OneFS 8.2-Webverwaltungshandbuch · 4 Zugriffszonen..... 69

OneFS 8.2-WebverwaltungshandbuchWebadministrationshandbuch

1 Einführung in diesen Leitfaden..................................................................................................... 19Informationen über diesen Leitfaden................................................................................................................................. 19Isilon-Scale-out-NAS – Überblick...................................................................................................................................... 19Supportquellen......................................................................................................................................................................19

2 Isilon-Scale-out-NAS..................................................................................................................20OneFS-Speicherarchitektur............................................................................................................................................... 20Isilon-Node-Komponenten................................................................................................................................................. 20Interne und externe Netzwerke......................................................................................................................................... 21Isilon-Cluster......................................................................................................................................................................... 21

Clusteradministration..................................................................................................................................................... 21Quorum........................................................................................................................................................................... 22Aufteilen und Zusammenführen...................................................................................................................................22Speicherpools.................................................................................................................................................................23

Das OneFS-Betriebssystem............................................................................................................................................... 23Umgebungen mit heterogenen Datenzugriffsprotokollen........................................................................................23Identitätsmanagement und Zugriffskontrolle.............................................................................................................23

Struktur des Dateisystems................................................................................................................................................. 24Datenlayout.................................................................................................................................................................... 24Schreiben von Dateien.................................................................................................................................................. 24Lesen von Dateien......................................................................................................................................................... 25Metadatenlayout............................................................................................................................................................25Sperren und gleichzeitiger Zugriff...............................................................................................................................25Striping............................................................................................................................................................................25

Datensicherheit – Übersicht.............................................................................................................................................. 26N+M-Datensicherheit................................................................................................................................................... 26Datenspiegelung.............................................................................................................................................................27Das Dateisystemjournal................................................................................................................................................. 27Virtueller Hot Spare (VHS)...........................................................................................................................................27Ausgleich zwischen Schutz und Speicherplatz..........................................................................................................27

VMware-Integration............................................................................................................................................................ 27Softwaremodule.................................................................................................................................................................. 28

3 Allgemeine Clusteradministration................................................................................................ 29Allgemeine Clusteradministration – Überblick................................................................................................................. 29Benutzeroberflächen...........................................................................................................................................................29Verbinden mit dem Cluster.................................................................................................................................................30

Anmelden bei der Webverwaltungsschnittstelle........................................................................................................30Öffnen einer SSH-Verbindung zu einem Cluster.......................................................................................................30

Lizenzierung..........................................................................................................................................................................31Softwarelizenzen............................................................................................................................................................31Hardware-Tiers...............................................................................................................................................................31Lizenzstatus.................................................................................................................................................................... 31Hinzufügen und Entfernen von Lizenzen................................................................................................................... 32

Inhaltsverzeichnis

2 Inhaltsverzeichnis

Aktivieren von Testlizenzen......................................................................................................................................... 34Zertifikate............................................................................................................................................................................. 34

Ersetzen oder Erneuern des TLS-Zertifikats............................................................................................................. 34Überprüfen der Aktualisierung eines TLS-Zertifikats................................................................................................ 37Datenbeispiel für TLS-Zertifikat...................................................................................................................................38

Clusteridentität.................................................................................................................................................................... 38Festlegen des Clusternamens und von Kontaktinformationen................................................................................38

Datum und Uhrzeit des Clusters....................................................................................................................................... 39Einstellen des Clusterdatums und der Clusteruhrzeit...............................................................................................39Angeben eines NTP-Zeitservers..................................................................................................................................39

SMTP-E-Mail-Einstellungen...............................................................................................................................................39Konfigurieren von SMTP-E-Mail-Einstellungen.........................................................................................................40

Konfigurieren des Beitrittsmodus des Clusters............................................................................................................... 40Angeben des Clusterbeitrittsmodus............................................................................................................................40

Dateisystemeinstellungen....................................................................................................................................................41Aktivieren oder Deaktivieren der Nachverfolgung der Zugriffszeit......................................................................... 41Angeben der Clusterzeichencodierung........................................................................................................................41

Sicherheitsverstärkung........................................................................................................................................................41STIG-Verstärkungsprofil............................................................................................................................................... 42Anwenden eines Sicherheitsverstärkungsprofils....................................................................................................... 42Zurücksetzen eines Sicherheitsverstärkungsprofils..................................................................................................43Anzeigen des Sicherheitsverstärkungsstatus............................................................................................................ 43

Clusterüberwachung...........................................................................................................................................................44Überwachen des Clusters.............................................................................................................................................44Anzeigen des Node-Status.......................................................................................................................................... 45

Überwachen der Clusterhardware.................................................................................................................................... 45Anzeigen des Node-Hardwarestatus..........................................................................................................................45Gehäuse- und Laufwerksstatus...................................................................................................................................45Überprüfen des Akkustatus..........................................................................................................................................47SNMP-Überwachung....................................................................................................................................................47

Events und Warnmeldungen..............................................................................................................................................49Übersicht über Events.................................................................................................................................................. 50Überblick über Warnmeldungen.................................................................................................................................. 50Übersicht über Kanäle...................................................................................................................................................50Übersicht über Eventgruppen......................................................................................................................................50Anzeigen und Ändern von Eventgruppen................................................................................................................... 51Managen von Warnmeldungen.....................................................................................................................................51Managen von Kanälen...................................................................................................................................................52Wartung und Tests........................................................................................................................................................55

Clusterwartung....................................................................................................................................................................56Ersetzen von Node-Komponenten............................................................................................................................. 56Durchführen eines Upgrades von Node-Komponenten........................................................................................... 57ARR (Automatic Replacement Recognition) für Laufwerke....................................................................................57Managen der Laufwerksfirmware............................................................................................................................... 58Managen von Cluster-Nodes........................................................................................................................................61Durchführen eines Upgrades von OneFS...................................................................................................................62

Remotesupport....................................................................................................................................................................63Konfigurieren der Unterstützung für Secure Remote Services.............................................................................. 63Diagnosebefehle und -skripte...................................................................................................................................... 64Aktivieren und Konfigurieren (E)SRS..........................................................................................................................67

Inhaltsverzeichnis 3

4 Zugriffszonen............................................................................................................................ 69Datensicherheit – Übersicht.............................................................................................................................................. 69Richtlinien zu Basisverzeichnissen.................................................................................................................................... 69Best Practices für Zugriffszonen...................................................................................................................................... 70Zugriffszonen auf einem sekundären SyncIQ-Cluster....................................................................................................70Grenzwerte für Zugriffszonen........................................................................................................................................... 70Quality of Service................................................................................................................................................................. 71Zonenbasierte rollenbasierte Zugriffskontrolle (zRBAC)................................................................................................ 71

Berechtigungen für Zugriffszonen, die keine Systemzugriffszonen sind............................................................... 72In Zonen, die keine Systemzonen sind, integrierte Rollen.........................................................................................72

Zonenspezifische Authentifizierungsanbieter.................................................................................................................. 73Managen von Zugriffszonen.............................................................................................................................................. 73

Erstellen einer Zugriffszone..........................................................................................................................................73Zuweisen eines überlappenden Basisverzeichnisses.................................................................................................74Managen eines Authentifizierungsanbieters in einer Zugriffszone..........................................................................74Verknüpfen eines IP-Adressenpools mit einer Zugriffszone.................................................................................... 75Ändern einer Zugriffszone............................................................................................................................................ 75Löschen einer Zugriffszone..........................................................................................................................................75Anzeigen einer Liste aller Zugriffszonen..................................................................................................................... 76Ändern einer Rolle in einer Zugriffszone..................................................................................................................... 76

5 Authentifizierung....................................................................................................................... 77Authentifizierungsübersicht................................................................................................................................................77Authentifizierungsanbieterfunktionen............................................................................................................................... 77SID-Verlauf – Übersicht......................................................................................................................................................78Unterstützte Authentifizierungsanbieter..........................................................................................................................78Active Directory................................................................................................................................................................... 78LDAP..................................................................................................................................................................................... 79NIS......................................................................................................................................................................................... 79Kerberos-Authentifizierung................................................................................................................................................80

Übersicht über Keytabs und SPNs..............................................................................................................................80Support für das MIT Kerberos-Protokoll.....................................................................................................................81

Dateianbieter.........................................................................................................................................................................81Lokaler Anbieter....................................................................................................................................................................81Active Directory mit mehreren Instanzen......................................................................................................................... 81Managen von Active Directory-Anbietern........................................................................................................................82

Konfigurieren eines Active Directory-Anbieters........................................................................................................ 82Ändern eines Active Directory-Anbieters................................................................................................................... 82Löschen eines Active Directory-Anbieters................................................................................................................. 83Einstellungen für Active Directory-Anbieter...............................................................................................................83

Managen von LDAP-Anbietern..........................................................................................................................................84Konfigurieren eines LDAP-Anbieters...........................................................................................................................84Ändern eines LDAP-Anbieters..................................................................................................................................... 85Löschen eines LDAP-Anbieters................................................................................................................................... 85LDAP-Abfrageeinstellungen......................................................................................................................................... 85Erweiterte LDAP-Einstellungen................................................................................................................................... 86

Managen von NIS-Anbietern..............................................................................................................................................87Konfigurieren eines NIS-Anbieters...............................................................................................................................87


Ändern eines NIS-Anbieters......................................................................................................................................... 88Löschen eines NIS-Anbieters.......................................................................................................................................88

Managen der MIT Kerberos-Authentifizierung................................................................................................................88Managen von MIT Kerberos-Bereichen......................................................................................................................89Managen des MIT Kerberos-Anbieters.......................................................................................................................90Managen von MIT Kerberos-Domains........................................................................................................................ 93

Managen von Dateianbietern.............................................................................................................................................94Konfigurieren eines Dateianbieters..............................................................................................................................94Erzeugen einer Passwortdatei.....................................................................................................................................95Format der Passwortdatei............................................................................................................................................95Gruppendateiformat......................................................................................................................................................96Netzgruppendateiformat..............................................................................................................................................96Ändern eines Dateianbieters.........................................................................................................................................97Löschen eines Dateianbieters.......................................................................................................................................97

Managen von lokalen Benutzern und Gruppen................................................................................................................97Anzeigen einer Liste von Benutzern oder Gruppen nach Anbieter......................................................................... 97Erstellen eines lokalen Benutzers................................................................................................................................ 98Erstellen einer lokalen Gruppe......................................................................................................................................98Benennungsregeln für lokale Benutzer und Gruppen............................................................................................... 99Ändern eines lokalen Benutzers...................................................................................................................................99Ändern einer lokalen Gruppe.......................................................................................................................................100Löschen eines lokalen Benutzers............................................................................................................................... 100Löschen einer lokalen Gruppe.................................................................................................................................... 100

6 Administratorrechte.................................................................................................................. 101Rollenbasierter Zugriff........................................................................................................................................................101Rollen....................................................................................................................................................................................101

Benutzerdefinierte Rollen............................................................................................................................................102Integrierte Rollen.......................................................................................................................................................... 102

Rechte................................................................................................................................................................................. 105Unterstützte OneFS-Berechtigungen.......................................................................................................................106Datenbackup- und Wiederherstellungsberechtigungen..........................................................................................108Berechtigungen für die Befehlszeilenoberfläche..................................................................................................... 109

Managen von Rollen........................................................................................................................................................... 112Erstellen einer benutzerdefinierten Rolle................................................................................................................... 112Ändern einer Rolle......................................................................................................................................................... 112Kopieren einer Rolle...................................................................................................................................................... 112Hinzufügen einer Berechtigung zu einer benutzerdefinierten Rolle....................................................................... 113Hinzufügen eines Mitglieds zu einer Rolle..................................................................................................................113Löschen einer benutzerdefinierten Rolle....................................................................................................................113Anzeigen einer Rolle......................................................................................................................................................114Anzeigen von Benutzerrechten.................................................................................................................................. 114

7 Identitätsmanagement............................................................................................................... 115Überblick über das Identitätsmanagement......................................................................................................................115Identitätstypen.................................................................................................................................................................... 115Zugriffstoken....................................................................................................................................................................... 116Erzeugen von Zugriffstoken..............................................................................................................................................116

ID-Zuordnung.................................................................................................................................................................117


Benutzerzuordnung...................................................................................................................................................... 118Identität auf dem Laufwerk........................................................................................................................................ 120

Managen von ID-Zuordnungen......................................................................................................................................... 121Erstellen einer Identitätszuordnung............................................................................................................................ 121Ändern einer Identitätszuordnung.............................................................................................................................. 121Löschen einer Identitätszuordnung............................................................................................................................ 121Anzeigen einer Identitätszuordnung........................................................................................................................... 121Leeren des Identitätszuordnungscache.................................................................................................................... 122Anzeigen eines Benutzertokens................................................................................................................................. 122Konfigurieren Identitätszuordnungseinstellungen.................................................................................................... 122Anzeigen der Identitätszuordnungseinstellungen.................................................................................................... 123

Managen von Benutzeridentitäten.................................................................................................................................. 123Anzeigen der Benutzeridentität..................................................................................................................................123Erstellen einer Benutzerzuordnungsregel................................................................................................................. 124Testen einer Benutzerzuordnungsregel.................................................................................................................... 125Zusammenführen von Windows- und UNIX-Token................................................................................................ 125Abrufen der primären Gruppe von LDAP.................................................................................................................. 126Optionen für Zuordnungsregeln................................................................................................................................. 127Operatoren für Zuordnungsregeln............................................................................................................................. 128

8 Stammverzeichnisse................................................................................................................. 130Überblick über Stammverzeichnisse............................................................................................................................... 130Stammverzeichnisberechtigungen.................................................................................................................................. 130Authentifizieren von SMB-Benutzern............................................................................................................................. 130Stammverzeichniserstellung über SMB...........................................................................................................................131

Erstellen von Stammverzeichnissen mit Erweiterungsvariablen.............................................................................131Erstellen von Stammverzeichnissen mit der Option --inheritable-path-acl..........................................................132Erstellen von speziellen Stammverzeichnissen mit der %U-Variable für SMB-Freigaben................................. 133

Stammverzeichniserstellung über SSH und FTP........................................................................................................... 133Festlegen der SSH- oder FTP-Anmelde-Shell .........................................................................................................133Festlegen von SSH-/FTP-Stammverzeichnisberechtigungen.............................................................................. 134Festlegen von Erstellungsoptionen für SSH-/FTP-Stammverzeichnisse............................................................ 134Bereitstellen von Stammverzeichnissen mit dot.-Dateien...................................................................................... 135

Stammverzeichniserstellung in einer gemischten Umgebung......................................................................................136Interaktionen zwischen ACLs und Modusbits................................................................................................................ 136Standardmäßige Stammverzeichniseinstellungen von Authentifizierungsanbietern................................................ 136Unterstützte Erweiterungsvariablen................................................................................................................................137Domainvariablen für das Provisioning von Stammverzeichnissen............................................................................... 138

9 Datenzugriffskontrolle.............................................................................................................. 139Übersicht über die Datenzugriffskontrolle...................................................................................................................... 139ACLs.................................................................................................................................................................................... 139UNIX-Berechtigungen....................................................................................................................................................... 139Umgebungen mit gemischten Berechtigungen..............................................................................................................140

NFS-Zugriff von mit Windows erstellten Dateien....................................................................................................140SMB-Zugriff von mit UNIX erstellten Dateien......................................................................................................... 140

Managen von Zugriffsberechtigungen............................................................................................................................140Anzeigen erwarteter Benutzerberechtigungen........................................................................................................140Konfigurieren von Einstellungen für das Zugriffsmanagement............................................................................... 141


Ändern der ACL-Policy-Einstellungen....................................................................................................................... 142ACL-Policy-Einstellungen............................................................................................................................................ 142Ausführen des PermissionRepair-Jobs...................................................................................................................... 147

10 Dateifreigabe.......................................................................................................................... 149Überblick über Dateifreigaben.......................................................................................................................................... 149

Umgebungen mit verschiedenen Protokollen...........................................................................................................149Schreibcaching mit SmartCache............................................................................................................................... 150

SMB......................................................................................................................................................................................151SMB-Freigaben in Zugriffszonen................................................................................................................................151SMB Multichannel........................................................................................................................................................152SMB-Freigabemanagement mithilfe der Microsoft Management Console (MMC)........................................... 153SMBv3-Verschlüsselung............................................................................................................................................. 153Serverseitige SMB-Kopien..........................................................................................................................................154SMB Continuous Availability....................................................................................................................................... 155SMB-Dateifilter............................................................................................................................................................ 155Symbolische Links und SMB-Clients......................................................................................................................... 156Anonymer Zugriff auf SMB-Shares........................................................................................................................... 157Managen von SMB-Einstellungen..............................................................................................................................157Managen von SMB-Freigaben.................................................................................................................................... 161

NFS......................................................................................................................................................................................165NFS-Exporte.................................................................................................................................................................166NFS-Aliasse...................................................................................................................................................................166NFS-Protokolldateien.................................................................................................................................................. 167Managen des NFS-Service......................................................................................................................................... 167Managen von NFS-Exporten......................................................................................................................................168Managen von NFS-Aliasse.......................................................................................................................................... 174

FTP.......................................................................................................................................................................................175Aktivieren und Konfigurieren von FTP-Dateifreigaben............................................................................................175

HTTP und HTTPS.............................................................................................................................................................. 175Aktivieren und Konfigurieren von HTTP....................................................................................................................176

11 Dateifilter................................................................................................................................ 178Dateifilter in einer Zugriffszone........................................................................................................................................ 178Aktivieren und Konfigurieren von Dateifiltern in einer Zugriffszone............................................................................ 178Ändern der Dateifiltereinstellungen in einer Zugriffszone............................................................................................. 179Anzeigen von Dateifiltereinstellungen..............................................................................................................................179

12 Auditing.................................................................................................................................. 180Auditingüberblick................................................................................................................................................................180Syslog.................................................................................................................................................................................. 180

Syslog-Weiterleitung.................................................................................................................................................... 181Protokollauditevents...........................................................................................................................................................181Unterstützte Audittools..................................................................................................................................................... 181Bereitstellen von Protokollauditereignissen auf mehreren CEE-Servern....................................................................182Unterstützte Eventtypen..................................................................................................................................................182Beispiel für Auditprotokoll................................................................................................................................................. 183Managen von Auditeinstellungen..................................................................................................................................... 184

Aktivieren von Protokollzugriffsaudits.......................................................................................................................184


Weiterleiten von Protokollzugriffsevents an syslog ............................................................................................... 185Aktivieren von Systemkonfigurationsaudits..............................................................................................................185Festlegen des Audit-Hostnamens..............................................................................................................................185Konfigurieren von protokollüberwachten Zonen......................................................................................................186Weiterleiten von Systemkonfigurationsänderungen an Syslog.............................................................................. 186Konfigurieren von Protokolleventfiltern.................................................................................................................... 186

Integrieren in Common Event Enabler.............................................................................................................................187Installieren von CEE für Windows.............................................................................................................................. 187Konfigurieren von CEE für Windows......................................................................................................................... 188Konfigurieren von CEE-Servern zur Bereitstellung von Protokollauditereignissen............................................. 188

Nachverfolgen der Bereitstellung von Protokollauditereignissen................................................................................ 188Anzeigen der Zeitstempel der Bereitstellung von Ereignissen für den CEE-Server und syslog........................ 189Verschieben der Protokollposition des CEE-Absenders......................................................................................... 189Anzeigen der Bereitstellungsgeschwindigkeit von Protokollauditereignissen für den CEE-Server...................189

13 Snapshots...............................................................................................................................190Snapshots – Übersicht......................................................................................................................................................190Datensicherheit mit SnapshotIQ...................................................................................................................................... 190Snapshot-Speicherplatznutzung...................................................................................................................................... 191Snapshot-Planungen.......................................................................................................................................................... 191Snapshot-Aliasnamen.........................................................................................................................................................191Datei- und Verzeichniswiederherstellung........................................................................................................................ 191Best Practices für die Erstellung von Snapshots...........................................................................................................192Best Practices für die Erstellung von Snapshot-Planungen.........................................................................................192Datei-Clones....................................................................................................................................................................... 193

Überlegungen zum Schattenspeicher....................................................................................................................... 193Snapshot-Sperren..............................................................................................................................................................194Snapshot-Reserve............................................................................................................................................................. 194SnapshotIQ-Lizenzfunktionen..........................................................................................................................................194Erstellen von Snapshots mit SnapshotIQ....................................................................................................................... 195

Erstellen einer SnapRevert-Domain...........................................................................................................................195Erstellen eines Snapshot-Zeitplans............................................................................................................................195Erstellen eines Snapshot............................................................................................................................................. 196Snapshot-Benennungsmuster.................................................................................................................................... 197

Managen von Snapshots ................................................................................................................................................. 199Reduzieren der Snapshot-Speicherplatznutzung.................................................................................................... 199Löschen von Snapshots.............................................................................................................................................. 199Ändern von Snapshot-Attributen..............................................................................................................................200Zuweisen eines Snapshot-Aliasnamens zu einem Snapshot................................................................................. 200Anzeigen von Snapshots............................................................................................................................................200Snapshot-Informationen.............................................................................................................................................200

Wiederherstellen von Snapshot-Daten........................................................................................................................... 201Zurücksetzen eines Snapshot.................................................................................................................................... 201Wiederherstellen einer Datei oder eines Verzeichnisses mit Windows Explorer..................................................201Wiederherstellen einer Datei oder eines Verzeichnisses über eine UNIX-Befehlszeile...................................... 202Klonen einer Datei aus einem Snapshot................................................................................................................... 202

Managen von Snapshot-Planungen................................................................................................................................202Ändern eines Snapshot-Zeitplans..............................................................................................................................202Löschen eines Snapshot-Plans..................................................................................................................................203Anzeigen von Snapshot-Zeitplänen.......................................................................................................................... 203


Managen von Snapshot-Aliasnamen.............................................................................................................................. 203Konfigurieren eines Snapshot-Alias für eine Snapshot-Planung........................................................................... 203Zuweisen eines Snapshot-Aliasnamens zu einem Snapshot................................................................................. 204Zuweisen eines Snapshot-Aliasnamens zum Onlinedateisystem.......................................................................... 204Anzeigen von Snapshot-Aliasnamen.........................................................................................................................204Informationen zu Snapshot-Aliasnamen...................................................................................................................204

Managen von Snapshot-Sperren....................................................................................................................................205Erstellen einer Snapshot-Sperre............................................................................................................................... 205Ändern eines Snapshot-Sperrablaufdatums............................................................................................................ 205Löschen einer Snapshot-Sperre................................................................................................................................206Informationen zu Snapshot-Sperren........................................................................................................................ 206

Konfigurieren der SnapshotIQ-Einstellungen.................................................................................................................206Einstellungen für SnapshotIQ.....................................................................................................................................207

Festlegen der Snapshot-Reserve....................................................................................................................................207Managen von Änderungslisten........................................................................................................................................ 208

Erstellen einer Änderungsliste....................................................................................................................................208Löschen einer Änderungsliste....................................................................................................................................208Anzeigen einer Änderungsliste...................................................................................................................................208Informationen zu Änderungslisten.............................................................................................................................209

14 Deduplizierung mit SmartDedupe.............................................................................................. 210Übersicht über die Deduplizierung...................................................................................................................................210Deduplizierungsjobs........................................................................................................................................................... 210Datenreplikation und Backup mit Deduplizierung........................................................................................................... 211Snapshots mit Deduplizierung...........................................................................................................................................211Überlegungen zur Deduplizierung.................................................................................................................................... 212Überlegungen zum Schattenspeicher............................................................................................................................. 212SmartDedupe-Lizenzfunktionen...................................................................................................................................... 212Managen der Deduplizierung............................................................................................................................................ 212

Bewerten von Speicherplatzeinsparungen durch Deduplizierung......................................................................... 213Angeben von Deduplizierungseinstellungen..............................................................................................................213Starten oder Planen eines Deduplizierungsjobs........................................................................................................213Anzeigen von Speicherplatzeinsparungen durch Deduplizierung.......................................................................... 214Anzeigen eines Deduplizierungsberichts................................................................................................................... 214Berichtsinformationen zum Deduplizierungsjob....................................................................................................... 214Deduplizierungsinformationen.................................................................................................................................... 215

15 Datenreplikation mit SyncIQ..................................................................................................... 216SyncIQ-Datenreplikation – Übersicht..............................................................................................................................216Replikationsrichtlinien und -jobs.......................................................................................................................................216

Automatisierte Replikationsrichtlinien........................................................................................................................ 217Quell- und Zielclusterzuordnung................................................................................................................................ 218Konfigurieren von SyncIQ-Quell- und -Zielclustern mit NAT..................................................................................218Vollständige und differenzielle Replikation................................................................................................................219Steuerung des Ressourcenverbrauchs durch Replikationsjobs.............................................................................220Priorität von Replikationsrichtlinien...........................................................................................................................220Replikationsberichte....................................................................................................................................................220

Replikations-Snapshots.....................................................................................................................................................221Quellcluster-Snapshots............................................................................................................................................... 221


Zielcluster-Snapshots.................................................................................................................................................. 221Daten-Failover und -Failback mit SyncIQ....................................................................................................................... 221

Daten-Failover..............................................................................................................................................................222Daten-Failback............................................................................................................................................................. 222Failover und Failback im SmartLock-Compliancemodus........................................................................................ 223SmartLock-Replikationseinschränkungen................................................................................................................ 223

Recovery-Zeiten und Ziele für SyncIQ........................................................................................................................... 224RPO-Warnmeldungen.................................................................................................................................................224

Priorität von Replikationsrichtlinien.................................................................................................................................224SyncIQ-Lizenzfunktionen.................................................................................................................................................225Erstellen von Replikationsrichtlinien................................................................................................................................225

Ausschließen von Verzeichnissen aus der Replikation............................................................................................225Ausschließen von Dateien aus der Replikation........................................................................................................ 226Dateikriterienoptionen.................................................................................................................................................226Konfigurieren von Standardeinstellungen für Replikationsrichtlinien....................................................................228Erstellen einer Replikationsrichtlinie.......................................................................................................................... 228Bewerten einer Replikationsrichtlinie........................................................................................................................ 233

Managen von Replikationen auf Remoteclustern......................................................................................................... 233Starten eines Replikationsjobs................................................................................................................................... 233Anhalten eines Replikationsjobs.................................................................................................................................233Wiederaufnehmen eines Replikationsjobs................................................................................................................ 234Abbrechen eines Replikationjobs............................................................................................................................... 234Anzeigen aktiver Replikationjobs............................................................................................................................... 234Informationen zum Replikationsjob........................................................................................................................... 234

Initiieren des Daten-Failover und -Failback mit SyncIQ................................................................................................235Failover von Daten an ein sekundäres Cluster.........................................................................................................235Umkehren eines Failover-Vorgangs.......................................................................................................................... 235Failback von Daten auf ein primäres Cluster............................................................................................................236Ausführen des ComplianceStoreDelete-Jobs in einer SmartLock-Compliancemodusdomain.......................... 236

Durchführen einer Disaster Recovery für ältere SmartLock-Verzeichnisse.............................................................. 237Wiederherstellen von SmartLock-Complianceverzeichnissen auf einem Zielcluster..........................................237Migrieren von SmartLock-Complianceverzeichnissen............................................................................................237

Managen von Replikations-Policies.................................................................................................................................238Ändern einer Replikationsrichtlinie.............................................................................................................................238Löschen einer Replikationsrichtlinie.......................................................................................................................... 239Aktivieren oder Deaktivieren einer Replikationsrichtlinie........................................................................................ 239Anzeigen von Replikationsrichtlinien.........................................................................................................................239Informationen zu Replikationsrichtlinien................................................................................................................... 240Replikationsrichtlinieneinstellungen...........................................................................................................................240

Managen von Replikationen auf dem lokalen Cluster................................................................................................... 242Abbrechen einer Replikation auf das lokale Cluster................................................................................................ 242Aufheben der Verknüpfung lokaler Ziele...................................................................................................................242Anzeigen von Replikationsrichtlinien, deren Ziel das lokale Cluster ist................................................................. 243Informationen zur Remotereplikationsrichtlinie....................................................................................................... 243

Managen von Replikationsperformanceregeln.............................................................................................................. 243Erstellen einer Netzwerkdatenverkehrsregel...........................................................................................................243Erstellen einer Regel für Dateivorgänge................................................................................................................... 244Ändern einer Performanceregel.................................................................................................................................244Löschen einer Performanceregel...............................................................................................................................244Aktivieren oder Deaktivieren einer Performanceregel............................................................................................ 244


Anzeigen von Performanceregeln............................................................................................................................. 244Managen von Replikationsberichten...............................................................................................................................245

Konfigurieren von Standardeinstellungen für Replikationsberichte...................................................................... 245Löschen von Replikationsberichten.......................................................................................................................... 245Anzeigen von Replikationsberichten......................................................................................................................... 245Informationen zu Replikationsberichten................................................................................................................... 246

Managen von fehlgeschlagenen Replikationsjobs.........................................................................................................246Auflösen einer Replikationsrichtlinie.......................................................................................................................... 246Zurücksetzen einer Replikationsrichtlinie..................................................................................................................247Ausführen einer vollständigen oder differenziellen Replikation..............................................................................247

16 Datenverschlüsselung mit SyncIQ.............................................................................................248SyncIQ-Datenverschlüsselung – Übersicht................................................................................................................... 248Verschlüsselung des SyncIQ-Datenverkehrs.................................................................................................................248Policy-spezifische Drosselung – Übersicht....................................................................................................................248

17 Datenlayout mit FlexProtect.....................................................................................................249Überblick über FlexProtect.............................................................................................................................................. 249Datei-Striping.....................................................................................................................................................................249Datensicherheitsanforderungen...................................................................................................................................... 249Datenwiederherstellung mit FlexProtect....................................................................................................................... 250

SmartFail...................................................................................................................................................................... 250Node-Ausfälle............................................................................................................................................................... 251

Datensicherheitsanforderungen.......................................................................................................................................251Angeforderte Sicherheitseinstellungen........................................................................................................................... 251Speicherplatznutzung der angeforderten Sicherheit................................................................................................... 252

18 NDMP-Backup und -Recovery.................................................................................................. 254NDMP-Backup und Recovery – Überblick.................................................................................................................... 254Bidirektionales NDMP-Backup........................................................................................................................................ 255NDMP-Drei-Wege-Backup..............................................................................................................................................255Unterstützung von NDMP-Sitzungen auf Hardware der 6. Generation................................................................... 255Festlegen bevorzugter IP-Adressen für NDMP-Drei-Wege-Vorgänge..................................................................... 255NDMP-Multi-Stream-Backup und -Recovery...............................................................................................................256Snapshot-basierte inkrementelle Backups.....................................................................................................................256NDMP-Backup und -Wiederherstellung von SmartLink-Dateien................................................................................257NDMP-Protokollsupport.................................................................................................................................................. 258Unterstützte DMAs.......................................................................................................................................................... 258NDMP-Hardwaresupport.................................................................................................................................................258NDMP-Backupeinschränkungen.....................................................................................................................................258NDMP-Performanceempfehlungen................................................................................................................................259Ausschließen von Dateien und Verzeichnissen von NDMP-Backups........................................................................ 260Konfigurieren grundlegender NDMP-Backupeinstellungen..........................................................................................261

Konfigurieren und Aktivieren des NDMP-Backups..................................................................................................261Anzeigen von NDMP-Backupeinstellungen.............................................................................................................. 261Deaktivieren von NDMP-Backups............................................................................................................................. 261

Managen von NDMP-Benutzerkonten........................................................................................................................... 261Erstellen eines NDMP-Administratorkontos.............................................................................................................261Anzeigen von NDMP-Benutzerkonten.....................................................................................................................262


Ändern des Passworts eines NDMP-Administratorkontos.................................................................................... 262Löschen eines NDMP-Administratorkontos............................................................................................................ 262

NDMP-Umgebungsvariablen – Übersicht..................................................................................................................... 262Managen von NDMP-Umgebungsvariablen............................................................................................................ 262Einstellungen für NDMP-Umgebungsvariablen.......................................................................................................263Hinzufügen von NDMP-Umgebungsvariablen.........................................................................................................263Anzeigen von NDMP-Umgebungsvariablen............................................................................................................ 264Bearbeiten von NDMP-Umgebungsvariablen..........................................................................................................264Löschen einer NDMP-Umgebungsvariable..............................................................................................................264NDMP-Umgebungsvariablen..................................................................................................................................... 264Festlegen von Umgebungsvariablen für Backup- und Wiederherstellungsvorgänge......................................... 270

Managen von NDMP-Kontexten.....................................................................................................................................270NDMP-Kontexteinstellungen..................................................................................................................................... 270Anzeigen von NDMP-Kontexten................................................................................................................................271Löschen eines NDMP-Kontexts................................................................................................................................. 271

Managen von NDMP-Sitzungen...................................................................................................................................... 271NDMP-Sitzungsinformationen................................................................................................................................... 271Anzeigen von NDMP-Sitzungen................................................................................................................................274Abbrechen einer NDMP-Sitzung...............................................................................................................................274

Managen von NDMP-Fibre Channel-Ports....................................................................................................................274Einstellungen für den NDMP-Backupport................................................................................................................274Aktivieren oder Deaktivieren eines NDMP-Backupports........................................................................................275Anzeigen von NDMP-Backupports...........................................................................................................................275Ändern der Einstellungen für den NDMP-Backupport........................................................................................... 275

Managen von NDMP-bevorzugten IP-Einstellungen................................................................................................... 275Erstellen einer NDMP-bevorzugten IP-Einstellung.................................................................................................275Ändern einer NDMP-bevorzugten IP-Einstellung................................................................................................... 276Auflisten von NDMP-bevorzugten IP-Einstellungen...............................................................................................276Anzeigen von NDMP-bevorzugten IP-Einstellungen..............................................................................................276Löschen von NDMP-bevorzugten IP-Einstellungen............................................................................................... 276

Managen von NDMP-Backupgeräten.............................................................................................................................277NDMP-Backupgeräteeinstellungen........................................................................................................................... 277Erkennen von NDMP-Backupgeräten.......................................................................................................................277Anzeigen von NDMP-Backupgeräten.......................................................................................................................278Ändern des Namens eines NDMP-Backupgeräts....................................................................................................278Löschen eines Eintrags für ein NDMP-Backupgerät.............................................................................................. 278

NDMP-Dumpdates-Datei – Übersicht........................................................................................................................... 278Managen der NDMP-Dumpdates-Datei................................................................................................................... 279Einstellungen für die NDMP-Dumpdates-Datei.......................................................................................................279Anzeigen von Einträgen in der NDMP-Dumpdates-Datei......................................................................................279Löschen von Einträgen aus der NDMP-Dumpdates-Datei.................................................................................... 279

NDMP-Wiederherstellungsvorgänge..............................................................................................................................279Paralleler NDMP-Wiederherstellungsvorgang......................................................................................................... 279Serieller NDMP-Wiederherstellungsvorgang........................................................................................................... 280Angeben eines fortlaufenden NDMP-Wiederherstellungsvorgangs.....................................................................280

Gemeinsame Nutzung von Bandlaufwerken durch Cluster.........................................................................................280Managen Snapshot-basierter inkrementeller Backups.................................................................................................280

Aktivieren Snapshot-basierter inkrementeller Backups für ein Verzeichnis......................................................... 281Anzeigen von Snapshots für Snapshot-basierte inkrementelle Backups..............................................................281Löschen von Snapshots für Snapshot-basierte inkrementelle Backups...............................................................281


Managen der Clusterleistung für NDMP-Sitzungen......................................................................................................281Aktivieren von NDMP Redirector zum Managen der Clusterleistung.................................................................. 282

Managen der CPU-Auslastung für NDMP-Sitzungen..................................................................................................282Aktivieren von NDMP Throttler.................................................................................................................................282

19 Dateiaufbewahrung mit SmartLock...........................................................................................283Überblick über SmartLock................................................................................................................................................283Compliancemodus............................................................................................................................................................. 283Enterprise-Modus..............................................................................................................................................................283SmartLock-Verzeichnisse................................................................................................................................................ 284Replikation und Backup mit SmartLock..........................................................................................................................284SmartLock-Lizenzfunktionen.......................................................................................................................................... 285Überlegungen zu SmartLock........................................................................................................................................... 285Einstellen der Complianceuhr.......................................................................................................................................... 285Anzeigen der Complianceuhr...........................................................................................................................................285Erstellen eines SmartLock-Verzeichnisses.................................................................................................................... 286

Aufbewahrungsfristen................................................................................................................................................ 286Autocommit-Zeiträume.............................................................................................................................................. 286Erstellen eines Enterprise-Verzeichnisses für ein nicht leeres Verzeichnis......................................................... 286Erstellen eines SmartLock-Verzeichnisses...............................................................................................................287

Managen von SmartLock-Verzeichnissen..................................................................................................................... 287Ändern eines SmartLock-Verzeichnisses.................................................................................................................288Löschen eines SmartLock-Verzeichnisses...............................................................................................................288Anzeigen von SmartLock-Verzeichniseinstellungen............................................................................................... 288SmartLock-Verzeichniskonfigurationseinstellungen............................................................................................... 288

Managen von Dateien in SmartLock-Verzeichnissen...................................................................................................289Festlegen einer Aufbewahrungsfrist über eine UNIX-Befehlszeile....................................................................... 290Festlegen einer Aufbewahrungsfrist über Windows Powershell...........................................................................290Versetzen einer Datei in einen WORM-Status mithilfe einer UNIX-Befehlszeile................................................290Versetzen einer Datei in einen WORM-Status mithilfe von Windows Explorer...................................................291Außerkraftsetzung der Aufbewahrungsfrist für alle Dateien in einem SmartLock-Verzeichnis........................ 291Löschen einer Datei mit WORM-Status....................................................................................................................291Anzeigen des WORM-Status einer Datei.................................................................................................................292

20 Sicherheitsdomains................................................................................................................ 293Sicherheitsdomains – Überblick...................................................................................................................................... 293Überlegungen zur Sicherheitsdomain.............................................................................................................................293Erstellen einer Sicherheitsdomain................................................................................................................................... 293Löschen einer Sicherheitsdomain....................................................................................................................................294

21 Data-at-Rest-Verschlüsselung................................................................................................. 295Überblick über die Data-at-Rest-Verschlüsselung........................................................................................................295Selbstverschlüsselnde Laufwerke...................................................................................................................................295Datensicherheit auf SEDs (Self-Encrypting Drives).....................................................................................................295Datenmigration zu einem Cluster mit SEDs (Self-Encrypting Drives)....................................................................... 296Gehäuse- und Laufwerksstatus...................................................................................................................................... 296REPLACE-Status eines Laufwerks mit Smartfail-Prozess.......................................................................................... 297ERASE-Status eines Laufwerks mit Smartfail-Prozess............................................................................................... 298


22 SmartQuotas..........................................................................................................................300Überblick über SmartQuotas........................................................................................................................................... 300Quota-Typen......................................................................................................................................................................300Standard-Quota-Typ......................................................................................................................................................... 301Nutzungsberechnung und Limits.................................................................................................................................... 302Festplattennutzungsberechnungen................................................................................................................................303Quota-Benachrichtigungen..............................................................................................................................................304Quota-Benachrichtigungsregeln..................................................................................................................................... 305Quota-Berichte..................................................................................................................................................................305Erstellen von Quotas.........................................................................................................................................................305

Erstellen einer Berechnungs-Quota..........................................................................................................................306Erstellen einer Durchsetzungs-Quota.......................................................................................................................306

Managen von Quotas........................................................................................................................................................307Suchen nach Quotas...................................................................................................................................................307Managen von Quotas..................................................................................................................................................308Exportieren einer Quota-Konfigurationsdatei..........................................................................................................308Importieren einer Quota-Konfigurationsdatei.......................................................................................................... 308

Managen von Quota-Benachrichtigungen.....................................................................................................................309Konfigurieren von Standardeinstellungen für Quota-Benachrichtigungen.......................................................... 309Konfigurieren von benutzerdefinierten Quota-Benachrichtigungsregeln.............................................................310Zuordnen einer E-Mail-Benachrichtigungsregel für eine Quota.............................................................................310

E-Mail-Meldungen für Quota-Benachrichtigungen....................................................................................................... 310Variablenbeschreibungen für benutzerdefinierte E-Mail-Benachrichtigungsvorlagen.........................................311Anpassen der Vorlagen für Quota-E-Mail-Benachrichtigungen.............................................................................312

Managen von Quota-Berichten........................................................................................................................................312Erstellen eines Zeitplans für Quota-Berichte............................................................................................................313Erstellen eines Quota-Berichts...................................................................................................................................313Suchen eines Quota-Berichts.....................................................................................................................................313

Grundlegende Quota-Einstellungen.................................................................................................................................313Quota-Benachrichtigungsregeln für informative Limits................................................................................................ 314Quota-Benachrichtigungsregeln für weiche Limits....................................................................................................... 315Quota-Benachrichtigungsregeln für harte Limits...........................................................................................................317Einstellungen für Grenzwertbenachrichtigungen.......................................................................................................... 318Quota-Berichtseinstellungen............................................................................................................................................ 318

23 Speicherpools.........................................................................................................................320Speicherpools – Überblick............................................................................................................................................... 320Speicherpoolfunktionen.....................................................................................................................................................321Automatisiertes Provisioning........................................................................................................................................... 322Node-Pools........................................................................................................................................................................ 322

Node-Klassenkompatibilitäten................................................................................................................................... 323SSD-Kompatibilitäten..................................................................................................................................................323Manuelle Node-Pools..................................................................................................................................................324

Virtuelle Hot Spares.......................................................................................................................................................... 324Spillover.............................................................................................................................................................................. 325Vorgeschlagener Schutz.................................................................................................................................................. 325Schutz-Policies..................................................................................................................................................................325SSD-Strategien..................................................................................................................................................................326


Andere Einstellungen für die SSD-Spiegelung...............................................................................................................326Global Namespace Acceleration...................................................................................................................................... 327Übersicht über den L3-Cache..........................................................................................................................................327

Migration auf den L3-Cache...................................................................................................................................... 328L3-Cache auf Node-Pools der Archivierungsklasse................................................................................................328

Tiers.................................................................................................................................................................................... 329Dateipool-Policies..............................................................................................................................................................329

FilePolicy-Job...............................................................................................................................................................329Managen von Node-Pools über die Webverwaltungsschnittstelle.............................................................................330

Hinzufügen von Node-Pools zu einem Tier............................................................................................................. 330Ändern des Namens oder des angeforderten Schutzes eines Node-Pools.........................................................330Erstellen einer Node-Klassenkompatibilität...............................................................................................................331Zusammenführen kompatibler Node-Pools.............................................................................................................. 331Löschen einer Node-Klassenkompatibilität.............................................................................................................. 332Erstellen einer SSD-Kompatibilität............................................................................................................................ 332Löschen einer SSD-Kompatibilität.............................................................................................................................333

Managen des L3-Caches über die Webverwaltungsschnittstelle...............................................................................333Festlegen von L3-Cache als Standard für Node-Pools..........................................................................................333Festlegen von L3-Cache für einen bestimmten Node-Pool.................................................................................. 333Wiederherstellen von SSDs in den Speicherlaufwerken für einen Node-Pool.....................................................334

Managen von Tiers............................................................................................................................................................334Erstellen von Tiers....................................................................................................................................................... 334Bearbeiten eines Tier.................................................................................................................................................. 335Löschen eines Tier.......................................................................................................................................................335

Erstellen von Dateipool-Policies...................................................................................................................................... 335Erstellen einer Dateipool-Policy................................................................................................................................. 336Dateiübereinstimmungsoptionen für Dateipool-Policies.........................................................................................336Gültige Platzhalterzeichen..........................................................................................................................................337Einstellungen für SmartPools.....................................................................................................................................338

Managen von Dateipool-Policies......................................................................................................................................341Konfigurieren von Standardsicherheitseinstellungen für Dateipools..................................................................... 341Angeforderte Sicherheitseinstellungen des Standarddateipools...........................................................................342Konfigurieren von Standardeinstellungen für die I/O-Optimierung...................................................................... 343I/O-Optimierungseinstellungen für den Standarddateipool................................................................................... 343Ändern einer Dateipool-Policy....................................................................................................................................344Priorisieren einer Dateipool-Policy.............................................................................................................................344Erstellen einer Dateipool-Policy aus einer Vorlage.................................................................................................. 344Löschen einer Dateipool-Policy................................................................................................................................. 345

Monitoring von Speicherpools.........................................................................................................................................345Überwachen von Speicherpools................................................................................................................................345Anzeigen der Integrität von Subpools.......................................................................................................................345Anzeigen der Ergebnisse eines SmartPools-Jobs................................................................................................... 345

24 Systemjobs............................................................................................................................ 347Übersicht über Systemjobs.............................................................................................................................................. 347Systemjobbibliothek.......................................................................................................................................................... 347Jobvorgang........................................................................................................................................................................ 350Jobperformanceauswirkung............................................................................................................................................. 351Jobprioritäten.....................................................................................................................................................................352Managen von Systemjobs................................................................................................................................................352


Anzeigen aktiver Jobs.................................................................................................................................................352Anzeigen des Jobverlaufs...........................................................................................................................................352Starten eines Jobs.......................................................................................................................................................353Anhalten eines Jobs.................................................................................................................................................... 353Wiederaufnehmen eines Jobs....................................................................................................................................353Abbrechen eines Jobs.................................................................................................................................................353Aktualisieren eines Jobs..............................................................................................................................................353Ändern von Jobtypeinstellungen............................................................................................................................... 354

Managen von Auswirkungs-Policies............................................................................................................................... 354Erstellen einer Auswirkungs-Policy:.......................................................................................................................... 354Kopieren einer Auswirkungs-Policy...........................................................................................................................355Ändern einer Auswirkungs-Policy..............................................................................................................................355Löschen einer Auswirkungs-Policy............................................................................................................................356Anzeigen der Auswirkungs-Policy-Einstellungen.................................................................................................... 356

Anzeigen von Jobberichten und -statistiken................................................................................................................. 356Anzeigen von Statistiken für einen laufenden Job..................................................................................................356Anzeigen eines Berichts für einen abgeschlossenen Job.......................................................................................356

25 Netzwerke............................................................................................................................. 358Übersicht über das Netzwerk..........................................................................................................................................358Informationen über das interne Netzwerk..................................................................................................................... 358

Interne IP-Adressbereiche..........................................................................................................................................358Internes Netzwerk-Failover....................................................................................................................................... 359

Informationen über das externe Netzwerk....................................................................................................................359Gruppennetze..............................................................................................................................................................359Subnetze...................................................................................................................................................................... 360IP-Adressenpools......................................................................................................................................................... 361SmartConnect-Modul..................................................................................................................................................361Provisioning-Regeln für Nodes..................................................................................................................................365Routingoptionen.......................................................................................................................................................... 365

Konfigurieren des internen Netzwerks...........................................................................................................................366Ändern des internen IP-Adressbereichs................................................................................................................... 366Ändern der Netzmaske des internen Netzwerks.................................................................................................... 366Konfigurieren und Aktivieren eines internen Failover..............................................................................................367Deaktivieren des Failover für das interne Netzwerk...............................................................................................368

Managen von Gruppennetzen.........................................................................................................................................368Erstellen eines Gruppennetzes.................................................................................................................................. 368Ändern eines Gruppennetzes.....................................................................................................................................369Löschen von Gruppennetzen.....................................................................................................................................369Anzeigen von Gruppennetzen................................................................................................................................... 370

Managen externer Netzwerksubnetze...........................................................................................................................370Erstellen eines Subnetzes...........................................................................................................................................370Ändern eines Subnetzes..............................................................................................................................................371Löschen eines Subnetzes............................................................................................................................................371Anzeigen von Subnetzeinstellungen......................................................................................................................... 372Konfigurieren einer IP-Adresse für den SmartConnect-Service........................................................................... 372Aktivieren oder Deaktivieren von VLAN-Tagging....................................................................................................372Hinzufügen oder Entfernen einer DSR-Adresse......................................................................................................373Hinzufügen oder Entfernen eines IP-Adressbereichs pro Subnetz.......................................................................373

Managen von IP-Adressenpools......................................................................................................................................373


Erstellen eines IP-Adressenpools...............................................................................................................................373Ändern eines IP-Adressenpools................................................................................................................................. 374Löschen eines IP-Adressenpools............................................................................................................................... 374Anzeigen der Einstellungen des IP-Adressenpools..................................................................................................374Hinzufügen oder Entfernen eines IP-Adressbereichs............................................................................................. 374

Managen von SmartConnect-Einstellungen..................................................................................................................375Ändern einer SmartConnect-DNS-Zone.................................................................................................................. 375Festlegen eines SmartConnect-Servicesubnetzes................................................................................................. 375Unterbrechen oder Wiederaufnehmen eines Node.................................................................................................376Konfigurieren der IP-Adressenzuweisung................................................................................................................ 376Konfigurieren einer Verbindungsausgleichs-Policy..................................................................................................377Konfigurieren einer IP-Failover Policy....................................................................................................................... 378Konfigurieren einer IP-Neuverteilungs-Policy.......................................................................................................... 378

Managen von Netzwerkschnittstellenmitgliedern........................................................................................................ 380Hinzufügen oder Entfernen einer Netzwerkschnittstelle.......................................................................................380Konfigurieren der Verbindungsbündelung................................................................................................................380

Managen von Node-Provisioning-Regeln....................................................................................................................... 381Erstellen einer Node-Provisioning-Regel..................................................................................................................382Ändern einer Node-Provisioning-Regel.................................................................................................................... 382Löschen einer Node-Provisioning-Regel.................................................................................................................. 382Anzeigen der Einstellungen für Node-Provisioning-Regeln................................................................................... 382

Managen von Routingoptionen....................................................................................................................................... 383Aktivieren oder Deaktivieren von quellenbasiertem Routing................................................................................. 383Hinzufügen oder Entfernen einer statischen Route............................................................................................... 383

Managen von DNS-Cacheeinstellungen.........................................................................................................................383Löschen des DNS-Caches......................................................................................................................................... 384Ändern der DNS-Cacheeinstellungen....................................................................................................................... 384DNS-Cacheeinstellungen............................................................................................................................................384

Managen von TCP-Ports................................................................................................................................................. 385Hinzufügen oder Entfernen von TCP-Ports............................................................................................................385

26 Virenschutz............................................................................................................................386Virenschutzüberblick........................................................................................................................................................ 386Scannen während des Zugriffs........................................................................................................................................386Scannen nach Virenschutz-Policies................................................................................................................................387Scannen einzelner Dateien............................................................................................................................................... 387WORM-Dateien und Virenschutz....................................................................................................................................387Virenüberprüfungsberichte.............................................................................................................................................. 388ICAP Server....................................................................................................................................................................... 388Reaktionen auf Bedrohungen durch Viren.....................................................................................................................388Konfigurieren globaler Virenschutzeinstellungen.......................................................................................................... 389

Ausschließen von Dateien aus Virenüberprüfungen............................................................................................... 389Konfigurieren der Überprüfungseinstellungen während des Zugriffs...................................................................390Konfigurieren von Virenschutzeinstellungen............................................................................................................ 391Konfigurieren der Aufbewahrungseinstellungen von Virenschutzberichten.........................................................391Aktivieren oder Deaktivieren von Virenüberprüfungen........................................................................................... 391

Managen von ICAP-Servern.............................................................................................................................................391ICAP-Server hinzufügen und Verbindung mit diesem herstellen...........................................................................391Testen einer ICAP-Serververbindung.......................................................................................................................392Ändern von ICAP-Verbindungseinstellungen...........................................................................................................392


Vorübergehendes Trennen der Verbindung zu einem ICAP-Server.....................................................................392Wiederherstellen einer Verbindung zu einem ICAP-Server................................................................................... 392Entfernen eines ICAP-Servers...................................................................................................................................393

Erstellen einer Virenschutz-Policy...................................................................................................................................393Managen von Virenschutz-Policies.................................................................................................................................394

Ändern einer Virenschutz-Policy............................................................................................................................... 394Löschen einer Virenschutz-Policy.............................................................................................................................394Aktivieren oder Deaktivieren einer Virenschutz-Policy...........................................................................................394Anzeigen von Virenschutz-Policies...........................................................................................................................394

Managen von Virenüberprüfungen................................................................................................................................. 395Scannen einer Datei.................................................................................................................................................... 395Manuelles Ausführen einer Virenschutz-Policy....................................................................................................... 395Beenden einer laufenden Virenüberprüfung............................................................................................................ 395

Managen von Virenbedrohungen....................................................................................................................................395Manuelles Verschieben einer Datei in die Quarantäne............................................................................................395Erneutes Scannen einer Datei................................................................................................................................... 395Entfernen einer Datei aus der Quarantäne.............................................................................................................. 396Manuelles Kürzen einer Datei.................................................................................................................................... 396Anzeigen von Bedrohungen.......................................................................................................................................396Informationen zu Bedrohungen durch Viren............................................................................................................396

Managen von Virenschutzberichten...............................................................................................................................397Anzeigen von Virenschutzberichten......................................................................................................................... 397Anzeigen von Virenschutzereignissen...................................................................................................................... 397

27 VMware-Integration................................................................................................................398Überblick über die VMware-Integration......................................................................................................................... 398VAAI.................................................................................................................................................................................... 398VASA...................................................................................................................................................................................398

Isilon VASA-Alarme..................................................................................................................................................... 399VASA-Speicherfunktionen......................................................................................................................................... 399

Konfigurieren des VASA-Supports..................................................................................................................................399Aktivierung von VASA.................................................................................................................................................399Herunterladen des Isilon-Herstellerzertifikats......................................................................................................... 400Erstellen eines selbstsignierten Zertifikats...............................................................................................................400Hinzufügen des Isilon-Herstellers...............................................................................................................................401

Deaktivieren oder erneutes Aktivieren von VASA......................................................................................................... 401Troubleshooting von VASA-Speicheranzeigefehlern....................................................................................................402

28 Dateisystem-Explorer............................................................................................................. 403Übersicht über den Dateisystem-Explorer.....................................................................................................................403Durchsuchen des Dateisystems...................................................................................................................................... 403Erstellen eines Verzeichnisses......................................................................................................................................... 403Ändern der Datei- und Verzeichniseigenschaften........................................................................................................ 403Anzeigen der Datei- und Verzeichniseigenschaften.....................................................................................................404Datei- und Verzeichniseigenschaften.............................................................................................................................404


Einführung in diesen LeitfadenDieser Abschnitt enthält die folgenden Themen:

Themen:

• Informationen über diesen Leitfaden• Isilon-Scale-out-NAS – Überblick• Supportquellen

Informationen über diesen LeitfadenIn diesem Handbuch wird beschrieben, wie die Isilon OneFS-Webverwaltungsoberfläche Zugriff auf Funktionen für die Konfiguration, das Management und das Monitoring von Clustern bietet.

Ihre Vorschläge helfen uns, die Genauigkeit, Gestaltung und Gesamtqualität der Dokumentation zu verbessern. Senden Sie Ihr Feedback an http://bit.ly/isilon-docfeedback. Wenn Sie Feedback nicht über die angegebene URL abgeben können, senden Sie eine E-Mail an [email protected].

Isilon-Scale-out-NAS – ÜberblickDie Isilon-Scale-out-NAS-Speicherplattform kombiniert modulare Hardware mit einheitlicher Software, um unstrukturierte Daten zu nutzen. Mit dem OneFS-Betriebssystem stellt jeder Cluster einen skalierbaren Speicherpool mit einem globalen Namespace bereit.

Die einheitliche Softwareplattform bietet eine zentralisierte, webbasierte Befehlszeilenverwaltung für die folgenden Funktionen:

• Ein Cluster, auf dem ein verteiltes Dateisystem ausgeführt wird• Scale-out-Nodes für zusätzliche Kapazität und Performance• Speicheroptionen zur Verwaltung von Dateien und Tiering• Flexibler Datenschutz und hohe Verfügbarkeit• Softwaremodule zur Kostenkontrolle und Ressourcenoptimierung

SupportquellenDieses Thema enthält Ressourcen, über die Sie Antworten auf Fragen zu Isilon-Produkten erhalten.

Onlinesupport • Live-Chat• Service-Request erstellen

Wenn Sie Fragen zum Zugriff auf den Onlinesupport haben, senden Sie eine E-Mail an [email protected].

Telefonischer Support

• Vereinigte Staaten von Amerika: +1-800-SVC-4EMC (1-800-782-4362)• Kanada: +1-800-543-4782• Weltweit: +1-508-497-7901• Informationen zu lokalen Telefonnummern für ein bestimmtes Land finden Sie unter Dell EMC Customer

Support Centers.

Isilon Community Network

Über das Isilon Community Network erhalten Sie Zugang zu einem zentralen Informations-Hub und zu Experten, mit deren Hilfe Sie den Nutzen Ihrer aktuellen Speicherlösung maximieren können. Auf dieser Website können Sie sich Demonstrationen zu Isilon-Produkten anschauen, Fragen stellen, technische Videos abspielen und die neueste Isilon-Produktdokumentation erhalten.

Isilon Info Hubs Die Liste der Isilon-Hubs finden Sie auf der Seite Isilon Info Hubs im Isilon Community Network. Verwenden Sie diese Informations-Hubs, um nach Produktdokumentationen, Anleitungen zum Troubleshooting, Videos, Blogs und andere Informationsressourcen zu den Isilon-Produkten und -Funktionen zu suchen, die Sie interessieren.

1

Einführung in diesen Leitfaden 19

http://bit.ly/isilon-docfeedback

mailto:[email protected]

https://support.emc.com/servicecenter/liveChat/

https://support.emc.com/servicecenter/createSR/

mailto:[email protected]

http://www.emc.com/collateral/contact-us/h4165-csc-phonelist-ho.pdf

http://www.emc.com/collateral/contact-us/h4165-csc-phonelist-ho.pdf

https://community.emc.com/community/products/isilon

https://community.emc.com/docs/DOC-44304

https://community.emc.com/community/products/isilon

Isilon-Scale-out-NASDieser Abschnitt enthält die folgenden Themen:

Themen:

• OneFS-Speicherarchitektur• Isilon-Node-Komponenten• Interne und externe Netzwerke• Isilon-Cluster• Das OneFS-Betriebssystem• Struktur des Dateisystems• Datensicherheit – Übersicht• VMware-Integration• Softwaremodule

OneFS-SpeicherarchitekturIsilon verfolgt bei der Speicherung einen Scale-out-Ansatz durch die Erstellung eines Clusters von Nodes, auf dem ein DFS (Distributed File System) ausgeführt wird. OneFS vereint die drei Ebenen der Speicherarchitektur – Dateisystem, Volume Manager und Data Protection – in einem Scale-Out-NAS-Cluster.

Jeder Node fügt Ressourcen zum Cluster hinzu. Da jeder Node einen global kohärenten RAM beinhaltet, wird dieser bei der Vergrößerung eines Clusters schneller. In der Zwischenzeit wird das Dateisystem dynamisch erweitert und verteilt Inhalte neu. Dadurch werden Aufgaben wie die Partitionierung von Festplatten und das Erstellen von Volumes beseitigt.

Nodes fungieren als Peers, um Daten im gesamten Cluster zu verteilen. Die Segmentierung und Verteilung von Daten – ein Prozess, der als Striping bekannt ist – schützt nicht nur Daten, sondern ermöglicht einem Benutzer, eine Verbindung zu einem beliebigen Node herzustellen und so von der gesamten Clusterperformance zu profitieren.

OneFS verwendet verteilte Software, um Daten über handelsübliche Hardware hinweg zu skalieren. Mastergeräte können das Cluster nicht steuern und Slavegeräte rufen keine Abhängigkeiten hervor. Jeder Node unterstützt die Kontrolle von Datenanfragen, steigert die Performance und erweitert die Kapazität des Clusters.

Isilon-Node-KomponentenAls rackmontierbare Appliance umfasst ein Pre-Generation 6-Speicher-Node die folgenden Komponenten in einem rackmontierbaren 2-HE- oder 4-HE-Gehäuse mit einer LCD-Vorderseite: CPUs, RAM, NVRAM, Netzwerkschnittstellen, InfiniBand-Adapter, Festplatten-Controller und Speichermedien. Ein Isilon-Cluster besteht aus 3 bis 144 Nodes. Für Generation 6 wird immer ein 4-HE-Gehäuse verwendet. Es gibt 4 Nodes in einem 4-HE-Gehäuse in Generation 6. Ein Node macht daher ein Viertel eines Gehäuses aus.

Wenn Sie zu einem Pre-Generation 6-Cluster einen Node hinzufügen, erhöhen Sie die Gesamtkapazität von Festplatte, Cache, CPU, RAM und Netzwerk. OneFS gruppiert RAM in einem einzigen kohärenten Cache, damit eine Datenanforderung auf einem Node Daten nutzen kann, die an beliebiger Stelle zwischengespeichert sind. NVRAM wird gruppiert, um Daten mit hohem Durchsatz zu schreiben und Schreibvorgänge vor Stromausfällen zu schützen. Bei einer Erweiterung des Clusters werden Spindeln und CPU kombiniert, um Durchsatz, Kapazität und Eingabe-/Ausgabevorgänge pro Sekunde (IOPS) zu erweitern. Ein Cluster für Generation 6 besteht aus mindestens 4 Nodes. NVRAM wird bei Generation 6 nicht verwendet. Journale werden im RAM gespeichert. Zudem wird M.2-Flash für ein Backup im Falle eines Ausfalls des Nodes verwendet.

Es gibt verschiedene Typen von Nodes, die alle einem Cluster hinzugefügt werden können, um Kapazität und Performance durch Durchsatz oder IOPS auszugleichen:

Node Anwendungsbeispiel

Gen-6-Hardware F800 und F810 (F810 wird nur mit OneFS 8.1.3 unterstützt)

All-Flash-Lösung

Gen-6-Hardware der H Serie • H600, Performance bei Lösung mit rotierenden Platten

2

20 Isilon-Scale-out-NAS

Node Anwendungsbeispiel

• H500, Performancekapazität• H400, Performancekapazität

Gen-6-Hardware der A Serie • A200, aktives Archiv• A2000, Deep-Archiv

S-Serie IOPS-intensive Anwendungen

X-Serie Viele gleichzeitige Workflows mit hohem Durchsatz

NL-Serie Nahezu Primärspeichern entsprechende Zugriffszeiten zu vergleichbaren Kosten wie beim Einsatz von Bandsystemen

HD-Serie Maximum capacity

Die folgenden Dell EMC Isilon-Nodes verbessern die Leistung:

Node Funktion

A-Series Performance Accelerator Unabhängige Skalierung für hohe Performance

A-Series Backup Accelerator Schnelle und skalierbare Backup- und Wiederherstellungslösung für Bandlaufwerke über Fibre Channel-Verbindungen

Interne und externe NetzwerkeEin Cluster umfasst zwei Netzwerke: ein internes Netzwerk für den Datenaustausch zwischen Nodes und ein externes Netzwerk für die Verarbeitung von Clientverbindungen.

Nodes tauschen Daten über das interne Netzwerk mit einem proprietären Unicast-Protokoll über InfiniBand aus. Jeder Node beinhaltet redundante InfiniBand-Ports, sodass Sie ein 2. internes Netzwerk hinzufügen können, falls das 1. Netzwerk ausfällt.

Clients erreichen das Cluster über 1-GigE- oder 10-GigE-Ethernetverbindungen. Da jeder Node Ethernetports umfasst, wird die Bandbreite des Clusters skaliert, wenn Leistungs- und Kapazitäts-Nodes hinzugefügt werden.

VORSICHT: Mit dem InfiniBand-Switch sollten nur Isilon-Nodes verbunden werden. Im Back-end-Netzwerk

ausgetauschte Informationen werden nicht verschlüsselt. Wenn Sie mit dem InfiniBand-Switch andere Nodes als Isilon-

Nodes verbinden, stellt dies ein Sicherheitsrisiko dar.

Isilon-ClusterEin Isilon-Cluster besteht aus 3 bis 144 Hardware-Nodes. Auf jedem Node wird das Isilon OneFS-Betriebssystem ausgeführt, die Software für verteilte Dateisysteme, durch die die Nodes in einem Cluster zusammengefasst werden. Die Speicherkapazität eines Clusters reicht von mindestens 18 TB bis maximal 50 PB.

ClusteradministrationOneFS zentralisiert das Clustermanagement über eine Webverwaltungsschnittstelle und eine Befehlszeilenoberfläche. Beide Schnittstellen bieten Methoden zum Aktivieren von Lizenzen, zur Prüfung des Status von Nodes, zum Konfigurieren des Clusters, zur Durchführung von Systemupgrades, zur Erzeugung von Warnmeldungen, zum Anzeigen von Clientverbindungen, zum Nachverfolgen der Performance und zum Ändern diverser Einstellungen.

Außerdem vereinfacht OneFS die Administration durch Automatisierung der Wartung mithilfe einer Job-Engine. Sie können Jobs planen, die Virenüberprüfungen durchführen, Festplatten auf Fehler überprüfen, Speicherplatz zurückgewinnen und die Integrität des Dateisystems überprüfen. Die Engine managt die Jobs so, dass die Auswirkungen auf die Performance des Clusters minimiert werden.

Die SNMP-Versionen 2c und 3 ermöglichen Ihnen das Remotemonitoring von Hardwarekomponenten, CPU-Auslastung, Switche und Netzwerkschnittstellen. Dell EMC Isilon bietet MIBs (Management Information Bases) und Traps für das OneFS-Betriebssystem.

OneFS beinhaltet zudem eine API (Application Programming Interface), die in 2 Funktionsbereiche unterteilt ist: Ein Bereich enthält Funktionen für die Konfiguration, das Management und das Monitoring des Clusters, der andere Vorgänge für Dateien und Verzeichnisse auf dem Cluster. Sie können die Anforderungen an die OneFS-API über eine REST-Schnittstelle (Representational State Transfer) senden, auf die über Ressourcen-URIs und Standard-HTTP-Methoden zugegriffen wird. Die API ist in der rollenbasierten OneFS-Zugriffskontrolle (RBAC) integriert, um die Sicherheit zu erhöhen. Siehe Isilon Platform API Reference.

Isilon-Scale-out-NAS 21

QuorumEin Isilon-Cluster muss über ein Quorum verfügen, damit er ordnungsgemäß funktioniert. Ein Quorum verhindert Datenkonflikte, beispielsweise in Konflikt stehende Versionen derselben Datei, falls zwei Node-Gruppen nicht mehr synchron sind. Wenn ein Cluster sein Quorum für Lese- und Schreibanforderungen verliert, können Sie nicht auf das OneFS-Dateisystem zugreifen.

Für ein Quorum muss mehr als die Hälfte der Nodes über das interne Netzwerk verfügbar sein. So benötigt ein Cluster mit sieben Nodes beispielsweise ein Quorum von vier Nodes. Für einen Cluster mit zehn Nodes ist ein Quorum von sechs Nodes erforderlich. Wenn ein Node über das interne Netzwerk nicht erreichbar ist, trennt OneFS den Node vom Cluster, was auch als Splitting bezeichnet wird. Nach dem Splitting eines Clusters werden Clustervorgänge fortgesetzt, solange genügend Nodes verbunden bleiben, um ein Quorum zu bilden.

In einem aufgeteilten Cluster werden die im Cluster verbleibenden Nodes als Mehrheitsgruppe bezeichnet. Nodes, die vom Cluster getrennt wurden, werden als Minderheitsgruppe bezeichnet.

Wenn getrennte Nodes erneut mit dem Cluster verbunden und mit den anderen Nodes synchronisiert werden, treten die Nodes wieder der Mehrheitsgruppe des Clusters bei. Dieser Vorgang wird als Zusammenführung bezeichnet.

Ein OneFS-Cluster enthält 2 Quorumeigenschaften:

• Lese-Quorum (efs.gmp.has_quorum)• Schreib-Quorum (efs.gmp.has_super_block_quorum)

Wenn Sie mit SSH eine Verbindung zu einem Node herstellen und das Befehlszeilentool sysctl als „Stamm“ ausführen, können Sie den Status beider Quorumtypen anzeigen. Hier ist ein Beispiel für einen Cluster, der ein Quorum für Lese- und Schreibvorgänge hat, was durch die Befehlsausgabe 1 für TRUE angezeigt wird:

sysctl efs.gmp.has_quorum efs.gmp.has_quorum: 1 sysctl efs.gmp.has_super_block_quorum efs.gmp.has_super_block_quorum: 1

Herunterstufungen von Nodes wie Smartfail, Schreibschutz, Offline usw. betreffen das Quorum auf verschiedene Art und Weise. Ein Node im Smartfail- oder schreibgeschützten Status hat nur Auswirkungen auf das Schreib-Quorum. Ein Node im Offlinestatus wirkt sich jedoch auf Lese- und Schreib-Quorum aus. In einem Cluster bestimmt die Kombination von Nodes in verschiedenen heruntergestuften Status, ob Lese- oder Schreibanforderungen oder beide Arten von Anforderungen funktionieren.

Ein Cluster kann das Schreib-Quorum verlieren, jedoch das Lese-Quorum beibehalten. Beispiel: ein Cluster mit vier Nodes, bei dem die Nodes 1 und 2 ordnungsgemäß funktionieren. Node 3 befindet sich in einem schreibgeschützten Status und Node 4 befindet sich in einem Smartfail-Status. In einem solchen Fall sind Leseanforderungen an das Cluster erfolgreich. Schreibanforderungen erhalten jedoch einen Ein-/Ausgabefehler, da der Status der Nodes 3 und 4 das Schreib-Quorum überwindet.

Ein Cluster kann ein Lese- und Schreib-Quorum auch ganz verlieren. Wenn die Nodes 3 und 4 in einem Cluster mit vier Nodes in einem Offlinestatus sind, erhalten sowohl Schreib- als auch Leseanforderungen einen Ein-/Ausgabefehler, sodass Sie nicht auf das Dateisystem zugreifen können. Wenn OneFS die Verbindung zu den Nodes erneut herstellen kann, führt OneFS die Nodes wieder im Cluster zusammen. Im Unterschied zu einem RAID-System kann ein Isilon-Node wieder dem Cluster beitreten, ohne neu erstellt und neu konfiguriert werden zu müssen.

Aufteilen und ZusammenführenDie Aufteilung und Zusammenführung optimiert die Nutzung von Nodes ohne Benutzereingriff.

OneFS überwacht jeden Node in einem Cluster. Wenn ein Node über das interne Netzwerk nicht erreichbar ist, trennt OneFS den Node vom Cluster, was auch als Splitting bezeichnet wird. Wenn das Cluster die Verbindung mit dem Node wiederherstellen kann, fügt OneFS den Node dem Cluster wieder hinzu, was auch als Zusammenführen bezeichnet wird.

Wenn ein Node von einem Clusters getrennt wird, erfasst er weiterhin lokale Eventinformationen. Sie können mit SSH eine Verbindung mit einem Split-Node herstellen und den Befehl isi event events list ausführen, um das lokale Eventprotokoll für den Node anzuzeigen. Das lokale Eventprotokoll kann Ihnen dabei helfen, das Verbindungsproblem zu beheben, das zur Aufteilung führte. Wenn ein Split-Node wieder dem Cluster beitritt, werden die lokalen Events, die während der Trennung erfasst wurden, gelöscht. Sie können die von einem Split-Node erzeugten Events weiterhin anzeigen, indem Sie die Eventprotokolldatei des Nodes unter /var/log/isi_celog_events.log öffnen.

Wenn ein Cluster während eines Schreibvorgangs aufgeteilt wird, muss OneFS möglicherweise Blöcke für die Datei auf der Seite mit dem Quorum neu zuweisen, wodurch zugewiesene Blöcke auf der Seite ohne Quorum verwaisen. Wenn die Split-Nodes die Verbindung mit dem Cluster wiederherstellen, werden die verwaisten Blöcke mit dem Systemjob OneFS Collect wieder zurückgewonnen.

In der Zwischenzeit, d. h. während der Aufteilung und Zusammenführung von Nodes mit dem Cluster, verteilt der AutoBalance-Job von OneFS die Daten gleichmäßig über Nodes im Cluster, um den Schutz zu optimieren und Speicherplatz zu sparen.


SpeicherpoolsSpeicherpools segmentieren Nodes und Dateien in logische Bereiche, um das Managen und Speichern von Daten zu vereinfachen.

Ein Speicherpool enthält Node-Pools und Tiers. Node-Pools gruppieren äquivalente Nodes, um Daten zu schützen und Zuverlässigkeit zu ermöglichen. Tiers kombinieren Node-Pools, um Speicher je nach Bedarf zu optimieren, beispielsweise ein häufig genutzter Highspeed-Tier oder ein Archiv, auf das selten zugegriffen wird.

Das SmartPools-Modul gruppiert Nodes und Dateien in Pools. Wenn Sie keine SmartPools-Lizenz aktivieren, stellt das Modul Node-Pools bereit und erstellt einen Dateipool. Wenn Sie die SmartPools-Lizenz aktivieren, stehen Ihnen mehr Funktionen zur Verfügung. Sie können z. B. mehrere Dateipools erstellen und diese mit Policies steuern. Die Policies verschieben Dateien, Verzeichnisse und Dateipools zwischen Node-Pools oder Tiers. Sie können auch festlegen, wie OneFS Schreibvorgänge verarbeitet, wenn ein Node-Pool oder Tier voll ist. SmartPools reserviert ein virtuelles Hot Spare, um Daten erneut zu schützen, falls ein Laufwerk ausfällt. Dies ist unabhängig davon, ob die SmartPools-Lizenz aktiviert ist.

Das OneFS-BetriebssystemOneFS ist ein verteiltes Betriebssystem, das auf FreeBSD basiert. Es stellt das Dateisystem eines Isilon-Clusters als einzige Freigabe oder einziger Export mit einer zentralen Administrationsstelle dar.

Das OneFS-Betriebssystem übernimmt folgende Aufgaben:

• Support gemeinsamer Datenzugriffsprotokolle wie SMB und NFS• Verbindung zu mehreren Identitätsmanagementsystemen wie Active Directory und LDAP• Authentifizierung von Benutzern und Gruppen• Steuerung des Zugriffs auf Verzeichnisse und Dateien

Umgebungen mit heterogenen DatenzugriffsprotokollenMit dem OneFS-Betriebssystem können Sie über mehrere Dateifreigabe- und Übertragungsprotokolle auf Daten zugreifen. Daher können Microsoft Windows-, UNIX-, Linux- und Mac OS X-Clients dieselben Verzeichnisse und Dateien gemeinsam nutzen.

Das Verzeichnis /ifs ist das Stammverzeichnis für alle Dateisystemdaten im Cluster und dient als SMB Share, NFS-Export und Dokumentstammverzeichnis. Sie können zusätzliche Shares und Exporte in der Verzeichnisstruktur /ifs erstellen. Sie können Ihr OneFS-Cluster so konfigurieren, dass nur SMB oder nur NFS oder beides verwendet wird. Sie können gleichfalls HTTP, FTP und SSH aktivieren.

Zugriffsrechte werden konsistent über Zugriffsprotokolle auf allen Sicherheitsmodellen durchgesetzt. Einem Benutzer werden die gleichen Rechte an einer Datei gewährt oder verweigert, unabhängig davon, ob er SMB oder NFS verwendet. Cluster, die auf OneFS ausgeführt werden, unterstützen globale Policy-Einstellungen, die es ermöglichen, die Standard-ACL und UNIX-Berechtigungseinstellungen anzupassen.

OneFS ist mit Standard-UNIX-Berechtigungen in der Dateistruktur konfiguriert. Mithilfe von Windows Explorer oder OneFS-Administrationstools können Sie jeder beliebigen Datei oder jedem Verzeichnis eine ACL zuordnen. Zusätzlich zu Windows-Domainbenutzern und -gruppen können ACLs in OneFS lokale, NIS- und LDAP-Benutzer und -Gruppen enthalten. Wenn einer Datei eine ACL zugeordnet ist, werden die Modusbits nicht mehr durchgesetzt und bestehen nur noch als Schätzung der tatsächlichen Berechtigungen.

ANMERKUNG: Es wird empfohlen, Berechtigungen für Zugriffskontrolllisten und UNIX nur dann zu konfigurieren, wenn

Sie eingehende Kenntnisse bezüglich ihrer Interaktion haben.

Informationen zu Datenzugriffsprotokollen finden Sie im OneFS 8.2.0-Webverwaltungshandbuch und im OneFS 8.2.0-CLI-Verwaltungshandbuch.

Identitätsmanagement und ZugriffskontrolleOneFS arbeitet mit mehreren Identitätsmanagementsystemen, um Benutzer zu authentifizieren und den Zugriff auf Dateien zu kontrollieren. Darüber hinaus bietet OneFS Zugriffszonen, mit denen Benutzer von verschiedenen Verzeichnisservices aus auf Grundlage ihrer IP-Adresse auf verschiedene Ressourcen zugreifen können. Die rollenbasierte Zugriffskontrolle (RBAC) segmentiert unterdessen den Administratorzugriff nach Rollen.

OneFS authentifiziert Benutzer mit den folgenden Identitätsmanagementsystemen:

• Microsoft Active Directory (AD)• Lightweight Directory Access Protocol (LDAP)• Network Information Service (NIS)


https://support.emc.com/docu93698



• Lokale Benutzer und lokale Gruppen• Ein Dateianbieter für Konten in den Dateien /etc/spwd.db und /etc/group. Mit dem Dateianbieter können Sie rechtliche

Benutzer- und Gruppeninformationen eines Drittanbieters hinzufügen.

Sie können Benutzer mit unterschiedlichen Identitätsmanagementsystemen managen. OneFS ordnet die Konten so zu, dass Windows- und UNIX-Identitäten kombiniert werden können. So wird beispielsweise ein in Active Directory gemanagtes Windows-Benutzerkonto einem entsprechenden UNIX-Konto in NIS oder LDAP zugeordnet.

Für die Zugriffskontrolle arbeitet ein Isilon-Cluster mit ACLs (Zugriffskontrolllisten) von Windows-Systemen und POSIX-Modusbits von UNIX-Systemen. Wenn OneFS die Berechtigungen einer Datei von ACLs zu Modusbits oder von Modusbits zu ACLs übertragen muss, führt OneFS die Berechtigungen zusammen, um konsistente Sicherheitseinstellungen aufrechtzuerhalten.

OneFS stellt protokollspezifische Ansichten von Berechtigungen zur Verfügung, sodass NFS-Exporte Modusbits anzeigen und SMB-Freigaben ACLs anzeigen. Sie können jedoch nicht nur Modusbits, sondern auch ACLs mit Standard-UNIX-Tools wie beispielsweise den Befehlen chmod und chown managen. Darüber hinaus können Sie mithilfe von ACL-Policies konfigurieren, wie OneFS Berechtigungen für Netzwerke managt, in denen Windows- und UNIX-Systeme kombiniert werden.

Zugriffszonen OneFS beinhaltet eine Zugriffszonenfunktion. Zugriffszonen ermöglichen Benutzern verschiedener Authentifizierungsanbieter, beispielsweise zweier nicht vertrauenswürdiger Active Directory-Domains, den Zugriff auf verschiedene OneFS-Ressourcen auf Grundlage einer eingehenden IP-Adresse. Eine Zugriffszone kann mehrere Authentifizierungsanbieter und SMB-Namespaces enthalten.

RBAC für die Administration

OneFS umfasst die rollenbasierte Zugriffskontrolle für die Administration. Anstelle eines Root- oder Administratorkontos können Sie mit RBAC den Administratorzugriff nach Rolle managen. Mithilfe einer Rolle werden Berechtigungen auf einen Administrationsbereich beschränkt. Sie können beispielsweise separate Administratorrollen für Sicherheit, Auditing, Speicher und Backup erstellen.

Struktur des DateisystemsOneFS stellt alle Nodes in einem Cluster als globalen Namespace, d. h. als Standarddateifreigabe /ifs dar.

Im Dateisystem sind Verzeichnisse Inode-Nummernlinks. Inodes enthalten Dateimetadaten und eine Inode-Nummer, die den Standort einer Datei identifiziert. OneFS weist Inodes dynamisch zu, wobei es hinsichtlich der Anzahl der Inodes keine Höchstgrenze gibt.

Für die Verteilung von Daten auf Nodes sendet OneFS Meldungen mit einer global weiterleitungsfähigen Blockadresse über das interne Netzwerk des Clusters. Die Blockadresse identifiziert den Node und das Laufwerk, auf dem der Datenblock gespeichert ist.

ANMERKUNG: Es wird empfohlen, keine Daten im Root-Dateipfad /ifs zu speichern, sondern in den Verzeichnissen

unter /ifs. Das Design Ihrer Datenspeicherstruktur sollte sorgfältig geplant werden. Eine gut durchdachte

Verzeichnisstruktur optimiert die Performance und die Administration des Clusters.

DatenlayoutOneFS verteilt Daten gleichmäßig auf die Nodes eines Clusters und nutzt dabei Layoutalgorithmen, mit denen Speichereffizienz und Performance maximiert werden. Das System weist Daten kontinuierlich neu zu, um Speicherplatz zu sparen.

OneFS teilt Daten in kleinere Abschnitte (sog. Blöcke) auf und das System platziert die Blöcke anschließend in einer Stripe-Einheit. Durch das Referenzieren von Dateidaten oder Löschcodes schützen Stripe-Einheiten Dateien vor Hardwarefehlern. Die Größe einer Stripe-Einheit ist abhängig von der Dateigröße, der Anzahl der Nodes und den Sicherheitseinstellungen. Nachdem OneFS die Daten in Stripe-Einheiten unterteilt hat, weist OneFS die Stripe-Einheiten den Nodes im Cluster zu.

Wenn ein Client eine Verbindung mit einem Node herstellt, finden die Lese- und Schreibvorgänge des Clients auf mehreren Nodes statt. Wenn ein Client beispielsweise eine Verbindung mit einem Node herstellt und eine Datei anfordert, ruft der Node die Daten von mehreren Nodes ab und baut die Datei erneut auf. Sie können das Datenlayout von OneFS optimieren, um Ihre wichtigsten Zugriffsmuster wie gleichzeitiges Streaming oder Zufallszugriff zu berücksichtigen.

Schreiben von DateienAuf einem Node werden die Ein-/Ausgabevorgänge des OneFS-Softwarestapels in zwei funktionale Layer aufgeteilt: einen obersten Layer (oder Initiator) und einen unteren Layer (oder Teilnehmer). Bei Lese- und Schreibvorgängen spielen der Initiator und der Teilnehmer verschiedene Rollen.

Wenn ein Client eine Datei auf einen Node schreibt, managt der Initiator auf dem Node das Layout der Datei auf dem Cluster. Zunächst teilt der Initiator die Datei in Blöcke von je 8 KB. Dann platziert der Initiator die Blöcke in eine oder mehrere Stripe-Einheiten. Bei 128 KB besteht eine Stripe-Einheit aus 16 Blöcken. Als Nächstes verteilt der Initiator die Stripe-Einheiten über das Cluster, bis sie eine


Clusterbreite umfassen und einen Stripe bilden. Die Breite des Stripe hängt von der Anzahl der Nodes und von den Sicherheitseinstellungen ab.

Nach Unterteilung einer Datei in Stripe-Einheiten schreibt der Initiator die Daten zuerst in den nicht-flüchtigen Arbeitsspeicher (NVRAM) und dann auf die Festplatte. Im NVRAM werden die Daten auch beim Ausschalten der Stromversorgung vorgehalten.

Während der Schreibtransaktion schützt der NVRAM die Daten durch Protokollierung vor fehlgeschlagenen Nodes: Wenn ein Node während einer Transaktion fehlschlägt, wird die Transaktion ohne den fehlgeschlagenen Node neu gestartet. Wenn der Node wieder funktionsfähig ist, wird das Protokoll vom NVRAM abgerufen, um die Transaktion zu beenden. Der Node führt gleichfalls den AutoBalance-Job aus, um das Festplatten-Striping der Datei zu überprüfen. Unterdessen werden die unbestätigten Schreibvorgänge, die im Cache warten, durch Spiegelung geschützt. Auf diese Weise eliminiert OneFS mehrere Points-of-Failure.

Lesen von DateienBei einem Lesevorgang tritt ein Node als ein Manager auf, um Daten aus den anderen Nodes zu erfassen und diese dem anfordernden Client zu präsentieren.

Da der kohärente Cache eines Isilon-Clusters alle Nodes umfasst, kann OneFS verschiedene Daten im RAM jedes Node speichern. Durch Verwendung des InfiniBand-Netzwerks kann ein Node File-basierte Daten vom Cache eines anderen Node schneller als vom eigenen lokalen Laufwerk abrufen. Wenn bei einem Lesevorgang Daten angefordert werden, die auf einem beliebigen Node zwischengespeichert sind, ruft OneFS die zwischengespeicherten Daten schnell ab, um die Anforderung zu erfüllen.

Des Weiteren führt OneFS für Dateien mit einem gleichzeitigen oder Streaming-Zugriffsmuster einen Pre-Fetch häufig benötigter Daten in den lokalen Cache des Manager-Node durch, um die Performance sequenzieller Lesevorgänge weiter zu verbessern.

MetadatenlayoutOneFS schützt Metadaten, indem diese über Nodes und Laufwerke verteilt werden.

Metadaten (z. B. Informationen darüber, wo eine Datei gespeichert ist, wie sie geschützt wird und wer auf sie zugreifen darf) werden in Inodes gespeichert und mit Sperren in einer B+-Struktur geschützt. Dies ist eine Standardstruktur zur Organisation von Datenblöcken in einem Dateisystem mit sofortigen Abfragen. OneFS repliziert Dateimetadaten im gesamten Cluster, sodass kein Single-Point-of-Failure vorliegt.

Durch Kooperation helfen alle Nodes beim Management des Zugriffs auf und der Sperrung von Metadaten. Wenn ein Node einen Fehler in Metadaten erkennt, sucht der Node die Metadaten an einem anderen Standort und korrigiert dann den Fehler.

Sperren und gleichzeitiger ZugriffOneFS enthält einen verteilten Sperrenmanager, der Sperren auf Daten auf allen Nodes in einem Cluster koordiniert.

Der Sperrenmanager gewährt Sperren für das Dateisystem, für Bytebereiche und Protokolle, einschließlich Modussperren für SMB-Freigaben und informativer NFS-Sperren. OneFS unterstützt außerdem SMB Opportunistic Locks.

Da OneFS den Sperrenmanager über alle Nodes verteilt, kann jeder Node als ein Sperrenkoordinator fungieren. Wenn der Thread eines Node eine Sperre anfordert, wird die Koordinatorrolle vom Hashing-Algorithmus des Sperrenmanagers in der Regel einem anderen Node zugewiesen. Der Koordinator weist abhängig von der Art der Anforderung eine gemeinsam genutzte Sperre oder eine exklusive Sperre zu. Mit einer gemeinsam genutzten Sperre können Benutzer eine Datei gleichzeitig gemeinsam nutzen, in der Regel für Lesevorgänge. Mit einer exklusiven Sperre kann nur ein Benutzer auf eine Datei zugreifen, in der Regel für Schreibvorgänge.

StripingIn einem Prozess, der als Striping bezeichnet wird, segmentiert OneFS Dateien in Dateneinheiten und verteilt die Einheiten anschließend auf Nodes in einem Cluster. Striping schützt Ihre Daten und verbessert die Clusterperformance.

Um eine Datei zu verteilen, reduziert OneFS diese auf Datenblöcke, ordnet die Blöcke in Stripe-Einheiten und weist die Stripe-Einheiten über das interne Netzwerk anschließend zu Nodes zu.

Gleichzeitig verteilt OneFS Löschcodes, die die Datei schützen. Die Löschcodes kodieren die Daten der Datei in einem verteilten Satz aus Symbolen und fügen platzsparende Redundanz hinzu. Mit nur einem Teil des Symbolsatzes kann OneFS die ursprünglichen File-basierten Daten wiederherstellen.

Gemeinsam bilden die Daten und ihre Redundanz eine Sicherheitsgruppe für eine Region von File-basierten Daten. OneFS speichert die Sicherheitsgruppen auf unterschiedlichen Laufwerken auf unterschiedlichen Nodes und erstellt auf diese Weise Daten-Stripes.

Da OneFS Daten auf alle Nodes verteilt, die als Peers zusammenarbeiten, kann ein Benutzer, der sich mit einem beliebigen Node verbindet, die gesamte Performance des Clusters nutzen.


Standardmäßig optimiert OneFS Striping für gleichzeitigen Zugriff. Wenn Ihr wichtigstes Zugriffsmuster das Streaming ist, d. h. niedrigerer gleichzeitiger Zugriff, höhere Single-Stream-Workloads, wie bei Videos, können Sie ändern, wie OneFS beim Layout der Daten vorgehen soll, um die Performance sequenzieller Lesevorgänge zu erhöhen. Für eine bessere Handhabung des Streaming-Zugriffs führt OneFS das Striping der Daten über mehrere Laufwerke durch. Das Streaming ist auf Clustern oder Subpools, die große Dateien bereitstellen, am effizientesten.

Datensicherheit – ÜbersichtEin Isilon-Cluster ist darauf ausgelegt, Daten selbst beim Ausfall von Komponenten bereitzustellen. Standardmäßig schützt OneFS Daten mit Löschcodes, wodurch Sie Dateien abrufen können, wenn ein Node oder eine Festplatte ausfällt. Als Alternative zu Löschcodes können Sie Daten auch mit zwei bis acht Spiegelungen schützen.

Wenn Sie ein Cluster mit fünf oder mehr Nodes erstellen, bieten Löschcodes eine bis zu 80 % höhere Effizienz. Bei größeren Clustern bieten Löschcodes bis zu vier Redundanzlevel.

Neben Löschcodes und Spiegelung umfasst OneFS die folgenden Funktionen, mit denen die Integrität, Verfügbarkeit und Vertraulichkeit von Daten geschützt werden:

Funktion Beschreibung

Virenschutz Mit OneFS können Dateien an Server gesendet werden, auf denen das ICAP (Internet Content Adaptation Protocol) ausgeführt wird, um auf Viren und andere Bedrohungen gescannt zu werden.

Clones Mit OneFS können Sie Clones erstellen, die Blöcke gemeinsam mit anderen Dateien nutzen, um Speicherplatz zu sparen.

NDMP-Backup und Wiederherstellung OneFS kann Daten über das NDMP (Network Data Management Protocol) auf Bandgeräte und andere Geräte sichern. OneFS unterstützt sowohl Drei-Wege- als auch bidirektionale Backups, wobei für bidirektionale Backups ein Isilon Backup Accelerator Node erforderlich ist.

Sicherheitsdomains Sie können Sicherheitsdomains auf Dateien und Verzeichnissen anwenden, um Änderungen zu verhindern.

Die folgenden Softwaremodule helfen ebenfalls, Daten zu schützen, wobei Sie für diese eine separate Lizenz aktivieren müssen:

Lizenzierte Funktion Beschreibung

SyncIQ SyncIQ repliziert Daten auf einem anderen Isilon-Cluster und automatisiert Failover- und Failback-Vorgänge zwischen Clustern. Wenn ein Cluster unbrauchbar wird, können Sie ein Failover zu einem anderen Isilon-Cluster durchführen.

SnapshotIQ Sie können Daten mit einem Snapshot schützen, d. h., mit einer logischen Kopie der Daten, die auf einem Cluster gespeichert sind.

SmartLock Das SmartLock-Tool verhindert das Ändern und Löschen von Dateien durch Benutzer. Sie können Dateien einen WORM-Status (Write-Once Read-Many) zuweisen. Die Datei kann dann nie geändert und erst nach Ablauf einer festgelegten Aufbewahrungsfrist gelöscht werden. SmartLock kann Ihnen dabei helfen, die Vorschrift 17a-4 der Securities and Exchange Commission einzuhalten.

N+M-DatensicherheitOneFS verwendet die Datenredundanz im gesamten Cluster zur Vermeidung von Datenverlust aufgrund von Laufwerks- oder Node-Ausfällen. Die Sicherheit ist in die Dateisystemstruktur integriert und kann sogar auf einzelne Dateien angewendet werden.

Die Sicherheit in OneFS basiert auf dem Reed-Solomon-Algorithmus, bei dem FEC (Forward Error Correction) verwendet wird. Mithilfe von FEC weist OneFS Daten in Segmenten von 128 KB zu. Für jedes N-Datensegment schreibt OneFS M-Schutz- oder Paritätssegmente. Jedes N+M-Segment, eine sogenannte „Schutzgruppe“, wird auf eine unabhängige Festplatte in einem unabhängigen Node geschrieben. Dieser Prozess wird als „Daten-Striping“ bezeichnet. Durch das Striping von Daten im gesamten Cluster kann OneFS Dateien wiederherstellen, falls Laufwerke oder Nodes ausfallen.


In OneFS unterscheiden sich die Konzepte von Schutz-Policy und Schutzlevel voneinander. Die Schutz-Policy ist die Schutzeinstellung, die Sie für Speicherpools in Ihrem Cluster angeben. Der Schutzlevel ist der tatsächliche Schutz, den OneFS für Daten basierend auf der Schutz-Policy und der tatsächlichen Anzahl von beschreibbaren Nodes erreicht.

Beispiel: Wenn Sie für ein Cluster mit drei Nodes eine Schutz-Policy von [+2d:1n] angeben, kann OneFS den Ausfall von zwei Laufwerken oder einem Node ohne Datenverlust tolerieren. Wenn Sie allerdings für dieses Cluster mit drei Nodes eine Schutz-Policy von [+4d:2n] angeben, kann OneFS keinen Schutzlevel erreichen, bei dem der Ausfall von vier Laufwerken oder zwei Nodes zulässig wäre. Dies liegt daran, dass N+M kleiner als oder gleich der Anzahl der Nodes im Cluster sein muss.

Standardmäßig wird von OneFS eine empfohlene Schutz-Policy basierend auf der Clusterkonfiguration berechnet und festgelegt. Mit der empfohlenen Schutz-Policy wird das optimale Verhältnis zwischen Datenintegrität und Speichereffizienz erreicht.

Sie können eine Schutz-Policy festlegen, die höher ist, als das Cluster unterstützen kann. In einem Cluster mit vier Nodes können Sie beispielsweise die Schutz-Policy auf [5x] festlegen. Allerdings würde OneFS die Daten bei 4x schützen, bis Sie einen fünften Node zum Cluster hinzufügen. Danach würde OneFS die Daten automatisch bei 5x erneut schützen.

DatenspiegelungSie können auf Laufwerken gespeicherte Daten durch Spiegelung schützen, wodurch Daten an mehrere Standorte kopiert werden. OneFS unterstützt zwei bis acht Spiegelungen. Sie können die Spiegelung anstelle von Löschcodes verwenden oder Löschcodes und Spiegelung miteinander kombinieren.

Die Spiegelung belegt jedoch mehr Speicherplatz als die Löschcodes. Bei einer dreifachen Datenspiegelung werden Daten dreimal dupliziert, wodurch mehr Speicherplatz als bei Löschcodes erforderlich ist. Daher eignet sich die Spiegelung für Transaktionen, die eine hohe Performance erfordern.

Sie können die Spiegelung auch mit Löschcodes mischen. Während eines Schreibvorgangs teilt OneFS Daten in redundante Sicherheitsgruppen auf. Für Dateien, die von Löschcodes geschützt werden, besteht eine Sicherheitsgruppe aus Datenblöcken und ihren Löschcodes. Für gespiegelte Dateien besteht eine Sicherheitsgruppe aus allen Spiegelungen einer Blockgruppe. OneFS kann den Sicherheitsgruppentyp während des Schreibvorgangs einer Datei auf ein Laufwerk wechseln. Durch die dynamische Änderung der Sicherheitsgruppe kann OneFS trotz eines Node-Ausfalls, durch den das Cluster keine Löschcodes anwenden kann, mit dem Schreiben der Daten fortfahren. Nachdem der Node wiederhergestellt wurde, konvertiert OneFS die gespiegelten Sicherheitsgruppen automatisch in Löschcodes.

Das DateisystemjournalEin Journal, das Dateisystemänderungen in einer akkugestützten NVRAM-Karte speichert, stellt das Dateisystem nach Ausfällen wie einem Stromausfall wieder her. Wenn ein Node neu gestartet wird, gibt das Journal die Dateitransaktionen erneut wieder, um das Dateisystem wiederherzustellen.

Virtueller Hot Spare (VHS)Wenn ein Laufwerk ausfällt, verwendet OneFS reservierten Speicher aus einem Subpool anstelle eines Hot-Spare-Laufwerks. Der reservierte Speicherplatz ist als virtueller Hot Spare bekannt.

Im Gegensatz zu einem Ersatzlaufwerk behebt ein virtueller Hot Spare Laufwerksausfälle automatisch und fährt mit den Datenschreibvorgängen fort. Wenn ein Laufwerk ausfällt, migriert OneFS Daten in den virtuellen Hot Spare, um diese erneut zu schützen. Sie können bis zu vier Laufwerke als virtuelle Hot Spares reservieren.

Ausgleich zwischen Schutz und SpeicherplatzSie können Sicherheitslevel festlegen, um einen Ausgleich zwischen Sicherheitsanforderungen und Speicherplatz zu schaffen.

Höhere Sicherheitslevel belegen in der Regel mehr Speicherplatz als niedrigere Level, weil ein Teil des Speicherplatzes zur Speicherung von Löschcodes verwendet wird. Der Overhead für Löschcodes hängt vom Sicherheitslevel, der Dateigröße und der Anzahl der Nodes im Cluster ab. Da OneFS Daten und Löschcodes über die Nodes verteilt, wird der Overhead geringer, wenn Sie Nodes hinzufügen.

VMware-IntegrationOneFS kann in verschiedene VMware-Produkte, einschließlich vSphere, vCenter und ESXi, integriert werden.

Beispielsweise funktioniert OneFS mit VASA (VMware vSphere API for Storage Awareness), sodass Sie Informationen über ein Isilon-Cluster in vSphere anzeigen können. OneFS funktioniert auch mit VAAI (VMware vSphere API for Array Integration), um die folgenden


Funktionen für Blockspeicher zu unterstützen: hardwaregestützte Sperren, vollständige Kopien und Block Zeroing. VAAI für NFS erfordert ein ESXi-Plug-in.

Über den Isilon Storage Replication Adapter kann OneFS in VMware vCenter Site Recovery Manager integriert werden, um virtuelle Maschinen wiederherzustellen, die zwischen Isilon-Clustern repliziert werden.

SoftwaremoduleSie können auf erweiterte Funktionen zugreifen, indem Sie Lizenzen für Dell EMC Isilon-Softwaremodule aktivieren.

SmartLock SmartLock schützt wichtige Daten vor schädlichen, versehentlichen oder vorzeitigen Änderungen oder Löschungen, sodass Sie die SEC 17a-4-Vorschriften einhalten können. Sie können Daten automatisch in einen manipulationssicheren Status versetzen und diese anschließend mit einer Complianceuhr aufbewahren.

HDFS OneFS arbeitet mit dem Hadoop Distributed File System-Protokoll, wodurch Clients, auf denen Apache Hadoop, ein Framework für datenintensive verteilte Anwendungen, ausgeführt wird, Big Data besser analysieren können.

Automatisiertes Failover und Failback mit SyncIQ

SyncIQ repliziert Daten auf einem anderen Isilon-Cluster und automatisiert Failover- und Failback-Vorgänge zwischen Clustern. Wenn ein Cluster unbrauchbar wird, können Sie ein Failover zu einem anderen Isilon-Cluster durchführen. Ein Failback stellt die ursprünglichen Quelldaten wieder her, sobald das primäre Cluster wieder verfügbar ist.

Sicherheitsverstärkung

Sicherheitsverstärkung ist der Prozess der Konfiguration Ihres Systems zur Reduzierung oder Eliminierung möglichst vieler Sicherheitsrisiken. Sie können eine Verstärkungs-Policy anwenden, die die Konfiguration von OneFS in Übereinstimmung mit den Policy-Richtlinien sichert.

SnapshotIQ SnapshotIQ schützt Daten mit einem Snapshot, einer logischen Kopie der Daten, die auf einem Cluster gespeichert sind. Ein Snapshot kann in seinem obersten Verzeichnis wiederhergestellt werden.

SmartDedupe Sie können die Redundanz auf einem Cluster reduzieren, indem Sie SmartDedupe ausführen. Durch eine Deduplizierung werden Links erstellt, die sich auf die Geschwindigkeit auswirken können, mit der Sie Dateien lesen und in diese schreiben können.

SmartPools SmartPools ermöglichen Ihnen die Erstellung mehrerer Dateipools, die von Dateipool-Policies gesteuert werden. Die Policies verschieben Dateien und Verzeichnisse zwischen Node-Pools oder Tiers. Sie können auch festlegen, wie OneFS Schreibvorgänge verarbeitet, wenn ein Node-Pool oder Tier voll ist.

CloudPools CloudPools beruht auf dem SmartPools-Policy-Framework und ermöglicht Ihnen, Daten in einem Cloudspeicher zu archivieren. So wird die Cloud im Grunde zu einem weiteren Storage Tier. CloudPools unterstützt Dell EMC Isilon, Dell EMC ECS-Appliance, Virtustream Storage Cloud, Amazon S3 und Microsoft Azure als Cloud-Speicheranbieter.

SmartConnect Advanced

Wenn Sie eine SmartConnect Advanced-Lizenz aktivieren, können Sie Policies aufeinander abstimmen und CPU-Auslastung, Clientverbindungen oder Durchsatz gleichmäßig verteilen. Sie können außerdem IP-Adressenpools festlegen, um mehrere DNS-Zonen in einem Subnetz zu unterstützen. Darüber hinaus unterstützt SmartConnect ein IP-Failover, auch bekannt als NFS-Failover.

InsightIQ Die virtuelle InsightIQ-Appliance überwacht und analysiert die Performance des Isilon-Clusters, wodurch Sie Speicherressourcen optimieren und Kapazität prognostizieren können.

SmartQuotas Das SmartQuotas-Modul verfolgt die Laufwerksnutzung mithilfe von Berichten und erzwingt Speichergrenzen mit Warnmeldungen.

Isilon Swift Isilon Swift ist ein Objektspeichergateway, das mit der OpenStack Swift 1.0-API kompatibel ist. Über Isilon Swift können Sie auf vorhandene filebasierte Daten zugreifen, die auf dem Dell EMC Isilon-Cluster als Objekte gespeichert sind. Die Swift-API wird als eine Sammlung von RESTful-Webservices über HTTP oder HTTPS implementiert. Da die Swift-API als Protokoll betrachtet wird, können Inhalte und Metadaten als Objekte aufgenommen werden, auf die über andere unterstützte Dell EMC Isilon-Protokolle gleichzeitig zugegriffen werden kann.


Allgemeine ClusteradministrationDieser Abschnitt enthält die folgenden Themen:

Themen:

• Allgemeine Clusteradministration – Überblick• Benutzeroberflächen• Verbinden mit dem Cluster• Lizenzierung• Zertifikate• Clusteridentität• Datum und Uhrzeit des Clusters• SMTP-E-Mail-Einstellungen• Konfigurieren des Beitrittsmodus des Clusters• Dateisystemeinstellungen• Sicherheitsverstärkung• Clusterüberwachung• Überwachen der Clusterhardware• Events und Warnmeldungen• Clusterwartung• Remotesupport

Allgemeine Clusteradministration – ÜberblickSie können allgemeine OneFS-Einstellungen und Modullizenzen für den Isilon-Cluster managen.

Das allgemeine Clustermanagement umfasst mehrere Bereiche. Sie können Folgendes tun:

• Managen allgemeiner Einstellungen wie Clusternamen, Datum und Uhrzeit sowie E-Mail• Überwachen von Clusterstatus und -performance, einschließlich Hardwarekomponenten• Konfigurieren der Handhabung von Ereignissen und Benachrichtigungen• Durchführen der Clusterwartung wie das Hinzufügen, Entfernen und Neustarten von Nodes

Die meisten Managementaufgaben können über die Webverwaltungsschnittstelle oder die Befehlszeilenoberfläche ausgeführt werden. Es gibt jedoch auch Aufgaben, die nur über eine der Schnittstellen ausgeführt werden können.

BenutzeroberflächenOneFS bietet mehrere Oberflächen zum Managen von Isilon-Clustern.

Interface Beschreibung Kommentar

OneFS-Webverwaltungsschnittstelle Die browserbasierte OneFS-Webverwaltungsschnittstelle bietet sicheren Zugriff mit OneFS-unterstützten Browsern. Verwenden Sie diese Schnittstelle, um robuste grafische Überwachungsanzeigen anzuzeigen und Clustermanagementaufgaben durchzuführen.

Die OneFS-Webverwaltungsschnittstelle verwendet Port 8080 als Standardport.

OneFS-Befehlszeilenoberfläche Führen Sie die isi-Befehle von OneFS über die Befehlszeilenoberfläche aus, um den Cluster zu konfigurieren, zu überwachen und zu managen. Der Zugriff

Die OneFS-Befehlszeilenoberfläche stellt einen erweiterten Standardsatz an UNIX-Befehlen für das Management des Clusters bereit.

3

Allgemeine Clusteradministration 29

Interface Beschreibung Kommentar

auf die Befehlszeilenoberfläche erfolgt über eine SSH-Verbindung (Secure Shell) zu einem beliebigen Node im Cluster.

OneFS API Die OneFS-API (Application Programming Interface) ist in zwei Funktionsbereiche unterteilt: Ein Bereich ermöglicht Funktionen für die Konfiguration, das Management und das Monitoring des Clusters, der andere Vorgänge für Dateien und Verzeichnisse auf dem Cluster. Sie können die Anforderungen an die OneFS-API über eine REST-Schnittstelle (Representational State Transfer) senden, auf die über Ressourcen-URIs und Standard-HTTP-Methoden zugegriffen wird.

Sie sollten ein solides Grundwissen über HTTP/1.1 und Erfahrung beim Schreiben von HTTP-basierter Clientsoftware haben, bevor Sie clientbasierte Software über die OneFS-API implementieren.

Vorderseite des Node Mit Ausnahme von Accelerator Nodes befindet sich auf der Vorderseite jedes Node ein LCD-Bildschirm mit fünf Tasten, mit denen Sie Node- und Clusterdetails überwachen können.

Node-Status, Events, Clusterdetails, Kapazität, IP- und MAC-Adressen, Durchsatz und Laufwerkstatus sind über die Vorderseite des Node verfügbar.

Verbinden mit dem ClusterDer Zugriff auf den Isilon-Cluster wird über die Webverwaltungsoberfläche oder über SSH bereitgestellt. Sie können eine serielle Verbindung verwenden, um Clusteradministrationsaufgaben über die Befehlszeilenoberfläche auszuführen.

Sie können auch über die Node-Vorderseite auf das Cluster zugreifen, um bestimmte Clustermanagementaufgaben auszuführen. Informationen zur Verbindung mit der Node-Vorderseite finden Sie in der Installationsdokumentation für Ihre Node.

Anmelden bei der WebverwaltungsschnittstelleSie können den Isilon-Cluster über die browserbasierte Webverwaltungsoberfläche überwachen und managen.

1. Öffnen Sie ein Browserfenster und geben Sie die URL für Ihr Cluster in das Adressfeld ein. Ersetzen Sie dabei <yourNodeIPaddress> durch die erste IP-Adresse, die Sie bei der Konfiguration von „ext-1“ in einem der folgenden Beispiele bereitgestellt haben:

IPv4 https://<yourNodeIPaddress>:8080IPv6 https://[<yourNodeIPaddress>]:8080

Das System zeigt eine Meldung an, wenn Ihre Sicherheitszertifikate nicht konfiguriert wurden. Beheben Sie alle Probleme mit Zertifikatkonfigurationen und wechseln Sie zur Website.

2. Melden Sie sich bei OneFS an, indem Sie Ihre OneFS-Anmeldedaten in die Felder Username und Password eingeben.

Nach der Anmeldung bei der Webverwaltungsschnittstelle gibt es ein 4-stündiges Anmelde-Timeout.

Öffnen einer SSH-Verbindung zu einem ClusterSie können einen beliebigen SSH-Client wie OpenSSH oder PuTTY verwenden, um eine Verbindung zu einem Isilon-Cluster herzustellen.

Sie müssen über gültige OneFS-Anmeldedaten verfügen, um sich bei einem Cluster anzumelden, nachdem die Verbindung hergestellt wurde.

1. Stellen Sie eine SSH-Verbindung (Secure Shell) zu einem beliebigen Node im Cluster her und verwenden Sie dabei die IP-Adresse des Node und die Portnummer 22.

2. Melden Sie sich mit Ihren OneFS-Anmeldedaten an.

Geben Sie einen der isi -Befehle in die OneFS-Befehlszeile ein, um den Cluster zu überwachen und zu managen.

30 Allgemeine Clusteradministration

LizenzierungDie gesamte Isilon-Software und -Hardware muss über Dell EMC Software Licensing Central (SLC) lizenziert sein.

Eine Übersicht über Ihre aktiven Lizenzen und die Clusterhardware ist in einer Lizenzdatei enthalten, die an zwei Speicherorten gespeichert ist: Eine Kopie der Lizenzdatei ist im SLC-Repository gespeichert, eine weitere Kopie der Lizenzdatei auf Ihrem Cluster. Die Lizenzdatei enthält eine Auflistung der folgenden Lizenztypen:

• OneFS• Zusätzliche Softwaremodule

Die Lizenzdatei auf Ihrem Cluster und die Lizenzdatei im SLC-Repository müssen mit Ihrer installierten Hardware und Software übereinstimmen. Aus diesem Grund müssen Sie eine Anforderung zur Aktualisierung Ihrer Lizenzdatei bei folgenden Aktionen einreichen:

• Wenn Sie zum ersten Mal ein Upgrade auf OneFS 8.1 oder höher durchführen• Wenn Sie neue Hardware hinzufügen oder für die vorhandene Hardware in Ihrem Cluster ein Upgrade durchführen• Wenn Sie ein optionales Softwaremodul aktivieren müssen

Um eine Änderung Ihrer Lizenzdatei anzufordern, müssen Sie eine Datei erstellen, die eine aktualisierte Liste der erforderlichen Hardware- und Softwarelizenzen enthält, und sie an Dell EMC Software Licensing Central (SLC) senden. Sie können diese Datei, die sogenannte Aktivierungsdatei, über die OneFS-Schnittstelle erstellen.

Erstellen Sie zunächst eine Aktivierungsdatei und senden Sie die Datei an Dell EMC Software Licensing Central (SLC). Sie erhalten eine Lizenzdatei von SLC, die Sie in den Cluster hochladen. Dann wird eine Lizenz erstellt.

SoftwarelizenzenIhre OneFS-Lizenz und die optionalen Softwaremodullizenzen sind in der Lizenzdatei auf dem Cluster enthalten und müssen mit Ihrem Lizenzdatensatz im Dell EMC Software Licensing Central-Repository (SLC-Repository) übereinstimmen.

Sie müssen dafür sorgen, dass die Lizenzdatei auf Ihrem Cluster und die Lizenzdatei im SLC-Repository mit Ihrer aktualisierten OneFS-Version übereinstimmen.

Wenn Sie Lizenzen für die folgenden OneFS-Softwaremodule aktivieren, sind erweiterte Clusterfunktionen verfügbar:

• CloudPools• Sicherheitsverstärkung• HDFS• Isilon Swift• SmartConnect Advanced• SmartDedupe• SmartLock• SmartPools• SmartQuotas• SnapshotIQ• SyncIQ

Weitere Informationen zu optionalen Softwaremodulen erhalten Sie von Ihrem Isilon-Vertriebsmitarbeiter.

Hardware-TiersDie Lizenzdatei enthält Informationen zur Isilon-Hardware, die im Cluster verwendet wird.

Nodes werden in der Lizenzdatei nach Tiers aufgelistet. Nodes werden in einem Tier gemäß ihrem Rechnerperformancelevel, ihrer Kapazität und ihrem Laufwerktyp angeordnet.

ANMERKUNG: Die Lizenzdatei enthält Einzelposten für jeden Node im Cluster. Hardware vor der 6. Generation ist im

OneFS-Lizenzierungsmodell jedoch nicht enthalten.

LizenzstatusDer Status einer OneFS-Lizenz gibt an, ob die Lizenzdatei auf Ihrem Cluster Ihre aktuelle Version von OneFS widerspiegelt. Der Status einer OneFS-Modullizenz gibt an, ob die von einem Modul bereitgestellten Funktionen auf dem Cluster verfügbar sind.

Lizenzen können einen der folgenden Status haben:


Status Beschreibung

Ohne Vorzeichen Die Lizenz wurde nicht in Dell EMC Software Licensing Central (SLC) aktualisiert. Sie müssen eine Aktivierungsdatei erzeugen und absenden, um Ihre Lizenzdatei mit Ihrer neuen Version von OneFS zu aktualisieren.

Inactive Die Lizenz ist nicht auf dem Cluster aktiviert. Sie können nicht auf die Funktionen zugreifen, die vom entsprechenden Modul bereitgestellt werden.

Evaluation Die Lizenz ist vorübergehend auf dem Cluster aktiviert. Sie können 90 Tage lang auf die Funktionen zugreifen, die vom entsprechenden Modul bereitgestellt werden.

Aktiviert Die Lizenz ist auf dem Cluster aktiviert. Sie können auf die Funktionen zugreifen, die vom entsprechenden Modul bereitgestellt werden.

Abgelaufen Die Lizenz auf dem Cluster ist abgelaufen. Nach Ablauf der Lizenz müssen Sie eine Aktivierungsdatei erzeugen und absenden, um Ihre Lizenzdatei zu aktualisieren.

Anzeigen von LizenzinformationenSie können Informationen zum aktuellen Status der OneFS- und Hardware-Lizenzen sowie der Lizenzen für die optionalen Isilon-Softwaremodule anzeigen.

• Klicken Sie auf Cluster Management > Licensing.

Sie können Informationen zu Lizenzen, einschließlich Status und Ablaufdatum überprüfen.

Informationen zu OneFS-Lizenzen finden Sie im Bereich OneFS cluster license overview.

Informationen zu optionalen Softwaremodulen finden Sie im Bereich Software licenses overview.• Aktive Warnungen zu Ihren Lizenzen können Sie anzeigen, indem Sie auf der Seite Cluster Management > Licensing oben in der

Ecke auf Alerts about licenses klicken.

Hinzufügen und Entfernen von LizenzenSie können Ihre Lizenzdatei aktualisieren, indem Sie eine Aktivierungsdatei erstellen, die Aktivierungsdatei an Dell EMC Software Licensing Central (SLC) senden und dann die aktualisierte Lizenzdatei auf Ihren Cluster hochladen.

Sie können Lizenzen zu Ihrer Lizenzdatei hinzufügen oder aus dieser entfernen, indem Sie eine Aktivierungsdatei an SLC senden.

Sie müssen Ihre Lizenzdatei nach den folgenden Aktionen aktualisieren:

• Hinzufügen oder Entfernen von Hardware• Hinzufügen oder Entfernen von optionalen Softwaremodulen

Erzeugen einer Aktivierungsdatei für eine LizenzUm die Lizenzdatei zu aktualisieren, erzeugen Sie eine Lizenzaktivierungsdatei und senden Sie sie an Dell EMC Software Licensing Central (SLC).

1. Klicken Sie auf Cluster Management > Licensing.

2. Klicken Sie im Bereich OneFS License Management auf Open Activation File Wizard.

3. Klicken Sie auf die Kontrollkästchen neben den Softwaremodulen, um den Inhalt der Aktivierungsdatei auszuwählen oder die Auswahl aufzuheben.

Bereits ausgewählte Module sind derzeit in der Lizenzdatei enthalten. Sie können die Auswahl für ein Modul aufheben, um die Lizenz zu entfernen.

Um Änderungen, die Sie an der Liste vorgenommen haben, rückgängig zu machen, klicken Sie unten auf der Seite auf Revert changes.

4. Klicken Sie auf Review Changes.

5. Überprüfen Sie die Änderungen, die Sie an der Aktivierungsdatei vornehmen möchten.

Der Bereich Contents of activation file enthält eine Liste aller Lizenzen, die in der Aktivierungsdatei enthalten sind.


Auf dieser Seite werden zudem Lizenzen aufgelistet, die aus der Aktivierungsdatei entfernt werden sollen, sowie Lizenzen, die hinzugefügt werden sollen.

6. Klicken Sie auf Create file.

7. Überprüfen Sie den gesamten Inhalt der Aktivierungsdatei.

Auf dieser Übersichtsseite werden außerdem Ihre OneFS-Lizenz und eine Übersicht über die Hardware-Tiers angezeigt.

8. Klicken Sie auf Accept.

9. Klicken Sie auf Download activation file.

Speichern Sie die Aktivierungsdatei auf dem lokalen Rechner.

10. Klicken Sie auf Complete process.Da sich nun eine Kopie der Aktivierungsdatei auf dem lokalen Rechner befindet, können Sie die Datei an Dell EMC Software Licensing Central (SLC) senden.

Senden einer Aktivierungsdatei für eine Lizenz an SLCNachdem Sie eine Aktivierungsdatei in OneFS erzeugt haben, senden Sie die Aktivierungsdatei an Dell EMC Software Licensing Central (SLC), um eine signierte Lizenzdatei für den Cluster zu erhalten.

Bevor Sie Ihre Aktivierungsdatei an SLC senden, müssen Sie die Aktivierungsdatei über OneFS erzeugen und auf Ihrem lokalen Rechner speichern.

1. Navigieren Sie auf Ihrem lokalen, mit dem Internet verbundenen System zu Dell EMC Software Licensing Central (SLC).

2. Melden Sie sich mit Ihren Dell EMC Anmeldedaten beim System an.

3. Klicken Sie oben auf der Seite auf ACTIVATE.Ein Menü mit 2 Optionen wird angezeigt: Activate und Activate by File.

4. Klicken Sie auf Activate by File.Die Seite zum Hochladen der Aktivierungsdatei wird angezeigt.

5. Vergewissern Sie sich, dass der Name Ihres Unternehmens neben „Company“ aufgeführt ist.

Wenn der Name Ihres Unternehmens nicht angezeigt wird, klicken Sie auf Select a Company und suchen Sie anhand des Unternehmensnamens und der Unternehmens-ID nach dem Unternehmen.

6. Klicken Sie auf Upload.

7. Machen Sie die Aktivierungsdatei auf dem lokalen Computer ausfindig und klicken Sie auf Open.

Dies ist eine XML-Datei. Die Datei wurde ursprünglich mit dem Namen activation.xml erzeugt, Sie haben sie jedoch möglicherweise unter einem anderen Namen gespeichert.

8. Klicken Sie auf die Schaltfläche Start the Activation Process.Die Seite „Apply License Authorization Code (LAC)“ (Lizenzautorisierungscode (LAC) anwenden) wird angezeigt.

9. Vergewissern Sie sich, dass in der Tabelle „Missing Product & Quantities Summary“ ein grünes Häkchen in der Spalte ganz rechts angezeigt wird.Sollte in einer Zeile kein grünes Häkchen in dieser Spalte angezeigt werden, können Sie nach einem anderen LAC suchen, indem Sie auf die Schaltfläche Search klicken und einen anderen verfügbaren LAC auswählen.

10. Klicken Sie auf die Schaltfläche Next: Review.

11. Klicken Sie auf die Schaltfläche Activate.Wenn die signierte Lizenzdatei verfügbar ist, erhalten Sie sie von SLC als E-Mail-Anhang.

ANMERKUNG: Ihre signierte Lizenzdatei ist möglicherweise nicht sofort verfügbar.

Die signierte Lizenzdatei ist eine XML-Datei mit einem Namen im folgenden Format:

ISLN_nnn_date.xml

Beispiel: ISLN_15002_13-Feb-2019.xml12. Laden Sie die signierte Lizenzdatei auf den lokalen Rechner in ein Verzeichnis herunter, in dem Sie sie bei Bedarf wiederfinden.

Speichern Sie sie auf dem lokalen Rechner beispielsweise in /ifs.

Hochladen der aktualisierten LizenzdateiNachdem Sie eine aktualisierte Lizenzdatei von Dell EMC Software Licensing Central (SLC) erhalten haben, laden Sie die aktualisierte Datei auf den Cluster hoch.


2. Klicken Sie im Bereich Upload and activate a signed license file auf Browse und wählen Sie Ihre signierte Lizenzdatei aus.


https://licensing.emc.com/

3. Klicken Sie auf Upload and Activate.

Aktivieren von TestlizenzenSie können eine Testlizenz aktivieren, mit der Sie ein optionales Softwaremodul 90 Tage lang bewerten können.

Aktivieren einer TestlizenzSie können eine Testlizenz aktivieren, um ein OneFS-Softwaremodul 90 Tage lang zu bewerten.


2. Klicken Sie im Bereich Manage trial versions of software modules auf Manage Trials.

3. Klicken Sie auf das Kontrollkästchen neben den Softwaremodulen, die Sie bewerten möchten.

4. Klicken Sie auf Start Trial.

ZertifikateDie gesamte Kommunikation der OneFS-API, einschließlich der Kommunikation über die Webverwaltungsoberfläche, erfolgt über TLS (Transport Layer Security). Sie können das TLS-Zertifikat für die OneFS-Webverwaltungsoberfläche erneuern oder es durch das TLS-Zertifikat eines Drittanbieters ersetzen.

Um ein TLS-Zertifikat zu ersetzen oder zu erneuern, müssen Sie als Stammbenutzer angemeldet sein.

ANMERKUNG: OneFS verwendet standardmäßig die für die Clientanforderung am besten unterstützte Version von TLS.

Ersetzen oder Erneuern des TLS-ZertifikatsDas TLS-Zertifikat (Transport Layer Security) wird verwendet, um über einen Browser auf das Cluster zugreifen. Das Cluster enthält zu diesem Zweck zunächst ein selbstsigniertes Zertifikat. Sie können weiterhin das vorhandene selbstsignierte Zertifikat verwenden oder dieses durch ein Zertifikat ersetzen, das von einem Drittanbieter ausgestellt wurde.

Wenn Sie das selbstsignierte Zertifikat weiterhin verwenden, müssen Sie es bei Ablauf durch eines der folgenden ersetzen:

• Ein von einem (öffentlichen oder privaten) Drittanbieter ausgestelltes Zertifikat• Ein anderes selbstsigniertes Zertifikat, das auf dem Cluster erzeugt wird

Die folgenden Ordner sind die Standardpositionen für die server.crt- und server.key-Dateien.

• TLS-Zertifikat: /usr/local/apache2/conf/ssl.crt/server.crt• TLS-Zertifikatschlüssel: /usr/local/apache2/conf/ssl.key/server.key

Ersetzen eines TLS-Zertifikats durch ein von einem Drittanbieter ausgestelltes ZertifikatIm folgenden Verfahren wird beschrieben, wie Sie das vorhandene TLS-Zertifikat durch ein von einer Zertifizierungsstelle (öffentlich oder privat) ausgestelltes Zertifikat eines Drittanbieters ersetzen.

Wenn Sie ein TLS-Zertifikat von einer Zertifizierungsstelle anfordern, müssen Sie Informationen zu Ihrem Unternehmen bereitstellen. Es ist ratsam, diese Informationen im Voraus zu ermitteln, bevor Sie den Prozess beginnen. Im Abschnitt Datenbeispiel für TLS-Zertifikat in diesem Kapitel finden Sie Einzelheiten und Beispiele zu den erforderlichen Informationen.

ANMERKUNG: Für dieses Verfahren müssen Sie den Service „isi_webui“ neu starten, der die

Webverwaltungsschnittstelle neu startet. Aus diesem Grund wird empfohlen, dass Sie die folgenden Schritte während

einer geplanten Wartung ausführen.

1. Öffnen Sie eine SSH-Verbindung (Secure Shell) zu einem beliebigen Node im Cluster und melden Sie sich als Root an.

2. Erstellen Sie ein Backup-Verzeichnis, indem Sie den folgenden Befehl ausführen:

mkdir /ifs/data/backup/

3. Setzen Sie die Berechtigungen für das Backup-Verzeichnis auf 700:

chmod 700 /ifs/data/backup


4. Erstellen Sie Backup-Kopien der vorhandenen server.crt- und server.key-Dateien, indem Sie die folgenden 2 Befehle ausführen:

cp /usr/local/apache2/conf/ssl.crt/server.crt \/ifs/data/backup/server.crt.bak

cp /usr/local/apache2/conf/ssl.key/server.key \/ifs/data/backup/server.crt.bak

ANMERKUNG: Wenn Dateien mit demselben Namen im Backup-Verzeichnis vorhanden sind, überschreiben Sie die

vorhandenen Dateien oder benennen Sie die neuen Dateien mit einem Zeitstempel oder einer anderen Kennung, um

die alten Backups zu speichern.

5. Erstellen Sie ein Arbeitsverzeichnis zum Zwischenspeichern der Dateien, während Sie das folgende Verfahren abschließen:

mkdir /ifs/local

6. Setzen Sie die Berechtigungen für das Arbeitsverzeichnis auf 700:

chmod 700 /ifs/local

7. Wechseln Sie zum Arbeitsverzeichnis:

cd /ifs/local

8. Erzeugen Sie eine neue CSR (Certificate Signing Request) und einen neuen Schlüssel, indem Sie den folgenden Befehl ausführen, wobei <common-name> ein Name ist, den Sie zuweisen. Dieser Name steht für die neuen .key- und .csr-Dateien, während Sie mit ihnen in diesem Verfahren arbeiten. Schließlich benennen Sie die Dateien um, kopieren sie wieder an den Standardspeicherort und löschen die Dateien mit <common-name>. Obwohl Sie für <common-name> einen beliebigen Namen auswählen können, wird empfohlen, dass Sie den Namen verwenden, den Sie als allgemeinen Namen für das neue TLS-Zertifikat eingeben möchten (z. B. den vollständig qualifizierten Domainnamen des Servers oder den Servernamen wie z. B.isilon.example.com). So können Sie die neuen Dateien von den Originaldateien unterscheiden.

openssl req -new -nodes -newkey rsa:1024 -keyout \<common-name>.key -out <common-name>.csr

9. Wenn Sie dazu aufgefordert werden, geben Sie die Informationen ein, die in der Zertifikatanforderung enthalten sein sollen.Wenn Sie die Informationen eingegeben haben, werden die Dateien <common-name>.csr und <common-name>.key im Verzeichnis /ifs/local angezeigt.

10. Senden Sie den Inhalt der Datei <common-name>.csr aus dem Cluster zur Signierung an Ihre Zertifizierungsstelle.

11. Wenn Sie das signierte Zertifikat (das jetzt eine .crt-Datei ist) von der Zertifizierungsstelle erhalten, kopieren Sie das Zertifikat und speichern Sie es unter /ifs/local/<common-name>.crt (wobei <common-name> der Name ist, den Sie zuvor zugewiesen haben).

12. Optional: Um die Attribute des TLS-Zertifikats zu prüfen, führen Sie den folgenden Befehl aus, wobei <common-name> der Name ist, den Sie zuvor zugewiesen haben:

openssl x509 -text -noout -in <common-name>.crt

13. Führen Sie die folgenden 5 Befehle aus, um das Zertifikat und den Schlüssel zu installieren, und starten Sie den Service „isi_webui“ neu. Ersetzen Sie <common-name> in den Befehlen durch den Namen, den Sie zuvor zugewiesen haben.

isi services -a isi_webui disable

chmod 640 <common name>.key

isi_for_array -s 'cp /ifs/local/<common-name>.key \/usr/local/apache2/conf/ssl.key/server.key'

isi_for_array -s 'cp /ifs/local/<common-name>.crt \/usr/local/apache2/conf/ssl.crt/server.crt'

isi services -a isi_webui enable


14. Stellen Sie sicher, dass die Installation erfolgreich war. Anweisungen hierzu finden Sie im Abschnitt Überprüfen einer SSL-Zertifikataktualisierung dieses Handbuchs.

15. Löschen Sie die temporären Arbeitsdateien aus dem Verzeichnis /ifs/local:

rm /ifs/local/<common-name>.csr \/ifs/local/<common-name>.key /ifs/local/<common-name>.crt

16. (Optional) Löschen Sie die Backup-Dateien aus dem Verzeichnis /ifs/data/backup:

rm /ifs/data/backup/server.crt.bak \/ifs/data/backup/server.key.bak

Erneuern des selbstsignierten TLS-ZertifikatsIn diesem Verfahren wird beschrieben, wie Sie ein abgelaufenes, selbstsigniertes TLS-Zertifikat ersetzen, indem Sie ein neues Zertifikat erstellen, das auf dem (im Bestand) vorhandenen Serverschlüssel basiert.

Wenn Sie ein selbstsigniertes Zertifikat erzeugen, müssen Sie Informationen zu Ihrem Unternehmen bereitstellen. Es ist ratsam, diese Informationen vorab zu bestimmen, bevor Sie mit dem Prozess beginnen. Details zu den und Beispiele für die erforderlichen Informationen finden Sie im Abschnitt Datenbeispiel für TLS-Zertifikat in diesem Kapitel.

ANMERKUNG: Für dieses Verfahren müssen Sie den Service „isi_webui“ neu starten, der die

Webverwaltungsschnittstelle neu startet. Aus diesem Grund wird empfohlen, dass Sie die folgenden Schritte während

einer geplanten Wartung ausführen.


2. Erstellen Sie ein Backup des ursprünglichen Verzeichnisses, indem Sie den folgenden Befehl ausführen:

mkdir /ifs/data/backup/

3. Setzen Sie die Berechtigungen für das Backupverzeichnis auf 700:

chmod 700 /ifs/data/backup

4. Erstellen Sie Backupkopien der vorhandenen Dateien server.crt und server.key, indem Sie die folgenden beiden Befehle ausführen:

cp /usr/local/apache2/conf/ssl.crt/server.crt \/ifs/data/backup.bak

cp /usr/local/apache2/conf/ssl.key/server.key \/ifs/data/backup.bak

ANMERKUNG: Wenn im Backupverzeichnis Dateien mit demselben Namen vorhanden sind, überschreiben Sie

entweder die vorhandenen Dateien oder benennen Sie zum Speichern der alten Backups die neuen Dateien mit einem

Zeitstempel oder einer anderen Kennung um.

5. Erstellen Sie ein Arbeitsverzeichnis zum Zwischenspeichern der Dateien, während Sie das folgende Verfahren abschließen:

mkdir /ifs/local/

6. Setzen Sie die Berechtigungen für das Arbeitsverzeichnis auf 700:

chmod 700 /ifs/local

7. Wechseln Sie in das Arbeitsverzeichnis:

cd /ifs/local/


8. Führen Sie in der Befehlszeile die folgenden 2 Befehle aus, um ein Zertifikat zu erstellen, das nach 2 Jahren (730 Tagen) abläuft: Erhöhen oder verringern Sie den Wert für -days, um ein Zertifikat mit einem anderen Ablaufdatum zu erzeugen.

cp /usr/local/apache2/conf/ssl.key/server.key ./

openssl req -new -days 730 -nodes -x509 -key \server.key -out server.crt

ANMERKUNG: Der Wert „-x509“ ist ein Zertifikatformat.

9. Geben Sie bei entsprechender Aufforderung die Informationen ein, die in die Zertifikatanforderung aufgenommen werden sollen.Wenn Sie die Eingabe der Informationen abgeschlossen haben, wird ein Verlängerungszertifikat basierend auf dem (im Bestand) vorhandenen Serverschlüssel erstellt. Das Verlängerungszertifikat wird mit server.crt benannt und im Verzeichnis /ifs/local abgelegt.

10. Optional: Um die Attribute in einem TLS-Zertifikat zu überprüfen, führen Sie den folgenden Befehl aus.

openssl x509 -text -noout -in server.crt

11. Führen Sie die folgenden 5 Befehle aus, um das Zertifikat und den Schlüssel zu installieren, und starten Sie den Service „isi_webui“ neu:

isi services -a isi_webui disable

chmod 640 server.key

isi_for_array -s 'cp /ifs/local/server.key \/usr/local/apache2/conf/ssl.key/server.key'

isi_for_array -s 'cp /ifs/local/server.crt \/usr/local/apache2/conf/ssl.crt/server.crt'

isi services -a isi_webui enable

12. Überprüfen Sie, ob die Installation erfolgreich war. Anweisungen hierzu finden Sie im Abschnitt Überprüfen der Aktualisierung eines TLS-Zertifikats dieses Handbuchs.

13. Löschen Sie die temporären Arbeitsdateien aus dem Verzeichnis /ifs/local:

rm /ifs/local/<common-name>.csr \/ifs/local/<common-name>.key /ifs/local/<common-name>.crt

14. (Optional) Löschen Sie die Backupdateien aus dem Verzeichnis /ifs/data/backup:

rm /ifs/data/backup/server.crt.bak \/ifs/data/backup/server.key.bak

Überprüfen der Aktualisierung eines TLS-ZertifikatsSie können die Details überprüfen, die in einem TLS-Zertifikat (Transport Layer Security) gespeichert werden.

1. Öffnen Sie ein Fenster in Ihrem Webbrowser.

2. Navigieren Sie zu https://<common name>:8080, wobei <common name> der Hostname für die OneFS-Webverwaltungsoberfläche ist, z. B. isilon.example.com.

3. Überprüfen Sie in den Sicherheitsdetails für die Webseite, ob der Aussteller, die Gültigkeitsdaten und der Antragsteller korrekt sind.

ANMERKUNG: Die Schritte zur Anzeige der Sicherheitsdetails variieren je nach Browser. In einigen Browsern können

Sie beispielsweise in der Adressleiste auf das Schlosssymbol klicken, um die Sicherheitsdetails anzuzeigen. Führen

Sie die für den Browser spezifischen Schritte aus.


Datenbeispiel für TLS-ZertifikatBei der Erneuerung oder beim Austausch eines TLS-Zertifikats müssen Sie Daten wie Ihren vollständig qualifizierten Domainnamen und eine E-Mail-Kontaktadresse bereitstellen.

Wenn Sie ein TLS-Zertifikat erneuern oder ersetzen, werden Sie dazu aufgefordert, Daten in dem in folgendem Beispiel gezeigten Format bereitzustellen:

You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:WashingtonLocality Name (eg, city) []:SeattleOrganization Name (eg, company) [Internet Widgits Pty Ltd]:CompanyOrganizational Unit Name (eg, section) []:System AdministrationCommon Name (e.g. server FQDN or YOUR name) []:localhost.example.orgEmail Address []:[email protected]

Wenn Sie darüber hinaus ein von einem Drittanbieter ausgestelltes Zertifikat anfordern, sollten Sie die im folgenden Beispiel dargestellten zusätzlichen Attribute einschließen:

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:passwordAn optional company name []:Another Name

ClusteridentitätFür ein Isilon-Cluster können Sie Identitätsattribute festlegen.

Clustername Der Clustername wird auf der Anmeldeseite angezeigt und dient dazu, das Cluster und dessen Nodes einfacher in Ihrem Netzwerk erkennen zu können. Jeder Node im Cluster wird durch den Clusternamen und die Node-Nummer identifiziert. So kann beispielsweise der erste Node in einem Cluster mit dem Namen „Image“ den Namen „Images-1“ erhalten.

Clusterbeschreibung

Die Clusterbeschreibung wird unter dem Clusternamen auf der Anmeldeseite angezeigt. Die Clusterbeschreibung ist nützlich, wenn Ihre Umgebung über mehrere Cluster verfügt.

Anmeldenachricht Die Anmeldenachricht wird als ein separates Feld auf der Anmeldeseite der OneFS-Webverwaltungsoberfläche oder als eine Textzeile unter dem Clusternamen in der OneFS-Befehlszeilenoberfläche angezeigt. Die Anmeldenachricht kann Clusterinformationen, Anmeldeanweisungen oder Warnungen enthalten, die ein Benutzer kennen sollte, bevor er sich beim Cluster anmeldet. Diese Informationen legen Sie auf der Seite Cluster Identity der OneFS-Webverwaltungsoberfläche fest.

Festlegen des Clusternamens und von KontaktinformationenSie können einen Namen, eine Beschreibung, eine Anmeldemeldung und Kontaktinformationen für den Isilon-Cluster festlegen.

Clusternamen müssen mit einem Buchstaben beginnen und dürfen nur Ziffern, Buchstaben und Bindestriche enthalten. Wenn das Cluster mit einer Active Directory-Domain verbunden ist, darf der Clustername maximal elf Zeichen lang sein.

1. Klicken Sie auf Cluster Management > General Settings > Cluster Identity.

2. Optional: Geben Sie im Bereich Cluster Identity in das Feld Cluster Name einen Namen und in das Feld Cluster Description eine Beschreibung für den Cluster ein.

3. Optional: Geben Sie im Bereich Login Message im Feld Message Title einen Titel und im Feld Message Body eine Nachricht ein.

4. Geben Sie im Bereich Kontaktinformationen den Namen und Speicherort Ihres Unternehmens ein.

5. Geben Sie im Bereich Primary Administrator Information Name, Telefonnummern und E-Mail-Adresse des primären OneFS-Administrators für den Cluster ein.


6. Geben Sie im Bereich Secondary Administrator Information Name, Telefonnummern und E-Mail-Adresse des sekundären OneFS-Administrators für den Cluster ein.

7. Klicken Sie auf Save Changes.

Sie müssen den Clusternamen den DNS-Servern hinzufügen.

Datum und Uhrzeit des ClustersDer NTP-Service (Network Time Protocol) kann manuell konfiguriert werden. So können Sie dafür sorgen, dass alle Nodes in einem Cluster auf dieselbe Zeitquelle synchronisiert werden.

Die NTP-Methode synchronisiert Datums- und Uhrzeiteinstellungen des Clusters automatisch über einen NTP-Server. Alternativ können Sie das Datum und die Uhrzeit, die vom Cluster gemeldet werden, durch eine manuelle Konfiguration des Service festlegen.

Windows-Domains bieten einen Mechanismus zur Synchronisation der Domainmitglieder mit einer auf den Domaincontrollern ausgeführten Masteruhr, sodass OneFS mit einem Service die Clusterzeit an Active Directory anpasst. Wenn keine externen NTP-Server konfiguriert sind, verwendet OneFS den Windows-Domain-Controller als NTP-Zeitserver. Wenn die Cluster- und Domainuhrzeit mehr als vier Minuten auseinanderliegen, erzeugt OneFS eine Eventbenachrichtigung.

ANMERKUNG: Wenn das Cluster und Active Directory mehr als fünf Minuten auseinanderliegen, ist keine

Authentifizierung möglich.

Einstellen des Clusterdatums und der ClusteruhrzeitSie können das Datum, die Uhrzeit und die Zeitzone festlegen, die vom Isilon-Cluster verwendet werden.

1. Klicken Sie auf Cluster Management > General Settings > Date & Time.Auf der Seite Date and Time wird für jeden Node eine Liste mit den Einstellungen für IP-Adresse, Datum und Uhrzeit angezeigt.

2. Wählen Sie aus der Liste Date and Time die Einstellungen für Monat, Datum, Jahr, Stunden und Minuten aus.

3. Wählen Sie aus der Liste Time zone einen Wert aus.

Wenn die gewünschte Zeitzone nicht in der Liste enthalten ist, wählen Sie aus der Liste Time zone die Option Advanced und anschließend die Zeitzone aus der Liste Advanced time zone aus.

4. Klicken Sie auf Submit.

Angeben eines NTP-ZeitserversSie können einen oder mehrere NTP-Server (Network Time Protocol) festlegen, um die Systemzeit des Isilon-Clusters zu synchronisieren. Das Cluster kontaktiert regelmäßig die NTP-Server und stellt das Datum und die Uhrzeit basierend auf den erhaltenen Informationen ein.

1. Klicken Sie auf Cluster Management > General Settings > NTP.

2. Geben Sie im Bereich NTP Servers die IPv4- oder IPv6-Adresse eines oder mehrerer NTP-Server ein. Wenn Sie eine Schlüsseldatei verwenden möchten, geben Sie die Schlüsselzahlen in das Feld neben der IP-Adresse des Servers ein.

Wenn Sie mehrere Server angeben, klicken Sie auf Add Another NTP Server.

3. Optional: Wenn Sie eine Schlüsseldatei für den NTP-Server verwenden, geben Sie den Dateipfad für diese Datei in das Feld Path to Key File ein.

4. Geben Sie im Bereich Chimer Settings die Anzahl der Chimer Nodes ein, die eine Verbindung zu den NTP-Servern herstellen (der Standardwert ist 3).

5. Um einen Node vom Chiming auszuschließen, geben Sie dessen logische Node-Nummer (LNN) in das Feld Nodes Excluded from Chiming ein.


SMTP-E-Mail-EinstellungenWenn die Netzwerkumgebung die Verwendung eines SMTP-Servers erfordert oder wenn Sie Ereignisbenachrichtigungen des Isilon-Clusters mit SMTP über einen Port routen möchten, können Sie SMTP-E-Mail-Einstellungen konfigurieren.

SMTP-Einstellungen umfassen die Adresse und Portnummer des SMTP-Relay, über die die E-Mails geroutet werden. Sie können einen E-Mail-Absender und eine Betreffzeile für alle Eventbenachrichtigungs-E-Mails festlegen, die vom Cluster gesendet werden.

Wenn Ihr SMTP-Server so konfiguriert ist, dass die Authentifizierung unterstützt wird, können Sie einen Benutzernamen und ein Passwort angeben. Sie können auch festlegen, ob die Verbindung verschlüsselt werden soll.


Konfigurieren von SMTP-E-Mail-EinstellungenSie können Eventbenachrichtigungen über einen SMTP-Mailserver senden. Sie können auch die SMTP-Authentifizierung aktivieren, wenn Ihre SMTP-Serverkonfiguration dies unterstützt.

1. Klicken Sie auf Cluster Management > General Settings > Email Settings.

2. Geben Sie im Bereich SMTP Settings die IPv4- oder IPv6-Adresse oder den vollständig qualifizierten Domainnamen des SMTP-Relays in das Feld SMTP relay address ein.

3. Geben Sie im Feld SMTP relay port die Portnummer ein.

Die Standardportnummer ist 25.

4. Aktivieren Sie das Kontrollkästchen Use SMTP Authentication, um die SMTP-Authentifizierung anzufordern.Es werden Felder angezeigt, in denen Sie den Benutzernamen und das Passwort für die Authentifizierung eingeben können, sowie Optionsfelder für Transport Layer Security. Wenn Sie keine SMTP-Authentifizierung verwenden möchten, fahren Sie mit Schritt 7 fort.

5. Geben Sie den Benutzernamen und das Passwort für die Authentifizierung ein und bestätigen Sie das Passwort.

6. Legen Sie die Verbindungssicherheit fest. Der Standardwert bietet keine Sicherheit. Wählen Sie STARTTLS aus, wenn Sie eine verschlüsselte TLS-Verbindung verwenden möchten.

7. Geben Sie im Bereich Event Notification Settings die E-Mail-Adresse ein, die in der Zeile „An“ der E-Mail im Feld Send email as angezeigt werden soll.

8. Geben Sie im Feld Subject den Text ein, der in der Betreffzeile der E-Mail angezeigt werden soll.

9. Wenn Sie Batchbenachrichtigungs-E-Mails für Events wünschen, wählen Sie eine Option im Drop-down-Menü Batch Mode aus. Der Standardwert ist No batching.

10. Wählen Sie im Drop-down-Menü Default Email Template aus, ob die in OneFS bereitgestellte Standardvorlage oder eine benutzerdefinierte Vorlage verwendet werden soll. Wenn Sie eine benutzerdefinierte Vorlage auswählen, wird das Feld Custom Template Location angezeigt. Geben Sie einen Pfadnamen für die Vorlage ein.

11. Klicken Sie auf Save Changes.Sie können die Konfiguration testen, indem Sie eine Testeventbenachrichtigung senden.

Konfigurieren des Beitrittsmodus des ClustersIm Clusterbeitrittsmodus wird festgelegt, wie ein Node zum Isilon-Cluster hinzugefügt wird und ob eine Authentifizierung erforderlich ist. OneFS unterstützt manuelle und sichere Beitrittsmodi für das Hinzufügen von Nodes zum Cluster.

Mode Beschreibung

Manuell Ermöglicht Ihnen, einen Node manuell zum Cluster hinzuzufügen, ohne dass eine Autorisierung erforderlich ist

Sicher Erfordert eine Autorisierung für jeden Node, der dem Cluster hinzugefügt wird, und der Node muss über die Webverwaltungsoberfläche oder über die Befehlszeilenoberfläche mit dem Befehl isi devices -a add -d <unconfigured_node_serial_no> hinzugefügt werden.

ANMERKUNG: Wenn Sie den sicheren Beitrittsmodus festlegen, können Sie den Node dem Cluster nicht über die Option [2] Join an existing cluster des

seriellen Konsolenassistenten hinzufügen.

Angeben des ClusterbeitrittsmodusSie können einen Beitrittsmodus angeben, mit dem festgelegt wird, wie Nodes dem Isilon-Cluster hinzugefügt werden.

1. Klicken Sie auf Cluster Management > General Settings > Join Mode.

2. Wählen Sie im Bereich Settings den Modus aus, mit dem festgelegt wird, wie Nodes zum Cluster hinzugefügt werden können.

Option Beschreibung

Manuell Ein Betritt kann manuell initiiert werden.

Sicher Ein Betritt kann nur durch das Cluster initiiert werden und erfordert eine Authentifizierung.



DateisystemeinstellungenSie können auf einem Isilon-Cluster globale Dateisystemeinstellungen für die Nachverfolgung der Zugriffszeit und die Zeichencodierung konfigurieren.

Sie können die Nachverfolgung der Zugriffszeit, mit der die Zeit jedes Dateizugriffs überwacht wird, aktivieren oder deaktivieren. Bei Bedarf können Sie auch die Standardzeichencodierung auf dem Cluster ändern.

Aktivieren oder Deaktivieren der Nachverfolgung der ZugriffszeitSie können die Nachverfolgung der Zugriffszeit aktivieren, um Funktionen zu unterstützen, die dies benötigen.

Standardmäßig wird der Zeitstempel vom Isilon-Cluster nicht nachverfolgt, wenn auf Dateien zugegriffen wird. Sie können diese Funktion aktivieren, um OneFS-Funktionen zu unterstützen, die sie verwenden. Beispielsweise muss die Nachverfolgung der Zugriffszeit für die Konfiguration von SyncIQ-Policy-Kriterien aktiviert werden, mit denen Dateien basierend auf dem letzten Zugriff abgeglichen werden.

ANMERKUNG: Die Aktivierung der Nachverfolgung der Zugriffszeit kann sich auf die Clusterperformance auswirken.

1. Klicken Sie auf File System Management > File System Settings > Access Time Tracking.

2. Aktivieren Sie im Bereich Access Time Tracking das Kontrollkästchen Enable access time tracking, um die Zeitstempel für den Dateizugriff nachzuverfolgen. Standardmäßig ist diese Funktion deaktiviert.

3. Legen Sie im Feld Precision durch Eingabe eines numerischen Werts und durch Auswahl einer Maßeinheit, z. B. Sekunden, Minuten, Stunden, Tage, Wochen, Monate oder Jahre, fest, wie häufig die letzte Zugriffszeit aktualisiert werden soll.

Wenn Sie beispielsweise eine Genauigkeit von einem Tag konfigurieren, aktualisiert das Cluster die letzte Zugriffszeit einmal pro Tag, auch wenn auf einige Dateien öfter als einmal pro Tag zugegriffen wurde.


Angeben der ClusterzeichencodierungSie können den Zeichencodierungssatz für den Isilon-Cluster nach der Installation ändern.

Es können nur von OneFS unterstützte Zeichensätze ausgewählt werden. UTF-8 ist der Standardzeichensatz für OneFS-Nodes.ANMERKUNG: Wenn die Clusterzeichencodierung nicht auf UTF-8 gesetzt ist, wird bei SMB-Freigabenamen zwischen

Groß- und Kleinschreibung unterschieden.

Sie müssen das Cluster neu starten, um die Änderungen der Zeichencodierung zu übernehmen.

VORSICHT: Die Zeichencodierung wird in der Regel während der Installation des Clusters eingerichtet. Eine Änderung

der Zeichencodierungseinstellung nach der Installation kann dazu führen, dass Dateien unlesbar werden, wenn die

Änderung nicht korrekt durchgeführt wird. Ändern Sie die Einstellungen nur, wenn es unbedingt erforderlich ist, und

nur nach Rücksprache mit dem Isilon Technical Support.

1. Klicken Sie auf File System Management > File System Settings > Character Encoding.

2. Optional: Wählen Sie in der Liste Character encoding die Zeichencodierung aus, die Sie verwenden möchten.

3. Klicken Sie auf Save Changes und dann auf Yes, um zu bestätigen, dass die Codierungsänderung nach dem Neustart des Clusters wirksam wird.

4. Starten Sie das Cluster neu.

Nach dem Neustart des Clusters können Sie die Änderung in der OneFS-Webverwaltungsoberfläche erkennen.

SicherheitsverstärkungSicherheitsverstärkung ist der Prozess der Konfiguration eines Systems zur Reduzierung oder Eliminierung möglichst vieler Sicherheitsrisiken.

Wenn Sie ein Verstärkungsprofil auf einem Isilon-Cluster anwenden, liest OneFS die Datei mit dem Sicherheitsprofil und wendet die im Profil definierte Konfiguration auf das Cluster an. Falls erforderlich, ermittelt OneFS Konfigurationsprobleme, die eine Verstärkung auf den Nodes verhindern. Beispielsweise sind die Dateiberechtigungen für ein bestimmtes Verzeichnis möglicherweise nicht auf den erwarteten Wert festgelegt oder die erforderlichen Verzeichnisse fehlen. Wenn ein Problem gefunden wird, können Sie auswählen, dass OneFS das Problem löst, oder Sie können die Lösung verschieben und das Problem manuell beheben.


ANMERKUNG: Das Verstärkungsprofil soll die von der DISA (Defense Informationen Systems Agency) festgelegten

STIGs (Security Technical Implementation Guides) unterstützen, die für OneFS gelten. Das Verstärkungsprofil

unterstützt derzeit nur einen Teil der von DISA in den STIGs definierten Anforderungen. Das Verstärkungsprofil soll in

erster Linie in Konten der Bundesbehörden verwendet werden.

Wenn Sie feststellen, dass die Verstärkungskonfiguration für Ihr System nicht geeignet ist, ermöglicht OneFS das Zurücksetzen des Sicherheitsverstärkungsprofils. Durch das Zurücksetzen eines Verstärkungsprofils kehrt OneFS zu der Konfiguration zurück, die durch das Lösen von Problemen, falls welche vorhanden waren, vor der Verstärkung erreicht wurde.

