau ;
l balisage VLAN permettant à un cluster de participer à plusieurs réseaux virtuels ;
l adresse DSR (Direct Server Return) si votre cluster Isilon contient un switch
externe d’équilibrage de la charge matérielle qui utilise DSR.
La manière dont vous installez vos sous-réseaux de réseau externe dépend de la
topologie de votre réseau. Par exemple, dans une topologie réseau de base dans
laquelle toutes les communications entre les clients et les nœuds s’effectuent par
l’intermédiaire de connexions directes, un seul sous-réseau externe est requis. Dans un
autre exemple, si vous souhaitez que les clients se connectent via des adresses IPv4 et
IPv6, vous devez configurer plusieurs sous-réseaux.
Sous-réseaux 561
Gestion réseau
Vous pouvez configurer le cluster Isilon pour le format IPv4, IPv6 ou les deux (double
pile) dans OneFS. Vous définissez le type IP lorsque vous créez un sous-réseau. Tous
les pools d’adresses IP affectés au sous-réseau doivent utiliser le format sélectionné.
Réseaux VLAN
Le balisage de LAN virtuel (VLAN) est un paramètre facultatif qui permet à un cluster
EMC Isilon de participer à plusieurs réseaux virtuels.
Vous pouvez partitionner un réseau physique en plusieurs domaines de diffusion, ou
réseaux VLAN. Vous pouvez activer un cluster afin qu’il participe à un VLAN, ce qui
permet la prise en charge de plusieurs sous-réseaux de cluster sans nécessiter
plusieurs switches réseau : un seul switch physique permet de créer plusieurs sous-
réseaux virtuels.
Le balisage VLAN insère un ID dans les en-têtes des paquets. Le switch se réfère à cet
ID pour identifier le VLAN d’origine du paquet et l’interface réseau à laquelle le paquet
doit être envoyé.
Pools d’adresses IP
Les pools d’adresses IP sont attribués à un sous-réseau et se composent d’une ou
plusieurs plages d’adresses IP. Vous pouvez partitionner les nœuds et les interfaces
réseau dans des pools logiques d’adresses IP. Les pools d’adresses IP sont également
utilisés lors de la configuration des zones DNS SmartConnect et de la gestion des
connexions client.
Chaque pool d’adresses IP appartient à un sous-réseau unique. Un même sous-réseau
ne peut avoir plusieurs pools que si vous activez une licence SmartConnect Advanced.
Les plages d’adresses IP attribuées à un pool doivent être uniques et appartenir à la
famille d’adresses IP (IPv4 ou IPv6) spécifiée par le sous-réseau contenant le pool.
Vous pouvez ajouter des interfaces réseau aux pools d’adresses IP pour associer des
plages d’adresses à un nœud ou à un groupe de nœuds. Par exemple, en fonction du
trafic réseau prévu, vous pouvez décider d’établir un pool d’adresses IP pour les
nœuds de stockage et un autre pour les nœuds d’accélérateur.
Les paramètres SmartConnect qui gèrent les réponses aux requêtes DNS et les
connexions client sont configurés au niveau du pool d’adresses IP.
Remarque
IsilonSD Edge ne prend pas en charge les adresses IPv6 pour la connexion aux clusters
IsilonSD.
Agrégation de liens
L’agrégation de liens, également connue sous le nom d’agrégation de cartes réseau,
combine les interfaces réseau d’un nœud physique en une seule connexion logique afin
d’améliorer le débit du réseau.
Vous pouvez ajouter des interfaces réseau à un pool d’adresses IP séparément ou sous
la forme d’un agrégat. Un mode d’agrégation de liens est sélectionné pour chaque pool
et s’applique à toutes les interfaces réseau agrégées dans le pool d’adresses IP. Le
mode d’agrégation de liens détermine la manière dont le trafic est équilibré et
acheminé entre les interfaces réseau agrégées.
Module SmartConnect
SmartConnect est un module qui spécifie la manière dont le serveur DNS du cluster
EMC Isilon gère les demandes de connexion émanant des clients, ainsi que les règles
utilisées pour attribuer des adresses IP aux interfaces réseau, notamment le
basculement sur incident et le rééquilibrage.
Les règles et les paramètres configurés pour SmartConnect sont appliqués par pool
d’adresses IP. Vous pouvez configurer les paramètres de base et avancés de
SmartConnect.
SmartConnect Basic
SmartConnect Basic est fourni avec OneFS en tant que fonction standard et ne
nécessite pas de licence. SmartConnect Basic prend en charge les paramètres
suivants :
l Spécification de la zone DNS
l Méthode d’équilibrage des connexions par permutation circulaire uniquement
l Sous-réseau de service pour répondre aux demandes DNS
SmartConnect Basic impose les limitations suivantes à la configuration du pool
d’adresses IP :
l Vous pouvez uniquement spécifier une règle d’allocation d’adresse IP statique.
l Vous ne pouvez pas spécifier de règle de basculement sur incident des
adresses IP.
l Vous ne pouvez pas spécifier de règle de rééquilibrage des adresses IP.
l Vous pouvez uniquement attribuer un seul pool d’adresses IP par sous-réseau de
réseau externe.
SmartConnect Advanced
SmartConnect Advanced étend les paramètres disponibles dans SmartConnect Basic.
Il nécessite une licence active. SmartConnect Advanced prend en charge les
paramètres suivants :
l Permutation circulaire, utilisation du CPU, comptabilisation des connexions et
méthodes d’équilibrage du débit.
l Allocation d’adresses IP statiques et dynamiques.
