guide de l’administrateur - stockage de données ... · elastic cloud storage (ecs) version 2.2.1...

Elastic Cloud Storage (ECS)Version 2.2.1

Guide de l’administrateur302-002-789

02

Copyright © 2013 -2016 EMC Corporation. Tous droits réservés. Publié en France.

Publié en Août 2016

EMC estime que les informations figurant dans cette publication sont exactes à la date de parution. Ces informations sontsujettes à modification sans préavis.

LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION SONT FOURNIES "EN L' ÉTAT". EMC CORPORATION NE FOURNITAUCUNE DÉCLARATION NI GARANTIE CONCERNANT LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION ET REJETTE PLUSSPÉCIALEMENT TOUTE GARANTIE DE VALEUR MARCHANDE OU D’ADÉQUATION IMPLICITE À UN BESOIN SPÉCIFIQUE.

EMC², EMC et le logo EMC sont des marques déposées ou des marques commerciales d’EMC Corporation aux États-Unis etdans d’autres pays. Toutes les autres marques citées dans le présent document sont la propriété de leurs détenteursrespectifs.

Pour obtenir les documents réglementaires les plus récents pour votre produit, rendez-vous sur le site de support enligne https://support.emc.com.

EMC Computer Systems FranceRiver Ouest 80 quai Voltaire CS 21002 95876 Bezons CedexTél. : +33 1 39 96 90 00 Fax : +33 1 39 96 99 99http://france.emc.com

2 Elastic Cloud Storage (ECS) 2.2.1 Guide de l’administrateur

9

11

Utilisation du portail ECS 13

Introduction 15

Présentation du portail ECS...........................................................................16Connexion au portail ECS.............................................................................. 16Changer le mot de passe .............................................................................. 17Accès aux zones du portail............................................................................18Organisation et recherche dans les tableaux du portail................................. 21About this VDC.............................................................................................. 23

Utilisation de l’application Getting Started Checklist 25

Utilisation de l’application Getting Started Checklist..................................... 26

Utilisation du tableau de bord 29

Utilisation du tableau de bord....................................................................... 30

Configuration et gestion 35

Configuration d’un ou plusieurs sites 37

Configuration des pools de stockage, des VDC et des groupes de réplication..................................................................................................................... 38Pools de stockage......................................................................................... 38

Créer des pools de stockage............................................................ 39Datacenters virtuels (VDC).............................................................................41

Création d’un VDC pour un site unique............................................. 42Ajout d’un VDC à une fédération.......................................................43Basculement sur incident d’un site/suppression d’un VDC.............. 44

Groupes de réplication.................................................................................. 44Création d’un groupe de réplication................................................. 45

Configuration d’ESRS.................................................................................... 46Vérification de la configuration de la fonction d’appel à distance..... 48

Configuration d’un espace de nommage 49

Configuration d’un espace de nommage....................................................... 50Comprendre les tenants................................................................................ 50Comprendre les paramètres des espaces de nommage................................. 51Utilisation des espaces de nommage sur le portail ECS................................. 54Création et configuration d’un espace de nommage...................................... 55

Figures

Tableaux

Partie 1

Chapitre 1

Chapitre 2

Chapitre 3

Partie 2

Chapitre 4

Chapitre 5

SOMMAIRE

Elastic Cloud Storage (ECS) 2.2.1 Guide de l’administrateur 3

Configuration d’un fournisseur d’authentification 59

Configuration d’un fournisseur d’authentification......................................... 60Gestion des fournisseurs d’authentification au niveau du portail ECS............60Ajout d’un fournisseur d’authentification AD ou LDAP................................... 61

Paramètres des fournisseurs d’authentification AD/LDAP.................61Ajout d’un fournisseur d’authentification Keystone....................................... 66

Paramètres du fournisseur d’authentification Keystone....................66

Gérer les utilisateurs 69

Gestion des utilisateurs et des rôles..............................................................70Présentation des utilisateurs et des rôles dans ECS.......................................70

Utilisateurs dans ECS....................................................................... 70Rôles Utilisateur...............................................................................72Utilisateurs de domaine et locaux.................................................... 73Périmètre utilisateur : global ou espace de nommage...................... 74

Gestion des utilisateurs au niveau du portail ECS..........................................74Ajout d’un nouvel utilisateur d’objets...............................................76Ajout d’un utilisateur de domaine en tant qu’utilisateur d’objets..... 77Création d’un utilisateur local de gestion ou attribution d’un rôle degestion à un utilisateur de domaine................................................. 78Attribution d’un nom de groupe Active Directory au rôle Administrateursystème ou Surveillance du système................................................79Création d’un administrateur d’espace de nommage........................80Attribution d’un nom de groupe Active Directory au rôle Administrateurd’espace de nommage..................................................................... 81

Présentation du mappage des utilisateurs dans un espace de nommage...... 81Mappage des utilisateurs de domaine dans l’espace de nommage........................................................................................................ 83

Gestion des tenants 85

Gestion des tenants...................................................................................... 86Quotas.......................................................................................................... 86Politiques et périodes de rétention................................................................87Verrouillage des buckets et des utilisateurs.................................................. 89Suivi d’utilisation.......................................................................................... 89Audit des buckets......................................................................................... 91

Suppression d’un site 93

Basculement sur incident d’un site/suppression d’un VDC............................94

Gestion des licences 95

Gestion des licences..................................................................................... 96Obtention du fichier de licence d’EMC ECS.................................................... 96Téléchargement du fichier de licence d’EMC ECS........................................... 96

Création et gestion des buckets 99

Création et gestion des buckets.................................................................. 100Concepts liés aux buckets...........................................................................100

Accès aux buckets......................................................................... 100Propriété des buckets.................................................................... 100

Chapitre 6

Chapitre 7

Chapitre 8

Chapitre 9

Chapitre 10

Chapitre 11

SOMMAIRE


Accès à un bucket pendant une panne temporaire de site..............101Attributs des buckets.................................................................................. 101

Groupe par défaut..........................................................................104Clés d’index de métadonnées........................................................ 104Balisage des buckets..................................................................... 105

ACL des buckets..........................................................................................106Création d’un bucket à l’aide du portail ECS................................................ 108Modifier un compartiment...........................................................................109Définition des autorisations ACL de bucket pour un utilisateur.................... 110Définition des autorisations ACL de bucket pour un groupe prédéfini.......... 111Définition d’ACL de groupe personnalisé pour les buckets.......................... 112Création d’un bucket à l’aide des API d’objet...............................................113

Création d’un compartiment à l’aide de l’API S3 (avec s3curl)........ 114Conventions de dénomination des buckets et des clés................................117

Dénomination des buckets et objets S3 dans ECS..........................117Dénomination des objets et conteneurs OpenStack Swift dans ECS...................................................................................................... 118Dénomination des buckets et objets Atmos dans ECS.................... 118Dénomination de pools et d’objets CAS dans ECS.......................... 119

Configuration de l’accès aux fichiers NFS 121

Accès aux fichiers NFS.................................................................................122Accès multiprotocole aux répertoires et aux fichiers.......................122Panne de nœud et du site.............................................................. 123

Prise en charge de la configuration NFS par le portail ECS............................123Exports.......................................................................................... 124Mappages d’utilisateur/de groupe................................................. 124

Tâches de configuration d’ECS NFS............................................................. 125Création d’un bucket pour NFS à l’aide du portail ECS.................... 126Ajout d’une exportation NFS...........................................................128Ajout d’un mappage d’utilisateur ou de groupe..............................130Configuration de la sécurité NFS avec Kerberos.............................. 131Montage d’une exportation NFS : exemple..................................... 138

Bonnes pratiques d’utilisation d’ECS NFS....................................................139Autorisations pour l’accès multiprotocole (transversal)............................... 140Récapitulatif de l’API de fichier....................................................................142

Définition de l’URL de base 143

Définition de l’URL de base......................................................................... 144Adressage de compartiment........................................................................144

Configuration DNS..........................................................................145URL de base................................................................................... 145

Ajout d'une URL de base............................................................................. 147

Monitor 149

Principes de base de la surveillance 151

Utilisation des pages de surveillance.......................................................... 152

Surveillance du suivi d’utilisation 155

Surveillance des données de suivi d’utilisation........................................... 156

Chapitre 12

Chapitre 13

Partie 3

Chapitre 14

Chapitre 15

SOMMAIRE


Données de suivi d’utilisation........................................................ 157

Surveillance des événements 159

À propos de la surveillance des événements............................................... 160Surveillance des données d’audit............................................................... 160Surveiller les alertes....................................................................................161

Surveillance de l’utilisation de la capacité 165

Surveillance de la capacité..........................................................................166Données sur la capacité de stockage............................................. 166

Surveillance des metrics de trafic 169

Surveillance du trafic réseau....................................................................... 170

Surveillance de l’état de santé du matériel 173

Surveillance des composants matériels...................................................... 174

Surveillance de l’état de santé des nœuds et des processus 177

Surveillance de l’état de santé des nœuds et des processus....................... 178

Surveillance du récapitulatif des fragments 181

Surveillance des fragments......................................................................... 182

Surveillance du codage d’effacement 185

Surveillance du codage d’effacement..........................................................186

Surveillance de l’état de la restauration 189

Surveillance de l’état de la restauration...................................................... 190

Surveillance de la bande passante disque 193

Surveillance de la bande passante disque.................................................. 194

Surveillance de la géoréplication 197

Présentation de la surveillance de la géoréplication.................................... 198Surveillance de la géoréplication : vitesse et fragments...............................198Surveillance de la géoréplication : objectif de point de restauration (RPO)...199Surveillance de la géoréplication : traitement du basculement sur incident.200Surveillance de la géoréplication : traitement des données d’amorçage...... 201

Logs des services 203

Logs des services........................................................................................ 204Emplacement des logs de services ECS....................................................... 204

Chapitre 16

Chapitre 17

Chapitre 18

Chapitre 19

Chapitre 20

Chapitre 21

Chapitre 22

Chapitre 23

Chapitre 24

Chapitre 25

Chapitre 26

SOMMAIRE


Messages d’audit et d’alerte 205

Messages d’audit 206

Messages d’alerte 210

Annexe A

SOMMAIRE


SOMMAIRE


Connexion à ECS............................................................................................................17Déconnexion d’ECS........................................................................................................17Colonne de tableau avec option de tri disponible.......................................................... 22Lignes signalées par un astérisque correspondant aux nœuds utilisant une version delogiciel différente de celle du nœud actuel.....................................................................23Liste de contrôle terminée............................................................................................. 27Page Storage Pool Management.................................................................................... 38Page Virtual Data Center Management........................................................................... 41Page Manage Replication Groups...................................................................................44Page de gestion des espaces de nommage....................................................................54Mappages d'utilisateurs pour un tenant à l'aide des attributs AD...................................82Utilisation de plusieurs critères de mappage................................................................. 83Actualisation............................................................................................................... 152Panneau Filter ouvert avec des critères sélectionnés....................................................152Panneau Filter fermé affichant un récapitulatif du filtre appliqué................................. 152Navigation à l’aide des fils d’Ariane.............................................................................153Graphique historique avec curseur actif.......................................................................154Page Metering avec des critères sélectionnés.............................................................. 157Graphiques du trafic réseau d’un VDC..........................................................................171État de santé des composants matériels......................................................................174État de santé des nœuds et des processus.................................................................. 180Chunk Summary.......................................................................................................... 183Bande passante du disque.......................................................................................... 195Géoréplication : vitesse et fragments .......................................................................... 199RPO............................................................................................................................. 199Basculement sur incident ........................................................................................... 201Traitement des données d’amorçage........................................................................... 202

1234

567891011121314151617181920212223242526

FIGURES


FIGURES


Propriétés du pool de stockage......................................................................................38Propriétés d’un VDC.......................................................................................................41Propriétés d’un groupe de réplication............................................................................ 45Paramètres des fournisseurs d’authentification............................................................. 62Suivi d’utilisation du bucket et de l’espace de nommage...............................................90Attributs des buckets...................................................................................................102ACL des buckets.......................................................................................................... 106Suivi d’utilisation du bucket et de l’espace de nommage.............................................157Types d’alertes............................................................................................................ 162Utilisation de la capacité : Pool de stockage................................................................ 166Utilisation de la capacité : Nœud................................................................................. 167Utilisation de la capacité : Disque................................................................................168Metrics de trafic réseau............................................................................................... 170Metrics du VDC, du nœud et du processus...................................................................178Tables des fragments...................................................................................................182Metrics des fragments................................................................................................. 182Metrics de codage d’effacement.................................................................................. 186Metrics de restauration................................................................................................190Metrics de bande passante disque.............................................................................. 194Colonnes Rate and Chunks.......................................................................................... 198Colonnes liées au RPO.................................................................................................199Colonnes liées au basculement sur incident................................................................ 200Colonnes liées au traitement des données d’amorçage............................................... 201Messages d’audit dans ECS.........................................................................................206Messages d’alerte relatifs aux objets dans ECS............................................................210Messages d’alerte relatifs au fabric dans ECS.............................................................. 211

1234567891011121314151617181920212223242526

TABLEAUX


TABLEAUX


PARTIE 1

Utilisation du portail ECS

Chapitre 1, "Introduction"

Chapitre 2, "Utilisation de l’application Getting Started Checklist"

Chapitre 3, "Utilisation du tableau de bord"

Utilisation du portail ECS 13

Utilisation du portail ECS


CHAPITRE 1

Introduction

l Présentation du portail ECS................................................................................... 16l Connexion au portail ECS...................................................................................... 16l Changer le mot de passe ...................................................................................... 17l Accès aux zones du portail.................................................................................... 18l Organisation et recherche dans les tableaux du portail......................................... 21l About this VDC...................................................................................................... 23

Introduction 15

Présentation du portail ECSLe portail ECS permet de configurer, de gérer et de surveiller ECS.

Il permet également aux tenants de gérer et de surveiller leur espace de nommage, et d’ycréer et de configurer des buckets.

Le portail est accessible aux utilisateurs de gestion d’ECS, c’est-à-dire aux utilisateursassociés aux rôles Administrateur système, Surveillance du système et Administrateurd’espace de nommage. Les utilisateurs du stockage en mode objet accèdent à ECS enutilisant les protocoles d’objet pris en charge via des clients prenant en charge cesprotocoles. Pour en savoir plus sur les utilisateurs et les rôles associés à ECS, reportez-vous à la section Gestion des utilisateurs et des rôles à la page 70.

Le portail utilise l’API publique ECS Management REST API. Vous pouvez développer desclients ECS personnalisés à l’aide de cette API.

Connexion au portail ECSConnectez-vous au portail ECS depuis un navigateur en spécifiant l’adresse IP ou le nomde domaine complet (FQDN) de n’importe quel nœud, ou le répartiteur de charge qui jouele rôle de front-end d’ECS.

Avant de commencer

l Si vous avez le rôle Administrateur système, Surveillance du système ouAdministrateur d’espace de nommage, vous pouvez vous connecter au portail.

l Un compte utilisateur root, attribué au rôle Administrateur système, est fourni pourl’accès initial. Sachez que ce compte root n’est pas lié à des comptes Linux au niveaudu nœud.

Après la connexion initiale à l’aide des informations d’identification root (root/ChangeMe), vous êtes invité à modifier immédiatement le mot de passe du compte root.

La session prend fin lorsque vous fermez le navigateur ou que vous vous déconnectez. Ladéconnexion entraîne systématiquement la fermeture de la session. Si vous ne parvenezpas à vous connecter, contactez l’administrateur.

Vous êtes automatiquement déconnecté après 2 heures d’inactivité.

Procédure

1. Saisissez l’adresse IP publique du premier nœud du système ou l’adresse durépartiteur de charge qui a été configuré comme front-end, au format suivant :http:/<node1_public_ip>.

2. Après avoir modifié le mot de passe à la première connexion, cliquez sur Save.

Vous êtes déconnecté et l’écran de connexion standard s’affiche.

Introduction


Figure 1 Connexion à ECS

3. Saisissez votre nom d’utilisateur dans le champ User Name et votre mot de passedans le champ Password.

4. Pour vous déconnecter du portail, repérez le menu de l’utilisateur dans l’anglesupérieur droit des pages du portail, sélectionnez-le et choisissez Logout.

Figure 2 Déconnexion d’ECS

Changer le mot de passeLorsque vous êtes connecté au portail ECS, vous pouvez modifier votre mot de passe.

Les utilisateurs ayant les rôles Administrateur système, Administrateur d’espace denommage et Surveillance du système ont accès à la page Change Password.

Procédure

1. Sur le portail ECS, sélectionnez Settings > Change Password.

2. Saisissez un nouveau mot de passe dans le champ Password, puis dans le champConfirm Password.

3. Cliquez sur Save.

Introduction

Changer le mot de passe 17

Accès aux zones du portailLe portail se compose d’un menu de navigation à gauche et d’une zone de page à droite.

L’administrateur système peut utiliser toutes les pages. Un administrateur d’espace denommage peut utiliser un nombre limité de pages et réaliser uniquement les opérationspropres à un tenant. Un utilisateur doté du rôle Surveillance du système peut affichertoutes les pages du portail, mais il ne peut pas créer, modifier ni supprimer lesparamètres du portail. Un message système s’affiche si un utilisateur accède à une pageou tente d’effectuer une opération pour laquelle il ne dispose pas des autorisationsappropriées.

Les sections suivantes présentent en détail les autorisations octroyées aux différentsutilisateurs de gestion.

l Administrateur système et Surveillance du système à la page 18

l Administrateur d’espace de nommage à la page 20

Administrateur système et Surveillance du systèmeLe tableau suivant répertorie les éléments de menu accessibles et fournit un lien vers desarticles de documentation contenant des informations plus détaillées sur leur utilisation.Le rôle Surveillance du système permet de consulter les mêmes informations qu’unAdministrateur système, mais pas d’y apporter des modifications.

Section Menu Opérations prises en charge

Monitor Metering Afficher le suivi d’utilisation de l’espace de nommageou du bucket.Pour plus d’informations, reportez-vous à la section Surveillance des données de suivi d’utilisation à lapage 156.

Events Afficher les événements d’audit et d’alerte.Pour plus d’informations, reportez-vous à la section Àpropos de la surveillance des événements à la page160.

Capacity Utilization Surveiller la capacité du pool, du nœud et du disquede stockage.

Pour plus d’informations, reportez-vous à la section Surveillance de la capacité à la page 166.

Traffic Metrics Surveillance de la bande passante et de la latence enlecture et en écriture.

Pour plus d’informations, reportez-vous à la section Surveillance du trafic réseau à la page 170.

Hardware Health Surveillance de l’état des nœuds et des disques destockage pour chaque pool de stockage.Pour plus d’informations, reportez-vous à la section Surveillance des composants matériels à la page 174.

Node and Process Health Surveillance de l’état de santé des nœuds et desprocessus en fonction de l’utilisation de la mémoire etdu CPU.

Introduction



Pour plus d’informations, reportez-vous à la section Surveillance de l’état de santé des nœuds et desprocessus à la page 178.

Chunk Summary Surveillance des fragments et de leur état.

Pour plus d’informations, reportez-vous à la section Surveillance des fragments à la page 182.

Erasure Coding Surveillance de l’état du codage d’effacement.Pour plus d’informations, reportez-vous à la section Surveillance du codage d’effacement à la page 186.

Recovery Status Surveillance de l’état de la restauration.Pour plus d’informations, reportez-vous à la section Surveillance de l’état de la restauration à la page 190.

Disk Bandwidth Surveillance de l’utilisation de la bande passante desdisques.Pour plus d’informations, reportez-vous à la section Surveillance de la bande passante disque à la page194.

Geo Replication Surveillance de l’activité de géoréplication.Pour plus d’informations, reportez-vous à la section Présentation de la surveillance de la géoréplication àla page 198.

Manage Storage Pools Permet de réaliser les opérations suivantes :l Ajouter un pool de stockage et spécifier les nœuds

qui le composent.l Ajouter un VDC et définir ses informations de

connexion.l Configurer un groupe de réplication en ajoutant

des pools de stockage qui appartiennent à unVDC.

Pour plus d’informations, reportez-vous à la section Configuration des pools de stockage, des VDC et desgroupes de réplication à la page 38.

Virtual Data Center

Replication Group

Authentification Ajouter un fournisseur d’authentification capabled’authentifier les utilisateurs du domaine.Reportez-vous à la section Gestion des utilisateurs etdes rôles à la page 70.

Namespace Permet de réaliser les opérations suivantes :

l Créer un nouvel espace de nommage.

l Définir un quota pour l’espace de nommage.

l Mapper des utilisateurs d’objets avec un espacede nommage.

Pour plus d’informations, reportez-vous à la section Configuration d’un espace de nommage pour untenant à la page 50

Introduction

Accès aux zones du portail 19


Users Permet de réaliser les opérations suivantes :

l Créer des utilisateurs d’objets pour l’espace denommage.

l Modifier des utilisateurs d’objets.

l Créez des clés secrètes

Pour plus d’informations, reportez-vous à la section Gestion des utilisateurs et des rôles à la page 70

Buckets Permet de réaliser les opérations suivantes :

l Créer un bucket.

l Attribuer des ACL au propriétaire du bucket et auxutilisateurs d’objets.

Pour plus d’informations, reportez-vous à la section Concepts liés aux buckets à la page 100

File Permet d’accéder aux buckets en tant que systèmes defichiers NFS.

Pour plus d’informations, reportez-vous à la section Accès aux fichiers NFS à la page 122

Settings Object Base URL Définir l’URL de base pour déterminer à quelle partiede l’adresse d’objet correspondent le bucket etl’espace de nommage.

Pour plus d’informations, reportez-vous à la section Adressage du stockage en mode objet d’ECS etutilisation de l’URL de base à la page 144

Change Password Modifier votre propre mot de passe.

Pour plus d’informations, reportez-vous à la section Changer le mot de passe à la page 17

ESRS Configurer l’envoi d’alertes à EMC.

Pour plus d’informations, reportez-vous à la section Configuration d’ESRS à la page 46.

Licensing Afficher l’état de la licence et télécharger une licence.

Pour plus d’informations, reportez-vous à la section Obtention et téléchargement d’un fichier de licencedans le portail ECS à la page 96

About this VDC Afficher des informations sur les nœuds du VDC : nomdes nœuds, ID de rack et versions du logiciel.Pour plus d’informations, reportez-vous à la section About this VDC à la page 23.

Administrateur d’espace de nommageLe tableau suivant répertorie les éléments de menu que l’Administrateur d’espace denommage est autorisé à utiliser. Il fournit un lien vers des articles de documentationcontenant des informations plus détaillées sur leur utilisation.

Introduction



Monitor Metering Afficher le suivi d’utilisation de l’espace de nommageou du bucket.

Pour plus d’informations, reportez-vous à la section Surveillance des données de suivi d’utilisation à lapage 156.

Manage Namespace Modifier l’espace de nommage.

Pour plus d’informations, reportez-vous au Configuration d’un espace de nommage pour untenant à la page 50

Users Permet de réaliser les opérations suivantes :

l Créer des utilisateurs d’objets pour l’espace denommage.

l Modifier des utilisateurs d’objets

l Créer des clés secrètes pour les utilisateursd’objets

Pour plus d’informations, reportez-vous au Gestiondes utilisateurs et des rôles à la page 70

Bucket Permet de réaliser les opérations suivantes :

l Créer un bucket.

l Attribuer des ACL au propriétaire du bucket et auxutilisateurs d’objets.

Pour plus d’informations, reportez-vous au Conceptsliés aux buckets à la page 100

Settings Change Password Modifier votre propre mot de passe.

Pour plus d’informations, reportez-vous au Changer lemot de passe à la page 17

Organisation et recherche dans les tableaux du portailLorsque le Dataset présenté sur le portail est volumineux, et notamment lorsqu’ilcomporte plusieurs pages, il est utile de le réorganiser sous forme de tableau et derechercher des informations dans ce dernier.

Vous trouverez ci-dessous un exemple de tableau du portail.

Introduction

Organisation et recherche dans les tableaux du portail 21

Réorganisation des colonnes d’un tableauVous pouvez réorganiser les lignes de certains tableaux en fonction de l’ordre d’unecolonne sélectionnée. Il est possible d’organiser une colonne de tableau en cliquant surl’en-tête du tableau.

Les colonnes qui contiennent des données textuelles sont triées par ordre alphabétique.Par exemple, si vous sélectionnez le champ Namespace du tableau des utilisateurs, cettecolonne sera triée par ordre alphabétique et déterminera l’organisation des lignes.Lorsque vous afficherez à nouveau la page, l’organisation par défaut sera appliquée. Demême, l’actualisation de la page aura pour effet de rétablir son organisation par défaut.

Figure 3 Colonne de tableau avec option de tri disponible

D’autres tableaux proposent des options de filtre pour réduire la taille du tableau.Reportez-vous à la section Principes de base de la surveillance à la page 152.

Utilisation de SearchLa fonction Search permet de filtrer certaines lignes du tableau par correspondance dechaînes de texte.

Lorsque vous saisissez du texte dans la zone Search, les lignes qui contiennent deschaînes identiques à la chaîne de recherche s’affichent. L’ordre d’affichage des lignescorrespondant aux critères de recherche dépend de l’organisation appliquée à la colonnedu tableau.

Introduction


Actualiser une pageUn contrôle d’actualisation est fourni sur les pages qui contiennent des données detableau. L’actualisation rétablit l’organisation par défaut du tableau.

About this VDCVérifiez les numéros de version de logiciel du nœud actuel ou de n’importe quel nœud duVDC.

La boîte de dialogue About this VDC vous permet de vérifier les noms de nœud, les ID derack et la version du logiciel des nœuds du VDC. La page About fournit des informationssur le nœud auquel vous êtes actuellement connecté. La page Nodes fournit desinformations sur tous les nœuds disponibles dans le VDC. La page Nodes permetégalement d’identifier tous les nœuds qui n’utilisent pas la même version de logiciel quele nœud auquel vous êtes connecté.

Procédure

1. Sélectionnez Settings > About this VDC.

2. Sélectionnez Nodes.

Figure 4 Lignes signalées par un astérisque correspondant aux nœuds utilisant une version delogiciel différente de celle du nœud actuel

Introduction

About this VDC 23

Introduction


CHAPITRE 2

Utilisation de l’application Getting StartedChecklist

l Utilisation de l’application Getting Started Checklist............................................. 26


Utilisation de l’application Getting Started ChecklistL’application Getting Started Checklist vous guide tout au long de la configuration initialede votre site ECS.

Getting Started Checklist est une application qui se superpose au portail pour vousguider tout au long de la configuration initiale. La liste de contrôle s’affiche lorsque leportail détecte que la configuration initiale n’est pas terminée. Elle s’afficheautomatiquement jusqu’à ce que vous la fermiez. Vous pouvez réafficher la liste decontrôle en sélectionnant l’icône Guide dans le menu global située dans l’anglesupérieur droit de toutes les pages du portail.

Remarque

Certaines parties de la configuration initiale peuvent être exécutées dans le cadre duservice d’installation.

1. Étape en cours de la liste de contrôle.

2. Étape terminée.

3. Étape facultative. Cette étape n’est pas cochée, même si vous la configurez.

4. Informations sur l’étape en cours.

5. Actions disponibles.

6. Ignorer la liste de contrôle.

Si la liste de contrôle est terminée, vous avez la possibilité de la parcourir à nouveau oude revérifier votre configuration.

Utilisation de l’application Getting Started Checklist


Figure 5 Liste de contrôle terminée



CHAPITRE 3

Utilisation du tableau de bord

l Utilisation du tableau de bord............................................................................... 30


Utilisation du tableau de bordLe tableau de bord du portail ECS fournit des informations critiques sur les processusECS de votre VDC local.

Le tableau de bordLe tableau de bord est la première page que vous voyez après la connexion. Pour revenirau tableau de bord, sélectionnez Dashboard dans le menu de gauche.

Chaque titre du panneau est un lien vers la page de surveillance du portail qui détailleles informations correspondantes.

Menu Global UserLe menu Global User s’affiche sur chaque page du portail.

Les options de menu sont les suivantes :

1. Le menu Alert présente les cinq alertes les plus récentes pour le VDC actif. Il indiquele nombre d’alertes non acquittées qui sont en attente pour le VDC actif. Le nombreaffiché est 99+ s’il y a plus de 99 alertes.

2. L’icône Global Help permet d’afficher la documentation en ligne correspondant à lapage active du portail.



3. Le menu VDC affiche le nom du VDC actif. Si vos informations d’identification AD ouLDAP vous permettent d’accéder à plusieurs VDC, vous pouvez basculer la vue duportail vers les autres VDC à partir de ce menu, sans avoir à ressaisir vos informationsd’identification.

4. L’icône Guide permet d’ouvrir l’application Getting Started Checklist.

5. Le menu User affiche l’utilisateur actuel et vous permet de vous déconnecter.

CapacityLe panneau Capacity affiche le stockage utilisé et disponible sur le VDC local, ainsi que lepourcentage d’utilisation. La capacité tient compte des données acquises, des réplicaset des données système.

PerformanceLe panneau Performance affiche les performances actuelles des opérations de lecture etd’écriture du réseau, ainsi que leur moyenne sur les dernières 24 heures.

DataLe panneau Data décompose le stockage du VDC local en données utilisateur et endonnées système. N’oubliez pas que les données utilisateur correspondent à la quantitéde données acquises par ECS. La capacité utilisée par vos données varie en fonction descopies de vos données et des activités système actuelles de traitement de ces copies.



Storage EfficiencyLe panneau Storage Efficiency indique l’efficacité actuelle du processus de codaged’effacement (EC). Le graphique affiche la progression du processus EC en cours. Lesautres valeurs indiquent la quantité de données EC en attente du processus EC, ainsi quela vitesse actuelle de ce processus.

Geo MonitoringLe panneau Geo Monitoring indique la quantité de données du VDC local en attente degéoréplication, ainsi que la vitesse de la réplication. L’objectif de point de restauration(RPO) fait référence au point dans le temps auquel vous pouvez restaurer les données. Lavaleur indiquée ici correspond aux données les plus anciennes risquant d’être perduesen cas de défaillance d’un VDC local avant que la réplication soit terminée. FailoverProgress affiche la progression d’un éventuel basculement sur incident actif dans lafédération impliquant le VDC local. Bootstrap Progress affiche la progression de toutprocessus actif d’ajout d’un nouveau VDC à la fédération.

Nodes and DisksLe panneau Nodes and Disks affiche l’état de santé (Good, Bad ou Suspect) des disqueset des nœuds.



AlertsLe panneau Alerts indique le nombre total d’alertes et d’erreurs critiques. Cliquez surAlerts pour afficher la liste complète des événements en cours.



PARTIE 2

Configuration et gestion

Chapitre 4, "Configuration d’un ou plusieurs sites"

Chapitre 5, "Configuration d’un espace de nommage"

Chapitre 6, "Configuration d’un fournisseur d’authentification"

Chapitre 7, "Gérer les utilisateurs"

Chapitre 8, "Gestion des tenants"

Chapitre 9, "Suppression d’un site"

Chapitre 10, "Gestion des licences"

Chapitre 11, "Création et gestion des buckets"

Chapitre 12, "Configuration de l’accès aux fichiers NFS"

Chapitre 13, "Définition de l’URL de base"

Configuration et gestion 35

Configuration et gestion


CHAPITRE 4

Configuration d’un ou plusieurs sites

l Configuration des pools de stockage, des VDC et des groupes de réplication........ 38l Pools de stockage................................................................................................. 38l Datacenters virtuels (VDC).....................................................................................41l Groupes de réplication.......................................................................................... 44l Configuration d’ESRS............................................................................................ 46

Configuration d’un ou plusieurs sites 37

Configuration des pools de stockage, des VDC et des groupes deréplication

Découvrez de quelle manière utiliser le portail pour créer, modifier et supprimer despools de stockage, des VDC et des groupes de réplication, pour un ou plusieursdéploiements fédérés, et apprenez à configurer ConnectEMC pour le service d’objet.

Les utilisateurs doivent avoir le rôle d’Administrateur système pour effectuer cesprocédures.

Pools de stockageLes pools de stockage vous permettent d’organiser les ressources de stockage enfonction des besoins métiers. Par exemple, si vous avez besoin d’une séparationphysique des données, vous pouvez partitionner le stockage sous la forme de différentspools de stockage.

Utilisez la page Storage Pool Management accessible via Manage > Storage Pools pourafficher les informations relatives aux pools de stockage existants, en créer de nouveaux,en modifier ou en supprimer.

Figure 6 Page Storage Pool Management

Tableau 1 Propriétés du pool de stockage

Champ Description

Name Nom du pool de stockage.

# Nodes Nombre de nœuds attribués au pool de stockage.

Status État actuel du pool de stockage et des nœuds. Les différents états d’un pool destockage sont les suivants :

l Ready : au moins quatre nœuds sont installés et tous les nœuds sont àl’état ready to use.

l Not Ready : l’un des nœuds du pool de stockage n’est pas à l’état readyto use.

l Partially Ready : il y a moins de quatre nœuds et tous les nœuds sont àl’état ready to use.

Host Name Nom d’hôte complet attribué au nœud.



Tableau 1 Propriétés du pool de stockage (suite)

Champ Description

Node IP address Adresse IP publique attribuée au nœud.

Rack ID Nom attribué au rack qui contient les nœuds.

Actions Les actions sont :

l Edit : permet de modifier le nom du pool de stockage et l’ensemble denœuds qu’il contient.

l Delete : permet de supprimer des pools de stockage. tous les nœuds quecontient un pool de stockage doivent être supprimés avant que celui-cipuisse être supprimé. Vous ne pouvez pas supprimer le pool de stockagedu système (celui qui a été créé en premier). Si le pool de stockage dusystème comporte des nœuds vides, ceux-ci peuvent être supprimés si lenombre de nœuds est supérieur à quatre.

Cold Storage Un pool de stockage pour lequel la propriété Cold Storage est définie utilise unschéma de codage d’effacement (EC) plus efficace pour les objets peu utilisés.Le stockage des données inactives est également appelé archive inactive. Unefois qu’un pool de stockage a été créé, ce paramètre ne peut pas être modifié.

Créer des pools de stockageUtilisez cette procédure pour attribuer des nœuds à des pools de stockage. Les pools destockage doivent contenir un minimum de quatre nœuds. Le premier pool de stockagequi est créé est qualifié de « pool de stockage du système » parce qu’il stocke lesmétadonnées du système. Le pool de stockage du système ne peut pas être supprimé.