Sie müssen über eine aktive Sicherheitsverstärkungslizenz verfügen und als Root-Nutzer im Isilon-Cluster angemeldet sein, um die Sicherheitsverstärkung für OneFS anwenden zu können. Um eine Lizenz zu erhalten, wenden Sie sich an Ihren Isilon-Vertriebsmitarbeiter.

STIG-VerstärkungsprofilDas OneFS-STIG-Verstärkungsprofil enthält ein Subset von Konfigurationsanforderungen, die vom DoD (Department of Defense) festgelegt werden. Es wurde für Isilon-Cluster entwickelt, die die Konten von Bundesbehörden unterstützen. Wenn ein Isilon-Cluster mit einem STIG-Profil installiert ist, muss das umgebende Ökosystem ebenfalls sicher sein.

Nachdem Sie das OneFS-STIG-Verstärkungsprofil angewendet haben, ist die OneFS-Konfiguration so geändert, dass das Isilon-Cluster sicherer ist und einige der durch die STIGs der DISA definierten Steuerelemente unterstützt. Im Folgenden finden Sie einige Beispiele für die zahlreichen Systemänderungen:

• Nachdem Sie sich über SSH oder die Weboberfläche angemeldet haben, zeigt das System eine Meldung an, dass Sie auf ein Informationssystem der US-Regierung zugreifen. Zudem werden die Bedingungen für die Verwendung des Systems angezeigt.

• SSH und die Weboberfläche überwachen auf jedem Node nur die externe IP-Adresse des Node.• Für die Passwortkomplexität lokaler Benutzerkonten gelten erhöhte Anforderungen. Passwörter müssen mindestens 14 Zeichen lang

sein und mindestens jeweils einen der folgenden Zeichentypen enthalten: Zahlen, Großbuchstaben, Kleinbuchstaben, Sonderzeichen.• Root-SSH ist deaktiviert. Sie können sich nur über die Weboberfläche oder eine serielle Konsolensitzung als Root anmelden.

Anwenden eines SicherheitsverstärkungsprofilsSie können das STIG-Verstärkungsprofil von OneFS auf das Isilon-Cluster anwenden.

Für die Sicherheitsverstärkung sind Root-Berechtigungen erforderlich. Außerdem kann die Verstärkung nur über die Befehlszeilenoberfläche durchgeführt werden.

Nachdem die Sicherheitsverstärkung erfolgreich auf das Cluster angewendet wurde, ist Root-SSH auf einem verstärkten Cluster nicht zulässig. Um sich als Root-Benutzer auf einem verstärkten Cluster anzumelden, müssen Sie eine Verbindung über die Webschnittstelle oder eine serielle Konsolensitzung herstellen.

Sie benötigen eine aktive Sicherheitsverstärkungslizenz, um ein Verstärkungsprofil auf OneFS anzuwenden. Um eine Lizenz zu erhalten, wenden Sie sich an Ihren Isilon-Vertriebsmitarbeiter.


2. Führen Sie den Befehl isi hardening apply aus.Mit dem folgenden Befehl wird OneFS angewiesen, das Verstärkungsprofil auf das Isilon-Cluster anzuwenden.

isi hardening apply --profile=STIG

ANMERKUNG: STIG ist ein Tag, keine Datei.

OneFS prüft, ob das System Konfigurationsprobleme enthält, die gelöst werden müssen, bevor die Verstärkung angewendet werden kann.

• Wenn OneFS keine Probleme erkennt, wird das Verstärkungsprofil angewendet.• Wenn OneFS Probleme erkennt, ähnelt die Systemausgabe dem folgenden Beispiel:

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-2


1: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:

3. Beheben Sie alle Konfigurationsprobleme. Wählen Sie bei der Eingabeaufforderung Do you want to resolve the issue(s)?[Y/N] eine der folgenden Aktionen aus:

• Damit OneFS alle Probleme behebt, geben Sie Y ein. OneFS behebt die Probleme und wendet dann das Verstärkungsprofil an.

• Um die Lösung zu verschieben und alle gefundenen Probleme manuell zu beheben, geben Sie N ein. Nachdem Sie alle verschobenen Probleme behoben haben, führen Sie den Befehl isi hardening apply erneut aus.

ANMERKUNG: Wenn OneFS ein Problem erkennt, das als schwerwiegend erachtet wird, fordert das System Sie auf,

das Problem manuell zu beheben. OneFS kann kein schwerwiegendes Problem lösen.

Zurücksetzen eines SicherheitsverstärkungsprofilsSie können ein Verstärkungsprofil zurücksetzen, das auf das Isilon-Cluster angewendet wurde.

Für das Zurücksetzen der Sicherheitsverstärkung sind Root-Berechtigungen erforderlich. Außerdem kann dieser Vorgang nur über die Befehlszeilenoberfläche durchgeführt werden. Um sich als Root-Benutzer auf einem verstärkten Cluster anzumelden, müssen Sie eine Verbindung über eine serielle Konsolensitzung herstellen. Root-SSH ist auf einem verstärkten Cluster nicht zulässig.

Sie benötigen eine aktive Sicherheitsverstärkungslizenz, um ein Verstärkungsprofil auf OneFS zurückzusetzen. Um eine Lizenz zu erhalten, wenden Sie sich an Ihren Isilon-Vertriebsmitarbeiter.

1. Öffnen Sie eine serielle Konsolensitzung auf einem beliebigen Node im Cluster und melden Sie sich als Root an.

2. Führen Sie den Befehl isi hardening revert aus.OneFS prüft, ob sich das System in einem erwarteten Status befindet.

• Wenn OneFS keine Probleme erkennt, wird das Verstärkungsprofil zurückgesetzt.• Wenn OneFS Probleme erkennt, ähnelt die Systemausgabe dem folgenden Beispiel:

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-21: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:

3. Beheben Sie alle Konfigurationsprobleme. Wählen Sie bei der Eingabeaufforderung Do you want to resolve the issue(s)?[Y/N] eine der folgenden Aktionen aus:

• Damit OneFS alle Probleme behebt, geben Sie Y ein. OneFS setzt die betroffenen Konfigurationen auf den erwarteten Status und setzt dann das Verstärkungsprofil zurück.

• Um die Lösung zu verschieben und alle gefundenen Probleme manuell zu beheben, geben Sie N ein. OneFS hält den Zurücksetzungsprozess an, bis alle Probleme behoben sind. Nachdem Sie alle verschobenen Probleme behoben haben, führen Sie den Befehl isi hardening revert erneut aus.

ANMERKUNG: Wenn OneFS ein Problem erkennt, das als schwerwiegend erachtet wird, fordert das System Sie auf,

das Problem manuell zu beheben. OneFS kann kein schwerwiegendes Problem lösen.

Anzeigen des SicherheitsverstärkungsstatusSie können den Status der Sicherheitsverstärkung des Isilon-Clusters und aller Nodes des Clusters anzeigen. Ein Cluster gilt erst dann als verstärkt, wenn alle zugehörigen Nodes verstärkt sind. Wenn OneFS während des Sicherheitsverstärkungsprozesses Probleme erkennt, die manuell gelöst werden müssen, oder wenn Sie die Behebung von Problemen manuell auf später verschieben, werden die Nodes, auf denen die Probleme auftreten, nicht verstärkt, bis die Probleme behoben sind und das Verstärkungsprofil erfolgreich angewendet wurde. Wenn Sie beim Beheben dieser Probleme Hilfe benötigen, wenden Sie sich an den technischen Support von Isilon.


Für eine Anzeige des Sicherheitsverstärkungsstatus des Clusters sind Root-Berechtigungen erforderlich. Außerdem kann dieser Vorgang nur über die Befehlszeilenoberfläche durchgeführt werden. Um sich als Root-Benutzer auf einem verstärkten Cluster anzumelden, müssen Sie eine Verbindung über eine serielle Konsolensitzung herstellen. Root-SSH ist auf einem verstärkten Cluster nicht zulässig.

Sie benötigen keine Sicherheitsverstärkungslizenz, um den Verstärkungsstatus des Clusters anzuzeigen.

1. Öffnen Sie eine Konsolensitzung auf einem beliebigen Node im Cluster und melden Sie sich als Root an.

2. Führen Sie den Befehl isi hardening status aus, um den Status der Sicherheitsverstärkung auf dem Isilon-Cluster und auf allen Nodes anzuzeigen.

Die Systemausgabe ähnelt dem folgenden Beispiel:

Cluster Name: test-clusterHardening Status: Not HardenedProfile: STIGNode status:test-cluster-1: Disabledtest-cluster-2: Enabledtest-cluster-3: Enabled

ClusterüberwachungSie können die Integrität, die Leistung und den Status des Isilon-Clusters überwachen.

Sie können den Status und die Integrität des OneFS-Systems im OneFS-Dashboard der Webverwaltungsoberfläche überwachen. Informationen sind für einzelne Nodes, einschließlich Node-spezifischem Netzwerkverkehr, internen und externen Netzwerkschnittstellen und Details zu Node-Pools, Tiers und der allgemeinen Clusterintegrität, verfügbar. Sie können die folgenden Bereiche für Integrität und Leistung des Isilon-Clusters überwachen:

Node status Integrität und Performancestatistiken für jeden Node im Cluster, einschließlich der Nutzung von HDDs (Festplatten) und SSDs (Solid-State-Laufwerke).

Client connections Anzahl der verbundenen Clients pro Node

New events Liste der Eventbenachrichtigungen, die von Systemevents erzeugt werden, einschließlich Schweregrad, eindeutiger Instanz-ID, Startzeit, Warnmeldung und Umfang des Events

Clustergröße Ansicht Current: belegter und verfügbarer HDD- und SSD-Speicherplatz und reservierter Speicherplatz für VHS (virtueller Hot Spare)

Ansicht Historical: gesamter genutzter Speicherplatz und Clustergröße über einen Zeitraum von einem Jahr

Cluster throughput (file system)

Ansicht Current: durchschnittliches eingehendes und ausgehendes Datenverkehrsvolumen der Nodes im Cluster in der vergangenen Stunde

Ansicht Historical: durchschnittliches eingehendes und ausgehendes Datenverkehrsvolumen der Nodes im Cluster in den vergangenen 2 Wochen

CPU-Auslastung Ansicht Current: durchschnittlicher Prozentsatz für System und Nutzer und Gesamtprozentsatz der CPU-Auslastung in der vergangenen Stunde

Ansicht Historical: CPU-Auslastung in den vergangenen 2 Wochen

Überwachen des ClustersSie können die Integrität und Leistung eines Isilon-Clusters mit Diagrammen und Tabellen überwachen, die den Status und die Leistung von Nodes, Clientverbindungen, Ereignisse, Clustergröße, Clusterdurchsatz und CPU-Auslastung anzeigen.

1. Klicken Sie auf Dashboard > Cluster Overview > Cluster Status.

2. Optional: Zeigen Sie Clusterdetails an.

• „Status“: Um Clusterdetails anzuzeigen, klicken Sie auf die ID-Nummer des Node.• „Client connection summary“: Um eine Liste der aktuellen Verbindungen anzuzeigen, klicken Sie auf Dashboard > Cluster

Overview > Client Connections.• „New events“: Um weitere Informationen zu einem Ereignis anzuzeigen, klicken Sie in der Spalte Actions auf View details.• „Cluster size“: Um zwischen der aktuellen und der historischen Anzeige umzuschalten, klicken Sie auf Historical oder Current

neben der Abschnittsüberschrift Monitoring. Klicken Sie in der historischen Anzeige auf Used oder Cluster size, um die Anzeige zu ändern.

• „Cluster throughput (file system)“: Um zwischen der aktuellen und der historischen Anzeige umzuschalten, klicken Sie auf Historical oder Current neben der Abschnittsüberschrift „Monitoring“. Um die Durchsatzstatistiken für einen bestimmten


Zeitraum innerhalb der vorangegangenen 2 Wochen anzuzeigen, klicken Sie auf Dashboard > Cluster Overview > Throughput Distribution.

ANMERKUNG: Sie können den eingehenden oder ausgehenden Durchsatz ein- und ausblenden, indem Sie in der

Diagrammlegende auf Inbound oder Outbound klicken. Um den maximalen Durchsatz anzuzeigen, wählen Sie

neben Show die Option Maximum aus.

• „CPU usage“: Um zwischen der aktuellen und der historischen Anzeige umzuschalten, klicken Sie auf Historical oder Current neben der Abschnittsüberschrift Monitoring.

ANMERKUNG:

Sie können eine Grafik ein- oder ausblenden, indem Sie in der Diagrammlegende auf System, User oder Total

klicken. Um die maximale Auslastung anzuzeigen, wählen Sie neben Show die Option Maximum aus.

Anzeigen des Node-StatusSie können den aktuellen und historischen Status eines Node anzeigen.


2. Optional: Klicken Sie im Bereich Status auf die ID-Nummer des Node, dessen Status Sie anzeigen möchten.

3. Zeigen Sie die Node-Details an.

• Status: Um die Netzwerkeinstellungen für eine Node-Schnittstelle, ein Node-Subnetz oder einen Node-Pool anzuzeigen, klicken Sie auf den Link im Bereich Status.

• Clientverbindungen: Um die aktuellen Clients anzuzeigen, die mit diesem Node verbunden sind, überprüfen Sie die Liste in diesem Bereich.

• Gehäuse- und Laufwerksstatus: Um den Status der Laufwerke in diesem Node anzuzeigen, überprüfen Sie diesen Bereich. Um Details über ein Laufwerk anzuzeigen, klicken Sie auf den Namenslink des Laufwerks, z. B. Bay1.

• Node-Größe: Um zwischen der aktuellen und historischen Anzeige umzuschalten, klicken Sie auf Historical oder Current neben der Bereichsüberschrift Monitoring. Klicken Sie in der historischen Anzeige auf Used oder Cluster size, um die Anzeige entsprechend zu ändern.

• Node-Durchsatz (Dateisystem): Um zwischen der aktuellen und historischen Anzeige umzuschalten, klicken Sie auf Historical oder Current neben der Bereichsüberschrift Monitoring. Um die Durchsatzstatistiken für einen Zeitraum innerhalb der vorangegangenen zwei Wochen anzuzeigen, klicken Sie auf Dashboard > Cluster Overview > Throughput Distribution.

ANMERKUNG: Sie können den eingehenden oder ausgehenden Durchsatz ein- und ausblenden, indem Sie in der

Diagrammlegende auf Inbound oder Outbound klicken. Um den maximalen Durchsatz anzuzeigen, wählen Sie

neben Show die Option Maximum aus.

• CPU usage: Um zwischen der aktuellen und historischen Anzeige umzuschalten, klicken Sie auf Historical oder Current neben der Bereichsüberschrift Monitoring.

ANMERKUNG: Sie können eine Grafik ein- oder ausblenden, indem Sie in der Diagrammlegende auf System, User

oder Total klicken. Um die maximale Auslastung anzuzeigen, wählen Sie neben Show die Option Maximum aus.

Überwachen der ClusterhardwareSie können den Status der Hardware auf dem Isilon-Cluster manuell prüfen sowie SNMP zum Remotemonitoring der Komponenten aktivieren.

Anzeigen des Node-HardwarestatusSie können den Hardwarestatus eines Node anzeigen.


2. Optional: Klicken Sie im Bereich Status auf die ID-Nummer für einen Node.

3. Klicken Sie im Bereich Chassis and drive status auf Platform.

Gehäuse- und LaufwerksstatusSie können Details zum Gehäuse- und Laufwerksstatus anzeigen.


In einem Cluster bestimmt die Kombination von Nodes in verschiedenen heruntergestuften Status, ob Lese- oder Schreibanforderungen oder beide Arten von Anforderungen funktionieren. Ein Cluster kann das Schreib-Quorum verlieren, jedoch das Lese-Quorum beibehalten. OneFS bietet detaillierte Informationen zum Status von Gehäusen und Laufwerken im Cluster. Die folgende Tabelle beschreibt alle möglichen Status, die im Cluster auftreten können.

Bundesstaat/-land Beschreibung Interface Fehlerstatus

HEALTHY Alle Laufwerke im Node funktionieren ordnungsgemäß.

Befehlszeilenoberfläche, Webverwaltungsschnittstelle

L3 Ein Solid State Drive (SSD) wurde als Cache des Levels 3 (L3) bereitgestellt, um die Größe des Cachearbeitsspeichers zu erhöhen und die Durchsatzgeschwindigkeit zu steigern.

Befehlszeilenoberfläche

SMARTFAIL oder Smartfail or restripe in progress

Das Laufwerk wird derzeit sicher aus dem Dateisystem entfernt, entweder aufgrund eines I/O-Fehlers oder aufgrund einer Benutzeranforderung. Nodes oder Laufwerke im Status SMARTFAIL oder in einem schreibgeschützten Status haben nur Auswirkungen auf das Schreib-Quorum.


NOT AVAILABLE Ein Laufwerk ist aus verschiedenen Gründen nicht verfügbar. Sie können auf das Bay klicken, um detaillierte Informationen über diese Bedingung anzuzeigen.

ANMERKUNG: In der Webverwaltungsoberfläche umfasst dieser Status die Status ERASE und SED_ERROR der Befehlszeilenoberfläche.


X

SUSPENDED Dieser Status gibt an, dass die Laufwerksaktivität vorübergehend ausgesetzt ist und das Laufwerk nicht verwendet wird. Der Status wird manuell initiiert und tritt bei normaler Clusteraktivität nicht auf.


NOT IN USE Ein Node im Offlinestatus betrifft sowohl Lese- als auch Schreib-Quorum.


REPLACE Der Smartfail-Vorgang des Laufwerks war erfolgreich und das Laufwerk kann ausgetauscht werden.

Nur Befehlszeilenoberfläche

STALLED Das Laufwerk stockt und wird dahingehend bewertet. Die Bewertung stockender Laufwerke ist ein Prozess, bei dem Laufwerke überprüft werden, die langsam sind oder andere Probleme aufweisen. Je nach Ergebnis der Bewertung erfolgt ein Smartfail oder das Laufwerk wird wieder in Betrieb genommen. Dies ist ein vorübergehender Status.


NEW Das Laufwerk ist neu und leer. Dies ist der Status, in dem sich ein Laufwerk befindet, wenn Sie den Befehl isi dev mit der Option -aadd ausführen.


USED Das Laufwerk wurde hinzugefügt und enthielt eine Isilon-GUID, das Laufwerk stammt jedoch nicht von diesem Node. Dieses Laufwerk wird wahrscheinlich im Cluster formatiert.


PREPARING Das Laufwerk wird derzeit formatiert. Der Laufwerksstatus ändert sich zu HEALTHY, wenn die Formatierung erfolgreich war.


EMPTY Es befindet sich kein Laufwerk in diesem Bay. Nur Befehlszeilenoberfläche



WRONG_TYPE Der Laufwerkstyp für diesen Node ist falsch. Beispiel: Ein Nicht-SED-Laufwerk in einem SED-Node oder SAS anstelle des erwarteten SATA-Laufwerks.


BOOT_DRIVE Gilt nur für das A100-Laufwerke, die über Startlaufwerke im Bay verfügen.


SED_ERROR Das Laufwerk kann vom OneFS-System nicht erkannt werden.

ANMERKUNG: In der Webverwaltungsoberfläche ist dieser Status in Not available enthalten.


X

ERASE Das Laufwerk ist bereit zum Löschen, benötigt jedoch Ihre Aufmerksamkeit, da die Daten nicht gelöscht wurden. Sie können das Laufwerk manuell löschen, um dafür zu sorgen, dass die Daten entfernt werden.



INSECURE Die Daten auf dem SED-Laufwerk sind für Unbefugte zugänglich. SED-Laufwerke sollten nie für unverschlüsselte Daten verwendet werden.

ANMERKUNG: In der Webverwaltungsoberfläche heißt dieser Status Unencrypted SED.


X

UNENCRYPTED Die Daten auf dem SED-Laufwerk sind für Unbefugte zugänglich. SED-Laufwerke sollten nie für unverschlüsselte Daten verwendet werden.

ANMERKUNG: In der Befehlszeilenoberfläche heißt dieser Status INSECURE.

Nur Webverwaltungsschnittstelle

X

Überprüfen des AkkustatusSie können den Status der NVRAM-Akkus und der Ladesysteme überwachen. Diese Aufgabe kann nur in der OneFS-Befehlszeilenoberfläche auf Node-Hardware durchgeführt werden, die den Befehl unterstützt.

1. Öffnen Sie eine SSH-Verbindung zu einem beliebigen Node im Cluster.

2. Führen Sie den Befehl isi batterystatus list aus, um den Status aller NVRAM-Akkus und Ladesysteme auf dem Node anzuzeigen.


Lnn Status1 Status2 Result1 Result2----------------------------------------1 Good Good - -2 Good Good - -3 Good Good - -----------------------------------------

SNMP-ÜberwachungZum Remotemonitoring der Hardwarekomponenten des Isilon-Clusters wie Lüfter, Hardwaresensoren, Netzteile und Laufwerke können Sie SNMP verwenden. Die standardmäßigen Linux SNMP-Tools oder ein GUI-basiertes SNMP-Tool Ihrer Wahl können für diesen Zweck verwendet werden.

SNMP wird für den gesamten Cluster aktiviert oder deaktiviert. Die Nodes werden nicht einzeln konfiguriert. Sie können Clusterinformationen von jedem Node im Cluster aus überwachen. Erzeugte SNMP-Traps entsprechen CELOG-Ereignissen. SNMP-


Benachrichtigungen können mithilfe von isi event channels create snmpchannel snmp --use-snmp-trap false auch gesendet werden.

Sie können eine Ereignisbenachrichtigungsregel konfigurieren, in der die Netzwerkstation angegeben wird, an die Sie SNMP-Traps für bestimmte Ereignisse senden möchten. Wenn ein bestimmtes Ereignis auftritt, sendet der Cluster den Trap an diesen Server. OneFS unterstützt SNMP-Version 2c (Standard) und sowie im schreibgeschützten Modus SNMP-Version 3.

OneFS bietet keine Unterstützung für SNMP Version 1. Obwohl eine Option für --snmp-v1-v2-access im OneFS-CLI-Befehl isi snmp settings modify vorhanden ist, findet das Monitoring beim Aktivieren dieser Funktion nur über SNMP-Version 2c statt.

Sie können Einstellungen nur für SNMP-Version 3 oder für SNMP-Version 2c und Version 3 konfigurieren.

ANMERKUNG: Alle Sicherheitslevel von SNMP v3 können konfiguriert werden: noAuthNoPriv, authNoPriv, authPriv.

Elemente in einer SNMP-Hierarchie sind in einer Baumstruktur angeordnet, die einer Verzeichnisstruktur ähnelt. Wie in Verzeichnissen sind die Kennungen erst allgemein und werden immer spezifischer, je weiter rechts sie sich in der Zeichenfolge befinden. Im Gegensatz zu einer Dateihierarchie wird jedes Element jedoch nicht nur benannt, sondern auch nummeriert.

Beispiel: Die SNMP-Einheit iso.org.dod.internet.private.enterprises.isilon.cluster.clusterStatus.clusterName.0 wird .1.3.6.1.4.1.12124.1.1.1.0 zugeordnet. Der Teil des Namens, der auf den OneFS-SNMP-Namespace verweist, ist das Element 12124. Alle Angaben rechts neben dieser Zahl beziehen sich auf das OneFS-spezifische Monitoring.

MIB-Dokumente (Management Information Base) definieren menschenlesbare Namen für gemanagte Objekte und geben ihre Datentypen und andere Eigenschaften an. Sie können MIBs herunterladen, die für das SNMP-Monitoring eines Isilon-Clusters über die OneFS-Webverwaltungsschnittstelle erstellt wurden, oder diese mithilfe der Befehlszeilenoberfläche (CLI) managen. MIBs werden auf einem OneFS-Node im Verzeichnis /usr/share/snmp/mibs/ gespeichert. Die OneFS-Isilon-MIBs dienen einem doppelten Zweck:

• Ergänzung der in Standard-MIBs verfügbaren Informationen• Bereitstellung von OneFS-spezifischen Informationen, die nicht in Standard-MIBs verfügbar sind

ISILON-MIB ist eine registrierte Unternehmens-MIB. Isilon-Cluster verfügen über zwei separate MIBs:

ISILON-MIB Definiert eine Gruppe von SNMP-Agents, die Abfragen vom NMS (Network Monitoring System) bearbeiten. Diese Agents werden als OneFS Statistics Snapshot-Agents bezeichnet. Wie der Name impliziert, erfassen diese Agents einen Snapshot vom Status des OneFS-Dateisystems zu dem Zeitpunkt, zu dem dieses eine Anforderung empfängt, und melden diese Informationen an das NMS.

ISILON-TRAP-MIB Erzeugt SNMP-Traps, die an eine SNMP-Monitoringstation gesendet werden, wenn die in den PDUs (Protocol Data Units, Protokolldateneinheiten) definierten Bedingungen erfüllt sind.

Die OneFS-MIB-Dateien ordnen die OneFS-spezifischen Objekt-IDs Beschreibungen zu. Laden Sie die MIB-Dateien in ein Verzeichnis herunter oder kopieren Sie diese Dateien in ein Verzeichnis, in dem sie von Ihrem SNMP-Tool gefunden werden können, z. B. /usr/share/snmp/mibs/.

Damit Net-SNMP-Tools die MIBs für eine automatisierte Name-zu-OID-Zuordnung lesen können, fügen Sie -m All zum Befehl hinzu, wie im folgenden Beispiel gezeigt.

snmpwalk -v2c I$ilonpublic -m All <node IP> isilon

Es wird empfohlen, die Zuordnung bei der SNMP-Konfiguration in eine ähnliche wie die folgende zu ändern:

isi snmp settings modify -c <newcommunitystring>

Wenn sich die MIB-Dateien nicht im Net-SNMP-MIB-Standardverzeichnis befinden, müssen Sie möglicherweise den vollständigen Pfad angeben, wie im folgenden Beispiel gezeigt. Alle 3 Zeilen stellen einen einzigen Befehl dar.

snmpwalk -m /usr/local/share/snmp/mibs/ISILON-MIB.txt:/usr \/share/snmp/mibs/ISILON-TRAP-MIB.txt:/usr/share/snmp/mibs \/ONEFS-TRAP-MIB.txt -v2c -C c -c public isilon

ANMERKUNG: Die vorherigen Beispiele werden über den Befehl snmpwalk auf einem Cluster ausgeführt. Ihre SNMP-

Version erfordert möglicherweise unterschiedliche Argumente.

Managen von SNMP-EinstellungenSNMP kann für das Monitoring von Clusterhardware und Systeminformationen verwendet werden. Die Einstellungen können über die Webverwaltungsschnittstelle oder die Befehlszeilenoberfläche konfiguriert werden.


Der standardmäßige SNMP v3-Nutzername (allgemein) und das Passwort können in der CLI oder Web-UI geändert werden. Der Nutzername ist nur erforderlich, wenn SNMP v3 aktiviert ist und SNMP v3-Abfragen vornimmt.

Konfigurieren Sie ein NMS (Network Monitoring System), um jeden Node direkt über eine statische IPv4-Adresse abzufragen. Wenn ein Node für IPv6 konfiguriert ist, können Sie über IPv6 mit SNMP kommunizieren.

Der SNMP-Proxy ist standardmäßig aktiviert und die SNMP-Implementierung auf jedem Node wird automatisch als Proxy für alle anderen Nodes im Cluster außer dem Node selbst konfiguriert. Mit dieser Proxykonfiguration können die MIB (Isilon Management Information Base) und Standard-MIBs durch den Einsatz von Kontextzeichenfolgen für unterstützte SNMP-Versionen nahtlos verfügbar gemacht werden. Mit diesem Ansatz können Sie einen Node über einen anderen Node abfragen, indem Sie _node_<node number> an die Communityzeichenfolge der Abfrage anhängen. Beispiel: snmpwalk -m /usr/share/snmp/mibs/ISILON-MIB.txt -v 2c -c 'I$ilonpublic_node_1' localhost <nodename>.

Konfigurieren des Clusters für die SNMP-ÜberwachungSie können für den Isilon-Cluster das Remotemonitoring der Hardwarekomponenten mit SNMP konfigurieren.

1. Klicken Sie auf Cluster Management > General Settings > SNMP Monitoring.

2. Aktivieren Sie unter SNMP Service Settings das Kontrollkästchen Enable SNMP Service. Der SNMP-Service ist standardmäßig aktiviert.

3. Laden Sie die MIB-Datei herunter, die Sie verwenden möchten (Basis oder Trap).Befolgen Sie die für Ihren Browser erforderlichen Anweisungen für den Downloadprozess.

4. Kopieren Sie die MIB-Dateien in ein Verzeichnis, in dem diese von Ihrem SNMP-Tool gefunden werden können, z. B. /usr/share/snmp/mibs/.

Damit Net-SNMP-Tools die MIBs für eine automatisierte Name-zu-OID-Zuordnung lesen können, fügen Sie dem Befehl wie im folgenden Beispiel -m All hinzu:

snmpwalk -v2c -c public -m All <node IP> isilon

5. Wenn Ihr Protokoll SNMPv2 ist, stellen Sie sicher, dass das Kontrollkästchen Allow SNMPv2 Access aktiviert ist. Standardmäßig ist SNMPv2 aktiviert.

6. Geben Sie im Feld SNMPv2 Read-Only Community Name den entsprechenden Communitynamen ein. Der Standardwert lautet I$ilonpublic.

7. Um SNMPv3 zu aktivieren, klicken Sie auf das Kontrollkästchen Allow SNMPv3 Access.

8. Konfigurieren Sie die SNMP v3-Einstellungen:

a) Geben Sie im Feld SNMPv3 Read-Only User Name den SNMPv3-Sicherheitsnamen ein, um den Namen des Benutzers mit Lesezugriff zu ändern.

Der Standardnutzer mit Lesezugriff ist general.b) Geben Sie im Feld SNMPv3 Read-Only Password das neue Passwort für den Benutzer mit Lesezugriff ein, um ein neues

SNMPv3-Authentifizierungspasswort festzulegen.

Das Standardpasswort lautet password. Es wird empfohlen, das Passwort zu ändern, um die Sicherheit zu erhöhen. Das Passwort muss mindestens acht Zeichen lang sein und darf keine Leerzeichen enthalten.

c) Geben Sie das neue Passwort im Feld Confirm password ein, um das neue Passwort zu bestätigen.

9. Geben Sie im Bereich SNMP Reporting in das Feld Cluster Description eine Beschreibung des Clusters ein.

10. Geben Sie im Feld System Contact Email die E-Mail-Adresse des Ansprechpartners ein.


Anzeigen von SNMP-EinstellungenSie können SNMP-Überwachungseinstellungen überprüfen.

• Klicken Sie auf Cluster Management > General Settings > SNMP Monitoring.

Events und WarnmeldungenOneFS überwacht durchgehend die Integrität und Performance Ihres Clusters und generiert Events bei Situationen, die Ihre Aufmerksamkeit erfordern.

Diese Events beziehen sich auf Bereiche wie Dateisystemintegrität, Netzwerkverbindungen, Jobs, Hardware und andere wichtige Vorgänge und Komponenten in Ihrem Cluster. Nach dem Erfassen der Events werden sie von OneFS analysiert. Events mit ähnlichen Ursachen werden in Eventgruppen unterteilt.


Eine Eventgruppe ist ein zentraler Verwaltungspunkt für zahlreiche Events im Zusammenhang mit einer bestimmten Situation. Sie können bestimmen, welche Eventgruppen überwacht, ignoriert oder gelöst werden sollen.

Eine Warnmeldung ist eine Meldung zu einer Änderung an einer Eventgruppe.

Sie können kontrollieren, wie Warnmeldungen im Zusammenhang mit einer Eventgruppe verteilt werden. Warnmeldungen werden über Kanäle verteilt. Sie können einen Kanal zum Senden von Warnmeldungen an eine bestimmte Zielgruppe erstellen und konfigurieren, die vom Kanal verteilten Inhalte steuern und die Häufigkeit von Warnmeldungen einschränken.

Übersicht über EventsEvents sind einzelne Vorkommen oder Bedingungen im Zusammenhang mit dem Datenworkflow, mit Wartungsvorgängen und mit Hardwarekomponenten Ihres Clusters.

Im gesamten OneFS gibt es Prozesse, die kontinuierlich Informationen zu Clustervorgängen überwachen und erfassen.

Wenn der Status einer Komponente oder eines Vorgangs sich ändert, wird die Änderung als ein Event erfasst und in einer Prioritätswarteschlange auf Kernel-Ebene platziert.

Jedes Event hat zwei ID-Nummern, mit denen der Kontext des Events hergestellt wird:

• Die Eventtyp-ID gibt den Typ des Events an, das aufgetreten ist.• Die Eventinstanz-ID ist eine eindeutige Nummer, die für ein bestimmtes Auftreten eines Eventtyps spezifisch ist. Wenn ein Event an

die Kernel-Warteschlange gesendet wird, wird eine Eventinstanz-ID zugewiesen. Sie können die Instanz-ID referenzieren, um den genaue Zeitpunkt zu bestimmen, an dem ein Event aufgetreten ist.

Sie können einzelne Events anzeigen. Managen Sie Events und Warnmeldungen jedoch auf Eventgruppenlevel.

Überblick über WarnmeldungenEine Warnmeldung ist eine Meldung, die eine Änderung beschreibt, die in einer Eventgruppe stattgefunden hat.

Zu jedem Point in-Time können Sie die Eventgruppen zur Nachverfolgung von Situationen anzeigen, die in Ihrem Cluster auftreten. Sie können jedoch auch Warnmeldungen erstellen, mit denen Sie proaktiv informiert werden, wenn es eine Änderung in einer Eventgruppe gibt.

Beispielsweise können Sie eine Warnmeldung erzeugen, wenn ein neues Event einer Eventgruppe hinzugefügt wird, wenn eine Eventgruppe aufgelöst wird oder wenn der Schweregrad einer Eventgruppe sich ändert.

Sie können das Cluster so konfigurieren, dass es Warnmeldungen nur für bestimmte Eventgruppen, Bedingungen und Schweregrade oder nur für begrenzte Zeiträume erzeugt.

Warnmeldungen werden über Kanäle bereitgestellt. Sie können einen Kanal konfigurieren, um zu bestimmen, wer die Warnmeldung wann erhalten wird.

Übersicht über KanäleKanäle sind Pfade, über die Eventgruppen Warnmeldungen versenden können.

Wenn eine Warnmeldung erzeugt wird, bestimmt der Kanal, der der Warnmeldung zugeordnet ist, wie die Warnmeldung verteilt wird und wer die Warnmeldung erhält.

Sie können einen Kanal zur Bereitstellung von Warnmeldungen mit einer der folgenden Methoden konfigurieren: SMTP, SNMP oder Connect Home. Sie können auch die Routing- und Bezeichnungsinformationen für den Bereitstellungsmechanismus angeben.

Übersicht über EventgruppenEventgruppen sind Sammlungen von einzelnen Events, die zugehörige Symptome für eine einzige Situation in dem Cluster sind. Eventgruppen bieten ein zentrales Management für mehrere Eventinstanzen, die als Reaktion auf eine Situation in Ihrem Cluster erzeugt werden.

Wenn z. B. ein Gehäuselüfter in einem Node ausfällt, kann OneFS mehrere Events im Zusammenhang mit sowohl dem ausgefallenen Lüfter selbst als auch den überschrittenen Temperaturschwellenwerten innerhalb des Node erfassen. Alle Events im Zusammenhang mit dem Lüfter werden in einer einzigen Eventgruppe dargestellt. Da es einen einzigen Verwaltungspunkt gibt, müssen Sie nicht mehr zahlreiche einzelne Events managen. Sie können die Situation als ein einziges kohärentes Problem verarbeiten.

Das gesamte Management von Eventse wird auf der Eventgruppenlevel durchgeführt. Sie können eine Eventgruppe als aufgelöst oder ignoriert markieren. Sie können auch konfigurieren, wie und wann Warnmeldungen für eine Eventgruppe verteilt werden.


Anzeigen und Ändern von EventgruppenSie können Events anzeigen und den Status von Eventgruppen ändern.

Anzeigen einer EventgruppeSie können die Details einer Eventgruppe anzeigen.

1. Klicken Sie auf Cluster Management > Events and Alerts.

2. Klicken Sie in der Spalte Actions der Eventgruppe, die Sie anzeigen möchten, auf View Details.

Ändern des Status einer EventgruppeSie können eine Eventgruppe ignorieren oder auflösen.

Nachdem Sie eine Eventgruppe aufgelöst haben, können Sie diese Aktion nicht umkehren. Alle neuen Events, die der aufgelösten Eventgruppe hinzugefügt worden wären, werden einer neuen Eventgruppe hinzugefügt.


2. Klicken Sie in der Spalte Actions der Eventgruppe, die Sie ändern möchten, auf More.

3. Klicken Sie im Menü, das angezeigt wird, auf Mark Resolved, um die Eventgruppe aufzulösen, oder auf Ignore, um die Eventgruppe zu ignorieren.

ANMERKUNG: Sie können eine Aktion für mehrere Eventgruppen durchführen, indem Sie das Kontrollkästchen

neben der Eventgruppen-ID der Events auswählen, die Sie ändern möchten, und dann eine Aktion aus der Drop-

down-Liste Select a bulk action wählen.

4. Klicken Sie auf Mark Resolved oder Ignore, um die Aktion zu bestätigen.

Anzeigen eines EventsSie können die Details eines bestimmten Events anzeigen.


2. Klicken Sie in der Spalte Actions der Eventgruppe, die das Event enthält, das Sie anzeigen möchten, auf das Symbol View Details.

3. Klicken Sie im Bereich Event Details in der Spalte Actions für das Event, das Sie anzeigen möchten, auf View Details.

Managen von WarnmeldungenSie können Warnmeldungen anzeigen, erstellen, ändern oder löschen, um die Informationen zu bestimmen, die Sie über die Eventgruppen liefern.

Anzeigen einer WarnmeldungSie können die Details einer bestimmten Warnmeldung anzeigen.

1. Klicken Sie auf Cluster Management > Events and Alerts > Alerts.

2. Klicken Sie in der Spalte Actions der Warnmeldung, die Sie anzeigen möchten, auf View/Edit.

Erstellen einer neuen WarnmeldungSie können neue Warnmeldungen erstellen, um bestimmte Aktualisierungen zu Eventgruppen zu bieten.


2. Klicken auf Create an Alert.

3. Ändern Sie die Einstellungen für die neue Warnmeldung nach Bedarf.

a) Geben Sie im Feld Name den Warnmeldungsnamen ein.b) Klicken Sie im Bereich Alert Channels auf das Kontrollkästchen neben dem Kanal, der der Warnmeldung zugeordnet werden soll.

Um einen neuen Kanal der Warnmeldung zuzuordnen, klicken Sie auf Create an Alert Channel.c) Klicken Sie auf das Kontrollkästchen neben den Event Group Categories, die der Warnmeldung zugeordnet werden sollen.d) Geben Sie im Feld Event Group ID die ID der Eventgruppe ein, über die die Warnmeldung Bericht erstatten soll.

Um der Warnmeldung eine andere Eventgruppen-ID hinzuzufügen, klicken Sie auf Add Another Event Group ID.e) Wählen Sie eine Warnmeldungsbedingung aus der Drop-down-Liste Condition.


ANMERKUNG: Je nach ausgewählter Warnmeldungsbedingung werden andere Einstellungen angezeigt.

f) Geben Sie für die Bedingungen New event groups, New events, Interval, Severity increase, Severity decrease und Resolved event group eine Zahl und einen Zeitwert dafür ein, wie lange ein Event bestehen soll, bevor die Warnmeldung darüber berichtet.

g) Bearbeiten Sie für die Bedingung New events im Feld Maximum Alert Limit die maximale Anzahl von Warnmeldungen, die für neue Events gesendet werden können.

h) Geben Sie für die Bedingung ONGOING eine Zahl und einen Zeitwert für das Intervall ein, in dem Warnmeldungen über ein laufendes Event berichten sollen.

4. Klicken Sie auf Create Alert.

Löschen einer WarnmeldungSie können Warnmeldungen löschen, die Sie erstellt haben.


2. Klicken Sie in der Spalte Actions der Warnmeldung, die Sie löschen möchten, auf More.

3. Klicken Sie im Menü, das angezeigt wird, auf Delete.

ANMERKUNG: Sie können mehrere Warnmeldungen löschen, indem Sie das Kontrollkästchen neben den Namen der

Warnmeldungen, die Sie löschen möchten, auswählen und dann Delete Selections aus der Drop-down-Liste Select an

action wählen.

4. Klicken Sie auf Delete, um die Aktion zu bestätigen.

Ändern einer WarnmeldungSie können eine Warnmeldung ändern, die Sie erstellt haben.


2. Klicken Sie in der Spalte Actions der Warnmeldung, die Sie ändern möchten, auf View/Edit.

3. Klicken Sie auf Edit Alert.

4. Ändern Sie die Einstellungen der Warnmeldung nach Bedarf.

a) Bearbeiten Sie im Feld Name den Warnmeldungsnamen.b) Klicken Sie im Bereich Alert Channels auf das Kontrollkästchen neben dem Kanal, der der Warnmeldung zugeordnet werden soll.

Um einen neuen Kanal der Warnmeldung zuzuordnen, klicken Sie auf Create an Alert Channel.c) Klicken Sie auf das Kontrollkästchen neben den Event Group Categories, die der Warnmeldung zugeordnet werden sollen.d) Geben Sie im Feld Event Group ID die ID der Eventgruppe ein, über die die Warnmeldung Bericht erstatten soll.

Um der Warnmeldung eine andere Eventgruppen-ID hinzuzufügen, klicken Sie auf Add Another Event Group ID.e) Wählen Sie eine Warnmeldungsbedingung aus der Drop-down-Liste Condition.

ANMERKUNG: Je nach ausgewählter Warnmeldungsbedingung werden andere Einstellungen angezeigt.

f) Geben Sie für die Bedingungen New event groups, New events, Interval, Severity increase, Severity decrease und Resolved event group eine Zahl und einen Zeitwert dafür ein, wie lange ein Event bestehen soll, bevor die Warnmeldung darüber berichtet.

g) Bearbeiten Sie für die Bedingung New events im Feld Maximum Alert Limit die maximale Anzahl von Warnmeldungen, die für neue Events gesendet werden können.

h) Geben Sie für die Bedingung ONGOING eine Zahl und einen Zeitwert für das Intervall ein, in dem Warnmeldungen über ein laufendes Event berichten sollen.


Managen von KanälenSie können Kanäle anzeigen, erstellen, ändern oder löschen, um zu bestimmen, wie Sie Informationen über die Eventgruppen liefern.

Anzeigen eines KanalsSie können die Details eines bestimmten Kanals anzeigen.


2. Suchen Sie im Bereich Alert Channels nach dem Kanal, den Sie anzeigen möchten.

3. Klicken Sie in der Spalte Actions des Kanals, den Sie anzeigen möchten, auf View/Edit.


Erstellen eines neuen KanalsSie können neue Kanäle erstellen und konfigurieren, um Informationen zu Warnmeldungen zu senden.


2. Klicken Sie im Bereich Alert Channels auf Create an Alert Channel.

3. Geben Sie im Feld Name den Kanalnamen ein.

4. Klicken Sie auf das Kontrollkästchen Enable this Channel, um den Kanal zu aktivieren oder deaktivieren.

5. Wählen Sie die Bereitstellungsmethode für den Kanal aus der Drop-down-Liste Type.

ANMERKUNG: Je nach der ausgewählten Bereitstellungsmethode werden andere Einstellungen angezeigt.

6. Wenn Sie einen SMTP-Kanal erstellen, können Sie die folgenden Einstellungen konfigurieren:

a) Geben Sie im Feld Send to eine E-Mail-Adresse ein, die auf diesem Kanal Warnmeldungen empfangen soll.

Um eine andere E-Mail-Adresse für den Kanal hinzuzufügen, klicken Sie auf Add Another Email Address.b) Geben Sie im Feld Send from die E-Mail-Adresse ein, die in dem Feld „Von“ der Warnmeldungs-E-Mails angezeigt werden soll.c) Geben Sie in das Feld Subject den Text ein, der in der Betreffzeile der Warnmeldungs-E-Mails angezeigt werden soll.d) Geben Sie im Feld SMTP Host or Relay Address Ihren SMTP-Host oder Ihre Relay-Adresse ein.e) Geben Sie im Feld SMTP Relay Port die Nummer des SMTP-Relay-Ports ein.f) Klicken Sie auf das Kontrollkästchen Use SMTP Authentication, um einen Benutzernamen und ein Passwort für Ihren SMTP-

Server anzugeben.g) Wählen Sie für die Verbindungssicherheit entweder NONE oder STARTTLS aus.h) Wählen Sie aus der Drop-down-Liste Notification Batch Mode aus, ob Warnmeldungen nach Schweregrad oder nach Kategorie

in einen Batch gestellt werden.i) Wählen Sie aus der Drop-down-Liste Notification Email Template, ob E-Mails aus einer Standard- oder einer

benutzerdefinierten E-Mail-Vorlage erstellt werden.

Wenn Sie eine benutzerdefinierte Vorlage angegeben haben, geben Sie den Speicherort der Vorlage auf dem Cluster in das Feld Custom Template Location ein.

j) Geben Sie im Bereich Master Nodes in das Feld Allowed Nodes die Node-Nummer eines Node im Cluster ein, der Warnmeldungen über diesen Kanal senden darf.

Um einen anderen zulässigen Node für den Kanal hinzuzufügen, klicken Sie auf Add another Node. Wenn Sie keine Nodes angeben, werden alle Nodes im Cluster als zulässige Nodes betrachtet.

k) Geben Sie in das Feld Excluded Nodes die Node-Nummer eines Node im Cluster ein, der keine Warnmeldungen über diesen Kanal senden darf.

Um einen anderen ausgeschlossenen Node für den Kanal hinzuzufügen, klicken Sie auf Exclude another Node.

7. Wenn Sie einen ConnectEMC-Kanal erstellen, können Sie die folgenden Einstellungen konfigurieren:

a) Geben Sie im Bereich Master Nodes in das Feld Allowed Nodes die Node-Nummer eines Node im Cluster ein, der Warnmeldungen über diesen Kanal senden darf.


b) Geben Sie in das Feld Excluded Nodes die Node-Nummer eines Node im Cluster ein, der keine Warnmeldungen über diesen Kanal senden darf.


8. Wenn Sie einen SNMP-Kanal erstellen, können Sie die folgenden Einstellungen konfigurieren:

a) Geben Sie in das Feld Community Ihre SNMP-Communityzeichenfolge ein.b) Geben Sie in das Feld Host Ihren SNMP-Hostnamen oder die Adresse ein.c) Geben Sie im Bereich Master Nodes in das Feld Allowed Nodes die Node-Nummer eines Node im Cluster ein, der Warnmeldungen

über diesen Kanal senden darf.


d) Geben Sie in das Feld Excluded Nodes die Node-Nummer eines Node im Cluster ein, der keine Warnmeldungen über diesen Kanal senden darf.


9. Klicken Sie auf Create Alert Channel.

Ändern eines KanalsSie können einen Kanal ändern, den Sie erstellt haben.



2. Suchen Sie im Bereich Alert Channels nach dem Kanal, den Sie ändern möchten.

3. Klicken Sie in der Spalte Actions des Kanals, den Sie ändern möchten, auf View/Edit.

4. Klicken Sie auf Edit Alert Channel.

5. Klicken Sie auf das Kontrollkästchen Enable this Channel, um den Kanal zu aktivieren oder deaktivieren.

6. Wählen Sie die Bereitstellungsmethode für den Kanal aus der Drop-down-Liste Type.

ANMERKUNG: Je nach der ausgewählten Bereitstellungsmethode werden andere Einstellungen angezeigt.

7. Wenn Sie einen SMTP-Kanal ändern, können Sie die folgenden Einstellungen ändern:

a) Geben Sie im Feld Send to eine E-Mail-Adresse ein, die auf diesem Kanal Warnmeldungen empfangen soll.

Um eine andere E-Mail-Adresse für den Kanal hinzuzufügen, klicken Sie auf Add Another Email Address.b) Geben Sie im Feld Send from die E-Mail-Adresse ein, die in dem Feld „Von“ der Warnmeldungs-E-Mails angezeigt werden soll.c) Geben Sie in das Feld Subject den Text ein, der in der Betreffzeile der Warnmeldungs-E-Mails angezeigt werden soll.d) Geben Sie im Feld SMTP Host or Relay Address Ihren SMTP-Host oder Ihre Relay-Adresse ein.e) Geben Sie im Feld SMTP Relay Port die Nummer des SMTP-Relay-Ports ein.f) Klicken Sie auf das Kontrollkästchen Use SMTP Authentication, um einen Benutzernamen und ein Passwort für Ihren SMTP-

Server anzugeben.g) Wählen Sie für die Verbindungssicherheit entweder NONE oder STARTTLS aus.h) Wählen Sie aus der Drop-down-Liste Notification Batch Mode aus, ob Warnmeldungen nach Schweregrad oder nach Kategorie

in einen Batch gestellt werden.i) Wählen Sie aus der Drop-down-Liste Notification Email Template, ob E-Mails aus einer Standard- oder einer

benutzerdefinierten E-Mail-Vorlage erstellt werden.

Wenn Sie eine benutzerdefinierte Vorlage angegeben haben, geben Sie den Speicherort der Vorlage auf dem Cluster in das Feld Custom Template Location ein.

j) Geben Sie im Bereich Master Nodes in das Feld Allowed Nodes die Node-Nummer eines Node im Cluster ein, der Warnmeldungen über diesen Kanal senden darf.


k) Geben Sie in das Feld Excluded Nodes die Node-Nummer eines Node im Cluster ein, der keine Warnmeldungen über diesen Kanal senden darf.


8. Wenn Sie einen Connect Home-Kanal ändern, können Sie die folgenden Einstellungen ändern:

a) Geben Sie im Bereich Master Nodes in das Feld Allowed Nodes die Node-Nummer eines Node im Cluster ein, der Warnmeldungen über diesen Kanal senden darf.


b) Geben Sie in das Feld Excluded Nodes die Node-Nummer eines Node im Cluster ein, der keine Warnmeldungen über diesen Kanal senden darf.


9. Wenn Sie einen SNMP-Kanal ändern, können Sie die folgenden Einstellungen ändern:

a) Geben Sie in das Feld Community Ihre SNMP-Communityzeichenfolge ein.b) Geben Sie in das Feld Host Ihren SNMP-Hostnamen oder die Adresse ein.c) Geben Sie im Bereich Master Nodes in das Feld Allowed Nodes die Node-Nummer eines Node im Cluster ein, der Warnmeldungen

über diesen Kanal senden darf.


d) Geben Sie in das Feld Excluded Nodes die Node-Nummer eines Node im Cluster ein, der keine Warnmeldungen über diesen Kanal senden darf.



Löschen eines KanalsSie können Kanäle löschen, die Sie erstellt haben.


2. Suchen Sie im Bereich Alert Channels nach dem Kanal, den Sie löschen möchten.


3. Klicken Sie in der Spalte Actions des Kanals, den Sie löschen möchten, auf Delete.

ANMERKUNG: Sie können mehrere Kanäle löschen, indem Sie das Kontrollkästchen neben den Namen der Kanäle, die

Sie löschen möchten, auswählen und dann Delete Selections aus der Drop-down-Liste Select an action wählen.

4. Klicken Sie auf Delete, um die Aktion zu bestätigen.

Wartung und TestsSie können zum Festlegen der Aufbewahrung und Speicherlimits für Eventdaten, zum Planen von Wartungszeitfenstern und zum Senden von Testevents Eventeinstellungen ändern.

Eventdatenaufbewahrung und SpeicherbeschränkungenSie können Einstellungen ändern, um zu bestimmen, wie Eventdaten in Ihrem Cluster verarbeitet werden sollen.

Standardmäßig werden Daten im Zusammenhang mit aufgelösten Eventgruppen auf unbestimmte Zeit aufbewahrt. Sie können eine Aufbewahrungsbegrenzung festlegen, um das System die aufgelösten Eventgruppendaten nach einer bestimmten Anzahl von Tagen automatisch löschen zu lassen.

Sie können auch die Menge des Arbeitsspeichers einschränken, den die Eventdaten in Ihrem Cluster belegen können. Standardmäßig ist das Limit 1 MB des Arbeitsspeichers für jeweils 1 TB des gesamten Arbeitsspeichers in dem Cluster. Sie können dieses Limit auf zwischen 1 und 100 MB des Arbeitsspeichers anpassen. Für kleinere Cluster ist die minimale Menge Arbeitsspeicher, der reserviert wird, 1 GB.

Wenn Ihr Cluster ein Speicherlimit erreicht, beginnt das System, die ältesten Eventgruppendaten zu löschen, um Raum für neue Daten zu schaffen.

Anzeigen von EventspeichereinstellungenSie können Ihre Speicher- und Wartungseinstellungen anzeigen.

Klicken Sie auf Cluster Management > Events and Alerts > Settings.

Ändern von Einstellungen für den EventspeicherSie können Ihre Speicher- und Wartungseinstellungen anzeigen.

1. Klicken Sie auf Cluster Management > Events and Alerts > Settings.

2. Suchen Sie nach dem Bereich Event Retention Settings.

3. Geben Sie im Feld Resolved Event Group Data Retention die Anzahl der Tage ein, die aufgelöste Eventgruppen gespeichert werden sollen, bevor sie gelöscht werden.

4. Geben Sie im Feld Event Log Storage Limit das Limit für die Speichermenge ein, die für Eventdaten reserviert werden soll.

Der Wert in diesem Feld stellt dar, wie viele Megabyte Daten pro Terabyte Gesamtclusterspeicher gespeichert werden können.


WartungszeitfensterSie können ein Wartungszeitfenster planen, indem Sie eine Wartungsstartzeit und -dauer festlegen.

Während eines geplanten Wartungszeitfensters protokolliert das System weiterhin Events, es werden jedoch keine Warnmeldungen erzeugt. Durch Planen eines Wartungszeitfensters wird verhindert, dass Kanäle durch harmlose Warnmeldungen im Zusammenhang mit dem Verfahren zur Wartung der Cluster überschwemmt werden.

Das Erzeugen von Warnmeldungen wird nach Ablauf der geplanten Wartung durch aktive Eventgruppen automatisch fortgesetzt.

Planen eines WartungszeitfenstersSie können ein Wartungszeitfenster planen, um Warnmeldungen zu beenden, während Sie auf Ihrem Cluster Wartungsarbeiten durchführen .

1. Klicken Sie auf Cluster Management > Events and Alerts > Settings.

2. Suchen Sie den Bereich Maintenance Period Settings.

3. Geben Sie im Feld Start Date das Datum ein, an dem Sie das Wartungszeitfenster beginnen möchten.

4. Wählen Sie aus den Drop-down-Listen für Start Date die Uhrzeit, zu der das Wartungszeitfenster beginnen soll.

5. Geben Sie im Feld Duration eine Zahl und einen Zeitwert dafür ein, wie lange das Wartungszeitfenster dauern soll.



Testevents und -warnmeldungenTestevents namens Heartbeat-Events werden automatisch erzeugt. Sie können auch manuell Testwarnmeldungen erzeugen.

Um zu bestätigen, dass das System ordnungsgemäß funktioniert, werden Testevents automatisch jeden Tag gesendet, und zwar ein Event von jedem Node im Cluster. Diese werden als Heartbeat-Events bezeichnet und einer Eventgruppe namens Heartbeat-Event gemeldet.

Um die Konfiguration von Kanälen zu testen, können Sie manuell eine Testnachricht über das System senden.

Senden einer TestwarnmeldungSie können manuell eine Testwarnmeldung erzeugen.


2. Suchen Sie den Bereich Send Test Alert.

3. Geben Sie im Feld Text message den Text der Meldung ein, die Sie senden möchten.

4. Klicken Sie auf Send Test Alert.

Ändern des Heartbeat-EventsSie können die Häufigkeit ändern, mit der Heartbeat-Events erzeugt werden.

Dieses Verfahren ist nur über die Befehlszeilenoberfläche verfügbar.

1. Öffnen Sie eine SSH-Verbindung (Secure Shell) zu einem beliebigen Node im Cluster und melden Sie sich an.

2. Ändern Sie das Heartbeat-Eventintervall durch Ausführen des Befehls isi event settings modify.Mit dem folgenden Beispielbefehl wird das Heartbeat-Event so geändert, dass es wöchentlich gesendet wird:

isi event settings modify --heartbeat-interval weekly

ClusterwartungGeschulte Servicemitarbeiter können Komponenten in Isilon-Nodes ersetzen oder ein Upgrade für diese Komponenten durchführen.

Die Mitarbeiter des technischen Isilon-Supports können Ihnen beim Austausch von Node-Komponenten oder dem Durchführen eines Upgrades behilflich sein, um die Performance zu steigern.

Ersetzen von Node-KomponentenWenn eine Node-Komponente ausfällt, arbeitet der technische Isilon-Support mit Ihnen zusammen, um die Komponente schnell zu ersetzen und den Node in einen ordnungsgemäßen Status zurückzuversetzen.

Die geschulten Servicemitarbeiter können die folgenden vor Ort austauschbaren Teile (Field Replaceable Units, FRUs) ersetzen:

• Batterie• Boot-Flash-Laufwerk• SATA/SAS-Laufwerk• DIMM (Arbeitsspeicher)• Lüfter• Vorderseite• Intrusions-Switch• NIC (Netzwerkschnittstellenkarte)• InfiniBand-Karte• NVRAM-Karte• SAS-Controller• Netzteil

Wenn Sie das Cluster so konfigurieren, dass Benachrichtigungen an Isilon gesendet werden, setzt sich der technische Isilon-Support mit Ihnen in Verbindung, wenn eine Komponente ersetzt werden muss. Wenn Sie das Cluster nicht so konfigurieren, dass Benachrichtigungen an Isilon gesendet werden, müssen Sie einen Service-Request senden.


Durchführen eines Upgrades von Node-KomponentenSie können ein Upgrade für Node-Komponenten durchführen, um zusätzliche Kapazität oder Performance zu erhalten.

Geschulte Servicemitarbeiter können für die folgenden Komponenten ein Upgrade vor Ort durchführen:

• Laufwerk• DIMM (Arbeitsspeicher)• NIC (Netzwerkschnittstellenkarte)

Wenn Sie ein Upgrade für Komponenten in Ihren Nodes durchführen möchten, wenden Sie sich an den technischen Isilon-Support.

ARR (Automatic Replacement Recognition) für LaufwerkeWenn ein Laufwerk in einem Node ausgetauscht wird, wird das Laufwerk automatisch von OneFS formatiert und zum Cluster hinzugefügt.

Wenn Sie ein Laufwerk in einem Node ersetzen, um ein Upgrade für das Laufwerk durchzuführen oder ein ausgefallenes Laufwerk zu ersetzen, sind keine zusätzlichen Aktionen erforderlich, um das Laufwerk zum Cluster hinzuzufügen. Das Laufwerk wird automatisch von OneFS formatiert und hinzugefügt.

Auch die Firmware auf dem neuen Laufwerk wird automatisch durch ARR so aktualisiert, dass sie mit dem aktuellen auf dem Cluster installierten Laufwerksupportpaket übereinstimmt. Laufwerksfirmware wird nicht für das gesamte Cluster, sondern nur für das neue Laufwerk aktualisiert.

Wenn Sie die Laufwerke lieber manuell formatieren und hinzufügen möchten, können Sie ARR deaktivieren.

ARR-Status anzeigenSie können überprüfen, ob ARR (Automatic Replacement Recognition) auf Ihrem Cluster aktiviert ist.

Klicken Sie auf Cluster Management > Automatic Replacement Recognition.Im Bereich ARR settings per node sind alle Nodes nach ihrer LNN (Logical Node Number) mit dem aktuellen ARR-Status für jeden Node aufgelistet.

Aktivieren oder Deaktivieren von ARR (Automatic Replacement Recognition)Sie können ARR für das gesamte Cluster oder nur für bestimmte Nodes aktivieren oder deaktivieren.

1. Um ARR für das gesamte Cluster zu aktivieren oder zu deaktivieren, klicken Sie auf Cluster Management > Automatic Replacement Recognition.

2. Klicken Sie im Bereich Settings auf Disable ARR oder Enable ARR.

3. Um ARR für einen bestimmten Node zu deaktivieren, müssen Sie die folgenden Schritte über die Befehlszeilenoberfläche (CLI) ausführen.

a) Stellen Sie eine SSH-Verbindung zu einem beliebigen Node im Cluster her.b) Führen Sie den folgenden Befehl aus:

isi devices config modify --automatic-replacement-recognition no --node-lnn <node-lnn>

Wenn Sie keine Node-LNN angeben, wird der Befehl auf das gesamte Cluster angewendet.

Mit dem folgenden Beispielbefehl wird ARR für den Node mit der LNN 2 deaktiviert:

isi devices config modify --automatic-replacement-recognition no --node-lnn 2

4. Um ARR für einen bestimmten Node zu aktivieren, müssen Sie die folgenden Schritte über die Befehlszeilenoberfläche (CLI) ausführen.

a) Stellen Sie eine SSH-Verbindung zu einem beliebigen Node im Cluster her.b) Führen Sie den folgenden Befehl aus:

isi devices config modify --automatic-replacement-recognition yes --node-lnn <node-lnn>

Wenn Sie keine Node-LNN angeben, wird der Befehl auf das gesamte Cluster angewendet.


Mit dem folgenden Beispielbefehl wird ARR für den Node mit der LNN 2 aktiviert:

isi devices config modify --automatic-replacement-recognition yes --node-lnn 2

Managen der LaufwerksfirmwareWenn die Firmware eines Laufwerks in einem Cluster veraltet ist, kann die Clusterperformance oder Hardwarezuverlässigkeit beeinträchtigt werden. Um Gesamtdatenintegrität sicherzustellen, können Sie die Laufwerksfirmware auf die neueste Version aktualisieren, indem Sie das Laufwerksupportpaket oder das Laufwerksfirmwarepaket installieren.

Sie können bestimmen, ob die Laufwerksfirmware auf dem Cluster die aktuelle Version ist, indem Sie den Status der Laufwerksfirmware anzeigen.

ANMERKUNG: Es wird empfohlen, dass Sie sich an den technischen Support von Isilon wenden, bevor Sie die

Laufwerksfirmware aktualisieren.

Übersicht über LaufwerksfirmwareupdatesSie können die Laufwerksfirmware durch Laufwerksupportpakete oder Laufwerksfirmwarepakete aktualisieren.

Laden Sie eines dieser Pakete von Online Support herunter (je nach der OneFS-Version, die auf dem Cluster ausgeführt wird, und dem Typ von Laufwerken auf den Nodes) und installieren Sie es.

Laufwerksupportpaket

Installieren Sie für Cluster mit OneFS 7.1.1 oder höher ein Laufwerksupportpaket, um Ihre Laufwerksfirmware zu aktualisieren. Sie müssen die betroffenen Nodes nicht neu starten, um das Firmwareupdate abzuschließen. Ein Laufwerksupportpaket bietet folgende zusätzliche Funktionen:

• Aktualisiert die folgenden Laufwerkskonfigurationsinformationen:

• Liste der unterstützten Laufwerke• Metadaten der Laufwerksfirmware• SSD-Abnutzungsüberwachungsdaten• SAS- und SATA-Einstellungen und -Attribute

• Aktualisiert automatisch die Laufwerksfirmware für neue und Ersatzlaufwerke auf die neueste Version, bevor diese Laufwerke in einem Cluster formatiert und verwendet werden. Dies gilt nur für Cluster, die OneFS 7.2 und höher ausführen.

ANMERKUNG: Firmware von gerade verwendeten Laufwerken kann nicht automatisch aktualisiert werden.

Laufwerksfirmwarepaket

Installieren Sie für Cluster, die frühere OneFS-Versionen als 7.1.1 ausführen, oder für Cluster mit Nicht-Bootflash-Nodes ein clusterweites Laufwerksfirmwarepaket, um die Laufwerksfirmware zu aktualisieren. Sie müssen die betroffenen Nodes neu starten, um das Firmwareupdate abzuschließen.

Installieren eines LaufwerksupportpaketsDie folgenden Anweisungen gelten für die Durchführung einer unterbrechungsfreien Firmwareaktualisierung (NDFU, Non-Disruptive Firmware Update) mit einem Laufwerksupportpaket (DSP, Drive Support Package).

VORSICHT: In der Tabelle im Abschnitt Systemanforderungen oben finden Sie weitere Informationen, um zu prüfen, ob

Sie den korrekten Vorgang für den Node-Typ und die OneFS-Version durchführen.

1. Navigieren Sie zur Seite Support , auf der alle verfügbaren Versionen des Laufwerksupportpakets aufgelistet werden.

2. Klicken Sie auf die neueste Version des Laufwerksupportpakets und laden Sie die Datei herunter.

ANMERKUNG: Wenn Sie das Paket nicht herunterladen können, wenden Sie sich an den Isilon Technical Support, um

Hilfestellung zu erhalten.


4. Erstellen Sie die Verzeichnisstruktur /ifs/data/Isilon_Support/dsp oder prüfen Sie ihre Verfügbarkeit.

5. Kopieren Sie die heruntergeladene Datei über SCP, FTP, SMB, NFS oder ein anderes unterstütztes Datenzugriffsprotokoll in das Verzeichnis dsp.

6. Entpacken Sie die Datei, indem Sie den folgenden Befehl ausführen:


https://support.emc.com

https://support.emc.com/search/?product_id=15209&resource=DOWN&AlloftheseWrds=drive%20support%20package&SearchWithin=true&adv=y

tar -zxvf Drive_Support_<version>.tgz7. Installieren Sie das Paket, indem Sie den folgenden Befehl ausführen:

isi_dsp_install Drive_Support_<version>.tarANMERKUNG:

• Sie müssen den Befehl isi_dsp_install ausführen, um das Laufwerksupportpaket zu installieren. Verwenden

Sie nicht den Befehl isi pkg.

• Durch das Ausführen von isi_dsp_install wird das Laufwerksupportpaket auf dem gesamten Cluster

installiert.

• Der Installationsprozess führt die Installation aller erforderlichen Dateien aus dem Laufwerksupportpaket durch

und deinstalliert anschließend das Paket. Sie müssen das Paket nach der Installation oder vor der Installation

einer späteren Version nicht löschen.

Anzeigen des LaufwerksfirmwarestatusSie können den Status der Laufwerksfirmware auf dem Cluster anzeigen, um zu bestimmen, ob Sie die Firmware aktualisieren müssen.


2. Führen Sie eine der folgenden Aufgaben durch:

• Zeigen Sie den Laufwerksfirmwarestatus aller Nodes an. Führen Sie, abhängig von Ihrer Version von OneFS, einen der folgenden Befehle aus:

In OneFS 8.0 oder höher:

isi devices drive firmware list --node-lnn all

Früher als OneFS 8.0

isi drivefirmware status

• Führen Sie einen der folgenden Befehle aus, um den Laufwerksfirmwarestatus der Laufwerke auf einem bestimmten Node anzuzeigen:

In OneFS 8.0 oder höher:

isi devices drive firmware list --node-lnn<Node-Nummer>

Früher als OneFS 8.0

isi drivefirmware status -n <Node-Nummer>

Wenn kein Laufwerksfirmwareupdate erforderlich ist, ist die Spalte Desired FW leer.

Aktualisieren der LaufwerksfirmwareSie können die Laufwerksfirmware auf die neueste Version aktualisieren; durch das Aktualisieren der Firmware wird die allgemeine Datenintegrität sichergestellt.

In diesem Verfahren wird erklärt, wie die Laufwerksfirmware auf Nodes aktualisiert wird, die über Bootflash Laufwerke verfügen, nachdem Sie das neueste Laufwerksupportpaket installiert haben. Eine Liste der Nodes mit Bootflash-Laufwerken finden Sie im Abschnitt mit den Systemanforderungen in den Isilon Drive Support Package Release Notes.

Um die Laufwerksfirmware auf Nodes zu aktualisieren, die keine Bootflash-Laufwerke enthalten, müssen Sie das neueste Laufwerksfirmwarepaket herunterladen und installieren. Weitere Informationen finden Sie in den Versionshinweisen des neuesten Laufwerksfirmwarepakets unter Online Support.

ANMERKUNG: Das Aus- und erneute Einschalten während eines Firmwareupdates kann unter Umständen zu

unerwarteten Ergebnissen führen. Starten Sie Nodes als Best Practice nicht neu bzw. schalten Sie sie nicht ab, während

die Laufwerksfirmware in einem Cluster aktualisiert wird.


2. Führen Sie den folgenden Befehl aus, um die Laufwerksfirmware für das gesamte Cluster zu aktualisieren:

isi devices drive firmware update start all --node-lnn allFühren Sie den folgenden Befehl aus, um die Laufwerksfirmware ausschließlich für einen bestimmten Node zu aktualisieren:

isi devices drive firmware update start all --node-lnn <Node-Nummer>


https://support.emc.com/


VORSICHT: Sie müssen warten, bis ein Node die Aktualisierung abgeschlossen hat, bevor Sie eine Aktualisierung auf

dem nächsten Node initiieren. Führen Sie den folgenden Befehl aus, um zu bestätigen, dass ein Node die

Aktualisierung abgeschlossen hat:

isi devices drive firmware update list

Für ein Laufwerk, das noch aktualisiert wird, wird der Status FWUPDATE angezeigt.

Die Aktualisierung der Laufwerksfirmware dauert je nach Laufwerkmodell ca. 15 Sekunden. OneFS führt Laufwerksaktualisierungen sequenziell durch.

Überprüfen eines LaufwerksfirmwareupdatesNachdem Sie die Laufwerksfirmware in einem Node aktualisiert haben, überprüfen Sie, ob die Firmware korrekt aktualisiert wurde und die betroffenen Laufwerke ordnungsgemäß funktionieren.

1. Vergewissern Sie sich, dass gerade keine Laufwerksfirmwareupdates ausgeführt werden, indem Sie den folgenden Befehl ausführen:

isi devices drive firmware update list

Wenn ein Laufwerk gerade aktualisiert wird, wird [FW_UPDATE] in der Statusspalte angezeigt.

2. Überprüfen Sie, ob alle Laufwerke aktualisiert wurden, indem Sie den folgenden Befehl ausführen:


Wenn alle Laufwerke aktualisiert sind, ist die Spalte Desired FW leer.

3. Überprüfen Sie, ob alle betroffenen Laufwerken funktionsfähig sind, indem Sie den folgenden Befehl ausführen:

isi devices drive list --node-lnn all

Wenn ein Laufwerk funktionsfähig ist, wird [HEALTHY] in der Statusspalte angezeigt.

Statusinformationen zur LaufwerksfirmwareSie können Informationen zum Status der Laufwerksfirmware über die OneFS-Befehlszeilenoberfläche anzeigen.

Das folgende Beispiels zeigt die Ausgabe des Befehls isi devices drive firmware list:

your-cluster-1# isi devices drive firmware listLnn Location Firmware Desired Model------------------------------------------------------2 Bay 1 A204 - HGST HUSMM1680ASS2002 Bay 2 A204 - HGST HUSMM1680ASS2002 Bay 3 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 4 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 5 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 6 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 7 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 8 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 9 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 10 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 11 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 12 MFAOABW0 MFAOAC50 HGST HUS724040ALA640------------------------------------------------------Total: 12Hierbei gilt:

LNN Zeigt die LNN für den Node an, der das Laufwerk enthält.

Location Zeigt die Nummer des Schachts an, in dem das Laufwerk installiert ist.

Firmware Zeigt die Versionsnummer der Firmware an, die derzeit auf dem Laufwerk ausgeführt wird

Desired Wenn ein Upgrade der Laufwerksfirmware durchgeführt werden muss, wird die Versionsnummer der Laufwerksfirmware angezeigt, auf die die Firmware aktualisiert werden soll.

Model Zeigt die Modellnummer des Laufwerks an.


ANMERKUNG: Der Befehl isi devices drive firmware list zeigt ausschließlich die Firmwareinformationen für

die Laufwerke im lokalen Node an. Sie können Laufwerksfirmwareinformationen nicht nur für das lokale Cluster, sondern

für das gesamte Cluster anzeigen, indem Sie den folgenden Befehl ausführen:


Automatische Aktualisierung der LaufwerksfirmwareInstallieren Sie für Cluster, die OneFS 7.2 oder höher ausführen, das aktuelle Laufwerksupportpaket auf einem Node, um die Firmware für ein neues oder Ersatzlaufwerk automatisch zu aktualisieren.

Die Informationen im Laufwerksupportpaket ermitteln, ob die Firmware eines Laufwerks aktualisiert werden muss, bevor das Laufwerk formatiert und verwendet wird. Wenn ein Update verfügbar ist, wird das Laufwerk automatisch mit der neuesten Firmware aktualisiert.

ANMERKUNG: Neue und Ersatzlaufwerke, die zu einem Cluster hinzugefügt werden, werden unabhängig vom Status

ihrer Firmwareversion formatiert. Sie können einen Fehler beim Firmwareupdate identifizieren, indem Sie den

Firmwarestatus für die Laufwerke auf einem bestimmten Node anzeigen. Im Falle eines Fehlers führen Sie den Befehl

isi devices mit der Aktion fwupdate auf dem Node aus, um die Firmware manuell zu aktualisieren. Führen Sie z. B.

den folgenden Befehl aus, um die Firmware auf Node 1 manuell zu aktualisieren:

isi devices -a fwupdate -d 1

Managen von Cluster-NodesSie können Nodes zu einem Cluster hinzufügen und aus einem Cluster entfernen. Sie können auch das gesamte Cluster herunterfahren oder neu starten.

Hinzufügen eines Node zu einem ClusterSie können einem vorhandenen Isilon-Cluster einen neuen Node hinzufügen.

Bevor Sie einen Node zu einem Cluster hinzufügen, überprüfen Sie, ob eine interne IP-Adresse verfügbar ist. Falls erforderlich, fügen Sie IP-Adressen hinzu, bevor Sie einen neuen Node hinzufügen.

Wenn auf einem neuen Node eine andere Version von OneFS als auf dem Cluster ausgeführt wird, wird die Version von OneFS auf dem Node an die des Clusters angepasst.

ANMERKUNG: Konkrete Informationen zur Versionskompatibilität zwischen OneFS und Isilon Hardware finden Sie im

Isilon Supportability and Compatibility Guide.

1. Klicken Sie auf Cluster Management > Hardware Configuration > Add Nodes.

2. Klicken Sie in der Tabelle Available Nodes für den Node, den Sie zum Cluster hinzufügen möchten, auf Add.

Entfernen eines Node aus dem ClusterSie können einen Node aus einem OneFS-Cluster entfernen. Wenn Sie einen Node entfernen, führt das System einen SmartFail-Prozess für den Node durch, damit die Daten auf dem Node auf andere Nodes im Cluster übertragen werden.

Durch Entfernen eines Speicher-Node aus einem Cluster werden die Daten von diesem Node gelöscht. Bevor das System die Daten löscht, werden diese mit dem FlexProtect-Job sicher auf die im Cluster verbleibenden Nodes verteilt.

1. Navigieren Sie zu Cluster Management > Hardware Configuration > Remove Nodes.

2. Geben Sie im Bereich Remove Node an, welchen Node Sie entfernen möchten.


Wenn Sie einen Speicher-Node löschen, wird im Bereich Cluster Status der Fortschritt des SmartFail-Prozesses angezeigt. Wenn Sie einen Accelerator Node löschen, der kein Speicher-Node ist, wird dieser sofort aus dem Cluster entfernt.

Ändern der LNN eines NodeSie können die logische Node-Nummer (LNN) eines Node ändern. Dieses Verfahren ist nur über die Befehlszeilenoberfläche (CLI) verfügbar.

Die Nodes in Ihrem Cluster können auf beliebige Namen/Ganzzahlen zwischen 1 und 144 umbenannt werden. Wenn Sie den Namen Ihres Node ändern, wird die LNN zurückgesetzt.


ANMERKUNG: Auch wenn Sie eine beliebige Ganzzahl als LNN angeben können, wird empfohlen, keine höhere Ganzzahl

als 144 anzugeben. Die Angabe von LNNs über 144 kann eine erhebliche Performanceverschlechterung nach sich ziehen.


2. Öffnen Sie die isi config-Eingabeaufforderung, indem Sie den folgenden Befehl ausführen:

isi config

3. Führen Sie den Befehl lnnset aus.Mit dem folgenden Befehl wird die LNN eines Node von 12 auf 73 geändert:

lnnset 12 73

4. Geben Sie commit ein.

Möglicherweise müssen Sie erneut eine Verbindung zu Ihrer SSH-Sitzung herstellen, bevor der neue Node-Name automatisch geändert wird.

Herunterfahren oder Neustarten eines NodeSie können einzelne oder alle Nodes in einem Isilon-Cluster herunterfahren oder neu starten.

1. Klicken Sie auf Cluster Management > Hardware Configuration > Nodes.

2. Wählen Sie im Bereich Nodes über die entsprechenden Kontrollkästchen mindestens einen Node aus und geben Sie eine Aktion an:

Herunterfahren Fährt den Node herunter.

Neustart Der Node wird beendet und dann neu gestartet.

Wählen Sie alternativ einen Node aus und führen Sie über die Spalte Actions eine der folgenden Optionen durch:

• Klicken Sie auf More > Shut down node, um den Node herunterzufahren.• Klicken Sie auf More > Reboot node, um den Node zu beenden und neu zu starten.

Durchführen eines Upgrades von OneFSFür das Upgrade des OneFS-Betriebssystems sind zwei Optionen verfügbar: ein sequenzielles und ein simultanes Upgrade. Vor dem Upgrade der OneFS-Software muss eine Prüfung durchgeführt werden.

Bei einem fortlaufenden Upgrade wird das Upgrade sequenziell durchgeführt und jeder Node im Cluster wird neu gestartet. Während eines fortlaufenden Upgrades bleibt das Cluster online und ist weiterhin ohne Serviceunterbrechungen für Clients verfügbar, obwohl auf SMB-Clients die Verbindung möglicherweise einige Male zurückgesetzt wird. Ein fortlaufendes Upgrade wird sequenziell nach Node-Nummer durchgeführt. Daher dauert ein fortlaufendes Upgrade nicht länger als ein simultanes Upgrade. Der letzte Node im Upgradeprozess ist der Node, mit dem Sie den Upgradeprozess gestartet haben.

ANMERKUNG: Fortlaufende Upgrades sind nicht für alle Cluster verfügbar. Anweisungen zum Planen eines Upgrades,

zum Vorbereiten des Clusters auf das Upgrade und zum Durchführen eines Upgrades des Betriebssystems finden Sie im

OneFS Upgrades – Isilon Info Hub

Bei einem simultanen Upgrade wird das neue Betriebssystem installiert. Ferner werden alle Nodes im Cluster gleichzeitig neu gestartet. Simultane Upgrades sind schneller als sequenzielle Upgrades, erfordern aber während des Upgradeprozesses eine vorübergehende Serviceunterbrechung. Während des Upgradeprozesses können Sie nicht auf Ihre Daten zugreifen.

Vor Beginn eines simultanen oder fortlaufenden Upgrades vergleicht OneFS das aktuelle Cluster und das aktuelle Betriebssystem mit der neuen Version, um zu überprüfen, ob das Cluster bestimmte Kriterien erfüllt, z. B. die Konfigurationskompatibilität (SMB, LDAP, SmartPools), die Laufwerksverfügbarkeit und das Fehlen kritischer Clusterevents. Wenn das Upgrade ein Risiko für das Cluster darstellt, zeigt OneFS eine Warnung an, stellt Informationen über die Risiken bereit und fordert Sie dazu auf, das Fortsetzen des Upgrades zu bestätigen.

Wenn das Cluster die Upgradekriterien nicht erfüllt, wird das Upgrade nicht fortgesetzt und der Status „Unsupported“ angezeigt.

ANMERKUNG: Wir empfehlen, dass Sie vor dem Upgrade die optionalen Prüfungen ausführen. Vor dem Start des

Upgrades prüft OneFS, ob Ihr Cluster die nötige Integrität aufweist, damit das Upgrade durchgeführt werden kann.

Einige der Prüfungen vor dem Upgrade sind obligatorisch und werden auch ausgeführt, wenn Sie die optionalen

Prüfungen überspringen. Alle Prüfungen vor dem Upgrade tragen zu einem sichereren Upgrade bei.



RemotesupportOneFS ermöglicht Remotesupport über Secure Remote Services ((E)SRS). Dadurch wird der Isilon-Cluster überwacht und bei vorhandener Berechtigung haben Mitarbeiter des technischen Supports von Isilon Remotezugriff, um Clusterdaten zu erfassen und Troubleshooting zu betreiben. (E)SRS ist ein sicheres Kundensupportsystem, das Remotemonitoring rund um die Uhr und sichere Authentifizierung mit AES-256-Bit-Verschlüsselung und digitalen RSA-Zertifikaten umfasst.

Zwar ist (E)SRS keine lizenzierte Funktion, aber zur Aktivierung von (E)SRS muss der OneFS-Cluster lizenziert sein.

ANMERKUNG: Sie können (E)SRS nicht aktivieren, wenn Sie für den Cluster eine Evaluierungslizenz nutzen. Zum

Aktivieren von (E)SRS muss eine signierte OneFS-Lizenz vorliegen.

Bei entsprechender Konfiguration überwacht (E)SRS den Isilon-Cluster und sendet Warnmeldungen, die die Integrität der Geräte betreffen. Die Mitarbeiter des technischen Supports von Isilon können Remotesitzungen über SSH oder die Dell EMC Back-end-Schnittstelle einrichten. Während der Remotesitzungen können Supportmitarbeiter Remotesupportskripte ausführen, die Diagnosedaten über die Clustereinstellungen und -vorgänge erfassen. Diagnosedaten werden über die sichere (E)SRS-Verbindung an Dell EMC (E)SRS gesendet.

Wenn Sie Remotesupport aktivieren, können Mitarbeiter des technischen Supports von Isilon über die (E)SRS-Verbindung eine sichere SSH-Sitzung mit dem Cluster einrichten. Der Remotezugriff auf den Cluster erfolgt nur im Kontext eines offenen Supportfalls. Sie können Remotesitzungsanfragen durch Mitarbeiter des technischen Supports von Isilon zulassen oder ablehnen.

ANMERKUNG: Für den Zugriff auf den Cluster sind keine Anmeldedaten für allgemeine Clusternutzer oder den

Systemadministrator erforderlich, sondern nur die Anmeldedaten für den Remotesupportnutzer. OneFS speichert die

erforderlichen Nutzeranmeldedaten nicht.

Eine ausführliche Beschreibung der (E)SRS-Funktionen finden Sie in der aktuellen Version des Dokuments EMC Secure Remote Services Technical Description. Weitere Dokumentation zu (E)SRS ist verfügbar unter Dell EMC Support nach Produkt.

Konfigurieren der Unterstützung für Secure Remote ServicesSie können die Unterstützung für Secure Remote Services ((E)SRS) auf dem Isilon-Cluster konfigurieren. (E)SRS wird nun für den gesamten Cluster mit einer einzigen Registrierung konfiguriert. Bei früheren Versionen von OneFS konnte nur auf jeweils einen Node zugegriffen werden.

Vor der Konfiguration von (E)SRS in OneFS muss mindestens ein (E)SRS Virtual Edition Gateway-Server (ESRS V3-Server) installiert und konfiguriert werden. Der ESRS v3-Server fungiert als zentraler Eingang und Ausgang für Remotesupportaktivitäten und Monitoringbenachrichtigungen. Richten Sie gegebenenfalls einen sekundären (E)SRS v3-Server als Failover ein.

(E)SRS bietet keine Unterstützung für die IPv6-Kommunikation. Um (E)SRS-Übertragungen und -Remoteverbindungen zu unterstützen, muss mindestens ein Subnetz auf dem Isilon-Cluster für IPv4-Adressen konfiguriert werden. Alle Nodes, die von (E)SRS gemanagt werden sollen, benötigen mindestens eine Netzwerkschnittstelle, die einem IPv4-Adressenpool angehört.

Wenn Sie die Unterstützung für (E)SRS auf einem Cluster aktivieren, können Sie mit (E)SRS Policy Manager optional Regeln für Remotesupportverbindungen zum Isilon-Cluster erstellen. Der eingerichtete Policy Manager ist vom ESRS v3-System getrennt.

Details zu Policy Manager finden Sie im aktuellen EMC Secure Remote Services Installation Guide.

In der folgenden Tabelle sind die Funktionen und Verbesserungen aufgelistet, die mit (E)SRS für OneFS 8.1 verfügbar sind.

Tabelle 1. (E)SRS -Funktionen und -Verbesserungen


Konsolidierung (E)SRS konsolidiert Zugriffspunkte für den technischen Support durch die Bereitstellung einer einheitlichen, auf Standards basierenden Architektur für Remotezugriff über die Produktlinien von Dell EMC. Zu den Vorteilen zählen geringere Kosten durch das Wegfallen von Modems und Telefonleitungen, kontrollierte Autorisierung des Zugriffs für Remoteserviceereignisse und die konsolidierte Protokollierung von Remotezugriff für Auditprüfungen.

Erhöhte Sicherheit • Umfassende digitale Sicherheit: (E)SRS-Sicherheit umfasst TLS-Datenverschlüsselung (Transport Layer Security),


https://support.emc.com/products/31755_EMC-Secure-Remote-Services/Documentation


https://support.emc.com/products



TLS-1.2-Tunneling mit 256-Bit-AES-Datenverschlüsselung mit SHA-2 (AES, Advanced Encryption Standard), Entity-Authentifizierung (private, digitale Zertifikate) und durch Dell EMC Netzwerksicherheit geprüfte Authentifizierung des Remotezugriffs durch den Nutzer.

• Steuerelemente für die Autorisierung: Policy-Steuerelemente ermöglichen eine angepasste Autorisierung, um unter Verwendung von Policy Manager eine dynamische Genehmigung für Verbindungen zu Ihrer Dell EMC Geräteinfrastruktur auf der Supportanwendungs- und Geräteebene anzunehmen, zu verweigern oder zu erfordern.

• Tunnel für sichere Remotezugriffsitzung: Mit (E)SRS werden Remotesitzungen über sichere IP- und Anwendungsportzuweisungen zwischen Quell- und Zielendpunkten eingerichtet.

Übertragung der Lizenzierung von Nutzungsdaten (E)SRS v3 unterstützt die Übertragung der Lizenznutzungsdaten aus Produkten von Dell EMC nach Dell EMC. Solche Produkte müssen mit (E)SRS v3 gemanagt werden. Die Nutzungsinformationen müssen zum Senden der Nutzungsdaten aktiviert sein. Dell EMC verarbeitet Nutzungsdaten und stellt Berichte mit Nutzungsinformationen bereit, die für Kunden und Dell EMC sichtbar sind, um die Produktnutzung besser nachzuverfolgen und die Compliance zu managen.

Automatische Softwareaktualisierungen (Gatewaysoftware) (E)SRS v3 sucht automatisch nach Softwareaktualisierungen für das (E)SRS VE-Gateway von Dell EMC und benachrichtigt Nutzer per E-Mail, sobald diese verfügbar werden. Darüber hinaus werden im Dashboard der (E)SRS v3-Web-UI die neuesten Aktualisierungen angezeigt, sobald diese verfügbar sind. Nutzer können Aktualisierungen in der (E)SRS v3-Web-UI auswählen und anwenden.

MFT (Managed File Transfer) MFT ist ein bidirektionaler Dateiübertragungsmechanismus, der mit (E)SRS v3 bereitgestellt wird. Mit MFT können Sie große Dateien wie Protokolldateien, Mikrocode, Firmware, Skripte oder große Installationsdateien zwischen dem Produkt und Dell EMC senden und empfangen. Für bidirektionales Datei-Staging wird eine „Verteilungssperre“ verwendet.

Diagnosebefehle und -skripteWenn Sie über (E)SRS Remotesupport aktivieren, können die Mitarbeiter des technischen Supports von Isilon Diagnosebefehle und -skripte anfordern, die Daten über den Isilon-Cluster erfassen, und die Daten dann hochladen.

Skripte basieren auf den Tools isi diagnostics gather und isi diagnostics netlogger. Sie befinden sich auf jedem Node im Verzeichnis /ifs/data/Isilon_Support/.

ANMERKUNG: Die Befehle isi diagnostics gather und isi diagnostics netlogger ersetzen den Befehl

isi_gather_info.

Wenn (E)SRS aktiviert ist, wird zudem das Tool isi_phone_home aktiviert. Der Schwerpunkt dieses Tools liegt auf clusterspezifischen und Node-spezifischen Daten. Es ist so vorkonfiguriert, dass jede Woche Informationen zum Cluster an den technischen Support von Isilon gesendet werden. Sie können isi_phone_home über die OneFS-Befehlszeilenoberfläche deaktivieren oder aktivieren.

In der folgenden Tabelle wird aufgeführt, welche Datenerfassungsaktivitäten mit Remotesupportskripten durchgeführt werden können. Diese Skripte können automatisch auf Anforderung eines Mitarbeiters des technischen Supports von Isilon ausgeführt werden, um Informationen zu den Konfigurationseinstellungen und -vorgängen eines Clusters zu erfassen. Die Informationen werden über die sichere (E)SRS-Verbindung an (E)SRS gesendet, damit sie von den Mitarbeitern des technischen Supports von Isilon analysiert werden können. Die Remotesupportskripte beeinflussen weder Clusterservices noch die Verfügbarkeit Ihrer Daten.


Tabelle 2. Befehle und Unterbefehle für isi diagnostics gatherBefehl Beschreibung

isi diagnostics gatherstart Startet mit der Erfassung und lädt alle aktuellen Clusterprotokollinformationen hoch.

isi diagnostics gatherstop Stoppt das Erfassen von Clusterinformationen.

isi diagnostics gatherstatus Stellt den Clusterstatus bereit.

isi diagnostics gather settings view Zeigt die Erfassungseinstellungen an.

isi diagnostics gather settingsmodify --esrs Legt (E)SRS zum Hochladen der Erfassung fest.

isi diagnostics gather settings modify --ftp-upload Legt fest, ob der Upload nach dem Erfassen der Daten per FTP erfolgen soll.

isi diagnostics gather settingsmodify --ftp-upload-host

Legt den FTP-Host für den Upload fest.

isi diagnostics gather settingsmodify --ftp-upload-pass

Legt das Passwort des FTP-Nutzers fest. Siehe auch --set-ftp-upload-pass.

isi diagnostics gather settingsmodify --ftp-upload-path

Legt den Uploadpfad auf dem FTP-Server fest.

isi diagnostics gather settingsmodify --ftp-upload-proxy

Legt den Proxyserver für FTP fest.

isi diagnostics gather settingsmodify --ftp-upload-proxy-port

Legt den Port für den Proxyserver für FTP fest.

isi diagnostics gather settingsmodify --ftp-upoad-user

Legt den FTP-Nutzer fest.

isi diagnostics gather settingsmodify --gather-mode Legt den Erfassungstyp fest: inkrementell oder vollständig.

isi diagnostics gather settingsmodify --http-upload Legt fest, ob der Upload nach dem Erfassen der Daten über HTTP erfolgen soll.

isi diagnostics gather settingsmodify --help Zeigt die Hilfe für diesen Befehl an.

isi diagnostics gather settingsmodify --http-upload-host

Legt den HTTP-Host für den Upload fest.

isi diagnostics gather settingsmodify --http-upload-path

Legt den Uploadpfad fest.

isi diagnostics gather settingsmodify --http-upload-proxy

Legt den für den HTTP-Upload verwendeten Proxy fest.

isi diagnostics gather settingsmodify --http-upload-proxy-port

Legt den für den HTTP-Upload verwendeten Proxyport fest.

isi diagnostics gather settingsmodify --set-ftp-upload-pass

Gibt --ftp-upload-pass interaktiv an.

isi diagnostics gather settingsmodify --upload Aktiviert den Upload der erfassten Daten.

isi diagnostics gather settingsmodify --verbose Zeigt ausführlichere Informationen an.

Tabelle 3. Befehle und Unterbefehle vom Typ „isi diagnostics netlogger“

Befehl Beschreibung

isi diagnostics netloggerstart Startet den Netlogger-Prozess.

isi diagnostics netloggerstop Beendet den Netlogger-Prozess.

isi diagnostics netloggerstatus Stellt den Netlogger-Status bereit.

isi diagnostics netlogger settingsview Zeigt die Netlogger-Einstellungen an.

isi diagnostics netlogger settingsmodify --clients Legt die zu filternde(n) IP-Adresse(n) des Clients fest.


Befehl Beschreibung

isi diagnostics netlogger settings modify --count

Legt die Anzahl der Erfassungsdateien fest, die gespeichert werden sollen, nachdem der Grenzwert für die Dauer erreicht wurde. Standardmäßig sind dies die letzten 3 Dateien.

isi diagnostics netlogger settings modify --duration

Legt fest, wie lange die Erfassung vor der Rotation der Erfassungsdatei ausgeführt werden soll. Die Standardeinstellung ist 10 Minuten.

isi diagnostics netlogger settings modify --help Zeigt die Hilfe für diesen Befehl an.

isi diagnostics netlogger settings modify --interfaces

Gibt die Netzwerkschnittstellen an, für die die Erfassung durchgeführt werden soll.

isi diagnostics netlogger settings modify --nodelist

Legt die Liste der Nodes fest, für die die Erfassung durchgeführt werden soll.

isi diagnostics netlogger settings modify --ports Legt den/die zu filternden TCP- oder UDP-Port(s) fest.

isi diagnostics netlogger settings modify --protocols

Legt die zu filternden Protokolle fest: TCP, UDP, IP, ARP.

isi diagnostics netlogger settings modify --snaplength

Gibt an, wie viele Daten des Pakets angezeigt werden sollen. Der Standardwert beträgt 320 Byte. Mit dem Wert 0 wird das ganze Paket angezeigt.

Tabelle 4. Clusterinformationsskripte

Aktion Beschreibung

Clean watch folder Löscht den Inhalt von /var/crashGet application data Erfasst Informationen über OneFS-

Anwendungsprogramme und lädt diese hoch

Generate dashboard file daily Erzeugt tägliche Dashboard-Informationen

Generate dashboard file sequence Erzeugt Dashboard-Informationen in der aufgetretenen Reihenfolge

Get ABR data (as built record) Erfasst Bestandsinformationen über die Hardware

Get ATA control and GMirror status Erfasst die Systemausgabe und ruft ein Skript auf, wenn ein Ereignis empfangen wird, das einer vorab festgelegten eventid entspricht

Get cluster data Erfasst Informationen über die allgemeine Clusterkonfiguration und allgemeine Clustervorgänge und lädt diese hoch

Get cluster events Ruft die Ausgabe von vorhandenen kritischen Events ab und lädt die Informationen hoch

Get cluster status Erfasst Details zum Clusterstatus und lädt diese hoch

Get contact info Extrahiert Kontaktinformationen und lädt diese in einer Textdatei hoch

Get contents (var/crash) Lädt die Inhalte von /var/crash hoch

Get job status Erfasst Details für einen Job, der überwacht wird, und lädt diese hoch

Get domain data Erfasst Informationen über die ADS-Domainmitgliedschaft (Active Directory Services) des Clusters und lädt diese hoch

Get file system data Erfasst Informationen zum Status und zur Integrität des OneFS-Dateisystems /ifs/ und lädt sie hoch

Get IB data Erfasst Informationen über die Konfiguration und den Betrieb des InfiniBand-Back-end-Netzwerks und lädt diese hoch


Aktion Beschreibung

Get logs data Erfasst nur die aktuellsten Clusterprotokollinformationen und lädt diese hoch

Get messages Erfasst aktive /var/log/messages-Dateien und lädt sie hoch

Get network data Erfasst Informationen über clusterweite und Node-spezifische Netzwerkkonfigurationseinstellungen und -vorgänge und lädt diese hoch

Get NFS clients Führt einen Befehl aus, um zu prüfen, ob Nodes als NFS-Clients verwendet werden

Get node data Erfasst Node-spezifische Informationen zu Konfiguration, Status und Vorgängen und lädt diese hoch

Get protocol data Erfasst Netzwerkstatusinformationen und Konfigurationseinstellungen für die NFS-, SMB-, HDFS-, FTP- und HTTP-Protokolle und lädt diese hoch

Get Pcap client stats Erfasst Clientstatistiken und lädt diese hoch

Get readonly status Sendet eine Warnung, wenn das Gehäuse geöffnet ist, und lädt eine Textdatei mit den Eventinformationen hoch

Get usage data Erfasst aktuelle und historische Daten zu Node-Performance und Ressourcennutzung und lädt diese hoch

Aktivieren und Konfigurieren (E)SRSIn der OneFS-Web-UI können Sie die Unterstützung für Secure Remote Services ((E)SRS) auf einem Isilon-Cluster aktivieren und konfigurieren.

Die OneFS-Software muss über eine signierte Lizenz verfügen, bevor Sie (E)SRS aktivieren und konfigurieren können.

Darüber hinaus muss ein (E)SRS-Gatewayserver 3.x installiert und konfiguriert sein, bevor Sie (E)SRS für OneFS 8.1 oder höher auf einem Isilon-Cluster aktivieren können. Die IP-Adressenpools, die Gatewayverbindungen verarbeiten, müssen im System vorhanden sein und zu einem Subnetz unter groupnet0 gehören, dem standardmäßigen Systemgruppennetz.

1. Klicken Sie auf Cluster Management > General Settings > Remote Support.

2. Um (E)SRS zu aktivieren, müssen Sie zunächst (E)SRS konfigurieren. Klicken Sie auf Configure ESRS.

3. Wenn Ihre OneFS-Lizenz nicht signiert ist, klicken Sie auf Update license now und befolgen Sie die Anweisungen unter Licensing.

ANMERKUNG: Sie können (E)SRS nicht aktivieren, wenn Sie für den Cluster eine Evaluierungslizenz nutzen. Zum

Aktivieren von (E)SRS muss eine signierte OneFS-Lizenz vorliegen.


Abbildung 1. Warnung aufgrund nicht signierter Lizenz

Wenn Sie eine signierte OneFS-Lizenz hinzugefügt haben, können Sie (E)SRS aktivieren und konfigurieren.

4. Klicken Sie auf Configure ESRS.

5. Geben Sie in das Feld Primary ESRS gateway address eine IPv4-Adresse oder den Namen des primären Gatewayservers ein.

6. Geben Sie in das Feld Secondary ESRS gateway address eine IPv4-Adresse oder den Namen des sekundären Gatewayservers ein.

7. Wählen Sie im Abschnitt Manage subnets and pools die Netzwerkpools aus, die Sie managen möchten.

8. Damit eine Warnmeldung gesendet wird, wenn der Cluster die Verbindung verliert, aktivieren Sie das Kontrollkästchen Create an alert if the cluster loses its connection with ESRS.

9. Um die Einstellungen zu speichern, klicken Sie auf Save Configuration.

10. Wenn Sie mit dem Konfigurieren der Einstellungen fertig sind, klicken Sie auf Enable ESRS, um eine Verbindung zum Gateway herzustellen.Das Anmeldedialogfeld wird angezeigt.

11. Geben Sie den Nutzernamen und das Passwort ein und klicken Sie auf Enable ESRS.Wenn der Nutzername oder das Passwort falsch ist oder wenn der Nutzer nicht bei Dell registriert ist, wird eine Fehlermeldung erzeugt. Suchen Sie im Fehlertext nach dem Abschnitt „u'message“.

Abbildung 2. Fehler aufgrund von ungültiger Angabe für Nutzername oder Passwort


ZugriffszonenDieser Abschnitt enthält die folgenden Themen:

Themen:

• Datensicherheit – Übersicht• Richtlinien zu Basisverzeichnissen• Best Practices für Zugriffszonen• Zugriffszonen auf einem sekundären SyncIQ-Cluster• Grenzwerte für Zugriffszonen• Quality of Service• Zonenbasierte rollenbasierte Zugriffskontrolle (zRBAC)• Zonenspezifische Authentifizierungsanbieter• Managen von Zugriffszonen

Datensicherheit – ÜbersichtInformationen zur Datensicherheit finden Sie im OneFS-Verwaltungshandbuch und im OneFS-CLI-Verwaltungshandbuch.

Richtlinien zu BasisverzeichnissenEin Basisverzeichnis definiert die Dateisystemstruktur, die durch eine Zugriffszone verfügbar gemacht wird. Die Zugriffszone kann Dateien außerhalb des Basisverzeichnisses keinen Zugriff gewähren. Sie müssen jeder Zugriffszone ein Basisverzeichnis zuweisen.

Basisverzeichnisse schränken die Pfadoptionen für verschiedene Funktionen wie SMB-Shares, NFS-Exporte, das HDFS-Stammverzeichnis und die Stammverzeichnisvorlage für lokale Anbieter ein. Das Basisverzeichnis für die standardmäßige Systemzugriffszone ist /ifs. Es kann nicht geändert werden.

Um eine Datenisolierung innerhalb einer Zugriffszone zu erreichen, wird empfohlen, einen eindeutigen Pfad für das Basisverzeichnis zu erstellen, der nicht identisch mit einem anderen Basisverzeichnis ist oder sich mit diesem überschneidet, mit Ausnahme der Systemzugriffszone. Geben Sie beispielsweise nicht /ifs/data/hr als Basisverzeichnis für die Zugriffszonen Zone2 und Zone3 an oder weisen Sie Zone3 nicht /ifs/data/hr/personnel zu, wenn /ifs/data/hr Zone2 zugewiesen ist.

OneFS unterstützt Datenüberschneidungen zwischen Zugriffszonen in Fällen, in denen Daten in Ihren Workflows gemeinsam genutzt werden müssen. Dies macht die Konfiguration der Zugriffszone aber komplexer, was zu zukünftigen Problemen mit dem Clientzugriff führen kann. Um bei sich überschneidenden Daten zwischen Zugriffszonen optimale Ergebnisse zu erzielen, wird empfohlen, dass die Zugriffszonen auch über die gleichen Authentifizierungsanbieter verfügen. Durch gemeinsam genutzte Provider wird sichergestellt, dass Benutzer beim Zugriff auf dieselben Daten über unterschiedliche Zugriffszonen konsistente Identitätsinformationen haben.

Wenn Sie für Zugriffszonen mit gemeinsam genutzten Daten nicht dieselben Authentifizierungsanbieter konfigurieren können, werden die folgenden Best Practices empfohlen:

• Wählen Sie Active Directory als Authentifizierungsprovider in jeder Zugriffszone aus. Dies führt dazu, dass die Dateien global eindeutige SIDs als Identität auf dem Laufwerk speichern, sodass keine Möglichkeit besteht, dass Benutzer aus verschiedenen Zonen Zugriff auf die Daten der anderen Benutzer erhalten.

• Vermeiden Sie, in den Zugriffszonen „Lokal“, „LDAP“ und „NIS“ als Authentifizierungsprovider auszuwählen. Diese Authentifizierungsprovider verwenden UIDs und GIDs, die nicht unbedingt global eindeutig sind. Dadurch besteht die hohe Wahrscheinlichkeit, dass Benutzer aus verschiedenen Zonen auf die Daten der anderen Benutzer zugreifen können.

• Legen Sie die Identität auf dem Laufwerk als nativ oder vorzugsweise auf SID fest. Wenn Nutzerzuordnungen zwischen den Active Directory- und UNIX-Nutzern vorhanden sind oder wenn die Option Services for Unix für den Active Directory-Provider aktiviert ist, speichert OneFS als Identität auf dem Laufwerk SIDs anstatt UIDs.

4

Zugriffszonen 69

Best Practices für ZugriffszonenSie können Konfigurationsprobleme beim Erstellen von Zugriffszonen auf dem Isilon-Cluster vermeiden, wenn Sie die Guidelines zu den Best Practices befolgen.

Best Practice Details

Erstellen Sie eindeutige Basisverzeichnisse. Um eine Datenisolierung zu erreichen, muss der Basisverzeichnispfad jeder Zugriffszone eindeutig sein und darf nicht mit dem Basisverzeichnis einer anderen Zugriffszone überlappen oder in ihr verschachtelt sein. Eine Überlappung ist zwar erlaubt, sollte aber nur verwendet werden, wenn Daten in Ihren Workflows gemeinsam genutzt werden müssen.

Trennen Sie die Funktion der Systemzone von anderen Zugriffszonen.

Reservieren Sie die Systemzone für den Konfigurationszugriff und erstellen Sie zusätzliche Zonen für den Datenzugriff. Verschieben Sie aktuelle Daten aus der Systemzone und in eine neue Zugriffszone.

Erstellen Sie Zugriffszonen, um den Datenzugriff für mehrere Clients oder Benutzer zu isolieren.

Erstellen Sie keine Zugriffszonen, wenn für einen Workflow die Datenfreigabe zwischen unterschiedlichen Client- oder Benutzerklassen erforderlich ist.

Weisen Sie jeder Zugriffszone nur einen Authentifizierungsanbietertyp zu.

Eine Zugriffszone ist auf einen einzigen Active Directory-Anbieter begrenzt; OneFS lässt jedoch mehrere LDAP-, NIS- und Dateiauthentifizierungsanbieter in jeder Zugriffszone zu. Es wird empfohlen, dass Sie nur eine Art jedes Anbieters pro Zugriffszone zuordnen, um die Administration zu vereinfachen.

Vermeiden Sie überschneidende UID- oder GID-Bereiche für Authentifizierungsanbieter in derselben Zugriffszone.

Das Potenzial für Zonenzugriffskonflikte ist klein aber vorhanden, wenn überschneidende UIDs/GIDs in derselben Zugriffszone vorhanden sind.

Zugriffszonen auf einem sekundären SyncIQ-ClusterMit einigen Einschränkungen ist es möglich, auf einem sekundären SyncIQ-Cluster Zugriffszonen für Backup und Disaster Recovery zu erstellen.

Wenn Sie über eine aktive SyncIQ-Lizenz verfügen, können Sie ein sekundäres Isilon-Cluster zu Backup- und Failover-Zwecken verwalten, falls Ihr primärer Server offline geschaltet wird. Wenn Sie einen Replikationsjob auf dem primären Server ausführen, werden filebasierte Daten auf dem Backupserver repliziert, einschließlich Verzeichnispfaden und anderen Metadaten, die mit diesen Dateien verknüpft sind.

Allerdings werden Systemkonfigurationseinstellungen, wie z. B. Zugriffszonen, nicht auf dem sekundären Server repliziert. In einem Failover-Szenario möchten Sie für primäre und sekundäre Cluster wahrscheinlich ähnliche, wenn nicht sogar identische Konfigurationseinstellungen festlegen.

In den meisten Fällen (auch bei Zugriffszonen) empfehlen wir, dass Sie die Systemeinstellungen vor der Ausführung eines SyncIQ-Replikationsjobs konfigurieren. Der Grund dafür ist, dass ein Replikationsjob Zielverzeichnisse in den schreibgeschützten Modus versetzt. Wenn Sie versuchen, eine Zugriffszone zu erstellen, in der das Basisverzeichnis bereits schreibgeschützt ist, wird das von OneFS verhindert, und eine Fehlermeldung wird generiert.

Grenzwerte für ZugriffszonenSie können Guidelines zu Grenzwerten für Zugriffszonen befolgen, um die Workloads des OneFS-Systems zu optimieren.

Wenn Sie auf einem Isilon-Cluster mehrere Zugriffszonen konfigurieren, werden zur Optimierung der Systemleistung bestimmte Guidelines zu Grenzwerten empfohlen. Die im Isilon OneFS Technical Specifications Guide beschriebenen Grenzwerte werden für anspruchsvolle Unternehmensworkflows auf einem Cluster empfohlen. Dabei wird jede Zugriffszone als separater physischer Server behandelt. Sie finden dieses Handbuch mit technischen Spezifikationen und die zugehörige Isilon-Dokumentation unter OneFS 8.1.0 Documentation – Isilon Info Hub.

70 Zugriffszonen



Quality of ServiceSie können obere Grenzwerte für die Servicequalität festlegen, indem Sie jeder Zugriffszone bestimmte physische Ressourcen zuweisen.

Servicequalität bezieht sich auf Performancemerkmale der physischen Hardware, die gemessen, verbessert und manchmal garantiert werden kann. Die gemessenen Merkmale für die Servicequalität umfassen u. a. Durchsatzraten, CPU-Auslastung und Festplattenkapazität. Wenn Sie physische Hardware in einem Isilon-Cluster über mehrere virtuelle Instanzen hinweg gemeinsam nutzen, entsteht eine Konkurrenz zwischen den folgenden Services:

• CPU• Speicher• Netzwerkbandbreite• Festplatten-I/O• Festplattenkapazität

Zugriffszonen bieten keine Servicequalitätsgarantie für logische Ressourcen. Sie können diese Ressourcen jedoch zwischen Zugriffszonen in einem einzigen Cluster partitionieren. In der folgenden Tabelle werden einige Möglichkeiten beschrieben, wie Ressourcen zur Verbesserung der Servicequalität partitioniert werden können:

Verwenden Sie Anmerkungen

NICs Sie können bestimmte NICs auf bestimmten Nodes einem IP-Adressenpool zuweisen, der mit einer Zugriffszone verknüpft ist. Durch Zuweisen dieser NICs können Sie die Nodes und Schnittstellen bestimmen, die mit einer Zugriffszone verknüpft sind. Dies ermöglicht eine Trennung von CPU, Arbeitsspeicher und Netzwerkbandbreite.

SmartPools SmartPools werden in der Regel durch Äquivalenzklassen für die Node-Hardware in mehrere Stufen von hoher, mittlerer bis niedriger Performance unterteilt. Die Daten, die in einen SmartPool geschrieben werden, werden nur auf die Festplatten der Nodes in diesem Pool geschrieben.

Die Verknüpfung eines IP-Adressenpools lediglich mit den Nodes eines einzigen SmartPool ermöglicht die Partitionierung von Festplatten-I/O-Ressourcen.

SmartQuotas Mit SmartQuotas können Sie die Festplattenkapazität nach Benutzer oder Gruppe oder innerhalb eines Verzeichnisses begrenzen. Durch Anwendung einer Quota auf das Basisverzeichnis einer Zugriffszone können Sie die in dieser Zugriffszone verwendete Festplattenkapazität beschränken.

Zonenbasierte rollenbasierte Zugriffskontrolle (zRBAC)Sie können Nutzern auf Basis von Zugriffszonen Rollen und eine Teilmenge von Berechtigungen zuweisen.

Die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) unterstützt die Erteilung von Berechtigungen an Nutzer und die Möglichkeit, bestimmte Aufgaben auszuführen. Aufgaben wie das Erstellen, Ändern oder Anzeigen von NFS-Exporten, SMB Shares und Authentifizierungsanbietern sowie verschiedene Clustereinstellungen können über die Plattform-API vorgenommen werden.

Nutzer möchten diese Aufgaben möglicherweise in einer einzigen Zugriffszone durchführen, was einem lokalen Administrator beispielsweise ermöglichen würde, SMB Shares für eine bestimmte Zugriffszone zu erstellen, ihm aber nicht gestattet, Konfigurationsänderungen vorzunehmen, die sich auf andere Zugriffszonen auswirken.

Vor zRBAC wurden nur Nutzern in der Systemzugriffszone Berechtigungen gewährt. Diese Nutzer können die Konfiguration in allen anderen Zugriffszonen anzeigen und ändern. Daher war ein Nutzer mit einer bestimmten Berechtigung ein globaler Administrator für die Konfiguration, auf die über diese Berechtigung zugegriffen werden konnte.

zRBAC ermöglicht die Zuweisung von Rollen und einer Teilmenge von Berechtigungen auf Basis von Zugriffszonen. Administrationsaufgaben, die von auf Zugriffszonen basierenden Berechtigungen abhängig sind, können an den Administrator einer bestimmten Zugriffszone delegiert werden. Daher erhalten Sie die Möglichkeit, einen lokalen Administrator zu erstellen, der für eine

Zugriffszonen 71

einzelne Zugriffszone zuständig ist. Ein Nutzer in der Systemzugriffszone kann alle anderen Zugriffszonen bearbeiten und bleibt ein globaler Administrator.

Berechtigungen für Zugriffszonen, die keine Systemzugriffszonen sindDie für Zugriffszonen, die keine Systemzugriffszonen sind, verfügbaren Berechtigungen sind in der folgenden Tabelle aufgeführt.

Berechtigung Beschreibung

ISI_PRIV_AUDIT • Hinzufügen/Entfernen der Zone in der Liste der überwachten Zonen• Anzeigen/Ändern von zonenspezifischen Auditeinstellungen für Ihre Zone• Anzeigen von globalen Auditeinstellungen

ISI_PRIV_AUTH • Anzeigen/Bearbeiten Ihrer Zugriffszone• Erstellen/Ändern/Anzeigen von Rollen in Ihrer Zugriffszone• Anzeigen/Ändern von Einstellungen zur Authentifizierungszuordnung für Ihre Zone• Anzeigen globaler Einstellungen im Zusammenhang mit der Authentifizierung

ISI_PRIV_FILE_FILTER Verwenden Sie alle mit dieser Berechtigung verknüpften Funktionen in Ihrer eigenen Zone.

ISI_PRIV_HDFS Verwenden Sie alle mit dieser Berechtigung verknüpften Funktionen in Ihrer eigenen Zone.

ISI_PRIV_NFS • Anzeigen, aber nicht Ändern von globalen NFS-Einstellungen• Verwenden Sie ansonsten alle mit dieser Berechtigung verknüpften Funktionen in Ihrer eigenen

Zone.

ISI_PRIV_ROLE Verwenden Sie alle mit dieser Berechtigung verknüpften Funktionen, aber nur in Ihrer eigenen Zone.

ISI_PRIV_SMB • Anzeigen, aber nicht Ändern von globalen SMB-Einstellungen• Verwenden Sie ansonsten alle mit dieser Berechtigung verknüpften Funktionen in Ihrer eigenen

Zone.

ISI_PRIV_SWIFT Verwenden Sie alle mit dieser Berechtigung verknüpften Funktionen in Ihrer eigenen Zone.

ISI_PRIV_VCENTER Konfigurieren von VMware vCenter

ISI_PRIV_LOGIN_PAPI Zugreifen auf die Web-UI aus einer Zugriffszone, die keine Systemzugriffszone ist

ISI_PRIV_BACKUP Umgehen der Prüfungen von Dateiberechtigungen und Zuteilung sämtlicher Leseberechtigungen

ISI_PRIV_RESTORE Umgehen der Prüfungen von Dateiberechtigungen und Zuteilung sämtlicher Schreibberechtigungen

ISI_PRIV_NS_TRAVERSE Durchlaufen und Anzeigen von Verzeichnismetadaten innerhalb des Zonenbasispfads

ISI_PRIV_NS_IFS_ACCESS Zugreifen auf Verzeichnisse innerhalb des Zonenbasispfads über RAN

In Zonen, die keine Systemzonen sind, integrierte RollenIn einer Zone, die keine Systemzugriffszone ist, werden 2 integrierte Rollen bereitgestellt. Die Rollen mit ihren Berechtigungen sind unten aufgeführt:

Rolle Beschreibung Rechte

ZoneAdmin Ermöglicht die Verwaltung von Konfigurationsaspekten im Zusammenhang mit der aktuellen Zugriffszone

• ISI_PRIV_LOGIN_PAPI• ISI_PRIV_AUDIT• ISI_PRIV_FILE_FILTER• ISI_PRIV_HDFS• ISI_PRIV_NFS• ISI_PRIV_SMB• ISI_PRIV_SWIFT• ISI_PRIV_VCENTER• ISI_PRIV_NS_TRAVERSE

72 Zugriffszonen

Rolle Beschreibung Rechte

• ISI_PRIV_NS_IFS_ACCESS

ZoneSecurityAdmin Ermöglicht die Verwaltung von Aspekten der Sicherheitskonfiguration im Zusammenhang mit der aktuellen Zugriffszone

• ISI_PRIV_LOGIN_PAPI• ISI_PRIV_AUTH• ISI_PRIV_ROLE

ANMERKUNG: Diesen Rollen werden keine Standardnutzer automatisch zugewiesen.

Zonenspezifische AuthentifizierungsanbieterDieser Abschnitt enthält einige Informationen zur Funktionsweise von Authentifizierungsanbietern mit zRBAC.

Authentifizierungsanbieter sind globale Objekte in einem OneFS-Cluster. Allerdings ist ein Authentifizierungsanbieter als Teil der zRBAC-Funktion implizit mit der Zugriffszone verknüpft, in der er erstellt wurde, und weist bestimmte Verhaltensweisen auf, die auf dieser Zuordnung basieren.

• In der Systemzone erstellte Authentifizierungsanbieter können in allen Zugriffszonen angezeigt und verwendet werden. Allerdings können sie nur durch eine Anfrage aus der Systemzugriffszone geändert oder gelöscht werden.

• Ein Authentifizierungsanbieter, der in einer anderen (oder für eine andere) Zugriffszone als der Systemzone erstellt wurde, kann nur in dieser Zugriffszone und der Systemzone angezeigt bzw. geändert oder gelöscht werden.

• Beim Erstellen einer Zugriffszone wird stets implizit ein lokaler Authentifizierungsanbieter erstellt und dieser Zugriffszone zugeordnet.• Ein lokaler Authentifizierungsanbieter für eine andere Zugriffszone als die Systemzone kann von einer anderen Zugriffszone nicht mehr

verwendet werden. Wenn Sie einen lokalen Authentifizierungsanbieter in mehreren Zugriffszonen nutzen möchten, muss es sich um den lokalen Anbieter der Systemzone handeln.

• Der Name eines Authentifizierungsanbieters ist nach wie vor global. Aus diesem Grund müssen Authentifizierungsanbieter eindeutige Namen besitzen. Daher können Sie nicht etwa in verschiedenen Zugriffszonen 2 LDAP-Anbieter namens ldap5 erstellen.

• Der Kerberos-Anbieter kann nur in der Systemzugriffszone erstellt werden.• Zum Erstellen von 2 unterschiedlichen AD-Anbietern (Active Directory) für dasselbe AD muss möglicherweise die AD-Funktion für

mehrere Instanzen verwendet werden. Um dem AD-Anbieter einen eindeutigen Namen zuzuweisen, verwenden Sie --instance.

Managen von ZugriffszonenSie können auf einem Isilon-Cluster Zugriffszonen erstellen und löschen sowie Zugriffszoneneinstellungen anzeigen und ändern.

Erstellen einer ZugriffszoneSie können eine Zugriffszone erstellen und ein Basisverzeichnis sowie Authentifizierungsanbieter definieren.

1. Klicken Sie auf Access > Access Zones.

2. Klicken Sie auf Create an access zone.

3. Geben Sie im Feld Zone Name einen Namen für die Zugriffszone ein.

4. Geben Sie im Feld Zone Base Directory den Pfad des Stammverzeichnisses für die Zugriffszone ein oder navigieren Sie zu diesem Pfad.

5. Wenn das von Ihnen festgelegte Verzeichnis nicht bereits im System vorhanden ist, aktivieren Sie das Kontrollkästchen Create zone base directory if it does not exist.

6. Wählen Sie in der Liste Groupnet ein Gruppennetz aus, das mit der Zugriffszone verknüpft werden soll. Die Zugriffszone kann nur mit IP-Adressenpools und Authentifizierungsanbietern verknüpft werden, die dasselbe ausgewählte Gruppennetz haben.

7. Optional: Klicken Sie auf Add a Provider, um das Fenster Add a New Auth Provider zu öffnen, und wählen Sie einen Authentifizierungsanbieter für die Zugriffszone aus.

a) Wählen Sie in der Liste Authentication Provider Type einen Anbietertyp aus. Ein Anbietertyp wird nur dann angezeigt, wenn eine Instanz dieses Typs im System vorhanden ist.

b) Wählen Sie in der Liste Authentication Provider einen Authentifizierungsanbieter aus.c) Um die Reihenfolge zu ändern, in der Authentifizierungsanbieter während der Authentifizierung und der Benutzersuche durchsucht

werden, klicken Sie auf die Titelleiste einer Anbieterinstanz und ziehen Sie sie auf eine neue Position in der Liste.

8. Klicken Sie auf Create Zone.

Zugriffszonen 73

9. Wenn das von Ihnen festgelegte Verzeichnis sich mit dem Basisverzeichnis einer anderen Zugriffszone überlappt, klicken Sie in der Systemeingabeaufforderung auf Create, um zu bestätigen, dass der Zugriff für Benutzer in beiden Zugriffszonen ermöglicht werden soll.

Bevor Benutzer eine Verbindung mit einer Zugriffszone herstellen können, müssen Sie sie mit einem IP-Adressenpool verknüpfen.

Zugehörige Konzepte

Datensicherheit – Übersicht

Managen von Zugriffszonen

Zugehörige Tasks

Verknüpfen eines IP-Adressenpools mit einer Zugriffszone

Zuweisen eines überlappenden BasisverzeichnissesSie können sich überlappende Basisverzeichnisse zwischen Zugriffszonen erstellen, wenn in Ihren Workflows gemeinsam genutzte Daten erforderlich sind.


2. Klicken Sie neben der Zugriffszone, die Sie ändern möchten, auf View/Edit.Das Fenster View Access Zone Details wird angezeigt.

3. Klicken Sie auf Edit.Das Fenster Edit Access Zone Details wird angezeigt.

4. Geben Sie im Feld Zone Base Directory den Pfad des Stammverzeichnisses für die Zugriffszone ein oder navigieren Sie zu diesem Pfad.


Sie werden aufgefordert, zu bestätigen, dass sich das von Ihnen festgelegte Verzeichnis mit dem Basisverzeichnis einer anderen Zugriffszone überlappt.

6. Klicken Sie in der Systemeingabeaufforderung auf Update, um zu bestätigen, dass Sie den Datenzugriff für Benutzer in beiden Zugriffszonen ermöglichen möchten.

7. Klicken Sie auf Close.





Managen eines Authentifizierungsanbieters in einer ZugriffszoneSie können einen Authentifizierungsanbieter zu einer Zugriffszone hinzufügen und daraus entfernen und die Reihenfolge managen, in der die Anbieter während des Authentifizierungsprozesses geprüft werden.




4. Optional: Klicken Sie auf Add a Provider, um das Fenster Add a New Auth Provider zu öffnen, und wählen Sie einen Authentifizierungsanbieter für die Zugriffszone aus.

a) Wählen Sie in der Liste Authentication Provider Type einen Anbietertyp aus. Ein Anbietertyp wird nur dann angezeigt, wenn eine Instanz dieses Typs im System vorhanden ist.

b) Wählen Sie in der Liste Authentication Provider einen Authentifizierungsanbieter aus.c) Um die Reihenfolge zu ändern, in der Authentifizierungsanbieter während der Authentifizierung und der Benutzersuche durchsucht

werden, klicken Sie auf die Titelleiste einer Anbieterinstanz und ziehen Sie sie auf eine neue Position in der Liste.

5. Klicken Sie auf Create Zone.

74 Zugriffszonen

6. Wenn das von Ihnen festgelegte Verzeichnis sich mit dem Basisverzeichnis einer anderen Zugriffszone überlappt, klicken Sie in der Systemeingabeaufforderung auf Create, um zu bestätigen, dass der Zugriff für Benutzer in beiden Zugriffszonen ermöglicht werden soll.





Verknüpfen eines IP-Adressenpools mit einer ZugriffszoneSie können einen IP-Adressenpool mit einer Zugriffszone verknüpfen, um sicherzustellen, dass Clients über den Bereich der im Pool zugewiesenen IP-Adressen eine Verbindung mit der Zugriffszone herstellen können.

Der IP-Adressenpool muss zum selben Gruppennetz gehören, das von der Zugriffszone referenziert wird.

1. Klicken Sie auf Cluster Management > Network Configuration > External Network.

2. Klicken Sie neben dem IP-Adressenpool, den Sie ändern möchten, auf View/Edit.Das Fenster View Pool Details wird angezeigt.

3. Klicken Sie auf Edit.Das Fenster Edit Pool Details wird angezeigt.

4. Wählen Sie in der Liste Access Zone die Zugriffszone aus, die mit dem Pool verknüpft werden soll.





Ändern einer ZugriffszoneSie können die Eigenschaften einer beliebigen Zugriffszone mit einigen Ausnahmen ändern: Der Name der integrierten Systemzone und das ausgewählte Gruppennetz können nicht geändert werden.




4. Ändern Sie die Einstellungen nach Bedarf, klicken Sie auf Save Changes und dann auf Close.




Löschen einer ZugriffszoneSie können jede Zugriffszone mit Ausnahme der integrierten Systemzone löschen. Wenn Sie eine Zugriffszone löschen, bleiben alle verknüpften Authentifizierungsanbieter für andere Zonen verfügbar, die IP-Adressen werden anderen Zonen jedoch nicht neu zugewiesen. SMB-Freigaben, NFS-Exporte und HDFS-Datenpfade werden gelöscht, wenn Sie eine Zugriffszone löschen. Die Verzeichnisse und Daten sind jedoch noch vorhanden und Sie können neue Freigaben, Exporte oder Pfade in einer anderen Zugriffszone zuordnen.


2. Klicken Sie in der Tabelle der Zugriffszonen neben der Zugriffszone, die Sie löschen möchten, auf Delete.

3. Klicken Sie im Dialogfeld Confirm Delete auf Delete.



Zugriffszonen 75


Anzeigen einer Liste aller ZugriffszonenSie können eine Liste aller Zugriffszonen auf dem Cluster anzeigen.


2. Klicken Sie neben der Zugriffszone, die Sie anzeigen möchten, auf View/Edit.Das Fenster View Access Zone Details wird angezeigt.





Ändern einer Rolle in einer ZugriffszoneMithilfe der Liste Current Access Zone können Sie Rollen auf Zonenebene ändern.

1. Klicken Sie auf Access > Membership & Roles > Roles.

2. Wählen Sie in der Liste Current Access Zone die zu ändernde Rolle auf Zonenebene aus.Die dieser Zugriffszone zugeordneten Rollen werden angezeigt.

3. Wählen Sie im Bereich Roles eine Rolle aus und klicken Sie auf View/Edit.Das Dialogfeld View role details wird angezeigt.

ANMERKUNG: Wählen Sie in der Liste More die Option Copy oder Delete aus, um eine Rolle entweder zu kopieren

oder zu löschen.

4. Klicken Sie auf Edit Role und ändern Sie die Einstellungen im Dialogfeld Edit role details nach Bedarf.

5. Um zum Dialogfeld View Role Details zurückzukehren, klicken Sie auf Save Changes.


76 Zugriffszonen

AuthentifizierungDieser Abschnitt enthält die folgenden Themen:

Themen:

• Authentifizierungsübersicht• Authentifizierungsanbieterfunktionen• SID-Verlauf – Übersicht• Unterstützte Authentifizierungsanbieter• Active Directory• LDAP• NIS• Kerberos-Authentifizierung• Dateianbieter• Lokaler Anbieter• Active Directory mit mehreren Instanzen• Managen von Active Directory-Anbietern• Managen von LDAP-Anbietern• Managen von NIS-Anbietern• Managen der MIT Kerberos-Authentifizierung• Managen von Dateianbietern• Managen von lokalen Benutzern und Gruppen

AuthentifizierungsübersichtSie können die Authentifizierungseinstellungen für Ihren Cluster managen. Zu diesen Einstellungen zählen unter anderem Authentifizierungsanbieter, Active Directory-Domains, LDAP-, NIS- und Kerberos-Authentifizierung, Dateianbieter und lokale Anbieter, Multifaktorauthentifizierung und mehr.

AuthentifizierungsanbieterfunktionenSie können Authentifizierungsanbieter für Ihre Umgebung konfigurieren.

Authentifizierungsanbieter unterstützen eine Mischung von Funktionen, die in der folgenden Tabelle beschrieben sind.

Feature Beschreibung

Authentication Alle Authentifizierungsanbieter unterstützen die Klartextauthentifizierung. Sie können bestimmte Anbieter so konfigurieren, dass sie auch die NTLM- oder Kerberos-Authentifizierung unterstützen.

Benutzer und Gruppen OneFS bietet die Möglichkeit, Benutzer und Gruppen direkt auf dem Cluster zu managen.

Netzwerkgruppen Netzwerkgruppen schränken spezifisch für NFS den Zugriff auf NFS-Exporte ein.

UNIX-zentrische Benutzer- und Gruppeneigenschaften Anmelde-Shell, Stammverzeichnis, UID und GID. Fehlende Informationen werden durch Konfigurationsvorlagen oder zusätzliche Authentifizierungsanbieter ergänzt.

Windows-zentrische Benutzer- und Gruppeneigenschaften NetBIOS-Domain und SID. Fehlende Informationen werden durch Konfigurationsvorlagen ergänzt.

5

Authentifizierung 77


Authentifizierungsübersicht

SID-Verlauf – ÜbersichtIm SID-Verlauf (Security Identifier, Sicherheitskennung) werden die Mitgliedschaften und Zugriffsrechte von Benutzern und Gruppen während einer Active Directory-Domainmigration beibehalten.

Im SID-Verlauf werden die Mitgliedschaften und Zugriffsrechte von Benutzern und Gruppen während einer Active Directory-Domainmigration beibehalten. Wenn ein Objekt in eine neue Domain verschoben wird, erzeugt die neue Domain eine neue SID mit einem eindeutigen Präfix und erfasst die vorherigen SID-Informationen in einem LDAP-Feld. Dadurch wird sichergestellt, dass Benutzer und Gruppen in der neuen Domain dieselben Zugriffsrechte und Berechtigungen erhalten, die sie in der vorherigen Domain hatten.

Beim Arbeiten mit SIDs sollten Sie Folgendes beachten.

• Verwenden Sie historische SIDs nur zur Verwaltung historischer Dateizugriffs- und Authentifizierungberechtigungen.• Verwenden Sie keine historischen SIDs, um neue Benutzer, Gruppen oder Rollen hinzuzufügen.• Verwenden Sie immer die von der Domain definierte aktuelle Objekt-SID, um einen Benutzer zu ändern oder einen Benutzer zu einer

Rolle oder Gruppe hinzuzufügen.

Unterstützte AuthentifizierungsanbieterSie können lokale und Remoteauthentifizierungsanbieter konfigurieren, um den Nutzerzugriff auf einen Cluster zu authentifizieren oder zu verweigern.

In der folgenden Tabelle werden die Funktionen verglichen, die mit jedem der von OneFS unterstützen Authentifizierungsanbieter verfügbar sind. In der folgenden Tabelle zeigt ein x an, dass eine Funktion von einem Anbieter vollständig unterstützt wird. Ein Sternchen (*) zeigt an, dass eine zusätzliche Konfiguration oder Support von einem anderen Anbieter erforderlich ist.

Authentifizierungsanbieter

NTLM Kerberos Benutzer-/Gruppenmanagement

Netzwerkgruppen

UNIX-Eigenschaften (RFC 2307)

Windows-Eigenschaften

Active Directory x x * x

LDAP * x x x *

NIS x x

Lokale x x x x

Datei x x x

MIT Kerberos x * * *



Active DirectoryActive Directory ist eine Microsoft-Implementierung von LDAP- (Lightweight Directory Access Protocol), Kerberos- und DNS-Technologien, mit denen Informationen über Netzwerkressourcen gespeichert werden können. Active Directory bietet viele Funktionen, aber der Hauptgrund für die Verbindung des Clusters mit der Active Directory-Domain besteht in der Authentifizierung von Benutzern und Gruppen.

Sie können den Cluster mit einer Active Directory-Domain verknüpfen, indem Sie den vollständig qualifizierten Domainnamen, der in eine IPv4- oder IPv6-Adresse aufgelöst werden kann, und einen Nutzernamen mit Verknüpfungsberechtigungen angeben. Wenn das Cluster mit einer Active Directory-Domain verknüpft wird, wird ein einziges Active Directory-Computerkonto erstellt. Das Computerkonto erstellt eine Vertrauensbeziehung zur Domain und aktiviert das Cluster zur Authentifizierung und Autorisierung von Benutzern in der Active Directory-Gesamtstruktur. Standardmäßig trägt das Computerkonto denselben Namen wie das Cluster. Wenn der Clustername mehr als 15 Zeichen umfasst, wird der Name gehasht und nach dem Beitritt zur Domain angezeigt.

OneFS unterstützt NTLM und Microsoft Kerberos für die Authentifizierung von Active Directory-Domainbenutzern. NTLM-Clientanmeldedaten werden über den Anmeldeprozess abgerufen und dann in einem verschlüsselten Challenge-/Response-Format für die Authentifizierung zur Verfügung gestellt. Microsoft Kerberos-Clientanmeldedaten werden von einem Key Distribution Center (KDC)

78 Authentifizierung

abgerufen und bei der Einrichtung von Serververbindungen zur Verfügung gestellt. Für mehr Sicherheit und Performance wird empfohlen, Kerberos gemäß den Microsoft-Richtlinien als primäres Authentifizierungsprotokoll für Active Directory zu implementieren.

Jeder Active Directory-Anbieter muss einem Gruppennetz zugeordnet sein. Das Gruppennetz ist ein Netzwerkcontainer der obersten Ebene, der die Hostnamensauflösung für DNS-Namenserver verwaltet und Subnetze und IP-Adressenpools enthält. Das Gruppennetz gibt an, welche Netzwerkeigenschaften der Active Directory-Anbieter bei der Kommunikation mit externen Servern verwenden soll. Das dem Active Directory-Anbieter zugeordnete Gruppennetz kann nicht geändert werden. Stattdessen müssen Sie den Active Directory-Anbieter löschen und erneut mit der neuen Gruppennetzzuordnung erstellen.

Sie können einer Zugriffszone einen Active Directory-Anbieter als Authentifizierungsmethode für Clients hinzufügen, die eine Verbindung über die Zugriffszone herstellen. OneFS unterstützt mehrere Instanzen von Active Directory in einem Isilon-Cluster, Sie können jedoch nur einen Active Directory-Anbieter pro Zugriffszone zuweisen. Die Zugriffszone und der Active Directory-Anbieter müssen dasselbe Gruppennetz verwenden. Konfigurieren Sie mehrere Active Directory-Instanzen nur, um den Zugriff auf mehrere Sätze gegenseitig nicht vertrauenswürdiger Domains zu gewähren. Konfigurieren Sie andernfalls eine einzige Active Directory-Instanz, wenn alle Domains eine Vertrauensbeziehung haben. Sie können die Authentifizierung durch einen Active Directory-Anbieter aufheben, indem Sie den Anbieter aus den zugewiesenen Zugriffszonen löschen.



Managen von Active Directory-Anbietern

LDAPDas LDAP (Lightweight Directory Access Protocol) ist ein Netzwerkprotokoll, mit dem Sie Verzeichnisservices und -ressourcen definieren, abfragen und ändern können.

OneFS kann Benutzer und Gruppen gegen ein LDAP-Repository authentifizieren, um diesen Zugriff auf das Cluster zu gewähren. OneFS unterstützt die Kerberos-Authentifizierung für einen LDAP-Anbieter.

Der LDAP-Service unterstützt die folgenden Funktionen:

• Benutzer, Gruppen und Netzwerkgruppen• Konfigurierbare LDAP-Schemata. Beispielsweise ermöglicht das Schema „ldapsam“ die NTLM-Authentifizierung über das SMB-

Protokoll für Benutzer mit Windows-ähnlichen Attributen.• Einfache BIND-Authentifizierung (mit und ohne TLS).• Serverübergreifende Redundanz und Lastenausgleich mit identischen Verzeichnisdaten• Mehrere LDAP-Anbieterinstanzen für den Zugriff auf Server mit verschiedenen Benutzerdaten• Verschlüsselte Passwörter• IPv4- und IPv6-Server-URIs

Jeder LDAP-Anbieter muss einem Gruppennetz zugeordnet werden. Das Gruppennetz ist ein Netzwerkcontainer der obersten Ebene, der die Hostnamensauflösung für DNS-Namenserver verwaltet und Subnetze und IP-Adressenpools enthält. Das Gruppennetz gibt an, welche Netzwerkeigenschaften der LDAP-Anbieter bei der Kommunikation mit externen Servern verwenden soll. Das dem LDAP-Anbieter zugeordnete Gruppennetz kann nicht geändert werden. Stattdessen müssen Sie den LDAP-Anbieter löschen und erneut mit der neuen Gruppennetzzuordnung erstellen.

Sie können einer Zugriffszone einen LDAP-Anbieter als Authentifizierungsmethode für Clients hinzufügen, die eine Verbindung über die Zugriffszone herstellen. Jede Zugriffszone kann höchstens einen LDAP-Anbieter enthalten. Die Zugriffszone und der LDAP-Anbieter müssen dasselbe Gruppennetz verwenden. Sie können die Authentifizierung durch einen LDAP-Anbieter beenden, indem Sie den Anbieter aus allen verknüpften Zugriffszonen löschen.



Managen von LDAP-Anbietern

NISDer Network Information Service (NIS) sorgt für Einheitlichkeit bei der Authentifizierung und Identität über LANs hinweg. OneFS enthält einen NIS-Authentifizierungsanbieter, mit dem Sie das Cluster mit Ihrer NIS-Infrastruktur integrieren können.

NIS von Sun Microsystems kann Benutzer und Gruppen beim Zugriff auf das Cluster authentifizieren. Der NIS-Anbieter erkennt die Passwort-, Gruppen- und Netzwerkgruppenzuordnungen von einem NIS-Server. Hostnamenabfragen werden ebenfalls unterstützt. Sie können mehrere Server für Redundanz und Lastenausgleich angeben.


Jeder NIS-Anbieter muss einem Gruppennetz zugeordnet werden. Das Gruppennetz ist ein Netzwerkcontainer der obersten Ebene, der die Hostnamensauflösung für DNS-Namenserver verwaltet und Subnetze und IP-Adressenpools Enthält. Das Gruppennetz gibt an, welche Netzwerkeigenschaften der NIS-Anbieter bei der Kommunikation mit externen Servern verwenden soll. Das dem NIS-Anbieter zugeordnete Gruppennetz kann nicht geändert werden. Stattdessen müssen Sie den NIS-Anbieter löschen und erneut mit der neuen Gruppennetzzuordnung erstellen.

Sie können einer Zugriffszone einen NIS-Anbieter als Authentifizierungsmethode für Clients hinzufügen, die eine Verbindung über die Zugriffszone herstellen. Jede Zugriffszone kann höchstens einen NIS-Anbieter enthalten. Die Zugriffszone und der NIS-Anbieter müssen dasselbe Gruppennetz verwenden. Sie können die Authentifizierung durch einen NIS-Anbieter beenden, indem Sie den Anbieter aus allen verknüpften Zugriffszonen löschen.

ANMERKUNG: NIS unterscheidet sich vom Protokoll NIS+, welches von OneFS nicht unterstützt wird.



Managen von NIS-Anbietern

Kerberos-AuthentifizierungKerberos ist ein Netzwerkauthentifizierungsanbieter, der Verschlüsselungstickets für die Sicherung einer Verbindung verhandelt. OneFS unterstützt die Authentifizierungsanbieter Microsoft Kerberos und MIT Kerberos auf einem Cluster. Wenn Sie einen Active Directory-Anbieter konfigurieren, wird der Support für die Microsoft Kerberos-Authentifizierung automatisch bereitgestellt. MIT Kerberos arbeitet unabhängig von Active Directory.

Für die MIT Kerberos-Authentifizierung definieren Sie eine Administrationsdomain, die als „Bereich " bezeichnet wird. Ein Authentifizierungsserver hat innerhalb dieses Bereichs die Berechtigung, einen Benutzer, Host oder Service zu authentifizieren. Der Server kann entweder zu IPv4- oder IPv6-Adressen auflösen. Sie können optional eine Kerberos-Domain definieren, damit weitere Domainerweiterungen mit einem Bereich verknüpft werden.

Der Authentifizierungsserver in einer Kerberos-Umgebung wird als Key Distribution Center (KDC) bezeichnet und verteilt verschlüsselte Tickets. Wenn sich ein Benutzer mit einem MIT Kerberos-Anbieter innerhalb eines Bereichs authentifiziert, wird ein verschlüsseltes Ticket mit dem Serviceprinzipalnamen (SPN) des Benutzers erstellt und validiert, um die Benutzer-ID für den angeforderten Service sicher zu übergeben.

Jeder MIT Kerberos-Anbieter muss einem Gruppennetz zugeordnet werden. Das Gruppennetz ist ein Netzwerkcontainer der obersten Ebene, der die Hostnamensauflösung für DNS-Namenserver verwaltet und Subnetze und IP-Adressenpools enthält. Das Gruppennetz gibt an, welche Netzwerkeigenschaften der Kerberos-Anbieter bei der Kommunikation mit externen Servern verwenden soll. Das dem Kerberos-Anbieter zugeordnete Gruppennetz kann nicht geändert werden. Stattdessen müssen Sie den Kerberos-Anbieter löschen und erneut mit der neuen Gruppennetzzuordnung erstellen.

Sie können einer Zugriffszone einen MIT Kerberos-Anbieter als Authentifizierungsmethode für Clients hinzufügen, die eine Verbindung über die Zugriffszone herstellen. Eine Zugriffszone kann höchstens einen MIT Kerberos-Anbieter enthalten. Die Zugriffszone und der Kerberos-Anbieter müssen dasselbe Gruppennetz verwenden. Sie können die Authentifizierung durch einen MIT Kerberos-Anbieter beenden, indem Sie den Anbieter aus allen verknüpften Zugriffszonen löschen.



Übersicht über Keytabs und SPNsEin Key Distribution Center (KDC) ist ein Authentifizierungsserver, der Konten und Keytabs für Nutzer speichert, die eine Verbindung zu einem Netzwerkservice innerhalb eines Clusters herstellen. Ein Keytab ist eine Schlüsseltabelle, die die Schlüssel speichert, um Kerberos-Tickets zu validieren und zu verschlüsseln.

Eines der Felder in einem Keytab-Eintrag ist ein Serviceprinzipalname (SPN). Ein SPN identifiziert eine einzigartige Serviceinstanz innerhalb eines Clusters. Jeder SPN ist mit einem bestimmten Schlüssel im KDC verknüpft. Benutzer können den SPN und die zugehörigen Schlüssel dazu verwenden, Kerberos-Tickets zu erwerben, die den Zugriff auf verschiedene Services im Cluster ermöglichen. Ein Mitglied der SecurityAdmin-Rolle kann neue Schlüssel für die SPNs erstellen und sie bei Bedarf später ändern. Ein SPN für einen Service wird in der Regel als <service>/<fqdn>@<realm> angezeigt.

ANMERKUNG: SPNs müssen mit dem SmartConnect-Zonennamen und dem FQDN-Hostnamen des Clusters

übereinstimmen. Wenn die SmartConnect-Zoneneinstellungen geändert werden, müssen Sie die SPNs im Cluster

aktualisieren, um die Änderungen wiederzugeben.


Support für das MIT Kerberos-ProtokollMIT Kerberos unterstützt bestimmte Standardnetzwerk-Kommunikationsprotokolle wie HTTP, HDFS und NFS. MIT Kerberos unterstützt nicht die Protokolle SMB, SSH und FTP.

Für den Support des NFS-Protokolls muss MIT Kerberos für einen Export aktiviert sein und ein Kerberos-Anbieter muss innerhalb der Zugriffszone enthalten sein.

DateianbieterMit einem Dateianbieter können Sie einem Isilon-Cluster eine autorisierende Drittanbieterquelle für Nutzer- und Gruppeninformationen bereitstellen. Eine Drittanbieterquelle ist nützlich in UNIX- und Linux-Umgebungen, in denen /etc/passwd-, /etc/group- und etc/netgroup-Dateien über mehrere Server synchronisiert werden.

Standardmäßige BSD-/etc/spwd.db- und -/etc/group-Datenbankdateien fungieren als Ergänzungsspeicher des Dateianbieters auf einem Cluster. Sie erzeugen die Datei spwd.db, indem Sie den Befehl pwd_mkdb in der Befehlszeilenoberfläche (CLI) von OneFS ausführen. Sie können Aktualisierungen der Datenbankdateien in einem Skript festlegen.

Auf einem Isilon-Cluster werden Passwörter von Dateianbietern mit libcrypt gehasht. Für optimale Sicherheit wird empfohlen, das Modular Crypt Format in der /etc/passwd-Quelldatei zu verwenden, um den Hashing-Algorithmus festzulegen. OneFS unterstützt die folgenden Algorithmen für das Modular Crypt Format:

• MD5• NT-Hash• SHA-256• SHA-512

Um Informationen zu anderen verfügbaren Passwortformate zu erhalten, führen Sie in der CLI den Befehl man 3 crypt aus, um die Manpages über Crypt anzuzeigen.

ANMERKUNG: Der integrierte Systemdateianbieter umfasst Services zum Auflisten, Managen und Authentifizieren

gegen Systemkonten wie Stamm, Admin und Niemand. Es wird empfohlen, den Systemdateianbieter nicht zu ändern.



Lokaler AnbieterDer lokale Anbieter bietet Authentifizierungs- und Abfragefunktionen für Benutzerkonten, die von einem Administrator hinzugefügt werden.

Die lokale Authentifizierung kann nützlich sein, wenn Verzeichnisservices wie Active Directory, LDAP oder NIS nicht konfiguriert sind, oder wenn ein bestimmter Benutzer bzw. eine bestimmte Anwendung Zugriff auf das Cluster benötigt. Lokale Gruppen können integrierte Gruppen und Active Directory-Gruppen als Mitglieder umfassen.

Neben dem Konfigurieren von netzwerkbasierten Authentifizierungsquellen können Sie lokale Benutzer und Gruppen managen, indem Sie eine lokale Passwort-Policy für jeden Node im Cluster konfigurieren. In OneFS-Einstellungen sind Komplexität des Passworts, Gültigkeitsdauer und Wiederverwendung von Passwörtern sowie Sperr-Policies bei wiederholten Passworteingaben festgelegt.



Active Directory mit mehreren InstanzenAls lokaler Zonenadministrator können Sie eine eigene AD-Instanz erstellen, selbst wenn die AD-Instanz für dieselbe Domain bereits global oder in einer anderen Zugriffszone erstellt wurde.

Bisher war nur eine Verbindung zu Active Directory möglich und der Name des Active Directory-Anbieters musste mit dem Namen der Domain übereinstimmen, zu der die Verbindung hergestellt wurde. Mit der Einführung von lokalen Authentifizierungsanbietern für Zonen können lokale Zonenadministratoren ihre eigenen Active Directory-Anbieter erstellen und deren Parameter ändern. Um diesen Vorgang durchzuführen, müssen Sie 2 Aktionen ausführen:

• Erstellen eines neuen Anbieterinstanznamens für diesen Anbieter


• Erstellen eines neuen Rechnerkontos für diese Anbieterverbindung

Ein AD-Anbieter hat möglicherweise einen anderen Namen als seinen Domainnamen mit „-instance“. Anschließend kann der Instanzname in Befehlen zum Suchen nach dem jeweiligen AD-Anbieter verwendet werden. Jede Zugriffszone kann nur einen AD-Anbieter aufweisen.

Managen von Active Directory-AnbieternSie können die Active Directory-Anbieter anzeigen, konfigurieren, ändern und löschen. OneFS enthält zusätzlich zur globalen Kerberos-Konfigurationsdatei eine Kerberos-Konfigurationsdatei für Active Directory, die beide in der Befehlszeilenoberfläche konfiguriert werden können. Sie können die Authentifizierung durch einen Active Directory-Anbieter aufheben, indem Sie sie von allen Zugriffszonen löschen, auf denen sie verwendet wird.

Konfigurieren eines Active Directory-AnbietersSie können einen oder mehrere Active Directory-Anbieter konfigurieren, die jeweils mit einer separaten Active Directory-Domain verbunden werden müssen. Wenn Sie einen Active Directory-Anbieter konfigurieren, wird dieser automatisch der Systemzugriffszone hinzugefügt.

ANMERKUNG: Beachten Sie bei der Konfiguration eines Active Directory-Anbieters folgende Informationen:

• Wenn Sie Active Directory von OneFS beitreten, wird die Clusteruhrzeit vom Active Directory-Server aktualisiert,

sofern kein NTP-Server für das Cluster konfiguriert wurde.

• Wenn Sie Benutzer in eine neue oder andere Active Directory-Domain migrieren, müssen Sie die ACL-

Domaininformationen zurücksetzen, nachdem Sie den neuen Anbieter konfiguriert haben. Sie können Tools von

Drittanbietern wie Microsoft SubInACL verwenden.

1. Klicken Sie auf Access > Authentication Providers > Active Directory.

2. Klicken Sie auf Join a domain.

3. Geben Sie im Feld Domain Name den vollständig qualifizierten Active Directory-Domainnamen an, der in eine IPv4- oder eine IPv6-Adresse aufgelöst werden kann.

Der Domainname wird auch als Anbietername verwendet.

4. Geben Sie im Feld User den Benutzernamen eines Kontos ein, das berechtigt ist, der Active Directory-Domain beizutreten.

5. Geben Sie im Feld Password das Passwort für das Benutzerkonto ein.

6. Optional: Geben Sie im Feld Organizational Unit den Namen der Organisationseinheit (OU) für die Verbindung mit dem Active Directory-Server ein. Geben Sie die Organisationseinheit im Format OuName oder OuName1/SubName2 an.

7. Optional: Geben Sie im Feld Machine Account den Namen des Computerkontos ein.

ANMERKUNG: Wenn Sie eine Organisationseinheit für die Verbindung angegeben haben, schlägt der Beitritt zur

Domain fehl, wenn sich das Computerkonto nicht in der Organisationseinheit befindet.

8. Wählen Sie in der Liste Groupnet das Gruppennetz aus, das vom Authentifizierungsanbieter referenziert wird.

9. Optional: Um die Active Directory-Authentifizierung für NFS zu aktivieren, wählen Sie Enable Secure NFS aus.

ANMERKUNG: Wenn Sie eine Organisationseinheit für die Verbindung angegeben haben, schlägt der Beitritt zur

Domain fehl, wenn sich das Computerkonto nicht in der Organisationseinheit befindet.

Wenn Sie diese Einstellung aktivieren, registriert OneFS NFS-SPNs (Service Principal Names) während des Domainbeitritts.