SmartConnect Advanced vous permet de définir les options de configuration de pools
d’adresses IP suivantes :
l Vous pouvez définir une règle de basculement sur incident des adresses IP du pool.
l Vous pouvez définir une règle de rééquilibrage des adresses IP du pool.
l SmartConnect Advanced prend en charge plusieurs pools d’adresses IP par sous-
réseau externe afin d’autoriser plusieurs zones DNS dans un même sous-réseau.
Remarque
Allocation d’adresses IP
La règle d’allocation d’adresse IP spécifie la manière dont les adresses IP du pool sont
attribuées à une interface réseau disponible.
Vous avez le choix entre une allocation statique ou dynamique.
Static
Cette méthode attribue une adresse IP à chaque interface réseau ajoutée au pool
d’adresses IP, mais elle ne garantit pas que toutes les adresses IP sont attribuées.
Une fois l’adresse IP allouée, l’interface réseau la conserve indéfiniment , même si
elle devient indisponible. Pour libérer l’adresse IP, supprimez l’interface réseau du
pool ou du nœud.
En l’absence d’une licence SmartConnect Advanced, la méthode statique est la
seule disponible pour l’allocation d’adresses IP.
Dynamic
Cette méthode attribue des adresses IP à chaque interface réseau ajoutée au pool
d’adresses IP jusqu’à ce que toutes les adresses IP soient attribuées. Cela garantit
une réponse lorsque des clients se connectent à une adresse IP du pool.
Si une interface réseau devient indisponible, ses adresses IP sont
automatiquement déplacées vers d’autres interfaces réseau disponibles dans le
pool, comme le détermine la règle de basculement sur incident des adresses IP.
Cette méthode est uniquement disponible dans le cadre d’une licence
SmartConnect Advanced.
Nombre de connexions
Détermine le nombre de connexions TCP ouvertes sur chaque interface réseau
disponible et sélectionne l’interface réseau comportant le moins de connexions
client.
Débit du réseau
Détermine le débit moyen sur chaque interface réseau disponible et sélectionne
l’interface réseau dont la charge est la plus faible.
Utilisation du CPU
Détermine l’utilisation moyenne du CPU sur chaque interface réseau disponible et
sélectionne l’interface réseau dont l’utilisation du processeur est la plus faible.
Automatic
Redistribue automatiquement les adresses IP conformément à la méthode
d’équilibrage des connexions spécifiée par la règle de basculement sur incident
des adresses IP définie pour le pool d’adresses IP.
Le rééquilibrage automatique peut également être déclenché par des
modifications apportées aux nœuds de cluster, aux interfaces réseau ou à la
configuration du réseau externe.
Remarque
Options de routage
OneFS prend en charge le routage basé sur la source ainsi que les routes statiques, qui
garantissent un contrôle plus granulaire du sens du trafic client sortant sur le cluster
EMC Isilon.
Si aucune option de routage n’est définie, par défaut, le trafic client sortant sur le
cluster est acheminé via la passerelle par défaut, c’est-à-dire la passerelle la moins
prioritaire du nœud. Si le trafic est acheminé vers un sous-réseau local et n’a pas
besoin de transiter par une passerelle, il est directement acheminé via une interface de
ce sous-réseau.
Routage statique
Une route statique achemine le trafic client sortant vers une passerelle spécifiée en
fonction de l’adresse IP de la connexion client.
Vous pouvez configurer les routes statiques par pool d’adresses IP. Chaque route
s’applique à tous les nœuds ayant des interfaces réseau qui appartiennent à ce pool
d’adresses IP.
Vous pouvez configurer le routage statique pour établir une connexion aux réseaux
indisponibles en utilisant les routes par défaut ou si vous possédez un petit réseau qui
ne nécessite qu’une ou deux routes.
Remarque
Si vous avez effectué une mise à niveau depuis une version inférieure à OneFS 7.0.0,
les routes statiques existantes qui ont été ajoutées à l’aide de scripts rc ne
fonctionnent plus et doivent être recréées.
Remarque
Ignorez cette étape si vous spécifiez les paramètres de réseau interne pour
IsilonSD Edge.
Dans l’idéal, la nouvelle plage est contiguë à la précédente. Par exemple, si votre
plage d’adresses IP actuelle est 192.168.160.60 - 192.168.160.162, la nouvelle
plage doit commencer par 192.168.160.163.
4. Cliquez sur Submit.
5. Redémarrez le cluster, si nécessaire.
l Si vous supprimez une adresse IP qui est en cours d’utilisation, vous devez
redémarrer le cluster.
l Si vous modifiez des adresses IP dans le masque de réseau interne, il est
inutile de redémarrer le cluster.
l Si vous modifiez le masque de réseau interne, vous devez redémarrer le
cluster.
l Si vous migrez les plages d’adresses IP, vous devez redémarrer le cluster.
Remarque
Pour que les modifications apportées à la valeur du masque de réseau prennent effet,
vous devez redémarrer le cluster.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > Internal
Network.
2. Dans la zone Internal Network Settings, sélectionnez le réseau pour lequel
vous voulez configurer le masque de réseau.
l Pour sélectionner le réseau int-a, cliquez sur int-a.
l Pour sélectionner le réseau int-b/de basculement sur incident, cliquez sur
int-b/Failover.
Remarque
Procédure
1. Cliquez sur Cluster Management > Network Configuration > Internal
Network.
2. Dans la zone Internal Network Settings, cliquez sur int-b/Failover.
3. Dans la zone State, cliquez sur Disable.
4. Cliquez sur Envoyer.
La boîte de dialogue Confirm Cluster Reboot s’affiche.
5. Redémarrez le cluster en cliquant sur Yes.
Paramètres DNS
Vous pouvez attribuer des serveurs DNS à un réseau de groupe et modifier les
paramètres DNS qui définissent le comportement du serveur DNS.