Procédure

1. Sur le portail, sélectionnez Manage > Storage Pools.

2. Cliquez sur New Storage Pool.


Créer des pools de stockage 39

3. Saisissez le nom du pool de stockage. Par exemple : StoragePool1.

4. Décidez si ce pool de stockage doit stocker les données inactives (archive inactive).Le stockage des données inactives contient les données rarement utilisées. Leschéma de protection des données ECS pour le stockage des données inactives estoptimisé pour augmenter l’efficacité du stockage. Une fois qu’un pool de stockage aété créé, ce paramètre ne peut pas être modifié.

Remarque

Le stockage des données inactives nécessite une configuration matérielle minimalede six nœuds. Pour plus d’informations, consultez la section Guide de planification :Tour d’horizon de la protection des données.

5. Dans la liste Available Nodes, sélectionnez les nœuds à ajouter au pool de stockage.

a. Pour sélectionner les nœuds un par un, cliquez sur l’icône + située à côté dechacun d’eux.

b. Pour sélectionner tous les nœuds disponibles, cliquez sur l’icône + située en hautde la liste Available Nodes.

c. Pour restreindre la liste des nœuds disponibles, saisissez l’adresse IP publique oule nom d’hôte d’un nœud dans le champ search.



6. Une fois la sélection des nœuds terminée, cliquez sur Save.

7. Attendez une dizaine de minutes à compter du moment où le pool de stockage passeà l’état Ready avant d’effectuer d’autres tâches de configuration. Cela laisse au poolde stockage le temps de s’initialiser.

Si vous ne patientez pas assez longtemps, le message d’erreur suivant s’affichera :Error 7000 (http: 500): An error occurred in the APIService. An error occurred in the API service.Cause: errorinsertVdcInfo. Virtual Data Center creation failure mayoccur when Data Services has not completed initialization.

Si cette erreur s’affiche, patientez quelques minutes de plus avant d’essayerd’effectuer d’autres opérations de configuration.

Datacenters virtuels (VDC)Les VDC sont des constructions logiques. Chacun constitue la ressource de plus hautniveau qui représente l’ensemble de composants d’infrastructure ECS devant être géréscomme une entité unique.

Utilisez la page Virtual Data Center Management accessible via Manage > Virtual DataCenters pour afficher les informations relatives aux VDC, en créer de nouveaux, enmodifier ou en supprimer, ainsi que pour en fédérer plusieurs pour un déploiementmultisite. L’exemple suivant montre la page Manage Virtual Data Center pour undéploiement multisite fédéré. Il est configuré avec deux sites nommés vdc1 et vdc2.

Figure 7 Page Virtual Data Center Management

Tableau 2 Propriétés d’un VDC

Champ Description

Name Nom du VDC.

ReplicationEndpoints

Points de terminaison pour la communication des données de réplicationentre les sites.Si un réseau de réplication séparé a été configuré, il s’agit d’une listecomprenant l’adresse IP de réplication de chaque nœud. Si aucun réseau deréplication séparé n’a été configuré, il s’agit d’une liste comprenantl’adresse IP publique de chaque nœud.

Si ni le réseau de réplication, ni le réseau de gestion ne sont séparés, lespoints de terminaison de réplication et de gestion sont les mêmes.

ManagementEndpoints

Points de terminaison pour la communication des commandes de gestionentre les sites.


Datacenters virtuels (VDC) 41

Tableau 2 Propriétés d’un VDC (suite)

Champ Description

Si un réseau de gestion séparé a été configuré, il s’agit d’une listecomprenant l’adresse IP de gestion de chaque nœud. Si aucun réseau degestion séparé n’a été configuré, il s’agit d’une liste comprenant l’adresse IPpublique de chaque nœud.

Si ni le réseau de réplication, ni le réseau de gestion ne sont séparés, lespoints de terminaison de réplication et de gestion sont les mêmes.

Status Les états possibles sont :

l En ligne

l Permanently Failed : le VDC a été supprimé.

Actions Les actions sont :

l Edit : permet de modifier le nom du VDC, la clé d’accès et les adresses IPpubliques des nœuds des pools de stockage du VDC.

l Delete : permet de supprimer un VDC. L’opération de suppressiondéclenche un basculement permanent du VDC, ce qui fait que vous nepouvez pas l’ajouter à nouveau en utilisant le même nom. Vous nepouvez pas supprimer un VDC qui fait partie d’un groupe de réplicationavant de l’avoir supprimé de celui-ci. Vous ne pouvez pas supprimer unVDC lorsque vous êtes connecté à celui-ci.

Création d’un VDC pour un site uniqueUtilisez cette procédure si vous créez un VDC pour un déploiement sur site unique ou lepremier VDC d’une fédération multisite.

Avant de commencer

Un ou plusieurs pools de stockage sont disponibles et à l’état Ready.

Procédure

1. Sur le portail ECS, sélectionnez Manage > Data Center.

2. Cliquez sur New Virtual Data Center.

3. Saisissez un nom. Par exemple : VDC1.

Le nom ne doit pas contenir d’espace.

4. Cliquez sur Get VDC Access Key.

La clé d’accès VDC est utilisée en tant que clé symétrique pour chiffrer le trafic deréplication entre les différents VDC composant une fédération multisite.

5. Dans la zone de texte Replication Endpoints, saisissez l’adresse IP de réplication dechacun des nœuds des pools de stockage du VDC. Fournissez-les sous la forme d’uneliste séparée par des virgules.

Si la séparation de réseau a été configurée au moment de l’installation, il s’agit d’uneliste comprenant l’adresse IP de réplication de chaque nœud. Si le réseau deréplication n’a pas été séparé, il s’agit d’une liste comprenant l’adresse IP publiquede chaque nœud.



6. Dans la zone de texte Management Endpoints, saisissez l’adresse IP de gestion dechacun des nœuds des pools de stockage du VDC. Fournissez-les sous la forme d’uneliste séparée par des virgules.

Si la séparation de réseau a été configurée au moment de l’installation, il doit s’agird’une liste comprenant l’adresse IP de gestion de chaque nœud. Si le réseau degestion n’a pas été séparé, il s’agit d’une liste comprenant l’adresse IP publique dechaque nœud.


Ajout d’un VDC à une fédérationSuivez cette procédure si vous ajoutez un VDC (par exemple vdc2) à un VDC existant (parexemple vdc1) pour créer une fédération.

Avant de commencer

Récupérez les informations d’identification du portail ECS pour l’utilisateur root (ou pourun utilisateur doté des informations d’identification d’administrateur système) pour vousconnecter aux deux sites.

Assurez-vous que vous disposez de la liste des adresses IP publiques des nœuds du siteque vous souhaitez ajouter (vdc2) ou, si vous avez séparé les réseaux de gestion et/oude réplication, la liste des adresses IP de gestion et/ou de réplication.

Vérifiez qu’une licence valide a été téléchargée pour le site que vous êtes en traind’ajouter (vdc2) et que celui-ci a au moins un pool de stockage à l’état Ready.

Procédure

1. Connectez-vous au portail ECS sur le site que vous êtes en train d’ajouter (vdc2).

Les informations d’identification par défaut sont root/ChangeMe.

2. Sélectionnez Manage > Virtual Data Center.

3. Cliquez sur Get VDC Access Key.

4. Sélectionnez la clé d’accès et copiez-la en appuyant sur Ctrl-c pour l’enregistrer dansla mémoire tampon.

5. Déconnectez-vous du portail ECS sur le site que vous êtes en train d’ajouter (vdc2).

6. Connectez-vous au portail ECS du premier VDC (vdc1).

7. Sélectionnez Manage > Virtual Data Center.

8. Cliquez sur New Virtual Data Center.

9. Saisissez le nom du VDC. Par exemple : vdc2.

10. Cliquez sur le champ Key et collez (Ctrl-v) la clé d’accès que vous avez copiée à partirdu site que vous êtes en train d’ajouter (vdc2) aux étapes 3 et 4 ci-dessus.

11. Saisissez les points de terminaison de réplication et de gestion pour les nœuds quicomposent le site. Saisissez les adresses IP sous forme de listes de valeurs séparéespar des virgules.

Si vous n’avez pas séparé les réseaux de réplication ou de gestion, ces deux champscontiennent la même liste d’adresses IP publiques des nœuds. Si un ou les deuxréseaux de gestion et/ou de réplication ont été séparés, vous devez répertorier lesadresses IP du réseau correspondant.



Ajout d’un VDC à une fédération 43

Basculement sur incident d’un site/suppression d’un VDCUtilisez cette procédure pour supprimer un VDC. La suppression d’un VDC déclenche lebasculement du site si le VDC que vous supprimez fait partie d’une fédération multisite.

Si un sinistre se produit, un VDC tout entier peut devenir irrécupérable. ECS traiteinitialement le VDC irrécupérable comme une panne temporaire de site. Si la panne estpermanente, vous devez supprimer le VDC de la fédération pour déclencher le traitementdu basculement, qui reconstruit et reprotège les objets stockés sur le VDC en échec. Lestâches de restauration s’exécutent en arrière-plan. Vous pouvez suivre la progression duprocessus de restauration via Monitor > Geo Replication > Failover Processing.

Procédure

1. Connectez-vous à l’un des VDC opérationnels au sein de la fédération.

2. Accédez à Manage > Replication Group.

3. Cliquez sur l’option Edit correspondant au groupe de réplication qui contient le VDC àsupprimer.

4. Cliquez sur l’option Delete figurant sur la ligne qui contient le VDC et le pool destockage à supprimer.


6. Accédez à Manage > VDC. L’état du VDC supprimé de manière permanente passe àPermanently failed.

7. Sélectionnez Delete dans la liste déroulante figurant sur la ligne du VDC à supprimer.


Groupes de réplicationLes groupes de réplication sont des constructions logiques qui définissent où le contenudes pools de stockage doit être protégé. Un groupe de réplication peut être local ouglobal. Les groupes de réplication locaux protègent les objets au sein d’un même VDCcontre les défaillances de disque ou de nœud. Les groupes de réplication globauxprotègent les objets contre les défaillances de disque, de nœud et de site.

Remarque

Les groupes de réplication ne peuvent pas être modifiés après leur création. Si voussouhaitez qu’un groupe de réplication réplique les données entre les sites, vous devezvous assurer que les sites/VDC ont été fédérés avant d’essayer de créer le groupe deréplication.

Utilisez la page Manage Replication Groups pour afficher les informations relatives auxgroupes de réplication, en créer de nouveaux et en modifier. Vous ne pouvez passupprimer les groupes de réplication dans cette version.

Figure 8 Page Manage Replication Groups



Tableau 3 Propriétés d’un groupe de réplication

Champ Description

Name Nom du groupe de réplication.

VDC Nombre de VDC figurant dans le groupe de réplication et noms des VDC surlesquels les pools de stockage sont situés.

Storage pool Noms des pools de stockage et leurs VDC associés.

Status Les états possibles sont :

l En ligne

l Temp Unavailable : le trafic de réplication destiné à ce VDC est en échec. Sitout le trafic de réplication destiné au même VDC est dans l’état TempUnavailable, il est recommandé de procéder à une analyse plus approfondiede la cause de la défaillance.

Replicate toAll Sites

Un groupe de réplication pour lequel cette fonction est désactivée utilise laréplication par défaut. Avec la réplication par défaut, les données sont stockéessur le site principal et une copie complète est stockée sur un site secondairesélectionné parmi les sites du groupe de réplication. La copie secondaire estprotégée par la mise en miroir triple et le codage d’effacement. Ce processusassure la durabilité des données, ainsi que l’efficacité du stockage. Un groupede réplication pour lequel cette fonction est activée effectue une copie complèteaccessible en lecture de tous les objets sur tous les sites (VDC) de ce groupe. Laprésence de copies complètes accessibles en lecture dans tous les VDC dugroupe de réplication assure la durabilité des données et améliore lesperformances locales sur tous les sites, au détriment de l’efficacité du stockage.

Actions Edit : permet de modifier le nom du groupe de réplication et l’ensemble de VDCet de pools de stockage qu’il contient.

Création d’un groupe de réplicationSuivez cette procédure pour créer un groupe de réplication. Les groupes de réplicationpeuvent être locaux dans un VDC ou ils peuvent protéger les données en les répliquantentre les sites.

Avant de commencer

Si vous souhaitez que le groupe de réplication s’étende sur plusieurs VDC, vous devezvous assurer que les sites ont été installés et qu’ils ont été initialisés avec une identitéVDC et un pool de stockage pouvant faire partie du groupe de réplication.

Procédure

1. Sur le portal ECS, sélectionnez Manage > Replication Group .

2. Cliquez sur New Replication Group.

3. Saisissez un nom. Par exemple : ReplicationGroup1.

4. Décidez si vous souhaitez activer l’option Replicate to All Sites pour ce groupe deréplication. Cette option ne peut être activée qu’au moment de la création et ne peutpas être désactivée par la suite.

5. Cliquez sur Add VDC.

6. Sélectionnez un VDC et un pool de stockage dans la liste déroulante.


Création d’un groupe de réplication 45

Répétez cette étape pour ajouter tous les VDC et pools de stockage nécessaires pourassurer la protection des objets.


Configuration d’ESRSCette procédure décrit les étapes à suivre pour activer la configuration d’ESRS (EMCSecure Remote Support) sur ECS. ECS 2.2 ou version supérieure nécessite ESRS VirtualEdition.

Remarque

Cette tâche doit être exécutée une fois par site (VDC) dans le cadre du déploiement, depréférence sur le nœud 1 du rack 1 du site.

Procédure

1. Exécutez les procédures d’installation/de mise à niveau et les configurationsmanuelles postérieures à ces étapes.

2. Utilisez un éditeur pour créer les informations du client dans un fichier JSON.

a. Créez un fichier texte de l’enregistrement client au format JSON :

Dans cet exemple, un fichier nommé customer.json est créé à l’aide del’éditeur vi.

vi /var/tmp/customer.json

b. Ajoutez les données du client au fichier JSON.

Par exemple :

{"customer_data":{"serial":"ABCDE00009","customer_name":"ABCQE_MelonA","customer_email":"[email protected]"}}

c. Accédez au répertoire cli.

cd /opt/emc/caspian/fabric/cli

d. Validez le format du fichier JSON à l’aide de l’outil Python mjson.tool.

provo-melon:/opt/emc/caspian/fabric/cli # cat /var/tmp/customer.json | python -mjson.tool

Exemple de sortie :

{ "status": "OK", "etag": 90, "customer_data":{ "serial":"ABCDE00009", "customer_name":"ABCQE_MelonA", "customer_email":"[email protected]" }}



3. Exécutez fcli pour configurer les informations du client et le numéro de série sur lecluster.

a. Définissez les données du client à l’aide du contenu du fichier JSON.

provo-melon:/opt/emc/caspian/fabric/cli # cat /var/tmp/customer.json | bin/fcli lifecycle cluster.setcustomer --body

Exemple de sortie :

{ "status": "OK", "etag": 90}

b. Vérifiez que les données du client ont bien été définies.

provo-melon:/opt/emc/caspian/fabric/cli # bin/fcli lifecyclecluster.customer

Exemple de sortie :

{ "status": "OK", "etag": 90, "customer_data": { "serial": "ABCD00009", "customer_name": "ABCQE_MelonA", "customer_email": "[email protected]"}}

c. Activez la fonction d’appel à distance.

provo-melon:/opt/emc/caspian/fabric/cli # bin/fcli lifecyclealert.callhomeenabled

Exemple de sortie :

{ "status": "OK", "etag": 90, "callhome_enabled": true}

4. Vous pouvez ajouter ou mettre à jour un serveur ESRS sur le portail ECS. Si vousdisposez déjà d’un serveur ESRS activé, vous devez le supprimer, puis ajouter lenouveau serveur. Accédez à Settings > ESRS, puis ajoutez les informations suivantes :FQDN/IP, PORT, Username, Password.

Lors de la configuration d’ESRS avec ECS, les mots de passe de type FOB ne sont paspris en charge. Utilisez les informations d’identification du client pour le sitesupport.emc.com.

Remarque

Pour la version 2.2, vous devez supprimer, puis ajouter tout serveur ESRS existant quevous modifiez via le portail ECS. La modification du serveur ne fonctionne pas avec laversion 2.2.


Configuration d’ESRS 47

Vérification de la configuration de la fonction d’appel à distanceVérifiez que vous avez correctement configuré la fonction d’appel à distance ESRS.

Vous pouvez tester le fonctionnement de l’appel à distance en générant une alerte detest, puis en vérifiant que l’alerte est bien reçue.

Procédure

1. Générez une alerte de test en procédant comme suit.

a. Authentifiez-vous auprès d’ECS Management REST API.

Par exemple, avec curl :

curl -L --location-trusted -k https://10.247.195.49:4443/login -u "root:ChangeMe" -v

Le token X-SDS-AUTH-TOKEN: obtenu peut être utilisé pour s’authentifier auprèsd’ECS en vue d’exécuter des commandes ECS Management REST API.

b. Générez une alerte de test.

Par exemple :

curl -i -k -X POST https://10.247.195.49:4443/vdc/callhome/alert -H "X-SDS-AUTH-TOKEN:<AUTH_TOKEN>" -H "Content-Type: application/json" -d '{"user_str": "test alert for ESRS", "contact": "[email protected]"}'

2. Sur le portail ECS, vérifiez que la notification ESRS a été reçue.

3. Vérifiez que la dernière alerte de test est bien présente.

a. Établissez une connexion SSH au serveur ESRS.

b. Accédez à l’emplacement du fichier RSC.

cd /opt/connectemc/archive/

c. Recherchez le fichier RSC le plus récent, comme suit :

ls –lrt RSC_<SERIAL NUMBER>*”

d. Ouvrez le fichier et vérifiez que l’alerte de test la plus récente est présente dans ladescription.



CHAPITRE 5

Configuration d’un espace de nommage

l Configuration d’un espace de nommage................................................................50l Comprendre les tenants........................................................................................ 50l Comprendre les paramètres des espaces de nommage......................................... 51l Utilisation des espaces de nommage sur le portail ECS......................................... 54l Création et configuration d’un espace de nommage.............................................. 55

Configuration d’un espace de nommage 49

Configuration d’un espace de nommageLes espaces de nommage fournissent le mécanisme qui permet à plusieurs tenantsd’accéder à la zone de stockage d’objets d’ECS et garantit que les objets et les bucketsécrits par les utilisateurs d’un tenant sont séparés des utilisateurs d’autres tenants.

Cet article présente les concepts associés aux tenants et à la configuration de l’espacede nommage :

l Comprendre les tenants à la page 50

l Comprendre les paramètres des espaces de nommage à la page 51

l Utilisation des espaces de nommage sur le portail ECS à la page 54

Il décrit les opérations requises pour configurer un espace de nommage à l’aide duportail ECS :

l Création et configuration d’un espace de nommage à la page 55

Alors que les opérations de configuration décrites dans cet article utilisent le portail ECS,les concepts décrits dans Comprendre les tenants à la page 50 et Comprendre lesparamètres des espaces de nommage à la page 51 s’appliquent, que vous utilisiez leportail ou l’API REST.

Comprendre les tenantsECS prend en charge l’accès par plusieurs tenants, où chaque tenant est défini par unespace de nommage. Ce dernier est doté d’un ensemble d’utilisateurs configurés quipeuvent stocker des objets et y accéder au sein de cet espace de nommage.

Les espaces de nommage sont des ressources globales d’ECS. Un administrateursystème ou un administrateur d’espace de nommage qui accède à ECS depuis n’importequel VDC fédéré peut configurer les paramètres de l’espace de nommage. Par ailleurs, lesutilisateurs d’objets attribués à un espace de nommage sont globaux et peuvent accéderà la zone de stockage d’objets depuis n’importe quel VDC fédéré.

La caractéristique clé d’un espace de nommage tient au fait que ses utilisateurs nepeuvent pas accéder aux objets qui appartiennent à un autre espace de nommage. Parailleurs, ECS permet à une entreprise de configurer des espaces de nommage et desurveiller et suivre leur utilisation. Il permet également d’octroyer des droits de gestionau tenant pour lui permettre de réaliser des opérations de configuration, de surveillanceet de suivi d’utilisation.

Il est également possible d’utiliser les buckets comme moyen de créer des sous-tenants.Le propriétaire du bucket est l’administrateur du sous-tenant et peut attribuer desutilisateurs au sous-tenant à l’aide d’ACL. Néanmoins, les sous-tenants n’offrent pas lemême niveau de séparation que les tenants : tout utilisateur appartenant au tenant peutse voir octroyer des privilèges sur un sous-tenant. L’attribution d’utilisateurs doit doncêtre réalisée avec soin.

Les scénarios suivants sont pris en charge :

Tenant unique d'entreprise

Tous les utilisateurs accèdent aux buckets et aux objets au sein du même espace denommage. Il est possible de créer des sous-tenants (buckets) pour permettre à unsous-ensemble d’utilisateurs de l’espace de nommage d’accéder au mêmeensemble d’objets. Un sous-tenant peut être un département au sein de l’entreprise



Multitenant d’entreprise

Différents départements d’une entreprise sont attribués à différents espaces denommage et les utilisateurs des départements sont attribués à chaque espace denommage.

Tenant unique de Service Provider Cloud

Un seul espace de nommage est configuré et le Service Provider donne accès à lazone de stockage d’objets pour les utilisateurs situés à l’intérieur ou à l’extérieur del’entreprise.

Multitenant de Service Provider Cloud

Le Service Provider Cloud attribue des espaces de nommage à différentesentreprises et attribue un administrateur à l’espace de nommage. L’administrateurde l’espace de nommage associé au tenant peut ensuite ajouter des utilisateursainsi que surveiller et suivre l’utilisation des buckets et des objets.

Les fonctions de gestion des tenants sont décrites dans la section Gestion d’un tenant àla page 86.

Chaque tenant dispose d’un accès aux groupes de réplication rendus disponibles parl’administrateur système. En fonction des modèles d’accès d’un tenant, ils peuventnécessiter des groupes de réplication qui intègrent des sites situés dans des zonesgéographiques spécifiques. Par exemple, si le tenant d’un client est situé en Chine, ilpeut préférer accéder aux groupes de réplication qui intègrent des VDC situés en Chine.

Comprendre les paramètres des espaces de nommageUn espace de nommage fournit un mécanisme permettant de séparer les objets et lesbuckets, de façon qu’un objet d’un espace de nommage puisse avoir le même nom qu’unobjet d’un autre espace de nommage. ECS identifie toujours l’objet requis d’après lequalificateur d’espace de nommage. L’espace de nommage est également configuré avecdes attributs qui définissent quels utilisateurs peuvent accéder à l’espace de nommageet quelles sont les caractéristiques de l’espace de nommage. Vous pouvez considérer unespace de nommage ECS comme un tenant.

Les utilisateurs disposant des privilèges appropriés peuvent créer des buckets, et desobjets dans ces buckets, au sein de l’espace de nommage.

La manière dont les noms des espaces de nommage et des buckets sont utilisés lors del’adressage d’objets dans ECS est décrite dans la section Adressage du stockage enmode objet d’ECS et utilisation de l’URL de base à la page 144.

Un espace de nommage ECS possède les attributs suivants :

Champ Description Modifiable

Name Nom de l’espace de nommage. Ce nom doit être exclusivementcomposé de caractères en minuscule.

Non

Namespace Admin -User

ID utilisateur d’un ou plusieurs utilisateurs auxquels voussouhaitez attribuer le rôle d’administrateur d’espace denommage. Les utilisateurs qui figurent dans la liste doivent êtreséparés par des virgules.Les administrateurs d’espace de nommage peuvent être desutilisateurs locaux ou du domaine. Si vous souhaitez quel’administrateur d’espace de nommage soit un utilisateur du

Oui


Comprendre les paramètres des espaces de nommage 51


domaine, vous devrez vous assurer qu’un fournisseurd’authentification a été ajouté à ECS. Reportez-vous à la section Gestion des utilisateurs et des rôles à la page 70 pour ensavoir plus.

Namespace Admin -Domain Group

Groupe de domaine que vous souhaitez attribuer au rôleAdministrateur d’espace de nommage. Tous ses membres, unefois authentifiés, sont associés au rôle Administrateur d’espacede nommage de cet espace de nommage. Le groupe doit êtreattribué à l’espace de nommage via la définition des mappagesd’utilisateur de domaine pour l’espace de nommage.Pour utiliser cette fonction, vous devez vous assurer qu’unfournisseur d’authentification a été ajouté à ECS. Reportez-vousà la section Gestion des utilisateurs et des rôles à la page 70pour en savoir plus.

Oui

Replication Group Le groupe de réplication par défaut de l’espace de nommage. Oui

Namespace Quota Active des quotas pour l’espace de nommage. Les quotass’appliquent au stockage total utilisé par l’espace de nommage.Des limites souples et strictes peuvent être définies de façon àdéclencher une notification lorsqu’une limite définie est atteinteet à bloquer l’accès à l’espace de nommage lorsque le stockagemaximal est atteint.

Oui

Bucket Quota(Bucket Default)

Définit un quota par défaut à appliquer aux buckets créés danscet espace de nommage. Le quota par défaut est un quota deblocage qui, lorsqu’il est atteint, empêche les accès en écriture/modification au bucket.Le quota de bucket par défaut est appliqué au moment de lacréation du bucket. Par conséquent, la modification du quota debucket par défaut ne s’appliquera pas aux buckets déjà créés.

Oui

Server-sideEncryption (BucketDefault)

Définit une valeur par défaut pour le chiffrement côté serveur àappliquer aux buckets créés dans cet espace de nommage.Le chiffrement côté serveur est également appelé chiffrementdes données inactives ou D@RE (Data At Rest Encryption). Cettefonction chiffre les données à la volée avant de les stocker surdes disques ECS. Ce chiffrement empêche la récupération dedonnées sensibles sur des médias mis au rebut ou volés. Si lechiffrement est activé pour l’espace de nommage, tous lesbuckets contenus dans celui-ci sont chiffrés, sauf si vousdésactivez le chiffrement pour le bucket lors de sa création.Pour obtenir une description complète de cette fonction,consultez le Guide de configuration de la sécurité ECS.

Non

Access DuringOutage (BucketDefault)

Définit une valeur par défaut pour l’accès en cas de panne àappliquer aux buckets créés dans cet espace de nommage.

Oui

Compliance (BucketDefault)

ECS propose des fonctions de rétention d’objet qui sontactivées ou définies au niveau de l’objet, du bucket ou del’espace de nommage. La conformité renforce ces fonctions enlimitant les modifications qui peuvent être apportées auxparamètres de rétention pour les objets en cours de rétention.

Non




Les règles de conformité sont les suivantes :

l La conformité est activée au niveau de l’espace denommage. Cela signifie que tous les buckets de l’espace denommage doivent avoir une période de rétention supérieureà zéro.

l La conformité peut uniquement être activée pour un espacede nommage au moment de la création de celui-ci. Elle nepeut pas être ajoutée à un espace de nommage existant.

l Une fois activée, elle ne peut pas être désactivée.

l Tous les buckets d’un espace de nommage doivent avoirune période de rétention supérieure à zéro.

Remarque

Si vous disposez d’une application qui attribue des périodesde rétention au niveau de l’objet, n’utilisez pas ECS pourattribuer une période de rétention supérieure à celle del’application. Cela entraînerait des erreurs d’application.

l Un bucket ne peut pas être supprimé alors qu’il contientdes données, quel que soit son paramètre de rétention.

l L’utilisation de l’option Infinite avec un bucket signifie queles objets de ce bucket dans un espace de nommage avecconformité activée ne peuvent jamais être supprimés.

l La période de rétention d’un objet ne peut pas êtresupprimée ni réduite. Par conséquent, la période derétention d’un bucket ne peut pas être supprimée niréduite.

l Les périodes de rétention des objets et des bucketspeuvent être augmentées.

l Aucune fonction ne peut supprimer un objet en cours derétention. Cela inclut l’autorisation de suppression avecprivilèges de CAS.

Retention Policies Permet d’ajouter et de configurer une ou plusieurs politiques derétention.Un espace de nommage peut être associé à plusieurs politiquesde rétention, chaque politique définissant une période derétention. Si vous appliquez une politique de rétention àplusieurs objets, plutôt que d’appliquer directement unepériode de rétention, toute modification de la politique derétention entraînera la modification de la politique de rétentionpour l’ensemble des objets soumis à cette politique. Toutedemande de modification d’un objet réalisée avant l’expirationde la période de rétention sera interdite.

Il est également possible de spécifier des politiques derétention ainsi qu’un quota pour l’espace de nommage. Lasection Politiques et périodes de rétention à la page 87 fournitde plus amples information sur l’utilisation de ces fonctions.

Oui


Comprendre les paramètres des espaces de nommage 53


Domain Permet de spécifier des domaines AD/LDAP et de configurer lesrègles d’inclusion d’utilisateurs depuis le domaine.Les utilisateurs de domaine peuvent être attribués à des rôlesde gestion d’ECS. En outre, les utilisateurs appartenant audomaine peuvent utiliser la fonction de libre-service d’ECS pours’inscrire en tant qu’utilisateurs d’objets.

Le mappage des utilisateurs de domaine dans un espace denommage est décrit à la section Présentation du mappage desutilisateurs dans un espace de nommage à la page 81.

Oui

L’attribut suivant peut être défini à l’aide d’ECS Management REST API et non sur leportail ECS.

Allowed (et Disallowed) Replication Groups

Permet à un client d’indiquer quels groupes de réplication peuvent être utilisés parl’espace de nommage.

Utilisation des espaces de nommage sur le portail ECSLa page consacrée aux espaces de nommage portail, Manage > Namespace, permet decréer des espaces de nommage et fournit un tableau qui répertorie les espaces denommage et permet de les modifier.

Figure 9 Page de gestion des espaces de nommage

Ce tableau comprend les champs suivants :

Champ Description

Name Nom de l’espace de nommage.

Replication Group Groupe de réplication par défaut de l’espace de nommage.

Notification Quota Limite de quota à laquelle une notification est générée.

Max Quota Limite de quota à laquelle les écritures sur l’espace de nommage serontbloquées.

Encryption Spécifie si le chiffrement D@RE côté serveur est activé pour l’espace denommage.

Actions Actions qu’il est possible d’effectuer sur l’espace de nommage. Les actions

Edit et Delete sont disponibles.



Création et configuration d’un espace de nommageVous pouvez créer un nouvel espace de nommage ou modifier la configuration d’unespace de nommage existant sur la page Manage > Namespace.

Avant de commencer

l Pour effectuer cette opération, le rôle d’administrateur système doit vous avoir étéattribué dans ECS.

l L’existence d’un groupe de réplication est indispensable. Le groupe de réplicationpermet d’accéder aux pools de stockage dans lesquels sont stockées les donnéesd’objet.

l Si vous souhaitez autoriser les utilisateurs de domaine à accéder à l’espace denommage, un fournisseur d’authentification doit avoir été ajouté à ECS. En outre, sivous avez l’intention de configurer des utilisateurs d’objets de domaine ou un groupede domaine, vous devez planifier la façon dont vous souhaitez mapper lesutilisateurs dans l’espace de nommage. Vous pouvez consulter la section Gestiondes utilisateurs et des rôles à la page 70 pour plus d’informations sur le mappaged’utilisateurs.

Assurez-vous d’avoir pris connaissance des informations générales sur les espaces denommage, fournies dans la section Comprendre les paramètres des espaces denommage à la page 51.

Procédure

1. Sur le ECSportail, sélectionnez Manage > Namespace

2. Pour créer un nouvel espace de nommage, sélectionnez New Namespace. Pourmodifier la configuration d’un espace de nommage existant, choisissez l’action Editassociée à celui-ci.


Création et configuration d’un espace de nommage 55

3. Définissez l’administrateur d’espace de nommage en saisissant un utilisateur local oude domaine dans le champ User Admin et/ou en ajoutant un groupe de domaine dansle champ Domain Group Admin.

Plusieurs utilisateurs ou groupes peuvent être ajoutés via des listes de valeursséparées par des virgules.

4. Spécifiez la valeur appropriée dans chacun des champs de valeur par défaut dubucket.

Les options suivantes définissent la valeur par défaut lors de la création d’un bucket àl’aide d’un client d’objet :

l Default Bucket Quota

l Access During Outage

l Compliance

5. Indiquez si cet espace de nommage nécessite un chiffrement côté serveur. Si voussélectionnez Yes, le chiffrement côté serveur est activé pour chaque bucket de



l’espace de nommage, et tous les objets des buckets sont chiffrés. Si voussélectionnez No, vous pouvez tout de même appliquer le chiffrement côté serveur àcertains buckets de l’espace de nommage au moment de leur création.

6. Si vous souhaitez définir un quota pour l’espace de nommage, procédez comme suit :

a. Définissez l’option Namespace Quota sur Enabled.

b. Choisissez Notification Only ou Block Access

Si vous choisissez de bloquer l’accès lorsqu’une limite de stockage spécifiée estatteinte, vous pouvez également spécifier un pourcentage de cette limite quidéclenchera l’envoi d’une notification.

7. Ajoutez et configurez des politiques de rétention.

a. Dans la zone Retention Policies, sélectionnez Add pour ajouter une nouvellepolitique.

b. Saisissez un nom pour la politique.

c. Spécifiez la période à utiliser pour la politique de rétention.

Il peut s’agir d’une valeur en minutes ou vous pouvez sélectionner la case Infinitepour vous assurer que les buckets associés à cette politique de rétention neseront jamais supprimés.

8. Indiquez un domaine AD/LDAP dont les utilisateurs peuvent se connecter à ECS, puisexécutez les tâches d’administration pour l’espace de nommage.

Saisissez le nom du domaine et spécifiez des groupes et attributs pour fournir uncontrôle plus précis sur les utilisateurs du domaine autorisés à accéder à ECS dansl’espace de nommage actuel.

Pour réaliser des mappages plus complexes à l’aide des groupes et des attributs,reportez-vous à la section Gestion des utilisateurs et des rôles à la page 70.

9. Sélectionnez Save.


Création et configuration d’un espace de nommage 57

CHAPITRE 6

Configuration d’un fournisseur d’authentification

l Configuration d’un fournisseur d’authentification..................................................60l Gestion des fournisseurs d’authentification au niveau du portail ECS....................60l Ajout d’un fournisseur d’authentification AD ou LDAP............................................61l Ajout d’un fournisseur d’authentification Keystone............................................... 66

Configuration d’un fournisseur d’authentification 59

Configuration d’un fournisseur d’authentificationDes fournisseurs d’authentification peuvent être ajoutés à ECS pour permettre auxutilisateurs d’être authentifiés par des systèmes externes à ECS.

Dans le contexte d’ECS, le terme fournisseur d’authentification désigne un systèmeexterne à ECS qui peut authentifier les utilisateurs pour le compte d’ECS. ECS doit stockerdes informations lui permettant de se connecter au fournisseur d’authentification et ainside demander l’authentification d’un utilisateur.

Dans ECS, il existe actuellement deux types principaux de fournisseursd’authentification :

AD/LDAP

Utilisé pour authentifier des utilisateurs de domaine associés à des rôles de gestiondans ECS.