10. Optional: Konfigurieren Sie im Bereich „Advanced Active Directory Settings“ die erweiterten Einstellungen, die Sie verwenden möchten. Es wird empfohlen, dass Sie keine erweiterten Einstellungen ändern, ohne ihre Auswirkungen zu kennen.

11. Klicken Sie auf Join.



Zugehörige Verweise

Einstellungen für Active Directory-Anbieter

Ändern eines Active Directory-AnbietersSie können die erweiterten Einstellungen für einen Active Directory-Anbieter ändern.



2. Klicken Sie in der Tabelle Active Directory Providers auf View details für den Anbieter, dessen Einstellungen Sie ändern möchten.

3. Klicken Sie auf Advanced Active Directory Settings.

4. Klicken Sie für jede Einstellung, die Sie ändern möchten, auf Edit, nehmen Sie die Änderungen vor und klicken Sie dann auf Save.

5. Optional: Klicken Sie auf Close.



Löschen eines Active Directory-AnbietersWenn Sie einen Active Directory-Anbieter löschen, trennen Sie das Cluster von der Active Directory-Domain, die mit dem Anbieter verknüpft ist, und unterbrechen dadurch den Service für Benutzer, die auf den Anbieter zugreifen. Nachdem Sie eine Active Directory-Domain verlassen, können Benutzer nicht mehr vom Cluster auf die Domain zugreifen.


2. Klicken Sie in der Tabelle Active Directory Providers für die Domain, die Sie verlassen möchten, auf Leave.

3. Klicken Sie im Bestätigungsdialogfeld auf Leave.



Einstellungen für Active Directory-AnbieterSie können die erweiterten Einstellungen für einen Active Directory-Anbieter anzeigen oder ändern.

Zulässige Werte Beschreibung

Services For UNIX Gibt an, ob RFC 2307-Attribute für Domain-Controller unterstützt werden sollen. RFC 2307 ist für die Windows-UNIX-Integration und Services für UNIX-Technologien erforderlich.

Map to primary domain Ermöglicht die Abfrage von unqualifizierten Benutzernamen in der primären Domain. Wenn diese Einstellung nicht aktiviert ist, muss die primäre Domain für jeden Authentifizierungsvorgang angegeben werden.

Ignore trusted domains Ignoriert alle vertrauenswürdigen Domains

Trusted Domains Gibt die vertrauenswürdigen Domains an, die einbezogen werden sollen, wenn die Einstellung Ignore Trusted Domains aktiviert ist

Domains to Ignore Gibt die vertrauenswürdigen Domains an, die ignoriert werden sollen, selbst wenn die Einstellung Ignore Trusted Domains deaktiviert ist

Send notification when domain is unreachable Sendet eine Warnmeldung, wie in den globalen Benachrichtigungsregeln angegeben.

Use enhanced privacy and encryption Verschlüsselt die Kommunikation zum und vom Domaincontroller

Home Directory Naming Gibt den Pfad an, der als Vorlage für die Benennung von Stammverzeichnissen verwendet werden soll. Der Pfad muss mit /ifs beginnen und kann Variablen wie %U enthalten, die eingeblendet werden, um den Stammverzeichnispfad für den Benutzer zu erzeugen.

Create home directories on first login Erstellt ein Stammverzeichnis, wenn sich ein Benutzer zum ersten Mal bei einen Stammverzeichnis anmeldet, das für den Benutzer noch nicht vorhanden ist

UNIX Shell Gibt den Pfad zur Anmelde-Shell an, die verwendet werden soll, wenn der Active Directory-Server keine Informationen zur



Anmelde-Shell bereitstellt. Diese Einstellung gilt nur für Benutzer, die über SSH auf das Dateisystem zugreifen.

Query all other providers for UID Wenn keine UID in Active Directory verfügbar ist, werden Active Directory-Benutzer in allen anderen Anbietern zum Zuweisen einer UID gesucht.

Match users with lowercase Wenn keine UID in Active Directory verfügbar ist, werden Active Directory-Benutzernamen vor der Suche in Kleinbuchstaben normalisiert.

Auto-assign UIDs Wenn keine UID in Active Directory verfügbar ist, wird die UID-Zuweisung für nicht zugeordnete Active Directory-Benutzer aktiviert.

Query all other providers for GID Wenn keine GID in Active Directory verfügbar ist, werden Active Directory-Gruppen vor dem Zuweisen einer GID in allen anderen Anbietern gesucht.

Match groups with lowercase Wenn keine GID in Active Directory verfügbar ist, werden Active Directory-Gruppennamen vor der Suche in Kleinbuchstaben normalisiert.

Auto-assign GIDs Wenn keine GID in Active Directory verfügbar ist, wird die GID-Zuweisung für nicht zugeordnete Active Directory-Gruppen aktiviert.

Make UID/GID assignments for users and groups in these specific domains

Schränkt Benutzer- und Gruppenabfragen auf die angegebenen Domains ein

Managen von LDAP-AnbieternSie können LDAP-Anbieter anzeigen, konfigurieren, ändern und löschen. Sie können die Authentifizierung durch einen LDAP-Anbieter aufheben, indem Sie sie von allen Zugriffszonen löschen, auf denen sie verwendet wird.

Konfigurieren eines LDAP-AnbietersWenn Sie einen LDAP-Anbieter konfigurieren, wird dieser automatisch der Systemzugriffszone hinzugefügt.

1. Klicken Sie auf Access > Authentication Providers > LDAP.

2. Klicken Sie auf Add an LDAP Provider.

3. Geben Sie in das Feld LDAP provider name den Namen des Anbieters ein.

4. Geben Sie im Feld Server URIs eine oder mehrere gültige LDAP-Server-URIs ein, jeweils eine pro Zeile im Format ldaps://<server>:<port> (sicheres LDAP) oder ldap://<server>:<port> (nicht-sicheres LDAP). Ein LDAP-Server-URI kann als IPv4-Adresse, IPv6-Adresse oder Hostname angegeben werden.

ANMERKUNG:

• Falls Sie keinen Port angeben, wird der Standardport verwendet. Der Standardport für nicht-sicheres LDAP

(ldap://) ist 389; der Standardport für sicheres LDAP (ldaps://) ist 636. Wenn Sie nicht sicheres LDAP angeben,

wird das Bindungspasswort in Klartext an den Server übertragen.

• Wenn Sie eine IPv6-Adresse angeben, muss diese in eckige Klammern eingeschlossen werden. Beispielsweise ist

„ldap://[2001:DB8:170:7cff::c001]“ das korrekte IPv6-Format für dieses Feld.

5. Aktivieren Sie das Kontrollkästchen Connect to a random server on each request, um nach dem Zufallsprinzip eine Verbindung zu einem LDAP-Server herzustellen. Wenn das Kontrollkästchen nicht aktiviert ist, stellt OneFS in der im Feld Server URIs angegebenen Reihenfolge eine Verbindung zu einem LDAP-Server her.

6. Geben Sie in das Feld Base distinguished name (DN) den DN (Distinguished Name) des Eintrags ein, bei dem die LDAP-Suche beginnen soll.

Basis-DNs können cn (Common Name), l (Locality), dc (Domain Component), ou (Organizational Unit) oder andere Komponenten enthalten. Beispielsweise ist dc=emc,dc=com ein Basis-DN für emc.com.


8. Geben Sie in das Feld Bind DN den Distinguished Name des Eintrags ein, an dem die Bindung mit dem LDAP-Server erfolgen soll.


9. Geben Sie in das Feld Bind DN password das Passwort für die Bindung mit dem LDAP-Server ein.

Die Verwendung dieses Passworts erfordert keine sichere Verbindung. Wenn die Verbindung nicht TLS (Transport Layer Security) verwendet, wird das Passwort im Klartext gesendet.

10. Optional: Passen Sie die Einstellungen in den folgenden Abschnitten des Formulars Add an LDAP provider an die Anforderungen Ihrer Umgebung an:

Option Beschreibung

Default Query Settings Standardeinstellungen für Benutzer-, Gruppen- und Netzwerkgruppenabfragen ändern

User Query Settings Einstellungen für Benutzerabfragen und Stammverzeichnis-Provisioning ändern

Group Query Settings Einstellungen für Gruppenabfragen ändern

Netgroup Query Settings Einstellungen für Netzwerkgruppenabfragen ändern

Advanced LDAP Settings LDAP-Standardattribute mit Benutzerinformationen oder LDAP-Sicherheitseinstellungen ändern

11. Klicken Sie auf Add LDAP Provider.




LDAP-Abfrageeinstellungen

Erweiterte LDAP-Einstellungen

Ändern eines LDAP-AnbietersSie können alle Einstellungen für einen LDAP-Anbieter mit Ausnahme des Namens ändern. Sie müssen mindestens einen Server angeben, damit der Anbieter aktiviert wird.


2. Klicken Sie in der Tabelle LDAP Providers auf View details für den Anbieter, dessen Einstellungen Sie ändern möchten.


4. Optional: Klicken Sie auf Close.



Löschen eines LDAP-AnbietersWenn Sie einen LDAP-Anbieter löschen, wird dieser aus allen Zugriffszonen entfernt. Als Alternative können Sie die Verwendung eines LDAP-Anbieters beenden, indem Sie ihn aus allen Zugriffszonen entfernen, in denen er enthalten ist. Auf diese Weise bleibt der Anbieter für die zukünftige Verwendung verfügbar.


2. Klicken Sie in der Tabelle LDAP Providers für den Anbieter, den Sie löschen möchten, auf Delete.

3. Klicken Sie im Bestätigungsdialogfeld auf Delete.



LDAP-AbfrageeinstellungenSie können den Einstiegspunkt und die Tiefe konfigurieren, gemäß denen nach LDAP-Benutzern, Gruppen und Netzwerkgruppen gesucht wird. Sie können gleichfalls die Einstellungen für das Provisioning von Benutzerstammverzeichnissen konfigurieren.

ANMERKUNG: OneFS ist RFC 2307-vorgabenkonform.


Base distinguished name

Gibt den Basis-DN (Distinguished Name) des Eintrags an, bei dem die LDAP-Suche nach Benutzer-, Gruppen- oder Netzwerkgruppenobjekten startet. Basis-DNs können cn (Common Name), l (Locality), dc (Domain Component), ou (Organizational Unit) oder andere Komponenten enthalten. Beispielsweise ist dc=emc,dc=com, ein Basis-DN für „emc2.de“.

Suchumfang Gibt die Tiefe des Basis-DN an, von dem aus die LDAP-Suche durchgeführt wird. Die folgenden Werte sind gültig:

Standard Wendet den Suchbereich an, der in den Standardabfrageeinstellungen definiert ist. Diese Option ist für den Standardsuchumfang nicht verfügbar.

Base Durchsucht nur den Eintrag am Basis-DN.

One-level Durchsucht alle Einträge direkt eine Ebene unterhalb des Basis-DN.

Subtree Durchsucht den Basis-DN und alle Einträge darunter.

Children Durchsucht alle Einträge unterhalb des Basis-DN, wobei der Basis-DN ausgeschlossen wird.

Search timeout Gibt die Anzahl von Sekunden an, nach denen keine Neuversuche mehr durchgeführt werden sollen und die Suche fehlschlägt. Der Standardwert ist 100. Diese Einstellung ist nur in den Standardabfrageeinstellungen verfügbar.

Query filter Legt den LDAP-Filter für Benutzer-, Gruppen- oder Netzwerkgruppenobjekte fest. Diese Einstellung ist in den Standardabfrageeinstellungen nicht verfügbar.

Authenticate users from this LDAP provider

Gibt an, ob der Anbieter auf Authentifizierungsanforderungen reagieren kann. Diese Einstellung ist nur in den Benutzerabfrageeinstellungen verfügbar.

Home directory naming template

Gibt den Pfad an, der als Vorlage für die Benennung von Stammverzeichnissen verwendet werden soll. Der Pfad muss mit /ifs beginnen und kann Variablen wie %U enthalten, die eingeblendet werden, um den Stammverzeichnispfad für den Benutzer zu erzeugen. Diese Einstellung ist nur in den Benutzerabfrageeinstellungen verfügbar.

Automatically create user home directories on first login

Gibt an, ob bei der ersten Benutzeranmeldung ein Stammverzeichnis erstellt werden soll, wenn für den Benutzer noch kein Stammverzeichnis vorhanden ist. Diese Einstellung ist nur in den Benutzerabfrageeinstellungen verfügbar.

UNIX shell Legt den Pfad zur Anmelde-Shell des Benutzers für Benutzer fest, die über SSH auf das Dateisystem zugreifen. Diese Einstellung ist nur in den Benutzerabfrageeinstellungen verfügbar.

Erweiterte LDAP-EinstellungenSie können LDAP-Sicherheitseinstellungen konfigurieren und die LDAP-Attribute festlegen, die Benutzerinformationen enthalten.

ANMERKUNG: OneFS ist RFC 2307-vorgabenkonform.

Attribut „Name“ Gibt das LDAP-Attribut an, das die UIDs enthält, die als Anmeldenamen verwendet werden. Der Standardwert ist uid.

Attribut „Common name“

Gibt das LDAP-Attribut an, das CNs (Common Names) enthält. Der Standardwert ist cn.

Attribut „Email“ Gibt das LDAP-Attribut an, das E-Mail-Adressen enthält. Der Standardwert ist mail.

Attribut „GECOS field“

Gibt das LDAP-Attribut an, das GECOS-Felder enthält. Der Standardwert ist gecos.

Attribut „UID“ Gibt das LDAP-Attribut an, das UID-Nummern enthält. Der Standardwert ist uidNumber.

Attribut „GID“ Gibt das LDAP-Attribut an, das GIDs enthält. Der Standardwert ist gidNumber.

Attribut „Home directory“

Gibt das LDAP-Attribut an, das Stammverzeichnisse enthält. Der Standardwert ist homeDirectory.

Attribut „UNIX shell“

Gibt das LDAP-Attribut an, das UNIX-Anmelde-Shells enthält. Der Standardwert ist loginShell.


Attribut „Member of“

Legt das Attribut fest, das für die Suche in LDAP nach umgekehrten Mitgliedschaften verwendet werden soll. Dieser LDAP-Wert muss ein Attribut des posixAccount-Benutzertyps sein, das die Gruppen beschreibt, denen der POSIX-Benutzer angehört. Diese Einstellung hat keinen Standardwert.

Attribut „Netgroup members“

Gibt das LDAP-Attribut an, das Netzwerkgruppenmitglieder enthält. Der Standardwert ist memberNisNetgroup.

Attribut „Netgroup triple“

Gibt das LDAP-Attribut an, das Netzwerkdreiergruppen enthält. Der Standardwert ist nisNetgroupTriple.

Attribut „Group members“

Gibt das LDAP-Attribut an, das Gruppenmitglieder enthält. Der Standardwert ist memberUid.

Attribut „Unique group members“

Gibt das LDAP-Attribut an, das eindeutige Gruppenmitglieder enthält. Dieses Attribut wird verwendet, um festzulegen, welchen Gruppen ein Benutzer angehört, wenn der LDAP-Server statt nach dem Benutzernamen nach dem DN des Benutzers abgefragt wird. Diese Einstellung hat keinen Standardwert.

Attribut „Alternate security identities“

Gibt den Namen an, der bei der Suche nach alternativen Sicherheitsidentitäten verwendet werden soll. Dieser Name wird verwendet, wenn OneFS versucht, einen Kerberos-Prinzipalnamen für einen Benutzer aufzulösen. Diese Einstellung hat keinen Standardwert.

Attribut „UNIX password“

Gibt das LDAP-Attribut an, das UNIX-Passwörter enthält. Diese Einstellung hat keinen Standardwert.

Attribut „Windows password“

Gibt das LDAP-Attribut an, das Windows-Passwörter enthält. Ein häufig verwendeter Wert ist ntpasswdhash.

Certificate authority file

Gibt den vollständigen Pfad zur Stammzertifikatdatei an

Require secure connection for passwords

Gibt an, ob eine TLS-Verbindung (Transport Layer Security) erforderlich ist

Ignore TLS errors Fährt auch dann über eine sichere Verbindung fort, wenn Identitätsprüfungen fehlschlagen.

Managen von NIS-AnbieternSie können NIS-Anbieter anzeigen, konfigurieren und ändern oder NIS-Anbieter löschen, die nicht mehr benötigt werden. Sie können die Authentifizierung durch einen NIS-Anbieter aufheben, indem Sie sie von allen Zugriffszonen löschen, auf denen sie verwendet wird.

Konfigurieren eines NIS-AnbietersWenn Sie einen NIS-Anbieter konfigurieren, wird dieser automatisch der Systemzugriffszone hinzugefügt.

1. Klicken Sie auf Access > Authentication Providers > NIS.

2. Klicken Sie auf Add a NIS provider.

3. Geben Sie im Feld NIS Provider Name einen Namen für den Anbieter ein.

4. Geben Sie im Feld Servers eine oder mehrere gültige, durch Kommas getrennte IPv4-Adressen, Hostnamen oder vollständig qualifizierte Domainnamen ein.

ANMERKUNG: Wenn die Option Load balance servers nicht aktiviert ist, erfolgt der Zugriff in der Reihenfolge, in der

sie aufgelistet sind.

5. Geben Sie im Feld NIS Domain den Domainnamen ein.

6. Optional: Konfigurieren Sie die Einstellung Load balance servers:

• Um auf Zufallsbasis eine Verbindung mit einem NIS-Server herzustellen, aktivieren Sie das Kontrollkästchen.• Um eine Verbindung entsprechend der Reihenfolge herzustellen, in der die NIS-Server im Feld Servers aufgelistet sind,

deaktivieren Sie das Kontrollkästchen.


8. Optional: Geben Sie die Default Query Settings an.


a) Geben Sie im Feld Search Timeout die Anzahl der Sekunden an, nach denen keine weiteren Versuche erfolgen und eine Suche abgebrochen wird. Der Standardwert ist 20.

b) Geben Sie im Feld Retry Frequency den Timeout-Zeitraum in Sekunden an, nach dem eine Anforderung erneut gestartet wird. Der Standardwert ist 5.

9. Optional: Geben Sie die User Query Settings an.

a) Aktivieren Sie das Kontrollkästchen Authenticate users from this provider, um zuzulassen, dass der Anbieter auf Authentifizierungsanforderungen reagieren kann.

b) Geben Sie einen Pfad in das Feld Home Directory Naming ein, der als Vorlage zur Benennung von Stammverzeichnissen verwendet werden soll. Der Pfad muss mit /ifs beginnen und kann Erweiterungsvariablen wie %U enthalten, die eingeblendet werden, um den Stammverzeichnispfad für den Benutzer zu erzeugen. Weitere Informationen finden Sie im Abschnitt zu den Stammverzeichnissen.

c) Aktivieren Sie das Kontrollkästchen Create home directories on first login, um festzulegen, ob bei der ersten Anmeldung eines Benutzers ein Stammverzeichnis erstellt werden soll, wenn für den Benutzer noch kein Stammverzeichnis vorhanden ist.

d) Wählen Sie einen Pfad aus der Liste UNIX Shell aus, um für Benutzer, die über SSH auf das Dateisystem zugreifen, den Pfad zur Anmelde-Shell des Benutzers anzugeben.

10. Optional: Klicken Sie auf Host Name Query Settings und konfigurieren Sie dann die Einstellung Resolve hosts from this provider:

• Um die Hostauflösung zu aktivieren, aktivieren Sie das Kontrollkästchen.• Um die Hostauflösung zu deaktivieren, deaktivieren Sie das Kontrollkästchen.

11. Klicken Sie auf Add NIS provider.



Ändern eines NIS-AnbietersSie können alle Einstellungen für einen NIS-Anbieter mit Ausnahme des Namens ändern. Sie müssen mindestens einen Server angeben, damit der Anbieter aktiviert wird.


2. Klicken Sie in der Tabelle NIS Providers auf View details für den Anbieter, dessen Einstellungen Sie ändern möchten.





Löschen eines NIS-AnbietersWenn Sie einen NIS-Anbieter löschen, wird dieser aus allen Zugriffszonen entfernt. Alternativ können Sie die Verwendung eines NIS-Anbieters beenden, indem Sie ihn aus jeder Zugriffszone entfernen, die ihn enthält, damit der Anbieter für die zukünftige Verwendung verfügbar bleibt.


2. Klicken Sie in der Tabelle NIS Providers für den Anbieter, den Sie löschen möchten, auf Delete.




Managen der MIT Kerberos-AuthentifizierungSie können einen MIT Kerberos-Anbieter für die Authentifizierung ohne Active Directory konfigurieren. Die Konfiguration eines MIT Kerberos-Anbieters umfasst die Erstellung eines MIT Kerberos-Bereichs, die Erstellung eines Anbieters und den Beitritt zu einem vordefinierten Bereich. Optional können Sie eine MIT Kerberos-Domain für den Anbieter konfigurieren. Sie können auch die Verschlüsselungsschlüssel aktualisieren, wenn es Konfigurationsänderungen beim Kerberos-Anbieter gibt. Sie können den Anbieter in eine oder mehrere Zugriffszonen aufnehmen.


Managen von MIT Kerberos-BereichenEin MIT Kerberos-Bereich ist eine Administrationsdomain, die die Grenzen definiert, innerhalb derer ein Authentifizierungsserver dazu berechtigt ist, einen Benutzer oder Service zu authentifizieren. Sie können einen Bereich erstellen, anzeigen, bearbeiten oder löschen. Als Best Practice geben Sie einen Bereichsnamen in Großbuchstaben an.

Erstellen eines MIT-Kerberos-BereichsEin MIT-Kerberos-Bereich ist eine Verwaltungsdomain, die die Grenzen definiert, innerhalb derer ein Authentifizierungsserver berechtigt ist, einen Benutzer oder Service zu authentifizieren. Sie können einen Bereich erstellen, indem Sie ein Key Distribution Center (KDC) und einen Verwaltungsserver definieren.

1. Klicken Sie auf Access > Authentication Providers > Kerberos Provider.

2. Klicken Sie auf Create a Kerberos Realm.

3. Geben Sie in das Feld Realm Name einen Domainnamen in Großbuchstaben ein. Beispiel: CLUSTER-NAME.COMPANY.COM.

4. Aktivieren Sie das Kontrollkästchen Set as the default realm, um den Bereich als Standard festzulegen.

5. Fügen Sie im Feld Key Distribution Centers (KDCs) ein oder mehrere KDCs hinzu, indem Sie die IPv4-Adresse, die IPv6-Adresse oder den Hostnamen der einzelnen Server angeben.

6. Optional: Geben Sie im Feld Admin Server die IPv4-Adresse, die IPv6-Adresse oder den Hostnamen des Administrationsservers an, der die Rolle des Master-KDC übernimmt. Wenn Sie diesen Schritt auslassen, wird das erste KDC, das Sie zuvor hinzugefügt haben, als Standardverwaltungsserver verwendet.

7. Optional: Geben Sie im Feld Default Domain den Domainnamen an, der für die Übersetzung der Serviceprinzipalnamen verwendet werden soll.

8. Klicken Sie auf Create Realm.


Managen von MIT Kerberos-Bereichen

Ändern eines MIT-Kerberos-BereichsSie können einen MIT-Kerberos-Bereich ändern, indem Sie das Key Distribution Center (KDC) und die Verwaltungsservereinstellungen für diesen Bereich ändern.


2. Wählen Sie in der Tabelle Kerberos Realms einen Bereich aus und klicken Sie auf View / Edit.

3. Klicken Sie auf der Seite View a Kerberos Realm auf Edit Realm.

4. Aktivieren oder deaktivieren Sie das Kontrollkästchen Set as the default realm, um die Standardbereichseinstellung zu ändern.

5. Geben Sie im Feld Key Distribution Centers (KDCs) die IPv4-Adresse, die IPv6-Addresse oder den Hostnamen aller zusätzlichen KDC-Server an.

6. Geben Sie im Feld Admin Server die IPv4-Adresse, die IPv6-Adresse oder den Hostnamen des Administrationsservers an, der die Rolle des Master-KDC übernimmt.

7. Geben Sie im Feld Default Domain einen alternativen Domainnamen an, der für die Übersetzung der Serviceprinzipalnamen (SPNs) verwendet werden soll.

8. Klicken Sie auf Save Changes, um zur Seite View a Kerberos Realm zurückzukehren.




Anzeigen eines MIT-Kerberos-BereichsSie können Details zum Namen, zu Key Distribution Centers (KDCs) und zu dem mit einem MIT-Kerberos-Bereich verknüpften Verwaltungsserver anzeigen.


2. Wählen Sie in der Tabelle Kerberos Realms einen Bereich aus und klicken Sie auf View / Edit, um die mit dem Bereich verknüpften Informationen anzuzeigen.




Löschen eines MIT-Kerberos-BereichsSie können einen oder mehrere MIT-Kerberos-Bereiche und alle zugehörigen MIT-Kerberos-Domains löschen. Kerberos-Bereiche werden durch Kerberos-Anbieter referenziert. Daher müssen Sie, bevor Sie einen Bereich löschen, für den Sie einen Anbieter erstellt haben, zuerst diesen Anbieter löschen.


2. Wählen Sie in der Tabelle Kerberos Realms mindestens einen Bereich aus und führen Sie dann eine der folgenden Aktionen aus:

• Zum Löschen eines einzigen Bereichs wählen Sie den Bereich aus und klicken Sie in der Spalte Actions auf More > Delete.• Zum Löschen mehrerer Bereiche wählen Sie die Bereiche aus und wählen Sie dann aus der Liste Select a bulk action die Option

Delete Selection aus.




Managen des MIT Kerberos-AnbietersSie können einen MIT Kerberos-Anbieter erstellen, anzeigen, löschen oder ändern. Sie können die Kerberos-Anbietereinstellungen auch konfigurieren.

Erstellen eines MIT-Kerberos-AnbietersSie können einen MIT-Kerberos-Anbieter erstellen, indem Sie die Anmeldeinformationen für den Zugriff auf ein Cluster über das Key Distribution Center (KDC) des Kerberos-Bereichs erhalten. Dieser Vorgang wird auch als Beitritt zu einem Bereich bezeichnet. Wenn Sie also einen Kerberos-Anbieter erstellen, können Sie auch einem Bereich beitreten, den Sie zuvor erstellt haben. Sie müssen ein Mitglied der SecurityAdmin-Rolle sein, um einen MIT-Kerberos-Anbieter erstellen zu können.

Mithilfe der Weboberfläche können Sie die folgenden Aufgaben über einen einzigen Workflow oder jede Aufgabe einzeln ausführen, bevor Sie den Anbieter erstellen.

• Definieren eines Bereichs• Definieren einer Domain• Managen eines Serviceprinzipalnamens (SPN)


Managen des MIT Kerberos-Anbieters

Erstellen eines MIT-Kerberos-Bereichs, einer Domain und eines AnbietersSie können einen MIT-Kerberos-Bereich, eine Domain und einen Anbieter über einen einzigen Workflow erstellen, statt jedes dieser Objekte einzeln zu konfigurieren.


2. Klicken Sie auf Get Started.Das Fenster Create a Kerberos Realm and Provider wird angezeigt.

3. Geben Sie im Bereich Create Realm im Feld Realm Name einen Domainnamen ein.

Es wird empfohlen, den Domainnamen in Großbuchstaben zu formatieren, z. B. CLUSTER-NAME.COMPANY.COM.

4. Aktivieren Sie das Kontrollkästchen Set as the default realm, um den Bereich als Standard festzulegen.

5. Fügen Sie im Feld Key Distribution Centers (KDCs) ein oder mehrere KDCs hinzu, indem Sie die IPv4-Adresse, die IPv6-Adresse oder den Hostnamen der einzelnen Server angeben.

6. Geben Sie im Feld Admin Server die IPv4-Adresse, die IPv6-Adresse oder den Hostnamen des Administrationsservers an, der die Rolle des Master-KDC übernimmt. Wenn Sie diesen Schritt auslassen, wird das erste KDC, das Sie zuvor hinzugefügt haben, als Standardverwaltungsserver verwendet.

7. Geben Sie im Feld Default Domain den Domainnamen an, der für die Übersetzung der Serviceprinzipalnamen (SPNs) verwendet werden soll.


8. Optional: Geben Sie im Abschnitt Create Domain(s) mindestens einen Domainnamen an, der mit dem Bereich im Feld Domain(s) verknüpft werden soll.

9. Geben Sie im Abschnitt Authenticate to Realm den Namen und das Passwort eines Benutzers an, der zum Erstellen von SPNs im Kerberos-Bereich in den Feldern User und Password berechtigt ist.

10. Wählen Sie im Abschnitt Create Provider das Gruppennetz aus, das vom Authentifizierungsanbieter in der Liste Groupnet referenziert wird.

11. Wählen Sie im Abschnitt Service Principal Name (SPN) Management eine der folgenden Optionen zum Managen von SPNs aus:

• Use recommended SPNs• Manually associate SPNs

Wenn Sie diese Option auswählen, geben Sie mindestens einen SPN im Format service/principal@realm ein, um ihn manuell mit dem Bereich zu verknüpfen.

12. Klicken Sie auf Create Provider and Join Realm.


Erstellen eines MIT-Kerberos-Anbieters

Erstellen eines MIT-Kerberos-Anbieters und Beitreten zu einem BereichSie treten automatisch einem Bereich bei, wenn Sie einen MIT-Kerberos-Anbieter erstellen. Ein Bereich definiert eine Domain, in der die Authentifizierung für einen bestimmten Benutzer oder Service stattfindet.

Sie müssen ein Mitglied der SecurityAdmin-Rolle sein, um die Schaltfläche Create a Kerberos Provider anzeigen und darauf zugreifen zu können.


2. Klicken Sie auf Create a Kerberos Provider.

3. Geben Sie in das Feld User einen Benutzernamen ein, der berechtigt ist, die Serviceprinzipalnamen (SPNs) im Kerberos-Bereich zu erstellen.

4. Geben Sie in das Feld Password das Passwort für den Benutzer ein.

5. Wählen Sie in der Liste Realm den Bereich aus, dem Sie beitreten möchten. Der Bereich muss bereits auf dem System konfiguriert sein.


7. Wählen Sie im Abschnitt Service Principal Name (SPN) Management eine der folgenden Optionen zum Managen von SPNs aus:

• Use recommended SPNs• Manually associate SPNs

Wenn Sie diese Option auswählen, geben Sie mindestens einen SPN im Format service/principal@realm ein, um ihn manuell mit dem Bereich zu verknüpfen.

8. Klicken Sie auf Create Provider and Join Realm.


Erstellen eines MIT-Kerberos-Anbieters

Ändern eines MIT-Kerberos-AnbietersSie können die Bereichsauthentifizierungsinformationen und die Informationen zum Serviceprinzipalnamen (SPN) für einen MIT-Kerberos-Anbieter ändern.

Sie müssen ein Mitglied der SecurityAdmin-Rolle sein, damit die Schaltfläche View / Edit zum Ändern eines MIT-Kerberos-Anbieters angezeigt wird und Sie darauf zugreifen können.


2. Wählen Sie in der Tabelle Kerberos Provider eine Domain aus und klicken Sie auf View / Edit.

3. Klicken Sie auf der Seite View a Kerberos Provider auf Edit Provider.

4. Geben Sie im Abschnitt Realm Authentication Information die Anmeldeinformationen für einen Benutzer mit Berechtigungen zum Erstellen von SPNs im jeweiligen Kerberos-Bereich an.

5. Wählen Sie im Abschnitt Provider Information eine der folgenden Optionen für das Managen der SPNs aus:

• Verwenden Sie die empfohlenen SPNs.


• Geben Sie einen SPN im Format service/principal@realm ein, um den SPN manuell mit dem ausgewählten Bereich zu verknüpfen. Sie können bei Bedarf mehrere SPNs für die Verknüpfung hinzufügen.

6. Klicken Sie auf Save Changes, um zur Seite View a Kerberos Provider zurückzukehren.




Anzeigen eines MIT-Kerberos-AnbietersSie können Informationen zu MIT-Kerberos-Bereichen und mit einem MIT-Kerberos-Anbieter verknüpften Serviceprinzipalnamen (SPNs) anzeigen.


2. Wählen Sie in der Tabelle Kerberos Providers einen Provider aus und klicken Sie auf View / Edit, um die Providerinformationen anzuzeigen, einschließlich des Bereichs, der empfohlenen SPNs und anderer SPNs, die erkannt werden.



Löschen eines MIT-Kerberos-AnbietersSie können einen MIT-Kerberos-Anbieter löschen und aus allen referenzierten Zugriffszonen entfernen. Wenn Sie einen Anbieter löschen, verlassen Sie außerdem einen MIT-Kerberos-Bereich.

Sie müssen ein Mitglied der SecurityAdmin-Rolle sein, um die in diesem Verfahren beschriebenen Aufgaben durchführen zu können.


2. Wählen Sie in der Tabelle Kerberos Providers mindestens einen Anbieter aus und führen Sie dann eine der folgenden Aktionen aus:

• Zum Löschen eines einzigen Anbieters wählen Sie den Anbieter aus und klicken Sie in der Spalte Actions auf More > Delete.• Zum Löschen mehrerer Anbieter wählen Sie die Anbieter aus und wählen Sie dann aus der Liste Select a bulk action die Option

Delete Selection aus.




Konfigurieren der Kerberos-AnbietereinstellungenSie können die Einstellungen eines Kerberos-Anbieters konfigurieren, damit die DNS-Datensätze das Key Distribution Center (KDC), die Kerberos-Bereiche und die mit einem Kerberos-Bereich verknüpften Authentifizierungsserver suchen können. Diese Einstellungen sind für alle Benutzer von Kerberos über alle Nodes, Services und Zugriffszonen global. Einige Einstellungen gelten nur für das clientseitige Kerberos, das für den Beitritt zu einem Bereich oder die Kommunikation mit einem Active Directory-KDC relevant ist. In der Regel müssen Sie die Einstellungen nach der anfänglichen Konfiguration nicht ändern.

1. Klicken Sie auf Access > Authentication Providers > Kerberos Settings.

2. Geben Sie im Feld Default Realm den Bereich an, der für den Serviceprinzipalnamen (SPN) verwendet werden soll. Der Standardbereich ist der erste von Ihnen erstellte Bereich.

3. Aktivieren Sie das Kontrollkästchen, damit immer eine Vorabauthentifizierung gesendet wird. Dies ist eine clientseitige Kerberos-Konfigurationseinstellung.

Wenn Sie dieses Kontrollkästchen aktivieren, können die Kerberos-Ticketanforderungen ENC_TIMESTAMP als Vorabauthentifizierungsdaten einschließen, selbst wenn der Authentifizierungsserver dies nicht angefordert hat. Das ist nützlich, wenn Sie mit Active Directory-Servern arbeiten.

4. Aktivieren Sie das Kontrollkästchen, mit dem Sie angeben, ob die DNS-Serverdatensätze verwendet werden sollen, um die KDCs und andere Server für einen Bereich zu suchen, wenn diese Informationen für den Bereich nicht aufgelistet sind.

5. Aktivieren Sie das Kontrollkästchen, mit dem Sie angeben, ob DNS-Textdatensätze verwendet werden sollen, um den Kerberos-Bereich eines Hosts zu bestimmen.





Managen von MIT Kerberos-DomainsSie können optional MIT Kerberos-Domains definieren, damit weitere Domainerweiterungen mit einem MIT Kerberos-Bereich verknüpft werden. Sie können immer eine Standarddomain für einen Bereich angeben.

Sie können eine MIT Kerberos-Domain erstellen, ändern, löschen oder anzeigen. Ein Kerberos-Domainname ist ein DNS-Suffix, das in der Regel in Kleinbuchstaben angegeben wird.

Erstellen einer MIT-Kerberos-DomainSie erstellen optional eine MIT-Kerberos-Domain, damit abgesehen von den Standarddomains zusätzliche Domainerweiterungen mit einem MIT-Kerberos-Bereich verknüpft werden können.



2. Klicken Sie auf Create a Kerberos Domain.

3. Geben Sie im Feld Domain einen Domainnamen an, der normalerweise ein DNS-Suffix in Kleinbuchstaben ist.

4. Wählen Sie aus der Liste Realm einen Bereich aus, den Sie zuvor konfiguriert haben.

5. Klicken Sie auf Create Domain.


Managen von MIT Kerberos-Domains

Ändern einer MIT-Kerberos-DomainSie können eine MIT-Kerberos-Domain ändern, indem Sie die Bereichseinstellungen ändern.



2. Wählen Sie in der Tabelle Kerberos Domains eine Domain aus und klicken Sie auf View / Edit.

3. Klicken Sie auf der Seite View a Kerberos Domain auf Edit Domain.

4. Wählen Sie aus der Liste Realm einen alternativen Bereich aus.

5. Klicken Sie auf Save Changes, um zur Seite View a Kerberos Domain zurückzukehren.




Anzeigen einer MIT-Kerberos-DomainSie können die Eigenschaften einer MIT-Kerberos-Domainzuordnung anzeigen.


2. Wählen Sie in der Tabelle Kerberos Domains eine Domain aus und klicken Sie auf View / Edit, um die Eigenschaften der Domainzuordnung anzuzeigen.



Löschen einer MIT-Kerberos-DomainSie können eine oder mehrere MIT-Kerberos-Domainzuordnungen löschen.




2. Wählen Sie in der Tabelle Kerberos Domains mindestens eine Domainzuordnung aus und führen Sie dann eine der folgenden Aktionen aus:

• Zum Löschen einer einzigen Domainzuordnung wählen Sie die Zuordnung aus und klicken Sie in der Spalte Actions auf More > Delete.

• Zum Löschen mehrerer Domainzuordnungen wählen Sie die Zuordnungen aus und wählen Sie dann aus der Liste Select a bulk action die Option Delete Selection aus.



Managen von DateianbieternSie können für jede Zugriffszone einen oder mehrere Dateianbieter konfigurieren, jeder jeweils mit einer eigenen Kombination von Austauschdateien. Passwortdatenbankdateien, die auch als Benutzerdatenbankdateien bezeichnet werden, müssen im binären Format vorliegen.

Jeder Dateianbieter bezieht Folgendes direkt von bis zu drei Austauschdatenbankdateien: eine Gruppendatei, die dasselbe Format aufweist wie /etc/group; eine Netzwerkgruppendatei, und eine binäre Passwortdatei, spwd.db, die einen schnellen Zugriff auf die Daten in einer Datei mit dem Format /etc/master.passwd bietet. Sie müssen die Austauschdateien auf das Cluster kopieren und über ihren Verzeichnispfad referenzieren.

ANMERKUNG: Wenn sich die Austauschdateien außerhalb der Verzeichnisstruktur /ifs befinden, müssen Sie sie

manuell auf jeden Node im Cluster verteilen. Änderungen, die an Dateien des Systemanbieters vorgenommen wurden,

werden automatisch über das Cluster verteilt.

Konfigurieren eines DateianbietersSie können für jede Zugriffszone einen oder mehrere Dateianbieter konfigurieren, jeder jeweils mit einer eigenen Kombination von Austauschdateien. Sie können Austauschdateien für alle Kombinationen von Benutzern, Gruppen und Netzwerkgruppen angeben.

1. Klicken Sie auf Access > Authentication Providers > File Provider.

2. Klicken Sie auf Add a file provider.

3. Geben Sie im Feld File provider name einen Namen für den Dateianbieter ein.

4. Um eine Austauschdatei für Benutzer im Feld Path to users file festzulegen, geben Sie den Speicherort der Datei spwd.db an oder navigieren Sie zu diesem.

5. Um eine Austauschdatei für Netzwerkgruppen im Feld Path to netgroups file festzulegen, geben Sie den Speicherort der Datei netgroup an oder navigieren Sie zu diesem.

6. Um eine Austauschdatei für Gruppen im Feld Path to groups file festzulegen, geben Sie den Speicherort der Datei group an oder navigieren Sie zu diesem.

7. Optional: Konfigurieren Sie folgende Einstellungen:

Option Beschreibung

Authenticate users from this provider

Gibt an, ob der Anbieter auf Authentifizierungsanforderungen reagieren kann.

Create home directories on first login

Gibt an, ob bei der ersten Benutzeranmeldung ein Stammverzeichnis erstellt werden soll, wenn für den Benutzer noch kein Stammverzeichnis vorhanden ist.

Path to home directory Gibt den Pfad an, der als Vorlage für die Benennung von Stammverzeichnissen verwendet werden soll. Der Pfad muss mit /ifs beginnen und kann Erweiterungsvariablen wie %U enthalten, die eingeblendet werden, um den Stammverzeichnispfad für den Benutzer zu erzeugen. Weitere Informationen finden Sie im Abschnitt „Home directories“.

UNIX Shell Legt den Pfad zur Anmelde-Shell des Benutzers für Benutzer fest, die über SSH auf das Dateisystem zugreifen.

8. Klicken Sie auf Add File Provider.


Managen von Dateianbietern



Format der Passwortdatei

Gruppendateiformat

Netzgruppendateiformat

Erzeugen einer PasswortdateiPasswortdatenbankdateien, die auch als Benutzerdatenbankdateien bezeichnet werden, müssen im binären Format vorliegen.

Dieses Verfahren muss über die Befehlszeilenoberfläche (CLI) ausgeführt werden. Nutzungsrichtlinien für Befehle erhalten Sie, indem Sie den Befehl man pwd_mkdb ausführen.

1. Stellen Sie eine SSH-Verbindung zu einem beliebigen Node im Cluster her.

2. Führen Sie den Befehl pwd_mkdb<file> aus, wobei <file> der Standort der Quellpasswortdatei ist.

ANMERKUNG: Standardmäßig wird die binäre Passwortdatei spwd.db im Verzeichnis /etc erstellt. Sie können den

Standort der Datei spwd.db außer Kraft setzen, indem Sie die Option -d mit einem anderen Zielverzeichnis angeben.

Mit dem folgenden Befehl wird eine Datei spwd.db im Verzeichnis /etc aus einer Passwortdatei erzeugt, die sich in /ifs/test.passwd befindet:

pwd_mkdb /ifs/test.passwd

Mit dem folgenden Befehl wird eine Datei spwd.db im Verzeichnis /ifs aus einer Passwortdatei erzeugt, die sich in /ifs/test.passwd befindet:

pwd_mkdb -d /ifs /ifs/test.passwd




Format der Passwortdatei

Format der PasswortdateiDer Dateianbieter verwendet eine binäre Passwortdatenbankdatei: spwd.db. Sie können eine binäre Passwortdatei aus einer formatierten master.passwd-Datei erstellen, indem Sie den Befehl pwd_mkdb ausführen.

Die master.passwd-Datei umfasst zehn durch Doppelpunkte getrennte Felder, wie im folgenden Beispiel dargestellt:

admin:*:10:10::0:0:Web UI Administrator:/ifs/home/admin:/bin/zsh

Die Felder werden unten in der Reihenfolge definiert, in der sie in der Datei angezeigt werden.

ANMERKUNG: UNIX-Systeme definieren das Format passwd oft als Bestandteil dieser Felder und überspringen dabei

die Felder Class, Change und Expiry. Um eine Datei vom Format passwd ins Format master.passwd zu konvertieren,

fügen Sie :0:0: zwischen die Felder GID und Gecos ein.

Username Der Benutzername. Bei diesem Feld wird zwischen Groß- und Kleinschreibung unterschieden. OneFS schränkt die Länge dieses Felds nicht ein. Bei vielen Anwendungen wird der Name jedoch auf 16 Zeichen gekürzt.

Password Das verschlüsselte Passwort des Benutzers. Wenn die Authentifizierung für den Benutzer nicht erforderlich ist, können Sie das Passwort durch ein Sternchen (*) ersetzen. Das Sternchen entspricht garantiert keinem Passwort.

UID Die UNIX-Benutzerkennung. Dieser Wert muss eine Zahl im Bereich 0-4294967294 sein, wobei die Zahl nicht reserviert oder bereits einem Benutzer zugewiesen sein darf. Es treten Kompatibilitätsprobleme auf, wenn dieser Wert mit der UID eines vorhandenen Kontos in Konflikt steht.

GID Die Gruppenkennung der primären Gruppe des Benutzers. Alle Benutzer sind Mitglied mindestens einer Gruppe, die für Zugriffsprüfungen verwendet wird und auch bei der Dateierstellung verwendet werden kann.


Class Dieses Feld wird nicht von OneFS unterstützt und sollte leer gelassen werden.

Change OneFS unterstützt keine Passwortänderung im Dateianbieter. Dieses Feld wird ignoriert.

Expiry OneFS unterstützt keinen Ablauf von Benutzerkonten im Dateianbieter. Dieses Feld wird ignoriert.

Gecos Dieses Feld kann eine Vielzahl von Informationen speichern, wird jedoch normalerweise verwendet, um den vollständigen Namen des Benutzers zu speichern.

Home Der absolute Pfad zum Stammverzeichnis des Benutzers, beginnend bei /ifsShell Der absolute Pfad zur Benutzer-Shell. Wenn dieses Feld auf /sbin/nologin festgelegt ist, wird dem Benutzer

der Befehlszeilenzugriff verweigert.



GruppendateiformatDer Dateianbieter verwendet eine Gruppendatei im Format der Datei /etc/group, die in den meisten UNIX-Systemen vorhanden ist.

Die Datei group besteht aus einer oder mehreren Zeilen, die vier durch Doppelpunkte getrennte Felder aufweisen, wie im folgenden Beispiel gezeigt:

admin:*:10:root,admin

Die Felder werden unten in der Reihenfolge definiert, in der sie in der Datei angezeigt werden.

Gruppenname. Der Namen der Gruppe. Bei diesem Feld wird zwischen Groß- und Kleinschreibung unterschieden. Obwohl OneFS die Länge des Gruppennamens nicht beschränkt, beschränken viele Anwendungen den Namen auf 16 Zeichen.

Passwort Dieses Feld wird von OneFS nicht unterstützt und sollte mit einem Sternchen (*) markiert sein.

GID Die UNIX-Gruppenkennung. Gültige Werte sind jede Nummer im Bereich 0-4294967294, die nicht bereits belegt oder einer Gruppe zugewiesen ist. Es treten Kompatibilitätsprobleme auf, wenn dieser Wert mit der GID einer vorhandenen Gruppe in Konflikt steht.

Gruppenmitglieder Eine durch Kommas getrennte Liste von Benutzernamen



NetzgruppendateiformatEine Netzgruppendatei besteht aus einer oder mehreren Netzwerkgruppen, von denen jede Mitglieder enthalten kann. Hosts, Benutzer oder Domains, die Mitglieder einer Netzwerkgruppe sind, werden in einer Mitgliedsdreiergruppe angegeben. Eine Netzwerkgruppe kann auch andere Netzwerkgruppen enthalten.

Jeder Eintrag in einer netgroup-Datei besteht aus dem Netzwerkgruppennamen, gefolgt von einem durch Leerzeichen abgegrenzten Satz von Mitgliedsdreiergruppen und verschachtelten Netzwerkgruppennamen. Wenn Sie eine verschachtelte Netzwerkgruppe angeben, muss diese auf einer separaten Zeile in der Datei definiert werden.

Eine Mitgliedsdreiergruppe hat die folgende Form:

(<host>, <user>, <domain>)

Dabei ist <host> ein Platzhalter für einen Computernamen, <user> ein Platzhalter für einen Benutzernamen und <domain> ein Platzhalter für einen Domainnamen. Jede beliebige Kombination ist gültig mit Ausnahme einer leeren Dreiergruppe: (,,).

Die folgende Beispieldatei enthält zwei Netzwerkgruppen. Die Netzwerkgruppe „rootgrp“ enthält vier Hosts: Zwei Hosts sind in den Mitgliedsdreiergruppen definiert und zwei Hosts sind in der verschachtelten Netzwerkgruppe „othergrp“ enthalten, die auf der zweiten Zeile definiert ist.

rootgrp (myserver, root, somedomain.com) (otherserver, root, somedomain.com) othergrpothergrp (other-win,, somedomain.com) (other-linux,, somedomain.com)


ANMERKUNG: Eine neue Zeile bezeichnet eine neue Netzwerkgruppe. Sie können einen langen Netzwerkgruppeneintrag

auf der nächsten Zeile fortsetzen, indem Sie ganz rechts auf der ersten Zeile einen umgekehrten Schrägstrich (\)

eingeben.



Ändern eines DateianbietersSie können jede Einstellung für einen Dateianbieter ändern, mit der Ausnahme, dass Sie den Systemdateianbieter nicht umbenennen können.


2. Klicken Sie in der Liste File Providers auf View details für den Anbieter, dessen Einstellungen Sie ändern möchten.





Löschen eines DateianbietersUm die Verwendung eines Dateianbieters zu beenden, können Sie entweder all seine Austauschdateieinstellungen oder den Anbieter selbst dauerhaft löschen.


2. Wählen Sie in der Tabelle File Providers den Anbieternamen aus.

3. Wählen Sie in der Liste Select an action die Option Delete aus.




Managen von lokalen Benutzern und GruppenWenn Sie eine Zugriffszone erstellen, umfasst jede Zone einen lokalen Anbieter, der es Ihnen ermöglicht, lokale Benutzer und Gruppen zu erstellen und zu managen. Auch wenn Sie die Benutzer und Gruppen jedes Authentifizierungsanbieters anzeigen können, können Sie nur Benutzer und Gruppen im lokalen Anbieter erstellen, bearbeiten und löschen.

Anzeigen einer Liste von Benutzern oder Gruppen nach AnbieterSie können die Benutzer und Gruppen jedes beliebigen Authentifizierungsanbieters anzeigen.

1. Klicken Sie auf Access > Membership & Roles.

2. Klicken Sie je nachdem, was angezeigt werden soll, auf eine der folgenden Registerkarten:

Option Beschreibung

Benutzer Wählen Sie diese Registerkarte aus, um alle Benutzer nach Anbieter anzuzeigen.

Gruppen Wählen Sie diese Registerkarte aus, um alle Gruppen nach Anbieter anzuzeigen.

3. Wählen Sie aus der Liste Current Access Zone eine Zugriffszone aus.

4. Wählen Sie den lokalen Anbieter aus der Liste Providers aus.



Managen von lokalen Benutzern und Gruppen

Erstellen eines lokalen BenutzersJede Zugriffszone umfasst einen lokalen Anbieter, der es Ihnen ermöglicht, lokale Benutzer und Gruppen zu erstellen und zu managen. Wenn Sie ein lokales Benutzerkonto erstellen, können Sie Namen, Passwort, Stammverzeichnis, UNIX-Benutzerkennung (UID), UNIX-Anmelde-Shell und Gruppenmitgliedschaften konfigurieren.

1. Klicken Sie auf Access > Membership & Roles > Users.


3. Wählen Sie aus der Liste Providers den lokalen Anbieter für die Zone aus.

4. Klicken Sie auf Create User.

5. Geben Sie im Feld User Name einen Benutzernamen für das Konto ein.

6. Geben Sie im Feld Passwort ein Passwort für das Konto ein.

7. Optional: Konfigurieren Sie die folgenden zusätzlichen Einstellungen nach Bedarf.

Option Beschreibung

UID Wenn diese Einstellung leer gelassen wird, weist das System automatisch eine UID für das Konto zu. Dies ist die empfohlene Einstellung. Sie können keine UID zuweisen, die durch ein anderes lokales Benutzerkonto verwendet wird.

Full Name Geben Sie den vollständigen Namen des Benutzers ein.

E-Mail-Adresse Geben Sie eine E-Mail-Adresse für das Benutzerkonto ein.

Primary Group Klicken Sie auf Select Group, um die Eigentümergruppe über das Dialogfeld Select a Primary Group anzugeben.

a. Geben Sie für die Suche nach einer Gruppe unter dem ausgewählten lokalen Anbieter einen Gruppennamen ein oder klicken Sie auf Search.

b. Wählen Sie eine Gruppe aus, um zum Fenster Manage Users zurückzukehren.

Additional Groups Klicken Sie auf Add group, um zusätzliche Gruppen anzugeben, deren Mitglied dieser Benutzer werden soll.

Stammverzeichnis Geben Sie den Pfad des Stammverzeichnisses des Benutzers ein. Wenn Sie keinen Pfad angeben, wird ein Verzeichnis automatisch unter /ifs/home/<username> erstellt.

UNIX Shell Diese Einstellung gilt nur für Benutzer, die über SSH auf das Dateisystem zugreifen. Wählen Sie eine Shell aus der Liste aus. Standardmäßig ist /bin/zsh ausgewählt.

Account Expiration Date Klicken Sie auf das Kalendersymbol, um das Ablaufdatum auszuwählen, oder geben Sie das Ablaufdatum in das Feld ein und geben Sie dann das Datum im Format <mm>/<tt>/<jjjj> ein.

Enable the account Aktivieren Sie dieses Kontrollkästchen, damit sich der Benutzer anhand der lokalen Datenbank mit SSH, FTP, HTTP und Windows-Dateifreigaben über SMB authentifizieren kann. Diese Einstellung wird nicht für UNIX-Dateifreigaben über NFS verwendet.

8. Klicken Sie auf Create.




Benennungsregeln für lokale Benutzer und Gruppen

Erstellen einer lokalen GruppeIm lokalen Anbieter einer Zugriffszone können Sie Gruppen erstellen und diesen Mitglieder zuweisen.

1. Klicken Sie auf Access > Membership & Roles > Groups.



3. Wählen Sie aus der Liste Providers den lokalen Anbieter für die Zone aus.

4. Klicken Sie auf Create Group.

5. Geben Sie im Feld Group Name einen Namen für die Gruppe ein.

6. Optional: Geben Sie im Feld GID einen numerischen Wert ein, um die automatische Zuweisung der UNIX-Gruppenkennung (GID) außer Kraft zu setzen.

ANMERKUNG: Sie können keine GID zuweisen, die von einer anderen Gruppe verwendet wird. Es wird empfohlen,

dass Sie dieses Feld leer lassen, damit das System die GID automatisch erstellen kann.

7. Optional: Klicken Sie für jedes Mitglied, das Sie der Gruppe hinzufügen möchten, auf Add Members und führen Sie die folgenden Aufgaben im Dialogfeld Select a User aus:

a) Suchen Sie nach Users, Groups oder Well-known SIDs.b) Wenn Sie Users oder Groups ausgewählt haben, geben Sie Werte für die folgenden Felder ein:

c) Klicken Sie auf Suchen.d) Wählen Sie in der Tabelle Search Results einen Benutzer aus und klicken Sie dann auf Select.

Das Dialogfeld wird geschlossen.

8. Klicken Sie auf Create Group.




Benennungsregeln für lokale Benutzer und Gruppen

Benennungsregeln für lokale Benutzer und GruppenBei lokalen Nutzer- und Gruppennamen müssen Benennungsregeln eingehalten werden, damit die Authentifizierung beim und der Zugriff auf den Cluster ordnungsgemäß verlaufen.

Sie müssen die folgenden Benennungsregeln beim Erstellen und Ändern von lokalen Benutzern und Gruppen einhalten:

• Die maximal zulässige Länge eines Namens beträgt 104 Zeichen. Es wird empfohlen, dass Namen nicht länger als 64 Zeichen sind.• Namen dürfen die folgenden ungültigen Zeichen nicht enthalten:

" / \ [ ] : ; | = , + * ? < >• Namen können jedes Sonderzeichen enthalten, das nicht in der Liste der ungültigen Zeichen steht. Es wird empfohlen, dass Namen

keine Leerzeichen enthalten.• Bei Namen muss nicht auf Groß- und Kleinschreibung geachtet werden.

Ändern eines lokalen BenutzersSie können alle Einstellungen für ein lokales Benutzerkonto mit Ausnahme des Benutzernamens ändern.



3. Wählen Sie aus der Liste Users den lokalen Anbieter für die Zugriffszone aus.

4. Suchen Sie in der Liste der Benutzer den Benutzer, den Sie aktualisieren möchten, und klicken Sie dann auf View/Edit.Das Dialogfeld View User Details wird angezeigt.

5. Klicken Sie auf Edit User.Das Dialogfeld Edit User wird angezeigt.

6. Aktualisieren Sie die Einstellungen, die Sie konfigurieren möchten.






Ändern einer lokalen GruppeSie können Mitglieder zu einer lokalen Gruppe hinzufügen oder daraus entfernen.



3. Suchen Sie in der Liste der Gruppen die Gruppe, die Sie aktualisieren möchten, und klicken Sie dann auf View/Edit.Das Dialogfeld View Group Details wird angezeigt.

4. Klicken Sie auf Edit Group.Das Dialogfeld Edit Group wird angezeigt.

5. Klicken Sie im Bereich Members auf Add Members, um Benutzer zu der Gruppe hinzuzufügen, oder klicken Sie neben einem Benutzernamen auf Delete, um den Benutzer aus der Gruppe zu entfernen.





Löschen eines lokalen BenutzersEin gelöschter Benutzer kann nicht länger über die Befehlszeilenoberfläche, die Webverwaltungsschnittstelle oder das Dateizugriffsprotokoll auf das Cluster zugreifen. Wenn Sie ein lokales Benutzerkonto löschen, bleibt das entsprechende Stammverzeichnis erhalten.



3. Wählen Sie aus der Liste Providers den lokalen Anbieter für die Zugriffszone aus.

4. Suchen Sie in der Liste der Benutzer den Benutzer, den Sie löschen möchten, und klicken Sie dann auf More > Delete.Das Dialogfeld Confirm Delete wird angezeigt.

5. Klicken Sie auf Delete.



Löschen einer lokalen GruppeSie können eine lokale Gruppe löschen, selbst wenn ihr Mitglieder zugewiesen sind. Das Löschen einer Gruppe hat keinen Einfluss auf die Mitglieder dieser Gruppe.



3. Wählen Sie aus der Liste Providers den lokalen Anbieter für die Zugriffszone aus.

4. Suchen Sie in der Liste der Gruppen die Gruppe, die Sie löschen möchten, und klicken Sie dann auf More > Delete.Das Dialogfeld Confirm Delete wird angezeigt.





AdministratorrechteDieser Abschnitt enthält die folgenden Themen:

Themen:

• Rollenbasierter Zugriff• Rollen• Rechte• Managen von Rollen

Rollenbasierter ZugriffSie können ausgewählten Benutzern rollenbasierten Zugriff auf delegierte Administrationsaufgaben zuweisen.

Mit RBAC (rollenbasierte Zugriffskontrolle) kann jedem Benutzer, der sich auf einem Cluster authentifizieren kann, das Recht zur Ausführung bestimmter Administrationsaufgaben eingeräumt werden. Rollen werden von einem Sicherheitsadministrator erstellt; diesen Rollen werden Berechtigungen und anschließend Mitglieder zugewiesen. Alle Administratoren, einschließlich derjenigen mit bestimmten Rollenberechtigungen, müssen eine Verbindung zur Systemzone herstellen, um ein Cluster zu konfigurieren. Wenn sich diese Mitglieder über eine Konfigurationsschnittstelle am Cluster anmelden, verfügen sie über diese Berechtigungen. Alle Administratoren können Einstellungen für Zugriffszonen konfigurieren und haben immer Kontrolle über alle Zugriffszonen auf dem Cluster.

Rollen bieten Ihnen außerdem die Möglichkeit, Benutzern und Gruppen Berechtigungen zuzuweisen. Standardmäßig können sich nur der Stammbenutzer und der Admin-Benutzer über HTTP oder die Befehlszeilenoberfläche über SSH an der Webverwaltungsschnittstelle anmelden. Mithilfe von Rollen kann der Root- oder der Admin-Benutzer anderen Benutzern systemeigene oder benutzerdefinierte Rollen zuweisen, denen Anmelde- und Administratorrechte zur Ausführung bestimmter administrativer Aufgaben zugewiesen sind.

ANMERKUNG: Es hat sich als Best Practice bewährt, Benutzern Rollen zuzuweisen, die die mindestens erforderlichen

Berechtigungen enthalten. Für die meisten Zwecke sind die standardmäßigen Berechtigungs-Policy-Einstellungen, die

Systemzugriffszone und die integrierten Rollen ausreichend. Sie können rollenbasierte Zugriffsmanagement-Policies für

Ihre spezifische Umgebung nach Bedarf erstellen.

RollenMithilfe von Rollen können Sie den Zugriff auf Verwaltungsbereiche des Clusters pro Nutzer bewilligen und einschränken. OneFS bietet mehrere integrierte Administratorrollen mit vordefinierten Berechtigungen, die nicht geändert werden können. Sie können auch benutzerdefinierte Rollen erstellen und Berechtigungen zuweisen.

Die folgende Liste beschreibt, was Sie mit Rollen tun können und was nicht:

• Sie können einer Rolle Berechtigungen zuweisen.• Sie können benutzerdefinierte Rollen erstellen und diesen Rollen Berechtigungen zuweisen.• Sie können eine vorhandene Rolle kopieren.• Sie können einer Rolle einen beliebigen Benutzer oder eine Gruppe von Benutzern hinzufügen, solange die Benutzer sich beim Cluster

authentifizieren können.• Sie können einer Rolle mehr als einen Benutzer oder eine Benutzergruppe hinzufügen.• Sie können Berechtigungen nicht direkt Benutzern oder Gruppen zuweisen.

ANMERKUNG: Bei der Erstinstallation von OneFS können sich nur Benutzer mit Stamm- oder Administratorzugriff

anmelden und Benutzern Rollen zuweisen.


Rollenbasierter Zugriff

Managen von Rollen

6

Administratorrechte 101

Benutzerdefinierte RollenBenutzerdefinierte Rollen ergänzen vordefinierte Rollen.

Sie können angepasste Rollen erstellen und Berechtigungen zuweisen, die Verwaltungsbereichen in der Clusterumgebung zugeordnet sind. Sie können beispielsweise separate Administratorrollen für Sicherheit, Auditing, Speicher-Provisioning und Backup erstellen.

Sie können bestimmte Zugriffsrechte als schreibgeschützt oder mit Lese-/Schreibberechtigung festlegen, wenn Sie die Berechtigung einer Rolle hinzufügen. Sie können diese Option jederzeit ändern, um Berechtigungen hinzuzufügen oder zu entfernen und diese so an die sich verändernden Verantwortlichkeiten von Benutzern anpassen.


Rollen

Managen von Rollen

Integrierte RollenIn OneFS sind integrierte Rollen enthalten, die mit den am wahrscheinlichsten erforderlichen Berechtigungen für gängige Verwaltungsfunktionen konfiguriert sind. Die Liste der einzelnen den integrierten Rollen zugewiesenen Berechtigungen kann nicht geändert werden. Allerdings können Sie integrierten Rollen Benutzer und Gruppen zuweisen.


Rollen

Managen von Rollen

Integrierte SecurityAdmin-RolleDie integrierte SecurityAdmin-Rolle ermöglicht die Sicherheitskonfiguration auf dem Cluster, einschließlich Authentifizierungsanbieter, lokale Benutzer und Gruppen sowie Rollenmitgliedschaft.

Rechte Lese-/Schreibzugriff

ISI_PRIV_LOGIN_CONSOLE -

ISI_PRIV_LOGIN_PAPI -

ISI_PRIV_LOGIN_SSH -

ISI_PRIV_AUTH Lesen/Schreiben

ISI_PRIV_ROLE Lesen/Schreiben


Integrierte Rollen

Integrierte SystemAdmin-RolleDie integrierte SystemAdmin-Rolle ermöglicht die Verwaltung aller Clusterkonfigurationen, die nicht ausdrücklich mit der SecurityAdmin-Rolle bearbeitet werden.





ISI_PRIV_SYS_SHUTDOWN -

ISI_PRIV_SYS_SUPPORT -

ISI_PRIV_SYS_TIME Lesen/Schreiben

ISI_PRIV_SYS_UPGRADE Lesen/Schreiben

102 Administratorrechte


ISI_PRIV_ANTIVIRUS Lesen/Schreiben

ISI_PRIV_AUDIT Lesen/Schreiben

ISI_PRIV_CLOUDPOOLS Lesen/Schreiben

ISI_PRIV_CLUSTER Lesen/Schreiben

ISI_PRIV_DEVICES Lesen/Schreiben

ISI_PRIV_EVENT Lesen/Schreiben

ISI_PRIV_FILE_FILTER Lesen/Schreiben

ISI_PRIV_FTP Lesen/Schreiben

ISI_PRIV_HARDENING Lesen/Schreiben

ISI_PRIV_HDFS Lesen/Schreiben

ISI_PRIV_HTTP Lesen/Schreiben

ISI_PRIV_JOB_ENGINE Lesen/Schreiben

ISI_PRIV_LICENSE Lesen/Schreiben

ISI_PRIV_MONITORING Lesen/Schreiben

ISI_PRIV_NDMP Lesen/Schreiben

ISI_PRIV_NETWORK Lesen/Schreiben

ISI_PRIV_NFS Lesen/Schreiben

ISI_PRIV_NTP Lesen/Schreiben

ISI_PRIV_QUOTA Lesen/Schreiben

ISI_PRIV_REMOTE_SUPPORT Lesen/Schreiben

ISI_PRIV_SMARTPOOLS Lesen/Schreiben

ISI_PRIV_SMB Lesen/Schreiben

ISI_PRIV_SNAPSHOT Lesen/Schreiben

ISI_PRIV_SNMP Lesen/Schreiben

ISI_PRIV_STATISTICS Lesen/Schreiben

ISI_PRIV_SWIFT Lesen/Schreiben

ISI_PRIV_SYNCIQ Lesen/Schreiben

ISI_PRIV_VCENTER Lesen/Schreiben

ISI_PRIV_WORM Lesen/Schreiben

ISI_PRIV_NS_TRAVERSE -

ISI_PRIV_NS_IFS_ACCESS -


Integrierte Rollen

Integrierte AuditAdmin-RolleMit der integrierten AuditAdmin-Rolle können Sie alle Einstellungen der Systemkonfiguration anzeigen.







ISI_PRIV_SYS_TIME Schreibgeschützt

ISI_PRIV_SYS_UPGRADE Schreibgeschützt

ISI_PRIV_ANTIVIRUS Schreibgeschützt

ISI_PRIV_AUDIT Schreibgeschützt

ISI_PRIV_CLOUDPOOLS Schreibgeschützt

ISI_PRIV_CLUSTER Schreibgeschützt

ISI_PRIV_DEVICES Schreibgeschützt

ISI_PRIV_EVENT Schreibgeschützt

ISI_PRIV_FILE_FILTER Schreibgeschützt

ISI_PRIV_FTP Schreibgeschützt

ISI_PRIV_HARDENING Schreibgeschützt

ISI_PRIV_HDFS Schreibgeschützt

ISI_PRIV_HTTP Schreibgeschützt

ISI_PRIV_JOB_ENGINE Schreibgeschützt

ISI_PRIV_LICENSE Schreibgeschützt

ISI_PRIV_MONITORING Schreibgeschützt

SI_PRIV_NDMP Schreibgeschützt

ISI_PRIV_NETWORK Schreibgeschützt

ISI_PRIV_NFS Schreibgeschützt

ISI_PRIV_NTP Schreibgeschützt

ISI_PRIV_QUOTA Schreibgeschützt

ISI_PRIV_REMOTE_SUPPORT Schreibgeschützt

ISI_PRIV_SMARTPOOLS Schreibgeschützt

ISI_PRIV_SMB Schreibgeschützt

ISI_PRIV_SNAPSHOT Schreibgeschützt

ISI_PRIV_SNMP Schreibgeschützt

ISI_PRIV_STATISTICS Schreibgeschützt

ISI_PRIV_SWIFT Schreibgeschützt

ISI_PRIV_SYNCIQ Schreibgeschützt

ISI_PRIV_VCENTER Schreibgeschützt

ISI_PRIV_WORM Schreibgeschützt


Integrierte Rollen

Integrierte BackupAdmin-RolleDie integrierte BackupAdmin-Rolle ermöglicht Backup und Wiederherstellung von Dateien von /ifs.


ISI_PRIV_IFS_BACKUP Schreibgeschützt

ISI_PRIV_IFS_RESTORE Lesen/Schreiben



Integrierte Rollen

Integrierte VMwareAdmin-RolleDie integrierte VMwareAdmin-Rolle ermöglicht eine Remoteverwaltung des für VMware vCenter erforderlichen Speichers.



ISI_PRIV_NETWORK Lesen/Schreiben

ISI_PRIV_SMARTPOOLS Lesen/Schreiben

ISI_PRIV_SNAPSHOT Lesen/Schreiben

ISI_PRIV_SYNCIQ Lesen/Schreiben

ISI_PRIV_VCENTER Lesen/Schreiben

ISI_PRIV_NS_TRAVERSE -

ISI_PRIV_NS_IFS_ACCESS -


Integrierte Rollen

RechteBerechtigungen ermöglichen Nutzern das Ausführen von Aufgaben auf einem Cluster.

Berechtigungen sind mit einem Bereich der Clusteradministration wie Job-Engine, SMB oder Statistiken verknüpft.

Berechtigungen weisen eine der folgenden zwei Formen auf:

Aktion Ermöglicht es dem Benutzer, eine bestimmte Aktion auf einem Cluster durchzuführen. So können sich beispielsweise Benutzer mit der Berechtigung ISI_PRIV_LOGIN_SSH über einen SSH-Client an einem Cluster anmelden.

Lesen/Schreiben Ermöglicht dem Benutzer, ein Konfigurationssubsystem wie Statistiken, Snapshots oder Quotas anzuzeigen oder zu ändern. Beispielsweise kann eine Administrator mit der Berechtigung ISI_PRIV_SNAPSHOT Snapshots und Snapshot-Planungen erstellen und löschen. Mit einer Lese-/Schreibberechtigung kann Lesezugriff oder Lese-/Schreibzugriff gewährt werden. Lesezugriff ermöglicht dem Benutzer die Anzeige von Konfigurationseinstellungen; Lese-/Schreibzugriff ermöglicht es dem Benutzer, Konfigurationseinstellungen anzuzeigen und zu ändern.

Berechtigungen werden dem Benutzer bei Anmeldung an einem Cluster über die OneFS-API, die Webverwaltungsschnittstelle, SSH oder eine Konsolensitzung gewährt. Ein Token wird für den Benutzer erzeugt, in dem eine Liste aller Berechtigungen des Benutzers enthalten sind. Für jeden URI, jede Seite der Webverwaltungsschnittstelle und für jeden Befehl sind spezielle Berechtigungen erforderlich, um die über die jeweiligen Schnittstellen verfügbaren Informationen anzuzeigen oder ändern zu können.

In einigen Fällen können keine Berechtigungen gewährt werden bzw. es gibt Berechtigungseinschränkungen.

• Berechtigungen werden Benutzern nicht erteilt, die bei der Anmeldung keine Verbindung mit der Systemzone herstellen, bzw. Benutzern, die eine Verbindung über einen veralteten Telnet-Service herstellen, auch wenn sie Mitglieder einer Rolle sind.

• Berechtigungen ermöglichen keinen administrativen Zugriff auf Konfigurationspfade außerhalb der OneFS-API. Beispielsweise wird einem Benutzer mit der Berechtigung ISI_PRIV_SMB keine Berechtigung zum Konfigurieren von SMB-Shares über die Microsoft Management Console (MMC) gewährt.

• Berechtigungen ermöglichen keinen administrativen Zugriff auf alle Protokolldateien. Für die meisten Protokolldateien ist ein Stammzugriff erforderlich.


Rollenbasierter Zugriff

Managen von Rollen


Unterstützte OneFS-BerechtigungenVon OneFS unterstützte Berechtigungen werden nach der Art der Aktion oder des Zugriffs kategorisiert, die dem Benutzer gewährt werden, beispielsweise Berechtigungen für Anmeldung, Sicherheit und Konfiguration.


Rechte

AnmeldeberechtigungenDie in der folgenden Tabelle aufgeführten Anmeldeberechtigungen ermöglichen dem Nutzer entweder bestimmte Aktionen oder gewähren Lese- oder Schreibzugriff auf einen Verwaltungsbereich auf dem Cluster.

Berechtigung Beschreibung Typ

ISI_PRIV_LOGIN_CONSOLE Anmeldung über die Konsole Aktion

ISI_PRIV_LOGIN_PAPI Anmeldung über die Plattform-API und die Webverwaltungsschnittstelle

Aktion

ISI_PRIV_LOGIN_SSH Anmeldung über SSH Aktion

SystemberechtigungenDie in der folgenden Tabelle aufgeführten Systemberechtigungen ermöglichen dem Nutzer entweder bestimmte Aktionen oder gewähren Lese- oder Schreibzugriff auf einen Verwaltungsbereich auf dem Cluster.


ISI_PRIV_SYS_SHUTDOWN Fahren Sie das System herunter. Aktion

ISI_PRIV_SYS_SUPPORT Führen Sie Clusterdiagnosetools aus. Aktion

ISI_PRIV_SYS_TIME Ändern Sie die Systemzeit. Lesen/Schreiben

ISI_PRIV_SYS_UPGRADE Upgrade des OneFS-Systems Lesen/Schreiben

SicherheitsberechtigungenDie in der folgenden Tabelle aufgeführten Sicherheitsberechtigungen ermöglichen dem Nutzer entweder bestimmte Aktionen oder gewähren Lese- oder Schreibzugriff auf einen Verwaltungsbereich auf dem Cluster.


ISI_PRIV_AUTH Konfiguration von externen Authentifizierungsanbietern, einschließlich Konten auf Stammebene

Lesen/Schreiben

ISI_PRIV_ROLE Erstellen neuer Rollen und Zuweisen von Berechtigungen, einschließlich Konten auf Stammebene

Lesen/Schreiben

KonfigurationsberechtigungenDie in der folgenden Tabelle aufgeführten Konfigurationsberechtigungen ermöglichen dem Nutzer entweder bestimmte Aktionen oder gewähren Lese- oder Schreibzugriff auf einen Verwaltungsbereich auf dem Cluster.


ISI_PRIV_ANTIVIRUS Konfigurieren von Virenüberprüfungen Lesen/Schreiben

ISI_PRIV_AUDIT Konfigurieren von Auditfunktionen Lesen/Schreiben

ISI_PRIV_CLOUDPOOLS Konfigurieren von CloudPools Lesen/Schreiben

ISI_PRIV_CLUSTER Konfigurieren von Clusteridentitäts- und allgemeinen Einstellungen

Lesen/Schreiben



ISI_PRIV_DEVICES Erstellen neuer Rollen und Zuweisen von Berechtigungen

Lesen/Schreiben

ISI_PRIV_EVENT Anzeigen und Ändern von Systemevents Lesen/Schreiben

ISI_PRIV_FILE_FILTER Konfigurieren von Dateifiltereinstellungen Lesen/Schreiben

ISI_PRIV_FTP FTP-Serverkonfiguration Lesen/Schreiben

ISI_PRIV_HDFS HDFS-Serverkonfiguration Lesen/Schreiben

ISI_PRIV_HTTP HTTP-Serverkonfiguration Lesen/Schreiben

ISI_PRIV_JOB_ENGINE Planen von Jobs auf Clusterebene Lesen/Schreiben

ISI_PRIV_LICENSE Aktivieren von OneFS-Softwarelizenzen Lesen/Schreiben

ISI_PRIV_MONITORING Registrieren von Anwendungen zum Monitoring des Clusters

Lesen/Schreiben

ISI_PRIV_NDMP NDMP-Serverkonfiguration Lesen/Schreiben

ISI_PRIV_NETWORK Konfigurieren von Netzwerkschnittstellen Lesen/Schreiben

ISI_PRIV_NFS NTP-Serverkonfiguration Lesen/Schreiben

ISI_PRIV_NTP Konfigurieren von NTP Lesen/Schreiben

ISI_PRIV_QUOTA Konfigurieren von Dateisystemquoten Lesen/Schreiben

ISI_PRIV_REMOTE_SUPPORT Konfigurieren von Remotesupport Lesen/Schreiben

ISI_PRIV_SMARTPOOLS Konfigurieren von Speicherpools Lesen/Schreiben

ISI_PRIV_SMB SMB-Serverkonfiguration Lesen/Schreiben

ISI_PRIV_SNAPSHOT Planen, Erstellen und Anzeigen von Snapshots

Lesen/Schreiben

ISI_PRIV_SNMP SNMP-Serverkonfiguration Lesen/Schreiben

ISI_PRIV_STATISTICS Anzeigen von Performancestatistiken für das Dateisystem

Lesen/Schreiben

ISI_PRIV_SWIFT Konfigurieren von Swift Lesen/Schreiben

ISI_PRIV_SYNCIQ Konfiguration von SyncIQ Lesen/Schreiben

ISI_PRIV_VCENTER Konfigurieren von VMware für vCenter Lesen/Schreiben

ISI_PRIV_WORM Konfigurieren von SmartLock-Verzeichnissen

Lesen/Schreiben

DateizugriffsberechtigungenDie in der folgenden Tabelle aufgeführten Zugriffsrechte ermöglichen dem Nutzer entweder bestimmte Aktionen oder gewähren Lese- oder Schreibzugriff auf einen Verwaltungsbereich auf dem Cluster.


ISI_PRIV_IFS_BACKUP Sichern von Dateien aus /ifs.ANMERKUNG: Diese Berechtigung umgeht herkömmliche Dateizugriffsprüfungen wie Modusbits oder NTFS-ACLs.

Aktion

ISI_PRIV_IFS_RESTORE Wiederherstellen von Dateien aus /ifs.ANMERKUNG: Diese Berechtigung umgeht herkömmliche Dateizugriffsprüfungen wie Modusbits oder NTFS-ACLs.

Aktion



ISI_PRIV_IFS_WORM_DELETE Durchführen privilegierter Löschvorgänge für Dateien mit WORM-Status.

ANMERKUNG: Wenn Sie nicht über das Stammbenutzerkonto angemeldet sind, müssen Sie zudem über die ISI_PRIV_NS_IFS_ACCESS-Berechtigung verfügen.

Aktion

Namespace-BerechtigungenDie in der folgenden Tabelle aufgeführten Namespace-Berechtigungen ermöglichen dem Nutzer entweder bestimmte Aktionen oder gewähren Lese- oder Schreibzugriff auf einen Verwaltungsbereich auf dem Cluster.


ISI_PRIV_NS_TRAVERSE Durchlaufen und Anzeigen von Verzeichnismetadaten.

Aktion

ISI_PRIV_NS_IFS_ACCESS Zugreifen auf das Verzeichnis /ifs über die OneFS-API

Aktion

Datenbackup- und WiederherstellungsberechtigungenSie können einem Benutzer Berechtigungen zuweisen, die sich speziell auf Clusterdatenbackup und Wiederherstellung beziehen.

Die folgenden zwei Berechtigungen ermöglichen einem Benutzer das Backup und die Wiederherstellung von Clusterdaten über unterstützte clientseitige Protokolle: ISI_PRIV_IFS_BACKUP und ISI_PRIV_IFS_RESTORE.

VORSICHT: Diese Berechtigungen umgehen herkömmliche Dateizugriffsprüfungen wie Modusbits oder NTFS-ACLs.

Die meisten Clusterberechtigungen erlauben auf irgendeine Art und Weise die Durchführung von Änderungen an der Clusterkonfiguration. Die Backup- und Wiederherstellungsberechtigungen ermöglichen den Zugriff auf Clusterdaten über die Systemzone, die Übertragung aller Verzeichnisse und Lesevorgänge aller File-basierten Daten und Metadaten unabhängig von den Dateiberechtigungen.

Benutzer mit diesen Berechtigungen nutzen das Protokoll als Backupprotokoll auf andere Maschinen, ohne dass Zugriffsverweigerungsfehler erzeugt werden, und ohne sich als Stammbenutzer anmelden zu müssen. Diese beiden Berechtigungen werden über die folgenden clientseitigen Protokolle unterstützt:

• SMB• NFS• OneFS API• FTP• SSH

Über SMB emulieren die Berechtigungen ISI_PRIV_IFS_RESTORE und ISI_PRIV_IFS_RESTORE die Windows-Berechtigungen SE_BACKUP_NAME und SE_BACKUP_NAME. Emulation bedeutet, dass normale Dateiöffnungsverfahren durch Dateisystemberechtigungen geschützt sind. Um die Backup- und Wiederherstellungsberechtigungen über das SMB-Protokoll zu aktivieren, müssen Sie Dateien mit der Option FILE_OPEN_FOR_BACKUP_INTENT öffnen, die automatisch durch Windows-Backupsoftware wie Robocopy auftritt. Die Anwendung der Option erfolgt nicht automatisch, wenn Dateien mit allgemeiner Dateibrowsersoftware wie Windows-Datei-Explorer geöffnet wird.

Die Berechtigungen ISI_PRIV_IFS_BACKUP und ISI_PRIV_IFS_RESTORE unterstützen hauptsächlich Windows-Backuptools wie Robocopy. Ein Benutzer muss Mitglied der integrierten BackupAdmin-Rolle sein, um Zugriff auf alle Robocopy-Funktionen zu erhalten, darunter das Kopieren von Datei-DACL und SACL-Metadaten.


Rechte


Berechtigungen für die BefehlszeilenoberflächeSie können die meisten Aufgaben, denen eine Berechtigung zugrunde liegt, über die Befehlszeilenoberfläche (CLI) ausführen. Für einige OneFS-Befehle ist Stammzugriff erforderlich.


Rechte

Zuordnung von Befehlen zu BerechtigungenJeder CLI-Befehl ist mit einer Berechtigung verknüpft. Für einige Befehle ist Stammzugriff erforderlich.

isi-Befehl Berechtigung

isi antivirus ISI_PRIV_ANTIVIRUS

isi audit ISI_PRIV_AUDIT

isi auth, excluding isi auth roles ISI_PRIV_AUTH

isi auth roles ISI_PRIV_ROLE

isi batterystatus ISI_PRIV_DEVICES

isi cloud ISI_PRIV_CLOUDPOOLS

isi config root

isi dedupe, excluding isi dedupe stats ISI_PRIV_JOB_ENGINE

isi dedupe stats ISI_PRIV_STATISTICS

isi devices ISI_PRIV_DEVICES

isi email ISI_PRIV_CLUSTER

isi event ISI_PRIV_EVENT

isi fc ISI_PRIV_NDMP

isi file-filter ISI_PRIV_FILE_FILTER

isi filepool ISI_PRIV_SMARTPOOLS

isi ftp ISI_PRIV_FTP

isi get root

isi hardening ISI_PRIV_HARDENING

isi hdfs ISI_PRIV_HDFS

isi http ISI_PRIV_HTTP

isi job ISI_PRIV_JOB_ENGINE

isi license ISI_PRIV_LICENSE

isi ndmp ISI_PRIV_NDMP

isi network ISI_PRIV_NETWORK

isi nfs ISI_PRIV_NFS

ifs ntp ISI_PRIV_NTP

isi quota ISI_PRIV_QUOTA

isi readonly ISI_PRIV_DEVICES

isi remotesupport ISI_PRIV_REMOTE_SUPPORT

isi servicelight ISI_PRIV_DEVICES

isi services root

isi set root


isi-Befehl Berechtigung

isi smb ISI_PRIV_SMB

isi snapshot ISI_PRIV_SNAPSHOT

isi snmp ISI_PRIV_SNMP

isi statistics ISI_PRIV_STATISTICS

isi status ISI_PRIV_EVENT

ISI_PRIV_DEVICES

ISI_PRIV_JOB_ENGINE

ISI_PRIV_NETWORK

ISI_PRIV_SMARTPOOLS

ISI_PRIV_STATISTICS

isi storagepool ISI_PRIV_SMARTPOOLS

isi swift ISI_PRIV_SWIFT

isi sync ISI_PRIV_SYNCIQ

isi tape ISI_PRIV_NDMP

isi time ISI_PRIV_SYS_TIME

isi upgrade ISI_PRIV_SYS_UPGRADE

isi version ISI_PRIV_CLUSTER

isi worm excluding isi worm files delete ISI_PRIV_WORM

isi worm files delete ISI_PRIV_IFS_WORM_DELETE

isi zone ISI_PRIV_AUTH


Berechtigungen für die Befehlszeilenoberfläche

Zuordnung von Berechtigungen zu BefehlenJede Berechtigung ist mit einem oder mehreren Befehlen verknüpft. Für einige Befehle ist Stammzugriff erforderlich.

Berechtigung isi-Befehle

ISI_PRIV_ANTIVIRUS isi antivirus

ISI_PRIV_AUDIT isi audit

ISI_PRIV_AUTH isi auth - excluding isi auth role

isi zone

ISI_PRIV_CLOUDPOOLS isi cloud

ISI_PRIV_CLUSTER isi email

isi version

ISI_PRIV_DEVICES isi batterystatus

isi devices

isi readonly

isi servicelight

isi status

ISI_PRIV_EVENT isi event

isi status


Berechtigung isi-Befehle

ISI_PRIV_FILE_FILTER isi file-filter

ISI_PRIV_FTP isi ftp

ISI_PRIV_HARDENING isi hardening

ISI_PRIV_HDFS isi hdfs

ISI_PRIV_HTTP isi http

ISI_PRIV_JOB_ENGINE isi job

isi dedupe

isi status

ISI_PRIV_LICENSE isi license

ISI_PRIV_NDMP isi fc

isi tape

isi ndmp

ISI_PRIV_NETWORK isi network

isi status

ISI_PRIV_NFS isi nfs

ISI_PRIV_NTP isi ntp

ISI_PRIV_QUOTA isi quota

ISI_PRIV_REMOTE_SUPPORT isi remotesupport

ISI_PRIV_ROLE isi auth role

ISI_PRIV_SMARTPOOLS isi filepool

isi storagepool

isi status

ISI_PRIV_SMB isi smb

ISI_PRIV_SNAPSHOT isi snapshot

ISI_PRIV_SNMP isi snmp

ISI_PRIV_STATISTICS isi status

isi statistics

isi dedupe stats

ISI_PRIV_SWIFT isi swift

ISI_PRIV_SYNCIQ isi sync

ISI_PRIV_SYS_TIME isi time

ISI_PRIV_SYS_UPGRADE isi upgrade

ISI_PRIV_WORM isi worm excluding isi worm files delete

ISI_PRIV_IFS_WORM_DELETE isi worm files delete

root • isi config• isi get• isi services• isi set


Berechtigungen für die Befehlszeilenoberfläche


Managen von RollenSie können Mitglieder jeder Rolle anzeigen, hinzufügen oder löschen. Mit Ausnahme von integrierten Rollen, deren Rechte nicht geändert werden können, können Sie OneFS-Berechtigungen nach einzelnen Rollen hinzufügen oder entfernen.

ANMERKUNG: Rollen können Benutzer und Gruppen als Mitglieder aufnehmen. Wenn eine Gruppe einer Rolle

hinzugefügt wird, werden allen Benutzern, die Mitglieder dieser Gruppe sind, die mit der Rolle verknüpften

Berechtigungen zugewiesen. In ähnlicher Weise erhalten Mitglieder mehrerer Rollen die kombinierten Berechtigungen

jeder Rolle.

Erstellen einer benutzerdefinierten RolleSie können eine benutzerdefinierte Rolle erstellen und dieser Berechtigungen und Mitglieder hinzufügen.


2. Klicken Sie auf Create a Role.

3. Geben Sie im Feld Role Name einen Namen für die Rolle ein.

Der Rollenname muss POSIX-Namenskonventionen befolgen. Beispielsweise darf der Rollenname keine Leerzeichen oder Bindestriche enthalten.

4. Geben Sie im Feld Description eine Beschreibung ein.

5. Klicken Sie auf Add a member to this role, um der Rolle ein Mitglied hinzuzufügen.

6. Klicken Sie auf Add a privilege to this role, um Zugriffsrechte und Berechtigungen zuzuweisen.

7. Klicken Sie auf Create Role.


Managen von Rollen

Ändern einer RolleSie können die Beschreibung und die Benutzer- oder Gruppenmitgliedschaft jeder Rolle ändern, einschließlich integrierter Rollen. Sie können den Namen und die Berechtigungen jedoch nur für benutzerdefinierte Rollen ändern.


2. Wählen Sie im Bereich Roles eine Rolle aus und klicken Sie auf View / Edit.Das Dialogfeld View Role Details wird angezeigt.

3. Klicken Sie auf Edit Role und ändern Sie die Einstellungen im Dialogfeld Edit Role Details nach Bedarf.

4. Klicken Sie auf Save Changes, um zum Dialogfeld View Role Details zurückzukehren.



Managen von Rollen

Kopieren einer RolleSie können eine vorhandene Rolle kopieren und Berechtigungen und Mitglieder für diese Rolle hinzufügen oder entfernen.


2. Wählen Sie im Bereich Roles eine Rolle aus und klicken Sie auf More > Copy.

3. Ändern Sie den Rollennamen, die Beschreibung, die Mitglieder und die Berechtigungen nach Bedarf.

4. Klicken Sie auf Copy Role.


Managen von Rollen


Hinzufügen einer Berechtigung zu einer benutzerdefinierten RolleSie können nach Bedarf Berechtigungen zu einer benutzerdefinierten Rolle hinzufügen oder daraus entfernen. Sie können bestimmte Berechtigungen als schreibgeschützt oder Lesen/Schreiben festlegen. Die einer integrierten Rolle zugewiesenen Berechtigungen können nicht geändert werden. Wiederholen Sie dieses Verfahren für jede Berechtigung, die Sie einer benutzerdefinierten Rolle hinzufügen möchten.

1. Klicken Sie auf Add a privilege to this role im Dialogfeld, um eine Rolle zu erstellen, zu kopieren oder zu bearbeiten.

2. Wählen Sie im Dialogfeld Add a privilege to this role einen Zugriffstyp für die Rolle aus.

3. Wählen Sie eine Berechtigung aus der Liste aus.

4. Klicken Sie auf Add Privilege.


Managen von Rollen

Hinzufügen eines Mitglieds zu einer RolleSie können ein oder mehrere Mitglieder zu einer Rolle hinzufügen, wenn Sie die Rolle erstellen, kopieren oder ändern. Ein Benutzer oder eine Gruppe kann Mitglied mehrerer Rollen sein. Die mit einer Rolle verknüpften Berechtigungen werden allen Mitgliedern dieser Rolle gewährt. Wiederholen Sie dieses Verfahren, um der Rolle mehr Mitglieder hinzuzufügen.

1. Klicken Sie auf Add a member to this role im Dialogfeld, um eine Rolle zu erstellen, zu kopieren oder zu bearbeiten.

2. Wählen Sie im Dialogfeld Select a User eine der folgenden Optionen aus:

• Anwender• Gruppen• Well-known SIDs

3. Wenn Sie User oder Group ausgewählt haben, suchen Sie mit einer der folgenden Methoden nach dem Benutzer oder der Gruppe:

• Geben Sie den gewünschten Benutzernamen oder Gruppennamen in das Textfeld ein.• Wählen Sie den Authentifizierungsanbieter, nach dem Sie suchen möchten, aus der Liste Provider aus. Es werden nur Anbieter

aufgelistet, die derzeit auf dem Cluster konfiguriert und aktiviert sind.

4. Klicken Sie auf Suchen.

5. Wählen Sie einen Benutzernamen, einen Gruppennamen oder eine bekannte SID aus den Suchergebnissen aus, die ihn oder sie als Mitglied der Rolle hinzuzufügen.

6. Klicken Sie auf Select.


Managen von Rollen

Löschen einer benutzerdefinierten RolleDas Löschen einer benutzerdefinierten Rolle wirkt sich nicht auf die der Rolle zugewiesenen Berechtigungen oder Benutzer aus. Integrierte Rollen können nicht gelöscht werden.


2. Wählen Sie im Bereich Roles mindestens eine Rolle aus und führen Sie dann eine der folgenden Aktionen aus:

• Zum Löschen einer einzigen Rolle klicken Sie in der Spalte Actions für die ausgewählte Rolle auf More > Delete.• Zum Löschen mehrerer Rollen wählen Sie Delete Selection aus der Liste Select a bulk action aus.



Managen von Rollen


Anzeigen einer RolleSie können Informationen zu integrierten und benutzerdefinierten Rollen aufrufen.


2. Wählen Sie im Bereich Roles eine Rolle aus und klicken Sie auf View / Edit.

3. Zeigen Sie im Dialogfeld View Role Details Informationen zu der Rolle an.

4. Klicken Sie auf Close, um zur Seite Membership & Roles zurückzukehren.


Managen von Rollen

Anzeigen von BenutzerrechtenSie können Benutzerrechte anzeigen.

Dieses Verfahren muss über die Befehlszeilenoberfläche (CLI) ausgeführt werden. Sie können eine Liste Ihrer Berechtigungen oder der Berechtigungen eines anderen Benutzers anzeigen, indem Sie die folgenden Befehle verwenden:


2. Führen Sie zum Anzeigen von Benutzerrechten einen der folgenden Befehle aus:

• Führen Sie zum Auflisten aller Benutzerrechte den folgenden Befehl aus:

isi auth privileges --verbose• Führen Sie zum Auflisten Ihrer Benutzerrechte den folgenden Befehl aus:

isi auth id• Führen Sie zum Auflisten der Benutzerrechte eines anderen Benutzers den folgenden Befehl aus, wobei <user> ein Platzhalter für

den Namen eines anderen Benutzers ist:

isi auth mapping token <user>


Managen von Rollen


IdentitätsmanagementDieser Abschnitt enthält die folgenden Themen:

Themen:

• Überblick über das Identitätsmanagement• Identitätstypen• Zugriffstoken• Erzeugen von Zugriffstoken• Managen von ID-Zuordnungen• Managen von Benutzeridentitäten

Überblick über das IdentitätsmanagementIn Umgebungen mit verschiedenen Typen von Verzeichnisservices ordnet OneFS die Nutzer und Gruppen aus den separaten Services zu, um eine einzige einheitliche Identität auf einem Cluster sowie eine einheitliche Zugriffskontrolle auf Dateien und Verzeichnisse unabhängig vom eingehenden Protokoll zur Verfügung zu stellen. Dieser Prozess wird als Identitätszuordnung bezeichnet.

Isilon-Cluster werden häufig in Multiprotokollumgebungen mit mehreren Arten von Verzeichnisservices wie Active Directory und LDAP bereitgestellt. Wenn sich ein Benutzer mit Konten in mehreren Verzeichnisservices bei einem Cluster anmeldet, kombiniert OneFS die Identitäten und Berechtigungen des Benutzers aus allen Verzeichnisservices in einem systemeigenen Zugriffstoken.

Sie können die OneFS-Einstellungen so konfigurieren, dass Benutzeridentitäten und -berechtigungen mithilfe eine Liste von Regeln für die Manipulation von Zugriffstoken gesteuert werden. Beispielsweise können Sie eine Benutzerzuordnungsregel einrichten, mit der eine Active Directory-Identität und eine LDAP-Identität in einem einzigen Token zusammengeführt werden, das für den Zugriff auf Dateien zuständig ist, die über SMB und NFS gespeichert werden. Das Token kann Gruppen von Active Directory und LDAP umfassen. Die von Ihnen erstellten Zuordnungsregeln können Identitätsprobleme lösen, indem Zugriffstoken in vielerlei Hinsicht manipuliert werden, darunter die folgenden Beispiele:

• Authentifizierung eines Benutzer anhand von Active Directory, wobei der Benutzer jedoch eine UNIX-Identität erhält• Auswahl einer primären Gruppe aus konkurrierenden Möglichkeiten in Active Directory oder LDAP• Verweigern der Anmeldung von Benutzern, die nicht gleichzeitig in Active Directory und LDAP vorhanden sind

Weitere Informationen zum Identitätsmanagement finden Sie im Whitepaper Managing identities with the Isilon OneFS user mapping service unter .

IdentitätstypenOneFS unterstützt drei primäre Identitätstypen, die Sie direkt auf dem Dateisystem speichern können. Identitätstypen sind die Benutzerkennung und die Gruppenkennung für UNIX sowie die Sicherheitskennung für Windows.

Wenn Sie sich bei einem Cluster anmelden, erweitert die Nutzerzuordnung Ihre Identität, um Ihre Identitäten aus allen Verzeichnisservices wie Active Directory, LDAP und NIS einzuschließen. Nachdem OneFS Ihre Identitäten über die Verzeichnisservices hinweg zugeordnet hat, wird ein Zugriffstoken erzeugt, das die Identitätsinformationen enthält, die mit Ihren Konten verknüpft sind. Ein Token umfasst die folgenden Kennungen:

• Eine UNIX-Benutzerkennung (UID) und eine Gruppenkennung (GID). Eine UID oder GID ist eine 32-Bit-Zahl mit einem maximalen Wert von 4.294.967.295.

• Eine Sicherheitskennung (SID) für ein Windows-Benutzerkonto. Eine SID ist eine Reihe von Autoritäten und Subautoritäten, die mit einer relativen 32-Bit-Kennung (RID) enden. Die meisten SIDs weisen die Form S-1-5-21-<A>-<B>-<C>-<RID> auf, wobei <A>, <B> und <C> spezifisch für eine Domain oder einen Computer sind und <RID> das Objekt in der Domain bezeichnet.

• Eine primäre Gruppen-SID für ein Windows-Gruppenkonto• Eine Liste von ergänzenden Identitäten, einschließlich aller Gruppen, in denen der Benutzer Mitglied ist

Das Token enthält auch Berechtigungen, die von der administrativen rollenbasierten Zugriffskontrolle stammen.

Auf einem Isilon-Cluster umfasst eine Datei Berechtigungen, die als ACL angezeigt werden. Die ACL steuert den Zugriff auf Verzeichnisse, Dateien und andere zu sichernde Systemobjekte.

7

Identitätsmanagement 115

Wenn ein Benutzer versucht, auf eine Datei zuzugreifen, vergleicht OneFS die Identitäten im Zugriffstoken des Benutzers mit der ACL der Datei. OneFS gewährt den Zugriff, wenn die ACL der Datei einen ACE (Zugriffskontrolleintrag) umfasst, der der Identität im Token Zugriff auf die Datei ermöglicht und keinen ACE enthält, der der Identität den Zugriff verweigert. OneFS vergleicht die Zugriffstoken eines Benutzers mit der ACL einer Datei.

ANMERKUNG: Weitere Informationen zu ACLs, einschließlich einer Beschreibung der Berechtigungen und ihrer

Entsprechung zu POSIX-Modusbits, finden Sie im Whitepaper EMC Isilon Multiprotocol Data Access with a Unified Security Model auf der Website des Dell EMC Isilon Technical Support.

Wenn ein Name als Kennung angegeben wird, wird er in das entsprechende Benutzer- oder Gruppenobjekt und den richtigen Identitätstyp konvertiert. Sie können einen Namen auf verschiedene Weise eingeben oder anzeigen:

• UNIX setzt eindeutige nach Groß- und Kleinschreibung unterscheidende Namespaces für Benutzer und Gruppen voraus. So stellen beispielsweise „Name“ und „name“ unterschiedliche Objekte dar.

• Windows stellt einen einzigen Namespace für alle Objekte bereit, bei dem die Groß- und Kleinschreibung nicht berücksichtigt wird, sowie ein Präfix für die Active Directory-Domain, beispielsweise domain\name.

• Kerberos und NFSv4 definieren Prinzipale, bei denen Namen auf dieselbe Art wie E-Mail-Adressen formatiert werden müssen, z. B. [email protected].

Mehrere Namen können sich auf dasselbe Objekt beziehen. Beispiel: Wenn der Name „support“ und die Domain „example.com“ lautet, sind „support“ „EXAMPLE\support“ und „[email protected]“ Namen für ein einziges Objekt in Active Directory.

ZugriffstokenEin Zugriffstoken wird erstellt, wenn der Benutzer erstmals eine Zugriffsanforderung stellt.

Zugriffstoken repräsentieren die Identität eines Benutzers bei der Ausführung von Vorgängen auf dem Cluster und stellen die primären Eigentümer- und Gruppenidentitäten während der Dateierstellung bereit. Zugriffstoken werden bei Autorisierungsprüfungen auch mit ACLs oder Modusbits abgeglichen.

Während der Benutzerautorisierung vergleicht OneFS das Zugriffstoken, das während der erstmaligen Verbindung erzeugt wird, mit den Autorisierungsdaten der Datei. Die Benutzer- und Tokenidentitätszuordnung erfolgt während der Erzeugung des Tokens. Während der Berechtigungsbewertung findet keine Zuordnung statt.

Ein Zugriffstoken umfasst alle UIDs, GIDs und SIDs für eine Identität, sowie alle OneFS-Berechtigungen. OneFS liest die Informationen im Token, um zu ermitteln, ob ein Benutzer Zugriff auf eine Ressource hat. Es ist wichtig, dass das Token die richtige Liste von UIDs, GIDs und SIDs enthält. Ein Zugriffstoken wird aus einer der folgenden Quellen erstellt:

Quelle Authentifizierung

Benutzername • SMB-Benutzerauthentifizierung• Kerberized NFSv3• Kerberized NFSv4• NFS-Exportbenutzerzuordnung• HTTP• FTP• HDFS

PAC (Privilege Attribute Certificate) • SMB NTLM• Active Directory-Kerberos

Benutzer-ID (UID) • NFS AUTH_SYS-Zuordnung

Erzeugen von ZugriffstokenFür die meisten Protokolle wird das Zugriffstoken anhand des Benutzernamens oder der Autorisierungsdaten erzeugt, die während der Authentifizierung abgerufen werden.

Die folgenden Schritte stellen eine vereinfachte Übersicht über den komplexen Prozess dar, in dem ein Zugriffstoken erzeugt wird:

Schritt 1: Suchen der Benutzeridentität

Mithilfe der Anfangsidentität erfolgt eine Suche nach dem Benutzer bei allen konfigurierten Authentifizierungsanbietern in der Zugriffszone, und zwar in der Reihenfolge, in der sie aufgelistet sind. Die Benutzeridentität und die Gruppenliste werden vom Authentifizierungsanbieter abgerufen. Anschließend werden

116 Identitätsmanagement

zusätzliche Gruppenmitgliedschaften, die dem Benutzer und der Gruppenliste zugeordnet sind, für alle anderen Authentifizierungsanbieter gesucht. Alle SIDs, UIDs oder GIDs werden dem Anfangstoken hinzugefügt.

ANMERKUNG: Eine Ausnahme tritt ein, wenn der AD-Anbieter darauf konfiguriert ist, andere

Anbieter aufzurufen, beispielsweise LDAP oder NIS.

Schritt 2: ID-Zuordnung

Die Benutzerkennungen werden über Verzeichnisservices hinweg zugeordnet. Alle SIDs werden in ihre Entsprechungen von UID/GID konvertiert und umgekehrt. Diese ID-Zuordnungen werden ebenfalls dem Zugriffstoken hinzugefügt.

Schritt 3: Benutzerzuordnung

Zugriffstoken aus anderen Verzeichnisservices werden miteinander kombiniert. Wenn der Benutzername einer Benutzerzuordnungsregel entspricht, werden die Regeln nacheinander verarbeitet, und das Token wird entsprechend aktualisiert.

Schritt 4: Berechnung der Identität auf dem Laufwerk

Die Standardidentität auf dem Laufwerk wird anhand des Abschlusstokens und der globalen Einstellungen berechnet. Diese Identitäten werden für neu erstellte Dateien verwendet.

ID-ZuordnungDer ID-Zuordnungsservice bewahrt Informationen zu Beziehungen zwischen zugeordneten Windows- und UNIX-Kennungen auf, um konsistente Zugriffskontrolle über Dateifreigabeprotokolle innerhalb einer Zugriffszone bereitzustellen.

ANMERKUNG: ID-Zuordnung und Benutzerzuordnung sind, trotz der Ähnlichkeit ihrer Namen, unterschiedliche

Services.

Während der Authentifizierung fragt der Authentifizierungs-Daemon Identitätszuordnungen von dem ID-Zuordnungsservice ab, um Zugriffstoken zu erstellen. Auf Anfrage gibt der ID-Zuordnungsservice Windows-Kennungen aus, die UNIX-Kennungen zugeordnet sind, oder UNIX-Kennungen, die Windows-Kennungen zugeordnet sind. Wenn ein Benutzer sich bei einem Cluster über NFS mit einer UID oder GID authentifiziert, gibt der ID-Zuordnungsservice die zugeordnete Windows-SID zurück und erlaubt den Zugriff auf die Dateien, die ein anderer Benutzer über SMB gespeichert hat. Wenn ein Benutzer sich bei einem Cluster über SMB mit einer SID authentifiziert, gibt der ID-Zuordnungsservice die zugeordnete UNIX-UID oder -GID zurück und erlaubt den Zugriff auf die Dateien, die ein anderer UNIX-Client über NFS gespeichert hat.

Zuordnungen zwischen UIDs oder GIDs und SIDs werden nach Zugriffszone in einer im Cluster verteilten Datenbank gespeichert, die als ID-Zuordnung bezeichnet wird. Jede Zuordnung wird in der ID-Zuordnung als Einwegbeziehung zwischen Quelle und Zielidentitätstyp gespeichert. Bidirektionale Zuordnungen werden als ergänzende Einwegzuordnungen gespeichert.

Zuordnung von Windows-IDs zu UNIX-IDsWenn ein Windows-Benutzer sich mit einer SID authentifiziert, sucht der Authentifizierungs-Daemon den externen Active Directory-Anbieter, um den Benutzer oder die Gruppe zu suchen, der oder die mit der SID verbunden ist. Wenn der Benutzer oder die Gruppe nur eine SID im Active Directory hat, fordert der Authentifizierungs-Daemon eine Zuordnung vom ID-Zuordnungsservice an.

ANMERKUNG: Benutzer- und Gruppenabfragen sind möglicherweise deaktiviert oder abhängig von den Active

Directory-Einstellungen eingeschränkt. Sie können Benutzer- und Gruppenabfrageneinstellungen mit dem Befehl isi auth ads modify aktivieren.

Wenn der ID-Zuordnungsservice keine zugeordnete UID oder GID in der ID-Zuordnung findet und zurückgibt, sucht der Authentifizierungs-Daemon andere externe Authentifizierungsanbieter, die in derselben Zugriffszone für einen Benutzer konfiguriert sind, der denselben Namen hat wie der Active Directory-Benutzer.

Wenn ein übereinstimmender Benutzername in einem anderen externen Anbieter gefunden wird, fügt der Authentifizierungs-Daemon die UID oder GID des entsprechenden Benutzers dem Zugriffstoken für den Active Directory-Benutzer hinzu und der ID-Zuordnungsservice erstellt eine Zuordnung zwischen der UID oder GID und der SID des Active Directory-Benutzers in der ID-Zuordnung. Dies wird als externe Zuordnung bezeichnet.

ANMERKUNG: Wenn eine externe Zuordnung in der ID-Zuordnung gespeichert wird, wird die UID als die Identität auf

der Festplatte für diesen Benutzer angegeben. Wenn der ID-Zuordnungsservice eine generierte Zuordnung speichert,

wird die SID als die Identität auf der Festplatte angegeben.

Wenn kein übereinstimmender Benutzername in einem anderen externen Anbieter gefunden wird, weist der Authentifizierungs-Daemon eine UID oder GID aus dem ID-Zuordnungsbereich der SID des Active Directory-Benutzers zu und der ID-Zuordnungsservice-speichert die Zuordnung in der ID-Zuordnung. Dies wird als erzeugte Zuordnung bezeichnet. Der ID-Zuordnungsbereich ist ein Pool von UIDs und GIDs, die in den Zuordnungseinstellungen zugewiesen werden.


Nachdem eine Zuordnung für einen Benutzer erstellt wurde, ruft der Authentifizierungs-Daemon bei späteren Suchen nach dem Benutzer die UID oder GID ab, die in der ID-Zuordnung gespeichert wurde.

Zuordnung von UNIX-IDs zu Windows-IDsDer ID-Zuordnungsservice erstellt temporäre UID-zu-SID- und GID-zu-SID-Zuordnungen nur dann, wenn noch keine Zuordnung vorhanden ist. Die UNIX-SIDs, die aus diesen Zuordnungen resultieren, werden nie auf Festplatte gespeichert.

UIDs und GIDs verfügen über eine Reihe vordefinierter Zuordnungen zu und von SIDs.

Wenn während der Authentifizierung eine UID-zu-SID- oder GID-zu-SID-Zuordnung angefordert wird, erzeugt der ID-Zuordnungsservice eine temporäre UNIX-SID im Format S-1-22-1-<UID> oder S-1-22-2-<GID>, indem die folgenden Regeln angewendet werden:

• Für UIDs generiert der ID-Zuordnungsservice eine UNIX-SID mit einer Domain von S-1-22-1 und einer Ressourcen-ID (RID), die mit der UID übereinstimmt. Die UNIX-SID für UID 600 lautet z. B. S-1-22-1-600.

• Für GIDs generiert der ID-Zuordnungsservice eine UNIX-SID mit einer Domain von S-1-22-2 und einer RID, die mit der GID übereinstimmt. Die UNIX-SID für GID 800 lautet z. B. S-1-22-2-800.

ID-ZuordnungsbereicheIn Zugriffszonen mit mehreren externen Authentifizierungsanbietern wie Active Directory und LDAP ist es wichtig, dass das UIDs und GIDs von unterschiedlichen Anbietern, die in derselben Zugriffszone konfiguriert sind, sich nicht überschneiden. Überschneidende UIDs und GIDs von mehreren Anbietern innerhalb einer Zugriffszone hätten u. U. zur Folge, dass einige Benutzer auf die Verzeichnisse und Dateien der anderen Benutzer zugreifen könnten.

Der Bereich von UIDs und GIDs, der für generierte Zuordnungen zugewiesen werden kann, ist in jeder Zugriffszone mit dem Befehl isi auth settings mappings modify konfigurierbar. Der Standardbereich für UIDs und GIDs ist 1000000-2000000 in jeder Zugriffszone.

Schließen Sie keine häufig verwendeten UIDs und GIDs in Ihre ID-Bereiche ein. Beispielsweise sind UIDs und GIDs unter 1000 für Systemkonten reserviert und sollten nicht Benutzern oder Gruppen zugewiesen werden.

BenutzerzuordnungDie Benutzerzuordnung bietet eine Möglichkeit, Berechtigungen zu steuern, indem Sie für einen Benutzer Sicherheits-, Benutzer- und Gruppenkennungen angeben. OneFS verwendet die Kennungen, um die Datei- oder Gruppeneigentumsrechte zu prüfen.

Mit der Benutzerzuordnungsfunktion können Sie Regeln anwenden, um die von OneFS verwendete Benutzeridentität zu ändern, ergänzende Benutzeridentitäten hinzuzufügen und die Gruppenmitgliedschaft eines Benutzers zu ändern. Der Benutzerzuordnungsservice kombiniert die Identitäten eines Benutzers aus mehreren Verzeichnisservices in einem einzigen Zugriffstoken und ändert sie anschließend gemäß den von Ihnen erstellten Regeln.

ANMERKUNG: Sie können Zuordnungsregeln pro Zone konfigurieren. Zuordnungsregeln müssen in jeder Zugriffszone,

die diese Regeln verwendet, separat konfiguriert werden. OneFS ordnet Benutzer nur während des Anmelde- oder

Protokollzugriffs zu.

StandardbenutzerzuordnungenStandardbenutzerzuordnungen bestimmen den Zugriff, wenn keine expliziten Benutzerzuordnungsregeln erstellt wurden.

Wenn Sie keine Regeln konfigurieren, erhält ein Benutzer, der sich über einen Verzeichnisservice authentifiziert, die Identitätsinformationen in anderen Verzeichnisservices, wenn die Kontonamen identisch sind. Beispiel: Ein Benutzer, der sich über eine Active Directory-Domain als Desktop\jane authentifiziert, erhält im endgültigen Zugriffstoken automatisch Identitäten aus LDAP oder NIS für das entsprechende UNIX-Benutzerkonto für „jane“.

Im gängigsten Szenario ist OneFS mit zwei Verzeichnisservices, Active Directory und LDAP verbunden. In einem solchen Fall stellt die Standardzuordnung einem Benutzer die folgenden Identitätsattribute bereit:

• Eine UID aus LDAP• Die Benutzer-SID aus Active Directory• Eine SID aus der Standardgruppe in Active Directory

Die Gruppen des Benutzers stammen aus Active Directory und LDAP und die LDAP-Gruppen und die automatisch erzeugte Gruppen-GID werden zur Liste hinzugefügt. Um Gruppen aus LDAP abzurufen, fragt der Zuordnungsservice das Attribut memberUid ab. Das Stammverzeichnis sowie die GECOS- und Shell-Daten eines Benutzers stammen aus Active Directory.


Elemente der BenutzerzuordnungsregelnSie kombinieren Operatoren mit Benutzernamen, um eine Benutzerzuordnungsregel zu erstellen.

Die folgenden Elemente wirken sich darauf aus, wie eine Regel von der Benutzerzuordnung angewendet wird:

• Der Operator, der den Vorgang bestimmt, der von einer Regel durchgeführt wird• Felder für Benutzernamen• Optionen• Ein Parameter• Platzhalter

Best Practices für die BenutzerzuordnungSie können Best Practices befolgen, um die Benutzerzuordnung zu vereinfachen.

Verwenden Sie Active Directory mit RFC 2307 und Windows-Dienste für UNIX.

Verwenden Sie Microsoft Active Directory mit Windows-Diensten für UNIX und RFC 2307-Attribute, um Linux, UNIX und Windows-System zu managen. Durch Integration von UNIX- und Linux-Systemen in Active Directory werden das Identitätsmanagement zentralisiert und die Interoperabilität vereinfacht, sodass weniger Benutzerzuordnungsregeln erforderlich sind. Stellen Sie sicher, dass auf Ihren Domain-Controllern Windows Server 2003 oder höher ausgeführt wird.

Verwenden Sie eine konsistente Strategie für Benutzernamen.

Die einfachsten Konfigurationen benennen Benutzer konsistent, sodass jeder UNIX-Benutzer einem ähnlich benannten Windows-Benutzer entspricht. Bei einer solchen Konvention sind Regeln mit Platzhalterzeichen zulässig, sodass Namen ohne eine explizite Angabe des Kontopaares abgeglichen und zugeordnet werden.

Verwenden Sie keine sich überschneidenden ID-Bereiche.

In Netzwerken mit mehreren Identitätsquellen, wie LDAP und Active Directory mit RFC 2307-Attributen, sollten Sie sicherstellen, dass UID- und GID-Bereiche sich nicht überschneiden. Es ist ebenfalls wichtig, dass der Bereich, aus dem von OneFS automatisch UIDs und GIDs zugewiesen werden, sich mit keinem anderen ID-Bereich überschneidet. OneFS weist automatisch UIDs und GIDs aus dem Bereich 1.000.000 bis 2.000.000 zu. Wenn UIDs und GIDs sich mit mehreren Verzeichnisservices überschneiden, erhalten einige Benutzer möglicherweise Zugriff auf die Verzeichnisse und Dateien von anderen Benutzern.

Vermeiden Sie häufig verwendete UIDs und GIDs.

Schließen Sie keine häufig verwendeten UIDs und GIDs in Ihre ID-Bereiche ein. Beispielsweise sind UIDs und GIDs unter 1.000 für Systemkonten reserviert. Weisen Sie diese nicht zu Benutzern oder Gruppen zu.

Verwenden Sie keine UPNs in Zuordnungsregeln.

Sie können keinen Benutzerprinzipalnamen (User Principal Name, UPN) in einer Benutzerzuordnungsregel verwenden. Ein UPN besteht aus einer Active Directory-Domain und einem Benutzernamen, die in einem internetähnlichen Namen mit einem @-Symbol kombiniert werden, wie in einer E-Mail-Adresse: jane@example. Wenn Sie einen UPN in eine Regel einschließen, wird dieser vom Zuordnungsservice ignoriert und möglicherweise ein Fehler zurückgegeben. Geben Sie Namen stattdessen im Format DOMAIN\user.com an.

Gruppieren Sie Regeln nach Typ und legen Sie eine Reihenfolge fest.

Das System verarbeitet standardmäßig alle Zuordnungsregeln. Dies kann zu Problemen führen, wenn Sie die Regel deny-all anwenden, z. B. um allen unbekannten Benutzern den Zugriff zu verweigern. Darüber hinaus können Austauschregeln möglicherweise mit Regeln interagieren, die Platzhalter enthalten. Um die Komplexität zu minimieren, wird empfohlen, dass Sie Regeln nach Typ gruppieren und in der folgenden Reihenfolge anordnen:

1. Austauschregeln: Legen Sie als Erstes alle Regeln fest, die eine Identität ersetzen, um sicherzustellen, dass alle Instanzen einer Identität durch OneFS ersetzt werden.

2. Regeln zum Beitreten, Hinzufügen und Einfügen: Nachdem die Namen von den Austauschvorgängen festgelegt wurden, legen Sie die Regeln zum Beitreten, Hinzufügen und Einfügen fest, um zusätzliche Kennungen hinzuzufügen.

3. Regeln zum Gewähren und Verweigern: Legen Sie als letzten Schritt die Regeln fest, die einen Zugriff gewähren oder verweigern.

ANMERKUNG: Beenden Sie alle Verarbeitungsvorgänge, bevor Sie eine standardmäßige

Verweigerungsregel anwenden. Erstellen Sie hierzu eine Regel, die zulässige Benutzer

abgleicht, aber keine Vorgänge ausführt, z. B. ein add-Operator ohne Feldoptionen, und die

außerdem über die break-Option verfügt. Nach Aufzählung aller zulässigen Benutzer können

Sie am Ende die Option catchall deny einfügen, um jeden nicht abgeglichenen Benutzer durch

einen leeren Benutzer zu ersetzen.

Um zu vermeiden, dass explizite Regeln übersprungen werden, ordnen Sie in jeder Regelgruppe explizite Regeln vor Regeln mit Platzhalterzeichen ein.


Fügen Sie die primäre LDAP- oder NIS-Gruppe zu den zusätzlichen Gruppen hinzu.

Wenn ein Isilon-Cluster mit Active Directory und LDAP verbunden ist, ist eine Best Practice, die primäre LDAP-Gruppe zur Liste der zusätzlichen Gruppen hinzuzufügen. Auf diese Weise erkennt OneFS Gruppenberechtigungen auf Dateien an, die über NFS erstellt oder aus anderen UNIX-Speichersystemen migriert wurden. Die gleiche Vorgehensweise wird empfohlen, wenn ein Isilon-Cluster mit Active Directory und NIS verbunden ist.

Identität auf dem LaufwerkNachdem die Benutzerzuordnung die Identität eines Benutzers aufgelöst hat, legt OneFS eine autorisierende Kennung für diese fest, die sog. bevorzugte Identität auf dem Laufwerk.

OnesFS speichert UNIX- oder Windows-Identitäten in Dateimetadaten auf der Festplatte. Identitätstypen auf dem Laufwerk sind UNIX, SID und die systemeigene Identität. Identitäten werden festgelegt, wenn eine Datei erstellt wird oder wenn die Zugriffskontrolldaten einer Datei geändert werden. Fast alle Protokolle erfordern für einen reibungslosen Betrieb ein gewisses Zuordnungslevel, sodass die Auswahl der bevorzugten Identität für die Speicherung auf dem Laufwerk wichtig ist. Sie können OneFS so konfigurieren, dass entweder die UNIX- oder die Windows-Identität gespeichert wird, oder Sie können OneFS die optimale Identität ermitteln lassen.

Identitätstypen auf dem Laufwerk sind UNIX, SID und die systemeigene Identität. Auch wenn Sie den Identitätstyp der Identität auf dem Laufwerk ändern können, ist die systemeigene Identität für ein Netzwerk mit UNIX- und Windows-Systemen am besten geeignet. Für den systemeigenen Identitätsmodus verbessert die Einstellung der UID als Identität auf dem Laufwerk die NFS-Performance.

ANMERKUNG: Die SID-Identität auf dem Laufwerk eignet sich für ein homogenes Netzwerk von Windows-Systemen,

die nur mit Active Directory gemanagt werden. Wenn Sie ein Upgrade von einer Version vor OneFS 6.5 durchführen, ist

die Identität auf dem Laufwerk auf UNIX festgelegt. Wenn Sie ein Upgrade von OneFS 6.5 oder höher durchführen,

bleibt die Identität auf dem Laufwerk erhalten. Bei neuen Installationen wird die Identität auf dem Laufwerk auf den

systemeigenen Typ festgelegt.

Die systemeigene Identität auf dem Laufwerk ermöglicht es dem OneFS-Authentifizierungs-Daemon, die richtige Identität für die Speicherung auf der Festplatte auszuwählen, indem die Identitätszuordnungstypen in der folgenden Reihenfolge geprüft werden:

Order Zuordnungstyp Beschreibung

1 Algorithmische Zuordnung

Eine SID, die S-1-22-1-UID oder S-1-22-2-GID in der internen ID-Zuordnungsdatenbank entspricht, wird zurück in die entsprechende UNIX‑Identität konvertiert, und die UID und GID werden als Identität auf dem Laufwerk festgelegt.

2 Externe Zuordnung Für einen Benutzer mit einer expliziten in einem Verzeichnisservice (z. B. Active Directory mit RFC 2307-Attributen, LDAP, NIS oder dem OneFS-Dateianbieter oder einem lokalen Anbieter) definierten UID und GID ist die UNIX‑Identität als Identität auf dem Laufwerk festgelegt.

3 Dauerhafte Zuordnung Zuordnungen werden dauerhaft in der Identitätszuordnungsdatenbank gespeichert. Eine Identität mit einer dauerhaften Zuordnung in der Identitätszuordnungsdatenbank verwendet das Ziel dieser Zuordnung als Identität auf dem Laufwerk, was primär bei manuellen ID-Zuordnungen auftritt. Beispiel: Bei einer ID-Zuordnung von GID:10000 zu S-1-5-32-545, wird bei einer Festplattenspeicheranforderung von GID:10000 der Wert S-1-5-32-545 zurückgegeben.

4 Keine Zuordnung Wenn ein Benutzer auch nach Abfrage der anderen Verzeichnisservices und Identitätsdatenbanken keine UID oder GID hat, wird seine SID als Identität auf dem Laufwerk festgelegt. Um sicherzustellen, dass ein Benutzer über NFS auf Dateien zugreifen kann, weist OneFS eine UID und GID aus einem voreingestellten Bereich von 1.000.000 bis 2.000.000 zu. Im systemeigenen Identitätstyp auf dem Laufwerk wird eine von OneFS erstellte UID oder GID nie als Identität auf dem Laufwerk festgelegt.

ANMERKUNG: Wenn Sie den Identitätstyp auf dem Laufwerk ändern, müssen Sie den PermissionRepair-Job ausführen,

wobei der Reparaturtyp Convert ausgewählt sein muss. Auf diese Weise wird dafür gesorgt, dass die

Festplattendarstellung aller Dateien mit der geänderten Einstellung konsistent ist. Weitere Informationen finden Sie im

Abschnitt Ausführen des PermissionRepair-Jobs.


Managen von ID-ZuordnungenSie können Identitätszuordnungen erstellen, bearbeiten und löschen und ID-Zuordnungseinstellungen konfigurieren.

Erstellen einer IdentitätszuordnungSie können eine manuelle Identitätszuordnung zwischen Quell- und Zielidentität erstellen oder automatisch eine Zuordnung für eine Quellidentität erzeugen.



2. Führen Sie den Befehl isi auth mapping create aus.Mit dem folgenden Befehl werden die IDs der Quell- und Zielidentitäten in Zugriffszone zone3 angegeben, um eine bidirektionale Zuordnung zwischen den Identitäten zu erstellen:

isi auth mapping create --2way --source-sid=S-1-5-21-12345 \--target-uid=5211 --zone=zone3

Ändern einer IdentitätszuordnungSie können die Konfiguration einer Identitätszuordnung ändern.



2. Führen Sie den Befehl isi auth mapping modify aus.Mit dem folgenden Befehl wird die Zuordnung des Benutzers mit UID 4236 in Zugriffszone zone3 so geändert, dass sie eine umgekehrte, bidirektionale Zuordnung zwischen der Quell- und der Zielidentität umfasst:

isi auth mapping modify --source-uid=4236 \--target-sid=S-1-5-21-12345 --zone=zone3 --2way

Löschen einer IdentitätszuordnungSie können eine oder mehrere Identitätszuordnungen löschen.



2. Führen Sie den Befehl isi auth mapping delete aus.Mit dem folgenden Befehl werden alle Identitätszuordnungen in Zugriffszone zone3 gelöscht:

isi auth mapping delete --all --zone=zone3

Mit dem folgenden Befehl werden alle Identitätszuordnungen in Zugriffszone zone3 gelöscht, die automatisch erstellt wurden und eine UID oder GID aus einer externen Authentifizierungsquelle umfassen:

isi auth mapping delete --all --only-external --zone=zone3

Mit dem folgenden Befehl wird die Identitätszuordnung des Benutzers mit UID 4236 in der Zugriffszone zone3 gelöscht:

isi auth mapping delete --source-uid=4236 --zone=zone3

Anzeigen einer IdentitätszuordnungSie können die Zuordnungsinformationen zu einer bestimmten Identität anzeigen.




2. Führen Sie den Befehl isi auth mapping view aus.Mit dem folgenden Befehl werden Zuordnungen für den Benutzer mit der UID 4236 in der Zugriffszone zone3 angezeigt:

isi auth mapping view --uid=4236 --zone=zone3


Name: user_36 On-disk: UID: 4236Unix uid: 4236Unix gid: -100000 SMB: S-1-22-1-4236

Leeren des IdentitätszuordnungscacheSie können den ID-Zuordnungscache leeren, um Kopien aller oder bestimmter Identitätszuordnungen im Arbeitsspeicher zu löschen.

Änderungen an den ID-Zuordnungen können dazu führen, dass der Cache nicht mehr synchron ist, und bei der Authentifizierung kann es zu Verzögerungen kommen. Sie können den Cache leeren, um die Zuordnungen zu synchronisieren.



2. Führen Sie den Befehl isi auth mapping flush aus.Mit dem folgenden Befehl werden alle Identitätszuordnungen auf dem Cluster gelöscht:

isi auth mapping flush --all

Mit dem folgenden Befehl wird die Zuordnung des Benutzers mit UID 4236 in der Zugriffszone zone3 gelöscht:

isi auth mapping flush --source-uid-4236 --zone=zone3

Anzeigen eines BenutzertokensSie können die Inhalte eines Zugriffstokens anzeigen, das für einen Benutzer während der Authentifizierung generiert wurde.



2. Führen Sie den Befehl isi auth mapping token aus.Mit dem folgenden Befehl wird das Zugriffstoken eines Benutzers mit UID 4236 in der Zugriffszone zone3 angezeigt:

isi auth mapping token --uid=4236 --zone=zone3


User Name: user_36 UID: 4236 SID: S-1-22-1-4236 On Disk: 4236ZID: 3Zone: zone3Privileges: -Primary Group Name: user_36 GID: 4236 SID: S-1-22-2-4236 On Disk: 4236

Konfigurieren IdentitätszuordnungseinstellungenSie können die automatische Zuordnung von UIDs und GIDS aktivieren oder deaktivieren und den Bereich der ID-Werte in jeder Zugriffszone anpassen. Der Standardbereich erstreckt sich von 1000000 bis 2000000.




2. Führen Sie den Befehl isi auth settings mapping modify aus.Mit dem folgenden Befehl wird die automatische Zuordnung sowohl der UIDs als auch der GIDs in Zugriffszone zone3 aktiviert und ihr Zuordnungsbereich auf 25000-50000 festgelegt:

isi auth settings mapping modify --gid-range-enabled=yes \--gid-range-min=25000 --gid-range-max=50000 --uid-range-enabled=yes \--uid-range-min=25000 --uid-range-max=50000 --zone=zone3

Anzeigen der IdentitätszuordnungseinstellungenSie können die aktuelle Konfiguration von Identitätszuordnungseinstellungen in jeder Zone anzeigen.



2. Führen Sie den Befehl isi auth settings mapping view aus.Mit dem folgenden Befehl werden die aktuellen Einstellungen für Zugriffszone zone3 angezeigt:

isi auth settings mapping view --zone=zone3


GID Range Enabled: Yes GID Range Min: 25000 GID Range Max: 50000UID Range Enabled: Yes UID Range Min: 25000 UID Range Max: 50000

Managen von BenutzeridentitätenSie können Benutzeridentitäten managen, indem Sie Benutzerzuordnungsregeln erstellen.

Wenn Sie Benutzerzuordnungsregeln erstellen, ist es wichtig, Folgendes zu beachten:

• Sie können Nutzerzuordnungsregeln nur erstellen, wenn Sie über die Systemzone mit dem Cluster verbunden sind. Sie können jedoch Nutzerzuordnungsregeln auf bestimmte Zugriffszonen anwenden. Wenn Sie eine Benutzerzuordnungsregel für eine bestimmte Zugriffszone erstellen, wird die Regel nur im Kontext der Zone angewendet.

• Wenn Sie eine Benutzerzuordnung auf einem Node ändern, überträgt OneFS die Änderung auf die anderen Nodes.• Nachdem Sie eine Benutzerzuordnung geändert haben, lädt der OneFS-Authentifizierungsservice die Konfiguration neu.

Anzeigen der BenutzeridentitätSie können die Identitäten und die Gruppenmitgliedschaft eines bestimmten Benutzers in Active Directory- und LDAP-Verzeichnisservices anzeigen, einschließlich des SID-Verlaufs (Security Identifier, Sicherheitskennung) des Benutzers.

Dieses Verfahren muss über die Befehlszeilenoberfläche (CLI) ausgeführt werden.

ANMERKUNG: Das OneFS-Benutzerzugriffstoken enthält eine Kombination aus Identitäten von Active Directory und

LDAP, wenn beide Verzeichnisservices konfiguriert sind. Sie können die folgenden Befehle ausführen, um die Identitäten

zu erkennen, die sich innerhalb eines Verzeichnisservice befinden.


2. Zeigen Sie nur Benutzeridentitäten aus Active Directory an, indem Sie den Befehl isi auth users view ausführen.Mit dem folgenden Befehl wird die Identität eines Benutzers namens „stand“ in der Active Directory-Domain namens „YORK“ angezeigt:

isi auth users view --user=YORK\\stand --show-groups


Name: YORK\stand DN: CN=stand,CN=Users,DC=york,DC=hull,DC=example,DC=com DNS Domain: york.hull.example.com


Domain: YORK Provider: lsa-activedirectory-provider:YORK.HULL.EXAMPLE.COMSam Account Name: stand UID: 4326 SID: S-1-5-21-1195855716-1269722693-1240286574-591111 Primary Group ID : GID:1000000 Name : YORK\york_sh_udg Additional Groups: YORK\sd-york space group YORK\york_sh_udg YORK\sd-york-group YORK\sd-group YORK\domain users

3. Zeigen Sie nur Benutzeridentitäten aus LDAP an, indem Sie den Befehl isi auth users view ausführen.Mit dem folgenden Befehl wird die Identität eines LDAP-Benutzers namens „stand“ angezeigt:

isi auth user view --user=stand --show-groups


Name: stand DN: uid=stand,ou=People,dc=colorado4,dc=hull,dc=example,dc=comDNS Domain: - Domain: LDAP_USERS Provider: lsa-ldap-provider:Unix LDAPSam Account Name: stand UID: 4326 SID: S-1-22-1-4326 Primary Group ID : GID:7222 Name : stand Additional Groups: stand sd-group sd-group2

Erstellen einer BenutzerzuordnungsregelSie können eine Benutzerzuordnungsregel erstellen, um Benutzeridentitäten zu managen.

1. Klicken Sie auf Access > Membership & Roles > User Mapping.

2. Wählen Sie in der Liste Current Access Zone eine Zugriffszone aus, die die zu managenden Regeln enthält, und klicken Sie dann auf Edit User Mapping Rules.Das Dialogfeld Edit User Mapping Rules wird angezeigt.

3. Klicken Sie auf Create a User Mapping Rule.Das Dialogfeld Create a User Mapping Rule wird angezeigt.

4. Wählen Sie aus der Liste Operation einen Vorgang aus.Abhängig von Ihrer Auswahl werden im Dialogfeld Create a User Mapping Rule zusätzliche Felder angezeigt.

5. Bearbeiten Sie die erforderlichen Felder.

6. Klicken Sie auf Add Rule, um die Regel zu speichern und zum Dialogfeld Edit User Mapping Rules zurückzukehren.

7. Klicken Sie im Bereich User Mapping Rules auf die Titelleiste einer Regel und ziehen Sie sie in eine neue Position, um die Position einer Regel in der Liste zu ändern.

Regeln werden in der aufgelisteten Reihenfolge angewendet. Damit jede Regel verarbeitet wird, führen Sie zuerst die Austauschregeln auf und als Letztes die Regeln zum Zulassen/Verweigern.

8. Wenn das Zugriffstoken nicht mit einem Standard-UNIX-Benutzer verknüpft ist oder wenn der Standard-UNIX-Benutzer nicht über eine primäre UID oder GID verfügt, wählen Sie eine der folgenden Optionen für die Authentifizierung aus:

• Generate a primary UID or GID from the reserved range of UIDs and GIDs• Deny access to the user• Assign another user as the default UNIX user

ANMERKUNG: Es wird empfohlen, einen Benutzer aus dem bekannten Konto zuzuweisen, der über einen

schreibgeschützten Zugriff verfügt.



Zugehörige Tasks

Zusammenführen von Windows- und UNIX-Token

Abrufen der primären Gruppe von LDAP

Testen einer Benutzerzuordnungsregel


Optionen für Zuordnungsregeln

Operatoren für Zuordnungsregeln

Testen einer BenutzerzuordnungsregelNachdem Sie eine Benutzerzuordnungsregel erstellt haben, können Sie diese testen, um sicherzustellen, dass die Ergebnisse für ein Benutzertoken den Erwartungen entsprechen.


2. Wählen Sie in der Liste Current Access Zone eine Zugriffszone aus, die die zu testenden Regeln enthält.

3. Geben Sie im Bereich Test User Mapping im Feld User, Group, or Well-known SID einen Benutzer- oder Gruppennamen oder den Wert für eine SID ein oder klicken Sie auf Browse, um eine Auswahl zu treffen.

4. Klicken Sie auf Test Mapping.Die Tokenergebnisse werden im Abschnitt Results angezeigt, wie hier zu sehen:

User Name:krb_user_002 UID:1002 SID:S-1-22-1-1001 On disk:1001 ZID:1 Zone:System Privileges:-

Primary Group Name:krb_user_001 GID:1000 SID:S-1-22-2-1001 On disk:1000

Supplemental Identities Name:Authenticated Users GID: - SID:S-1-5-11

Zugehörige Tasks

Erstellen einer Benutzerzuordnungsregel

Zusammenführen von Windows- und UNIX-TokenSie können entweder den Operator join oder den Operator append verwenden, um Token aus verschiedenen Verzeichnisservices in einem einzigen OneFS-Benutzertoken zusammenzuführen.

Wenn Windows- und UNIX-Benutzernamen in den verschiedenen Verzeichnisservices nicht übereinstimmen, können Sie Benutzerzuordnungsregeln schreiben, die entweder den Operator join oder den Operator append verwenden, um zwei Benutzernamen in einem Token zusammenzuführen. Beispiel: Wenn der Windows-Benutzername eines Benutzers „win_bob“ lautet und der UNIX-Benutzername „UNIX_bob“, können Sie die Benutzertoken der beiden Benutzer zusammenführen oder ein Token an das andere anfügen.

Wenn Sie ein Konto an ein anderes Konto anfügen, fügt der Operator append Informationen der einen Identität zur anderen hinzu: OneFS fügt die Felder, die von den Optionen aus der Quellidentität festgelegt werden, zur Zielidentität hinzu. OneFS fügt die Kennungen zur Liste der zusätzlichen Gruppen hinzu.


2. Wählen Sie unter Current Access Zone die aktuelle Zugriffszone aus, die die zu managenden Regeln enthält, und klicken Sie dann auf Edit User Mapping Rules.Das Dialogfeld Edit User Mapping Rules wird angezeigt.



4. Wählen Sie eine Option aus der Liste Operation aus:

Option Beschreibung

Join two users together Fügt die neue Identität in das Token ein

Append field from a user Ändert das Zugriffstoken durch Hinzufügen von Feldern

Abhängig von Ihrer Auswahl wird das Dialogfeld Create a User Mapping Rule aktualisiert, um die zusätzlichen Felder anzuzeigen.

5. Füllen Sie die erforderlichen Felder aus.

6. Klicken Sie auf Regel hinzufügen.

ANMERKUNG: Regeln werden in der aufgelisteten Reihenfolge angewendet. Damit jede Regel verarbeitet wird,

führen Sie zuerst die Austauschregeln auf und als Letztes die allow/deny-Regeln. Sie können die Reihenfolge

ändern, in der die Regeln aufgelistet werden, indem Sie auf die Titelleiste klicken und eine Regel in eine neue Position

ziehen.


Zugehörige Tasks


Abrufen der primären Gruppe von LDAPSie können eine Benutzerzuordnungsregel erstellen, um die Informationen der primären LDAP-Gruppe in das Zugriffstoken eines Benutzers einzufügen.

Standardmäßig führt der Benutzerzuordnungsservice Informationen aus AD und LDAP zusammen, gibt den Informationen aus AD jedoch Vorrang. Sie können eine Zuordnungsregel erstellen, um zu steuern, wie OneFS die Daten zusammengeführt, und dabei einer primären LDAP-Gruppe für einen Benutzer Vorrang vor Active Directory geben.


2. Wählen Sie unter Current Access Zone die aktuelle Zugriffszone aus, die die zu managenden Regeln enthält, und klicken Sie dann auf Edit User Mapping Rules.Das Dialogfeld Edit User Mapping Rules wird angezeigt.


4. Wählen Sie aus der Liste Operation die Option Insert fields from a user aus.Das Dialogfeld Create a User Mapping Rule wird aktualisiert, um die zusätzlichen Felder anzuzeigen.

5. Führen Sie zum Auffüllen des Felds Insert Fields into this User die folgenden Schritte durch:

a) Klicken Sie auf Browse.Das Dialogfeld Select a User wird angezeigt.

b) Wählen Sie einen Benutzer und einen Active Directory-Authentifizierungsanbieter aus.c) Klicken Sie auf Search, um die Suchergebnisse anzuzeigen.d) Wählen Sie einen Benutzernamen aus und klicken Sie auf Select, um zum Dialogfeld Create a User Mapping Rule zurückzukehren.

Die primäre Gruppe des zweiten Benutzers wird als primäre Gruppe des ersten Benutzers eingefügt.

6. Aktivieren Sie das Kontrollkästchen Insert Primary Group SID and GID.

7. Führen Sie zum Auffüllen des Felds Insert Fields from this User die folgenden Schritte durch:

a) Klicken Sie auf Browse.Das Dialogfeld Select a User wird angezeigt.

b) Wählen Sie einen Benutzer und einen LDAP-Authentifizierungsanbieter aus.c) Klicken Sie auf Search, um die Suchergebnisse anzuzeigen.d) Wählen Sie einen Benutzernamen aus und klicken Sie auf Select, um zum Dialogfeld Create a User Mapping Rule zurückzukehren.

8. Klicken Sie auf Regel hinzufügen.

ANMERKUNG: Regeln werden in der aufgelisteten Reihenfolge angewendet. Damit jede Regel verarbeitet wird,

führen Sie zuerst die Austauschregeln auf und als Letztes die Regeln zum Zulassen/Verweigern. Sie können die


Reihenfolge ändern, in der die Regeln aufgelistet werden, indem Sie auf die Titelleiste klicken und eine Regel in eine

neue Position ziehen.


Zugehörige Tasks


Optionen für ZuordnungsregelnZuordnungsregeln können Optionen enthalten, deren Ziel die Felder eines Zugriffstokens sind.

Ein Feld stellt einen Aspekt eines domainübergreifenden Zugriffstokens dar, z. B. die primäre UID und die primäre Benutzer-SID eines von Ihnen ausgewählten Benutzers. Sie können einige der Felder in der OneFS-Webverwaltungsschnittstelle sehen. User in der Webverwaltungsschnittstelle entspricht dem Benutzernamen. Sie können Felder in einem Zugriffstoken auch anzeigen, indem Sie den Befehl isi auth mapping token ausführen.

Wenn Sie eine Regel erstellen, können Sie eine Option hinzufügen, um festzulegen, wie OneFS Aspekte von zwei Identitäten in einem einzigen Token kombiniert. Beispielsweise kann mit einer Option durchgesetzt werden, dass von OneFS zusätzliche Gruppen an ein Token angehängt werden.

Ein Token enthält die folgenden Felder, die Sie mit Benutzerzuordnungsregeln bearbeiten können:

• username• unix_name• primary_uid• primary_user_sid• primary_gid• primary_group_sid• additional_ids (enthält zusätzliche Gruppen)

Mit Optionen wird gesteuert, wie eine Regel Identitätsinformationen in einem Token kombiniert. Die Option „break“ ist die Ausnahme. Sie beendet die Verarbeitung zusätzlicher Regeln durch OneFS.

Obwohl verschiedene Optionen auf eine Regel angewendet werden können, können nicht alle Optionen auf alle Operatoren angewendet werden. In der folgenden Tabelle werden die Auswirkungen jeder Option und die Operatoren, mit denen sie verwendet werden, beschrieben.

Option Operator Beschreibung

user insert, append Kopiert die primäre UID und die primäre Benutzer-SID, falls vorhanden, auf das Token

Gruppen insert, append Kopiert die primäre GID und die primäre Gruppen-SID, falls vorhanden, auf das Token

Gruppen insert, append Kopiert alle zusätzliche Kennungen auf das Token. Die zusätzlichen Kennungen schließen die primäre UID, die primäre GID, die primäre Benutzer-SID und die die primäre Gruppen-SID aus.

default_user Alle Operatoren mit Ausnahme von remove groups

Wenn der Zuordnungsservice den zweiten Benutzer in einer Regel nicht finden kann, versucht der Service, den Benutzernamen des Standardbenutzers zu finden. Der Name des Standardbenutzers darf keine Platzhalter enthalten. Wenn Sie die Option für den Standardnutzer in einer Regel über die Befehlszeilenoberfläche festlegen, müssen Sie einen Unterstrich verwenden: default_user.

break Alle Operatoren Mit dieser Option wird die Anwendung von Regeln durch den Zuordnungsservice nach Einfügen der Option break beendet. Das letzte Token wird vom Zuordnungsservice am Einfügepunkt der Option break erzeugt.

Zugehörige Tasks



Operatoren für ZuordnungsregelnDer Operator bestimmt die Funktionsweise einer Zuordnungsregel.

Sie können die Benutzerzuordnungsregeln entweder über die Webverwaltungsschnittstelle erstellen, in der die Operatoren in einer Liste aufgeführt sind, oder über die Befehlszeilenoberfläche.

Wenn Sie eine Zuordnungsregel über die OneFS-Befehlszeilenoberfläche erstellen, müssen Sie einen Operator mit einem Symbol angeben. Der Operator beeinflusst die Richtung, in der der Zuordnungsservice eine Regel verarbeitet. Weitere Informationen zum Erstellen einer Zuordnungsregel finden Sie im Whitepaper Managing identities with the Isilon OneFS user mapping service. In der folgenden Tabelle werden die Operatoren beschrieben, die Sie in einer Zuordnungsregel verwenden können.

Eine Zuordnungsregel kann nur einen Operator enthalten.

Operator Webschnittstelle CLI Richtung Beschreibung

append Append fields from a user ++ Von links nach rechts Ändert ein Zugriffstoken durch Hinzufügen von Feldern. Der Zuordnungsservice fügt die in der Liste der Optionen angegebenen Felder (Benutzer, Gruppe, Gruppen) zur ersten Identität in der Regel hinzu. Die Felder werden von der zweiten Identität in der Regel kopiert. Alle hinzugefügten Kennungen werden Mitglieder der Liste zusätzlicher Gruppen. Eine Anfügeregel ohne eine Option führt nur eine Suche durch. Sie müssen eine Option einschließen, ein Token zu ändern.

insert Insert fields from a user += Von links nach rechts Ändert ein vorhandenes Zugriffstoken durch Hinzufügen von Feldern. Die in der Optionsliste angegebenen Felder (Benutzer, Gruppe, Gruppen) werden aus der neuen Identität kopiert und in die Identität im Token eingefügt. Wenn die Regel einen primären Benutzer oder einer primäre Gruppe einfügt, werden diese zum neuen primären Benutzer und zur neuen primären Gruppe im Token. Der vorherige primäre Benutzer und die vorherige primäre Gruppe werden auf die Liste der zusätzlichen Kennungen verschoben. Bei Änderung des primären Benutzers bleibt der Benutzername des Tokens unverändert. Wenn zusätzliche Gruppen aus einer Identität eingefügt werden, fügt der Service die neuen Gruppen zu den vorhandenen Gruppen hinzu.

replace Replace one user with a different user

=> Von links nach rechts Entfernt das Token und ersetzt es durch das neue Token, das vom zweiten Benutzernamen identifiziert wird. Wenn der zweite Benutzername leer ist, wird der erste Benutzername im Token vom Zuordnungsservice entfernt, wodurch das Token dann keinen Benutzernamen mehr hat. Wenn ein Token keinen Nutzernamen enthält, verweigert OneFS mit dem Fehler no such user den Zugriff.

remove groups

Remove supplemental groups from a user

-- Unär Ändert ein Token durch das Entfernen von ergänzenden Gruppen

join Join two users together &= Bidirektional Fügt die neue Identität in das Token ein Wenn die neue Identität der zweite Benutzer ist, wird diese vom Zuordnungsservice nach der vorhandenen


Operator Webschnittstelle CLI Richtung Beschreibung

Identität eingefügt. Andernfalls wird die neue Identität vor der vorhandenen Identität eingefügt. Der Einfügepunkt ist von Bedeutung, wenn es sich bei der vorhandenen Identität um die erste Identität in der Liste handelt, da OneFS die erste Identität dazu verwendet, den Eigentümer neuer Dateisystemobjekte zu bestimmen.

Zugehörige Tasks



StammverzeichnisseDieser Abschnitt enthält die folgenden Themen:

Themen:

• Überblick über Stammverzeichnisse• Stammverzeichnisberechtigungen• Authentifizieren von SMB-Benutzern• Stammverzeichniserstellung über SMB• Stammverzeichniserstellung über SSH und FTP• Stammverzeichniserstellung in einer gemischten Umgebung• Interaktionen zwischen ACLs und Modusbits• Standardmäßige Stammverzeichniseinstellungen von Authentifizierungsanbietern• Unterstützte Erweiterungsvariablen• Domainvariablen für das Provisioning von Stammverzeichnissen

Überblick über StammverzeichnisseWenn Sie einen lokalen Benutzer erstellen, erstellt OneFS automatisch ein Stammverzeichnis für den Benutzer. OneFS unterstützt darüber hinaus ein dynamisches Stammverzeichnis-Provisioning für Benutzer, die auf das Cluster zugreifen, indem sie eine Verbindung zu einer SMB-Freigabe herstellen oder indem sie sich über FTP oder SSH anmelden.

Unabhängig von der Methode, mit der ein Stammverzeichnis erstellt wurde, können Sie den Zugriff auf das Stammverzeichnis durch eine Kombination von SMB, SSH und FTP konfigurieren.

StammverzeichnisberechtigungenSie können das Stammverzeichnis eines Benutzers mit einer Windows-ACL oder mit POSIX-Modusbits einrichten, die dann in eine synthetische ACL konvertiert werden. Die Methode zur Erstellung eines Stammverzeichnisses bestimmt die Anfangsberechtigungen, die für das Stammverzeichnis festgelegt sind.

Wenn Sie einen lokalen Benutzer erstellen, wird das das Stammverzeichnis des Benutzers standardmäßig mit Modusbits erstellt.

Für Benutzer, die anhand externer Quellen authentifiziert werden, können Sie Einstellungen angeben, mit der Stammverzeichnisse während der Anmeldung dynamisch erstellt werden. Wenn ein Stammverzeichnis während einer Anmeldung über SSH oder FTP erstellt wird, wird es mit Modusbits eingerichtet. Wenn ein Stammverzeichnis während einer SMB-Verbindung erstellt wird, erhält es entweder Modusbits oder eine ACL. Wenn sich z. B. ein LDAP-Benutzer erstmals über SSH oder FTP anmeldet, wird das Benutzerstammverzeichnis mit Modusbits erstellt. Wenn derselbe Benutzer erstmals eine Verbindung über eine SMB-Freigabe herstellt, wird das Stammverzeichnis mit den Berechtigungen erstellt, die von den konfigurierten SMB-Einstellungen angezeigt werden. Wenn die Option --inheritable-path-acl aktiviert ist, wird eine ACL erzeugt, andernfalls werden Modusbits verwendet.

Authentifizieren von SMB-BenutzernSie können SMB-Benutzer über Authentifizierungsanbieter authentifizieren, die NT-Hashes verarbeiten können.

SMB sendet einen NT-Passwort-Hash, um SMB-Benutzer zu authentifizieren, sodass sich nur Benutzer von Authentifizierungsanbietern, die NT-Hashes verarbeiten können, über SMB anmelden können. Die folgenden von OneFS-unterstützten Authentifizierungsanbieter können NT-Hashes verarbeiten:

• Active Directory• Standort• LDAPSAM (LDAP mit aktivierten Samba-Erweiterungen)

8

130 Stammverzeichnisse

Stammverzeichniserstellung über SMBSie können SMB-Freigaben erstellen, indem Sie Erweiterungsvariablen in den Freigabepfad einfügen. Erweiterungsvariablen geben Benutzern Zugriff auf ihre Stammverzeichnisse, indem sie eine Verbindung zur Freigabe herstellen. Sie können ebenfalls das dynamische Provisioning von Stammverzeichnissen aktivieren, die zum Zeitpunkt der SMB-Verbindung nicht vorhanden sind.

ANMERKUNG: Freigabeberechtigungen werden beim Zugriff auf Dateien geprüft, bevor die zugrunde liegenden

Dateisystemberechtigungen geprüft werden. Jede dieser Berechtigungen kann den Zugriff auf die Datei bzw. das

Verzeichnis verhindern.

Erstellen von Stammverzeichnissen mit ErweiterungsvariablenSie können Einstellungen mit Erweiterungsvariablen konfigurieren, um Stammverzeichnisse für SMB-Freigaben zu erstellen.

Wenn Nutzer über SMB auf den Cluster zugreifen, erfolgt der Zugriff auf das Stammverzeichnis über SMB Shares. Sie können Einstellungen mit einem Pfad konfigurieren, der eine Syntax mit Variablenerweiterung verwendet, damit der Benutzer eine Verbindung zu der Freigabe seines Stammverzeichnisses herstellen kann.