Paramètre Description
DNS Servers Dresse la liste des adresses IP DNS. Les
nœuds envoient des demandes DNS à ces
adresses IP.
Vous ne pouvez pas spécifier plus de trois
serveurs DNS.
Enable DNS server-side search Spécifie si la recherche DNS côté serveur est
activée, ce qui ajoute les listes de recherche
DNS aux demandes DNS du client gérées par
une adresse IP du service SmartConnect.
Créer un sous-réseau
Vous pouvez ajouter un sous-réseau au réseau externe. Les sous-réseaux sont créés
sous un groupnet.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur More > Add Subnet en regard du réseau de groupe qui contiendra le
nouveau sous-réseau.
La fenêtre Create Subnet s’affiche.
3. Dans le champ Name, indiquez le nom du nouveau sous-réseau.
Ce nom peut comporter jusqu’à 32 caractères alphanumériques et inclure des
traits de soulignement ou des tirets, mais aucun espace ou autre signe de
ponctuation.
4. (Facultatif) Dans le champ Description, saisissez un commentaire descriptif sur
le sous-réseau.
Le commentaire ne doit pas comporter plus de 128 caractères.
5. Dans la zone IP Family, sélectionnez l’un des formats d’adresse IP suivants
pour le sous-réseau :
l IPv4
l IPv6
Remarque
Le format d’adresse IPv6 n’est pas pris en charge pour IsilonSD Edge.
Remarque
Modifier un sous-réseau
Vous pouvez modifier un sous-réseau sur le réseau externe.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur View/Edit en regard du sous-réseau que vous souhaitez modifier.
Le système affiche la fenêtre View Subnet Details.
3. Cliquez sur Edit.
Supprimer un sous-réseau
Vous pouvez modifier un sous-réseau à partir du réseau externe.
La suppression d’un sous-réseau qui est en cours d’utilisation peut empêcher l’accès
au cluster EMC Isilon. Les connexions client au cluster via n’importe quel pool
d’adresses IP appartenant au sous-réseau supprimé sont interrompues.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Cliquez sur More > Delete Subnet en regard du sous-réseau que vous souhaitez
supprimer.
3. À l’invite de confirmation, cliquez sur Delete.
Procédure
1. Cliquez sur Cluster Management > Network Configuration > External
Network.
2. Click More > Add Pool en regard du sous-réseau qui contiendra le nouveau pool
d’adresses IP.
La fenêtre Create Pool s’affiche.
3. Dans le champ Name, indiquez le nom du nouveau pool d’adresses IP.
Ce nom peut comporter jusqu’à 32 caractères alphanumériques et inclure des
traits de soulignement ou des tirets, mais aucun espace ou autre signe de
ponctuation.
4. (Facultatif) Dans le champ Description, saisissez un commentaire descriptif sur
le pool d’adresses IP.
Le commentaire ne doit pas comporter plus de 128 caractères.
5. Dans la liste Access Zone, sélectionnez la zone d’accès que vous souhaitez
associer au pool d’adresses IP.
Les clients qui se connectent à ce pool via des adresses IP peuvent accéder aux
données uniquement dans la zone d’accès associée.
6. Dans la zone IP Range, saisissez une plage d’adresses IP que vous souhaitez
attribuer au pool d’adresses IP dans les champs indiqués.
Spécifiez la plage au format suivant : <lower_ip_address>–
<higher_ip_address>.
7. Cliquez sur Add Pool.
2. Cliquez sur More > Delete Pool en regard du pool d’adresses IP que vous
souhaitez supprimer.
3. À l’invite de confirmation, cliquez sur Delete.
Dynamic
Cette méthode attribue des adresses IP à chaque interface réseau ajoutée au pool
d’adresses IP jusqu’à ce que toutes les adresses IP soient attribuées. Cela garantit
une réponse lorsque des clients se connectent à une adresse IP du pool.
Si une interface réseau devient indisponible, ses adresses IP sont
automatiquement déplacées vers d’autres interfaces réseau disponibles dans le
pool, comme le détermine la règle de basculement sur incident des adresses IP.
Cette méthode est uniquement disponible dans le cadre d’une licence
SmartConnect Advanced.
l SMB Static
l HTTP
l FTP
l sFTP
l FTPS
l SyncIQ
l Swift
l NFSv3 Dynamic
l NFSv4
l HDFS
Remarque
Nombre de connexions
Détermine le nombre de connexions TCP ouvertes sur chaque nœud disponible et
sélectionne le nœud comportant le moins de connexions client.
Débit du réseau
Détermine le débit moyen sur chaque nœud disponible et sélectionne le nœud
dont la charge d’interface réseau est la plus faible.
Utilisation du CPU
Détermine l’utilisation moyenne du CPU sur chaque nœud disponible et
sélectionne le nœud dont l’utilisation du processeur est la plus faible.
Automatique
Redistribue automatiquement les adresses IP conformément à la méthode
d’équilibrage des connexions spécifiée par la règle de basculement sur incident
des adresses IP définie pour le pool d’adresses IP.
Le rééquilibrage automatique peut également être déclenché par des
modifications apportées aux nœuds de cluster, aux interfaces réseau ou à la
configuration du réseau externe.
Remarque
LoadBalance (FEC)
Méthode d’agrégation statique qui accepte tout le trafic entrant et équilibre le
trafic sortant sur les interfaces agrégées, en fonction des informations d’en-tête
hachées de protocole comprenant des adresses source et de destination.
Round-robin
Mode d’agrégation statique qui permet la rotation des connexions sur les
différents nœuds selon une séquence « premier entré, premier sorti », traitant
tous les processus sans priorité. Équilibre le trafic sortant sur tous les ports actifs
de la liaison agrégée et accepte le trafic entrant sur n’importe quel port.