Keystone

Utilisé pour authentifier les utilisateurs d’objets OpenStack Swift.

Les fournisseurs d’authentification peuvent être créés à partir du portail ECS (reportez-vous à la section Gestion des fournisseurs d’authentification au niveau du portail ECS àla page 60) ou à l’aide d’ECS Management REST API ou de la CLI. Vous pouvez suivreles procédures ci-dessous pour créer des fournisseurs d’authentification AD/LDAP ouKeystone.

l Ajout d’un fournisseur d’authentification AD ou LDAP à la page 61

l Ajout d’un fournisseur d’authentification Keystone à la page 66

Gestion des fournisseurs d’authentification au niveau du portailECS

Le portail ECS inclut une page Manage > Authentication permettant d’activer lesfournisseurs d’authentification à ajouter.

Vous ne pouvez accéder à la page Authentication Provider qui si vous êtesAdministrateur système (ou utilisateur root) de ECS.

La page Authentication Provider contient une table Authentication Provider répertoriantles fournisseurs d’authentification qui ont été créés. En voici un exemple :

La table permet d’accéder aux informations et opérations suivantes.



Attribut Description

Name Le nom donné au fournisseur d’authentification.

Type Indique si le fournisseur d’authentification est un serveur AD(Active Directory), LDAP (Lightweight Directory Access Protocol) ouKeystone V3.

Domaines Domaines auxquels le fournisseur d’authentification permet d’accéder.

Enabled Indique si le fournisseur d’authentification est actuellement activé(Enabled) ou désactivé (Disabled).

Actions Fournit un menu de sélections disponibles. Les actions disponibles sont

les suivantes : Edit et Delete.

La page Authentication Provider permet également d’accéder aux contrôles suivants :

Contrôle Description

New AuthenticationProvider

Le bouton New Authentication Provider active le fournisseurd’authentification à ajouter.

Ajout d’un fournisseur d’authentification AD ou LDAPL’authentification des utilisateurs de domaine ECS est effectuée à l’aide d’un ouplusieurs fournisseurs d’authentification ajoutés à ECS.

Avant de commencer

l Pour que vous puissiez ajouter un fournisseur d’authentification, le rôleAdministrateur système doit vous avoir été attribué dans ECS. L’utilisateur root a lerôle d’administrateur système.

l Vous avez besoin d’accéder aux informations sur les fournisseurs d’authentificationrépertoriées dans la section Paramètres des fournisseurs d’authentification à la page61. Notez les exigences relatives à l’utilisateur Manager DN.

Procédure

1. Dans le portail ECS, sélectionnez Manage > Authentication > New AuthenticationProviders.

2. Saisissez les valeurs des attributs. Reportez-vous à la section Paramètres desfournisseurs d’authentification à la page 61

3. Save.

4. Pour vérifier la configuration, ajoutez un utilisateur du fournisseur d’authentificationsous Manage > Users > Management Users, puis essayez de vous connecter en tantque nouvel utilisateur.

Paramètres des fournisseurs d’authentification AD/LDAPLorsque vous ajoutez ou modifiez un fournisseur d'authentification, vous devez fournircertaines informations.


Ajout d’un fournisseur d’authentification AD ou LDAP 61

Tableau 4 Paramètres des fournisseurs d’authentification

Nom du champ Description et exigences

Name Nom du fournisseur d’authentification. Vous pouvez avoirplusieurs fournisseurs pour différents domaines.

Description Description libre du fournisseur d’authentification.

Type Active Directory ou LDAP

Domains Active Directory et LDAP permettent aux administrateursd’organiser les objets d’un réseau (comme les utilisateurs, lesordinateurs et les périphériques) en une collection hiérarchiquede conteneurs.

Les domaines sont un ensemble d’objets définis de manièreadministrative qui partagent une base de données, desstratégies de sécurité et des relations de confiance avecd’autres domaines. Par conséquent, chaque domaine constitueune limite d’administration pour les objets. Un domaine uniquepeut couvrir plusieurs emplacements ou sites physiques et peutcontenir des millions d’objets.

L’entrée suivante est une entrée habituelle pour le champ dufournisseur d’authentification :

mycompany.com

Si un autre suffixe UPN est configuré dans Active Directory, laliste des domaines doit aussi contenir l’autre UPN configurépour le domaine. Par exemple, si myco est ajouté en tant

qu’autre suffixe UPN pour mycompany.com, alors la liste des

domaines doit à la fois contenir myco et mycompany.com.

Server URLs LDAP ou LDAPS (LDAP sécurisé) avec l’adresse IP du contrôleurde domaine. Le port par défaut du protocole LDAP est 389 etcelui du protocole LDAPS est 636.

Usage : un ou plusieurs

ldap://<IP du contrôleur de domaine>:<port> (si ce n’est pas leport par défaut)

ou

ldaps://<IP du contrôleur de domaine>:<port> (si ce n’est pas leport par défaut)

Si le fournisseur d’authentification prend en charge une forêtmultidomaine, utilisez l’adresse IP du serveur du catalogueGlobal et spécifiez toujours le numéro de port. La valeur pardéfaut est 3268 pour LDAP et 3269 pour LDAPS.

Usage : ldap(s)://<IP du serveur du catalogue Global>:<port>

Manager DN Indique le compte utilisateur de liaison Active Directory que ECSutilise pour se connecter à Active Directory ou au serveur LDAP.Ce compte sert, par exemple, à effectuer des recherches dansActive Directory lorsqu’un administrateur ECS choisit unutilisateur auquel attribuer un rôle.



Tableau 4 Paramètres des fournisseurs d’authentification (suite)


Exigences :

Cet utilisateur doit bénéficier de l’autorisation Lire toutes lesinformations inetOrgPerson dans Active Directory. La classed’objet InetOrgPerson est utilisée dans plusieurs servicesd’annuaire non Microsoft, Lightweight Directory Access Protocol(LDAP) et X.500 pour représenter les personnes dans uneorganisation.Pour définir ce privilège dans Active Directory, ouvrezUtilisateurs et ordinateurs Active Directory, cliquez avec lebouton droit de la souris sur le domaine, puis sélectionnez

Délégation de contrôle. Cliquez sur Suivant, puissélectionnez l’utilisateur que vous utilisez pour managerdn.

Cliquez sur Suivant. L’autorisation requise se trouve sur l’écransuivant « Lire toutes les informations inetOrgPerson ».

Exemple :

CN=Manager,CN=Users,DC=mydomaincontroller,DC=com

Dans cet exemple, l’utilisateur de liaison Active Directory estManager dans l’arborescence Utilisateurs du domainemydomaincontroller.com. En général, les privilèges attribués àl’utilisateur managerdn sont inférieurs à ceux del’administrateur, mais ils lui permettent d’exécuter des requêtesdans Active Directory pour obtenir des informations sur lesgroupes et les attributs des utilisateurs.

AVERTISSEMENT

Vous devez mettre à jour cette valeur dans ECS en cas demodification des informations d’identification de managerdndans Active Directory.

Manager Password Mot de passe de l’utilisateur managerdn.

AVERTISSEMENT

Vous devez mettre à jour cette valeur dans ECS en cas demodification des informations d’identification de managerdndans Active Directory.

Providers Sélectionnez Disabled si vous souhaitez ajouter le serveur à ECSmais sans l’utiliser dans l’immédiat pour l’authentification. (Quecette propriété ait ou non la valeur True, ECS confirme que lenom et le domaine du fournisseur sont uniques.)

Group Attribute Indique l’attribut Active Directory utilisé pour identifier ungroupe. Utilisé pour effectuer une recherche par groupe dansl’annuaire.

Exemple : CN

Active Directory uniquement. Ne s’applique pas aux autresfournisseurs d’authentification.


Paramètres des fournisseurs d’authentification AD/LDAP 63



Remarque

Une fois cette valeur définie pour un fournisseur, elle ne peutplus être modifiée car les tenants utilisant ce fournisseurdisposent peut-être d’autorisations et de rôles qui ont étéconfigurés avec des noms de groupe dont le format utilisel’attribut actuel.

Group Whitelist (facultatif). Un ou plusieurs noms de groupe définis par lefournisseur d’authentification. Ce paramètre filtre lesinformations relatives à l’appartenance aux groupes récupéréespar ECS pour un utilisateur spécifique.

l Lorsqu’un ou plusieurs groupes sont inclus dans la listeblanche, ECS sait si l’utilisateur appartient à ce ou cesgroupes uniquement. Les valeurs multiples (une par lignedans ECS, séparées par des virgules dans l’interfaceutilisateur et la CLI) et les caractères génériques (parexemple MyGroup*, TopAdminUsers*) sont autorisés.

l Si aucune valeur n’est saisie (par défaut), ECS voit tous lesgroupes auxquels un utilisateur appartient. L’astérisque (*)donne le même résultat qu’une valeur vierge.

Exemple :

L’UtilisateurA appartient au Groupe1 et au Groupe2.

Si la liste blanche est vide, ECS sait que l’UtilisateurA estmembre du Groupe1 et du Groupe2.

Si la liste blanche est définie sur « Groupe1 », ECS sait quel’UtilisateurA est membre du Groupe1, mais ne sait pas s’il estmembre du Groupe2 (ou de tout autre groupe).

Soyez vigilant lorsque vous ajoutez une valeur dans la listeblanche. Par exemple, si le mappage d’un utilisateur à un tenantest basé sur l’appartenance à un groupe, ECS doit savoir sil’utilisateur est membre du groupe concerné.

Pour restreindre l’accès à un espace de nommage auxutilisateurs d’un ou de certains groupes uniquement, il faut :

l Ajouter ce ou ces groupes au mappage des utilisateurs del’espace de nommage de sorte que le tenant accepteuniquement les utilisateurs de ce ou ces groupes.

l Ajouter ce ou ces groupes à la liste blanche afin que ECSsoit autorisé à recevoir les informations les concernant.

Par défaut, si aucun groupe n’est ajouté au mappage desutilisateurs au tenant, les utilisateurs de tous les groupes sontacceptés, quelle que soit la configuration de la liste blanche.

Active Directory uniquement. Ne s’applique pas aux autresfournisseurs d’authentification.





Search Scope Un niveau (recherche des utilisateurs un niveau en dessous dela base de recherche) ou Sous-arbre (recherche dans l’ensembledu sous-arbre sous la base de recherche).

Search Base Indique le nom unique de base utilisé par ECS pour rechercherles utilisateurs au moment de la connexion et lors del’attribution des rôles ou du paramétrage des ACL.

Exemple : CN=Users,DC=mydomaincontroller,DC=com

Cet exemple permet de rechercher tous les utilisateurs dans leconteneur Utilisateurs.

Exemple :CN=Users,OU=myGroup,DC=mydomaincontroller,DC=com

Cet exemple permet de rechercher tous les utilisateurs dans leconteneur Utilisateurs dans l’unité d’organisation myGroup.

Notez que la structure de la valeur searchbase commence par leniveau « feuille » et remonte jusqu’au niveau du contrôleur dedomaine ; cette structure est le contraire de celle vue dansl’interface Utilisateurs et ordinateurs Active Directory.

Search Filter Indique la chaîne utilisée pour sélectionner des sous-ensemblesd’utilisateurs. Exemple : userPrincipalName=%u

Remarque

ECS ne valide pas cette valeur lorsque vous ajoutez lefournisseur d’authentification.

Si un autre suffixe UPN est configuré dans Active Directory, lavaleur du filtre de recherche doit être au formatAMAccountName=%U, où %U représente le nom d’utilisateur,sans le nom de domaine.

Éléments à prendre en compte lors de l'ajout de fournisseurs d'authentificationLorsque vous configurez ECS pour l’utiliser avec Active Directory, vous devez choisir degérer plusieurs domaines avec un fournisseur d’authentification unique ou d’ajouter desfournisseurs d’authentification distincts pour chaque domaine.

La décision d'ajouter un fournisseur d'authentification unique ou d'en ajouter plusieursdépend du nombre de domaines dans l'environnement, ainsi que de l'emplacement dansl'arborescence depuis lequel l'utilisateur gestionnaire est autorisé à effectuer desrecherches. Les fournisseurs d'authentification disposent d'une base de recherche(search_base) unique dans laquelle sont effectués les recherches. Ils ont un compte degestionnaire unique qui doit disposer d'un accès en lecture au niveau search_base et auxniveaux inférieurs.

Utilisez un fournisseur d’authentification unique pour plusieurs domaines si vous gérezune forêt Active Directory et si :l le gestionnaire de compte a des privilèges lui permettant de faire des recherches

suffisamment poussées dans l’arborescence pour accéder à toutes les entréesutilisateur ;


Paramètres des fournisseurs d’authentification AD/LDAP 65

l la recherche va porter sur l’ensemble de la forêt à partir d’une base de rechercheunique, et non uniquement sur les domaines répertoriés dans le fournisseur.

Dans le cas contraire, configurez un fournisseur d'authentification pour chaque domaine.

Notez que même si vous gérez une forêt et que vous disposez des privilèges appropriés,vous pouvez choisir de ne pas gérer les domaines avec un fournisseur d'authentificationunique. Vous pouvez utiliser un fournisseur d'authentification par domaine lorsque vousavez besoin d'accéder à des détails et de contrôler avec précision chaque domaine,notamment pour définir le point de départ de la recherche dans la base de recherche.Étant donné qu'il n'existe qu'une seule base de recherche par configuration, elle doitinclure l'ensemble des éléments de la configuration pour que la recherche soitperformante.

La base de recherche doit se trouver à un niveau suffisamment élevé dans la structuredes répertoires de la forêt pour que tous les utilisateurs dans les domaines ciblés soientinclus dans la recherche.

l Si la forêt contient dix domaines mais que vous ne souhaitez en cibler que trois,n'utilisez pas une configuration avec fournisseur unique car la recherche portera surl'ensemble de la forêt, ce qui peut avoir un impact sur les performances. Dans ce cas,utilisez trois configurations distinctes.

l Si la forêt contient dix domaines et que vous souhaitez tous les cibler, optez pourune configuration globale afin de limiter le paramétrage de surcharge.

Ajout d’un fournisseur d’authentification KeystoneVous pouvez ajouter un fournisseur d’authentification Keystone afin qu’il authentifie lesutilisateurs OpenStack Swift.

Avant de commencer

l Pour que vous puissiez ajouter un fournisseur d’authentification, le rôleAdministrateur système doit vous avoir été attribué dans ECS. L’utilisateur root a lerôle d’administrateur système.

l Vous devez avoir accès aux informations du fournisseur d’authentificationrépertoriées à la section Paramètres du fournisseur d’authentification Keystone à lapage 66.

Procédure

1. Dans le portail ECS, sélectionnez Manage > Authentication > New AuthenticationProviders.

2. Saisissez les valeurs des attributs. Reportez-vous au Paramètres du fournisseur d’authentification Keystone à la page 66.

3. Save.

Paramètres du fournisseur d’authentification KeystoneLorsque vous ajoutez ou modifiez un fournisseur d’authentification Keystone, vous devezfournir certaines informations.

Champ Description

Name Nom du fournisseur d’authentification Keystone. Ce nom est utilisé pouridentifier le fournisseur dans ECS.

Description Description libre du fournisseur d'authentification.



Champ Description

Type Keystone V3

Server URL URl du système Keystone auquel se connectera ECS pour demanderl’authentification des utilisateurs Swift.

Keystone Administrator Nom d’utilisateur d’un administrateur du système Keystone. ECS seconnectera au système Keystone à l’aide de ce nom d’utilisateur.

Admin Password Mot de passe de l’administrateur Keystone spécifié.


Paramètres du fournisseur d’authentification Keystone 67

CHAPITRE 7

Gérer les utilisateurs

l Gestion des utilisateurs et des rôles......................................................................70l Présentation des utilisateurs et des rôles dans ECS...............................................70l Gestion des utilisateurs au niveau du portail ECS..................................................74l Présentation du mappage des utilisateurs dans un espace de nommage.............. 81

Gérer les utilisateurs 69

Gestion des utilisateurs et des rôlesCet article décrit les types d’utilisateurs pris en charge par ECS et les rôles qui peuventleur être attribués.

Il présente les principaux concepts associés aux utilisateurs et aux rôles d’ECS :

l Présentation des utilisateurs et des rôles dans ECS à la page 70l Gestion des utilisateurs au niveau du portail ECS à la page 74

Puis il explique de quelle manière ajouter des utilisateurs de gestion et des utilisateurs d’objets :

l Ajout d’un nouvel utilisateur d’objets à la page 76l Ajout d’un utilisateur de domaine en tant qu’utilisateur d’objets à la page 77l Création d’un utilisateur local de gestion ou attribution d’un rôle de gestion à un

utilisateur de domaine à la page 78l Création d’un administrateur d’espace de nommage à la page 80

Il indique par ailleurs comment procéder au mappage des utilisateurs de domaine dansun espace de nommage :

l Mappage des utilisateurs de domaine dans l’espace de nommage à la page 83

Présentation des utilisateurs et des rôles dans ECSECS définit différents types d’utilisateurs et rôles pour déterminer l’accès aux fonctionsde gestion d’ECS et à la zone de stockage d’objets.

Les principaux concepts associés aux rôles et aux utilisateurs sont décrits dans lessections suivantes :

l Utilisateurs dans ECS à la page 70l Rôles Utilisateur à la page 72l Utilisateurs de domaine et locaux à la page 73l Périmètre utilisateur : global ou espace de nommage à la page 74

Utilisateurs dans ECSECS nécessite deux types d’utilisateurs : les utilisateurs de gestion, qui peuvent procéderà l’administration d’ECS, et les utilisateurs d’objets, qui accèdent à la zone de stockaged’objets pour lire et écrire des objets et des buckets en utilisant les protocoles d’accèsaux données pris en charge (S3, EMC Atmos, OpenStack Swift et CAS).

Les utilisateurs de gestion peuvent accéder au portail ECS. Les utilisateurs d’objets nepeuvent pas accéder au portail ECS, mais peuvent accéder à la zone de stockage d’objetsà l’aide des clients qui prennent en charge les protocoles d’accès aux données d’ECS.

Les utilisateurs de gestion et les utilisateurs d’objets sont stockés dans différentestables et leurs informations d’identification sont différentes. Les utilisateurs de gestionont besoin d’un nom d’utilisateur et d’un mot de passe en local, ou d’un lien vers uncompte d’utilisateur de domaine. Les utilisateurs d’objets ont besoin d’un nomd’utilisateur et d’une clé secrète. Vous pouvez donc créer un utilisateur de gestion et unutilisateur d’objets portant le même nom. Toutefois, il s’agit bien d’utilisateurs différentspuisque leurs informations d’identification sont différentes.

En outre, les noms des utilisateurs de gestion et des utilisateurs d’objets peuvent êtreuniques au sein du système ECS ou uniques au sein d’un espace de nommage. Cela



s’appelle un périmètre utilisateur. Pour plus d’informations, reportez-vous à la section Périmètre utilisateur : global ou espace de nommage à la page 74.

Vous trouverez plus d’informations sur les types d’utilisateurs pris en charge dans lessections suivantes :

l Utilisateurs de gestion à la page 71

l Utilisateurs d’objets à la page 71

l Utilisateur racine à la page 71

Utilisateurs de gestionLes utilisateurs de gestion peuvent procéder à la configuration et à l’administration dusystème ECS et des tenants configurés dans ECS.

Les utilisateurs de gestion peuvent être des utilisateurs locaux dont les informationsd’identification sont stockées par ECS et sont authentifiées par ECS par rapport auxinformations d’identification définies en local. Ils peuvent également être des utilisateursde domaine définis dans Active Directory (AD) ou Lightweight Directory Access Protocol(LDAP) et authentifiés par rapport aux utilisateurs définis dans ces systèmes. Pour ensavoir plus sur les utilisateurs de domaine et locaux, reportez-vous à la section Utilisateurs de domaine et locaux à la page 73.

Les utilisateurs de gestion ne sont pas répliqués sur les VDC géofédérés.

Utilisateurs d’objetsLes utilisateurs d’objets sont ceux qui utilisent la zone de stockage d’objets ECS et yaccèdent via des clients d’objet à l’aide des protocoles d’objet ECS pris en charge (S3,EMC Atmos, Openstack Swift et CAS). Les utilisateurs d’objets peuvent égalementrecevoir des autorisations de type Unix pour accéder aux buckets exportés en tant quesystèmes de fichiers pour HDFS.

Les utilisateurs d’objets sont définis par un nom d’utilisateur et une clé secrète quipermettent d’accéder au stockage an mode objet. Les noms d’utilisateurs peuvent êtredes noms locaux ou des noms d’utilisateurs de domaine comportant un « @ ».

Un utilisateur de gestion peut créer un compte d’utilisateur d’objets et attribuer à celui-ciune clé secrète au moment de sa création ou à tout moment, ultérieurement. Lorsque lesutilisateurs d’objets sont créés par un utilisateur de gestion, leurs clés secrètes leur sontdistribuées par e-mail ou par d’autres moyens.

En ce qui concerne les utilisateurs de domaine, les utilisateurs d’objets ont la possibilitéd’obtenir une clé secrète à l’aide de la fonctionnalité de libre-service d’ECS, parl’intermédiaire d’un client interagissant avec l’API REST d’ECS (les utilisateurs d’objetsn’ont pas accès au portail ECS). Pour en savoir plus sur les utilisateurs de domaine,reportez-vous à la section Utilisateurs de domaine et locaux à la page 73. Vous pouvezégalement vous reporter à la section Guide d’accès aux données : Obtention de la clésecrète d’accès au stockage en mode objet pour plus d’informations sur la création d’uneclé secrète.

Les utilisateurs d’objets sont des ressources globales. Un utilisateur d’objets créé auniveau d’un VDC peut donc recevoir des privilèges de lecture et d’écriture des buckets etdes objets, au sein de l’espace de nommage auquel il a été attribué, depuis n’importequel VDC.

Utilisateur racineL’utilisateur root est disponible à l’initialisation du système et le rôle d’Administrateursystème lui est pré-attribué.


Utilisateurs dans ECS 71

Le compte utilisateur root doit uniquement être utilisé pour l’accès initial au système.Lors de l’accès initial, vous devez modifier le mot de passe de l’utilisateur root sur lapage Settings > Password, et créer un ou plusieurs nouveaux comptes Administrateursystème.

Du point de vue de l’audit, comme il est important de savoir quel utilisateur a apportédes changements au système, le compte utilisateur root ne doit pas être utilisé, etchaque utilisateur Administrateur système doit disposer de son propre compte.

Rôles UtilisateurECS définit des rôles pour déterminer les opérations qu’un compte utilisateur peuteffectuer sur le portail ECS ou lors de l’accès à ECS via ECS Management REST API. Il estpossible d’attribuer des rôles d’administration aux utilisateurs et groupes de gestiondans ECS, qu’ils soient des utilisateurs locaux ou de domaine. Des rôles peuventégalement être attribués à des noms de groupe Active Directory.

Les rôles de gestion suivants sont définis :l Administrateur système à la page 72l Surveillance du système à la page 72l Administrateur d’espace de nommage à la page 72

Administrateur systèmeLe rôle Administrateur système peut configurer ECS et spécifier le stockage utilisé pour lazone de stockage d’objets, la manière dont le stockage est répliqué, la manière dontl’accès du tenant à la zone de stockage d’objets est configuré, ainsi que les utilisateursayant des autorisations d’accès à un espace de nommage attribué.

L’administrateur système peut également configurer des espaces de nommage etprocéder à l’administration d’un espace de nommage, ou encore désigner un utilisateurqui appartient à l’espace de nommage comme Administrateur d’espace de nommage.

L’administrateur système a accès au portail ECS ; il peut également effectuer desopérations d’administration système à partir de programmes clients en utilisantl’ECS Management REST API.

Les utilisateurs de gestion n’étant pas répliqués sur l’ensemble des sites, vous devezcréer un administrateur système au niveau de chaque VDC en exigeant un.

Surveillance du systèmeLe rôle Surveillance du système peut afficher toutes les données du portail ECS, mais ilne peut pas apporter de modifications.

Le rôle Surveillance du système peut afficher toutes les données du portail ECS, mais ilne peut pas provisionner le système ECS. Il ne peut pas créer, mettre à jour ni supprimerdes pools de stockage, des groupes de réplication, des espaces de nommage, desbuckets, des utilisateurs, etc. via le portail ou via ECS Management API. Il ne peutmodifier aucun paramètre du portail, à l’exception de son propre mot de passe.

Les utilisateurs de gestion n’étant pas répliqués sur l’ensemble des sites, vous devezcréer un utilisateur ayant le rôle Surveillance du système au niveau de chaque VDC ennécessitant un.

Administrateur d’espace de nommageL’administrateur d’espace de nommage est un utilisateur de gestion qui peut accéder auportail ECS pour configurer les paramètres de l’espace de nommage, comme les quotaset les périodes de rétention. Il peut également mapper les utilisateurs de domaine dansl’espace de nommage et désigner des utilisateurs locaux comme utilisateurs d’objets



pour l’espace de nommage. Les opérations de l’administrateur d’espace de nommagepeuvent également être effectuées en utilisant l’ECS Management REST API.

Un administrateur d’espace de nommage est obligatoirement l’administrateur d’un seulespace de nommage.

Les fournisseurs d’authentification et les espaces de nommage sont répliqués sur tousles sites (ce sont des ressources ECS globales). Un utilisateur de domaine qui estadministrateur d’espace de nommage peut donc se connecter sur n’importe quel site etprocéder à l’administration de l’espace de nommage depuis ce site.

Les comptes locaux de gestion ne sont pas répliqués sur les différents sites. Unutilisateur local jouant le rôle d’administrateur de l’espace de nommage peut doncseulement se connecter au VDC dans lequel le compte d’utilisateur de gestion a été créé.Si vous souhaitez qu’un même nom d’utilisateur existe dans un autre VDC, vous devezcréer cet utilisateur dans l’autre VDC. Comme il s’agit de comptes différents, leschangements effectués dans un compte de même nom au niveau d’un VDC (par exemple,une modification de mot de passe), ne sont pas répliqués dans le compte de même nomau niveau de l’autre VDC.

Utilisateurs de domaine et locauxECS prend en charge les utilisateurs locaux et de domaine.

Les utilisateurs locaux sont des comptes utilisateur dont les informations d’identificationsont stockées par ECS. Les utilisateurs de gestion et les utilisateurs d’objets peuvent êtredéfinis en local sur ECS. Dans le cas d’utilisateurs d’objets, les informationsd’identification sont des ressources globales et sont disponibles pour tous les VDC ECS.

Pour des utilisateurs locaux, il est très simple de commencer à utiliser ECS. Toutefois, lerecours à AD/LDAP permet de tirer parti d’une base de données utilisateurs existante etd’autoriser un grand nombre d’utilisateurs à accéder à la zone de stockage d’objets sansavoir à créer des comptes pour eux.

Les utilisateurs de domaine sont définis dans une base de données AD/LDAP. ECS doitcommuniquer avec le serveur AD ou LDAP pour authentifier les demandes de connexionutilisateur. ECS utilise le concept de fournisseur d’authentification pour fournir lesinformations d’identification dont il a besoin pour communiquer avec le serveur AD/LDAPet pour spécifier les domaines et les groupes qui doivent être mis à la disposition d’ECS.

Les utilisateurs de domaine sont définis selon le format [email protected] et ECStente d’authentifier les noms d’utilisateurs ayant ce format à l’aide des fournisseursd’authentification configurés. Les noms d’utilisateurs ne comportant pas de @ sontauthentifiés par rapport à la base de données d’utilisateurs locaux.

Les utilisateurs de domaine auxquels des rôles de gestion ont été attribués peuvent êtreauthentifiés par rapport à leurs informations d’identification AD/LDAP. Ils peuvent ainsiaccéder à ECS et procéder à des opérations d’administration d’ECS. Les opérationsd’administration peuvent être effectuées depuis le portail ECS ou à l’aide de l’API degestion d’ECS.

Les utilisateurs de domaine peuvent également être désignés comme utilisateursd’objets. Pour économiser les coûts d’administration liés à la création manuelle d’ungrand nombre de comptes d’utilisateurs d’objets dans ECS, une fonctionnalité de libre-service est disponible. Elle permet à ECS d’authentifier des utilisateurs de domaine et deles ajouter automatiquement en tant qu’utilisateurs d’objets et de leur attribuer une clésecrète.

Pour que cette fonctionnalité soit utilisable, un utilisateur de domaine doit être dans unespace de nommage. ECS fournit un mécanisme permettant de mapper les utilisateurs dedomaine dans un espace de nommage en fonction du domaine et du groupe auxquels ilsappartiennent et en fonction des attributs associés à leur compte.


Utilisateurs de domaine et locaux 73

Périmètre utilisateur : global ou espace de nommageLe périmètre des utilisateurs d’objets dépend du périmètre utilisateur qui a été défini. Saconfiguration a un impact sur tous les utilisateurs, dans l’ensemble des espaces denommage des différents VDC fédérés.

Le périmètre utilisateur peut être défini sur GLOBAL ou NAMESPACE (espace denommage). Dans un périmètre global, les noms d’utilisateurs d’objets sont uniques dansl’ensemble des VDC du système ECS. Dans un périmètre d’espace de nommage, les nomsd’utilisateurs d’objets sont uniques au sein d’un même espace de nommage. Il est doncpossible d’avoir des noms de comptes d’utilisateurs d’objets identiques dans différentsespaces de nommage.

Le paramètre par défaut est GLOBAL. Si vous comptez utiliser ECS dans une configurationmultitenant et voulez vous assurer que les tenants pourront utiliser des noms déjàutilisés dans un autre espace de nommage, vous devez remplacer la configuration pardéfaut par NAMESPACE.

Remarque

La configuration du périmètre utilisateur doit être effectuée avant la création du premierutilisateur d’objets.

Configuration du périmètre utilisateurLe périmètre utilisateur peut être configuré en utilisant l’API de méthode PUT /config/object/properties et en transmettant le périmètre utilisateur dans la charge utile. Voici unexemple de charge utile qui définit le périmètre utilisateur user_scope sur NAMESPACE.

PUT /config/object/properties/

<property_update> <properties> <properties> <entry> <key>user_scope</key> <value>NAMESPACE</value> </entry> </properties> </property_update>

Gestion des utilisateurs au niveau du portail ECSLe portail ECS inclut une page Manage > Users qui permet de créer des utilisateurs locauxet de leur attribuer le rôle d’utilisateurs d’objets pour un espace de nommage. Il permetaussi aux administrateurs système de créer des utilisateurs locaux de gestion et de leurattribuer des rôles d’administration, ou encore d’attribuer des rôles d’administration àdes utilisateurs de domaine.

La page Manage > Users inclut deux pages auxiliaires :

l Vue Object Users à la page 74

l Vue Management Users à la page 75

Vous ne pouvez accéder à la page de gestion que si vous êtes Administrateur système(ou utilisateur root) de l’ECS.

Vue Object UsersLa vue Object Users contient une table des utilisateurs en charge des objets. Ellerépertorie les utilisateurs qui ont été créés, l’espace de nommage auquel les utilisateursont été attribués, et les actions qui peuvent être effectuées sur l’utilisateur.



Si vous êtes Administrateur système, vous voyez les utilisateurs en charge des objets del’ensemble des espaces de nommage. Si vous êtes Administrateur d’espace denommage, vous voyez uniquement les utilisateurs appartenant à votre espace denommage.

La vue Object Users est illustrée ci-dessous.

La table Object Users permet d’accéder aux informations et opérations suivantes.


Name Nom de l’utilisateur.

Namespace L’espace de nommage auquel l’utilisateur est attribué.



Le volet Object Users fournit également un accès aux contrôles suivants :


New Object User Le bouton New Object User active l’ajout d’un nouvel utilisateur.

Vue Management UsersLa vue Management Users contient une table des utilisateurs de gestion. Elle répertorieles utilisateurs de gestion créés et les actions pouvant être effectuées sur chaqueutilisateur. Cette page est uniquement visible des utilisateurs ayant un rôleAdministrateur système.

La vue Management Users est illustrée ci-dessous.


Gestion des utilisateurs au niveau du portail ECS 75

La table des utilisateurs d’objets permet d’accéder aux informations et opérationssuivantes.

Colonne Description

Name Nom de l’utilisateur.



La vue Management Users fournit également les contrôles suivants :


New Management User Le bouton New Management User permet d’ajouter un utilisateur degestion auquel il est possible d’attribuer le rôle Administrateur systèmepour ECS.

Ajout d’un nouvel utilisateur d’objetsVous pouvez créer de nouveaux utilisateurs locaux et les configurer pour utiliser lesprotocoles d’accès aux objets pris en charge. Après avoir créé un utilisateur, vous pouvezmodifier sa configuration en ajoutant ou en supprimant l’accès à un protocole d’objet, ouen créant pour lui une nouvelle clé secrète.

Avant de commencerl Si vous êtes Administrateur système ECS, vous pouvez attribuer des utilisateurs à

n’importe quel espace de nommage.l Si vous êtes Administrateur d’espace de nommage, vous pouvez attribuer des

utilisateurs aux espaces de nommage dont vous êtes administrateur.l Si vous voulez que vos utilisateurs de domaine deviennent des utilisateurs d’objets,

reportez-vous à la section Ajout d’un utilisateur de domaine en tant qu’utilisateurd’objets à la page 77.

l Lors de l’attribution d’un mot de passe pour un utilisateur Swift, l’utilisateur estajouté au groupe d’administrateurs Swift.

Remarque

N’utilisez pas le portail ECS pour effectuer cette opération si vous souhaitez que lesutilisateurs soient attribués à différents groupes Swift.



Vous pouvez vous reporter à la section Gestion des utilisateurs au niveau du portailECS à la page 74 pour plus d’informations sur la page Manage > Users.

Procédure

1. Dans le portail ECS, sélectionnez la page Manage > Users.

La page Object Users s’affiche par défaut et affiche la table Object Users quirépertorie les utilisateurs locaux créés et l’espace de nommage auquel ils sontattribués.

2. Sélectionnez New Object User.

La page New User Object s’affiche.

3. Saisissez un nom d’utilisateur.

Il s’agit du nom de l’utilisateur local créé.

Vous pouvez utiliser des noms de type domaine incluant « @ ». Par exemple,« [email protected] ». Toutefois, cette possibilité vise uniquement à vous permettrede conserver des noms uniques et cohérents avec les noms AD. L’authentification esteffectuée à l’aide d’une clé secrète attribuée au nom d’utilisateur, et non via ADou LDAP.