ANMERKUNG: Pfade zur Share eines Stammverzeichnisses müssen mit /ifs/ beginnen und sich im Stammpfad der

Zugriffszone befinden, in der die SMB Share des Stammverzeichnisses erstellt wird.

In den folgenden Befehlen wird die Option --allow-variable-expansion aktiviert, um anzuzeigen, dass %U auf den Nutzernamen erweitert werden soll, in diesem Beispiel „user411“. Die Option --auto-create-directory wird aktiviert, damit das Verzeichnis erstellt wird, falls es nicht vorhanden ist:

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full isi smb shares view HOMEDIR


Share Name: HOMEDIR Path: /ifs/home/%U Description: Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...Wenn „user411“ mit dem Befehl net use eine Verbindung zur Share herstellt, wird das Stammverzeichnis des Nutzers in /ifs/home/user411 erstellt. Auf dem Windows-Client von „user411“ wird mit dem Befehl net usem: über die Share „HOMEDIR“ eine Verbindung zu /ifs/home/user411 hergestellt:

net use m: \\cluster.company.com\HOMEDIR /u:user4111. Führen Sie auf dem Cluster die folgenden Befehle mit aktivierter Option --allow-variable-expansion aus. Die Erweiterungsvariable %U

wird auf den Nutzernamen erweitert und die Option --auto-create-directory wird aktiviert, damit das Verzeichnis erstellt wird, falls es nicht vorhanden ist:

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full

2. Führen Sie den folgenden Befehl aus, um die Einstellungen des Stammverzeichnisses anzuzeigen:

isi smb shares view HOMEDIR

Stammverzeichnisse 131


Share Name: HOMEDIR Path: /ifs/home/%U Description: Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...Wenn „user411“ mit dem Befehl net use eine Verbindung zur Share herstellt, wird das Stammverzeichnis für „user411“ in /ifs/home/user411 erstellt. Auf dem Windows-Client von „user411“ wird mit dem Befehl net usem: über die Share „HOMEDIR“ eine Verbindung zu /ifs/home/user411 hergestellt und die Zuordnung der Verbindung ähnelt dem folgenden Beispiel:

net use m: \\cluster.company.com\HOMEDIR /u:user411

Erstellen von Stammverzeichnissen mit der Option --inheritable-path-aclSie können auf einer Freigabe die Option --inheritable-path-acl aktivieren, um festzulegen, dass diese auf dem Freigabepfad übernommen werden soll, wenn das übergeordnete Verzeichnis eine übernehmbare ACL (Access Control List, Zugriffskontrolliste) hat.

Für die meisten Konfigurationsfunktionen müssen Sie als Mitglied der SecurityAdmin-Rolle angemeldet sein.

Standardmäßig wird der Verzeichnispfad einer SMB-Freigabe mit einer synthetischen ACL erstellt, die auf Modusbits basiert. Sie können die Option --inheritable-path-acl aktivieren, um die übernehmbare ACL auf allen erstellten Verzeichnissen zu verwenden, entweder zum Zeitpunkt der Erstellung der Freigabe oder, bei dynamisch bereitgestellten Freigaben, zum Zeitpunkt der Verbindung mit dieser Freigabe.

1. Führen Sie Befehle aus, die den folgenden Beispielen ähneln, um die Option --inheritable-path-acl auf dem Cluster zu aktivieren und bei der ersten Verbindung mit einer Freigabe auf dem Cluster ein Stammverzeichnis für einen Benutzer dynamisch bereitzustellen:

isi smb shares create HOMEDIR_ACL --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes \ --inheritable-path-acl=yes

isi smb shares permission modify HOMEDIR_ACL \ --wellknown Everyone \ --permission-type allow --permission full

2. Führen Sie einen net use-Befehl, der dem folgenden Beispiel ähnelt, auf einem Windows-Client aus, um das Stammverzeichnis zu „user411“ zuzuordnen:

net use q: \\cluster.company.com\HOMEDIR_ACL /u:user411

3. Führen Sie auf dem Cluster einen Befehl aus, der dem folgenden Beispiel ähnelt, um die übernommenen ACL-Berechtigungen für die Freigabe „user411“ anzuzeigen:

cd /ifs/home/user411ls -lde .


drwx------ + 2 user411 Isilon Users 0 Oct 19 16:23 ./ OWNER: user:user411 GROUP: group:Isilon Users CONTROL:dacl_auto_inherited,dacl_protected 0: user:user411 allow dir_gen_all,object_inherit,container_inherit


Erstellen von speziellen Stammverzeichnissen mit der %U-Variable für SMB-FreigabenMit dem speziellen %U-Namen für SMB-Freigaben können Sie eine SMB-Freigabe für ein Stammverzeichnis erstellen, das mit dem Benutzernamen eines Benutzers identisch ist.

In der Regel richten Sie eine %U-SMB-Freigabe mit einem Freigabepfad ein, der die %U-Erweiterungsvariable enthält. Wenn ein Benutzer versucht, eine Verbindung mit einer Freigabe herzustellen, die mit dem Anmeldenamen übereinstimmt, aber nicht vorhanden ist, wird stattdessen eine Verbindung zur %U-Freigabe hergestellt und der Benutzer wird auf den erweiterten Pfad für die %U-Freigabe weitergeleitet.

ANMERKUNG: Wenn eine andere SMB-Freigabe vorhanden ist, die mit dem Benutzernamen übereinstimmt, wird der

Benutzer mit der ausdrücklich benannten Freigabe anstelle der %U-Freigabe verbunden.

Führen Sie den folgenden Befehl aus, um eine Freigabe zu erstellen, die mit dem authentifizierten Anmeldenamen des Benutzers übereinstimmt, wenn der Benutzer eine Verbindung zur Freigabe herstellt:

isi smb share create %U /ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes \ --zone=System

Nachdem dieser Befehl ausgeführt wurde, wird Benutzer „Zachary“ eine Freigabe namens „zachary“ anstelle der %U-Freigabe angezeigt. Wenn Zachary versucht, eine Verbindung zur Freigabe „zachary“ herzustellen, wird er zum Verzeichnis /ifs/home/zachary weitergeleitet. Wenn Zachary auf einem Windows-Client die folgenden Befehle ausführt, werden ihm die Inhalte des Verzeichnisses /ifs/home/zachary angezeigt:

net use m: \\cluster.ip\zachary /u:zachary cd m:dir

Ähnlich dem obigen Beispiel werden der Benutzerin Claudia, wenn diese auf einem Windows-Client die folgenden Befehle ausführt, die Inhalte des Verzeichnisses /ifs/home/claudia angezeigt:

net use m: \\cluster.ip\claudia /u:claudia cd m: dir

Zachary und Claudia können nicht auf die Stammverzeichnisse des jeweils anderen zugreifen, da für Zachary nur die Freigabe „zachary“ und für Claudia nur die Freigabe „claudia“ vorhanden ist.

Stammverzeichniserstellung über SSH und FTPSie können Stammverzeichnissupport für Benutzer konfigurieren, die über SSH oder FTP auf das Cluster zugreifen, indem Sie die Authentifizierungsanbietereinstellungen ändern.

Festlegen der SSH- oder FTP-Anmelde-ShellSie können die Option --login-shell verwenden, um die Standardanmelde-Shell für den Benutzer festzulegen.

Standardmäßig setzt die Option --login-shell, wenn festgelegt, alle anderen Anmelde-Shell-Informationen, die vom Authentifizierungsanbieter bereitgestellt werden, außer Kraft. Active Directory bildet in diesem Fall eine Ausnahme. Wenn die Option --login-shell zusammen mit Active Directory festgelegt wird, stellt diese lediglich die Standardanmelde-Shell dar, wenn der Active Directory-Server keine Anmelde-Shell-Informationen bereitstellt.

ANMERKUNG: Die folgenden Beispiele beziehen sich auf das Festlegen der Anmelde-Shell auf /bin/bash. Sie können

die Shell auch auf /bin/rbash festlegen.

1. Führen Sie den folgenden Befehl aus, um die Anmelde-Shell für alle lokalen Benutzer auf /bin/bash festzulegen:

isi auth local modify System --login-shell /bin/bash


2. Führen Sie den folgenden Befehl aus, um die Standardanmelde-Shell für alle Active Directory-Benutzer in Ihrer Domain auf /bin/bash festzulegen:

isi auth ads modify YOUR.DOMAIN.NAME.COM --login-shell /bin/bash

Festlegen von SSH-/FTP-StammverzeichnisberechtigungenSie können Stammverzeichnisberechtigungen für ein Stammverzeichnis festlegen, auf das über SSH oder FTP zugegriffen wird, indem Sie einen umask-Wert festlegen.


Wenn bei der Anmeldung über SSH oder FTP ein Stammverzeichnis für einen Benutzer erstellt wird, geschieht dies mithilfe von POSIX-Modusbits. Die Berechtigungseinstellung auf dem Stammverzeichnis eines Benutzers wird auf „0755“ festgelegt und dann entsprechend der umask-Einstellung der Zugriffszone des Benutzers maskiert, um die Berechtigungen weiter einzuschränken. Sie können die umask-Einstellung für eine Zone mit der Option --home-directory-umask ändern und eine Oktalzahl als umask-Wert angeben.

1. Führen Sie den folgenden Befehl aus, um die umask-Einstellung anzuzeigen:

isi zone zones view System


Name: System Path: /ifs Groupnet: groupnet0 Map Untrusted: - Auth Providers: lsa-local-provider:System, lsa-file-provider:System NetBIOS Name: - User Mapping Rules: - Home Directory Umask: 0077 Skeleton Directory: /usr/share/skel Cache Entry Expiry: 4H Negative Cache Entry Expiry: 1m Zone ID: 1Im Befehlsergebnis können Sie sehen, dass die Standardeinstellung für Home Directory Umask für das erstellte Stammverzeichnis 0700 ist, was (0755& ~(077)) entspricht. Sie können die Einstellung Home Directory Umask für eine Zone mit der Option --home-directory-umask ändern und eine Oktalzahl als umask-Wert angeben. Dieser Wert gibt die Berechtigungen an, die deaktiviert werden sollen, sodass größere umask-Werte weniger Berechtigungen angeben. Beispielsweise ergibt ein umask-Wert von 000 oder 022 erstellte Stammverzeichnisberechtigungen von 0755, während ein umask-Wert von 077 erstellte Stammverzeichnisberechtigungen von 0700 ergibt.

2. Führen Sie einen Befehl aus, der dem folgenden Beispiel ähnelt, um Gruppen- oder sonstige Schreib-/Ausführungsberechtigungen in einem Stammverzeichnis zuzulassen:

isi zone zones modify System --home-directory-umask=022

In diesem Beispiel werden Benutzerstammverzeichnisse mit Modusbits 0755, maskiert durch das Feld „umask“, auf den Wert 022 gesetzt. Deshalb werden Benutzerstammverzeichnisse mit Modusbits 0755 erstellt, was (0755 & ~(022)) entspricht.

Festlegen von Erstellungsoptionen für SSH-/FTP-StammverzeichnisseSie können Stammverzeichnissupport für einen Benutzer konfigurieren, der über SSH oder FTP auf das Cluster zugreift, indem Sie Optionen für Authentifizierungsanbieter festlegen.

1. Führen Sie den folgenden Befehl aus, um die Einstellungen für einen Active Directory-Authentifizierungsanbieter auf dem Cluster anzuzeigen:

isi auth ads list



Name Authentication Status DC Name Site ---------------------------------------------------------YOUR.DOMAIN.NAME.COM Yes online - SEA---------------------------------------------------------Total: 1

2. Führen Sie den Befehl isi auth ads modify mit den Optionen --home-directory-template und --create-home-directory aus.

isi auth ads modify YOUR.DOMAIN.NAME.COM \--home-directory-template=/ifs/home/ADS/%D/%U \--create-home-directory=yes

3. Führen Sie den Befehl isi auth ads view mit der Option --verbose aus.Die Systemausgabe ähnelt dem folgenden Beispiel:

Name: YOUR.DOMAIN.NAME.COM NetBIOS Domain: YOUR ... Create Home Directory: Yes Home Directory Template: /ifs/home/ADS/%D/%U Login Shell: /bin/sh

4. Führen Sie den Befehl id aus.Die Systemausgabe ähnelt dem folgenden Beispiel:

uid=1000008(<your-domain>\user_100) gid=1000000(<your-domain>\domain users) groups=1000000(<your-domain>\domain users),1000024(<your-domain>\c1t),1545(Users)

5. Optional: Um diese Informationen von einem externen UNIX-Node zu überprüfen, führen Sie den Befehl ssh von einem externen UNIX-Node aus.Beispielsweise würde mit dem folgenden Befehl das Verzeichnis /ifs/home/ADS/<your-domain>/user_100 erstellt, wenn es noch nicht vorhanden wäre:

ssh <your-domain>\\[email protected]

Bereitstellen von Stammverzeichnissen mit dot.-DateienSie können Stammverzeichnisse mit dot.-Dateien bereitstellen.


Das Hauptverzeichnis, das sich standardmäßig unter /usr/share/skel befindet, enthält einen Satz Dateien, die in das Stammverzeichnis des Benutzers kopiert werden, wenn ein lokaler Benutzer erstellt wird oder wenn ein Stammverzeichnis für einen Benutzer dynamisch während der Anmeldung erstellt wird. Dateien im Hauptverzeichnis, die mit dot. beginnen, werden umbenannt und das Präfix dot wird entfernt, wenn sie in das Stammverzeichnis des Benutzers kopiert werden. Beispielsweise wird dot.cshrc als .cshrc in das Stammverzeichnis des Benutzers kopiert. Durch dieses Format können dot.-Dateien im Hauptverzeichnis über die Befehlszeilenoberfläche angezeigt werden, ohne dass der Befehl ls-a ausgeführt werden muss.

Für SMB-Freigaben, die möglicherweise Stammverzeichnisse verwenden, die mit dot.-Dateien bereitgestellt wurden, können Sie eine Option festlegen, dass Benutzer, die sich über SMB mit der Freigabe verbinden, keine dot.-Dateien anzeigen können.

1. Führen Sie den folgenden Befehl aus, um das Standardhauptverzeichnis in der Systemzugriffszone anzuzeigen:

isi zone zones view System


Name: System... Skeleton Directory: /usr/share/skel

2. Führen Sie den Befehl isi zone zones modify aus, um das Standardhauptverzeichnis zu ändern.Mit dem folgenden Befehl wird das Standardhauptverzeichnis /usr/share/skel in einer Zugriffszone geändert, wobei „System“ der Wert für die Option <zone> ist und /usr/share/skel2 der Wert für die Option <path>:

isi zone zones modify System --skeleton-directory=/usr/share/skel2


Stammverzeichniserstellung in einer gemischten UmgebungWenn sich ein Benutzer sowohl über SMB als auch über SSH anmeldet, wird empfohlen, dass Sie die Stammverzeichniseinstellungen so konfigurieren, dass die Pfadvorlage einheitlich für die SMB-Freigabe und jeden Authentifizierungsanbieter ist, gegen den der Benutzer über SSH authentifiziert wird.

Interaktionen zwischen ACLs und ModusbitsDie Einrichtung eines Stammverzeichnisses wird durch verschiedene Faktoren bestimmt, z. B. die Art der Benutzerauthentifizierung und die für die Erstellung eines Stammverzeichnisses festgelegten Optionen.

Das Stammverzeichnis eines Benutzers wird entweder mit ACLs oder POSIX-Modusbits eingerichtet, die in eine synthetische ACL konvertiert werden. Das Verzeichnis eines lokalen Benutzers wird erstellt, wenn der lokale Benutzer erstellt wird, und das Verzeichnis wird standardmäßig mit POSIX-Modusbits eingerichtet. Verzeichnisse können bei der Anmeldung für Benutzer, die sich über eine externe Quelle authentifizieren, und in einigen Fällen für Benutzer, die sich über den Dateianbieter authentifizieren, dynamisch bereitgestellt werden. In diesem Fall hängt die Erstellung des Stammverzeichnisses des Benutzers davon ab, wie sich der Benutzer beim ersten Mal anmeldet.

Wenn sich ein LDAP-Benutzer beispielsweise beim ersten Mal über SSH oder FTP anmeldet, wird das Stammverzeichnis des Benutzers mit POSIX-Modusbits erstellt. Wenn sich derselbe Benutzer beim ersten Mal über eine SMB-Freigabe des Stammverzeichnisses anmeldet, wird das Stammverzeichnis entsprechend den festgelegten SMB-Optionseinstellungen erstellt. Wenn die Option --inherited-path-acl aktiviert ist, werden ACLs generiert. Andernfalls werden POSIX-Modusbits verwendet.

Standardmäßige Stammverzeichniseinstellungen von AuthentifizierungsanbieternDie Standardeinstellungen, die die Einrichtung von Stammverzeichnissen beeinflussen, variieren je nach Authentifizierungsanbieter, gegen den der Benutzer authentifiziert wird.

Authentifizierungsanbieter Stammverzeichnis Stammverzeichniserstellung UNIX-Anmelde-Shell

Lokal • --home-directory-template=/ifs/home/%U

• --create-home-directory=yes

• --login-shell=/bin/sh

Aktiviert /bin/sh

Datei • --home-directory-template=""

• --create-home-directory=no

Disabled Ohne

Active Directory • --home-directory-template=/ifs/home/%D/%U

• --create-home-directory=no• --login-shell=/bin/sh

ANMERKUNG: Wenn verfügbar, setzen Anbieterinformationen diesen Wert außer Kraft.

Disabled /bin/sh

LDAP • --home-directory-template=""


Disabled Ohne


Authentifizierungsanbieter Stammverzeichnis Stammverzeichniserstellung UNIX-Anmelde-Shell

NIS • --home-directory-template=""


Disabled Ohne


Unterstützte Erweiterungsvariablen

Unterstützte ErweiterungsvariablenSie können Erweiterungsvariablen in einen SMB-Freigabepfad oder in die Stammverzeichnisvorlage eines Authentifizierungsanbieters einbeziehen.

OneFS unterstützt die folgenden Erweiterungsvariablen. Sie können die Performance verbessern und die Anzahl der zu managenden Freigaben reduzieren, indem Sie Freigaben mit Erweiterungsvariablen konfigurieren. Sie können beispielsweise die Variable %U in eine Freigabe einbeziehen, anstatt eine Freigabe für jeden Benutzer zu erstellen. Wenn die Variable %U im Namen enthalten ist, sodass der Pfad jedes Benutzers unterschiedlich ist, bleibt die Sicherheit weiterhin gegeben, da jeder Benutzer nur sein eigenes Stammverzeichnis anzeigen und darauf zugreifen kann.

ANMERKUNG: Wenn Sie eine SMB-Freigabe über die Webverwaltungsschnittstelle erstellen, müssen Sie das

Kontrollkästchen Allow Variable Expansion aktivieren, da die Zeichenfolge ansonsten vom System buchstäblich

interpretiert wird.

Variable Wert Beschreibung

%U Benutzername (z. B. user_001) Blendet den Benutzernamen ein, damit unterschiedliche Benutzer verschiedene Stammverzeichnisse verwenden können. Diese Variable wird in der Regel am Ende des Pfads angeführt. Beispiel: Für den Nutzer „user1“ wird der Pfad /ifs/home/%U zugeordnet zu /ifs/home/user1.

%D NetBIOS-Domainnamen (z. B. YORK für YORK.EAST.EXAMPLE.COM)

Blendet den Domainnamen des Benutzers auf Grundlage des Authentifizierungsanbieters ein:

• Bei Active Directory-Benutzern wird %D als Active Directory-NetBIOS-Name eingeblendet.

• Bei lokalen Benutzern wird %D als Clustername in Großbuchstaben eingeblendet. Beispiel: Für das Cluster „cluster1“ wird %D als CLUSTER1 eingeblendet.

• Für Benutzer im Systemdateianbieter wird %D als UNIX_USERS eingeblendet.

• Für Benutzer in anderen Dateianbietern wird %D als FILE_USERS eingeblendet.

• Für LDAP-Benutzer wird %D als LDAP_USERS eingeblendet.• Für NIS-Benutzer wird %D als NIS_USERS eingeblendet.

%Z Zonenname (z. B. ZoneABC) Wird als Zugriffszonenname eingeblendet. Wenn mehrere Zonen aktiviert sind, ist diese Variable zur Differenzierung von Benutzern in separaten Zonen nützlich. Beispiel: Für den Nutzer „user1“ in der Systemzone wird der Pfad /ifs/home/%Z/%U zugeordnet zu /ifs/home/System/user1.

%L Hostname (Clusterhostname in Kleinbuchstaben)

Wird als Hostname des Clusters, normalisiert in Kleinbuchstaben, eingeblendet. Eingeschränkte Verwendung.

%0 Erstes Zeichen des Benutzernamens

Wird auf das erste Zeichen des Benutzernamens erweitert

%1 Zweites Zeichen des Benutzernamens

Wird auf das zweite Zeichen des Benutzernamens erweitert

%2 Drittes Zeichen des Benutzernamens

Wird auf das dritte Zeichen des Benutzernamens erweitert


ANMERKUNG: Wenn der Benutzername weniger als drei Zeichen umfasst, werden die Variablen %0, %1 und %2

zusammengefasst. Beispiel: Für einen Benutzer mit dem Namen „ab“ werden die Variablen a, b bzw. a zugeordnet. Für

einen Benutzer mit dem Namen „a“ werden alle drei Variablen a zugeordnet.

Domainvariablen für das Provisioning von StammverzeichnissenSie können Domainvariablen verwenden, um Authentifizierungsanbieter während des Provisioning von Stammverzeichnissen festzulegen.

Die Domainvariable (%D) wird in der Regel für Active Directory-Benutzer verwendet, verfügt jedoch über verschiedene Werte, die für andere Authentifizierungsanbieter verwendet werden können. In der folgenden Tabelle wird die %D-Erweiterung für die verschiedenen Authentifizierungsanbieter beschrieben.

Authentifizierter Benutzer %D-Erweiterung

Active Directory-Benutzer Active Directory-NetBIOS-Name, z. B. YORK für Anbieter YORK.EAST.EXAMPLE.COM.

Lokaler Benutzer Der Clustername in Großbuchstaben, z. B. wird %D für ein Cluster mit dem Namen „MyCluster“ auf MYCLUSTER erweitert.

Dateibenutzer • UNIX_USERS (für Systemdateianbieter)• FILE_USERS (für alle anderen Dateianbieter)

LDAP-Benutzer LDAP_USERS (für alle LDAP-Authentifizierungsanbieter)

NIS-Benutzer NIS_USERS (für alle NIS-Authentifizierungsanbieter)


Unterstützte Erweiterungsvariablen


DatenzugriffskontrolleDieser Abschnitt enthält die folgenden Themen:

Themen:

• Übersicht über die Datenzugriffskontrolle• ACLs• UNIX-Berechtigungen• Umgebungen mit gemischten Berechtigungen• Managen von Zugriffsberechtigungen

Übersicht über die DatenzugriffskontrolleOneFS unterstützt 2 Typen von Berechtigungsdaten für Dateien und Verzeichnisse, mit denen gesteuert wird, wer Zugriff hat: Zugriffskontrolllisten (ACLs, Access Control Lists) im Stile von Windows sowie POSIX-Modusbits (UNIX-Berechtigungen). Sie können globale Policy-Einstellungen konfigurieren, mit denen Sie die standardmäßigen Berechtigungen für Zugriffskontrolllisten und UNIX optimal für Ihre Umgebung anpassen können.

Weitere Informationen zur Datenzugriffskontrolle finden Sie im OneFS-Verwaltungshandbuch und im OneFS-CLI-Verwaltungshandbuch.

ACLsIn Windows-Umgebungen werden Datei- und Verzeichnisberechtigungen (Zugriffsrechte) durch ACLs (Zugriffskontrolllisten) definiert. Obwohl ACLs komplexer sind als Modusbits, können mit ACLs wesentlich granularere Sätze von Zugriffsregeln definiert werden. OneFS überprüft die in der Regel mit Windows-ACLs verknüpften CL-Verarbeitungsregeln.

Windows-ACLs enthalten unter Umständen ACEs (Access Control Entries), die jeweils die Sicherheitskennung (SID) eines Benutzers oder einer Gruppe als Bevollmächtigten darstellen. In OneFS kann eine ACL ACEs mit einer UID, GID oder SID als Bevollmächtigten enthalten. Jeder ACE umfasst einen Satz von Rechten, die Zugriff auf eine Datei oder einen Ordner gewähren oder verweigern. Ein ACE kann eine Vererbungsmarkierung enthalten, um festzulegen, ob der ACE von untergeordneten Ordnern und Dateien übernommen werden soll.

ANMERKUNG: Anstelle der drei Standardberechtigungen für Modusbits verfügen ACLs über 32 Bits differenzierter

Zugriffsrechte. Davon sind die oberen 16 Bits allgemein und gelten für alle Objekttypen. Die unteren 16 Bits variieren

zwischen Dateien und Verzeichnissen, werden jedoch auf eine Weise definiert, die es den meisten Anwendungen

ermöglicht, die gleichen Bits für Dateien und Verzeichnisse anzuwenden.

Rechte gewähren oder verweigern den Zugriff für einen bestimmten Bevollmächtigten. Sie können den Benutzerzugriff durch einen Deny-ACE ausdrücklich sperren, oder implizit, indem Sie sicherstellen, dass ein Benutzer weder direkt noch indirekt in einer Gruppe erscheint, der ein ACE das entsprechende Recht gewährt.

UNIX-BerechtigungenIn einer UNIX-Umgebung wird der Datei- und Verzeichniszugriff mit POSIX-Modusbits gesteuert, die dem Eigentümerbenutzer, der Eigentümergruppe und allen anderen Benutzern Lese-, Schreib- oder Ausführungsberechtigungen gewähren.

OneFS unterstützt die standardmäßigen UNIX-Tools zum Anzeigen und Ändern von Berechtigungen, ls, chmod und chown. Weitere Information erhalten Sie, indem Sie die Befehle man ls, man chmod und man chown ausführen.

Alle Dateien enthalten 16 Berechtigungsbits, die Informationen über die Datei- oder Verzeichnisart und Berechtigungen enthalten. Die unteren neun Bits sind in drei Sätzen mit jeweils drei Bits (Dreiergruppen) gruppiert, die die Lese-, Schreib- und Ausführungsberechtigungen (RWX-Berechtigungen) für jede Benutzerklasse, d. h. Eigentümer, Gruppe und Andere, enthalten. Sie können Berechtigungsmarkierungen festlegen, um jeder dieser Klassen Berechtigungen zu gewähren.

OneFS prüft nur bei Stammbenutzern die Klasse, um zu bestimmen, ob der Zugriff auf die Datei gewährt oder verweigert wird. Die Klassen sind nicht kumulativ: Die erste übereinstimmende Klasse wird verwendet. Es ist deshalb üblich, Berechtigungen in absteigender Reihenfolge zu gewähren.

9

Datenzugriffskontrolle 139

Umgebungen mit gemischten BerechtigungenWenn ein Dateivorgang Autorisierungsdaten eines Objekts anfordert (z. B. mit dem Befehl ls-l über NFS oder mit der Registerkarte Security des Dialogfelds Properties in Windows Explorer über SMB), versucht OneFS, diese Daten im angeforderten Format bereitzustellen. In einer Umgebung mit UNIX- und Windows-Systemen kann bei Vorgängen wie der Erstellung von Dateien, der Festlegung von Sicherheitseinstellungen, Sicherheitsabfragen und dem Zugriff auf Dateien eine Übersetzung erforderlich sein.

NFS-Zugriff von mit Windows erstellten DateienWenn eine Datei einen Eigentümerbenutzer oder eine Eigentümergruppe enthält, die eine SID ist, versucht das System, diese einer entsprechenden UID oder GID zuzuordnen, bevor sie sie an den Benutzer zurückgibt.

In UNIX werden Autorisierungsdaten abgerufen, indem stat(2) für eine Datei abgerufen und der Eigentümer, die Gruppe und die Modusbits überprüft werden. Über NFSv3 funktioniert der GETATTR-Befehl auf ähnliche Art und Weise. Das System schätzt die Modusbits und stellt diese in der Datei ein, sobald deren ACL geändert wird. Modusbitnäherungswerte müssen nur abgerufen werden, um diese Aufrufe zu bearbeiten.

ANMERKUNG:

SID-zu-UID- und SID-zu-GID-Zuordnungen werden im Cache von OneFS-ID-Mapper und im stat-Cache

zwischengespeichert. Wenn eine Zuordnung kürzlich geändert wurde, kann die Datei vorübergehend ungenaue

Informationen melden, bis sie aktualisiert oder der Cache geleert wird.

SMB-Zugriff von mit UNIX erstellten DateienEs werden keine UID-zu-SID- oder GID-zu-SID-Zuordnungen ausgeführt, wenn eine ACL für eine Datei erstellt wird. Alle UIDs und GIDs werden in SIDs oder Prinzipale konvertiert, wenn die ACL zurückgegeben wird.

OneFS initiiert einen zwei Schritte umfassenden Prozess für die Zurückgabe eines Sicherheitsdeskriptors, der SIDs für den Eigentümer und die primäre Gruppe eines Objekts enthält:

1. Der aktuelle Sicherheitsdeskriptor wird von der Datei abgerufen. Wenn die Datei keine DACL (Discretionary Access Control List) hat, wird eine synthetische ACL anhand der niedrigeren neun Modusbits der Datei erstellt, die in drei Sätze von Berechtigungsdreiergruppen aufgeteilt werden, jeweils eine für Eigentümer, Gruppe und Jeden. Ausführliche Informationen zu Modusbits finden Sie im Abschnitt zu UNIX-Berechtigungen.

2. Für jede Berechtigungsdreiergruppe werden zwei ACEs (Access Control Entries) erstellt: die Option allow ACE enthält die entsprechenden Rechte, die gemäß den Berechtigungen gewährt werden; deny ACE enthält die entsprechenden Rechte, die verweigert werden. In beiden Fällen entspricht der ACE-Bevollmächtigte dem Eigentümer von Datei, Gruppe oder Jedem. Nachdem alle ACEs erzeugt wurden, werden alle nicht erforderlichen ACEs gelöscht, bevor die synthetische ACL zurückgegeben wird.

Managen von ZugriffsberechtigungenDie interne Darstellung von Identitäten und Berechtigungen kann Informationen von UNIX-Quellen, Windows-Quellen oder beiden enthalten. Da Zugriffsprotokolle die Informationen nur von einer dieser Informationsquellen verarbeitet können, muss das System möglicherweise Näherungswerte verwenden, um die Informationen in einem Format darzustellen, das vom Protokoll verarbeitet werden kann.

Anzeigen erwarteter BenutzerberechtigungenSie können die erwarteten Berechtigungen für den Benutzerzugriff auf eine Datei oder ein Verzeichnis anzeigen.

Dieses Verfahren muss über die Befehlszeilenoberfläche (CLI) ausgeführt werden.


2. Zeigen Sie die erwarteten Benutzerberechtigungen durch Ausführen des Befehls isi auth access an.Mit dem folgenden Befehl werden Berechtigungen in /ifs/ für den Benutzer angezeigt, den Sie anstelle von <username> angegeben haben:

isi auth access <username> /ifs/


140 Datenzugriffskontrolle

User Name : <username> UID : 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<username> \ allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

3. Zeigen Sie die Modusbitberechtigungen für einen Benutzer durch Ausführen des Befehls isi auth access an.Mit dem folgenden Befehl werden ausführliche Dateiberechtigungen in /ifs/ für den Benutzer angezeigt, den Sie anstelle von <username> angegeben haben:

isi auth access <username> /ifs/ -v


User Name : <username> UID \: 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<username>allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

4. Zeigen Sie die erwarteten ACL-Benutzerberechtigungen für einen Benutzer für den Zugriff auf eine Datei durch Ausführen des Befehls isi auth access an.Mit dem folgenden Befehl werden ausführliche ACL-Dateiberechtigungen für die Datei file_with_acl.tx in /ifs/data/ für den Benutzer angezeigt, den Sie anstelle von <username> angegeben haben:

isi auth access <username> /ifs/data/file_with_acl.tx -v


User Name : <username> \UID : 2097 SID : SID:S-1-7-21-2141457107-1614332578-1691322789-1018 File Owner : user:<username> Group : group:wheel Permissions Expected : user:<username> allow file_gen_read,file_gen_write,std_write_dac Relevant Acl: group:<group-name> Users allow file_gen_read user:<username> allow std_write_dac,file_write,append,file_write_ext_attr,file_write_attr group:wheel allow file_gen_read,file_gen_write

Konfigurieren von Einstellungen für das ZugriffsmanagementDie standardmäßigen Zugriffseinstellungen umfassen u a. Folgendes: die Angabe, ob NTLMv2-Antworten für SMB-Verbindungen gesendet werden sollen, der auf dem Laufwerk zu speichernde Identitätstyp, der Windows-Arbeitsgruppenname für die Ausführung im lokalen Modus und die Zeichenersetzung bei Leerzeichen, die in Benutzer- und Gruppennamen auftreten.

1. Klicken Sie auf Access > Settings.

2. Konfigurieren Sie die folgenden Einstellungen je nach Bedarf:

Option Beschreibung

Send NTLMv2 Gibt an, ob nur NTLMv2-Antworten an SMB-Clients mit NTLM-kompatiblen Anmeldeinformationen gesendet werden.

On-Disk Identity Steuert die bevorzugte Identität, die auf dem Laufwerk gespeichert wird. Wenn OneFS nicht in der Lage ist, eine Identität in das bevorzugte Format zu konvertieren, wird diese im aktuellen Format gespeichert. Diese Einstellung wirkt sich nicht auf Identitäten aus, die derzeit bereits auf dem Laufwerk gespeichert sind. Wählen Sie eine der folgenden Einstellungen aus:

native OneFS bestimmt die Identität, die auf dem Laufwerk gespeichert wird. Dies ist die empfohlene Einstellung.


Option Beschreibung

UNIX Es werden immer eingehende UNIX-Kennungen (UIDs und GIDs) auf dem Laufwerk gespeichert.

sid Es werden eingehende Windows-Sicherheitskennungen (SIDs) auf dem Laufwerk gespeichert, es sei denn, die SID wurde von einer UNIX-Kennung erzeugt. In diesem Fall müssen Sie sie zur UNIX-Kennung zurückkonvertieren und auf dem Laufwerk speichern.

Workgroup Gibt die NetBIOS-Arbeitsgruppe an. Der Standardwert ist WORKGROUP.

Space Replacement

Gibt für Clients, die Probleme bei der Analyse von Leerzeichen in Benutzer- und Gruppennamen haben, ein Ersatzzeichen an.

3. Klicken Sie auf Save.

Wenn Sie die Auswahl der Laufwerksidentität geändert haben, wird empfohlen, dass Sie den PermissionRepair-Job mit dem Convert-Reparaturtyp ausführen, um potenzielle Berechtigungsfehler zu vermeiden. Weitere Informationen finden Sie im Abschnitt Ausführen des PermissionRepair-Jobs.

Ändern der ACL-Policy-EinstellungenSie können die ACL-Policy-Einstellungen ändern, die Standardeinstellungen sind jedoch für die meisten Clusterbereitstellungen ausreichend.

VORSICHT: Da ACL-Policies das Verhalten von Berechtigungen im gesamten System ändern, sollten sie nur von

erfahrenen Administratoren, die über umfassende Kenntnisse über Windows ACLs verfügen, und nur bei Bedarf

geändert werden. Dies gilt insbesondere für die erweiterten Einstellungen, die unabhängig von der Clusterumgebung

angewendet werden.

Für UNIX-, Windows- oder ausgeglichene Umgebungen werden die optimalen Berechtigungs-Policy-Einstellungen ausgewählt. Diese können nicht geändert werden. Sie können jedoch die Standardberechtigungseinstellungen des Clusters bei Bedarf auch manuell konfigurieren, um Ihre spezifische Umgebung zu unterstützen.

1. Klicken Sie auf Access > ACL Policy Settings.

2. Wählen Sie im Bereich Environment die Option aus, die Ihre Umgebung am besten beschreibt, oder wählen Sie die Option Custom environment aus, um Berechtigungs-Policies individuell zu konfigurieren.

3. Bei Auswahl der Option Custom environment sind Einstellungen im Bereich General ACL Settings erforderlich.

4. Konfigurieren Sie die Einstellungen im Bereich Advanced ACL Settings nach Bedarf.


ACL-Policy-Einstellungen

ACL-Policy-EinstellungenSie können eine ACL-Policy (Access Control List) konfigurieren, indem Sie aus den verfügbaren Einstellungsoptionen auswählen.

UmgebungJe nach der Umgebung, die Sie auswählen, wählt das System automatisch die Optionen General ACL Settings und Advanced ACL Settings aus, die optimal für diese Umgebung sind. Sie haben auch die Möglichkeit, die allgemeinen und erweiterten Einstellungen manuell zu konfigurieren.

Balanced Ermöglicht, dass Isilon-Clusterberechtigungen in einer kombinierten UNIX- und Windows-Umgebung arbeiten. Diese Einstellung wird für die meisten Isilon-Clusterbereitstellungen empfohlen.

UNIX only Ermöglicht, dass Isilon-Clusterberechtigungen mit der UNIX-Semantik und nicht mit der Windows-Semantik arbeiten. Die Aktivierung dieser Option verhindert die ACL-Erstellung auf dem System.

Windows only Ermöglicht, dass Isilon-Clusterberechtigungen mit der Windows-Semantik und nicht mit der UNIX-Semantik arbeiten. Dies führt dazu, dass das System bei UNIX-Chmod-Anforderungen einen Fehler zurückgibt.


Custom environment

Ermöglicht Ihnen, die Optionen für General ACL Settings und Advanced ACL Settings zu konfigurieren.

Allgemeine ACL-EinstellungenACL Creation Through SMB

Gibt an, ob die Erstellung von ACLs über SMB zulässig oder unzulässig ist. Wählen Sie eine der folgenden Optionen:

Do not allow ACLs to be created through SMB

Verhindert die ACL-Erstellung auf dem Cluster

Allow ACLs to be created through SMB

Ermöglicht die ACL-Erstellung auf dem Cluster

ANMERKUNG: Vererbbare ACLs auf dem System haben Vorrang vor dieser Einstellung. Wenn

vererbbare ACLs auf einen Ordner festgelegt werden, erben alle neuen Dateien und Ordner, die in

diesem Ordner erstellt werden, die ACL des Ordners. Durch die Deaktivierung dieser Einstellung

werden ACLs, die aktuell auf Dateien gesetzt sind, nicht gelöscht. Wenn Sie eine vorhandene ACL

löschen möchten, führen Sie den Befehl chmod -b <mode> <file> aus, um die ACL zu entfernen

und die korrekten Berechtigungen festzulegen.

Verwenden des chmod-Befehls für Dateien mit vorhandenen ACLs

Gibt an, wie Berechtigungen gehandhabt werden, wenn der Vorgang chmod für eine Datei mit einer ACL lokal oder über NFS initiiert wird. Diese Einstellung steuert die Elemente, die sich auf die UNIX-Berechtigungen auswirken, einschließlich Dateisystem-Explorer. Die Aktivierung dieser Policy-Einstellung ändert nicht die Auswirkungen des Vorgangs chmod auf Dateien, die keine ACLs haben. Wählen Sie eine der folgenden Optionen:

Remove the existing ACL and set UNIX permissions instead

Für chmod-Vorgänge werden alle vorhandenen ACLs entfernt und stattdessen wird die chmod-Berechtigung festgelegt. Wählen Sie diese Option nur aus, wenn Sie keine von Windows festgelegten Berechtigungen benötigen.

Remove the existing ACL and create an ACL equivalent to the UNIX permissions

Speichert die UNIX-Berechtigungen in einer neuen Windows-ACL. Wählen Sie diese Option nur aus, wenn Sie Windows-Berechtigungen entfernen möchten, Dateien jedoch keine synthetischen ACLs haben sollen.

Remove the existing ACL and create an ACL equivalent to the UNIX permissions, for all users/groups referenced in old ACL

Speichert die UNIX-Berechtigungen in einer neuen Windows-ACL nur für Benutzer und Gruppen, die von der alten ACL referenziert werden. Wählen Sie diese Option nur aus, wenn Sie Windows-Berechtigungen entfernen möchten, Dateien jedoch keine synthetischen ACLs haben sollen.

Merge the new permissions with the existing ACL

Führt die durch chmod angewendeten Berechtigungen mit vorhandenen ACLs zusammen. Eine ACE für jede Identität (Eigentümer, Gruppe und Jeder) wird entweder geändert oder erstellt, alle anderen ACEs bleiben jedoch unverändert. Vererbbare ACEs bleiben ebenfalls unverändert, damit Windows-Benutzer entsprechende Berechtigungen weiterhin erben können. UNIX-Benutzer können jedoch bestimmte Berechtigungen für jede dieser drei Standardidentitäten festlegen.

Deny permission to modify the ACL

Verhindert, dass Nutzer NFS- und lokale chmod-Vorgänge ausführen. Aktivieren Sie diese Einstellung, wenn Sie nicht möchten, dass Berechtigungen über NFS eingestellt werden.

Ignore operation if file has an existing ACL

Verhindert, dass ein NFS-Client die ACL ändert. Wählen Sie diese Option aus, wenn Sie eine vererbbare ACL in einem Verzeichnis definiert haben und diese ACL für Berechtigungen verwenden möchten.

VORSICHT: Wenn Sie versuchen, den Befehl chmod für dieselben Berechtigungen auszuführen,

die derzeit für eine Datei mit einer ACL festgelegt sind, schlägt der Vorgang möglicherweise im


Hintergrund fehl. Der Vorgang scheint erfolgreich zu sein, aber wenn Sie die Berechtigungen auf

dem Cluster untersuchen, sehen Sie, dass der Befehl chmod keine Auswirkungen hatte. Als

Alternative können Sie den Befehl chmod ohne die aktuellen Berechtigungen ausführen und dann

einen 2. Befehl chmod ausführen, um zu den ursprünglichen Berechtigungen zurückzukehren.

Wenn für die Datei beispielsweise 755 UNIX-Berechtigungen angezeigt werden und Sie diese

Anzahl bestätigen möchten, können Sie chmod 700 file; chmod 755 file ausführen.

Auf Verzeichnissen mit dem chmod-Befehl erstellte ACLs

Auf Windows-Systemen können mit ACEs für Verzeichnisse detaillierte Vererbungsregeln definiert werden. Auf einem UNIX-System werden die Modusbits nicht vererbt. Die Vererbbarkeit von ACLs, die über den Befehl chmod für Verzeichnisse erstellt wurden, ist für streng kontrollierte Umgebungen sicherer, allerdings kann einigen Windows-Nutzern, die eigentlich Zugriff erwarten würden, der Zugriff verweigert werden. Wählen Sie eine der folgenden Optionen:

• Make ACLs inheritable• Do not make ACLs inheritable

Verwenden von chown/chgrp bei Dateien mit vorhandenen ACLs

Ändert den Benutzer oder die Gruppe, die Eigentumsrechte für eine Datei oder einen Ordner hat. Wählen Sie eine der folgenden Optionen:

Modify only the owner and/or group

Ermöglicht das Durchführen des Vorgangs chown oder chgrp wie in UNIX. Die Aktivierung dieser Einstellung ändert alle ACEs in der ACL, die mit dem alten und neuen Eigentümer bzw. der alten und neuen Gruppe verknüpft ist.

Modify the owner and/or group and ACL permissions

Ermöglicht das Durchführen des NFS-Vorgangs chown oder chgrp wie in Windows. Wenn ein Dateieigentümer über Windows geändert wird, werden keine Berechtigungen in der ACL geändert.

Ignore operation if file has an existing ACL

Verhindert, dass ein NFS-Client den Eigentümer oder die Gruppe ändert.

ANMERKUNG: Über NFS ändert der Vorgang chown oder chgrp die Berechtigungen und den

Eigentümer bzw. die Eigentümergruppe. Beispielsweise bedeutet eine Datei, deren Eigentümer der

Benutzer Matthias mit rwx------ (700) Berechtigungen ist, dass rwx-Berechtigungen für den

Eigentümer vorliegen, jedoch keine Berechtigungen für andere Benutzer. Wenn Sie den Befehl

chown ausführen, um Eigentumsrechte der Datei dem Nutzer Bob zuzuweisen, lauten die

Eigentümerberechtigungen nach wie vor rwx, repräsentieren jetzt jedoch die Berechtigungen für

den Nutzer Bob, während der Nutzer Joe alle Berechtigungen verloren hat. Diese Einstellung wirkt

sich nicht auf die UNIX-Vorgänge chown oder chgrp aus, die für Dateien mit UNIX-

Berechtigungen ausgeführt werden, und sie wirkt sich nicht auf die Windows-Vorgänge chown oder chgrp aus, die keine Berechtigungen ändern.

Zugangsprüfungen (chmod, chown)

In UNIX-Umgebungen ist nur der Dateieigentümer oder der Superuser berechtigt, einen chmod- oder chown-Vorgang für eine Datei auszuführen. In Windows-Umgebungen können Sie diese Policy-Einstellung implementieren, um Nutzern das Recht zu geben, den Vorgang chmod zum Ändern von Berechtigungen oder den Vorgang chown für die Übernahme der Eigentumsrechte auszuführen, nicht aber den Vorgang zum Übergeben von Eigentumsrechten. Wählen Sie eine der folgenden Optionen:

Allow only the file owner to change the mode or owner of the file (UNIX model)

Bewirkt, dass sich die chmod- und chown-Zugriffsprüfungen verhalten wie unter UNIX

Allow the file owner and users with WRITE_DAC and WRITE_OWNER permissions to change the mode or owner of the

Bewirkt, dass sich die chmod- und chown-Zugriffsprüfungen verhalten wie unter Windows


file (Windows model)

Erweiterte ACL-EinstellungenHandhabung von rwx-Berechtigungen

In UNIX-Umgebungen bedeuten Rwx-Berechtigungen, dass ein Benutzer oder eine Gruppe Lese-, Schreib- und Ausführungsberechtigungen und ein Benutzer oder eine Gruppe das maximal mögliche Berechtigungslevel hat.

Wenn Sie einer Datei UNIX-Berechtigungen zuweisen, werden keine ACLs für diese Datei gespeichert. Da ein Windows-System nur ACLs verarbeitet, muss das Isilon-Cluster die UNIX-Berechtigungen in eine ACL übersetzen, wenn Sie eine Dateiberechtigung auf einem Windows-System anzeigen. Diese Art von ACL wird als synthetische ACL bezeichnet. Synthetische ACLs werden nicht gespeichert, sondern nach Bedarf dynamisch erzeugt und dann verworfen. Falls eine Datei UNIX-Berechtigungen hat, bemerken Sie möglicherweise synthetische ACLs, wenn Sie den Dateibefehl ls ausführen, um die ACLs einer Datei anzuzeigen.

Wenn Sie eine synthetische ACL erzeugen, ordnet das Isilon-Cluster UNIX-Berechtigungen zu Windows-Rechten zu. Windows unterstützt ein granulareres Berechtigungsmodell als UNIX und sieht Rechte vor, die nicht einfach von UNIX-Berechtigungen abgebildet werden können. Wenn das Isilon-Cluster rwx-Berechtigungen zu Windows-Rechten zuordnet, müssen Sie eine der folgenden Optionen aktivieren:

Retain 'rwx' permissions

Erzeugt eine ACE, die nur Lese-, Schreib- und Ausführungsberechtigungen bietet

Treat 'rwx' permissions as Full Control

Erzeugt eine ACE, die die maximalen Windows-Berechtigungen für einen Benutzer oder eine Gruppe bietet, indem das Änderungsrecht, das Recht auf die Übernahme von Eigentumsrechten und das Löschrecht geändert werden.

Vererbung des Gruppeneigentümers

Betriebssysteme tendieren dazu, Gruppeneigentumsrechte und -berechtigungen auf 2 unterschiedliche Weisen zu handhaben: BSD erbt den Gruppeneigentümer vom übergeordneten Ordner der Datei; Windows und Linux erben den Gruppeneigentümer von der Primärgruppe des Dateierstellers. Wenn Sie eine Einstellung aktivieren, die bewirkt, dass der Gruppeneigentümer von der Primärgruppe des Dateierstellers geerbt wird, können Sie diese Einstellung pro Ordner außer Kraft setzen, indem Sie den Befehl chmod ausführen, um das set-gid-Bit festzulegen. Diese Vererbung gilt nur, wenn die Datei erstellt wird. Weitere Informationen finden Sie im Handbuch auf der Seite für den Befehl chmod.

Wählen Sie eine der folgenden Optionen:

When an ACL exists, use Linux and Windows semantics, otherwise use BSD semantics

Gibt an, dass beim Vorhandensein einer ACL für eine Datei der Gruppeneigentümer von der Primärgruppe des Dateierstellers geerbt wird. Wenn keine ACL vorhanden ist, wird der Gruppeneigentümer vom übergeordneten Ordner geerbt.

BSD semantics - Inherit group owner from the parent folder

Gibt an, dass der Gruppeneigentümer vom übergeordneten Ordner der Datei geerbt wird.

Linux and Windows semantics - Inherit group owner from the creator's primary group

Gibt an, dass der Gruppeneigentümer von der Primärgruppe des Dateierstellers geerbt wird.

chmod (007) On Files With Existing ACLs

Gibt an, ob ACLs beim Ausführen des Befehls chmod (007) entfernt werden. Wählen Sie eine der folgenden Optionen aus:

chmod(007) does not remove existing ACL

Setzt 007-UNIX-Berechtigungen, ohne eine vorhandene ACL zu löschen

chmod(007) removes existing

Löscht ACLs aus Dateien über die UNIX-Datenfreigabe (NFS) und lokal auf dem Cluster über den Befehl chmod (007). Wenn Sie diese Einstellung aktivieren, müssen Sie den Befehl chmod für die Datei direkt nach dem Verwenden von chmod (007) zum


ACL and sets 007 UNIX permissions

Löschen einer ACL ausführen. In den meisten Fällen sollten 007-Berechtigungen nicht in der Datei verbleiben.

Ungefähre Eigentümermodusbits, wenn ACLs vorhanden sind

Windows-ACLs sind komplexer als UNIX-Berechtigungen. Wenn ein UNIX-Client UNIX-Berechtigungen für eine Datei mit einer ACL über NFS anfordert, erhält der Client einen Näherungswert der tatsächlichen Berechtigungen der Datei. Das Ausführen des Befehls ls -l von einem UNIX-Client aus gibt einen umfangreicheren Satz von Berechtigungen zurück, als der Nutzer erwartet. Dieser Toleranzbereich gilt als Ausgleich für Anwendungen, die UNIX-Berechtigungen fälschlicherweise selbst prüfen, während ermittelt wird, ob ein Dateisystemvorgang gestartet werden soll. Diese Policy-Einstellung soll ermöglichen, dass diese Anwendungen den Vorgang fortsetzen, um dem Dateisystem zu ermöglichen, den Benutzerzugriff über die ACL ordnungsgemäß zu ermitteln. Wählen Sie eine der folgenden Optionen:

Approximate owner mode bits using all possible group ACEs in ACL

Durch diese Option erscheinen die Eigentümerberechtigungen toleranter als die tatsächlichen Berechtigungen für die Datei.

Approximate owner mode bits using only the ACE with the owner ID

Durch diese Option erscheinen die Eigentümerberechtigungen präziser, da nur die Berechtigungen für einen bestimmten Eigentümer und nicht der Toleranzbereich angezeigt werden. Dies kann für UNIX-Clients jedoch zu Problemen mit der Zugriffsverweigerung führen.

Ungefähre Gruppenmodusbits, wenn ACLs vorhanden sind

Wählen Sie eine der folgenden Optionen für Gruppenberechtigungen aus:

Approximate group mode bits using all possible group ACEs in ACL

Durch diese Option erscheinen die Gruppenberechtigungen toleranter als die tatsächlichen Berechtigungen für die Datei.

Approximate group mode bits using only the ACE with the group ID

Durch diese Option erscheinen die Gruppenberechtigungen präziser, da nur die Berechtigungen für eine bestimmte Gruppe und nicht der Toleranzbereich angezeigt wird. Dies kann für UNIX-Clients jedoch zu Problemen mit der Zugriffsverweigerung führen.

Synthetische „deny“-ACEs

Die ACL-Benutzeroberfläche von Windows kann eine ACL nicht anzeigen, wenn ACEs außerhalb der kanonischen ACL-Reihenfolge liegen. Um UNIX-Berechtigungen korrekt darzustellen, müssen Deny-ACEs unter Umständen außerhalb der kanonische ACL-Reihenfolge liegen. Wählen Sie eine der folgenden Optionen:

Do not modify synthetic ACLs and mode bit approximations

Verhindert Änderungen an der Erzeugung synthetischer ACLs und ermöglicht, bei Bedarf „deny“-ACEs zu erzeugen.

VORSICHT: Diese Option kann dazu führen, dass Berechtigungen neu

geordnet werden und der Zugriff dauerhaft verweigert wird, wenn ein

Windows-Benutzer oder eine Anwendung einen ACL-Abruf, eine ACL-

Änderung und eine ACL-Festlegung zu und von Windows durchführt.

Remove “deny” ACEs from ACLs. Diese Einstellung kann dazu führen, dass ACLs mehr Berechtigungen einräumen als die entsprechenden Modusbits.

Umfasst keine Deny-ACEs bei der Erzeugung synthetischer ACLs.

Access check (utimes)

Sie können festlegen, wer utimes ändern kann, d. h. die Zugriffs- und Änderungszeiten einer Datei. Wählen Sie eine der folgenden Optionen:

Allow only owners to change utimes to client-specific times (POSIX compliant)

Ermöglicht nur Eigentümern das Ändern von utimes, was dem POSIX-Standard entspricht


Allow owners and users with ‘write’ access to change utimes to client-specific times

Ermöglicht Eigentümern und Benutzern mit Schreibzugriff das Ändern von utimes, was weniger restriktiv ist

Read-only DOS attribute

Deny permission to modify files with DOS read-only attribute over Windows Files Sharing (SMB)

Dupliziert das Verhalten von DOS-Attributberechtigungen nur über das SMB-Protokoll, damit Dateien das schreibgeschützte Attribut über SMB verwenden

Deny permission to modify files with DOS read-only attribute through NFS and SMB

Dupliziert das Verhalten von DOS-Attributberechtigungen sowohl über das NFS- als auch über das SMB-Protokoll. Wenn beispielsweise Berechtigungen in einer Datei über SMB schreibgeschützt sind, sind sie auch über NFS schreibgeschützt.

Displayed mode bits

Use ACL to approximate mode bits

Zeigt den Näherungswert der NFS-Modusbits an, die auf ACL-Berechtigungen basieren

Always display 777 if ACL exists

Zeigt 777-Dateiberechtigungen an. Wenn die angenäherten NFS-Berechtigungen strenger sind als die in der ACL, können Sie diese Einstellung verwenden, damit der NFS-Client mit der Ausführung der Zugangsprüfung fortfährt, bevor er den Betrieb aufnimmt. Verwenden Sie diese Einstellung, wenn eine Drittanbieteranwendung u. U. blockiert ist, weil die ACL nicht den richtigen Zugriff ermöglicht.

Zugehörige Tasks

Ändern der ACL-Policy-Einstellungen

Ausführen des PermissionRepair-JobsSie können Datei- und Verzeichnisberechtigungen oder Dateieigentümer ändern, indem Sie den PermissionRepair-Job ausführen. Um zu verhindern, dass Berechtigungsprobleme auftreten, nachdem Sie die Identität auf dem Laufwerk geändert haben, führen Sie diesen Job mit dem Convert-Reparaturtyp aus, um dafür zu sorgen, dass die Änderungen im gesamten Cluster übernommen werden.

1. Klicken Sie auf Cluster Management > Job Operations > Job Types.

2. Optional: Klicken Sie in der Tabelle Job Types in der Zeile „PermissionsRepair“ auf View/Edit.Das Fenster View Job Type Details wird angezeigt.

3. Klicken Sie auf Edit Job Type.Das Fenster Edit Job Type Details wird angezeigt.

4. Wählen Sie Enable this job type aus.

5. Wählen Sie in der Liste Default Priority eine Prioritätsnummer aus, die die Priorität dieses Jobs im Vergleich zu allen ausgeführten Jobs angibt. Die Jobpriorität wird mit 1-10 bezeichnet, wobei 1 die höchste und 10 die niedrigste Priorität ist.

6. Optional: Wählen Sie in der Liste Default Impact Policy eine Auswirkungs-Policy für den Job aus.

7. Legen Sie im Bereich Schedule fest, wie der Job gestartet werden soll.

Option Beschreibung

Manuell Der Job muss manuell gestartet werden.

Geplant Der Job unterliegt einer regelmäßigen Planung. Wählen Sie die Planungsoption aus der Drop-down-Liste aus und geben Sie die Planungsdetails an.

8. Klicken Sie auf Save Changes und anschließend auf Close.

9. Optional: Klicken Sie in der Tabelle Job Types auf Start Job.Das Fenster Start a Job wird geöffnet.

10. Aktivieren oder deaktivieren Sie das Kontrollkästchen Allow Duplicate Jobs.


11. Optional: Wählen Sie in der Liste Impact policy eine Auswirkungs-Policy für den Job aus.

12. Geben Sie im Feld Paths das Verzeichnis ein oder navigieren Sie zum Verzeichnis in /ifs, dessen Berechtigungen Sie reparieren möchten.

13. Optional: Klicken Sie auf Add another directory path und geben Sie im zusätzlichen Feld Paths ein zusätzliches Verzeichnis ein oder navigieren Sie zum zusätzlichen Verzeichnis in /ifs, dessen Berechtigungen Sie reparieren möchten.

Sie können diesen Schritt wiederholen, um nach Bedarf Verzeichnispfade hinzuzufügen.

14. Wählen Sie in der Liste Repair Type eine der folgenden Methoden für die Aktualisierung von Berechtigungen aus:

Option Beschreibung

Clone Wendet die Berechtigungseinstellungen für das Verzeichnis, das durch die Einstellung Template File or Directory festgelegt wird, auf das von Ihnen im Feld Paths angegebene Verzeichnis an.

Inherit Wendet rekursiv die ACL des Verzeichnisses, das durch die Einstellung Template File or Directory festgelegt ist, auf jede Datei und jedes Unterverzeichnis in den festgelegten Feldern Paths gemäß Standardvererbungsregeln an

Konvertierung Konvertiert für jede Datei und jedes Verzeichnis in den angegebenen Feldern Paths den Eigentümer, die Gruppe und die ACL zur Ziellaufwerksidentität anhand der Einstellung Mapping Type.

Die verbleibenden Einstellungsoptionen unterscheiden sich je nach ausgewähltem Reparaturtyp.

15. Geben Sie im Feld Template File or Directory das Verzeichnis ein oder wechseln Sie zum Verzeichnis in /ifs, von dem Sie Berechtigungen kopieren möchten. Diese Einstellung gilt nur für die Reparaturtypen Clone und Inherit.

16. Optional: Wählen Sie aus der Liste Mapping Type den anzuwendenden Identitätstyp auf dem Laufwerk aus. Diese Einstellung gilt nur für den Reparaturtyp Convert.

Option Beschreibung

Global Wendet die Standardsystemidentität an

SID (Windows) Wendet die Windows-Identität an

UNIX Wendet die UNIX-Identität an

Nativ Wenn ein Benutzer oder eine Gruppe über keine autorisierende UNIX-Kennung (UID oder GID) verfügt, wird die Windows-Identität (SID) angewendet

17. Optional: Klicken Sie auf Start Job.


DateifreigabeDieser Abschnitt enthält die folgenden Themen:

Themen:

• Überblick über Dateifreigaben• SMB• NFS• FTP• HTTP und HTTPS

Überblick über DateifreigabenDie Multiprotokollunterstützung in OneFS ermöglicht, dass über SMB für Windows-Dateifreigaben, NFS für UNIX-Datenfreigaben, SSH (Secure Shell), FTP und HTTP auf Dateien und Verzeichnisse im Isilon-Cluster zugegriffen werden kann. Standardmäßig sind nur die SMB- und NFS-Protokolle aktiviert.

OneFS erstellt das Verzeichnis /ifs, d. h. das Stammverzeichnis für alle Dateisystemdaten auf dem Cluster. Das Verzeichnis /ifs ist standardmäßig als SMB-Freigabe und NFS-Export konfiguriert. Sie können zusätzliche Freigaben und Exporte in der Verzeichnisstruktur /ifs erstellen.

ANMERKUNG: Es wird empfohlen, keine Daten im Root-Dateipfad /ifs zu speichern, sondern in den Verzeichnissen

unter /ifs. Das Design Ihrer Datenspeicherstruktur sollte sorgfältig geplant werden. Eine gut durchdachte

Verzeichnisstruktur optimiert die Performance und die Administration des Clusters.

Sie können Windows- und UNIX-basierte Berechtigungen für OneFS-Dateien und -Verzeichnisse festlegen. Benutzer, die über die erforderlichen Berechtigungen Administratorrechte verfügen, können über eines oder mehrere der unterstützten Dateifreigabeprotokolle Daten auf dem Cluster erstellen, ändern und lesen.

• SMB: Ermöglicht Microsoft Windows- und Mac OS X-Clients den Zugriff auf Dateien, die auf dem Cluster gespeichert sind.• NFS: Ermöglicht Linux- und UNIX-Clients, die die RFC1813 (NFSv3)- und RFC3530 (NFSv4)-Spezifikationen erfüllen, den Zugriff auf

Dateien, die in dem Cluster gespeichert werden.• HTTP und HTTPS (mit optionalem DAV): Ermöglicht Clients über einen Webbrowser den Zugriff auf Dateien, die auf dem Cluster

gespeichert sind.• FTP: Ermöglicht einem Client, der mit einem FTP-Clientprogramm ausgestattet ist, über das FTP-Protokoll den Zugriff auf Dateien, die

auf dem Cluster gespeichert sind.

Umgebungen mit verschiedenen ProtokollenDas Verzeichnis /ifs ist das Stammverzeichnis für alle Dateisystemdaten im Cluster und dient als SMB Share, NFS-Export und Dokumentstammverzeichnis.

Sie können zusätzliche Shares und Exporte in der Verzeichnisstruktur /ifs erstellen. Sie können Ihr OneFS-Cluster so konfigurieren, dass nur SMB oder nur NFS oder beides verwendet wird. Sie können gleichfalls HTTP, FTP und SSH aktivieren.

Zugriffsrechte werden konsistent über Zugriffsprotokolle auf allen Sicherheitsmodellen durchgesetzt. Einem Benutzer werden die gleichen Rechte an einer Datei gewährt oder verweigert, unabhängig davon, ob er SMB oder NFS verwendet. Cluster, die auf OneFS ausgeführt werden, unterstützen globale Policy-Einstellungen, die es ermöglichen, die Standard-ACL und UNIX-Berechtigungseinstellungen anzupassen.

OneFS ist mit Standard-UNIX-Berechtigungen in der Dateistruktur konfiguriert. Mithilfe von Windows Explorer oder OneFS-Administrationstools können Sie jeder beliebigen Datei oder jedem Verzeichnis eine ACL zuordnen. Zusätzlich zu Windows-Domainbenutzern und -gruppen können ACLs in OneFS lokale, NIS- und LDAP-Benutzer und -Gruppen enthalten. Wenn einer Datei eine ACL zugeordnet ist, werden die Modusbits nicht mehr durchgesetzt und bestehen nur noch als Schätzung der tatsächlichen Berechtigungen.

10

Dateifreigabe 149

ANMERKUNG: Es wird empfohlen, Berechtigungen für Zugriffskontrolllisten und UNIX nur dann zu konfigurieren, wenn

Sie eingehende Kenntnisse bezüglich ihrer Interaktion haben.

Schreibcaching mit SmartCacheSchreibcaching beschleunigt den Prozess des Schreibens von Daten in das Cluster. OneFS umfasst die Schreibcachingfunktion SmartCache, die standardmäßig für alle Dateien und Verzeichnisse aktiviert ist.

Wenn Schreibcaching aktiviert ist, schreibt OneFS die Daten in einen Write-Back-Cache, anstatt sie direkt auf die Festplatte zu schreiben. OneFS kann die Daten dann auf die Festplatte schreiben, wenn dies am günstigsten ist.

ANMERKUNG: Es wird empfohlen, das Schreibcaching aktiviert zu lassen. Sie sollten Schreibcaching ebenfalls für alle

Dateipool-Policies aktivieren.

OneFS interpretiert Schreibvorgänge in das Cluster je nach Clientspezifikation als synchrone oder asynchrone Schreibvorgänge. Die Auswirkungen und Risiken von Schreibcaching hängen davon ab, welche Protokolle Clients für Schreibvorgänge in das Cluster verwenden, und ob die Schreibvorgänge als synchron oder asynchron interpretiert werden. Wenn Sie Schreibcaching deaktivieren, werden Clientspezifikationen ignoriert und alle Schreibvorgänge werden synchron ausgeführt.

In der folgenden Tabelle wird erläutert, wie Clientspezifikationen gemäß Protokoll interpretiert werden.

Protokoll Synchron Asynchron

NFS Das stabile Feld wird auf data_sync oder file_sync gesetzt.

Das stabile Feld wird auf unstable gesetzt.

SMB Das Flag write-through wurde angewendet. Das Flag write-through wurde nicht angewendet.

Schreibcaching für asynchrone SchreibvorgängeAsynchrones Schreiben mit Schreibcaching ist die schnellste Methode für das Schreiben von Daten in das Cluster.

Das Schreibcaching für asynchrone Schreibvorgänge erfordert weniger Clusterressourcen als das Schreibcaching für synchrone Schreibvorgänge und verbessert die allgemeine Clusterperformance für die meisten Workflows. Es gibt jedoch bei asynchronen Schreibvorgänge auch die Gefahr eines Datenverlusts.

Die folgende Tabelle beschreibt das Risiko von Datenverlusten für jedes Protokoll, wenn Schreibcaching für asynchrone Schreibvorgänge aktiviert ist:

Protokoll Risiko

NFS Wenn ein Node ausfällt, gehen keine Daten verloren, es sei denn, es tritt der unwahrscheinliche Fall ein, dass ein Client dieses Node ebenfalls ausfällt, bevor die Verbindung mit dem Cluster wiederhergestellt werden kann. In diesem Fall gehen asynchrone Schreibvorgänge, die nicht auf die Festplatte geschrieben wurden, verloren.

SMB Wenn ein Node ausfällt, gehen asynchrone Schreibvorgänge, die nicht auf die Festplatte geschrieben wurden, verloren.

Unabhängig von dem für Schreibvorgänge verwendeten Protokoll wird empfohlen, das Schreibcaching nicht zu deaktivieren. Wenn Sie asynchrone Schreibvorgänge für das Cluster verwenden und Ihnen das Risiko eines Datenverlusts zu groß erscheint, empfiehlt es sich, die Clients für die Verwendung synchroner Schreibvorgänge zu konfigurieren, anstatt das Schreibcaching zu deaktivieren.

Schreibcaching für synchrone SchreibvorgängeSchreibcaching für synchrone Schreibvorgänge kostet Clusterressourcen, einschließlich einer geringen Menge an Speicherplatz. Obgleich nicht so schnell wie Schreibcaching mit asynchronen Schreibvorgängen, sofern Clusterressourcen nicht extrem eingeschränkt sind, ist das Schreibcaching mit synchronen Schreibvorgängen schneller als Schreibvorgänge auf das Cluster ohne Schreibcaching.

Schreibcaching wirkt sich nicht auf die Integrität synchroner Schreibvorgänge aus. Wenn ein Cluster oder ein Node ausfällt, erfolgt kein Datenverlust im Write-Back-Cache für synchrone Schreibvorgänge.

150 Dateifreigabe

SMBOneFS enthält einen konfigurierbaren SMB-Service, mit dem SMB-Freigaben erstellt und gemanagt werden können. SMB-Freigaben bieten Windows-Clients Netzwerkzugriff auf die Dateisystemressourcen des Clusters. Sie können Benutzern und Gruppen Berechtigungen für die Ausführung von Vorgängen wie Lesen, Schreiben und Festlegen von Zugriffsberechtigungen auf SMB-Freigaben gewähren.

Das Verzeichnis /ifs ist als SMB-Freigabe konfiguriert und ist standardmäßig aktiviert. OneFS unterstützt Benutzer- und anonyme Sicherheitsmodi. Wenn der Benutzersicherheitsmodus aktiviert ist, müssen Benutzer, die von einem SMB-Client auf eine Freigabe zugreifen, einen gültigen Benutzernamen mit ordnungsgemäßen Anmeldedaten angeben.

SMB-Freigaben agieren als Kontrollpunkte. Benutzer müssen Zugriff auf eine Freigabe haben, um auf Objekte in einem Dateisystem auf einer Freigabe zugreifen zu können. Wenn einem Benutzer der Zugriff auf ein Dateisystem, nicht jedoch auf die Freigabe gewährt wurde, auf der sich dieses befindet, kann dieser Benutzer unabhängig von seinen Berechtigungen nicht auf das Dateisystem zugreifen. Nehmen wir beispielsweise an, eine Freigabe namens ABCDocs enthält eine Datei namens file1.txt in einem Pfad wie dem folgenden: /ifs/data/ABCDocs/file1.txt. Wenn ein Benutzer, der versucht, auf file1.txt zuzugreifen, nicht über Freigabeberechtigungen für ABCDocs verfügt, kann dieser Benutzer nicht auf die Datei zugreifen, selbst wenn ihm ursprünglich Lese- und/oder Schreibberechtigungen für die Datei gewährt wurden.

Das SMB-Protokoll verwendet SIDs (Sicherheitsidentifikatoren) als Autorisierungsdaten. Alle Identitäten werden während des Abrufens in SIDs konvertiert und wieder in ihre Darstellungsform auf der Festplatte zurückkonvertiert, bevor sie auf dem Cluster gespeichert werden.

Wenn eine Datei oder ein Verzeichnis erstellt wird, prüft OneFS die ACL des übergeordneten Verzeichnisses. Wenn die ACL vererbbare ACEs enthält, wird eine neue ACL anhand dieser ACEs erzeugt. Andernfalls erstellt OneFS eine ACL anhand der kombinierten Datei- und Verzeichniserstellungsmaske sowie der Erstellungsmoduseinstellungen.

OneFS unterstützt die folgenden SMB-Clients:

SMB-Version Unterstützte Betriebssysteme

3.0 (nur Multichannel) Windows 8 oder höher

Windows Server 2012 oder höher

2.1 Windows 7 oder höher

Windows Server 2008 R2 oder höher

2,0 Windows Vista oder höher

Windows Server 2008 oder höher

Mac OS X 10.9 oder höher

1,0 Windows 2000 oder höher

Windows XP oder höher

Mac OS X 10.5 oder höher


Managen von SMB-Einstellungen

Managen von SMB-Freigaben

SMB-Freigaben in ZugriffszonenSie können SMB-Freigaben innerhalb von Zugriffszonen erstellen und managen.

Sie können Zugriffszonen erstellen, die den Speicher auf dem Cluster in mehrere virtuelle Container partitionieren. Zugriffszonen unterstützen alle Konfigurationseinstellungen für die Authentifizierung sowie Identitätsmanagementservices auf dem Cluster, sodass Sie auf Zonenbasis Authentifizierungsanbieter konfigurieren und SMB-Freigaben bereitstellen können. Wenn Sie eine Zugriffszone erstellen, wird automatisch ein lokaler Anbieter erstellt, der es Ihnen ermöglicht, jede Zugriffszone mit einer Liste lokaler Benutzer und Gruppen zu konfigurieren. Sie können die Authentifizierung auch in jeder Zugriffszone von einem anderen Active Directory-Anbieter durchführen lassen und Sie können den Datenzugriff steuern, indem Sie eingehende Verbindungen zur Zugriffszone von einer bestimmten IP-Adresse in einem Pool lenken. Durch die Verknüpfung einer Zugriffszone mit einem IP-Adressenpool wird die Authentifizierung in der zugehörigen Zugriffszone eingeschränkt und die Anzahl der verfügbaren und zugänglichen SMB-Freigaben wird verringert.

Im Folgenden finden Sie einige Möglichkeiten für die Vereinfachung des SMB-Managements mit Zugriffszonen:

Dateifreigabe 151

• Migrieren Sie mehrere SMB-Server wie Windows-Dateiserver oder NetApp-Filer zu einem einzigen Isilon-Cluster und konfigurieren Sie dann für jeden SMB-Server eine separate Zugriffszone.

• Konfigurieren Sie jede Zugriffszone mit einem eindeutigen Satz an SMB-Freigabenamen, die nicht mit anderen Freigabenamen in anderen Zugriffszonen kollidieren, und fügen Sie dann jede Zugriffszone einer anderen Active Directory-Domain hinzu.

• Reduzieren Sie die Anzahl der zu managenden verfügbaren und zugänglichen Freigaben, indem Sie einen IP-Adressenpool mit einer Zugriffszone verknüpfen, um die Authentifizierung auf die Zone zu beschränken.

• Konfigurieren Sie die für alle Freigaben in einer Zugriffszone geltenden Standardeinstellungen der SMB-Freigabe.

Der Cluster umfasst eine integrierte Zugriffszone mit der Bezeichnung „System“, in der Sie alle Aspekte des Clusters und anderer Zugriffszonen managen. Wenn Sie beim Management von SMB-Freigaben keine Zugriffszone angeben, verwendet OneFS standardmäßig die Zone „System“.

SMB MultichannelSMB Multichannel unterstützt die Einrichtung einer einziger SMB-Sitzung über mehrere Netzwerkverbindungen.

SMB Multichannel ist eine Funktion des SMB 3.0-Protokolls und bietet die folgende Funktionen:

Gesteigerter Durchsatz

OneFS kann mithilfe mehrerer Verbindungen zu einem Client über Hochgeschwindigkeitsnetzwerkadapter oder über mehrere Netzwerkadapter mehr Daten übertragen.

Verbindungsfehlertoleranz

Wenn eine SMB Multichannel-Sitzung über mehrere Netzwerkverbindungen hergestellt wird, geht die Sitzung nicht verloren, wenn eine der Verbindungen einen Netzwerkfehler aufweist, sodass der Client weiter funktioniert.

Automatische Erkennung

SMB Multichannel erkennt automatisch unterstützte Hardwarekonfigurationen mit mehreren verfügbaren Netzwerkpfaden auf dem Client und verhandelt über mehrere Netzwerkverbindungen eine Sitzung und richtet diese ein. Sie müssen keine Komponenten, Rollen, Rollenservices oder Funktionen installieren.

SMB Multichannel-AnforderungenDie Software- und NIC-Konfigurationsanforderungen müssen erfüllt werden, damit SMB Multichannel auf dem Cluster unterstützt wird.

OneFS kann SMB Multichannel nur dann unterstützen, wenn die folgenden Softwareanforderungen erfüllt sind:

• Windows Server 2012, 2012 R2 oder Windows 8, 8.1-Clients• SMB Multichannel muss sowohl auf dem Cluster als auch auf dem Windows-Clientcomputer aktiviert sein. Auf dem Cluster ist es

standardmäßig aktiviert.

SMB Multichannel stellt eine einzige SMB-Sitzung über mehrere Netzwerkverbindungen nur auf unterstützten NIC-Konfigurationen her. SMB Multichannel erfordert mindestens eine der folgenden NIC-Konfigurationen auf dem Clientcomputer:

• Zwei oder mehr Netzwerkschnittstellenkarten.• Eine oder mehrere Netzwerkschnittstellenkarten, die RSS (Receive Side Scaling) unterstützen.• Eine oder mehrere Netzwerkschnittstellenkarten, die mit Linkzusammenfassung konfiguriert sind. Mit der Linkzusammenfassung

können Sie die Bandbreite von mehreren NICs auf einem Node in einer einzigen logischen Schnittstelle verbinden.

Von SMB Multichannel unterstützte clientseitige NIC-KonfigurationenSMB Multichannel erkennt automatisch unterstützte Hardwarekonfigurationen mit mehreren verfügbaren Netzwerkpfaden auf dem Client.

Jeder Node auf dem Cluster verfügt über mindestens eine RSS-fähige Netzwerkschnittstellenkarte (NIC). Ihre clientseitige NIC-Konfiguration legt fest, wie SMB Multichannel gleichzeitige Netzwerkverbindungen pro SMB-Sitzung erstellt.

Clientseitige NIC-Konfiguration

Beschreibung

Einzige RSS-fähige NIC SMB Multichannel stellt über die NIC maximal vier Netzwerkverbindungen zum Isilon-Cluster her. Die Verbindungen sind eher über mehrere CPU-Kerne verteilt, wodurch sich die Wahrscheinlichkeit von Performanceengpässen verringert und die Geschwindigkeit der NIC maximal ausgenutzt wird.

Mehrere NICs Wenn die NICs RSS-fähig sind, stellt SMB Multichannel über jede NIC maximal vier Netzwerkverbindungen zum Isilon-Cluster her. Wenn die clientseitigen NICs nicht RSS-fähig sind, stellt SMB Multichannel über jede NIC jeweils eine Netzwerkverbindung zum Isilon-Cluster her. Beide Konfigurationen ermöglichen es SMB Multichannel, die kombinierte Bandbreite von mehreren NICs zu nutzen und Verbindungsfehlertoleranz zu bieten, wenn eine Verbindung oder eine NIC ausfällt.

152 Dateifreigabe

Clientseitige NIC-Konfiguration

Beschreibung

ANMERKUNG: SMB Multichannel kann maximal acht gleichzeitige Netzwerkverbindungen pro Sitzung herstellen. In einer Konfiguration mit mehreren NICs begrenzt dies möglicherweise die Anzahl an zulässigen Verbindungen pro NIC. Wenn beispielsweise die Konfiguration drei RSS-fähige NICs umfasst, stellt SMB Multichannel unter Umständen drei Verbindungen über die erste NIC, drei Verbindungen über die zweite NIC und zwei Verbindungen über die dritte NIC her.

Aggregierte NICs SMB Multichannel stellt mehrere Netzwerkverbindungen zum Isilon-Cluster über aggregierte NICs her, wodurch ausgeglichene Verbindungen über CPU-Kerne, eine effektive Auslastung der kombinierten Bandbreite und Verbindungsfehlertoleranz erzielt werden.

ANMERKUNG: Die aggregierte NIC-Konfiguration bietet grundsätzlich NIC-Fehlertoleranz, die nicht von SMB abhängig ist.

SMB-Freigabemanagement mithilfe der Microsoft Management Console (MMC)OneFS unterstützt das Snap-in „Freigegebene Ordner“ für die Microsoft Management Console (MMC), mit dem SMB Shares auf dem Cluster mithilfe des MMC-Tools gemanagt werden können.

In der Regel melden Sie sich bei der Zone des globalen Systems über die Webverwaltungsschnittstelle oder die Befehlszeilenoberfläche an, um Freigaben zu managen und zu konfigurieren. Wenn Sie Zugriffszonen konfigurieren, können Sie mithilfe des MMC-Snap-in „Freigegebene Ordner“ auf eine Zone zugreifen, um alle Freigaben in dieser Zone direkt zu managen.

Sie können mithilfe des MMC-Snap-in „Freigegebene Ordner“ eine Verbindung mit einem Isilon-Node herstellen und die folgenden SMB-Freigabemanagementaufgaben ausführen:

• Erstellen und Löschen von freigegebenen Ordnern• Konfigurieren von Berechtigungen für den Zugriff auf eine SMB-Freigabe• Anzeigen einer Liste aktiver SMB-Sitzungen• Schließen offener SMB-Sitzungen• Anzeigen einer Liste offener Dateien• Schließen geöffneter Dateien

Wenn Sie mithilfe des MMC-Snap-in „Freigegebene Ordner“ auf eine Zone zugreifen, können Sie alle dieser Zone zugewiesenen SMB-Freigaben anzeigen und managen. Sie können jedoch nur aktive SMB-Sitzungen und offene Dateien auf dem jeweiligen Node anzeigen, auf den Sie in dieser Zone zugreifen. Änderungen, die Sie mithilfe des MMC-Snap-in „Freigegebene Ordner“ an Freigaben vornehmen, werden im gesamten Cluster weitergegeben.

MMC-VerbindungsanforderungenSie können mithilfe des MMC-Snap-in „Freigegebene Ordner“ eine Verbindung zu einem Cluster herstellen, wenn Sie die Zugriffsanforderungen erfüllen.

Die folgenden Bedingungen müssen erfüllt werden, um eine Verbindung mithilfe des MMC-Snap-in „Freigegebene Ordner“ herstellen zu können:

• Sie müssen die Microsoft Management Console (MMC) auf einer Windows Workstation ausführen, die mit der Domain eines auf dem Cluster konfigurierten AD-Anbieters (Active Directory) verknüpft ist.

• Sie müssen Mitglied der lokalen <cluster>\Administratorgruppe sein.ANMERKUNG: Rollenbasierte Zugriffskontrollberechtigungen (Role-based access control, RBAC) gelten für die

MMC nicht. Eine Rolle mit SMB-Berechtigungen ist für den Zugriff nicht ausreichend.

• Sie müssen sich bei einer Windows Workstation als Active Directory-Benutzer anmelden, der Mitglied der lokalen <cluster>\Administratorgruppe ist.

SMBv3-VerschlüsselungBestimmte Client-Server-Kombinationen unterstützen unter Microsoft Windows und Apple Mac Datenverschlüsselung in SMBv3-Umgebungen.

Dateifreigabe 153

Sie können die SMBv3-Verschlüsselung auf Share-, Zonen- oder Clusterbasis konfigurieren. Sie können verschlüsselten und unverschlüsselten Clients einen Zugriff einräumen. Außerdem können Sie global und für Zugriffszonen eine Verschlüsselung für alle Clientverbindungen verbindlich vorschreiben.

Wenn Sie Verschlüsselungseinstellungen auf Zonenbasis festlegen, setzen diese Einstellungen die globalen Servereinstellungen außer Kraft.

ANMERKUNG: Verschlüsselungseinstellungen auf Zonen- und Share-Basis können nur über die OneFS-

Befehlszeilenoberfläche konfiguriert werden.

Aktivieren der SMBv3-VerschlüsselungSie können die Einstellungen für die SMBv3-Verschlüsselung auf dem Cluster ändern. Standardmäßig ist SMBv3-Verschlüsselung deaktiviert.

So aktivieren Sie SMBv3-Verschlüsselung und ermöglichen verschlüsselten und unverschlüsselten Clients den Zugriff auf den Server:

1. Navigieren Sie zu Protocols > Windows Sharing (SMB) > Server Settings.

2. Wählen Sie im Abschnitt Encryption unter Enable encryption on encryption-capable SMB clients die Option Use Custom aus.

3. Aktivieren Sie Enable encryption on encryption-capable SMB clients.Sowohl verschlüsselte als auch unverschlüsselte Clients haben Zugriff.

Ablehnen des unverschlüsselten SMBv3-ClientzugriffsSie können den Zugriff von unverschlüsselten SMBv3-Clients global verweigern.

So lehnen Sie den unverschlüsselten SMBv3-Clientzugriff ab:

1. Navigieren Sie zu Protocols > Windows Sharing (SMB) > Server Settings.

2. Klicken Sie im Abschnitt Encryption unter Reject unencrypted access auf Use Custom.

3. Aktivieren Sie Reject unencrypted access.

Serverseitige SMB-KopienUm die Systemperformance zu erhöhen, können SMB 2- und höhere Clients die serverseitige Kopierfunktion in OneFS nutzen.

Bei Windows-Clients, die den serverseitigen Kopiersupport nutzen, treten möglicherweise Performanceverbesserungen beim Kopieren von Dateien auf, da die File-basierte Daten das Netzwerk nicht mehr durchlaufen müssen. Mit der serverseitigen Kopierfunktion werden Dateien nur auf dem Server gelesen und beschrieben. Dadurch werden Netzwerk-Roundtrips und das Duplizieren von Dateidaten vermieden. Diese Funktion wirkt sich nur auf Dateikopier- oder teilweise Kopiervorgänge aus, bei denen die Handles für die Quell- und Zieldateien auf derselben Freigabe geöffnet sind. Sie funktioniert nicht für freigabeübergreifende Vorgänge.

Diese Funktion ist auf OneFS-Clustern standardmäßig aktiviert und kann nur systemweit über alle Zonen deaktiviert werden. Darüber hinaus ist eine serverseitige Kopie in OneFS mit der SMB-Funktion für kontinuierliche Verfügbarkeit nicht kompatibel. Wenn für eine Freigabe die kontinuierliche Verfügbarkeit aktiviert ist und der Client ein dauerhaftes Datei-Handle öffnet, wird die serverseitigen Kopie für die betreffende Datei automatisch deaktiviert.

ANMERKUNG: Sie können die serverseitige SMB-Kopie für OneFS nur über die Befehlszeilenoberfläche (CLI)

deaktivieren oder aktivieren.

Aktivieren oder Deaktivieren von serverseitigen SMB-KopienSie können die serverseitige SMB-Kopierfunktion aktivieren oder deaktivieren.

Die serverseitige SMB-Kopierfunktion ist in OneFS standardmäßig aktiviert.

1. Stellen Sie eine SSH-Verbindung (Secure Shell) zum Cluster her.

2. Führen Sie den Befehl isi smb settings global modify aus.

3. Ändern Sie die Option --server-side-copy nach Bedarf.

Diese Funktion ist standardmäßig aktiviert.

Mit dem folgenden Befehl lässt sich die serverseitige SMB-Kopie beispielsweise deaktivieren:

isi smb settings global modify --server-side-copy=no

154 Dateifreigabe

SMB Continuous AvailabilityWenn Sie OneFS in einer SMB 3.0-Umgebung ausführen, erlauben Sie bestimmten Windows-Clients das Öffnen von Dateien auf einem Server, für den die kontinuierliche Verfügbarkeit aktiviert ist.

Wenn ein Server Windows 8 oder Windows Server 2012 verwendet, können Clients dauerhafte Datei-Handles erstellen, die nach einem Ausfall wie einer netzwerkbezogenen Verbindungstrennung oder einem Serverausfall zurückgewonnen werden können. Sie können angeben, wie lange das dauerhafte Handle nach dem Ausfall einer Verbindung oder eines Servers aufbewahrt wird. Außerdem können Sie eine strenge Sperrung für Benutzer erzwingen, die eine Datei zu öffnen versuchen, die zu einem anderen Handle gehört. Darüber hinaus können Sie über die OneFS-Befehlszeilenoberfläche (CLI) Einstellungen zur Schreibintegrität konfigurieren, um die Stabilität der Schreibvorgänge auf die Freigabe zu steuern.

Wenn für eine Freigabe die kontinuierliche Verfügbarkeit aktiviert ist und der Client ein dauerhaftes Dateih-Handle öffnet, wird die serverseitigen Kopie für diese Datei automatisch deaktiviert.

ANMERKUNG: Sie können die kontinuierliche Verfügbarkeit nur dann aktivieren, wenn Sie eine Freigabe erstellen, aber

Sie können Timeout, Sperren und Einstellungen für die Leseintegrität beim Erstellen oder Ändern einer Freigabe

aktualisieren.

Aktivieren von SMB Continuous AvailabilitySie können die kontinuierliche Verfügbarkeit von SMB 3.0 aktivieren und die Einstellungen beim Erstellen einer Freigabe konfigurieren.

Sie können auch die kontinuierliche Verfügbarkeit für Timeout, Sperren und Einstellungen für die Leseintegrität beim Erstellen oder Ändern einer Freigabe aktualisieren.

1. Gehen Sie zu Protocols > Windows Sharing (SMB) > SMB Shares.

2. Klicken Sie auf Create an SMB share.Das Fenster Create an SMB Share wird geöffnet.

3. Wählen Sie Enable continuous availability on the share aus.

4. Optional: Klicken Sie auf Show Advanced Settings.

5. Optional: Geben Sie im Feld Continuous Availability Timeout an, wie lange ein dauerhaftes Handle nach einer Verbindungstrennung zu einem Client oder nach einem Serverausfall aufbewahrt werden soll. Die Standardeinstellung ist 2 Minuten.

6. Optional: Legen Sie Strict Continuous Availability Lockout auf Yes fest, um zu verhindern, dass ein Client eine Datei öffnet, wenn ein anderer Client über ein offenes, aber getrenntes dauerhaftes Handle für diese Datei verfügt. Wenn diese Option auf no festgelegt ist, gibt OneFS dauerhafte Ziehpunkte aus, diese werden aber verworfen, wenn ein anderer Client als der ursprüngliche versucht, auf die Datei zuzugreifen. Der Standard ist Yes.

7. Klicken Sie aufCreate Share.

8. Gehen Sie wie folgt vor, um die Einstellungen für die Schreibintegrität zu konfigurieren:

a) Öffnen Sie eine SSH-Verbindung (Secure Shell) für die OneFS-Befehlszeilenoberfläche (CLI).b) Legen Sie den Parameter --ca-write-integrity auf einen der folgenden Werte fest:

none Kontinuierlich verfügbare Schreibvorgänge werden nicht anders als andere Schreibvorgänge auf dem Cluster verarbeitet. Wenn Sie none angeben und ein Node ausfällt, kann ohne Benachrichtigung Datenverlust auftreten. Diese Einstellung wird nicht empfohlen.

write-read-coherent

Schreibvorgänge auf die Freigabe werden in einen dauerhaften Speicher verschoben, bevor eine Erfolgsmeldung an den SMB-Client ausgegeben wird, der die Daten gesendet hat. Dies ist die Standardeinstellung.

full Schreibvorgänge auf die Freigabe werden in einen dauerhaften Speicher verschoben, bevor eine Erfolgsmeldung an den SMB-Client ausgegeben wird, der die Daten gesendet hat. So wird verhindert, dass OneFS SMB-Clients Schreibcaching- und Handle-Caching-Leases gewährt.

SMB-DateifilterSie können SMB-Dateifilter verwenden, um Dateischreibvorgänge auf eine Freigabe oder eine Zugriffszone zuzulassen oder zu verweigern.

Mit dieser Funktion können Sie bestimmte Arten von Dateien verweigern, die möglicherweise Probleme in den Bereichen Durchsatz, Sicherheit, Ordnung im Speicher oder Unterbrechung der Produktivität verursachen können. Sie können Schreibvorgänge dadurch beschränken, dass in einer Freigabe nur Schreibvorgänge auf bestimmte Dateitypen zulässig sind.

Dateifreigabe 155

• Wenn Sie Dateischreibvorgänge verweigern möchten, können Sie die Erweiterung für die Dateitypen angeben, die nicht beschrieben werden sollen. OneFS lässt dann das Schreiben auf alle anderen Dateitypen der Freigabe zu.

• Wenn Sie Dateischreibvorgänge zulassen möchten, können Sie die Erweiterung für die Dateitypen angeben, die beschrieben werden dürfen. OneFS verweigert dann Schreibvorgänge an alle anderen Dateitypen der Freigabe.

Sie können Dateierweiterungen hinzufügen oder entfernen, wenn sich Ihre Policies für Zugriffsbeschränkungen ändern.

Aktivieren des SMB-DateifiltersSie können SMB-Dateifilter für eine Freigabe aktivieren oder deaktivieren.

1. Klicken Sie auf Protocols > Windows Sharing (SMB) > Default Share Settings.

2. Wählen Sie Enable file filters aus.Die Einstellungen für die Dateierweiterungen werden angezeigt.

3. Treffen Sie eine Auswahl aus der Liste File Extensions:

• Deny writes for list of file extensions. Die Dateitypen, die Sie angeben, können nicht auf die Freigabe geschrieben werden.

• Allow writes for list of file extensions. Die Dateitypen, die Sie angeben, können als einzige Dateitypen auf die Freigabe geschrieben werden.

4. Klicken Sie auf Add file extensions.

5. Geben Sie im Feld File Extensions einen Dateityp ein, z. B. .wav oder .mpg.

6. Optional: Um weitere Dateitypen festzulegen, klicken Sie auf Add another file extension.

7. Klicken Sie auf Add Extensions, um die Änderungen zu speichern.

8. Um einen Dateityp aus der Liste der Erweiterungen zu entfernen, klicken Sie auf das Kontrollkästchen für die Erweiterung und dann auf Delete.

Symbolische Links und SMB-ClientsMit OneFS können SMB2-Clients nahtlos auf symbolische Links zugreifen. Viele Administratoren stellen symbolische Links bereit, um Dateisystemhierarchien virtuell neu anzuordnen, insbesondere wenn wichtige Dateien oder Verzeichnisse über eine Umgebung verteilt sind.

In einer SMB-Freigabe ist ein symbolischer Link (auch Symlink oder Softlink) eine Datei, die einen Pfad zu einer Zieldatei oder einem Zielverzeichnis enthält. Symbolische Links sind für Anwendungen, die auf den SMB-Clients ausgeführt werden, transparent und funktionieren genauso wie Dateien und Verzeichnisse. Der Support für relative und absolute Links wird vom SMB-Client aktiviert. Die spezifische Konfiguration hängt vom Typ und von der Version des Clients ab.

Ein symbolischer Link, der auf eine Netzwerkdatei oder ein Netzwerkverzeichnis verweist, die/das sich nicht im Pfad der aktiven SMB-Sitzung befindet, wird als absoluter Link (oder Remotelink) bezeichnet. Absolute Links verweisen unabhängig vom vorhandenen Arbeitsverzeichnis immer auf denselben Standort in einem Dateisystem und enthalten in der Regel das Stammverzeichnis als Teil des Pfads. Im Gegensatz dazu ist ein relativer Link ein symbolischer Link, der direkt auf das Arbeitsverzeichnis eines Benutzers oder einer Anwendung verweist, sodass Sie beim Erstellen des Links nicht den gesamten absoluten Pfad angeben müssen.

OneFS stellt symbolische Links über das SMB2-Protokoll bereit. Hierdurch können SMB2-Clients die Links selbst auflösen, statt sich darauf verlassen zu müssen, dass OneFS die Links für die Clients auflöst. Zur Durchquerung eines relativen oder absoluten Links muss der SMB-Client gegenüber den SMB-Freigaben authentifiziert werden, über die der Link verfolgt werden kann. Wenn der SMB-Client keine Berechtigung zum Zugriff auf die Freigabe hat, wird der Zugriff auf das Ziel verweigert und Windows ruft den Benutzer nicht zur Eingabe der Benutzeranmeldedaten auf.

SMB2- und NFS-Links sind nur bei relativen Links interoperabel. Für maximale Kompatibilität sollten Sie diese Links von einem POSIX-Client erstellen.

ANMERKUNG: SMB1-Clients (wie Windows XP oder 2002) verwenden möglicherweise immer noch relative Links; diese

werden jedoch auf der Serverseite durchquert und als „Verknüpfungsdateien“ bezeichnet. Absolute Links funktionieren

in diesen Umgebungen nicht.

Aktivieren symbolischer LinksSie müssen symbolische Links erst aktivieren, bevor Sie sie vollständig in einer SMB-Umgebung verwenden können.

Damit Windows-SMB-Clients jeden Typ symbolischer Links durchqueren können, müssen Sie diese auf dem Client aktivieren. Windows unterstützt die folgenden Linktypen:

• Lokal zu lokal• Remote zu remote

156 Dateifreigabe

• Lokal zu remote• Remote zu lokal

Sie müssen den folgenden Windows-Befehl ausführen, um alle vier Linktypen zu aktivieren:

fsutil behavior set SymlinkEvaluation L2L:1 R2R:1 L2R:1 R2L:1

Für POSIX-Clients, die Samba verwenden, müssen Sie die folgenden Optionen im Abschnitt [global] Ihrer Samba-Konfigurationsdatei (smb.conf) festlegen, damit Samba-Clients relative und absolute Links durchqueren können:

follow symlinks=yes wide links=yes

In diesem Fall bezieht sich „wide links“ in der Datei smb.conf auf absolute Links. Die Standardeinstellung in dieser Datei ist no.

Managen symbolischer LinksNach der Aktivierung symbolischer Links können Sie diese über die Windows-Eingabeaufforderung oder eine POSIX-Befehlszeile erstellen oder löschen.

Erstellen Sie symbolische Links auf einem SMB2-Client mit dem Windows-Befehl mklink oder über eine POSIX-Befehlszeilenoberfläche mit dem Befehl ln. Ein Administrator möchte zum Beispiel einem Benutzer namens „User1“ Zugriff auf eine Datei namens File1.doc im Verzeichnis /ifs/data/ gewähren, ohne spezifischen Zugriff auf dieses Verzeichnis zu erteilen, indem er einen Link namens „Link1“ erstellt:

mklink \ifs\home\users\User1\Link1 \ifs\data\Share1\File1.doc

Wenn Sie einen symbolischen Link erstellen, wird dieser als Dateilink oder Verzeichnislink gekennzeichnet. Sobald der Link festgelegt ist, kann die Kennzeichnung nicht mehr geändert werden. Sie können symbolische Linkpfade als relativ oder absolut formatieren.

Um symbolische Links zu löschen, verwenden Sie in Windows den Befehl del oder in einer POSIX-Umgebung den Befehl rm.

Denken Sie daran, dass nach dem Löschen eines symbolischen Links die Zieldatei oder das Zielverzeichnis weiterhin vorhanden sind. Wenn Sie jedoch eine Zieldatei oder ein Zielverzeichnis löschen, bleibt der symbolische Link erhalten und verweist nach wie vor auf das alte Ziel, wodurch er zu einem defekten Link wird.

Anonymer Zugriff auf SMB-SharesSie können anonymen Zugriff auf SMB-Shares konfigurieren, indem Sie den lokalen Guest-Benutzer aktivieren und die Verkörperung des Guest-Benutzers zulassen.

Wenn Sie z. B. Dateien wie ausführbare Browserdateien oder andere Daten gespeichert haben, die im Internet öffentlich sind, ermöglicht ein anonymer Zugriff allen Benutzern den Zugriff auf SMB-Shares ohne Authentifizierung.

Managen von SMB-EinstellungenSie können den SMB-Service aktivieren oder deaktivieren, die globalen Einstellungen für den SMB-Service konfigurieren und die für jede Zugriffszone spezifischen Standardeinstellungen für SMB-Freigaben konfigurieren.


SMB

Konfigurieren von SMB-ServereinstellungenSie können den SMB-Server aktivieren oder deaktivieren und globale Einstellungen für SMB-Freigaben und Snapshot-Verzeichnisse konfigurieren.

VORSICHT: Durch eine Änderung der erweiterten Einstellungen kann es zu betrieblichen Problemen kommen. Beachten

Sie die potenziellen Konsequenzen, bevor Sie Änderungen an diesen Einstellungen vornehmen.

1. Klicken Sie auf Protocols > Windows Sharing (SMB) > SMB Server Settings.

2. Wählen Sie im Bereich Service die Option Enable SMB Service aus.

3. Wählen Sie im Bereich Advanced Settings den Systemstandard oder eine benutzerdefinierte Konfiguration für die folgenden Einstellungen aus:

Dateifreigabe 157

• Visible at root• Accessible at root• Visible in subdirectories• Accessible in subdirectories• Verschlüsselungseinstellungen



SMB


Einstellungen von Datei- und Verzeichnisberechtigungen

Snapshot-Verzeichniseinstellungen

SMB-Performanceeinstellungen

SMB-Sicherheitseinstellungen

Konfigurieren von Standardeinstellungen für SMB-FreigabenSie können Standardeinstellungen für SMB-Freigaben für die einzelnen Zugriffszonen konfigurieren.

Die Standardeinstellungen werden auf alle neuen Freigaben angewendet, die der Zugriffszone hinzugefügt werden.VORSICHT: Wenn Sie die Standardeinstellungen ändern, werden die Änderungen auf alle vorhandenen Freigaben in der

Zugriffszone angewendet, es sei denn, die Einstellung wurde auf SMB-Freigabelevel konfiguriert.


2. Wählen Sie in der Drop-down-Liste Current Access Zones die Zugriffszone aus, auf die sich die Standardeinstellungen beziehen.

3. Wählen Sie im Bereich File Filtering die Option Enable file filters aus, um die Dateifilterung zu aktivieren.

4. Wählen Sie im Bereich Advanced Settings den Systemstandard oder eine benutzerdefinierte Konfiguration für die folgenden Einstellungen aus:

• Continuous Availability Timeout• Strict Continuous Availability Lockout• Create Permission• Directory Create Mask• Directory Create Mode• File Create Mask• File Create Mode• Change Notify• Oplocks• Impersonate Guest• Impersonate User• NTFS ACL• Access Based Enumeration• HOST ACL


Aktivieren oder Deaktivieren von SMB-MultichannelFür mehrere gleichzeitige SMB-Sitzungen von einem Windows-Clientcomputer auf einen Node auf einem Cluster ist SMB Multichannel erforderlich. SMB Multichannel ist auf dem Cluster standardmäßig aktiviert.

Sie können SMB-Multichannel nur über die Befehlszeilenoberfläche aktivieren oder deaktivieren.


2. Führen Sie den Befehl isi smb settings global modify aus.Mit dem folgenden Befehl wird SMB Multichannel auf dem Cluster aktiviert:

isi smb settings global modify –-support-multichannel=yes

158 Dateifreigabe

Mit dem folgenden Befehl wird SMB Multichannel auf dem Cluster deaktiviert:

isi smb settings global modify –-support-multichannel=no

Snapshot-VerzeichniseinstellungenSie können die Einstellungen, mit denen die Snapshot-Verzeichnisse in SMB gesteuert werden, anzeigen und konfigurieren.

VORSICHT: Diese Einstellungen wirken sich auf das Verhalten des SMB-Service aus. Änderungen an diesen

Einstellungen können sich auf alle aktuellen und zukünftigen SMB-Shares auswirken.

Einstellung Einstellungswert

Visible at Root Gibt an, ob das .snapshot-Verzeichnis im Stammverzeichnis der Freigabe sichtbar ist. Der Standardwert ist Yes.

Accessible at Root Gibt an, ob auf das .snapshot-Verzeichnis im Stammverzeichnis der Freigabe zugegriffen werden kann. Der Standardwert ist Yes.

Visible in Subdirectories Gibt an, ob das .snapshot-Verzeichnis in den Unterverzeichnissen des Freigabestammverzeichnisses sichtbar ist. Der Standardwert ist No.

Accessible in Subdirectories Gibt an, ob auf das .snapshot-Verzeichnis in den Unterverzeichnissen des Freigabestammverzeichnisses zugegriffen werden kann. Der Standardwert ist Yes.


SMB

Einstellungen von Datei- und VerzeichnisberechtigungenSie können die Standardquellberechtigungen und UNIX-Erstellungsmasken-/Modusbits anzeigen und konfigurieren, die beim Erstellen einer Datei oder eines Verzeichnisses in einer SMB-Freigabe angewendet werden.

ANMERKUNG: Änderungen, die direkt an einer SMB-Freigabe vorgenommen werden, setzen die Standardeinstellungen

außer Kraft, die auf der Registerkarte Default SMB Share Settings konfiguriert werden.

Wenn die Masken- und Modusbits mit den Standardwerten übereinstimmen, gibt ein grünes Häkchen neben der Einstellung an, dass die angegebene Lese- (Read, R), Schreib- (Wirte, W) oder Ausführungsberechtigung (Execute, X) auf Benutzer-, Gruppen- oder anderem („other“) Level aktiviert ist. Das Level „other“ umfasst alle Benutzer, die nicht als Eigentümer der Freigabe aufgeführt sind und nicht Bestandteil des Gruppenlevels sind, zu dem die Datei gehört.


Continuous Availability Timeout Gibt an, wie lange ein dauerhaftes Handle nach einer Verbindungstrennung zu einem Client oder nach einem Serverausfall aufbewahrt werden soll. Die Standardeinstellung ist 2 Minuten.

Strict Continuous Availability Lockout Verhindert, dass ein Client eine Datei öffnet, wenn ein anderer Client über ein offenes, aber getrenntes dauerhaftes Handle für diese Datei verfügt. Wenn die Option auf no festgelegt ist, gibt OneFS dauerhafte Ziehpunkte aus, aber sie werden verworfen, wenn ein anderer Client als der ursprüngliche versucht, die Datei zu öffnen. Der Standard ist no.

Create Permission Beim Erstellen einer Datei oder eines Verzeichnisses gelten die Standardquellberechtigungen. Der Standardwert ist Default ACL.

Directory Create Mask Legt UNIX-Modusbits fest, die entfernt werden, wenn ein Verzeichnis erstellt wird, sodass Berechtigungen eingeschränkt werden. Maskenbits werden angewendet, bevor Modusbits angewendet werden.

Dateifreigabe 159


Directory Create Mode Legt UNIX-Modusbits fest, die hinzugefügt werden, wenn ein Verzeichnis erstellt wird, sodass Berechtigungen aktiviert werden. Modusbits werden angewendet, nachdem Maskenbits angewendet wurden.

File Create Mask Legt UNIX-Modusbits fest, die entfernt werden, wenn eine Datei erstellt wird, sodass Berechtigungen eingeschränkt werden. Maskenbits werden angewendet, bevor Modusbits angewendet werden.

File Create Mode Legt UNIX-Modusbits fest, die hinzugefügt werden, wenn eine Datei erstellt wird, sodass Berechtigungen aktiviert werden. Modusbits werden angewendet, nachdem Maskenbits angewendet wurden.


SMB

SMB-PerformanceeinstellungenSie können die Performanceeinstellungen Change notify und Oplocks einer SMB-Freigabe anzeigen und konfigurieren.

ANMERKUNG: Änderungen, die direkt an einer SMB-Freigabe vorgenommen werden, setzen die Standardeinstellungen

außer Kraft, die in der Registerkarte Default SMB Share Settings vorgenommen werden.


Change Notify Konfiguriert die Benachrichtigung von Clients, wenn Dateien oder Verzeichnisse geändert werden. Dadurch wird verhindert, dass Clients veraltete Inhalte sehen, erfordert jedoch Serverressourcen. Der Standardwert ist Norecurse.

Oplocks Gibt an, ob eine Oplock-Anforderung (Opportunistic Lock) zulässig ist. Mit einem Oplock können Clients die Performance durch Nutzung lokal im Cache gespeicherter Informationen verbessern. Der Standardwert ist Yes.


SMB

SMB-SicherheitseinstellungenSie können die Sicherheitseinstellungen einer SMB Share anzeigen und konfigurieren,.

ANMERKUNG: Änderungen, die direkt an einer SMB Share vorgenommen werden, setzen die Standardeinstellungen

außer Kraft, die auf der Registerkarte Default Share Settings konfiguriert werden.


Create Permission Beim Erstellen einer Datei oder eines Verzeichnisses gelten die Standardquellberechtigungen. Der Standardwert lautet Default acl.

Directory Create Mask Legt UNIX-Modusbits fest, die entfernt werden, wenn ein Verzeichnis erstellt wird, sodass Berechtigungen eingeschränkt werden. Maskenbits werden angewendet, bevor Modusbits angewendet werden. Standardeinstellung: Der Nutzer verfügt über die Berechtigungen Read, Write und Execute.

Directory Create Mode Legt UNIX-Modusbits fest, die hinzugefügt werden, wenn ein Verzeichnis erstellt wird, sodass Berechtigungen aktiviert werden. Modusbits werden angewendet, nachdem Maskenbits angewendet wurden. Der Standardwert lautet None.

160 Dateifreigabe


File Create Mask Legt UNIX-Modusbits fest, die entfernt werden, wenn eine Datei erstellt wird, sodass Berechtigungen eingeschränkt werden. Maskenbits werden angewendet, bevor Modusbits angewendet werden. Standardeinstellung: Der Nutzer verfügt über die Berechtigungen Read, Write und Execute.

File Create Mode Legt UNIX-Modusbits fest, die hinzugefügt werden, wenn eine Datei erstellt wird, sodass Berechtigungen aktiviert werden. Modusbits werden angewendet, nachdem Maskenbits angewendet wurden. Standardeinstellung: Der Nutzer verfügt über die Berechtigungen Execute.

Impersonate Guest Bestimmt den Gastzugriff auf eine Freigabe. Der Standardwert lautet Never.

Impersonate User Ermöglicht einem bestimmten Benutzer den Dateizugriff. Dabei muss es sich um einen voll qualifizierten Benutzernamen handeln. Der Standardwert lautet No value.

NTFS ACL Bei dieser Einstellung können ACLs von SMB-Clients aus gespeichert und bearbeitet werden. Der Standardwert lautet Yes.

Access Based Enumeration: Ermöglicht Access Based Enumeration nur für die Dateien und Ordner, auf die der anfordernde Benutzer zugreifen kann. Der Standardwert lautet No.

HOST ACL Gibt die Zugriffskontrollliste an, die den Hostzugriff definiert. Der Standardwert lautet No value.


SMB

Managen von SMB-FreigabenSie können die Regeln sowie andere Einstellungen konfigurieren, die die Interaktion zwischen dem Windows-Netzwerk und einzelnen SMB-Freigaben im Cluster steuern.

OneFS unterstützt die variablen Erweiterungen %U, %D, %Z, %L, %0, %1, %2 und %3 und automatisiertes Provisioning von Benutzerstammverzeichnissen.

Sie können die Benutzer und Gruppen konfigurieren, die mit einer SMB-Freigabe verknüpft sind, und deren Berechtigungen auf Freigabelevel anzeigen oder ändern.

ANMERKUNG: Es wird empfohlen, erweiterte SMB-Freigabeeinstellungen nur dann zu konfigurieren, wenn Sie über ein

solides Grundwissen in Bezug auf das SMB-Protokoll verfügen.


SMB

Erstellen einer SMB-FreigabeWenn Sie eine SMB-Freigabe erstellen, können Sie die Standardberechtigungen sowie Performance- und Zugriffseinstellungen außer Kraft setzen. Sie können das SMB-Stammverzeichnis-Provisioning konfigurieren, indem Sie Erweiterungsvariablen in den Freigabepfad aufnehmen, sodass Benutzer automatisch erstellt und zu ihren eigenen Stammverzeichnissen umgeleitet werden.

Geben Sie einen Pfad an, der als SMB-Freigabe genutzt wird. Erstellen Sie das Verzeichnis, bevor Sie eine SMB-Freigabe erstellen. Freigaben gelten nur für bestimmte Zugriffszonen und der Freigabepfad muss unter dem Zonenpfad vorhanden sein. Erstellen Sie Zugriffszonen, bevor Sie SMB-Freigaben erstellen.

1. Klicken Sie auf Protocols > Windows Sharing (SMB) > SMB Shares.

2. Wählen Sie in der Drop-down-Liste Current Access Zone die Zugriffszone aus, in der die Freigabe erstellt werden soll.

3. Klicken Sie auf Create an SMB Share.

4. Geben Sie im Feld Name einen Namen für die Freigabe ein.

Dateifreigabe 161

Share-Namen können bis zu 80 Zeichen enthalten, wobei die folgenden Zeichen sind nicht erlaubt sind: " \ / [ ] : | < > + = ; , * ?Wenn die Clusterzeichencodierung außerdem nicht auf UTF-8 festgelegt ist, wird bei SMB-Freigabenamen zwischen Groß- und Kleinschreibung unterschieden.

5. Optional: Geben Sie im Feld Description einen Kommentar zur Freigabe ein.

Eine Beschreibung ist optional, kann jedoch nützlich sein, wenn Sie mehrere Freigaben managen. Es können maximal 255 Zeichen in das Feld eingegeben werden.

6. Geben Sie in das Feld Path den vollständigen Pfad für die Share beginnend mit /ifs ein oder klicken Sie auf Browse, um nach dem Verzeichnispfad zu suchen.

ANMERKUNG: Wenn Sie bei der Angabe des Verzeichnispfads eine der Variablen in der folgenden Tabelle verwenden

möchten, müssen Sie das Kontrollkästchen Allow Variable Expansion aktivieren, da die Zeichenfolge sonst vom

System buchstäblich interpretiert wird.

Variable Expansion

%D NetBIOS-Domainname

%U Benutzername, z. B. user_001

%Z Zonenname, z. B. System

%L Hostname des Clusters, normalisiert in Kleinbuchstaben

%0 Erstes Zeichen des Benutzernamens

%1 Zweites Zeichen des Benutzernamens

%2 Drittes Zeichen des Benutzernamens

Beispiel: Wenn sich ein Nutzer in einer Domain mit dem Namen DOMAIN befindet und sein Nutzername „user_1“ lautet, wird der Pfad /ifs/home/%D/%U zu /ifs/home/DOMAIN/user_1 erweitert.

7. Wählen Sie Create SMB share directory if it does not exist aus, damit OneFS das Share-Verzeichnis für den angegebenen Pfad erstellt, wenn dieser bisher noch nicht vorhanden war.

8. Wenden Sie die Anfangs-ACL-Einstellungen auf das Verzeichnis an. Sie können diese Einstellungen später ändern.

• Um eine Standard-ACL auf das Share-Verzeichnis anzuwenden, wählen Sie Apply Windows default ACLs aus.ANMERKUNG: Wenn die Einstellung Create SMB share directory if it does not exist ausgewählt ist, erstellt

OneFS eine ACL mit dem Äquivalent von UNIX 700-Modusbitberechtigungen für jedes Verzeichnis, das

automatisch erstellt wird.

• Um die vorhandenen Berechtigungen für das Share-Verzeichnis beizubehalten, wählen Sie Do not change existing permissions aus.

9. Optional: Konfigurieren Sie Stammverzeichnis-Provisioning-Einstellungen.

• Um Pfadvariablen wie %U im Freigabeverzeichnispfad zu erweitern, wählen Sie Allow Variable Expansion.• Um Stammverzeichnisse automatisch zu erstellen, wenn Benutzer zum ersten Mal auf die Freigabe zugreifen, wählen Sie Auto-

Create Directories. Diese Option ist nur verfügbar, wenn die Option Allow Variable Expansion aktiviert ist.

10. Wählen Sie die Option Enable continuous availability on the share aus, um Clients die Erstellung dauerhafter Handles zu ermöglichen, die nach einem Ausfall wie einer netzwerkbezogenen Verbindungstrennung oder einem Serverausfall zurückgewonnen werden können. Server müssen Windows 8 oder Windows 2012 R2 (oder höher) verwenden.

11. Klicken Sie auf Add User or Group, um die Benutzer- und Gruppeneinstellungen zu bearbeiten.Die Standardberechtigungskonfiguration ist für das bekannte Konto „Everyone“ schreibgeschützt. Ändern Sie die Einstellungen, um Benutzern Schreibzugriff auf die Freigabe zu gewähren.

12. Wählen Sie Enable File Filters im Abschnitt File Filter Extensions aus, um die Unterstützung für Dateifilterung zu aktivieren. Fügen Sie die Dateitypen hinzu, die auf die Dateifiltermethode angewendet werden sollen.

13. Wählen Sie im Abschnitt Encryption die Option Enable oder Disable aus, um zu ermöglichen oder zu verhindern, dass SMBv3-verschlüsselte Clients eine Verbindung zur Share herstellen.

14. Optional: Klicken Sie auf Show Advanced Settings, um bei Bedarf erweiterte Einstellungen für SMB Shares anzuwenden.

15. Klicken Sie aufCreate Share.

162 Dateifreigabe


SMB

Ändern von SMB-Freigabeberechtigungen, Performance- oder SicherheitseinstellungenSie können die Einstellungen für Berechtigungen, Performance und Zugriff für einzelne SMB-Freigaben ändern.

Sie können das SMB-Stammverzeichnis-Provisioning konfigurieren, indem Sie Verzeichnispfad- oder Erweiterungsvariablen verwenden, sodass Stammverzeichnisse automatisch erstellt und Benutzer zu diesen umgeleitet werden.

ANMERKUNG: Alle Änderungen, die an diesen Einstellungen vorgenommen werden, wirken sich nur auf die

Einstellungen für diese Share aus. Wenn Sie die Standardwerte von SMB Shares ändern müssen, können Sie dies auf der

Registerkarte Default SMB Share Settings tun.


2. Wählen Sie in der Drop-down-Liste Current Access Zone die Zugriffszone aus, die die zu ändernde Share enthält.

3. Machen Sie in der Liste der SMB Shares die zu ändernde Share ausfindig und klicken Sie dann auf View/Edit.Die Einstellungen für die Share werden angezeigt.

4. Klicken Sie auf Edit SMB Share.

5. Ändern Sie die Einstellungen nach Bedarf.

6. Optional: Wenn Sie die Einstellungen für Datei- und Verzeichnisberechtigungen, Leistung oder Sicherheit ändern möchten, klicken Sie auf Show Advanced Settings.



SMB

Löschen einer SMB-FreigabeSie können nicht mehr benötigte SMB-Freigaben löschen.

Ungenutzte SMB-Freigaben schränken die Clusterperformance nicht ein. Wenn Sie eine SMB-Freigabe löschen, wird der Freigabepfad gelöscht, das von dieser Freigabe referenzierte Verzeichnis ist jedoch weiterhin vorhanden. Wenn Sie eine neue Freigabe mit demselben Pfad wie die gelöschte Freigabe erstellen, kann über die neue Freigabe erneut auf das von der vorherigen Freigabe referenzierte Verzeichnis zugegriffen werden.


2. Wählen Sie in der Drop-down-Liste Current Access Zones die Zugriffszone aus, die die zu löschende Freigabe enthält.

3. Wählen Sie aus der Liste der SMB-Freigaben die Freigabe aus, die Sie löschen möchten.

ANMERKUNG: Sie können mehrere Freigaben auf dem Cluster löschen, indem Sie die Kontrollkästchen neben dem

Namen der Freigabe auswählen und dann auf Delete klicken.

4. Klicken Sie im Bestätigungsdialogfeld auf Yes, um den Löschvorgang zu bestätigen.


SMB

Einschränken des Zugriffs auf /ifs-Freigaben für das Konto „Everyone“Standardmäßig ist das Stammverzeichnis /ifs als SMB-Freigabe in der Systemzugriffszone konfiguriert. Es wird empfohlen, dass Sie das Konto „Everyone“ dieser Freigabe auf schreibgeschützten Zugriff einschränken.


2. Wählen Sie in der Drop-down-Liste Current Access Zone die Option System aus.

3. Wählen Sie das Kontrollkästchen für die Freigabe /ifs aus und klicken Sie auf View/Edit.Das Dialogfeld View SMB Share Details wird angezeigt.

4. Klicken Sie auf Edit SMB Share.Das Dialogfeld Edit SMB Share Details wird angezeigt.

Dateifreigabe 163

5. Wählen Sie im Bereich Users and Groups das Kontrollkästchen für das Konto „Everyone“ aus und klicken Sie auf View/Edit.Das Dialogfeld Edit Persona wird angezeigt.

6. Wählen Sie Specify Permission Level und dann das Kontrollkästchen Read aus. Deaktivieren Sie die Kontrollkästchen Full Control und

Read-Write, wenn diese Optionen ausgewählt wurden.

7. Klicken Sie auf Anwenden.

Konfigurieren des anonymen Zugriffs auf eine einzelne SMB-FreigabeSie können den anonymen Zugriff auf in einer einzigen Freigabe gespeicherte Daten über die Gastbenutzerpersonifizierung konfigurieren.


2. Wählen Sie in der Liste Current Access Zones die Zugriffszone mit der Freigabe aus, auf die Sie den anonymen Zugriff zulassen möchten.

3. Wählen Sie in der Drop-down-Liste Providers die Option Local aus.

a) Klicken Sie für das Gastkonto auf View /Edit.Das Dialogfeld View User Details wird angezeigt.

b) Klicken Sie auf Edit User.c) Aktivieren Sie das Kontrollkästchen Enable the account und klicken Sie dann auf Save Changes.


5. Klicken Sie neben der Share, auf die Sie den anonymen Zugriff zulassen möchten, auf View/Edit.


7. Klicken Sie auf Show Advanced Settings.

8. Suchen Sie nach der Einstellung Impersonate Guest und klicken Sie dann auf Use Custom.Die Drop-down-Liste Impersonate Guest wird angezeigt.

9. Wählen Sie in der Liste Impersonate Guest die Option Always aus.


Konfigurieren des anonymen Zugriffs auf alle SMB-Freigaben in einer ZugriffszoneSie können den anonymen Zugriff auf in einer einzigen Zugriffszone gespeicherte Daten über die Gastbenutzerpersonifizierung konfigurieren.


2. Wählen Sie in der Liste Current Access Zone die Zugriffszone aus, für die Sie den anonymen Zugriff zulassen möchten.

3. Wählen Sie in der Drop-down-Liste Providers die Option Local aus.

a) Klicken Sie für das Gastkonto auf View /Edit.Das Dialogfeld View User Details wird angezeigt.

b) Klicken Sie auf Edit User.c) Aktivieren Sie das Kontrollkästchen Enable the account und klicken Sie dann auf Save Changes.


5. Wählen Sie in der Liste Current Access Zone die Zugriffszone aus, für die Sie den anonymen Zugriff zulassen möchten.

6. Suchen Sie nach der Einstellung Impersonate Guest und klicken Sie dann auf Use Custom.Die Drop-down-Liste Impersonate Guest wird angezeigt.

7. Wählen Sie in der Liste Impersonate Guest die Option Always aus.


Hinzufügen eines Benutzers oder einer Gruppe zu einer SMB-FreigabeFür jede SMB-Freigabe können Sie Berechtigungen auf Freigabelevel für bestimmte Benutzer und Gruppen hinzufügen.


2. Wählen Sie in der Drop-down-Liste Current Access Zone die Zugriffszone aus, die die Share enthält, der Sie einen Benutzer oder eine Gruppe hinzufügen möchten.

3. Suchen Sie in der Liste der SMB-Shares die zu ändernde Share und klicken Sie dann auf View/Edit.

164 Dateifreigabe


5. Klicken Sie im Bereich Users and Groups auf Add a User or Group.Das Dialogfeld Add Persona wird angezeigt.

6. Klicken Sie auf Select User.Das Dialogfeld Select Persona wird angezeigt.

7. Sie können den Benutzer oder die Gruppe über eine der folgenden Methoden suchen:

• Geben Sie den gewünschten Benutzernamen oder Gruppennamen in das Textfeld ein und klicken Sie dann auf Search.• Geben Sie den gewünschten Authentifizierungsanbieter in das Textfeld ein und klicken Sie dann auf Search. Es werden nur

Anbieter aufgelistet, die derzeit auf dem Cluster konfiguriert und aktiviert sind.• Geben Sie den Benutzernamen oder Gruppennamen ein, wählen Sie einen Authentifizierungsanbieter aus und klicken Sie auf

Search.

8. Wenn Sie allgemein bekannte SIDs ausgewählt haben, klicken Sie auf Search.

9. Klicken Sie in den Suchergebnissen auf den Benutzer, die Gruppe oder SID, die Sie der SMB-Freigabe hinzufügen möchten, und klicken Sie dann auf Select.

10. Standardmäßig werden die Zugriffsrechte des neuen Kontos auf Deny All festgelegt. Um einen Benutzer oder eine Gruppe für den Zugriff auf die Share zu aktivieren, führen Sie die folgenden zusätzlichen Schritte aus:

a) Klicken Sie neben dem hinzugefügten Benutzer- oder Gruppenkonto auf Edit.b) Wählen Sie Run as Root oder Specify Permission Level aus und wählen Sie anschließend eine oder mehrere der folgenden

Berechtigungsstufen aus: Full Control, Read-Write und Read.

11. Klicken Sie auf Add Persona.



SMB

Konfigurieren des Stammverzeichniszugriffs über mehrere ProtokolleFür Benutzer, die auf diese Freigabe über FTP oder SSH zugreifen, können Sie sicherstellen, dass deren Stammverzeichnispfad immer der gleiche ist, unabhängig davon, ob sie die Verbindung über SMB herstellen oder sich über FTP oder SSH anmelden. Diese Aufgabe kann nur über die OneFS-Befehlszeilenoberfläche durchgeführt werden.

Dieser Befehl veranlasst die SMB-Freigabe zur Verwendung der Stammverzeichnisvorlage, die im Authentifizierungsanbieter des Benutzers angegeben ist. Dieses Verfahren ist nur über die Befehlszeilenoberfläche verfügbar.


2. Führen Sie den folgenden Befehl aus, wobei <share> der Name der SMB-Share und --path der Verzeichnispfad zur Home-Verzeichnisvorlage ist, wie vom Authentifizierungsanbieter des Benutzers angegeben:

isi smb shares modify <share> --path=""


SMB

Umgebungen mit verschiedenen Protokollen

NFSOneFS bietet einen NFS-Server, sodass Sie Dateien auf dem Cluster mit NFS-Clients gemeinsam nutzen können, die den Spezifikationen RFC1813 (NFSv3) und RFC3530 (NFSv4) entsprechen.

In OneFS wird der NFS-Server vollständig als Multi-Thread-Service optimiert, der im Benutzerspeicherplatz anstatt im Kernel ausgeführt wird. Diese Architektur führt einen Lastenausgleich für den NFS-Service über alle Nodes des Clusters hinweg aus und bietet so die Stabilität und Skalierbarkeit, die erforderlich sind, um bis zu Tausende von Verbindungen zwischen mehreren NFS-Clients zu managen.

NFS-Mounts werden schnell ausgeführt und aktualisiert und der Server überwacht ständig die wechselnden Anforderungen an NFS-Services und nimmt über alle Nodes Anpassungen vor, um eine kontinuierliche, zuverlässige Performance zu ermöglichen. OneFS verwendet einen integrierten Prozessplaner und trägt so zu einer angemessenen Zuweisung von Node-Ressourcen bei, damit kein Client mehr als seinen zugewiesenen Anteil der NFS-Services in Anspruch nehmen kann.

Dateifreigabe 165

Der NFS-Server unterstützt zudem Zugriffszonen, die in OneFS definiert sind, sodass Clients nur auf die Exporte zugreifen können, die für die jeweilige Zone geeignet sind. Wenn beispielsweise NFS-Exporte für Zone 2 angegeben sind, können nur Clients, die Zone 2 zugewiesen sind, auf diese Exporte zugreifen.

Um Clientverbindungen zu vereinfachen, insbesondere für Exporte mit langen Pfadnamen, unterstützt der NFS-Server auch Aliasnamen, die Verknüpfungen zu Mount-Punkten darstellen, die Clients direkt angeben können.

OneFS unterstützt NIS- und LDAP-Authentifizierungsanbieter für sicheres NFS-Filesharing.


Managen des NFS-Service

Managen von NFS-Exporten

NFS-ExporteSie können einzelne NFS-Exportregeln managen, die für NFS-Clients verfügbare Mount-Punkte (Pfade) definieren, wie die Performance des Servers mit diesen Clients sein soll.

In OneFS können Sie NFS-Exporte erstellen, löschen, auflisten, anzeigen, bearbeiten und neu laden.

NFS-Exportregeln erkennen Zonen. Jeder Export ist mit einer Zone verknüpft, kann nur von Clients in dieser Zone gemountet werden und nur Pfade unter der Zonen-Root preisgeben. Standardmäßig gilt jeder Exportbefehl für die aktuelle Zeitzone des Clients.

Jede Regel muss über mindestens einen Pfad (Mount-Punkt) verfügen und kann zusätzliche Pfade enthalten. Sie können auch festlegen, dass alle Unterverzeichnisse des angegebenen Pfads oder der Pfade mountfähig sind. Ansonsten werden nur die angegebenen Pfade exportiert und untergeordnete Verzeichnisse können nicht gemountet werden.

Eine Exportregel kann einen bestimmten Satz Clients angeben, wodurch Sie den Zugriff auf bestimmte Mount-Punkte begrenzen oder einen einmaligen Satz Optionen auf diese Clients anwenden können. Wenn die Regel keine Clients angibt, gilt die Regel für alle Clients, die sich mit dem Server verbinden. Wenn die Regel Clients angibt, dann gilt diese Regel nur für diese Clients.

NFS-AliasseSie können Aliasse als Verknüpfungen für Verzeichnispfadnamen in OneFS erstellen und managen. Wenn diese Pfadnamen als NFS-Exporte definiert werden, können NFS-Clients die Aliasse als NFS-Mount-Punkte festlegen.

NFS-Aliasse sind darauf ausgelegt, funktionale Parität mit SMB-Share-Namen im Kontext von NFS zu bieten. Jedes Alias ordnet einen eindeutigen Namen zu einem Pfad in dem Dateisystem zu. NFS-Clients können den Aliasnamen dann anstelle des Pfads beim Mounten verwenden.

Aliasse müssen als Unix-Pfadnamen der höchsten Ebene gebildet werden und einen einzigen Schrägstrich gefolgt vom Namen enthalten. Sie können z. B. ein Alias namens /q4 erstellen, das /ifs/data/finance/accounting/winter2015 zugeordnet ist (einem Pfad in OneFS). Ein NFS-Client konnte dieses Verzeichnis auf eine der folgenden Methoden mounten:

mount cluster_ip:/q4

mount cluster_ip:/ifs/data/finance/accounting/winter2015

Aliasse und Exporte sind vollständig unabhängig. Sie können ein Alias erstellen, ohne es mit einem NFS-Export zu verknüpfen. Entsprechend erfordert ein NFS-Export kein Alias.

Jedes Alias muss auf einen gültigen Pfad in dem Dateisystem verweisen. Während dieser Pfad absolut ist, muss er auf einen Standort unter dem Zonen-Root-Verzeichnis verweisen (/ifs in der Systemzone). Wenn das Alias auf einen Pfad verweist, der in dem Dateisystem nicht vorhanden ist, wird jedem Client, der versucht, das Alias zu mounten, auf gleiche Weise abgewiesen wie bei dem Versuch, einen ungültigen vollständigen Pfadnamen zu mounten.

NFS-Aliasse erkennen Zonen. Standardmäßig gilt ein Alias für die aktuelle Zugriffszone des Clients. Um dies zu ändern, können Sie eine alternative Zugriffszone als Teil der Erstellung oder Änderung eines Alias angeben.

Jedes Alias kann nur von Clients in dieser Zone eingesetzt werden und nur für Pfade unterhalb der Zonen-Root gelten. Aliasnamen sind pro Zone eindeutig, aber derselbe Name kann in verschiedenen Zonen verwendet werden, z. B. /home.

Wenn Sie ein Alias in der Webverwaltungsschnittstelle erstellen, zeigt die Aliasliste den Status des Alias an. In ähnlicher Weise können Sie mit der Option --check des Befehls isi nfs aliases den Status eines NFS-Alias überprüfen (mögliche Status sind: good, illegal path, name conflict, not exported oder path not found).

166 Dateifreigabe

NFS-ProtokolldateienOneFS schreibt Protokollmeldungen im Zusammenhang mit NFS-Events in einen Satz Dateien in /var/log.

Mit der Protokollleveloption können Sie angeben, wie detailliert Protokollmeldungen in die Protokolldateien ausgegeben werden. In der folgenden Tabelle werden die Protokolldateien im Zusammenhang mit NFS beschrieben.

Protokolldatei Beschreibung

nfs.log Primäre NFS-Serverfunktion (v3, v4, Mount)

rpc_lockd.log NFSv3-Sperrevents über das NLM-Protokoll

rpc_statd.log NFSv3-Neustarterkennung über das NSM-Protokoll

isi_netgroup_d.log Netzwerkgruppenauflösung und Caching

Managen des NFS-ServiceSie können den NFS-Service aktivieren oder deaktivieren und die unterstützten NFS-Versionen angeben, einschließlich NFSv3 and NFSv4. NFS-Einstellungen werden auf alle Nodes im Cluster angewendet.

ANMERKUNG: NFSv4 kann unterbrechungsfrei auf einem OneFS-Cluster aktiviert und gleichzeitig mit NFSv3

ausgeführt werden. Vorhandene NFSv3-Clients werden durch die Aktivierung von NFSv4 nicht beeinträchtigt.


NFS

Konfigurieren von NFS-DateifreigabenSie können den NFS-Service aktivieren oder deaktivieren und das Sperrschutzlevel sowie den Sicherheitstyp festlegen. Diese Einstellungen werden auf alle Nodes im Cluster angewendet. Sie können die Einstellungen für einzelne von Ihnen erstellte NFS-Exporte ändern.

1. Klicken Sie auf Protocols > UNIX Sharing (NFS) > Global Settings.

2. Aktivieren oder deaktivieren Sie die folgenden Einstellungen:

• NFS Export Service• NFSv3• NFSv4

3. Klicken Sie im Abschnitt Cached Export Configuration auf Reload, um die im Cache gespeicherten NFS-Exporteinstellungen neu zu laden.Die im Cache gespeicherten NFS-Exporteinstellungen werden neu geladen, damit Änderungen an DNS oder NIS übernommen werden.



NFS


Globale NFS-Einstellungen

Einstellungen zur NFS-Exportperformance

Einstellungen für die NFS-Exportclientkompatibilität

Einstellungen zum NFS-Exportverhalten

Erstellen einer Root-Squash-Regel für den NFS-StandardexportStandardmäßig implementiert der NFS-Service eine Root-Squash-Regel für den Standard-NFS-Export. Diese Regel verhindert, dass Root-Benutzer auf NFS-Clients Root-Berechtigungen auf dem NFS-Server ausführen.

1. Klicken Sie auf Protocols > UNIX Sharing (NFS) > NFS Exports.

2. Wählen Sie in der NFS-Exportliste den Standardexport aus und klicken Sie auf View/Edit.

Dateifreigabe 167

3. Überprüfen Sie im Bereich Root User Mapping, ob die Standardeinstellungen ausgewählt sind. Wenn dies der Fall ist, sind keine Änderungen erforderlich und Sie können mit Schritt 7 fortfahren.

4. Klicken Sie auf Edit Export.

5. Suchen Sie nach der Einstellung Root User Mapping und klicken Sie dann auf Use Default, um auf die folgenden Werte zurückzusetzen:

User: Map root users to user nobodyPrimary Group: No primary groupSecondary Groups: No secondary groups



Mit diesen Einstellungen, unabhängig von die Benutzeranmeldedaten auf dem NFS-Client, könnten Benutzer keine Root-Berechtigungen auf dem NFS-Server erhalten.

Globale NFS-EinstellungenMit globalen NFS-Einstellungen wird festgelegt, wie der NFS-Service funktioniert. Sie können diese Einstellungen gemäß den Anforderungen Ihres Unternehmens ändern.

In der folgenden Tabelle werden die globalen NFS-Einstellungen und ihre Standardwerte beschrieben:

Einstellung Beschreibung

NFS Export Service Aktivierung oder Deaktivierung des NFS-Service. Diese Einstellung ist standardmäßig aktiviert.

NFSv3 Aktivierung oder Deaktivierung der Unterstützung für NFSv3. Diese Einstellung ist standardmäßig aktiviert.

NFSv4 Aktivierung oder Deaktivierung der Unterstützung für NFSv4. Diese Einstellung ist standardmäßig deaktiviert.

Cached Export Configuration Ermöglicht Ihnen, zwischengespeicherte NFS-Exporte neu zu laden, um sicherzustellen, dass alle Domain- oder Netzwerkänderungen sofort wirksam werden.


NFS

Zugehörige Tasks

Konfigurieren von NFS-Dateifreigaben

Managen von NFS-ExportenSie können NFS-Exporteinstellungen erstellen, anzeigen und ändern sowie Exporte löschen, die nicht mehr benötigt werden.

Das Verzeichnis /ifs ist das Verzeichnis der obersten Ebene für den Datenspeicher in OneFS und ist auch der im Standardexport definierte Pfad. Standardmäßig erlaubt der /ifs-Export nicht den Root-Zugriff, ermöglicht aber anderen UNIX-Clients, dieses Verzeichnis und alle Unterverzeichnisse darunter zu mounten.

ANMERKUNG: Es wird empfohlen, den Standardexport zu ändern, um den Zugriff auf vertrauenswürdige Clients zu

beschränken oder vollständig einzuschränken. Um sicherzustellen, dass sensible Daten nicht gefährdet sind, sollten

andere von Ihnen erstellte Exporte in der OneFS-Dateihierarchie niedriger sein. Diese können durch Zugriffszonen

geschützt oder nach Bedarf auf bestimmte Clients mit Root-, Lese-/Schreib- oder schreibgeschütztem Zugriff

beschränkt werden.


NFS

Erstellen eines NFS-ExportsSie können NFS-Exporte erstellen, um Dateien in OneFS mit UNIX-basierten Clients gemeinsam zu nutzen.

168 Dateifreigabe

Der NFS-Service wird im Benutzerspeicherplatz ausgeführt und verteilt die Last auf alle Nodes im Cluster. Dadurch ist der Service hochgradig skalierbar und unterstützt mehrere Tausend Exporte. Als Best Practice sollten Sie jedoch vermeiden, einen separaten Export für jeden Client in Ihrem Netzwerk zu erstellen. Es ist effizienter, weniger Exporte zu erstellen und Zugriffszonen sowie die Benutzerzuordnung zu verwenden, um den Zugriff zu steuern.

1. Klicken Sie auf Protocols > UNIX Sharing (NFS) > NFS Exports.

2. Klicken Sie auf Create Export.

3. Für die Einstellung Directory Paths geben Sie das zu exportierende Verzeichnis ein oder navigieren Sie zu dem Verzeichnis.

Sie können mehrere Verzeichnispfade hinzufügen, indem Sie für jeden zusätzlichen Pfad auf Add another directory path klicken.

4. Optional: Geben Sie im Feld Description einen Kommentar zur Beschreibung des Exports ein.

5. Optional: Geben Sie die NFS-Clients an, die Zugriff auf den Export erhalten sollen.

Sie können NFS-Clients in jedem beliebigen oder allen Clientfeldern angeben, wie in der folgenden Tabelle beschrieben. Ein Client kann nach Hostname, IPv4- oder IPv6-Adresse, Subnetz oder Netzwerkgruppe ermittelt werden. IPv4-Adressen, die im IPv6-Adressbereich zugeordnet sind, werden umgewandelt und als IPv4-Adressen gespeichert, um mögliche Unklarheiten zu vermeiden.

Sie können mehrere Clients in jedem Feld angeben, indem Sie einen Eintrag pro Zeile eingeben.

ANMERKUNG: Wenn Sie keine Clients angeben, wird allen Clients im Netzwerk Zugriff auf den Export gewährt.

Wenn Sie Clients in einem der Regelfelder wie Always Read-Only Clients angeben, wird die entsprechende Regel nur

auf diese Clients angewendet. Das Hinzufügen eines Eintrags unter Root Clients hindert andere Clients aber nicht

daran, auf den Export zuzugreifen.

Wenn Sie denselben Client mehr als einer Liste hinzufügen und der Client im selben Format für jeden Eintrag

eingegeben wurde, wird der Client auf eine einzige Auswahlliste in der folgenden Prioritätsreihenfolge normalisiert:

• Stammclients

• Clients immer mit Lese-/Schreibzugriff

• Clients immer nur mit Lesezugriff

• Clients


Clients Gewährt einem oder mehreren Clients Zugriff auf den Export. Das Zugriffslevel wird über Exportberechtigungen gesteuert.

Clients immer mit Lese-/Schreibzugriff

Ein oder mehrere Clients haben unabhängig von den Zugriffsbeschränkungseinstellungen Lese-/Schreibzugriff auf den Export. Dies entspricht dem Hinzufügen eines Clients zur Liste Clients, wobei die Einstellung für Restrict access to read-only deaktiviert ist.

Clients immer nur mit Lesezugriff

Ein oder mehrere Clients haben unabhängig von den Zugriffsbeschränkungseinstellungen nur Lesezugriff auf den Export. Dies entspricht dem Hinzufügen eines Clients zur Liste Clients, wobei die Einstellung für Restrict access to read-only aktiviert ist.

Stammclients Legt einen oder mehrere Clients als Stammclient für den Export fest. Diese Einstellung ermöglicht dem folgenden Client, den Export zu mounten, die Root-Identität anzuzeigen und Root zugeordnet zu werden. Durch Hinzufügen eines Clients zu dieser Liste wird nicht verhindert, dass andere Clients gemountet werden, wenn keine Clients, schreibgeschützte Clients und Clients mit Lese-/Schreibzugriff festgelegt sind.

6. Wählen Sie die zu verwendende Einstellung für die Exportberechtigungen aus:

• Beschränken Sie Aktionen durch den reinen Lesezugriff.• Aktivieren Sie den Mount-Zugriff auf Unterverzeichnisse. Dadurch können Unterverzeichnisse von Pfaden gemountet werden.

7. Legen Sie die Benutzer- und Gruppenzuordnungen fest.

Wählen Sie die Option Use custom aus, um den Zugriff einzuschränken, indem Sie Root-Nutzer oder alle Nutzer einer bestimmten Nutzer- und Gruppen-ID zuordnen. Für Root-Squash weisen Sie Root-Nutzer dem Nutzernamen nobody zu.

8. Machen Sie die Einstellung Security Flavors ausfindig. Legen Sie den zu verwendenden Sicherheitstyp fest. UNIX ist die Standardeinstellung.

Klicken Sie auf Use custom, um einen oder mehrere der folgenden Sicherheitstypen auszuwählen:

• UNIX (System)• Kerberos5• Kerberos5 Integrity• Kerberos5 Privacy

Dateifreigabe 169

ANMERKUNG: Für die Standardsicherheitsvariante (UNIX) ist ein vertrauenswürdiges Netzwerk erforderlich. Wenn

Sie Ihrem Netzwerk nicht vollständig vertrauen, wird als Best Practice eine Kerberos-Option ausgewählt. Wenn das

System Kerberos nicht unterstützt, ist es nicht vollständig geschützt, da NFS ohne Kerberos dem Netzwerk

vollständig vertraut und alle Pakete im Klartext sendet. Wenn Sie Kerberos nicht verwenden können, sollten Sie nach

einer anderen Möglichkeit zum Schutz der Internetverbindung suchen. Dabei sollten mindestens die folgenden

Schritte durchgeführt werden:

• Beschränken Sie den Root-Zugriff auf das Cluster auf vertrauenswürdigen Host-IP-Adressen.

• Stellen Sie sicher, dass alle neuen Geräte, die Sie zum Netzwerk hinzufügen, als vertrauenswürdig eingestuft

werden. Mithilfe folgender Methoden können Sie beispielsweise die Vertrauenswürdigkeit sicherstellen:

• Verwenden Sie einen IPsec-Tunnel. Diese Option ist sehr sicher, weil dabei die Geräte mithilfe sicherer

Schlüssel authentifiziert werden.

• Konfigurieren Sie alle Switchports so, dass sie inaktiv werden, wenn sie physisch getrennt werden. Stellen Sie

darüber hinaus sicher, dass die Switchports auf MAC beschränkt werden.

9. Klicken Sie auf Show Advanced Settings, um erweiterte NFS-Exporteinstellungen zu konfigurieren.

Ändern Sie die erweiterten Einstellungen nur, wenn es erforderlich ist und Sie die Auswirkungen dieser Änderungen genau kennen.


Der neue NFS-Export wird erstellt und im oberen Bereich der Liste NFS Exports angezeigt.


NFS

Ändern eines NFS-ExportsSie können die Einstellungen für einen vorhandenen NFS-Export ändern.

VORSICHT: Das Ändern der Exporteinstellungen kann zu Performanceproblemen führen. Stellen Sie sicher, dass Sie die

potenziellen Auswirkungen der Einstellungsänderungen verstehen, bevor Sie Änderungen speichern.

1. Wählen Sie Protocols > UNIX Sharing (NFS) > NFS Exports aus.

2. Aktivieren Sie in der Liste NFS Exporte das Kontrollkästchen für den Export, den Sie ändern möchten, und klicken Sie auf View/Edit.

3. Klicken Sie auf Edit Export.

4. Bearbeiten Sie die Exporteinstellungen nach Bedarf.

5. Klicken Sie auf Show Advanced Settings, um erweiterte Exporteinstellungen zu bearbeiten.

Es wird empfohlen, erweiterte Einstellungen nur zu ändern, wenn es erforderlich ist und Sie die Folgen dieser Änderungen genau verstehen.




NFS

Löschen eines NFS-ExportsSie können nicht benötigte NFS-Exporte löschen. Alle aktuellen NFS-Clientverbindungen zu diesen Exporten werden ungültig.

ANMERKUNG: Sie können alle Exporte auf einem Cluster auf einmal löschen. Klicken Sie auf das Kontrollkästchen

Export ID/Path im oberen Bereich der Liste NFS Exports und wählen Sie dann in der Drop-down-Liste rechts die Option

Delete aus.

1. Wählen Sie Protocols > UNIX Sharing (NFS) > NFS Exports aus.

2. Klicken Sie in der Liste NFS Exports auf das Kontrollkästchen links neben dem Export, den Sie löschen möchten.


4. Klicken Sie im Bestätigungsdialogfeld auf Delete, um den Vorgang zu bestätigen.

170 Dateifreigabe


NFS

Fehlerprüfung von NFS-ExportenSie können NFS-Exporte auf Fehler überprüfen, z. B. in Konflikt stehende Exportregeln, ungültige Pfade und nicht auflösbare Hostnamen und Netzwerkgruppen. Diese Aufgabe kann nur über die OneFS-Befehlszeilenoberfläche durchgeführt werden.


2. Führen Sie den Befehl isi nfs exports check aus.

Im folgenden Ausgabebeispiel wurden keine Fehler gefunden:

ID Message--------------------Total: 0Im folgenden Beispiel enthält Export 1 einen Verzeichnispfad, der momentan nicht vorhanden ist:

ID Message-----------------------------------1 '/ifs/test' does not exist-----------------------------------Total: 1

Anzeigen und Konfigurieren von Standard-NFS-ExporteinstellungenSie können Standard-NFS-Exporteinstellungen anzeigen und konfigurieren. Alle neuen Exporte und vorhandenen Exporte, die Standardwerte verwenden, sind von Änderungen an diesen Einstellungen betroffen.

ANMERKUNG: Änderungen an den Exportstandardeinstellungen wirken sich auf alle aktuellen und zukünftigen NFS-

Exporte aus, die Standardeinstellungen verwenden. Falsche Änderungen an diesen Einstellungen können sich nachteilig

auf die Verfügbarkeit des NFS-Dateifreigabeservice auswirken. Es wird empfohlen, die Standardeinstellungen,

insbesondere die erweiterten Einstellungen, nicht zu ändern, wenn Sie keine Erfahrung mit der Arbeit mit NFS haben.

Stattdessen sollten Sie die Einstellungen nach Bedarf für einzelne NFS-Exporte ändern, wenn Sie diese erstellen.

1. Wählen Sie Protocols > UNIX Sharing (NFS) > Export Settings aus.Gemeinsame NFS-Exporteinstellungen werden im Bereich Export Settings aufgelistet: Root User Mapping, Non-Root User Mapping, Failed User Mapping und Security Flavors. Ändern Sie die Standardeinstellungen, die Sie auf alle neuen NFS-Exporte oder auf vorhandene Exporte anwenden möchten, die Standardwerte verwenden.

2. Im Bereich Advanced Export Settings können Sie die erweiterten Einstellungen bearbeiten.

Es wird empfohlen, erweiterte Einstellungen nur zu ändern, wenn es erforderlich ist und Sie die Folgen dieser Änderungen genau verstehen.



NFS

Grundlegende NFS-ExporteinstellungenDie grundlegenden NFS-Exporteinstellungen sind globale Einstellungen, die für alle neuen NFS-Exporte gelten, die Sie erstellen.

Bearbeiten Sie die grundlegenden Exporteinstellungen, wie in der folgenden Tabelle beschrieben.

Einstellung Standardwerte

Root User Mapping User: Zuordnen von Root-Benutzern zum Benutzer nobody

Primäre Gruppe: keine primäre Gruppe

Sekundäre Gruppen: Keine sekundären Gruppen

ANMERKUNG: Die Standardeinstellungen führen zu einer Root-Squash-Regel, nach der kein Benutzer auf dem NFS-Client, auch kein Root-Benutzer, Root-Berechtigungen auf dem NFS-Server erlangen kann.

Dateifreigabe 171

Einstellung Standardwerte

Non-Root User Mapping Diese Benutzerzuordnung ist standardmäßig deaktiviert. Es wird empfohlen, diese Einstellung auf der Basis pro Export anzugeben.

Fehlgeschlagene Benutzerzuordnung Diese Benutzerzuordnung ist standardmäßig deaktiviert. Es wird empfohlen, diese Einstellung auf der Basis pro Export anzugeben.

Sicherheitsvarianten Verfügbare Optionen sind UNIX (system), die Standardeinstellung, Kerberos5, Kerberos5 Integrity und Kerberos5 Privacy.

Einstellungen zur NFS-ExportperformanceSie können Einstellungen angeben, um die Performance von NFS-Exporten zu steuern.

In der folgenden Tabelle wird die Performancekategorie von Einstellungen für NFS-Exporte beschrieben:


Blockgröße Die Blockgröße, die zum Berechnen der Anzahl der Blöcke für NFSv3FSSTAT- und NFSv4GETATTR-Anforderungen verwendet wird. Der Standardwert ist 8192 bytes.

Commit Asynchronous Bei der Einstellung Yes können NFSv3- und NFSv4-COMMIT-Vorgänge asynchron ausgeführt werden. Der Standardwert ist No.

Directory Transfer Size Die bevorzugte Übertragungsgröße von Verzeichnislesezugriffen für NFSv3- und NFSv4-Clients. Der Standardwert ist 131072 bytes.

Read Transfer Max Size Die maximale Übertragungsgröße von Lesezugriffen für NFSv3- und NFSv4-Clients. Der Standardwert ist 1048576 bytes.

Read Transfer Multiple Die empfohlene Übertragungsgröße von Lesezugriffen mit Mehrfachmeldung an NFSv3- und NFSv4-Clients. Der Standardwert ist 512 bytes.

Read Transfer Preferred Size Die bevorzugte Übertragungsgröße von Lesezugriffen für NFSv3- und NFSv4-Clients. Der Standardwert ist 131072 bytes.

Setattr Asynchronous Bei der Einstellung Yes werden festgelegte Attributvorgänge asynchron durchgeführt. Der Standardwert ist No.

Write Datasync Action Die Aktion, die für DATASYNC-Schreibvorgänge durchzuführen ist. Der Standardwert ist DATASYNC.

Write Datasync Reply Die Antwort, die auf DATASYNC-Schreibvorgänge zu senden ist. Der Standardwert ist DATASYNC.

Write Filesync Action Die Aktion, die für FILESYNC-Schreibvorgänge durchzuführen ist. Der Standardwert ist FILESYNC.

Write Filesync Reply Die Antwort, die auf FILESYNC-Schreibvorgänge zu senden ist. Der Standardwert ist FILESYNC.