Remarque
Il est déconseillé de choisir cette méthode si votre cluster EMC Isilon utilise des
charges applicatives TCP/IP.
Remarque
Dans le cas d’IsilonSD Edge, le type de nœud doit être le même dans un cluster
IsilonSD donné. Par conséquent, l’option Node Type ne s’applique pas à
IsilonSD Edge.
Paramètre Description
TTL No Error Minimum Spécifie la limite minimale de durée de vie
pour les opérations de cache réussies.
La valeur par défaut est de 30 secondes.
Paramètre Description
TTL Non-existent Domain Minimum Spécifie la limite minimale de durée de vie
pour nxdomain.
La valeur par défaut est de 15 secondes.
TTL Lower Limit For Server Failures Spécifie la limite minimale de durée de vie
pour les pannes de serveur DNS.
La valeur par défaut est de 300 secondes.
TTL Upper Limit For Server Failures Spécifie la limite maximale de durée de vie
pour les pannes de serveur DNS.
La valeur par défaut est de 3 600 secondes.
c. (Facultatif) Cliquez sur Add another port pour spécifier des numéros de
port supplémentaires.
d. Cliquez sur Add Ports.
3. Pour supprimer un port TCP, dans le tableau TCP Ports, cliquez sur le bouton
Remove en regard du port que vous souhaitez supprimer.
4. Cliquez sur Save Changes.
Hadoop 595
Hadoop
Présentation de Hadoop
Hadoop est une plate-forme Open Source qui applique des fonctions d’analytique à
des Datasets volumineux sur un système de fichiers distribué.
Dans une implémentation Hadoop sur un cluster EMC Isilon, OneFS agit en tant que
système de fichiers distribué et HDFS est pris en charge en tant que protocole natif.
Les clients d’un cluster Hadoop se connectent au cluster Isilon au moyen du protocole
HDFS pour gérer et traiter les données.
La prise en charge de Hadoop sur le cluster nécessite l’activation d’une licence HDFS.
Pour obtenir une licence, contactez un responsable de compte EMC Isilon.
Architecture Hadoop
Hadoop se compose d’une couche de traitement des données et d’une couche de
stockage.
Dans une implémentation Hadoop classique, les deux couches existent dans le même
cluster.
Couche de traitement
YARN est le moteur de traitement de tâches de la couche de traitement Hadoop.
Il exécute diverses tâches (également appelées applications), ou requêtes, sur de
grands Datasets, et extrait les informations. YARN dépend des composants clés
suivants :
ResourceManager
Autorité globale qui alloue des ressources (CPU, mémoire, disques, réseau) à
NodeManagers, et planifie les tâches en fonction des besoins en ressources.
NodeManager
Composant de niveau nœud qui exécute des tâches et surveille la consommation
des ressources de la tâche.
Couche de stockage
La couche de stockage est appelée HDFS (Hadoop Distributed File System).
Elle contient les données accessibles et traitées par la couche de traitement des
données. HDFS dépend de deux composants clés :
NameNode
Nœud qui stocke en mémoire le mappage de chaque fichier, y compris les
informations précisant sur quel DataNode et à quel emplacement le fichier est
situé.
DataNode
Nœud qui stocke les données et répond aux demandes de lecture et d’écriture en
fonction des ordres du composant NameNode.
Une mise en œuvre classique de Hadoop contient un NameNode qui joue le rôle de
maître et achemine les demandes d’accès aux données vers le DataNode approprié.
d’adresses IP donné, ils ne peuvent accéder qu’aux données HDFS de la zone d’accès
associée. Cette configuration isole les données dans les zones d’accès et vous permet
de limiter l’accès client aux données.
À la différence des montages NFS ou des partages SMB, les clients qui se connectent
au cluster via HDFS ne peuvent pas avoir accès à seulement certains dossiers du
répertoire racine. Si vous avez plusieurs workflows Hadoop nécessitant des Datasets
distincts, vous pouvez créer plusieurs zones d’accès et configurer un répertoire
racine HDFS pour chaque zone.
Lorsque vous configurez des répertoires et des fichiers sous le répertoire racine,
assurez-vous qu’ils disposent des autorisations adéquates afin que les clients et les
applications Hadoop puissent y accéder. Les répertoires et les autorisations varient en
fonction de la distribution Hadoop, de l’environnement, des exigences et des règles de
sécurité.
HDFS et SmartConnect
Vous pouvez configurer une zone DNS SmartConnect pour gérer les connexions des
clients de traitement Hadoop.
SmartConnect est un module qui spécifie la manière dont le serveur DNS du cluster
EMC Isilon traite les demandes de connexion des clients. Pour chaque pool
d’adresses IP de votre cluster Isilon, vous pouvez configurer une zone DNS
SmartConnect correspondant à un nom de domaine complet (FQDN). Les clients de
traitement Hadoop peuvent se connecter au cluster via le nom de la zone DNS
SmartConnect. SmartConnect répartit équitablement les demandes NameNode entre
les adresses IP et les nœuds du pool.
Lorsqu’un client de traitement Hadoop émet une première demande DNS pour se
connecter à la zone SmartConnect, il est dirigé vers l’adresse IP d’un nœud Isilon
servant de NameNode. Les demandes suivantes du client de traitement Hadoop sont
dirigées vers le même nœud. Lorsqu’un deuxième client Hadoop émet une demande
DNS pour la zone SmartConnect, SmartConnect équilibre le trafic et dirige la
connexion client vers un autre nœud que celui utilisé par le client de traitement
Hadoop précédent.