Remarque

Les noms d’utilisateur doivent se composer de lettres minuscules, de chiffres ou descaractères suivants : ! # $ & ' ( ) * + , - . / : ; = ? @ _ ~

4. Sélectionnez l’espace de nommage auquel attribuer l’utilisateur local.

Une fois l’espace de nommage sélectionné, vous pouvez cliquer sur Save pourenregistrer l’utilisateur, puis revenir ultérieurement pour modifier l’utilisateur et luiassigner une clé secrète d’accès à un protocole d’objet. Sinon, vous pouvezsélectionner Add Passwords et spécifier des mots de passe ou des clés secrètesd’accès aux protocoles d’objet ECS.

5. Pour configurer des clés secrètes pour l’utilisateur, sélectionnez Add Passwords.

6. Pour chacun des protocoles d’objet que vous voulez utiliser pour accéder à la zone destockage d’objets ECS, saisissez ou générez une clé d’accès au service S3, Swiftou CAS, puis enregistrez la clé.

Sélectionnez Add Password pour enregistrer la clé.

7. Spécifiez un mot de passe pour chacune des interfaces d’objet auxquelles voussouhaitez que l’utilisateur ait accès.

Pour S3 et CAS, vous pouvez générer le mot de passe.

8. Les clés secrètes et les mots de passe sont enregistrés automatiquement. Vouspouvez ensuite cliquer sur le bouton Close pour revenir à la page des utilisateurs.

Ajout d’un utilisateur de domaine en tant qu’utilisateur d’objetsVous pouvez configurer des utilisateurs de domaine pour qu’ils puissent accéder à ECS etgénérer des clés secrètes pour eux-mêmes et, ce faisant, s’ajouter eux-mêmes en tantqu’utilisateurs d’objets.

Avant de commencer

Procédure

1. Vérifiez qu’un fournisseur d’authentification se connectant au système AD/LDAPapproprié a été configuré.


Ajout d’un utilisateur de domaine en tant qu’utilisateur d’objets 77

L’ajout d’un fournisseur d’authentification doit être effectué par un Administrateursystème et est décrit dans Ajout d’un fournisseur d’authentification AD ou LDAP à lapage 61.

2. Mappez les utilisateurs de domaine dans l’espace de nommage comme décrit dans Mappage des utilisateurs de domaine dans l’espace de nommage à la page 83.

Cette opération peut être effectuée par l’Administrateur d’espace de nommage.

3. Permet aux utilisateurs de créer des clés secrètes en suivant les instructions dans Guide d’accès aux données : Obtention de la clé secrète d’accès au stockage en modeobjet.

Création d’un utilisateur local de gestion ou attribution d’un rôle de gestion à unutilisateur de domaine

Vous pouvez ajouter un utilisateur local de gestion et attribuer un rôle de gestion à unutilisateur local de gestion ou à un utilisateur de domaine à partir du portail ECS. Lesutilisateurs de gestion sont chargés de l’administration au niveau du système(administration du VDC) et de l’administration de l’espace de nommage. Lorsqu’unutilisateur n’a plus à effectuer des opérations d’administration, vous pouvez lui retirerl’attribution du rôle.

Avant de commencer

l Vous devez être Administrateur système pour créer un utilisateur local de gestion ouattribuer un rôle de gestion.

l Par défaut, l’utilisateur root d’ECS a le rôle d’Administrateur système ; il peutprocéder à l’attribution initiale du rôle d’Administrateur système à un utilisateur.

l Si vous voulez attribuer un rôle de gestion à un utilisateur de domaine, vous devezd’abord vérifier qu’un fournisseur d’authentification a été ajouté. Voir Ajout d’unfournisseur d’authentification AD ou LDAP à la page 61.

l Si vous voulez désigner un Administrateur d’espace de nommage, vous devez créerun utilisateur de gestion en utilisant l’opération définie ici et attribuer le rôle degestion dans la page Namespace du portail (se reporter à la section Configurationd’un espace de nommage pour un tenant à la page 50). L’utilisateur ne peut pas seconnecter tant que le rôle d’Administrateur d’espace de nommage (ou le rôled’Administrateur système) ne lui a pas été attribué.


Procédure


La page Object Users s’affiche par défaut, mais vous devez changer et accéder à lapage Management Users.

2. Sélectionnez Management Users.

La page Management Users apparaît. Elle affiche les utilisateurs actuellementattribués et contient un bouton New Management User.

3. Sélectionnez New Management User.

La page New Management User apparaît. Elle vous permet de créer un utilisateur localet d’attribuer le rôle de gestion à ce nouvel utilisateur, ou d’attribuer le rôle de gestionà un utilisateur de domaine.

4. Sélectionnez Local User ou AD/LDAP.



Pour un utilisateur local, vous devez définir un mot de passe ; pour un utilisateur dedomaine, les informations d’identification (utilisateur et mot de passe) utilisées parECS pour authentifier un utilisateur sont contenues dans AD/LDAP. Vous n’avez doncpas besoin de définir un mot de passe.

5. Saisissez le nom de l’utilisateur.

Si vous avez sélectionné AD/LDAP, l’utilisateur doit exister et avoir été mis àdisposition en ajoutant un fournisseur d’authentification à ECS.

Si vous sélectionnez un utilisateur local, un nouvel utilisateur local de gestion estcréé.

Remarque

Les noms d’utilisateur doivent se composer de lettres minuscules, de chiffres ou descaractères suivants : ! # $ & ' ( ) * + , - . / : ; = ? @ _ ~

6. Pour attribuer le rôle Surveillance du système à l’utilisateur, sélectionnez Yes dans lesélecteur System Monitor.

7. Si vous voulez attribuer le rôle d’Administrateur système à l’utilisateur, sélectionnezYes dans le sélecteur System Administrator.

Si vous créez un utilisateur de gestion auquel vous allez attribuer le rôled’Administrateur d’espace de nommage d’un espace de nommage, vous devez laisserNo.

Si vous sélectionnez Yes, mais que vous souhaitez ultérieurement retirer lesprivilèges d’Administrateur système à cet utilisateur, vous pouvez modifier lesparamètres utilisateur et redéfinir l’option sur No.


Attribution d’un nom de groupe Active Directory au rôle Administrateur système ouSurveillance du système

Vous pouvez attribuer un groupe de domaine AD au rôle Administrateur système ouSurveillance du système à partir du portail ECS. Lorsqu’un groupe de domaine AD estattribué à un rôle de gestion, tous les utilisateurs de ce groupe AD ont ce rôle.

Avant de commencer

l Vous devez être un administrateur système pour attribuer un rôle de gestion.

l Pour attribuer un groupe de domaine AD à un rôle de gestion, vous devez toutd’abord vous assurer qu’un fournisseur d’authentification a été ajouté. Voir Ajoutd’un fournisseur d’authentification AD ou LDAP à la page 61.


Remarque

Les groupes LDAP ne sont pas pris en charge dans ECS.

Procédure


La page Object Users s’affiche par défaut. Accédez à la page Management Users.

2. Sélectionnez Management Users.


Attribution d’un nom de groupe Active Directory au rôle Administrateur système ou Surveillance du système 79

La page Management Users apparaît. Elle affiche les utilisateurs actuellementattribués et contient un bouton New Management User.

3. Sélectionnez New Management User.

La page New Management User s’affiche.

4. Sélectionnez AD/LDAP User or Group.

Pour un utilisateur de domaine, les informations d’identification (utilisateur et mot depasse) utilisées par ECS pour authentifier un utilisateur sont contenues dans AD/LDAP. Vous n’avez donc pas besoin de définir un mot de passe.

5. Dans la liste déroulante User, sélectionnez Group.

6. Renseignez le champ Group Username avec votre nom de groupe de domaine ADcomplet, y compris le domaine. Par exemple : [email protected].

7. Pour attribuer le groupe au rôle Surveillance du système, sélectionnez Yes dans lesélecteur System Monitor.

8. Pour attribuer le groupe au rôle Administrateur système, sélectionnez Yes dans lesélecteur System Administrator.

9. Si vous sélectionnez Yes pour l’un ou l’autre de ces rôles, vous pouvez supprimer lerôle du groupe par la suite en définissant ce paramètre sur No.


Création d’un administrateur d’espace de nommageVous pouvez attribuer le rôle d’Administrateur d’espace de nommage à un utilisateurlocal ou de domaine.

Avant de commencer

l Pour créer un utilisateur de gestion et attribuer un rôle d’Administrateur d’espace denommage à un utilisateur, vous devez être Administrateur système.


Procédure

1. Si vous voulez attribuer le rôle d’Administrateur d’espace de nommage à unutilisateur local de gestion, vous devez créer un utilisateur de gestion en suivant lesexplications dans Création d’un utilisateur local de gestion ou attribution d’un rôle degestion à un utilisateur de domaine à la page 78.

Si vous voulez attribuer le rôle d’Administrateur de nommage à un utilisateur dedomaine, vous n’avez pas besoin de le faire explicitement.

2. Dans la page Manage > Namespace.

a. Sélectionnez l’action Edit pour l’espace de nommage.

b. Ajoutez l’utilisateur dans le champ Namespace Admin. S’il y a plusieursAdministrateurs d’espace de nommage, leurs noms d’utilisateur doivent êtreséparés par une virgule.

Le rôle d’Administrateur d’espace de nommage ne peut être attribué à unutilisateur que pour un seul espace de nommage.

c. Cliquez sur Save pour enregistrer l’espace de nommage.



Pour en savoir plus sur la configuration d’un espace de nommage, reportez-vous à lasection Configuration d’un espace de nommage pour un tenant à la page 50.

Attribution d’un nom de groupe Active Directory au rôle Administrateur d’espace denommage

Vous pouvez attribuer un groupe de domaine AD au rôle Administrateur d’espace denommage à partir du portail ECS. Lorsqu’un groupe de domaine AD est attribué à un rôlede gestion, tous les utilisateurs de ce groupe AD ont ce rôle.

Avant de commencer

l Vous devez être un administrateur système pour attribuer un rôle Administrateurd’espace de nommage.

l Pour attribuer un groupe de domaine AD à un administrateur d’espace de nommage,vous devez tout d’abord vous assurer qu’un fournisseur d’authentification a étéajouté. Voir Ajout d’un fournisseur d’authentification AD ou LDAP à la page 61.


Remarque

Les groupes LDAP ne sont pas pris en charge dans ECS.

Procédure

1. Sur le portail ECS, sélectionnez Manage > Namespace.

2. Sélectionnez un espace de nommage et Edit, ou sélectionnez New Namespace.

3. Renseignez le champ Domain Group Admin avec votre nom de groupe de domaine ADcomplet, y compris le domaine. Par exemple : [email protected]. Pourajouter plusieurs groupes de domaine, séparez les noms par des virgules.

Remarque

Un groupe de domaine AD ne peut être l’administrateur d’espace de nommage qued’un seul espace de nommage.

4. Terminez votre configuration, puis sélectionnez Save.

Présentation du mappage des utilisateurs dans un espace denommage

Il est possible d’ajouter des utilisateurs de domaine dans ECS en utilisant desfournisseurs d’authentification. Pour rendre des utilisateurs disponibles en tantqu’utilisateurs d’espace de nommage, il faut les mapper dans l’espace de nommage.

Le fournisseur d’authentification met à la disposition d’ECS les utilisateurs appartenantaux domaines et groupes sur liste blanche spécifiés. Vous pouvez ensuite leur attribuerdes rôles d’administration système.

Pour associer des utilisateurs à un espace de nommage et leur permettre de devenir desutilisateurs d’objets pour l’espace de nommage, vous devez associer le domaine auquelils appartiennent à l’espace de nommage. Vous pouvez ensuite, si nécessaire, appliquerun filtrage plus fin sur la base des groupes qui appartiennent au domaine et des attributsalloués aux utilisateurs de domaine. Un domaine peut être mappé sur un espace de


Attribution d’un nom de groupe Active Directory au rôle Administrateur d’espace de nommage 81

nommage unique ou peut mettre à disposition des utilisateurs pour plusieurs espaces denommage.

Le portail ECS et l’ECS Management REST API permettent de spécifier des mappages lorsde l’enregistrement d’un nouvel espace de nommage et assurent la prise en charge de lamise à jour des mappages pour tous les espaces de nommage. L’opération de créationd’un espace de nommage requiert des privilèges d’Administrateur système ; lamodification d’un tenant et le mappage des utilisateurs peuvent être effectués par unAdministrateur d’espace de nommage.

Les mappages d’utilisateurs alloués à différents espaces de nommage ne doivent pas sechevaucher. Par conséquent, si l’espace de nommage Accounts mappe des utilisateursprovenant du même domaine que l’espace de nommage HR, il doit fournir des mappagessupplémentaires afin de distinguer ses utilisateurs. Dans l’exemple ci-dessous, l’espacede nommage Accounts utilise le domaine corp.sean.com mais mappe les utilisateursayant des attributs spécifiques, dans ce cas, il s’agit de ceux dont l’attribut Departmentest défini sur Accounts dans Active Directory.

Figure 10 Mappages d'utilisateurs pour un tenant à l'aide des attributs AD

Dans l’exemple ci-dessous, plusieurs critères de mappage sont utilisés. Tous lesmembres du domaine corp.sean.com qui appartiennent au groupe Storage Admins etdont l’attribut Department est défini sur Accounts ET l’attribut Company est défini surAcme, OU qui appartiennent au groupe Storage Admins et dont l’attribut Department estdéfini sur Finance, seront mappés dans l’espace de nommage.



Figure 11 Utilisation de plusieurs critères de mappage

Mappage des utilisateurs de domaine dans l’espace de nommageLe ECSportail permet de mapper les utilisateurs dans un espace de nommage sur la basedu domaine AD/LDAP, des groupes et des attributs associés aux utilisateurs.

Avant de commencer

l Un fournisseur d’authentification doit avoir été enregistré auprès d’ECS et doit fournirun accès au domaine à partir duquel vous souhaitez mapper des utilisateurs.

l L’administrateur d’AD doit avoir configuré les groupes ou les utilisateurs dans ADavant de mapper les utilisateurs à partir du portail ECS.

l Si vous utilisez le mappage d'attribut, la valeur d'attribut appropriée doit être définiedans le domaine AD pour chaque utilisateur.Vous devez comprendre les concepts associés au mappage d’utilisateur, présentésdans la section Présentation du mappage des utilisateurs dans un espace denommage à la page 81.


Mappage des utilisateurs de domaine dans l’espace de nommage 83

Procédure

1. Sur le ECSportail, sélectionnez Manage > Namespace.

2. Dans le tableau Namespaces, cliquez sur l’action Edit pour que l’espace de nommagel’ouvre pour modification.

3. Si aucun domaine n’a encore été spécifié, cliquez sur Add pour ajouter un mappage etsaisissez le nom du domaine dans le champ Domain.

4. Spécifiez tous les groupes que vous souhaitez utiliser pour mapper les utilisateursdans l’espace de nommage.

Le ou les groupes que vous définissez doivent exister dans le domaine AD.

5. Si vous souhaitez utiliser des attributs pour mapper les utilisateurs dans l’espace denommage, saisissez le nom ainsi que la ou les valeurs de l’attribut. Si vous nesouhaitez pas utiliser des attributs pour mapper les utilisateurs dans l’espace denommage, cliquez sur le bouton de suppression pour supprimer les champs d’attributdu mappage en cours.

La valeur d’attribut des utilisateurs devant être mappés doit correspondre à la valeurd’attribut indiquée dans ECS.

6. Cliquez sur Save pour enregistrer les paramètres de l’espace de nommage.



CHAPITRE 8

Gestion des tenants

l Gestion des tenants.............................................................................................. 86l Quotas.................................................................................................................. 86l Politiques et périodes de rétention........................................................................87l Verrouillage des buckets et des utilisateurs.......................................................... 89l Suivi d’utilisation.................................................................................................. 89l Audit des buckets................................................................................................. 91

Gestion des tenants 85

Gestion des tenantsECS fournit plusieurs fonctionnalités pour prendre en charge la gestion d’un tenant.

Les fonctions suivantes sont prises en charge :

Utilisateurs

La capacité de désigner un administrateur d’espace de nommage pour l’espace denommage et de créer des utilisateurs d’objets pour l’espace de nommage est décritedans la section Gestion des utilisateurs et des rôles à la page 70.

Quotas

La capacité à définir des quotas sur les espaces de nommage et les buckets estdécrite dans la section Quotas à la page 86.

Périodes de rétention

La capacité à créer des politiques de rétention est décrite dans la section Politiqueset périodes de rétention à la page 87.

Verrouillage des buckets et des utilisateurs

La capacité à verrouiller des buckets et des utilisateurs est décrite dans lasection Verrouillage des buckets et des utilisateurs à la page 89.

Suivi d’utilisation

La capacité à suivre l’utilisation de l’écriture des données dans les buckets et lesespaces de nommage est décrite dans la section Suivi d’utilisation à la page 89.

Audit des buckets

La capacité à auditer les opérations associées aux buckets est décrite dans lasection Audit des buckets à la page 91.

QuotasVous pouvez définir des quotas souples ou stricts pour un espace de nommage et pourles buckets créés au sein d’un espace de nommage.

Avec les quotas souples, des événements sont consignés pour vous informer que lequota a été atteint. Les quotas stricts définissent une limite correspondant à la quantitémaximale de stockage en mode objet utilisable pour un bucket ou un espace denommage. Le dépassement de cette limite bloque l’accès au bucket ou à l’espace denommage.

Il est possible de définir des quotas à partir du portail ECS, ou bien à l’aide de l’API et dela CLI.

Définition de quotas à partir du portailVous pouvez définir des quotas pour un espace de nommage depuis la page Manage >Namespace, comme décrit à la section Configuration d’un espace de nommage pour untenant à la page 50.

L’application de quotas à un bucket s’effectue à partir de la page Manage > Bucket,comme indiqué à la section Concepts liés aux buckets à la page 100.

Définition de quotas à l’aide de l’APILes chemins d’API suivants permettent de définir des quotas :

Gestion des tenants


Méthode Description

PUT/GET/DELETE /object/namespaces/namespace/{namespace}/quota

Définit le quota d’un espace de nommage. Lacharge utile indique s’il s’agit d’un quota strictou souple.

PUT/GET/DELETE /object/bucket/{bucketName}/quota

Définit le quota d’un bucket. La charge utileindique s’il s’agit d’un quota strict ou souple.

Pour plus d’informations sur ECS Management REST API, consultez le Guide d’accès auxdonnées : Utilisation de l’API REST de gestion d’ECS ou consultez la référence en ligneaccessible ici.

Politiques et périodes de rétentionECS permet d’empêcher toute modification ou suppression des données pendant lapériode de rétention spécifiée.

Les périodes et les politiques de rétention peuvent être définies dans les métadonnéesassociées aux objets et aux buckets. Elles sont vérifiées à chaque demande demodification d’un objet. Elles sont prises en charge par toutes les interfaces d’objets (S3,Swift, Atmos et CAS). Toutefois, comme les données CAS sont immuables, la période derétention applicable aux objets CAS concerne uniquement leur suppression.

Il existe deux façons de définir la rétention : les périodes de rétention et les politiques derétention.

Périodes de rétentionLes périodes de rétention sont définies au niveau de l’objet et/ou du bucket. À chaquetentative de modification ou de suppression d’un objet, un délai d’expiration est calculéselon la formule délai d’expiration de l’objet = date/heure de création del’objet + période de rétention. Lorsqu’une période de rétention est attribuée à un bucket,elle est vérifiée et le délai d’expiration est calculé en fonction de la période de rétentiondéfinie pour l’objet et de la valeur définie pour le bucket, la période retenue étant la pluslongue des deux.

L’application d’une période de rétention à un bucket signifie que la période de rétentionde tous les objets du bucket peut être modifiée à tout moment et peut remplacer lavaleur appliquée à un objet par un client d’objet si elle est définie sur une période pluslongue.

Il est possible d’appliquer une période de rétention illimitée à un objet.

Politiques de rétention des médiasLes politiques de rétention permettent de définir des exemples d’utilisation pour larétention et de les appliquer aux objets. Les politiques de rétention sont associées à unespace de nommage. Toute politique associée à l’espace de nommage peut êtreattribuée à un objet appartenant à celui-ci. Une politique de rétention a une période derétention associée.

L’utilisation de politiques de rétention offre la possibilité de modifier la période associéeà une politique et ainsi, de modifier automatiquement la période de rétention quis’applique à tous les objets auxquels cette politique est attribuée.

Lorsqu’une politique de rétention est appliquée à un objet et qu’une tentative demodification ou de suppression de l’objet est effectuée, la période de rétention associéeà la politique est récupérée et utilisée en conjonction avec les périodes de rétention del’objet et du bucket pour déterminer si la demande est acceptable.

Gestion des tenants

Politiques et périodes de rétention 87

http://www.emc.com/techpubs/api/ecs/v2-2-1-0/index.htm

Par exemple, une politique nommée peut être définie pour chacun des types dedocuments suivants, et chaque politique nommée peut avoir une période de rétentionappropriée :

l Financier : 3 ans

l Juridique : 5 ans

l E-mails : 6 mois

Création de politiques de rétentionVous pouvez configurer les politiques de rétention d’un espace de nommage à partir duportail ECS. Pour savoir comment procéder, reportez-vous à la section suivante :

Configuration d’un espace de nommage pour un tenant à la page 50

Il est également possible de les créer à l’aide de l’ECS Management REST API (voir ladescription ci-dessous).


PUT /object/bucket/{bucketName}/retention La valeur de rétention d’un bucket définit unepériode de rétention obligatoire qui estappliquée à tous les objets qu’il contient. Sivous définissez une période de rétention d’unan, cela signifie que les objets du bucket nepeuvent pas être modifiés ni suppriméspendant un an.

GET /object/bucket/{bucketName}/retention Renvoie la période de rétention qui est définieactuellement pour un bucket donné.

POST /object/namespaces/namespace/{namespace}/retention

Pour les espaces de nommage, le paramètre derétention se comporte comme une politique,chaque politique se composant d’une paire<Name>: <Retention period>. Vous pouvez définirplusieurs politiques de rétention pour unespace de nommage et attribuer l’une d’elles(par son nom) à un objet situé dans l’espace denommage. Cela vous permet de changer lapériode de rétention d’un ensemble d’objetsauxquels vous avez attribué la même politiqueen modifiant simplement cette dernière.

PUT /object/namespaces/namespace/{namespace}/retention/{class}

Met à jour la période de rétention d’une classede rétention associée à un espace denommage.

GET /object/namespaces/namespace/{namespace}/retention

Renvoie les classes de rétention définies pourun espace de nommage.

Pour savoir comment accéder à ECS Management REST API, consultez le Guide d’accèsaux données : Utilisation de l’API REST de gestion d’ECS ou consultez la référence enligne accessible ici.

Application de politiques et de périodes de rétentionIl est possible d’appliquer des périodes de rétention aux buckets à partir du portail ECS.

Lorsque vous créez des objets ou des buckets à l’aide des protocoles de service d’objet,par exemple quand vous créez un bucket S3 à partir d’un client prenant en charge le

Gestion des tenants



protocole S3, vous pouvez appliquer la période ou la politique de rétention à l’aide d’en-têtes x-emc.

Quand vous créez des objets, vous pouvez appliquer les en-têtes de période et depolitique de rétention suivants :

l x-emc-retention-period

l x-emc-retention-policy

Quand vous créez un bucket, vous pouvez définir la période de rétention à l’aide de l’en-tête x-emc-retention-period.

Verrouillage des buckets et des utilisateursECS permet de rendre un bucket inaccessible et de refuser tout droit d’accès auxutilisateurs.

La prise en charge des opérations de verrouillage des buckets et des utilisateurs estassurée par ECS Management REST API. Il n’existe aucune prise en charge du verrouillagedes buckets et des utilisateurs sur le portail ECS. Les appels suivants sont pris encharge :


PUT /object/bucket/{bucketName}/lock Verrouille un bucket afin d’interdire touteopération d’écriture.

DELETE /object/bucket/{bucketName}/lock Déverrouille un bucket afin d’autoriser lesopérations d’écriture.

PUT /object/users/{userid}/lock Verrouille un utilisateur d’objets (pas unutilisateur AD) afin que toutes les opérationsultérieures qu’il réalise au moyen de l’APIrenvoient une erreur.

DELETE /object/user/{userid}/lock Déverrouille un utilisateur d’objets (pas unutilisateur AD) afin qu’il puisse de nouveaueffectuer des opérations à l’aide de l’API.

Pour savoir comment accéder à ECS Management REST API, consultez la section Guided’accès aux données : Utilisation de l’API REST de gestion d’ECS ou consultez laréférence en ligne accessible ici.

Suivi d’utilisationECS prend en charge le suivi d’utilisation du stockage en mode objet au niveau del’espace de nommage et du bucket.

Suivi d’utilisation à partir du portailVous pouvez suivre l’utilisation de l’espace de nommage et des buckets à partir duportail ECS. La page Monitor > Metering permet de sélectionner un espace de nommage,ou un bucket d’espace de nommage, et d’afficher ses données de suivi d’utilisation.

Gestion des tenants

Verrouillage des buckets et des utilisateurs 89


Tableau 5 Suivi d’utilisation du bucket et de l’espace de nommage


Total Size (GB) Taille totale des objets stockés dans l’espace de nommage ou lebucket sélectionné au terme de la période spécifiée dans lefiltre.

Object Count Nombre d’objets associés à l’espace de nommage ou au bucketsélectionné au terme de la période spécifiée dans le filtre.

Objects Created Nombre d’objets créés dans l’espace de nommage ou le bucketsélectionné sur la période définie.

Objects Deleted Nombre d’objets supprimés de l’espace de nommage ou dubucket sélectionné sur la période définie.

Bandwidth Ingress (MB) Volume total de données d’objet entrantes (écritures) pourl’espace de nommage ou le bucket sélectionné sur la périodedéfinie.

Bandwidth Egress (MB) Volume total de données d’objet sortantes (lectures) pourl’espace de nommage ou le bucket sélectionné sur la périodedéfinie.

Remarque

Les données de suivi d’utilisation ne sont pas immédiatement accessibles, car la collectedes statistiques sur les données qui sont supprimées du système, ou lui sont ajoutées,est un processus long.

Pour en savoir plus sur l’accès à ces informations, reportez-vous à la section Surveillancedes données de suivi d’utilisation à la page 156.

Suivi d’utilisation à l’aide de l’APILes chemins d’API suivants permettant d’obtenir des informations de suivi d’utilisation :


GET /object/billing/buckets/{namespace}/{bucket}/info?sizeunit=<KB|MB|GB>

Taux d’utilisation actuel d’un bucket del’espace de nommage spécifié.

GET /object/billing//buckets/{namespace}/{bucket}/sample?start_time=<ISO8061_format>&end_time=<ISO8061_format>&marker=<string_marker>&sizeunit=<KB|MB|GB>

Échantillonnage de l’activité d’un bucket surl’intervalle de temps spécifié. Par défaut, lafréquence d’échantillonnage minimale d’unbucket est de 5 minutes et les échantillons sontconservés pendant 30 jours. Si les heures dedébut et de fin sont en dehors des limites de lapériode d’échantillonnage, une erreur estrenvoyée. Si la période couvre plusieurs petitséchantillons, les données sont agrégées pourfournir un seul point de données.

GET /object/billing/namespace/{namespace_name}/info?marker=<string_marker>&include_bucket_detail=<true|false>&sizeunit=<KB|MB|GB>

Informations sur l’utilisation de tous lesbuckets d’un même espace de nommage.

Gestion des tenants



Remarque

Si les détails des buckets sont inclus, la tailletotale sur disque peut différer de celle sans lesdétails des buckets. Ceci est dû au fait que, pourobtenir la taille totale, les tailles de buckets sontarrondies et additionnées.

GET /object/billing/namespace/{namespace_name}/sample?start_time=<ISO8061_format>&end_time=<ISO8061_format>&marker=<string_marker>&include_bucket_detail=<true|false>&sizeunit=<KB|MB|GB>

Instantané ponctuel d’un espace de nommage.Par défaut les buckets et les espaces denommage sont échantillonnés toutes les5 minutes et les échantillons sont conservéspendant 30 jours. Si les heures de début et defin sont en dehors des limites de la périoded’échantillonnage, une erreur est renvoyée. Sila période couvre plusieurs petits échantillons,les données sont agrégées pour fournir un seulpoint de données.

Pour plus d’informations sur ECS Management REST API, consultez le Guide d’accès auxdonnées : Utilisation de l’API REST de gestion d’ECS ou consultez la référence en ligneaccessible ici.

Audit des bucketsL’API du contrôleur permet d’auditer l’utilisation des interfaces d’objet S3, EMC Atmos etOpenStack Swift.

Les opérations suivantes sur les conteneurs d’objets (buckets S3, sous-tenantsEMC Atmos et conteneurs OpenStack Swift) sont consignées.

l Créer le bucketl Supprimer le bucketl Mettre à jour le bucketl Définir l’ACL du bucketl Changer le propriétaire du bucketl Activer la gestion des versions du bucketl Définir la source de gestion des versions du bucketl Définir les métadonnées du bucketl Définir les métadonnées d’en-tête du bucketl Définir la règle d’expiration du bucketl Supprimer la règle d’expiration du bucketl Définir la configuration CORS du bucketl Supprimer la configuration CORS du bucket

Consignation des audits sur le portailVous pouvez utiliser la page du portail Monitor > Events pour détecter la génération d’unévénement dans le log d’audit.

Le compte utilisateur root doit uniquement être utilisé pour l’accès initial au système.Lors de l’accès initial, vous devez modifier le mot de passe de l’utilisateur root sur la

Gestion des tenants

Audit des buckets 91


page Settings > Password, et créer un ou plusieurs nouveaux comptes Administrateursystème. Du point de vue de l’audit, comme il est important de savoir quel utilisateur aapporté des changements au système, le compte utilisateur root ne doit pas être utilisé,et chaque utilisateur Administrateur système doit disposer de son propre compte.

Pour plus d’informations sur l’utilisation du log des événements, reportez-vous à lasection À propos de la surveillance des événements à la page 160.

API d’auditLa prise en charge de l’audit des buckets s’effectue via les appels del’ECS Management REST API suivants :


GET /monitoring/events Récupère les événements d’audit pour l’espacede nommage et la période spécifiés.

Pour plus d’informations sur ECS Management REST API, consultez la section Guided’accès aux données : Utilisation de l’API REST de gestion d’ECS ou consultez laréférence en ligne accessible ici.

Gestion des tenants



CHAPITRE 9

Suppression d’un site

l Basculement sur incident d’un site/suppression d’un VDC....................................94

Suppression d’un site 93

Basculement sur incident d’un site/suppression d’un VDCUtilisez cette procédure pour supprimer un VDC. La suppression d’un VDC déclenche lebasculement du site si le VDC que vous supprimez fait partie d’une fédération multisite.

Si un sinistre se produit, un VDC tout entier peut devenir irrécupérable. ECS traiteinitialement le VDC irrécupérable comme une panne temporaire de site. Si la panne estpermanente, vous devez supprimer le VDC de la fédération pour déclencher le traitementdu basculement, qui reconstruit et reprotège les objets stockés sur le VDC en échec. Lestâches de restauration s’exécutent en arrière-plan. Vous pouvez suivre la progression duprocessus de restauration via Monitor > Geo Replication > Failover Processing.

Procédure

1. Connectez-vous à l’un des VDC opérationnels au sein de la fédération.

2. Accédez à Manage > Replication Group.

3. Cliquez sur l’option Edit correspondant au groupe de réplication qui contient le VDC àsupprimer.

4. Cliquez sur l’option Delete figurant sur la ligne qui contient le VDC et le pool destockage à supprimer.


6. Accédez à Manage > VDC. L’état du VDC supprimé de manière permanente passe àPermanently failed.

7. Sélectionnez Delete dans la liste déroulante figurant sur la ligne du VDC à supprimer.


Suppression d’un site


CHAPITRE 10

Gestion des licences

l Gestion des licences............................................................................................. 96l Obtention du fichier de licence d’EMC ECS............................................................ 96l Téléchargement du fichier de licence d’EMC ECS................................................... 96

Gestion des licences 95

Gestion des licencesLa gestion des licences d’EMC ECS est basée sur la capacité.

Au minimum, vous devez obtenir une licence ECS et la télécharger dans l’appliance.

La page Settings > License fournit des informations supplémentaires.

Obtention du fichier de licence d’EMC ECSVous devez obtenir le fichier de licence (.lic) à partir du site Web de gestion des licencesd’EMC pour un téléchargement vers ECS.

Avant de commencer

Pour obtenir le fichier de licence, vous devez disposer d’un code d’autorisation delicence (LAC), qui vous a été envoyé par EMC.

Procédure

1. Accédez à support.EMC.com

2. Sélectionnez Support > Service Center.

3. Cliquez sur Get and Manage Licenses.

4. Sélectionnez ECS dans la liste des produits.

5. Sur la page de demande de code LAC, entrez le code LAC et appuyez sur Activate.

6. Sélectionnez les habilitations à activer et Start Activation Process.

7. Sélectionnez Add a Machine pour spécifier une chaîne pertinente pour regrouper leslicences.

Le « nom de la machine » ne doit pas être un nom de machine. Entrez une chaîne quivous aidera à effectuer le suivi de vos licences.

8. Indiquez les quantités pour chaque habilitation à activer ou sélectionnez Activate all.Cliquez sur Next.

Si vous obtenez des licences pour une configuration multisite (geo), vous devezdistribuer les contrôleurs de façon appropriée afin d’obtenir des fichiers de licenceindividuels pour chaque datacenter virtuel.

9. Vous pouvez éventuellement spécifier un destinataire qui recevra un récapitulatif pare-mail de la transaction d'activation.

10. Cliquez sur Finish.

11. Cliquez sur Save to File pour enregistrer le fichier de licence (.lic) dans un dossier survotre ordinateur.

Il s’agit du fichier de licence nécessaire lors de la configuration initiale d’ECS ou lorsde l’ajout ultérieur d’une nouvelle licence sur le portail ECS.

Téléchargement du fichier de licence d’EMC ECSLe fichier de licence d’ECS peut être téléchargé à partir du portail ECS.



Avant de commencer

Assurez-vous que vous disposez d’un fichier de licence valide. Vous pouvez suivre lesinstructions de la section Obtention du fichier de licence d’EMC ECS à la page 96 pourobtenir une licence.Procédure

1. Sur le portail ECS, sélectionnez Settings > Licensing.

2. En regard de l’option Upload, sélectionnez Browse, puis localisez le fichier de licencesur votre système.

3. Sélectionnez Upload.

L’affichage des licences est mis à jour.