Write Transfer Max Size Die maximale Übertragungsgröße von Schreibzugriffen für NFSv3- und NFSv4-Clients. Der Standardwert ist 1048576 bytes.

Write Transfer Multiple Die empfohlene Übertragungsgröße von Schreibzugriffen für NFSv3- und NFSv4-Clients. Der Standardwert ist 512 bytes.

Write Transfer Preferred Die bevorzugte Übertragungsgröße von Schreibzugriffen für NFSv3- und NFSv4-Clients. Der Standardwert ist 524288.

Write Unstable Action Die Aktion, die für UNSTABLE-Schreibvorgänge durchzuführen ist. Der Standardwert ist UNSTABLE.

Write Unstable Reply Die Antwort, die auf UNSTABLE-Schreibvorgänge zu senden ist. Der Standardwert ist UNSTABLE.


NFS

172 Dateifreigabe

Zugehörige Tasks


Einstellungen für die NFS-ExportclientkompatibilitätDie Einstellungen für die NFS-Exportclientkompatibilität wirken sich auf die Anpassung von NFS-Exporten aus.

Diese Einstellungen sind in der folgenden Tabelle beschrieben.

Zulässige Werte Einstellungswert

Max File Size Gibt die maximal zulässige Dateigröße an. Diese Einstellung ist informativ und wird in einer Antwort auf eine NFSv3 FSINFO- oder NFSv4 GETATTR-Anforderung an den Client zurückgegeben. Der Standardwert ist 9223372036854776000 bytes.

Readdirplus Enable Ermöglicht die Verwendung des NFSv3 readdirplus-Service, bei dem ein Client eine Anforderung senden kann und erweiterte Informationen zum Verzeichnis und den Dateien im Export erhält. Der Standardwert ist Yes.

Return 32 bit File IDs Gibt Rückgabe-32-Bit-Datei-IDs für den Client an. Der Standardwert ist No.


NFS

Zugehörige Tasks


Einstellungen zum NFS-ExportverhaltenDie Einstellungen für das NFS-Exportverhalten steuern, ob NFS-Clients bestimmte Funktionen auf dem NFS-Server ausführen können, beispielsweise das Festlegen der Zeit.

In der folgenden Tabelle sind die Einstellungen für das NFS-Exportverhalten beschrieben.


Can Set Time Wenn diese Einstellung aktiviert ist, lässt OneFS zu, dass der NFS-Client verschiedene Zeitattribute auf dem NFS-Server festlegen kann. Der Standardwert ist Yes.

Codierung Setzt die allgemeinen Codierungseinstellungen, die das Cluster für den Export hat, außer Kraft. Der Standardwert ist DEFAULT.

Map Lookup UID Abfrage von eingehenden Benutzer-IDs (UIDs) in der lokalen Authentifizierungsdatenbank. Der Standardwert ist No.

Symlinks Informiert den NFS-Client, das das Dateisystem symbolische Linkdateitypen unterstützt. Der Standardwert ist Yes.

Time Delta Legt die Granularität der Serveruhr fest. Der Standardwert ist 1e-9 seconds (0,000000001 Sekunde).


NFS

Zugehörige Tasks


Dateifreigabe 173

Managen von NFS-AliasseSie können NFS-Aliasse erstellen, um Exporte zu vereinfachen, mit denen Clients sich verbinden. Ein NFS-Alias ordnet einen absoluten Pfad zu einem einfachen Verzeichnispfad zu.

Angenommen, Sie haben einen NFS-Export unter /ifs/data/hq/home/archive/first-quarter/finance erstellt. Sie können das Alias /finance1 erstellen, um es diesem Verzeichnispfad zuzuordnen.

NFS-Aliasse können in jeder beliebigen Zugriffszone, einschließlich der Systemzone, erstellt werden.

Erstellen eines NFS-AliasSie können ein NFS Alias erstellen, um einen langen Verzeichnispfad einem einfachen Pfadnamen zuzuordnen.

Aliasse müssen als einfacher Verzeichnispfad im Unix-Stil gebildet werden, beispielsweise /home.

1. Wählen Sie Protocols > UNIX Sharing (NFS) > NFS Aliases aus.

2. Klicken Sie auf Create Alias.

3. Geben Sie im Feld Alias Name einen Namen für den Alias ein.

Der Aliasname muss als einfacher Pfad im UNIX-Stil gebildet werden, zum Beispiel /home.

4. Geben Sie im Feld Path den vollständigen Pfad ein, mit dem der Alias verknüpft werden soll, oder klicken Sie auf Browse, um nach dem Pfad zu suchen.

Wenn Sie Zugriffszonen in OneFS eingerichtet haben, muss der vollständige Pfad mit dem Stamm der aktuellen Zugriffszone beginnen.

5. Klicken Sie auf Create Alias.

Der Name, Status und Pfad des neuen Aliasnamens werden oben in der ListeNFS Aliases angezeigt.

Ändern eines NFS-AliasSie können einen NFS-Alias ändern.


2. Suchen Sie in der Liste NFS Aliases den Alias, den Sie ändern möchten, und klicken Sie dann auf View/Edit.

3. Klicken Sie im Dialogfeld View Alias Details auf Edit Alias.

4. Geben Sie im Feld Alias Name einen Namen für den Alias ein.

Der Aliasname muss als einfacher Pfad im UNIX-Stil gebildet werden, zum Beispiel /home.

5. Geben Sie im Feld Path den vollständigen Pfad ein, mit dem der Alias verknüpft werden soll, oder klicken Sie auf Browse, um nach dem Pfad zu suchen.

Wenn Sie Zugriffszonen in OneFS eingerichtet haben, muss der vollständige Pfad mit dem Stamm der aktuellen Zugriffszone beginnen.

6. Klicken Sie auf Save Changes.Das Dialogfeld View Alias Details wird angezeigt und eine Meldung weist darauf hin, dass die Änderung erfolgreich war.


Der geänderte Name, Status und Pfad des Alias werden in der Liste NFS Aliases angezeigt.

Löschen eines NFS-AliasSie können einen NFS-Alias ändern.

Wenn ein NFS-Alias einem NFS-Export zugeordnet ist, kann das Löschen des Alias die Verbindung von Clients trennen, die den Alias verwendet haben, um den Exportvorgang zu mounten.


2. Aktivieren Sie das Kontrollkästchen für den Alias, den Sie löschen möchten, und klicken Sie auf More.

3. Klicken Sie auf Delete.Das Dialogfeld Confirm Delete wird angezeigt.

4. Klicken Sie auf Delete.Der Alias wird aus der Liste NFS Aliases entfernt.

174 Dateifreigabe

Auflisten von NFS-AliasenSie können eine Liste von NFS-Aliassen anzeigen, die bereits für eine bestimmte Zone definiert wurden. Aliasse werden standardmäßig in der Systemzone aufgeführt.

• Wählen Sie Protocols > UNIX Sharing (NFS) > NFS Aliases aus.Die Liste NFS Aliases wird mit allen Aliasen für die aktuelle Zugriffszone angezeigt. Die Namen, Status und Pfade für alle Aliase werden angezeigt.

Anzeigen eines NFS-AliasSie können die Einstellungen für einen NFS-Alias anzeigen.


2. Aktivieren Sie das Kontrollkästchen für den Alias, den Sie anzeigen möchten, und klicken Sie auf View/Edit.Im Dialogfeld View Alias Details werden die mit dem Alias verknüpften Einstellungen angezeigt.

3. Wenn Sie das Anzeigen des Alias abschließen möchten, klicken Sie auf Close.

FTPOneFS bietet mit vsftpd einen sicheren FTP-Service, wobei vsftpd für Very Secure FTP Daemon steht. Diesen können Sie für Standard-FTP- und FTPS-Dateiübertragungen konfigurieren.

Zugehörige Tasks

Aktivieren und Konfigurieren von FTP-Dateifreigaben

Aktivieren und Konfigurieren von FTP-DateifreigabenSie können den FTP-Service so einrichten, dass jeder Node im Cluster über ein Standardbenutzerkonto auf FTP-Anforderungen reagiert.

Sie können die Übertragung von Dateien zwischen Remote-FTP-Servern sowie einen anonymen FTP-Service auf der Stammebene aktivieren, indem Sie einen lokalen Benutzer namens „anonymous“ oder „ftp“ erstellen.

Achten Sie bei der Konfiguration des FTP-Zugriffs darauf, dass der angegebene FTP-Stamm das Stammverzeichnis des Benutzers ist, der sich anmeldet. Beispielsweise lautet der FTP-Stamm für den lokalen Benutzer ifs/home/jsmith.

1. Klicken Sie auf Protocols > FTP Settings.

2. Wählen Sie im Bereich Service die Option Enable FTP Service aus.

3. Wählen Sie im Bereich Settings eine oder mehrere der folgenden Optionen aus:

Option Beschreibung

Aktivieren des anonymen Zugriffs Ermöglicht Benutzern mit den Benutzernamen „anonymous“ oder „ftp“ den Zugriff auf Dateien und Verzeichnisse, ohne dass eine Authentifizierung erforderlich ist. Diese Einstellung ist standardmäßig deaktiviert.

Aktivieren des lokalen Zugriffs Ermöglicht lokalen Benutzern den Zugriff auf Dateien und Verzeichnisse mit ihrem lokalen Benutzernamen und Passwort sowie den Upload von Dateien direkt über das Dateisystem. Diese Einstellung ist standardmäßig aktiviert.

Aktivieren von Server-zu-Server-Übertragungen

Ermöglicht die Übertragung von Dateien zwischen zwei Remote-FTP-Servern. Diese Einstellung ist standardmäßig deaktiviert.



FTP

HTTP und HTTPSOneFS enthält einen konfigurierbaren HTTP-Service (Hypertext Transfer Protocol), mit dem Dateien angefordert werden, die auf dem Cluster gespeichert sind. Außerdem wird der Service für die Interaktion mit der Webverwaltungsschnittstelle verwendet.

Dateifreigabe 175

OneFS unterstützt sowohl HTTP als auch dessen sichere Variante HTTPS. Jeder Node im Cluster führt eine Instanz des Apache-HTTP-Webservers aus, um HTTP-Zugriff bereitzustellen. Sie können den HTTP-Service so konfigurieren, dass er in verschiedenen Modi ausgeführt wird.

Für die Dateiübertragung werden HTTP und HTTPS unterstützt, für API-Aufrufe wird jedoch nur HTTPS unterstützt. Die reine HTTPS-Anforderung gilt auch für die Webverwaltungsschnittstelle. Darüber hinaus unterstützt OneFS eine Form des webbasierten Protokolls DAV (WebDAV), mit dem Benutzer Dateien auf Remotewebservern ändern und managen können. OneFS führt Distributed Authoring durch, unterstützt jedoch keine Versionierung und führt keine Sicherheitsprüfungen durch. Sie können DAV in der Webverwaltungsschnittstelle aktivieren.

Zugehörige Tasks

Aktivieren und Konfigurieren von HTTP

Aktivieren und Konfigurieren von HTTPSie können HTTP und DAV so konfigurieren, dass Benutzer Dateien über Remotewebserver gemeinsam bearbeiten und managen können. Sie können diese Aufgabe nur über die OneFS-Webverwaltungsschnittstelle durchführen.

1. Klicken Sie auf Protocols > HTTP Settings.

2. Wählen Sie unter Service eine der folgenden Einstellungen aus:

Option Beschreibung

Enable HTTP Ermöglicht HTTP-Zugriff für die Verwaltung des Clusters und das Durchsuchen des Clusterinhalts

Disable HTTP and redirect to the OneFS Web Administration interface

Ermöglicht nur den Administratorzugriff auf die Webverwaltungsschnittstelle. Dies ist die Standardeinstellung.

Disable HTTP Schließt den HTTP-Port, der für den Dateizugriff verwendet wird. Benutzer können weiterhin auf die Webverwaltungsschnittstelle zugreifen, indem sie die Portnummer in der URL angeben. Der Standardport ist 8080.

3. Geben Sie im Bereich Protocol Settings in das Feld Document root directory einen Pfadnamen ein oder klicken Sie auf Browse, um zu einem vorhandenen Verzeichnis unter /ifs zu navigieren.

ANMERKUNG: Der HTTP-Server wird als Daemon-Benutzer und -Gruppe ausgeführt. Um Zugriffskontrollen korrekt

durchzusetzen, müssen Sie dem Daemon-Nutzer oder der Daemon-Gruppe Lesezugriff auf sämtliche Dateien unter

dem Dokumentstamm gewähren und dem HTTP-Server das Durchlaufen des Dokumentstamms ermöglichen.

4. Wählen Sie im Bereich Authentication Settings in der Liste HTTP Authentication eine Authentifizierungseinstellung aus:

Option Beschreibung

Aus Deaktiviert die HTTP-Authentifizierung

Basic Authentication Only Aktiviert die grundlegende HTTP-Authentifizierung. Nutzeranmeldedaten werden im Klartext gesendet.

Integrated Authentication Only

Aktiviert die HTTP-Authentifizierung über NTLM, Kerberos oder beides

Integrated and Basic Authentication

Aktiviert die grundlegende und integrierte Authentifizierung

Basic Authentication with Access Controls

Aktiviert die HTTP-Basisauthentifizierung und aktiviert den Apache-Webserver zur Ausführung von Zugriffsprüfungen

Integrated Authentication with Access Controls

Aktiviert die integrierte HTTP-Authentifizierung über NTLM und Kerberos und aktiviert den Apache-Webserver zur Ausführung von Zugriffsprüfungen

Integrated and Basic Authentication with Access Controls

Aktiviert die HTTP-Basis- und die integrierte Authentifizierung und aktiviert den Apache-Webserver zur Ausführung von Zugriffsprüfungen

5. Wählen Sie Enable WebDAV aus, damit mehrere Nutzer Dateien über Remotewebserver gemeinsam managen und ändern können.

6. Wählen Sie Enable access logging aus.


176 Dateifreigabe


HTTP und HTTPS

Dateifreigabe 177

DateifilterDieser Abschnitt enthält die folgenden Themen:

Themen:

• Dateifilter in einer Zugriffszone• Aktivieren und Konfigurieren von Dateifiltern in einer Zugriffszone• Ändern der Dateifiltereinstellungen in einer Zugriffszone• Anzeigen von Dateifiltereinstellungen

Dateifilter in einer ZugriffszoneSie können in einer Zugriffszone Dateifilter verwenden, um je nach Dateityp Schreibvorgänge zuzulassen oder zu verweigern.

Wenn bestimmte Dateitypen auf dem Cluster Durchsatzprobleme, Sicherheitsprobleme, Unordnung im Speicher oder Produktivitätsunterbrechungen verursachen oder wenn Ihr Unternehmen bestimmte Datei-Policies einhalten muss, können Sie Schreibvorgänge auf bestimmte Dateitypen beschränken oder Schreibvorgänge nur an einer bestimmten Liste von Dateitypen zulassen. Wenn Sie Dateifilter in einer Zugriffszone aktivieren, wendet OneFS Dateifilterregeln nur auf die Dateien in dieser Zugriffszone an.

• Wenn Sie Dateischreibvorgänge verweigern möchten, können Sie die Erweiterung für die Dateitypen angeben, die nicht beschrieben werden sollen. OneFS lässt dann das Schreiben auf alle anderen Dateitypen zu.

• Wenn Sie Dateischreibvorgänge zulassen möchten, können Sie die Erweiterung für die Dateitypen angeben, die beschrieben werden dürfen. OneFS verweigert dann Schreibvorgänge an alle anderen Dateitypen.

OneFS berücksichtigt beim Anwenden von Filterregeln nicht, welches Dateifreigabeprotokoll für die Verbindung zur Zugriffszone verwendet wurde. Sie können aber auf Ebene der SMB-Share zusätzliche Dateifilter anwenden. Siehe „SMB-Dateifilter“ im Kapitel Dateifreigabe dieses Handbuchs.

Aktivieren und Konfigurieren von Dateifiltern in einer ZugriffszoneSie können Dateifilter pro Zugriffszone einrichten und angeben, für welche Dateitypen in der Zugriffszone der Schreibzugriff für Benutzer verweigert oder zugelassen wird.

1. Klicken Sie auf Access > File Filter.

2. Wählen Sie in der Liste Current Access Zone die Zugriffszone aus, auf die Sie Filter anwenden möchten.

3. Wählen Sie Enable file filters aus.

4. Wählen Sie in der Liste File Extensions eine der folgenden Filtermethoden aus:

• Deny writes for list of file extensions• Allow writes for list of file extensions

5. Klicken Sie auf Add file extensions.Das Dialogfeld Add File Extensions wird angezeigt.

6. Geben Sie im Feld File Extensions die Dateierweiterung für den Dateityp ein, den Sie filtern möchten.

Die Erweiterung muss mit „.“ beginnen, wie z. B. .txt.

7. Optional: Klicken Sie auf Add file extensions, um mehrere Erweiterungen einzugeben.

8. Klicken Sie auf Add Extensions..



Dateifilter in einer Zugriffszone

11

178 Dateifilter

Ändern der Dateifiltereinstellungen in einer ZugriffszoneSie können die Dateifiltereinstellungen ändern, indem Sie die Filtermethode ändern oder die Dateierweiterungen bearbeiten.


2. Wählen Sie in der Drop-down-Liste Current Access Zone die Zugriffszone aus, in der Sie Änderungen vornehmen möchten.

3. Um Dateifilter in der Zugriffszone zu deaktivieren, deaktivieren Sie das Kontrollkästchen Enable file filters.

4. Wählen Sie aus der Liste File Extensions eine der folgenden Filtermethoden aus, um die Dateifiltermethode zu ändern:

• Deny writes for list of file extensions• Allow writes for list of file extensions

5. Um eine Dateinamenerweiterung hinzuzufügen, klicken Sie auf Add file extensions, geben Sie die Dateinamenerweiterung ein und klicken Sie dann auf Add Extensions.

6. Um eine Dateinamenerweiterung zu entfernen, klicken Sie neben der Erweiterung, die gelöscht werden soll, auf die Schaltfläche Remove Filter.



Dateifilter in einer Zugriffszone

Anzeigen von DateifiltereinstellungenSie können die Dateifiltereinstellungen in einer Zugriffszone anzeigen.


2. Wählen Sie in der Drop-down-Liste Current Access Zone die Zugriffszone aus, in der Sie Änderungen vornehmen möchten.Die Einstellungen für die ausgewählte Zugriffszone werden auf der Registerkarte File Filter Settings angezeigt.

Dateifilter 179

AuditingDieser Abschnitt enthält die folgenden Themen:

Themen:

• Auditingüberblick• Syslog• Protokollauditevents• Unterstützte Audittools• Bereitstellen von Protokollauditereignissen auf mehreren CEE-Servern• Unterstützte Eventtypen• Beispiel für Auditprotokoll• Managen von Auditeinstellungen• Integrieren in Common Event Enabler• Nachverfolgen der Bereitstellung von Protokollauditereignissen

AuditingüberblickSie können Audits für Systemkonfigurationsänderungen und Protokollaktivitäten auf einem Isilon-Cluster durchführen. Alle Auditdaten werden im Dateisystem des Clusters gespeichert und geschützt und nach Auditthemen organisiert.

Durch Auditing können viele potenzielle Quellen für Datenverlust erkannt werden, darunter betrügerische Aktivitäten, unangemessene Berechtigungen und unbefugte Zugriffsversuche. Kunden in Branchen wie dem Finanzsektor, Gesundheitswesen, Life Sciences, Medien und Unterhaltung sowie staatliche Einrichtungen müssen strenge gesetzliche Auflagen erfüllen, die dazu dienen, diese Quellen für Datenverlust zu vermeiden.

Beim Systemkonfigurationsauditing werden alle Konfigurationsereignisse verfolgt und aufgezeichnet, die von der OneFS-HTTP-API verarbeitet werden. Der Prozess umfasst das Auditing der Befehlszeilenoberfläche (CLI), der Webverwaltungsoberfläche und der OneFS-APIs. Wenn Sie das Systemkonfigurationsauditing aktivieren, ist keine weitere Konfiguration erforderlich. Systemkonfigurations-Auditingereignisse werden in den config-Auditthemaverzeichnissen gespeichert.

Das Protokollauditing verfolgt und speichert über die Protokollverbindungen SMB, NFS und HDFS durchgeführte Aktivitäten. Sie können das Protokollauditing für eine oder mehrere Zugriffszonen in einem Cluster aktivieren und konfigurieren. Wenn Sie das Protokollauditing für eine Zugriffszone aktivieren, werden Dateizugriffsevents des SMB-, NFS- und HDFS-Protokolls in den Protokoll-Auditthemaverzeichnissen gespeichert. Sie können angeben, welche Ereignisse in jeder Zugriffszone protokolliert werden sollen. Sie können beispielsweise den Standardsatz der protocol-Ereignisse in der Systemzugriffszone, in einer anderen Zugriffszone jedoch nur erfolgreich durchgeführte Dateilöschungen prüfen.

Die Auditevents werden auf den einzelnen Nodes protokolliert, auf denen der SMB-, NFS- oder HDFS-Client die Aktivität initiiert hat. Die Ereignisse werden dann in einer Binärdatei unter /ifs/.ifsvar/audit/logs gespeichert. Die Protokolle werden automatisch in eine neue Datei übertragen, nachdem die Größe 1 GB erreicht hat. Die Protokolle werden dann komprimiert, um den Speicherplatz zu reduzieren.

Die Auditprotokolldatei protocol kann von Auditinganwendungen verwendet werden, die CEE (Common Event Enabler) von EMC unterstützen.

SyslogSyslog ist ein Protokoll, das für die Übermittlung bestimmter Ereignisbenachrichtigungsmeldungen verwendet wird. Sie können einen Isilon-Cluster so konfigurieren, dass Auditereignisse protokolliert und über den syslog-Weiterleiter an syslog weitergeleitet werden.

Standardmäßig werden alle Protokollereignisse, die auf einem bestimmten Node auftreten, an die Datei /var/log/audit_protocol.log weitergeleitet, unabhängig von der Zugriffszone, aus der das Ereignis stammt. Alle Konfigurationsauditereignisse werden standardmäßig in /var/log/audit_config.log protokolliert.

12

180 Auditing

syslog wird mit einer Identität konfiguriert, die vom Typ des gesendeten Auditereignisses abhängig ist. Es nutzt die Facility daemon und den Prioritätslevel info. Die Protokollauditereignisse werden mit der Identität audit_protocol in syslog protokolliert. Die Konfigurationsauditereignisse werden mit der Identität audit_config in syslog protokolliert.

Um das Auditing auf einem Isilon-Cluster zu konfigurieren, müssen Sie entweder ein Root-Nutzer sein oder über eine Administratorrolle verfügen, die Auditingberechtigungen (ISI_PRIV_AUDIT) umfasst.

Syslog-WeiterleitungDer Syslog-Weiterleiter ist ein Daemon, der bei Aktivierung Konfigurationsänderungen und Protokollauditereignisse in einer Zugriffszone abruft und die Ereignisse an Syslog weiterleitet. Nur benutzerdefinierte erfolgreiche und fehlgeschlagene Auditereignisse können an Syslog weitergeleitet werden.

Auf jedem Node wird ein Syslog-Auditweiterleitungs-Daemon ausgeführt, der Auditereignisse an den Syslog-Daemon desselben Node protokolliert.

ProtokollauditeventsStandardmäßig werden in überwachten Zugriffszonen nur bestimmte Ereignisse im Isilon-Cluster nachverfolgt. Dazu gehören erfolgreiche und fehlgeschlagene Versuche des Zugriffs auf Dateien und Verzeichnisse.

Die folgenden Ereignisse werden standardmäßig nachverfolgt: create, close, delete, rename und set_security.

Die Namen von erzeugten Events basieren im Allgemeinen auf dem Windows-Modell des I/O-Anforderungspakets (IRP), bei dem alle Vorgänge mit einem Erstellungsevent zum Erhalt eines Datei-Handle beginnen. Ein Erstellungsevent ist vor allen I/O-Vorgängen erforderlich, einschließlich der folgenden Events: close, create, delete, get_security, read, rename, set_security und write. Ein Schließevent markiert, wenn der Client den Datei-Handle beendet hat, der durch ein Erstellungsevent produziert wurde.

ANMERKUNG: Bei den NFS- und HDFS-Protokollen sind die Umbenennungs- und Löschevents möglicherweise nicht in

die Erstellungs- und Schließevents eingeschlossen.

Diese intern gespeicherten Ereignisse werden in Ereignisse konvertiert, die über CEE an die Auditanwendung weitergeleitet werden. Die CEE-Exportfunktionen in OneFS führen diese Zuordnung durch. CEE kann verwendet werden, um zu jeder Drittanbieteranwendung, die CEE unterstützt, eine Verbindung herzustellen.

ANMERKUNG: CEE bietet keine Unterstützung für die Weiterleitung von HDFS-Protokollereignissen an eine

Drittanbieteranwendung.

Unterschiedliche SMB-, NFS- und HDFS-Clients geben unterschiedliche Anforderungen aus und eine bestimmte Version einer Plattform wie Windows oder Mac OS X, die SMB verwendet, unterscheidet sich möglicherweise von anderen. Außerdem können auch verschiedene Versionen einer Anwendung wie Microsoft Word oder Windows Explorer unterschiedliche Protokollanforderungen stellen. Beispielsweise erzeugt ein Client mit einem offenen Windows Explorer-Fenster mitunter viele Ereignisse, wenn dieses Fenster automatisch oder manuell aktualisiert wird. Anwendungen geben Anforderungen mit den Anmeldedaten des angemeldeten Benutzers aus. Gehen Sie jedoch nicht davon aus, dass alle Anforderungen zielgerichtete Benutzeraktionen sind.

Bei Aktivierung verfolgt das OneFS-Audit alle Änderungen nach, die an den Dateien und Verzeichnissen in SMB Shares, NFS-Exporten und HDFS-Daten durchgeführt werden.

Zugehörige Tasks

Aktivieren von Protokollzugriffsaudits

Konfigurieren von Protokolleventfiltern

Unterstützte AudittoolsSie können OneFS so konfigurieren, dass Auditprotokolle an Server gesendet werden, die Common Event Enabler (CEE) unterstützen.

CEE wurde für eine ordnungsgemäße Funktionsweise mit verschiedenen Softwaredrittanbietern getestet und verifiziert.ANMERKUNG: Es wird empfohlen, Auditanwendungen von Drittanbietern zu installieren und zu konfigurieren, bevor Sie

die Auditingfunktion von OneFS aktivieren. Andernfalls werden alle protokollierten Ereignisse an die Auditanwendung

weitergeleitet und ein großer Rückstau führt zu einer Verzögerung beim Empfang der aktuellen Ereignisse.

Auditing 181

Bereitstellen von Protokollauditereignissen auf mehreren CEE-ServernOneFS unterstützt die gleichzeitige Bereitstellung von Protokollauditereignissen auf mehreren CEE-Servern, auf denen der CEE-Service ausgeführt wird.

Sie können bis zu 20 HTTP-1.1-Verbindungen zwischen einer Untergruppe von CEE-Servern herstellen. Jeder Node in einem Isilon-Cluster kann bis zu 5 CEE-Server für die Bereitstellung auswählen. Die CEE-Server werden in einer globalen Konfiguration gemeinsam verwendet und werden durch das Hinzufügen der URIs der einzelnen Server zur OneFS-Konfiguration mit OneFS konfiguriert.

Nach dem Konfigurieren der CEE-Server wählt ein Node in einem Isilon-Cluster automatisch die CEE-Server aus einer sortierten Liste mit CEE-URIs aus. Die Server werden beginnend mit dem Offset der logischen Node-Nummern des Node innerhalb der sortierten Liste ausgewählt. Wenn ein CEE-Server nicht verfügbar ist, wird der nächste verfügbare Server in der sortierten Reihenfolge ausgewählt. Alle Verbindungen werden gleichmäßig auf die ausgewählten Server verteilt. Wenn ein Node verschoben wird, weil ein CEE-Server zuvor nicht verfügbar war, wird die Verfügbarkeit des CEE-Servers alle 15 Minuten geprüft. Sobald der CEE-Server verfügbar ist, wird der Node zurück verschoben.

Befolgen Sie vor der Konfiguration der CEE-Server einige der folgenden Best Practices:

• Wir empfehlen, dass Sie nur einen CEE-Server pro Node bereitstellen. Zusätzliche CEE-Server über die Größe des Isilon-Clusters hinaus können Sie nur verwenden, wenn der ausgewählte CEE-Server offline geht.

ANMERKUNG: In einer globalen Konfiguration sollte ein CEE-Server pro Node vorhanden sein.

• Das Konfigurieren des CEE-Servers und das Aktivieren des Protokollauditings sollte gleichzeitig erfolgen. Andernfalls wird möglicherweise ein Rückstand von Ereignissen angesammelt, was für eine gewisse Zeit zu einer verzögerten Bereitstellung führt.

Sie können entweder eine globale Ansicht des Fortschritts bei der Bereitstellung der Protokollauditereignisse oder eine Ansicht der logischen Node-Nummern des Fortschritts erhalten, indem Sie den Befehl isi audit progress view ausführen.

Unterstützte EventtypenSie können die Eventtypen anzeigen oder ändern, die in einer Zugriffszone geprüft werden.

Eventname Beispielprotokollaktivität Standardmäßig überprüft Kann über CEE exportiert werden

Kann nicht über CEE exportiert werden

create • Datei oder Verzeichnis erstellen

• Datei, Verzeichnis oder Freigabe öffnen

• Freigabe mounten• Datei löschen

ANMERKUNG: Während das SMB-Protokoll das Festlegen einer Datei zum Löschen beim Erstellvorgang ermöglicht, müssen Sie das Löschevent aktivieren, damit das Auditingtool das Event protokollieren kann.

X X

close • Verzeichnis schließen• Geänderte oder nicht

geänderte Datei schließen

X X

rename Datei oder Verzeichnis umbenennen

X X

löschen Datei oder Verzeichnis löschen X X

182 Auditing

Eventname Beispielprotokollaktivität Standardmäßig überprüft Kann über CEE exportiert werden

Kann nicht über CEE exportiert werden

set_security Versuch, Datei- oder Verzeichnisberechtigungen zu ändern

X X

read Die erste Leseanforderung auf einen geöffneten Datei-Handle

X

write Die erste Schreibanforderung auf einen geöffneten Datei-Handle

X

get_security Client liest Sicherheitsinformationen für einen geöffneten Datei-Handle

X

logon Anforderung zum Erstellen einer SMB-Sitzung von einem Client

X

logoff Abmelden von der SMB-Sitzung X

tree_connect Erster Versuch von SMB, auf eine Freigabe zuzugreifen

X

Beispiel für AuditprotokollSie können sowohl Konfigurations- als auch Protokollauditprotokolle anzeigen, indem Sie den Befehl isi_audit_viewer auf einem beliebigen Node im Isilon-Cluster ausführen.

Auditprotokolle für den Protokollzugriff können Sie durch das Ausführen des Befehls isi_audit_viewer -t protocol anzeigen. Systemkonfigurationsprotokolle können Sie durch das Ausführen des Befehls isi_audit_viewer -t config anzeigen. Die folgende Ausgabe ist ein Beispiel für ein Systemkonfigurationsprotokoll:

[0: Fri Jan 23 16:17:03 2015] {"id":"524e0928-a35e-11e4-9d0c-005056302134","timestamp":1422058623106323,"payload":"PAPI config logging started."}

[1: Fri Jan 23 16:17:03 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058623112992,"payload":{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/protocols/smb/shares","method":"POST","args":"","body":{"path": "/ifs/data", "name": "Test"}}}

[2: Fri Jan 23 16:17:05 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058625144567,"payload":{"status":201,"statusmsg":"Created","body":{"id":"Test"}}}

[3: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659345539,"payload":{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/audit/settings","method":"PUT","args":"","body":{"config_syslog_enabled": true}}}

[4: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659387928,"payload":{"status":204,"statusmsg":"No Content","body":{}}}Konfigurationsauditereignisse finden paarweise statt. Ein Vorabereignis wird protokolliert, bevor der Befehl ausgeführt wird, und ein Folgeereignis wird protokolliert, nachdem das Ereignis ausgelöst wurde. Protokollauditereignisse werden als Folgeereignisse protokolliert, nachdem ein Vorgang ausgeführt wurde. Konfigurationsauditereignisse können zueinander in Beziehung gesetzt werden, indem das Feld id abgeglichen wird.

Das Vorabereignis steht immer an erster Stelle und enthält Benutzertokeninformationen, den PAPI-Pfad sowie alle Argumente, die an den PAPI-Aufruf weitergegeben wurden. Bei Ereignis 1 wurde eine POST-Anforderung an /1/protocols/smb/shares mit den Argumenten path=/ifs/data und name=Test gestellt. Das Folgeereignis enthält den HTTP-Rückgabestatus und alle vom Server zurückgegebenen Ausgaben.

Auditing 183

Managen von AuditeinstellungenSie können die Auditeinstellungen für Systemkonfiguration und Protokollzugriff aktivieren und deaktivieren sowie die Integration in Common Event Enabler konfigurieren.

Aktivieren von ProtokollzugriffsauditsSie können den SMB-, NFS- und HDFS-Protokollzugriff pro Zugriffszone überprüfen und optional die erzeugten Ereignisse an CEE (Common Event Enabler) zum Export an Produkte von Drittanbietern weiterleiten.

ANMERKUNG: Da jedes überwachte Ereignis Systemressourcen verbraucht, wird empfohlen, nur Zonen für Ereignisse

zu konfigurieren, die von Ihrer Auditanwendung benötigt werden. Darüber hinaus wird empfohlen, Auditanwendungen

von Drittanbietern zu installieren und zu konfigurieren, bevor Sie die Auditingfunktion von OneFS aktivieren. Andernfalls

führt der große, von dieser Funktion verursachte Rückstand möglicherweise dazu, dass Ergebnisse über einen

erheblichen Zeitraum nicht aktualisiert werden.

1. Klicken Sie auf Cluster Management > Auditing.

2. Aktivieren Sie im Bereich Settings das Kontrollkästchen Enable Protocol Access Auditing.

3. Klicken Sie im Bereich Audited Zones auf Add Zones.

4. Aktivieren Sie im Dialogfeld Select Access Zones das Kontrollkästchen für eine oder mehrere Zugriffszonen und klicken Sie dann auf Add Zones.

5. Optional: Geben Sie im Bereich Event Forwarding einen oder mehrere CEE-Server an, an die protokollierte Ereignisse weitergeleitet werden sollen.

a) Geben Sie im Feld CEE Server URIs den URI jedes CEE-Servers im CEE-Serverpool ein.

Der CEE-Exportservice von OneFS nutzt beim Exportieren von Ereignissen an mehrere CEE-Server den Round-Robin-Lastenausgleich. Gültige URIs beginnen mit http:// und enthalten die Portnummer und den Pfad zum CEE-Server, z. B. http://example.com:12228/cee.

b) Geben Sie im Feld Storage Cluster Name den Namen des Speicherclusters an, das beim Weiterleiten von Protokollevents verwendet werden soll.

Dieser Namenswert ist in der Regel der SmartConnect-Zonenname. In Fällen, in denen SmartConnect nicht implementiert ist, muss der Wert mit dem Hostnamen des Clusters übereinstimmen, wie er von der Drittanbieteranwendung erkannt wird. Wenn das Feld leer gelassen wird, werden Events von jedem Node mit dem Node-Namen (Clustername + lnn) ausgefüllt. Diese Einstellung ist nur erforderlich, wenn dies von der Auditanwendung des Drittanbieters benötigt wird.

ANMERKUNG: Obgleich dieser Schritt optional ist, sollten Sie beachten, dass sich ein Rückstand von Events

ansammelt, unabhängig davon, ob CEE-Server konfiguriert wurden oder nicht. Wenn diese Option konfiguriert

ist, beginnt die CEE-Weiterleitung mit den ältesten Events im Rückstand und arbeitet diese nach dem FIFO-

Prinzip (First-in-First-out) bis hin zum neuesten Event ab.


Die folgenden Protokollereignisse werden standardmäßig für überwachte Zugriffszonen erfasst: create, close, delete, rename und set_security. Sie können die Gruppe von Ereignissen ändern, die in einer Zugriffszone geprüft werden, indem Sie in der Befehlszeilenoberfläche den Befehl isi audit settings modify ausführen. Da jedes geprüfte Event Systemressourcen verbraucht, sollten Sie nur Zonen für Events konfigurieren, die von Ihrer Auditanwendung benötigt werden.

Sie können den Typ der Protokollzugriffsereignisse, die geprüft werden, durch Ausführen des Befehls isi audit settings modify ändern. Außerdem können Sie die Weiterleitung von Protokollzugriffsereignissen an syslog aktivieren, indem Sie den Befehl isi audit settings modify mit der Option --syslog-forwarding-enabled ausführen. Diese Verfahren sind nur über die Befehlszeilenoberfläche verfügbar.


Protokollauditevents

Zugehörige Tasks

Weiterleiten von Protokollzugriffsevents an syslog

184 Auditing

Weiterleiten von Protokollzugriffsevents an syslogSie können die Weiterleitung von überprüften Protokollzugriffsevents an Syslog in jeder Zugriffszone aktivieren oder deaktivieren. Wenn die Protokollzugriffsprüfung aktiviert ist, ist die Weiterleitung standardmäßig nicht aktiviert. Dieses Verfahren ist nur über die Befehlszeilenoberfläche verfügbar.

Um die Weiterleitung von Protokollzugriffsevents in einer Zugriffszone zu aktivieren, müssen Sie zunächst die Protokollzugriffsprüfung in der Zugriffszone aktivieren.

Mit den Optionen --audit-success und --audit-failure definieren Sie die Eventtypen, die geprüft werden, und mit der Option --syslog-audit-events die Eventtypen, die an Syslog weitergeleitet werden. Es können nur überprüfte Eventtypen an Syslog weitergeleitet werden. Wenn die Syslog-Weiterleitung aktiviert ist, werden die Protokollzugriffsevents in die Datei /var/log/audit_protocol.log geschrieben.


2. Führen Sie den Befehl isi audit settings modify mit der Option --syslog-forwarding-enabled aus, um Audit-Syslog zu aktivieren oder zu deaktivieren.Mit dem folgenden Befehl können Sie die Weiterleitung der überprüften Protokollzugriffsevents in Zugriffszone zone3 aktivieren und angeben, dass die einzigen Eventtypen für die Weiterleitung Schließ-, Erstellungs- und Löscherevents sein sollen:

isi audit settings modify --syslog-forwarding-enabled=yes --syslog-audit-events=close,create,delete --zone=zone3

Mit dem folgenden Befehl wird die Weiterleitung von überprüften Protokollzugriffsevents aus Zugriffszone zone3 deaktiviert:

isi audit settings modify --syslog-forwarding-enabled=no --zone=zone3


Syslog

Syslog-Weiterleitung

Aktivieren von SystemkonfigurationsauditsOneFS kann ein Audit für Systemkonfigurationsereignisse auf dem Isilon-Cluster durchführen. Alle Konfigurationsereignisse, die von der API verarbeitet werden, einschließlich Schreibvorgängen, Änderungen und Löschvorgängen, werden in den config-Auditthemenverzeichnissen nachverfolgt und gespeichert. Wenn Sie das Systemkonfigurationsauditing aktivieren oder deaktivieren, ist keine weitere Konfiguration erforderlich.

Konfigurationsereignisse werden nur in /var/log/audit_config.log protokolliert, wenn Sie die syslog-Weiterleitung für das Konfigurations-Audit aktiviert haben. Konfigurationsänderungsprotokolle werden im config-Thema im Audit-Back-end-Speicher unter /ifs/.ifsvar/audit erstellt.

ANMERKUNG: Konfigurationsevents werden nicht an den Common Event Enabler (CEE) weitergeleitet.

1. Klicken Sie auf Cluster Management > Auditing.

2. Wählen Sie im Bereich Settings das Kontrollkästchen Enable Configuration Change Auditing aus.


Sie können die Weiterleitung von Änderungen an der Systemkonfiguration an syslog aktivieren, indem Sie den Befehl isi audit settings global modify mit der Option --config-syslog-enabled ausführen. Dieses Verfahren ist nur über die Befehlszeilenoberfläche verfügbar.

Zugehörige Tasks

Weiterleiten von Systemkonfigurationsänderungen an Syslog

Festlegen des Audit-HostnamensSie können optional den Audit-Hostnamen für einige der Auditinganwendungen von Drittanbietern festlegen, die einen einheitlichen Hostnamen erfordern. Wenn Sie keinen Hostnamen für diese Anwendungen festlegen, sendet jeder Node in einem Isilon-Cluster seinen Hostnamen als Servernamen an den CEE-Server. Andernfalls wird der konfigurierte Audit-Hostname als globaler Servername verwendet.


Auditing 185

2. Führen Sie den Befehl isi audit settings global modify mit der Option --hostname aus, um den Audithostnamen festzulegen.Mit dem folgenden Befehl wird mycluster als Audithostname festgelegt:

isi audit settings global modify --hostname=mycluster

Konfigurieren von protokollüberwachten ZonenNur die Protokollauditereignisse in einer überwachten Zone werden erfasst und an den CEE-Server gesendet. Aus diesem Grund müssen Sie eine protokollüberwachte Zone konfigurieren, um Auditereignisse zu senden.


2. Führen Sie den Befehl isi audit settings global modify mit der Option --audited-zones aus, um protokollüberwachte Zonen zu konfigurieren.Mit dem folgenden Befehl werden HomeDirectory und Misc als die protokollüberwachten Zonen konfiguriert:

isi audit settings global modify --audited-zones=HomeDirectory,Misc

Weiterleiten von Systemkonfigurationsänderungen an SyslogSie können die Weiterleitung von Änderungen an der Systemkonfiguration auf dem Isilon-Cluster an syslog aktivieren oder deaktivieren, die dann unter /var/log/audit_config.log gespeichert werden. Dieses Verfahren ist nur über die Befehlszeilenoberfläche verfügbar.

Standardmäßig ist die Weiterleitung nicht aktiviert, wenn das Systemkonfigurationsauditing aktiviert ist. Um die Weiterleitung von Änderungen an der Systemkonfiguration an Syslog zu aktivieren, müssen Sie zunächst die Systemkonfigurationsaudits auf dem Cluster aktivieren.


2. Führen Sie den Befehl isi audit settings global modify mit der Option --config-syslog-enabled aus, um die Weiterleitung von Änderungen an der Systemkonfiguration zu aktivieren bzw. zu deaktivieren.Mit dem folgenden Befehl wird die Weiterleitung von Änderungen an der Systemkonfiguration an Syslog aktiviert:

isi audit settings global modify --config-syslog-enabled=yes

Mit dem folgenden Befehl wird die Weiterleitung von Änderungen an der Systemkonfiguration an Syslog deaktiviert:

isi audit settings global modify --config-syslog-enabled=no


Syslog

Syslog-Weiterleitung

Konfigurieren von ProtokolleventfilternSie können filtern, welche Arten von Protokollzugriffsevents in einer Zugriffszone geprüft werden sollen. Sie können Filter für erfolgreiche und fehlgeschlagene Events erstellen. Die folgenden Protokollevents werden standardmäßig für überwachte Zugriffszonen erfasst: „create“, „delete“, „rename“, „close“ und „set_security“. Dieses Verfahren ist nur über die Befehlszeilenoberfläche verfügbar.

Um Protokollevent zu erstellen, müssen Sie zuerst das Protokollzugriffsauditing in der Zugriffszone aktivieren.


2. Führen Sie den Befehl isi audit settings modify ausMit dem folgenden Befehl erstellen Sie einen Filter, der den Ausfall von create-, close- und delete-Events in Zugriffszone zone3 überprüft:

isi audit settings modify --audit-failure=create,close,delete --zone=zone3

186 Auditing

Mit dem folgenden Befehl erstellen Sie einen Filter, der den Erfolg von create-, close- und delete-Events in Zugriffszone zone5 überprüft:

isi audit settings modify --audit-success=create,close,delete --zone=zone5


Unterstützte Eventtypen

Integrieren in Common Event EnablerOneFS -Integration in Integration in Common Event Enabler (CEE) ermöglicht Auditanwendungen von Drittanbietern die Erfassung und Analyse von Auditprotokollen.

OneFS unterstützt die CEPA-Komponente (Common Event Publishing Agent) von CEE für Windows. Für die Integration in OneFS müssen Sie CEE für Windows auf einem unterstützten Windows-Client installieren und konfigurieren.

ANMERKUNG: Es wird empfohlen, Auditanwendungen von Drittanbietern zu installieren und zu konfigurieren, bevor Sie

die Auditingfunktion von OneFS aktivieren. Andernfalls führt der große, von dieser Funktion verursachte Rückstand

möglicherweise dazu, dass Ergebnisse über einen erheblichen Zeitraum nicht aktualisiert werden.


Unterstützte Audittools

Installieren von CEE für WindowsUm CEE in OneFS zu integrieren, müssen Sie zunächst CEE auf einem Computer installieren, auf dem das Betriebssystem Windows ausgeführt wird.

Dazu müssen Sie Dateien aus der Datei .iso extrahieren, wie in den folgenden Schritten beschrieben wird. Wenn Sie nicht mit dem Prozess vertraut sind, sollten Sie eine der folgenden Methoden auswählen:

1. Installieren Sie WinRAR oder ein anderes geeignetes Archivierungsprogramm, das .iso-Dateien als Archiv öffnen kann, und kopieren Sie die Dateien.

2. Brennen Sie das Image auf eine CD-ROM und kopieren Sie dann die Dateien.3. Installieren Sie SlySoft Virtual CloneDrive, um ein ISO-Image als Laufwerk zu mounten, von dem Sie Dateien kopieren können.

ANMERKUNG: Sie sollten mindestens zwei Server installieren. Wir empfehlen, CEE 6.6.0 oder höher zu installieren.

1. Laden Sie die CEE-Framework-Software vom Onlinesupport herunter:

a) Navigieren Sie zu Online Support.b) Geben Sie in das Suchfeld Common Event Enabler for Windows ein und klicken Sie dann auf das Suchsymbol.

c) Klicken Sie auf Common Event Enabler <Version> for Windows, wobei <Version> 6.2 oder höher ist, und befolgen Sie dann die Anweisungen zum Öffnen oder Speichern der .iso-Datei.

2. Extrahieren Sie aus der .iso-Datei die benötigte ausführbare EMC_CEE_Pack-Datei (32 Bit oder 64 Bit).Nachdem die Datei extrahiert wurde, wird der CEE-Installationsassistent geöffnet.

3. Klicken Sie auf Next, um die Seite mit der License Agreement aufzurufen.

4. Aktivieren Sie die Option I accept..., um die Bedingungen der Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Next.

5. Geben Sie auf der Seite Customer Information Ihren Benutzernamen und Ihr Unternehmen ein, wählen Sie die gewünschten Installationseinstellungen aus und klicken Sie dann auf Next.

6. Klicken Sie auf der Seite Setup Type auf Complete und anschließend auf Next.

7. Klicken Sie auf Install, um die Installation zu starten.Der Fortschritt der Installation wird angezeigt. Wenn die Installation abgeschlossen ist, wird die Seite InstallShield Wizard Completed angezeigt.

8. Klicken Sie auf Fertig stellen, um den Assistenten zu beenden.

9. Starten Sie das System neu.


Integrieren in Common Event Enabler

Auditing 187


Konfigurieren von CEE für WindowsNachdem Sie CEE für Windows auf einem Clientcomputer installiert haben, müssen Sie über den Windows Registry-Editor (regedit.exe) weitere Einstellungen konfigurieren.

1. Öffnen Sie den Windows-Registrierungs-Editor.

2. Konfigurieren Sie die folgenden Registrierungsschlüssel, wenn diese von Ihrer Auditanwendung unterstützt werden:

Einstellung Registrierungspfad Schlüssel Wert

CEE-HTTP-Abhörport

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\Configuration] HttpPort 12228

Remoteendpunkte für Audit aktivieren

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

Enabled 1

Remoteendpunkte prüfen

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

EndPoint <EndPoint>

ANMERKUNG:

• Der Wert für „HttpPort“ muss dem Port in den CEE-URIs entsprechen, den Sie während der Konfiguration des

OneFS-Protokollaudits angeben.

• Der Wert für „EndPoint“ muss im Format <EndPoint_Name>@<IP_Address> vorliegen. Sie können mehrere

Endpunkte angeben, indem Sie die Werte jeweils durch ein Semikolon (;) trennen.

Der folgende Schlüssel gibt einen einzelnen Remoteendpunkt an:

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint = [email protected] folgende Schlüssel gibt mehrere Remoteendpunkte an:

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint = [email protected];[email protected]

3. Schließen Sie den Windows-Registrierungs-Editor.


Integrieren in Common Event Enabler

Konfigurieren von CEE-Servern zur Bereitstellung von ProtokollauditereignissenSie können CEE-Server mit OneFS für die Bereitstellung von Protokollauditereignissen konfigurieren, indem Sie der OneFS-Konfiguration die URIs der einzelnen Server hinzufügen.

• Führen Sie den Befehl isi audit settings global modify mit der Option --cee-server-uris aus, um der OneFS-Konfiguration die URIs der CEE-Server hinzuzufügen.Mit dem folgenden Befehl werden der OneFS-Konfiguration die URIs von 3 CEE-Servern hinzugefügt:

isi audit settings global modify --cee-server-uris=http://server1.example.com:12228/vee,http://server2.example.com:12228/vee,http://server3.example.com:12228/vee

Nachverfolgen der Bereitstellung von ProtokollauditereignissenDie Prozesse für das Erfassen von Protokollauditereignissen und deren Bereitstellung für den CEE-Server finden nicht gleichzeitig statt. Selbst wenn keine CEE-Server verfügbar sind, werden Protokollauditereignisse daher trotzdem erfasst und für eine spätere Bereitstellung für den CEE-Server gespeichert.

Sie können den Zeitpunkt des letzten erfassten Protokollauditereignisses und die Ereigniszeit des letzten Ereignisses anzeigen, das an den CEE-Server gesendet wurde. Sie können die Protokollposition des CEE-Absenders auch auf einen gewünschten Zeitpunkt verschieben.

188 Auditing

Anzeigen der Zeitstempel der Bereitstellung von Ereignissen für den CEE-Server und syslogSie können die Zeitstempel der Bereitstellung von Ereignissen für den CEE-Server und syslog auf dem Node anzeigen, auf dem Sie den Befehl isi audit progress view ausführen.

Diese Einstellung ist nur über die Befehlszeilenoberfläche verfügbar.

• Führen Sie den Befehl isi audit progress view aus, um die Zeitstempel der Bereitstellung von Ereignissen für den CEE-Server und syslog auf dem Node anzuzeigen, auf dem Sie den Befehl ausführen.Im Folgenden wird eine Beispielausgabe für isi audit progress view gezeigt:

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016Sie können den Befehl isi audit progress view mit der Option --lnn ausführen, um die Zeitstempel der Bereitstellung von Auditereignissen auf einem Node anzuzeigen, der durch die logische Node-Nummer angegeben wird.

Der folgende Befehl zeigt den Fortschritt bei der Bereitstellung der Auditereignisse auf einem Node mit der logischen Node-Nummer 2:

isi audit progress view --lnn=2

Die folgende Ausgabe wird angezeigt:

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016

Verschieben der Protokollposition des CEE-AbsendersWenn die Ereigniszeit im Auditprotokoll eine Verzögerung zur aktuellen Zeit angibt, können Sie die Protokollposition des CEE-Absenders manuell verschieben. Diese Aktion verschiebt die Ereigniszeit in allen Protokollen des CEE-Absenders in einem Isilon-Cluster global auf den nächstgelegenen Zeitpunkt.

ANMERKUNG: Die übersprungenen Ereignisse werden nicht zum CEE-Server weitergeleitet, obwohl sie möglicherweise

immer noch auf dem Cluster verfügbar sind

• Führen Sie den Befehl isi audit settings global modify mit der Option --cee-log-time aus, um die Protokollposition des CEE-Absenders zu verschieben.Mit dem folgenden Befehl wird die Protokollposition des CEE-Absenders manuell verschoben:

isi audit settings global modify --cee-log-time='protocol@2016-01-27 01:03:02'

Anzeigen der Bereitstellungsgeschwindigkeit von Protokollauditereignissen für den CEE-ServerSie könen die Bereitstellungsgeschwindigkeit von Protokollauditereignissen für den CEE-Server anzeigen.

• Führen Sie den Befehl isi statistics query aus, um die aktuelle Bereitstellungsgeschwindigkeit der Protokollauditereignisse für den CEE-Server auf einem Node anzuzeigen.Der folgende Befehl zeigt die aktuelle Bereitstellungsgeschwindigkeit der Protokollauditereignisse für den CEE-Server an:

isi statistics query current list --keys=node.audit.cee.export.rate

Die folgende Ausgabe wird angezeigt:

Node node.audit.cee.export.rate--------------------------------- 1 3904.600000---------------------------------Total: 1

Auditing 189

SnapshotsDieser Abschnitt enthält die folgenden Themen:

Themen:

• Snapshots – Übersicht• Datensicherheit mit SnapshotIQ• Snapshot-Speicherplatznutzung• Snapshot-Planungen• Snapshot-Aliasnamen• Datei- und Verzeichniswiederherstellung• Best Practices für die Erstellung von Snapshots• Best Practices für die Erstellung von Snapshot-Planungen• Datei-Clones• Snapshot-Sperren• Snapshot-Reserve• SnapshotIQ-Lizenzfunktionen• Erstellen von Snapshots mit SnapshotIQ• Managen von Snapshots • Wiederherstellen von Snapshot-Daten• Managen von Snapshot-Planungen• Managen von Snapshot-Aliasnamen• Managen von Snapshot-Sperren• Konfigurieren der SnapshotIQ-Einstellungen• Festlegen der Snapshot-Reserve• Managen von Änderungslisten

Snapshots – ÜbersichtEin OneFS-Snapshot ist ein logischer Pointer auf Daten, die zu einem bestimmten Point-in-Time in einem Cluster gespeichert werden.

Informationen zu Snapshots finden Sie im OneFS-Verwaltungshandbuch und im OneFS-CLI-Verwaltungshandbuch.

Datensicherheit mit SnapshotIQSie können Snapshots erstellen, um Daten mit dem SnapshotIQ-Softwaremodul zu sichern. Snapshots sichern Daten vor unbeabsichtigten Löschungen und Änderungen, indem Sie gelöschte und geänderte Dateien wiederherstellen können. Um SnapshotIQ zu verwenden, müssen Sie eine SnapshotIQ-Lizenz auf dem Cluster aktivieren.

Snapshots sind günstiger als Datenbackups auf separaten physischen Speichermedien sowohl in Bezug auf die Zeit als auch die Speicherplatzbelegung. Die Zeit, die zum Verschieben von Daten auf ein anderes physisches Gerät erforderlich ist, hängt von der Menge der zu verschiebenden Daten ab. Snapshots werden hingegen unabhängig von der Menge der vom Snapshot referenzierten Daten nahezu sofort erstellt. Da Snapshots lokal verfügbar sind, können Anwender ihre Daten zudem häufig ohne Unterstützung durch den Systemadministrator wiederherstellen. Snapshots benötigen weniger Speicherplatz als ein Remotebackup, da unveränderte Daten nur referenziert und nicht neu erstellt werden.

Snapshots schützen nicht vor Hardware- oder Dateisystemproblemen. Snapshots referenzieren Daten, die auf einem Cluster gespeichert sind. Wenn die Daten auf dem Cluster nicht mehr verfügbar sind, sind die Snapshots ebenfalls nicht mehr verfügbar. Daher wird empfohlen, dass Sie für Ihre Daten nicht nur Snapshots erstellen, sondern diese auch auf physischen Speichermedien sichern.

13

190 Snapshots

Snapshot-SpeicherplatznutzungDie Menge des Laufwerksspeichers, die ein Snapshot belegt, hängt von der Menge der vom Snapshot gespeicherten Daten und von der Menge der vom Snapshot referenzierten Daten anderer Snapshots ab.

Sofort nach Erstellung eines Snapshot durch OneFS verbraucht der Snapshot eine geringfügige Menge an Speicherplatz. Der Snapshot belegt keinen zusätzlichen Speicherplatz, solange die vom Snapshot referenzierten Daten nicht geändert werden. Wenn die vom Snapshot referenzierten Daten geändert werden, speichert der Snapshot schreibgeschützte Kopien der Originaldaten. Ein Snapshot benötigt nur soviel Speicherplatz, wie für die Wiederherstellung der Inhalte eines Verzeichnisses auf den Status, in dem es sich vor der Snapshot-Erstellung befunden hat, erforderlich ist.

Um die Auslastung des Laufwerksspeichers zu reduzieren, referenzieren Snapshots, die dasselbe Verzeichnis referenzieren, einander, wobei ältere Snapshots neuere Snapshots referenzieren. Wenn eine Datei gelöscht wird und mehrere Snapshots die Datei referenzieren, speichert ein Snapshot eine Kopie der Datei und die anderen Snapshots referenzieren die Datei aus dem Snapshot, in dem die Kopie gespeichert wird. Die gemeldete Größe eines Snapshot berücksichtigt nur die Datenmenge, die vom Snapshot gespeichert wird, und beinhaltet nicht die Datenmenge, die vom Snapshot referenziert wird.

Da Snapshots keine festgelegte Menge an Speicherplatz belegen, gibt es keine Speicherplatzanforderungen für die Erstellung eines Snapshot. Die Größe eines Snapshot wächst in dem Maße, in dem Daten, die vom Snapshot referenziert werden, geändert werden. Ein Cluster kann nicht mehr als 20.000 Snapshots enthalten.

Snapshot-PlanungenSie können Snapshots gemäß einer Snapshot-Planung automatisch erzeugen.

Mit Snapshot-Planungen können Sie Snapshots eines Verzeichnisses regelmäßig erzeugen, ohne dass Sie jedes Mal einen Snapshot manuell erstellen müssen. Sie können auch einen Ablaufzeitraum festlegen, der bestimmt, wann SnapshotIQ jeden automatisch erzeugten Snapshot löscht.


Managen von Snapshot-Planungen

Best Practices für die Erstellung von Snapshot-Planungen

Zugehörige Tasks

Erstellen eines Snapshot-Zeitplans

Snapshot-AliasnamenEin Snapshot-Alias ist ein logischer Verweis auf einen Snapshot. Wenn Sie einen Alias für eine Snapshot-Planung angeben, zeigt der Alias immer auf den neuesten Snapshot, der anhand dieser Planung erzeugt wurde. Das Zuordnen eines Snapshot-Alias ermöglicht es Ihnen auch, den neuesten nach einer Snapshot-Planung erzeugten Snapshot schnell zu identifizieren und auf diesen zuzugreifen.

Wenn Sie Clients über einen Alias Zugriff auf Snapshots gewähren, können Sie den Alias erneut zuweisen, um Clients an andere Snapshots weiterzuleiten. Neben der Zuweisung von Snapshot-Aliasnamen zu Snapshots können Sie Snapshot-Aliasnamen auch der Onlineversion des Dateisystems zuordnen. Dies kann nützlich sein, wenn Clients über einen Snapshot-Alias auf Snapshots zugreifen und Sie die Clients zur Onlineversion des Dateisystems umleiten möchten.

Datei- und VerzeichniswiederherstellungSie können Dateien und Verzeichnisse wiederherstellen, die von einem Snapshot-Alias referenziert werden, indem Sie Daten vom Snapshot kopieren, eine Datei aus dem Snapshot klonen oder den gesamten Snapshot zurücksetzen.

Durch Kopieren einer Datei aus einem Snapshot wird die Datei dupliziert, wodurch sich die Menge des belegten Speicherplatzes ungefähr verdoppelt. Selbst wenn Sie die ursprüngliche Datei aus dem Nicht-Snapshot-Verzeichnis löschen, verbleibt die Kopie der Datei im Snapshot.

Durch Klonen einer Datei aus einem Snapshot wird die Datei ebenfalls dupliziert. Anders als eine Kopie, die sofort zusätzlichen Speicherplatz auf dem Cluster belegt, belegt ein Clone keinen zusätzlichen Speicherplatz auf dem Cluster, es sei denn, der Clone oder die geklonte Datei wird geändert.

Durch Zurücksetzen eines Snapshot werden die Inhalte eines Verzeichnisses durch die Daten ersetzt, die im Snapshot gespeichert werden. Bevor ein Snapshot zurückgesetzt wird, erstellt SnapshotIQ einen Snapshot des Verzeichnisses, das ersetzt wird, wodurch Sie die Snapshot-Zurücksetzung später rückgängig machen können. Das Zurücksetzen eines Snapshot kann nützlich sein, wenn Sie viele

Snapshots 191

Änderungen rückgängig machen möchten, die Sie an Dateien und Verzeichnissen vorgenommen haben. Wenn seit der Erstellung eines Snapshot neue Dateien oder Verzeichnisse in einem Verzeichnis erstellt wurden, werden diese Dateien und Verzeichnisse gelöscht, wenn der Snapshot zurückgesetzt wird.

ANMERKUNG: Wenn Sie ein Verzeichnis verschieben, können Sie nicht zu Snapshots des Verzeichnisses zurückkehren,

die vor dem Verschieben des Verzeichnisses erstellt wurden.

Best Practices für die Erstellung von SnapshotsBerücksichtigen Sie bei der Verarbeitung einer großen Anzahl von Snapshots die folgenden Best Practices.

Es wird empfohlen, nicht mehr als 1.000 Snapshots eines einzigen Verzeichnisses zu erstellen, um eine Performanceverschlechterung zu vermeiden. Wenn Sie einen Snapshot eines Stammverzeichnis erstellen, wird dieser Snapshot der Gesamtanzahl der Snapshots für alle Unterverzeichnisse des Stammverzeichnisses zugerechnet. Wenn Sie beispielsweise 500 Snapshots von /ifs/data und 500 Snapshots von /ifs/data/media erstellen, haben Sie 1.000 Snapshots von /ifs/data/media erstellt. Vermeiden Sie die Erstellung von Snapshots von Verzeichnissen, auf die bereits von anderen Snapshots verwiesen wird.

Es wird empfohlen, nicht mehr als 1.000 Hardlinks pro Datei in einem Snapshot zu erstellen, um eine Performanceverschlechterung zu vermeiden. Versuchen Sie stets, Verzeichnispfade so knapp wie möglich zu halten. Je tiefer Verzeichnisse gehen, auf die sich Snapshots beziehen, desto größer wird die Performanceverschlechterung.

Das Erstellen von Snapshots von Verzeichnissen, die sich höher in einer Verzeichnisstruktur befinden, erhöht die Zeit zur Änderung der Daten, auf die sich der Snapshot bezieht, und erfordert mehr Clusterressourcen für das Management des Snapshots und des Verzeichnisses. Andererseits erfordert die Erstellung von Snapshots von Verzeichnissen, die sich niedriger in einer Verzeichnisstruktur befinden, mehr Snapshot-Planungen, deren Management u. U. kompliziert ist. Es wird empfohlen, keine Snapshots von /ifs oder /ifs/data zu erstellen.

Sie können jeweils bis zu 20.000 Snapshots pro Cluster erstellen. Wenn Ihr Workflow eine große Anzahl von Snapshots auf einer konstanten Basis erfordert, stellen Sie möglicherweise fest, dass das Management von Snapshots über die OneFS-Befehlszeilenoberfläche einfacher ist als über die OneFS-Webverwaltungsoberfläche. In der CLI können Sie eine Vielzahl von Sortierungs- und Filteroptionen anwenden und Listen in Textdateien umleiten.

Sie sollten Snapshots zum Löschen markieren, wenn sie nicht mehr benötigt werden, und sicherstellen, dass der SnapshotDelete-Systemjob aktiviert ist. Die Deaktivierung des SnapshotDelete-Jobs verhindert, dass nicht belegter Festplattenspeicherplatz zurückgewonnen wird, und kann im Laufe der Zeit auch zu einer Performanceverschlechterung führen.

Wenn die Systemuhr auf eine andere Zeitzone als UTC (Coordinated Universal Time) festgelegt ist, passt SnapshotIQ die Zeiträume für die Snapshot-Dauer an die Sommerzeit an. Bei Beginn der Sommerzeit wird die Snapshot-Dauer zur Anpassung an die Sommerzeit um eine Stunde verlängert. Bei Ende der Sommerzeit wird die Snapshot-Dauer zur Anpassung an die Standardzeit um eine Stunde verkürzt.

Best Practices für die Erstellung von Snapshot-PlanungenSnapshot-Planungskonfigurationen können dahingehend kategorisiert werden, wie sie Snapshots löschen: sortierte und unsortierte Löschvorgänge.

Bei einem sortierten Löschvorgang wird der älteste Snapshot im Verzeichnis gelöscht. Bei einem unsortierten Löschvorgang wird ein Snapshot gelöscht, der nicht der älteste Snapshot im Verzeichnis ist. Unsortierte Löschvorgänge dauern etwa doppelt so lang und verbrauchen mehr Clusterressourcen als sortierte Löschvorgänge. Unsortierte Löschvorgänge können jedoch Speicherplatz einsparen, da eine geringere Gesamtanzahl von Snapshots aufbewahrt wird.

Die Vorteile von unsortierten Löschvorgängen im Vergleich zu sortierten Löschvorgängen hängen davon ab, wie oft die von den Snapshots referenzierten Daten geändert werden. Wenn die Daten oft geändert werden, sparen unsortierte Löschvorgänge Speicherplatz. Wenn die Daten jedoch unverändert bleiben, sparen unsortierte Löschvorgänge wahrscheinlich keinen Speicherplatz. Es wird empfohlen, sortierte Löschvorgänge auszuführen, um Clusterressourcen freizugeben.

Weisen Sie zur Implementierung sortierter Löschvorgänge allen Snapshots eines Verzeichnisses dieselbe Dauer zu. Die Snapshots können über eine oder mehrere Snapshot-Planungen erstellt werden. Achten Sie stets darauf, dass nicht mehr als 1.000 Snapshots eines Verzeichnisses erstellt werden.

Erstellen Sie zur Implementierung unsortierter Löschvorgänge mehrere Snapshot-Planungen für ein einziges Verzeichnis und weisen Sie dann jeder Planung eine andere Snapshot-Dauer zu. Achten Sie nach Möglichkeit darauf, dass alle Snapshots gleichzeitig erstellt werden.

In der folgenden Tabelle werden Snapshot-Planungen nach Best Practices beschrieben:

192 Snapshots

Tabelle 5. Snapshot-Planungskonfigurationen

Art des Löschvorgangs

Snapshot-Häufigkeit Snapshot-Zeit Snapshot-Ablauf Max. aufbewahrte Snapshots

Sortierte Löschung (primär für statische Daten)

Stündlich Anfang um 12:00 Uhr, Ende 11:59 Uhr

1 Monat 720

Unsortierte Löschung (für häufig geänderte Daten)

Jede zweite Stunde Anfang um 12:00 Uhr, Ende 23:59 Uhr

1 Tag 27

Täglich Um 12:00 Uhr 1 Woche

Jede Woche Samstag um 12:00 Uhr 1 Monat

Monatlich Am ersten Samstag des Monats um 12:00 Uhr

3 Monate


Snapshot-Planungen

Datei-ClonesMit SnapshotIQ können Sie Datei-Clones erstellen, die Blöcke mit vorhandenen Dateien gemeinsam nutzen, um Speicherplatz auf dem Cluster zu sparen. Ein Datei-Clone verbraucht normalerweise weniger Speicherplatz und kann schneller erstellt werden als eine Dateikopie. Obwohl Sie Dateien aus Snapshots klonen können, werden Clones in erster Linie intern von OneFS verwendet.

Die Blöcke, die von einem Clone und einer geklonten Datei gemeinsam genutzt werden, sind in einer versteckten Datei enthalten, die als Schattenspeicher bezeichnet wird. Nachdem ein Clone erstellt wird, werden sämtliche Daten, die ursprünglich in der geklonten Datei enthalten sind, unverzüglich in einen Schattenspeicher übertragen. Da beide Dateien alle Blöcke aus dem Schattenspeicher referenzieren, belegen die beiden Dateien nicht mehr Speicherplatz als die ursprüngliche Datei. Der Clone belegt keinen zusätzlichen Speicherplatz auf dem Cluster. Wenn die geklonte Datei oder der Clone jedoch geändert wird, nutzen die Datei und der Clone nur die Blöcke gemeinsam, die beiden gemeinsam sind. Die geänderten, nicht gemeinsam genutzten Blöcke belegen zusätzlichen Speicherplatz auf dem Cluster.

Im Laufe der Zeit werden die gemeinsam genutzten Blöcke, die im Schattenspeicher enthalten sind, möglicherweise nutzlos, wenn weder die Datei noch der Clone die Blöcke referenzieren. Nicht mehr benötigte Blöcke werden vom Cluster routinemäßig gelöscht. Sie können nicht genutzte Blöcke jederzeit vom Cluster löschen lassen, indem Sie den ShadowStoreDelete-Job ausführen.

Clones können keine alternierenden Datenströme (Alternate Data Streams, ADS) enthalten. Wenn Sie eine Datei klonen, die alternierende Datenströme enthält, sind diese im Clone nicht enthalten.

Zugehörige Tasks

Klonen einer Datei aus einem Snapshot

Überlegungen zum SchattenspeicherSchattenspeicher sind versteckte Dateien, die von geklonten und deduplizierten Dateien referenziert werden. Dateien, die Schattenspeicher referenzieren, verhalten sich anders als andere Dateien.

• Das Lesen von Schattenspeicherreferenzen kann länger dauern als das direkte Lesen von Daten. Insbesondere das Lesen nicht zwischengespeicherter Schattenspeicherreferenzen dauert länger als das Lesen nicht zwischengespeicherter Daten. Das Lesen zwischengespeicherter Schattenspeicherreferenzen dauert nicht länger als das Lesen zwischengespeicherter Daten.

• Wenn Dateien, die Schattenspeicher referenzieren, auf ein anderes Isilon-Cluster repliziert oder auf einem NDMP-Backupgerät (Network Data Management Protocol) gesichert werden, werden die Schattenspeicher nicht auf das Isilon-Zielcluster oder das Zielbackupgerät übertragen. Die Dateien werden übertragen, als ob sie die Daten enthalten würden, die sie aus den Schattenspeichern referenzieren. Auf dem Isilon-Zielcluster oder Backupgerät belegen die Dateien genauso viel Speicherplatz, als wenn sie keine Schattenspeicher referenzieren würden.

• Wenn OneFS einen Schattenspeicher erstellt, wird dieser dem Speicherpool einer Datei zugewiesen, die den Schattenspeicher referenziert. Wenn Sie den Speicherpool löschen, auf dem sich ein Schattenspeicher befindet, wird der Schattenspeicher auf einen Pool verschoben, in dem sich eine andere Datei befindet, die den Schattenspeicher referenziert.

Snapshots 193

• OneFS löscht Schattenspeicherblöcke nicht unmittelbar, nachdem der letzte Verweis auf den Block gelöscht wird. Stattdessen wartet OneFS, bis der ShadowStoreDelete-Job ausgeführt wird, um den nicht referenzierten Block zu entfernen. Wenn eine große Anzahl nicht referenzierter Blöcke auf dem Cluster vorhanden ist, meldet OneFS möglicherweise negative Deduplizierungseinsparungen, bis der ShadowStoreDelete-Job ausgeführt wird.

• Der Schutz eines Schattenspeichers ist mindestens ebenso hoch wie der der am höchsten geschützten Datei, die den Schattenspeicher referenziert. Wenn beispielsweise eine Datei, die einen Schattenspeicher referenziert, sich in einem Speicherpool mit +2-Schutz und eine andere Datei, die den Schattenspeicher referenziert, sich in einem Speicherpool mit +3-Schutz befindet, wird auch der Schattenspeicher mit +3-Schutz geschützt.

• Für Quotas werden Dateien, die Schattenspeicher referenzieren, behandelt, als ob diese die Daten enthalten würden, die aus dem Schattenspeicher referenziert werden. Aus der Perspektive einer Quota sind Schattenspeicherreferenzen nicht vorhanden. Wenn eine Quota jedoch Datenschutzoverhead umfasst, berücksichtigt diese Quota den Datenschutzoverhead der Schattenspeicher nicht.

Snapshot-SperrenEine Snapshot-Sperre verhindert, dass ein Snapshot gelöscht werden kann. Wenn ein Snapshot über eine oder mehrere Sperren verfügt, kann der Snapshot nicht gelöscht werden und wird als gesperrter Snapshot bezeichnet. Wenn die Dauer eines gesperrten Snapshot abläuft, wird der Snapshot erst dann von OneFS gelöscht, wenn alle Sperren auf dem Snapshot gelöscht wurden.

OneFS wendet Snapshot-Sperren an, damit von OneFS-Anwendungen erzeugte Snapshots nicht vorzeitig gelöscht werden. Aus diesem Grund sollten Sie weder Snapshot-Sperren löschen noch die Dauer der Snapshot-Sperren ändern.

Es kann nur eine begrenzte Anzahl gleichzeitiger Sperren auf einen Snapshot angewendet werden. Wenn Sie Snapshot-Sperren erstellen und die maximale Anzahl für einen Snapshot erreichen, kann OneFS keine weiteren Snapshot-Sperren anwenden, sollten diese erforderlich sein. Aus diesem Grund sollten Sie keine Snapshot-Sperren erstellen.


Managen von Snapshot-Sperren

Zugehörige Tasks

Erstellen einer Snapshot-Sperre

Snapshot-ReserveMit der Snapshot-Reserve können Sie einen Mindestprozentsatz der Speicherkapazität des Clusters speziell für Snapshots reservieren. Wenn diese Einstellung festgelegt wird, können alle anderen OneFS-Vorgänge nicht auf den Prozentsatz der Clusterkapazität zugreifen, der für Snapshots reserviert ist.

ANMERKUNG: Die Snapshot-Reserve hat keine Auswirkungen auf die Menge an Speicherplatz, die Snapshots auf dem

Cluster belegen können. Snapshots können mehr Speicherkapazität verbrauchen als durch die Snapshot-Reserve

festgelegt ist. Es wird empfohlen, dass Sie keine Snapshot-Reserve angeben.

Zugehörige Tasks

Festlegen der Snapshot-Reserve

SnapshotIQ-LizenzfunktionenSie können nur dann Snapshots erstellen, wenn Sie eine SnapshotIQ-Lizenz auf einem Cluster aktivieren. Sie können jedoch Snapshots und Snapshot-Sperren anzeigen, die für die interne Nutzung durch OneFS erstellt wurden, ohne dass eine SnapshotIQ-Lizenz aktiviert werden muss.

In der folgenden Tabelle wird beschrieben, welche Snapshot-Funktionen mit bzw. ohne aktivierte SnapshotIQ-Lizenz verfügbar sind:

Ressource Inactive Active

Erstellen von Snapshots und Snapshot-Planungen

Nein Ja

Konfigurieren der SnapshotIQ-Einstellungen

Nein Ja

Anzeigen von Snapshot-Zeitplänen Ja Ja

194 Snapshots

Ressource Inactive Active

Löschen von Snapshots Ja Ja

Zugreifen auf Snapshot-Daten Ja Ja

Anzeigen von Snapshots Ja Ja

Wenn eine SnapshotIQ-Lizenz inaktiv wird, können Sie keine neuen Snapshots mehr erstellen. Alle Snapshot-Planungen werden deaktiviert und Sie können keine Snapshots oder Snapshot-Einstellungen mehr ändern. Sie können jedoch weiterhin Snapshots löschen und auf Daten zugreifen, die in Snapshots enthalten sind.

Erstellen von Snapshots mit SnapshotIQUm Snapshots zu erstellen, müssen Sie die SnapshotIQ-Lizenz auf dem Cluster konfigurieren. Sie können Snapshots erstellen, indem Sie entweder eine Snapshot-Planung erstellen oder manuell einen einzelnen Snapshot erstellen.

Manuelle Snapshots sind hilfreich, wenn Sie sofort einen Snapshot erstellen möchten, oder zu einem Zeitpunkt, der nicht in einer Snapshot-Planung festgelegt ist. Wenn Sie beispielsweise Änderungen an Ihrem Dateisystem planen, sich jedoch im Unklaren über die Folgen sind, können Sie den aktuellen Status des Dateisystems in einem Snapshot erfassen, bevor Sie die Änderungen vornehmen.

Bevor Sie Snapshots erstellen, beachten Sie, dass für das Zurücksetzen eines Snapshot eine SnapRevert-Domain für das zurückgesetzte Verzeichnis vorhanden sein muss. Wenn Sie das Zurücksetzen von Snapshots für ein Verzeichnis beabsichtigen, wird empfohlen, dass Sie SnapRevert-Domains für diese Verzeichnisse erstellen, solange die Verzeichnisse leer sind. Die Erstellung einer Domain für ein Verzeichnis, das weniger Daten enthält, nimmt weniger Zeit in Anspruch.

Erstellen einer SnapRevert-DomainBevor Sie einen Snapshot zurücksetzen können, der ein Verzeichnis enthält, müssen Sie eine SnapRevert-Domain für das Verzeichnis erstellen. Es wird empfohlen, dass Sie SnapRevert-Domains für ein Verzeichnis erstellen, während das Verzeichnis leer ist.

Der Stammpfad der SnapRevert-Domain muss dem Stammpfad des Snapshots entsprechen. So kann beispielsweise eine Domain mit dem Stammpfad /ifs/data/media nicht verwendet werden, um einen Snapshot mit dem Stammpfad /ifs/data/media/archive zurückzusetzen. Um /ifs/data/media/archive zurückzusetzen, müssen Sie eine SnapRevert-Domain mit dem Stammpfad /ifs/data/media/archive erstellen.


2. Wählen Sie im Bereich Job Types in der Zeile DomainMark aus der Spalte Actions die Option Start Job aus.

3. Geben Sie im Feld Domain Root Path den Pfad eines Snapshot-Stammverzeichnisses ein.

4. Wählen Sie in der Liste Type of domain die Option SnapRevert aus.

5. Achten Sie darauf, dass das Kontrollkästchen Delete this domain nicht aktiviert ist.

6. Klicken Sie auf Start Job.

Erstellen eines Snapshot-ZeitplansSie können einen Snapshot-Zeitplan erstellen, um kontinuierlich Snapshots von Verzeichnissen zu erzeugen.

1. Klicken Sie auf Data Protection > SnapshotIQ > Snapshot Schedules.

2. Klicken Sie auf Create a Schedule.Das Dialogfeld „Create a Schedule“ wird angezeigt.

3. Optional: Geben Sie im Feld Schedule Name einen Namen für den Snapshot-Zeitplan ein.

4. Optional: Geben Sie im Naming Pattern for Generated Snapshots das Benennungsmuster ein. Jedem Snapshot, der gemäß diesem Zeitplan erzeugt wird, wird ein Name auf Grundlage dieses Benennungsmusters zugewiesen.

Das folgende Benennungsmuster ist beispielsweise gültig:

WeeklyBackup_%m-%d-%Y_%H:%M

Das Beispiel produziert Namen, die den folgenden ähneln:

WeeklyBackup_07-13-2014_14:21

5. Geben Sie im Feld Path das Verzeichnis an, das in den Snapshots, die gemäß diesem Zeitplan erzeugt werden, enthalten sein soll.

Snapshots 195

6. Wählen Sie aus der Liste Schedule aus, wie oft Snapshots gemäß dem Zeitplan erzeugt werden sollen.

Sie können Snapshots täglich erzeugen oder die Snapshot-Erzeugung für eine bestimmte Anzahl von Tagen überspringen.

Wählen Sie Daily aus und legen Sie fest, wie häufig Sie Snapshots erzeugen möchten.

Sie können Snapshots an bestimmten Wochentagen erzeugen und optional die Erzeugung von Snapshots für eine angegebene Anzahl von Wochen überspringen.

Wählen Sie Weekly aus und legen Sie fest, wie häufig Sie Snapshots erzeugen möchten.

Sie können Snapshots an bestimmten Tagen im Monat erzeugen und optional die Erzeugung von Snapshots für eine angegebene Anzahl von Monaten überspringen.

Wählen Sie Monthly aus und legen Sie fest, wie häufig Sie Snapshots erzeugen möchten.

Sie können Snapshots an bestimmten Tagen des Jahres erzeugen. Wählen Sie Yearly aus und legen Sie fest, wie häufig Sie Snapshots erzeugen möchten.

ANMERKUNG: Eine Snapshot-Planung kann sich nicht über mehrere Tage erstrecken. Sie können beispielsweise

nicht angeben, dass die Snapshot-Erzeugung am Montag um 17:00 Uhr beginnt und am Dienstag um 05:00 Uhr

endet. Um Snapshots während eines bestimmten Zeitraums von mehr als einem Tag kontinuierlich zu erzeugen,

müssen Sie zwei Snapshot-Planungen erstellen. Um beispielsweise Snapshots von Montag 17:00 Uhr bis Dienstag um

05:00 Uhr zu erstellen, müssen Sie eine Planung erstellen, bei der Snapshots am Montag von 17:00 Uhr bis 23:59 Uhr

erzeugt werden, und eine andere Planung, bei der Snapshots am Dienstag von 00:00 Uhr bis 05:00 Uhr erzeugt

werden.

7. Optional: Um dem neuesten gemäß Zeitplan erzeugten Snapshot einen alternativen Namen zuzuweisen, geben Sie einen Snapshot-Alias an.

a) Klicken Sie neben Create an Alias auf Yes.b) Um den Standard-Snapshot-Alias zu ändern, geben Sie im Feld Alias Name einen anderen Namen für den Snapshot ein.

8. Optional: Um eine Zeitdauer anzugeben, während der gemäß dem Zeitplan erzeugte Snapshots beibehalten werden, bevor sie von OneFS gelöscht werden, legen Sie einen Ablaufzeitraum fest.

a) Wählen Sie neben Snapshot Expiration die Option Snapshots expire aus.b) Geben Sie neben Snapshots expire an, wie lange Sie die gemäß Zeitplan erzeugten Snapshots beibehalten möchten.

9. Klicken Sie auf Create Schedule.




Snapshot-Benennungsmuster

Erstellen eines SnapshotSie können einen Snapshot eines Verzeichnisses erstellen.

1. Klicken Sie auf Data Protection > SnapshotIQ > Snapshots.

2. Klicken Sie auf Create a Snapshot.Das Dialogfeld „Create a Snapshot“ wird angezeigt.

3. Optional: Geben Sie im Feld Snapshot Name einen Namen für den Snapshot ein.

4. Geben Sie im Feld Path das Verzeichnis an, das der Snapshot enthalten soll.

5. Optional: Um einen alternativen Namen für den Snapshot zu erstellen, wählen Sie Create a snapshot alias aus, und geben Sie den Aliasnamen ein.

6. Optional: Um einen Zeitpunkt zuzuweisen, zu dem OneFS den Snapshot automatisch löschen soll, geben Sie einen Ablaufzeitraum an.

a) Wählen Sie Snapshot Expires on aus.b) Geben Sie im Kalender das Datum an, an dem der Snapshot automatisch gelöscht werden soll.

7. Klicken Sie auf Create Snapshot.


Snapshot-Informationen

196 Snapshots

Snapshot-BenennungsmusterWenn Sie die automatische Erzeugung von Snapshots gemäß einer Snapshot-Planung oder einer Replikationsrichtlinie planen, müssen Sie ein Snapshot-Benennungsmuster zuweisen, mit dem festgelegt wird, wie Snapshots benannt werden. Ein Snapshot-Benennungsmuster enthält Variablen, die Informationen darüber enthalten, wie und wann ein Snapshot erstellt wurde.

Die folgenden Variablen können in ein Snapshot-Benennungsmuster einbezogen werden:

Variable Beschreibung

%A Wochentag

%a Der abgekürzte Wochentag. Beispiel: Wenn der Snapshot an einem Sonntag erstellt wird, wird %a durch Sun ersetzt.

%B Der Monatsname

%b Der abgekürzte Monatsname. Beispiel: Wenn der Snapshot im September erstellt wird, wird %b durch Sep ersetzt.

%C Die ersten beiden Ziffern des Jahres. Beispiel: Wenn der Snapshot 2014 erstellt wird, wird %C durch 20 ersetzt.

%c Die Uhrzeit und der Tag. Diese Variable entspricht der Angabe %a %b %e %T %Y.

%d Die zweistellige Angabe des Tags des Monats

%e Der Tag des Monats. Einem einstellig angegebenen Tag wird ein Leerzeichen vorangestellt.

%F Das Datum. Diese Variable entspricht der Angabe %Y-%m-%d.

%G Das Jahr. Diese Variable entspricht der Angabe %Y. Wenn der Snapshot jedoch in einer Woche erstellt wird, die weniger als vier Tage im laufenden Jahr hat, wird das Jahr angezeigt, auf das der Großteil der enthaltenen Wochentage entfällt. Als erster Wochentag gilt der Montag. Wenn ein Snapshot beispielsweise am Sonntag, den 1. Januar 2017 erstellt wird, wird %G durch 2016 ersetzt, da nur ein Tag dieser Woche auf das Jahr 2017 entfällt.

%g Das abgekürzte Jahr. Diese Variable entspricht der Angabe %y. Wenn der Snapshot jedoch in einer Woche erstellt wurde, die weniger als vier Tage im laufenden Jahr hat, wird das Jahr angezeigt, auf das der Großteil der enthaltenen Wochentage entfällt. Als erster Wochentag gilt der Montag. Wenn ein Snapshot beispielsweise am Sonntag, den 1. Januar 2017 erstellt wird, wird %g durch 16 ersetzt, da nur ein Tag dieser Woche auf das Jahr 2017 entfällt.

%H Die Stunde. Die Stunde wird im 24-Stunden-Format dargestellt. Einstelligen Stunden wird eine Null vorangestellt. Beispiel: Wenn ein Snapshot um 1:45 Uhr erstellt wird, wird %H durch 01 ersetzt.

%h Der abgekürzte Monatsname. Diese Variable entspricht der Angabe %b.

%I Die Uhrzeit im 12-Stunden-Format. Einstelligen Stunden wird eine Null vorangestellt. Beispiel: Wenn ein Snapshot um 1:45 Uhr nachmittags erstellt wird, wird %I durch 01 ersetzt.

%j Der numerische Tag des Jahres. Beispiel: Wenn ein Snapshot am 1. Februar erstellt wird, wird %j durch 32 ersetzt.

%k Die Uhrzeit im 24-Stunden-Format. Einstelligen Stunden wird ein Leerzeichen vorangestellt.

%l Die Uhrzeit im 12-Stunden-Format. Einstelligen Stunden wird ein Leerzeichen vorangestellt. Beispiel: Wenn ein Snapshot um 1:45 Uhr erstellt wird, wird %I durch 1 ersetzt.

Snapshots 197

Variable Beschreibung

%M Die Minute im zweistelligen Format.

%m Der Monat im zweistelligen Format.

%p AM (vormittags) oder PM (nachmittags).

%{PolicyName} Der Name der Replikationsrichtlinie, für die der Snapshot erstellt wurde. Diese Variable ist nur gültig, wenn Sie ein Snapshot-Benennungsmuster für eine Replikationsrichtlinie angeben.

%R Die Uhrzeit. Diese Variable entspricht der Angabe %H:%M.

%r Die Uhrzeit. Diese Variable entspricht der Angabe %I:%M:%S %p.

%S Die Sekunde im zweistelligen Format.

%s Die Sekunde wird dargestellt als UNIX- oder POSIX-Zeit.

%{SrcCluster} Der Name des Quellclusters der Replikationsrichtlinie, für die der Snapshot erstellt wurde. Diese Variable ist nur gültig, wenn Sie ein Snapshot-Benennungsmuster für eine Replikationsrichtlinie angeben.

%T Die Uhrzeit. Diese Variable entspricht der Angabe %H:%M:%S%U Die zweistellige numerische Woche des Jahres. Die Zahlen liegen im

Bereich von 00 bis 53. Als erster Wochentag gilt der Sonntag.

%u Der numerische Wochentag. Zahlen reichen von1 bis 7. Als erster Wochentag gilt der Montag. Beispiel: Wenn ein Snapshot am Sonntag erstellt wird, wird %u durch 7 ersetzt.

%V Die zweistellige numerische Woche des Jahres, in der der Snapshot erstellt wurde. Zahlen reichen von01 bis 53. Als erster Wochentag gilt der Montag. Wenn die Woche vom 1. Januar vier oder mehr Tage enthält, gilt diese Woche als erste Woche des Jahres.

%v Der Tag, an dem der Snapshot erstellt wurde. Diese Variable entspricht der Angabe %e-%b-%Y.

%W Der zweistellige numerische Wochentag des Jahres, in dem der Snapshot erstellt wurde. Zahlen reichen von00 bis 53. Als erster Wochentag gilt der Montag.

%w Der numerische Wochentag, an dem der Snapshot erstellt wurde. Zahlen reichen von0 bis 6. Als erster Wochentag gilt der Sonntag. Beispiel: Wenn der Snapshot am Sonntag erstellt wurde, wird %w durch 0 ersetzt.

%X Die Uhrzeit der Erstellung des Snapshot. Diese Variable entspricht der Angabe %H:%M:%S.

%Y Das Jahr, in dem der Snapshot erstellt wurde.

%y Die letzten beiden Stellen des Jahres, in dem der Snapshot erstellt wurde. Beispiel: Wenn der Snapshot 2014 erstellt wird, wird %y durch 14 ersetzt.

%Z Die Zeitzone, in der der Snapshot erstellt wurde.

%z Das Offset der koordinierten Weltzeit (UTC) der Zeitzone, in der der Snapshot erstellt wurde. Wenn ein Pluszeichen vorangestellt ist, handelt es sich um eine Zeitzone östlich von UTC. Wenn ein Minuszeichen vorangestellt ist, handelt es sich um eine Zeitzone westlich von UTC.

%+ Datum und Uhrzeit der Erstellung des Snapshot. Diese Variable entspricht der Angabe %a %b %e %X %Z %Y.

%% Löscht überflüssige Prozentzeichen. Zum Beispiel wird 100%% durch 100% ersetzt.

198 Snapshots

Managen von SnapshotsSie können Snapshots löschen und anzeigen. Sie können ebenfalls den Namen, die Dauer und den Snapshot-Alias eines vorhandenen Snapshot ändern. Sie können jedoch nicht die in einem Snapshot enthaltenen Daten ändern. Daten in einem Snapshot sind schreibgeschützt.

Reduzieren der Snapshot-SpeicherplatznutzungWenn mehrere Snapshots dieselben Verzeichnisse enthalten, wird durch das Löschen eines Snapshot u. U. nicht die gesamte Menge an Speicherplatz freigegeben, die vom System als Größe des Snapshot gemeldet wird. Die Größe eines Snapshot ist die maximale Datenmenge, die freigegeben werden könnte, wenn der Snapshot gelöscht wird.

Das Löschen eines Snapshot gibt nur jenen Speicherplatz frei, der ausschließlich von diesem Snapshot eingenommen wird. Wenn zwei Snapshots dieselben gespeicherten Daten referenzieren, werden diese Daten erst dann freigegeben, wenn beide Snapshots gelöscht werden. Denken Sie daran, dass Snapshots Daten aller Unterverzeichnisse des Stammverzeichnisses speichern. Wenn „snapshot_one“ /ifs/data/ und „snapshot_two“ /ifs/data/dir enthält, verwenden die Snapshots wahrscheinlich gemeinsame Daten.

Wenn Sie ein Verzeichnis löschen und dann erneut erstellen, speichert ein Snapshot, der das Verzeichnis enthält, das gesamte neu erstellte Verzeichnis, selbst wenn die Dateien in diesem Verzeichnis nicht geändert wurden.

Durch das Löschen mehrerer Snapshots, die dieselben Verzeichnisse enthalten, werden wahrscheinlich mehr Daten freigegeben, als durch das Löschen mehrerer Snapshots, die unterschiedliche Verzeichnisse enthalten.

Wenn mehrere Snapshots dieselben Verzeichnisse enthalten, wird durch das Löschen älterer Snapshots wahrscheinlich mehr Speicherkapazität freigegeben, als durch das Löschen neuerer Snapshots.

Snapshots, denen ein Ablaufdatum zugewiesen ist, werden vom Snapshot-Daemon automatisch zum Löschen markiert. Wenn der Daemon deaktiviert ist, werden die Snapshots nicht automatisch vom System gelöscht. Es wird empfohlen, den Snapshot-Daemon nicht zu deaktivieren.

Löschen von SnapshotsSie können einen Snapshot löschen, wenn Sie nicht mehr auf die im Snapshot enthaltenen Daten zugreifen möchten.

OneFS gibt Speicherplatz frei, der von gelöschten Snapshots belegt wird, wenn der SnapshotDelete-Job ausgeführt wird. Wenn Sie einen Snapshot löschen, der Clones bzw. geklonte Dateien enthält, können außerdem Daten in einem Schattenspeicher möglicherweise nicht mehr von Dateien auf dem Cluster referenziert werden. OneFS löscht nicht referenzierte Daten einem Schattenspeicher, wenn der ShadowStoreDelete-Job ausgeführt wird. OneFS führt regelmäßig sowohl den ShadowStoreDelete- als auch den SnapshotDelete-Job aus. Sie können die Jobs jedoch jederzeit manuell ausführen.


2. Wählen Sie in der Liste der Snapshots einen oder mehrere Snapshots aus, die Sie löschen möchten.

a) Wählen Sie in der Liste Select an action die Option Delete aus.b) Klicken Sie im Bestätigungsdialogfeld auf Delete.

3. Optional: Um die Geschwindigkeit zu erhöhen, mit der gelöschte Snapshot-Daten auf dem Cluster bereinigt werden, führen Sie den SnapshotDelete-Job aus.

a) Klicken Sie auf Cluster Management > Job Operations > Job Types.b) Suchen Sie im Bereich Job Types nach SnapshotDelete und klicken Sie dann auf Start Job.

Das Dialogfeld „Start a Job“ wird angezeigt.c) Klicken Sie auf Start Job.

4. Optional: Um die Geschwindigkeit zu erhöhen, mit der gelöschte Daten, die gemeinsam von deduplizierten Daten und geklonten Dateien verwendet werden, auf dem Cluster bereinigt werden, führen Sie den ShadowStoreDelete-Job aus.

Führen Sie den ShadowStoreDelete-Job erst nach dem SnapshotDelete-Job aus.

a) Klicken Sie auf Cluster Management > Job Operations > Job Types.b) Suchen Sie im Bereich Job Types nach ShadowStoreDelete und klicken Sie dann auf Start Job.

Das Dialogfeld „Start a Job“ wird angezeigt.c) Klicken Sie auf Start Job.


Snapshot-Speicherplatznutzung

Reduzieren der Snapshot-Speicherplatznutzung

Snapshots 199

Best Practices für die Erstellung von Snapshots

Ändern von Snapshot-AttributenSie können den Namen und das Ablaufdatum eines Snapshot ändern.


2. Suchen Sie in der Liste der Snapshots den zu ändernden Snapshot und klicken Sie dann auf View /Edit.Das Dialogfeld View Snapshot Details wird angezeigt.

3. Klicken Sie auf Edit.Das Dialogfeld Edit Snapshot Details wird angezeigt.

4. Ändern Sie die Attribute, die Sie ändern möchten.




Zuweisen eines Snapshot-Aliasnamens zu einem SnapshotSie können einem Snapshot einen Snapshot-Aliasnamen zuweisen.


2. Klicken Sie in der Tabelle Snapshot Aliases in der Zeile für einen Alias auf View/Edit.

3. Klicken Sie im Bereich Alias Name auf Edit.

4. Geben Sie im Feld Alias Name einen neuen Aliasnamen ein.




Anzeigen von SnapshotsSie können eine Liste aller Snapshots anzeigen.

Klicken Sie auf Data Protection > SnapshotIQ > Snapshots.Die Snapshots sind in der Tabelle Snapshots aufgeführt.



Snapshot-InformationenSie können Informationen über Snapshots anzeigen, einschließlich der Gesamtmenge an Speicherplatz, der von allen Snapshots belegt wird.

Die folgenden Informationen werden im Bereich Saved Snapshots angezeigt:

Saved Snapshots Zeigt die Gesamtzahl der Snapshots an, die auf dem Cluster vorhanden sind

Snapshots Pending Deletion

Zeigt die Gesamtzahl der Snapshots an, die auf dem Cluster gelöscht wurden, seitdem der letzte Snapshot-Löschjob ausgeführt wurde. Der von den gelöschten Snapshots belegte Speicherplatz wird erst freigegeben, wenn der Snapshot-Löschjob erneut ausgeführt wird.

Snapshot Aliases Zeigt die Gesamtzahl der Snapshot-Aliasnamen an, die auf dem Cluster vorhanden sind

Capacity Used by Snapshots

Zeigt den Gesamtspeicherplatz an, der von allen Snapshots belegt wird

200 Snapshots

Zugehörige Tasks

Erstellen eines Snapshot

Ändern von Snapshot-Attributen

Zuweisen eines Snapshot-Aliasnamens zu einem Snapshot

Anzeigen von Snapshots

Wiederherstellen von Snapshot-DatenSie können Snapshot-Daten auf verschiedene Methoden wiederherstellen. Sie können einen Snapshot zurücksetzen oder über das Snapshot-Verzeichnis auf Snapshot-Daten zugreifen.

Im Snapshot-Verzeichnis können Sie eine Datei klonen oder ein Verzeichnis oder eine Datei kopieren. Das Snapshot-Verzeichnis ist über Windows Explorer oder über eine UNIX-Befehlszeile zugreifbar. Sie können den Zugriff auf das Snapshot-Verzeichnis für jede dieser Methoden mithilfe von Snapshot-Einstellungen deaktivieren und aktivieren.

Zurücksetzen eines SnapshotSie können ein Verzeichnis in den Status zurücksetzen, in dem es sich zum Zeitpunkt der Snapshot-Erstellung befand. Bevor OneFS einen Snapshot zurücksetzt, erstellt OneFS einen Snapshot des Verzeichnisses, das zurückgesetzt wird, sodass die Daten, die im Verzeichnis gespeichert sind, nicht verloren gehen. OneFS löscht einen Snapshot nach dem Zurücksetzen nicht.

• Erstellen Sie eine SnapRevert-Domain für das Verzeichnis.• Erstellen Sie einen Snapshot eines Verzeichnisses.


2. Suchen Sie in der Tabelle Job Types nach dem Job SnapRevert und klicken Sie dann auf Start Job.Das Dialogfeld Start a Job wird angezeigt.

3. Optional: Um eine Priorität für den Job anzugeben, wählen Sie aus der Liste Priority eine Priorität aus.

Niedrigere Werte bedeuten eine höhere Priorität. Wenn Sie keine Priorität angeben, wird dem Job die Standardpriorität für das Zurücksetzen von Snapshots zugewiesen.

4. Optional: Sie können die Menge an Clusterressourcen angeben, die der Job verbrauchen darf. Wählen Sie hierzu aus der Liste Impact Policy eine Auswirkungs-Policy aus.

Wenn Sie keine Policy angeben, wird dem Job die Standard-Policy für das Zurücksetzen von Snapshots zugewiesen.

5. Geben Sie im Feld Snapshot ID to revert den Namen oder die ID des Snapshot an, den Sie zurücksetzen möchten, und klicken Sie dann auf Start Job.

Zugehörige Tasks

Erstellen einer SnapRevert-Domain

Wiederherstellen einer Datei oder eines Verzeichnisses mit Windows ExplorerWenn der Microsoft Shadow Copy-Client auf dem Computer installiert ist, können Sie das diesen zum Wiederherstellen von Dateien und Verzeichnissen verwenden, die in Snapshots gespeichert sind.

Bei dieser Methode zur Wiederherstellung von Dateien und Verzeichnissen werden die ursprünglichen Berechtigungen nicht beibehalten. Stattdessen weist diese Methode der Datei oder dem Verzeichnis dieselben Berechtigungen wie für das Verzeichnis zu, in das Sie diese Datei oder dieses Verzeichnis kopieren. Wenn Sie die Berechtigungen während der Wiederherstellung von Daten aus einem Snapshot beibehalten möchten, führen Sie in einer UNIX-Befehlszeile den Befehl cp mit der Option -a aus.

ANMERKUNG: Sie können mit Windows Explorer auf bis zu 64 Snapshots eines Verzeichnisses zugreifen, beginnend mit

dem zuletzt erzeugten Snapshot. Um auf mehr als 64 Snapshots für ein Verzeichnis zuzugreifen, greifen Sie über eine

UNIX-Befehlszeile auf das Cluster zu.

1. Wechseln Sie in Windows Explorer zu dem Verzeichnis, das Sie wiederherstellen möchten, oder zu dem Verzeichnis, das die Datei enthält, die Sie wiederherstellen möchten.

Wenn das Verzeichnis gelöscht wurde, müssen Sie es erneut erstellen.

2. Klicken Sie mit der rechten Maustaste auf den Ordner und klicken Sie dann auf Properties.

Snapshots 201

3. Klicken Sie im Fenster Properties auf die Registerkarte Previous Versions.

4. Wählen Sie die Version des Ordners aus, die Sie wiederherstellen möchten, oder die Version des Ordners, die die Version der Datei enthält, die Sie wiederherstellen möchten.

5. Stellen Sie die Version der Datei oder des Verzeichnisses wieder her.

• Um alle Dateien im ausgewählten Verzeichnis wiederherzustellen, klicken Sie auf Restore.• Um das ausgewählte Verzeichnis an einen anderen Standort zu kopieren, klicken Sie auf Copy und geben Sie einen Standort zum

Kopieren des Verzeichnisses an.• Wenn Sie eine bestimmte Datei wiederherstellen möchten, klicken Sie auf Open und kopieren Sie die Datei in das ursprüngliche

Verzeichnis, sodass Sie die vorhandene Datei durch die Snapshot-Version ersetzen.

Wiederherstellen einer Datei oder eines Verzeichnisses über eine UNIX-BefehlszeileSie können eine Datei oder ein Verzeichnis aus einem Snapshot über eine UNIX-Befehlszeile wiederherstellen.

1. Öffnen Sie eine Verbindung zum Cluster über eine UNIX-Befehlszeile.

2. Optional: Um den Inhalt des Snapshot anzuzeigen, aus dem Sie eine Datei oder ein Verzeichnis wiederherstellen möchten, führen Sie den Befehl ls für ein Verzeichnis aus, das im Snapshot-Stammverzeichnis enthalten ist.Beispielsweise zeigt der folgende Befehl den Inhalt des Verzeichnisses /archive an, das in „Snapshot2014Jun04“ enthalten ist:

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. Kopieren Sie die Datei oder das Verzeichnis, indem Sie den Befehl cp ausführen.Der folgende Befehl erstellt beispielsweise eine Kopie von Datei file1:

cp -a /ifs/.snapshot/Snapshot2014Jun04/archive/file1 \ /ifs/archive/file1_copy

Klonen einer Datei aus einem SnapshotSie können eine Datei aus einem Snapshot klonen.


2. Um den Inhalt des Snapshot anzuzeigen, von dem Sie eine Datei oder ein Verzeichnis wiederherstellen möchten, führen Sie den Befehl ls für ein Unterverzeichnis des Snapshot-Stammverzeichnisses aus.

Beispielsweise zeigt der folgende Befehl den Inhalt des Verzeichnisses /archive an, das in „Snapshot2014Jun04“ enthalten ist:

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. Erstellen Sie eine Datei aus dem Snapshot, indem Sie den Befehl cp mit der Option -c ausführen.

So wird beispielsweise mit dem folgenden Befehl die Datei „test.txt“ von „Snapshot2014Jun04“ geklont:

cp -c /ifs/.snapshot/Snapshot2014Jun04/archive/test.txt \/ifs/archive/test_clone.text


Datei-Clones

Managen von Snapshot-PlanungenSie können Snapshot-Planungen ändern, löschen und anzeigen.

Ändern eines Snapshot-ZeitplansAlle Änderungen an einem Snapshot-Zeitplan werden nur auf Snapshots angewendet, die nach Durchführung der Änderungen erzeugt werden. Zeitplanänderungen wirken sich nicht auf vorhandene Snapshots aus.

202 Snapshots

Wenn Sie den Aliasnamen für einen Snapshot-Zeitplan ändern, wird der Aliasname dem nächsten Snapshot zugewiesen, der entsprechend dem Zeitplan erzeugt wird. Der alte Aliasname wird jedoch nicht von dem Snapshot gelöscht, dem er zuletzt zugewiesen war. Solange Sie den alten Aliasnamen nicht manuell entfernen, bleibt der Aliasname mit dem Snapshot verbunden, dem er zuletzt zugewiesen wurde.


2. Suchen Sie in der Tabelle Schedules den Snapshot-Zeitplan, den Sie ändern möchten, und klicken Sie dann auf View/Edit.Das Dialogfeld View Snapshot Schedule Details wird angezeigt.

3. Klicken Sie auf Edit.Das Dialogfeld Edit Snapshot Schedule Details wird angezeigt.

4. Ändern Sie die Attribute des Snapshot-Zeitplans, die Sie ändern möchten.



Snapshot-Planungen


Löschen eines Snapshot-PlansSie können einen Snapshot-Zeitplan löschen. Durch Löschen eines Snapshot-Zeitplans werden keine Snapshots gelöscht, die gemäß dem Zeitplan erzeugt wurden.


2. Suchen Sie in der Tabelle Schedules den Snapshot-Zeitplan, den Sie löschen möchten, und klicken Sie dann auf Delete.Das Dialogfeld Confirm Delete wird angezeigt.



Snapshot-Planungen

Anzeigen von Snapshot-ZeitplänenSie können Snapshot-Zeitpläne anzeigen.


2. Suchen Sie in der Tabelle Schedules den Snapshot-Zeitplan, den Sie anzeigen möchten, und klicken Sie dann auf View/Edit.


Snapshot-Planungen

Managen von Snapshot-AliasnamenSie können Snapshot-Planungen so konfigurieren, dass dem Snapshot, der zuletzt über eine Snapshot-Planung erstellt wurde, ein Snapshot-Aliasname zugewiesen wird. Sie können Snapshot-Aliasnamen auch manuell bestimmten Snapshots oder der Onlineversion des Dateisystems zuweisen.

Konfigurieren eines Snapshot-Alias für eine Snapshot-PlanungSie können einen Snapshot-Zeitplan so konfigurieren, dass dem Snapshot, der zuletzt mithilfe des Zeitplans erstellt wurde, ein Snapshot-Alias zugewiesen wird.

1. Klicken Sie auf Data Protection > SnapshotIQ > Snapshot Schedules

2. Suchen Sie in der Tabelle Schedules den Snapshot-Zeitplan, den Sie konfigurieren möchten, und klicken Sie auf View/Edit.Das Dialogfeld View Snapshot Schedule Details wird angezeigt.

3. Klicken Sie auf Edit.Das Dialogfeld Edit Snapshot Schedule Details wird angezeigt.

Snapshots 203

4. Wählen Sie die Option Create a snapshot alias aus.

5. Geben Sie im Feld Snapshot Alias den Namen des Snapshot-Alias ein.


Zuweisen eines Snapshot-Aliasnamens zu einem SnapshotSie können einem Snapshot einen Snapshot-Aliasnamen zuweisen.


2. Klicken Sie in der Tabelle Snapshot Aliases in der Zeile für einen Alias auf View/Edit.

3. Klicken Sie im Bereich Alias Name auf Edit.

4. Geben Sie im Feld Alias Name einen neuen Aliasnamen ein.




Zuweisen eines Snapshot-Aliasnamens zum OnlinedateisystemSie können einen Snapshot-Aliasnamen neu zuweisen, sodass Clients von einem Snapshot zum Onlinedateisystem umgeleitet werden.

Dieses Verfahren ist nur über die Befehlszeilenoberfläche (CLI) verfügbar.


2. Führen Sie den Befehl isi snapshot aliases modify aus.Mit dem folgenden Befehl wird der Aliasname „latestWeekly“ dem Onlinedateisystem zugewiesen:

isi snapshot aliases modify latestWeekly --target LIVE

Anzeigen von Snapshot-AliasnamenSie können eine Liste aller Snapshot-Aliasnamen anzeigen.



2. Sie können einer Liste aller Snapshot-Aliasnamen anzeigen, indem Sie den folgenden Befehl ausführen:

isi snapshot aliases list

Wenn sich ein Snapshot-Aliasname auf die Onlineversion des Dateisystems bezieht, ist lautet die Target ID -1.

3. Optional: Informationen über einen bestimmten Snapshot können Sie durch Ausführen des Befehls isi snapshot aliases view anzeigen.Mit dem folgenden Befehl werden Informationen über „latestWeekly“ angezeigt:

isi snapshot aliases view latestWeekly

Informationen zu Snapshot-AliasnamenSie können Informationen zu Snapshot-Aliasnamen mit dem Befehl isi snapshot aliases view anzeigen.

ID Die numerische ID des Snapshot-Alias

Name Der Snapshot-Aliasname

Ziel-ID Die numerische ID des Snapshot, auf die sich der Alias bezieht

Zielname Der Name des Snapshot, auf den sich der Alias bezieht

204 Snapshots

Erstellt Datum und Uhrzeit der Erstellung des Snapshot-Alias

Managen von Snapshot-SperrenSie können das Ablaufdatum von Snapshot-Sperren löschen, erstellen und ändern.

VORSICHT:

Es wird empfohlen, dass Sie Snapshot-Sperren nur auf Anweisung des technischen Supports von Isilon erstellen,

löschen oder ändern.

Durch das Löschen einer Snapshot-Sperre, die durch OneFS erstellt wurde, kann es zu Datenverlusten kommen. Wenn Sie eine Snapshot-Sperre löschen, die durch OneFS erstellt wurde, ist es möglich, dass der entsprechende Snapshot gelöscht wird, während er noch von OneFS verwendet wird. Wenn OneFS auf einen Snapshot nicht zugreifen kann, der für einen Vorgang erforderlich ist, schlägt der Vorgang fehl, was zu Datenverlust führen kann. Das Ändern des Ablaufdatums einer von OneFS erstellten Snapshot-Sperre kann ebenfalls zu Datenverlusten führen, da der entsprechende Snapshot u. U. vorzeitig gelöscht wird.


Snapshot-Sperren

Erstellen einer Snapshot-SperreSie können Snapshot-Sperren erstellen, die verhindern, dass Snapshots gelöscht werden.

Obwohl Sie verhindern können, dass ein Snapshot automatisch gelöscht wird, indem Sie eine Snapshot-Sperre erstellen, wird empfohlen, dass Sie keine Snapshot-Sperren erstellen. Um das automatische Löschen eines Snapshot zu verhindern, wird empfohlen, dass Sie die Gültigkeitsdauer des Snapshot verlängern.



2. Erstellen Sie eine Snapshot-Sperre, indem Sie den Befehl isi snapshot locks create ausführen.So wird beispielsweise durch den folgenden Befehl eine Snapshot-Sperre über „SnapshotApril2016“ verhängt, das Ablaufdatum der Sperre auf einen Monat festgelegt und die Beschreibung „Wartungssperre“ (Maintenance Lock) hinzugefügt:

isi snapshot locks create SnapshotApril2016 --expires 1M \--comment "Maintenance Lock"


Snapshot-Sperren


Informationen zu Snapshot-Sperren

Ändern eines Snapshot-SperrablaufdatumsSie können das Ablaufdatum einer Snapshot-Sperre ändern.

VORSICHT: Es wird empfohlen, dass Sie die Ablaufdaten von Snapshot-Sperren nicht ändern.



2. Führen Sie den Befehl isi snapshot locks modify aus.Mit dem folgenden Befehl wird ein Ablaufdatum von zwei Tagen nach dem aktuellen Datum für eine Snapshot-Sperre mit einer ID von 1 festgelegt und auf den Snapshot „SnapshotApril2014“ angewendet:

isi snapshot locks modify SnapshotApril2014 1 --expires 2D

Snapshots 205


Snapshot-Sperren


Informationen zu Snapshot-Sperren

Löschen einer Snapshot-SperreSnapshot-Sperren können gelöscht werden.

VORSICHT: Das Löschen von Snapshot-Sperren wird nicht empfohlen.



2. Löschen Sie eine Snapshot-Sperre, indem Sie den Befehl isi snapshot locks delete ausführen.So wird beispielsweise durch den folgenden Befehl eine Snapshot-Sperre gelöscht, die auf „SnapshotApril2014“ angewendet wird und eine Sperr-ID von 1 hat:

isi snapshot locks delete Snapshot2014Apr16 1

Das System fordert Sie auf, zu bestätigen, dass Sie die Snapshot-Sperre löschen möchten.

3. Geben Sie yes ein und drücken Sie die Eingabetaste.


Snapshot-Sperren

Informationen zu Snapshot-SperrenSie können Informationen zu Snapshot-Sperren mithilfe der Befehle isi snapshot locks view und isi snapshot locks list anzeigen.

ID Numerische Identifikationsnummer der Snapshot-Sperre

Anmerkung Beschreibung der Snapshot-Sperre. Dies kann eine beliebige von einem Benutzer eingegebene Zeichenfolge sein.

Expires Das Datum, an dem die Snapshot-Sperre automatisch von OneFS gelöscht wird

Count Die Anzahl der Sperrvorgänge einer Snapshot-Sperre

Der Vorgang zur Erstellung eines Datei-Clones kann eine Snapshot-Sperre wiederholt verwenden. Wenn gleichzeitig mehrere Datei-Clones erstellt werden, verwendet der Vorgang zur Erstellung von Datei-Clones dieselbe Sperre mehrfach, anstatt mehrere Sperren zu erstellen. Wenn Sie eine Snapshot-Sperre löschen, die mehrfach genutzt wurde, löschen Sie nur eine der Instanzen, für die die Sperre verwendet wurde. Um eine Snapshot-Sperre zu löschen, die mehrmals genutzt wurde, müssen Sie die Snapshot-Sperre so oft löschen, wie im Feld „Count“ angezeigt.

Konfigurieren der SnapshotIQ-EinstellungenSie können SnapshotIQ-Einstellungen konfigurieren, die festlegen, wie Snapshots erstellt werden und mit welchen Methoden Benutzer auf Snapshot-Daten zugreifen können.

1. Klicken Sie auf Data Protection > SnapshotIQ > Settings.

2. Ändern Sie SnapshotIQ-Einstellungen und klicken Sie dann auf Save.


Einstellungen für SnapshotIQ

206 Snapshots

Einstellungen für SnapshotIQSnapshotIQ-Einstellungen bestimmen, wie sich Snapshots verhalten und wie auf diese zugegriffen werden kann.

Die folgenden SnapshotIQ-Einstellungen können konfiguriert werden:

Snapshot Scheduling

Bestimmt, ob Snapshots erzeugt werden könnenANMERKUNG: Die Deaktivierung der Snapshot-Erzeugung kann dazu führen, dass einige OneFS-

Vorgänge fehlschlagen. Es wird empfohlen, diese Einstellung nicht zu deaktivieren.

Auto-create Snapshots

Bestimmt, ob Snapshots automatisch nach Snapshot-Planungen erzeugt werden

Auto-delete Snapshots

Bestimmt, ob Snapshots automatisch nach Snapshot-Planungen gelöscht werden

NFS-Sichtbarkeit und -Zugänglichkeit

Root Directory Accessible

Bestimmt, ob auf Snapshot-Verzeichnisse über NFS zugegriffen werden kann

Root Directory Visible

Bestimmt, ob Snapshot-Verzeichnisse über NFS sichtbar sind

Sub-directories Accessible

Bestimmt, ob auf Snapshot-Unterverzeichnisse über NFS zugegriffen werden kann

SMB-Sichtbarkeit und -Zugänglichkeit


Bestimmt, ob auf Snapshot-Verzeichnisse über SMB zugegriffen werden kann


Bestimmt, ob Snapshot-Verzeichnisse über SMB sichtbar sind


Bestimmt, ob auf Snapshot-Unterverzeichnisse über SMB zugegriffen werden kann

Lokale Sichtbarkeit und Zugänglichkeit


Bestimmt, ob auf Snapshot-Verzeichnisse über das lokale Dateisystem zugegriffen werden kann. Sie können über eine SSH-Verbindung oder über die lokale Konsole auf das lokale Dateisystem zugreifen.


Bestimmt, ob Snapshot-Verzeichnisse über das lokale Dateisystem sichtbar sind. Sie können über eine SSH-Verbindung oder über die lokale Konsole auf das lokale Dateisystem zugreifen.


Bestimmt, ob auf Snapshot-Unterverzeichnisse über das lokale Dateisystem zugegriffen werden kann. Sie können über eine SSH-Verbindung oder über die lokale Konsole auf das lokale Dateisystem zugreifen.

Zugehörige Tasks

Konfigurieren der SnapshotIQ-Einstellungen

Festlegen der Snapshot-ReserveSie können einen Mindestprozentsatz der Clusterspeicherkapazität für Snapshots reservieren.

Die Snapshot-Reserve begrenzt nicht den Speicherplatz, den Snapshots auf dem Cluster verbrauchen dürfen. Snapshots können mehr Speicherkapazität verbrauchen, als durch den Prozentsatz der Snapshot-Reserve festgelegt ist. Es wird empfohlen, dass Sie keine Snapshot-Reserve angeben.



2. Legen Sie die Snapshot-Reserve fest, indem Sie den Befehl isi snapshot settings modify mit der Option --reserve ausführen.

Snapshots 207

Mit dem folgenden Befehl wird die Snapshot-Reserve beispielsweise auf 20 % festgelegt:

isi snapshot settings modify --reserve 20


Snapshot-Reserve

Managen von ÄnderungslistenSie können Änderungslisten erstellen und anzeigen, in denen die Unterschiede zwischen zwei Snapshots beschrieben werden. Sie können eine Änderungsliste für zwei beliebige Snapshots erstellen, die über ein gemeinsames Stammverzeichnis verfügen.

Änderungslisten werden meist von Anwendungen über die OneFS-Plattform-API genutzt. Beispielsweise könnten die beiden letzten Snapshots eines wichtigen Verzeichnispfads regelmäßig über eine benutzerdefinierte Anwendung verglichen werden, um festzustellen, ob das Verzeichnis gesichert werden muss oder andere Aktionen ausgeführt werden müssen.

Erstellen einer ÄnderungslisteSie können eine Änderungsliste zum Anzeigen der Unterschiede zwischen zwei Snapshots erstellen.

1. Optional: Notieren Sie die IDs der Snapshots.

a) Klicken Sie auf Data Protection > SnapshotIQ > Snapshots.b) Klicken Sie in der Zeile des jeweiligen Snapshot, für den Sie eine Änderungsliste erstellen möchten, auf View Details und notieren

Sie die IDs des Snapshot.


3. Wählen Sie im Bereich Job Types in der Zeile ChangelistCreate der Spalte Actions die Option Start Job.

4. Geben Sie im Feld Older Snapshot ID die ID des älteren Snapshot ein.

5. Geben Sie im Feld Newer Snapshot ID die ID des neueren Snapshot ein.


Löschen einer ÄnderungslisteSie können eine Änderungsliste löschen.

Führen Sie den Befehl isi_changelist_mod mit der Option -k aus.

Mit dem folgenden Befehl wird die Änderungsliste 22_24 gelöscht:

isi_changelist_mod -k 22_24

Anzeigen einer ÄnderungslisteSie können eine Änderungsliste anzeigen, die die Unterschiede zwischen zwei Snapshots beschreibt. Dieses Verfahren ist nur über die Befehlszeilenoberfläche (CLI) verfügbar.

1. Mit dem folgenden Befehl können Sie die IDs von Änderungslisten anzeigen:

isi_changelist_mod -l

Änderungslisten-IDs beinhalten die IDs beider Snapshots, die zum Erstellen der Änderungsliste verwendet wurden. Wenn die Erstellung einer Änderungsliste immer noch in Bearbeitung ist, wird inprog an die Änderungslisten-ID angehängt.

2. Optional: Durch Ausführen des Befehls isi_changelist_mod mit der Option -a können alle Inhalte der Änderungsliste angezeigt werden.Mit dem folgenden Befehl wird der Inhalt einer Änderungsliste namens 2_6 angezeigt:

isi_changelist_mod -a 2_6

208 Snapshots

Informationen zu ÄnderungslistenSie können die in Änderungslisten enthaltenen Informationen anzeigen.

ANMERKUNG: Die in Änderungslisten enthaltenen Informationen werden von Anwendungen durch die OneFS-

Plattform-API genutzt.

Die folgenden Informationen werden bei Ausführung des Befehls isi_changelist_mod für jedes Element in der Änderungsliste angezeigt:

st_ino Zeigt die inode-Nummer des angegebenen Elements an

st_mode Zeigt den Dateityp und die Berechtigungen für das angegebene Element an

st_size Zeigt die Gesamtgröße des Elements in Byte an

st_atime Zeigt den POSIX-Zeitstempel zum Zeitpunkt des letztmaligen Zugriffs auf das Element an

st_mtime Zeigt den POSIX-Zeitstempel zum Zeitpunkt der letztmaligen Modifikation des Elements an

st_ctime Zeigt den POSIX-Zeitstempel zum Zeitpunkt der letztmaligen Änderung des Elements an

cl_flags Zeigt Informationen über das Element und die Arten von Änderungen an, die für das Element vorgenommen wurden

01 Das Element wurde unter dem Stammverzeichnis der Snapshots hinzugefügt oder verschoben.

02 Das Element wurde aus dem Stammverzeichnis der Snapshots entfernt oder verschoben.

04 Der Pfad des Elements wurde geändert, ohne dass es vom Stammverzeichnis des Snapshots entfernt wurde.

10 Das Element enthält derzeit oder hat zu einem Zeitpunkt ADS (Alternate Data Streams) enthalten.

20 Das Element ist ein ADS.

40 Das Element hat Hardlinks.

ANMERKUNG: Diese Werte werden in der Ausgabe addiert. Zum Beispiel wäre der Code beim

Hinzufügen eines ADS cl_flags=021.

path Der absolute Pfad der angegebenen Datei oder des angegebenen Verzeichnisses

Snapshots 209

Deduplizierung mit SmartDedupeDieser Abschnitt enthält die folgenden Themen:

Themen:

• Übersicht über die Deduplizierung• Deduplizierungsjobs• Datenreplikation und Backup mit Deduplizierung• Snapshots mit Deduplizierung• Überlegungen zur Deduplizierung• Überlegungen zum Schattenspeicher• SmartDedupe-Lizenzfunktionen• Managen der Deduplizierung

Übersicht über die DeduplizierungMit SmartDedupe können Sie Speicherplatz in Ihrem Cluster einsparen, indem Sie redundante Daten reduzieren. Die Deduplizierung maximiert die Effizienz Ihres Clusters, indem die Speichermenge reduziert wird, die zum Speichern mehrerer Dateien mit identischen Blöcken erforderlich ist.

Das SmartDedupe-Softwaremodul dedupliziert Daten durch Scannen des Isilon-Clusters auf identische Datenblöcke. Jeder Block ist 8 KB groß. Wenn SmartDedupe deduplizierte Blöcke erkennt, verschiebt SmartDedupe eine einzelne Kopie der Blöcke in eine ausgeblendete Datei, die als Schattenspeicher bezeichnet wird. SmartDedupe löscht anschließend doppelte Blöcke aus den Originaldateien und ersetzt die Blöcke mit Pointern zum Schattenspeicher.

Die Deduplizierung findet auf der Verzeichnisebene statt und bezieht alle Dateien und Verzeichnisse ein, die sich unter einem oder mehreren Stammverzeichnissen befinden. SmartDedupe dedupliziert nicht nur identische Blöcke in verschiedene Dateien, sondern auch identische Blöcke innerhalb einer einzigen Datei.

Sie können ein Verzeichnis zunächst für die Deduplizierung bewerten, um zu bestimmen, wie viel Speicherplatz Sie voraussichtlich sparen können. Anschließend können Sie entscheiden, ob Sie das Verzeichnis deduplizieren möchten. Nach Beginn der Deduplizierung eines Verzeichnisses können Sie durch eine Deduplizierung in Echtzeit überwachen, wie viel Speicherplatz gespart wird.

Um zwei oder mehr Dateien zu deduplizieren, müssen die Dateien dieselbe Laufwerkspool-Policy-ID und Schutz-Policy aufweisen. Wenn mindestens eines dieser Attribute zwischen zwei oder mehr identischen Dateien oder Dateien mit identischen 8-KB-Blöcken abweicht, werden die Dateien nicht dedupliziert.

Da es möglich ist, Schutz-Policies pro Datei oder pro Verzeichnis anzugeben, kann die Deduplizierung weiter beeinträchtigt werden. Nehmen Sie als Beispiel die zwei Dateien /ifs/data/projects/alpha/logo.jpg und /ifs/data/projects/beta/logo.jpg. Obwohl die logo.jpg-Dateien in beiden Verzeichnissen identisch sind, werden die beiden Dateien nicht dedupliziert, wenn eine davon andere Schutz-Policy als die andere Datei aufweist.

Wenn Sie eine SmartPools-Lizenz auf dem Cluster aktiviert haben, können Sie außerdem benutzerdefinierte Dateipool-Policies festlegen. Diese Dateipool-Policies können dazu führen, dass Dateien, die identisch sind oder über identische 8-KB-Blöcke verfügen, in unterschiedlichen Node-Pools gespeichert werden. Daher verfügen diese Dateien über unterschiedliche Laufwerkpool-Policy-IDs und werden nicht dedupliziert.

SmartDedupe dedupliziert zudem nur Dateien mit einer Größe bis zu 32 KB, da andernfalls mehr Clusterressourcen belegt als durch die Speicherplatzeinsparungen erzielt würden. Die Standardgröße für einen Schattenspeicher beträgt 2 GB. Jeder Schattenspeicher kann bis zu 256.000 Blöcke enthalten. Jeder Block in einem Schattenspeicher kann bis zu 32.000-mal referenziert werden.

DeduplizierungsjobsEine Deduplizierung wird durch einen als Deduplizierungsjob bezeichneten Systemwartungsjob ausgeführt. Sie können Deduplizierungsjobs ebenso überwachen und steuern wie andere Wartungsjobs auf dem Cluster. Obwohl die Auswirkungen der Deduplizierung auf die Gesamtperformance minimal sind, verbraucht der Deduplizierungsjob 256 MB Speicher pro Node.

Wenn ein Deduplizierungsjob das erste Mal auf einem Cluster ausgeführt wird, tastet SmartDedupe Blöcke jeder Datei ab und erstellt Indexeinträge für diese Blöcke. Wenn die Indexeinträge zweier Blöcke übereinstimmen, scannt SmartDedupe die am übereinstimmenden

14

210 Deduplizierung mit SmartDedupe

Paar anliegenden Blöcke und dedupliziert dann alle Duplikatblöcke. Nachdem ein Deduplizierungsjob eine Datei abgetastet hat, tasten neue Deduplizierungsjobs die Datei nicht erneut ab, solange die Datei nicht geändert wird.

Der erste Deduplizierungsjob, den Sie ausführen, kann erheblich länger dauern als nachfolgende Deduplizierungsjobs. Beim ersten Deduplizierungsjob müssen alle Dateien in den angegebenen Verzeichnissen gescannt werden, um den Anfangsindex zu generieren. Wenn spätere Deduplizierungsjobs sehr lange dauern, deutet dies wahrscheinlich darauf hin, dass eine große Menge an Daten dedupliziert wird. Es kann allerdings auch darauf hinweisen, dass Benutzer eine große Menge an neuen Daten auf dem Cluster speichern. Wenn ein Deduplizierungsjob während der Deduplizierung unterbrochen wird, startet der Job den Scanvorgang automatisch von der Stelle neu, an der der Job unterbrochen wurde.

ANMERKUNG: Deduplizierungsjobs sollten ausgeführt werden, wenn Benutzer keine Daten auf dem Cluster ändern.

Wenn Benutzer kontinuierlich Dateien auf dem Cluster ändern, ist die durch die Deduplizierung erzielte

Speicherplatzeinsparung minimal, da die deduplizierten Blöcke ständig vom Schattenspeicher entfernt werden.

Es hängt von der Größe Ihrer Datasets, der Veränderungsrate und Ihren Möglichkeiten ab, wie häufig ein Deduplizierungsjob auf Ihrem Isilon-Cluster ausgeführt werden sollte. Für die meisten Cluster empfiehlt es sich, einen Deduplizierungsjob alle sieben bis zehn Tage auszuführen. Sie können einen Deduplizierungsjob manuell starten oder einen wiederkehrenden Job in festgelegten Intervallen planen. Standardmäßig wird ein Deduplizierungsjob mit niedriger Priorität ausgeführt. Sie können für manuelle oder geplante Deduplizierungsjobs aber Jobkontrollen wie Priorität und Auswirkungen festlegen.

Die Berechtigungen, die erforderlich sind, um Deduplizierungseinstellungen zu ändern, unterscheiden sich von jenen, die erforderlich sind, um einen Deduplizierungsjob auszuführen. Obwohl ein Benutzer die Wartungsjobberechtigung haben muss, um einen Deduplizierungsjob ausführen zu können, muss der Benutzer die Deduplizierungsberechtigung haben, um Deduplizierungseinstellungen ändern zu können. Root-Benutzer und SystemAdmin-Benutzer verfügen standardmäßig über die erforderlichen Berechtigungen für alle Deduplizierungsvorgänge.

Zugehörige Tasks

Bewerten von Speicherplatzeinsparungen durch Deduplizierung

Angeben von Deduplizierungseinstellungen

Datenreplikation und Backup mit DeduplizierungWenn deduplizierte Dateien in ein anderes Isilon-Cluster repliziert oder auf ein Bandgerät gesichert werden, nutzen die deduplizierten Dateien keine gemeinsamen Blöcke mehr auf dem Isilon-Zielcluster oder auf dem Backupgerät. Auch wenn Sie Daten auf einem Isilon-Zielcluster deduplizieren können, können Sie Daten nicht auf einem NDMP-Backupgerät deduplizieren.

Schattenspeicher wird nicht auf Zielcluster oder Backupgeräte übertragen. Aus diesem Grund verbrauchen deduplizierte Dateien nicht weniger Speicherplatz als nicht-deduplizierte Dateien, wenn sie repliziert oder gesichert werden. Um Speicherplatzmangel zu vermeiden, müssen Sie sicherstellen dass Zielcluster und Bandgeräte über ausreichend freien Speicherplatz verfügen, um deduplizierte Daten so speichern zu können, als ob sie nicht dedupliziert worden wären. Um den Speicherplatzverbrauch auf einem Isilon-Zielcluster zu reduzieren, können Sie die Deduplizierung für die Zielverzeichnisse Ihrer Replikationsrichtlinien konfigurieren. Obwohl dadurch Daten im Zielverzeichnis dedupliziert werden, ermöglicht es SyncIQ nicht, Schattenspeicher zu übertragen. Die Deduplizierung wird weiterhin von Deduplizierungsjobs durchgeführt, die auf dem Zielcluster ausgeführt werden.

Die Menge der erforderlichen Clusterressourcen zur Sicherung und Replikation deduplizierter Daten ist die gleiche wie für nicht deduplizierte Daten. Sie können Daten deduplizieren, während die Daten repliziert oder gesichert werden.

Snapshots mit DeduplizierungSie können die in einem Snapshot gespeicherten Daten nicht deduplizieren. Sie können jedoch Snapshots von deduplizierten Daten erstellen.

Wenn Sie einen Snapshot für ein dedupliziertes Verzeichnis erstellen und anschließend den Inhalt dieses Verzeichnisses ändern, werden die Verweise auf Schattenspeicher im Laufe der Zeit auf den Snapshot übertragen. Sie sparen daher mehr Speicherplatz auf dem Cluster, wenn Sie die Deduplizierung aktivieren, bevor Sie Snapshots erstellen. Wenn Sie die Deduplizierung auf einem Cluster implementieren, auf dem bereits eine erhebliche Datenmenge in Snapshots gespeichert ist, dauert es etwas, bevor sich die Deduplizierung auf die Snapshot-Daten auswirkt. Neu erstellte Snapshots können deduplizierte Daten enthalten. Snapshots, die erstellt wurden, bevor die Deduplizierung implementiert wurde, können dies jedoch nicht.

Wenn Sie das Zurücksetzen eines Snapshot planen, ist es am besten, den Snapshot zurückzusetzen, bevor Sie einen Deduplizierungsjob ausführen. Durch das Wiederherstellen eines Snapshot können viele Dateien auf dem Cluster überschrieben werden. Deduplizierte Dateien werden in normale Dateien zurückkonvertiert, wenn sie von einer Snapshot-Zurücksetzung überschrieben werden. Nachdem die Snapshot-Zurücksetzung jedoch abgeschlossen ist, können Sie das Verzeichnis deduplizieren und die Speicherplatzeinsparungen bleiben auf dem Cluster bestehen.

Deduplizierung mit SmartDedupe 211

Überlegungen zur DeduplizierungEine Deduplizierung kann die Effizienz, mit der Sie Daten speichern, erheblich steigern. Der Effekt der Deduplizierung variiert jedoch je nach Cluster.

Sie können die Redundanz auf einem Cluster reduzieren, indem Sie SmartDedupe ausführen. Durch eine Deduplizierung werden Links erstellt, die sich auf die Geschwindigkeit auswirken können, mit der Sie Dateien lesen und in diese schreiben können. Insbesondere das sequenzielle Lesen von Datenblöcken einer deduplizierten Datei, die kleiner sind als 512 KB, kann erheblich langsamer sein als das sequenzielle Lesen von Datenblöcken gleicher Größer einer nicht-deduplizierten Datei. Diese Performanceverschlechterung gilt nur, wenn Sie nicht zwischengespeicherte Daten lesen. Für zwischengespeicherte Daten ist die Performance für deduplizierte Dateien potenziell besser als für nicht deduplizierte Dateien. Wenn Sie Datenblöcke streamen, die größer sind als 512 KB, wirkt sich die Deduplizierung nicht wesentlich auf die Leseperformance der Datei aus. Wenn Sie jeweils nur 8 KB oder weniger jeder Datei auf einmal streamen möchten und die Dateien nicht parallel streamen möchten, wird empfohlen, dass Sie die Dateien nicht deduplizieren.

Die Deduplizierung ist am effizientesten, wenn sie auf statische oder archivierte Dateien und Verzeichnisse angewendet wird. Je weniger Dateien geändert werden, desto weniger negative Auswirkungen hat die Deduplizierung auf das Cluster. Beispielsweise enthalten virtuelle Maschinen häufig mehrere Kopien identischer Dateien, die selten geändert werden. Die Deduplizierung einer großen Anzahl von virtuellen Maschinen kann den genutzten Speicherplatz erheblich reduzieren.

Überlegungen zum SchattenspeicherSchattenspeicher sind versteckte Dateien, die von geklonten und deduplizierten Dateien referenziert werden. Dateien, die Schattenspeicher referenzieren, verhalten sich anders als andere Dateien.

• Das Lesen von Schattenspeicherreferenzen kann länger dauern als das direkte Lesen von Daten. Insbesondere das Lesen nicht zwischengespeicherter Schattenspeicherreferenzen dauert länger als das Lesen nicht zwischengespeicherter Daten. Das Lesen zwischengespeicherter Schattenspeicherreferenzen dauert nicht länger als das Lesen zwischengespeicherter Daten.

• Wenn Dateien, die Schattenspeicher referenzieren, auf ein anderes Isilon-Cluster repliziert oder auf einem NDMP-Backupgerät (Network Data Management Protocol) gesichert werden, werden die Schattenspeicher nicht auf das Isilon-Zielcluster oder das Zielbackupgerät übertragen. Die Dateien werden übertragen, als ob sie die Daten enthalten würden, die sie aus den Schattenspeichern referenzieren. Auf dem Isilon-Zielcluster oder Backupgerät belegen die Dateien genauso viel Speicherplatz, als wenn sie keine Schattenspeicher referenzieren würden.

• Wenn OneFS einen Schattenspeicher erstellt, wird dieser dem Speicherpool einer Datei zugewiesen, die den Schattenspeicher referenziert. Wenn Sie den Speicherpool löschen, auf dem sich ein Schattenspeicher befindet, wird der Schattenspeicher auf einen Pool verschoben, in dem sich eine andere Datei befindet, die den Schattenspeicher referenziert.

• OneFS löscht Schattenspeicherblöcke nicht unmittelbar, nachdem der letzte Verweis auf den Block gelöscht wird. Stattdessen wartet OneFS, bis der ShadowStoreDelete-Job ausgeführt wird, um den nicht referenzierten Block zu entfernen. Wenn eine große Anzahl nicht referenzierter Blöcke auf dem Cluster vorhanden ist, meldet OneFS möglicherweise negative Deduplizierungseinsparungen, bis der ShadowStoreDelete-Job ausgeführt wird.

• Der Schutz eines Schattenspeichers ist mindestens ebenso hoch wie der der am höchsten geschützten Datei, die den Schattenspeicher referenziert. Wenn beispielsweise eine Datei, die einen Schattenspeicher referenziert, sich in einem Speicherpool mit +2-Schutz und eine andere Datei, die den Schattenspeicher referenziert, sich in einem Speicherpool mit +3-Schutz befindet, wird auch der Schattenspeicher mit +3-Schutz geschützt.

• Für Quotas werden Dateien, die Schattenspeicher referenzieren, behandelt, als ob diese die Daten enthalten würden, die aus dem Schattenspeicher referenziert werden. Aus der Perspektive einer Quota sind Schattenspeicherreferenzen nicht vorhanden. Wenn eine Quota jedoch Datenschutzoverhead umfasst, berücksichtigt diese Quota den Datenschutzoverhead der Schattenspeicher nicht.

SmartDedupe-LizenzfunktionenSie können Daten nur dann deduplizieren, wenn Sie eine SmartDedupe-Lizenz auf einem Cluster aktivieren. Sie können jedoch Deduplizierungseinsparungen bewerten, ohne eine SmartDedupe-Lizenz zu aktivieren.

Wenn Sie eine SmartDedupe-Lizenz aktivieren und dann Daten deduplizieren, gehen die Speicherplatzeinsparungen nicht verloren, wenn die Lizenz ungültig wird. Sie können Deduplizierungseinsparungen auch weiterhin anzeigen, wenn die Lizenz nicht mehr gültig ist. Sie können jedoch keine weiteren Daten deduplizieren, bis Sie die SmartDedupe-Lizenz reaktivieren.

Managen der DeduplizierungSie können die Deduplizierung auf einem Cluster managen, indem Sie zunächst bewerten, wie viel Speicherplatz eingespart werden kann, wenn Sie einzelne Verzeichnisse deduplizieren. Nachdem Sie bestimmt haben, welche Verzeichnisse eine Deduplizierung wert sind, können Sie SmartDedupe so konfigurieren, dass diese Verzeichnisse dedupliziert werden. Sie können dann die tatsächliche Menge des gesparten Speicherplatzes überwachen.


Bewerten von Speicherplatzeinsparungen durch DeduplizierungSie können die Menge des Speicherplatzes bewerten, den Sie einsparen, indem Sie ein Verzeichnis deduplizieren.

1. Klicken Sie auf File System > Deduplication > Settings.

2. Klicken Sie im Bereich Assess Deduplication auf Browse und wählen Sie ein Verzeichnis aus, das Sie deduplizieren möchten.

Wenn Sie mehrere Verzeichnisse bewerten, werden die Speicherplatzeinsparungen im Deduplizierungsbericht nicht nach Verzeichnissen differenziert.

3. Klicken Sie auf Save, um die Deduplizierungseinstellungen zu speichern.


5. Suchen Sie in der Tabelle Job Types nach dem Job DedupeAssessment und klicken Sie dann auf Start Job.Das Dialogfeld Start a Job wird angezeigt.


7. Klicken Sie auf Cluster Management > Job Operations > Job Summary.Aktive Jobs werden in der Liste Active Jobs angezeigt.

8. Warten Sie, bis der Bewertungsjob abgeschlossen ist.Wenn der DedupeAssessment-Job abgeschlossen ist, wird der Job aus der Liste Active Jobs entfernt.

9. Klicken Sie auf File System > Deduplication > Summary.Klicken Sie im Bereich Deduplication Assessment Reports in der Zeile des letzten Bewertungsjobs auf View Report.

10. Zeigen Sie den Speicherplatz an, der gespart wird, wenn Sie das Verzeichnis deduplizieren.

Die Anzahl der Blöcke, die dedupliziert werden, wird im Feld Deduped blocks angezeigt.


Deduplizierungsjobs

Angeben von DeduplizierungseinstellungenSie können angeben, welche Verzeichnisse Sie deduplizieren möchten.

1. Klicken Sie auf File System > Deduplication > Settings.

2. Klicken Sie im Bereich Deduplication Settings auf Browse und wählen Sie ein Verzeichnis aus, das Sie deduplizieren möchten.

3. Optional: Geben Sie ggf. weitere Verzeichnisse an.

a) Klicken Sie auf Add another directory path.b) Klicken Sie auf Browse und wählen Sie das Verzeichnis aus, das Sie deduplizieren möchten.



Deduplizierungsjobs

Starten oder Planen eines DeduplizierungsjobsSie können einen Deduplizierungsjob manuell starten oder festlegen, dass der Job anhand einer sich wiederholenden Planung automatisch ausgeführt wird.

Es wird empfohlen, dass Sie den Deduplizierungsjob alle 10 Tage ausführen. Der erste Deduplizierungsjob, den Sie auf dem Cluster ausführen, kann erheblich länger dauern als nachfolgende Deduplizierungsjobs.


2. Suchen Sie in der Liste Job Types den Deduplizierungsjob und klicken Sie dann auf View/Edit.Das Dialogfeld View Job Type Details wird angezeigt.

3. Klicken Sie auf Edit Job Type.Das Dialogfeld Edit Job Type Details wird angezeigt.

4. Geben Sie die Jobsteuerelemente wie folgt an:


Option Beschreibung

Enable this job type

Wählen Sie diese Option aus, um den Jobtyp zu aktivieren.

Default Priority Legt die Jobpriorität im Vergleich zu anderen Systemwartungsjobs fest, die gleichzeitig ausgeführt werden. Die Jobpriorität wird mit 1-10 bezeichnet, wobei 1 die höchste und 10 die niedrigste Priorität ist. Der Standardwert ist 4.

Default Impact Policy

Wählt die Menge der Systemressourcen aus, die der Deduplizierungsjob im Vergleich zu anderen, gleichzeitig ausgeführten Systemwartungsjobs verwendet. Wählen Sie einen Policy-Wert von HIGH, MEDIUM, LOW oder OFF-HOURS aus. Der Standardwert ist LOW.

Schedule Gibt an, ob der Job manuell gestartet werden muss oder nach einem regelmäßigen Zeitplan ausgeführt wird. Wenn Sie auf Scheduled klicken, können Sie eine tägliche, wöchentliche, monatliche oder jährliche Planung festlegen. Für die meisten Cluster wird empfohlen, alle 10 Tage einen Deduplizierungsjob auszuführen.

5. Klicken Sie auf Save Changes und anschließend auf Close.Die neuen Jobsteuerelemente werden gespeichert und das Dialogfeld wird geschlossen.


Der Deduplizierungsjob wird mit den neuen Jobsteuerelementen ausgeführt.

Anzeigen von Speicherplatzeinsparungen durch DeduplizierungSie können die Menge des Speicherplatzes anzeigen, den Sie derzeit durch Deduplizierung einsparen.

1. Klicken Sie auf File System > Deduplication > Summary.

2. Im Bereich Deduplication Savings sehen Sie die Speicherplatzeinsparung.


Deduplizierungsinformationen

Anzeigen eines DeduplizierungsberichtsNachdem ein Deduplizierungsjob abgeschlossen ist, können Sie Informationen zu dem Job in einem Deduplizierungsbericht anzeigen.

1. Klicken Sie auf File System > Deduplication > Summary.

2. Suchen Sie im Abschnitt Deduplication Reports oder unter „Deduplication Assessment Reports“ den Bericht, den Sie anzeigen möchten, und klicken Sie dann auf View Report.


Berichtsinformationen zum Deduplizierungsjob

Berichtsinformationen zum DeduplizierungsjobSie können die folgenden deduplizierungsspezifischen Informationen in Deduplizierungsjobberichten anzeigen:

Start time Der Zeitpunkt, zu dem der Deduplizierungsjob gestartet wurde

End Time Der Zeitpunkt, zu dem der Deduplizierungsjob beendet wurde

Iteration Count Gibt an, wie oft SmartDedupe den Abtastprozess unterbrochen hat. Wenn SmartDedupe eine große Datenmenge abtastet, unterbricht SmartDedupe den Abtastvorgang möglicherweise, um die Deduplizierung der Daten zu starten. Nachdem SmartDedupe mit der Deduplizierung der abgetasteten Daten fertig ist, setzt SmartDedupe den Abtastvorgang der restlichen Daten fort.

Scanned blocks Die Gesamtzahl der Blöcke unter den angegebenen deduplizierten Verzeichnissen

Sampled blocks Die Anzahl der Blöcke, für die SmartDedupe Indexeinträge erstellt hat

Deduped blocks Die Anzahl der Blöcke, die dedupliziert wurden


Dedupe percent Der Prozentsatz der gescannten Blöcke, die dedupliziert wurden

Created dedupe requests

Die Gesamtzahl der erstellten Deduplizierungsanforderungen. Eine Deduplizierungsanforderung wird für jedes übereinstimmende Paar von Datenblöcken erstellt. Wenn Sie beispielsweise drei übereinstimmende Datenblöcke haben, erstellt SmartDedupe zwei Anforderungen. Eine der Anforderungen könnte beispielsweise „file1“ und „file2“ miteinander kombinieren und die andere Anforderung könnte „file2“ und „file3“ miteinander kombinieren.

Successful dedupe requests

Die Anzahl der erfolgreich abgeschlossenen Deduplizierungsanforderungen

Failed dedupe requests

Die Anzahl der fehlgeschlagenen Deduplizierungsanforderungen. Wenn eine Deduplizierungsanforderung fehlschlägt, bedeutet dies nicht, dass der Job ebenfalls fehlgeschlagen ist. Eine Deduplizierungsanforderung kann aus mehreren Gründen fehlschlagen. Beispielsweise wurde die Datei möglicherweise geändert, nachdem sie abgetastet wurde.

Skipped files Die Anzahl der Dateien, die nicht durch den Deduplizierungsjob gescannt wurden. SmartDedupe überspringt Dateien aus verschiedenen Gründen. Beispielsweise überspringt SmartDedupe Dateien, die bereits gescannt und seitdem nicht geändert wurden. SmartDedupe überspringt auch alle Dateien, die kleiner sind als 4 KB.

Index entries Die Anzahl der Einträge, die derzeit im Index vorhanden sind

Index lookup attempts

Die Gesamtanzahl der Abfragen, die von früheren Deduplizierungsjobs durchgeführt wurden, plus die Anzahl der Abfragen, die von diesem Deduplizierungsjob durchgeführt wurden. Eine Abfrage liegt vor, wenn der Deduplizierungsjob versucht, einen indizierten Block mit einem nicht indizierten Block abzustimmen.

Index lookup hits Die Anzahl der Blöcke, die Indexeinträgen entsprachen

Zugehörige Tasks

Anzeigen eines Deduplizierungsberichts

DeduplizierungsinformationenSie können die durch Deduplizierung erzielte Speicherplatzeinsparung im Bereich Deduplication Savings anzeigen:

Space Savings Die Gesamtmenge an physischem Speicherplatz, die durch Deduplizierung, einschließlich Schutzoverhead und Metadaten, gespart wird. Beispiel: Wenn Sie drei identische Dateien verwenden, die alle 5 GB groß sind, ist die geschätzte Speicherplatzeinsparung größer als 10 GB, da durch die Deduplizierung Speicherplatz gespart wird, der von File-basierten Metadaten und Schutzoverhead belegt gewesen wäre.

Deduplicated data Der Speicherplatz auf dem Cluster, der von deduplizierten Verzeichnissen belegt ist

Other data Der Speicherplatz auf dem Cluster, der von nicht deduplizierten Verzeichnissen belegt ist

Zugehörige Tasks

Anzeigen von Speicherplatzeinsparungen durch Deduplizierung


Datenreplikation mit SyncIQDieser Abschnitt enthält die folgenden Themen:

Themen:

• SyncIQ-Datenreplikation – Übersicht• Replikationsrichtlinien und -jobs• Replikations-Snapshots• Daten-Failover und -Failback mit SyncIQ• Recovery-Zeiten und Ziele für SyncIQ• Priorität von Replikationsrichtlinien• SyncIQ-Lizenzfunktionen• Erstellen von Replikationsrichtlinien• Managen von Replikationen auf Remoteclustern• Initiieren des Daten-Failover und -Failback mit SyncIQ• Durchführen einer Disaster Recovery für ältere SmartLock-Verzeichnisse• Managen von Replikations-Policies• Managen von Replikationen auf dem lokalen Cluster• Managen von Replikationsperformanceregeln• Managen von Replikationsberichten• Managen von fehlgeschlagenen Replikationsjobs

SyncIQ-Datenreplikation – ÜbersichtOneFS ermöglicht die Replikation von Daten von einem Isilon-Cluster auf einen anderen Cluster über das SyncIQ-Softwaremodul. Sie müssen eine SyncIQ-Lizenz auf beiden Isilon-Clustern aktivieren, bevor Sie eine Datenreplikation zwischen ihnen ausführen können.

Die Daten können auf Verzeichnisebene repliziert werden, wobei optional bestimmte Dateien und Unterverzeichnisse von der Replikation ausgeschlossen werden können. SyncIQ erstellt und referenziert Snapshots, um ein konsistentes Point-in-Time-Image eines Quellverzeichnisses zu replizieren. Metadaten wie Zugriffskontrolllisten (Access Control Lists, ACLs) und alternative Datenströme (Alternate Data Streams, ADS) werden zusammen mit den Daten repliziert.

Mit SyncIQ können Sie ein konsistentes Replikat Ihrer Daten auf einem anderen Isilon-Cluster beibehalten und die Häufigkeit der Datenreplikation steuern. Sie können SyncIQ beispielsweise so konfigurieren, dass für die Daten in Ihrem primären Cluster einmal täglich um 22 Uhr ein Backup auf einem sekundären Cluster erstellt wird. Je nach der Größe Ihrer Datensätze kann der erste Replikationsvorgang eine beträchtliche Zeit in Anspruch nehmen. Danach werden die Replikationsvorgänge jedoch schneller abgeschlossen.