Si vous spécifiez une zone DNS SmartConnect via laquelle les clients de traitement
Hadoop doivent se connecter, vous devez ajouter un nouvel enregistrement de serveur
de noms (NS) en tant que domaine délégué à la zone DNS faisant autorité qui contient
le cluster Isilon. Sur le cluster de traitement Hadoop, vous devez définir la valeur de la
propriété fs.defaultFS sur le nom de la zone DNS SmartConnect dans le fichier
core-site.xml.
SmartConnect est abordé plus en détail dans la section Gestion réseau de ce guide.
WebHDFS
OneFS prend en charge l’accès aux données HDFS via des applications client
WebHDFS.
WebHDFS est une interface de programmation RESTful basée sur des opérations
HTTP comme GET, PUT, POST et DELETE ; elle est disponible pour la création
d’applications client. Les applications client WebHDFS vous permettent d’accéder aux
données HDFS et d’effectuer des opérations HDFS via HTTP et HTTPS.
WebHDFS est pris en charge par OneFS au niveau de chaque zone d’accès et est
activé par défaut.
WebHDFS prend en charge l’authentification simple ou l’authentification Kerberos. Si
la méthode d’authentification HDFS pour une zone d’accès est définie sur All, OneFS
utilise l’authentification simple pour WebHDFS.
Remarque
Afin d’empêcher tout accès client non autorisé via l’authentification simple, désactivez
WebHDFS dans chaque zone d’accès qui ne doit pas prendre en charge cette méthode
d’authentification.
WebHDFS 599
Hadoop
Agent Ambari
Le framework client/serveur Ambari est un outil tiers qui vous permet de configurer,
gérer et surveiller un cluster Hadoop via une interface basée sur un navigateur.
L’agent OneFS Ambari est configuré par zone d’accès. Vous pouvez configurer l’agent
OneFS Ambari dans toute zone d’accès contenant des données HDFS. Pour démarrer
un agent OneFS Ambari dans une zone d’accès, vous devez spécifier l’adresse IPv4 du
serveur Ambari externe et l’adresse d’un NameNode. Le NameNode sert de point de
contact pour la zone d’accès.
Le serveur Ambari externe accepte les communications de l’agent OneFS Ambari. Une
fois que l’agent OneFS Ambari est attribué à la zone d’accès, il s’inscrit auprès du
serveur Ambari. Ensuite, il fournit un état heartbeat au serveur. Le serveur Ambari
externe doit disposer d’une adresse IPv4, d’un nom de domaine complet ou d’un nom
d’hôte pouvant être résolu, et il doit être attribué à une zone d’accès.
Le NameNode correspond au point de contact désigné dans une zone d’accès que les
services Hadoop gèrent par le biais de l’interface Ambari. Par exemple, si vous gérez
des services tels que YARN ou Oozie par le biais de l’agent Ambari, ces services se
connectent à la zone d’accès via le NameNode spécifié. L’agent Ambari communique
l’emplacement du NameNode désigné au serveur Ambari et à l’agent Ambari. Si vous
modifiez l’adresse NameNode indiquée, l’agent Ambari met à jour le serveur Ambari.
Le NameNode doit être un nom de zone SmartConnect valide ou une adresse IP du
pool d’adresses IP associé à la zone d’accès.
Remarque
L’agent OneFS Ambari repose sur le framework Apache Ambari et est compatible avec
plusieurs versions du serveur Ambari. Pour obtenir la liste complète des versions prises
en charge, consultez la page Hadoop Distributions and Products Supported by OneFS
du site EMC Community Network (ECN).
Remarque
Lorsque le chiffrement sur le réseau HDFS est activé, il a un impact considérable sur
les performances d’E/S et le débit du protocole HDFS.
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès dans laquelle
vous souhaitez configurer les paramètres du service.
3. Dans la zone HDFS Service Settings, sélectionnez la taille de bloc HDFS de
votre choix dans la liste Default Block Size.
La taille de bloc HDFS détermine la façon dont le service HDFS renvoie les
données lors des demandes de lecture du client de traitement Hadoop.
4. Sélectionnez le type de checksum dans la liste Default Checksum Type.
Le service HDFS n’envoie aucune donnée de checksum, quel que soit le type de
checksum.
5. Cliquez sur Save Changes.
<property>
<name>hadoop.security.token.service.use_ip</name>
<value>false</value>
</property>
<property>
<name>dfs.namenode.kerberos.principal.pattern</name>
<value>hdfs/*@storage.company.com</value>
</property>
Remarque
ATTENTION
2. Dans la liste Current Access Zone, sélectionnez la zone d’accès dans laquelle
vous souhaitez créer un utilisateur Hadoop local.
3. Dans la liste Providers, sélectionnez LOCAL.
4. Cliquez sur Create User, puis saisissez un nom d’utilisateur Hadoop dans le
champ Username.
5. Cliquez sur Create User.
Remarque
Les noms ne peuvent pas contenir les caractères non valides suivants :
"/\[]:;|=,+*?<>
Remarque
Une règle mal formulée peut avoir un impact inattendu, par exemple en bloquant
l’accès.
Option Description
Activer le chiffrement sur Sélectionnez l’un des chiffrements AES
le réseau HDFS (Advanced Encryption Standard) : AES/CTR/
NoPadding with 128 bit key, AES/CTR/
NoPadding with 192 bit key ou AES/CTR/
NoPadding with 256 bit key.
Option Description
Désactiver le chiffrement Sélectionnez Do not encrypt data.
sur le réseau HDFS
Antivirus 613
Antivirus
Présentation de l’antivirus
Vous pouvez analyser les fichiers que vous stockez sur un cluster Isilon à la recherche
de virus informatiques et d’autres menaces pour la sécurité à l’aide de services
d’analyse tiers intégrés via le protocole ICAP (Internet Content Adaptation Protocol).