Téléchargement du fichier de licence d’EMC ECS 97

CHAPITRE 11

Création et gestion des buckets

l Création et gestion des buckets.......................................................................... 100l Concepts liés aux buckets...................................................................................100l Attributs des buckets.......................................................................................... 101l ACL des buckets..................................................................................................106l Création d’un bucket à l’aide du portail ECS........................................................ 108l Modifier un compartiment...................................................................................109l Définition des autorisations ACL de bucket pour un utilisateur............................ 110l Définition des autorisations ACL de bucket pour un groupe prédéfini.................. 111l Définition d’ACL de groupe personnalisé pour les buckets.................................. 112l Création d’un bucket à l’aide des API d’objet.......................................................113l Conventions de dénomination des buckets et des clés........................................117

Création et gestion des buckets 99

Création et gestion des bucketsLes conteneurs sont nécessaires pour stocker les données d’objet. Dans S3, cesconteneurs sont appelés buckets. Ce terme a été adopté de façon générique dans ECS.Dans Atmos, l’équivalent d’un bucket est un sous-tenant, le terme équivalent étantconteneur dans Swift et pool CAS dans CAS.

Dans ECS, un type S3, Swift, Atmos ou CAS est attribué aux buckets. En outre, lesbuckets S3, Atmos ou Swift peuvent être configurés pour prendre en charge l’accès ausystème de fichiers (pour NFS et HDFS). Un bucket configuré pour l’accès au système defichiers peut être lu et écrit par l’intermédiaire de son protocole d’objet et duprotocole NFS ou HDFS. C’est ce que l’on appelle une prise en charge transversale.

Il est possible de créer des buckets pour chaque protocole d’objet en utilisant son API,généralement à l’aide d’un client prenant en charge le protocole approprié. Le portail ECSet ECS Management API assurent également la prise en charge de la création debuckets S3, HDFS/NFS et CAS. La possibilité de créer des buckets à partir du portailfacilite la création de buckets pour les protocoles HDFS/NFS et CAS. Elle permetégalement de tirer facilement parti de certaines des options de configuration des bucketsles plus avancées fournies par ECS, comme les quotas et les périodes de rétention.

Lorsque vous voulez créer des buckets en utilisant les protocoles d’objet, vous pouvezutiliser les en-têtes x-emc spéciaux pour contrôler la configuration des buckets.

Cet article explique comment créer et modifier des buckets, mais aussi définir des ACLpour un bucket, en utilisant le portail ECS. Il présente en outre les en-têtes x-emcsupplémentaires que vous pouvez utiliser pour contrôler la configuration des bucketslors de l’utilisation des protocoles d’objet pris en charge.

Concepts liés aux bucketsLes buckets sont des conteneurs d’objets qu’il est possible d’utiliser pour contrôlerl’accès aux objets et définir les propriétés qui définissent les attributs de tous les objetscontenus, notamment les périodes de rétention et les quotas.

Accès aux buckets

Les buckets sont associés à un groupe de réplication. Lorsque le groupe de réplications’étend sur plusieurs VDC, les contenus du bucket sont répliqués de la même manièresur l’ensemble des VDC. Les objets d’un bucket appartenant à un groupe de réplicationqui englobe deux VDC, par exemple VDC1 et VDC2, sont accessibles aussi bien à partir deVDC1 que de VDC2. Les objets d’un bucket appartenant à un groupe de réplication quiest exclusivement associé à VDC1 sont uniquement accessibles à partir de VDC1. Ils nesont pas accessibles à partir d’autres VDC dans un système ECS fédéré.

L’identité d’un bucket et ses métadonnées, comme son ACL, sont des informations degestion globales d’ECS, c’est-à-dire qu’elles sont répliquées sur les pools de stockage dusystème et sont visibles depuis tous les VDC de la fédération. Cependant, le contenu dubucket peut uniquement être listé depuis un VDC faisant partie du groupe de réplicationauquel appartient le bucket.

Propriété des buckets

Un bucket appartient à un espace de nommage et les utilisateurs d’objets sontégalement attribués à un espace de nommage. Chaque utilisateur d’objets ne peut créer



des buckets que dans l’espace de nommage auquel il appartient. Néanmoins, chaqueutilisateur d’objets ECS peut être désigné comme propriétaire d’un bucket ou d’un objet,ou comme bénéficiaire dans un ACL de bucket, même si cet utilisateur n’appartient pasau même espace de nommage que le bucket ou l’objet. Cela permet de partager desbuckets et des objets entre des utilisateurs appartenant à différents espaces denommage. Par exemple, dans une entreprise où un espace de nommage est undépartement, il est possible de partager un bucket ou un objet avec les utilisateursd’autres départements.

Lorsqu’un utilisateur d’objets souhaite accéder à un bucket d’un espace de nommageauquel il n’appartient pas, il doit spécifier l’espace de nommage à l’aide de l’en-tête x-emc-namespace.

Accès à un bucket pendant une panne temporaire de site

ECS fournit un mécanisme de panne temporaire de site permettant de récupérer desobjets même si leur copie primaire est indisponible en raison de l’indisponibilité du sitequi héberge la copie primaire.

Comme les données d’objet récupérées pendant la panne temporaire de site risquent dene pas être les plus récentes, l’utilisateur doit indiquer qu’il est prêt à accepter ce risqueen marquant le bucket comme disponible pendant une panne.

Pendant la panne, les données d’objet sont accessibles en lecture et en écriture. Lesbuckets activés pour l’accès au système de fichiers sont disponibles en lecture seule. Lesdonnées CAS sont disponibles en lecture seule en raison du fait qu’elles sont immuableset non en raison du mode de fonctionnement de l’accès en cas de panne.

Attributs des buckets

Le portail ECS permet de créer et de gérer des buckets sur la page Manage > Buckets.

La page Bucket Management fournit un tableau qui affiche les buckets d’un espace denommage sélectionné. Ce tableau affiche les attributs du bucket et fournit les actionsEdit Bucket, Edit ACL et Delete pour chaque bucket.

Les attributs associés à un bucket sont décrits dans le tableau suivant. Pour voir etmodifier les attributs qui ne sont pas affichés sur la page Bucket Management, vouspouvez sélectionner Edit Bucket.


Accès à un bucket pendant une panne temporaire de site 101

Tableau 6 Attributs des buckets

Attribut Description Modifiable

Name Nom du bucket. Reportez-vous à la section suivante pourobtenir des conseils sur la dénomination des buckets : Conventions de dénomination des buckets et des clés à la page117.

Non

Namespace Espace de nommage auquel le bucket est associé. Non

Replication Group Groupe de réplication dans lequel le bucket sera créé. Non

Bucket Owner Propriétaire du bucket. Oui

Bucket Tagging Les balises sont des paires nom-valeur qui peuvent être définiespour un bucket. Elles permettent de classer les buckets.Pour plus d’informations sur le balisage des buckets, reportez-vous à la section Balisage des buckets à la page 105.

Oui

Quota Quota d’un bucket. Le comportement en cas de dépassement dequota peut être défini via la configuration de quotas stricts(blocage) et souples (notification).

Quota souple (notification)

Paramètre de quota qui déclenchera une notification. Ils’agit d’un quota souple qu’il est possible de définir seulou en complément d’un quota strict.

La valeur du quota ne peut pas être inférieure à 1 Go.

Pour plus d’informations sur les quotas, reportez-vous à lasection Gestion d’un tenant à la page 86.

Quota strict (blocage)

Quota strict qui, lorsqu’il est atteint, bloque les écritures etles mises à jour du bucket. Il est possible de définir ledéclenchement d’un quota souple avant que le quota strictne soit atteint.

Oui

Server-sideEncryption

Indique si le chiffrement côté serveur est activé.Le chiffrement côté serveur est également appelé chiffrementdes données inactives ou D@RE (Data At Rest Encryption). Cettefonction chiffre les données à la volée avant de les stocker surdes disques ECS. Ce chiffrement empêche la récupération dedonnées sensibles sur des médias mis au rebut ou volés. Si lechiffrement est activé lorsque le bucket est créé, il ne peut pasêtre désactivé par la suite.

Si l’espace de nommage du bucket est chiffré, chaque bucketl’est également. Si l’espace de nommage n’est pas chiffré, vousavez la possibilité de chiffrer certains buckets.

Pour obtenir une description complète de cette fonction,consultez le Guide de configuration de la sécurité ECS.

Non

File system Indique qu’ECS autorisera le bucket à être utilisé comme unbucket HDFS (Hadoop Distributed File System).

Non



Tableau 6 Attributs des buckets (suite)


Pour simplifier l’accès au système de fichiers, un groupe pardéfaut et des autorisations par défaut associées au groupepeuvent être définis. Des informations complémentaires sontdisponibles à la section Groupe par défaut à la page 104.

CAS Indique l’activation du bucket pour les données CAS.

Metadata Search Indique que des index de recherche de métadonnées serontcréés pour le bucket sur la base des valeurs de clé spécifiées.Si ce paramètre est activé, il est possible de définir les clés demétadonnées à utiliser comme base pour l’indexation desobjets du bucket. Ces clés doivent être spécifiées au moment dela création du bucket.

Une fois que le bucket est créé, la recherche peut êtrecomplètement désactivée, mais les clés d’index configurées nepeuvent pas être modifiées.

La manière dont l’attribut est défini est décrite à la section Clésd’index de métadonnées à la page 104.

Remarque

Les métadonnées qui sont chiffrées ne peuvent pas êtreindexées pour la recherche. C’est pourquoi les utilisateurs nepeuvent pas activer la recherche de métadonnées pour unbucket si le chiffrement côté serveur (D@RE) est activé.

Non

Access DuringOutage

Définie sur le bucket, cette balise spécifie le comportement lorsde l’accès aux données du bucket s’il existe une zonetemporairement indisponible dans une configurationgéofédérée.

Si vous définissez cette balise sur Enabled et qu’une pannetemporaire de site survienne, les objets auxquels vous accédezdans ce bucket ont peut-être été mis à jour sur le site défaillant,mais les modifications sont susceptibles de ne pas avoir étépropagées au site à partir duquel vous accédez à l’objet. Parconséquent, vous êtes prêt à accepter le fait que les objets quevous lisez puissent ne pas être à jour.

Si cette balise est définie sur Disabled, les données de la zoneaffectée par la panne temporaire ne sont pas accessibles depuisd’autres zones et les lectures d’objet échouent pour lesdonnées dont la copie primaire se trouve sur le site défaillant.

Oui

Bucket Retention Définit la période de rétention d’un bucket.L’expiration de la période de rétention d’un objet au sein d’unbucket est calculée lors d’une demande de modification d’unobjet. Elle repose sur la valeur définie sur le bucket et les objetseux-mêmes.

Il est possible de modifier la période de rétention pendant toutela durée de vie du bucket.

Oui


Attributs des buckets 103

Tableau 6 Attributs des buckets (suite)


De plus amples informations sur la période de rétention sontfournies à la section Politiques et périodes de rétention à lapage 87.

Groupe par défautLorsqu’un bucket est activé pour l’accès au système de fichiers, il est possible despécifier un groupe par défaut pour ce bucket. En cas d’accès au bucket en tant quesystème de fichiers, les membres du groupe Unix peuvent accéder à ce dernier. Sanscette attribution, seul le propriétaire du bucket est en mesure d’accéder au système defichiers.

En outre, les fichiers et les répertoires créés à l’aide de protocoles d’objet peuvent fairel’objet d’autorisations de groupe qui permettent aux membres du groupe Unix d’yaccéder.

La boîte de dialogue File System Enabled est représentée ci-dessous.

Clés d’index de métadonnéesLorsque la recherche de métadonnées est activée, un ensemble de champs/attributs demétadonnées système et/ou utilisateur peuvent être spécifiés en tant que clés derecherche pour les objets d’un bucket. Pour chaque clé de recherche de métadonnéesspécifiée, ECS crée un index des objets qui ont des métadonnées correspondantes selonla valeur de la clé de recherche de métadonnées.

La fonction de recherche de métadonnées permet aux clients d’objet S3 de rechercherdes objets dans un bucket sur la base des métadonnées indexées à l’aide d’un langagede requête riche.

La boîte de dialogue Add Metadata Search Key permet de sélectionner la clé de recherchede métadonnées (System ou User). Si vous sélectionnez System, les métadonnées quisont automatiquement attribuées aux objets d’un bucket sont répertoriées dans le menuKey Names.



Si vous sélectionnez User sous Metadata Key Type (voir ci-dessous), vous devez spécifierle nom des métadonnées utilisateur pour lesquelles vous souhaitez créer un index. Enoutre, vous devez spécifier le type de données afin qu’ECS sache comment interpréter lesvaleurs des métadonnées fournies dans les requêtes de recherche.

Pour en savoir plus sur la fonction de recherche de métadonnées, consultez la section Guide d’accès aux données : Extension S3 pour la recherche de métadonnées.

Balisage des bucketsDes balises ayant la forme de paires nom-valeur peuvent être attribuées à un bucket, cequi permet de classer les données d’objet stockées dans ce bucket. Par exemple, lesdonnées de bucket peuvent être associées à un centre de coûts ou à un projet.

Les valeurs et les balises de bucket peuvent être lues et gérées via le portail ECS ou àl’aide de clients personnalisés avec ECS Management REST API. En outre, les balises debucket sont incluses dans les rapports de données de suivi d’utilisation sur le portail ECSou dans ECS Management REST API.

La boîte de dialogue Bucket Tagging est représentée ci-dessous.


Balisage des buckets 105

ACL des bucketsLes ACL (Access Control List) permettent de définir les privilèges dont dispose unutilisateur lorsqu’il accède à un bucket.

Lorsque vous créez un bucket et que vous lui attribuez un propriétaire, cela crée une ACLqui attribue un ensemble d’autorisations par défaut au propriétaire du bucket. Pardéfaut, le propriétaire bénéficie d’un contrôle total.

Vous pouvez modifier les autorisations attribuées au propriétaire ou ajouter de nouvellesautorisations utilisateur en sélectionnant l’opération Edit ACL associé au bucket.

Sur le portail ECS, la page Bucket ACLs Management comporte des panneaux User ACLs,Group ACLs et Custom Group ACLs qui permettent de gérer les ACL associées à desutilisateurs individuels et à des groupes prédéfinis, et de définir des groupes qui peuventêtre utilisés lors de l’accès au bucket en tant que système de fichiers.

Les attributs des ACL sont indiqués dans le tableau suivant.

Tableau 7 ACL des buckets

ACL Autorisation

Read Permet à l’utilisateur de répertorier les objets du bucket.

Read ACL Permet à l’utilisateur de lire l’ACL du bucket.

Write Permet à l’utilisateur de créer ou de mettre à jour n’importe quel objet dubucket.

Write ACL Permet à l’utilisateur d’écrire l’ACL pour le bucket.

Execute Définit l’autorisation d’exécution lors d’un accès en tant que système defichiers. Cette autorisation n’a aucun effet lorsque les protocoles en mode objetECS sont utilisés pour accéder à l’objet.



Tableau 7 ACL des buckets (suite)

ACL Autorisation

Full Control Permet à l’utilisateur de lire, écrire, lire des ACL et écrire des ACL.

Privileged Write Permet à l’utilisateur d’écrire sur un bucket ou un objet alors qu’il ne disposed’aucune autorisation d’écriture normale. Requis pour les buckets CAS.

Delete Permet à l’utilisateur de supprimer des buckets et des objets. Requis pour lesbuckets CAS.

None L’utilisateur ne dispose d’aucun privilège sur le bucket.

ACL des utilisateursLe panneau User ACL affiche les ACL appliquées aux utilisateurs et permet d’attribuer desACL à un utilisateur via l’opération Add.

Remarque

Comme le portail ECS prend en charge les buckets S3, HDFS et CAS, la plaged’autorisations définissables ne s’applique pas à tous les types de buckets.

ACL de groupeVous pouvez définir des autorisations pour un ensemble de groupes prédéfinis. Lesgroupes suivants sont pris en charge :

public

Tous les utilisateurs, authentifiés ou non.

all users

Tous les utilisateurs authentifiés.

other

Les utilisateurs authentifiés à l’exception du propriétaire du bucket.

log delivery

Non prise en charge.

Les autorisations attribuables sont répertoriées dans la section Tableau 7 à la page 106.

ACL de groupe personnaliséLes ACL de groupe personnalisé permettent de définir des groupes et de leur attribuerdes autorisations. Le principal exemple d’utilisation de l’attribution de groupes à un


ACL des buckets 107

bucket est la prise en charge de l’accès au bucket en tant que système de fichiers, parexemple lors de la mise à disposition du bucket pour HDFS.

Création d’un bucket à l’aide du portail ECSLe portail ECS permet de créer des buckets et de spécifier la configuration de chacund’eux. Les buckets créés sur le portail peuvent être de type S3, S3+HDFS ou CAS.

Avant de commencer

l Vous devez être administrateur d’espace de nommage ou administrateur systèmepour pouvoir créer un bucket sur le portail ECS.

l Si vous êtes administrateur d’espace de nommage, vous pouvez créer des bucketsdans votre espace de nommage.

l Si vous êtes administrateur système, vous pouvez créer un bucket appartenant àn’importe quel espace de nommage.

Procédure

1. Sur le portail ECS, sélectionnez Manage > Buckets.

2. Sélectionnez New Bucket.

3. Sélectionnez l’espace de nommage auquel le bucket et ses objets appartiendront.

Si vous êtes administrateur système et que le système ECS contient plusieurs espacesde nommage, sélectionnez l’espace de nommage auquel le bucket appartiendra.

Si vous êtes administrateur d’espace de nommage, vous ne pourrez sélectionner quevotre propre espace de nommage.

4. Sélectionnez le groupe de réplication auquel le bucket doit être associé.

5. Spécifiez le propriétaire du bucket.

Le propriétaire du bucket doit être un utilisateur d’objets ECS pour l’espace denommage. Si vous ne spécifiez pas d’utilisateur, vous serez désigné propriétaire dubucket ; toutefois, vous ne pourrez y accéder que si votre nom d’utilisateur estégalement s’est vu attribuer le statut d’utilisateur d’objets.

L’utilisateur que vous spécifiez se verra accorder l’autorisation Contrôle total.

6. Ajoutez éventuellement des balises au bucket en cliquant sur Add pour l’optionBucket Tagging et en ajoutant des paires nom-valeur.

Pour en savoir plus sur le balisage des buckets, reportez-vous à la section Balisagedes buckets à la page 105.

7. Si nécessaire, spécifiez un quota pour le bucket.

Les paramètres applicables sont décrits à la section Quotas à la page 86.

8. Si vous souhaitez que les données du bucket soient chiffrées, définissez l’optionServer-side Encryption sur Enabled.

9. Si vous souhaitez que le bucket soit de type CAS, définissez l’option CAS sur Enabled.

Par défaut, CAS est désactivé et le bucket est marqué comme étant de type S3.

10. Si vous souhaitez que le bucket prenne en charge le fonctionnement en tant quesystème de fichiers (pour HDFS), définissez l’option File System Enabled sur Enabled.

Le bucket sera alors un bucket S3 prenant en charge HDFS.



Vous pouvez définir un groupe Unix par défaut pour l’accès au bucket et pour lesobjets créés dans celui-ci. Pour plus d’informations, reportez-vous à la section Groupepar défaut à la page 104.

11. Si vous souhaitez que le bucket prenne en charge les recherches basées sur lesmétadonnées d’objet, définissez l’option Metadata Search sur Enabled.

Si vous activez la recherche de métadonnées, vous pouvez ajouter des clés demétadonnées utilisateur et système qui seront utilisées pour créer des index d’objets.Pour plus d’informations sur la saisie de clés de recherche de métadonnées, reportez-vous à la section Clés d’index de métadonnées à la page 104.

Remarque

Si le bucket doit être utilisé pour CAS, vous ne pouvez pas activer la recherche demétadonnées, car une fonction de recherche similaire est fournie dans la mise enœuvre de l’API Centera.

12. Définissez l’option Access During Outage sur Enabled si vous souhaitez que le bucketsoit disponible en cas de panne temporaire de site.

13. Si nécessaire, définissez une période de rétention pour le bucket.

Pour plus d’informations sur les périodes de rétention, reportez-vous à la section Politiques et périodes de rétention à la page 87.

14. Sélectionnez Save pour créer le bucket.

Résultats

Vous pouvez attribuer des utilisateurs au bucket et définir des autorisations pour ceux-ci(ou pour des groupes prédéfinis) à partir du menu Actions du tableau des buckets.

Modifier un compartimentVous pouvez modifier certains paramètres du bucket une fois qu’il a été créé et que desobjets ont été écrits dans celui-ci.

Avant de commencer

l Vous devez être un administrateur d’espace de nommage ou un administrateursystème pour modifier un bucket.

l Si vous êtes un administrateur d’espace de nommage, vous pouvez modifier lesparamètres des buckets qui appartiennent à votre espace de nommage.

l Si vous êtes administrateur système, vous pouvez modifier les paramètres desbuckets qui appartiennent à n’importe quel espace de nommage.

Procédure


2. Dans le tableau Buckets, sélectionnez l’action Edit associée au bucket dont voussouhaitez modifier les paramètres.

3. Vous pouvez modifier les attributs de bucket suivants :

l Quota

l Bucket Owner

l Bucket Tagging



Modifier un compartiment 109

l Bucket Retention

Vous ne pouvez pas modifier les attributs de bucket suivants :

l Replication Group

l Server-side Encryption

l File System Enabled

l CAS Enabled

l Metadata Search

Vous trouverez de plus amples informations sur ces paramètres à la section Conceptsliés aux buckets à la page 100.


Définition des autorisations ACL de bucket pour un utilisateurLe portail ECS permet de définir l’ACL d’un bucket pour un utilisateur ou un groupeprédéfini.

Avant de commencer

l Vous devez être un administrateur d’espace de nommage ou un administrateursystème pour pouvoir modifier l’ACL d’un bucket.

l Si vous êtes un administrateur d’espace de nommage, vous pouvez modifier lesparamètres ACL des buckets qui appartiennent à votre espace de nommage.

l Si vous êtes administrateur système, vous pouvez modifier les paramètres ACL desbuckets qui appartiennent à n’importe quel espace de nommage.

Procédure


2. Dans le tableau Buckets, sélectionnez l’action Edit ACL associée au bucket dont voussouhaitez modifier les paramètres.

3. Pour définir les autorisations ACL d’un utilisateur, sélectionnez le bouton User ACLs.

Pour sélectionner l’ACL d’un groupe, sélectionnez Group ACLs ou Custom Group ACLs.Reportez-vous à la section Définition des autorisations ACL de bucket pour un groupeprédéfini à la page 111 ou Définition d’ACL de groupe personnalisé pour lesbuckets à la page 112 pour plus d’informations sur la définition d’ACL de groupe.

4. Vous pouvez modifier les autorisations d’un utilisateur disposant déjàd’autorisations, ou vous pouvez ajouter un utilisateur auquel vous voulez attribuerdes autorisations.

l Pour définir (ou supprimer) les autorisations ACL d’un utilisateur disposant déjàd’autorisations, sélectionnez Edit (ou Remove) dans la colonne Action du tableauACL.

l Pour ajouter un utilisateur auquel vous voulez attribuer des autorisations,sélectionnez Add.

L’utilisateur que vous avez défini comme propriétaire du bucket dispose déjà desautorisations par défaut.

5. Si vous avez ajouté une ACL, saisissez le nom d’utilisateur de l’utilisateur auquels’appliqueront les autorisations.



6. Spécifiez les autorisations que vous souhaitez appliquer à l’utilisateur.

Pour plus d’informations sur les privilèges ACL, reportez-vous à la section Conceptsliés aux buckets à la page 100.


Définition des autorisations ACL de bucket pour un groupeprédéfini

Le portail ECS permet de définir l’ACL d’un bucket pour un groupe prédéfini.

Avant de commencer

l Vous devez être un administrateur d’espace de nommage ou un administrateursystème pour pouvoir modifier l’ACL de groupe d’un bucket.

l Si vous êtes un administrateur d’espace de nommage, vous pouvez modifier lesparamètres ACL de groupe des buckets qui appartiennent à votre espace denommage.

l Si vous êtes administrateur système, vous pouvez modifier les paramètres ACL degroupe des buckets qui appartiennent à n’importe quel espace de nommage.

Procédure



3. Pour définir les autorisations ACL d’un groupe prédéfini, sélectionnez le bouton GroupACLs.

Pour en savoir plus sur les groupes prédéfinis, reportez-vous à la section Conceptsliés aux buckets à la page 100.


Définition des autorisations ACL de bucket pour un groupe prédéfini 111

4. Sélectionnez les privilèges que vous voulez attribuer au groupe.


Définition d’ACL de groupe personnalisé pour les bucketsLe portail ECS permet de définir l’ACL de groupe pour un bucket. Les ACL de bucketpeuvent être accordées à un groupe d’utilisateurs (ACL de groupe personnalisé), à desutilisateurs individuels ou à une combinaison des deux. Par exemple, vous pouvezaccorder un accès complet au bucket à un groupe d’utilisateurs, mais vous pouvezégalement restreindre (voire refuser) l’accès au bucket pour certains utilisateurs de cegroupe.

Avant de commencer

l Vous devez être un administrateur d’espace de nommage ou un administrateursystème pour pouvoir modifier l’ACL de groupe d’un bucket.

l Si vous êtes un administrateur d’espace de nommage, vous pouvez modifier lesparamètres ACL de groupe des buckets qui appartiennent à votre espace denommage.

l Si vous êtes administrateur système, vous pouvez modifier les paramètres ACL degroupe des buckets qui appartiennent à n’importe quel espace de nommage.

En cas d’accès au bucket via HDFS à l’aide de l’accès multiprotocole ECS, les membresdu groupe Unix sont en mesure d’accéder au bucket.

Procédure





3. Pour définir l’ACL d’un groupe personnalisé, sélectionnez Custom Group User ACLs.

4. À la page Custom Group User ACLs, sélectionnez Add.

5. Entrez le nom du groupe.

Ce nom peut être un groupe Unix/Linux ou un groupe Active Directory.

6. Définissez les autorisations pour le groupe.

Au minimum, vous devez attribuer des autorisations de lecture, d’écriture,d’exécution et de lecture d’ACL.


Création d’un bucket à l’aide des API d’objetLorsque vous créez des compartiments à l'aide des API d'objet ou à l'aide d'outils quiappellent les API d'objet, différents en-têtes permettent d'en déterminer lecomportement.

Les en-têtes x-emc suivants sont fournis :

x-emc-dataservice-vpool

Détermine le groupe de réplication qui sera utilisé pour stocker les objets associés àce bucket. Si vous n’indiquez aucun groupe de réplication à l’aide de l’en-tête x-emc-dataservice-vpool, ECS choisit le groupe de réplication par défautassocié à l’espace de nommage.


Création d’un bucket à l’aide des API d’objet 113

x-emc-file-system-access-enabled

Configure le compartiment pour l'accès HDFS. L'en-tête ne doit pas entrer en conflitavec l'interface utilisée. Autrement dit, une demande de création de bucket émanantde HDFS ne peut pas spécifier x-emc-file-system-access-enabled=false.

x-emc-namespace

Spécifie l'espace de nommage à utiliser pour ce domaine. Si vous n'utilisez pas laconvention de demande S3 hôte/chemin pour indiquer l'espace de nommage, vouspouvez utiliser l'en-tête x-emc-namespace. Si l'espace de nommage n'est pasdéfini par l'intermédiaire de cet en-tête, l'espace de nommage associé à l'utilisateurest employé.

x-emc-retention-period

Spécifie la période de rétention qui sera appliquée aux objets situés dans unbucket. À chaque fois qu’une demande de modification d’un objet situé dans unbucket est effectuée, le délai d’expiration de la période de rétention de l’objet estcalculée en fonction de la période de rétention associée au bucket.

x-emc-is-stale-allowed

Indique si le bucket est accessible en cas de défaillance temporaire du VDC dansune configuration fédérée.

x-emc-server-side-encryption-enabled

Spécifie si les objets écrits dans un bucket sont chiffrés.

x-emc-metadata-search

Spécifie une ou plusieurs valeurs de métadonnées utilisateur ou système à utiliserpour créer des index d’objets pour le bucket. Les index peuvent être utilisés poureffectuer des recherches d’objets qui peuvent être filtrées en fonction desmétadonnées indexées.

Un exemple de création d'un compartiment à l'aide de l'outil S3curl est fourni :

l Création d’un compartiment à l’aide de l’API S3 (avec s3curl) à la page 114

Création d’un compartiment à l’aide de l’API S3 (avec s3curl)Vous pouvez utiliser l’API S3 pour créer un bucket au sein d’un groupe de réplication.Comme ECS utilise des en-têtes personnalisés (x-emc), la construction de la chaîne àsigner doit lui permettre d’inclure ces en-têtes. L’outil s3curl est utilisé dans cetteprocédure ; vous pouvez également utiliser d’autres programmes clients, par exemple, leclient Java S3.

Avant de commencer

l ECS doit avoir au moins un groupe de réplication configuré.

l Perl doit être installé sur la machine Linux sur laquelle vous allez exécuter s3curl.

l Curl doit être installé et vous avez besoin du module s3curl, qui sert de script globalpour curl.

Pour utiliser s3curl avec des en-têtes x-emc, vous devez apporter de légèresmodifications au script s3curl. Ces modifications sont décrites dans la procédure.

Procédure

1. Obtenez une clé secrète pour l’utilisateur qui crée le compartiment.

Pour plus d’informations, consultez le Guide d’accès aux données : Obtention de la

clé secrète d’accès au stockage en mode objet.



2. Obtenez l’identité du groupe de réplication dans lequel vous voulez créer le bucket.

Vous pouvez obtenir l’identité du groupe de réplication à l’aide de l’API REST ECS :

GET https://<ECS IP Address>:4443/vdc/data-service/vpools

La réponse fournit le nom et l’identité de tous les pools virtuels de services dedonnées. Par exemple :

<data_service_vpools><data_service_vpool> <creation_time>1403519186936</creation_time> <id>urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global</id> <inactive>false</inactive> <tags/> <description>IsilonVPool1</description> <name>IsilonVPool1</name> <varrayMappings> <name>urn:storageos:VirtualDataCenter:1de0bbc2-907c-4ede-b133-f5331e03e6fa:vdc1</name> <value>urn:storageos:VirtualArray:793757ab-ad51-4038-b80a-682e124eb25e:vdc1</value> </varrayMappings></data_service_vpool></data_service_vpools>

Ici, l’ID est urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global.

3. Configurez s3curl en créant un fichier .s3curl en vue d’y saisir les informationsd’identification.

Le fichier .s3curl doit disposer des autorisations 0600 (rw-/---/---) à l’exécution des3curl.pl.

Dans l’exemple ci-dessous, le profil my_profile est utilisé pour référencer lesinformations d’identification utilisateur du compte [email protected], alors queroot_profile référence les informations d’identification du compte root.

%awsSecretAccessKeys = ( my_profile => { id => '[email protected]', key => 'sZRCTZyk93IWukHEGQ3evPJEvPUq4ASL8Nre0awN' }, root_profile => { id => 'root', key => 'sZRCTZyk93IWukHEGQ3evPJEvPUq4ASL8Nre0awN' },);

4. Ajoutez le point d’accès sur lequel vous souhaitez utiliser s3curl aufichier .s3curl.

Il doit s’agir de l’adresse de votre nœud de données ou du répartiteur de chargeprésent devant les nœuds de données.

Par exemple :

push @endpoints , (


Création d’un compartiment à l’aide de l’API S3 (avec s3curl) 115

'203.0.113.10', 'lglw3183.lss.emc.com',);

5. Modifiez le script s3curl.pl de manière à ce que les en-têtes x-emc soient intégrésdans sa chaîne à signer.

Remplacez les lignes suivantes :

elsif ($header =~ /^(?'header'[Xx]-(([Aa][Mm][Zz])|([Ee][Mm][Cc]))-[^:]+): *(?'val'.+)$/) {

my $name = lc $+{header}; my $value = $+{val};

par :

elsif ($header =~ /^([Xx]-(?:(?:[Aa][Mm][Zz])|(?:[Ee][Mm][Cc]))-[^:]+): *(.+)$/) { my $name = lc $1; my $value = $2;

6. Créez le compartiment à l’aide de s3curl.pl.

Indiquez les éléments suivants :

l Profil de l’utilisateur.

l Identité du groupe de réplication dans lequel créer le bucket (<vpool_id>). Utilisezpour cela l’en-tête x-emc-dataservice-vpool.

l En-têtes x-emc personnalisés éventuels.

l Nom du compartiment (<BucketName>).

La commande complète a l’aspect suivant :

./s3curl.pl --debug --id=my_profile --acl public-read-write --createBucket -- -H 'x-emc-file-system-access-enabled:true' -H 'x-emc-dataservice-vpool:<vpool_id>' http://<DataNodeIP>:9020/<BucketName>

Cet exemple utilise l’en-tête x-emc-dataservice-vpool pour spécifier le groupe deréplication dans lequel le bucket va être créé et l’en-tête x-emc-file-system-access-enabled pour activer l’accès au système de fichiers (notamment pour HDFS) pour lebucket.

L’argument -acl public-read-write est facultatif, mais peut être utilisé pourdéfinir des autorisations d’activation de l’accès au bucket. Par exemple, si vous avezl’intention d’y accéder en tant que HDFS à partir d’un environnement qui n’est passécurisé à l’aide de Kerberos.

Si l’opération réussit (avec --debug activé), vous devez obtenir un résultat semblableau suivant :

s3curl: Found the url: host=203.0.113.10; port=9020; uri=/S3B4;



query=;s3curl: ordinary endpoint signing cases3curl: StringToSign='PUT\n\n\nThu, 12 Dec 2013 07:58:39 +0000\nx-amz-acl:public-read-write\nx-emc-file-system-access-enabled:true\nx-emc-dataservice-vpool:urn:storageos:ReplicationGroupInfo:8fc8e19b-edf0-4e81-bee8-79accc867f64:global:\n/S3B4's3curl: exec curl -H Date: Thu, 12 Dec 2013 07:58:39 +0000 -H Authorization: AWS root:AiTcfMDhsi6iSq2rIbHEZon0WNo= -H x-amz-acl: public-read-write -L -H content-type: --data-binary -X PUT -H x-emc-file-system-access-enabled:true -H x-emc-dataservice-vpool:urn:storageos:ObjectStore:e0506a04-340b-4e78-a694-4c389ce14dc8: http://203.0.113.10:9020/S3B4

Vous pouvez répertorier les buckets à partir de l’interface S3, avec :

./s3curl.pl --debug --id=my_profile http://<DataNodeIP>:9020/

Conventions de dénomination des buckets et des clésLes noms des buckets et des objets/clés doivent être conformes aux spécificationsprésentées ici.

l Dénomination des buckets et objets S3 dans ECS à la page 117

l Dénomination des objets et conteneurs OpenStack Swift dans ECS à la page 118

l Dénomination des buckets et objets Atmos dans ECS à la page 118

l Dénomination de pools et d’objets CAS dans ECS à la page 119

Remarque

Si vous souhaitez utiliser un bucket pour l’accès HDFS, n’utilisez pas de traits desoulignement dans le nom de bucket, car ceux-ci ne sont pas pris en charge par la classeJava URI. Par exemple, viprfs://my_bucket.ns.site/ ne fonctionnera pas car ils’agit d’un URI non valide, qui n’est pas compris par Hadoop.