SyncIQ bietet auch automatische Failover- und Failback-Funktionen, die es Ihnen ermöglichen, Vorgänge auf dem sekundären Isilon-Cluster fortzusetzen, wenn der primäre Cluster nicht mehr verfügbar ist.

Replikationsrichtlinien und -jobsDie Datenreplikation wird gemäß den Replikationsrichtlinien und -jobs koordiniert. Replikationsrichtlinien legen fest, welche Daten repliziert werden, wohin die Daten repliziert werden und wie häufig die Daten repliziert werden. Replikationsjobs sind die Vorgänge, bei denen Daten von einem Isilon-Cluster auf ein anderes Cluster repliziert werden. SyncIQ erzeugt Replikationsjobs gemäß Replikationsrichtlinien.

Eine Replikationsrichtlinie legt zwei Cluster fest: die Quelle und das Ziel. Das Cluster, auf dem die Replikationsrichtlinie vorhanden ist, ist das Quellcluster. Das Cluster, auf das die Daten repliziert werden, ist das Zielcluster. Wenn eine Replikationsrichtlinie gestartet wird, erzeugt SyncIQ einen Replikationsjob für die Policy. Wenn ein Replikationsjob ausgeführt wird, werden Dateien aus einer Verzeichnisstruktur auf dem Quellcluster in eine Verzeichnisstruktur auf dem Zielcluster repliziert. Diese Verzeichnisse sind als Quell- und Zielverzeichnisse bekannt.

Nachdem der erste über eine Replikationsrichtlinie erstellte Replikationsjob abgeschlossen ist, werden das Zielverzeichnis und alle im Zielverzeichnis enthaltenen Dateien in einen schreibgeschützten Status versetzt und können nur von anderen Replikationsjobs geändert werden, die zur selben Replikationsrichtlinie gehören. Wir empfehlen, nicht mehr als 100 Richtlinien auf einem Cluster zu erstellen.

15

216 Datenreplikation mit SyncIQ

ANMERKUNG: Um Berechtigungsfehler zu verhindern, stellen Sie sicher, dass ACL-Policy-Einstellungen auf Quell- und

Zielclustern identisch sind.

Sie können zwei Arten von Replikationsrichtlinien erstellen: Synchronisations-Policies und Kopier-Policies. Eine Synchronisations-Policy speichert ein exaktes Replikat des Quellverzeichnisses auf dem Zielcluster. Wenn eine Datei oder ein Unterverzeichnis aus dem Quellverzeichnis gelöscht wird, wird die Datei oder das Verzeichnis vom Zielcluster gelöscht, wenn die Policy erneut ausgeführt wird.

Sie können Synchronisations-Policies verwenden, um Failover- und Failback-Prozesse für Daten zwischen den Quell- und Zielclustern durchzuführen. Wenn ein Quellcluster nicht mehr verfügbar ist, können Sie ein Failover für Daten auf einem Zielcluster durchführen und die Daten für Clients verfügbar machen. Wenn das Quellcluster wieder verfügbar ist, können Sie für die Daten ein Failback auf das Quellcluster durchführen.

Eine Kopier-Policy speichert aktuelle Versionen der Dateien, die auf dem Quellcluster gespeichert sind. Dateien, die aus dem Quellcluster gelöscht werden, werden jedoch nicht aus dem Zielcluster gelöscht. Failback wird für Kopier-Policies nicht unterstützt. Kopier-Policies werden meistens zu Archivierungszwecken verwendet.

Mit Kopier-Policies können Sie Dateien aus dem Quellcluster löschen, ohne diese Dateien auf dem Zielcluster zu verlieren. Die Löschung von Dateien auf dem Quellcluster verbessert die Performance auf dem Quellcluster bei gleichzeitiger Beibehaltung der gelöschten Dateien auf dem Zielcluster. Dies kann nützlich sein, wenn, z. B. Ihr Quellcluster zu Produktionszwecken und Ihr Zielcluster nur für die Archivierung verwendet wird.

Nachdem ein Job für eine Replikationsrichtlinie erstellt wurde, muss SyncIQ warten, bis der Job abgeschlossen ist, bevor ein weiterer Job für die Policy erstellt werden kann. Es können beliebig viele Replikationsjobs auf einem Cluster zu einem bestimmten Zeitpunkt vorhanden sein. Es können jedoch nur 50 Replikationsjobs gleichzeitig auf einem Quellcluster ausgeführt werden. Wenn mehr als 50 Replikationsjobs auf einem Cluster vorhanden sind, werden die ersten 50 Jobs ausgeführt, während die anderen zur Ausführung in die Warteschlange gestellt werden.

Es gibt keine Begrenzung bei der Anzahl von Replikationsjobs, die ein Zielcluster gleichzeitig unterstützen kann. Da eine größere Anzahl von Replikationsjobs aber auch mehr Clusterressourcen erfordert, verlangsamt sich die Replikation, je mehr gleichzeitige Jobs hinzugefügt werden.

Wenn ein Replikationsjob ausgeführt wird, erzeugt OneFS Worker auf dem Quell- und Zielcluster. Worker auf dem Quellcluster lesen und senden Daten und Worker auf dem Zielcluster empfangen und schreiben Daten.

Sie können beliebig viele Dateien und Verzeichnisse mit einem einzigen Replikationsjob replizieren. Sie können die Überlastung des Systems durch einen großen Replikationsjob vermeiden, indem Sie die Menge der Clusterressourcen und der Netzwerkbandbreite einschränken, die von der Datensynchronisation verbraucht werden darf. Da jeder Node in einem Cluster Daten empfangen und senden kann, erhöht sich für größere Cluster die Geschwindigkeit, mit der die Daten repliziert werden.


Erstellen von Replikationsrichtlinien

Automatisierte ReplikationsrichtlinienSie können eine Replikationsrichtlinie jederzeit manuell starten. Sie können Replikationsrichtlinien jedoch auch so konfigurieren, dass sie auf Grundlage von Änderungen am Quellverzeichnis oder gemäß einer Planung automatisch gestartet werden.

Sie können eine Replikationsrichtlinie so konfigurieren, dass sie nach einer Planung ausgeführt wird, und haben damit die Kontrolle darüber, wann die Replikation ausgeführt wird. Weiterhin können Sie Policies konfigurieren, um die in Snapshots eines Verzeichnisses erfassten Daten zu replizieren. Sie können eine Replikationsrichtlinie auch so konfigurieren, dass sie gestartet wird, sobald SyncIQ eine Änderung am Quellverzeichnis erkennt, sodass SyncIQ eine aktuellere Version Ihrer Daten auf dem Zielcluster vorhält.

Die Planung von Policies kann unter folgenden Umständen nützlich sein:

• Sie möchten die Datenreplikation ausführen, wenn die Benutzeraktivität niedrig ist.• Sie können genau prognostizieren, wann Änderungen an Originaldaten gemacht werden.

Wenn eine Policy zur Ausführung nach einem Plan konfiguriert ist, können Sie die Policy so konfigurieren, dass sie nicht ausgeführt wird, wenn seit der letzten Ausführung des Jobs am Inhalt des Quellverzeichnisses keine Änderungen vorgenommen wurden. Wenn aber Änderungen am übergeordneten Verzeichnis des Quellverzeichnisses oder an einem Verzeichnis derselben Ebene wie das Quellverzeichnis vorgenommen wurden und anschließend ein Snapshot des übergeordneten Verzeichnisses erstellt wird, erstellt SyncIQ selbst dann einen Job für die Policy, wenn keine Änderungen am Quellverzeichnis vorgenommen wurden. Wenn Sie das Cluster über die FSA-Funktion (File System Analytics) von InsightIQ überwachen, erstellt der FSA-Job Snapshots von /ifs, was wahrscheinlich dazu führt, dass bei Ausführung eines FSA-Jobs ein Replikationsjob gestartet wird.

Das Replizieren von Daten, die in Snapshots eines Verzeichnisses enthalten sind, kann unter folgenden Umständen nützlich sein:

• Sie möchten Daten gemäß einem Zeitplan replizieren und Sie erzeugen bereits Snapshots des Quellverzeichnisses über einen Snapshot-Plan.

Datenreplikation mit SyncIQ 217

• Sie möchten auf dem Quell- und Zielcluster identische Snapshots beibehalten.• Sie möchten vorhandene Snapshots an das Zielcluster replizieren.

Um dies zu erreichen, müssen Sie Archivierungs-Snapshots auf dem Zielcluster aktivieren. Diese Einstellung kann nur aktiviert werden, wenn die Policy erstellt ist.

Wenn eine Policy so konfiguriert ist, dass Snapshots repliziert werden, können Sie SyncIQ so konfigurieren, dass nur Snapshots repliziert werden, die einem bestimmten Benennungsmuster entsprechen.

Die Konfiguration einer Policy in Abhängigkeit von Änderungen am Quellverzeichnis kann unter den folgenden Umständen nützlich sein:

• Sie möchten jederzeit über eine aktuelle Kopie Ihrer Daten verfügen.• Sie erwarten zahlreiche Änderungen in unvorhersehbaren Intervallen.

Bei Policies, die so konfiguriert sind, dass sie bei Änderungen am Quellverzeichnis gestartet werden, prüft SyncIQ die Quellverzeichnisse alle zehn Sekunden. SyncIQ prüft alle Dateien und Verzeichnisse unterhalb des Quellverzeichnisses, unabhängig davon, ob diese Dateien oder Verzeichnisse von der Replikation ausgeschlossen sind. Daher führt SyncIQ gelegentlich einen unnötigen Replikationsjob durch. Angenommen, die neue Policy repliziert /ifs/data/media, schließt aber /ifs/data/media/temp aus. Wenn eine Änderung an /ifs/data/media/temp/file.txt vorgenommen wird, führt SyncIQ die neue Policy selbst dann aus, wenn /ifs/data/media/temp/file.txt nicht repliziert wird.

Wenn eine Policy so konfiguriert ist, dass sie bei Änderungen am Quellverzeichnis gestartet wird, und ein Replikationsjob fehlschlägt, wartet SyncIQ eine Minute und versucht dann, die Policy erneut auszuführen. SyncIQ steigert diese Verzögerung exponentiell für jeden einzelnen Ausfall bis zu maximal acht Stunden. Sie können die Verzögerung außer Kraft setzen, indem Sie die Policy zu einem beliebigen Zeitpunkt manuell ausführen. Nachdem ein Job für die Policy erfolgreich abgeschlossen ist, nimmt SyncIQ die Prüfung des Quellverzeichnisses alle zehn Sekunden wieder auf.

Wenn eine Policy so konfiguriert ist, dass sie bei Änderungen am Quellverzeichnis gestartet wird, können Sie SyncIQ so konfigurieren, dass der Job erst nach einem bestimmten Zeitraum ab der Änderung des Quellverzeichnisses gestartet wird.

ANMERKUNG: Um eine häufige Synchronisierung bei minimalen Änderungen sowie die unnötige Belastung von

Systemressourcen zu vermeiden, raten wir dringend davon ab, eine kontinuierliche Replikation zu konfigurieren, wenn

das Quellverzeichnis hochgradig aktiv ist. In solchen Fällen ist es oft besser, die kontinuierliche Replikation mit einer

Verzögerung von mehreren Stunden nach einer Änderung zu konfigurieren, um Gruppen von Änderungen zu

konsolidieren.

Quell- und ZielclusterzuordnungSyncIQ verknüpft eine Replikationsrichtlinie mit einem Zielcluster, indem das Zielcluster gekennzeichnet wird, wenn der Job zum ersten Mal ausgeführt wird. Selbst wenn Sie den Namen oder die IP-Adresse des Zielclusters ändern, bleibt die Markierung auf dem Zielcluster bestehen. Wenn eine Replikationsrichtlinie ausgeführt wird, überprüft SyncIQ die Markierungen, damit die Daten an den richtigen Standort repliziert werden.

Auf dem Zielcluster können Sie eine Zuordnung zwischen einer Replikationsrichtlinie und einem Zielverzeichnis manuell entfernen. Durch Entfernen der Zuordnung zwischen einem Quell- und einem Zielcluster wird die Markierung auf dem Zielcluster gelöscht. Sie sollten eine Zuordnung zu einem Ziel manuell entfernen, wenn eine Zuordnung veraltet ist. Wenn Sie die Zuordnung einer Policy entfernen, wird die Policy auf dem Quellcluster deaktiviert und Sie können die Policy nicht ausführen. Wenn Sie die deaktivierte Policy erneut ausführen möchten, müssen Sie die Replikationsrichtlinie zurücksetzen.

Durch Entfernen einer Policy wird bei der nächsten Ausführung der Replikationsrichtlinie entweder eine vollständige oder eine differenzielle Replikation ausgeführt. Während einer vollständigen oder differenziellen Replikation erstellt SyncIQ eine neue Zuordnung zwischen dem Quell- und dem Zielcluster. Je nach replizierter Datenmenge kann eine vollständige oder differenzielle Replikation sehr lange dauern.

VORSICHT: Änderungen an der Konfiguration des Zielclusters außerhalb von SyncIQ können eine Fehlerbedingung

verursachen, die effektiv die Zuordnung zwischen dem Quell- und Zielcluster trennt. Beispielsweise kann eine Änderung

des DNS-Datensatzes des Zielclusters dieses Problem verursachen. Wenn Sie außerhalb von SyncIQ erhebliche

Konfigurationsänderungen am Zielcluster vornehmen müssen, achten Sie darauf, dass Ihre SyncIQ-Policies weiterhin

eine Verbindung zum Zielcluster herstellen können.

Konfigurieren von SyncIQ-Quell- und -Zielclustern mit NATQuell- und Zielcluster können beim SyncIQ-Failover und -Failback NAT (Network Address Translation) verwenden, aber sie müssen entsprechend konfiguriert sein.

Die Quell- und Zielcluster befinden sich in diesem Szenario in der Regel an unterschiedlichen physischen Speicherorten, verwenden privaten, nicht routingfähigen Adressraum und sind nicht direkt mit dem Internet verbunden. Jedem Cluster wird in der Regel ein Bereich


mit privaten IP-Adressen zugewiesen. Beispielsweise können einem Cluster mit 12 Nodes die IP-Adressen von 192.168.10.11 bis 192.168.10.22 zugewiesen werden.

Für die Kommunikation über das öffentliche Internet müssen alle eingehenden und ausgehenden Datenpakete auf den Quell- und Zielclustern durch eine NAT-fähige Firewall oder einen Router ordnungsgemäß übersetzt und umgeleitet werden.

VORSICHT: SyncIQ-Daten werden nicht verschlüsselt. Die Ausführung von SyncIQ-Jobs im öffentlichen Internet bietet

keinen Schutz vor Datendiebstahl.

Mit SyncIQ können Sie Replikationsjobs auf bestimmte Nodes in Ihrem Cluster begrenzen. Wenn Ihr Cluster beispielsweise aus 12 Nodes besteht, können Sie Replikationsjobs auf nur 3 dieser Nodes begrenzen. Für die Unterstützung von NAT müssen Sie eine Eins-zu-Eins-Zuordnung zwischen den Quell- und Zielclustern erstellen. Wenn Sie Replikationsjobs auf 3 Nodes in Ihrem Quellcluster begrenzen, müssen Sie also 3 Nodes in Ihrem Zielcluster zuordnen.

In diesem Fall müssen Sie eine statische NAT konfigurieren, die manchmal auch als „eingehende Zuordnung“ bezeichnet wird. Sowohl im Quell- als auch im Zielcluster müssen Sie hierzu jeder privaten Adresse, die einem Node zugewiesen ist, eine statische NAT-Adresse zuordnen. Beispiel:

Quellcluster Zielcluster

Node-Name Private Adresse NAT-Adresse Node-Name Private Adresse NAT-Adresse

source-1 192.168.10.11 10.8.8.201 target-1 192.168.55.101 10.1.2.11

source-2 192.168.10.12 10.8.8.202 target-2 192.168.55.102 10.1.2.12

source-3 192.168.10.13 10.8.8.203 target-3 192.168.55.103 10.1.2.13

Um statische NAT zu konfigurieren, müssen Sie die Datei /etc/local/hosts auf allen 6 Nodes bearbeiten und sie ihren Gegenstücken zuordnen, indem Sie die entsprechende NAT-Adresse und den Node-Namen hinzufügen. Die Einträge in der Datei /etc/local/hosts auf den 3 Nodes des Quellclusters würden beispielsweise wie folgt aussehen:

10.1.2.11 target-1

10.1.2.12 target-2

10.1.2.13 target-3Dementsprechend müssen Sie die Datei /etc/local/hosts auf den 3 Nodes des Zielclusters bearbeiten und die NAT-Adresse und den Namen des zugeordneten Node auf dem Quellcluster einfügen. Die Einträge für die drei Nodes des Zielclusters würden beispielsweise wie folgt aussehen:

10.8.8.201 source-1

10.8.8.202 source-2

10.8.8.203 source-3Wenn der NAT-Server SyncIQ-Datenpakete von einem Node im Quellcluster empfängt, ersetzt der NAT-Server die Paketkopfzeilen und die Portnummer und interne IP-Adresse des Node durch die eigene Portnummer und externe IP-Adresse des NAT-Servers. Der NAT-Server im Quellnetzwerk sendet dann die Pakete über das Internet an das Zielnetzwerk, in dem ein weiterer NAT-Server einen ähnlichen Prozess zum Übertragen der Daten in den Ziel-Node ausführt. Beim Failback der Daten wird der Prozess umgekehrt.

Bei diesem Konfigurationstyp kann SyncIQ die richtigen Adressen bestimmen, mit denen eine Verbindung hergestellt werden soll, damit SyncIQ Daten senden und empfangen kann. In diesem Szenario ist keine SmartConnect-Zonenkonfiguration erforderlich.

Informationen zu den Ports, die von SyncIQ verwendet werden, finden Sie im OneFS Security Configuration Guide für Ihre OneFS-Version.

Vollständige und differenzielle ReplikationWenn eine Replikationsrichtlinie auf ein Problem trifft, das nicht behoben werden kann (z. B. wenn die Verknüpfung im Zielcluster unterbrochen wurde), müssen Sie möglicherweise die Replikationsrichtlinie zurücksetzen. Wenn Sie eine Replikationsrichtlinie zurücksetzen, führt SyncIQ beim nächsten Ausführen der Richtlinie entweder eine vollständige oder eine differenzielle Replikation durch. Sie können die Art der Replikation festlegen, die SyncIQ durchführt.

Während einer vollständigen Replikation überträgt SyncIQ alle Daten aus dem Quellcluster unabhängig davon, welche Daten im Zielcluster vorhanden sind. Eine vollständige Replikation belegt große Mengen an Netzwerkbandbreite und kann sehr lange dauern. Eine vollständige Replikation wirkt sich jedoch weniger auf die CPU-Auslastung aus als eine differenzielle Replikation.

Während einer differenziellen Replikation überprüft SyncIQ zunächst, ob eine Datei bereits im Zielcluster vorhanden ist, und überträgt dann nur Daten, die noch nicht im Zielcluster vorhanden sind. Eine differenzielle Replikation verbraucht weniger Netzwerkbandbreite als eine


vollständige Replikation, beansprucht die CPU jedoch mehr. Eine differenzielle Replikation kann deutlich schneller als eine vollständige Replikation abgeschlossen werden, wenn für den Replikationsjob eine angemessene CPU-Kapazität verfügbar ist.

Zugehörige Tasks

Ausführen einer vollständigen oder differenziellen Replikation

Steuerung des Ressourcenverbrauchs durch ReplikationsjobsSie können Regeln erstellen, um Folgendes zu beschränken: den durch Replikationsjobs auftretenden Netzwerkverkehr, die Rate, mit der Dateien durch Replikationsjobs gesendet werden, den Prozentsatz der von Replikationsjobs verwendeten CPU und die Anzahl der für Replikationsjobs erstellten Workers.

Wenn Sie den Gesamtprozentsatz von Workers einschränken möchten, die SyncIQ erstellen kann, wird das Limit auf die Gesamtanzahl von Workers angewendet, die durch SyncIQ erstellt werden könnte. Diese Zahl wird durch die Clusterhardware bestimmt. Worker auf dem Quellcluster lesen und senden Daten. Worker auf dem Zielcluster empfangen und schreiben Daten.

ANMERKUNG: Die Dateivorgangsregeln funktionieren möglicherweise nicht richtig bei Dateien, deren Übertragung

mehr als eine Sekunde in Anspruch nimmt und deren Dateigröße nicht vorhersehbar ähnlich ist.


Managen von Replikationsperformanceregeln

Priorität von ReplikationsrichtlinienWenn Sie eine Replikationsrichtlinie erstellen, können Sie eine Richtlinie so erstellen, dass sie Priorität gegenüber anderen Jobs hat.

Wenn mehrere Replikationsjobs in der Warteschlange stehen, da die maximale Anzahl von Jobs bereits ausgeführt wird, werden Jobs, die durch Richtlinien mit Priorität erstellt wurden, vor Jobs ohne Prioritäten ausgeführt. Angenommen, derzeit werden 50 Jobs ausgeführt. Ein Job ohne Priorität wird erstellt und in die Warteschlange eingereiht. Als Nächstes wird ein Job mit Priorität erstellt und in die Warteschlange eingereiht. Der Job mit Priorität wird als Nächstes ausgeführt, selbst wenn der Job ohne Priorität sich bereits länger in der Warteschlange befindet.

Darüber hinaus hält SyncIQ Replikationsjobs ohne Priorität an, damit Jobs mit Priorität ausgeführt werden können. Angenommen, 50 Jobs werden bereits ausgeführt und einer von ihnen hat keine Priorität. Wenn ein Replikationsjob mit Priorität erstellt wird, hält SyncIQ den Replikationsjob ohne Priorität an und führt den Job mit Priorität aus.

ReplikationsberichteNach Abschluss eines Replikationsjobs erstellt SyncIQ einen Replikationsbericht mit detaillierten Informationen über den Job, einschließlich der Ausführungsdauer des Jobs, wie viele Daten übertragen wurden und welche Fehler aufgetreten sind.

Wenn ein Replikationsbericht unterbrochen wird, erstellt SyncIQ eventuell einen Teilbericht über den bisherigen Fortschritt des Jobs. Wenn der Job dann neu gestartet wird, erstellt SyncIQ einen weiteren Teilbericht über den Fortschritt des Jobs, bis der Job entweder abgeschlossen oder erneut unterbrochen wird. SyncIQ erstellt jedes Mal, wenn der Job unterbrochen wird, einen Teilbericht, bis der Job erfolgreich abgeschlossen wird. Wenn mehrere Teilberichte für einen Job erstellt werden, werden die Informationen der Teilberichte von SyncIQ in einem Bericht kombiniert.

Replikationsberichte werden von SyncIQ routinemäßig gelöscht. Sie können festlegen, wie viele Replikationsberichte maximal von SyncIQ aufbewahrt werden sollen sowie die Aufbewahrungsdauer. Wenn die maximale Anzahl der Replikationsberichte auf einem Cluster überschritten wird, löscht SyncIQ jedes Mal, wenn ein neuer Bericht erstellt wird, den ältesten Bericht.

Sie können den Inhalt eines Replikationsberichts nicht anpassen.

ANMERKUNG: Wenn Sie eine Replikationsrichtlinie löschen, löscht SyncIQ automatisch alle Berichte, die für diese

Policy erstellt wurden.


Managen von Replikationsberichten


Replikations-SnapshotsSyncIQ erzeugt Snapshots, um Replikation, Failover und Failback zwischen Isilon-Clustern zu ermöglichen. Durch SyncIQ erzeugte Snapshots können auch zu Archivierungszwecken auf dem Zielcluster verwendet werden.

Quellcluster-SnapshotsSyncIQ erzeugt Snapshots im Quellcluster, um dafür zu sorgen, dass ein konsistentes Point-in-Time-Abbild repliziert wird, und dass unveränderte Daten nicht an das Zielcluster gesendet werden.

Bevor Sie einen Replikationsjob ausführen, erstellt SyncIQ einen Snapshot des Quellverzeichnisses. SyncIQ repliziert dann die Daten gemäß den Anforderungen des Snapshot, und nicht des aktuellen Status des Clusters, sodass Benutzer Quellverzeichnisdateien ändern können, während gleichzeitig dafür gesorgt wird, dass ein exaktes Point-in-Time-Image des Quellverzeichnisses repliziert wird.

Wenn beispielsweise ein Replikationsjob /ifs/data/dir/ um 13:00 Uhr startet und um 13:20 Uhr abgeschlossen wird und /ifs/data/dir/file um 13:10 Uhr Änderungen vorgenommen werden, so erscheinen die Änderungen nicht im Zielcluster, selbst wenn /ifs/data/dir/file erst um 13:15 Uhr repliziert wird.

Sie können Daten gemäß dem Snapshot, der mit dem SnapshotIQ-Softwaremodul erzeugt wird, replizieren. Wenn Sie Daten gemäß einem SnapshotIQ-Snapshot replizieren, erzeugt SyncIQ keinen anderen Snapshot des Quellverzeichnisses. Diese Methode kann nützlich sein, wenn Sie identische Kopien von Daten auf mehrere Isilon-Cluster replizieren möchten.

SyncIQ erzeugt Quellsnapshots, um dafür zu sorgen, dass Replikationsjobs keine nicht veränderten Daten übertragen. Wenn ein Job für eine Replikationsrichtlinie erstellt wird, prüft SyncIQ, ob dies der erste Job ist, der für die Policy erstellt wurde. Wenn dies nicht der erste Job für die Policy ist, vergleicht SyncIQ den für den früheren Job erzeugten Snapshot mit dem Snapshot, der für den neuen Job erzeugt wurde.

SyncIQ repliziert nur Daten, die seit dem letzten Snapshot für die Replikationsrichtlinie geändert wurden. Nachdem ein Replikationsjob abgeschlossen wurde, löscht SyncIQ den früheren Quellcluster-Snapshot und bewahrt den neuesten Snapshot auf, bis der nächste Job ausgeführt wird.

Zielcluster-SnapshotsBeim Ausführen eines Replikationsjobs erzeugt SyncIQ einen Snapshot auf dem Zielcluster, um Failover-Vorgänge zu ermöglichen. Wenn der nächste Replikationsjob für die Replikationsrichtlinie erstellt wird, erstellt der Job einen neuen Snapshot und löscht den alten.

Wenn eine SnapshotQ-Lizenz auf dem Zielcluster aktiviert wurde, können Sie eine Replikationsrichtlinie konfigurieren, um zusätzliche Snapshots zu erzeugen, die auch beim Ausführen nachfolgender Replikationsjobs im Zielcluster bleiben.

SyncIQ erzeugt Ziel-Snapshots, um Failover auf dem Zielcluster unabhängig davon zu ermöglichen, ob eine SnapshotQ-Lizenz auf dem Zielcluster konfiguriert wurde oder nicht. Failover-Snapshots werden beim Abschluss eines Replikationsjobs erzeugt. SyncIQ bewahrt nur einen Failover-Snapshot pro Replikationsrichtlinie auf und löscht den alten Snapshot, nachdem der neue Snapshot erstellt wurde.

Wenn eine SnapshotQ-Lizenz im Zielcluster aktiviert wurde, können Sie SyncIQ konfigurieren, um Archiv-Snapshots im Zielcluster zu erzeugen, die beim Ausführen nachfolgender Replikationsjobs nicht automatisch gelöscht werden. Archiv-Snapshots enthalten die gleichen Daten wie Snapshots, die zu Failover-Zwecken erzeugt werden. Sie können jedoch konfigurieren, wie lang Archiv-Snapshots im Zielcluster aufbewahrt werden. Sie können auf Archiv-Snapshots auf die gleiche Weise zugreifen wie auch auf andere Snapshots, die in einem Cluster erzeugt werden.

Daten-Failover und -Failback mit SyncIQSyncIQ ermöglicht Ihnen, automatische Daten-Failover- und -Failback-Vorgänge zwischen Isilon-Clustern durchzuführen. Wenn das primäre Cluster offline ist, können Sie ein Failover auf ein sekundäres Isilon-Cluster durchführen, damit die Clients weiterhin auf ihre Daten zugreifen können. Wenn das primäre Cluster wieder einsatzbereit ist, können Sie ein Failback auf das primäre Cluster durchführen.

Im Rahmen des SyncIQ-Failover und -Failback wird das Cluster, auf das ursprünglich von Clients zugegriffen wird, als „primäres Cluster“ bezeichnet. Das Cluster, auf das Clientdaten repliziert werden, wird als „sekundäres Cluster“ bezeichnet.

Failover ist der Prozess, der Clients ermöglicht, Daten im sekundären Cluster aufzurufen, anzuzeigen, zu ändern und zu löschen. Failback ist der Prozess, der Clients ermöglicht, im primären Cluster wieder auf ihren Workflow zuzugreifen. Während des Failback werden alle Änderungen an Daten auf dem sekundären Cluster mithilfe eines Replikationsjobs über eine Spiegelungs-Policy zurück auf das primäre Cluster kopiert.

Failover und Failback können in Disaster-Recovery-Szenarien hilfreich sein. Beispiel: Wenn ein primäres Cluster durch eine Naturkatastrophe beschädigt wird, können Sie Clients auf ein sekundäres Cluster migrieren, sodass der normale Betrieb fortgesetzt


werden kann. Wenn das primäre Cluster repariert wurde und wieder online ist, können Sie die Clients wieder auf das primäre Cluster migrieren.

Sie können Failover und Failback auch durchführen, um eine geplante Clusterwartung zu ermöglichen. Wenn Sie beispielsweise das primäre Cluster aktualisieren, sollten Sie Clients auf ein sekundäres Cluster migrieren, bis das Upgrade abgeschlossen ist, und Clients dann zurück auf das primäre Cluster migrieren.

ANMERKUNG: Daten-Failover und -Failback werden für SmartLock-Enterprise- und -Complianceverzeichnisse

unterstützt. SmartLock-Complianceverzeichnisse halten die Anforderungen der Regelung 17a-4(f) der US-

amerikanischen SEC (Securities and Exchange Commission) ein, nach der Wertpapiermakler und -händler Datensätze in

einem nicht überschreibbaren, nicht löschbaren Format archivieren müssen. SyncIQ erfüllt beim Failover und Failback

ordnungsgemäß die Complianceanforderungen der Regelung 17a-4(f).


Initiieren des Daten-Failover und -Failback mit SyncIQ

Daten-FailoverFailover ist der Prozess, bei dem Daten auf einem sekundären Cluster für ein Switchover auf das sekundäre Cluster für normale Clientvorgänge vorbereitet und anschließend auf das sekundäre Cluster umgeleitet werden. Nach dem Failover auf ein sekundäres Cluster können Sie Clients umleiten, sodass diese ihre Daten auf dem sekundären Cluster aufrufen, anzeigen und ändern können.

Vor der Ausführung des Failover müssen Sie auf dem primären Cluster eine SyncIQ-Replikationsrichtlinie erstellen und ausführen. Der Failover-Prozess wird auf dem sekundären Cluster initiiert. Um Daten vom primären Cluster zu migrieren, die auf mehrere Replikationsrichtlinien verteilt sind, müssen Sie ein Failover für jede Replikationsrichtlinie initiieren.

Wenn die Aktion einer Replikationsrichtlinie auf „Copy“ festgelegt ist, ist jede Datei, die auf dem primären Cluster gelöscht wurde, weiterhin auf dem sekundären Cluster vorhanden. Wenn der Client eine Verbindung zum sekundären Cluster herstellt, sind alle Dateien verfügbar, die auf dem primären Cluster gelöscht wurden.

Wenn Sie ein Failover für eine Replikationsrichtlinie initiieren, während ein verbundener Replikationsjob ausgeführt wird, wird der Failover-Vorgang abgeschlossen, der Replikationsjob schlägt jedoch fehl. Da Daten möglicherweise nicht konsistent sind, verwendet SyncIQ den Snapshot des letzten erfolgreichen Replikationsjobs, um die Daten auf dem sekundären Cluster auf den letzten Recovery-Punkt zurückzusetzen.

Bei einem kompletten Ausfall auf dem primären Cluster werden Änderungen, die an Daten vorgenommen wurden, nachdem der letzte erfolgreiche Replikationsjob gestartet wurde, nicht auf das sekundäre Cluster übernommen. Wenn ein Client eine Verbindung mit dem sekundären Cluster herstellt, entsprechen dessen Daten dem Zeitpunkt, zu dem der letzte erfolgreiche Replikationsjob gestartet wurde.

Zugehörige Tasks

Failover von Daten an ein sekundäres Cluster

Daten-FailbackFailback ist der Prozess, bei dem primären und sekundären Clustern wieder die Rollen zugewiesen werden, die sie vor einem Failover-Vorgang eingenommen haben. Nach Abschluss des Failback enthält das primäre Cluster den neuesten Datensatz und setzt den normalen Betrieb fort. Dazu gehört das Hosten von Clients und das Replizieren von Daten auf dem sekundären Cluster über festgelegte SyncIQ-Replikationsrichtlinien.

Der erste Schritt im Failback-Prozess ist die Aktualisierung des primären Clusters mit allen Änderungen, die an den Daten auf dem sekundären Cluster vorgenommen wurden. Der nächste Schritt ist die Vorbereitung des primären Clusters für den Zugriff durch Clients. Der letzte Schritt ist die Wiederaufnahme der Datenreplikation vom primären auf das sekundäre Cluster. Am Ende des Failback-Prozesses können Sie Benutzer umleiten, damit diese wieder auf die Daten auf dem primären Cluster zugreifen können.

Um das primäre Cluster mit den Änderungen zu aktualisieren, die auf dem sekundären Cluster vorgenommen wurden, muss SyncIQ eine SyncIQ-Domain für das Quellverzeichnis erstellen.

Sie können ein Daten-Failback mit jeder Replikationsrichtlinie durchführen, die alle der folgenden Kriterien erfüllt:

• Für die Policy wurde ein Failover durchgeführt.• Die Policy ist eine Synchronisations-Policy (keine Kopie-Policy).• Die Policy schließt keine Dateien oder Verzeichnisse von der Replikation aus.


Zugehörige Tasks

Failback von Daten auf ein primäres Cluster

Failover und Failback im SmartLock-CompliancemodusMit OneFS 8.0.1 und höher können Sie SmartLock-Domains im Compliancemodus in einen Zielcluster replizieren. Dabei werden auch das Failover und Failback dieser SmartLock-Domains unterstützt.

Da der SmartLock-Compliancemodus die Anforderungen von Vorschrift 17a-4(f) der US-amerikanischen Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) erfüllt, sind für das Failover und Failback einer WORM-Domain im Compliancemodus eine gewisse Planung und Konfiguration erforderlich.

Vor allem müssen sowohl Ihre primären (Quellcluster) als auch die sekundären Cluster (Zielcluster) bei der Erstkonfiguration als Cluster mit Compliancemodus konfiguriert werden. Dieser Prozess wird im Isilon-Installationshandbuch für Ihr Node-Modell beschrieben (z. B. im Isilon S210-Installationshandbuch).

Darüber hinaus müssen die Verzeichnisse für beide Cluster als WORM-Domains mit dem Compliancetyp definiert sein. Wenn Sie beispielsweise Ihre WORM-Dateien in der SmartLock-Compliancedomain /ifs/financial-records/locked auf dem primären Cluster speichern, müssen Sie auf dem Zielcluster eine SmartLock-Compliancedomain für das Failover bereitstellen. Die Quell- und Ziel- SmartLock-Compliancedomains können zwar denselben Pfadnamen aufweisen, dies ist jedoch nicht erforderlich.

Darüber hinaus müssen Sie die Complianceuhr auf beiden Clustern starten.

SyncIQ behandelt Konflikte während Failover-/Failback-Vorgängen in einer SmartLock-Domain im Compliancemodus, indem die Verknüpfung von Dateien mit WORM-Status mit dem Nutzerspeicher aufgehoben wird und eine Verknüpfung der Datei im Compliancespeicher beibehalten wird. Der ComplianceStoreDelete-Job überwacht abgelaufene Dateien automatisch und entfernt sie aus dem Compliancespeicher, wenn sie dort aufgrund einer SyncIQ-Konfliktlösung abgelegt wurden. Der Job wird automatisch einmal pro Monat ausgeführt oder kann manuell gestartet werden. Informationen zum Starten des ComplianceStoreDelete-Jobs finden Sie im Isilon OneFS-CLI-Verwaltungshandbuch.

SmartLock-ReplikationseinschränkungenBeachten Sie die Einschränkungen für das Replizieren und Failback von SmartLock-Verzeichnissen mit SyncIQ.

Wenn das Quell- oder Zielverzeichnis einer SyncIQ-Policy ein SmartLock-Verzeichnis ist, sind Replikation und Failback eventuell nicht zulässig. Weitere Informationen finden Sie in der folgenden Tabelle:

Quellverzeichnistyp Zielverzeichnistyp Replikation zulässig Failback zulässig

Nicht-SmartLock Nicht-SmartLock Ja Ja

Nicht-SmartLock SmartLock Enterprise Ja Ja, es sei denn, die Dateien werden auf dem Zielcluster in einen WORM-Status versetzt

Nicht-SmartLock SmartLock-Compliance Nein Nein

SmartLock Enterprise Nicht-SmartLock Ja, Aufbewahrungsfristen und Status der Dateien gehen jedoch verloren.

Ja, die Dateien weisen jedoch keinen WORM-Status auf.

SmartLock Enterprise SmartLock Enterprise Ja Ja, alle neu in den WORM-Status versetzten Dateien sind inbegriffen.

SmartLock Enterprise SmartLock-Compliance Nein Nein

SmartLock-Compliance Nicht-SmartLock Nein Nein

SmartLock-Compliance SmartLock Enterprise Nein Nein

SmartLock-Compliance SmartLock-Compliance Ja Ja, alle neu in den WORM-Status versetzten Dateien sind inbegriffen.

Wenn Sie ein SmartLock-Verzeichnis an ein anderes SmartLock-Verzeichnis replizieren, müssen Sie das SmartLock-Zielverzeichnis erstellen, bevor Sie die Replikationsrichtlinie ausführen. Zwar erstellt OneFS automatisch ein Zielverzeichnis, wenn noch kein Zielverzeichnis vorhanden ist, SmartLock-Zielverzeichnisse werden jedoch nicht automatisch erstellt. Wenn Sie versuchen, ein Unternehmensverzeichnis zu replizieren, bevor das Zielverzeichnis erstellt wurde, erstellt OneFS ein Nicht-SmartLock-Zielverzeichnis und der Replikationsjob wird erfolgreich durchgeführt. Wenn Sie ein Complianceverzeichnis replizieren, bevor das Zielverzeichnis erstellt wurde, schlägt der Replikationsjob fehl.


Wenn Sie SmartLock-Verzeichnisse mit SyncIQ in einen anderen Isilon-Cluster replizieren, wird der WORM-Status der Dateien ebenfalls repliziert. Die Konfigurationseinstellungen für SmartLock-Verzeichnisse werden jedoch nicht auf das Zielverzeichnis übertragen.

Wenn Sie beispielsweise ein Verzeichnis replizieren, das eine Datei mit WORM-Status enthält, deren Ablaufdatum auf den 4. März festgelegt ist, ist das Ablaufdatum der Datei auf dem Zielcluster weiterhin der 4. März. Wenn für das Verzeichnis auf dem Quellcluster jedoch festgelegt ist, dass der Status der Dateien nicht vor Ablauf eines Jahres gewechselt werden kann, wird für das Zielverzeichnis nicht automatisch dieselbe Einschränkung festgelegt.

Falls eine WORM-Ausschlussdomain in einem Enterprise-Modus- oder Compliancemodusverzeichnis erstellt wurde, findet die Replikation des SmartLock-Ausschlusses im Verzeichnis nur dann statt, wenn die SyncIQ-Policy aus der SmartLock-Domain stammt, die den Ausschluss enthält. Wenn diese Bedingung nicht erfüllt ist, werden nur Daten repliziert und der SmartLock-Ausschluss wird nicht im Zielverzeichnis erstellt.

Recovery-Zeiten und Ziele für SyncIQRPO (Recovery Point Objective) und RTO (Recovery Time Objective) sind Messgrößen der Auswirkungen, die eine Katastrophe auf den Geschäftsbetrieb haben kann. Sie können Ihre RPOs und RTOs für eine Disaster Recovery mithilfe von Replikationsrichtlinien berechnen.

RPO ist der maximale Zeitraum, für den Daten verloren sind, wenn ein Cluster plötzlich nicht mehr verfügbar ist. Bei einem Isilon-Cluster ist die RPO die Zeit, die seit Beginn des letzten abgeschlossenen Replikationsjobs vergangen ist. Die RPO ist niemals größer als die Zeit, die erforderlich ist, um zwei aufeinanderfolgende Replikationsjobs auszuführen und abzuschließen.

Bei einem Ausfall während der Ausführung eines Replikationsjobs werden die Daten auf dem sekundären Cluster in den Status zurückgesetzt, den sie bei Abschluss des letzten Replikationsjobs hatten. Nehmen wir als Beispiel eine Umgebung, in der eine Replikationsrichtlinie planmäßig alle drei Stunden ausgeführt wird und Replikationsjobs zwei Stunden benötigen, um abgeschlossen zu werden. Bei einem Ausfall eine Stunde nach Beginn eines Replikationsjobs liegt die RPO bei vier Stunden, da der letzte abgeschlossene Job vor vier Stunden mit der Datenreplikation begonnen hat.

RTO ist der maximale Zeitraum, der erforderlich ist, um Clients Backupdaten nach einem Ausfall zur Verfügung zu stellen. Der RTO-Wert ist immer entweder kleiner oder ungefähr gleich dem RPO-Wert, abhängig von der Häufigkeit, mit der Replikationsjobs für eine bestimmte Policy erstellt werden.

Wenn Replikationsjobs kontinuierlich ausgeführt werden, d. h., für die Policy wird ein weiterer Replikationsjob erstellt, bevor der vorherige Replikationsjob abgeschlossen ist, entspricht der RTO-Wert ungefähr dem RPO-Wert. Wenn für das sekundäre Cluster ein Failover durchgeführt wird, werden die Daten auf dem Cluster auf den Status zurückgesetzt, den sie bei Abschluss des letzten Jobs hatten. Das Zurücksetzen der Daten nimmt in etwa soviel Zeit in Anspruch, wie die Benutzer für die Änderung der Daten benötigt haben.

Wenn die Replikationsjobs in Intervallen ausgeführt werden, d. h. zwischen dem Abschluss eines Replikationsjobs und dem Beginn des nächsten Replikationsjobs für die Policy liegt etwas Zeit, hängt die Beziehung zwischen RTO und RPO davon ab, ob ein Replikationsjob ausgeführt wird, wenn sich der Ausfall ereignet. Wenn ein Job ausgeführt wird, wenn sich ein Ausfall ereignet, entspricht die RTO ungefähr der RPO. Wenn jedoch kein Job ausgeführt wird, wenn sich ein Ausfall ereignet, kann die RTO vernachlässigt werden, da das sekundäre Cluster seit der Ausführung des letzten Replikationsjobs nicht geändert wurde und der Failover-Prozess praktisch ohne Zeitverzögerung erfolgt.

RPO-WarnmeldungenSie können SyncIQ so konfigurieren, dass OneFS-Events erstellt werden, die eine Warnmeldung ausgeben, dass ein bestimmtes Recovery Point Objective (RPO) überschritten wurde. Sie können diese Events über dieselbe Oberfläche wie andere OneFS-Events anzeigen.

Diese Events haben die Event-ID 400040020. Die Eventbenachrichtigung für diese Warnmeldungen hat das folgende Format:

SW_SIQ_RPO_EXCEEDED: SyncIQ RPO exceeded for policy <replication_policy>Angenommen, Sie haben ein RPO von fünf Stunden festgelegt. Ein Job startet um 13:00 Uhr und wird um 15:00 Uhr abgeschlossen. Ein zweiter Job startet um 15:30 Uhr. Wenn der zweite Job nicht bis 18:00 Uhr abgeschlossen wird, erstellt SyncIQ ein OneFS-Event.

Priorität von ReplikationsrichtlinienWenn Sie eine Replikationsrichtlinie erstellen, können Sie eine Richtlinie so erstellen, dass sie Priorität gegenüber anderen Jobs hat.

Wenn mehrere Replikationsjobs in der Warteschlange stehen, da die maximale Anzahl von Jobs bereits ausgeführt wird, werden Jobs, die durch Richtlinien mit Priorität erstellt wurden, vor Jobs ohne Prioritäten ausgeführt. Angenommen, derzeit werden 50 Jobs ausgeführt. Ein Job ohne Priorität wird erstellt und in die Warteschlange eingereiht. Als Nächstes wird ein Job mit Priorität erstellt und in die Warteschlange eingereiht. Der Job mit Priorität wird als Nächstes ausgeführt, selbst wenn der Job ohne Priorität sich bereits länger in der Warteschlange befindet.


Darüber hinaus hält SyncIQ Replikationsjobs ohne Priorität an, damit Jobs mit Priorität ausgeführt werden können. Angenommen, 50 Jobs werden bereits ausgeführt und einer von ihnen hat keine Priorität. Wenn ein Replikationsjob mit Priorität erstellt wird, hält SyncIQ den Replikationsjob ohne Priorität an und führt den Job mit Priorität aus.

SyncIQ-LizenzfunktionenSie können Daten nur dann auf ein anderes Isilon-Cluster replizieren, wenn Sie eine SyncIQ-Lizenz auf dem lokalen Cluster und dem Zielcluster aktivieren.

Wenn eine SyncIQ-Lizenz inaktiv wird, können Sie Replikationsrichtlinien weder erstellen noch ausführen oder managen. Außerdem werden alle zuvor erstellten Replikationsrichtlinien deaktiviert. Replikationsrichtlinien, deren Ziel das lokale Cluster ist, werden ebenfalls deaktiviert. Daten, die zuvor auf das lokale Cluster repliziert wurden, sind jedoch weiterhin verfügbar.

Erstellen von ReplikationsrichtlinienSie können Replikationsrichtlinien erstellen, mit denen festgelegt wird, wann Daten mit SyncIQ repliziert werden.


Replikationsrichtlinien und -jobs

Ausschließen von Verzeichnissen aus der ReplikationSie können Verzeichnisse von der Replikation durch Replikationsrichtlinien ausschließen, selbst wenn die Verzeichnisse sich im festgelegten Quellverzeichnis befinden.

ANMERKUNG: Failback wird nicht für Replikationsrichtlinien unterstützt, die Verzeichnisse ausschließen.

Standardmäßig werden alle Dateien und Verzeichnisse aus dem Quellverzeichnis einer Replikationsrichtlinie in das Zielcluster repliziert. Sie können Verzeichnisse aus dem Quellverzeichnis jedoch von der Replikation ausnehmen.

Wenn Sie ein Verzeichnis von der Replikation ausschließen, werden Dateien und Verzeichnisse aus dem ausgeschlossenen Verzeichnis nicht in das Zielcluster repliziert. Wenn Sie ein Verzeichnis in die Replikation einschließen, werden nur die Dateien und Verzeichnisse aus dem eingeschlossenen Verzeichnis in das Zielcluster repliziert. Verzeichnisse, die nicht in einem eingeschlossenen Verzeichnis enthalten sind, werden von der Replikation ausgeschlossen.

Wenn Sie Verzeichnisse sowohl ein- als auch ausschließen, müssen alle ausgeschlossenen Verzeichnisse in einem der eingeschlossenen Verzeichnisse enthalten sein. Andernfalls hat das Ausschließen von Verzeichnissen keine Auswirkung. Nehmen wir als Beispiel eine Policy mit den folgenden Einstellungen:

• Das Stammverzeichnis ist /ifs/data.

• Die eingeschlossenen Verzeichnisse sind /ifs/data/media/music und /ifs/data/media/movies.

• Die ausgeschlossenen Verzeichnisse sind /ifs/data/archive und /ifs/data/media/music/working.

In diesem Beispiel hat die Einstellung, mit der das Verzeichnis /ifs/data/archive ausgeschlossen wird, keine Auswirkung, da das Verzeichnis /ifs/data/archive in keinem der eingeschlossenen Verzeichnisse enthalten ist. Das Verzeichnis /ifs/data/archive wird nicht repliziert, unabhängig davon, ob das Verzeichnis ausdrücklich ausgeschlossen wird. Die Einstellung, mit der das Verzeichnis /ifs/data/media/music/working ausgeschlossen wird, hat dagegen eine Auswirkung, da das Verzeichnis ohne diese Einstellung repliziert werden würde.

Auch wenn Sie ein Verzeichnis ausschließen, welches das Quellverzeichnis enthält, hat das Ausschließen von Verzeichnissen keine Auswirkung. Beispiel: Wenn das Stammverzeichnis einer Policy /ifs/data ist und das Verzeichnis /ifs ausdrücklich ausgeschlossen wird, wird hierdurch nicht verhindert, dass /ifs/data repliziert wird.

Alle Verzeichnisse, die Sie explizit ein- oder ausschließen, müssen im angegebenen Stammverzeichnis oder einem Unterverzeichnis enthalten sein. Nehmen wir als Beispiel eine Policy, in der das angegebene Stammverzeichnis /ifs/data ist. In diesem Beispiel können Sie die Verzeichnisse /ifs/data/media und /ifs/data/users/ einschließen, da sie sich unter /ifs/data befinden.

Der Ausschluss von Verzeichnissen von einer Synchronisations-Policy führt nicht dazu, dass die Verzeichnisse auf dem Zielcluster gelöscht werden. Nehmen wir als Beispiel eine Replikationsrichtlinie, mit der /ifs/data auf dem Quellcluster auf /ifs/data auf dem Zielcluster synchronisiert wird. Wenn in der Policy /ifs/data/media von der Replikation ausgeschlossen wird und /ifs/data/media/file auf dem Zielcluster vorhanden ist, wird /ifs/data/media/file durch die Ausführung der Policy nicht vom Zielcluster gelöscht.

Zugehörige Tasks

Angeben von Quellverzeichnissen und Dateien


Ausschließen von Dateien aus der ReplikationWenn bestimmte Dateien nicht von einer Replikationsrichtlinie repliziert werden sollen, können Sie diese durch Dateiübereinstimmungskriterien vom Replikationsprozess ausschließen. Sie können Dateiübereinstimmungskriterien während der Erstellung der Replikationsrichtlinie konfigurieren.

ANMERKUNG: Sie können kein Failback für Replikationsrichtlinien durchführen, bei denen Dateien ausgeschlossen

werden.

Ein Dateiübereinstimmungskriterium kann eines oder mehrere Elemente umfassen. Jedes Element enthält ein Dateiattribut, einen Vergleichsoperator und einen Vergleichswert. Sie können mithilfe der booleschen Operatoren „AND“ und „OR“ mehrere Elemente in einem Kriterium kombinieren. Sie können beliebig viele Dateiargumentdefinitionen konfigurieren.

Durch die Konfiguration von Dateikriterien können die zugehörigen Jobs langsamer ausgeführt werden. Es wird empfohlen, dass Sie Dateikriterien nur dann für eine Replikationsrichtlinie festlegen, wenn dies erforderlich ist.

Die Änderung von Dateikriterien führt dazu, dass beim nächsten Start einer Replikationsrichtlinie eine vollständige Replikation ausgeführt wird. Je nach replizierter Datenmenge kann eine vollständige Replikation sehr lange dauern.

Wenn Sie bei Synchronisations-Policies die Vergleichsoperatoren oder Vergleichswerte eines Dateiattributs ändern und eine Datei nicht länger mit den festgelegten Dateiübereinstimmungskriterien übereinstimmt, wird die Datei bei der nächsten Ausführung des Jobs aus dem Ziel entfernt. Diese Regel gilt nicht für Kopier-Policies.

Zugehörige Tasks



Dateikriterienoptionen

DateikriterienoptionenSie können eine Replikationsrichtlinie konfigurieren, um Dateien auszuschließen, die bestimmte Kriterien erfüllen bzw. nicht erfüllen.

Sie können die Dateikriterien basierend auf den folgenden Dateiattributen festlegen:

Date created Schließt Dateien ein oder aus basierend auf dem Datum, an dem die Datei erstellt wurde. Diese Option ist nur für Kopier-Policies verfügbar.

Sie können ein relatives Datum und eine Uhrzeit wie „vor zwei Wochen“ oder ein bestimmtes Datum und eine Uhrzeit wie „am 1. Januar 2012“ angeben. Uhrzeiteinstellungen basieren auf dem 24-Stunden-Format.

Date accessed Schließt Dateien ein oder aus basierend auf dem Datum, an dem zuletzt auf die Datei zugegriffen wurde. Diese Option ist nur für Kopier-Policies verfügbar, wenn die globale Zugriffszeitverfolgung des Clusters aktiviert ist.


Date modified Einbeziehung oder Ausschluss von Dateien auf Grundlage des letzten Änderungszeitpunkts. Diese Option ist nur für Kopier-Policies verfügbar.


Dateiname Einbeziehung oder Ausschluss von Dateien auf Grundlage des Dateinamens. Sie können festlegen, ob die vollständigen oder teilweisen Namen, die einen bestimmten Text enthalten, einbezogen oder ausgeschlossen werden sollen.

Die folgenden Platzhalterzeichen werden akzeptiert:

ANMERKUNG: Alternativ können Sie Dateinamen mithilfe von regulären POSIX-Ausdrücken

(regex) filtern. Isilon-Cluster unterstützen reguläre Ausdrücke gemäß IEEE-STD 1003.2

(POSIX.2). Weitere Informationen zu regulären POSIX-Ausdrücken finden Sie in den BSD-

Manpages.


Tabelle 6. Platzhalter-Matching für Replikationsdateien

Platzhalterzeichen Beschreibung

* Das Sternchen kann für eine beliebige Zeichenfolge stehen.

Beispiel: m* steht für movies und für m123.

[ ] Steht für beliebige Zeichen, die in Klammern enthalten sind, oder für eine Reihe von Zeichen, die durch einen Bindestrich getrennt sind.

Beispiel: b[aei]t steht für bat, bet und bit.

Beispiel: 1[4-7]2 steht für 142, 152, 162 und 172.

Sie können Zeichen in Klammern ausschließen, indem Sie der ersten Klammer ein Ausrufezeichen nachstellen.

Beispiel: b[!ie]t steht für bat jedoch nicht für bit oder bet.

Sie können eine Klammer innerhalb einer Klammer verwenden, wenn es sich um das erste oder letzte Zeichen handelt.

Beispiel: [[c]at steht für cat und [at.

Sie können einen Bindestrich innerhalb einer Klammer verwenden, wenn es sich um das erste oder letzte Zeichen handelt.

Beispiel: car[-s] steht für cars und car-.

? Das Fragezeichen steht für einen beliebiges Zeichen.

Beispiel: t?p steht für tap, tip und top.

Pfad Einbeziehung oder Ausschluss von Dateien auf Grundlage des Dateipfads. Diese Option ist nur für Kopier-Policies verfügbar.

Sie können festlegen, ob die vollständigen oder teilweisen Dateipfade, die einen bestimmten Text enthalten, einbezogen oder ausgeschlossen werden sollen. Sie können auch die Platzhalterzeichen *, ? und [ ] einschließen.

Größe Einbeziehung oder Ausschluss von Dateien auf Grundlage der Dateigröße.

ANMERKUNG: Dateien werden als Vielfaches von 1.024, nicht 1.000 dargestellt.

Typ Einbeziehung oder Ausschluss von Dateien auf Grundlage eines der folgenden Dateisystem-Objekttypen:

• Softlink• Reguläre Datei• Verzeichnis


Ausschließen von Dateien aus der Replikation

Zugehörige Tasks



Konfigurieren von Standardeinstellungen für ReplikationsrichtlinienSie können Standardeinstellungen einer Replikationsrichtlinie konfigurieren. Wenn Sie diese Einstellungen bei der Erstellung einer Replikationsrichtlinie nicht ändern, werden die festgelegten Standardeinstellungen angewendet.

1. Klicken Sie auf Data Protection > SyncIQ > Settings.

2. Wenn Policies nur zu Nodes in einer bestimmten SmartConnect-Zone eine Verbindung herstellen sollen, wählen Sie im Abschnitt Default Policy Settings die Option Connect only to the nodes within the target cluster SmartConnect zone aus.

ANMERKUNG: Diese Option wirkt sich nur auf Policies aus, die das Zielcluster als SmartConnect-Zone angeben.

3. Legen Sie fest, zu welchen Nodes die Replikationsrichtlinien eine Verbindung herstellen sollen, wenn eine Policy ausgeführt wird.

So verbinden Sie Policies mit allen Nodes in einem Quellcluster:

Klicken Sie auf Run the policy on all nodes in this cluster.

So verbinden Sie Policies nur mit Nodes, die in einem bestimmten Subnetz und Pool enthalten sind:

a. Klicken Sie auf Run the policy only on nodes in the specified subnet and pool.

b. Wählen Sie aus der Liste Subnet and pool das Subnetz und den Pool aus.

ANMERKUNG: SyncIQ unterstützt keine dynamisch zugewiesenen IP-Adressenpools. Wenn ein Replikationsjob eine

Verbindung zu einer dynamisch zugewiesenen IP-Adresse herstellt, weist SmartConnect die Adresse möglicherweise

während der Ausführung eines Replikationsjobs erneut zu, wodurch der Job getrennt werden und fehlschlagen

würde.


Erstellen einer ReplikationsrichtlinieSie können eine Replikationsrichtlinie mit SyncIQ erstellen, die festlegt, wie und wann Daten auf ein anderes Isilon-Cluster repliziert werden. Das Konfigurieren einer Replikationsrichtlinie ist ein fünfstufiger Prozess.

Gehen Sie beim Konfigurieren von Replikationsrichtlinien mit Sorgfalt vor. Wenn Sie eine der folgenden Policy-Einstellungen ändern, nachdem die Policy ausgeführt wurde, führt OneFS bei der nächsten Ausführung der Policy entweder eine vollständige oder eine differenzielle Replikation aus:

• Quellverzeichnis• Einbezogene oder ausgeschlossene Verzeichnisse• Dateikriterienanweisung• Zielclustername oder -adresse

Dies gilt nur, wenn das Ziel ein anderes Cluster ist. Wenn Sie die IP oder den Domainnamen eines Zielclusters ändern und dann die Replikationsrichtlinie auf dem Quellcluster ändern, damit sie der neuen IP oder dem Domainnamen entspricht, wird keine vollständige Replikation ausgeführt.

• Zielverzeichnis

ANMERKUNG: Wenn Sie eine Replikationsrichtlinie für ein SmartLock-Complianceverzeichnis erstellen, müssen die

SyncIQ- und SmartLock-Compliancedomains auf demselben Root-Level konfiguriert werden. Eine SmartLock-

Compliancedomain kann nicht in eine SyncIQ-Domain verschachtelt werden.



Konfigurieren der grundlegenden Policy-EinstellungenSie müssen Grundeinstellungen für eine Replikationsrichtlinie konfigurieren.

1. Klicken Sie auf Data Protection > SyncIQ > Policies.

2. Klicken Sie auf Create a SyncIQ policy.

3. Geben Sie im Bereich Settings im Feld Policy name einen Namen für die Replikationsrichtlinie ein.


4. Optional: Geben Sie im Feld Description eine Beschreibung für die Replikationsrichtlinie ein.

5. Geben Sie für die Einstellung Action den Typ der Replikationsrichtlinie an.

• Um alle Dateien aus dem Quellverzeichnis in das Zielverzeichnis zu kopieren, klicken Sie auf Copy.

ANMERKUNG: Failback wird für Kopier-Policies nicht unterstützt.

• Um alle Dateien aus dem Quellverzeichnis in das Zielverzeichnis zu kopieren und alle Dateien im Zielverzeichnis zu löschen, die nicht im Quellverzeichnis vorhanden sind, klicken Sie auf Synchronize.

6. Geben Sie für die Einstellung Run Job an, ob Replikationsjobs ausgeführt werden.

Jobs sollen nur ausgeführt werden, wenn sie manuell von einem Benutzer initiiert werden.

Klicken Sie auf Manually.

Jobs sollen automatisch nach einer Planung ausgeführt werden.

a. Klicken Sie auf On a schedule.b. Legen Sie eine Planung fest.

Wenn Sie eine Replikationsrichtlinie so konfigurieren, dass sie öfter als einmal am Tag ausgeführt wird, können Sie das Intervall nicht so konfigurieren, dass es sich über zwei Kalendertage erstreckt. Sie können zum Beispiel eine Replikations-Policy nicht so konfigurieren, dass sie stündlich ab 19:00 Uhr bis 1:00 Uhr am nächsten Morgen ausgeführt wird.

c. Um zu verhindern, dass die Policy ausgeführt wird, wenn der Inhalt des Quellverzeichnisses nicht geändert wurde, klicken Sie auf Only run if source directory contents are modified.

d. Um OneFS-Events zu erstellen, wenn eine bestimmte RPO überschritten wird, klicken Sie auf Send RPO alerts after... und geben Sie eine RPO an.

Angenommen, Sie haben eine RPO von 5 hours festgelegt. Ein Job startet um 13:00 Uhr und wird um 15:00 Uhr abgeschlossen. Ein zweiter Job startet um 15:30 Uhr. Wenn der zweite Job nicht bis 18:00 Uhr abgeschlossen wird, erstellt SyncIQ ein OneFS-Event.

ANMERKUNG: Diese Option ist nur gültig, wenn RPO-Warnmeldungen global

über die SyncIQ -Einstellungen aktiviert wurden. Diese Events haben die Event-

ID 400040020.

Jobs sollen automatisch jedes Mal ausgeführt werden, wenn eine Änderung am Quellverzeichnis vorgenommen wird.

a. Klicken Sie auf Whenever the source is modified.b. Wenn Sie konfigurieren möchten, dass SyncIQ nach einer Änderung des Quellverzeichnisses

eine bestimmte Zeit lang wartet, bevor ein Replikationsjob gestartet wird, klicken Sie auf Change-Triggered Sync Job Delay und geben Sie einen Wert für die Verzögerung ein.

Jobs sollen automatisch jedes Mal ausgeführt werden, wenn ein Snapshot des Quellverzeichnisses erstellt wird.

a. Klicken Sie auf Whenever a snapshot of the source directory is taken.b. Um nur Daten zu replizieren, die in Snapshots mit einem bestimmten Benennungsmuster

enthalten sind, geben Sie ein Snapshot-Benennungsmuster im Feld Run job if snapshot name matches the following pattern ein.

c. Um Daten in allen Snapshots zu replizieren, die vor dem Erstellen der Policy von dem Quellverzeichnis erstellt wurden, klicken Sie auf Sync existing snapshots before policy creation time.

Der nächste Schritt beim Erstellen einer Replikationsrichtlinie ist das Festlegen von Quellverzeichnissen und Dateien.


Replikationsrichtlinieneinstellungen

Angeben von Quellverzeichnissen und DateienSie müssen die zu replizierenden Verzeichnisse und Dateien festlegen.

VORSICHT: Bei einer SyncIQ-Replikationsrichtlinie ermöglicht OneFS Ihnen die Angabe eines Quellverzeichnisses, bei

dem es sich um ein Zielverzeichnis handelt oder das sich in einem Zielverzeichnis aus einer anderen

Replikationsrichtlinie befindet. Dieses auch als kaskadierende Replikation bezeichnete Anwendungsbeispiel dient

speziell für Backupzwecke und sollte vorsichtig verwendet werden. OneFS gestattet in diesen Fällen kein Failback.


1. Geben Sie im Bereich Source Cluster im Feld Source Root Directory den vollständigen Pfad des Quellverzeichnisses an, das Sie auf das Zielcluster replizieren möchten.

Sie müssen ein in /ifs enthaltenes Verzeichnis angeben. Sie können nicht das Verzeichnis /ifs/.snapshot oder ein Unterverzeichnis dieses Verzeichnisses festlegen.

2. Optional: Verhindern Sie die Replikation bestimmter Unterverzeichnisse des Stammverzeichnisses.

• Um ein Verzeichnis einzuschließen, klicken Sie im Bereich Included Directories auf Add a directory path.• Um ein Verzeichnis auszuschließen, klicken Sie im Bereich Excluded Directories auf Add a directory path.

3. Optional: Verhindern Sie die Replikation bestimmter Dateien, indem Sie Dateiübereinstimmungskriterien festlegen.

a) Wählen Sie im Bereich File Matching Criteria einen Filtertyp aus.b) Wählen Sie einen Operator aus.c) Geben Sie einen Wert ein.

Dateien, die die festgelegten Kriterien nicht erfüllen, werden nicht in das Zielcluster repliziert. Wenn Sie beispielsweise File Type doesn't match .txt festlegen, repliziert SyncIQ keine Dateien mit der .txt-Dateierweiterung. Wenn Sie Created after 08/14/2013 festlegen, repliziert SyncIQ keine Dateien, die vor dem 14. August 2013 erstellt wurden.

Wenn Sie mehr als ein Dateiübereinstimmungskriterium festlegen möchten, können Sie steuern, in welcher Beziehung die Argumente zueinander stehen, indem sie entweder auf Add an "Or" condition oder auf Add an "And" condition klicken.

4. Legen Sie fest, zu welchen Nodes die Replikationsrichtlinie eine Verbindung herstellen soll, wenn die Policy ausgeführt wird.

Die Policy soll mit allen Nodes im Quellcluster verknüpft werden.

Klicken Sie auf Run the policy on all nodes in this cluster.

Die Policy soll nur mit Nodes verknüpft werden, die in einem bestimmten Subnetz und Pool enthalten sind.

a. Klicken Sie auf Run the policy only on nodes in the specified subnet and pool.

b. Wählen Sie aus der Liste Subnet and pool das Subnetz und den Pool aus.


Verbindung zu einer dynamisch zugewiesenen IP-Adresse herstellt, weist SmartConnect die Adresse möglicherweise

während der Ausführung eines Replikationsjobs erneut zu, wodurch der Job getrennt werden und fehlschlagen

würde.

Der nächste Schritt beim Erstellen einer Replikationsrichtlinie ist das Festlegen des Zielverzeichnisses.


Ausschließen von Verzeichnissen aus der Replikation

Ausschließen von Dateien aus der Replikation


Dateikriterienoptionen


Festlegen des Zielverzeichnisses der PolicySie müssen ein Zielcluster und ein Zielverzeichnis zur Replikation von Daten angeben.

1. Geben Sie im Bereich Target Cluster im Feld Target Host eine der folgenden Angaben ein:

• Den vollständig qualifizierten Domainnamen eines Node im Zielcluster• Den Hostnamen eines Node im Zielcluster• Den Namen einer SmartConnect-Zone im Zielcluster• Die IPv4- oder IPv6-Adresse eines Node im Zielcluster• localhost

Dadurch werden Daten in ein anderes Verzeichnis auf dem lokalen Cluster repliziert.


Verbindung zu einer dynamisch zugewiesenen IP-Adresse herstellt, weist SmartConnect die Adresse u. U. neu zu,

während ein Replikationsjob ausgeführt wird, wodurch der Job getrennt und fehlschlagen würde.


2. Geben Sie im Feld Target Directory den absoluten Pfad zum Verzeichnis auf dem Zielcluster ein, auf das die Daten repliziert werden sollen.

VORSICHT:

Wenn Sie ein vorhandenes Verzeichnis auf dem Zielcluster angeben, achten Sie darauf, dass das Verzeichnis nicht

das Ziel einer anderen Replikationsrichtlinie ist. Wenn es sich um eine Synchronisations-Policy handelt, sorgen Sie

dafür, dass das Verzeichnis leer ist. Alle Dateien werden aus dem Ziel einer Synchronisations-Policy entfernt, wenn

die Policy das erste Mal ausgeführt wird.

Wenn das angegebene Zielverzeichnis nicht bereits auf dem Zielcluster vorhanden ist, wird das Verzeichnis erstellt, wenn der Job das erste Mal ausgeführt wird. Es wird empfohlen, das Verzeichnis /ifs nicht anzugeben. Wenn Sie das Verzeichnis /ifs angeben, wird das gesamte Zielcluster auf einen schreibgeschützten Status festgelegt, sodass Sie keine weiteren Daten mehr auf dem Cluster speichern können.

Wenn es sich um eine Kopier-Policy handelt und Dateien im Zielverzeichnis dieselben Namen wie Dateien im Quellverzeichnis haben, werden die Dateien im Zielverzeichnis überschrieben, sobald der Job ausgeführt wird.

3. Wenn Replikationsjobs nur zu den Nodes eine Verbindung herstellen sollen, die in der durch das Zielcluster festgelegten SmartConnect-Zone enthalten sind, klicken Sie auf Connect only to the nodes within the target cluster SmartConnect Zone.

Der nächste Schritt bei der Erstellung einer Replikationsrichtlinie ist die Angabe der Ziel-Snapshot-Einstellungen.



Konfigurieren von Policies für Ziel-Snapshot-EinstellungenSie können optional festlegen, wie Archivierungs-Snapshots im Zielcluster erzeugt werden. Sie können auf Archivierungs-Snapshots auf die gleiche Weise zugreifen wie auch auf andere SnapshotIQ-Snapshots.

SyncIQ bewahrt stets einen Snapshot im Zielcluster auf, um unabhängig von diesen Einstellungen ein Failover zu ermöglichen.

1. Zum Erstellen von Archivierungs-Snapshots im Zielcluster wählen Sie im Bereich Target Snapshots die Option Enable capture of snapshots on the target cluster aus.

2. Optional: Um den Standardalias des letzten Snapshot zu ändern, der gemäß der Replikationsrichtlinie erstellt wurde, geben Sie im Feld Snapshot Alias Name einen neuen Alias ein.

Sie können den Aliasnamen als ein Snapshot-Benennungsmuster festlegen. Das folgende Benennungsmuster ist beispielsweise gültig:

%{PolicyName}-on-%{SrcCluster}-latest

Das vorherige Beispiel produziert Namen, die den folgenden ähneln:

newPolicy-on-Cluster1-latest

3. Optional: Um das Snapshot-Benennungsmuster für Snapshots zu ändern, die gemäß der Replikationsrichtlinie erstellt wurden, geben Sie im Feld Snapshot Naming Pattern ein Benennungsmuster ein. Jedem Snapshot, der für diese Replikationsrichtlinie erzeugt wird, wird ein Name gemäß diesem Muster zugewiesen.

Das folgende Benennungsmuster ist beispielsweise gültig:

%{PolicyName}-from-%{SrcCluster}-at-%H:%M-on-%m-%d-%Y

Das Beispiel produziert Namen, die den folgenden ähneln:

newPolicy-from-Cluster1-at-10:30-on-7-12-2012

4. Wählen Sie eine der folgenden Optionen für das Ablaufen von Snapshots aus:

• Klicken Sie auf Snapshots do not expire.• Klicken Sie auf Snapshots expire after… und geben Sie einen Ablaufzeitraum an.

Der nächste Schritt beim Erstellen einer Replikationsrichtlinie ist die Konfiguration erweiterter Policy-Einstellungen.




Konfigurieren erweiterter Policy-EinstellungenSie können bei Bedarf erweiterte Einstellungen für eine Replikationsrichtlinie konfigurieren.

1. Optional: Geben Sie im Feld Priority an, ob die Policy Priorität hat.

Bei Auswahl von Normal erhalten die durch die Policy erstellten Jobs keine Priorität. Bei Auswahl von High erhalten die durch die Replikationsrichtlinie erstellten Jobs Priorität.

2. Optional: Wählen Sie in der Liste Log Level das Protokollierungslevel aus, das SyncIQ für Replikationsjobs ausführen soll.

Die folgenden Protokolllevel, aufgelistet vom niedrigsten bis zum höchsten Ausführlichkeitsgrad, sind gültig:

• Schwerwiegend• Error• Notice• Info• Kopie• Debuggen• Nachverfolgung

Replikationsprotokolle dienen in der Regel zur Fehlerbehebung. Falls erforderlich, können Sie sich über die Befehlszeilenoberfläche bei einem Node anmelden und den Inhalt der Datei /var/log/isi_migrate.log auf dem Node anzeigen.

ANMERKUNG: Notice ist das empfohlene Protokolllevel.

3. Optional: Wenn SyncIQ eine Prüfsumme auf jedem File-basierten Datenpaket ausführen soll, das von der Replikationsrichtlinie betroffen ist, aktivieren Sie das Kontrollkästchen Validate File Integrity.

Wenn Sie diese Option aktivieren und die Prüfsummenwerte für ein File-basiertes Datenpaket nicht übereinstimmen, überträgt SyncIQ nochmals das betroffene Paket.

4. Optional: Um die Geschwindigkeit des Failback für die Policy zu erhöhen, klicken Sie auf Prepare policy for accelerated failback performance.

Bei Auswahl dieser Option führt SyncIQ bei der nächsten Ausführung eines Jobs Aufgaben zur Failback-Konfiguration durch, anstatt zu warten und die Aufgaben während des Failback-Prozesses durchzuführen. Dies verringert den für Failback-Vorgänge erforderlichen Zeitaufwand, wenn ein Failback initiiert wird.

5. Optional: Sie können den Zeitraum ändern, in dem SyncIQ Replikationsberichte für die Policy beibehalten soll, indem Sie im Bereich Keep Reports For einen Zeitraum angeben.

Nachdem der angegebene Gültigkeitszeitraum für einen Bericht verstrichen ist, löscht SyncIQ den Bericht automatisch.

Einige Zeiteinheiten werden, wenn Sie einen Bericht anzeigen, anders angezeigt als ursprünglich eingegeben. Wenn Sie eine Anzahl von Tagen angeben, die einem entsprechenden Wert in Wochen, Monaten oder Jahren entspricht, wird die größere Zeiteinheit angezeigt. Wenn Sie beispielsweise den Wert 7 days eingeben, wird für diesen Bericht nach dessen Erstellung eine Woche angezeigt. Diese Änderung ist darauf zurückzuführen, dass SyncIQ intern Berichtsaufbewahrungszeiten in Sekunden speichert und sie dann in Tage, Wochen, Monate oder Jahre umrechnet.

6. Optional: Geben Sie an, ob Informationen über Dateien aufgezeichnet werden sollen, die von Replikationsjobs gelöscht werden, indem Sie eine der folgenden Optionen auswählen:

• Klicken Sie auf Record when a synchronization deletes files or directories.• Klicken Sie auf Do not record when a synchronization deletes files or directories.

Diese Option gilt nur für Synchronisations-Policies.

7. Geben Sie an, wie die Policy CloudPools-SmartLink-Dateien replizieren soll.

Wenn die Option auf Deny festgelegt ist, repliziert SyncIQ alle CloudPool- SmartLink-Dateien auf dem Zielcluster als SmartLink-Dateien. Wenn das Zielcluster CloudPools nicht unterstützt, schlägt der Job fehl. Wenn die Option auf Force festgelegt ist, repliziert SyncIQ alle SmartLink-Dateien auf dem Zielcluster als reguläre Dateien. Wenn die Option auf Allow festgelegt ist, versucht SyncIQ, die SmartLink-Dateien auf dem Zielcluster als SmartLink Dateien zu replizieren. Wenn das Zielcluster CloudPools nicht unterstützt, repliziert SyncIQ die SmartLink-Dateien als reguläre Dateien.

Der nächste Schritt beim Erstellen einer Replikationsrichtlinie ist das Speichern der Einstellungen der Replikationsrichtlinie.



Speichern von ReplikationsrichtlinieneinstellungenSyncIQ erstellt erst dann Replikationsjobs für eine Replikationsrichtlinie, nachdem Sie die Policy gespeichert haben.


Überprüfen Sie die aktuellen Einstellungen der Replikationsrichtlinie. Falls erforderlich, ändern Sie die Policy-Einstellungen.

Wenn alle Policy-Einstellungen wie gewünscht vorgenommen wurden, klicken Sie im Dialogfeld Create SyncIQ Policy auf Create Policy.

Bewerten einer ReplikationsrichtlinieBevor Sie eine Replikationsrichtlinie zum ersten Mal ausführen, können Sie Statistiken zu den Dateien anzeigen, die von der Replikation betroffen wären, ohne Dateien zu übertragen. Dies kann nützlich sein, wenn Sie die Größe des Dataset, das bei der Ausführung der Richtlinie übertragen wird, in einer Vorschau anzeigen möchten.

ANMERKUNG: Sie können nur Replikationsrichtlinien bewerten, die bisher noch nicht ausgeführt wurden.


2. Wählen Sie in der Tabelle SyncIQ Policies in der Zeile einer Replikationsrichtlinie aus der Spalte Actions die Option Assess Sync aus.

3. Klicken Sie auf Data Protection > SyncIQ > Summary.

4. Klicken Sie nach Abschluss des Jobs in der Tabelle SyncIQ Recent Reports in der Zeile des Replikationsjobs auf View Details.Im Bericht wird im Feld Total Data die Gesamtdatenmenge angezeigt, die übertragen worden wäre.

Managen von Replikationen auf RemoteclusternSie können Replikationsjobs, deren Ziel andere Cluster sind, manuell ausführen, anzeigen, bewerten, anhalten, fortsetzen, abbrechen, auflösen und zurücksetzen.

Nach dem Start eines Policy-Jobs können Sie den Job anhalten, um Replikationsaktivitäten zu unterbrechen. Danach können Sie den Job wiederaufnehmen und die Replikation an dem Punkt fortsetzen, an dem der Job unterbrochen wurde. Sie können einen laufenden oder angehaltenen Replikationsjob auch abbrechen, um dem Job zugewiesene Clusterressourcen freizugeben. Ein angehaltener Job reserviert Clusterressourcen, unabhängig davon, ob die Ressourcen verwendet werden. Ein abgebrochener Job gibt seine Clusterressourcen frei, sodass ein anderer Replikationsjob diese Ressourcen nutzen kann. Es können nicht mehr als fünf laufende und angehaltene Replikationsjobs gleichzeitig auf einem Cluster vorhanden sein. Es kann jedoch eine unbegrenzte Anzahl an abgebrochenen Replikationsjobs auf einem Cluster vorhanden sein. Wenn ein Replikationsjob für mehr als eine Woche angehalten wird, bricht SyncIQ den Job automatisch ab.

Starten eines ReplikationsjobsSie können einen Replikationsjob für eine Replikationsrichtlinie jederzeit manuell starten.

Wenn Sie Daten gemäß einem vorhandenen Snapshot replizieren möchten, führen Sie in der OneFS-Eingabeaufforderung den Befehl isi sync jobs start mit der Option --source-snapshot aus. Sie können keine Daten gemäß Snapshots replizieren, die durch SyncIQ erzeugt wurden.


2. Wählen Sie in der Tabelle SyncIQ Policies in der Spalte Actions für einen Job die Option Start Job aus.



Anhalten eines ReplikationsjobsSie können einen derzeit ausgeführten Replikationsjob anhalten und den Job dann später wieder aufnehmen. Durch Anhalten eines Replikationsjobs wird die Replikation der Daten temporär unterbrochen, die Clusterressourcen, die die Daten replizieren, werden jedoch nicht freigegeben.


2. Klicken Sie in der Tabelle Active Jobs in der Spalte Actions für einen Job auf Pause Running Job.




Wiederaufnehmen eines ReplikationsjobsSie können einen angehaltenen Replikationsjob wiederaufnehmen.


2. Klicken Sie in der Tabelle Currently Running in der Spalte Actions für einen Job auf Resume Running Job.



Abbrechen eines ReplikationjobsSie können einen derzeit ausgeführten oder angehaltenen Replikationsjob abbrechen. Durch Abbrechen eines Replikationsjobs wird die Replikation der Daten angehalten und die Clusterressourcen, die die Daten repliziert haben, werden freigegeben. Sie können einen abgebrochenen Replikationsjob nicht wiederaufnehmen. Um die Replikation erneut zu starten, müssen Sie die Replikationsrichtlinie erneut starten.


2. Klicken Sie in der Tabelle Active Jobs in der Spalte Actions für einen Job auf Cancel Running Job.



Anzeigen aktiver ReplikationjobsSie können Informationen zu Replikationsjobs anzeigen, die derzeit ausgeführt werden oder angehalten sind.


2. In der Tabelle Active Jobs können Sie Informationen zu aktiven Replikationsjobs überprüfen.




Informationen zum Replikationsjob

Informationen zum ReplikationsjobSie können Informationen zum Replikationsjob in der Tabelle Active Jobs anzeigen.

Status Der Status des Jobs. Die folgenden Jobstatus sind möglich:

Running Der Job wird derzeit ohne Fehler ausgeführt.

Paused Der Job wurde vorübergehend angehalten.

Policy Name Der Name der zugeordneten Replikationsrichtlinie.

Started Der Zeitpunkt, zu dem der Job gestartet wurde

Elapsed Gibt an, wie viel Zeit seit Beginn des Job vergangen ist

Transferred Die Anzahl der übertragenen Dateien und die Gesamtgröße aller übertragenen Dateien

Source Directory Der Pfad des Quellverzeichnisses auf dem Quellcluster

Target Host Das Zielverzeichnis auf dem Zielcluster

Aktionen Zeigt alle jobspezifischen Aktionen an, die Sie durchführen können


Initiieren des Daten-Failover und -Failback mit SyncIQSie können ein Failover von einem Isilon-Cluster zu einem anderen durchführen, wenn beispielsweise das primäre Cluster nicht mehr verfügbar ist. Sie können ein Failback durchführen, wenn das primäre Cluster wieder verfügbar ist. Sie können das Failover zurücksetzen, wenn Sie der Meinung sind, dass das Failover nicht notwendig war, oder wenn das Failover zu Testzwecken durchgeführt wurde.

ANMERKUNG: Daten-Failover und -Failback werden jetzt für SmartLock-Compliance- und -Enterprise-Verzeichnisse

unterstützt. SmartLock-Complianceverzeichnisse können nur auf Clustern erstellt werden, die bei der Erstkonfiguration

für den Compliancemodus konfiguriert wurden.


Daten-Failover und -Failback mit SyncIQ

Failover von Daten an ein sekundäres ClusterSie können ein Failover auf ein sekundäres Isilon-Cluster durchführen, wenn das primäre Cluster nicht mehr verfügbar ist.

Sie müssen eine Replikationsrichtlinie erstellt und erfolgreich auf dem primären Cluster ausgeführt haben. Durch diese Aktion werden die Daten auf den sekundären Cluster repliziert.

ANMERKUNG: Daten-Failover wird sowohl für SmartLock-Enterprise-Verzeichnisse als auch für SmartLock-

Complianceverzeichnisse unterstützt. Ein SmartLock-Complianceverzeichnis erfordert eine eigene separate

Replikationsrichtlinie.

Führen Sie das folgende Verfahren für jede Replikationsrichtlinie aus, für die Sie ein Failover durchführen möchten.

1. Wenn das primäre Cluster weiterhin online ist, führen Sie die folgenden Schritte aus:

a) Beenden Sie alle Schreibvorgänge im Replikationsrichtlinienpfad, einschließlich lokaler Aktivitäten und Clientaktivitäten.

Dadurch wird sichergestellt, dass neue Daten nicht in den Richtlinienpfad geschrieben werden, während Sie ein Failover zum sekundären Cluster vorbereiten.

b) Ändern Sie die Replikationsrichtlinie so, dass diese nur manuell ausgeführt wird.

Mit diesem Schritt wird verhindert, dass die Richtlinie auf dem primären Cluster einen Replikationsjob automatisch ausführt. Wenn die Richtlinie auf dem primären Cluster einen Replikationsjob ausführt, während Schreibvorgänge im Zielverzeichnis zulässig sind, schlägt der Job fehl und die Replikationsrichtlinie wird deaktiviert. Ändern Sie in diesem Fall die Richtlinie in eine rein manuelle Ausführung, lösen Sie die Richtlinie auf und führen Sie den Failback-Prozess durch. Nachdem Sie den Failback-Prozess abgeschlossen haben, können Sie die Policy so bearbeiten, dass sie wieder entsprechend einer Planung ausgeführt wird.

2. Klicken Sie auf dem sekundären Cluster auf Data Protection > SyncIQ > Local Targets.

3. Wählen Sie in der Tabelle SyncIQ Local Targets für eine Replikationsrichtlinie More > Allow Writes aus.

4. Reaktivieren Sie den Clientzugriff und weisen Sie die Benutzer an, mit dem Zugriff auf ihre Daten vom sekundären Cluster zu beginnen.


Daten-Failover

Umkehren eines Failover-VorgangsDie Failover-Umkehrung auf einem sekundären Cluster ermöglicht die erneute Replikation von Daten vom primären Cluster zum sekundären Cluster. Die Failover-Umkehrung ist nützlich, wenn das primäre Cluster verfügbar wird, bevor Daten auf dem sekundären Cluster geändert werden, oder wenn Sie zu Testzwecken ein Failover auf ein sekundäres Cluster vorgenommen haben.

Failover durch Ausführen einer Replikationsrichtlinie

Durch das Umkehren eines Failover-Vorgangs werden geänderte Daten nicht zurück auf das primäre Cluster migriert. Zum Migrieren von Daten, die von Clients auf dem sekundären Cluster geändert wurden, müssen Sie ein Failback auf das primäre Cluster ausführen.

Führen Sie das folgende Verfahren für jede Replikationsrichtlinie aus, für die Sie ein Failover ausführen möchten:

1. Klicken Sie auf Data Protection > SyncIQ > Local Targets.


2. Wählen Sie in der Tabelle SyncIQ Local Targets in der Zeile für eine Replikationsrichtlinie in der Spalte Actions die Option Disallow Writes aus.

Failback von Daten auf ein primäres ClusterNach einem Failover auf ein sekundäres Cluster können Sie ein Failback zurück auf das primäre Cluster durchführen.

Vor einem Failback auf das primäre Cluster müssen Sie ein Failover auf das sekundäre Cluster durchführen. Darüber hinaus müssen Sie sicherstellen, dass das primäre Cluster wieder online ist.

ANMERKUNG: Daten-Failback wird sowohl für SmartLock-Complianceverzeichnisse als auch für SmartLock-Enterprise-

Verzeichnisse unterstützt. Wenn Clients neue SmartLock-Dateien aktivieren, während der sekundäre Cluster in Betrieb

ist, werden diese SmartLock-Dateien beim Failback auf den primären Cluster repliziert.

1. Klicken Sie auf dem primären Cluster auf Data Protection > SyncIQ > Policies.

2. Klicken Sie in der Liste SyncIQ Policies für eine Replikations-Policy auf More > Resync-prep.

Dadurch erstellt SyncIQ eine Spiegelungs-Policy für die Replikations-Policy auf dem primären Cluster und dem sekundären Cluster. Die Spiegelungs-Policy wird auf dem sekundären Cluster unter Data Protection > SyncIQ > Local Targets abgelegt. Auf dem sekundären Cluster wird die Spiegelungs-Policy unter Data Protection > SyncIQ > Policies abgelegt.

SyncIQ benennt Spiegelungs-Policies gemäß dem folgenden Muster:

<replication-policy-name>_mirror3. Bevor Sie mit dem Failback-Prozess beginnen, müssen Sie verhindern, dass Clients auf das sekundäre Cluster zugreifen.

Dadurch wird sichergestellt, dass SyncIQ ein Failback des neuesten Datensatzes durchführt, einschließlich aller Änderungen, die Benutzer an Daten auf dem sekundären Cluster vorgenommen haben, während das primäre Cluster außer Betrieb war. Wir empfehlen, dass Sie warten, bis die Clientaktivität niedrig ist, bevor Sie den Zugriff auf das sekundäre Cluster verhindern.

4. Klicken Sie auf dem sekundären Cluster auf Data Protection > SyncIQ > Policies.

5. Klicken Sie in der Liste SyncIQ Policies für die Spiegelungs-Policy auf More > Start Job.

Alternativ können Sie die Spiegelungs-Policy auf dem sekundären Cluster bearbeiten und einen Zeitplan für die Ausführung der Policy angeben.

6. Klicken Sie auf dem primären Cluster auf Data Protection > SyncIQ > Local Targets.

7. Wählen Sie auf dem primären Cluster in der Liste SyncIQ Local Targets für die Spiegelungs-Policy More > Allow Writes aus.

8. Klicken Sie auf dem sekundären Cluster auf Data Protection > SyncIQ > Policies.

9. Klicken Sie auf dem sekundären Cluster in der Liste SyncIQ Policies für die Spiegelungs-Policy auf More > Resync-prep.

Dadurch wird das sekundäre Cluster zurück in den schreibgeschützten Modus versetzt und sichergestellt, dass die Datensätze auf dem primären und dem sekundären Cluster konsistent sind.

Konfigurieren Sie Clients für den erneuten Zugriff auf ihre Daten auf dem primären Cluster. Obwohl dies nicht zwingend erforderlich ist, ist es sicher, eine Spiegelungs-Policy zu entfernen, nachdem das Failback erfolgreich abgeschlossen wurde.


Daten-Failback

Ausführen des ComplianceStoreDelete-Jobs in einer SmartLock-CompliancemodusdomainSyncIQ behandelt Konflikte während Failover-/Failback-Vorgängen in einer SmartLock-Domain im Compliancemodus, indem die Verknüpfung von Dateien mit WORM-Status mit dem Nutzerspeicher aufgehoben wird und eine Verknüpfung der Datei im Compliancespeicher beibehalten wird. Der ComplianceStoreDelete-Job überwacht abgelaufene Dateien automatisch und entfernt sie aus dem Compliancespeicher, wenn sie dort aufgrund einer SyncIQ-Konfliktlösung abgelegt wurden.

In einer SmartLock-Compliancemodusdomain können Sie beispielsweise ein SyncIQ-Failover oder -Failback durchführen. Der Vorgang führt dazu, dass eine dauerhaft aufbewahrte Datei auf einen nicht aufbewahrten Zustand zurückgesetzt wird. Zur Konfliktlösung wird eine Kopie der dauerhaft aufbewahrten Datei im Compliancespeicher abgelegt. Die dauerhaft aufbewahrte Datei im Compliancespeicher läuft schließlich ab. Der ComplianceStoreDelete-Job wird automatisch einmal pro Monat ausgeführt und löscht die abgelaufene Datei. Abgelaufene Dateien, die verwendet (außerhalb des Compliancespeichers referenziert) werden, werden nicht gelöscht.

Der ComplianceStoreDelete-Job wird automatisch einmal pro Monat ausgeführt oder kann manuell gestartet werden. Sie können den Job manuell über die Web-UI auf der Seite Job Operations ausführen.



2. Klicken Sie in der Tabelle Job Types in der Zeile ComplianceStoreDelete auf Start Job.Das Dialogfeld Start a Job wird angezeigt.


Durchführen einer Disaster Recovery für ältere SmartLock-VerzeichnisseWenn Sie ein SmartLock-Complianceverzeichnis auf einen sekundären Cluster repliziert haben, auf dem OneFS 7.2.1 oder früher ausgeführt wird, können Sie kein Failback des SmartLock-Complianceverzeichnisses auf einen primären Cluster durchführen, auf dem OneFS 8.0.1 oder höher ausgeführt wird. Sie können jedoch das SmartLock-Complianceverzeichnis wiederherstellen, das auf dem sekundären Cluster gespeichert ist, und es zurück auf das primäre Cluster migrieren.

ANMERKUNG: Daten-Failover und -Failback mit früheren Versionen von OneFS werden für SmartLock-Enterprise-

Verzeichnisse unterstützt.

Wiederherstellen von SmartLock-Complianceverzeichnissen auf einem ZielclusterSie können SmartLock-Complianceverzeichnisse wiederherstellen, die Sie auf ein sekundäres Cluster mit OneFS 7.2.1 oder früher repliziert haben.

Führen Sie das folgende Verfahren für jedes SmartLock-Complainceverzeichnis aus, das Sie wiederherstellen möchten.

1. Klicken Sie auf dem sekundären Cluster auf Data Protection > SyncIQ > Local Targets.

2. Aktivieren Sie in der Tabelle SyncIQ Local Targets für die Replikationsrichtlinie Schreibvorgänge in das Zielverzeichnis der Policy.

• Wenn der letzte Replikationsjob erfolgreich abgeschlossen wurde und derzeit kein Replikationsjob ausgeführt wird, wählen Sie Allow Writes.

• Wenn derzeit ein Replikationsjob ausgeführt wird, warten Sie, bis der Replikationsjob abgeschlossen ist, und wählen Sie dann Allow Writes.

• Wenn das primäre Cluster während der Ausführung eines Replikationsjobs unverfügbar wurde, wählen Sie Break Association. Beachten Sie, dass Sie die Verknüpfung nur aufheben sollten, wenn das primäre Cluster dauerhaft offline gesetzt wurde.

3. Wenn Sie auf Break Association geklickt haben, stellen Sie alle Dateien wieder her, die sich in einem inkonsistenten Status befinden.

a) Löschen Sie alle Dateien, die nicht mit einem WORM-Status verknüpft sind, aus dem Zielverzeichnis.b) Kopieren Sie alle Dateien aus dem Failover-Snapshot in das Zielverzeichnis.

Die Namen von Failover Snapshots entsprechen dem folgenden Benennungsmuster:

SIQ-Failover-<Policy Name>-<Jahr>-<Monat>-<Tag>_<Stunde>-<Minute>-<Sekunde>Snapshots werden im Verzeichnis /ifs/.snapshot gespeichert.

4. Wenn für das Quellverzeichnis der Replikationsrichtlinie SmartLock-Verzeichniskonfigurationseinstellungen, wie z. B. ein Autocommit-Zeitraum, angegeben wurden, wenden Sie diese Einstellungen auf das Zielverzeichnis an.

Da die Autocommit-Statusinformationen nicht in das Zielcluster übertragen werden, werden Dateien, die sich auf dem ursprünglichen Quellcluster in einem WORM-Status befinden, nicht planmäßig zur gleichen Zeit auf dem Zielcluster in diesen Status versetzt. Um sicherzustellen, dass alle Dateien für den entsprechenden Zeitraum aufbewahrt werden, können Sie alle Dateien in den SmartLock-Zielverzeichnissen in den WORM-Status versetzen.

Der folgende Befehl versetzt z. B. automatisch alle Dateien im Verzeichnis /ifs/data/smartlock nach einer Minute in einen WORM-Status:

isi worm domains modify /ifs/data/smartlock --autocommit-offset 1m

Leiten Sie Clients um, damit diese auf das Zielcluster zugreifen.

Migrieren von SmartLock-ComplianceverzeichnissenSie können SmartLock-Complianceverzeichnisse von einem Wiederherstellungscluster durch die Replikation der Verzeichnisse zurück zum ursprünglichen Quellcluster oder zu einem neuen Cluster migrieren. Migration ist nur erforderlich, wenn auf dem Wiederherstellungscluster


OneFS 7.2.1 oder früher ausgeführt wird. Diese OneFS-Versionen unterstützen kein Failover und Failback von SmartLock-Complianceverzeichnissen.

1. Erstellen Sie auf dem Wiederherstellungscluster eine Replikationsrichtlinie für jedes SmartLock-Complianceverzeichnis, das Sie zu einem anderen Cluster (dem ursprünglichen primären Cluster oder einem neuen Cluster) migrieren möchten.

Die Policies müssen die folgenden Anforderungen erfüllen:

• Das Quellverzeichnis auf dem Wiederherstellungscluster ist das SmartLock-Complianceverzeichnis, das Sie migrieren.• Das Zielverzeichnis ist ein leeres SmartLock-Complianceverzeichnis auf dem Cluster, auf das die Daten migriert werden sollen. Die

Quell- und Zielverzeichnisse müssen beide SmartLock-Complianceverzeichnisse sein.

2. Replizieren Sie Wiederherstellungsdaten in das Zielverzeichnis durch Ausführen der von Ihnen erstellten Richtlinien.

Sie können Datenreplikationen erstellen, indem Sie die Richtlinien manuell starten oder einen Zeitplan angeben.

3. Optional: Um sicherzustellen, dass SmartLock-Schutz für alle Dateien erzwungen wird, versetzen Sie alle migrierten Dateien im SmartLock-Zielverzeichnis in einen WORM-Status.

Da Autocommit-Informationen vom Wiederherstellungscluster nicht übertragen werden, versetzen Sie alle migrierten Dateien in SmartLock-Zielverzeichnissen in einen WORM-Status.

Der folgende Befehl versetzt z. B. automatisch alle Dateien im Verzeichnis /ifs/data/smartlock nach einer Minute in einen WORM-Status:

isi worm domains modify /ifs/data/smartlock --autocommit-offset 1m

Dieser Schritt ist nicht erforderlich, wenn Sie einen Autocommit-Zeitraum für die Migration der SmartLock-Verzeichnisse konfiguriert haben.

4. Klicken Sie auf dem Cluster mit den migrierten Daten auf Data Protection > SyncIQ > Local Targets.

5. Wählen Sie in der Tabelle SyncIQ Local Targets für jede Replikationsrichtlinie More > Allow Writes aus.

6. Optional: Falls Konfigurationseinstellungen für SmartLock-Verzeichnisse, wie z. B. ein Autocommit-Zeitraum, für die Quellverzeichnisse der Replikationsrichtlinien festgelegt wurden, wenden Sie diese Einstellungen auf die Zielverzeichnisse auf dem Cluster an, der nun die migrierten Daten enthält.

7. Optional: Löschen Sie die Kopie der SmartLock-Daten auf dem Wiederherstellungscluster.

Sie können den von den SmartLock-Quellverzeichnissen belegten Speicherplatz nicht wiederherstellen, bis alle Dateien aus einem WORM-Status freigegeben wurden. Wenn Sie den Speicherplatz freigeben möchten, bevor die Dateien aus dem WORM-Status freigegeben wurden, wenden Sie sich an den technischen Support von Isilon, um Informationen über das Umformatieren Ihres Wiederherstellungsclusters zu erhalten.

Managen von Replikations-PoliciesSie können Replikationsrichtlinien ändern, anzeigen, aktivieren und deaktivieren.



Ändern einer ReplikationsrichtlinieSie können die Einstellungen einer Replikationsrichtlinie ändern.

Wenn Sie eine der folgenden Policy-Einstellungen ändern, nachdem eine Policy ausgeführt wurde, führt OneFS bei der nächsten Ausführung entweder eine vollständige oder differenzielle Replikation durch:

• Quellverzeichnis• Einbezogene oder ausgeschlossene Verzeichnisse• Dateikriterienanweisung• Zielcluster

Dies gilt nur, wenn das Ziel ein anderes Cluster ist. Wenn Sie die IP oder den Domainnamen eines Zielclusters ändern und dann die Replikationsrichtlinie auf dem Quellcluster ändern, damit sie der neuen IP oder dem Domainnamen entspricht, wird keine vollständige Replikation ausgeführt.

• Zielverzeichnis


2. Klicken Sie in der Tabelle SyncIQ Policies in der Zeile für eine Policy auf View/Edit.


3. Klicken Sie im Dialogfeld View SyncIQ Policy Details auf Edit Policy.

4. Ändern Sie die Einstellungen der Replikationsrichtlinie und klicken Sie dann auf Save Changes.



Löschen einer ReplikationsrichtlinieSie können eine Replikationsrichtlinie löschen. Sobald eine Richtlinie gelöscht wird, erstellt SyncIQ keine Replikationsjobs für die Richtlinie mehr. Durch Löschen einer Replikationsrichtlinie werden die Zielzuordnung auf dem Zielcluster getrennt und Schreibvorgänge in das Zielverzeichnis ermöglicht.

Wenn Sie die Erstellung von Replikationsjobs durch eine Replikationsrichtlinie vorübergehend aussetzen möchten, können Sie die Richtlinie deaktivieren und später erneut aktivieren.


2. Wählen Sie in der Tabelle SyncIQ Policies in der Zeile für eine Policy Delete Policy aus.


ANMERKUNG: Der Vorgang ist erst erfolgreich, wenn SyncIQ mit dem Zielcluster kommunizieren kann. Bis dahin

wird die Policy nicht aus der Tabelle SyncIQ Policies entfernt. Nachdem die Verbindung zwischen dem Quellcluster

und dem Zielcluster erneut hergestellt wurde, löscht SyncIQ die Policy bei der nächsten geplanten Ausführung des

Jobs. Wenn die Policy auf eine rein manuelle Ausführung konfiguriert ist, müssen Sie die Policy manuell erneut

ausführen. Wenn SyncIQ dauerhaft nicht mit dem Zielcluster kommunizieren kann, führen Sie den Befehl isi sync policies delete mit der Option --local-only aus. Hierdurch wird die Policy nur aus dem lokalen Cluster gelöscht,

die Zielverknüpfung auf dem Zielcluster jedoch nicht unterbrochen. Weitere Informationen finden Sie im OneFS CLI Administration Guide.



Aktivieren oder Deaktivieren einer ReplikationsrichtlinieSie können die Erstellung von Replikationsjobs durch eine Replikationsrichtlinie vorübergehend aussetzen und später erneut aktivieren.

ANMERKUNG:

Wenn Sie eine Replikationsrichtlinie deaktivieren, während ein zugehöriger Replikationsjob ausgeführt wird, wird der

laufende Job nicht unterbrochen. Allerdings erstellt die Richtlinie keinen weiteren Job, bis die Richtlinie aktiviert wird.


2. Wählen Sie in der Tabelle SyncIQ Policies in der Zeile einer Replikationsrichtlinie entweder Enable Policy oder Disable Policy aus.

Wenn weder Enable Policy noch Disable Policy angezeigt wird, überprüfen Sie, ob für die Policy ein Replikationsjob ausgeführt wird. Wenn kein zugehöriger Replikationsjobs ausgeführt wird, stellen Sie sicher, dass die SyncIQ-Lizenz auf dem Cluster aktiv ist.



Anzeigen von ReplikationsrichtlinienSie können Informationen zu Replikationsrichtlinien anzeigen.


2. Überprüfen Sie in der Tabelle SyncIQ Policies die Informationen über die Replikationsrichtlinien.






Informationen zu ReplikationsrichtlinienInformationen zu Replikationsrichtlinien können Sie der Tabelle SyncIQ Policies entnehmen.

Policy Name Der Name der Policy

Bundesstaat/-land Gibt an, ob die Policy aktiviert oder deaktiviert ist

Last Known Good Letzte erfolgreiche Ausführung des Jobs

Schedule Der Zeitpunkt, zu dem der nächste Job zur Ausführung geplant ist. Der Wert Manual bedeutet, dass der Job nur manuell ausgeführt werden kann. Der Wert When source is modified gibt an, dass der Job ausgeführt wird, sobald Änderungen am Quellverzeichnis vorgenommen werden.


Target Host : Directory

Die IP-Adresse oder der vollständig qualifizierte Domainname des Zielclusters und der vollständige Pfad des Zielverzeichnisses

Aktionen Alle Aktionen, die Sie bezüglich der Policy ausführen können

Zugehörige Tasks

Anzeigen von Replikationsrichtlinien, deren Ziel das lokale Cluster ist

ReplikationsrichtlinieneinstellungenSie konfigurieren Replikationsrichtlinien, die entsprechend den Replikationsrichtlinieneinstellungen ausgeführt werden.

Policy name Der Name der Policy

Beschreibung Beschreibung der Policy. Beispielsweise kann die Beschreibung den Zweck oder die Funktion der Policy erklären.

Aktiviert Bestimmt, ob die Policy aktiviert ist

Aktion Bestimmt, wie die Policy Daten repliziert. Alle Policies kopieren Dateien vom Quellverzeichnis ins Zielverzeichnis und aktualisieren Dateien im Zielverzeichnis, damit sie mit den Dateien im Quellverzeichnis übereinstimmen. Die Aktion bestimmt, wie das Löschen einer Datei im Quellverzeichnis das Ziel beeinflusst. Die folgenden Werte sind gültig:

Kopieren Wenn eine Datei im Quellverzeichnis gelöscht wird, wird die Datei im Zielverzeichnis nicht gelöscht.

Synchronize Löscht Dateien im Zielverzeichnis, wenn sie nicht mehr im Quellverzeichnis vorhanden sind. Dadurch wird sichergestellt, dass ein exaktes Replikat des Quellverzeichnisses im Zielcluster beibehalten wird.

Run job Bestimmt, ob Jobs automatisch gemäß einer Planung ausgeführt werden oder nur, wenn dies manuell durch einen Benutzer angegeben wird.

Last Successful Run

Zeigt an, wann ein Replikationsjob für die Policy das letzte Mal erfolgreich abgeschlossen wurde

Last Started Zeigt an, wann die Policy das letzte Mal ausgeführt wurde

Source Root Directory

Der vollständige Pfad des Quellverzeichnisses. Die Daten werden vom Quellverzeichnis in das Zielverzeichnis repliziert.

Included Directories

Bestimmt, welche Verzeichnisse in die Replikation eingeschlossen werden. Wenn durch diese Einstellung ein oder mehrere Verzeichnisse angegeben werden, werden keine Verzeichnisse repliziert, die nicht angegeben sind.

Excluded Directories

Bestimmt, welche Verzeichnisse aus der Replikation ausgeschlossen werden. Verzeichnisse, die durch diese Einstellung angegeben werden, werden nicht repliziert.

File Matching Criteria

Bestimmt, welche Dateien aus der Replikation ausgeschlossen werden. Alle Dateien, die die angegebenen Kriterien nicht erfüllen, werden nicht repliziert.


Restrict Source Nodes

Bestimmt, ob die Policy auf allen Nodes im Quellcluster ausgeführt wird oder nur auf bestimmten Nodes

Target Host Die IP-Adresse bzw. der vollständig qualifizierte Domainname des Zielclusters

Target Directory Der vollständige Pfad des Zielverzeichnisses. Die Daten werden vom Quellverzeichnis in das Zielverzeichnis repliziert.

Restrict Target Nodes

Bestimmt, ob die Policy eine Verbindung mit allen Nodes im Zielcluster herstellen kann oder nur mit bestimmten Nodes

Capture Snapshots

Bestimmt, ob Archivierungs-Snapshots auf dem Zielcluster erzeugt werden.

Snapshot Alias Name

Gibt einen Snapshot-Alias für den neuesten Archiv-Snapshot an, der im Zielcluster aufgenommen wurde

Snapshot Naming Pattern

Legt fest, wie Archiv-Snapshots im Zielcluster benannt werden

Snapshot Expiration

Gibt an, wie lange Archiv-Snapshots im Zielcluster aufbewahrt werden, bevor sie automatisch vom System entfernt werden

Workers Threads Per Node

Gibt die Anzahl der Worker pro Node an, die durch OneFS erzeugt werden, um jeden Replikationsjob für die Policy durchzuführen

Log Level Gibt die Menge der Informationen an, die für Replikationsjobs aufgezeichnet werden.

Ausführlichere Optionen umfassen alle Informationen aus den weniger ausführlichen Optionen. Die folgende Tabelle zeigt die Protokolllevel von den am wenigsten ausführlichen bis zu den ausführlichsten:

• Schwerwiegend• Error• Hinweis• Info• Kopieren• Debuggen• Nachverfolgung

Replikationsprotokolle dienen in der Regel zur Fehlerbehebung. Falls erforderlich, können Sie sich über die Befehlszeilenoberfläche bei einem Node anmelden und den Inhalt der Datei /var/log/isi_migrate.log auf dem Node anzeigen.

ANMERKUNG: „Notice“ ist das empfohlene Protokolllevel.

Validate File Integrity

Bestimmt, ob OneFS eine Prüfsumme jedes Dateidatenpakets ermittelt, das von einem Replikationsjob beeinflusst wird. Wenn eine Prüfsumme nicht mit dem Wert übereinstimmt, überträgt OneFS das betroffene Dateidatenpaket noch einmal.

Keep Reports For Gibt an, wie lange Replikationsberichte aufbewahrt werden, bevor sie automatisch durch OneFS gelöscht werden

Log Deletions on Synchronization

Bestimmt, ob OneFS aufzeichnet, wann ein Synchronisationsjob Dateien oder Verzeichnisse im Zielcluster löscht

Die folgenden Replikationsrichtlinienfelder stehen nur über die OneFS-Befehlszeilenoberfläche zur Verfügung.

Source Subnet Gibt an, ob Replikationsjobs mit beliebigen Nodes im Cluster oder nur mit Nodes in einem angegebenen Subnetz eine Verbindung herstellen können

Source Pool Gibt an, ob Replikationsjobs mit beliebigen Nodes im Cluster oder nur mit Nodes in einem angegebenen Pool eine Verbindung herstellen können

Password Set Gibt ein Passwort für den Zugriff auf das Zielcluster an.

Report Max Count Gibt die maximale Anzahl der Replikationsberichte an, die für diese Policy aufbewahrt werden

Target Compare Initial Sync

Bestimmt, ob vollständige oder differenzielle Replikationen für diese Policy ausgeführt werden. Vollständige oder differenzielle Replikationen werden beim ersten Ausführen einer Policy und nach jedem Zurücksetzen einer Policy ausgeführt.


Source Snapshot Archive

Legt fest, ob Snapshots, die für die Replikationsrichtlinien im Quellcluster erzeugt werden, beim nächsten Ausführen der Replikationsrichtlinie gelöscht werden. Die Aktivierung von Quell-Snapshots für die Archivierung erfordert nicht, dass die SnapshotIQ-Lizenz auf dem Cluster aktiviert ist.

Source Snapshot Pattern

Wenn die für die Replikationsrichtlinien im Quellcluster erzeugten Snapshots aufbewahrt werden, werden die Snapshots gemäß dem angegebenen Muster umbenannt.

Source Snapshot Expiration

Wenn die für die Replikationsrichtlinien im Quellcluster erzeugten Snapshots aufbewahrt werden, wird mit dieser Option der Ablaufzeitraum für Snapshots festgelegt.

Restrict Target Network

Bestimmt, ob Replikationsjobs nur mit Nodes in einer bestimmten SmartConnect-Zone verbunden werden. Diese Einstellung gilt nur, wenn der Zielhost als eine SmartConnect-Zone angegeben ist.

Target Detect Modifications

Bestimmt, ob SyncIQ vor der Replikation von Dateien das Zielverzeichnis auf Änderungen prüft. Standardmäßig prüft SyncIQ immer auf Änderungen.

ANMERKUNG: Durch Deaktivieren dieser Option kann es zu Datenverlusten kommen. Vor dem

Deaktivieren dieser Option sollte unbedingt der technische Support von Isilon zu Rate gezogen

werden.

Resolve Bestimmt, ob Sie die Policy manuell auflösen können, wenn ein Replikationsjob auf einen Fehler trifft

Managen von Replikationen auf dem lokalen ClusterSie können Replikationsjobs unterbrechen, deren Ziel das lokale Cluster ist.

Sie können einen aktuell ausgeführten Job, dessen Ziel das lokale Cluster ist, abbrechen oder die Verknüpfung zwischen einer Policy und deren festgelegtem Ziel aufheben. Bei Aufhebung einer Verknüpfung zwischen Quell- und Zielcluster führt SyncIQ bei der nächsten Ausführung der Policy eine vollständige Replikation durch.

Abbrechen einer Replikation auf das lokale ClusterSie können einen Replikationsjob auf die lokalen Cluster abbrechen.


2. Geben Sie in der Tabelle SyncIQ Local Targets an, ob alle Replikationsjobs oder ein bestimmter Replikationsjob auf das lokale Cluster abgebrochen werden soll.

• Um einen bestimmten Job abzubrechen, wählen Sie in der Zeile für einen Replikationsjob die Option Cancel Running Job aus.• Um alle Jobs auf das lokale Cluster abzubrechen, aktivieren Sie das Kontrollkästchen links neben Policy Name und wählen Sie dann

die Option Cancel Selection aus der Liste Select a bulk action aus.

Aufheben der Verknüpfung lokaler ZieleSie können die Verknüpfung zwischen einer Replikationsrichtlinie und dem lokalen Cluster aufheben. Das Aufheben der Verknüpfung zu Zielen ermöglicht Schreibvorgänge in das Zielverzeichnis, wobei Sie jedoch die Replikationsrichtlinie zurücksetzen müssen, bevor Sie die Policy erneut ausführen können.

VORSICHT:

Nach dem Zurücksetzen einer Replikationsrichtlinie führt SyncIQ bei der nächsten Ausführung der Policy eine

vollständige oder differenzielle Replikation durch. Je nach replizierter Datenmenge kann eine vollständige oder

differenzielle Replikation sehr lange dauern.


2. Wählen Sie in der Tabelle SyncIQ Local Targets in der Zeile für eine Replikationsrichtlinie die Option Break Association aus.

3. Klicken Sie im Dialogfeld Confirm auf Yes.


Anzeigen von Replikationsrichtlinien, deren Ziel das lokale Cluster istSie können Informationen zu Replikationsrichtlinien anzeigen, die derzeit Daten auf das lokale Cluster replizieren.


2. In der Tabelle SyncIQ Local Targets können Sie Informationen über Replikationsrichtlinien anzeigen.


Informationen zu Replikationsrichtlinien

Informationen zur RemotereplikationsrichtlinieSie können Informationen zu Replikationsrichtlinien anzeigen, die aktuell für das lokale Cluster gelten.

Die folgenden Informationen werden in der Tabelle SyncIQ Local Targets angezeigt:

ID Die ID der Replikationsrichtlinie

Policy Name Der Name der Replikationsrichtlinie

Source Host Der Name des Quellclusters

Source Cluster GUID

Die GUID des Quellclusters

Coordinator IP Die IP-Adresse des Node im Quellcluster, das als Jobkoordinator agiert

Updated Die Zeit, zu der zuletzt Daten über die Policy oder den Job vom Quellcluster erfasst wurden

Target Path Der Pfad des Zielverzeichnisses im Zielcluster

Status Aktueller Status des Replikationsjobs

Aktionen Zeigt alle jobspezifischen Aktionen an, die Sie durchführen können

Managen von ReplikationsperformanceregelnSie können die Auswirkungen der Replikation auf die Clusterperformance managen, indem Sie Regeln erstellen, mit denen der erstellte Netzwerkverkehr und die Häufigkeit, mit der Dateien durch Replikationsjobs gesendet werden, eingeschränkt werden.


Steuerung des Ressourcenverbrauchs durch Replikationsjobs

Erstellen einer NetzwerkdatenverkehrsregelSie können eine Netzwerkdatenverkehrsregel erstellen, die die Menge des Netzwerkverkehrs einschränkt, den Replikationsrichtlinien während eines bestimmten Zeitraums erzeugen können.

1. Klicken Sie aufData Protection > SyncIQ > Performance Rules.

2. Klicken Sie auf Create a SyncIQ Performance Rule.

3. Wählen Sie aus der Liste Rule Type die Option Bandwidth aus.

4. Geben Sie im Feld Limit die maximale Anzahl der Kilobit pro Sekunde ein, die von Replikationsrichtlinien gesendet werden dürfen.

5. Geben Sie im Bereich Schedule die Zeit und die Wochentage ein, für die diese Regel gelten soll.

6. Klicken Sie auf Create Performance Rule.




Erstellen einer Regel für DateivorgängeSie können eine Regel für Dateivorgänge erstellen, mit der die Anzahl von Dateien beschränkt wird, die Replikationsjobs pro Sekunde senden können.


2. Klicken Sie auf Create a SyncIQ Performance Rule.

3. Wählen Sie aus der Liste Rule Type die Option Bandwidth aus.

4. Geben Sie im Feld Limit die maximale Anzahl an Dateien pro Sekunde ein, die Replikationsrichtlinien senden dürfen.

5. Geben Sie im Bereich Schedule die Zeit und die Wochentage ein, für die diese Regel gelten soll.

6. Klicken Sie auf Create Performance Rule.



Ändern einer PerformanceregelSie können eine Performanceregel ändern.


2. Klicken Sie in der Tabelle SyncIQ Performance Rules in der Zeile für die zu ändernde Regel auf View/Edit.

3. Klicken Sie auf Edit Performance Rule.

4. Ändern Sie die Regeleinstellungen und klicken Sie dann auf Save Changes.



Löschen einer PerformanceregelSie können eine Performanceregel löschen.


2. Wählen Sie in der Tabelle SyncIQ Performance Rules in der Zeile für die zu löschende Regel die Option Delete Rule aus.




Aktivieren oder Deaktivieren einer PerformanceregelSie können eine Performanceregel deaktivieren, damit die Regel vorübergehend nicht angewendet wird. Sie können eine Performanceregel auch aktivieren, nachdem sie deaktiviert wurde.


2. Wählen Sie in der Tabelle SyncIQ Performance Rules in der Zeile für die Regel, die Sie aktivieren oder deaktivieren möchten, die Option Enable Rule oder Disable Rule aus.



Anzeigen von PerformanceregelnSie können Informationen zu Replikationsperformanceregeln anzeigen.


2. In der Tabelle SyncIQ Performance Rules finden Sie Informationen zu Performanceregeln.




Managen von ReplikationsberichtenNeben dem Anzeigen von Replikationsberichten können Sie konfigurieren, wie lange Berichte auf dem Cluster aufbewahrt werden sollen. Sie können abgelaufene Berichte auch löschen.


Replikationsberichte

Konfigurieren von Standardeinstellungen für ReplikationsberichteSie können den Standardzeitraum konfigurieren, für den SyncIQ Replikationsberichte beibehält. Sie können auch die maximale Anzahl von Berichten konfigurieren, die SyncIQ für jede Replikationsrichtlinie aufbewahren soll.

1. Klicken Sie auf Data Protection > SyncIQ > Settings.

2. Legen Sie im Bereich Report Settings im Bereich Keep Reports For fest, wie lange Sie Replikationsberichte aufbewahren möchten.

Nachdem der angegebene Gültigkeitszeitraum für einen Bericht verstrichen ist, löscht SyncIQ den Bericht automatisch.

Einige Zeiteinheiten werden, wenn Sie einen Bericht anzeigen, anders angezeigt als ursprünglich eingegeben. Wenn Sie eine Anzahl von Tagen angeben, die einem entsprechenden Wert in Wochen, Monaten oder Jahren entspricht, wird die größere Zeiteinheit angezeigt. Wenn Sie beispielsweise einen Wert von sieben Tagen eingeben, wird für diesen Bericht nach dessen Erstellung eine Woche angezeigt. Diese Änderung ist darauf zurückzuführen, dass SyncIQ intern Berichtsaufbewahrungszeiten in Sekunden speichert und sie dann zur Anzeige in Tage, Wochen, Monate oder Jahre umrechnet.

3. Geben Sie im Feld Number of Reports to Keep Per Policy die maximale Anzahl von Berichten an, die pro Replikationsrichtlinie aufbewahrt werden soll.




Löschen von ReplikationsberichtenReplikationsberichte werden von SyncIQ routinemäßig nach Ablauf ihres Gültigkeitszeitraums gelöscht. SyncIQ löscht Berichte auch dann, wenn die Anzahl von Berichten den festgelegten Grenzwert überschreitet. Überschüssige Berichte werden regelmäßig von SyncIQ gelöscht. Sie können überschüssige Replikationsberichte jedoch auch jederzeit manuell löschen. Dieses Verfahren ist nur über die Befehlszeilenoberfläche (CLI) verfügbar.


2. Entfernen Sie überschüssige Replikationsberichte, indem Sie den folgenden Befehl ausführen:

isi sync reports rotate



Anzeigen von ReplikationsberichtenSie können Replikationsberichte und Unterberichte anzeigen.

1. Klicken Sie auf Data Protection > SyncIQ > Reports.

2. Klicken Sie in der Tabelle SyncIQ Reports in der Zeile für einen Bericht auf View Details.

Wenn ein Bericht aus Unterberichten besteht, wird der Bericht als Ordner angezeigt. Unterberichte werden als Dateien innerhalb der Berichtsordner angezeigt.





Informationen zu Replikationsberichten

Informationen zu ReplikationsberichtenInformationen zu Replikationsjobs können Sie der Tabelle Reports entnehmen.

Policy Name Der Name der zugehörigen Policy für den Job. Sie können die Einstellungen für die Policy anzeigen oder bearbeiten, indem Sie auf den Namen der Policy klicken.

Status Zeigt den Status des Jobs an. Die folgenden Jobstatus sind möglich:

Started Zeitpunkt, zu dem der Job gestartet wurde

Ended Zeitpunkt, zu dem der Job beendet wurde

Dauer Gibt an, wie lange der Job gedauert hat

Transferred Gesamtanzahl der Dateien, die während der Jobausführung übertragen wurden, sowie die Gesamtgröße aller übertragenen Dateien. Für bewertete Policies wird Assessment angezeigt.


Target Host Die IP-Adresse bzw. der vollständig qualifizierte Domainname des Zielclusters

Aktion Zeigt alle mit dem Bericht zusammenhängenden Aktionen an, die Sie ausführen können

Zugehörige Tasks

Anzeigen von Replikationsberichten

Managen von fehlgeschlagenen ReplikationsjobsWenn ein Replikationsjob aufgrund eines Fehlers fehlschlägt, deaktiviert SyncIQ möglicherweise die entsprechende Replikationsrichtlinie. So kann SyncIQ beispielsweise eine Replikationsrichtlinie deaktivieren, wenn die IP-Adresse oder der Hostname des Zielclusters geändert wird. Wenn eine Replikationsrichtlinie deaktiviert wird, kann sie nicht ausgeführt werden.

Um die Replikation für eine deaktivierte Policy fortzusetzen, müssen Sie entweder den Fehler beheben, aufgrund dessen die Policy deaktiviert wurde, oder die Replikationsrichtlinie zurücksetzen. Es wird empfohlen, dass Sie versuchen, das Problem zu beheben, bevor Sie die Policy zurücksetzen. Wenn Sie der Meinung sind, dass Sie den Fehler behoben haben, können Sie die Replikationsrichtlinie erneut aktivieren, indem Sie sie auflösen. Sie können die Policy dann erneut ausführen, um zu testen, ob das Problem behoben wurde. Wenn Sie das Problem nicht beheben können, können Sie die Replikationsrichtlinie zurücksetzen. Das Zurücksetzen der Replikationsrichtlinie bewirkt jedoch, dass bei ihrer nächsten Ausführung eine vollständige oder differenzielle Replikation ausgeführt wird.

ANMERKUNG: Je nach der synchronisierten Datenmenge kann eine vollständige oder differenzielle Replikation sehr

lange dauern.

Auflösen einer ReplikationsrichtlinieWenn SyncIQ eine Replikationsrichtlinie aufgrund eines Replikationsfehlers deaktiviert und Sie die Problemursache beheben, können Sie die Replikationsrichtlinie auflösen. Das Auflösen einer Replikationsrichtlinie ermöglicht Ihnen, die erneute Ausführung der Policy. Wenn Sie die Problemursache nicht beheben können, können Sie die Replikationsrichtlinie zurücksetzen.


2. Wählen Sie in der Tabelle Policies in der Zeile für eine Policy die Option Resolve aus.




Zurücksetzen einer ReplikationsrichtlinieWenn bei einem Replikationsjob ein Fehler auftritt, den Sie nicht beheben können, können Sie die entsprechende Replikationsrichtlinie zurücksetzen. Durch Zurücksetzen einer Richtlinie führt OneFS eine vollständige oder differenzielle Replikation durch, wenn die Richtlinie das nächste Mal ausgeführt wird. Durch das Zurücksetzen einer Replikationsrichtlinie wird der letzte für die Policy auf dem Quellcluster erzeugte Snapshot gelöscht.

VORSICHT: Je nach replizierter Datenmenge kann eine vollständige oder differenzielle Replikation sehr lange dauern.

Setzen Sie eine Replikationsrichtlinie nur zurück, wenn Sie das Problem nicht beheben können, das den

Replikationsfehler verursacht hat. Wenn Sie das Problem beheben, das den Fehler verursacht hat, lösen Sie die Policy

auf, anstatt sie zurückzusetzen.


2. Wählen Sie in der Tabelle SyncIQ Policies in der Zeile für eine Policy die Option Reset Sync State aus.



Ausführen einer vollständigen oder differenziellen ReplikationNachdem Sie eine Replikationsrichtlinie zurückgesetzt haben, müssen Sie entweder eine vollständige oder differenzielle Replikation durchführen. Dies kann nur über die CLI erfolgen.

Zurücksetzen einer Replikationsrichtlinie

1. Öffnen Sie eine SSH-Verbindung zu einem beliebigen Node im Cluster und melden Sie sich über das Stamm- bzw. Complianceadministratorkonto an.

2. Geben Sie die Art der Replikation an, die Sie ausführen möchten, indem Sie den Befehl isi sync policies modify ausführen.

• Um eine vollständige Replikation durchzuführen, deaktivieren Sie die Option --target-compare-initial-sync.

So wird beispielsweise durch den folgenden Befehl die differenzielle Synchronisation für „newPolicy“ deaktiviert:

isi sync policies modify newPolicy \--target-compare-initial-sync false

• Um eine differenzielle Replikation durchzuführen, aktivieren Sie die Option --target-compare-initial-sync.

So wird beispielsweise durch den folgenden Befehl die differenzielle Synchronisation für „newPolicy“ aktiviert:

isi sync policies modify newPolicy \--target-compare-initial-sync true

3. Führen Sie die Policy aus, indem Sie den Befehl isi sync jobs start ausführen.Mit dem folgenden Befehl wird beispielsweise „newPolicy“ ausgeführt:

isi sync jobs start newPolicy


Vollständige und differenzielle Replikation


Datenverschlüsselung mit SyncIQDieser Abschnitt enthält die folgenden Themen:

Themen:

• SyncIQ-Datenverschlüsselung – Übersicht• Verschlüsselung des SyncIQ-Datenverkehrs• Policy-spezifische Drosselung – Übersicht

SyncIQ-Datenverschlüsselung – ÜbersichtMit OneFS können Sie jetzt SyncIQ-Daten von einem Isilon-Cluster auf einem anderen verschlüsseln.

Sie können die integrierten Funktionen von SyncIQ verwenden, um die Daten während der Übertragung zwischen Isilon-Clustern zu verschlüsseln und bei der Replikation zwischen Clustern zu schützen.

SyncIQ-Policies unterstützen jetzt die End-to-End-Verschlüsselung für die clusterübergreifende Kommunikation.

Zertifikate können Sie mithilfe des neuen SyncIQ-Stores problemlos managen. Die Rücknahme von Zertifikaten wird über einen externen OCSP Responder (Online Certificate Status Protocol) unterstützt.

Durch eine einfache Änderung der globalen SyncIQ-Einstellungen können Isilon-Cluster nun die Verschlüsselung aller eingehenden und ausgehenden SyncIQ-Policies erzwingen.

Verschlüsselung des SyncIQ-DatenverkehrsZwischen Quell- und Zielclustern übertragene SyncIQ-Daten werden verschlüsselt.

SyncIQ bietet zusätzlichen Schutz vor Man-in-the-Middle-Angriffen und verhindert nicht autorisierte Quell- oder Zielbeziehungen. Für die standardmäßige Zertifikatkonfiguration zur SyncIQ-Policy-Verschlüsselung sind 6 Dateien erforderlich:

• SourceClusterCert.pem – Ein Einzelzertifikat für eine Endentität, das den Quellcluster identifiziert• SourceClusterKey.pem – Die verknüpfte private Schlüsseldatei, die das Identitätszertifikat des Quellclusters begleitet• SourceClusterCA.pem – Eine selbstsignierte Stamm-CA-Datei, die das Identitätszertifikat des Quellclusters ausgestellt hat• TargetClusterCert.pem – Ein Einzelzertifikat für eine Endentität, das den Zielcluster identifiziert• TargetClusterKey.pem – Die verknüpfte private Schlüsseldatei, die das Identitätszertifikat des Zielclusters begleitet• TargetClusterCA.pem – Eine selbstsignierte Stamm-CA-Datei, die das Identitätszertifikat des Zielclusters ausgestellt hat

(gegebenenfalls identisch mit 3)

Da für die SyncIQ-Verschlüsselung gegenseitige Authentifizierungs-SSL-Handshakes erforderlich sind, müssen in jedem Cluster das eigene Identitätszertifikat sowie das CA-Zertifikat des Peers angegeben werden.

Policy-spezifische Drosselung – ÜbersichtOneFS ermöglicht Ihnen nun die Festlegung von Regeln für die Policy-spezifische Drosselung.

In bisherigen Versionen von OneFS konnten Sie globale Regeln zur Bandbreitendrosselung konfigurieren, die gleichmäßig auf die ausgeführten Policies angewendet werden. Nun können Sie Bandbreitenreservierungen anstatt auf globaler Ebene auf der Policy-Ebene festlegen.

16

248 Datenverschlüsselung mit SyncIQ

Datenlayout mit FlexProtectDieser Abschnitt enthält die folgenden Themen:

Themen:

• Überblick über FlexProtect• Datei-Striping• Datensicherheitsanforderungen• Datenwiederherstellung mit FlexProtect• Datensicherheitsanforderungen• Angeforderte Sicherheitseinstellungen• Speicherplatznutzung der angeforderten Sicherheit

Überblick über FlexProtectEin Isilon-Cluster ist auf eine kontinuierliche Datenbereitstellung ausgelegt, selbst wenn eine oder mehrere Komponenten gleichzeitig ausfallen. OneFS ermöglicht Datenverfügbarkeit, indem ein Daten-Striping oder eine Datenspiegelung über das Cluster hinweg durchgeführt wird. Wenn eine Clusterkomponente ausfällt, sind die auf der fehlerhaften Komponente gespeicherten Daten auf einer anderen Komponente verfügbar. Nach einem Komponentenausfall werden verlorene Daten auf fehlerfreien Komponenten durch das proprietäre FlexProtect-System wiederhergestellt.

Datensicherheit wird auf Dateiebene und nicht auf Blockebene festgelegt und ermöglicht dem System, Daten schnell wiederherstellen zu können. Da alle Daten, Metadaten und Paritätsinformationen über alle Nodes verteilt werden, sind für das Cluster keine dedizierten Paritäts-Nodes oder -laufwerke erforderlich. Dadurch wird dafür gesorgt, dass kein einzelner Node die Geschwindigkeit des Wiederherstellungsvorgangs beschränkt.

Datei-StripingOneFS verwendet das interne Netzwerk eines Isilon-Clusters, um Daten automatisch auf die einzelnen Nodes und Laufwerke im Cluster zu verteilen. OneFS schützt Dateien, während die Daten geschrieben werden. Es ist keine separate Aktion erforderlich, um die Daten zu schützen.

OneFS verteilt die Dateien auf kleinere logische Segmente, die als „Stripes“ bezeichnet werden, bevor die Dateien in den Speicher geschrieben werden. Die Größe der einzelnen Dateisegmente wird als Größe der Stripe-Einheiten bezeichnet. Jeder OneFS-Block umfasst 8 KB und eine Stripe-Einheit besteht aus 16 Blöcken, sodass insgesamt 128 KB pro Stripe-Einheit verfügbar sind. Während eines Schreibvorgangs verteilt OneFS Daten auf kleinere logische Einheiten, die als „Stripes“ bezeichnet werden, und platziert die Daten dann logisch in einer Stripe-Einheit. OneFS schreibt die Daten in das Cluster, füllt dabei die Stripe-Einheit und schützt die Daten entsprechend der Anzahl der beschreibbaren Nodes und der angegebenen Schutz-Policy.

OneFS kann Daten kontinuierlich neu zuweisen und Speicherplatz nutzbarer und effizienter gestalten. Bei zunehmender Clustergröße speichert OneFS große Dateien effizienter.

Zum Schutz von Dateien, die 128 KB oder kleiner sind, verteilt OneFS diese Dateien nicht auf kleinere logische Segmente. Stattdessen nutzt OneFS die Spiegelung mit FEC (Forward Error Correction). Bei der Spiegelung erstellt OneFS Kopien der Daten jeder kleinen Datei (N), fügt ein FEC-Paritätssegment (M) hinzu und verteilt mehrere Instanzen der gesamten Schutzeinheit (N+M) auf das Cluster.

DatensicherheitsanforderungenDie angeforderte Datensicherheit bestimmt die Menge an redundanten Daten, die auf dem Cluster erstellt werden, damit Daten vor Komponentenausfällen geschützt werden. OneFS ermöglicht es Ihnen, die angeforderte Sicherheit in Echtzeit zu ändern, während von den Clients Daten auf dem Cluster gelesen und geschrieben werden.

OneFS bietet mehrere Datensicherheitseinstellungen. Sie können diese Sicherheitseinstellungen jederzeit ändern, ohne das Cluster oder Dateisystem neu zu starten oder offline schalten zu müssen. Wenn Sie Ihre Speicherlösung planen, beachten Sie, dass eine Steigerung der angeforderten Sicherheit die Schreibperformance reduziert und zusätzlicher Speicherplatz für die größere Anzahl an Nodes erforderlich ist.

17

Datenlayout mit FlexProtect 249

OneFS verwendet den Reed-Solomon-Algorithmus für N+M-Schutz. Im Datensicherheitsmodell N+M stellt N die Anzahl der Daten-Stripe-Einheiten dar und M die Anzahl der gleichzeitig auftretenden Node- oder Laufwerksausfälle bzw. die Kombination von Node- und Laufwerksausfällen, die ein Cluster ohne Datenverlust abfangen kann. N muss größer als M sein.

Zusätzlich zur N+M-Datensicherheit unterstützt OneFS auch die Datenspiegelung von 2x bis 8x, wodurch zwei bis acht Datenspiegelungen möglich sind. In Bezug auf Gesamtclusterperformance und Ressourcenverbrauch ist N+M-Sicherheit häufig effizienter als Sicherheit durch Spiegelungen. Da bei der N+M-Sicherheit die Lese- und Schreibperformance reduziert wird, kann die Datenspiegelung für kleine Daten, die häufig aktualisiert werden, schneller sein. Die Datenspiegelung erfordert einen erheblichen Overhead und ist möglicherweise nicht in allen Fällen die beste Datensicherheitsmethode. Wenn Sie z. B. die 3x-Spiegelung aktivieren, wird der festgelegte Inhalt dreimal auf dem Cluster dupliziert. Abhängig von der Menge des gespiegelten Inhalts kann dies eine beträchtliche Menge an Speicherplatz verbrauchen.


Datensicherheitsanforderungen


Angeforderte Sicherheitseinstellungen

Speicherplatznutzung der angeforderten Sicherheit

Datenwiederherstellung mit FlexProtectOneFS verwendet das proprietäre FlexProtect-System zur Erkennung und Reparatur von Dateien und Verzeichnissen, die sich aufgrund eines Node- oder Laufwerksausfalls in einem heruntergestuften Status befinden.

OneFS schützt Daten im Cluster basierend auf der konfigurierten Sicherheits-Policy. OneFS stellt ausgefallene Laufwerke wieder her, nutzt freien Speicherplatz im gesamten Cluster, um Datenverlust zu verhindern, überwacht Daten und migriert Daten von gefährdeten Komponenten.

OneFS verteilt alle Daten und Fehlerkorrekturinformationen im gesamten Cluster und sorgt dafür, dass die gesamten Daten auch bei mehreren gleichzeitigen Komponentenausfällen fehlerfrei und aufrufbar bleiben. Unter normalen Betriebsbedingungen werden alle Daten auf dem Cluster gegen einen oder mehrere Ausfälle eines Node oder Laufwerks geschützt. Wenn ein Laufwerk ausfällt, wird der Schutzstatus jedoch als heruntergestuft angesehen, bis die Daten von OneFS erneut geschützt werden. OneFS schützt Daten erneut, indem Daten im freien Speicher des Clusters wiederhergestellt werden. Während sich der Schutzstatus in einem heruntergestuften Status befindet, ist das Risiko eines Datenverlusts höher.

Da Daten im freien Speicher des Clusters wiederhergestellt werden, erfordert das Cluster keine dedizierten Hot-Spare-Nodes oder -Laufwerke, um nach dem Ausfall einer Komponente eine Wiederherstellung durchzuführen. Da für die Wiederherstellung von Daten eine gewisse Menge freien Speicherplatzes erforderlich ist, wird empfohlen, dass Sie ausreichend freien Speicherplatz über die virtuelle Hot-Spare-Funktion reservieren.

Wenn Sie mehr Nodes hinzufügen, erhält das Cluster mehr CPU, Arbeitsspeicher und Laufwerke, die bei einem Recovery-Vorgang verwendet werden können. Je größer ein Cluster wird, desto schneller werden Restriping-Vorgänge für Daten durchgeführt.

SmartFailOneFS schützt auf fehlerhaften Nodes oder Laufwerken gespeicherte Daten über einen SmartFail-Prozess.

Während des SmartFail-Prozesses versetzt OneFS ein Gerät in Quarantäne. Daten, die auf dem sich in Quarantäne befindenden Gerät gespeichert sind, sind schreibgeschützt. Während sich ein Gerät unter Quarantäne befindet, schützt OneFS die Daten auf dem Gerät erneut, indem die Daten auf andere Geräte verteilt werden. Nach Abschluss der Datenmigration wird das Gerät von OneFS logisch aus dem Cluster entfernt, die Breite des Clusters wird logisch an die neue Konfiguration angepasst und der Node oder das Laufwerk kann physisch ausgetauscht werden.

OneFS verwendet den SmartFail-Prozess für Geräte nur als letzte Möglichkeit. Auch wenn Sie SmartFail-Prozesse manuell für Nodes oder Laufwerke durchführen können, wird empfohlen, dass Sie sich zunächst an den technischen Isilon-Support wenden.

Gelegentlich kann ein Gerät ausfallen, bevor OneFS ein Problem erkennt. Wenn ein Laufwerk ausfällt, ohne dass ein SmartFail-Prozess durchgeführt wurde, beginnt OneFS automatisch mit der Wiederherstellung der Daten im verfügbaren freien Speicher im Cluster. Da ein Node jedoch nach einem Ausfall wiederhergestellt werden kann, beginnt OneFS bei einem Node-Ausfall nur dann mit der Wiederherstellung, wenn der Node logisch aus dem Cluster entfernt wird.

250 Datenlayout mit FlexProtect

Node-AusfälleDa ein Node-Verlust oft eine vorübergehende Angelegenheit ist, startet OneFS nicht automatisch mit dem Reprotecting von Daten, wenn ein Node nicht mehr reagiert oder in den Offlinezustand wechselt. Wenn ein Node neu startet, muss er nicht vom Dateisystem neu erstellt werden, da er während des vorübergehenden Ausfalls nicht beschädigt wurde.

Wenn Sie einen N+1-Schutz der Daten auf einem Cluster konfigurieren und ein Node ausfällt, sind weiterhin alle Daten von jedem anderen Node im Cluster aus zugänglich. Wenn der Node wieder online ist, tritt der Node dem Cluster automatisch wieder bei, ohne dass eine vollständige Neuerstellung erforderlich ist.

Um sicherzustellen, dass die die Daten weiterhin geschützt werden, wenn Sie einen Node physisch aus dem Cluster entfernen, müssen Sie den Node auch logisch aus dem Cluster entfernen. Wenn ein Node logisch entfernt wird, werden die Laufwerke automatisch neu formatiert und der Node wird auf die Standardeinstellungen zurückgesetzt. Das Zurücksetzen erfolgt erst, nachdem OneFS bestätigt hat, dass alle Daten erneut geschützt wurden. Mit dem SmartFail-Prozess können Sie einen Node logisch entfernen. Es ist wichtig, dass Sie nur dann einen SmartFail-Prozess für einen Node durchführen, wenn Sie einen Node dauerhaft aus dem Cluster entfernen möchten.

Wenn Sie einen ausgefallenen Node entfernen, bevor Sie einen neue Node hinzufügen, müssen die auf dem ausgefallenen Node gespeicherten Daten im freien Speicherplatz im Cluster wiederhergestellt werden. Nachdem der neuen Node hinzugefügt wurde, verteilt OneFS die Daten auf den neuen Node. Es ist effizienter, einen Ersatz-Node zum Cluster hinzuzufügen, bevor der SmartFail-Prozess für den alten Node gestartet wird, da OneFS den Ersatz-Node sofort nutzen kann, um die auf dem ausgefallenen Node gespeicherten Daten wiederherzustellen.

DatensicherheitsanforderungenSie können den Schutz einer Datei oder eines Verzeichnisses angeben, indem Sie den geforderten Schutz festlegen. Dank dieser Flexibilität können Sie verschiedene Datensätze auf höheren Levels als den Standardlevels schützen.

Der geforderte Datenschutz wird von OneFS berechnet und automatisch in Speicherpools in Ihrem Cluster festgelegt. Die Standardeinstellung wird als „vorgeschlagener Schutz“ bezeichnet und ermöglicht ein optimales Verhältnis zwischen Datensicherheit und Speichereffizienz. Ein vorgeschlagener Schutz von N+2:1 bedeutet beispielsweise, dass zwei Laufwerke oder ein Node ausfallen können, ohne Datenverlust zu verursachen.

Für die besten Ergebnisse empfehlen wir, dass Sie mindestens den vorgeschlagenen Schutz für Daten auf Ihrem Cluster akzeptieren. Sie können stets einen höheren Schutzlevel als den vorgeschlagenen Schutz für wichtige Dateien, Verzeichnisse oder Node-Pools angeben.

Mit OneFS können Sie Schutz anfordern, dem das Cluster sich derzeit nicht anpassen kann. Wenn Sie einen nicht entsprechenden Schutz anfordern, wird das Cluster weiterhin versuchen, sich dem geforderten Schutz anzupassen, bis dies möglich ist. In einem Cluster mit vier Nodes können Sie beispielsweise einen Spiegelschutz von 5x anfordern. In diesem Beispiel würde OneFS die Daten bei 4x spiegeln, bis Sie einen fünften Node zum Cluster hinzufügen. Danach würde OneFS die Daten bei 5x erneut schützen.

Wenn Sie den geforderten Schutz auf einen Level unterhalb des vorgeschlagenen Schutzes festlegen, erhalten Sie von OneFS diesbezüglich eine Warnung.

ANMERKUNG:

Für Nodes der Isilon X-Serie und NL-Serie mit 4 HE und IQ 12000X/EX 12000-Kombinationsplattformen ist für die

Clustermindestgröße von drei Nodes mindestens ein Schutz von N+2:1 erforderlich.



Angeforderte SicherheitseinstellungenDie angeforderten Sicherheitseinstellungen bestimmen den Grad eines Hardwareausfalls, bis zu dem ein Cluster ohne Datenverlust wiederhergestellt werden kann.

Angeforderte Sicherheitseinstellung Mindestanzahl der erforderlichen Nodes

Definition

[+1n] 3 Das Cluster kann bei Ausfall eines Laufwerks oder Node ohne Datenverlust wiederhergestellt werden.

[+2d:1n] 3 Das Cluster kann bei gleichzeitigem Ausfall von zwei Laufwerken oder einem Node-Ausfall ohne Datenverlust wiederhergestellt werden.


Angeforderte Sicherheitseinstellung Mindestanzahl der erforderlichen Nodes

Definition

[+2n] 4 Das Cluster kann bei gleichzeitigem Ausfall von zwei Laufwerken oder Nodes ohne Datenverlust wiederhergestellt werden.

[+3d:1n] 3 Das Cluster kann bei gleichzeitigem Ausfall von drei Laufwerken oder einem Node-Ausfall ohne Datenverlust wiederhergestellt werden.

[+3d:1n1d] 3 Das Cluster kann bei gleichzeitigem Ausfall von drei Laufwerken oder gleichzeitigem Ausfall von einem Node und einem Laufwerk ohne Datenverlust wiederhergestellt werden.

[+3n] 6 Das Cluster kann bei gleichzeitigem Ausfall von drei Laufwerken oder Nodes ohne Datenverlust wiederhergestellt werden.

[+4d:1n] 3 Das Cluster kann bei gleichzeitigem Ausfall von vier Laufwerken oder einem Node-Ausfall ohne Datenverlust wiederhergestellt werden.

[+4d:2n] 4 Das Cluster kann bei gleichzeitigem Ausfall von vier Laufwerken oder zwei Nodes ohne Datenverlust wiederhergestellt werden.

[+4n] 8 Das Cluster kann bei gleichzeitigem Ausfall von vier Laufwerken oder Nodes ohne Datenverlust wiederhergestellt werden.

Nx (Datenspiegelung) N

Beispiel: Für 5x sind mindestens fünf Nodes erforderlich.

Das Cluster kann bei Ausfall von N-1 Laufwerken oder Nodes ohne Datenverlust wiederhergestellt werden. Beispiel: 5x-Schutz bedeutet, dass das Cluster bei einem Ausfall von vier Laufwerken oder Nodes wiederhergestellt werden kann.



Speicherplatznutzung der angeforderten SicherheitDas Erhöhen des angeforderten Schutzes von Daten erhöht gleichzeitig den Speicherplatz, der von der Daten auf dem Cluster belegt wird.

Der Paritätsoverhead für N+M-Schutz ist abhängig von der Dateigröße und der Anzahl der Nodes im Cluster. Der Prozentsatz des Paritätsoverheads nimmt mit zunehmender Größe des Clusters ab.

In der folgenden Tabelle wird der geschätzte prozentuale Overhead in Abhängigkeit von der angeforderten Sicherheit und der Größe des Clusters oder Node-Pools beschrieben. Die Tabelle zeigt nicht die empfohlenen Schutzlevel basierend auf der Clustergröße an.

Anzahl der Nodes

[+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]

3 2 + 1 (33 %)

4 + 2 (33 %)

— 6 + 3 (33 %)

3 + 3 (50 %) — 8 + 4 (33 %)

— —

4 3 + 1 (25 %)

6 + 2 (25 %)

2 + 2 (50 %)

9 + 3 (25 %)

5 + 3 (38 %) — 12 + 4 (25 %)

4 + 4 (50 %)

—

5 4 + 1 (20 %)

8 + 2 (20 %)

3 + 2 (40 %)

12 + 3 (20 %)

7 + 3 (30 %) — 16 + 4 (20 %)

6 + 4 (40 %)

—

6 5 + 1 (17 %) 10 + 2 (17 %)

4 + 2 (33 %)

15 + 3 (17 %)

9 + 3 (25 %) 3 + 3 (50 %)

16 + 4 (20 %)

8 + 4 (33 %)

—

252 Datenlayout mit FlexProtect

Anzahl der Nodes

[+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]

7 6 + 1 (14 %) 12 + 2 (14 %)

5 + 2 (29 %)

15 + 3 (17 %)

11 + 3 (21 %) 4 + 3 (43 %)

16 + 4 (20 %)

10 + 4 (29 %)

—

8 7 + 1 (13 %) 14 + 2 (12,5 %)

6 + 2 (25 %)

15 + 3 (17 %)

13 + 3 (19 %) 5 + 3 (38 %)

16 + 4 (20 %)

12 + 4 (25 %)

4 + 4 (50 %)

9 8 + 1 (11 %) 16 + 2 (11 %)

7 + 2 (22 %)

15 + 3 (17 %)

15 + +3 (17 %) 6 + 3 (33 %)

16 + 4 (20 %)

14 + 4 (22 %)

5 + 4 (44 %)

10 9 + 1 (10 %) 16 + 2 (11 %)

8 + 2 (20 %)

15 + 3 (17 %)

15 + +3 (17 %) 7 + 3 (30 %)

16 + 4 (20 %)

16 + 4 (20 %)

6 + 4 (40 %)

12 11 + 1 (8 %) 16 + 2 (11 %)

10 + 2 (17 %)

15 + 3 (17 %)

15 + +3 (17 %) 9 + 3 (25 %)

16 + 4 (20 %)

16 + 4 (20 %)

8 + 4 (33 %)

14 13 + 1 (7 %) 16 + 2 (11 %)

12 + 2 (14 %)

15 + 3 (17 %)

15 + +3 (17 %) 11 + 3 (21 %)

16 + 4 (20 %)

16 + 4 (20 %)

10 + 4 (29 %)

16 15 + 1 (6 %) 16 + 2 (11 %)

14 + 2 (13 %)

15 + 3 (17 %)

15 + +3 (17 %) 13 + 3 (19 %)

16 + 4 (20 %)

16 + 4 (20 %)

12 + 4 (25 %)

18 16 + 1 (6 %) 16 + 2 (11 %)

16 + 2 (11 %)

15 + 3 (17 %)

15 + +3 (17 %) 15 + 3 (17 %)

16 + 4 (20 %)

16 + 4 (20 %)

14 + 4 (22 %)

20 16 + 1 (6 %) 16 + 2 (11 %)

16 + 2 (11 %)

16 + 3 (16 %)

16 + 3 (16 %) 16 + 3 (16 %)

16 + 4 (20 %)

16 + 4 (20 %)

16 + 4 (20 %)

30 16 + 1 (6 %) 16 + 2 (11 %)

16 + 2 (11 %)

16 + 3 (16 %)

16 + 3 (16 %) 16 + 3 (16 %)

16 + 4 (20 %)

16 + 4 (20 %)

16 + 4 (20 %)

Der Paritätsoverhead für gespiegelte Datensicherheit wird nicht von der Anzahl der Nodes im Cluster beeinflusst. Die folgende Tabelle enthält eine Beschreibung des Paritätsoverheads für angeforderte gespiegelte Sicherheit.

2 x 3 x 4 x 5 x 6 x 7 x 8 x

50 % 67 % 75 % 80 % 83 % 86 % 88 %




NDMP-Backup und -RecoveryDieser Abschnitt enthält die folgenden Themen:

Themen:

• NDMP-Backup und Recovery – Überblick• Bidirektionales NDMP-Backup• NDMP-Drei-Wege-Backup• Unterstützung von NDMP-Sitzungen auf Hardware der 6. Generation• Festlegen bevorzugter IP-Adressen für NDMP-Drei-Wege-Vorgänge• NDMP-Multi-Stream-Backup und -Recovery• Snapshot-basierte inkrementelle Backups• NDMP-Backup und -Wiederherstellung von SmartLink-Dateien• NDMP-Protokollsupport• Unterstützte DMAs• NDMP-Hardwaresupport• NDMP-Backupeinschränkungen• NDMP-Performanceempfehlungen• Ausschließen von Dateien und Verzeichnissen von NDMP-Backups• Konfigurieren grundlegender NDMP-Backupeinstellungen• Managen von NDMP-Benutzerkonten• NDMP-Umgebungsvariablen – Übersicht• Managen von NDMP-Kontexten• Managen von NDMP-Sitzungen• Managen von NDMP-Fibre Channel-Ports• Managen von NDMP-bevorzugten IP-Einstellungen• Managen von NDMP-Backupgeräten• NDMP-Dumpdates-Datei – Übersicht• NDMP-Wiederherstellungsvorgänge• Gemeinsame Nutzung von Bandlaufwerken durch Cluster• Managen Snapshot-basierter inkrementeller Backups• Managen der Clusterleistung für NDMP-Sitzungen• Managen der CPU-Auslastung für NDMP-Sitzungen

NDMP-Backup und Recovery – ÜberblickIn OneFS können Sie Dateisystemdaten durch das NDMP (Network Data Management Protocol) sichern und wiederherstellen. Von einem Backupserver können Sie Backup- und Recovery-Prozesse zwischen einem Isilon-Cluster und Backupgeräten wie Bandgeräten, Medienservern und VTLs (virtuellen Bandbibliotheken) steuern.