OneFS envoie des fichiers via ICAP à un serveur qui exécute le logiciel d’analyse
antivirus tiers. Ces serveurs sont appelés serveurs ICAP. Ils analysent les fichiers à la
recherche de virus.
Après qu’un serveur ICAP a analysé un fichier, il indique à OneFS si celui-ci représente
une menace. Si une menace est détectée, OneFS informe les administrateurs système
en créant un événement, en affichant des informations récapitulatives en temps quasi-
réel, et en documentant la menace dans un rapport d’analyse antivirus. Vous pouvez
configurer OneFS de telle sorte que les serveurs ICAP tentent de réparer les fichiers
infectés. Vous pouvez également configurer OneFS de manière à protéger les
utilisateurs contre les fichiers potentiellement dangereux en tronquant ou en plaçant
en quarantaine les fichiers infectés.
Avant que OneFS envoie un fichier pour analyse, il s’assure que l’analyse n’est pas
redondante. Si un fichier a déjà été analysé et qu’il n’ait pas été modifié, OneFS ne
l’envoie pas pour analyse, à moins que la base de données de virus sur le serveur ICAP
n’ait été mise à jour depuis la dernière analyse.
Remarque
L’analyse antivirus n’est disponible que si tous les nœuds du cluster sont connectés au
réseau externe.
Analyse à l’accès
Vous pouvez configurer OneFS pour qu’il envoie des fichiers à analyser avant leur
ouverture et/ou après leur fermeture. L’envoi de fichiers à analyser après leur
fermeture est plus rapide, mais moins sécurisé. L’envoi de fichiers à analyser avant
leur ouverture est plus lent, mais plus sécurisé.
Si OneFS est configuré de façon que les fichiers soient analysés une fois fermés, il
place dans une file d’attente d’analyse tout fichier créé ou modifié sur le cluster par un
utilisateur. Il envoie ensuite ce fichier à un serveur ICAP pour qu’il soit analysé au
moment opportun. Dans cette configuration, les utilisateurs peuvent toujours accéder
instantanément aux fichiers. Toutefois, lorsqu’un fichier est modifié ou créé par un
utilisateur, il peut arriver qu’un second utilisateur y accède avant qu’il ne soit analysé.
Si un virus a été introduit dans le fichier du premier utilisateur, le deuxième utilisateur
accédera au fichier infecté. De même, si un serveur ICAP ne peut pas analyser un
fichier, ce dernier sera toujours accessible aux utilisateurs.
Si OneFS fait en sorte que les fichiers soient analysés avant d’être ouverts, lorsqu’un
utilisateur tente de télécharger un fichier depuis le cluster, OneFS envoie ce fichier à
un serveur ICAP pour analyse. Le fichier n’est envoyé à l’utilisateur qu’une fois
l’analyse terminée. L’analyse des fichiers avant leur ouverture est une procédure plus
sécurisée qu’une analyse après leur fermeture, car les utilisateurs peuvent uniquement
accéder aux fichiers analysés. Cependant, elle implique que les utilisateurs attendent la
fin de l’analyse des fichiers. Vous pouvez également configurer OneFS pour qu’il
refuse l’accès aux fichiers qui ne peuvent pas être analysés par un serveur ICAP, ce
qui peut prolonger le délai. Par exemple, si aucun serveur ICAP n’est disponible, les
utilisateurs ne pourront accéder à aucun fichier tant que les serveurs ICAP ne seront
pas de nouveau disponibles.
Si vous configurez OneFS pour que les fichiers soient analysés avant d’être ouverts, il
est recommandé de le configurer également pour qu’ils soient analysés après leur
fermeture. Une analyse des fichiers avant leur ouverture et après leur fermeture
n’améliore pas nécessairement la sécurité, mais augmente généralement la
disponibilité des données par rapport à une analyse des fichiers uniquement à leur
ouverture. Si un utilisateur souhaite accéder à un fichier, il est possible que ce dernier
ait déjà été analysé après sa dernière modification, auquel cas il n’est pas nécessaire
de l’analyser de nouveau si la base de données du serveur ICAP n’a pas été mise à jour
depuis la dernière analyse.
Serveurs ICAP
Le nombre de serveurs ICAP nécessaires pour prendre en charge un cluster Isilon
dépend de la façon dont l’analyse antivirus est configurée, du volume de données
traité par un cluster et de la puissance de traitement des serveurs ICAP.
Si vous avez l’intention d’analyser les fichiers exclusivement à partir des règles
d’analyse antivirus, nous vous recommandons de prévoir au moins deux serveurs ICAP
par cluster. Si vous comptez analyser les fichiers lors de l’accès, il est recommandé de
prévoir au moins un serveur ICAP pour chaque nœud du cluster.
Si vous configurez plusieurs serveurs ICAP pour un cluster, il est important de veiller à
ce que la puissance de traitement de chaque serveur ICAP demeure relativement
égale. OneFS répartit les fichiers sur les serveurs ICAP par rotation, quelle que soit la
puissance de traitement de ces serveurs. Si un serveur est beaucoup plus puissant que
les autres, OneFS ne lui envoie pas pour autant davantage de fichiers.
Repair
Le serveur ICAP tente de réparer le fichier infecté avant de le renvoyer à OneFS.
Quarantine
OneFS met en quarantaine le fichier infecté. Un fichier mis en quarantaine n’est
accessible à aucun utilisateur. L’utilisateur root peut toutefois annuler sa mise en
quarantaine à condition d’être connecté au cluster par le protocole SSH. Si vous
sauvegardez votre cluster par une sauvegarde NDMP, les fichiers mis en
quarantaine restent en quarantaine une fois restaurés. Si vous répliquez des
fichiers mis en quarantaine vers un autre cluster Isilon, ils restent en quarantaine
sur le cluster cible Les mises en quarantaine fonctionnent indépendamment des
listes de contrôle d’accès (ACL).