Nom des espaces de nommageLes règles suivantes s’appliquent à la dénomination des espaces de nommage ECS :

l Ne peut pas être nul ni une chaîne vide.

l Longueur comprise entre 1 et 255 caractères (Unicode)

l Les caractères valides sont définis par le modèle regex /[a-zA-Z0-9-_]+/. Parconséquent :

n Caractères alphanumériques

n Caractères spéciaux : tirets (-) et traits de soulignement (_).

Dénomination des buckets et objets S3 dans ECSCette section aborde en détail les règles qui s’appliquent à la dénomination des bucketset objets en cas d’utilisation de l’API ECS S3 Object.

Nom des bucketsLes règles suivantes s’appliquent à la dénomination des buckets S3 dans ECS :


Conventions de dénomination des buckets et des clés 117

l La longueur des noms doit être comprise entre 1 et 255 caractères. (La spécificationS3 exige que la longueur des noms de bucket soit comprise entre 1 et255 caractères).

l Les noms peuvent comporter des points (.), des tirets (-) et des traits desoulignement (_), ainsi que des caractères alphanumériques ([a-zA-Z0-9]).

l Les noms peuvent débuter par un tiret (-) ou un caractère alphanumérique.

l Le nom ne prend pas en charge les caractéristiques suivantes :

n Commence par un point (.)

n Contient un double point (..)

n Se termine par un point (.)

n Le nom ne doit pas être au format d’adresse IPv4.

Vous pouvez comparer ces restrictions de dénomination avec celles associées à laspécification S3 : http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html.

Nom d’objetLes règles suivantes s’appliquent à la dénomination des objets S3 ECS :



l Aucune validation sur les caractères.

Dénomination des objets et conteneurs OpenStack Swift dans ECSCette section aborde en détail les règles qui s’appliquent à la dénomination des bucketset objets en cas d’utilisation de l’API ECS OpenStack Swift Object.

Nom des conteneursLes règles suivantes s’appliquent à la dénomination des conteneurs Swift :



l Les caractères valides sont définis par le modèle regex /[a-zA-Z0-9-_]+/

n Caractères alphanumériques

n Caractères spéciaux : points (.), traits d’union (-) et tirets de soulignement (_).

Nom des objetsLes règles suivantes s’appliquent à la dénomination des objets Swift :




Dénomination des buckets et objets Atmos dans ECSCette section aborde en détail les règles qui s’appliquent à la dénomination des bucketset objets en cas d’utilisation de l’API ECS Atmos Object.

Sous-tenant (bucket)La dénomination est créée par le serveur, le client n’a donc pas besoin de connaître leschéma de dénomination.



http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html

http://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html

Nom des objetsLes règles suivantes s’appliquent à la dénomination des objets Atmos :




Les noms doivent se composer de caractères UTF-8.

Dénomination de pools et d’objets CAS dans ECSCette section aborde en détail les règles qui s’appliquent à la dénomination des pools etobjets CAS (« clips » dans la terminologie CAS) en cas d’utilisation de l’API CAS.

Dénomination de pools CASLes règles suivantes s’appliquent à la dénomination des pools CAS dans ECS :

l Maximum de 255 caractères

l Ne peut pas contenir les éléments suivants : ’ " / & ? * < > <tab> <newline> ou <space>

Dénomination des clipsIl n’existe aucune clé définie par l’utilisateur dans l’API CAS. Lorsqu’une application quiutilise l’API CAS crée un clip, elle ouvre un pool, crée un nouveau clip, puis ajoute desbalises, des attributs, des flux, etc. Lorsqu’un clip est terminé, il est écrit sur unpériphérique.

Un ID de clip correspondant est renvoyé par le moteur CAS et peut être appelé à l’aide de<pool name>/<clip id>.


Dénomination de pools et d’objets CAS dans ECS 119

CHAPITRE 12

Configuration de l’accès aux fichiers NFS

l Accès aux fichiers NFS.........................................................................................122l Prise en charge de la configuration NFS par le portail ECS....................................123l Tâches de configuration d’ECS NFS..................................................................... 125l Bonnes pratiques d’utilisation d’ECS NFS............................................................139l Autorisations pour l’accès multiprotocole (transversal)....................................... 140l Récapitulatif de l’API de fichier............................................................................142

Configuration de l’accès aux fichiers NFS 121

Accès aux fichiers NFSECS permet de configurer des buckets d’objets pour un accès en tant que systèmes defichiers NFS via NFSv3.

Pour permettre aux utilisateurs Unix d’accéder au système de fichiers, ECS fournit unmécanisme de mappage des utilisateurs d’objet ECS aux utilisateurs Unix. Un bucket ECSa toujours un propriétaire. Le mappage du propriétaire du bucket à un ID Unix donne àcet utilisateur Unix des autorisations sur le système de fichiers. Par ailleurs, ECS permetl’attribution d’un groupe personnalisé par défaut au bucket afin que les membres d’ungroupe Unix mappé au groupe personnalisé par défaut ECS puissent accéder au bucket.

En outre, ECS prend en charge l’accès multiprotocole, si bien que les fichiers écrits viaNFS sont également accessibles à l’aide des protocoles d’objet S3, OpenStack Swift etEMC Atmos. De même, les objets écrits à l’aide des protocoles d’objet S3 et OpenStackSwift peuvent être mis à disposition via NFS. Pour Atmos, les objets créés à l’aide del’interface de l’espace de nommage peuvent être répertoriés via NFS, mais pas les objetscréés à l’aide d’un ID d’objet. De la même manière que le bucket lui-même, les objets etles répertoires créés à l’aide de protocoles d’objet sont accessibles aux utilisateurs Unixet aux membres des groupes Unix via le mappage des utilisateurs d’objets et desgroupes.

ECS NFS assure le verrouillage consultatif et prend en charge :

l les verrous sur plusieurs zones ;

l les verrous partagés et exclusifs.

ECS NFS prend en charge la sécurité Kerberos.

Accès multiprotocole aux répertoires et aux fichiersECS prend en charge l’écriture d’objets à l’aide du protocole S3 et l’accès à ces objets entant que fichiers via NFS et, inversement, l’écriture de fichiers à l’aide de NFS et l’accèsaux fichiers en tant qu’objets via le protocole S3. Il est important de comprendre le modede gestion des répertoires lors de l’utilisation d’un accès multiprotocole.

Le protocole S3 ne prévoit pas la création de dossiers/répertoires.

Pour permettre un fonctionnement multiprotocole, la prise en charge du protocole S3 parECS formalise l’utilisation de « / » et crée des objets de répertoire pour tous les cheminsintermédiaires d’un nom d’objet. Ainsi, un objet nommé /a/b/c.txt entraîne la créationd’un objet de fichier nommé c.txt et d’objets de répertoire pour a et b. Ces objets derépertoire ne sont pas exposés au client via S3. Ils sont utilisés uniquement pour assurerun accès multiprotocole et la compatibilité avec les API basées sur le système de fichiers.Cela signifie que lorsque le bucket est considéré comme un système de fichiers NFS/HDFS, ECS peut afficher les fichiers au sein d’une structure de répertoires.

Limitations

1. Il peut arriver qu’un objet de répertoire et un objet de fichier soient créés avec lemême nom. Ce problème se produit dans les situations suivantes :

l Si un fichier path1/path2 est créé à partir de NFS, un objet path1/path2/path3est créé à partir de S3. Étant donné que S3 permet de créer des objets contenantle nom d’un autre objet comme préfixe, une telle opération est valide et prise encharge. Toutefois, à ce stade, un fichier et un répertoire appelés path2 existent.

l Si un répertoire path1/path2 est créé à partir de NFS, un objet path1/path2 estcréé à partir de S3. Une fois encore, il s’agit d’une opération valide dans S3 étant



donné que le répertoire path1/path2 n’est pas visible via l’API S3. Toutefois, à cestade, un fichier et un répertoire appelés path2 existent.

Pour résoudre ce problème, les demandes de S3 renvoient toujours un fichier et lesdemandes NFS renvoient toujours un répertoire. Cependant, cela signifie que dans lepremier cas, le fichier créé par NFS est masqué par l’objet créé par S3.

2. NFS ne prend pas en charge les noms de fichiers se terminant par « / », alors quec’est le cas du protocole S3. Dans de telles situations, NFS n’affiche pas ces fichiers.

Panne de nœud et du siteNFS fournit un espace de nommage unique sur tous les nœuds ECS et peut continuer àfonctionner en cas de panne du site ou de nœud.

Lorsque vous montez une exportation NFS, vous pouvez spécifier l’un des nœuds ECS entant que serveur NFS ou vous pouvez spécifier l’adresse d’un répartiteur de charge. Quelque soit le nœud vers lequel vous pointez, ECS est en mesure de résoudre le chemin dusystème de fichiers.

Défaillance de nœudEn cas de défaillance d’un nœud, ECS restaure les données à l’aide des fragments dedonnées. Si votre exportation NFS est configurée pour des écritures asynchrones, vousrisquez de perdre les données liées aux transactions qui n’ont pas encore été écrites surdisque. Il en va de même pour n’importe quelle implémentation NFS.

Si vous avez monté le système de fichiers en pointant vers un nœud ECS et que ce nœudtombe en panne, vous devez remonter l’exportation en spécifiant un autre nœud en tantque serveur NFS. Si vous avez monté l’exportation à l’aide de l’adresse du répartiteur decharge, la défaillance du nœud est gérée par le répartiteur de charge, qui redirigeautomatiquement les demandes vers un autre nœud.

Panne du siteEn cas de panne du site, si votre répartiteur de charge est en mesure de rediriger le traficvers un autre site, votre exportation NFS reste disponible. Dans le cas contraire, vousdevez remonter l’exportation à partir d’un autre site non défaillant.

Lorsque le site principal tombe en panne et qu’ECS doit modifier la configuration defaçon à pointer vers un site secondaire, des données peuvent être perdues en raison desécritures asynchrones NFS et des opérations de réplication de données ECS nonterminées.

Prise en charge de la configuration NFS par le portail ECSLe portail ECS prend en charge la création d’exportations NFS et le mappage desutilisateurs ECS afin qu’ils puissent accéder à ces exportations NFS.

La page Manage > File du portail ECS permet à un administrateur de configurer desexportations NFS, ainsi que les mappages d’utilisateur et de groupe. Cette page secompose des vues Exports et User/Group Mapping. La zone Exports est affichée pardéfaut. Il est également possible de configurer des exportations NFS et des mappagesd’utilisateur via ECS Management REST API et la CLI.

Ces pages sont décrites dans les sections suivantes :

l Exports à la page 124

l Mappages d’utilisateur/de groupe à la page 124


Panne de nœud et du site 123

ExportsLa vue Exports affiche les exportations NFS qui ont été créées ; elle vous permet d’encréer de nouvelles et de modifier celles existantes.

La vue Exports est présentée ci-dessous.

La vue Exports comporte un menu Namespace qui vous permet de sélectionner l’espacede nommage dont vous souhaitez afficher les exportations actuellement définies. Leschamps suivants sont affichés dans le tableau Exports :

Champ Description

Namespace Tenant/espace de nommage auquel appartient le stockage sous-jacent.

Bucket Bucket qui fournit le stockage sous-jacent pour l’exportation NFS.

Export Path Point de montage associé à l’exportation. Celui-ci est au format /<namespace_name>/<bucket_name>/<export_name>. Le nom del’exportation n’est spécifié que si vous exportez un répertoire qui existeau sein du bucket.

Actions Actions qui peuvent être appliquées à cette entrée du tableau desexportations. Ces actions sont Edit et Delete.

Vous pouvez utiliser Edit pour afficher les hôtes pouvant accéder à

l’exportation et les options NFS qui ont été définies pour l’exportation.

Cette page permet également d’accéder à un bouton New Export afin d’ajouter uneexportation.

Mappages d’utilisateur/de groupeECS stocke le propriétaire et le groupe du bucket, ainsi que le propriétaire et le groupedes fichiers et des répertoires présents au sein du bucket, respectivement en tant quenom d’utilisateur d’objets ECS et noms de groupes personnalisés. Les noms doivent êtremappés à des ID Unix afin que les utilisateurs NFS bénéficient d’un accès avec lesprivilèges appropriés.



Le mappage permet à ECS de traiter un utilisateur d’objets ECS et un utilisateur NFScomme un même utilisateur, mais avec deux ensembles d’informations d’identification :l’un pour accéder à ECS via NFS et l’autre pour accéder à ECS à l’aide des protocolesd’objet. Comme les comptes sont mappés, les fichiers écrits par un utilisateur NFS sontaccessibles en tant qu’objets par l’utilisateur d’objets mappé, et les objets écrits par lesutilisateurs d’objets sont accessibles sous forme de fichiers par l’utilisateur NFS.

Les autorisations associées à l’objet ou au fichier dépendent du mappage entre lesprivilèges POSIX et ACL du protocole d’objet. Ce mappage est décrit en détail à la section Autorisations pour l’accès multiprotocole (transversal) à la page 140.

La page Manage > File du portail ECS permet d’accéder à la vue User/Group Mapping quiaffiche le tableau User/Group Mapping.

Cette vue fournit un sélecteur d’espace de nommage qui permet au tableau d’afficher lesutilisateurs et les groupes configurés pour l’espace de nommage sélectionné. Le tableauUser/Group Mapping affiche les champs suivants :

Champ Description

User/Group Name Nom d’utilisateur d’objets de l’utilisateur.

ID ID utilisateur ou ID de groupe Unix ayant été mappé à l’utilisateurd’objets.

Type Indique si l’ID correspond à un utilisateur ou à un groupe.

Actions Actions qu’il est possible d’appliquer à cette entrée. Il s'agit des

paramètres suivants : View et Delete.

De nouveaux mappages peuvent être ajoutés à l’aide du bouton New User/GroupMapping.

Tâches de configuration d’ECS NFSPour configurer ECS NFS, vous devez effectuer les tâches suivantes.

Procédure

1. Création d’un bucket pour NFS à l’aide du portail ECS à la page 126


Tâches de configuration d’ECS NFS 125

2. Ajout d’une exportation NFS à la page 128

3. Ajout d’un mappage d’utilisateur ou de groupe à la page 130

4. Configuration de la sécurité NFS avec Kerberos à la page 131

Création d’un bucket pour NFS à l’aide du portail ECSUtilisez le portail ECS pour créer un bucket configuré pour une utilisation avec NFS.

Avant de commencer

l Vous devez être administrateur d’espace de nommage ou administrateur systèmepour pouvoir créer un bucket sur le portail ECS.

l Si vous êtes administrateur d’espace de nommage, vous pouvez créer des bucketsdans votre espace de nommage.

l Si vous êtes administrateur système, vous pouvez créer un bucket appartenant àn’importe quel espace de nommage.

Les étapes indiquées ici se concentrent sur la configuration que vous devez effectuerpour rendre un bucket utilisable par NFS. Le bucket que vous créez est un bucket S3activé pour une utilisation en tant que système de fichiers.

Procédure

1. Sur le portail ECS, sélectionnez Manage > Buckets > New Bucket.

2. Saisissez le nom du bucket.

3. Spécifiez l’espace de nommage auquel doit appartenir le bucket.

4. Sélectionnez un groupe de réplication ou laissez ce champ vide pour utiliser le groupede réplication par défaut pour l’espace de nommage.

5. Saisissez le nom du propriétaire du bucket.

6. N’activez pas CAS.

Remarque

Un bucket conçu pour une utilisation en tant que NFS ne peut pas être utilisé pourCAS. L’option CAS est désactivée lorsque le système de fichiers est activé.

7. Activez toutes les autres fonctions du bucket dont vous avez besoin.

Vous pouvez activer les fonctions suivantes pour un bucket NFS :

l Quota

l Server-side Encryption

l Metadata Search


l Compliance (voir la remarque)

l Bucket Retention

Consultez le Concepts liés aux buckets à la page 100 pour plus d’informations surchacun de ces paramètres et la manière de les configurer.

Remarque

Un bucket qui est activé pour la conformité ne peut pas faire l’objet d’écrituresutilisant le protocole NFS. Toutefois, les données écrites à l’aide de protocoles d’objetpeuvent être lues à partir de NFS.



8. Sélectionnez Enabled sous File System.

Une fois le système de fichiers activé, les options permettant la définition d’un groupepar défaut pour le système de fichiers/bucket et l’attribution d’autorisations degroupe sur les fichiers et les répertoires créés dans le bucket sont disponibles.

9. Dans le panneau File System (illustré ci-dessous), saisissez le nom du groupe pardéfaut du bucket.

Ce groupe sera le groupe associé au système de fichiers NFS racine et à tous lesfichiers ou répertoires créés dans l’exportation NFS. Les utilisateurs qui sont membresdu groupe peuvent accéder à l’exportation NFS, ainsi qu’aux fichiers et auxrépertoires.

Ce groupe doit être spécifié lors de la création du bucket. Dans le cas contraire, legroupe doit être attribué plus tard à partir du client NFS.

10. Définissez les autorisations par défaut sur les fichiers et les répertoires créés dans lebucket à l’aide du protocole d’objet.

Ces paramètres sont utilisés pour appliquer des autorisations de groupe Unix auxobjets créés à l’aide de protocoles d’objet.

Le protocole S3 n’utilise pas le concept de groupes. Il n’offre donc pas la possibilitéde définir des autorisations de groupe dans S3 et de les mapper à des autorisationsUnix. Par conséquent, cette opération fournit une occasion unique d’associer unfichier ou un répertoire créé à l’aide du protocole S3 au groupe par défaut spécifiéavec les autorisations indiquées ici.

a. Définissez les autorisations du groupe sur les fichiers en cliquant sur les boutonsd’autorisation appropriés.

Normalement, vous définissez des autorisations de lecture et d’exécution.

b. Définissez les autorisations du groupe sur les répertoires en cliquant sur lesboutons d’autorisation appropriés.

Normalement, vous définissez des autorisations de lecture et d’exécution.

11. Cliquez sur Save pour créer le bucket.


Création d’un bucket pour NFS à l’aide du portail ECS 127

Ajout d’une exportation NFSLa page File > Exports permet de créer une exportation NFS et de définir les options quicontrôlent l’accès à cette dernière.

Avant de commencer

Le bucket qui fournit le stockage sous-jacent pour l’exportation doit déjà avoir été créé.

Procédure

1. Sélectionnez la page File > Exports > New Export.

Le panneau New File Export s’affiche. Un exemple de ce panneau est présenté ci-dessous avec une exportation configurée pour un accès par les hôtes du client NFS.

2. Dans le champ Namespace, sélectionnez l’espace de nommage propriétaire dubucket que vous souhaitez exporter.

3. Dans le champ Bucket, sélectionnez le bucket.

4. Dans le champ Export Path, spécifiez le chemin.

ECS génère automatiquement le chemin d’exportation en fonction de l’espace denommage et du bucket. Vous ne devez saisir un nom que si vous exportez unrépertoire qui existe déjà au sein du bucket. Par conséquent, si vous saisissez /



namespace1/bucket1/dir1, par exemple, vous devez vous assurer que dir1existe. Si tel n’est pas le cas, le montage de l’exportation échoue.

5. Ajoutez les hôtes qui doivent avoir accès à l’exportation en suivant les étapes ci-dessous.

a. Dans la zone Export Options, sélectionnez Add.

Le panneau Add Export Host, illustré ci-dessous, s’affiche.

b. Sur le panneau Add Export Host, spécifiez un ou plusieurs hôtes qui doivent avoiraccès à l’exportation et configurez les options d’accès.

Vous devez choisir une option d’authentification. Il s’agit normalement de Sys, àmoins que vous ayez l’intention de configurer Kerberos. Les valeurs par défaut desoptions Permissions (ro) et Write Transfer Policy (async) sont déjà définies sur lepanneau Add Export Host. Elles sont transmises au serveur NFS. Les autresoptions sont les mêmes que les valeurs par défaut du serveur NFS et ne sont donctransmises par ECS que si vous les modifiez.

Les paramètres que vous pouvez spécifier lors de l’ajout d’un hôte sont présentésdans le tableau ci-dessous.

Paramètre Description

Export Host Définit l’adresse IP de l’hôte ou des hôtes pouvant accéder àl’exportation. Une liste de valeurs séparées par des virgules estutilisée pour spécifier plusieurs hôtes.


Ajout d’une exportation NFS 129

Paramètre Description

Permissions Permet de définir l’accès en lecture/écriture ou en lecture seule àl’exportation. Cela revient à définir la valeur rw ou ro dans /etc/exports.

Write TransferPolicy

Définit la règle de transfert des écritures sur synchrone ouasynchrone. La valeur par défaut est asynchrone.Cela revient à définir la valeur sync ou async pour une exportation

dans /etc/exports.

Authentication Définit les types d’authentifications pris en charge par l’exportation.

MountingDirectories InsideExport

Ce paramètre détermine si les sous-répertoires du chemind’exportation sont autorisés en tant que points de montage. Ceparamètre est équivalent à alldir dans /etc/exports.

Avec l’option alldir, si vous avez exporté /namespace1/bucket1, par exemple, vous pouvez également monter des sous-

répertoires, tels que /namespace1/bucket1/dir1, à condition

que le répertoire existe.

AnonUser Définit l’ID utilisateur effectif pour l’accès d’un utilisateur anonyme àune exportation et pour l’accès root lorsque root_squash a été

défini. Cela revient à définir la valeur anonuid dans /etc/exports.

AnonGroup Définit l’ID de groupe effectif pour l’accès d’un groupe anonyme àune exportation et pour l’accès root lorsque root_squash a été

défini. Cela revient à définir la valeur anongid dans /etc/exports.

RootSquash Détermine si l’accès root est autorisé pour l’exportation. Si l’accèsroot n’est pas autorisé, l’ID de l’utilisateur root (UID=0) est remplacépar l’ID de l’utilisateur nobody ou par l’ID utilisateur que vousspécifiez dans AnonUser. Cela revient à utiliser root_squashdans /etc/exports.

c. Sélectionnez Add pour terminer la définition des options de l’hôte.

6. Si vous souhaitez ajouter d’autres hôtes pouvant accéder à l’exportation, mais avecdes options différentes, répétez l’étape précédente.

7. Cliquez sur Save pour enregistrer la définition de l’exportation NFS.

Ajout d’un mappage d’utilisateur ou de groupePour fournir un accès NFS au système de fichiers (bucket), vous devez mapper unutilisateur d’objets disposant d’autorisations sur le bucket à un ID utilisateur Unix (UID)afin de fournir un accès à l’utilisateur Unix mappé. Vous pouvez également mapper ungroupe personnalisé ECS qui dispose d’autorisations sur le bucket à un ID de groupeUnix (GID) pour fournir un accès aux membres du groupe Unix.

Avant de commencer

l Pour que le mappage fonctionne, l’ID utilisateur doit exister sur le client NFS et lenom d’utilisateur doit être un nom d’utilisateur d’objets ECS.

l Pour que les membres du groupe aient accès au système de fichiers, un groupepersonnalisé par défaut doit avoir été attribué au bucket.



l Pour que les membres du groupe aient accès aux objets et aux répertoires créés àl’aide de protocoles d’objet, des autorisations d’objet et de répertoire par défautdoivent avoir été attribuées au bucket.

Procédure

1. À la page Manage > File, sélectionnez la vue User/Group Mapping.

2. Sélectionnez New Mapping pour afficher le formulaire New User Mapping, illustré ci-dessous.

3. Dans le champ User/Group, saisissez le nom d’utilisateur ou le nom de groupe ECSque vous souhaitez mapper.

4. Spécifiez l’espace de nommage auquel appartient l’utilisateur d’objets ou le groupepersonnalisé ECS auquel vous vous apprêtez à mapper l’utilisateur ou le groupe Unix.

5. Dans le champ UID, saisissez l’ID utilisateur ou l’ID de groupe auquel vous souhaitezmapper le nom d’utilisateur ECS.

6. Sélectionnez le type de mappages : User ou Group.


Configuration de la sécurité NFS avec Kerberos

Vous pouvez sécuriser l’accès à votre exportation NFS à l’aide de Kerberos. Les scénariossuivants sont pris en charge :


Configuration de la sécurité NFS avec Kerberos 131

l Client ECS vers un seul nœud ECS. Le fichier keytab de chaque nœud ECS que voussouhaitez utiliser en tant que serveur NFS doit être propre à ce nœud.

l Client ECS vers répartiteur de charge. Le fichier keytab de tous les nœuds ECS est lemême, et il utilise le nom d’hôte du répartiteur de charge.

Reportez-vous à la section Configuration d’ECS NFS avec la sécurité Kerberos à la page132.

Selon votre configuration IT interne, vous pouvez utiliser un KDC ou Active Directory (AD)en tant que KDC.

Pour utiliser Active Directory, suivez les étapes décrites dans les tâches suivantes : Enregistrement d’un nœud ECS dans Active Directory à la page 135 et Enregistrementd’un client NFS Linux dans Active Directory à la page 137.

Configuration d’ECS NFS avec la sécurité KerberosPour configurer l’authentification Kerberos en vue de sécuriser ECS NFS, vous devezprocéder à la configuration sur le ou les nœuds ECS et sur le client NFS, et créer desfichiers keytab pour l’entité de sécurité du serveur NFS et pour celle du client NFS.

Procédure

1. Assurez-vous que le nom d’hôte du nœud ECS peut être résolu.

Vous pouvez utiliser la commande hostname pour vous assurer que le nom dedomaine complet du nœud ECS est ajouté à /etc/HOSTNAME.

dataservice-10-247-142-112:~ # hostname ecsnode1.yourco.comdataservice-10-247-142-112:~ # hostname -i10.247.142.112 dataservice-10-247-142-112:~ # hostname -fecsnode1.yourco.comdataservice-10-247-142-112:~ #

2. Créez le fichier de configuration Kerberos (krb5.conf) sur le nœud ECS sous laforme /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.conf. À moins que HDFS ait déjà été configuré, vous devez créer le répertoirehdfs avec des autorisations 655 (drwxr-xr-x) (chmod 655 hdfs) et désigner commepropriétaire l’utilisateur ayant l’ID 444 et le groupe ayant l’ID 444 (chown 444:444hdfs).

Modifiez les autorisations du fichier en les définissant sur 644 et faites de l’utilisateurayant l’ID 444 (storageos) le propriétaire du fichier.

Dans l’exemple ci-dessous, les valeurs suivantes sont utilisées et doivent êtreremplacées par vos propres paramètres.

Realm Kerberos

Défini sur NFS-REALM dans cet exemple.

KDC

Défini sur kdcname.yourco.com dans cet exemple.

Serveur d’administration KDC

Dans cet exemple, le KDC agit en tant que serveur d’administration.

[libdefaults] default_realm = NFS-REALM.LOCAL



[realms] NFS-REALM.LOCAL = { kdc = kdcname.yourco.com admin_server = kdcname.yourco.com }[logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON

Remarque

Si HDFS est déjà configuré pour Kerberos, au lieu de remplacer /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.conf,fusionnez les informations du realm (si elles sont différentes) au sein du fichierkrb5.conf existant. En général, aucune modification ne sera apportée à ce fichier,le realm ayant été configuré par HDFS. En outre, les autorisations par défaut et lepropriétaire auront déjà été configurés par HDFS et ne nécessiteront aucunemodification.

3. Ajoutez une entité de sécurité d’hôte pour le nœud ECS et créez un fichier keytab pourcette entité.

Dans cet exemple, le nom de domaine complet du nœud ECS estecsnode1.yourco.com.

$ kadminkadmin> addprinc -randkey nfs/ecsnode1.yourco.comkadmin> ktadd -k /datanode.keytab nfs/ecsnode1.yourco.com kadmin> exit

4. Copiez le fichier keytab (datanode.keytab) dans /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.keytab. À moins queHDFS ait déjà été configuré, vous devez créer le répertoire hdfs avec desautorisations 655 (drwxr-xr-x) (chmod 655 hdfs) et désigner comme propriétairel’utilisateur ayant l’ID 444 et le groupe ayant l’ID 444 (chown 444:444 hdfs).

Modifiez les autorisations du fichier en les définissant sur 644 et faites de l’utilisateurayant l’ID 444 (storageos) le propriétaire du fichier.

Si HDFS est déjà configuré, au lieu de remplacer /opt/emc/caspian/fabric/agent/services/object/data/hdfs/krb5.keytab, fusionnez le fichierdatanode.keytab au sein du fichier keytab existant à l’aide de ktutil. Lesautorisations par défaut et le propriétaire auront déjà été configurés par HDFS et nenécessiteront aucune modification.

5. Téléchargez l’archive de politique JCE unlimited depuis oracle.com et extrayez soncontenu dans le répertoire /opt/emc/caspian/fabric/agent/services/object/data/jce/unlimited.

Kerberos peut être configuré pour utiliser un type de chiffrements fort, par exempleAES-256. Dans ce cas, vous devez reconfigurer JRE au sein des nœuds ECS pour qu’ilapplique la politique de longueur de clé illimitée.

Remarque

Cette opération ne doit être effectuée que si vous utilisez un type de chiffrements fort.



Si HDFS est déjà configuré, cette étape aura été effectuée dans le cadre de laconfiguration HDFS Kerberos.

6. Exécutez la commande suivante au sein du conteneur d’objet.

service storageos-dataservice restarthdfs

7. Pour configurer le client, commencez par vous assurer que son nom d’hôte peut êtrerésolu.

Vous pouvez utiliser la commande hostname pour vous assurer que le nom dedomaine complet du nœud ECS est ajouté à /etc/HOSTNAME.

dataservice-10-247-142-112:~ # hostname ecsnode1.yourco.comdataservice-10-247-142-112:~ # hostname -i10.247.142.112 dataservice-10-247-142-112:~ # hostname -fecsnode1.yourco.comdataservice-10-247-142-112:~ #

8. Si votre client exécute SUSE Linux, assurez-vous que la ligneNFS_SECURITY_GSS="yes" n’est pas commentée dans /etc/sysconfig/nfs.

9. Si vous êtes sous Ubuntu, assurez-vous que la ligne NEED_GSSD=yes est présentedans /etc/default/nfs-common.

10. Installez rpcbind et nfs-common.

Utilisez apt-get ou zypper. Sous SUSE Linux, pour nfs-common, utilisez :

zypper install yast2-nfs-common

Par défaut, ces packages sont désactivés dans le client Ubuntu.

11. Créez votre fichier de configuration Kerberos.

Dans l’exemple ci-dessous, les valeurs suivantes sont utilisées et doivent êtreremplacées par vos propres paramètres.

Realm Kerberos

Défini sur NFS-REALM dans cet exemple.

KDC

Défini sur kdcname.yourco.com dans cet exemple.

Serveur d’administration KDC

Dans cet exemple, le KDC agit en tant que serveur d’administration.

[libdefaults] default_realm = NFS-REALM.LOCAL[realms] NFS-REALM.LOCAL = { kdc = kdcname.yourco.com admin_server = kdcname.yourco.com }[logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON



12. Ajoutez une entité de sécurité d’hôte pour le client NFS et créez un fichier keytab pourcette entité.

Dans cet exemple, le nom de domaine complet du client NFS estnfsclient.yourco.com.

$kadminkadmin> addprinc -randkey host/nfsclient.yourco.comkadmin> ktadd -k /nkclient.keytab host/nfsclient.yourco.comkadmin> exit

13. Copiez le fichier keytab (nfsclient.keytab) du KDC vers /etc/krb5.keytabsur l’ordinateur client NFS.

scp /nkclient.keytab [email protected]:/etc/krb5.keytabssh [email protected] 'chmod 644 /etc/krb5.keytab'

14. Créez une entité de sécurité pour qu’un utilisateur puisse accéder à l’exportation NFS.

$kadminkadmin> addprinc [email protected]> exit

15. Connectez-vous en tant qu’utilisateur root et ajoutez l’entrée suivante à votrefichier /etc/fstab.

HOSTNAME:MOUNTPOINT LOCALMOUNTPOINT nfs rw,user,nolock,noauto,vers=3,sec=krb5 0 0

Par exemple :

ecsnode1.yourco.com:/s3/b1 /home/kothan3/1b1 nfs rw,user,nolock,noauto,vers=3,sec=krb5 0 0

16. Connectez-vous en tant qu’utilisateur non-root et exécutez kinit en tantqu’utilisateur non-root (celui que vous avez créé).

kinit [email protected]

17. Vous pouvez maintenant monter l’exportation NFS.

Remarque

Le montage en tant qu’utilisateur root ne nécessite pas l’utilisation de kinit. Toutefois,dans le cas d’un utilisateur root, l’authentification est effectuée à l’aide de l’entité desécurité d’hôte de l’ordinateur client et non de l’entité de sécurité Kerberos. Selonvotre système d’exploitation, vous pouvez configurer le module d’authentification defaçon à extraire le ticket Kerberos lorsque vous vous connectez. Ainsi, il n’est pasnécessaire d’extraire le ticket manuellement à l’aide de kinit et vous pouvez monter lepartage NFS directement.

Enregistrement d’un nœud ECS dans Active DirectoryPour utiliser Active Directory (AD) comme KDC pour votre configuration NFS Kerberos,vous devez créer des comptes pour le client et le serveur dans AD, et mapper les comptes



à une entité de sécurité. Pour le serveur NFS, l’entité de sécurité représente les comptesde service NFS. Pour le client NFS, l’entité de sécurité représente l’ordinateur hôte client.

Avant de commencer

Vous devez disposer d’informations d’identification d’administrateur pour le contrôleurde domaine Active Directory.

Procédure

1. Connectez-vous à Active Directory.

2. Dans le Gestionnaire de serveur, accédez à Outils > Ordinateurs et utilisateurs ActiveDirectory.

3. Créez un compte utilisateur pour l’entité de sécurité NFS en utilisant le format nfs-<host>. Par exemple : nfs-ecsnode1. Définissez le mot de passe pour qu’il n’expirejamais.