Einige der NDMP-Funktionen werden im Folgenden beschrieben:

• NDMP unterstützt Zwei-Wege- und Drei-Wege-Backupmodelle.• Bei bestimmten Datenmanagementanwendungen unterstützt NDMP BRE (Backup Restartable Extension). Mit NDMP-BRE können

Sie einen fehlgeschlagenen Backupjob vom letzten Prüfpunkt vor dem Ausfall fortsetzen. Der fehlgeschlagene Job wird automatisch neu gestartet und kann nicht geplant oder manuell gestartet werden.

• Sie müssen keine SnapshotIQ-Lizenz auf dem Cluster aktivieren, um NDMP-Backups ausführen zu können. Wenn Sie eine SnapshotIQ-Lizenz auf dem Cluster aktiviert haben, können Sie einen Snapshot mithilfe des SnapshotIQ-Tools erzeugen und diesen Snapshot dann sichern. Wenn Sie einen SnapshotIQ-Snapshot sichern, erstellt OneFS keinen weiteren Snapshot für das Backup.

• Sie können WORM-Domains über NDMP sichern.

18

254 NDMP-Backup und -Recovery

Bidirektionales NDMP-BackupDas bidirektionale NDMP-Backup wird auch als lokales oder direktes NDMP-Backup bezeichnet. Um bidirektionale NDMP-Backups durchzuführen, müssen Sie den Isilon-Cluster mit einem Backup Accelerator-Node verbinden, der synonym mit einem Fibre Attached Storage Node ist, und mit diesem Node ein Bandgerät verbinden. Sie müssen OneFS verwenden, um das Bandgerät zu erkennen, bevor Sie Backups auf diesem Gerät durchführen können.

Sie können unterstützte Bandgeräte direkt an die Fibre-Channel-Ports eines Fibre Attached Storage Node anschließen. Alternativ können Sie Fibre-Channel-Switche an die Fibre-Channel-Ports des Fibre Attached Storage Node sowie Band- und Medienwechslergeräte an die Fibre-Channel-Switche anschließen. In der Dokumentation Ihres Fibre-Channel-Switchs finden Sie weitere Informationen zum Zoning des Switchs, um die Kommunikation zwischen dem Fibre Attached Storage Node und den angeschlossenen Band- und Medienwechslergeräten zu ermöglichen.

Wenn Sie Bandgeräte an einen Fibre Attached Storage Node anschließen, erkennt der Cluster die Geräte, wenn Sie den Node starten oder neu starten oder wenn Sie die Fibre-Channel-Ports erneut scannen, um Geräte zu erkennen. Wenn ein Cluster Bandgeräte erkennt, erstellt das Cluster einen Eintrag für den Pfad zu jedem erkannten Gerät.

Wenn Sie ein Gerät über einen Fibre Channel-Switch anschließen, können mehrere Pfade für ein einzelnes Gerät vorhanden sein. Wenn Sie beispielsweise ein Bandgerät an einen Fibre-Channel-Switch anschließen und den Fibre-Channel-Switch dann mit 2 Fibre-Channel-Ports verbinden, erstellt OneFS 2 Einträge für das Gerät – einen für jeden Pfad.

ANMERKUNG: Einem InfiniBand-Back-end-Netzwerk hinzugefügte Nodes der 6. Generation werden mit dem A100

Backup Accelerator als Teil einer bidirektionalen NDMP-Backuplösung unterstützt. Der A100 Backup Accelerator wird

nicht als Teil einer bidirektionalen NDMP-Backuplösung mit einem Cluster der 6. Generation und mit Ethernet-Back-end

unterstützt.

NDMP-Drei-Wege-BackupDas NDMP-Drei-Wege-Backup wird auch als Remote-NDMP-Backup bezeichnet.

Bei einem Drei-Wege-NDMP-Backupvorgang weist eine Datenmanagementanwendung (DMA) auf einem Backupserver das Cluster an, Daten auf einen Bandmedienserver zu sichern, der entweder mit dem LAN oder direkt mit der DMA verbunden ist. Der NDMP-Service wird auf einem NDMP-Server ausgeführt und der NDMP-Bandservice wird auf einem separaten Server ausgeführt. Beide Server werden über die Netzwerkgrenze hinweg miteinander verbunden.

Unterstützung von NDMP-Sitzungen auf Hardware der 6. GenerationAuf Nodes der 6. Generation können Sie bidirektionale NDMP-Sitzungen aktivieren, indem Sie sie mit Sheba-Karten konfigurieren. Eine Sheba-Karte ist ein hybrider Fibre-Channel-HBA (Host-Bus-Adapter), der bidirektionale NDMP-Sitzungen über den Fibre-Channel-Port ermöglicht. Wenden Sie sich zur Aktivierung der Unterstützung für Sheba-Karten an Isilon Professional Services.

ANMERKUNG: F810-Nodes bieten keine Unterstützung für Sheba-Karten.

Festlegen bevorzugter IP-Adressen für NDMP-Drei-Wege-VorgängeWenn Sie Avamar als Datenmanagementanwendung (DMA) für einen NDMP-3-Wege-Vorgang in einer Umgebung mit mehreren Netzwerkschnittstellen verwenden, können Sie eine bevorzugte IP-Einstellung auf einen kompletten Isilon-Cluster oder auf ein oder mehrere Subnetze anwenden, die in OneFS definiert sind. Eine bevorzugte IP-Einstellung ist eine Liste mit priorisierten IP-Adressen, mit denen ein Datenserver bzw. Bandserver während eines NDMP-Drei-Wege-Vorgangs eine Verbindung herstellt.

Die IP-Adresse auf dem NDMP-Server, der die eingehende Anforderung von der DMA empfängt, legt den Umfang und die Priorität für die bevorzugte Einstellung fest. Wenn die eingehende IP-Adresse in einem Subnetzbereich mit einer bevorzugten Einstellung liegt, wird die bevorzugte Einstellung angewendet. Wenn für das Subnetz keine bevorzugte Einstellung vorhanden ist, aber eine bevorzugte clusterweite Einstellung vorliegt, wird die clusterweite bevorzugte Einstellung angewendet. Eine subnetzspezifische bevorzugte Einstellung hat gegenüber der clusterweiten bevorzugten Einstellung immer Vorrang. Wenn weder eine clusterweite noch eine subnetzspezifische bevorzugte Einstellung vorhanden ist, werden die IP-Adressen innerhalb des Subnetzes der IP-Adresse, an der die eingehenden Anforderungen von der DMA empfangen werden, als die bevorzugten IP-Adressen verwendet.

Sie können eine bevorzugte IP-Einstellung pro Cluster oder pro Netzwerksubnetz festlegen.

NDMP-Backup und -Recovery 255

Mit dem Befehl isi ndmp settings preferred-ips können Sie eine Liste der NDMP-bevorzugten IP-Adressen angeben.

NDMP-Multi-Stream-Backup und -RecoverySie können die Funktion für das NDMP-Multi-Stream-Backup zusammen mit bestimmten Datenmanagementanwendungen (DMA) verwenden, um Backups zu beschleunigen.

Mit dem Multi-Stream-Backup können Sie mithilfe Ihrer DMA festlegen, dass mehrere Datenstreams gleichzeitig gesichert werden sollen. OneFS betrachtet alle Streams in einem bestimmten Multi-Stream-Backupvorgang als Teil desselben Backupkontexts. Ein Multi-Stream-Backupkontext wird gelöscht, wenn eine Multi-Stream-Backupsitzung erfolgreich ist. Wenn ein bestimmter Stream fehlschlägt, wird der Backupkontext nach dem Abschluss eines Backupvorgangs fünf Minuten lang aufbewahrt, und Sie können den fehlgeschlagenen Stream innerhalb dieses Zeitraums wiederholen.

Wenn Sie die Funktion für das NDMP-Multi-Stream-Backup verwenden, um Daten auf Bandlaufwerken zu sichern, können Sie diese Daten abhängig von der DMA auch in mehreren Streams wiederherstellen. In OneFS 8.0.0.0 und höher werden Multi-Stream-Backups mit CommVault Simpana-Version 11.0 Service Pack 3 und NetWorker-Version 9.0.1 unterstützt. Wenn Sie Daten mithilfe von CommVault Simpana sichern, wird ein Multi-Stream-Kontext erstellt, die Daten werden jedoch in nur einem Stream gleichzeitig wiederhergestellt.

ANMERKUNG: OneFS -Multi-Stream-Backups werden von der neustartfähigen NDMP-Backupfunktion nicht

unterstützt.

Snapshot-basierte inkrementelle BackupsSie können Snapshot-basierte inkrementelle Backups implementieren, um die Geschwindigkeit zu erhöhen, mit der diese Backups ausgeführt werden.

Während eines Snapshot-basierten inkrementellen Backups prüft OneFS den Snapshot, der für den vorherigen NDMP-Backupvorgang erstellt wurde, und vergleicht diesen mit einem neuen Snapshot. OneFS führt dann ein Backup aller Dateien aus, die seit dem letzten Snapshot geändert wurden.

Wenn das inkrementelle Backup keine Snapshots umfasst, muss OneFS das Verzeichnis scannen, um zu ermitteln, welche Dateien geändert wurden. OneFS kann inkrementelle Backups erheblich schneller durchführen, wenn die Änderungsrate niedrig ist.

Sie können inkrementelle Backups durchführen, ohne eine SnapshotIQ-Lizenz auf dem Cluster aktivieren zu müssen. Obwohl SnapshotIQ einige hilfreiche Funktionen enthält, verbessert es nicht die Snapshot-Funktionen von NDMP-Backup und Recovery.

Legen Sie die Umgebungsvariable BACKUP_MODE auf SNAPSHOT fest, um Snapshot-basierte inkrementelle Backups zu ermöglichen. Wenn Sie Snapshot-basierte inkrementelle Backups aktivieren, bewahrt OneFS jeden für NDMP-Backups erstellten Snapshot auf, bis ein neues Backup des gleichen oder eines niedrigeren Levels durchgeführt wird. Wenn Sie jedoch keine Snapshot-basierten inkrementellen Backups aktivieren, löscht OneFS automatisch jeden Snapshot, der erzeugt wurde, nachdem das entsprechende Backup abgeschlossen oder abgebrochen wurde.

ANMERKUNG: Bei einem Snapshot-basierten inkrementellen Backup werden neben anderen levelbasierten Backups die

Dumpdates-Einträge in der Dumpdates-Datenbank gemeinsam genutzt. Stellen Sie deshalb sicher, dass Sie keine

Snapshot-basierten Backups und normalen levelbasierten Backups in denselben Backuppfaden ausführen. Stellen Sie

beispielsweise sicher, dass Sie ein Backup vom Typ „level 0“ und ein Snapshot-basiertes inkrementelles Backup nicht im

selben Backuppfad ausführen.

Wenn die Umgebungsvariable BACKUP_MODE festgelegt ist, funktioniert ein Snapshot-basiertes inkrementelles Backup mit bestimmten Datenmanagementanwendungen (DMAs) so, wie in der nächsten Tabelle aufgeführt.

Tabelle 7. DMA-Support für Snapshot-basierte inkrementelle Backups

DMA In DMA integriert

Symantec NetBackup Nur über Umgebungsvariable aktiviert

NetWorker Nur über Umgebungsvariable aktiviert

Avamar Ja

CommVault Simpana Nur über eine clusterbasierte Umgebungsvariable aktiviert

Tivoli Storage Manager Nur über eine clusterbasierte Umgebungsvariable aktiviert

Symantec Backup Exec Nur über eine clusterbasierte Umgebungsvariable aktiviert

NetVault Nur über eine clusterbasierte Umgebungsvariable aktiviert


DMA In DMA integriert

ASG-Time Navigator Nur über eine clusterbasierte Umgebungsvariable aktiviert


Snapshot-basierte inkrementelle Backups

NDMP-Backup und -Wiederherstellung von SmartLink-DateienSie können NDMP-Backup- und Wiederherstellungsvorgänge für Daten durchführen, die in der Cloud archiviert wurden.

Backup- und Wiederherstellungsfunktionen mit CloudPools-Daten umfassen Folgendes:

• Archivieren von SmartLink-Dateien beim Backup von einem Cluster• Wiederherstellen von Daten, einschließlich SmartLink-Dateien, im selben Cluster• Wiederherstellen von Daten, einschließlich SmartLink-Dateien, in einem anderen Cluster• Sichern Sie Versionsinformationen mit jeder SmartLink-Datei und stellen Sie die SmartLink-Datei wieder her, nachdem Sie die

Versionskompatibilität auf dem Zielcluster überprüft haben.

Durch das Festlegen der NDMP-Umgebungsvariablen BACKUP_OPTIONS und RESTORE_OPTIONS geben Sie an, wie Dateien gesichert und wiederhergestellt werden. Details zum Konfigurieren der Backupeinstellungen und zum Managen der NDMP-Umgebungsvariablen finden Sie unter Verwalten von NDMP.

ANMERKUNG: DeepCopy- und ComboCopy-Backups rufen Dateidaten aus der Cloud ab. Die Daten werden nicht auf

Festplatten gespeichert. Durch den Abruf von Dateidaten können Gebühren von Cloud-Anbietern anfallen.

Mit NDMP-Backups unterstützt CloudPools standardmäßig das Sichern von SmartLink-Dateien, die Cloud-Metadaten enthalten, z. B. den Speicherort des Objekts. Sonstige Details wie Versionsinformationen, Kontodaten, Status des lokalen Caches und nicht synchronisierte Cachedaten werden ebenfalls gesichert.

Um Datenverluste bei der Wiederherstellung von SmartLink-Dateien mit inkompatiblen Versionen zu vermeiden, können Sie die NDMP-Backupoption „combo copy“ verwenden, um SmartLink-Dateien mit vollständigen Daten zu sichern. Die vollständigen Daten umfassen Metadaten und Nutzerdaten. Zum Verwenden der NDMP-Option „combo copy“ legen Sie die Umgebungsvariable BACKUP_OPTIONS fest.

Wenn Sie eine NDMP-Wiederherstellung für mit der Option „combo copy“ gesicherte SmartLink-Dateien durchführen, können Sie zur Wiederherstellung der SmartLink-Dateien eine der Optionen „combo copy“, „shallow copy“ oder „deep copy“ verwenden. Um diese Optionen anzugeben, legen Sie die entsprechenden Werte für die Umgebungsvariable RESTORE_OPTIONS fest:

• Bei der Wiederherstellungsoption „combo copy“ werden SmartLink-Dateien nur dann aus dem Backupstream wiederhergestellt, wenn ihre Version mit der OneFS-Version auf dem Zielcluster kompatibel ist. Wenn die SmartLink-Dateiversion nicht mit der OneFS-Version auf dem Zielcluster kompatibel ist, wird eine reguläre Datei wiederhergestellt.

• Beim Wiederherstellungsvorgang mit „shallow copy“ wird die gesicherte SmartLink-Datei auf dem Zielcluster als SmartLink-Datei wiederhergestellt, wenn der Versionsprüfung auf dem Zielcluster erfolgreich ist.

• Beim Wiederherstellungsvorgang mit „deep copy“ wird die Recovery der SmartLink-Dateien als reguläre Dateien auf dem Zielcluster erzwungen, wenn die Versionsprüfung auf dem Zielcluster fehlschlägt.

• Wenn Sie keinen Wiederherstellungsvorgang angeben, stellt NDMP SmartLink-Dateien standardmäßig mit der Wiederherstellungsoption „combo copy“ wieder her.

• Wenn Sie mehrere Wiederherstellungsoptionen angeben, hat der Wiederherstellungsvorgang „combo copy“ die höchste Priorität, gefolgt von „shallow copy“. Der Wiederherstellungsvorgang „deep copy“ hat die niedrigste Priorität.

In den CloudPools-Einstellungen können Sie drei Aufbewahrungsfristen festlegen, die für gesicherte SmartLink-Dateien und deren zugehörige Clouddaten gelten:

• Die Aufbewahrungsfrist für ein komplettes Backup für NDMP tritt in Kraft, wenn die SmartLink-Datei als Teil eines kompletten Backups gesichert wird. Der Standardwert liegt bei fünf Jahren.

• Die Aufbewahrungsfrist für ein inkrementelles Backup für ein inkrementelles NDMP-Backup und SyncIQ tritt in Kraft, wenn eine SmartLink-Datei als Teil eines inkrementellen Backups gesichert wird. Der Standardwert liegt bei fünf Jahren.

• Die Aufbewahrungsfrist für Clouddaten definiert den Zeitraum, für den die Daten in der Cloud aufbewahrt werden, wenn die zugehörige SmartLink-Datei gelöscht wird. Der Standardwert liegt bei einer Woche.

CloudPools gewährleistet die Gültigkeit einer gesicherten SmartLink-Datei innerhalb der Aufbewahrungsfrist für die Clouddaten. Es ist wichtig, die Aufbewahrungsfristen so festzulegen, dass die SmartLink-Datei gültig bleibt, wenn sie von Band wiederhergestellt wird. Ungültige SmartLink-Dateien können in CloudPools nicht wiederhergestellt werden.


Um zu prüfen, ob eine gesicherte SmartLink-Datei nach wie vor gültig ist, prüft CloudPools die Aufbewahrungsfristen, die für die Datei auf Band gespeichert sind. Wenn die Aufbewahrungszeit die Wiederherstellungszeit überschritten hat, verhindert CloudPools, dass die SmartLink-Datei über NDMP wiederhergestellt wird.

CloudPools sorgt auch dafür, dass das Konto, unter dem die SmartLink-Dateien ursprünglich erstellt wurden, nicht gelöscht wird. Wenn dies der Fall ist, schlagen das NDMP-Backup und die Wiederherstellung der SmartLink-Dateien fehl.

NDMP-ProtokollsupportSie können Daten des Isilon-Clusters mit Version 3 oder 4 des NDMP-Protokolls sichern.

OneFS unterstützt die folgenden Funktionen der NDMP-Versionen 3 und 4:

• Vollständige NDMP-Backups (Level 0)• Inkrementelle NDMP-Backups (Level 1–9) und kontinuierlich inkrementelle Backups (Level 10)

ANMERKUNG: Bei einem NDMP-Backup mit Level 10 werden nur Daten kopiert, die nach dem letzten inkrementellen

Backup (Level 1-9) oder nach dem letzten Level-10-Backup geändert wurden. Indem Sie Level-10-Backups

wiederholen, können Sie sich darauf verlassen, dass die neuesten Versionen der Dateien in Ihrem Dataset gesichert

werden, ohne dass Sie ein komplettes Backup ausführen müssen.

• Tokenbasierte NDMP-Backups• NDMP-TAR-Backuptyp• Speicherauszug-Backuptyp• Pfadbasiertes und dir/node-Dateiverlaufsformat• DAR (Direct Access Restore)• DDAR (Directory DAR)• Einbeziehen und Ausschließen von Dateien und Verzeichnissen in/aus Backups• Backup von Dateiattributen• Backup von ACLs (Access Control List, Zugriffskontrollliste)• Backup von ADSs (Alternate Data Streams)• BRE (Backup Restartable Extension)• Backup und Wiederherstellung von HDFS-Attributen

OneFS unterstützt die Verbindung zu Clustern über IPv4 oder IPv6.

Unterstützte DMAsNDMP-Backups werden über eine Datenmanagementanwendung (DMA) koordiniert, die auf einem Backupserver ausgeführt wird.

ANMERKUNG: Alle unterstützten DMAs können über das IPv4-Protokoll eine Verbindung zu einem Isilon-Cluster

herstellen. Allerdings unterstützen nur einige der DMAs das IPv6-Protokoll für die Verbindung zu einem Isilon-Cluster.

NDMP-HardwaresupportOneFS kann Daten auf Bandgeräten und VTLs (virtuellen Bandbibliotheken) sichern und von diesen wiederherstellen.

Unterstützte Bandgeräte

Bei Drei-Wege-NDMP-Backups bestimmt die Datenmanagementanwendung (DMA), welche Bandgeräte unterstützt werden.

Unterstützte Bandbibliotheken

Sowohl bei bidirektionalen als auch bei 3-Wege-NDMP-Backups unterstützt OneFS alle von der DMA unterstützten Bandbibliotheken.

Unterstützte virtuelle Bandbibliotheken

Bei Drei-Wege-NDMP-Backups bestimmt die DMA, welche virtuellen Bandbibliotheken unterstützt werden.

NDMP-BackupeinschränkungenFür NDMP-Backups gelten folgende Einschränkungen:

• Unterstützt Blockgrößen von bis zu 512 KB.• Es werden keine Dateipfadlängen von mehr als 4 KB unterstützt.


• Es werden keine Konfigurationsdaten des Dateisystems wie Policies und Quotas auf Dateischutzlevel gesichert.• Die Wiederherstellung von Daten aus einem anderen Dateisystem als OneFS wird nicht unterstützt. Sie können Daten jedoch über das

NDMP-Protokoll mithilfe der isi_vol_copy-Tools von einem NetApp- oder VNX-Speichersystem nach OneFS migrieren. Weitere Informationen zu diesen Tools finden Sie im OneFS Built-In Migration Tools Guide.

• Fibre Attached Storage Nodes können mit maximal 4.096 Bandpfaden interagieren.• Die maximal unterstützte Länge der Umgebungsvariable FILESYSTEM für einen Backupvorgang beträgt 1024.

NDMP-PerformanceempfehlungenBeachten Sie die folgenden Empfehlungen zur Optimierung von NDMP-Backups mit OneFS.

Allgemeine Performanceempfehlungen• Installieren Sie die neuesten Patches für OneFS und Ihre Datenmanagementanwendung (DMA).• Führen Sie maximal 8 gleichzeitige NDMP-Sitzungen pro Fibre Attached Storage Node und 4 gleichzeitige NDMP-Sitzungen pro Isilon

IQ Backup Accelerator-Node aus, um einen optimalen Durchsatz pro Sitzung zu erhalten.• NDMP-Backups führen zu sehr hohen Recovery Point Objectives (RPOs) und Recovery Time Objectives (RTOs). Sie können Ihre

RPOs und RTOs reduzieren, indem Sie einen oder mehrere Fibre Attached Storage Nodes mit dem Cluster verbinden und dann bidirektionale NDMP-Backups ausführen.

• Der Durchsatz für einen Isilon-Cluster während der Backup- und Recovery-Vorgänge hängt vom Dataset ab und ist bei kleinen Dateien deutlich reduziert.

• Wenn Sie große Mengen kleiner Dateien sichern, planen Sie jedes Verzeichnis separat.• Wenn Sie NDMP-3-Wege-Backups durchführen, führen Sie mehrere NDMP-Sitzungen auf mehreren Nodes im Isilon-Cluster aus.• Verwenden Sie DDAR (Directory DAR), wenn Sie häufig eine große Anzahl von Dateien wiederherstellen.• Verwenden Sie die größte Bandgröße, die für Ihre OneFS-Version verfügbar ist, um den Durchsatz zu erhöhen.• Wenn möglich, nehmen Sie keine Einbeziehung oder Ausschließung von Dateien vom Backup vor. Die Einbeziehung bzw.

Ausschließung von Dateien kann sich wegen des zusätzlichen Filteroverheads auf die Backupperformance auswirken.• Begrenzen Sie die Tiefe verschachtelter Unterverzeichnisse in Ihrem Dateisystem.

SmartConnect-Empfehlungen• Für eine bidirektionale NDMP-Backupsitzung mit SmartConnect ist für Backup- und Recovery-Vorgänge ein Fibre Attached Storage

Node erforderlich. Bei einer 3-Wege-NDMP-Sitzung mit SmartConnect sind für diese Vorgänge hingegen keine Fibre Attached Storage Nodes erforderlich.

• Stellen Sie bei einer bidirektionalen NDMP-Backupsitzung mit SmartConnect die Verbindung zu dieser NDMP-Sitzung über eine dedizierte SmartConnect-Zone her, die aus einem Speicherpool mit Netzwerkschnittstellenkarten (NICs) auf den Fibre Attached Storage Nodes besteht.

• Bei einer bidirektionalen NDMP-Backupsitzung ohne SmartConnect initiieren Sie die Backupsitzung über eine statische IP-Adresse oder den vollständig qualifizierten Domainnamen des Fibre Attached Storage Node.

• Bei einem Drei-Wege-NDMP-Backupvorgang werden für die Verarbeitung des Backupdatenverkehrs das Front-end-Ethernetnetzwerk oder die Node-Schnittstellen verwendet. Daher wird die Konfiguration einer DMA empfohlen, mit der eine NDMP-Sitzung nur mit den Nodes initiiert wird, die noch nicht mit der Verarbeitung anderer Workloads oder Verbindungen überlastet sind.

• Bei einem Drei-Wege-NDMP-Backupvorgang mit oder ohne SmartConnect initiieren Sie die Backupsitzung mit den IP-Adressen der Nodes, die für die Ausführung der NDMP-Sitzungen ermittelt werden.

Empfehlungen für Fibre Attached Storage• Weisen Sie Fibre Attached Storage Nodes statische IP-Adressen zu.• Verbinden Sie mehr Fibre Attached Storage Nodes mit größeren Clustern. Die empfohlene Anzahl von Fibre Attached Storage Nodes

ist in der folgenden Tabelle angegeben.

Tabelle 8. Nodes pro Fibre Attached Storage Node

Node-Typ Empfohlene Anzahl von Nodes pro Fibre Attached Storage Node

X-Serie 3

NL-Serie 3


Node-Typ Empfohlene Anzahl von Nodes pro Fibre Attached Storage Node

S-Serie 3

HD-Serie 3

• Verbinden Sie mehr Fibre Attached Storage Nodes, wenn Sie ein Backup auf mehreren Bandgeräten durchführen.

DMA-spezifische Empfehlungen:• Aktivieren Sie Parallelität für die DMA, wenn die DMA diese Option unterstützt. Damit kann OneFS Daten auf mehreren Bandgeräten

gleichzeitig sichern.

Ausschließen von Dateien und Verzeichnissen von NDMP-BackupsSie können Dateien und Verzeichnisse von NDMP-Backupvorgängen ausschließen, indem Sie NDMP-Umgebungsvariablen über eine Datenmanagementanwendung (DMA) festlegen. Wenn Sie eine Datei oder ein Verzeichnis hinzufügen, werden alle anderen Dateien und Verzeichnisse automatisch von Backupvorgängen ausgeschlossen. Wenn Sie eine Datei oder ein Verzeichnis ausschließen, erfolgt für alle anderen Dateien und Verzeichnisse mit Ausnahme der ausgeschlossen ein Backup.

Sie können Dateien und Verzeichnisse aufnehmen oder ausschließen, indem Sie die folgenden Muster angeben: Die in der Tabelle angegebenen Beispiele gelten nur, wenn der Backuppfad /ifs/data lautet.

Tabelle 9. Platzhalter für NDMP-Dateien und Verzeichnisses

Zeichen Beschreibung Beispiel Einbeziehung oder Ausschluss der folgenden Verzeichnisse

* Platzhalter für ein oder mehrere beliebige Zeichen

Archivierung* archive1src/archive42_a/media

[] Platzhalter für eine Reihe von Buchstaben oder Zahlen

data_store_[a-f]

data_store_[0-9]

/ifs/data/data_store_a/ifs/data/data_store_c/ifs/data/data_store_8

? Platzhalter für ein beliebiges Zeichen

user_? /ifs/data/user_1/ifs/data/user_2

\ Enthält ein Leerzeichen user\ 1 /ifs/data/user 1// Platzhalter für einen

einzelnen Schrägstrich (/)ifs//data//archive /ifs/data/archive

*** Platzhalter für ein einzelnes Sternchen (*)

.. Ignoriert das Muster, wenn es zu Beginn eines Pfads angegeben wird

../home/john home/john

ANMERKUNG: "" sind für Symantec NetBackup erforderlich, wenn mehrere Muster angegeben werden. Die Muster sind

nicht auf Verzeichnisse begrenzt.

Unverankerte Muster wie home oder user1 zielen auf eine Textzeichenfolge, die möglicherweise in vielen Dateien oder Verzeichnissen vorhanden ist. Wenn ein Muster „/“ enthält, ist es ein verankertes Muster. Ein verankertes Muster wird immer vom Anfang eines Pfads abgeglichen. Ein Muster in der Mitte eines Pfads wird nicht abgeglichen. Verankerte Muster zielen auf bestimmte Dateipfadnamen wie ifs/data/home ab. Sie können jede Art von Muster einschließen oder ausschließen.

Wenn Sie sowohl das Einschluss- als auch das Ausschlussmuster angeben, wird zuerst das Einschlussmuster und anschließend das Ausschlussmuster verarbeitet.


Wenn Sie das Einschluss- und das Ausschlussmuster angeben, werden ausgeschlossene Dateien oder Verzeichnisse, die sich in eingeschlossenen Verzeichnissen befinden, nicht gesichert. Wenn die ausgeschlossenen Verzeichnisse in keinem der enthaltenen Verzeichnisse gefunden werden, bleibt das Ausschlusskriterium wirkungslos.

ANMERKUNG: Das Festlegen von unverankerten Mustern kann die Performance von Backups beeinträchtigen. Es wird

empfohlen, dass Sie unverankerte Muster möglichst vermeiden.

Konfigurieren grundlegender NDMP-BackupeinstellungenSie können NDMP-Backupeinstellungen konfigurieren, die steuern, wie diese Backups im Isilon-Cluster durchgeführt werden. Sie können OneFS auch so konfigurieren, dass es für NDMP-Backups mit einer bestimmten Datenmanagementanwendung (DMA) interagiert.

Konfigurieren und Aktivieren des NDMP-BackupsOneFS verhindert standardmäßig NDMP-Backups. Bevor Sie NDMP-Backups durchführen können, müssen Sie NDMP-Backups aktivieren und NDMP-Einstellungen konfigurieren.

1. Klicken Sie auf Data Protection > NDMP > NDMP Settings.

2. Klicken Sie im Bereich Service auf Enable NDMP Service.

3. Geben Sie in das Feld Port number eine Portnummer ein, über die eine Datenmanagementanwendung (DMA) eine Verbindung zum Isilon-Cluster herstellen kann. Die Standardportnummer ist 10000.

4. Optional: Wählen Sie in der Liste DMA vendor den Namen des DMA-Anbieters aus, mit dem Backupvorgänge gemanagt werden sollen. Wenn Ihr DMA-Anbieter nicht in der Liste aufgeführt ist, wählen Sie generic. Beachten Sie jedoch, dass Anbieter, die nicht in der Liste enthalten sind, offiziell nicht unterstützt werden und möglicherweise nicht wie erwartet funktionieren.

5. Klicken Sie im Bereich NDMP Administrators auf Add an NDMP Administrator, um einen neuen Administrator hinzuzufügen.Das Dialogfeld Add NDMP Administrator wird angezeigt.

6. Geben Sie einen Namen und ein Passwort für den Administrator ein, bestätigen Sie das Passwort und klicken Sie auf Add NDMP Administrator.

7. Klicken Sie auf Save Changes, um alle Einstellungen zu speichern. Alternativ können Sie auf Revert Changes klicken, um die Änderungen rückgängig zu machen und die Werte auf die vorherigen Einstellungen zurückzusetzen.

Anzeigen von NDMP-BackupeinstellungenSie können die aktuellen NDMP-Backupeinstellungen anzeigen. Diese Einstellungen definieren, ob NDMP-Backups aktiviert sind, über welchen Port die Datenmanagementanwendung (DMA) die Verbindung zum Isilon-Cluster herstellt und mit welchem DMA-Anbieter OneFS interagieren soll.

1. Klicken Sie auf Data Protection > NDMP > NDMP Settings und zeigen Sie die NDMP-Backupeinstellungen an.

2. Prüfen Sie die NDMP-Backupeinstellungen im Bereich Settings.

Deaktivieren von NDMP-BackupsSie können NDMP-Backups deaktivieren, wenn Sie diese Backupmethode nicht mehr verwenden möchten.


2. Deaktivieren Sie im Bereich Service das Kontrollkästchen Enable NDMP Service, um den NDMP-Backup zu deaktivieren.

Managen von NDMP-BenutzerkontenSie können die Passwörter von NDMP-Benutzerkonten erstellen, löschen und ändern.

Erstellen eines NDMP-AdministratorkontosBevor Sie NDMP-Backups durchführen können, müssen Sie ein NDMP-Administratorkonto erstellen, über das eine Datenmanagementanwendung (DMA) auf den Isilon-Cluster zugreifen kann.



2. Klicken Sie im Bereich NDMP Administrators auf Add an NDMP Administrator.Das Dialogfeld Add NDMP Administrator wird angezeigt.

3. Geben Sie im Dialogfeld Add NDMP Administrator in das Feld Name einen Kontonamen ein.

ANMERKUNG: Der NDMP-Administrator, den Sie in diesem Schritt erstellen, gilt nur für NDMP-Vorgänge. Sie

können diesen NDMP-Administrator nicht mit anderen Nutzern, Gruppen oder Identitäten im Cluster verknüpfen.

4. Geben Sie in die Felder Password und Confirm password ein Passwort für das Konto ein.

ANMERKUNG: Es gibt keine besonderen Anforderungen für die Passwort-Policy eines NDMP-Administrators.

5. Klicken Sie auf Add NDMP Administrator.

Anzeigen von NDMP-BenutzerkontenSie können Informationen zu NDMP-Benutzerkonten anzeigen.


2. Überprüfen Sie im Bereich NDMP Administrators die Informationen zu einem NDMP-Administrator durch Auswählen des entsprechenden Kontrollkästchens und klicken Sie auf View/Edit.

Ändern des Passworts eines NDMP-AdministratorkontosSie können das Passwort für ein NDMP-Administratorkonto ändern.


2. Aktivieren Sie im Bereich NDMP Administrators das Kontrollkästchen neben dem gewünschten Administratornamen und klicken Sie auf View/Edit.Das Dialogfeld View NDMP Administrator Details wird angezeigt.

3. Klicken Sie auf Edit.Das Dialogfeld Edit NDMP Administrator Details wird angezeigt.

4. Geben Sie das neue Passwort ein, bestätigen Sie es und klicken Sie dann auf Save Changes.

Löschen eines NDMP-AdministratorkontosSie können ein NDMP-Administratorbenutzerkonto löschen.


2. Aktivieren Sie im Bereich NDMP Administrators das Kontrollkästchen neben dem gewünschten Administratornamen und klicken Sie auf Delete.Der Administratorname wird aus der Liste der NDMP-Administratoren entfernt.

NDMP-Umgebungsvariablen – ÜbersichtNDMP-Umgebungsvariablen sind mit Pfaden verknüpft. Wenn der Pfad einer Umgebungsvariable mit dem Pfad eines Backup- oder Recovery-Vorgangs übereinstimmt, wird die Umgebungsvariable auf diesen Vorgang angewendet.

Alle Umgebungsvariablen sind unter dem Verzeichnis /ifs gespeichert. Es gibt zwei andere virtuelle Pfade, /BACKUP und /RESTORE, die Umgebungsvariablen enthalten. Die Umgebungsvariablen unter diesem Pfad können global angewendet werden. Die Umgebungsvariablen unter /BACKUP gelten für alle Backupvorgänge. Die Umgebungsvariablen unter /RESTORE gelten für alle Recovery-Vorgänge. Die globalen Umgebungsvariablen werden erst angewendet, nachdem die pfadspezifischen Umgebungsvariablen angewendet wurden. Die pfadspezifischen Variablen haben also Vorrang vor den globalen Variablen.

Managen von NDMP-UmgebungsvariablenIn OneFS können Sie NDMP-Backup- und Recovery-Vorgänge durch Angabe standardmäßiger NDMP-Umgebungsvariablen managen. Sie können NDMP-Umgebungsvariablen auch mit Ihrer Datenmanagementanwendung (DMA) außer Kraft setzen.

Sie können Umgebungsvariablen hinzufügen, anzeigen, bearbeiten und löschen. Die Umgebungsvariablen können jeweils für einen Backuppfad verwaltet werden. Sie werden an die Umgebungsvariablen angehängt, die in einer Backup- oder Recovery-Sitzung von einer DMA übergeben werden.


Die folgende Tabelle listet die DMAs auf, mit denen Sie direkt Umgebungsvariablen festlegen können:

Tabelle 10. DMA-Unterstützung für die Festlegung von Umgebungsvariablen

DMA Direkt in der DMA unterstützt Über die OneFS-Befehlszeilenoberfläche unterstützt

Symantec NetBackup Ja Ja

NetWorker Ja Ja

Avamar Nein Ja

CommVault Simpana Nein Ja

IBM Tivoli Storage Manager Nein Ja

Symantec Backup Exec Nein Ja

Dell NetVault Nein Ja

ASG-Time Navigator Nein Ja

Für den Fall, dass Sie eine Umgebungsvariable für den NDMP-Backup- oder -Recovery-Vorgang nicht direkt in einer DMA festlegen können, melden Sie sich über einen SSH-Client bei einem Isilon-Cluster an und legen Sie die Umgebungsvariable auf dem Cluster mit dem Befehl isi ndmp settings variables create fest.

Einstellungen für NDMP-UmgebungsvariablenSie können die NDMP-Umgebungsvariablen anzeigen und diese nach Bedarf managen.

Die Tabelle Variables enthält die folgenden Einstellungen:


Add Variables Hinzufügen der neuen Umgebungsvariablen für den Pfad und ihre Werte

Pfad Der Pfad im Verzeichnis /ifs, unter dem neue Umgebungsvariablen gespeichert werden. Wird der Pfad auf „/BACKUP“ festgelegt, wird die Umgebungsvariable auf alle Backupvorgänge angewendet. Wird der Pfad auf „/RESTORE“ festgelegt, wird die Umgebungsvariable auf alle Wiederherstellungsvorgänge angewendet.

Add Name/Value Hinzufügen eines Namens und eines Werts für die neue Umgebungsvariable

Name Name der Umgebungsvariable

Wert Der für die Umgebungsvariable festgelegte Wert

Aktion Bearbeiten, Anzeigen oder Löschen einer Umgebungsvariable unter einem bestimmten Pfad

Hinzufügen von NDMP-UmgebungsvariablenSie können Umgebungsvariablen unter einem bestimmten Pfad hinzufügen, der pro Backuppfad oder global angewendet werden kann.

1. Klicken Sie auf Data Protection > NDMP > Environment Settings.

2. Klicken Sie auf Add Variables, um das Dialogfeld Add Path Variables zu öffnen.

3. Geben Sie im Bereich Variable Settings die folgenden Parameter an:

a) Geben Sie einen Pfad an oder navigieren Sie zu einem Pfad unter /ifs, um die Umgebungsvariable zu speichern.

ANMERKUNG:

• Um eine globale Umgebungsvariable für Backup- und Recovery-Vorgänge festzulegen, geben Sie den Pfad /BACKUP für Backupvorgänge und den Pfad /RESTORE für Recovery-Vorgänge an.


• Beim Ausführen eines Backups für einen von einem Nutzer erstellten Snapshot muss der

Backuppfad .snapshot/<snapshot name> enthalten.

b) Klicken Sie auf Add Name/Value, geben Sie einen Namen und einen Wert für eine Umgebungsvariable ein und klicken Sie dann auf Create Variable.

Anzeigen von NDMP-UmgebungsvariablenSie können Details zu den NDMP-Umgebungsvariablen anzeigen.


2. Klicken Sie in der Tabelle Variables auf das Kontrollkästchen für eine Umgebungsvariable und klicken Sie dann auf View/Edit.

3. Überprüfen Sie die Details im Dialogfeld Display Path Variables.

Bearbeiten von NDMP-UmgebungsvariablenSie können eine NDMP-Umgebungsvariable bearbeiten.


2. Aktivieren Sie in der Tabelle Variables das Kontrollkästchen für eine Umgebungsvariable und klicken Sie dann auf View/Edit.

3. Klicken Sie im Dialogfeld Display Path Variables auf Edit Path Variables.

4. Klicken Sie im Dialogfeld Edit Variables auf Add Name/Value und geben Sie einen neuen Namen und Wert für die Umgebungsvariable ein.

Löschen einer NDMP-UmgebungsvariableSie können eine NDMP-Umgebungsvariable löschen.


2. Aktivieren Sie in der Tabelle Variables das Kontrollkästchen für eine Umgebungsvariable und klicken Sie dann auf Delete.


Sie können eine NDMP-Umgebungsvariable auch im Dialogfeld Edit Variables löschen, das angezeigt wird, wenn Sie auf View/Edit und dann auf Edit Path Variables klicken.

NDMP-UmgebungsvariablenSie können Standardeinstellungen für NDMP-Backup- und NDMP-Recovery-Vorgänge über NDMP-Umgebungsvariablen angeben. Sie können gleichfalls NDMP-Umgebungsvariablen über Ihre Datenmanagementanwendung (DMA) angeben.

Symantec NetBackup und NetWorker sind die beiden einzigen DMAs, mit denen Sie Umgebungsvariablen direkt festlegen und an OneFS weitergeben können.

Tabelle 11. NDMP-Umgebungsvariablen

Umgebungsvariable Gültige Werte Standard Beschreibung

BACKUP_FILE_LIST <file-path> Keine Löst ein Dateilistenbackup aus.

Derzeit können NetWorker und Symantec NetBackup Umgebungsvariablen an OneFS weiterleiten.

BACKUP_MODE TIMESTAMP

SNAPSHOT

TIMESTAMP Aktiviert oder deaktiviert Snapshot-basierte inkrementelle Backups. Um Snapshot-basierte inkrementelle Backups zu aktivieren, geben Sie SNAPSHOT an.

BACKUP_OPTIONS 0x00000400

0x00000200

0x00000100

0 Diese Umgebungsvariable steuert das Verhalten der Backupvorgänge.



0x00000001

0x00000002

0x00000004

Die folgenden Einstellungen gelten nur für Datasets, die CloudPools-gesteuerte SmartLink-Dateien enthalten:

0x00000400 Sichert SmartLink-Dateien mit vollständigen Daten. Das ist die Backupoption „combo copy“.

0x00000200 Sichert alle Cachedaten. Das ist die Backupoption „shallow copy“.

0x00000100 Liest filebasierte SmartLink-Daten aus der Cloud und sichert die SmartLink-Dateien als reguläre Dateien. Das ist die Backupoption „deep copy“.

0x00000001 Fügt am Ende eines Backupvorgangs immer DUMP_DATE in der Liste der Umgebungsvariablen hinzu. Der DUMP_DATE-Wert ist die Uhrzeit, zu der der Backup-Snapshot erstellt wurde. Eine DMA kann mithilfe des DUMP_DATE-Werts die Variable BASE_DATE für den nächsten Backupvorgang festlegen.

0x00000002 Bewahrt den Backup-Snapshot eines tokenbasierten Backups in der Datei dumpdates auf. Da für ein tokenbasiertes Backup kein LEVEL angegeben ist, wird der Level standardmäßig auf 10 festgelegt.



Der Snapshot ermöglicht ein schnelleres inkrementelles Backup als nächstes inkrementelles Backup, nachdem das tokenbasierte Backup durchgeführt wurde.

0x00000004 Der vorherige Snapshot wird aufbewahrt. Nach einem schnelleren inkrementellen Backup wird der vorherige Snapshot auf Level 10 gespeichert. Um 2 Snapshots auf demselben Level zu vermeiden, wird der vorherige Snapshot in der Datei dumpdates auf einem niedrigeren Level gespeichert. Dadurch kann mit den Einstellungen BASE_DATE und BACKUP_MODE = snapshot ein schnelleres inkrementelles Backup anstatt eines tokenbasierten Backups ausgelöst werden. Durch die Einstellungen der Umgebungsvariablen wird der NDMP-Server aufgefordert, den Wert BASE_DATE mit dem Zeitstempel in der Datei dumpdates zu vergleichen, um das vorherige Backup zu finden. Obwohl das aktuelle schnellere inkrementelle Backup der DMA fehlschlägt, speichert OneFS den vorherigen Snapshot. Die DMA kann dann das



schnellere inkrementelle Backup im nächsten Backupzyklus erneut mit dem Wert BASE_DATE des vorherigen Backups versuchen.

BASE_DATE Ermöglicht ein tokenbasiertes inkrementelles Backup. In diesem Fall wird die Datei dumpdates nicht aktualisiert.

DIRECT Y

N

N Aktiviert oder deaktiviert DAR (Direct Access Restore) und DDAR (Directory DAR) Die folgenden Werte sind gültig:

Y Aktivierung von DAR und DDAR

N Deaktivierung von DAR und DDAR

EXCLUDE <file-matching-pattern> Keine Wenn Sie diese Option angeben, sichert OneFS keine Dateien und Verzeichnissen, die dem angegebenen Muster entsprechen. Trennen Sie die Muster bei Mehrfachangaben durch ein Leerzeichen.

FILES <file-matching-pattern> Keine Wenn Sie diese Option angeben, sichert OneFS nur Dateien und Verzeichnisse, die dem angegebenen Muster entsprechen. Trennen Sie die Muster bei Mehrfachangaben durch ein Leerzeichen.

ANMERKUNG: In der Regel werden die Dateien zunächst zugeordnet und dann wird das EXCLUDE-Muster angewendet.

HIST <file-history-format> Y Gibt das Dateiverlaufsformat an.

Die folgenden Werte sind gültig:

D Gibt den Verzeichnis-/Node-Dateiverlauf an

F Gibt den pfadbasierten Dateiverlauf an

Y Gibt das durch Ihre NDMP-Backupeinstellungen festgelegte standardmäßige Dateiverlaufsformat an

N Deaktiviert den Dateiverlauf



LEVEL <integer> 0 Gibt das durchzuführende NDMP-Backuplevel an. Die folgenden Werte sind gültig:

0 Durchführung eines kompletten NDMP-Backups

1 - 9 Durchführung eines inkrementellen Backups auf dem angegebenen Level

10 Durchführung eines kontinuierlichen inkrementellen Backups

MSB_RETENTION_PERIOD Ganze Zahl 300 Sek. Gibt für eine Multi-Stream-Backupsitzung die Aufbewahrungsfrist für den Backupkontext an.

MSR_RETENTION_PERIOD 0 bis 60*60*24 600 Sek. Gibt für eine Multi-Stream-Wiederherstellungssitzung die Aufbewahrungsfrist für den Recovery-Kontext an, während der eine Recovery-Sitzung erneut gestartet werden kann.

RECURSIVE Y

N

Y Nur für Wiederherstellungssitzungen. Gibt an, dass die Wiederherstellungssitzung Dateien oder Unterverzeichnisse automatisch in einem Verzeichnis wiederherstellen soll.

RESTORE_BIRTHTIME Y

N

N Gibt an, ob die Erstellungszeit für eine Recovery-Sitzung wiedergeherstellt werden soll.

RESTORE_HARDLINK _BY_TABLE Y

N

N Bestimmt bei einer einsträngigen Wiederherstellungssitzung, ob OneFS Hardlinks während der Recovery-Vorgänge durch die Erstellung einer Hardlink-Tabelle wiederherstellt. Geben Sie diese Option an, wenn Hardlinks falsch gesichert wurden und Recovery-Vorgänge fehlschlagen.

Wenn ein Recovery-Vorgang fehlschlägt, weil Hardlinks falsch gesichert wurden, wird die folgende Meldung in den NDMP-Backupprotokollen angezeigt:

Bad hardlink path for <path>ANMERKUNG: Diese Variable ist für die parallele Wiederherstellung nicht effektiv.

RESTORE_OPTIONS 0x00000001

0x00000002

0x00000004

0x00000100

0 Diese Umgebungsvariable steuert das Verhalten der Wiederherstellungsvorgänge.



0x00000200 0x00000001 Führt einen einsträngigen Wiederherstellungsvorgang durch.

0x00000002 Stellt Attribute in den vorhandenen Verzeichnissen wieder her.

0x00000004 Erstellt zwischengeschaltete Verzeichnisse mit Standardattributen. Das Standardverhalten besteht darin, Attribute vom ersten Objekt unter einem angegebenen Verzeichnis abzurufen.

Die folgenden Einstellungen gelten nur für mit der Backupoption „combo copy“ gesicherte Datasets:

0x00000100 Erzwingt eine Wiederherstellung der SmartLink-Dateien mit „deep copy“. Das bedeutet, dass die gesicherte SmartLink-Datei auf dem Zielcluster als reguläre Datei wiederhergestellt wird.

0x00000200 Erzwingt eine Wiederherstellung der SmartLink-Dateien mit „shallow copy“. Das bedeutet, dass die gesicherte SmartLink-Datei auf dem Zielcluster als SmartLink-Datei wiederhergestellt wird.

UPDATE Y

N

Y Bestimmt, ob OneFS die Datei dumpdates aktualisiert. Standardmäßig wird eine Wiederherstellung mit der Option „combo copy“ durchgeführt.

Y OneFS aktualisiert die Datei dumpdates.

N OneFS aktualisiert die Datei



dumpdates nicht.


Ausschließen von Dateien und Verzeichnissen von NDMP-Backups

Festlegen von Umgebungsvariablen für Backup- und WiederherstellungsvorgängeSie können Umgebungsvariablen festlegen, um die Backup- und Wiederherstellungsvorgänge für NDMP-Sitzungen zu unterstützen.

Das Festlegen der Umgebungsvariablen kann über eine Datenmanagementanwendung (DMA) oder die Befehlszeilenoberfläche erfolgen. Alternativ können Sie globale Umgebungsvariablen festlegen. Nachfolgend finden Sie die Priorität, mit der die Einstellungen für einen Backup- oder Wiederherstellungsvorgang angewendet werden:

• Die Umgebungsvariablen, die über eine DMA angegeben wurden, haben die höchste Priorität.• Pfadspezifische Umgebungsvariablen, die durch isi ndmp settings variables angegeben wurden, haben eine mittlere

Priorität.• Globale Einstellungen für Umgebungsvariablen von "/BACKUP" oder "/RESTORE" haben die niedrigste Priorität.

Sie können Umgebungsvariablen festlegen, um unterschiedliche Arten von Backupvorgängen zu unterstützen, wie in den folgenden Szenarien beschrieben:

• Wenn die Umgebungsvariable BASE_DATE auf einen beliebigen Wert festgelegt ist und Sie die Umgebungsvariable BACKUP_MODE auf SNAPSHOT festlegen, wird die Umgebungsvariable LEVEL automatisch auf 10 eingestellt und ein kontinuierliches inkrementelles Backup wird durchgeführt.

• Wenn die Umgebungsvariable BASE_DATE auf 0 festgelegt ist, wird ein komplettes Backup durchgeführt.• Wenn die Umgebungsvariable BACKUP_MODE auf snapshot festgelegt ist und die Umgebungsvariable BASE_DATE nicht auf 0

festgelegt ist, werden die Einträge in der Datei dumpdates gelesen und mit der Umgebungsvariablen BASE_DATE verglichen. Werden ein Eintrag und ein früherer gültiger Snapshot gefunden, wird ein schnelleres inkrementelles Backup durchgeführt.

• Wenn die Umgebungsvariable BACKUP_MODE auf snapshot und die Umgebungsvariable BASE_DATE nicht auf 0 festgelegt ist und wenn keine Einträge in der Datei dumpdates und keine früheren gültigen Snapshots gefunden werden, wird ein tokenbasiertes Backup mit dem Wert der Umgebungsvariablen BASE_DATE durchgeführt.

• Wenn die Umgebungsvariable BASE_DATE festgelegt ist, wird die Umgebungsvariable BACKUP_OPTIONS standardmäßig auf 0x0001 festgelegt.

• Wenn die Umgebungsvariable BACKUP_MODE auf snapshot festgelegt ist, wird die Umgebungsvariable BACKUP_OPTIONS standardmäßig auf 0x0002 festgelegt.

• Wenn die Umgebungsvariable BACKUP_OPTIONS auf 0x0004 festgelegt ist, wird der Snapshot gespeichert und von der für den Backupprozess verwendeten Anwendung verwaltet.

• Um ein kontinuierliches inkrementelles Backup mit schnelleren inkrementellen Backups auszuführen, müssen Sie die folgenden Umgebungsvariablen festlegen:

• BASE_DATE=<time>• BACKUP_MODE=snapshot• BACKUP_OPTIONS=7

Managen von NDMP-KontextenBei allen Prozessen zum NDMP-Backup, zur Wiederherstellung und zum Multi-Streaming-Backup wird ein Kontext erstellt. Der NDMP-Server speichert die entsprechenden Arbeitsdateien im Kontext. Sie können einen Kontext anzeigen oder löschen.

ANMERKUNG: Wenn Sie einen neustartfähigen Backupkontext löschen, kann die entsprechende Backupsitzung nicht

neu gestartet werden.

NDMP-KontexteinstellungenSie können die Details der NDMP-Kontexte anzeigen und diese Kontexte managen.

Die Tabelle Contexts enthält die folgenden Einstellungen:



Typ Der Kontexttyp. Dabei kann es sich um ein Backup, ein neustartfähiges Backup oder eine Wiederherstellung handeln.

ID Die ID für einen Backup- oder Wiederherstellungsjob. Ein Backup- oder Wiederherstellungsjob besteht aus einem oder mehreren Streams, die alle durch diese Kennung identifiziert werden. Diese Kennung wird durch den NDMP-Backup-Daemon erzeugt.

Start Time Die Startzeit des Kontexts im Format Monat, Datum, Zeit, Jahr.

Aktionen Anzeigen oder Löschen eines ausgewählten Kontexts.

Status Status des Kontexts. Der Status wird als active angezeigt, wenn ein Backup- oder Wiederherstellungsjob initiiert wird und aktiv bleibt, bis der Backupstream abgeschlossen wurde oder mit einem Fehler beendet wird.

Pfad Der Pfad, unter dem alle Arbeitsdateien für den ausgewählten Kontext gespeichert werden

MultiStream Gibt an, ob der Multistream-Backupprozess aktiviert ist.

Lead Session ID Die Kennung der ersten Backup- oder Wiederherstellungssitzung, die einem Backup- oder Wiederherstellungsvorgang entspricht

Sitzungen Eine Tabelle mit einer Liste aller Sitzungen, die mit dem ausgewählten Kontext verknüpft sind

Anzeigen von NDMP-KontextenSie können Informationen zu NDMP-Backup-, neustartbaren und Recovery-Kontexten anzeigen.

1. Klicken Sie auf Data Protection > NDMP > Contexts.

2. Klicken Sie in der Tabelle Contexts auf das Kontrollkästchen für einen Kontext, den Sie überprüfen möchten, und klicken Sie auf View Details.

3. Überprüfen Sie die Informationen zum Kontext im Dialogfeld Display Backup Context.

Löschen eines NDMP-KontextsSie können einen NDMP-Kontext löschen.

Backup- und Wiederherstellungskontexte haben Aufbewahrungsfristen, nach denen die Kontexte automatisch gelöscht werden. Sie können einen Kontext aber auch vor Ablauf der Aufbewahrungsfrist löschen, um Ressourcen freizusetzen. Kontexte mit aktiven Sitzungen können nicht gelöscht werden. Außerdem können keine Backupkontexte mit aktiven BRE-Kontexten gelöscht werden. BRE-Kontexte können nur gelöscht werden, wenn sie nicht Teil von aktiven Sitzungen sind.

1. Klicken Sie auf Data Protection > NDMP > Contexts.

2. Wählen Sie in der Liste Contexts einen Kontext aus und klicken Sie auf Delete.


Managen von NDMP-SitzungenSie können den Status von NDMP-Sitzungen anzeigen oder eine laufende Sitzung beenden.

NDMP-SitzungsinformationenDatenmanagementanwendungen (DMAs) stellen Sitzungen mit dem NDMP Daemon her, der auf dem Fibre Attached Storage Node ausgeführt wird. Die Kommunikation von der DMA zum NDMP-Daemon wird im Kontext einer Sitzung verwaltet.

Die folgenden Elemente werden in der Tabelle Sessions angezeigt:


Element Beschreibung

Sitzung Die eindeutige ID, die der Sitzung von OneFS zugewiesen wurde

Elapsed Die Zeit, die seit dem Start der Sitzung verstrichen ist

Transferred Die Datenmenge, die während der Sitzung übertragen wurde

Throughput Der durchschnittliche Durchsatz der Sitzung in den letzten fünf Minuten

Client/Remote Die IP-Adresse des Backupservers, auf dem die Datenmanagementanwendung (DMA) ausgeführt wird. Wenn derzeit ein Drei-Wege-NDMP-Backup- oder -Wiederherstellungsvorgang ausgeführt wird, wird die IP-Adresse des Remoteband-Mediumservers ebenfalls angezeigt.

Mover/Data Der aktuelle Status des Data Mover und des Datenservers. Das erste Wort beschreibt die Aktivität des Data Mover. Das zweite Wort beschreibt die Aktivität des Datenservers.

Der Data Mover und der Datenserver tauschen während der Backup- und Wiederherstellungsvorgänge untereinander Daten aus. Der Data Mover ist eine Komponente des Backupservers, die während eines Backups Daten empfängt und während eines Wiederherstellungsvorgangs Daten sendet. Der Datenserver ist eine Komponente von OneFS, die während eines Backups Daten sendet und während eines Wiederherstellungsvorgangs Daten empfängt.

ANMERKUNG: Wenn anstelle eines Status eine Sitzungs-ID angezeigt wird, wird die Sitzung automatisch umgeleitet.

Die folgenden Status werden möglicherweise angezeigt:

Active Der Data Mover oder der Datenserver sendet bzw. empfängt derzeit Daten.

Angehalten Der Data Mover ist vorübergehend nicht in der Lage, Daten zu empfangen. Während der Data Mover angehalten ist, kann der Datenserver keine Daten an den Data Mover senden. Der Datenserver kann nicht angehalten werden.

Idle Der Data Mover oder der Datenserver sendet bzw. empfängt keine Daten.

Listen Der Data Mover oder der Datenserver wartet auf eine Verbindung mit dem Datenserver bzw. Data Mover.

Vorgang Die Art des derzeit ausgeführten Vorgangs (Backup oder Wiederherstellung). Wenn kein Vorgang ausgeführt wird, ist dieses Feld leer.

B ({M} {F} [L[0-10] | T0 | Ti | S[0-10]] {r | R})+

Dabei gilt Folgendes:

[ a ] –a ist erforderlich

{ a } – a ist optional

a | b – a oder b, jedoch nicht beide gleichzeitig

A(B) – Die Sitzung ist eine Agent-Sitzung für einen umgeleiteten Backupvorgang.

M – Multi-Streaming-Backup

F – Dateiliste

L – levelbasiert

T – tokenbasiert

S – Snapshot-Modus

s – Snapshot-Modus und ein komplettes Backup (wenn das Stammverzeichnis neu ist)

R – Neustartfähiges Backup

R – Neu gestartetes Backup


Element Beschreibung

+ – Das Backup wird mit mehreren Zustandssträngen ausgeführt, um die Leistung zu verbessern.

0-10 – Speicherauszugslevel

R ({M|s}[F | D | S]{h})

Dabei gilt Folgendes:

A(B) – Die Sitzung ist eine Agent-Sitzung für einen umgeleiteten Wiederherstellungsvorgang.

M – Multi-Stream-Wiederherstellung

s – Single-Stream-Wiederherstellung (wenn RESTORE_OPTIONS = 1)

F – Komplette Wiederherstellung

D – DAR

S – Selektive Wiederherstellung

h – Hardlinks nach Tabelle wiederherstellen

Source/Destination Wenn derzeit ein Vorgang ausgeführt wird, gibt dieser Wert die /ifs-Verzeichnisse an, die von dem Vorgang betroffen sind. Wenn ein Backup durchgeführt wird, zeigt dieser Wert den Pfad des Quellverzeichnisses an, das derzeit gesichert wird. Wenn ein Wiederherstellungsvorgang ausgeführt wird, zeigt dieser Wert den Pfad des wiederhergestellten Verzeichnisses und des Zielverzeichnisses an, auf dem der Bandmediumserver Daten wiederherstellt. Wenn Sie Daten am selben Standort wiederherstellen, an dem Sie Ihre Daten gesichert haben, wird der Pfad doppelt angezeigt.

Gerät Der Name des Band- oder Medienwechslergeräts, das mit dem Isilon-Cluster kommuniziert.

Mode Gibt an, wie OneFS mit Daten auf dem Backupmedienserver interagiert. Es gibt folgende Optionen:

Lesen/Schreiben OneFS liest und schreibt Daten während eines Backupvorgangs.

Read OneFS liest Daten während eines Wiederherstellungsvorgangs.

Raw Die DMA hat Zugriff auf Bandlaufwerke, die Laufwerke enthalten jedoch keine schreibfähigen Bandmedien.

Actions Ermöglicht das Testen oder Löschen einer Sitzung.

NDMP-Backup- und -Wiederherstellungsvorgänge

Beispiele für aktive NDMP-Backupsitzungen, angezeigt im Feld Operation, das in der vorherigen Tabelle beschrieben wird:

B(T0): Token based full backup B(Ti): Token based incremental backup B(L0): Level based full backup B(L5): Level 5 incremental backup B(S0): Snapshot based full backup B(S3): Snapshot based level 3 backup B(FT0): Token based full filelist backup B(FL4): Level 4 incremental filelist backup B(L0r): Restartable level based full backup B(S4r): Restartable snapshot based level 4 incremental backup B(L7R): Restarted level 7 backup B(FT1R): Restarted token based incremental filelist backup B(ML0): Multi-stream full backup

Beispiele für aktive NDMP-Wiederherstellungssitzungen, angezeigt im Feld Operation, das in der vorherigen Tabelle beschrieben wird:

R(F): Full restoreR(D): DARR(S): Selective restoreR(MF): Multi-stream full restoreR(sFh): single threaded full restore with restore hardlinks by table option


Zugehörige Tasks

Anzeigen von NDMP-Sitzungen

Anzeigen von NDMP-SitzungenSie können Informationen zu aktiven NDMP-Sitzungen anzeigen.

1. Klicken Sie auf Data Protection > NDMP > Sessions.

2. Überprüfen Sie in der Tabelle Sessions die Informationen zu NDMP-Sitzungen.


NDMP-Sitzungsinformationen

Abbrechen einer NDMP-SitzungSie können eine NDMP-Backup- oder -Wiederherstellungssitzung jederzeit abbrechen.

1. Klicken Sie auf Data Protection > NDMP > Sessions.

2. Klicken Sie in der Tabelle Sessions auf das Kontrollkästchen für die Sitzung, die Sie abbrechen möchten, und klicken Sie auf Delete.


Managen von NDMP-Fibre Channel-PortsSie können die Fibre-Channel-Ports managen, über die Band- und Medienwechslergeräte mit einem Fibre Attached Storage Node verbunden werden. Sie können die Einstellungen eines NDMP-Fibre Channel-Ports auch aktivieren, deaktivieren oder ändern.

Einstellungen für den NDMP-BackupportOneFS weist allen Fibre-Channel-Ports des mit dem Isilon-Cluster verbundenen Fibre Attached Storage Node Standardeinstellungen zu. Diese Einstellungen identifizieren den Port und geben an, wie der Port mit NDMP-Backupgeräten interagiert.

Die Tabelle Ports enthält die folgenden Einstellungen:


LNN Gibt die logische Node-Nummer (LNN) des Fibre Attached Storage Node an

Port Gibt den Namen und die Portnummer des Fibre Attached Storage Node an

Topologie Der Typ der Fibre Channel-Topologie, die der Port unterstützt Optionen:

Point to Point Mit dem Port ist ein einziges Backupgerät oder ein Fibre Channel-Switch verbunden.

Loop Mehrere Backupgeräte sind in einer Ringformation mit einem einzigen Port verbunden.

Automatisch Automatische Erkennung der Topologie des verbundenen Geräts. Dies ist die empfohlene Einstellung, die für eine Switched-Fabric-Topologie erforderlich ist.

WWNN Gibt den WWNN (World Wide Node Name) des Ports an. Dieser Name ist für jeden Port auf einem bestimmten Node gleich.

WWPN Gibt den WWPN (World Wide Port Name) des Ports an. Dieser Name ist für den Port eindeutig.

Rate Die Rate, mit der Daten durch den Port gesendet werden. Die Rate kann auf 1 Gb/s, 2 Gb/s, 4 Gb/s, 8 Gb/s und Auto festgelegt werden. 8 Gb/s ist nur für A100-Nodes verfügbar. Wenn die Einstellung auf Auto festgelegt ist, handelt der Fibre-Channel-Chip mit dem verbundenen Fibre-Channel-Switch oder den Fibre-Channel-Geräten die Rate aus. Auto ist die empfohlene Einstellung.

Bundesstaat/-land Gibt an, ob ein Port aktiviert oder deaktiviert ist.

Actions Ermöglicht Ihnen das Anzeigen und Bearbeiten der Porteinstellungen.


Zugehörige Tasks

Ändern der Einstellungen für den NDMP-Backupport

Anzeigen von NDMP-Backupports

Aktivieren oder Deaktivieren eines NDMP-BackupportsSie können einen NDMP-Backupport aktivieren oder deaktivieren.

1. Klicken Sie auf Data Protection > NDMP > Ports.

2. Klicken Sie in der Zeile für einen Port auf View/Edit.Das Dialogfeld View Port wird angezeigt.

3. Klicken Sie auf die Schaltfläche Edit Port.Das Dialogfeld Edit Port wird angezeigt.

4. Wählen Sie in der Drop-down-Liste State die Optionen Enable oder Disable aus.

5. Klicken Sie auf die Schaltfläche Save Changes.

Anzeigen von NDMP-BackupportsSie können Informationen zu Fibre-Channel-Ports von Fibre Attached Storage Nodes anzeigen, die mit einem Isilon-Cluster verbunden sind.


2. Überprüfen Sie in der Tabelle Ports die NDMP-Backupportinformationen. Klicken Sie auf die Schaltfläche View/Edit für einen Port, um ausführlichere Informationen zu diesem Port anzuzeigen.


Einstellungen für den NDMP-Backupport

Ändern der Einstellungen für den NDMP-BackupportSie können die Einstellungen eines NDMP-Backupports ändern.


2. Klicken Sie auf die Schaltfläche View/Edit für den Port, den Sie ändern möchten.Das Dialogfeld View Port wird angezeigt.

3. Klicken Sie auf die Schaltfläche Edit Port.Das Dialogfeld Edit Port wird angezeigt.

4. Bearbeiten Sie die Einstellungen im Dialogfeld Edit Port und klicken Sie abschließend auf Save Changes.


Einstellungen für den NDMP-Backupport

Managen von NDMP-bevorzugten IP-EinstellungenWenn Sie 3-Wege-NDMP-Vorgänge mithilfe von Avamar in einer Umgebung mit mehreren Netzwerkschnittstellen durchführen, können Sie clusterweite oder subnetzspezifische NDMP-bevorzugte IP-Einstellungen erstellen, ändern, löschen, auflisten und anzeigen.

Sie können NDMP-bevorzugte IP-Einstellungen nur über die OneFS-Befehlszeilenoberfläche managen.

Erstellen einer NDMP-bevorzugten IP-EinstellungWenn Sie einen 3-Wege-NDMP-Backup- oder -Wiederherstellungsvorgang mit Avamar durchführen, können Sie eine clusterweite oder subnetzspezifische NDMP-bevorzugte IP-Einstellung erstellen.


• Erstellen Sie eine NDMP-bevorzugte IP-Einstellung, indem Sie den Befehl isi ndmp settings preferred-ips create ausführen.Beispiel: Führen Sie den folgenden Befehl aus, um eine bevorzugte IP-Einstellung für ein Cluster anzuwenden:

isi ndmp settings preferred-ips create cluster groupnet0.subnet0,10gnet.subnet0

Führen Sie den Befehl wie im folgenden Beispiel aus, um eine bevorzugte IP-Einstellung für eine Subnetzgruppe anzuwenden:

isi ndmp settings preferred-ips create 10gnet.subnet0 10gnet.subnet0,groupnet0.subnet0

Ändern einer NDMP-bevorzugten IP-EinstellungWenn Sie einen 3-Wege-NDMP-Backup- oder -Wiederherstellungsvorgang mit Avamar durchführen, können Sie eine NDMP-bevorzugte IP-Einstellung durch Hinzufügen oder Löschen einer Subnetzgruppe ändern.

• Ändern Sie eine NDMP-bevorzugte IP-Einstellung durch das Ausführen des Befehls isi ndmp settings preferred-ips modify.Beispiel: Führen Sie die folgenden Befehle aus, um die NDMP-bevorzugte IP-Einstellung für ein Cluster zu ändern:

isi ndmp settings preferred-ips modify 10gnet.subnet0 --add-data-subnets 10gnet.subnet0,groupnet0.subnet0

Führen Sie den Befehl wie im folgenden Beispiel aus, um die NDMP-bevorzugte IP-Einstellung für ein Subnetz zu ändern:

isi ndmp settings preferred-ips modify 10gnet.subnet0 --remove-data-subnets groupnet0.subnet0

Auflisten von NDMP-bevorzugten IP-EinstellungenWenn Sie einen 3-Wege-NDMP-Backup- oder -Wiederherstellungsvorgang mit Avamar durchführen, können Sie alle NDMP-bevorzugten IP-Einstellungen auflisten.

• Listen Sie die NDMP-bevorzugten IP-Einstellungen durch Ausführen des Befehls isi ndmp settings preferred-ips list auf.Beispiel: Führen Sie den folgenden Befehl aus, um die NDMP-bevorzugten IP-Einstellungen aufzulisten:

isi ndmp settings preferred-ips list

Anzeigen von NDMP-bevorzugten IP-EinstellungenWenn Sie einen 3-Wege-NDMP-Backup- oder -Wiederherstellungsvorgang mit Avamar durchführen, können Sie die NDMP-bevorzugten IP-Einstellungen für ein Subnetz oder einen Cluster anzeigen.

• Zeigen Sie eine NDMP-bevorzugte IP-Einstellung durch Ausführen des Befehls isi ndmp settings preferred-ips view an.Beispiel: Führen Sie den folgenden Befehl aus, um die NDMP-bevorzugte IP-Einstellung für ein Subnetz anzuzeigen.

isi ndmp settings preferred-ips view --scope=10gnet.subnet0

Löschen von NDMP-bevorzugten IP-EinstellungenWenn Sie einen 3-Wege-NDMP-Backup- oder -Wiederherstellungsvorgang mit Avamar durchführen, können Sie eine NDMP-bevorzugte IP-Einstellung für ein Subnetz oder einen Cluster löschen.

• Löschen Sie die NDMP-bevorzugte IP-Einstellung durch Ausführen des Befehls isi ndmp settings preferred-ips delete.Beispiel: Führen Sie den folgenden Befehl aus, um die bevorzugte IP-Einstellung für ein Subnetz zu löschen.

isi ndmp settings preferred-ips delete --scope=10gnet.subnet0


Managen von NDMP-BackupgerätenNachdem Sie ein Band- oder Medienwechslergerät mit einem Fibre Attached Storage Node verbunden haben, müssen Sie OneFS so konfigurieren, dass das Gerät erkannt und eine Verbindung zu ihm hergestellt wird. Nachdem die Verbindung zwischen dem Cluster und dem Backupgerät hergestellt wurde, können Sie den Namen ändern, den das Cluster dem Gerät zugewiesen hat, oder das Gerät vom Cluster trennen.

Falls das VTL-Gerät (virtuelle Bandbibliothek) über mehrere LUNs verfügt, müssen Sie LUN0 so konfigurieren, dass alle LUNs ordnungsgemäß erkannt werden.

NDMP-BackupgeräteeinstellungenOneFS erstellt einen Geräteeintrag für jedes Gerät, das Sie über einen Fibre Attached Storage Node mit dem Cluster verbinden.

Die folgende Tabelle beschreibt die Einstellungen, die Sie für ein Band- oder Medienwechslergerät in der Tabelle Devices sowie im Dialogfeld View Tape Devices überprüfen können (das Dialogfeld wird angezeigt, wenn Sie ein Gerät auswählen und auf View/Edit klicken):


Name Ein von OneFS zugewiesener Gerätname

Bundesstaat/-land Gibt an, ob das Gerät derzeit verwendet wird. Wenn derzeit Daten gesichert oder vom Gerät wiederhergestellt werden, wird Read/Write angezeigt. Wenn das Gerät derzeit nicht verwendet wird, wird Closed angezeigt.

WWNN Der WWNN (World Wide Node Name) des Geräts

Product (Vendor/Model/Revision)

Der Name des Geräteherstellers und der Modellname oder die Nummer des Geräts

Seriennummer Die Seriennummer des Geräts.

Actions Ermöglicht das Anzeigen, Bearbeiten oder Löschen eines Geräts

Pfad Der Name des Fibre Attached Storage Node, der mit dem Gerät verbunden ist, sowie die Portnummern, mit denen das Gerät verbunden ist.

LUN Die LUN (Logical Unit Number) des Geräts.

Bundesstaat/-land Gibt an, ob das Gerät aktiv oder inaktiv ist.

WWPN Der WWPN (World Wide Port Name) des Ports auf dem Band- oder Medienwechslergerät.

Port-ID Die Port-ID des Geräts, die das logische Gerät an das physische Gerät bindet.

Open Count Ein Zähler der aktiven und offenen Verbindungen zu dem Gerät.

Gerätename Gibt den regulären Gerätnamen an, der unter dem Betriebssystem FreeBSD angezeigt wird.

Pass Name Gibt den Pass-Through-Gerätnamen an, der unter dem Betriebssystem FreeBSD angezeigt wird.

Zugehörige Tasks

Erkennen von NDMP-Backupgeräten

Anzeigen von NDMP-Backupgeräten

Erkennen von NDMP-BackupgerätenWenn Sie ein Bandgerät oder einen Medienwechsler mit einem Fibre Attached Storage Node verbinden, müssen Sie OneFS für die Erkennung des Geräts konfigurieren. Nur dann kann OneFS Daten auf diesem Gerät sichern und von diesem wiederherstellen. In OneFS können Sie einen bestimmten Isilon-Node, einen bestimmten Port oder alle Ports auf allen Nodes scannen.

1. Klicken Sie auf Data Protection > NDMP > Devices.

2. Klicken Sie auf den Link Discover Devices.Das Dialogfeld Discover Devices wird angezeigt.

3. Optional: Um nur einen bestimmten Node auf NDMP-Geräte zu scannen, wählen Sie aus der Liste Node einen Node aus.

4. Optional: Um nur einen bestimmten Port auf NDMP-Geräte zu scannen, wählen Sie aus der Liste Ports einen Port aus.


Wenn Sie einen Port und einen Node angeben, wird nur der angegebene Port auf dem Node gescannt. Wenn Sie jedoch nur einen Port angeben, wird der angegebene Port auf allen Nodes gescannt.

5. Optional: Um Einträge für Geräte oder Pfade zu entfernen, auf die nicht mehr zugegriffen werden kann, aktivieren Sie das Kontrollkästchen Delete inaccessible paths or devices.


Für jedes erkannte Gerät wird der Tabelle Tape Devices oder Media Changers ein Eintrag hinzugefügt.


NDMP-Backupgeräteeinstellungen

Anzeigen von NDMP-BackupgerätenSie können Informationen zu Band- und Medienwechslergeräten anzeigen, die derzeit mit dem Isilon-Cluster verbunden sind.


2. Überprüfen Sie in den Tabellen Tape Devices und Media Changer Devices die Informationen zu NDMP-Backupgeräten.


NDMP-Backupgeräteeinstellungen

Ändern des Namens eines NDMP-BackupgerätsIn OneFS können Sie den Namen eines NDMP-Backupgeräts ändern.


2. Aktivieren Sie in der Tabelle Tape Devices oder Media Changer Devices das Kontrollkästchen, das dem Namen eines Eintrags für ein Backupgerät entspricht.

3. Klicken Sie auf View/Edit.Das Dialogfeld View Tape Devices oder View Media Changers wird angezeigt.

4. Klicken Sie auf Edit Tape Device.Das Dialogfeld Edit Tape Devices oder Edit Media Changers wird angezeigt.

5. Bearbeiten Sie den Gerätenamen.


Löschen eines Eintrags für ein NDMP-BackupgerätWenn Sie ein NDMP-Gerät aus einem Isilon-Cluster physisch entfernen, bleibt der Eintrag für das Gerät in OneFS erhalten. Sie können einen Geräteeintrag für ein entferntes Gerät löschen. Sie können auch den Geräteeintrag für ein Gerät entfernen, das weiterhin physisch mit dem Cluster verbunden ist. Hierdurch trennt OneFS die Verbindung zu dem Gerät.

Wenn Sie einen Geräteeintrag für ein Gerät entfernen, das mit dem Cluster verbunden ist, und das Gerät nicht physisch trennen, erkennt OneFS das Gerät, wenn die Ports das nächste Mal gescannt werden. Sie können einen Geräteeintrag nicht für ein Gerät entfernen, das derzeit verwendet wird.


2. Aktivieren Sie in der Tabelle Tape Devices oder Media Changer Devices das Kontrollkästchen für das Gerät, das Sie entfernen möchten.



NDMP-Dumpdates-Datei – ÜbersichtWenn Sie die Umgebungsvariable UPDATE auf Y festlegen, wird im NDMP-Daemon eine dumpdates-Datei angelegt, um alle außer den tokenbasierten Backupsitzungen aufzuzeichnen. Anhand des Zeitstempels in der dumpdates-Datei können die geänderten Dateien beim nächsten levelbasierten Backup leichter identifiziert werden. Die Einträge in der dumpdates-Datei stellen außerdem Informationen über die letzte Backupsitzung unter einem bestimmten Pfad und den Typ der Backupsitzung bereit, wobei es sich um ein komplettes, ein levelbasiertes inkrementelles oder ein Snapshot-basiertes Backup handeln kann. Durch diese Informationen wird festgelegt, welche Art von


inkrementellem Backup nachfolgend ausgeführt werden muss. Die Einträge in der dumpdates-Datei können veraltet sein, wenn der Backuppfad entfernt wird. In diesem Fall können alle veralteten Einträge aus der dumpdates-Datei entfernt werden.

Managen der NDMP-Dumpdates-DateiSie können Einträge in der NDMP-dumpdates-Datei anzeigen oder löschen.

Einstellungen für die NDMP-Dumpdates-DateiSie können Details über die Einträge in der NDMP-dumpdates-Datei anzeigen und löschen, falls erforderlich.

Die Tabelle Dumpdates enthält die folgenden Einstellungen:


Datum Das Datum, an dem der Eintrag in der dumpdates-Datei hinzugefügt wurde

ID Die Kennung für einen Eintrag in der dumpdates-Datei

Level Das Backuplevel

Pfad Der Pfad, unter dem die dumpdates-Datei gespeichert ist

Snapshot ID Identifiziert geänderte Dateien für das nächste Backuplevel. Diese ID gilt nur für Snapshot-basierte Backups. In allen anderen Fällen lautet der Wert 0.

Actions Löscht einen Eintrag aus der dumpdates-Datei

Anzeigen von Einträgen in der NDMP-Dumpdates-DateiSie können alle Einträge in der NDMP-dumpdates-Datei anzeigen.


2. Zeigen Sie in der Tabelle Dumpdates Informationen zu den Einträgen in der NDMP-dumpdates-Datei an.

Löschen von Einträgen aus der NDMP-Dumpdates-DateiSie können Einträge aus der NDMP-dumpdates-Datei löschen.


2. Klicken Sie in der Tabelle Dumpdates für den Eintrag, den Sie löschen möchten, auf Delete.


NDMP-WiederherstellungsvorgängeNDMP unterstützt die folgenden Wiederherstellungsvorgänge:

• Parallele NDMP-Wiederherstellung (Multi-Thread-Prozess)• Serielle NDMP-Wiederherstellung (Single-Thread-Prozess)

Paralleler NDMP-WiederherstellungsvorgangEine parallele (mehrsträngige) Wiederherstellung ermöglicht schnellere vollständige oder teilweise Wiederherstellungsvorgänge, indem die Daten so schnell auf das Cluster geschrieben werden, wie sie vom Band gelesen werden können. Die parallele Wiederherstellung ist in OneFS der standardmäßige Wiederherstellungsmechanismus.

Mit dem Wiederherstellungsvorgang können Sie über den Mechanismus für die parallele Wiederherstellung mehrere Dateien gleichzeitig wiederherstellen.


Serieller NDMP-WiederherstellungsvorgangFür Troubleshooting- oder andere Zwecke können Sie einen seriellen Wiederherstellungsvorgang ausführen, bei dem weniger Systemressourcen verbraucht werden. Der serielle Wiederherstellungsprozess wird als Single-Thread-Prozess ausgeführt und stellt je eine Datei gleichzeitig am angegebenen Pfad wieder her.

Angeben eines fortlaufenden NDMP-WiederherstellungsvorgangsSie können die Umgebungsvariable RESTORE_OPTIONS verwenden, um einen fortlaufenden (einsträngigen) Wiederherstellungsvorgang anzugeben.

1. Konfigurieren Sie in Ihrer Datenmanagementanwendung eine Wiederherstellung wie gewohnt.

2. Stellen Sie sicher, dass die Umgebungsvariable RESTORE_OPTIONS in Ihrer Datenmanagementanwendung auf 1 festgelegt ist.Wenn die Umgebungsvariable RESTORE_OPTIONS nicht bereits auf 1 festgelegt ist, führen Sie über die OneFS-Befehlszeile den Befehl isi ndmp settings variables modify aus. Mit dem folgenden Befehl wird die fortlaufende Wiederherstellung für das Verzeichnis /ifs/data/projects festgelegt:

isi ndmp settings variables modify /ifs/data/projects RESTORE_OPTIONS 1

Der Wert der Option path muss mit der Umgebungsvariable FILESYSTEM übereinstimmen, die während des Backupvorgangs festgelegt wird. Beim Wert, den Sie für die Option name angeben, wird Groß-/Kleinschreibung beachtet.

3. Starten Sie den Wiederherstellungsvorgang.

Gemeinsame Nutzung von Bandlaufwerken durch ClusterMehrere Isilon-Cluster oder ein Isilon-Cluster und ein Drittanbieter-NAS-System können so konfiguriert werden, dass sie ein einziges Bandlaufwerk gemeinsam nutzen. Dies trägt zur effizienten Nutzung der Bandinfrastruktur in Ihrem Rechenzentrum bei.

In Ihrer Datenmanagementanwendung (DMA) müssen Sie NDMP so konfigurieren, dass das Bandlaufwerk gesteuert und ordnungsgemäß gemeinsam genutzt wird. Folgende Konfigurationen werden unterstützt:

Unterstützte DMAs Getestete Konfigurationen

• NetWorker 8.0 und höher• Symantec NetBackup 7.5 und höher

• Isilon Backup Accelerator-Node oder Fibre Attached Storage Node mit einem 2. Backup Accelerator-Node oder Fibre Attached Storage Node.

• Isilon Backup Accelerator-Node oder Fibre Attached Storage Node mit einem NetApp-Speichersystem

In NetWorker wird die Funktion zur gemeinsamen Nutzung von Bandlaufwerken als DDS (Dynamic Drive Sharing) bezeichnet. Symantec NetBackup verwendet den Begriff SSO (Shared Storage Option). Informationen zur Konfiguration erhalten Sie in der DMA-Herstellerdokumentation.

Managen Snapshot-basierter inkrementeller BackupsNachdem Sie Snapshot-basierte inkrementelle Backups aktiviert haben, können Sie die für diese Backups erstellten Snapshots anzeigen und löschen.


NDMP-Umgebungsvariablen


Aktivieren Snapshot-basierter inkrementeller Backups für ein VerzeichnisSie können OneFS so konfigurieren, dass es für ein Verzeichnis standardmäßig Snapshot-basierte inkrementelle Backups durchführt. Sie können die Standardeinstellung in Ihrer Datenmanagementanwendung (DMA) auch außer Kraft setzen.

• Führen Sie den Befehl isi ndmp settings variable create aus.

Mit dem folgenden Befehl werden für /ifs/data/media Snapshot-basierte inkrementelle Backups aktiviert:

isi ndmp settings variables create /ifs/data/media BACKUP_MODE SNAPSHOT



Anzeigen von Snapshots für Snapshot-basierte inkrementelle BackupsSie können die Snapshots anzeigen, die für Snapshot-basierte inkrementelle Backups erzeugt wurden.


2. Zeigen Sie in der Tabelle Dumpdates Informationen über die Snapshot-basierten, inkrementellen Backups an.


Ausschließen von Dateien und Verzeichnissen von NDMP-Backups

Löschen von Snapshots für Snapshot-basierte inkrementelle BackupsSie können die Snapshots löschen, die für Snapshot-basierte inkrementelle Backups erzeugt wurden.

ANMERKUNG: Es wird empfohlen, dass Sie keine Snapshots löschen, die für Snapshot-basierte inkrementelle Backups

erstellt wurden. Wenn alle Snapshots für einen Pfad gelöscht werden, ist das nächste Backup, das für den Pfad

ausgeführt wird, ein komplettes Backup.


2. Klicken Sie in der Tabelle Dumpdates für den Eintrag, den Sie löschen möchten, auf Delete.




Managen der Clusterleistung für NDMP-SitzungenNDMP Redirector verteilt NDMP-Lasten automatisch über Nodes mit der Sheba-Netzwerkschnittstellenkarte (NIC). Mit NDMP Redirector können Sie die automatische Verteilung von bidirektionalen NDMP-Sitzungen auf Nodes mit geringerer Auslastung aktivieren. Vor dem Umleiten eines NDMP-Vorgangs prüft NDMP Redirector die CPU-Auslastung, die Anzahl der bereits ausgeführten NDMP-Vorgänge und die Verfügbarkeit von Bandgeräten für den Vorgang auf jedem Node. Die Lastverteilungsfunktion führt zu einer höheren Clusterleistung, wenn mehrere NDMP-Vorgänge initiiert werden.


Aktivieren von NDMP Redirector zum Managen der ClusterleistungUm die automatische Verteilung von bidirektionalen NDMP-Sitzungen auf Nodes mit geringerer Auslastung zu aktivieren, müssen Sie NDMP Redirector aktivieren.

Stellen Sie sicher, dass der Cluster aktiviert ist, bevor Sie NDMP Redirector aktivieren.

1. Führen Sie den folgenden Befehl über die Befehlszeilenoberfläche aus, um NDMP Redirector zu aktivieren:

isi ndmp settings global modify --enable-redirector true

2. Zeigen Sie die geänderte Einstellung mit dem folgenden Befehl an:

isi ndmp settings global modify

Beispielausgabe für den vorherigen Befehl:

Service: False Port: 10000 DMA: generic Bre Max Num Contexts: 64 Context Retention Duration: 300 Smartlink File Open Timeout: 10 Enable Redirector: True

Managen der CPU-Auslastung für NDMP-SitzungenNDMP Throttler managt die CPU-Nutzung während bidirektionaler NDMP-Sitzungen auf Nodes der 6. Generation. Die Nodes stehen dann zur Verfügung, um andere Systemaktivitäten adäquat zu unterstützen.

Aktivieren von NDMP ThrottlerUm die CPU-Nutzung von NDMP-Sitzungen auf Nodes der 6. Generation zu managen, müssen Sie NDMP Throttler aktivieren.

1. Führen Sie den folgenden Befehl über die Befehlszeilenoberfläche aus, um NDMP Throttler zu aktivieren:

isi ndmp settings global modify --enable-throttler true

2. Zeigen Sie die geänderte Einstellung mit dem folgenden Befehl an:

isi ndmp settings global modify

Beispielausgabe für den vorherigen Befehl:

Service: False Port: 10000 DMA: generic Bre Max Num Contexts: 64 Context Retention Duration: 600 Smartlink File Open Timeout: 10 Enable Throttler: TrueThrottler CPU Threshold: 50

3. Falls erforderlich, ändern Sie den CPU-Schwellenwert für Throttler wie im folgenden Beispiel:

isi ndmp settings global modify –throttler-cpu-threshold 80


Dateiaufbewahrung mit SmartLockDieser Abschnitt enthält die folgenden Themen:

Themen:

• Überblick über SmartLock• Compliancemodus• Enterprise-Modus• SmartLock-Verzeichnisse• Replikation und Backup mit SmartLock• SmartLock-Lizenzfunktionen• Überlegungen zu SmartLock• Einstellen der Complianceuhr• Anzeigen der Complianceuhr• Erstellen eines SmartLock-Verzeichnisses• Managen von SmartLock-Verzeichnissen• Managen von Dateien in SmartLock-Verzeichnissen

Überblick über SmartLockMit dem SmartLock-Softwaremodul können Sie Dateien auf einem Isilon-Cluster davor schützen, geändert, überschrieben oder gelöscht zu werden. Um Dateien auf diese Weise schützen, müssen Sie eine SmartLock-Lizenz aktivieren.

Informationen zu SmartLock finden Sie im OneFS-Verwaltungshandbuch und im OneFS-CLI-Verwaltungshandbuch.

CompliancemodusIm SmartLock-Compliancemodus können Sie Ihre Daten absichern. Dabei wird die Einhaltung der Vorschrift 17a-4 der US-amerikanischen Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) sichergestellt. In dieser Regelung, die sich an Wertpapiermakler und -händler richtet, ist angegeben, dass Datensätze aller Wertpapiertransaktionen in einem nicht überschreibbaren, nicht löschbaren Format archiviert werden müssen.

ANMERKUNG: Sie können einen Isilon-Cluster nur bei der Erstkonfiguration des Clusters für den SmartLock-

Compliancemodus konfigurieren, bevor Sie eine SmartLock-Lizenz aktivieren. Ein Cluster kann nicht in den SmartLock-

Compliancemodus konvertiert werden, nachdem das Cluster erstmalig konfiguriert und in Betrieb genommen wurde.

Wenn Sie ein Cluster für den SmartLock-Compliancemodus konfigurieren, ist der Root-Benutzer deaktiviert und Sie können sich nicht über das Root-Benutzerkonto bei diesem Cluster anmelden. Stattdessen können Sie sich beim Cluster über das Complianceadministratorkonto anmelden, das während der Erstkonfiguration für den SmartLock-Compliancemodus konfiguriert wurde.

Wenn Sie über das Complianceadministratorkonto bei einem Cluster im SmartLock-Compliancemodus angemeldet sind, können Sie Administrationsaufgaben über den Befehl sudo ausführen.

Zugehörige Tasks

Einstellen der Complianceuhr

Enterprise-ModusSie können SmartLock-Domains erstellen und den WORM-Status auf Dateien anwenden, indem Sie eine SmartLock-Lizenz auf einem Cluster in der Standardkonfiguration aktivieren. Dies wird als „SmartLock-Enterprise-Modus“ bezeichnet.

Der SmartLock-Enterprise-Modus entspricht nicht den SEC-Regelungen, ermöglicht Ihnen aber das Erstellen von SmartLock-Verzeichnissen und das Anwenden von SmartLock-Kontrollen zum Schutz von Dateien, sodass sie nicht überschrieben oder gelöscht werden können. Darüber hinaus bleibt das Root-Benutzerkonto auf Ihrem System.

19

Dateiaufbewahrung mit SmartLock 283

SmartLock-VerzeichnisseIn einem SmartLock-Verzeichnis können Sie eine Datei manuell in einen WORM-Status versetzen. Sie können SmartLock auch so konfigurieren, dass die Datei automatisch in einen WORM-Status versetzt wird. Bevor Sie SmartLock-Verzeichnisse erstellen können, müssen Sie eine SmartLock-Lizenz auf dem Cluster aktivieren.

Sie können zwei verschiedene Arten von SmartLock-Verzeichnissen erstellen: Enterprise und Compliance. Sie können Complianceverzeichnisse jedoch nur erstellen, wenn der Isilon-Cluster bei der Erstkonfiguration für den SmartLock-Compliancemodus konfiguriert wurde.

Mit Enterprise-Verzeichnissen können Sie Ihre Daten schützen, ohne den Cluster einzuschränken. Auf diese Weise wird die Einhaltung der Vorschrift 17a-4 der US-amerikanischen Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) sichergestellt. Wenn Sie eine Datei in einem Unternehmensverzeichnis in einen WORM-Status versetzen, kann die Datei vor Ablauf der Aufbewahrungsfrist weder geändert noch gelöscht werden.

Wenn Sie aber der Eigentümer einer Datei sind und über die Berechtigung ISI_PRIV_IFS_WORM_DELETE verfügen oder über das Root-Benutzerkonto angemeldet sind, können Sie die Datei über die Berechtigung zum Löschen noch vor Ablauf der Aufbewahrungsfrist löschen. Die privilegierte Löschfunktion ist für Complianceverzeichnisse nicht verfügbar. Unternehmensverzeichnisse verweisen auf die Systemuhr, um zeitabhängige Vorgänge, einschließlich Dateiaufbewahrung, zu erleichtern.

Mit Complianceverzeichnissen können Sie Ihre Daten schützen. Dabei wird die Einhaltung der Vorschrift 17a-4 der US-amerikanischen Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) sichergestellt. Wenn Sie eine Datei in einem Complianceverzeichnis in einen WORM-Status versetzen, kann die Datei vor Ablauf der festgelegten Aufbewahrungsfrist weder geändert noch gelöscht werden. Sie können keine Dateien im WORM-Status löschen, selbst wenn Sie über das Complianceadministratorkonto angemeldet sind. Complianceverzeichnisse verweisen auf die die Complianceuhr, um zeitabhängige Vorgänge, einschließlich Dateiaufbewahrung, zu erleichtern.

Sie müssen die Complianceuhr einstellen, bevor Sie Complianceverzeichnisse erstellen können. Sie können die Complianceuhr nur einmal einstellen. Danach kann die Complianceuhrzeit nicht geändert werden. Falls gewünscht, können Sie die Aufbewahrungszeit von Dateien mit WORM-Status individuell erhöhen, aber Sie können die Aufbewahrungszeit nicht verkürzen.

Die Complianceuhr wird durch den Complianceuhr-Deamon gesteuert. Root- und Complianceadministratorbenutzer können den Complianceuhr-Daemon deaktivieren. Dadurch wird die Aufbewahrungsfrist für alle Dateien mit WORM-Status verlängert. Dies wird jedoch nicht empfohlen.

ANMERKUNG: Durch die Verwendung von WORM-Ausschlüssen können Dateien in einer WORM-Compliance- oder

Enterprise-Domain vom WORM-Status ausgeschlossen werden. Alle Dateien im ausgeschlossenen Verzeichnis verhalten

sich wie normale, nicht mit SmartLock geschützte Dateien. Weitere Informationen finden Sie im OneFS CLI Administration Guide.

Replikation und Backup mit SmartLockOneFS ermöglicht die Replikation und das Backup von Compliance- und Enterprise-SmartLock-Verzeichnissen in einem Zielcluster.

Wenn Sie SmartLock-Verzeichnisse mit SyncIQ replizieren, wird empfohlen, dass Sie alle Nodes auf den Quell- und Zielclustern mit dem NTP-Peer-Modus (Network Time Protocol) konfigurieren, damit die Node-Uhren synchronisiert werden. Für Compliancecluster wird empfohlen, alle Nodes auf den Quell- und Zielclustern mit dem NTP-Peer-Modus zu konfigurieren, bevor Sie die Complianceuhren einstellen. Dadurch werden die Quell- und Zielcluster zunächst auf dieselbe Zeit eingestellt. Auf diese Weise wird die Einhaltung der Vorschrift 17a-4 der US-amerikanischen Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) sichergestellt.

ANMERKUNG: Wenn Sie Daten an ein SmartLock-Verzeichnis replizieren, konfigurieren Sie die SmartLock-

Einstellungen für dieses Verzeichnis erst dann, wenn keine Daten mehr an das Verzeichnis repliziert werden. Die

Konfiguration eines Autocommit-Zeitraums für ein SmartLock-Zielverzeichnis beispielsweise kann dazu führen, dass

Replikationsjobs fehlschlagen. Wenn das Zielverzeichnis eine Datei in einen WORM-Status versetzt und die Datei auf

dem Quellcluster geändert wird, schlägt der nächste Replikationsjob fehl, da die Datei mit WORM-Status nicht

überschrieben werden kann.

Wenn Sie Daten auf ein NDMP-Gerät sichern, werden alle SmartLock-Metadaten mit Bezug auf das Aufbewahrungsdatum und den Status auf das NDMP-Gerät übertragen. Wenn Sie Daten in ein SmartLock-Verzeichnis im Cluster wiederherstellen, verbleiben die Metadaten auf dem Cluster. Wenn das Verzeichnis, in dem Sie Daten wiederherstellen, jedoch kein SmartLock-Verzeichnis ist, gehen die Metadaten verloren. Sie können nur dann Daten in ein SmartLock-Verzeichnis wiederherstellen, wenn das Verzeichnis leer ist.

Informationen zu Einschränkungen für Replikation und Failback von SmartLock-Verzeichnissen mit SyncIQ finden Sie unter SmartLock-Replikationseinschränkungen.

284 Dateiaufbewahrung mit SmartLock

SmartLock-LizenzfunktionenSie müssen eine SmartLock-Lizenz auf einem Isilon-Cluster aktivieren, bevor Sie SmartLock-Verzeichnisse erstellen und Dateien in einen WORM-Status versetzen können.

Wenn eine SmartLock-Lizenz inaktiv wird, können Sie keine neuen SmartLock-Verzeichnisse auf dem Cluster erstellen, die Konfigurationseinstellungen des SmartLock-Verzeichnisses ändern oder Dateien mit einem WORM-Status in den Unternehmensverzeichnissen vor ihrem Ablaufdatum löschen. Sie können jedoch in vorhandenen SmartLock-Verzeichnissen weiterhin Dateien in einen WORM-Status versetzen.

Wenn eine SmartLock-Lizenz auf einem Cluster inaktiv wird, das im SmartLock-Compliancemodus ausgeführt wird, wird der Stammzugriff auf das Cluster nicht wiederhergestellt.

Überlegungen zu SmartLock• Wenn eine Datei ausschließliches Eigentum des Root-Nutzers ist und sich in einem Isilon-Cluster mit SmartLock-Compliancemodus

befindet, kann auf die Datei nicht zugegriffen werden, da das Root-Nutzerkonto im Compliancemodus deaktiviert ist. Dies kann zum Beispiel der Fall sein, wenn einer Datei in einem Cluster, das nicht im Compliancemodus konfiguriert wurde, Root-Eigentumsrechte zugewiesen wurden und die Datei anschließend in ein Cluster im Compliancemodus repliziert wird. Dies kann auch auftreten, wenn eine Datei mit Root-Eigentumsrechten in einem Compliancecluster aus einem Backup wiederhergestellt wird.

• Es wird empfohlen, Dateien außerhalb der SmartLock-Verzeichnisse zu erstellen und diese in ein SmartLock-Verzeichnis zu übertragen, nachdem Sie die Dateien fertig bearbeitet haben. Wenn Sie Dateien in ein Cluster hochladen, wird empfohlen, die Dateien nicht in ein SmartLock-Verzeichnis hochzuladen, sondern später in ein SmartLock-Verzeichnis zu übertragen. Wenn eine Datei während eines Uploads in einen WORM-Status versetzt wird, bleibt die Datei in einem inkonsistenten Status hängen.

• Dateien können in einen WORM-Status versetzt werden, solange sie geöffnet sind. Wenn Sie einen Autocommit-Zeitraum für ein Verzeichnis festlegen, wird dieser entsprechend ab dem Zeitpunkt der letzten Änderung der Datei berechnet, nicht ab dem Zeitpunkt, zu dem die Datei geschlossen wurde. Wenn Sie einen Schreibvorgang für eine geöffnete Datei über den Autocommit-Zeitraum hinaus verzögern, wird die Datei automatisch in einen WORM-Status versetzt und Sie können nicht in die Datei schreiben.

• Wenn Sie in einer Microsoft Windows-Umgebung einen WORM-Status für eine Datei festlegen, können Sie die ausgeblendeten oder archivierten Eigenschaften der Datei nicht mehr ändern. Jeder Versuch, die ausgeblendeten oder archivierten Eigenschaften einer Datei mit festgelegtem WORM-Status zu ändern, führt zu einem Fehler. Dies kann dazu führen, dass Anwendungen von Drittanbietern die verborgenen oder Archivattribute nicht ändern können.

• Sie können ein SmartLock-Complianceverzeichnis nicht umbenennen. Sie können ein SmartLock-Enterprise-Verzeichnis nur umbenennen, wenn es leer ist.

• Sie können Dateien in SmartLock-Compliance- oder Enterprise-Verzeichnissen nur umbenennen, wenn sie sich nicht im WORM-Status befinden.

• Folgende Verschiebungen sind nicht möglich:

• SmartLock-Verzeichnisse innerhalb einer WORM-Domain• SmartLock-Verzeichnisse in einer WORM-Domain in ein Verzeichnis in einer Nicht-WORM-Domain• Verzeichnisse in einer Nicht-WORM-Domain in ein SmartLock-Verzeichnis in einer WORM-Domain

Einstellen der ComplianceuhrBevor Sie SmartLock-Complianceverzeichnisse erstellen können, müssen Sie die Complianceuhr einstellen.

Durch das Einstellen der Complianceuhr wird die Uhr auf dieselbe Zeit wie die Systemuhr des Isilon-Clusters konfiguriert. Bevor Sie die Complianceuhr einstellen, überprüfen Sie, ob die Systemuhr auf die korrekte Zeit eingestellt ist. Wenn die Complianceuhr später nicht mit der Systemuhr synchronisiert ist, korrigiert sich die Complianceuhr langsam selbst, um der Systemuhr zu entsprechen. Die Complianceuhr korrigiert sich im Verhältnis von etwa einer Woche pro Jahr.

1. Klicken Sie auf File System > SmartLock > WORM.

2. Klicken Sie auf Start Compliance Clock.


Compliancemodus

Anzeigen der ComplianceuhrSie können die aktuelle Zeit der Complianceuhr anzeigen.



2. Die Complianceuhr wird im Bereich Compliance Clock angezeigt.

Erstellen eines SmartLock-VerzeichnissesSie können ein SmartLock-Verzeichnis erstellen und in den Konfigurationseinstellungen festlegen, wie lange Dateien in einem WORM-Status aufbewahrt und wann Dateien automatisch in einen WORM-Status versetzt werden. Sie können ein Verzeichnis, das ein SmartLock-Verzeichnis enthält, nicht verschieben oder umbenennen.

AufbewahrungsfristenEine Aufbewahrungsfrist ist der Zeitraum, in dem eine Datei in einem WORM-Status bleibt, bevor sie aus einem WORM-Status freigegeben wird. Sie können SmartLock-Verzeichniseinstellungen konfigurieren, um standardmäßige, minimale und maximale Aufbewahrungsfristen für das Verzeichnis zu erzwingen.

Wenn Sie eine Datei manuell in den WORM-Status versetzen, können Sie optional das Datum festlegen, an dem die Datei aus einem WORM-Status freigegeben wird. Sie können eine minimale und maximale Aufbewahrungsfrist für ein SmartLock-Verzeichnis konfigurieren, damit Dateien weder zu lange noch zu kurz aufbewahrt werden. Es wird empfohlen, eine minimale Aufbewahrungsfrist für alle SmartLock-Verzeichnisse festzulegen.

Angenommen, Sie haben ein SmartLock-Verzeichnis mit einer minimalen Aufbewahrungsfrist von zwei Tagen. Am Montag um 13:00 Uhr versetzen Sie eine Datei in einen WORM-Status und legen fest, dass diese am Dienstag um 15:00 Uhr aus einem WORM-Status freigegeben wird. Die Datei wird zwei Tage später am Mittwoch um 13:00 Uhr aus einem WORM-Status freigegeben, da eine frühere Freigabe gegen die minimale Aufbewahrungsfrist verstoßen würde.

Sie können auch eine Standardaufbewahrungsfrist konfigurieren, die zugewiesen wird, wenn Sie eine Datei in einen WORM-Status versetzen, ohne ein Datum für die Freigabe anzugeben.

Zugehörige Tasks

Festlegen einer Aufbewahrungsfrist über eine UNIX-Befehlszeile

Festlegen einer Aufbewahrungsfrist über Windows Powershell

Außerkraftsetzung der Aufbewahrungsfrist für alle Dateien in einem SmartLock-Verzeichnis

Autocommit-ZeiträumeSie können einen Autocommit-Zeitraum für SmartLock-Verzeichnisse konfigurieren. Ein Autocommit-Zeitraum führt dazu, dass Dateien, die sich für einen bestimmten Zeitraum in einem SmartLock-Verzeichnis befinden, ohne geändert worden zu sein, automatisch in einen WORM-Status versetzt werden.

Wenn Sie den Autocommit-Zeitraum eines SmartLock-Verzeichnisses ändern, welches Dateien enthält, deren Status noch nicht geändert wurde, wird der neue Zeitraum sofort auf die Dateien angewendet, die vor der Änderung vorhanden waren. Nehmen wir als Beispiel ein SmartLock-Verzeichnis mit einem Autocommit-Zeitraum von zwei Stunden. Wenn Sie eine Datei in einem SmartLock-Verzeichnis um 13:00 Uhr ändern und den Zeitraum für einen automatischen Statuswechsel um 14:15 Uhr auf eine Stunde verkürzen, wird die Datei sofort in einen WORM-Status versetzt.

Wenn eine Datei manuell in einen WORM-Status versetzt wird, werden die Lese- und Schreibberechtigungen der Datei geändert. Wenn eine Datei jedoch automatisch in einen WORM-Status versetzt wird, werden die Lese- und Schreibberechtigungen der Datei nicht geändert.

Erstellen eines Enterprise-Verzeichnisses für ein nicht leeres VerzeichnisSie können ein nicht leeres Verzeichnis in ein SmartLock-Enterprise-Verzeichnis umwandeln. Dieses Verfahren ist nur über die Befehlszeilenoberfläche (CLI) verfügbar.

Bevor Sie ein SmartLock-Verzeichnis erstellen, beachten Sie die folgenden Bedingungen und Anforderungen:

• Sie können ein SmartLock-Verzeichnis nicht als Unterverzeichnis eines vorhandenen SmartLock-Verzeichnisses erstellen.• Hardlinks können keine SmartLock-Verzeichnisgrenzen überschreiten.• Das Erstellen eines SmartLock-Verzeichnisses führt dazu, dass eine entsprechende SmartLock-Domain für dieses Verzeichnis erstellt

wird.


Führen Sie den Befehl isi job jobs start aus.

Mit dem folgenden Befehl erstellen Sie ein SmartLock-Enterprise-Domain für /ifs/data/smartlock:

isi job jobs start DomainMark --root /ifs/data/smartlock --dm-type Worm

Erstellen eines SmartLock-VerzeichnissesSie können ein SmartLock-Verzeichnis erstellen und Dateien in diesem Verzeichnis in einen WORM-Status versetzen.

Bevor Sie ein SmartLock-Verzeichnis erstellen, beachten Sie die folgenden Bedingungen und Anforderungen:

• Sie können ein SmartLock-Verzeichnis nicht als Unterverzeichnis eines vorhandenen SmartLock-Verzeichnisses erstellen.• Hardlinks können keine SmartLock-Verzeichnisgrenzen überschreiten.• Das Erstellen eines SmartLock-Verzeichnisses führt dazu, dass eine entsprechende SmartLock-Domain für dieses Verzeichnis erstellt

wird.



3. Geben Sie in der Liste Type an, ob das Verzeichnis ein Enterprise-Verzeichnis oder ein Complianceverzeichnis ist.

Mit Complianceverzeichnissen können Sie Ihre Daten unter Einhaltung der Regelung 17a-4 der US-Wertpapier- und Börsenaufsichtsbehörde (Securities and Exchange Commission, SEC) absichern. Mit Enterprise-Verzeichnissen können Sie Ihre Daten ohne Einhaltung dieser Einschränkungen schützen.

Diese Option ist nur auf Clustern verfügbar, die im SmartLock-Compliancemodus ausgeführt werden. Wenn das Cluster nicht im Compliancemodus ist, sind alle SmartLock-Verzeichnisse Enterprise-Verzeichnisse.

4. Geben Sie in der Liste Privileged Delete an, ob Root-Benutzer die Möglichkeit erhalten, Dateien zu löschen, die sich derzeit in einem WORM-Status befinden.

ANMERKUNG: Diese Funktion ist nur für SmartLock-Enterprise-Verzeichnisse verfügbar.

5. Geben Sie im Feld Path den vollständigen Pfad für das Verzeichnis an, das in ein SmartLock-Verzeichnis umgewandelt werden soll.

Der angegebene Pfad muss zu einem leeren Verzeichnis auf dem Cluster führen.

6. Optional: Um eine standardmäßige Aufbewahrungsfrist für das Verzeichnis festzulegen, klicken Sie auf Apply a default retention span und geben Sie dann einen Zeitraum an.

Wenn Sie eine Datei in einen WORM-Status versetzen, ohne einen Tag anzugeben, an dem der WORM-Status aufgehoben werden soll, wird die standardmäßige Aufbewahrungsfrist zugewiesen.

7. Optional: Um eine Mindestaufbewahrungsfrist für das Verzeichnis festzulegen, klicken Sie auf Apply a minimum retention span und geben Sie dann einen Zeitraum an.

Die Mindestaufbewahrungsfrist sorgt dafür, dass Dateien in einem WORM-Status mindestens für den angegebenen Zeitraum aufbewahrt werden.

8. Optional: Um eine maximale Aufbewahrungsfrist für das Verzeichnis festzulegen, klicken Sie auf Apply a maximum retention span und geben Sie dann einen Zeitraum an.

Die maximale Aufbewahrungsfrist sorgt dafür, dass Dateien in einem WORM-Status nicht länger als der angegebene Zeitraum aufbewahrt werden.


10. Klicken Sie auf Create.


SmartLock-Verzeichnisse

Autocommit-Zeiträume


SmartLock-Verzeichniskonfigurationseinstellungen

Managen von SmartLock-VerzeichnissenSie können die SmartLock-Verzeichniseinstellungen einschließlich der standardmäßigen, minimalen und maximalen Aufbewahrungsfrist sowie des Autocommit-Zeitraums ändern.


Ein SmartLock-Enterprise-Verzeichnis kann nur umbenannt werden, wenn das Verzeichnis leer ist. Ein SmartLock-Complianceverzeichnis kann nicht umbenannt werden.

Ändern eines SmartLock-VerzeichnissesSie können die Konfigurationseinstellungen für ein SmartLock-Verzeichnis ändern.


2. Klicken Sie in der Tabelle Write Once Read many (WORM) Domains in der Zeile für ein SmartLock-Verzeichnis auf View/Edit.

3. Klicken Sie auf Edit Domain.

4. Ändern Sie die Einstellungen und klicken Sie dann auf Save Changes.






Löschen eines SmartLock-VerzeichnissesSie können ein SmartLock-Verzeichnis im Compliancemodus und (falls erforderlich) die entsprechende WORM-Domain im Compliancemodus über die Befehlszeilenoberfläche, aber nicht über die Web-UI löschen.

Dazu müssen Sie über den CLI-Befehl isi worm domain modify <domain> --set-pending-delete das Flag für ausstehende Löschvorgänge für die Domain setzen. Für eine WORM-Domain im Enterprise-Modus können Sie das Flag für ausstehende Löschvorgänge nicht setzen. Weitere Informationen finden Sie im OneFS CLI Administration Guide.

Anzeigen von SmartLock-VerzeichniseinstellungenSie können die Einstellungen für SmartLock-Verzeichnisse anzeigen.



3. Die Einstellungen für das SmartLock-Verzeichnis können im Dialogfeld View WORM Domain Details angezeigt werden.






SmartLock-VerzeichniskonfigurationseinstellungenIn den Konfigurationseinstellungen für SmartLock-Verzeichnisse können Sie festlegen, wann Dateien in einen WORM-Status versetzt und wie lange sie in diesem Status aufbewahrt werden.

Pfad Der Pfad des Verzeichnisses

Root Logical Inode (LIN)

Die LIN des Verzeichnisses

ID Die numerische ID der entsprechenden SmartLock-Domain

Typ Der Typ des SmartLock-Verzeichnisses


Privileged Delete Gibt an, ob Dateien im WORM-Status im Verzeichnis über die privilegierte Löschfunktion gelöscht werden können. Um auf die Berechtigung zum Löschen zugreifen zu können, müssen Sie entweder über die Berechtigung ISI_PRIV_IFS_WORM_DELETE verfügen oder Eigentümer der Datei sein, die Sie löschen. Sie können auch auf die Berechtigung zum Löschen einer beliebigen Datei zugreifen, wenn Sie über das Root- oder Compadmin-Benutzerkonto angemeldet sind.

on Dateien mit WORM-Status können mit dem Befehl isi worm files delete gelöscht werden.

off Dateien mit WORM-Status können nicht gelöscht werden, auch nicht mit dem Befehl isi worm files delete.

disabled Dateien mit WORM-Status können nicht gelöscht werden, auch nicht mit dem Befehl isi worm files delete. Nachdem diese Einstellung angewendet wird, kann sie nicht mehr geändert werden.

Apply a default retention span

Die standardmäßige Aufbewahrungsfrist für das Verzeichnis. Wenn ein Benutzer kein Datum für die Freigabe einer Datei aus einem WORM-Status angibt, wird die standardmäßige Aufbewahrungsfrist zugewiesen.

Enforce a minimum retention time span

Die minimale Aufbewahrungsfrist für das Verzeichnis. Dateien werden mindestens für den angegebenen Zeitraum in einem WORM-Status aufbewahrt, selbst wenn ein Benutzer ein Ablaufdatum festgelegt, das eine kürzere Aufbewahrungsfrist zur Folge hat.

Enforce a maximum retention time span

Die maximale Aufbewahrungsfrist für das Verzeichnis. Dateien können nicht länger als für den angegebenen Zeitraum in einem WORM-Status aufbewahrt werden, selbst wenn ein Benutzer ein Ablaufdatum festgelegt, das eine längere Aufbewahrungsfrist zur Folge hat.

Automatically commit files after a specific period of time

Der Autocommit-Zeitraum für das Verzeichnis. Wenn in diesem SmartLock-Verzeichnis eine Datei vorhanden ist, die während des festgelegten Zeitraums nicht geändert wurde, wird diese automatisch in einen WORM-Status versetzt.

Override retention periods and protect all files until a specific date

Außerkraftsetzung des Aufbewahrungsdatums für das Verzeichnis. Dateien mit einem WORM-Status werden nicht vor Ablauf des angegebenen Datums aus diesem freigegeben, unabhängig von der maximalen Aufbewahrungsfrist für das Verzeichnis oder davon, ob ein Benutzer ein früheres Datum für die Freigabe einer Datei aus einem WORM-Status angibt.



Zugehörige Tasks

Erstellen eines SmartLock-Verzeichnisses

Ändern eines SmartLock-Verzeichnisses

Anzeigen von SmartLock-Verzeichniseinstellungen

Managen von Dateien in SmartLock-VerzeichnissenSie können Dateien in SmartLock-Verzeichnissen in einen WORM-Status versetzen, indem Sie die Lese-/Schreibberechtigungen der Datei entfernen. Sie können auch ein bestimmtes Datum festlegen, an dem die Aufbewahrungsfrist der Datei abläuft. Nachdem eine Datei in einen WORM-Status versetzt wurde, können Sie die Aufbewahrungsfrist der Datei verlängern, aber nicht verkürzen. Sie können eine Datei, die in einen WORM-Status versetzt wurde, nicht verschieben, auch nicht nach Ablauf der Aufbewahrungsfrist.

Das Ablaufdatum der Aufbewahrungsfrist wird festgelegt, indem die Zugriffszeit einer Datei geändert wird. In einer UNIX-Befehlszeile kann die Zugriffszeit mit dem Befehl touch geändert werden. Obwohl es keine Methode zur Änderung der Zugriffszeit über Windows Explorer gibt, können Sie die Zugriffszeit über Windows Powershell ändern. Das Ablaufdatum der Aufbewahrungsfrist wird nicht durch einen Zugriff auf eine Datei festgelegt.

Wenn Sie für eine Datei in einem SmartLock-Verzeichnis den Befehl touch ausführen, ohne ein Datum für die Freigabe aus dem SmartLock-Status anzugeben, und die Datei in diesen Status versetzen, wird die Aufbewahrungsfrist automatisch auf die


Aufbewahrungsfrist für das SmartLock-Verzeichnis festgelegt. Wenn Sie keine standardmäßige Aufbewahrungsfrist für das SmartLock-Verzeichnis festgelegt haben, wird der Datei eine Aufbewahrungsfrist von 0 Sekunden zugewiesen. Es wird empfohlen, eine minimale Aufbewahrungsfrist für alle SmartLock-Verzeichnisse festzulegen.

Festlegen einer Aufbewahrungsfrist über eine UNIX-BefehlszeileSie können über eine UNIX-Befehlszeile festlegen, wann eine Datei aus einem WORM-Status freigegeben wird.

1. Stellen Sie über eine UNIX-Befehlszeile eine Verbindung zu einem beliebigen Node im Isilon-Cluster her und melden Sie sich an.

2. Legen Sie die Aufbewahrungsfrist fest, indem Sie die Zugriffszeit der Datei mit dem Befehl touch ändern.Mit dem folgenden Befehl wird für /ifs/data/test.txt das Ablaufdatum 01. Juni 2015 festgelegt:

touch -at 201506010000 /ifs/data/test.txt


Aufbewahrungsfristen

Festlegen einer Aufbewahrungsfrist über Windows PowershellSie können über Microsoft Windows Powershell festlegen, wann eine Datei aus einem WORM-Status freigegeben wird.

1. Öffnen Sie die Windows Powershell-Befehlszeile.

2. Optional: Stellen Sie eine Verbindung zum Isilon-Cluster her, indem Sie den Befehl net use ausführen.Mit dem folgenden Befehl wird eine Verbindung zum Verzeichnis /ifs auf „cluster.ip.address.com“ hergestellt:

net use "\\cluster.ip.address.com\ifs" /user:root password

3. Geben Sie den Namen der Datei an, für die Sie eine Aufbewahrungsfrist festlegen möchten, indem Sie ein Objekt erstellen.

Die Datei muss sich in einem SmartLock-Verzeichnis befinden.

Mit dem folgenden Befehl wird ein Objekt für /smartlock/file.txt erstellt:

$file = Get-Item "\\cluster.ip.address.com\ifs\smartlock\file.txt"

4. Legen Sie die Aufbewahrungsfrist fest, indem Sie den Zeitpunkt des letzten Zugriffs für die Datei festlegen.Mit dem folgenden Befehl wird das Ablaufdatum 1. Juli 2015 um 13:00 Uhr festgelegt:

$file.LastAccessTime = Get-Date "2015/7/1 1:00 pm"



Versetzen einer Datei in einen WORM-Status mithilfe einer UNIX-BefehlszeileSie können eine Datei über eine UNIX-Befehlszeile in einen WORM-Status versetzen.

Um eine Datei in einen WORM-Status zu versetzen, müssen Sie alle Schreibberechtigungen der Datei entfernen. Wenn eine Datei bereits schreibgeschützt ist, müssen Sie zunächst Schreibberechtigungen zur Datei hinzufügen und diese anschließend wieder entfernen.

1. Stellen Sie über eine UNIX-Befehlszeilenoberfläche eine Verbindung zum Isilon-Cluster her und melden Sie sich an.

2. Entfernen Sie die Schreibberechtigungen einer Datei, indem Sie den Befehl chmod ausführen.


Mit dem folgenden Befehl werden die Schreibberechtigungen für /ifs/data/smartlock/file.txt entfernt:

chmod ugo-w /ifs/data/smartlock/file.txt

Zugehörige Tasks

Anzeigen des WORM-Status einer Datei

Versetzen einer Datei in einen WORM-Status mithilfe von Windows ExplorerSie können eine Datei über Microsoft Windows Explorer in einen WORM-Status versetzen. Dieses Verfahren beschreibt, wie eine Datei über Windows 7 in einen WORM-Status versetzt wird.

Um eine Datei in einen WORM-Status zu versetzen. müssen Sie die Schreibschutzeinstellung anwenden. Wenn eine Datei bereits schreibgeschützt ist, müssen Sie dies zunächst rückgängig machen und anschließend die Schreibschutzeinstellung wieder anwenden.

1. Navigieren Sie in Windows Explorer zu der Datei, die Sie in einen WORM-Status versetzen möchten.

2. Klicken Sie mit der rechten Maustaste auf den Ordner und klicken Sie dann auf Properties.

3. Klicken Sie im Fenster Properties auf die Registerkarte General.

4. Aktivieren Sie das Kontrollkästchen Read-only und klicken Sie auf OK.

Zugehörige Tasks

Anzeigen des WORM-Status einer Datei

Außerkraftsetzung der Aufbewahrungsfrist für alle Dateien in einem SmartLock-VerzeichnisSie können die Aufbewahrungsfrist für Dateien in einem SmartLock-Verzeichnis außer Kraft setzen. Alle Dateien mit einem WORM-Status in diesem Verzeichnis werden erst nach dem festgelegten Tag aus dem WORM-Status freigegeben.

Wenn Dateien nach Außerkraftsetzen der Aufbewahrungsfrist in einen WORM-Status versetzt werden, fungiert das Außerkraftsetzungsdatum als minimale Aufbewahrungsfrist. Alle Dateien mit einem WORM-Status laufen nicht vor dem festgelegten Tag ab, unabhängig von den Angaben der Benutzer.



3. Klicken Sie auf Edit Domain.

4. Klicken Sie auf Override retention periods and protect all files until a specific date und geben Sie dann ein Datum an.




Löschen einer Datei mit WORM-StatusÜber die privilegierte Löschfunktion können Sie eine Datei mit WORM-Status in einer Enterprise-WORM-Domain vor Ablauf der Aufbewahrungsfrist löschen. Dieses Verfahren ist nur über die Befehlszeilenoberfläche verfügbar.

• Die privilegierte Löschfunktion darf für das SmartLock-Verzeichnis, das die Datei enthält, nicht dauerhaft deaktiviert sein.• Sie müssen entweder Eigentümer der Datei sein und die Berechtigungen ISI_PRIV_IFS_WORM_DELETE und

ISI_PRIV_NS_IFS_ACCESS haben oder über das Stammbenutzerkonto angemeldet sein.

1. Stellen Sie über eine UNIX-Befehlszeile eine Verbindung zum Isilon-Cluster her und melden Sie sich an.

2. Wenn die privilegierte Löschfunktion für das SmartLock-Verzeichnis deaktiviert wurde, ändern Sie das Verzeichnis, indem Sie den Befehl isi worm domains modify mit der Option --privileged-delete ausführen.


Mit dem folgenden Befehl ist eine privilegierte Löschung für /ifs/data/SmartLock/directory1 möglich:

isi worm domains modify /ifs/data/SmartLock/directory1 \--privileged-delete true

3. Löschen Sie die Datei mit WORM-Status, indem Sie den Befehl isi worm files delete ausführen.

Mit dem folgenden Befehl wird /ifs/data/SmartLock/directory1/file gelöscht:

isi worm files delete /ifs/data/SmartLock/directory1/file


Are you sure? (yes, [no]):4. Geben Sie yes ein und drücken Sie die Eingabetaste.

Anzeigen des WORM-Status einer DateiSie können den WORM-Status einer einzelnen Datei anzeigen. Dieses Verfahren ist nur über die Befehlszeilenoberfläche (CLI) verfügbar.

1. Öffnen Sie eine Verbindung zum Isilon-Cluster über eine UNIX-Befehlszeile.

2. Zeigen Sie den WORM-Status einer Datei an, indem Sie den Befehl isi worm files view ausführen.Mit dem folgenden Befehl wird beispielsweise der WORM-Status einer Datei angezeigt:

isi worm files view /ifs/data/SmartLock/directory1/file


WORM DomainsID Root Path------------------------------------65539 /ifs/data/SmartLock/directory1

WORM State: COMMITTED Expires: 2015-06-01T00:00:00

Zugehörige Tasks

Versetzen einer Datei in einen WORM-Status mithilfe einer UNIX-Befehlszeile

Versetzen einer Datei in einen WORM-Status mithilfe von Windows Explorer


SicherheitsdomainsDieser Abschnitt enthält die folgenden Themen:

Themen:

• Sicherheitsdomains – Überblick• Überlegungen zur Sicherheitsdomain• Erstellen einer Sicherheitsdomain• Löschen einer Sicherheitsdomain

Sicherheitsdomains – ÜberblickSicherheitsdomains sind Markierungen, die Änderungen an Dateien und Verzeichnissen verhindern. Wenn eine Domain auf ein Verzeichnis angewendet wird, wird die Domain auch auf alle Dateien und Unterverzeichnisse des Verzeichnisses angewendet. Sie können Domains manuell angeben, OneFS erstellt Domains in der Regel jedoch automatisch.

Informationen zu Sicherheitsdomains finden Sie im OneFS-Verwaltungshandbuch und im OneFS-CLI-Verwaltungshandbuch.

Überlegungen zur SicherheitsdomainSie können Sicherheitsdomains manuell erstellen, bevor diese von OneFS angefordert werden, um bestimmte Aktionen auszuführen. Die manuelle Erstellung von Sicherheitsdomains kann jedoch die Möglichkeiten zur Interaktion mit den von der Domain markierten Daten einschränken.

• Das Kopieren einer großen Anzahl von Dateien in eine Sicherheitsdomain kann sehr lange dauern, da jede Datei einzeln als zur Sicherheitsdomain zugehörig markiert werden muss.

• Sie können die Verzeichnisse nicht in oder aus Sicherheitsdomains verschieben. Sie können jedoch ein Verzeichnis, das in einer Sicherheitsdomain enthalten ist, an einen anderen Standort innerhalb derselben Sicherheitsdomain verschieben.

• Das Erstellen einer Sicherheitsdomain für ein Verzeichnis, das eine große Anzahl an Dateien enthält, dauert länger als die Erstellung einer Sicherheitsdomain für ein Verzeichnis mit weniger Dateien. Daher wird empfohlen, Sicherheitsdomains für Verzeichnisse zu erstellen, wenn die Verzeichnisse leer sind, und dem Verzeichnis erst dann Dateien hinzuzufügen.

• Wenn eine Domain derzeit die Änderung oder Löschung einer Datei verhindert, können Sie für ein Verzeichnis, das diese Datei enthält, keine Sicherheitsdomain erstellen. Wenn /ifs/data/smartlock/file.txt beispielsweise durch eine SmartLock-Domain auf einen WORM-Status gesetzt wurde, können Sie keine SnapRevert-Domain für /ifs/data/ erstellen.

ANMERKUNG: Wenn Sie SyncIQ verwenden, um eine Replikationsrichtlinie für ein SmartLock-Complianceverzeichnis zu

erstellen, müssen die SyncIQ- und SmartLock-Compliancedomains auf demselben Stammverzeichnislevel konfiguriert

werden. Eine SmartLock-Compliancedomain kann nicht in eine SyncIQ-Domain verschachtelt werden.

Erstellen einer SicherheitsdomainSie können SyncIQ- oder SnapRevert-Domains erstellen, um das Zurücksetzen von Snapshots sowie Failover-Vorgänge zu vereinfachen. Sie können keine SmartLock-Domain erstellen. OneFS erstellt automatisch eine SmartLock-Domain, wenn Sie ein SmartLock-Verzeichnis erstellen.



3. Geben Sie im Feld Domain Root Path den Pfad des Verzeichnisses ein, für das Sie eine Sicherheitsdomain erstellen möchten.

4. Geben Sie in der Liste Type of domain den Typ der Domain an, den Sie erstellen möchten.

5. Achten Sie darauf, dass das Kontrollkästchen Delete this domain nicht aktiviert ist.


20

Sicherheitsdomains 293


Sicherheitsdomains – Überblick

Löschen einer SicherheitsdomainSie können SyncIQ- oder SnapRevert-Domains löschen, wenn Sie Verzeichnisse aus der Domain heraus verschieben möchten. Sie können eine SmartLock-Domain nicht löschen. OneFS löscht SmartLock-Domains automatisch, wenn Sie ein SmartLock-Verzeichnis löschen.



3. Geben Sie im Feld Domain Root Path den Pfad des Verzeichnisses ein, für das Sie eine Sicherheitsdomain löschen möchten.

4. Wählen Sie aus der Liste Type of domain den Typ der Domain aus, die Sie löschen möchten.

5. Wählen Sie Delete this domain aus.



Sicherheitsdomains – Überblick

294 Sicherheitsdomains

Data-at-Rest-VerschlüsselungDieser Abschnitt enthält die folgenden Themen:

Themen:

• Überblick über die Data-at-Rest-Verschlüsselung• Selbstverschlüsselnde Laufwerke• Datensicherheit auf SEDs (Self-Encrypting Drives)• Datenmigration zu einem Cluster mit SEDs (Self-Encrypting Drives)• Gehäuse- und Laufwerksstatus• REPLACE-Status eines Laufwerks mit Smartfail-Prozess• ERASE-Status eines Laufwerks mit Smartfail-Prozess

Überblick über die Data-at-Rest-VerschlüsselungSie können die Datensicherheit für einen Cluster erhöhen, der nur Nodes mit Selbstverschlüsselung enthält und Data-at-Rest-Sicherheit bietet.

Informationen zur Data-at-Rest-Verschlüsselung finden Sie im OneFS-Verwaltungshandbuch und im OneFS-CLI-Verwaltungshandbuch.

Selbstverschlüsselnde LaufwerkeSEDs speichern Daten auf einem Cluster, das speziell auf die Data-at-Rest-Verschlüsselung ausgelegt ist.

Data-at-Rest-Verschlüsselung auf SEDs tritt auf, wenn auf einem Gerät gespeicherte Daten verschlüsselt werden, um einen unbefugten Zugriff auf diese Daten zu verhindern. Alle Daten, die auf das Speichergerät geschrieben werden, werden bei der Speicherung verschlüsselt und alle aus dem Speichergerät ausgelesenen Daten werden während des Lesevorgangs entschlüsselt. Die gespeicherten Daten werden mit einem 256-Bit-AES-Chiffrierschlüssel verschlüsselt und auf die gleiche Weise entschlüsselt. OneFS steuert den Datenzugriff durch eine Kombination aus Laufwerksauthentifizierungsschlüssel und Datenchiffrierschlüsseln auf dem Laufwerk.

ANMERKUNG: Alle Nodes in einem Cluster müssen zum SED-Typ gehören. Gemischte Nodes werden nicht unterstützt.

Datensicherheit auf SEDs (Self-Encrypting Drives)Eine Durchführung von SmartFail-Prozessen für SEDs bietet Datensicherheit nach dem Entfernen eines SED.

Die Daten auf SEDs werden vor unbefugtem Zugriff geschützt, indem Chiffrierschlüssel authentifiziert werden. Chiffrierschlüssel verbleiben immer auf dem Laufwerk. Wenn ein Laufwerk gesperrt wird, wird durch eine erfolgreiche Authentifizierung das Laufwerk für den Datenzugriff entsperrt.

Die Daten auf den SEDs werden unter folgenden Bedingungen als gesperrt dargestellt:

• Wenn für ein SED-Laufwerk ein SmartFail-Prozess durchgeführt wird, werden die Authentifizierungsschlüssel des Laufwerks vom Node gelöscht. Die Daten auf dem Laufwerk können nicht entschlüsselt werden und sind daher nicht lesbar, wodurch das Laufwerk gesichert wird.

• Wenn für ein Laufwerk ein SmartFail-Prozess durchgeführt und das Laufwerk vom Node entfernt wird, wird der Chiffrierschlüssel auf dem Laufwerk entfernt. Da der Chiffrierschlüssel für das Lesen der Daten vom Laufwerk derselbe Schlüssel sein muss, der für das Schreiben der Daten verwendet wurde, ist es nicht möglich, Daten zu entschlüsseln, die zuvor auf das Laufwerk geschrieben wurden. Wenn Sie für ein Laufwerk einen SmartFail-Prozess durchführen und es anschließend entfernen, wird das Laufwerk kryptografisch gelöscht.

ANMERKUNG: Die Durchführung eines SmartFail-Prozesses für ein Laufwerk ist die bevorzugte Methode zum

Entfernen eines SEDs. Durch Entfernen eines Node nach Durchführung eines SmartFail-Prozesses wird dafür

gesorgt, dass Daten gesperrt werden.

21

Data-at-Rest-Verschlüsselung 295

• Wenn die Stromversorgung eines SED unterbrochen wird, wird das Laufwerk gesperrt, um unbefugten Zugriff zu verhindern. Wenn die Stromversorgung wiederhergestellt wird, sind die Daten wieder verfügbar, wenn der entsprechende Authentifizierungsschlüssel für das Laufwerk bereitgestellt wird.

Datenmigration zu einem Cluster mit SEDs (Self-Encrypting Drives)Sie können Daten aus Ihrem vorhandenen Cluster in ein Cluster mit Nodes migrieren, die aus SEDs bestehen. Dadurch werden alle migrierten und zukünftigen Daten auf dem neuen Cluster verschlüsselt.

ANMERKUNG: Eine Datenmigration zu einem Cluster mit SEDs muss von Isilon Professional Services durchgeführt

werden. Weitere Informationen erhalten Sie von Ihrem Dell EMC Vertriebsmitarbeiter.

Gehäuse- und LaufwerksstatusSie können Details zum Gehäuse- und Laufwerksstatus anzeigen.

In einem Cluster bestimmt die Kombination von Nodes in verschiedenen heruntergestuften Status, ob Lese- oder Schreibanforderungen oder beide Arten von Anforderungen funktionieren. Ein Cluster kann das Schreib-Quorum verlieren, jedoch das Lese-Quorum beibehalten. OneFS bietet detaillierte Informationen zum Status von Gehäusen und Laufwerken im Cluster. Die folgende Tabelle beschreibt alle möglichen Status, die im Cluster auftreten können.


HEALTHY Alle Laufwerke im Node funktionieren ordnungsgemäß.


L3 Ein Solid State Drive (SSD) wurde als Cache des Levels 3 (L3) bereitgestellt, um die Größe des Cachearbeitsspeichers zu erhöhen und die Durchsatzgeschwindigkeit zu steigern.

Befehlszeilenoberfläche

SMARTFAIL oder Smartfail or restripe in progress

Das Laufwerk wird derzeit sicher aus dem Dateisystem entfernt, entweder aufgrund eines I/O-Fehlers oder aufgrund einer Benutzeranforderung. Nodes oder Laufwerke im Status SMARTFAIL oder in einem schreibgeschützten Status haben nur Auswirkungen auf das Schreib-Quorum.


NOT AVAILABLE Ein Laufwerk ist aus verschiedenen Gründen nicht verfügbar. Sie können auf das Bay klicken, um detaillierte Informationen über diese Bedingung anzuzeigen.

ANMERKUNG: In der Webverwaltungsoberfläche umfasst dieser Status die Status ERASE und SED_ERROR der Befehlszeilenoberfläche.


X

SUSPENDED Dieser Status gibt an, dass die Laufwerksaktivität vorübergehend ausgesetzt ist und das Laufwerk nicht verwendet wird. Der Status wird manuell initiiert und tritt bei normaler Clusteraktivität nicht auf.


NOT IN USE Ein Node im Offlinestatus betrifft sowohl Lese- als auch Schreib-Quorum.


REPLACE Der Smartfail-Vorgang des Laufwerks war erfolgreich und das Laufwerk kann ausgetauscht werden.


STALLED Das Laufwerk stockt und wird dahingehend bewertet. Die Bewertung stockender Laufwerke ist ein Prozess, bei dem Laufwerke überprüft werden, die langsam sind oder andere Probleme aufweisen. Je nach


296 Data-at-Rest-Verschlüsselung


Ergebnis der Bewertung erfolgt ein Smartfail oder das Laufwerk wird wieder in Betrieb genommen. Dies ist ein vorübergehender Status.

NEW Das Laufwerk ist neu und leer. Dies ist der Status, in dem sich ein Laufwerk befindet, wenn Sie den Befehl isi dev mit der Option -aadd ausführen.


USED Das Laufwerk wurde hinzugefügt und enthielt eine Isilon-GUID, das Laufwerk stammt jedoch nicht von diesem Node. Dieses Laufwerk wird wahrscheinlich im Cluster formatiert.


PREPARING Das Laufwerk wird derzeit formatiert. Der Laufwerksstatus ändert sich zu HEALTHY, wenn die Formatierung erfolgreich war.


EMPTY Es befindet sich kein Laufwerk in diesem Bay. Nur Befehlszeilenoberfläche

WRONG_TYPE Der Laufwerkstyp für diesen Node ist falsch. Beispiel: Ein Nicht-SED-Laufwerk in einem SED-Node oder SAS anstelle des erwarteten SATA-Laufwerks.


BOOT_DRIVE Gilt nur für das A100-Laufwerke, die über Startlaufwerke im Bay verfügen.


SED_ERROR Das Laufwerk kann vom OneFS-System nicht erkannt werden.



X

ERASE Das Laufwerk ist bereit zum Löschen, benötigt jedoch Ihre Aufmerksamkeit, da die Daten nicht gelöscht wurden. Sie können das Laufwerk manuell löschen, um dafür zu sorgen, dass die Daten entfernt werden.



INSECURE Die Daten auf dem SED-Laufwerk sind für Unbefugte zugänglich. SED-Laufwerke sollten nie für unverschlüsselte Daten verwendet werden.

ANMERKUNG: In der Webverwaltungsoberfläche heißt dieser Status Unencrypted SED.


X

UNENCRYPTED Die Daten auf dem SED-Laufwerk sind für Unbefugte zugänglich. SED-Laufwerke sollten nie für unverschlüsselte Daten verwendet werden.

ANMERKUNG: In der Befehlszeilenoberfläche heißt dieser Status INSECURE.

Nur Webverwaltungsschnittstelle

X

REPLACE-Status eines Laufwerks mit Smartfail-ProzessWährend eines SmartFail-Prozesses können Sie verschiedene Laufwerkstatus anzeigen.


Wenn Sie den Befehl isi dev list ausführen, während für das Laufwerk in Schacht 1 ein SmartFail-Prozess durchgeführt wird, wird vom System eine Ausgabe angezeigt, die dem folgenden Beispiel ähnelt:

Node 1, [ATTN] Bay 1 Lnum 11 [SMARTFAIL] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4 00009330EYE03 /dev/da3 Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12Wenn Sie den Befehl isi dev list ausführen, nachdem der SmartFail-Prozess erfolgreich abgeschlossen wurde, wird vom System eine Ausgabe angezeigt, die dem folgenden Beispiel ähnelt und für das Laufwerk den Status REPLACE anzeigt:

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4 00009330EYE03 /dev/da3 Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12Wenn Sie den Befehl isi dev list ausführen, während für das Laufwerk in Bay 3 ein SmartFail-Prozess durchgeführt wird, wird vom System eine Ausgabe angezeigt, die folgendem Beispiel ähnelt:

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [SMARTFAIL] SN:Z296LBP4 00009330EYE03 N/A Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12

ERASE-Status eines Laufwerks mit Smartfail-ProzessAm Ende eines Smartfail-Prozesses versucht OneFS, den Authentifizierungsschlüssel eines Laufwerks zu löschen, wenn der Schlüssel nicht zurückgesetzt werden kann.

ANMERKUNG:

• Um den Authentifizierungsschlüssel auf einem einzelnen Laufwerk sicher zu löschen, führen Sie den Smartfail-

Prozess für das individuelle Laufwerk durch.

• Um den Authentifizierungsschlüssel auf einem einzelnen Node sicher zu löschen, führen Sie den Smartfail-Prozess

für den Node durch.

• Um den Authentifizierungsschlüssel auf einem kompletten Cluster zu löschen, führen Sie den Smartfail-Prozess auf

jedem Node durch und führen Sie auf dem letzten Node den Befehl isi_reformat_node aus.

Wenn der Befehl isi dev list ausgeführt wird, wird eine dem folgenden Beispiel ähnliche Systemausgabe angezeigt, in der das Laufwerk den Status ERASE hat:

298 Data-at-Rest-Verschlüsselung

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [ERASE] SN:Z296LBP4 00009330EYE03 /dev/da3 Laufwerke mit dem Status ERASE können sicher stillgelegt, wiederverwendet oder zurückgegeben werden.

Für jeden weiteren Zugriff auf ein Laufwerk mit dem Status ERASE muss der Authentifizierungsschlüssel des Laufwerks auf die Standard-MSID (Manufactured Security ID) festgelegt werden. Mit dieser Aktion wird der Datenchiffrierschlüssel auf dem Laufwerk gelöscht und alle auf dem Laufwerk vorhandenen Daten werden dauerhaft unlesbar.


SmartQuotasDieser Abschnitt enthält die folgenden Themen:

Themen:

• Überblick über SmartQuotas• Quota-Typen• Standard-Quota-Typ• Nutzungsberechnung und Limits• Festplattennutzungsberechnungen• Quota-Benachrichtigungen• Quota-Benachrichtigungsregeln• Quota-Berichte• Erstellen von Quotas• Managen von Quotas• Managen von Quota-Benachrichtigungen• E-Mail-Meldungen für Quota-Benachrichtigungen• Managen von Quota-Berichten• Grundlegende Quota-Einstellungen• Quota-Benachrichtigungsregeln für informative Limits• Quota-Benachrichtigungsregeln für weiche Limits• Quota-Benachrichtigungsregeln für harte Limits• Einstellungen für Grenzwertbenachrichtigungen• Quota-Berichtseinstellungen

Überblick über SmartQuotasDas SmartQuotas-Modul ist ein optionales Quota-Managementtool, mit dem vom Administrator definierte Speichergrenzen überwacht und durchgesetzt werden. Mithilfe von Quota-Limits für Berechnung und Durchsetzung, Reporting-Funktionen und automatisierten Benachrichtigungen managt SmartQuotas die Speichernutzung, überwacht Festplattenspeicher und gibt Warnmeldungen aus, wenn Speichergrenzen überschritten werden.

Quotas helfen Ihnen dabei, die Nutzung von Speicher anhand der von Ihnen definierten Kriterien zu managen. Quotas werden zur Nachverfolgung und mitunter zur Einschränkung des Speicherplatzes verwendet, den ein Nutzer, eine Gruppe oder ein Verzeichnis belegt. Anhand von Quoten kann sichergestellt werden, dass ein Benutzer oder eine Abteilung nicht mehr Speicherplatz belegt, als ihm bzw. ihr zugewiesen ist. In einigen Quota-Implementierungen werden Schreibvorgänge über den definierten Speicherplatz hinaus verweigert, in anderen Fällen wird eine einfache Benachrichtigung gesendet.

ANMERKUNG: Wenden Sie Quotas nicht auf /ifs/.ifsvar/ oder die zugehörigen Unterverzeichnisse an. Wenn Sie die

Größe des Verzeichnisses /ifs/.ifsvar/ durch eine Quota einschränken und das Verzeichnis seinen Grenzwert

erreicht, schlagen Jobs wie Dateisystemanalysen fehl. Eine Quota führt dazu, dass ältere Jobberichte nicht aus den

Unterverzeichnissen von /ifs/.ifsvar/ gelöscht werden, um Platz für neuere Berichte zu schaffen.

Für das SmartQuotas-Modul ist eine separate Lizenz erforderlich. Weitere Informationen zum SmartQuotas-Modul oder dessen Aktivierung erhalten Sie von Ihrem Dell EMC Vertriebsmitarbeiter.

Quota-TypenOneFS verwendet das Konzept der Quota-Typen als die grundlegende Organisationseinheit von Speicher-Quotas. Speicher-Quotas umfassen eine Gruppe an Ressourcen und eine Aufstellung zu jedem Ressourcentyp für diese Gruppe. Speicher-Quotas werden auch als Speicherdomains bezeichnet.

Für die Erstellung von Speicher-Quotas sind drei Kennungen erforderlich:

• Das zu überwachende Verzeichnis

22

300 SmartQuotas

• Die Angabe, ob Snapshots gegen das Quotenlimit nachverfolgt werden• Der Quota-Typ (Verzeichnis, Benutzer oder Gruppe)

ANMERKUNG: Erstellen Sie keine Quota beliebigen Typs im OneFS-Stammverzeichnis (/ifs). Eine Quota auf

Stammverzeichnisebene kann die Performance deutlich verschlechtern.

Sie können aus einer der folgenden Einheiten einen Quota-Typ auswählen:

Verzeichnis Ein bestimmtes Verzeichnis und seine UnterverzeichnisseANMERKUNG: Einen standardmäßigen Verzeichnis-Quota-Typ können Sie nicht über die Web-UI

auswählen. Standardmäßige Verzeichnis-Quotas können Sie nur über die CLI erstellen. Allerdings

können Sie standardmäßige Verzeichnis-Quotas über die Benutzeroberfläche managen (die Quota-

Einstellungen ändern sowie Unterverzeichnisse verknüpfen und ihre Verknüpfung aufheben). Alle

unmittelbaren Unterverzeichnisse in einer standardmäßigen Verzeichnis-Quota übernehmen die

Einstellungen des übergeordneten Verzeichnisses, sofern sie nicht anderweitig geändert werden.

Von Ihnen konfigurierte spezifische Verzeichnis-Quotas haben Vorrang vor einem

Standardverzeichnis.

Benutzer Entweder ein bestimmter Benutzer oder ein Standardbenutzer (jeder Benutzer). Von Ihnen konfigurierte Quotas für bestimmte Benutzer haben Vorrang vor einer Quota für Standardbenutzer.

Gruppe Alle Mitglieder einer bestimmten Gruppe oder alle Mitglieder einer Standardgruppe (jede Gruppe). Alle von Ihnen konfigurierten Quotas für bestimmte Gruppen haben Vorrang vor einer Quota für Standardgruppen. Durch Verknüpfung einer Gruppen-Quota mit einer Quota für Standardgruppen wird eine verknüpfte Quota erstellt.

Sie können mehrere Quota-Typen auf demselben Verzeichnis erstellen. Es müssen jedoch unterschiedliche Typen sein oder die Quotas müssen über unterschiedlichen Snapshot-Optionen verfügen. Sie können für jedes Verzeichnis in OneFS Quota-Typen festlegen und diese ineinander verschachteln, um eine Hierarchie komplexer Speicherverwendungs-Policies zu erstellen.

Verschachtelte Speicher-Quotas können sich überschneiden. Beispielsweise sorgen die folgenden Quota-Einstellungen dafür, dass das Finanzverzeichnis 5 TB nicht überschreitet; gleichzeitig werden die Benutzer aus der Finanzabteilung auf 1 TB pro Benutzer eingeschränkt:

• Legen Sie für /ifs/data/finance eine harte Quota von 5 TB fest.

• Legen Sie für jeden Benutzer aus der Finanzabteilung eine weiche Quota von 1 TB fest.

Standard-Quota-TypStandard-Quotas erstellen automatisch andere Quotas für Nutzer, Gruppen oder unmittelbare Unterverzeichnisse in einem angegebenen Verzeichnis.

Es gibt 3 Standard-Quota-Typen, die Sie für ein bestimmtes Verzeichnis konfigurieren können: Standardnutzer, Standardgruppe und Standardverzeichnis. Eine Standard-Quota ermöglicht die Quota-Automatisierung für einen Ordner /ifs und legt eine Policy für neue Einheiten fest, die mit einem Auslöser übereinstimmen. Beispiel: Wenn eine standardmäßige Nutzer-Quota für den Ordner /ifs/dir1 konfiguriert ist, wird default-user@/ifs/dir1 für jeden nicht anders definierten spezifischen Nutzer zu specific-user@/ifs/dir1. Die Durchsetzung der standardmäßigen Nutzer-Quota wird für einen spezifischen Nutzer in das Verzeichnis kopiert. Die übernommene Quota wird als verknüpfte Quota bezeichnet. Auf diese Weise erhält jedes Benutzerkonto eine eigene Nutzungsberechnung.

ANMERKUNG: Konfigurationsänderungen für verknüpfte Quotas müssen auf der übergeordneten Quota vorgenommen

werden, von der die verknüpfte Quota ihre Einstellungen übernimmt. Änderungen an der übergeordneten Quota werden

auf alle untergeordneten Elemente übertragen. Um die Konfiguration der übergeordneten Quota außer Kraft zu setzen,

müssen Sie zunächst die Verknüpfung der Quota aufheben.

Wenn eine standardmäßige Verzeichnis-Quota für den Ordner /ifs/parent konfiguriert ist, übernimmt jedes in diesem Verzeichnis erstellte unmittelbare Unterverzeichnis automatisch die Quota-Konfigurationsinformationen der Standarddomain. Nur unmittelbare Unterverzeichnisse übernehmen standardmäßige Verzeichnis-Quotas. Ein Unterverzeichnis eines unmittelbaren Unterverzeichnisses (also ein Unterverzeichnis der 2. oder einer noch tieferen Ebene) übernimmt die standardmäßige Verzeichnis-Quota nicht. Beispiel: Sie erstellen einen standardmäßigen Verzeichnis-Quota-Typ für das Verzeichnis /ifs/parent. Dann erstellen Sie das Unterverzeichnis /ifs/parent/child. Dieses Unterverzeichnis übernimmt die Einstellungen der standardmäßigen Verzeichnis-Quota. Dann erstellen Sie ein Unterverzeichnis der 2. Ebene namens /ifs/parent/child/grandchild. Dieses Unterverzeichnis übernimmt die Einstellungen der standardmäßigen Verzeichnis-Quota nicht.

Einen Standard-Quota-Typ können Sie nicht über die Web-UI auswählen. Standard-Quotas können Sie nur über die CLI erstellen. Allerdings können Sie Standard-Quotas über die Benutzeroberfläche managen (die Quota-Einstellungen ändern sowie Unterverzeichnisse

SmartQuotas 301

verknüpfen und ihre Verknüpfung aufheben). Von Ihnen konfigurierte spezifische Verzeichnis-Quotas haben Vorrang vor einem Standardverzeichnis. Weitere Informationen zum Erstellen von Standard-Quotas finden Sie in der OneFS-CLI-Befehlsreferenz.

Nutzungsberechnung und LimitsSpeicher-Quotas können 2 Funktionen erfüllen: durch die Auslastungsberechnung überwachen sie den Speicherplatz und über Durchsetzungslimits managen sie ihn.

Sie können OneFS-Quotas nach Nutzungsart konfigurieren, um die Speichernutzung nachzuverfolgen oder einzuschränken. Die Berechnungsoption, die die Verwendung des Laufwerksspeichers überwacht, ist nützlich für Auditing, Planung und Fakturierung. Durchsetzungslimits legen Speichergrenzen für Benutzer, Gruppen oder Verzeichnisse fest.