Truncate
OneFS tronque le fichier infecté. Lorsqu’un fichier est tronqué, OneFS réduit sa
taille à zéro octet pour le rendre inoffensif.
Vous pouvez configurer les serveurs OneFS et ICAP pour qu’ils réagissent de l’une des
manières suivantes lorsque des menaces sont détectées :
Repair or quarantine
Tente de réparer les fichiers infectés. Si un serveur ICAP ne parvient pas à
réparer un fichier, OneFS met ce dernier en quarantaine. Si le serveur ICAP
réussit à réparer le fichier, OneFS envoie ce dernier à l’utilisateur. Le paramètre
Repair or quarantine est utile si vous souhaitez protéger les utilisateurs contre
tout accès à des fichiers infectés tout en conservant l’ensemble des données d’un
cluster.
Repair or truncate
Tente de réparer les fichiers infectés. Si un serveur ICAP ne parvient pas à
réparer un fichier, OneFS tronque le fichier. Si le serveur ICAP réussit à réparer le
fichier, OneFS envoie ce dernier à l’utilisateur. Le paramètre Repair or truncate
est utile si vous n’avez pas besoin de conserver toutes les données de votre
cluster et si vous souhaitez libérer de l’espace de stockage. Toutefois, les
données des fichiers infectés sont perdues.
Alert only
Génère uniquement un événement pour chaque fichier infecté. Il est déconseillé
d’appliquer ce paramètre.
Repair only
Tente de réparer les fichiers infectés. OneFS envoie ensuite les fichiers à
l’utilisateur, que le serveur ICAP ait réussi à les réparer ou non. Il est déconseillé
d’appliquer ce paramètre. Si vous tentez uniquement de réparer les fichiers, les
utilisateurs peuvent toujours accéder aux fichiers infectés qui ne peuvent pas être
réparés.
Quarantine
Met en quarantaine tous les fichiers infectés. Il est déconseillé d’appliquer ce
paramètre. Si vous mettez en quarantaine des fichiers sans tenter de les réparer,
vous risquez de refuser l’accès à des fichiers infectés qui auraient pu être réparés.
Truncate
Tronque tous les fichiers infectés. Il est déconseillé d’appliquer ce paramètre. Si
vous tronquez des fichiers sans tenter de les réparer, vous risquez d’effacer
inutilement des données.
Si le cluster est connecté au serveur ICAP, dans la zone Details, l’état Active
s’affiche dans le champ Status.
Option Description
Exécuter la règle manuellement Cliquez sur Manual.
uniquement
Exécuter la règle en fonction d’un a. Cliquez sur Scheduled.
planning
b. Indiquez la fréquence à laquelle vous
souhaitez exécuter la règle.
Analyser un fichier
Vous pouvez analyser manuellement un fichier afin d’y rechercher des virus.
Cette procédure n’est disponible que via l’interface de ligne de commande (CLI).
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Exécutez la commande isi antivirus scan.
La commande suivante analyse le fichier /ifs/data/virus_file pour y
rechercher des virus :
2. Dans le tableau Antivirus Threat Reports, cliquez sur More > Quarantine File
au niveau de la ligne d’un fichier.
rm /ifs/data/virus_file
Chemin
Affiche le chemin d’accès du fichier potentiellement infecté.
Remediation
Indique comment OneFS a traité le fichier lorsque la menace a été détectée.
Policy
Affiche l’ID de la règle antivirus qui a permis de détecter la menace.
Detected
Affiche l’heure à laquelle la menace a été détectée.
Actions
Affiche les actions qui peuvent être exécutées sur le fichier.
Remarque
IsilonSD Edge ne prend en charge que des disques en attachement direct et des
datastores (disques de données) VMFS 5 créés à partir des disques en attachement
direct. Les disques iSCSI et SAN Fibre Channel ou les datastores VMFS 5 créés à
l’aide de ces disques ne sont pas pris en charge.
L’architecture d’un cluster à trois nœuds est illustrée sur la figure suivante :
acquérir une licence qui prend en charge ces fonctions. Après avoir obtenu les clés de
licence, vous pouvez activer les licences par le biais du serveur de gestion IsilonSD.
Pour les questions liées à l’octroi de licence, contactez l’équipe eLicensing d’EMC.
Pour plus d’informations sur l’achat de licences, contactez votre responsable de
compte EMC Isilon.
Remarque
Si vous avez déployé un cluster IsilonSD en configurant la licence gratuite, vous n’avez
droit à aucune prise en charge d’EMC Isilon pour les questions liées au produit. Vous
pouvez soumettre vos questions à https://community.emc.com/community/
products/isilon pour obtenir une assistance.
Remarque
Une fois que vous avez déployé et configuré le serveur de gestion, IsilonSD
Management Plug-in est enregistré au sein de VMware vCenter. Vous pouvez utiliser
ce plug-in pour effectuer les tâches suivantes :
l Déployer un cluster
l Supprimer un cluster
l Configurer les licences IsilonSD
l Mettre à niveau les licences IsilonSD
l Ajouter des nœuds à un cluster
l Supprimer des nœuds du cluster
l Ajouter des disques
l Supprimer des disques
l Exécuter une opération SmartFail sur des nœuds
l Exécuter une opération SmartFail sur des disques
Remarque
Vous ne pouvez pas effectuer les tâches ci-dessus via l’interface d’administration
Web.