4. Créez un compte pour vous-même (action facultative à réaliser une seule fois).

5. Exécutez la commande suivante pour créer un fichier keytab pour le compte deservice NFS.

ktpass -princ nfs/<fqdn>REALM.LOCAL +rndPass -mapUser nfs-<host>@REALM.LOCAL -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out filename.keytab

Par exemple, pour associer le compte nfs-ecsnode1 à l’entité de sécurité nfs/[email protected], vous pouvez générer un fichier keytabcomme suit :

ktpass -princ nfs/[email protected] +rndPass -mapUser [email protected] -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out nfs-ecsnode1.keytab

6. Importez le fichier keytab sur le nœud ECS.

ktutilktutil> rkt <keytab to import>ktutil> wkt /etc/krb5.keytab

7. Testez l’enregistrement en exécutant la commande suivante :

kinit -k nfs/<fqdn>@NFS-REALM.LOCAL

8. Affichez les informations d’identification mises en cache en exécutant la commandeklist.

9. Supprimez les informations d’identification mises en cache en exécutant lacommande kdestroy .

10. Affichez les entrées du fichier keytab en exécutant la commande klist.

Par exemple :

klist -kte /etc/krb5.keytab

11. Suivez les étapes 2 à la page 132, 4 à la page 133 et 5 à la page 133 de la section Configuration d’ECS NFS avec la sécurité Kerberos à la page 132 pour placer les



fichiers de configuration Kerberos (krb5.conf, krb5.keytab et jce/unlimited) sur le nœud ECS.

Enregistrement d’un client NFS Linux dans Active DirectoryPour utiliser Active Directory (AD) comme KDC pour votre configuration NFS Kerberos,vous devez créer des comptes pour le client et le serveur dans AD, et mapper les comptesà une entité de sécurité. Pour le serveur NFS, l’entité de sécurité représente les comptesde service NFS. Pour le client NFS, l’entité de sécurité représente l’ordinateur hôte client.

Avant de commencer

Vous devez disposer d’informations d’identification d’administrateur pour le contrôleurde domaine Active Directory.

Procédure

1. Connectez-vous à Active Directory.

2. Dans le Gestionnaire de serveur, accédez à Outils > Ordinateurs et utilisateurs ActiveDirectory.

3. Créez un compte d’ordinateur pour la machine cliente. Par exemple : nfsclient.Définissez le mot de passe pour qu’il n’expire jamais.

4. Créez un compte pour un utilisateur (action facultative à réaliser une seule fois).

5. Exécutez la commande suivante pour créer un fichier keytab pour le compte deservice NFS.

ktpass -princ host/<fqdn>@REALM.LOCAL +rndPass -mapUser <host>@REALM.LOCAL -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out filename.keytab

Par exemple, pour associer le compte nfs-ecsnode1 à l’entité de sécurité host/[email protected], vous pouvez générer un fichier keytabcomme suit :

ktpass -princ host/[email protected] +rndPass -mapUser [email protected] -mapOp set -crypto All -ptype KRB5_NT_PRINCIPAL -out nfsclient.keytab

6. Importez le fichier keytab sur le nœud client.

ktutilktutil> rkt <keytab to import>ktutil> wkt /etc/krb5.keytab

7. Testez l’enregistrement en exécutant la commande suivante :

kinit -k host/<fqdn>@NFS-REALM.LOCAL

8. Affichez les informations d’identification mises en cache en exécutant la commandeklist.

9. Supprimez les informations d’identification mises en cache en exécutant lacommande kdestroy .

10. Affichez les entrées du fichier keytab en exécutant la commande klist.



Par exemple :

klist -kte /etc/krb5.keytab

11. Suivez les étapes 2 à la page 132, 4 à la page 133 et 5 à la page 133 de la section Configuration d’ECS NFS avec la sécurité Kerberos à la page 132 pour placer lesfichiers de configuration Kerberos (krb5.conf, krb5.keytab et jce/unlimited) sur le nœud ECS.

Montage d’une exportation NFS : exemple

Lorsque vous montez une exportation, il est important de respecter les points suivants :

l Le nom du propriétaire du bucket doit être mappé à un ID utilisateur Unix.

l Un groupe par défaut doit être attribué au bucket. Pour que le groupe par défauts’affiche en tant que groupe Linux associé lorsque l’exportation est montée, unmappage entre son nom et un ID de groupe Linux doit avoir été créé.

Les étapes suivantes fournissent un exemple de procédure de montage d’uneexportation de système de fichiers ECS NFS.

1. Créez le répertoire où doit être montée l’exportation. Ce répertoire doit appartenir aumême propriétaire que le bucket.Dans cet exemple, nous utilisons l’utilisateur fred pour créer le répertoire /home/fred/nfsdir où doit être montée l’exportation.

su - fredmkdir /home/fred/nfsdir

2. En tant qu’utilisateur root, montez l’exportation au point de montage du répertoireque vous avez créé.Par exemple :

mount -t nfs -o "vers=3,nolock" 10.247.179.162:/s3/tc-nfs6 /home/fred/nfsdir

Lorsque vous montez une exportation NFS, vous pouvez spécifier le nom oul’adresse IP de l’un des nœuds du VDC ou l’adresse du répartiteur de charge.

Il est important de spécifier -o "vers=3".

3. Vérifiez que vous pouvez accéder au système de fichiers en tant qu’utilisateur fred.

a. Passez à l’utilisateur fred.

$ su - fredb. Vérifiez que vous êtes dans le répertoire dans lequel vous avez créé le point de

montage.

$ pwd/home/fred

c. Affichez le contenu du répertoire.

fred@lrmh229:~$ ls -altotaldrwxr-xr-x 7 fred fredsgroup 4096 May 31 05:38 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 16 May 31 05:31 .bash_historydrwxrwxrwx 3 fred anothergroup 96 Nov 24 2015 nfsdir



Dans cet exemple, vous voyez que le propriétaire du bucket est fred et qu’ungroupe par défaut, anothergroup, est associé au bucket.

Si aucun mappage de groupe n’a été créé ou qu’aucun groupe par défaut ne soitassocié au bucket, vous ne voyez pas un nom de groupe, mais une valeur numériqueélevée, comme illustré ci-dessous.

fred@lrmh229:~$ ls -altotal drwxr-xr-x 7 fred fredssgroup 4096 May 31 05:38 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 16 May 31 05:31 .bash_historydrwxrwxrwx 3 fred 2147483647 96 Nov 24 2015 nfsdir

Si vous avez oublié le mappage de groupe, vous pouvez résoudre ce problème encréant le mappage approprié sur le portail ECS.

Vous pouvez trouver l’ID de groupe dans /etc/group.

fred@lrmh229:~$ cat /etc/group | grep anothergroupanothergroup:x:1005:

Vous pouvez alors ajouter un mappage entre le nom et l’ID de groupe (dans cetexemple : anothergroup => ID DE GROUPE 1005).

Si vous essayez d’accéder au système de fichiers monté en tant qu’utilisateur root ouqu’un autre utilisateur qui ne dispose pas d’autorisations sur le système de fichiers, lesymbole ? s’affiche, comme illustré ci‑dessous.

root@lrmh229:~# cd /home/fredroot@lrmh229:/home/fred# ls -altotal drwxr-xr-x 8 fred fredsgroup 4096 May 31 07:00 .drwxr-xr-x 18 root root 4096 May 30 04:03 ..-rw------- 1 fred fred 1388 May 31 07:31 .bash_historyd????????? ? ? ? ? ? nfsdir

Bonnes pratiques d’utilisation d’ECS NFSLes recommandations suivantes s’appliquent au montage d’exportations ECS NFS.

Utilisation d’asyncDans la mesure du possible, utilisez l’option de montage async. Cette option réduitconsidérablement la latence et améliore le débit. Elle réduit le nombre de connexions àpartir du client.

Définition de wsize et de rsize afin de réduire le nombre d’allers-retours à partir du clientLorsque vous prévoyez de lire et/ou d’écrire des fichiers volumineux, assurez-vous que lataille de lecture ou d’écriture des fichiers est définie correctement à l’aide des options demontage rsize et wsize. Il est généralement recommandé de définir les options rsize etwsize sur la valeur la plus élevée possible pour réduire le nombre d’allers-retours à partirdu client. Cette valeur est généralement de 512 Ko (524 288 octets).

Par exemple, pour écrire un fichier de 10 Mo, si l’option wsize est définie sur 524 288(512 Ko), le client doit émettre 20 appels distincts, alors que si la taille d’écriture estdéfinie sur 32 Ko, le nombre d’appels est multiplié par 16.


Bonnes pratiques d’utilisation d’ECS NFS 139

Lorsque vous utilisez la commande de montage, vous pouvez indiquer la taille de lectureet d’écriture à l’aide de l’argument options (-o). Par exemple :

# mount 10.247.97.129:/home /home -o "vers=3,nolock,rsize=524288,wsize=524288"

Autorisations pour l’accès multiprotocole (transversal)Les objets sont accessibles via NFS et à l’aide du service d’objets. Les autorisationsd’ACL (Access Control List) et les autorisations de système de fichiers sont stockées pourchaque objet.

Lorsqu’un objet est enregistré à l’aide du protocole d’objet, les autorisations associéesau propriétaire de l’objet sont mappées aux autorisations NFS, et les autorisationscorrespondantes sont stockées. De même, lorsqu’un objet est créé ou modifié via NFS,les autorisations NFS du propriétaire sont mappées aux autorisations d’objet et stockées.

Le protocole d’objet S3 n’utilise pas le concept de groupes. Par conséquent, lesmodifications apportées à la propriété ou aux autorisations d’un groupe à partir de NFSn’ont pas besoin d’être mappées à des autorisations d’objet correspondantes. Toutefois,lorsqu’un bucket est créé ou que des objets (l’équivalent des fichiers et des répertoires)sont créés au sein d’un bucket, ECS peut leur attribuer des autorisations de groupe Unixafin qu’ils soient accessibles par les utilisateurs NFS.

Les attributs d’ACL suivants sont stockés pour NFS :

l Owner

l Group

l Other

Pour l’accès aux objets, les ACL suivantes sont stockées :

l Users

l Custom Groups

l Groups (Pre-defined)

l Owner (utilisateur spécifique issu de Users)

l Primary Group (groupe spécifique issu de Custom Groups)

Remarque

Vous trouverez plus d’informations sur les ACL des buckets à la section ACL desbuckets à la page 106.

Le tableau ci-dessous indique le mappage entre les attributs d’ACL NFS et les attributsd’ACL d’objet.

Attribut d’ACL NFS Attribut d’ACL d’objet

Owner User qui est également Owner

Group Custom Group qui est également Primary Group

Others Pre-Defined Group

Des exemples de ce mappage sont traités plus loin dans cette section.

Les entrées de contrôle d’accès (ACE) suivantes peuvent être allouées à chaque attributd’ACL.

ACE NFS :



l Read (R)

l Write (W)

l Execute (X)

ACE d’objet :

l Read (R)

l Write (W)

l Execute (X)

l ReadAcl (RA)

l WriteAcl (WA)

l Full Control (FC)

Création et modification d’un objet via NFS, et accès à l’aide du service d’objetsLorsque vous créez un objet en utilisant le protocole NFS, les autorisations RWX dupropriétaire sont mises en miroir dans l’ACL de l’utilisateur d’objets qui est désignécomme propriétaire du bucket. Si le propriétaire NFS dispose d’autorisations RWX, celles-ci sont converties en Full Control dans l’ACL de l’objet.

Les autorisations attribuées au groupe auquel appartient le répertoire ou le fichier NFSsont reflétées au niveau d’un groupe personnalisé portant le même nom, s’il existe. Lesautorisations associées à Others sont reflétées au niveau des autorisations des groupesprédéfinis.

L’exemple ci-dessous illustre ce scénario.

NFS ACL Setting Object ACL Setting

Owner John : RWX Users John : Full ControlGroup ecsgroup : R-X ---> Custom Groups ecsgroup : R-XOther RWX Groups All_Users : R, RA Owner John Primary Group ecsgroup

Lorsqu’un utilisateur accède à ECS via NFS et modifie la propriété d’un objet, le nouveaupropriétaire hérite des autorisations ACL du propriétaire précédent et reçoit en outre lesautorisations Read_ACL et Write_ACL. Les autorisations du propriétaire précédent sontconservées dans l’ACL des utilisateurs d’objets.

Lorsqu’une opération chmod est effectuée, les autorisations sont transmises de la mêmemanière que lors de la création d’un objet. L’autorisation Write_ACL est conservée dansle groupe et dans Others si elle existe déjà dans l’ACL de l’utilisateur d’objets.

Création et modification d’un objet à l’aide du service d’objets, et accès via NFSLorsque vous créez un objet à l’aide du service d’objets, le propriétaire de l’objet reçoitautomatiquement le contrôle total de l’objet (Full Control). Lorsque le propriétaire del’objet bénéficie d’un contrôle total, le propriétaire du fichier reçoit des autorisationsRWX. Si les autorisations du propriétaire ne sont pas définies sur Full Control, lesautorisations RWX de l’objet sont reflétées au niveau des autorisations RWX du fichier, sibien qu’un propriétaire d’objet disposant d’autorisations RX se traduit par un propriétairede fichier NFS avec des autorisations RX.

Le groupe principal de l’objet, qui est défini à l’aide du groupe par défaut du bucket,devient le groupe personnalisé auquel appartient l’objet, et les autorisations sontdéfinies en fonction des autorisations par défaut. Ces autorisations sont reflétées auniveau des autorisations de groupe NFS. De la même manière que pour les autorisationsdu propriétaire, si le groupe personnalisé de l’objet dispose d’autorisations Full Control,celles-ci deviennent des autorisations RWX pour le groupe NFS.


Autorisations pour l’accès multiprotocole (transversal) 141

Si des groupes prédéfinis sont spécifiés pour le bucket, ils sont appliqués à l’objet etsont reflétés au niveau de l’attribut Others pour les ACL NFS.

L’exemple ci-dessous illustre ce scénario.

Object ACL Setting NFS ACL Setting

Users John : Full Control Owner John : RWXCustom Groups ecsgroup : R-X ----> Group ecsgroup : R-X Groups All_Users : R, RA Other RWX Owner JohnPrimary Group ecsgroup

Si un nouveau propriétaire est attribué, les autorisations associées à ce propriétaire sontappliquées à l’objet.

Récapitulatif de l’API de fichierL’accès NFS peut être configuré et géré à l’aide d’ECS Management REST API.

Le tableau ci-dessous fournit un récapitulatif de l’API disponible.


POST /object/nfs/exports Crée une exportation. La charge utile indique lechemin d’exportation, les hôtes pouvantaccéder à l’exportation et une chaîne qui définitles paramètres de sécurité de l’exportation.

PUT/GET/DELETE /object/nfs/exports/{id} Applique l’opération sélectionnée àl’exportation spécifiée.

GET /object/nfs/exports Récupère toutes les exportations utilisateur quiont été définies pour l’espace de nommageactuel.

POST /object/nfs/users Crée un mappage entre un nom d’utilisateurd’objets ECS ou un nom de groupe et un IDutilisateur ou un ID de groupe Unix.

PUT/GET/DELETE /object/nfs/users/{mappingid}

Applique l’opération sélectionnée au mappaged’utilisateur ou de groupe spécifié.

GET /object/nfs/users Récupère tous les mappages d’utilisateur quiont été définis pour l’espace de nommageactuel.

La documentation de l’API fournit une description détaillée de cette dernière. Ladocumentation des méthodes d’exportation NFS est disponible via Référence del’API REST de gestion d’ECS.





CHAPITRE 13

Définition de l’URL de base

l Définition de l’URL de base................................................................................. 144l Adressage de compartiment................................................................................144l Ajout d'une URL de base..................................................................................... 147

Définition de l’URL de base 143

Définition de l’URL de baseLes applications conçues pour utiliser le service Amazon S3 peuvent également êtreactivées pour utiliser le stockage en mode objet d’ECS via le paramètre de l’URL de base.L’URL de base est définie par défaut sur amazonaws.com. Cet article explique commentdéfinir l’URL de base et s’assurer que les demandes sont acheminées vers ECS.

Les sections suivantes décrivent le schéma d’adressage pris en charge par ECS, ainsi quela définition et l’utilisation du paramètre de l’URL de base de données.

l Adressage de compartiment à la page 144

l Ajout d'une URL de base à la page 147

Adressage de compartimentLe service ECS S3 permet d’identifier de différentes manières le bucket dans lequell’opération définie dans une demande doit être exécutée.

Lorsque vous utilisez le service Amazon S3, tous les noms de compartiment doivent êtreuniques. Toutefois, le service S3 ECS prend en charge l’utilisation d’un espace denommage que vous pouvez utiliser avec le nom de bucket. Cela permet d’avoir desbuckets de même nom dans des espaces de nommage distincts. Lors de l’attributiond’un espace de nommage dans chaque tenant, un tenant peut attribuer des noms decompartiment sans tenir compte des noms actuellement utilisés par les autres tenants.Si aucun espace de nommage n’est spécifié dans une demande, ECS utilise l’espace denommage par défaut associé au tenant auquel l’utilisateur ayant effectué la demandeappartient.

L’espace de nommage qui fait référence à l’emplacement d’un objet peut être spécifiédans l’en-tête x-emc-namespace d’une requête HTTP. ECS prend également en chargel’extraction de l’emplacement à partir de l’en-tête d’hôte et autorise les schémasd’adressage compatibles Amazon S3 suivants :

l Adressage basé sur l’hôte virtuel à la page 144

l Adressage basé sur le chemin à la page 145

Adressage basé sur l’hôte virtuelDans le schéma d’adressage basé sur l’hôte virtuel, le nom de compartiment apparaîtdans le nom d’hôte. Par exemple, pour accéder au bucket mybucket sur l’hôteecs1.yourco.com, il faut saisir l’adresse suivante :

http://mybucket.ecs1.yourco.com

En outre, ECS permet également l’intégration d’un espace de nommage dans l’adresse.Par exemple :

<bucketname>.<namespace>.ecs1.yourco.com

Pour utiliser ce type d’adressage, vous devez configurer ECS de sorte qu’il sache à quellepartie de l’URL le nom de bucket correspond. Ce paramétrage s’effectue lors de laconfiguration de l’URL de base. En outre, vous devez vous assurer que votre système DNSpeut résoudre l’adresse. Les sections suivantes apportent des informationscomplémentaires :

l Configuration DNS à la page 145

l URL de base à la page 145



Adressage basé sur le cheminDans le schéma d’adressage basé sur le chemin, le nom de compartiment est ajouté à lafin du chemin. Par exemple :

ecs1.yourco.com/mybucket

Un espace de nommage peut être spécifié à l’aide de l’en-tête x-emc-namespace.

Configuration DNSSi vous accédez au service de stockage ECS à l’aide du service S3, vous devez vousassurer que l’URL renvoie à l’adresse du nœud de données ECS ou au répartiteur decharge du nœud de données.

Si votre application utilise l'adressage basé sur le chemin, vous devez vérifier que le nomde base peut être résolu par DNS. Par exemple, si votre application envoie normalementles demandes au format ecs1.yourco.com/bucket, vous devez intégrer une entrée DNSqui renvoie ecs1.yourco.com à l’adresse IP du répartiteur de charge utilisé pour accéderaux nœuds ECS. Si vous utilisez le service Amazon, le format de l'URL est le suivant : s3-eu-west-1.amazonaws.com.

Si votre application utilise l'adressage basé sur l'hôte virtuel, l'URL inclut le nom debucket et peut inclure un espace de nommage. Dans ce cas, vous devez intégrer uneentrée DNS qui pourra résoudre l'adresse basée sur l'hôte virtuel. Pour ce faire, utilisezun caractère générique dans l'entrée DNS.

Par exemple, si votre application envoie normalement les demandes au formatbucket.s3.yourco.com, vous devez intégrer deux entrées DNS.

l ecs1.yourco.com

l *.ecs1.yourco.com

Si vous utilisez une application qui était précédemment connectée au service Amazon S3et que vous utilisiez bucket.s3.amazonaws.com, le format des entrées est le suivant :

l s3.amazonaws.com

l *.s3.amazonaws.com

Ces entrées permettent de résoudre le nom de base pour l'envoi des commandes deniveau de service (par exemple, buckets de liste) ainsi que l'adresse du bucket d'hôtevirtuel.

Si vous créez un certificat SSL pour ce service, le nom du certificat doit inclure l'entréeavec le caractère générique et la propriété Autre nom de l'objet doit inclure la versionsans caractère générique.

URL de baseSi vous utilisez une application S3 se servant de l’adressage basé sur l’hôte virtuel et quevous souhaitez l’utiliser pour la connexion à ECS, l’URL de base doit être définie de tellesorte que ECS sache quelle partie de l’adresse désigne le bucket et, le cas échéant,l’espace de nommage. L’URL de base peut être définie à l’aide du portail ECS ou del’ECS Management REST API. Par ailleurs, le rôle d’administrateur système ECS est requis.

La page Base URL Management affiche les URL de base qui ont été créées et la manièredont ECS doit les utiliser.


Configuration DNS 145

Pour que ECS sache comment traiter le préfixe de l’emplacement de bucket, vous devezchoisir l’une des options suivantes lors de la configuration de l’URL de base.

l Use Base URL with namespacel Use Base URL without namespace

Lors du traitement d’une demande, ECS va :

1. Tenter d'extraire l'espace de nommage de l'en-tête x-emc-namespace. Si cetteopération réussit, ignorez les étapes ci‑dessous et traitez la demande.

2. Récupérer le nom d'hôte de l'URL dans l'en-tête d'hôte et vérifier si la dernière partiede l'adresse URL correspond à l'une des URL de base configurées.

3. En cas de correspondance avec une URL de base, utiliser le préfixe du nom d'hôte (lapartie restante une fois l'URL de base supprimée) pour obtenir l'emplacement debucket.

Les exemples suivants indiquent comment ECS gère les demandes HTTP entrantes avecdifférentes structures.

Exemple 1

Host: baseball.image.emc.finance.comBaseURL: finance.comUse BaseURL with namespace enabled

Namespace: emcBucket Name: baseball.image

Exemple 2

Host: baseball.image.emc.finance.comBaseURL: finance.comUse BaseURL without namespace enabled

Namespace: null (Use other methods to determine namespace)Bucket Name: baseball.image.emc

Exemple 3

Host: baseball.image.emc.finance.comBaseURL: not configured

Namespace: null (Use other methods to determine namespace.)Bucket Name: null (Use other methods to determine the bucket name.)



Contrôleur ViPR treats this request as a path-style request.

Ajout d'une URL de baseCette opération est requise uniquement si vous utilisez des clients d’objet qui codentl’emplacement, l’espace de nommage et le bucket d’un objet dans une URL. Dans ce cas,vous pouvez spécifier une URL de base qui sera utilisée, avec l'espace de nommage,comme chemin d'accès aux objets dans un tenant.

Avant de commencer

Cette opération requiert le rôle d’administrateur système dans ECS.

Vous devez vous assurer que le domaine spécifié dans une demande utilisant uneadresse URL pour spécifier l’emplacement d’un objet correspond à l’emplacement dunœud de données ECS ou d’un répartiteur de charge situé à l’avant des nœuds dedonnées.

Procédure

1. Sur le portail ECS Portal, sélectionnez Settings > Object Base URLs.

2. Sélectionnez New Base URL.

La page New Base URL s’affiche.

3. Saisissez le nom de l'URL de base. Des informations supplémentaires sur l'URL debase sont disponibles dans le tableau des URL de base.

4. Saisissez l'URL de base.

Si le format des URL des emplacements d'objets est le suivant : https://mybucket.mynamespace.acme.com (c’est-à-dire,bucket.namespace.baseurl ) ou https://mybucket.acme.com (c’est-à-dire, bucket.baseurl), l’URL de base est acme.com.

Vous pouvez spécifier le format souhaité dans le sélecteur Namespace.


Ajout d'une URL de base 147

5. Sélectionnez le format de codage de votre adresse d'objet dans l'URL : avec unespace de nommage ou sans espace de nommage.




PARTIE 3

Monitor

Chapitre 14, "Principes de base de la surveillance"

Chapitre 15, "Surveillance du suivi d’utilisation"

Chapitre 16, "Surveillance des événements"

Chapitre17, "Surveillance de l’utilisation de la capacité"

Chapitre 18, "Surveillance des metrics de trafic"

Chapitre 19, "Surveillance de l’état de santé du matériel"

Chapitre 20, "Surveillance de l’état de santé des nœuds et des processus"

Chapitre 21, "Surveillance du récapitulatif des fragments"

Chapitre 22, "Surveillance du codage d’effacement"

Chapitre 23, "Surveillance de l’état de la restauration"

Chapitre 24, "Surveillance de la bande passante disque"

Chapitre 25, "Surveillance de la géoréplication"

Chapitre 26, "Logs des services"

Monitor 149

Monitor


CHAPITRE 14

Principes de base de la surveillance

l Utilisation des pages de surveillance.................................................................. 152

Principes de base de la surveillance 151

Utilisation des pages de surveillancePrésente les techniques d’utilisation de base des pages de surveillance accessibles surle portail ECS.

Les pages de surveillance du portail ECS partagent un certain nombre de fonctionscommunes. Elles sont les suivantes :

l Refresh : l’icône d’actualisation sert à mettre à jour l’affichage des pages desurveillance avec les données les plus récentes.Figure 12 Actualisation

l Filter : renseignez les champs de filtre, spécifiez une plage de dates, puis cliquez surFilter pour afficher les lignes de résultats correspondant à tous les champs de filtre.La plage de dates par défaut est toujours comprise entre hier et aujourd’hui.

l Navigation grâce aux fils d’Ariane : les fils d’Ariane permettent de revenir rapidementen arrière dans l’arborescence des vues de détail parcourues. Reportez-vous à lafigure Navigation à l’aide des fils d’Ariane ci-dessous.

l Graphiques d’historique avec survol de gauche à droite à l’aide de la souris :graphiques détaillés représentant un relevé horaire des données sur les cinq derniersjours. Vous pouvez parcourir ces graphiques en utilisant la souris en tant que curseurgraphique de gauche à droite. Un exemple est présenté ci-dessous. Reportez-vous àla figure Graphique historique avec curseur actif ci-dessous.

Le filtre de surveillance standard vous permet d’affiner les résultats par date et heure. Ilest disponible sur plusieurs pages de surveillance. Certaines pages comportent destypes de filtres supplémentaires. Sélectionnez une plage horaire et une plage de dates,puis cliquez sur Apply. Le panneau Filter se ferme et le contenu de la page est mis à jour.Sélectionnez l’icône en forme d’épingle pour que le panneau Filter reste ouvert aprèsl’application du filtre.

Figure 13 Panneau Filter ouvert avec des critères sélectionnés

Lorsque le panneau Filter se ferme, un récapitulatif du filtre appliqué s’affiche, ainsiqu’une commande Clear Filter et une commande Refresh.

Figure 14 Panneau Filter fermé affichant un récapitulatif du filtre appliqué

Le texte en surbrillance sur une ligne de tableau correspond à un lien vers une vue dedétail. La sélection du lien permet d’accéder au niveau de détail inférieur suivant. Lesvues de détail contiennent un chemin indiquant votre position actuelle dans la séquencedes pages parcourues. Ce chemin est appelé « fil d’Ariane ». Vous pouvez sélectionnern’importe quel fil d’Ariane en surbrillance pour accéder directement à la vue associée.



Figure 15 Navigation à l’aide des fils d’Ariane

Lorsque vous cliquez sur un bouton History, tous les graphiques disponibles pour cetteligne s’affichent sous le tableau. Si vous survolez un graphique de gauche à droite àl’aide de la souris, une ligne verticale s’affiche et vous aide à trouver un point dedonnées correspondant à une date/heure spécifique sur le graphique. Une fenêtrecontextuelle affiche la valeur et l’horodatage de ce point de données.


Utilisation des pages de surveillance 153

Figure 16 Graphique historique avec curseur actif



CHAPITRE 15

Surveillance du suivi d’utilisation

l Surveillance des données de suivi d’utilisation................................................... 156

Surveillance du suivi d’utilisation 155

Surveillance des données de suivi d’utilisationExplique comment afficher les données de suivi d’utilisation des espaces de nommageou des buckets qu’ils contiennent pour la période spécifiée.

Les données de suivi d’utilisation disponibles sont détaillées à la section Données desuivi d’utilisation à la page 157.

ECS Management REST API permet d’extraire les données par programmation à l’aide declients personnalisés. Cette fonction, ainsi que des fonctions de gestion des tenants,sont décrites à la section Gestion d’un tenant à la page 86. La Référence del’ECS Management REST API est accessible ici.

Procédure

1. Sur le portail ECS, sélectionnez Monitor > Metering.

2. Dans le menu Date Time Range, sélectionnez la période pour laquelle vous souhaitezafficher les données de suivi d’utilisation. Sélectionnez Current pour afficher lesdonnées de suivi d’utilisation actuelles. Sélectionnez Custom pour spécifier uneplage de dates/heures personnalisée.

Si vous sélectionnez Custom, définissez la période à considérer pour le suivid’utilisation à l’aide des calendriers From et To.

Les données de suivi d’utilisation sont conservées pendant 60 jours.

3. Sélectionnez l’espace de nommage pour lequel afficher les données de suivid’utilisation. Pour restreindre la liste des espaces de nommage, saisissez les deuxpremières lettres de l’espace de nommage cible, puis cliquez sur l’icône représentantune loupe.

Si vous êtes administrateur d’espace de nommage, vous pouvez uniquement choisirvotre espace de nommage.

4. Cliquez sur l’icône + en regard de chaque espace de nommage dont vous souhaitezafficher les données d’objet.

5. Si vous le souhaitez, cliquez sur l’icône + en regard de chaque bucket dont voussouhaitez afficher les données d’objet.

Pour restreindre la liste des buckets, saisissez les deux premières lettres du bucketcible, puis cliquez sur l’icône représentant une loupe.

À défaut, les données de suivi d’utilisation des objets porteront sur l’ensemble desbuckets de l’espace de nommage.




Figure 17 Page Metering avec des critères sélectionnés

6. Cliquez sur Apply pour afficher les données de suivi d’utilisation de l’espace denommage et du bucket sélectionnés sur la période spécifiée.

Données de suivi d’utilisationLa page du portail ECS Monitor > Metering fournit des données de suivi d’utilisation desobjets pour l’espace de nommage spécifié, ou le bucket spécifié d’un espace denommage, sur la période définie.

Les informations de suivi d’utilisation qui sont fournies sont indiquées dans le tableau ci-dessous.

Tableau 8 Suivi d’utilisation du bucket et de l’espace de nommage


Total Size (GB) Taille totale des objets stockés dans l’espace de nommage ou lebucket sélectionné au terme de la période spécifiée dans lefiltre.

Object Count Nombre d’objets associés à l’espace de nommage ou au bucketsélectionné au terme de la période spécifiée dans le filtre.

Objects Created Nombre d’objets créés dans l’espace de nommage ou le bucketsélectionné sur la période définie.

Objects Deleted Nombre d’objets supprimés de l’espace de nommage ou dubucket sélectionné sur la période définie.


Données de suivi d’utilisation 157

Tableau 8 Suivi d’utilisation du bucket et de l’espace de nommage (suite)


Bandwidth Ingress (MB) Volume total de données d’objet entrantes (écritures) pourl’espace de nommage ou le bucket sélectionné sur la périodedéfinie.

Bandwidth Egress (MB) Volume total de données d’objet sortantes (lectures) pourl’espace de nommage ou le bucket sélectionné sur la périodedéfinie.

Remarque

Les données de suivi d’utilisation ne sont pas immédiatement accessibles, car la collectedes statistiques sur les données qui sont supprimées du système, ou lui sont ajoutées,est un processus long.



CHAPITRE 16

Surveillance des événements

l À propos de la surveillance des événements....................................................... 160l Surveillance des données d’audit....................................................................... 160l Surveiller les alertes............................................................................................161

Surveillance des événements 159

À propos de la surveillance des événementsDécrit les fonctionnalités de surveillance des événements du portail ECS.

La page Events du menu Monitor affiche les éléments suivants :

l Panneau Audit : toutes les activités des utilisateurs sur le portail, dans ECS REST APIet dans la CLI ECS.

l Panneau Alerts : alertes déclenchées par le système ECS.

Les données des événements accessibles via le portail ECS sont limitées à 30 jours. Sivous avez besoin de conserver les données liées aux événements pendant pluslongtemps, envisagez d’utiliser ViPR SRM.

Surveillance des données d’auditUtilisez le panneau Audit de la page Events pour afficher et gérer les données d’audit.

Reportez-vous à l’annexe A : Messages d’audit à la page 206.

Procédure

1. Sélectionnez Audit.

2. Si vous le souhaitez, sélectionnez Filter.

3. Spécifiez une période dans Date Time Range, puis ajustez les champs de date etheure de début et de fin sous From et To.

4. Sélectionnez un espace de nommage sous Namespace.

5. Cliquez sur Apply.



Surveiller les alertesUtilisez le panneau Alerts de la page Events pour afficher et gérer les alertes système.

Reportez-vous à l’annexe A : Messages d’alerte à la page 210.

Les libellés des niveaux de gravité des messages d’alerte ont les significationssuivantes :

l CRITICAL : messages relatifs à des conditions qui nécessitent une attentionimmédiate.

l ERROR: messages relatifs à des conditions d’erreur signalant une défaillancephysique ou logicielle.

l WARNING: messages relatifs à des conditions qui ne sont pas optimales.

l INFO: messages d’état de routine.

Procédure

1. Sélectionnez Alerts.

2. Si vous le souhaitez, cliquez sur Filter.

3. Appliquez les filtres de votre choix. Le filtre d’alertes ajoute un filtrage par niveau degravité et par type, ainsi qu’une option Show Acknowledged Alerts qui maintientl’affichage d’une alerte même après qu’elle a été acquittée par l’utilisateur.


Surveiller les alertes 161

Les types d’alertes doivent être saisis exactement tels qu’ils sont indiqués dans letableau ci-dessous :

Tableau 9 Types d’alertes

Alerte (saisissez exactement le nomtel qu’indiqué)

Description

Licence Déclenchée pour les alertes de capacité ou delicence.

Notify Déclenchée pour les alertes diverses.

Fabric Déclenchée en cas de détection de problèmes liés ausystème.

BUCKET_HARD_QUOTA_EXCEEDED Déclenchée lorsque le quota d’un bucket estdépassé.

NAMESPACE_HARD_QUOTA_EXCEEDED Déclenchée lorsque le quota d’un espace denommage est dépassé.

DTSTATUS_RECENT_FAILURE Déclenchée lorsque l’état d’une table de données estdéfectueux.

CHUNK_NOT_FOUND Déclenchée lorsque les données de fragment sontintrouvables.

FILE_NOT_FOUND Déclenchée lorsqu’un fichier est introuvable.

FILE_DATA_CORRUPTED Déclenchée lorsqu’un fichier contient des donnéescorrompues.

VPOOL_FREE_SPACE_CRITICAL Déclenchée lorsque le pool de stockage est saturé à90 % ou plus.



4. Sélectionnez un espace de nommage sous Namespace.

5. Cliquez sur Apply.

6. En regard de chaque événement, cliquez sur le bouton Acknowledge pour accuserréception du message et le fermer (si le filtre Show Acknowledged Alerts n’est passélectionné).