VAAI
OneFS utilise VAAI (VMware vSphere API for Array Integration) pour le déchargement
de certaines opérations de stockage et de gestion des machines virtuelles depuis les
hyperviseurs VMware ESXi vers un cluster Isilon.
La prise en charge de VAAI accélère le processus de création de machines et de
disques virtuels. Pour que OneFS interagisse avec vSphere via VAAI, votre
environnement VMware doit inclure des hyperviseurs VMware ESXi 5.0 ou version
supérieure.
Si vous activez les fonctions VAAI pour un cluster Isilon, lorsque vous clonez une
machine virtuelle résidant sur le cluster à l’aide de VMware, OneFS clone les fichiers
associés à cette machine virtuelle.
Pour que OneFS utilise VAAI, vous devez installer le plug-in VAAI NAS for Isilon sur le
serveur VMware ESXi. Pour plus d’informations sur le plug-in VAAI NAS for Isilon,
consultez le document VAAI NAS plug-in for Isilon Release Notes.
VASA
OneFS communique avec VMware vSphere par le biais de VASA (VMware vSphere
API for Storage Awareness).
La prise en charge de VASA vous permet de consulter des informations sur les clusters
Isilon via vSphere, y compris les alarmes propres à Isilon dans vCenter. La prise en
charge de VASA permet également l’intégration avec le stockage basés sur des profils
de VMware en fournissant des fonctions de stockage pour les clusters Isilon dans
vCenter. Pour que OneFS communique avec vSphere via VASA, votre environnement
VMware doit inclure des hyperviseurs VMware ESXi 5.0 ou version supérieure.
Performances
Le cluster Isilon se compose de nœuds Isilon des gammes i, X ou S. Le cluster est
configuré pour des performances maximales.
Remarque
Si un type de nœuds prend en charge les disques SSD, mais qu’aucun n’est
installé, le cluster est reconnu comme cluster de capacité.
Capacité
Le cluster Isilon se compose de nœuds Isilon de la gamme X qui ne contiennent
pas de disques SSD. Le cluster est configuré pour l’équilibre entre performances
et capacité.
Hybride
Le cluster Isilon se compose de nœuds associés à deux fonctions de stockage ou
plus. Par exemple, si le cluster contient des nœuds Isilon des gammes S et NL, sa
fonction de stockage est affichée comme Hybride.
Remarque
Si vous exécutez vCenter version 6.0, vous devez créer un certificat auto-signé,
comme décrit à la section Créer un certificat auto-signé, avant d’ajouter le certificat de
fournisseur Isilon et d’enregistrer le fournisseur VASA via vCenter.
Activer VASA
Pour autoriser un cluster Isilon à communiquer avec VASA (VMware vSphere API for
Storage Awareness), vous devez activer le processus VASA.
Procédure
1. Ouvrez une connexion SSH (Secure Shell) vers n’importe quel nœud du cluster
et connectez-vous.
2. Pour activer VASA, exécutez la commande suivante :
isi services isi_vasa_d enable
Remarque
À effectuer
Si vous utilisez vCenter version 6.0, suivez les instructions de la section Créer un
certificat auto-signé. Si vous exécutez l’une des versions précédentes de vCenter,
ignorez la section suivante et suivez les instructions de la section Ajouter le fournisseur
Isilon.
copier ce certificat vers n’importe quel autre nœud du cluster et enregistrer ce nœud
en tant que fournisseur VASA dans vCenter.
Procédure
1. Créez une clé RSA en exécutant la commande suivante :
cp vp.key vp.key.withpassphrase
openssl rsa -in vp.key.withpassphrase -out vp.key
Remarque
Avec une période de validité de 365 jours, vous pouvez modifier le certificat
auto-signé, si nécessaire.
5. Affichez le nouveau certificat avec les informations des extensions à des fins de
vérification en exécutant la commande suivante :
cp /usr/local/apache2/conf/ssl.key/server.key /usr/local/
apache2/conf/ssl.key/server.key.bkp
cp vp.key /usr/local/apache2/conf/ssl.key/server.key
cp /usr/local/apache2/conf/ssl.crt/server.crt /usr/local/
apache2/conf/ssl.crt/server.crt.bkp
cp vp.crt /usr/local/apache2/conf/ssl.crt/server.crt
killall httpd
/usr/local/apache2/bin/httpd -k start
URL
Saisissez https://<IPAddress>:8081/vasaprovider, où <IPAddress>
est l’adresse IP d’un nœud du cluster Isilon.
Login
Saisissez root.
Password
Saisissez le mot de passe de l’utilisateur root.
Certificate location
Saisissez le chemin du certificat de fournisseur de ce cluster.
Créer un répertoire
Vous pouvez créer un répertoire dans l’arborescence de répertoires /ifs à l’aide de
l’explorateur du système de fichiers.
Procédure
1. Cliquez sur File System > File System Explorer.
2. Accédez au répertoire auquel vous souhaitez ajouter le répertoire.
3. Cliquez sur Create Directory.
4. Dans le champ Directory Name de la boîte de dialogue Create a Directory,
saisissez le nom du répertoire.
5. Dans la zone Permissions, attribuez des autorisations au répertoire.
6. Cliquez sur Create Directory.
File Size
Affiche la taille logique du fichier ou du répertoire.
Space Used
Affiche la taille physique du fichier ou du répertoire.
Last Modified
Affiche l’heure de dernière modification du fichier ou du répertoire.
Last Accessed
Affiche l’heure de dernière consultation du fichier ou du répertoire.
Autorisations UNIX
User
Affiche les autorisations attribuées au propriétaire du fichier ou du répertoire.
Group
Affiche les autorisations attribuées au groupe du fichier ou du répertoire.
Others
Affiche les autorisations attribuées à d’autres utilisateurs sur le fichier ou le
répertoire.