Surveiller les alertes 163

CHAPITRE 17

Surveillance de l’utilisation de la capacité

l Surveillance de la capacité..................................................................................166

Surveillance de l’utilisation de la capacité 165

Surveillance de la capacitéVous pouvez surveiller le taux d’utilisation de la capacité des pools de stockage, desnœuds et des disques.

Les tableaux et les vues d’historique sur la capacité sont présentés à la section Donnéessur la capacité de stockage à la page 166. Chaque tableau est associé à une vued’historique présentant l’évolution des données du tableau dans le temps.

ECS Management REST API permet d’extraire les données par programmation à l’aide declients personnalisés. Cette fonction, ainsi que des fonctions de gestion des tenants,sont décrites à la section Gestion d’un tenant à la page 86. La Référence del’ECS Management REST API est accessible ici.

Procédure

1. Sur le portail ECS, sélectionnez Monitor > Capacity Utilization.

2. Vous pouvez afficher le détail des nœuds et des disques individuels en sélectionnantle lien approprié dans le tableau.

Des conseils de navigation dans les tableaux sont fournis à la section Utilisation despages de surveillance à la page 152.

3. Il est possible d’afficher l’évolution de la capacité au fil du temps en cliquant surHistory pour le pool de stockage, le nœud ou le disque qui vous intéresse.

Données sur la capacité de stockageLa page Monitor > Capacity Utilization permet d’afficher la capacité de stockage despools de stockage, des nœuds et des disques.

Les différentes zones relatives à l’utilisation de la capacité sont décrites dans lessections suivantes :

l Storage Pool Capacity à la page 166

l Node Capacity Utilization à la page 167

l Disk Capacity Utilization à la page 168

Les valeurs du tableau représentent les valeurs actuelles lorsque le filtre Current estsélectionné, ou les valeurs moyennes du metric sur la période sélectionnée dans le filtre.

Storage Pool Capacity

Tableau 10 Utilisation de la capacité : Pool de stockage


Storage Pool Nom du pool de stockage.

Nodes Nombre de nœuds dans le pool de stockage.Cliquez sur le nombre de nœuds pour ouvrir : Node CapacityUtilization à la page 167

Disks Nombre de disques dans le pool de stockage.

Usable Capacity Capacité utile totale. Il s’agit de la capacité déjà utilisée et de lacapacité disponible pouvant être allouée.

Used Capacity Capacité utilisée dans le pool de stockage.




Tableau 10 Utilisation de la capacité : Pool de stockage (suite)


Available Capacity Capacité disponible pour utilisation.

Actions History affiche une représentation graphique des données.

Si le filtre Current est sélectionné, le bouton History affichel’historique par défaut pour les dernières 24 heures.

La vue d’historique correspondant au tableau sur l’utilisation de la capacité du pool destockage est illustrée ci-dessous.

Node Capacity Utilization

Tableau 11 Utilisation de la capacité : Nœud


Nodes Adresse IP du nœud.

Disks Nombre de disques associés au nœud. Cliquez sur le nombre denœuds pour ouvrir : Disk Capacity Utilization à la page 168

Usable Capacity Capacité utile totale fournie par les disques du nœud. Il s’agitde la capacité déjà utilisée et de la capacité disponible pouvantêtre allouée.

Used Capacity Capacité utilisée dans le nœud.

Available Capacity Capacité disponible restante dans le nœud.

Node Status Une coche indique que le nœud est à l’état Good.



La vue d’historique correspondant au tableau sur l’utilisation de la capacité du nœud estillustrée ci-dessous.


Données sur la capacité de stockage 167

Disk Capacity Utilization

Tableau 12 Utilisation de la capacité : Disque


Disks Identifiant de disque.

Usable Capacity Capacité utile fournie par le disque.

Used Capacity Capacité utilisée sur le disque.

Available Capacity Capacité disponible restante sur le disque.

Disk Status Une coche indique que le disque est à l’état Good.



La vue d’historique correspondant au tableau sur l’utilisation de la capacité de disqueest illustrée ci-dessous.



CHAPITRE 18

Surveillance des metrics de trafic

l Surveillance du trafic réseau............................................................................... 170

Surveillance des metrics de trafic 169

Surveillance du trafic réseauDécrit la page de surveillance du trafic réseau sur le portail ECS.

La page Monitor > Traffic Metrics fournit des metrics de trafic réseau au niveau dudatacenter virtuel ou de nœuds individuels. Les graphiques représentent les donnéesdes sept derniers jours.Les valeurs du tableau représentent les valeurs actuelles lorsque le filtre Current estsélectionné, ou les valeurs moyennes du metric sur la période sélectionnée dans le filtre.

Tableau 13 Metrics de trafic réseau

Intitulé de la metric Description

R Latency (ms) Latence moyenne des lectures en millisecondes.

W Latency (ms) Latence moyenne des écritures en millisecondes.

R Bandwidth Bande passante en lecture.

W Bandwidth Bande passante en écriture.

R Transactions (per/s) Transactions de lecture par seconde.

W Transactions (per/s) Transactions d’écriture par seconde.

Recent Transaction Failures pertype

Pourcentage de chaque code d’erreur enregistré au cours de lapériode examinée par rapport au nombre total d’erreurs.

History History affiche une représentation graphique des données.


Procédure

1. Sélectionnez Monitor > Traffic Metrics.

2. Localisez le nom du datacenter virtuel (VDC) cible.

3. Au besoin, cliquez sur le nom du VDC pour afficher la vue de détail des nœuds.

4. Sélectionnez le bouton History du VDC ou nœud cible.



Figure 18 Graphiques du trafic réseau d’un VDC


Surveillance du trafic réseau 171

CHAPITRE 19

Surveillance de l’état de santé du matériel

l Surveillance des composants matériels.............................................................. 174

Surveillance de l’état de santé du matériel 173

Surveillance des composants matérielsExplique comment utiliser la page Monitor > Hardware Health.

Les composants matériels peuvent se trouver dans l’un des états suivants :

l Good : le composant matériel fonctionne normalement.

l Suspect : la dégradation des metrics de performances indique que l’état ducomposant matériel est en train de passer de « Good » à « Bad », un composantmatériel de niveau inférieur présente un problème ou bien des problèmes deconnectivité empêchent le système de détecter le composant matériel.

l Bad : le composant matériel doit être remplacé.

Dans le cas de disques, la signification de ces états est la suivante :

l Good : le système lit et écrit activement sur le disque.

l Suspect : le système ne peut plus écrire de données sur le disque, mais peut lire soncontenu. Notez qu’une série de disques à l’état « Suspect » est généralement le signede problèmes de connectivité au niveau du nœud. Ces disques repassent à l’état« Good » une fois les problèmes de connectivité résolus.

l Bad : le système ne peut plus lire ni écrire de données sur le disque. Remplacez ledisque. Une fois un disque identifié à l’état « Bad » par le système ECS, il n’est plusutilisable dans le système ECS. En cas de panne d’un disque, le mécanisme deprotection des données d’ECS crée une copie de son contenu sur d’autres disques dusystème. Par conséquent, un disque à l’état « Bad » est synonyme de perte decapacité pour le système et non de perte de données. Une fois le disque remplacé,les données ne sont pas restaurées sur le nouveau disque. Il est uniquement utilisépar le système en tant que capacité brute.

Procédure

1. Sélectionnez Monitor > Hardware Health.

2. Recherchez la ligne du tableau correspondant au pool de stockage cible.

3. Au besoin, cliquez sur un nom de pool de stockage pour afficher la vue de détail desnœuds.

4. Au besoin, sélectionnez un point de terminaison de nœud pour afficher la vue dedétail des disques.

Figure 19 État de santé des composants matériels




Surveillance des composants matériels 175

CHAPITRE 20

Surveillance de l’état de santé des nœuds et desprocessus

l Surveillance de l’état de santé des nœuds et des processus............................... 178


Surveillance de l’état de santé des nœuds et des processusDécrit la page de surveillance de l’état de santé des nœuds et des processus sur leportail ECS.

La page Monitor > Node & Process Health fournit des metrics qui vous aident à évaluerl’état de santé d’un VDC, d’un nœud ou d’un processus de nœud.Les valeurs du tableau représentent les valeurs actuelles lorsque le filtre Current estsélectionné, ou les valeurs moyennes du metric sur la période sélectionnée dans le filtre.

Tableau 14 Metrics du VDC, du nœud et du processus

Intitulé de la metric Niveau Description

Avg. NIC Bandwidth VDC et nœud Bande passante moyennede la carte réseau utiliséepar le VDC ou le nœudsélectionné.

Avg. CPU Usage (%) VDC et nœud Pourcentage moyen deCPU matériel utilisé par leVDC ou le nœudsélectionné.

Avg. Memory Usage VDC et nœud Utilisation moyenne de lamémoire agrégée dontdispose le VDC ou lenœud.

Relative NIC (%) VDC et nœud Pourcentage de bandepassante de la carteréseau utilisé par le VDCou le nœud sélectionné.

Relative Memory (%) VDC et nœud Pourcentage de mémoireutilisé par rapport à laquantité disponible pourle VDC ou le nœudsélectionné.

CPU (%) Process Pourcentage de CPUutilisé par le processussur le nœud.

Memory Usage Process Mémoire utilisée par leprocessus.

Relative Memory (%) Process Pourcentage de mémoireutilisé par rapport à laquantité disponible pourle processus.

Avg. # Thread Process Nombre moyen de threadsutilisés par le processus.

Last Restart Process Dernière date deredémarrage du processussur le nœud.

Surveillance de l’état de santé des nœuds et des processus


Tableau 14 Metrics du VDC, du nœud et du processus (suite)

Intitulé de la metric Niveau Description

Actions Toutes History affiche unereprésentation graphiquedes données.

Si le filtre Current estsélectionné, le boutonHistory affiche l’historiquepar défaut pour lesdernières 24 heures.

Procédure

1. Localisez la ligne du tableau correspondant au VDC cible.

2. Au besoin, sélectionnez le nom du VDC pour accéder à un tableau contenant deslignes pour chaque nœud du VDC.

3. Au besoin, sélectionnez un point de terminaison de nœud pour accéder à un tableaucontenant des lignes pour chaque processus s’exécutant sur le nœud.

4. Cliquez sur le bouton History du VDC, nœud ou processus cible.



Figure 20 État de santé des nœuds et des processus



CHAPITRE 21

Surveillance du récapitulatif des fragments

l Surveillance des fragments................................................................................. 182

Surveillance du récapitulatif des fragments 181

Surveillance des fragmentsDécrit la page de surveillance des fragments du portail ECS.

Cette page contient des statistiques liées aux fragments scellés au sein de la zone locale.Un fragment scellé est un élément qui n’accepte plus d’écritures. Il est immuable.

Tableau 15 Tables des fragments

Tableau Description

Chunk Count of EachType

Affiche le nombre et le pourcentage de fragments scellés pour lesdifférents types de fragments et pour chacun des pools de stockageconfigurés dans la zone locale.

Total Length of EachChunk Type

Affiche la taille logique totale des fragments scellés pour les différentstypes de fragments et pour chacun des pools de stockage configurésdans la zone locale.

Avg Sealed Length ofEach Type

Affiche la taille logique moyenne des fragments scellés pour lesdifférents types de fragments et pour chacun des pools de stockageconfigurés dans la zone locale.

Tableau 16 Metrics des fragments

Intitulé de lametric

Description

Storage pool Cette colonne contient la liste des pools de stockage configurés dans le VDClocal. Chaque ligne fournit des metrics concernant les fragments pour le poolde stockage spécifié.

User data Cette colonne fournit des données pertinentes concernant les fragments dedonnées utilisateur (référentiel) situés dans le pool de stockage.

Metadata Cette colonne fournit des données pertinentes concernant les fragments demétadonnées système situés dans le pool de stockage.

Geo data Ces fragments contiennent des réplicas de données issues d’autres zones(VDC).Ce champ fournit des données pertinentes concernant les fragments degéocopie situés dans le pool de stockage.

XOR Ces fragments économisent l’espace disque en utilisant l’algorithme XOR pourcompresser les données d’autres fragments et les remplacer par un fragmentXOR.Ce champ fournit des données pertinentes concernant les fragments XORsitués dans le pool de stockage.

Total Nombre total de fragments dans le pool de stockage.



Metrics des fragmentsFigure 21 Chunk Summary


Surveillance des fragments 183

CHAPITRE 22

Surveillance du codage d’effacement

l Surveillance du codage d’effacement..................................................................186


Surveillance du codage d’effacementExplique comment utiliser la page Monitor > Erasure Coding.

La page relative au codage d’effacement permet de surveiller la quantité totale dedonnées utilisateur et de données auxquelles le code d’effacement a été appliqué dansle pool de stockage local. Elle indique également les données en attente de codaged’effacement, la vitesse de traitement, ainsi que l’heure de fin estimée de l’opération.Les graphiques représentent sept jours de données.


Tableau 17 Metrics de codage d’effacement

Colonne Description

Storage Pool

Total Data for ErasureCoding

Taille logique totale de tous les fragments de données du pool destockage qui sont soumis au codage d’effacement (EC).

Total Data ErasureCoded

Taille logique totale de tous les fragments auxquels le coded’effacement a été appliqué dans le pool de stockage.

% Erasure Coded Data Pourcentage de données du pool de stockage auxquelles le coded’effacement a été appliqué.

Rate of Erasure Coding Vitesse de traitement des données en attente de codage d’effacement.

Est Time to Complete Temps d’exécution estimé sur la base de la vitesse actuelle du codaged’effacement.


Si le filtre Current est sélectionné, le bouton History affiche l’historiquepar défaut pour les dernières 24 heures.

Procédure

1. Sélectionnez Monitor > Erasure Coding.


3. Cliquez sur le bouton History.



CHAPITRE 23

Surveillance de l’état de la restauration

l Surveillance de l’état de la restauration.............................................................. 190


Surveillance de l’état de la restaurationExplique comment utiliser la page Monitor > Recovery Status.

La restauration est le processus de reconstruction des données après un problème localquelconque se traduisant par des données incorrectes (fragments). Ce tableau contientune ligne pour chacun des pools de stockage de la zone locale.


Tableau 18 Metrics de restauration

Colonne Description

Storage Pool Répertorie chacun des pools de stockage de la zone locale.

Total Amount Data to beRecovered

Taille logique des données à restaurer.

Recovery Rate Vitesse à laquelle les données sont restaurées dans le pool destockage spécifié.

Time to Completion Temps estimé requis pour mener à bien la restauration, extrapolé àpartir de la vitesse de restauration actuelle.



Procédure

1. Sélectionnez Monitor > Recovery Status.


3. Cliquez sur le bouton History.



CHAPITRE 24

Surveillance de la bande passante disque

l Surveillance de la bande passante disque.......................................................... 194


Surveillance de la bande passante disqueDécrit la page de surveillance de la bande passante disque sur le portail ECS.

La page Monitor > Disk bandwidth fournit des metrics sur le taux d’utilisation des disquesau niveau du datacenter virtuel (VDC) ou de nœuds individuels. Les opérations de lectureet les opérations d’écriture s’affichent sur une ligne distincte pour chaque VDC ou nœud.Les graphiques représentent les données des sept derniers jours.Les valeurs de la table représentent les valeurs actuelles lorsque le filtre Current estsélectionné, ou les valeurs moyennes du metric sur la période sélectionnée dans le filtre.

Tableau 19 Metrics de bande passante disque

Intitulé de lametric

Description

Total Bande passante disque totale utilisée pour les opérations de lecture oud’écriture.

Hardware Recovery Bande passante disque utilisée pour restaurer les données après despannes matérielles.

Erasure Encoding Bande passante disque utilisée par les opérations de codaged’effacement du système.

XOR Bande passante disque utilisée par les opérations XOR de protection desdonnées du système. Notez que les opérations XOR concernent lessystèmes déployés sur au moins trois sites (VDC).

Consistency Checker Bande passante disque utilisée pour vérifier les incohérences entre lesdonnées protégées et leurs réplicas.

Geo Bande passante disque utilisée pour prendre en charge les opérations degéoréplication.

User Traffic Bande passante disque utilisée par les utilisateurs d’objets.



Procédure

1. Sélectionnez Monitor > Disk Bandwidth.

2. Localisez le nom du VDC cible, et la ligne de tableau « Read » ou « Write » associée àce VDC.

3. Au besoin, sélectionnez Node Count pour accéder à un tableau contenant des lignespour les nœuds du VDC.

4. Cliquez sur le bouton History du VDC ou d’un nœud.



Figure 22 Bande passante du disque



CHAPITRE 25

Surveillance de la géoréplication

l Présentation de la surveillance de la géoréplication............................................ 198l Surveillance de la géoréplication : vitesse et fragments.......................................198l Surveillance de la géoréplication : objectif de point de restauration (RPO)...........199l Surveillance de la géoréplication : traitement du basculement sur incident.........200l Surveillance de la géoréplication : traitement des données d’amorçage.............. 201

Surveillance de la géoréplication 197

Présentation de la surveillance de la géoréplicationDécrit les quatre types de surveillance de la géo-réplication.

La surveillance de la géoréplication comprend quatre pages différentes :

l Vitesse et fragments à la page 198

l Objectif de point de restauration (RPO) à la page 199

l Basculement sur incident à la page 200

l Traitement des données d’amorçage à la page 201

Surveillance de la géoréplication : vitesse et fragmentsDécrit les metrics de surveillance figurant à la page ECS Portal Monitor > Geo-Replication >Rate and Chunks.

Cette page fournit des metrics fondamentaux concernant le trafic réseau lié à unegéoréplication et les fragments en attente de réplication par le groupe de réplication oula zone distante (VDC).

Tableau 20 Colonnes Rate and Chunks

Colonne Description

Replication Group Répertorie les groupes de réplication auxquels cette zone (VDC) participe.Cliquez sur un groupe de réplication pour afficher un tableau des zonesdistantes de ce groupe, ainsi que leurs statistiques. Cliquez sur le lien

Replication Groups au-dessus du tableau pour revenir à la vue par défaut.

Write Traffic Vitesse actuelle des écritures pour toutes les zones distantes du groupe deréplication ou pour l’une d’elles.

Read Traffic Vitesse actuelle des lectures pour toutes les zones distantes du groupe deréplication ou pour l’une d’elles.

User Data PendingReplication

Taille logique totale des données utilisateur en attente de réplication pourle groupe de réplication ou la zone distante.

Metadata PendingReplication

Taille logique totale des métadonnées en attente de réplication pour legroupe de réplication ou la zone distante.

Data Pending XOR Taille logique totale de toutes les données en attente de traitement parl’algorithme de compression XOR dans la zone locale pour le groupe deréplication ou la zone distante.



Figure 23 Géoréplication : vitesse et fragments

Surveillance de la géoréplication : objectif de point derestauration (RPO)

Décrit les champs de tableau figurant à la page ECS Portal Monitor > Geo-Replication >RPO.

L’objectif de point de restauration (RPO) fait référence au point dans le temps auquelvous pouvez restaurer les données. La valeur indiquée ici correspond aux données lesplus anciennes risquant d’être perdues en cas de défaillance d’un VDC local avant que laréplication soit terminée.

Tableau 21 Colonnes liées au RPO

Colonne Description

Remote ReplicationGroup\Remote Zone

Au niveau du VDC, répertorie tous les groupes de réplication à distanceauxquels participe la zone locale. Au niveau du groupe de réplication, cettecolonne répertorie les zones distantes du groupe de réplication. Lesdonnées affichées sont les identificateurs système des VDC ou desgroupes de réplication sous la forme d’URN.

Overall RPO(minutes)

Période récente dont les données risquent d’être perdues en cas dedéfaillance d’une zone locale.

Figure 24 RPO


Surveillance de la géoréplication : objectif de point de restauration (RPO) 199

Surveillance de la géoréplication : traitement du basculement surincident

Décrit les metrics figurant à la page ECS Portal Monitor > Geo-Replication > FailoverProcessing.

La page Failover Processing fournit des metrics concernant le processus de reréplicationdes données suite à une défaillance permanente d’une zone distante.

Tableau 22 Colonnes liées au basculement sur incident

Champ Description

ReplicationGroup

Répertorie les groupes de réplication dont la zone locale est membre. Lesdonnées affichées sont les identificateurs système des groupes de réplicationsous la forme d’URN.

Failed Zone Identifie une zone en échec qui fait partie du groupe de réplication.

User DataPending Re-replication

Les fragments qui étaient auparavant répliqués vers la zone en échec doiventêtre rerépliqués vers une autre zone. Ce champ indique la taille logique del’ensemble des fragments de données utilisateur (référentiel) en attente dereréplication vers une autre zone au lieu de la zone en échec.

MetadataPending Re-replication

Les fragments qui étaient auparavant répliqués vers la zone en échec doiventêtre rerépliqués vers une autre zone. Ce champ indique la taille logique del’ensemble des fragments de données système en attente de reréplication versune autre zone au lieu de la zone en échec.

Data PendingXOR Decoding

Affiche le nombre et la taille logique totale des fragments en attente derécupération par le mécanisme de compression XOR.

Failover State l BLIND_REPLAY_DONE

l REPLICATION_CHECK_DONE : le processus qui s’assure que tous lesfragments de réplication sont dans un état acceptable s’est terminé avecsuccès.

l CONSISTENCY_CHECK_DONE : le processus qui s’assure que toutes lesmétadonnées système sont cohérentes avec les autres données répliquéess’est terminé avec succès.

l ZONE_SYNC_DONE : la synchronisation de la zone en échec s’est terminéeavec succès.

l ZONE_BOOTSTRAP_DONE : le processus bootstrap au niveau de la zone enéchec s’est terminé avec succès.

l ZONE_FAILOVER_DONE : le processus bootstrap s’est terminé avec succès.

FailoverProgress

indicateur en pourcentage de l’état général du processus de basculement surincident.



Figure 25 Basculement sur incident

Surveillance de la géoréplication : traitement des donnéesd’amorçage

Décrit les metrics de surveillance figurant à la page ECS Portal Monitor > Geo Replication >Bootstrap Processing.

Le processus d’amorçage consiste à copier les métadonnées nécessaires dans un groupede réplication qui a ajouté une zone.

Tableau 23 Colonnes liées au traitement des données d’amorçage

Colonne Description

ReplicationGroup

Cette colonne contient la liste des groupes de réplication auxquels la zonelocale participe avec les nouvelles zones en cours d’ajout. Chaque ligne fournitdes metrics pour le groupe de réplication spécifié.

Added Zone Zone en cours d’ajout pour le groupe de réplication spécifié.

User DataPendingReplication

Taille logique de l’ensemble des fragments de données utilisateur (référentiel)en attente de réplication vers la nouvelle zone ajoutée.

MetadataPendingReplication

Taille logique de l’ensemble des métadonnées système en attente deréplication vers la nouvelle zone ajoutée.

Bootstrap State l Started : le système a commencé à préparer l’ajout de la zone au groupede réplication.

l BlindReplayDone

l ReplicationCheckDone : le processus qui s’assure que tous les fragmentsde réplication sont dans un état acceptable s’est terminé avec succès.

l ConsistencyCheckDone : le processus qui s’assure que toutes lesmétadonnées système sont cohérentes avec les autres donnéesrépliquées s’est terminé avec succès.

l ZoneSyncDone : la synchronisation de la zone en échec s’est terminéeavec succès.

l ZoneBootstrapDone : le processus bootstrap au niveau de la zone enéchec s’est terminé avec succès.


Surveillance de la géoréplication : traitement des données d’amorçage 201

Tableau 23 Colonnes liées au traitement des données d’amorçage (suite)

Colonne Description

l Done : le processus bootstrap s’est intégralement terminé avec succès.

BootstrapProgress (%)

Niveau de progression en pourcentage de l’ensemble du processus bootstrap.

Figure 26 Traitement des données d’amorçage



CHAPITRE 26

Logs des services

l Logs des services................................................................................................ 204l Emplacement des logs de services ECS............................................................... 204

Logs des services 203

Logs des servicesDécrit l’emplacement et le fonctionnement des logs des services ECS.

Les administrateurs de stockage peuvent accéder aux logs des services ECS s’ilspossèdent l’autorisation d’accéder à un nœud et aux logs. Utiliser les pages desurveillance du portail ECS constitue généralement une meilleure manière d’appréhenderl’état du système.

Emplacement des logs de services ECSDécrit l’emplacement et le contenu des logs de services ECS.

Vous pouvez accéder directement aux logs de services ECS en établissant une connexionSSH à un nœud. Positionnez-vous dans le répertoire suivant : /opt/emc/caspian/fabric/agent/services/object/main/log pour rechercher les logs desservices d’objet :

l authsvc.log : consigne des informations provenant du service d'authentification.

l blobsvc*.log : ces logs consignent des informations sur le service BLOB.

l cassvc*.log : ces logs consignent des informations sur le service CAS.

l coordinatorsvc.log : consigne des informations provenant du service decoordination.

l ecsportalsvc.log : consigne des informations provenant du service du portailECS.

l eventsvc*.log : ces logs consignent des informations sur le service desévénements. Ces informations sont disponibles dans le menu Monitoring du portailECS.

l hdfssvc*.log : ces logs consignent des informations sur le service HDFS.

l objcontrolsvc.log : consigne des informations provenant du service d'objet.

l objheadsvc*.log : ces logs consignent des informations sur les différents en-têtes d’objet pris en charge par le service d’objet.

l provisionsvc*.log : ces logs consignent des informations sur le service deprovisionnement ECS.

l resourcesvc*.log : ces logs consignent des informations relatives à desressources globales, telles que les espaces de nommage, les buckets, les utilisateursd’objets, etc.

l dataheadsvc*.log : (ECS 2.2 HF1) ces logs consignent des informations sur lesen-têtes d’objet pris en charge par le service d’objet, le service de fichiers pris encharge par HDFS et le service CAS.

Remarque

À partir d’ECS 2.2 HF1, les services cassvc, objheadsvc et hdfssvc sont combinésdans dataheadsvc.

Logs des services


ANNEXE A

Messages d’audit et d’alerte

l Messages d’audit................................................................................................206l Messages d’alerte............................................................................................... 210

Messages d’audit et d’alerte 205

Messages d’audit

Liste des messages d’audit utilisés par ECS.

Tableau 24 Messages d’audit dans ECS

Service Élément d’audit Message d’audit

Bucket bucket_created Bucket ${resourceId}has been created

Bucket bucket_deleted Bucket ${resourceId}has been deleted

Bucket bucket_updated Bucket ${resourceId}has been updated

Bucket bucket_ACL_set Bucket ${resourceId}ACLs have changed

Bucket bucket_owner_changed Owner of ${resourceId}bucket has changed

Bucket bucket_versioning_set Versioning has beenenabled on ${resourceId} bucket

Bucket bucket_versioning_unset Versioning has beensuspended on ${resourceId} bucket

Bucket bucket_versioning_source_set Bucket ${resourceId}versioning source set

Bucket bucket_metadata_set Metadata on ${resourceId} bucket hasbeen changed

Bucket bucket_head_metadata_set Bucket ${resourceId}head metadata set

Bucket bucket_expiration_policy_set Bucket ${resourceId}expiration policy hasupdated

Bucket bucket_expiration_policy_deleted Bucket ${resourceId}expiration policy hasbeen deleted

Bucket bucket_cors_config_set Bucket ${resourceId}CORS rules have beenchanged

Messages d’audit


Tableau 24 Messages d’audit dans ECS (suite)


Bucket bucket_cors_config_deleted Bucket ${resourceId}CORS rules have beendeleted

Bucket notification_size_exceeded_on_bucket Notification size hasbeen exceeded on ${resourceId} bucket

Bucket block_size_exceeded_on_bucket Block size has beenexceeded on ${resourceId} bucket

Bucket bucket_set_quota Bucket ${resourceId}quota has beenupdated withnotification size as ${notificationSize} andblock size as ${blockSize}

Namespace notification_size_exceeded_on_namespace Notification size hasbeen exceeded on ${resourceId}namespace

Namespace block_size_exceeded_on_namespace Block size has beenexceeded on ${resourceId}namespace

Namespace namespace_created Namespace ${resourceId} has beencreated

Namespace namespace_deleted Namespace ${resourceId} has beendeleted

Namespace namespace_updated Namespace ${resourceId} has beenupdated

Auth Provider new_authentication_provider_added New authenticationprovider ${resourceId}added

Auth Provider authentication_provider_deleted Authentication provider${resourceId} deleted

Auth Provider authentication_provider_updated Existing Authenticationprovider ${resourceId}updated

License user_added_license License ${resourceId}has been added

Messages d’audit

207



License managed_capacity_exceeded Managed capacity hasexceeded licensed ${resourceId} capacity

License license_expired License ${resourceId}has expired

Local user local_user_created Management user ${resourceId} has beencreated

Local user local_user_deleted Management user ${resourceId} has beendeleted

Local user local_user_updated Management user ${resourceId} has beenupdated

Storage Pool storage_pool_created Storage Pool ${resourceId} has beencreated

Storage Pool storage_pool_deleted Storage Pool ${resourceId} has beendeleted

Storage Pool storage_pool_updated Storage Pool ${resourceId} has beenupdated

ReplicationGroup

replication_group_created Replication Group ${resourceId} has beencreated

ReplicationGroup

replication_group_updated Replication Group ${resourceId} has beenupdated

User user_created Object user ${resourceId} has beencreated

User user_deleted Object user ${resourceId} has beendeleted

User user_set_password New password hasbeen set for object user${resourceId}

User user_delete_password Password has beendeleted for object user${resourceId}

Messages d’audit




User user_set_metadata New metadata hasbeen set for object user${resourceId}

User user_locked Object user ${resourceId} has beenlocked

User user_unlocked Object user ${resourceId} has beenunlocked

Alert sent_alert Alert \"${alertMessage}\" with symptom code${symptomCode}triggered

Login login_successful User ${resourceId}logged in successfully

Login login_failed User ${resourceId}failed to login

Login user_token_logout User logged out token${resourceId}

Login user_logout All user tokens havelogged out

Transformation transformation_created_message Transformation created

Transformation transformation_updated_message Transformationupdated

Transformation transformation_pre_check_started_message Transformationprecheck started

Transformation transformation_enumeration_started_message Transformationenumeration started

Transformation transformation_indexing_started_message Transformationindexing started

Transformation transformation_migration_started_message Transformationmigration started

Transformation transformation_recovery_migration_started_message Transformationrecovery migrationstarted

Transformation transformation_reconciliation_started_message Transformationreconciliation started

Transformation transformation_sources_updated_message Transformation sourcesupdated

Transformation transformation_deleted_message Transformation deleted

Messages d’audit

209



Transformation transformation_retried_message Transformation %sretried

Transformation transformation_canceled_message Transformation %scanceled

Transformation transformation_profile_mappings_updated_message Transformation profilemappings updated

Messages d’alerte

Liste des messages d’alerte utilisés par ECS.

Les libellés des niveaux de gravité des messages d’alerte ont les significationssuivantes :

l CRITICAL : messages relatifs à des conditions qui nécessitent une attentionimmédiate.

l ERROR: messages relatifs à des conditions d’erreur signalant une défaillancephysique ou logicielle.

l WARNING: messages relatifs à des conditions qui ne sont pas optimales.

l INFO: messages d’état de routine.

Tableau 25 Messages d’alerte relatifs aux objets dans ECS

Alerte Gravité Destinataire Message Description

Bucket hardquota

ERROR Portail, API HardQuotaLimitExceeded: bucket{bucket_name}

Capacityexceededthreshold

WARNING Portail, API, ESRS Used Capacityexceededconfiguredthreshold, currentusage is {usage}%

Chunk notfound

ERROR Portail, API, ESRS chunkId {chunkId}not found

DT init failure ERROR Portail, API, ESRS There are more than{number} DTs failedor DT stats checkfailed in last{number} rounds ofDT status check

DT désigne unetable de répertoire.

Messages d’alerte


Tableau 25 Messages d’alerte relatifs aux objets dans ECS (suite)


Licenseexpiration

INFO Portail, API, ESRS Expiration event

Licenseregistration

INFO Portail, API, ESRS Registration Event

Namespacehard quota

ERROR Portail, API HardQuotaLimitExceeded: Namespace{namespace}

Tableau 26 Messages d’alerte relatifs au fabric dans ECS


Disk added INFO Portail, API Disk{diskSerialNumber}on node {nodeId}was added

Le disque a étéajouté.

Disk failure CRITICAL Portail, API, ESRS Disk{diskSerialNumber}on node {nodeId}has failed

L’état du disque estpassé à BAD.

Disk removed INFO Portail, API Disk{diskSerialNumber}on node {nodeId}was removed

Le disque a étésupprimé.

Disk suspect ERROR Portail, API, ESRS Disk{diskSerialNumber}on node {nodeId}has suspected

L’état du disque estpassé à SUSPECT.

Dockercontainerpaused

WARNING Portail, API Container{containerName}has paused onnode {nodeId}

Le conteneur estinterrompu.

Dockercontainerrunning

INFO Portail, API Container{containerName} isup on node{nodeId}

Le conteneur estpassé à l’état encours d’exécution.

Dockercontainerstopped

ERROR Portail, API Container{containerName}has stopped onnode {nodeId}

Le conteneur estarrêté.

Fabric agentfailure

CRITICAL Portail, API, ESRS FabricAgent FailureEvent

L’état de l’agent defabric est passé àBAD.

Messages d’alerte

211

Tableau 26 Messages d’alerte relatifs au fabric dans ECS (suite)


Fabric agentsuspect

ERROR Portail, API, ESRS FabricAgentSuspect Event

L’état de l’agent defabric est passé àSUSPECT.

Node failure CRITICAL Portail, API, ESRS Node {nodeId} hasfailed

Le nœud estinaccessible depuis30 minutes.

Node suspect ERROR Portail, API, ESRS Node {nodeId} hassuspected

Le nœud estinaccessible depuis15 minutes.

Node up INFO Portail, API Node {nodeId} is up Le nœud est passéà l’état actif aprèsavoir été arrêtépendant au moins15 minutes.

Service failure CRITICAL Portail, API, ESRS Service HealthFailure Event

L’état du service(fabric/objet) estpassé à BAD.

Servicesuspect

ERROR Portail, API, ESRS Service HealthSuspect event

L’état du service(fabric/objet) estpassé à SUSPECT.

Slotpermanentdown

CRITICAL Portail, API, ESRS Container{containerName} ispermanently downon node {nodeId}

Le conteneur estarrêté/interrompuou n’a pas du toutdémarré depuis aumoins 10 minutes.

Messages d’alerte


guide de l’administrateur - stockage de données ... · elastic cloud storage (ecs) version 2.2.1...

Documents