Nachverfolgen der Speichernutzung ohne Angabe eines Speichergrenzwerts

Die Berechnungsoption dient der Nachverfolgung des Laufwerksspeichers, beschränkt diesen jedoch nicht. Mithilfe der Berechnungsoption für eine Quota können Sie die Inode-Anzahl sowie die physischen und logischen Speicherplatzressourcen überwachen. Physischer Speicherplatz bezieht sich auf den gesamten für die Speicherung von Dateien und Verzeichnissen (einschließlich Daten, Metadaten und Data-Protection-Overhead in der Domain) genutzten Speicherplatz. Es gibt 2 Typen von logischem Speicherplatz:

• Logische Größe für das Dateisystem: Die logische Größe der Dateien im Dateisystem. Summe aller Dateigrößen, ausschließlich Dateimetadaten und Data-Protection-Overhead.

• Logische Größe für die Anwendung: Logische Größe der Datei, die für die Anwendung sichtbar ist. Die genutzte Dateikapazität aus Perspektive der Anwendung, die in der Regel kleiner als oder gleich der logischen Größe für das Dateisystems ist. Bei einer Sparse-Datei mit geringer Datendichte kann die logische Größe für die Anwendung jedoch größer sein als die logische Größe für das Dateisystem. Die logische Größe für die Anwendung beinhaltet die Kapazitätsauslastung auf dem Cluster sowie in die Cloud verlagerte Daten.

Die Speichernutzung wird standardmäßig anhand der logischen Größe für das Dateisystem nachverfolgt, die keinen Data-Protection-Overhead umfasst. Mithilfe der Berechnungsoption haben Sie beispielsweise folgende Möglichkeiten:

• Nachverfolgung des von verschiedenen Benutzern oder Gruppen verwendeten Speicherplatzes, um jedem Benutzer, jeder Gruppe oder jedem Verzeichnis nur den verwendeten Speicherplatz in Rechnung zu stellen

• Überprüfung und Analyse von Berichten, mit denen Sie Speichernutzungsmuster erkennen und Speicher-Policies definieren können

• Planung von Kapazitäts- und anderen Speicheranforderungen

Festlegen von Speichergrenzen

Die Durchsetzungslimits umfassen alle Funktionen der Berechnungsoption sowie die Möglichkeit, Laufwerksspeicher zu begrenzen und Benachrichtigungen zu senden. Mithilfe der Durchsetzungslimits können Sie ein Cluster logisch partitionieren und auf diese Weise steuern oder einschränken, wie viel Speicherplatz von einem Benutzer, einer Gruppe oder einem Verzeichnis verwendet werden kann. Sie können beispielsweise harte oder weiche Limits festlegen, um dafür zu sorgen, dass immer genügend Speicherplatz für wichtige Projekte und Anwendungen verfügbar ist und dass die Benutzer des Clusters ihre reservierte Speicherkapazität nicht überschreiten. Optional können Sie Quota-E-Mail-Benachrichtigungen in Echtzeit an Benutzer, Gruppenmanager oder Administratoren senden, wenn diese sich einem Quota-Limit nähern oder es überschritten haben.

ANMERKUNG:

Wenn für einen Quota-Typ nur die Berechnungsoption verwendet wird, können für diese Quota keine

Durchsetzungslimits verwendet werden.

Die Aktionen eines Administrators, der als „Root“ angemeldet ist, können dazu führen, dass ein Quota-Schwellenwert für eine Domain überschritten wird. Beispiel: Durch Änderung des Schutzlevels oder Erstellung eines Snapshot können Quota-Parameter überschritten werden. Systemaktionen wie Reparaturen können ebenfalls dazu führen, dass eine Quota-Domain den Grenzwert überschreitet.

Das System bietet drei Arten von administratordefinierten Durchsetzungsschwellenwerten.

Schwellenwerttyp Beschreibung

Hart Beschränkt die Laufwerksnutzung auf eine Größe, die nicht überschritten werden kann. Wenn ein Vorgang wie ein Dateischreibvorgang dazu führt, dass eine harte Quota von einem Quota-Ziel überschritten wird, geschieht Folgendes:

• Der Vorgang schlägt fehl.• Für das Cluster wird eine Warnmeldung protokolliert.• Es wird eine Benachrichtigung an die festgelegten Empfänger gesendet.

302 SmartQuotas

Schwellenwerttyp Beschreibung

Der Schreibvorgang wird fortgesetzt, wenn die Nutzung unter den Schwellenwert fällt.

Weich Ermöglicht ein Limit mit Toleranzperiode. Das Limit kann überschritten werden, bis die Toleranzperiode abläuft. Wenn eine weiche Quota überschritten wird, wird eine Warnmeldung für das Cluster protokolliert und eine Benachrichtigung an die festgelegten Empfänger gesendet. Allerdings sind Datenschreibvorgänge während der Toleranzperiode zulässig.

Wenn der weiche Schwellenwert auch dann noch überschritten wird, wenn die Toleranzperiode abgelaufen ist, schlägt der Datenschreibvorgang fehl und es wird eine Benachrichtigung an die festgelegten Empfänger gesendet.

Der Schreibvorgang wird fortgesetzt, wenn die Nutzung unter den Schwellenwert fällt.

Empfohlen Ein informatives Limit, das überschritten werden kann. Wenn eine informative Quota überschritten wird, wird eine Warnmeldung für das Cluster protokolliert und eine Benachrichtigung an die festgelegten Empfänger gesendet. Schreibvorgänge werden durch informative Schwellenwerte nicht verhindert.

FestplattennutzungsberechnungenFür jede von Ihnen konfigurierte Quota können Sie festlegen, ob in den zukünftigen Berechnungen der Festplattennutzung der physische oder der logische Speicherplatz berücksichtigt wird.

Sie können Quotas so konfigurieren, dass die folgenden Typen von physischem oder logischem Speicherplatz berücksichtigt werden:

Typ von physischem oder logischem Speicherplatz, der in der Quota berücksichtigt wird

Beschreibung

Physische Größe Der gesamte Speicherplatz auf der Festplatte, der zum Speichern von Dateien in OneFS belegt wird. Neben den Dateidaten werden Nutzermetadaten (z. B. ACLs und nutzerdefinierte erweiterte Attribute) und Data-Protection-Overhead berücksichtigt. Erfasst die lokale Kapazitätsnutzung mit Data Protection.

Dateidatenblöcke (Regionen mit hoher Datendichte) + IFS-Metadaten (ACLs, ExAttr, Inode) + Data-Protection-Overhead

Logische Größe für das Dateisystem

Näherungswert der Festplattennutzung auf anderen Systemen, bei dem der Data-Protection-Overhead ignoriert wird. Speicherplatz, der zum Speichern von Dateien mit einfachem Schutz belegt wird. Erfasst die lokale Kapazitätsnutzung ohne Data Protection.

Dateidatenblöcke (Regionen mit hoher Datendichte) + IFS-Metadaten (ACLs, ExAttr, Inode)

Logische Größe für die Anwendung

Die sichtbare Größe der Datei, die ein Nutzer/eine Anwendung beobachtet. Wie eine Anwendung den verfügbaren Speicherplatz wahrnimmt, unabhängig davon, ob Dateien in Cloud-Tiers gestuft, dünnbesetzt („sparse“), dedupliziert oder komprimiert sind. Entspricht dem Offset des letzten Bytes der Datei (Ende der Datei). Die logische Größe für die Anwendung wird nicht durch den physischen Speicherort der Daten (innerhalb oder außerhalb des Clusters) beeinflusst und beinhaltet daher die CloudPools-Kapazität über mehrere Speicherorte hinweg. Erfasst die lokale und die ausgelagerte Kapazitätsnutzung ohne Data Protection.

Die Metriken der physischen Größe und der logischen Größe für das Dateisystem berücksichtigen die Anzahl der Blöcke, die zum Speichern von Dateidaten benötigt werden (an Festplattenblöcken ausgerichtet). Die Quota-Metrik der logischen Größe für die Anwendung ist nicht an Blöcken ausgerichtet. Im Allgemeinen ist die logische Größe für die Anwendung kleiner als die physische Größe oder die logische Größe für das Dateisystem, da die logische Größe für das Dateisystem die volle Größe des letzten Blocks der Datei berücksichtigt, während die logische Größe für die Anwendung nur die im letzten Block vorhandenen Daten berücksichtigt. Allerdings ist die logische Größe für die Anwendung bei Sparse-Dateien mit geringer Datendichte höher.

Bei den meisten Quota-Konfigurationen sind keine Berechungen für den Data-Protection-Overhead erforderlich, weswegen der physische Speicherplatz nicht berücksichtigt werden muss. Stattdessen können sie den logischen Speicherplatz beinhalten (logische Größe für das Dateisystem oder für die Anwendung). Wenn Sie den Data-Protection-Overhead nicht in die Nutzungsberechnungen für eine Quota

SmartQuotas 303

einschließen, umfassen die zukünftigen Berechnungen der Festplattennutzung für die Quota nur den zur Speicherung von Dateien und Verzeichnissen erforderlichen Speicherplatz. Speicherplatz, der für die Datensicherheitseinstellung des Clusters erforderlich ist, wird nicht berücksichtigt.

Als Beispiel sei ein Nutzer angenommen, der durch eine Quota von 40 GB beschränkt ist, bei deren Berechnungen der Festplattennutzung kein Data-Protection-Overhead berücksichtigt wird. (Die 40-GB-Quota beinhaltet die logische Größe für das Dateisystem oder die logische Größe für die Anwendung.) Wenn für den Cluster eine 2-fache Data Protection konfiguriert ist und der Nutzer eine Datei mit 10 GB auf den Cluster schreibt, belegt diese Datei 20 GB Speicherplatz, die 10 GB für Data-Protection-Overhead werden in der Quota-Berechnung jedoch nicht berücksichtigt. In diesem Beispiel hat der Benutzer 25 % der 40-GB-Quota erreicht, indem er eine Datei mit 10 GB auf das Cluster geschrieben hat. Diese Methode für die Berechnung der Festplattennutzung wird für die meisten Quotenkonfigurationen empfohlen.

Wenn Sie den Datenschutzoverhead in die Berechnungen der Fesplattennutzung für eine Quote einschließen, umfassen zukünftige Berechnungen der Fesplattennutzung für die Quote die Gesamtmenge an Speicherplatz, die erforderlich ist, um Dateien und Verzeichnisse zu speichern, zusätzlich zu dem Speicherplatz, der für Ihre Datensicherheitseinstellungen, z. B. Parität oder Spiegelung, erforderlich ist. Nehmen Sie als Beispiel einen Benutzer, der durch eine Quote von 40 GB eingeschränkt wird, deren Berechnungen für die Fesplattennutzung einen Datenschutzoverhead beinhaltet. (Die 40-GB-Quota beinhaltet die physische Größe.) Wenn für den Cluster eine (gespiegelte) 2-fache Data Protection konfiguriert ist und der Nutzer eine Datei mit 10 GB auf den Cluster schreibt, belegt diese Datei tatsächlich 20 GB Speicherplatz: 10 GB für die Datei und 10 GB für Data-Protection-Overhead. In diesem Beispiel hat der Benutzer 50 % der 40-GB-Quota erreicht, indem er eine Datei mit 10 GB auf das Cluster geschrieben hat.

ANMERKUNG: Geklonte und deduplizierte Dateien werden von Quotas als gewöhnliche Dateien behandelt. Wenn die

Quota Datenschutzoverhead umfasst, ist der Datenschutzoverhead für gemeinsam genutzte Daten nicht in der

Nutzungsberechnung enthalten.

Sie können Quotas konfigurieren, um den von Snapshots belegten Speicherplatz einzuschließen. Auf einen einzigen Pfad können zwei Quoten angewendet werden: eine Quote ohne Snapshot-Nutzung (Standardeinstellung) und eine Quote mit Snapshot-Nutzung. Wenn Sie Snapshots in die Quota einschließen, werden mehr Dateien bei der Berechnung berücksichtigt, als im aktuellen Verzeichnis vorhanden sind. Die tatsächliche Fesplattennutzung ist die Summe des aktuellen Verzeichnisses und der Snapshots des Verzeichnisses. Sie können sehen, welche Snapshots in der Berechnung enthalten sind, indem Sie das Verzeichnis .snapshot für den Quota-Pfad überprüfen.

ANMERKUNG: Nur Snapshots, die nach Abschluss des QuotaScan-Jobs erstellt wurden, werden in der Berechnung

berücksichtigt.

Quota-BenachrichtigungenQuota-Benachrichtigungen werden für Durchsetzungs-Quotas generiert und bieten Benutzern Informationen, wenn eine Quota-Verletzung auftritt. Solange das Problem nicht behoben ist, werden regelmäßig Erinnerungen gesendet.

Jede Benachrichtigungsregel definiert die Bedingung und die Aktion, die erzwungen bzw. durchgeführt werden muss, wenn die Bedingung erfüllt wird. Eine Durchsetzungs-Quota kann mehrere Benachrichtigungsregeln definieren. Bei einer Überschreitung von Schwellenwerten können automatisierte E-Mail-Benachrichtigungen an festgelegte Benutzer gesendet werden. Alternativ können Sie Benachrichtigungen als Systemwarnmeldungen überwachen und E-Mails über diese Events erhalten.

Benachrichtigungen können global konfiguriert und auf alle Quota-Domains angewendet oder nur für bestimmte Quota-Domains konfiguriert werden.

Durchsetzungs-Quotas unterstützen die folgenden Benachrichtigungseinstellungen. Eine bestimmte Quota kann nur eine dieser Einstellungen verwenden.

Einstellungen für Grenzwertbenachrichtigungen Beschreibung

Disable quota notifications Deaktiviert alle Benachrichtigungen für die Quota

Use the system settings for quota notifications Verwendet die globale Standardbenachrichtigung für den festgelegten Quota-Typ

Create custom notification rules Ermöglicht die Erstellung von erweiterten, benutzerdefinierten Benachrichtigungen, die auf bestimmte Quotas angewendet werden. Benutzerdefinierte Benachrichtigungen können für einen oder alle Schwellenwerttypen (hart, weich oder informativ) für die festgelegte Quota konfiguriert werden.

304 SmartQuotas

Quota-BenachrichtigungsregelnSie können Quota-Benachrichtigungsregeln zur Erstellung von Warnmeldungen erstellen, die von Eventschwellenwerten ausgelöst werden.

Wenn ein Event auftritt, wird gemäß Ihrer Benachrichtigungsregel eine Benachrichtigung gesendet. Sie können beispielsweise eine Benachrichtigungsregel erstellen, die eine E-Mail sendet, wenn von einer Gruppe ein Schwellenwert für die Laufwerkspeicherzuweisung überschritten wird.

Sie können Benachrichtigungsregeln konfigurieren, um eine Aktion gemäß Eventschwellenwerten (eine Benachrichtigungsbedingung) auszulösen. Eine Regel kann eine Planung, z. B. „täglich um 01:00 Uhr“, für die Ausführung einer Aktion oder eine sofortige Benachrichtigung bei bestimmten Statuswechseln festlegen. Wenn ein Event auftritt, kann ein Benachrichtigungsauslöser eine oder mehrere Aktionen ausführen, beispielsweise das Senden einer E-Mail oder das Senden einer Clusterwarnmeldung an die Benutzeroberfläche. In den folgenden Beispielen wird gezeigt, welche Arten von Kriterien Sie verwenden können, um Benachrichtigungsregeln zu konfigurieren.

• Benachrichtigung bei Überschreitung eines Schwellenwerts, max. alle fünf Minuten• Benachrichtigung, wenn Zuweisung verweigert wird, max. einmal pro Stunde• Benachrichtigung während der Überschreitung eines Schwellenwerts, täglich um 02:00 Uhr• Benachrichtigung während des wöchentlichen Ablaufs der Toleranzperiode, sonntags um 02:00 Uhr

Benachrichtigungen werden für Events ausgelöst, die in die folgenden Kategorien eingeteilt werden:

Sofortige Benachrichtigungen

Enthalten die Benachrichtigung für einen verweigerten Schreibvorgang, die ausgelöst wird, wenn ein harter Schwellenwert einen Schreibvorgang verweigert, und die Benachrichtigung bei Überschreitung eines Schwellenwerts, die in dem Moment ausgelöst wird, in dem ein harter, weicher oder informativer Schwellenwert überschritten wird. Dies sind einmalige Benachrichtigungen, da sie ein einzelnes Event zu einem bestimmten Zeitpunkt darstellen.

Fortlaufende Benachrichtigungen

Werden auf Basis einer Planung generiert und weisen auf eine andauernde Bedingung hin, wenn z. B. ein harter, weicher oder informativer Schwellenwert über einen längeren Zeitraum über dem Limit liegt oder wenn die Toleranzperiode eines weichen Limits bereits seit einem längeren Zeitraum abgelaufen ist.

Quota-BerichteDas SmartQuotas-Modul von OneFS bietet Reportingoptionen, die es Administratoren ermöglichen, Clusterressourcen zu managen und Nutzungsstatistiken zu analysieren.

Speicher-Quota-Berichte stellen eine Zusammenfassung des letzten oder aktuellen Status der Quota-Domains bereit. Nach der Erfassung von Reportingrohdaten durch OneFS können Sie Datenzusammenfassungen mithilfe verschiedener Filterparameter und Sortiertypen erstellen. Speicher-Quota-Berichte enthalten Informationen zu Verstößen, gruppiert nach Schwellenwerttypen. Sie können Berichte aus einem Beispiel historischer Daten oder aus aktuellen Daten erzeugen. In beiden Fällen enthalten die Berichte Nutzungsdaten zu einem bestimmten Zeitpunkt. OneFS stellt keine Berichte zu im Laufe der Zeit gesammelten Daten wie Trendberichte bereit. Sie können jedoch Rohdaten verwenden, um Trends analysieren. Mit Ausnahme des erforderlichen Speicherplatzes gibt es keine Konfigurationsgrenze für die Anzahl von Berichten.

OneFS bietet die folgenden Datenerfassungs- und Reporting-Methoden:

• Geplante Berichte werden in regelmäßigen Abständen erzeugt und gespeichert.• Ad-hoc-Berichte werden auf Anforderung des Benutzers erzeugt und gespeichert.• Liveberichte werden für die direkte und temporäre Anzeige erzeugt.

Geplante Berichte werden standardmäßig im Verzeichnis /ifs/.isilon/smartquotas/reports abgelegt, aber der Standort kann in ein beliebiges Verzeichnis unter /ifs konfiguriert werden. Jeder erzeugte Bericht umfasst Quotadomaindefinition, Status, Nutzung und globale Konfigurationseinstellungen. Standardmäßig werden jeweils zehn Berichte gespeichert und ältere Berichte gelöscht. Sie können jederzeit Ad-hoc-Berichte erstellen, um den aktuellen Status des Speicher-Quota-Systems anzuzeigen. Diese Liveberichte können manuell gespeichert werden. Ad-hoc-Berichte werden separat von den geplanten Berichten gespeichert, um die geplanten Berichte nicht durcheinanderzubringen.

Erstellen von QuotasSie können zwei Arten von Speicherquoten für das Datenmonitoring erstellen: Berechnungsquoten und Durchsetzungsquoten. Limits und Einschränkungen für Speicher-Quotas können auf bestimmte Benutzer, Gruppen oder Verzeichnisse angewendet werden.

Der von Ihnen erstellte Quota-Typ hängt von Ihrem Ziel ab.

SmartQuotas 305

• Durchsetzungs-Quotas überwachen die Laufwerksnutzung und schränken diese ein. Sie können Durchsetzungs-Quotas erstellen, die eine beliebige Kombination aus harten, weichen und informativen Limits beinhalten.

ANMERKUNG: Durchsetzungs-Quotas werden nicht für Quota-Domains für die Snapshot-Nachverfolgung

empfohlen.

• Berechnungs-Quotas überwachen die Laufwerksnutzung, schränken diese jedoch nicht ein.

ANMERKUNG: Bevor Sie Quota-Daten für Analysen oder andere Zwecke verwenden, sollten Sie überprüfen, dass keine

QuotaScan-Jobs ausgeführt werden.

Erstellen einer Berechnungs-QuotaSie können eine Berechnungs-Quota erstellen, um die Laufwerksnutzung zu überwachen, ohne diese einzuschränken.

Optional können Sie Snapshot-Daten, Datenschutzoverhead oder beides in die Berechnungsquote einschließen.

1. Klicken Sie auf File system > SmartQuotas > Quotas and usage.

2. Klicken Sie auf Create a quota.Das Dialogfeld Create a quota wird angezeigt.

3. Wählen Sie in der Liste Quota Type das Ziel für diese Quota aus.

• Directory quota• User quota• Group quota

4. Wählen Sie abhängig vom ausgewählten Ziel die Einheit aus, auf die Sie die Quota anwenden möchten. Wenn Sie beispielsweise in der Liste Quota type die Option User quota ausgewählt haben, können Sie die Quota auf alle oder einen bestimmten Nutzer anwenden.

5. Geben Sie in das Feld Path den Pfad für die Quota ein oder klicken Sie auf Browse und wählen Sie ein Verzeichnis aus.

6. Wählen Sie im Bereich Quota accounting die gewünschten Optionen aus.

• Um Snapshot-Daten in die Berechnungs-Quota einzuschließen, wählen Sie Include snapshots in the storage quota aus.• Um Metadaten und Data-Protection-Overhead in die Berechnungs-Quota einzuschließen, wählen Sie Physical size aus.• Um die physische Größe ohne Metadaten und Data-Protection-Overhead einzuschließen, wählen Sie File system logical size

aus.• Um die Kapazitätsauslastung auf dem Cluster sowie in die Cloud verlagerte Daten zu berücksichtigen, wählen Sie Application

logical size aus. Diese Berechnungs-Quota misst nicht den Speicherplatz des Dateisystems, sondern zeigt die genutzte Dateikapazität aus der Perspektive der Anwendung/des Nutzers an.

7. Wählen Sie im Bereich Quota limits die Option Track storage without specifying a storage limit aus.

8. Wählen Sie aus, wie der verfügbare Speicherplatz angezeigt werden soll:

• Size of smallest hard or soft threshold• Size of cluster

9. Klicken Sie auf Create quota.

Stellen Sie vor der Verwendung von Quota-Daten zur Analyse oder für andere Zwecke sicher, dass keine QuotaScan-Jobs ausgeführt werden, indem Sie Cluster management > Job operations > Job summary prüfen.

Erstellen einer Durchsetzungs-QuotaSie können eine Durchsetzungs-Quota erstellen, um die Laufwerksnutzung zu überwachen und einzuschränken.

Sie können Durchsetzungs-Quotas erstellen, die harte, weiche und informative Limits festlegen.


2. Klicken Sie auf Create a quota.Das Dialogfeld Create a quota wird angezeigt.

3. Wählen Sie in der Liste Quota Type das Ziel für diese Quota aus.

• Directory quota• User quota• Group quota

4. Wählen Sie abhängig vom ausgewählten Ziel die Einheit aus, auf die Sie die Quota anwenden möchten. Wenn Sie beispielsweise in der Liste Quota type die Option User quota ausgewählt haben, können Sie die Quota auf alle oder einen bestimmten Nutzer anwenden.

5. Geben Sie in das Feld Path den Pfad für die Quota ein oder klicken Sie auf Browse und wählen Sie ein Verzeichnis aus.

306 SmartQuotas

6. Wählen Sie im Bereich Quota accounting die gewünschten Optionen aus.

• Um Snapshot-Daten in die Berechnungs-Quota einzuschließen, wählen Sie Include snapshots in the storage quota aus.• Um Metadaten und Data-Protection-Overhead in die Berechnungs-Quota einzuschließen, wählen Sie Physical size aus.• Um die physische Größe ohne Metadaten und Data-Protection-Overhead einzuschließen, wählen Sie File system logical size

aus.• Um die Kapazitätsauslastung auf dem Cluster sowie in die Cloud verlagerte Daten zu berücksichtigen, wählen Sie Application

logical size aus. Diese Berechnungs-Quota misst nicht den Speicherplatz des Dateisystems, sondern zeigt die genutzte Dateikapazität aus der Perspektive der Anwendung/des Nutzers an.

7. Wählen Sie im Bereich Quota Limits die Option Specify storage limits aus.

8. Aktivieren Sie das Kontrollkästchen neben den Limits, die Sie durchsetzen möchten.

9. Geben Sie Ziffern in die Felder ein und wählen Sie in den Listen die Werte aus, die Sie für die Quota verwenden möchten.

10. Wählen Sie aus, wie der verfügbare Speicherplatz angezeigt werden soll:

• Size of smallest hard or soft threshold• Size of cluster

11. Wählen Sie im Bereich Quota Notifications die Benachrichtigungsoption aus, die Sie auf die Quota anwenden möchten.

12. Optional: Wenn Sie die Option für die Verwendung benutzerdefinierter Benachrichtigungsregeln ausgewählt haben, klicken Sie auf den Link, um den benutzerdefinierten Benachrichtigungstyp zu erweitern, der auf die ausgewählten Nutzungslimits angewendet wird.

13. Klicken Sie auf Create quota.

Stellen Sie vor der Verwendung von Quota-Daten zur Analyse oder für andere Zwecke sicher, dass keine QuotaScan-Jobs ausgeführt werden, indem Sie Cluster management > Job operations > Job summary prüfen.

Managen von QuotasSie können die konfigurierten Werte einer Speicher-Quota ändern. Zudem können Sie eine Quota aktivieren oder deaktivieren. Außerdem können Sie Limits und Einschränkungen für Quotas erstellen, die auf bestimmte Benutzer, Gruppen oder Verzeichnisse angewendet werden.

Das Quotenmanagement in OneFS wird durch die Quotensuchfunktion vereinfacht, mit der Sie eine Quote oder Quoten durch Verwendung von Filtern suchen können. Sie können die Verknüpfungen von Quotas aufheben, die mit einer übergeordneten Quota verknüpft sind, und benutzerdefinierte Benachrichtigungen für Quotas konfigurieren. Sie können eine Quota auch vorübergehend deaktivieren und später bei Bedarf erneut aktivieren.

ANMERKUNG: Das Verschieben von Quota-Verzeichnissen über Quota-Domains hinweg wird nicht unterstützt.

Suchen nach QuotasSie können mit einer Vielzahl von Suchkriterien nach einer Quota suchen.


2. Wählen Sie in der Filterleiste die Optionen aus, nach denen Sie filtern möchten.

• Wählen Sie in der Liste Filter den zu suchenden Quota-Typ aus (Directory, User, Group, Default user oder Default group).• Um nach Quotas zu suchen, die über dem Grenzwert liegen, wählen Sie in der Liste Over limit die Option Exceeded aus.• Geben Sie in das Feld Path einen vollständigen Pfad oder Teilpfad ein. Sie können im Feld Path das Platzhalterzeichen (*)

verwenden.• Um in Unterverzeichnissen zu suchen, wählen Sie in der Liste Recursive die Option Include children aus.

Quotas, die den Suchkriterien entsprechen, werden in der Tabelle Quotas and usage angezeigt.

Eine Berechnungs- oder Durchsetzungs-Quota mit einem Schwellenwert von Null wird durch einen Bindestrich (–) angezeigt. Sie können auf die Spaltenüberschriften klicken, um die Ergebnisse zu sortieren.

ANMERKUNG:

Um den Ergebnissatz zu löschen und alle Speicher-Quotas anzuzeigen, klicken Sie auf Reset.

SmartQuotas 307

Managen von QuotasMit Quotas können Sie die aktuelle oder historische Nutzung des Laufwerksspeichers überwachen und analysieren. Sie können nach Quotas suchen und eine Quota anzeigen, ändern, löschen und eine Verknüpfung für eine Quota aufheben.

Für Standard-Quotas oder geplante Quotas muss zunächst ein QuotaScan-Job ausgeführt werden. Andernfalls sind die angezeigten Daten möglicherweise unvollständig.

Bevor Sie eine Quota ändern, überlegen Sie, wie sich die Änderungen auf Dateisystem und Anwender auswirken.

ANMERKUNG:

• Die Optionen für das Bearbeiten oder Löschen einer Quota werden nur angezeigt, wenn die Quota nicht mit einer

Standard-Quota verknüpft ist.

• Die Option zur Aufhebung der Verknüpfung einer Quota wird nur angezeigt, wenn die Quota mit einer Standard-

Quota verknüpft ist.

1. Klicken Sie auf File System > SmartQuotas > Quotas and usage.

2. Optional: Wählen Sie in der Filterleiste die Optionen aus, nach denen Sie filtern möchten.

• Wählen Sie in der Liste Filter den zu suchenden Quota-Typ aus (Directory, User, Group, Default user oder Default group).• Um nach Quotas zu suchen, die über dem Grenzwert liegen, wählen Sie in der Liste Over limit die Option Exceeded aus.• Geben Sie in das Feld Path einen vollständigen Pfad oder Teilpfad ein. Sie können im Feld Path das Platzhalterzeichen (*)

verwenden.• Um in Unterverzeichnissen zu suchen, wählen Sie in der Liste Recursive die Option Include children aus.

Quotas, die den Suchkriterien entsprechen, werden in der Tabelle Quotas and usage angezeigt.

3. Optional: Suchen Sie die Quota, die Sie managen möchten. Sie können die folgenden Aktionen ausführen:

• Um diese Quota zu überprüfen oder zu bearbeiten, klicken Sie auf View Details.• Um diese Quota zu löschen, klicken Sie auf Delete.• Um die Verknüpfung einer verknüpften Quota aufzuheben, klicken Sie auf Unlink.

ANMERKUNG: Konfigurationsänderungen für verknüpfte Quotas müssen auf der übergeordneten Quota

(Standard-Quota) vorgenommen werden, von der die verknüpfte Quota ihre Einstellungen übernimmt.

Änderungen an der übergeordneten Quota werden auf alle untergeordneten Elemente übertragen. Wenn Sie die

Konfiguration der übergeordneten Quota außer Kraft setzen möchten, müssen Sie zunächst die Verknüpfung der

Quota aufheben.

Exportieren einer Quota-KonfigurationsdateiSie können Quota-Einstellungen als Konfigurationsdatei exportieren, die anschließend zur Wiederverwendung in ein anderes Isilon-Cluster importiert werden kann. Sie können die exportierten Quota-Konfigurationen auch außerhalb des Clusters speichern. Diese Aufgabe kann nur über die OneFS-Befehlszeilenoberfläche durchgeführt werden.

Sie können den XML-Bericht in eine Datei oder ein Verzeichnis leiten. Die Datei kann dann in ein anderes Cluster importiert werden.


2. Führen Sie in der Befehlszeile den folgenden Befehl aus:

isi_classic quota list --export

Die Quota-Konfigurationsdatei wird als XML-Rohdatei angezeigt.

Importieren einer Quota-KonfigurationsdateiSie können Quota-Einstellungen in Form einer Konfigurationsdatei importieren, die aus einem anderen Isilon-Cluster exportiert wurde. Diese Aufgabe kann nur über die OneFS-Befehlszeilenoberfläche durchgeführt werden.


2. Navigieren Sie zum Standort der exportierten Quota-Konfigurationsdatei.

3. Führen Sie in der Befehlszeile den folgenden Befehl aus, wobei <filename> der Name der exportierten Konfigurationsdatei ist:

isi_classic quota import --from-file=<filename>

308 SmartQuotas

Das System analysiert die Datei und importiert die Quota-Einstellungen aus der Konfigurationsdatei. Die Quota-Einstellungen, die Sie vor dem Import der Quota-Konfigurationsdatei konfiguriert haben, werden beibehalten und die importierten Quota-Einstellungen sind sofort wirksam.

Managen von Quota-BenachrichtigungenQuota-Benachrichtigungen können aktiviert, deaktiviert, bearbeitet und gelöscht werden.

Eine globale Quota-Benachrichtigung ist standardmäßig bereits konfiguriert und wird auf alle Quotas angewendet. Sie können weiterhin die Einstellungen für globale Quota-Benachrichtigungen verwenden, die globalen Benachrichtigungseinstellungen ändern oder diese deaktivieren und eine benutzerdefinierte Benachrichtigung für eine Quota festlegen.

Durchsetzungs-Quotas unterstützen vier Arten von Benachrichtigungen und Erinnerungen:

• Schwellenwert überschritten• Erinnerungen bei überschrittener Quota• Toleranzperiode abgelaufen• Schreibzugriff verweigert

Wenn für die Benutzerauthentifizierung ein Verzeichnisservice verwendet wird, können Sie Benachrichtigungszuordnungen konfigurieren, mit denen gesteuert wird, wie E-Mail-Adressen aufgelöst werden, wenn das Cluster eine Quota-Benachrichtigung sendet. Falls erforderlich, können Sie die Domain, die für Quota-E-Mail-Benachrichtigungen verwendet wird, sowie Active Directory-Domains, lokale UNIX-Domains oder beides neu zuweisen.

Konfigurieren von Standardeinstellungen für Quota-BenachrichtigungenSie können globale Standardeinstellungen für Quota-Benachrichtigungen konfigurieren, die für alle Quotas eines angegebenen Schwellenwerttyps gelten.

Die benutzerdefinierten Benachrichtigungseinstellungen, die Sie für eine Quota konfigurieren, haben Vorrang vor den globalen Benachrichtigungseinstellungen.

1. Klicken Sie auf File System > SmartQuotas > Settings.

2. Im Bereich „Scheduled Reporting“ können Sie die folgenden Reportingoptionen konfigurieren:

• Geben Sie im Feld Archive Directory das Verzeichnis ein, in dem Sie die geplanten Quota-Berichte archivieren möchten, oder navigieren Sie zu diesem Verzeichnis.

• Geben Sie im Feld Number of Scheduled Reports Retained die Anzahl der Berichte ein, die Sie archivieren möchten.• Wählen Sie die gewünschten Zeitplanoptionen für das Reporting aus und klicken Sie dann auf „Select“.• Wählen Sie Scheduled aus, um das geplante Reporting zu aktivieren, oder wählen Sie Manual aus, um das geplante Reporting zu

deaktivieren.

3. Im Bereich Manual Reporting können Sie die folgenden Reportingoptionen konfigurieren:

• Geben Sie im Feld Archive Directory das Verzeichnis ein, in dem Sie die manuell erzeugten Quota-Berichte archivieren möchten, oder navigieren Sie zu diesem Verzeichnis.

• Geben Sie im Feld Number of Live Reports Retained die Anzahl der Berichte ein, die Sie archivieren möchten.

4. Definieren Sie im Bereich Email Mapping die Zuordnungsregel oder -regeln, die Sie verwenden möchten. Um eine E-Mail-Zuordnungsregel hinzuzufügen, klicken Sie auf Add a Mapping Rule und geben Sie anschließend die Einstellungen für die Regel an.

5. Definieren Sie im Bereich Notification Rules die Standardbenachrichtigungsregeln für jeden Regeltyp.

a) Klicken Sie auf Add a Notification Rule.Das Dialogfeld Create a Notification Rule wird geöffnet.

b) Wählen Sie in der Liste Rule type den zu verwendenden Regeltyp aus.c) Wählen Sie im Bereich Rule Settings die zu verwendende Benachrichtigungsoption aus.

6. Klicken Sie auf Create Rule.


Überprüfen Sie vor der Verwendung von Quota-Daten für Analyse- oder andere Zwecke, dass keine QuotaScan-Jobs ausgeführt werden, indem Sie Cluster Management > Job Operations > Job Summary prüfen.

SmartQuotas 309

Konfigurieren von benutzerdefinierten Quota-BenachrichtigungsregelnSie können benutzerdefinierte Regeln für Quota-Benachrichtigungen konfigurieren, die nur auf eine bestimmte Quota angewendet werden.

Um eine benutzerdefinierte Regel für Quota-Benachrichtigungen zu konfigurieren, muss eine Durchsetzungs-Quota vorhanden sein oder erstellt werden. Um Benachrichtigungen für eine vorhandene Durchsetzungs-Quota zu konfigurieren, befolgen Sie das Verfahren für die Änderung einer Quota und verwenden Sie dann diese Schritte zum Festlegen der Quota-Benachrichtigungsregeln.

Für diese Quota müssen Quota-spezifische benutzerdefinierte Benachrichtigungsregeln konfiguriert werden. Wenn für eine Quota keine Benachrichtigungsregeln konfiguriert sind, wird die Standardkonfiguration für Eventbenachrichtigungen verwendet. Weitere Informationen zur Konfiguration von Standardbenachrichtigungsregeln finden Sie unter „Erstellen einer Eventbenachrichtigungsregel“.

1. Wählen Sie im Dialogfeld Edit Quota Details die Option Create custom notification rules aus.

2. Um eine Benachrichtigungsregel hinzuzufügen, klicken Sie auf Create a notification rule und wählen Sie dann die Werte aus, die Sie für die Benachrichtigung verwenden möchten.

3. Nachdem Sie die Konfiguration der Einstellungen für die Benachrichtigung abgeschlossen haben, klicken Sie auf Create Rule.


Überprüfen Sie vor der Verwendung von Quota-Daten für Analyse- oder andere Zwecke, dass keine QuotaScan-Jobs ausgeführt werden, indem Sie Cluster Management > Job Operations > Job Summary prüfen.

Zuordnen einer E-Mail-Benachrichtigungsregel für eine QuotaZuordnungsregeln für E-Mail-Benachrichtigungen geben an, wie E-Mail-Adressen aufgelöst werden, wenn das Cluster eine Quota-Benachrichtigung sendet.

Falls erforderlich, können Sie die Domain, die für SmartQuotas-E-Mail-Benachrichtigungen verwendet wird, neu zuordnen. Sie können Active Directory-Windows-Domains, lokale UNIX-Domains oder NIS-Domains neu zuordnen.

ANMERKUNG: Sie müssen bei der Webverwaltungsschnittstelle angemeldet sein, um diese Aufgabe durchzuführen.


2. Optional: Klicken Sie im Bereich Email Mapping auf Add a Mapping Rule.

3. Wählen Sie aus der Liste Type den Authentifizierungsanbietertyp für diese Benachrichtigungsregel aus. Die Standardeinstellung ist Local. Um zu bestimmen, welche Authentifizierungsanbieter auf dem Cluster verfügbar sind, navigieren Sie zu Access > Authentication Providers.

4. Wählen Sie aus der Liste Current domain die Domain aus, die Sie für die Zuordnungsregel verwenden möchten. Wenn die Liste leer ist, navigieren Sie zu Cluster Management > Network Configuration und geben Sie dann die Domains an, die Sie für die Zuordnung verwenden möchten.

5. Geben Sie im Feld Map to domain den Namen der Domain ein, der Sie die E-Mail-Benachrichtigungen zuordnen möchten. Das kann derselbe Domainname sein, den Sie aus der Liste Current domain ausgewählt haben. Sie können mehrere Domains angeben, indem Sie die Domainnamen durch Kommas trennen.

6. Klicken Sie auf Create Rule.

E-Mail-Meldungen für Quota-BenachrichtigungenWenn E-Mail-Benachrichtigungen für überschrittene Quotas aktiviert sind, können Sie Isilon-Vorlagen für E-Mail-Benachrichtigungen anpassen oder eigene Vorlagen erstellen.

Mit OneFS werden drei E-Mail-Benachrichtigungsvorlagen bereitgestellt. Die Vorlagen befinden sich in /etc/ifs und werden in der folgenden Tabelle beschrieben:

Vorlage Beschreibung

quota_email_template.txt Eine Benachrichtigung, dass die Laufwerks-Quota überschritten wurde

310 SmartQuotas

Vorlage Beschreibung

quota_email_grace_template.txt Eine Benachrichtigung, dass die Laufwerks-Quota überschritten wurde (enthält auch einen Parameter zum Definieren einer Toleranzperiode in Tagen)

quota_email_test_template.txt Eine Benachrichtigungstestmeldung, mit der Sie überprüfen können, ob ein Benutzer E-Mail-Benachrichtigungen erhält

Wenn die Standardvorlagen für E-Mail-Benachrichtigungen Ihre Anforderungen nicht erfüllen, können Sie eigenen benutzerdefinierten Vorlagen für E-Mail-Benachrichtigungen unter Verwendung einer Kombination aus Text und SmartQuotas-Variablen konfigurieren. Unabhängig davon, ob Sie eigene Vorlagen erstellen oder die vorhandenen ändern, sollten Sie sicherstellen, dass die erste Zeile der Vorlagendatei eine Betreffzeile mit Subject: ist. Beispiel:

Subject: Disk quota exceededWenn Sie Informationen zum Absender der Nachricht einfügen möchten, schließen Sie die Zeile From: direkt unter der Betreffzeile ein. Wenn Sie eine E-Mail-Adresse verwenden, schließen Sie den vollständigen Domainnamen für die Adresse ein. Beispiel:

From: [email protected] diesem Beispiel für die Datei quota_email_template.txt ist eine Zeile From: enthalten. Darüber hinaus wurde der Standardtext „Contact your system administrator for details“ am Ende der Vorlage geändert, um den Administrator zu benennen:

Subject: Disk quota exceededFrom: [email protected]

The <ISI_QUOTA_DOMAIN_TYPE> quota on path <ISI_QUOTA_PATH> owned by <ISI_QUOTA_OWNER> has exceeded the <ISI_QUOTA_TYPE> limit.The quota limit is <ISI_QUOTA_THRESHOLD>, and <ISI_QUOTA_USAGE>is currently in use. You may be able to free some disk space bydeleting unnecessary files. If your quota includes snapshot usage,your administrator may be able to free some disk space by deletingone or more snapshots. Contact Jane Anderson ([email protected])for details.Im Folgenden sehen Sie ein Beispiel dafür, wie die E-Mail-Benachrichtigung für einen Benutzer aussieht (beachten Sie, dass die SmartQuotas-Variablen aufgelöst wurden):

Subject: Disk quota exceededFrom: [email protected]

The advisory disk quota on directory /ifs/data/sales_tools/collateralowned by jsmith on production-Boris was exceeded.

The quota limit is 10 GB, and 11 GB is in use. You may be able to free some disk space by deleting unnecessary files. If your quota includes snapshot usage, your administrator may be able to free some disk space by deleting one or more snapshots. Contact Jane Anderson ([email protected]) for details.

Variablenbeschreibungen für benutzerdefinierte E-Mail-BenachrichtigungsvorlagenEine E-Mail-Vorlage enthält Text und optional Variablen, die Werte darstellen. Sie können jede der SmartQuotas-Variablen in Ihren Vorlagen verwenden.

Variable Beschreibung Beispiel

ISI_QUOTA_DOMAIN_TYPE Quota-Typ. Gültige Werte: directory, user, group, default-directory, default-user, default-group

default-directory

ISI_QUOTA_EXPIRATION Ablaufdatum der Toleranzperiode Fr., 22. Mai 2015 14:23:19 Uhr PST

ISI_QUOTA_GRACE Toleranzperiode in Tagen 5 Tage

ISI_QUOTA_HARD_LIMIT Beinhaltet die Hard-Limit-Informationen der Quota, um informative/weiche E-Mail-Benachrichtigungen noch aussagekräftiger zu machen.

Sie haben 30 MB übrig, bis Sie das harte Quota-Limit von 50 MB erreicht haben.

SmartQuotas 311

Variable Beschreibung Beispiel

ISI_QUOTA_NODE Hostname des Node, auf dem das Quota-Event aufgetreten ist

someHost-prod-wf-1

ISI_QUOTA_OWNER Name des Quota-Domaineigentümers jschmidt

ISI_QUOTA_PATH Pfad der Quota-Domain /ifs/dataISI_QUOTA_THRESHOLD Schwellenwert 20 GB

ISI_QUOTA_TYPE Schwellenwerttyp Empfohlen

ISI_QUOTA_USAGE Belegter Speicherplatz 10,5 GB

Anpassen der Vorlagen für Quota-E-Mail-BenachrichtigungenSie können Isilon-Vorlagen für E-Mail-Benachrichtigungen anpassen. Das Anpassen von Vorlagen kann nur über die OneFS-Befehlszeilenoberfläche durchgeführt werden.

Bei diesem Verfahren wird davon ausgegangen, dass Sie die Isilon-Vorlagen verwenden, die sich im Verzeichnis /etc/ifs befinden.

ANMERKUNG: Es wird empfohlen, die Vorlagen nicht direkt zu bearbeiten. Kopieren Sie sie stattdessen in anderes

Verzeichnis, um sie zu bearbeiten und bereitzustellen.


2. Kopieren Sie eine der Standardvorlagen in ein Verzeichnis, in dem Sie die Datei bearbeiten und in dem Sie später über die OneFS-Webverwaltungsoberfläche auf die Datei zugreifen können. Beispiel:

cp /etc/ifs/quota_email_template.txt /ifs/data/quotanotifiers/quota_email_template_copy.txt

3. Öffnen Sie die Vorlagendatei in einem Texteditor. Beispiel:

edit /ifs/data/quotanotifiers/quota_email_template_copy.txt

Die Vorlage wird im Editor angezeigt.

4. Bearbeiten Sie die Vorlage. Wenn Sie eine benutzerdefinierte Vorlage verwenden oder erstellen, stellen Sie sicher, dass die Vorlage eine Subject:-Zeile enthält.

5. Speichern Sie die Änderungen. Vorlagendateien müssen als TXT-Datei gespeichert werden.

6. Navigieren Sie in der Webverwaltungsoberfläche zu File System > SmartQuotas > Settings.

7. Klicken Sie im Bereich Notification Rules auf Add a Notification Rule.Das Dialogfeld Create a Notification Rule wird angezeigt.

8. Wählen Sie in der Liste Rule type den Benachrichtigungsregeltyp aus, den Sie mit der Vorlage verwenden möchten.

9. Wählen Sie im Bereich Rule Settings eine Benachrichtigungstypoption aus.

10. Je nach dem ausgewählten Regeltyp wird möglicherweise ein Zeitplanformular angezeigt. Wählen Sie die gewünschten Planungsoptionen aus.

11. Geben Sie im Feld Message template den Pfad für die Nachrichtenvorlage ein oder klicken Sie auf Browse, um die Vorlage zu suchen.

12. Optional: Klicken Sie auf Create Rule.

Managen von Quota-BerichtenSie können Berichte konfigurieren und planen, damit Sie die Speichernutzung in einem Isilon-Cluster besser überwachen, verfolgen und analysieren können.

Sie können Berichte anzeigen und planen und Berichtseinstellungen anpassen, um die Festplattenspeichernutzung nachzuverfolgen, zu überwachen und zu analysieren. Quota-Berichte werden durch die Konfiguration von Einstellungen gemanagt, die Ihnen die Kontrolle darüber geben, wann Berichte geplant werden, wie sie erzeugt werden, wo und wie viele Berichte gespeichert werden und wie diese angezeigt werden. Die maximale Anzahl von geplanten Berichten, die zur Anzeige in der Webverwaltungsschnittstelle verfügbar sind, kann für jeden Berichtstyp konfiguriert werden. Wenn die maximale Anzahl von Berichten gespeichert ist, löscht das System die ältesten Berichte, um Speicherplatz für neu erzeugte Berichte freizugeben.

312 SmartQuotas

Erstellen eines Zeitplans für Quota-BerichteSie können die Quota-Berichtseinstellungen so konfigurieren, dass Quota-Berichte nach einem festgelegten Zeitplan erzeugt werden.

In diesen Einstellungen wird festgelegt, ob und wann geplante Berichte erzeugt und wo und wie die Berichte gespeichert werden. Wenn Sie einen geplanten Bericht deaktivieren, können Sie nach wie vor jederzeit ungeplante Berichte ausführen.


2. Optional: Wählen Sie auf der Seite Quota Settings im Bereich Scheduled Reporting die Option Scheduled aus.

Der Zeitplanbereich wird angezeigt.

3. Wählen Sie im Zeitplanbereich die gewünschten Optionen für Berichtshäufigkeit und Reportingplanung aus.


Berichte werden gemäß den Planungskriterien erzeugt und können angezeigt werden, indem Sie auf File System > SmartQuotas > Generated Reports Archive klicken.

Erstellen eines Quota-BerichtsZusätzlich zu geplanten Quota-Berichten können Sie einen Bericht erzeugen, um die Nutzungsstatistiken für einen Point-in-Time zu erfassen.

Bevor Sie einen Quota-Bericht erzeugen können, müssen Quotas vorhanden sein und es dürfen keine QuotaScan-Jobs ausgeführt werden.

1. Klicken Sie auf File System > SmartQuotas > Generated Reports Archive.

2. Klicken Sie auf Create a Manual Report.

Der neue Bericht wird in der Liste Quota Reports angezeigt.

Suchen eines Quota-BerichtsSie können Quota-Berichte suchen, die als XML-Dateien gespeichert werden, und Ihre eigenen Tools für die Anzeige verwenden. Diese Aufgabe kann nur über die OneFS-Befehlszeilenoberfläche durchgeführt werden.


2. Navigieren Sie zu dem Verzeichnis, in dem die Quota-Berichte gespeichert werden. Der folgende Pfad ist der Standardstandort für Quota-Berichte:

/ifs/.isilon/smartquotas/reportsANMERKUNG: Wenn Quotenberichte sich nicht im Standardverzeichnis befinden, können Sie den Befehl isi quota settings ausführen, um das Verzeichnis zu finden, in dem sie gespeichert werden.

3. Führen Sie in der Eingabeaufforderung den Befehl ls aus.

• Um eine Liste aller Quota-Berichte im Verzeichnis anzuzeigen, führen Sie den folgenden Befehl aus:

ls -a *.xml• Um eine bestimmte Quota im Verzeichnis anzuzeigen, führen Sie den folgenden Befehl aus:

ls <filename>.xml

Grundlegende Quota-EinstellungenWenn Sie eine Speicher-Quota erstellen, müssen mindestens die folgenden Attribute definiert werden. Wenn Sie Nutzungslimits festlegen, sind zusätzliche Optionen für die Definition der Quota verfügbar.

Option Beschreibung

Pfad Das Verzeichnis, in dem sich die Quota befindet

Directory Quota Speichergrenzen für ein Verzeichnis festlegen.

SmartQuotas 313

Option Beschreibung

User Quota Eine Quota für jeden aktuellen oder zukünftigen Benutzer erstellen, der Daten im angegebenen Verzeichnis speichert.

Group Quota Eine Quota für jede aktuelle oder zukünftige Gruppe erstellen, die Daten im angegebenen Verzeichnis speichert.

Include snapshots in the storage quota Alle Snapshot-Daten in die Nutzungslimits einbeziehen. Diese Option kann nicht geändert werden, nachdem die Quota erstellt wurde.

Enforce the limits for this quota based on physical size Grundlegende Quota-Durchsetzung für die Speichernutzung einschließlich Metadaten und Data Protection

Enforce the limits for this quota based on file system logical size Grundlegende Quota-Durchsetzung für die Speichernutzung ohne Metadaten und Data Protection

Enforce the limits for this quota based on application logical size Grundlegende Quota-Durchsetzung für die Speichernutzung einschließlich Kapazitätsauslastung auf dem Cluster sowie in die Cloud verlagerte Daten

Track storage without specifying a storage limit Nur die Nutzung berücksichtigen.

Festlegen von Speichergrenzen Informative, weiche oder absolute Limits festlegen und durchsetzen.

Quota-Benachrichtigungsregeln für informative LimitsSie können benutzerdefinierte Quota-Benachrichtigungsregeln für informative Limits für eine Quota konfigurieren. Diese Einstellungen sind verfügbar, wenn Sie benutzerdefinierte Benachrichtigungsregeln auswählen.

Option Beschreibung Überschritten Bleibt überschritten

Notify owner Wählen Sie diese Option aus, um eine E-Mail-Benachrichtigung an den Eigentümer der Einheit zu senden.

Ja Ja

Notify other contact(s) Wählen Sie diese Option aus, um E-Mail-Benachrichtigungen an andere Empfänger zu senden, und geben Sie E-Mail-Adressen der Empfänger ein.

ANMERKUNG: Vor dem Aktivieren des Clusters können Sie nur eine E-Mail-Adresse eingeben. Nach dem Aktivieren des Clusters können Sie mehrere durch Kommas getrennte E-Mail-Adressen eingeben. Doppelte E-Mail-Adressen werden erkannt und nur eindeutige Adressen werden gespeichert. Die Eingabe der durch Komma

Ja Ja

314 SmartQuotas


getrennten E-Mail-Adressen darf maximal 1.024 Zeichen umfassen.

Message template Geben Sie den Pfad für die nutzerdefinierte Vorlage ein oder klicken Sie auf Browse, um nach der nutzerdefinierten Vorlage zu suchen.

Lassen Sie das Feld leer, um die Standardvorlage zu verwenden.

Ja Ja

Create cluster event Wählen Sie diese Option aus, um eine Eventbenachrichtigung zu erzeugen, wenn die Quota überschritten wird.

Ja Ja

Minimum notification interval Geben Sie (in Stunden, Tagen oder Wochen) an, wie lange gewartet werden soll, bevor die Benachrichtigung erzeugt wird. Dadurch werden doppelte Benachrichtigungen minimiert.

Ja Nein

Schedule Geben Sie die Häufigkeit der Benachrichtigungen und Warnmeldungen an: täglich, wöchentlich, monatlich oder jährlich. Geben Sie je nach Auswahl Intervalle, den Tag des Versands, die Tageszeit und mehrere E-Mail-Nachrichten pro Regel an.

Nein Ja

Quota-Benachrichtigungsregeln für weiche LimitsSie können benutzerdefinierte Benachrichtigungsregeln für weiche Limits für eine Quota konfigurieren. Diese Einstellungen sind verfügbar, wenn Sie benutzerdefinierte Benachrichtigungsregeln auswählen.


Toleranzperiode abgelaufen

Schreibzugriff verweigert


Ja Ja Ja Ja

Notify other contact(s)

Wählen Sie diese Option aus, um E-Mail-Benachrichtigungen an andere Empfänger zu senden, und geben Sie E-Mail-Adressen der Empfänger ein.

ANMERKUNG: Vor dem Aktivieren des Clusters

Ja Ja Ja Ja

SmartQuotas 315




können Sie nur eine E-Mail-Adresse eingeben. Nach dem Aktivieren des Clusters können Sie mehrere durch Kommas getrennte E-Mail-Adressen eingeben. Doppelte E-Mail-Adressen werden erkannt und nur eindeutige Adressen werden gespeichert. Die Eingabe der durch Komma getrennten E-Mail-Adressen darf maximal 1.024 Zeichen umfassen.



Ja Ja Ja Ja

Create cluster event Wählen Sie diese Option aus, um eine Eventbenachrichtigung für die Quota zu generieren.

Ja Ja Ja Ja

Minimum notification interval

Geben Sie (in Stunden, Tagen oder Wochen) an, wie lange gewartet werden soll, bevor die Benachrichtigung erzeugt wird. Dadurch werden doppelte

Ja Nein Nein Ja

316 SmartQuotas




Benachrichtigungen minimiert.


Nein Ja Ja Nein

Quota-Benachrichtigungsregeln für harte LimitsSie können benutzerdefinierte Quota-Benachrichtigungsregeln für harte Limits für eine Quota konfigurieren. Diese Einstellungen sind verfügbar, wenn Sie benutzerdefinierte Benachrichtigungsregeln auswählen.

Option Beschreibung Schreibzugriff verweigert Überschritten


Ja Ja

Notify other contact(s) Wählen Sie diese Option aus, um E-Mail-Benachrichtigungen an andere Empfänger zu senden, und geben Sie E-Mail-Adressen der Empfänger ein.

ANMERKUNG: Vor dem Aktivieren des Clusters können Sie nur eine E-Mail-Adresse eingeben. Nach dem Aktivieren des Clusters können Sie mehrere durch Kommas getrennte E-Mail-Adressen eingeben. Doppelte E-Mail-Adressen werden erkannt und nur eindeutige Adressen werden gespeichert. Die Eingabe der durch Komma getrennten E-Mail-Adressen darf maximal 1.024 Zeichen umfassen.

Ja Ja


Ja Ja

SmartQuotas 317

Option Beschreibung Schreibzugriff verweigert Überschritten


Create cluster event Wählen Sie diese Option aus, um eine Eventbenachrichtigung für die Quota zu generieren.

Ja Ja

Minimum notification interval Geben Sie (in Stunden, Tagen oder Wochen) an, wie lange gewartet werden soll, bevor die Benachrichtigung erzeugt wird. Dadurch werden doppelte Benachrichtigungen minimiert.

Ja Nein


Nein Ja

Einstellungen für GrenzwertbenachrichtigungenDurchsetzungs-Quotas unterstützen die folgenden Benachrichtigungseinstellungen für jede Schwellenwerttyp. Eine Quota kann nur eine dieser Einstellungen verwenden.

Benachrichtigungseinstellung Beschreibung

Disable quota notifications Alle Benachrichtigungen für die Quota deaktivieren.

Use the system settings for quota notifications Standardbenachrichtigungsregeln verwenden, die Sie für den angegebenen Schwellenwerttyp konfiguriert haben.

Create custom notification rules Einstellungen für die Erstellung allgemeiner, benutzerdefinierter Benachrichtigungen bereitstellen, die nur auf diese Quota angewendet werden.

Quota-BerichtseinstellungenSie können Quota-Berichtseinstellungen zur Nachverfolgung der Laufwerksnutzung konfigurieren. In diesen Einstellungen wird festgelegt, ob und wann geplante Berichte erzeugt und wo und wie Berichte gespeichert werden. Wenn die maximale Anzahl von Berichten gespeichert ist, löscht das System die ältesten Berichte, um Speicherplatz für neu erzeugte Berichte freizugeben.


Scheduled reporting Aktiviert oder deaktiviert die Funktion für geplantes Reporting

• Off: Manuell generierte Berichte nach Bedarf können jederzeit ausgeführt werden.

• On: Berichte werden automatisch gemäß der von Ihnen festgelegten Planung ausgeführt.

Report frequency Legt das Intervall für die Ausführung dieses Berichts fest: täglich, wöchentlich, monatlich oder jährlich. Mit den folgenden Optionen können Sie die Berichtsplanung weiter anpassen.

Generate report every: Geben Sie den numerischen Wert für die ausgewählte Berichtshäufigkeit; an, z. B. alle 2 Monate.

318 SmartQuotas


Generate reports on: Wählen Sie einen oder mehrere Tage aus, an dem/denen Berichte generiert werden sollen.

Select report day by: Geben Sie ein Datum oder einen Wochentag an, an dem der Bericht generiert werden soll.

Generate one report per specified by: Geben Sie die Uhrzeit an, zu der dieser Bericht generiert werden soll.

Generate multiple reports per specified day: Geben Sie die Intervalle und Tageszeiten ein, zu denen der Bericht für diesen Tag zu generiert werden soll.

Scheduled report archiving Bestimmt die maximale Anzahl an geplanten Berichten, die auf der Seite der SmartQuotas Reports angezeigt werden können

Limit archive size: Schränken Sie die Archivgröße für geplante Berichte auf eine bestimmte Anzahl an Berichten ein. Geben Sie eine Ganzzahl an, um die maximale Anzahl an zu speichernden Berichten festzulegen.

Archive Directory: Wechseln Sie zu dem Verzeichnis, in dem Sie die Quota-Berichte archivieren möchten.

Manual report archiving Bestimmt die maximale Anzahl an manuell generierten Berichten (nach Bedarf), die auf der Seite der SmartQuotas Reports angezeigt werden können

Limit archive size: Schränken Sie die Archivgröße für Liveberichte auf eine bestimmte Anzahl an Berichten ein. Geben Sie eine Ganzzahl an, um die maximale Anzahl an zu speichernden Berichten festzulegen.

Archive Directory: Wechseln Sie zu dem Verzeichnis, in dem Sie die Quota-Berichte archivieren möchten.

SmartQuotas 319

SpeicherpoolsDieser Abschnitt enthält die folgenden Themen:

Themen:

• Speicherpools – Überblick• Speicherpoolfunktionen• Automatisiertes Provisioning• Node-Pools• Virtuelle Hot Spares• Spillover• Vorgeschlagener Schutz• Schutz-Policies• SSD-Strategien• Andere Einstellungen für die SSD-Spiegelung• Global Namespace Acceleration• Übersicht über den L3-Cache• Tiers• Dateipool-Policies• Managen von Node-Pools über die Webverwaltungsschnittstelle• Managen des L3-Caches über die Webverwaltungsschnittstelle• Managen von Tiers• Erstellen von Dateipool-Policies• Managen von Dateipool-Policies• Monitoring von Speicherpools

Speicherpools – ÜberblickOneFS organisiert verschiedene Node-Typen in separaten Node-Pools. Darüber hinaus können Sie diese Node-Pools in logische Storage Tiers organisieren. Durch die Aktivierung einer SmartPools-Lizenz können Sie Dateipool-Policies erstellen, auf deren Grundlage Dateien automatisch in diesen Tiers gespeichert werden, basierend auf mit Dateien übereinstimmenden Kriterien, die Sie angeben.

Ohne aktive SmartPools-Lizenz managt OneFS alle Node-Pools als einen einzigen Speicherpool. File-basierte Daten und Metadaten werden über das gesamte Cluster verteilt, damit die Daten geschützt, sicher und einfach zugänglich sind. Alle Dateien gehören zum Standarddateipool und werden von der Standard-Policy für Dateipools gesteuert. In diesem Modus bietet OneFS Funktionen wie automatisches Provisioning, Kompatibilitäten, Virtual Hot Spare (VHS), SSD-Strategien, Global Namespace Acceleration (GNA), L3-Cache und Storage Tiers.

Bei Aktivierung einer SmartPools-Lizenz werden zusätzliche Funktionen wie benutzerspezifische Dateipool-Policies und Überlaufmanagement verfügbar. Mit einer SmartPools-Lizenz können Sie Ihr Dataset unter größerer Feinabstimmung managen, um die Performance des Clusters zu verbessern.

In der folgenden Tabelle sind die Speicherpoolfunktionen basierend darauf zusammengefasst, ob eine SmartPools-Lizenz aktiv ist.

Funktion Inaktive SmartPools-Lizenz Aktive SmartPools-Lizenz

Automatisiertes Speicherpool-Provisioning Ja Ja

Node-Klassenkompatibilitäten (Node-Äquivalenz)

Ja Ja

SSD-Kapazitätskompatibilitäten Ja Ja

SSD-Zählerkompatibilitäten Ja Ja

Virtuelle Hot Spares Ja Ja

SSD-Strategien Ja Ja

23

320 Speicherpools

Funktion Inaktive SmartPools-Lizenz Aktive SmartPools-Lizenz

L3-Cache Ja Ja

Tiers Ja Ja

GNA Ja Ja

Dateipool-Policies Nein Ja

Überlaufmanagement Nein Ja

SpeicherpoolfunktionenWenn ein Cluster installiert wird und dem Cluster Nodes hinzugefügt werden, gruppiert OneFS Nodes automatisch in Node-Pools. Das automatische Provisioning von Nodes in Node-Pools ermöglicht OneFS, die Performance, Zuverlässigkeit und Datensicherheit im Cluster zu optimieren.

Ohne eine aktive SmartPools-Lizenz wendet OneFS eine standardmäßige Dateipool-Policy an, um alle Daten in einem einzigen Dateipool zu organisieren. Mit dieser Policy verteilt OneFS Daten im gesamten Cluster, sodass die Daten geschützt sind und problemlos auf sie zugegriffen werden kann. Wenn Sie eine SmartPools-Lizenz aktivieren, werden zusätzliche Funktionen verfügbar.

OneFS bietet folgende Funktionen mit aktiver oder ohne aktive SmartPools-Lizenz:

Auto-Provisioning von Node-Pools

Gruppiert Nodes derselben Äquivalenzklasse automatisch in Node-Pools für eine optimale Speichereffizienz und optimalen Schutz. Es sind mindestens drei Nodes einer Äquivalenzklasse erforderlich, damit das automatische Provisioning funktioniert.

Node-Klassenkompatibilitäten (Node-Äquivalenz)

Ermöglicht bestimmten Nodes, die nicht derselben Äquivalenzklasse angehören, vorhandenen Node-Pools beizutreten. OneFS unterstützt Node-Klassenkompatibilitäten zwischen Isilon S200- und S210-Nodes, X200- und X210-Nodes, X400- und X410-Nodes sowie NL400- und NL410-Nodes. Der L3-Cache muss in den Node-Pools aktiviert sein, damit die Node-Klassenkompatibilitäten funktionieren.

SSD-Kapazitätskompatibilitäten

Ermöglicht die Bereitstellung von Nodes mit unterschiedlichen SSD-Kapazitäten für einen vorhandenen kompatiblen Node-Pool. Anderenfalls können Nodes mit unterschiedlichen SSD-Kapazitäten nicht demselben Node-Pool beitreten. Wenn Sie weniger als drei Nodes mit unterschiedlichen SSD-Kapazitäten haben, werden diese Nodes nicht bereitgestellt und sind damit nicht funktionsfähig. Der L3-Cache muss in den Node-Pools aktiviert sein, damit die SSD-Kapazitätskompatibilitäten funktionieren.

SSD-Zählerkompatibilitäten

Zum Bereitstellen von Nodes mit einer unterschiedlichen Anzahl von SSDs im selben Node-Pool. Anderenfalls können Nodes mit einer unterschiedlichen SSD-Anzahl nicht demselben Node-Pool beitreten. Wenn Sie weniger als drei Nodes mit einer bestimmten Anzahl von SSDs haben, werden diese Nodes nicht bereitgestellt und sind somit erst dann funktionsfähig, wenn Sie eine SSD-Zählerkompatibilität erstellen. Der L3-Cache muss in den Node-Pools aktiviert sein, damit die SSD-Zählerkompatibilitäten funktionieren.

Tiers Gruppiert Node-Pools in logische Storage Tiers. Wenn Sie eine SmartPools-Lizenz für diese Funktion aktivieren, können Sie benutzerdefinierte Dateipool-Policies erstellen und verschiedene Dateipools zu den entsprechenden Storage Tiers leiten.

Standardmäßige Dateipool-Policy

Steuert alle Dateitypen und kann Dateien überall im Cluster speichern. Benutzerdefinierte Dateipool-Policies, die eine SmartPools-Lizenz erfordern, haben Vorrang vor der standardmäßigen Dateipool-Policy.

Requested protection

Gibt eine erforderliche Schutzeinstellung für den Standarddateipool pro Node-Pool oder sogar für einzelne Dateien an. Sie können die Standardeinstellung beibehalten oder den vorgeschlagenen Schutz auswählen, der durch OneFS berechnet wird, um eine optimale Datensicherheit zu ermöglichen.

Virtuelle Hot Spares

Reservieren Sie einen Teil des verfügbaren Speicherplatzes für Datenreparaturen bei einem Festplattenausfall.

SSD-Strategien Definiert den Datentyp, der auf SSDs im Cluster gespeichert wird. Sie können beispielsweise Metadaten für die Lese-/Schreibbeschleunigung speichern.

L3-Cache Gibt an, dass SSDs in Nodes verwendet werden, um den Cachespeicher zu erhöhen und die Performance des Dateisystems bei größeren Arbeitsdateisätzen zu beschleunigen.

Global Namespace Acceleration

Aktiviert GNA (Global Namespace Acceleration, Beschleunigung des globalen Namespace), welche Daten, die auf Node-Pools ohne SSDs gespeichert sind, den Zugriff auf SSDs an anderer Stelle im Cluster ermöglicht, um zusätzliche Metadatenspiegelungen zu speichern. Zusätzliche Metadatenspiegelungen beschleunigen die Lesevorgänge von Metadaten.

Wenn Sie eine SmartPools-Lizenz aktivieren, stellt OneFS die folgenden zusätzlichen Funktionen bereit:

Speicherpools 321

Benutzerdefinierte Dateipool-Policies

Erstellt benutzerdefinierte Dateipool-Policies, um verschiedene Klassen von Dateien zu identifizieren, und speichert diese Dateipools in logischen Storage Tiers. Sie können beispielsweise einen Tier mit hoher Performance mit Node-Pools der Isilon S-Serie und einen Archivierungs-Tier mit hoher Kapazität mit Node-Pools der Isilon NL400- und HD400-Serien definieren. Anschließend können Sie mit benutzerdefinierten Dateipool-Policies auf der Grundlage übereinstimmender Kriterien Dateipools ermitteln und Aktionen definieren, die für diese Pools durchzuführen sind. Beispielsweise kann eine Dateipool-Policy alle JPEG-Dateien ermitteln, die älter als ein Jahr sind, und diese in einem Archivierungs-Tier speichern. Eine weitere Policy kann alle Dateien, die innerhalb der letzten drei Monate erstellt oder geändert wurden, auf einen Performance-Tier verschieben.

Storage pool spillover

Ermöglicht automatisiertes Kapazitätsüberlaufmanagement für Speicherpools. Spillover definiert, wie Schreibvorgänge verarbeitet werden, wenn ein Speicherpool nicht schreibfähig ist. Wenn Spillover aktiviert ist, werden die Daten zu einem bestimmten Speicherpool umgeleitet. Wenn der Überlauf deaktiviert ist, schlagen neue Datenschreibvorgänge fehl und dem Client, der den Schreibvorgang versucht, wird eine Fehlermeldung gesendet.

Automatisiertes ProvisioningWenn Sie einem Isilon-Cluster einen Node hinzufügen, versucht OneFS, diesen Node einem Node-Pool zuzuweisen. Dieser Prozess wird als automatisches Provisioning bezeichnet und trägt dazu bei, dass OneFS eine optimale Performance, Lastenausgleich und Dateisystemintegrität über ein Cluster hinweg bereitstellen kann.

Ein Node wird erst automatisch für einen Node-Pool bereitgestellt und beschreibbar, wenn mindestens drei Nodes derselben Äquivalenzklasse zum Cluster hinzugefügt wurden. Wenn Sie nur zwei Nodes einer Äquivalenzklasse hinzufügen, werden solange keine Daten auf diesen Nodes gespeichert, bis ein dritter Node derselben Äquivalenzklasse hinzugefügt wird.

Wenn ein Node ausfällt oder aus dem Cluster entfernt wird, sodass weniger als drei Nodes in einer Äquivalenzklasse verbleiben, hat der Node-Pool eine zu geringe Kapazität. In diesem Fall sind die beiden verbleibenden Nodes weiterhin beschreibbar. Wenn jedoch nur ein Node einer Äquivalenzklasse verbleibt, kann dieser Node nicht beschrieben, aber gelesen werden.

Wenn Sie im Lauf der Zeit Ihrem Cluster neue Isilon-Nodes hinzufügen, unterscheiden sich die neuen Nodes wahrscheinlich auf bestimmte Weise von den älteren Nodes. Beispielsweise gehören die neuen Nodes vielleicht einer anderen Generation an oder haben unterschiedliche Laufwerkskonfigurationen. Wenn Sie nicht bei jedem Upgrade drei neue Nodes derselben Äquivalenzklasse hinzufügen, werden die neuen Nodes nicht automatisch bereitgestellt.

Um diese Einschränkungen zu umgehen, können Sie in OneFS drei Arten von Kompatibilitäten erstellen: Node-Klasse, SSD-Kapazität und SSD-Zähler. Wenn die entsprechenden Kompatibilitäten vorhanden sind, können neue Node-Typen in vorhandenen Node-Pools bereitgestellt werden. Sie können Ihrem Cluster einen Node nach dem anderen hinzufügen und die neuen Nodes werden innerhalb des vorhandenen Node-Pools zu voll funktionsfähigen Peers.

Angenommen, der Node-Pool eines Clusters besteht aus drei S200-Nodes und Sie erwerben einen S210-Node. Der S210-Node gehört nicht nur einer anderen Node-Generation an, sondern hat möglicherweise auch eine unterschiedliche Anzahl von SSDs mit unterschiedlicher Kapazität. Mithilfe der entsprechenden Kompatibilitäten kann der neue S210-Node im S200-Node-Pool bereitgestellt werden.

Node-PoolsEin Node-Pool ist eine Gruppe von mindestens drei Isilon-Nodes, die einen einzelnen Speicherpool bilden. Während Sie Nodes zu Ihrem Isilon-Cluster hinzufügen, versucht OneFS, die neuen Nodes automatisch in Node-Pools bereitzustellen.

Für das automatische Provisioning eines Node erfordert OneFS, dass der neue Node derselben Äquivalenzklasse wie die anderen Nodes im Node-Pool entspricht. OneFS verwendet die folgenden Kriterien, um zu bestimmen, ob der neue Node derselben Äquivalenzklasse entspricht:

• Produktreihencode• Gehäusecode• Generationscode• Laufwerkskonfiguration• RAM-Kapazität

Wenn der neue Node alle Kriterien erfüllt, stellt OneFS den neuen Node im Node-Pool bereit. Alle Nodes in einem Node-Pool sind Peers und die Daten werden auf alle Nodes im Pool verteilt. Jeder bereitgestellte Node erhöht die aggregierte Festplatten-, Cache-, CPU- und Netzwerkkapazität des Clusters.

Wir empfehlen dringend, OneFS die Verarbeitung des Node Provisioning zu überlassen. Wenn Sie jedoch spezielle Anforderungen oder Anwendungsbeispiele haben, können Sie Nodes von einem automatisch bereitgestellten Node-Pool in einen Node-Pool verschieben, den Sie manuell definieren. Die Funktion für die Erstellung manuell definierter Node-Pools ist nur über die OneFS-Befehlszeilenoberfläche verfügbar und sollte nur nach Beratung mit dem Isilon Technical Support bereitgestellt werden.

322 Speicherpools

Wenn Sie versuchen, Nodes aus einem Node-Pool zu entfernen, um sie einem manuell definierten Node-Pool hinzuzufügen, und anschließend weniger als drei Nodes im ursprünglichen Node-Pool verbleiben würden, schlägt der Vorgang fehl. Wenn Sie einen Node aus einem manuell definierten Node-Pool entfernen, versucht OneFS, den Node automatisch wieder in einem Node-Pool derselben Äquivalenzklasse bereitzustellen.

Wenn Sie weniger als drei Nodes einer Äquivalenzklasse zu Ihrem Cluster hinzufügen, kann OneFS kein automatisches Provisioning für diese Nodes vornehmen. In diesen Fällen können Sie oft eine oder mehrere Kompatibilitäten erstellen, damit OneFS die neu hinzugefügten Nodes für einen kompatiblen Node-Pool bereitstellen kann.

Die Kompatibilitätstypen umfassen Node-Klasse, SSD-Kapazität und SSD-Anzahl.

Node-KlassenkompatibilitätenFür das automatische Provisioning muss ein Node dieselbe Äquivalenzklasse wie die anderen Nodes im Node-Pool haben. Wenn ein neuer Node nicht dieselbe Äquivalenzklasse hat, können Sie das Provisioning des Node für einen vorhandenen Node-Pool oft ermöglichen, indem Sie eine Node-Klassenkompatibilität definieren.

ANMERKUNG: Bei Isilon Infinity-Modellen ist keine Klassenkompatibilität mit anderen Node-Typen möglich.

Wenn Sie über vorhandene S200-, X200-, X400- oder NL400-Node-Pools verfügen und weniger als drei Isilon S210-, X210-, X410- oder NL410-Nodes hinzufügen, können Sie Node-Klassenkompatibilitäten erstellen, um die neuen Nodes bereitzustellen und ihre Funktion im Cluster sicherzustellen. Derzeit sind nur S210-, X210-, X410- und NL410-Nodes für die Node-Klassenkompatibilität mit älteren Node-Generationen berechtigt.

Damit die neuen Nodes bereitgestellt werden können, müssen sie über dieselben Laufwerkskonfigurationen wie ihre Gegenstücke der älteren Generation und über kompatible RAM-Mengen verfügen, wie in der folgenden Tabelle dargestellt:

S200/S210-Kompatibilität X200/X210-Kompatibilität X400/X410-Kompatibilität NL400/NL410-Kompatibilität

S200-RAM S210-RAM X200-RAM X210-RAM X400-RAM X410-RAM NL400-RAM NL410-RAM

24 GB 32 GB 6 GB Nicht verfügbar

24 GB 32 GB 12 GB Nicht verfügbar

48 GB 64 GB 12 GB 48 GB 64 GB 24 GB 24 GB

96 GB 128 GB 24 GB 24 GB 96 GB 128 GB 48 GB 48 GB

256 GB 48 GB 48 GB 192 GB 256 GB – –

Wenn die neuen Nodes unterschiedliche Laufwerkskonfigurationen haben, da ihre SSDs über unterschiedliche Kapazitäten verfügen oder sich die Anzahl der SSDs unterscheidet, müssen Sie zusätzlich zu den Node-Klassenkompatibilitäten auch Kompatibilität für die SSD-Kapazität oder die SSD-Anzahl schaffen.

ANMERKUNG: Nachdem Sie drei oder mehr Nodes der neueren Generation mit einer bestimmten Äquivalenz zu Ihrem

Cluster hinzugefügt haben, wird empfohlen, die von Ihnen erstellten Node-Klassenkompatibilitäten zu entfernen.

Hierdurch kann OneFS neue S210-, X210-, X410- oder NL410-Nodes automatisch für die jeweiligen Node-Pools

bereitstellen und von den höheren Performancespezifikationen der neuen Node-Typen profitieren. Da Daten aber

effizienter in größeren Node-Pools gespeichert werden, kann sich durch das Entfernen von Kompatibilitäten auch die

Menge des verfügbaren Speichers auf Ihrem Cluster reduzieren. Wenn Sie sich nicht sicher sind, ob Kompatibilitäten zu

entfernen sind, sollten Sie sich zunächst an den Isilon Technical Support wenden.

SSD-KompatibilitätenOneFS kann neue Nodes nicht automatisch bereitstellen, wenn diese über andere SSD-Kapazitäten oder eine andere SSD-Anzahl als die Nodes im Node-Pool verfügen. Sie können eine SSD-Kompatibilität erstellen, damit neue Nodes mit anderen SSD-Kapazitäten oder mit einer anderen Anzahl einem kompatiblen Node-Pool beitreten können.

Wenn Ihr Cluster beispielsweise bereits über einen S200-Node-Pool verfügt und Sie einen neuen S200-Node hinzufügen, würde OneFS versuchen, den neuen Node automatisch für den S200-Node-Pool bereitzustellen. Wenn der neue S200-Node jedoch über SSDs mit einer höheren Kapazität als die älteren S200-Nodes oder über eine andere Anzahl an SSDs verfügt, kann OneFS den neuen Node nicht automatisch bereitstellen. Damit der neue Node automatisch bereitgestellt werden kann, können Sie SSD-Kompatibilitäten für den S200-Node-Typ erstellen.

Wie bei Node-Klassenkompatibilitäten erfordern SSD-Kompatibilitäten, dass die Nodes kompatibel sind, wie in der folgenden Tabelle gezeigt:

Speicherpools 323

Vorhandener Node-Pool SSD-Kompatibilitäten, die erstellt werden können

S200 S200, S210*

X200 X200, X210*

X400 X400, X410*

NL400 NL400, NL410*

S210 S210, S200*

X210 X210, X210*

X410 X410, X410*

NL410 NL410, NL400*

Generation 6-F800 All-Flash-System, SSD-Kompatibilität nicht unterstützt

Generation 6-H600 Gen 6-H600



Generation 6-A2000 Gen 6-A2000

Generation 6-A200 Gen 6-A200

* Erfordert außerdem eine Node-Klassenkompatibilität mit der vorhandenen Node-Poolklasse.

ANMERKUNG: Damit SSD-Kompatibilitäten erstellt werden können, muss auf allen Nodes der L3-Cache aktiviert sein.

Wenn Sie versuchen, eine Kompatibilität der Node-Klasse und die entsprechenden SSD-Kompatibilitäten zu erstellen

und der Prozess mit einer Fehlermeldung fehlschlägt, überprüfen Sie, ob der L3-Cache für den vorhandenen Node-Pool

aktiviert ist. Versuchen Sie dann erneut, die Kompatibilität zu erstellen. Der L3-Cache kann nur auf Nodes aktiviert

werden, die weniger als 16 SSDs haben und bei denen HDDs und SDDs in einem Verhältnis von mindestens 2:1

zueinander stehen. Auf Infinity-Modellen, die SSD-Kompatibilität unterstützen, wird die Anzahl der SSDs ignoriert.

Wenn SSDs zum Speichern verwendet werden, muss die Anzahl der SSDs auf allen Nodes in einem Node-Pool identisch

sein. Wenn die Anzahl der SSDs nicht ausgeglichen ist, beeinträchtigt dies die Effizienz und Performance des Node-

Pools.

Manuelle Node-PoolsWenn die Node-Pools, die automatisch von OneFS bereitgestellt werden, Ihre Anforderungen nicht erfüllen, können Sie Node-Pools manuell konfigurieren. Verschieben Sie hierfür Nodes aus einem vorhandenen Node-Pool in manuelle Node-Pools.

Mit dieser Funktion können Sie Daten auf bestimmten Nodes gemäß Ihren Zwecken speichern. Sie ist nur über die OneFS-Befehlszeilenschnittstelle verfügbar.

VORSICHT: Es wird empfohlen, dass Sie OneFS ermöglichen, Nodes automatisch bereitzustellen. Manuell erstellte

Node-Pools bieten möglicherweise nicht die gleiche Performance und Effizienz wie automatisch gemanagte Node-

Pools, insbesondere, wenn Ihre Änderungen dazu führen, dass im manuellen Node-Pool weniger als 20 Nodes vorhanden

sind.

Virtuelle Hot SparesMit den Einstellungen für virtuelle Hot Spares (VHS) können Sie Festplattenspeicherplatz reservieren, um die Daten bei einem Laufwerkausfall erneut aufbauen zu können.

Sie können sowohl eine Anzahl virtueller Laufwerke als auch einen Prozentsatz des Gesamtspeicherplatzes für die Reservierung angeben. Wenn Sie beispielsweise zwei virtuelle Laufwerke und 15 Prozent festlegen, reserviert jeder Node-Pool virtuellen Laufwerkspeicherplatz, der zwei Laufwerken oder 15 Prozent der Gesamtkapazität entspricht (je nachdem, welcher Wert größer ist).

Sie können Speicherplatz in Node-Pools über das Cluster hinweg für diesen Zweck reservieren, indem Sie die folgenden Optionen angeben:

• Mindestens 1 bis 4 virtuelle Laufwerke• Mindestens 0 bis 20 % des Gesamtspeichers

324 Speicherpools

OneFS berechnet die größere Zahl der beiden Faktoren, um den zuzuweisenden Speicherplatz zu bestimmen. Achten Sie bei der Konfiguration von VHS-Einstellungen darauf, die folgenden Informationen zu berücksichtigen:

• Wenn Sie die Option Ignore reserved space when calculating available free space deaktivieren (Standardeinstellung), beinhalten die Berechnungen des freien Speicherplatzes den für VHS reservierten Speicherplatz.

• Wenn Sie die Option Deny data writes to reserved disk space deaktivieren (Standardeinstellung), kann OneFS VHS für normale Datenschreibvorgänge verwenden. Wir empfehlen, die Aktivierung dieser Option beizubehalten, da ansonsten die Datenreparatur beeinträchtigt werden kann.

• Wenn Ignore reserved space when calculating available free space aktiviert ist, während Deny data writes to reserved disk space deaktiviert ist, kann das Dateisystem eine Auslastung von mehr als 100 Prozent melden.

ANMERKUNG: VHS-Einstellungen wirken sich auf den Überlauf aus. Wenn die VHS-Option Deny data writes to reserved

disk space aktiviert ist, während Ignore reserved space when calculating available free space deaktiviert ist, wird ein

Überlauf durchgeführt, bevor das Dateisystem eine Auslastung von 100 % meldet.

SpilloverWenn Sie eine SmartPools-Lizenz aktivieren, können Sie einen Node-Pool oder einen Tier für die Aufnahme von Überlaufdaten festlegen, wenn die in einer Dateipool-Policy angegebene Hardware voll oder aus anderen Gründen nicht beschreibbar ist.

Wenn Sie keinen Datenüberlauf an einen anderen Speicherort wünschen, da der angegebene Node-Pool oder Tier voll oder nicht beschreibbar ist, können Sie diese Funktion deaktivieren.

ANMERKUNG: Virtuelle Hot-Spare-Reservierungen wirken sich auf das Spillover aus. Wenn die Einstellung Deny data

writes to reserved disk space aktiviert ist, während Ignore reserved space when calculating available free space

deaktiviert ist, wird ein Überlauf durchgeführt, bevor das Dateisystem eine Auslastung von 100 % meldet.

Vorgeschlagener SchutzJe nach Konfiguration des Isilon-Clusters berechnet OneFS automatisch den Schutzumfang, der empfohlen wird, um die anspruchsvollen Data-Protection-Anforderungen von Dell EMC Isilon zu erfüllen.

OneFS enthält eine Funktion zur Berechnung des vorgeschlagenen Schutzes, sodass die Daten eine theoretische durchschnittliche Zeit bis zum Datenverlust (MTTDL) von 5.000 Jahren haben. Vorgeschlagener Schutz ermöglicht das optimale Verhältnis zwischen Datensicherheit und Speichereffizienz im Cluster.

Indem Sie Dateipool-Policies konfigurieren, können Sie ein oder mehrere erforderliche Schutzeinstellungen für eine einzelne Datei, für Untergruppen von Dateien namens Dateipools oder für alle Dateien im Cluster angeben.

Es wird empfohlen, dass Sie keine Einstellung angeben, die unterhalb des vorgeschlagenen Schutzes liegt. OneFS prüft regelmäßig das Sicherheitslevel im Cluster und benachrichtigt Sie, wenn Daten den empfohlenen Schutz unterschreiten.

Schutz-PoliciesOneFS bietet mehrere Schutz-Policies zur Auswahl, wenn eine Datei geschützt oder eine Dateipool-Policy angegeben werden soll.

Je mehr Nodes Sie im Cluster haben (bis zu 20 Nodes), desto effizienter kann OneFS Daten speichern und schützen und desto höhere Level des angeforderten Schutzes kann das Betriebssystem erreichen. Je nach der Konfiguration des Clusters und der Menge der gespeicherten Daten erreicht OneFS u. U. nicht das Sicherheitslevel, das Sie benötigen. Wenn Sie beispielsweise ein aus drei Nodes bestehendes Cluster haben, das sich der Kapazitätsgrenze nähert, und Sie +2n-Schutz benötigen, kann OneFS u. U. die erforderliche Sicherheit nicht bieten.

In der nachstehenden Tabelle werden die verfügbaren Schutz-Policies in OneFS beschrieben.

Schutz-Policy Zusammenfassung

+1n Toleriert den Ausfall von 1 Laufwerk oder 1 Node

+2d:1n Toleriert den Ausfall von 2 Laufwerken oder 1 Node

+2n Toleriert den Ausfall von 2 Laufwerken oder 2 Nodes


+3d:1n1d Toleriert den Ausfall von 3 Laufwerken oder 1 Node und 1 Laufwerk


Speicherpools 325

Schutz-Policy Zusammenfassung


+4d:2n Toleriert den Ausfall von 4 Laufwerken oder 2 Nodes


Spiegelung:

2 x

3 x

4 x

5 x

6 x

7 x

8 x

Duplikate oder Spiegelungen, Daten auf der angegebenen Anzahl von Nodes. Bei 2x werden beispielsweise zwei Kopien jedes Datenblocks erstellt.

ANMERKUNG: Spiegelungen können mehr Daten verwenden als die anderen Schutz-Policies, sind aber möglicherweise eine effektive Möglichkeit, Dateien zu schützen, die nicht sequenziell geschrieben werden, oder schnelleren Zugriff auf wichtige Dateien zu bieten.

SSD-StrategienOneFS-Cluster können Nodes enthalten, die Solid-State-Laufwerke (SSDs) umfassen. OneFS stellt Nodes derselben Äquivalenzklasse mit SSDs automatisch in einem oder mehreren Node-Pools bereit. Die die in der standardmäßigen Dateipool-Policy definierte SSD-Strategie ermittelt, wie SSDs innerhalb des Clusters verwendet werden, und kann zur Steigerung der Performance bei einer Vielzahl von Workflows festgelegt werden.

Sie können Dateipool-Policies konfigurieren, um spezifische SSD-Strategien nach Bedarf anzuwenden. Wenn Sie während der Erstellung einer Dateipool-Policy SSD-Optionen auswählen, können Sie die Dateien im OneFS-Cluster identifizieren, die eine schnellere oder langsamere Performance erfordern. Wenn der SmartPool-Job ausgeführt wird, verschiebt OneFS anhand der Dateipool-Policies diese Daten in den entsprechenden Speicherpool und Laufwerkstyp.

Die folgenden SSD-Strategieoptionen, die Sie in einer Dateipool-Policy festlegen können, werden in der Reihenfolge von der langsamsten bis zur schnellsten Lösung aufgeführt:

Avoid SSDs Alle zugehörigen File-basierten Daten und Metadaten werden nur auf HDDs geschrieben.VORSICHT: Verwenden Sie diese Option zur Freigabe von SSD-Speicherplatz nur nach

Rücksprache mit dem technischen Isilon-Support. Die Verwendung dieser Strategie kann sich

negativ auf die Performance auswirken.

Metadata read acceleration

File-basierte Daten und Metadaten werden auf HDDs geschrieben. Dies ist die Standardeinstellung. Eine zusätzliche Spiegelung der File-basierten Metadaten wird auf SSDs geschrieben, falls verfügbar. Die zusätzliche SSD-Spiegelung ist in der Anzahl der Spiegelungen (falls erforderlich) enthalten, die zur Erfüllung des angeforderten Schutzes erforderlich ist.

Metadata read/write acceleration

File-basierte Daten werden auf HDDs und Metadaten auf SSDs geschrieben, falls verfügbar. Diese Strategie beschleunigt zusätzlich zu den Lesevorgängen auch die Schreibvorgänge von Metadaten, erfordert jedoch etwa vier- bis fünfmal mehr SSD-Speicherplatz als die Einstellung Metadata read acceleration. Die Aktivierung von GNA wirkt sich nicht auf die Beschleunigung von Lese-/Schreibvorgängen aus.

Data on SSDs SSD-Node-Pools werden sowohl für Daten als auch für Metadaten verwendet, unabhängig davon, ob GNA aktiviert ist. Mit dieser SSD-Strategie werden keine zusätzlichen Spiegelungen erstellt, die über den angeforderten Schutz hinausgehen. Im Vergleich mit den anderen SSD-Strategieoptionen sind jedoch erheblich mehr Speicheranforderungen erforderlich.

Andere Einstellungen für die SSD-SpiegelungOneFS erstellt mehrere Spiegelungen für Dateisystemstrukturen und speichert standardmäßig eine Spiegelung für jede Struktur auf SSD. Sie können festlegen, dass alle Spiegelungen für diese Dateisystemstrukturen auf SSD gespeichert werden.

OneFS erstellt Spiegelungen für die folgenden Dateisystemstrukturen:

• System-B-Struktur• Systemdelta• QAB (Quota Accounting Block)

326 Speicherpools

OneFS erstellt für jede Struktur mehrere Spiegelungen im Dateisystem und speichert mindestens eine Spiegelung auf einer SSD. Da SSDs schnellere I/O-Vorgänge als HDDs ermöglichen, kann OneFS schneller suchen und ggf. auf eine Spiegelung für jede Struktur zugreifen.

Alternativ können Sie angeben, dass alle Spiegelungen, die für diese Dateisystemstrukturen erstellt wurden, auf SSDs gespeichert werden.

ANMERKUNG: Die Möglichkeit, die Standardeinstellungen für Spiegelungen für eine System-B-Struktur, für das

Systemdelta und für QAB zu ändern, besteht nur in der OneFS-CLI, insbesondere beim isi storagepool settings-

Befehl.

Global Namespace AccelerationMit der Global Namespace Acceleration (GNA) können Daten in Node-Pools ohne SSDs zusätzliche Metadatenspiegelungen auf SSDs an anderen Orten im Cluster haben. Metadatenspiegelungen auf SSDs können die Dateisystemperformance verbessern, indem sie die Lesevorgänge der Metadaten beschleunigen.

Sie können GNA nur aktivieren, wenn mindestens 20 Prozent der Nodes im Cluster mindestens ein SSD enthalten und mindestens 1,5 Prozent des Gesamtclusterspeichers SSD-basiert ist. Um optimale Ergebnisse zu erzielen, stellen Sie vor der Aktivierung von GNA sicher, dass mindestens 2 Prozent des Gesamtclusterspeichers SSD-basiert sind.

Selbst bei aktivierter GNA wird diese inaktiv, wenn das Verhältnis zwischen SSDs und HDDs unter den Schwellenwert von 1,5 Prozent oder der Prozentsatz von Nodes mit mindestens einem SSD unter 20 Prozent fällt. GNA wird erneut aktiviert, wenn diese Anforderungen wieder erfüllt werden. Während GNA in solchen Fällen inaktiv ist, sind bereits vorhandene SSD-Spiegelungen weiterhin lesbar, neu geschriebene Metadaten erhalten jedoch keine zusätzliche SSD-Spiegelung.

ANMERKUNG: Node-Pools mit aktiviertem L3-Cache sind für GNA-Zwecke effektiv unsichtbar. Alle

Verhältnisberechnungen für GNA erfolgen ausschließlich für Node-Pools ohne aktivierten L3-Cache. Wenn Sie

beispielsweise sechs Node-Pools in Ihrem Cluster haben und auf drei dieser Pools der L3-Cache aktiviert ist, wird GNA

nur auf die drei verbleibenden Node-Pools ohne aktivierten L3-Cache angewendet. Auf Node-Pools mit aktiviertem L3-

Cache benötigen Metadaten keine zusätzliche GNA-Spiegelung, da der Metadatenzugriff bereits durch den L3-Cache

beschleunigt ist.

Übersicht über den L3-CacheSie können Nodes mit SSDs (Solid-State-Laufwerken) so konfigurieren, dass der Cachearbeitsspeicher erhöht und die Performance des Dateisystems über größere Arbeitsdateisätze beschleunigt werden.

Dateidaten und Metadaten werden von OneFS auf mehreren Ebenen zwischengespeichert. In der folgenden Tabelle werden die auf einem Isilon-Cluster verfügbaren Cachetypen für das Dateisystem beschrieben.

Name Typ Profil Umfang Beschreibung

L1-Cache RAM Flüchtig Lokaler Node Wird auch als Front-end-Cache bezeichnet. Der L1-Cache speichert Kopien der Metadaten des Dateisystems und der Daten, die vom Front-end-Netzwerk über NFS, SMB, HTTP usw. angefordert werden.

L2-Cache RAM Flüchtig Global Wird auch als Back-end-Cache bezeichnet. Der L2-Cache speichert Kopien der Metadaten des Dateisystems und der Daten auf dem Node, der Eigentümer der Daten ist.

SmartCache Variable Nicht flüchtig

Lokaler Node Speichert alle ausstehenden Änderungen an den Front-end-Dateien, die in den Speicher geschrieben werden sollen Diese Art von Cache schützt Write-Back-Daten mit einer Kombination aus RAM und stabilem Speicher.

L3-Cache SSD Nicht flüchtig

Global Speichert die File-basierten und Metadaten, die vom L2-Cache freigegeben wurden, und erhöht effektiv die Kapazität des L2-Caches

Häufig verwendete Datei- und Metadaten werden von OneFS im verfügbaren Random Access Memory (RAM) zwischengespeichert. Durch das Caching kann OneFS die Datensicherheit und die Performance des Dateisystems optimieren. Wenn der RAM-Cache die Kapazitätsgrenze erreicht, verwirft OneFS in der Regel die ältesten Daten und verarbeitet neue Datenanforderungen durch Zugriff auf die Speicherlaufwerke. Dieser Zyklus wird jedes Mal wiederholt, wenn der RAM-Cache voll ist.

Speicherpools 327

Sie können SSDs als L3-Cache bereitstellen, um das Cachezyklusproblem zu reduzieren und die Performance des Dateisystems weiter zu verbessern. L3-Cache verbessert den verfügbaren Cachespeicher erheblich und ermöglicht einen schnelleren Zugriff auf Daten als HDDs (Festplattenlaufwerke).

Wenn L2-Cache seine Kapazitätsgrenze erreicht, bewertet OneFS die freizugebenden Daten und verschiebt sie abhängig von Ihrem Workflow in den L3-Cache. Auf diese Weise werden die am häufigsten aufgerufenen Daten im Cache gespeichert und die Gesamtperformance des Dateisystems verbessert.

Nehmen wir als Beispiel ein Cluster mit 128 GB RAM. In der Regel variiert der zur Verfügung stehende RAM für den Cache abhängig von anderen aktiven Prozessen. Wenn 50 % des RAM für den Cache verfügbar sind, läge die ungefähre Cachegröße bei ca. 64 GB. Wenn dasselbe Cluster drei Nodes mit jeweils zwei SSDs mit 200 GB hätte, läge die Größe des L3-Caches bei ca. 1,2 TB, die 18-fache Menge des verfügbaren L2-Caches.

L3-Cache ist auf neuen Node-Pools standardmäßig aktiviert. Ein Node-Pool ist eine Gruppe von Nodes mit derselben Äquivalenzklasse oder für die Kompatibilitäten erstellt wurden. L3-Cache wird nur auf die Nodes angewendet, auf denen sich die SSDs befinden. Für den HD400-Node (primär für Archivierungszwecke vorgesehen) ist L3-Cache standardmäßig aktiviert und kann nicht deaktiviert werden. Beim HD400 wird L3-Cache nur für Metadaten verwendet.

Wenn Sie L3-Cache auf einem Node-Pool aktivieren, managt OneFS alle Cachelevel, um optimale Datensicherheit, Verfügbarkeit und Performance bereitzustellen. Außerdem werden die Daten im Falle eines Stromausfalls auf dem L3-Cache aufbewahrt und sind noch verfügbar, nachdem die Stromversorgung wiederhergestellt wurde.

ANMERKUNG: Obwohl L3-Cache auch einige Vorteile für Workflows mit Streaming- und gleichzeitigem Dateizugriff

bereitstellt, sind die größten Vorteile in Workflows mit zufälligem Dateizugriff zu finden.

Migration auf den L3-CacheDer L3-Cache ist standardmäßig auf neuen Nodes aktiviert. Wenn Sie ein Upgrade des Clusters von einer älteren Version (OneFS 7.1.0 oder früher) durchführen, müssen Sie für Node-Speicherpools mit SSDs manuell L3-Cache aktivieren. Wenn Sie L3-Cache aktivieren, migriert OneFS Daten, die auf den SSDs gespeichert sind, auf HDD-Speicherfestplatten und beginnt dann, die SSDs als Cache zu nutzen.

Sie können den L3-Cache als Standard für alle neuen Node-Pools oder manuell für einen bestimmten Node-Pool aktivieren. Dies erfolgt entweder über die Befehlszeile oder die Webverwaltungsoberfläche. L3-Cache kann nur für Node-Speicherpools mit Nodes aktiviert werden, die SSDs enthalten.

Wenn Sie L3-Cache aktivieren, zeigt OneFS die folgende Meldung an:

WARNING: Changes to L3 cache configuration can have a long completion time. If this is a concern, please contact Isilon Technical Support for more information.Sie müssen bestätigen, dass OneFS die Migration fortsetzen soll. Nachdem Sie die Migration bestätigt haben, verarbeitet OneFS die Migration als Hintergrundprozess. Je nach der auf den SSDs gespeicherten Datenmenge kann der Prozess der Migration der Daten von den SSDs auf die Festplatten viel Zeit in Anspruch nehmen.

ANMERKUNG: Sie können den Cluster während der Migration von Daten weiter verwalten.

L3-Cache auf Node-Pools der ArchivierungsklasseEinige Isilon-Nodes sind Einheiten mit hoher Kapazität, die in erster Linie für Archivierungsworkflows entwickelt wurden, bei denen ein größerer Prozentsatz an Datenschreibvorgängen als an Datenlesevorgängen durchgeführt wird. Auf Node-Pools, die aus diesen Nodes der Archivierungsklasse bestehen, werden SSDs für L3-Cache bereitgestellt, wodurch die Geschwindigkeit von Aktivitäten zum Durchlaufen des Dateisystems, wie Verzeichnisabfragen, verbessert wird.

L3-Cache in Kombination mit der ausschließlichen Speicherung von Metadaten auf SSDs bietet die beste Performance für die Archivierung von Daten auf diesen Nodes mit hoher Kapazität. L3-Cache ist, wie in der folgenden Tabelle beschrieben, standardmäßig aktiviert.

Nodes Anmerkungen

NL-Serie Für Node-Pools, die aus Nodes der NL-Serie mit Festplattenlaufwerken (HDD) mit weniger als 4 TB Kapazität bestehen, speichert L3-Cache Daten und Metadaten standardmäßig auf SSDs. Sie können L3-Cache auf Nodes der NL-Serie mit 4-TB- oder kleineren Festplatten deaktivieren. Wir empfehlen jedoch, dass Sie L3-Cache aktiviert lassen, da Node-Pools der NL-Serie in der Regel keine große Anzahl von SSDs aufweisen. Aus Performancesicht überwiegen die Vorteile von L3-Cache die Vorteile der Verwendung von SSDs als Speicherlaufwerke auf diesen Node-Pools.

Für Node-Pools, die aus Nodes der NL-Serie mit Festplatten mit mehr als 4 TB Kapazität bestehen, speichert L3-Cache Metadaten nur auf SSDs und kann nicht deaktiviert werden.

328 Speicherpools

Nodes Anmerkungen

HD-Serie Für alle Node-Pools, die aus Nodes der HD-Serie bestehen, speichert L3-Cache Metadaten nur auf SSDs und kann nicht deaktiviert werden.

Infinity-A-Serie Für alle Node-Pools, die aus Nodes der Infinity-A-Serie bestehen, speichert L3-Cache Metadaten nur auf SSDs und kann nicht deaktiviert werden.

TiersEin Tier ist eine benutzerdefinierte Gruppe von Node-Pools, die Sie als Speicherpool für Dateien festlegen können. Ein Node-Pool kann nur einem Tier angehören.

Sie können Tiers erstellen, um Daten zu einem beliebigen Node-Pool im Tier zuzuweisen. Beispielsweise können Sie eine Gruppe von Node-Pools einem Tier zuweisen, der speziell für die Speicherung von Daten erstellt wird, die hohe Verfügbarkeit und schnellen Zugriff benötigen. In einem System mit drei Tiers kann diese Gruppe als Tier 1 klassifiziert werden. Seltener verwendete oder von weniger Benutzern aufgerufene Daten können als Tier 2 klassifiziert werden. Tier 3 enthält in der Regel Daten, die nur selten genutzt werden und für historische oder behördliche Zwecke archiviert werden können.

Dateipool-PoliciesDateipool-Policies definieren Gruppen von Dateien – Dateipools – und wo und wie diese auf Ihrem Cluster gespeichert werden. Sie können mehrere Dateipool-Policies mit Filterungsregeln konfigurieren, die bestimmte Dateipools sowie die erforderlichen Schutz- und I/O-Optimierungseinstellungen für diese Dateipools ermitteln. Für die Erstellung benutzerspezifischer Dateipool-Policies ist eine aktive SmartPools-Lizenz erforderlich.

Bei der Erstinstallation von OneFS werden alle Dateien in einem einzigen Dateipool platziert, welcher der standardmäßigen Dateipool-Policy unterliegt. Ohne aktive SmartPools-Lizenz können Sie nur die standardmäßige Dateipool-Policy konfigurieren, die alle Dateien steuert und sie an einem beliebigen Ort auf dem Cluster speichert.

Mit einer aktiven SmartPools-Lizenz erweitert OneFS die grundlegenden Speicherfunktionen, indem Sie benutzerspezifische Dateipool-Policies erstellen können, die mehrere Dateipools ermitteln, schützen und steuern. Mit einer angepassten Dateipool-Policy können Sie beispielsweise einen Dateipool auf einem bestimmten Node-Pool oder Tier für schnellen Zugriff oder Archivierungszwecke definieren und speichern.

Wenn Sie eine Dateipool-Policy erstellen, können Sie mit flexiblen Filterungskriterien zeitbasierte Attribute für die Daten angeben, zu denen Dateien zuletzt aufgerufen, geändert oder erstellt wurden. Sie können auch relative Zeitattribute wie 30 Tage vor dem aktuellen Datum definieren. Andere Filterungskriterien beinhalten den Dateityp, den Dateinamen, die Dateigröße und benutzerspezifische Attribute. Die folgenden Beispiele zeigen einige Möglichkeiten, wie Sie Dateipool-Policies konfigurieren können:

• Eine Dateipool-Policy zum Festlegen eines höheren Schutzes für eine bestimmte Gruppe wichtiger Dateien• Eine Dateipool-Policy zum Speichern häufig verwendeter Dateien in einem Node-Pool, der die schnellsten Lese- oder Lese-/

Schreibvorgänge bereitstellt• Eine Dateipool-Policy zum Evaluieren der letzten Zeit, zu der auf Dateien zugegriffen wurde, damit ältere Dateien in einem Node-Pool

gespeichert werden, der sich am besten für behördliche Archivierungszwecke eignet

Wenn der SmartPools-Job ausgeführt wird, normalerweise einmal pro Tag, werden Dateipool-Policies in der Reihenfolge ihrer Priorität verarbeitet. Sie können benutzerspezifische Dateipool-Policies jederzeit bearbeiten, neu anordnen oder entfernen. Die standardmäßige Dateipool-Policy ist jedoch immer die letzte in der Prioritätsreihenfolge. Sie können die standardmäßige Dateipool-Policy bearbeiten, aber nicht neu anordnen oder entfernen. Wenn benutzerspezifische Dateipool-Policies vorhanden sind, gelten die Einstellungen in der standardmäßigen Dateipool-Policy nur für Dateien, die durch keine andere Dateipool-Policy abgedeckt sind.

Wenn eine neue Datei erstellt wird, wählt OneFS einen Speicherpool basierend auf der standardmäßigen Dateipool-Policy oder, falls vorhanden, einer benutzerdefinierten Dateipool-Policy mit höherer Priorität, die der Datei entspricht. Wenn eine neue Datei ursprünglich von der standardmäßigen Dateipool-Policy zugeordnet wurde und Sie später eine benutzerdefinierte Dateipool-Policy erstellen, die der Datei entspricht, wird die Datei durch die neue benutzerdefinierte Policy gesteuert. Folglich könnte die Datei bei der nächsten Ausführung des SmartPools-Jobs in einem anderen Speicherpool platziert werden.

FilePolicy-JobDen FilePolicy-Job können Sie zum Anwenden von Dateipool-Policies verwenden.

Der FilePolicy-Job ergänzt den SmartPools-Job, indem er den Dateisystemindex scannt, den der FSA-Job (File System Analytics) verwendet. Sie können diesen Job verwenden, wenn Sie bereits Snapshots (oder FSA) und Dateipool-Policies verwenden, um Daten auf dem Cluster zu managen. Der FilePolicy-Job ist eine effiziente Methode, um inaktive Daten von den schnellsten Tiers fern zu halten. Der

Speicherpools 329

Scan wird am Index vorgenommen, wofür nicht viele Sperren benötigt werden. Auf diese Weise können Sie die Anzahl der Aufrufe einer Datei, bevor sie auf einen niedrigeren Tier gestuft wird, deutlich reduzieren.

Behalten Sie bestehende Methoden zur Herabstufung von Daten auf niedrigere Tiers bei, wie Dateipool-Policies, die Daten abhängig von ihrem Alter verschieben. Passen Sie die Daten basierend auf dem Füllgrad ihrer Tiers an.

Um ein korrektes Layout und einen angemessenen Schutz des Clusters sicherzustellen, führen Sie den SmartPools-Job aus. Sie können den SmartPools-Job nach dem Ändern des Clusters verwenden, etwa nach dem Hinzufügen oder Entfernen von Nodes. Außerdem können Sie den Job verwenden, wenn Sie die SmartPools-Einstellungen (etwa die standardmäßigen Schutzeinstellungen) ändern möchten und wenn ein Node inaktiv ist.

Um diese Funktion zu verwenden, müssen Sie den FilePolicy-Job täglich planen und den SmartPools-Job mit einer geringeren Häufigkeit ausführen. Sie können den SmartPools-Job nach Ereignissen ausführen, die Einfluss auf die Zugehörigkeit zum Node-Speicherpool haben können.

Beim Ausführen des FilePolicy-Jobs können Sie die folgenden Optionen verwenden:

• --directory-only: Diese Option unterstützt Sie beim Verarbeiten von Verzeichnissen und dient dazu, neu aufgenommene Dateien umzuleiten.

• --policy-only: Mit dieser Option können Sie Policies festlegen. Vermeiden Sie das Durchführen von Restriping.

• --ingest: Diese Option unterstützt Sie beim kombinierten Verwenden von -directory-only und -policy-only.

• --nop: Mit dieser Option können Sie Berechnungen anstellen und Berichte über die vorgenommene Verarbeitung erstellen.

Managen von Node-Pools über die WebverwaltungsschnittstelleSie können Node-Pools über die OneFS-Webverwaltungsschnittstelle managen. Sie müssen über das SmartPools- oder ein höheres Administratorrecht verfügen.

Hinzufügen von Node-Pools zu einem TierSie können verfügbare Node-Pools in Tiers gruppieren.

Ein Node-Pool kann jeweils nur zu einem Tier hinzugefügt werden. Wenn keine Node-Pools als verfügbar aufgelistet werden, gehören sie bereits zu anderen Tiers.

1. Klicken Sie auf File System > Storage Pools > SmartPools.Auf der Seite SmartPools werden zwei Gruppen angezeigt: Tiers & Node Pools und Compatibilities.

2. Klicken Sie im Bereich Tiers & Node Pools neben dem Tier auf View/Edit.

3. Klicken Sie auf der Seite View Tier Details auf Edit Tier.Die Seite Edit Tier Details wird angezeigt.

4. Wählen Sie in der Liste Available Node Pools einen Node-Pool aus und klicken Sie auf Add.Der Node-Pool wird in die Liste Selected Node Pools for this Tier verschoben.

5. Wiederholen Sie Schritt 4 für jeden Node-Pool, den Sie hinzufügen möchten. Wenn alle Node-Pools hinzugefügt wurden, klicken Sie auf Save Changes.Eine Meldung wird angezeigt, in der Sie informiert werden, dass der Vorgang erfolgreich abgeschlossen wurde. Die Seite View Tier Details bleibt geöffnet.

6. Klicken Sie auf Close.Die Gruppe Tiers & Node-Pools zeigt jetzt an, dass die Node-Pools Teil des Tier sind.

Ändern des Namens oder des angeforderten Schutzes eines Node-PoolsSie können den Namen oder den angeforderten Schutz eines Node-Pools ändern.

1. Klicken Sie auf File System > Storage Pools > SmartPools.

2. Klicken Sie in der Gruppe Tiers & Node Pools in der Zeile des Node-Pools, den Sie ändern möchten, auf View/Edit.Die Seite View Node Pools Details wird angezeigt.

3. Klicken Sie auf Edit.Die Seite Edit Node Pools Details wird angezeigt.

330 Speicherpools

4. Geben Sie einen neuen Namen für den Node-Pool ein oder wählen Sie ein neues angefordertes Schutzlevel aus der Liste aus oder führen Sie beides durch.

Ein Node-Poolname darf nur mit einem Buchstaben oder Unterstrich beginnen und ansonsten nur Buchstaben, Zahlen, Bindestriche, Unterstriche oder Punkte enthalten.

5. Klicken Sie auf der Seite Edit Node Pools Details auf Save Changes.

6. Klicken Sie auf der Seite View Node Pools Details auf Close.

Erstellen einer Node-KlassenkompatibilitätOneFS fügt automatisch einen neuen Node derselben Äquivalenzklasse zu einem vorhandenen Node-Pool hinzu. Für neue Nodes, die keiner Äquivalenzklasse entsprechen, können Sie eine Node-Klassenkompatibilität erstellen, um diese Nodes zu einem vorhandenen Node-Pool hinzuzufügen.

Derzeit werden die folgenden Kompatibilitäten unterstützt: S200/S210, X200/X210, X400/X410 und NL400/NL410. Wenn Sie beispielsweise einen Node-Pool haben, der aus drei oder mehr S200-Nodes besteht, können Sie eine Kompatibilität erstellen, damit neue S210-Nodes automatisch zum S200-Node-Pool hinzugefügt werden.

ANMERKUNG: Neue Nodes müssen über ein kompatibles RAM und dieselben Laufwerkskonfigurationen wie ihre älteren

Gegenstücke verfügen, um in den vorhandenen Node-Pools bereitgestellt werden zu können. Wenn die

Laufwerkskonfigurationen aufgrund der SSD-Kapazität oder der SSD-Anzahl nicht identisch sind, können Sie auch SSD-

Kompatibilitäten erstellen.

1. Wählen Sie File System > Storage Pools > SmartPools aus.

Auf der Registerkarte SmartPools werden zwei Listen angezeigt: Tiers & Node Pools und Compatibilities.

2. Klicken Sie auf Create a Compatibility.Im Dialogfeld Create a Compatibility wird eine Drop-down-Liste mit Kompatibilitätstypen angezeigt.

3. Wählen Sie in der Liste Compatibility Type die Option Node Class aus.Zwei zusätzliche Drop-Down-Listen werden hinzugefügt, First Node Class und Second Node Class.

4. Akzeptieren Sie in der Liste First Node Class die aktuelle Auswahl oder treffen Sie eine neue Auswahl.

5. Akzeptieren Sie in der Liste Second Node Class die aktuelle Auswahl oder treffen Sie eine neue Auswahl.

6. Klicken Sie auf Create Compatibility.Das Dialogfeld Confirm Create Compatibility wird mit einem oder mehreren Kontrollkästchen angezeigt, die Sie aktivieren müssen, bevor Sie fortfahren können. Die Kontrollkästchen beschreiben die Ergebnisse des Vorgangs.

7. Aktivieren Sie alle Kontrollkästchen und klicken Sie dann auf Confirm.

Die Node-Klassenkompatibilität wird erstellt und außerdem in der Liste Compatibilities beschrieben. Beispielsweise wird eine Meldung wie „The S200 Node Class is now considered compatible with the S210 Node Class“ angezeigt. Das Ergebnis der neuen Kompatibilität wird in der Liste Tiers & Node Pools angezeigt. Wenn die neuen Nodes kompatibel mit einer Node-Klasse sind, aber nicht bereitgestellt werden, müssen Sie dennoch eine SSD-Kompatibilität für die neuen Nodes erstellen. Wenn der L3-Cache auf dem Node-Zielpool deaktiviert ist, werden die neuen Nodes nicht bereitgestellt und es wird eine Fehlermeldung erzeugt.

Zusammenführen kompatibler Node-PoolsSie können eine Node-Klassenkompatibilität erstellen, um mehrere kompatible Node-Pools zusammenzuführen. Durch größere Node-Pools mit bis zu 20 Nodes kann OneFS Daten effizienter schützen und damit mehr Speicherplatz für neue Daten bereitstellen.

Wenn Sie beispielsweise sechs S200-Nodes in einem Node-Pool und drei S210-Nodes in einem zweiten Node-Pool haben, können Sie eine Kompatibilität erstellen, um die beiden Node-Pools zu einem Pool mit neun Nodes zusammenzuführen.

ANMERKUNG: Da neuere Node-Typen in der Regel eine bessere Performance als ältere Node-Typen haben, kann durch

die Zusammenführung mit älteren Node-Typen die Performance insgesamt reduziert werden. Wenn zwei Node-Pools

zusammengeführt werden, führt OneFS außerdem ein Restriping der Daten durch, was je nach Datenmenge viel Zeit in

Anspruch nehmen kann.




3. Wählen Sie in der Liste Compatibility Type die Option Node Class aus.Zwei zusätzliche Drop-down-Listen werden hinzugefügt, First Node Class und Second Node Class.

4. Akzeptieren Sie in der Liste First Node Class die aktuelle Auswahl oder treffen Sie eine neue Auswahl.

Speicherpools 331

5. Akzeptieren Sie in der Liste Second Node Class die aktuelle Auswahl oder treffen Sie eine neue Auswahl.



Die Node-Klassenkompatibilität wird erstellt und außerdem in der Liste Compatibilities beschrieben. Beispielsweise wird eine Meldung wie „The S200 Node Class is now considered compatible with the S210 Node Class“ angezeigt. Das Ergebnis der neuen Kompatibilität wird in der Liste Tiers & Node Pools angezeigt. Wenn die Kompatibilitätserstellung erfolgreich ist, die Node-Pools aber nicht zusammengeführt werden, müssen Sie wahrscheinlich eine SSD-Kompatibilität zwischen den beiden Node-Pools erstellen. Wenn das Erstellen der Kompatibilität mit einer Fehlermeldung fehlschlägt, ist der L3-Cache auf einem oder beiden der Node-Pools deaktiviert.

Löschen einer Node-KlassenkompatibilitätSie können eine Node-Klassenkompatibilität löschen. Daraufhin werden alle Nodes, die aufgrund dieser Kompatibilität für einen Node-Pool bereitgestellt wurden, aus dem Node-Pool entfernt.

VORSICHT: Das Löschen einer Node-Klassenkompatibilität kann unbeabsichtigte Folgen haben. Wenn Sie beispielsweise

eine Kompatibilität löschen und weniger als drei kompatible Nodes aus dem Node-Pool entfernt werden, werden diese

Nodes aus dem verfügbaren Speicherpool Ihres Clusters entfernt. Bei der nächsten Ausführung des SmartPools-Jobs

würde ein Restriping der Daten auf diesen Nodes an anderer Stelle auf dem Cluster durchgeführt werden, was ein

zeitaufwendiger Prozess sein kann. Wenn drei oder mehr kompatible Nodes aus dem Node-Pool entfernt werden, bilden

diese Nodes ihren eigenen Node-Pool und für die Daten wird ein Restriping durchgeführt. Jede Dateipool-Policy, die auf

den ursprünglichen Node-Pool verweist, verweist jetzt auf den Tier des Node-Pools, falls einer vorhanden ist, oder

andernfalls auf einen neuen, von OneFS erstellten Tier.



2. Klicken Sie in der Liste Compatibilities neben der zu löschenden Kompatibilität auf Delete.Das Dialogfeld Confirm Delete Compatibility wird mit einem oder mehreren Kontrollkästchen angezeigt, die Sie aktivieren müssen, bevor Sie fortfahren können.

3. Aktivieren Sie alle Kontrollkästchen im Dialogfeld und klicken Sie auf Confirm.

Die Kompatibilität wird gelöscht und der neue Status der betroffenen Nodes wird in der Liste Tiers & Node Pools angezeigt.

Erstellen einer SSD-KompatibilitätSie können sowohl für Kapazität als auch für Zähler SSD-Zählerkompatibilitäten erstellen, damit neue Nodes in Node-Pools mit anderen SSD-Spezifikationen bereitgestellt werden können. SSD-Kompatibilitäten können für die folgenden Node-Typen erstellt werden: S200, S210, X200, X210, X400, X410, NL400 und NL410.

Wenn Sie beispielsweise über einen Node-Pool mit drei S200-Nodes mit 100-GB-SSDs verfügen und einen S200-Node mit 200-GB-SSDs installieren, wird der neue S200-Node erst dann automatisch für den S200-Node-Pool bereitgestellt, wenn Sie eine SSD-Zählerkompatibilität erstellt haben. Wenn die Nodes im S200-Node-Pool je sechs SSDs haben und der neue S200-Node über acht SSDs verfügt, müssen Sie auch eine SSD-Zählerkompatibilität erstellen, damit der neue S200-Node im S200-Node-Pool bereitgestellt werden kann.

Wenn Sie unterschiedliche Nodes haben, die klassenkompatibel sind, z. B. S200- und S210-Nodes, können Sie SSD-Kompatibilitäten zwischen diesen Node-Typen erstellen.

1. Wählen Sie File System > Storage Pools > SmartPools aus.



3. Wählen Sie in der Liste Compatibility Type die Option SSD aus.Eine zusätzliche Drop-down-Liste Node Class wird hinzugefügt.

4. Akzeptieren Sie in der Liste Node Class die aktuelle Auswahl oder treffen Sie bei Bedarf eine neue Auswahl.

5. Wählen Sie ggf. auch das Kontrollkästchen SSD Count Compatibility aus.


332 Speicherpools


Die SSD-Kompatibilität wird erstellt und außerdem in der Liste Compatibilities beschrieben. Beispielsweise wird eine Meldung wie „S200 and S210 nodes are SSD compatible“ angezeigt. Das Ergebnis der SSD-Kompatibilität wird auch in der Liste Tiers & Node Pools angezeigt. Wenn der L3-Cache auf einem der Node-Pools, die von der SSD-Kompatibilität betroffen sind, deaktiviert ist, wird die SSD-Kompatibilität nicht erstellt und eine Fehlermeldung erzeugt. Sie können die Situation korrigieren, indem Sie den L3-Cache für diese Node-Pools aktivieren.

Löschen einer SSD-KompatibilitätSie können eine SSD-Kompatibilität löschen. Daraufhin werden alle Nodes, die aufgrund dieser Kompatibilität Teil eines Node-Pools sind, aus dem Node-Pool entfernt.

VORSICHT: Das Löschen einer SSD-Kompatibilität kann unbeabsichtigte Folgen haben. Wenn Sie beispielsweise eine

SSD-Kompatibilität löschen und dadurch weniger als drei kompatible Nodes aus einem Node-Pool entfernt werden,

werden diese Nodes aus dem verfügbaren Speicherpool Ihres Clusters entfernt. Bei der nächsten Ausführung des

SmartPools-Jobs wird ein Restriping der Daten auf diesen Nodes an anderer Stelle auf dem Cluster durchgeführt, was

ein zeitaufwendiger Prozess sein kann. Wenn drei oder mehr kompatible Nodes aus dem Node-Pool entfernt werden,

bilden diese Nodes ihren eigenen Node-Pool und für die Daten wird ein Restriping durchgeführt. Jede Dateipool-Policy,

die auf den ursprünglichen Node-Pool verweist, verweist stattdessen auf den Tier des Node-Pools, falls vorhanden, oder

andernfalls auf einen neuen, von OneFS erstellten Tier.



2. Klicken Sie in der Liste Compatibilities neben der zu löschenden SSD-Kompatibilität auf Delete.Das Dialogfeld Confirm Delete Compatibility wird mit einem oder mehreren Kontrollkästchen angezeigt, die Sie aktivieren müssen, bevor Sie fortfahren können. Die Kontrollkästchen beschreiben das Ergebnis des Vorgangs.

3. Aktivieren Sie alle Kontrollkästchen im Dialogfeld und klicken Sie auf Confirm.

Die SSD-Kompatibilität wird gelöscht und der neue Status der betroffenen Nodes wird in der Liste Tiers & Node Pools angezeigt. Beispielsweise ist ein zuvor bereitgestellter Node jetzt nicht mehr bereitgestellt.

Managen des L3-Caches über die WebverwaltungsschnittstelleSie können den L3-Cache global oder auf spezifischen Node-Pools über die Webverwaltungsschnittstelle managen. Sie müssen über das SmartPools- oder ein höheres Administratorrecht verfügen. Auf HD400-Nodes ist der L3-Cache standardmäßig aktiviert und kann nicht deaktiviert werden.

Festlegen von L3-Cache als Standard für Node-PoolsSie können L3-Cache als Standard festlegen, damit dieser automatisch aktiviert wird, wenn neue Node-Pools erstellt werden.

L3-Cache ist nur auf Nodes effektiv, die SSDs umfassen. Wenn keines Ihrer Cluster über SSD-Speicher verfügt, ist es nicht erforderlich, L3-Cache als Standard zu aktivieren.

1. Klicken Sie auf File System > Storage Pools > SmartPools Settings.

Die Seite Edit SmartPools Settings wird angezeigt.

2. Klicken Sie unter Local Storage Settings auf Use SSDs as L3 Cache by default for new node pools.


Wenn Sie neue Nodes mit SSDs zum Cluster hinzufügen und OneFS neue Node-Pools bestimmt, wird für diese Node-Pools automatisch der L3-Cache aktiviert. Bei neuen Node-Pools ohne SSDs ist der L3-Cache standardmäßig nicht aktiviert.

Festlegen von L3-Cache für einen bestimmten Node-PoolSie können L3-Cache für einen bestimmten Node-Pool aktivieren.


Auf der Seite SmartPools wird eine Liste mit Tiers und Node-Pools angezeigt.

Speicherpools 333

2. Klicken Sie in der Liste Tiers & Node Pools neben dem Ziel-Node-Pool auf View/Edit.Es wird das Dialogfeld View Node Pool Details mit den aktuellen Einstellungen des Node-Pools angezeigt.

3. Klicken Sie auf Edit.Das Dialogfeld Edit Node Pool Details wird angezeigt.

4. Aktivieren Sie das Kontrollkästchen Enable L3 cache.

Das Kontrollkästchen wird für Node-Pools ausgeblendet, die nicht über SSDs verfügen oder für die die Einstellung nicht geändert werden kann.

5. Klicken Sie auf Save Changes.Die Meldung Confirm Change to L3 Cache Setting wird angezeigt.

6. Klicken Sie auf die Schaltfläche Continue.Der Migrationsprozess zum L3-Cache beginnt und kann abhängig von der Anzahl und der Größe der SSDs im Node-Pool eine gewisse Zeit in Anspruch nehmen. Wenn der Migrationsprozess abgeschlossen ist, wird das Dialogfeld View Node Pool Details angezeigt.


Wiederherstellen von SSDs in den Speicherlaufwerken für einen Node-PoolSie können den L3-Cache für SSDs auf einem Node-Pool deaktivieren und diese SSDs in den Speicherlaufwerken wiederherstellen.

ANMERKUNG: Auf HD400-Node-Pools werden SSDs nur für den L3-Cache verwendet, der standardmäßig aktiviert ist

und nicht deaktiviert werden kann. Alle anderen Node-Pools mit SSDs für den L3-Cache können ihre SSDs zurück auf

Speicherlaufwerke migrieren.


2. Wählen Sie im Bereich Tiers & Node Pools der Registerkarte SmartPools neben dem Ziel-Node-Pool View/Edit aus.Es wird das Dialogfeld View Node Pool Details mit den aktuellen Einstellungen des Node-Pools angezeigt.

3. Klicken Sie auf Edit.Das Dialogfeld Edit Node Pool Details wird angezeigt.

4. Deaktivieren Sie das Kontrollkästchen Enable L3 cache.

Die Einstellung wird für Node-Pools ausgeblendet, die nicht über SSDs verfügen oder für die die Einstellung nicht geändert werden kann.

5. Klicken Sie auf Save Changes.Die Meldung Confirm Change to L3 Cache Setting wird angezeigt.

6. Klicken Sie auf Continue.Der Migrationsprozess zur Deaktivierung des L3-Caches beginnt und kann abhängig von der Anzahl und der Größe der SSDs im Node-Pool eine gewisse Zeit in Anspruch nehmen. Wenn der Migrationsprozess abgeschlossen ist, wird das Dialogfeld View Node Pool Details angezeigt.


Managen von TiersSie können Node-Pools in Tiers verschieben, um das Datei- und Speichermanagement optimieren. Für das Management von Tiers ist das SmartPools- oder ein höheres Administratorrecht erforderlich.

Erstellen von TiersSie können einen Tier erstellen, der ein oder mehrere Node-Pools enthält. Sie können den Tier verwenden, um bestimmte Dateikategorien zu speichern.


Die Registerkarte SmartPools wird mit den folgenden zwei Bereichen angezeigt: Tiers & Node Pools und Compatibilities.

2. Klicken Sie im Abschnitt Tiers & Node Pools auf Create a Tier.

3. Geben Sie auf der daraufhin angezeigten Seite Create a Tier einen Namen für den Tier ein.

4. Wählen Sie für jeden Node-Pool, den Sie dem Tier hinzufügen möchten, einen Node-Pool aus der Liste Available Node Pools aus und klicken Sie auf Add.Der Node-Pool wird in die Liste Selected Node Pools for this Tier verschoben.

334 Speicherpools

5. Klicken Sie auf Create Tier.Die Seite Create a Tier wird geschlossen und der neue Tier wird dem Bereich Tiers & Node Pools hinzugefügt. Die Node-Pools, die Sie hinzugefügt haben, werden unter dem Tier-Namen angezeigt.

Bearbeiten eines TierSie können den Namen und die Node-Pools ändern, die einem Tier zugeordnet werden.

Der Name eines Tier kann alphanumerische Zeichen und Unterstriche enthalten, jedoch nicht mit einer Zahl beginnen.


Auf der Registerkarte SmartPools werden zwei Gruppen angezeigt: Tiers & Node Pools und Compatibilities.

2. Klicken Sie im Bereich Tiers & Node Pools neben dem zu bearbeitenden Tier auf View/Edit.

3. Klicken Sie im Dialogfeld View Tier Details auf Edit Tier.

4. Ändern Sie im Dialogfeld Edit Tier Details die folgenden Einstellungen nach Bedarf:

Option Beschreibung

Tier Name Um den Namen des Tier zu ändern, wählen Sie den vorhandenen Namen aus und überschreiben Sie ihn.

Node Pool Selection Um die Node-Pool-Auswahl zu ändern, wählen Sie einen Node-Pool aus und klicken Sie entweder auf Add oder Remove.

5. Wenn Sie mit der Bearbeitung der Tier-Einstellungen fertig sind, klicken Sie auf Save Changes.

6. Klicken Sie im Dialogfeld View Tier Details auf Close.

Löschen eines TierSie können einen Tier löschen, dem keine Node-Pools zugewiesen sind.

Wenn Sie einen Tier löschen möchten, dem Node-Pools zugewiesen sind, müssen Sie zunächst die Node-Pools vom Tier entfernen.



2. Klicken Sie in der Liste Tiers & Node Pools neben dem zu löschenden Tier auf More > Delete Tier.Es wird eine Meldung angezeigt, in der Sie den Vorgang bestätigen oder abbrechen müssen.

3. Klicken Sie auf Delete Tier, um den Vorgang zu bestätigen.

Der Tier wird aus der Liste Tiers & Node Pools entfernt.

Erstellen von Dateipool-PoliciesSie können Dateipool-Policies konfigurieren, um logische Gruppen von Dateien zu identifizieren, die als Dateipools bezeichnet werden. Außerdem können Sie Speichervorgänge für diese Dateien festlegen.

Bevor Sie Dateipool-Policies erstellen können, müssen Sie eine SmartPools-Lizenz aktivieren. Außerdem müssen Sie über SmartPools- oder höhere Administratorrechte verfügen.

Dateipool-Policies bestehen aus zwei Teilen: Dateiübereinstimmungskriterien, die einen Dateipool definieren, und Aktionen, die auf den Dateipool angewendet werden. Sie können Dateipools definieren, die auf Merkmalen wie Dateityp, Größe, Pfad, Herkunft, Änderung und Zugriffszeitstempel basieren, und diese Kriterien mit booleschen Operatoren (AND, OR) kombinieren.

Zusätzlich zu Dateiübereinstimmungskriterien können Sie verschiedene Aktionen identifizieren, die auf den Dateipool angewendet werden. Zu diesen Aktionen gehören u. a.:

• Festlegen der Parameter für angeforderten Schutz und Datenzugriffsoptimierung• Erkennen von Daten- und Snapshot-Speicherzielen• Definieren von Daten- und Snapshot-SSD-Strategien• Aktivieren oder Deaktivieren von SmartCache

Beispiel: Um Speicherplatz auf dem Performance-Tier (Node-Pools der S-Serie) freizugeben, können Sie eine Dateipool-Policy erstellen, um alle Dateien mit einer Größe von mehr als 25 MB, auf die seit mehr als einem Monat nicht mehr zugegriffen oder die seit mehr als einem Monat nicht mehr geändert wurden, auf den Archiv-Tier (Node-Pools der NL-Serie) zu verschieben.

Speicherpools 335

Sie können mehrere Dateipool-Policies konfigurieren und priorisieren, um Dateispeicher für Ihre speziellen Workflows und Ihre Clusterkonfiguration zu optimieren. Wenn der SmartPools-Job ausgeführt wird (standardmäßig einmal pro Tag) werden Dateipool-Policies in der Reihenfolge ihrer Priorität anwendet. Wenn ein Dateipool mit den in einer Policy definierten Kriterien übereinstimmt, werden die Aktionen dieser Policy angewendet und benutzerdefinierte Policies mit niedrigerer Priorität für diesen Dateipool ignoriert.

Nachdem die Liste der benutzerdefinierten Dateipool-Policies durchgegangen wurde und wenn eine der Aktionen nicht auf eine Datei angewendet wurde, werden die Aktionen der Standard-Policy für Dateipools angewendet. Durch Anwendung der Standard-Policy für Dateipools werden alle Aktionen auf alle Dateien angewendet.

ANMERKUNG: Sie können die Liste der Dateipool-Policies jederzeit neu anordnen, aber die Standard-Policy für

Dateipools ist immer die letzte Policy in der Liste.

OneFS stellt außerdem anpassbare Policy-Vorlagen bereit, die Sie kopieren und zur Erstellung Ihrer eigenen Policies verwenden können. Diese Vorlagen sind jedoch nur über die OneFS-Webverwaltungsschnittstelle verfügbar.

Erstellen einer Dateipool-PolicySie können eine Dateipool-Policy erstellen, um eine bestimmte Dateigruppe zu definieren und SmartPools-Aktionen festzulegen, die auf die übereinstimmenden Dateien angewendet werden. Diese SmartPools-Aktionen umfassen die Verlagerung von Dateien auf bestimmte Tiers oder Node-Pools, die Änderung der angeforderten Schutzlevel und die Optimierung der Schreibperformance und des Datenzugriffs.

VORSICHT:

Wenn vorhandene Dateipool-Policies Daten an einen bestimmten Speicherpool weiterleiten, konfigurieren Sie keine

weitere Dateipool-Policy mit der Option anywhere für die Einstellung Data storage target. Da der angegebene

Speicherpool in der Option anywhere enthalten ist, verwenden Sie bestimmte Speicherpools, um unerwartete

Ergebnisse zu vermeiden.

1. Klicken Sie auf File System > Storage Pools > File Pool Policies.

2. Klicken Sie auf Create a File Pool Policy.

3. Geben Sie im Dialogfeld Create a File Pool Policy einen Policy-Namen und optional eine Beschreibung ein.

4. Legen Sie fest, welche Dateien von der Dateipool-Policy gemanagt werden sollen.

Um den Dateipool zu definieren, können Sie Dateiübereinstimmungskriterien festlegen, indem Sie die Bedingungen IF, AND und OR miteinander kombinieren. Sie können diese Bedingungen mit verschiedenen Dateiattributen, wie Name, Pfad, Typ, Größe und Zeitstempelinformationen, definieren.

5. Legen Sie SmartPools-Aktionen fest, die auf den ausgewählten Dateipool angewendet werden sollen.

Sie können die Anwendung von Speicher- und I/O-Optimierungseinstellungen festlegen.

6. Klicken Sie auf Create Policy.

Die Dateipool-Policy wird erstellt und angewendet, wenn der nächste geplante SmartPools-Systemjob ausgeführt wird. Standardmäßig wird dieser Job einmal am Tag ausgeführt. Sie haben darüber hinaus die Möglichkeit, den Job umgehend zu starten.

Dateiübereinstimmungsoptionen für Dateipool-PoliciesSie können eine Dateipool-Policy für Dateien konfigurieren, die bestimmte Kriterien erfüllen.

Die folgenden Dateiübereinstimmungsoptionen können angegeben werden, wenn Sie eine Dateipool-Policy erstellen oder bearbeiten.

ANMERKUNG:

OneFS unterstützt die UNIX-Shell-Musterzuordnung („Globbing“) für Dateinamenattribute und Dateipfade.

In der folgenden Tabelle sind die Dateiattribute aufgeführt, die Sie verwenden können, um eine Dateipool-Policy zu definieren.

Dateiattribut Auswirkung

Name Einbeziehung oder Ausschluss von Dateien auf Grundlage des Dateinamens.

Sie können festlegen, ob die vollständigen oder teilweisen Namen, die einen bestimmten Text enthalten, einbezogen oder ausgeschlossen werden sollen. Platzhalterzeichen sind zulässig.

Pfad Einbeziehung oder Ausschluss von Dateien auf Grundlage des Dateipfads.

336 Speicherpools

Dateiattribut Auswirkung

Sie können festlegen, ob die vollständigen oder teilweisen Dateipfade, die einen bestimmten Text enthalten, einbezogen oder ausgeschlossen werden sollen. Die Platzhalterzeichen *, ? und [ ] sind zulässig.

Dateityp Einbeziehung oder Ausschluss von Dateien auf Grundlage eines der folgenden Dateisystem-Objekttypen:

• Datei• Verzeichnis• Sonstige

Größe Einbeziehung oder Ausschluss von Dateien auf Grundlage der Dateigröße.ANMERKUNG: Dateien werden als Vielfaches von 1.024, nicht 1.000 dargestellt.

Geändert Einbeziehung oder Ausschluss von Dateien auf Grundlage des letzten Änderungszeitpunkts.

In der Webverwaltungsschnittstelle können Sie einen relativen Zeitpunkt, z. B. „älter als 2 Wochen“, oder ein bestimmtes Datum und eine Uhrzeit, z. B. „vor dem 1. Januar 2012“, angeben. Uhrzeiteinstellungen werden im 24-Stunden-Format angegeben.

Erstellt Einbeziehung oder Ausschluss von Dateien auf Grundlage des Erstellungszeitpunkts.


Geänderte Metadaten Einbeziehung oder Ausschluss von Dateien auf Grundlage des Zeitpunkts der letztmaligen Änderung der Metadaten. Diese Option ist nur verfügbar, wenn die globale Zugriffszeitverfolgung des Clusters aktiviert ist.


Letzter Zugriff Einbeziehung oder Ausschluss von Dateien auf Grundlage des Zeitpunkts, an dem letztmals auf die Datei zugegriffen wurde, wobei die folgenden Zeiteinheiten gelten:


ANMERKUNG: Da die Zugriffszeitverfolgung Auswirkungen auf die Performance hat, ist sie als Kriterium für die Dateipool-Policy standardmäßig deaktiviert.

Dateiattribut Einbeziehung oder Ausschluss von Dateien auf Grundlage eines benutzerdefinierten Attributs

Gültige PlatzhalterzeichenSie können Platzhalterzeichen mit Dateiübereinstimmungsoptionen kombinieren, um eine Dateipool-Policy zu definieren.

OneFS unterstützt die UNIX-Shell-Musterzuordnung („Globbing“) für Dateinamenattribute und Dateipfade.

In der folgenden Tabelle sind die gültigen Platzhalterzeichen aufgeführt, die Sie mit Dateiübereinstimmungsoptionen kombinieren können, um eine Dateipool-Policy zu definieren.

Platzhalter Beschreibung

* Das Sternchen kann für eine beliebige Zeichenfolge stehen.

Beispiel: m* steht für movies und für m123.

Speicherpools 337

Platzhalter Beschreibung

[a-z] Steht für beliebige Zeichen, die in Klammern enthalten sind, oder für eine Reihe von Zeichen, die durch einen Bindestrich getrennt sind. Beispiel: b[aei]t steht für bat, bet und bit und 1[4-7]2 steht für 142, 152, 162 und 172.

Sie können Zeichen in Klammern ausschließen, indem Sie der ersten Klammer ein Ausrufezeichen nachstellen. Beispiel: b[!ie]t steht für bat jedoch nicht für bit oder bet.

Sie können eine Klammer innerhalb einer Klammer verwenden, wenn es sich um das erste oder letzte Zeichen handelt. Beispiel: [[c]at steht für cat und [at.

Sie können einen Bindestrich innerhalb einer Klammer verwenden, wenn es sich um das erste oder letzte Zeichen handelt. Beispiel: car[-s] steht für cars und car-.

? Das Fragezeichen steht für einen beliebiges Zeichen. Beispiel: t?p steht für tap, tip und top.

Einstellungen für SmartPoolsSmartPools-Einstellungen umfassen Verzeichnisschutz, Beschleunigung des globalen Namespace, L3-Cache, virtuelle Hot Spares, Spillover sowie Management der angeforderten Sicherheit und der I/O-Optimierung.

Einstellungen in der Webverwaltung

Einstellungen in der CLI Beschreibung Anmerkungen

Increase directory protection to a higher level than its contents

--protect-directories-one-level-higher

Erhöht die Sicherheit für Verzeichnisse auf ein höheres Level als das der Verzeichnisse und enthaltenen Dateien, damit auf Daten, die nicht verloren sind, weiterhin zugegriffen werden kann.

Wenn ein Geräteausfall zu einem Datenverlust führt (z. B .drei Laufwerke oder zwei Nodes in einer +2: 1-Policy), kann mit dieser Einstellung weiterhin auf intakte Daten zugegriffen werden.

Diese Einstellung sollte aktiviert sein (Standardeinstellung).

Wenn die Einstellung deaktiviert wird, wird das Verzeichnis, das einen Dateipool enthält, gemäß den Einstellungen Ihres Schutzlevels geschützt. Die Geräte, die für die Speicherung des Verzeichnisses und der Datei verwendet werden, sind jedoch möglicherweise nicht die gleichen. Es besteht die Möglichkeit, Nodes mit File-basierten Daten zu verlieren, die zwar intakt sind, auf die jedoch nicht zugegriffen werden kann, da diese Nodes das Verzeichnis enthielten.

Beispiel: Ein Cluster hat eine Standardsicherheitseinstellung von +2 für den Dateipool und keine zusätzlichen Dateipool-Policies. OneFS-Verzeichnisse werden immer gespiegelt und demzufolge mit 3x, dem gespiegelten Äquivalent zum +2-Standard, gespeichert.

Diese Konfiguration kann den Ausfall von zwei Nodes kompensieren, bevor Daten verloren gehen oder nicht mehr auf sie zugegriffen werden kann. Wenn diese Einstellung aktiviert ist, werden alle Verzeichnisse bei 4x geschützt. Wenn im Cluster drei Node-Ausfälle auftreten, kann auf einzelne Dateien möglicherweise nicht mehr zugegriffen werden, die Verzeichnisstruktur ist jedoch verfügbar und bietet Zugriff auf Dateien, die weiterhin zugänglich sind.

338 Speicherpools



Wenn eine andere Dateipool-Policy einige Dateien auf einem höheren Level schützt, sind auch diese im Falle eines Ausfalls von drei Nodes zugänglich.

Enable global namespace acceleration

--global-namespace-acceleration-enabled

Gibt an, ob Metadaten pro Datei SSDs im Node-Pool verwenden können.

• Wenn diese Einstellung deaktiviert ist, werden Metadaten pro Datei auf die Speicherpool-Policy der Datei, mit Ausnahme eines Spillover, eingeschränkt. Dies ist die Standardeinstellung.

• Wenn diese Einstellung aktiviert ist, können Metadaten pro Datei die SSDs in jedem beliebigen Node-Pool verwenden.

Diese Einstellung ist nur dann verfügbar, wenn mindestens 20 % der Nodes im Cluster SSDs enthalten und mindestens 1,5 % des Gesamtclusterspeichers SSD-basiert ist.

Wenn Nodes zu einem Cluster hinzugefügt oder von einem Cluster entfernt und die SSD-Schwellenwerte nicht mehr erfüllt werden, wird die GNA inaktiv. Die GNA bleibt aktiviert und wird wieder aktiv, wenn die SSD-Schwellenwerte wieder erfüllt werden.

ANMERKUNG: Node-Pools mit aktiviertem L3-Cache sind für GNA-Zwecke effektiv unsichtbar. Alle Verhältnisberechnungen für GNA erfolgen ausschließlich für Node-Pools ohne aktivierten L3-Cache.

Use SSDs as L3 Cache by default for new node pools

--ssd-l3-cache-default-enabled

Stellen Sie für Node-Pools, die Solid-State-Laufwerke enthalten, SSDs als L3-Cache bereit. L3-Cache erweitert den L2-Cache und beschleunigt die Performance des Dateisystems über größere Arbeitsdateisätze.

L3-Cache ist auf neuen Node-Pools standardmäßig aktiviert. Wenn Sie L3-Cache auf einem vorhandenen Node-Pool aktivieren, führt OneFS eine Migration durch und verschiebt alle vorhandenen Daten auf den SSDs auf andere Standorte auf dem Cluster.

OneFS managt alle Cachelevel, um optimale Datensicherheit, Verfügbarkeit und Performance bereitzustellen. Im Falle eines Stromausfalls werden die Daten auf dem L3-Cache aufbewahrt und sind noch verfügbar, nachdem die Stromversorgung wiederhergestellt wurde.

Virtual Hot Spare --virtual-hot-spare-deny-writes

--virtual-hot-spare-hide-spare

--virtual-hot-spare-limit-drives

--virtual-hot-spare-limit-percent

Reserviert eine Mindestmenge an Speicherplatz im Node-Pool, der nach einer Datenreparatur im Falle eines Laufwerksausfalls verwendet werden kann.

Um Speicherplatz für die Verwendung als virtuelles Hot-Spare-Laufwerk zu reservieren , wählen Sie eine der folgenden Optionen aus:

Wenn Sie bei der Konfiguration von reserviertem VHS-Speicherplatz sowohl die Mindestanzahl an virtuellen Laufwerken als auch einen Mindestprozentsatz des Gesamtspeicherplatzes konfigurieren, erfüllt der erzwungene Mindestwert beide Anforderungen.

Wenn diese Einstellung aktiviert und die Option Deny new data writes deaktiviert ist, ist es möglich, dass

Speicherpools 339



• Ignore reserved disk space when calculating available free space. Zieht für das virtuelle Hot-Spare-Laufwerk reservierten Speicherplatz bei der Berechnung des verfügbaren freien Speichers ab.

• Deny data writes to reserved disk space. Verhindert die Verwendung von reserviertem Speicherplatz durch Schreibvorgänge.

• VHS Space Reserved: Sie können eine Mindestanzahl an virtuellen Laufwerken (1–4) sowie einen Mindestprozentsatz der Gesamtspeicherkapazität (0–20 %) reservieren.

für die Dateisystemauslastung mehr als 100 % gemeldet werden.

Enable global spillover --spillover-enabled Legt fest, wie mit Schreibvorgängen für einen Node-Pool verfahren werden soll, der nicht beschreibbar ist.

• Wenn diese Option aktiviert ist, werden Schreibvorgänge von einem nicht beschreibbaren Node-Pool zu einem anderen Node-Pool oder an eine andere Stelle im Cluster umgeleitet (Standardeinstellung).

• Wenn diese Einstellung deaktiviert ist, wird ein Speicherplatzfehler für das Laufwerk für Schreibvorgänge auf einen nicht beschreibbaren Node-Pool zurückgegeben.

Spillover Data Target --spillover-target

--spillover-anywhere

Gibt einen anderen Speicherpool an, der als Ziel verwendet werden soll, wenn ein Speicherpool nicht beschreibbar ist.

Wenn Spillover aktiviert, es jedoch wichtig ist, dass Schreibvorgänge nicht fehlschlagen, wählen Sie für die Einstellung Spillover Data Target die Option anywhere aus, auch wenn Dateipool-Policies Daten an bestimmte Pools senden.

Manage protection settings

--automatically-manage-protection

Wenn diese Einstellung aktiviert ist, managt SmartPools angeforderte Schutzlevel automatisch.

Wenn Apply to files with manually-managed protection aktiviert ist, werden alle Schutzeinstellungen überschrieben, die über den Dateisystem-Explorer oder die Befehlszeilenoberfläche konfiguriert wurden.

Manage I/O optimization settings

--automatically-manage-io-optimization

Wenn diese Einstellung aktiviert ist, wird die SmartPools-Technologie für das Management der I/O-Optimierung verwendet.

Wenn Apply to files with manually-managed I/O optimization settings aktiviert ist, werden alle I/O-Optimierungseinstellungen überschrieben, die über den Dateisystem-Explorer oder die Befehlszeilenoberfläche konfiguriert wurden.

Keine --ssd-qab-mirrors Eine Spiegelung oder alle Spiegelungen für den QAB (Quota

Verbessern Sie die Leistung der Quota-Berechnung, indem Sie alle

340 Speicherpools



Account Block) werden auf SSDs gespeichert

QAB-Spiegelungen auf SSDs platzieren, um die I/O-Geschwindigkeit zu erhöhen. Standardmäßig wird nur eine QAB-Spiegelung auf SSD gespeichert.

Keine --ssd-system-btree-mirrors Eine Spiegelung oder alle Spiegelungen für die System-B-Struktur werden auf SSDs gespeichert.

Steigern Sie die Performance des Dateisystems, indem Sie alle Spiegelungen der System-B-Struktur auf SSDs speichern, um einen schnelleren Zugriff zu erhalten. Andernfalls wird nur eine Spiegelung der System-B-Struktur auf SSD gespeichert.

Keine --ssd-system-delta-mirrors Eine Spiegelung oder alle Spiegelungen für das Systemdelta werden auf SSDs gespeichert

Steigern Sie die Performance des Dateisystems, indem Sie alle Spiegelungen des Systemdeltas auf SSDs speichern, um einen schnelleren Zugriff zu erhalten. Andernfalls wird nur eine Spiegelung des Systemdeltas auf SSD gespeichert.

Managen von Dateipool-PoliciesSie können benutzerdefinierte Dateipool-Policies ändern, neu anordnen, kopieren und entfernen. Sie können die Standard-Policy für Dateipools zwar ändern, aber nicht neu anordnen oder entfernen.

Um Dateipool-Policies zu managen, können Sie die folgenden Aufgaben durchführen:

• Ändern von Dateipool-Policies• Ändern der Standard-Policy für Dateipools• Kopieren von Dateipool-Policies• Verwenden einer Vorlage für eine Dateipool-Policy• Neu anordnen von Dateipool-Policies• Löschen von Dateipool-Policies

Konfigurieren von Standardsicherheitseinstellungen für DateipoolsSie können Standardsicherheitseinstellungen für Dateipools konfigurieren. Die Standardeinstellungen werden auf alle Dateien angewendet, die nicht durch eine andere Dateipool-Policy abgedeckt werden.

VORSICHT: Wenn vorhandene Dateipool-Policies Daten an einen bestimmten Speicherpool weiterleiten, fügen Sie keine

Dateipool-Policy mit der Option anywhere für die Einstellung Data storage target hinzu oder ändern eine solche Policy.

Verwenden Sie stattdessen einen bestimmten Dateipool als Ziel.


2. Klicken Sie auf der Registerkarte File Pool Policies in der Liste neben Default Policy auf View/Edit.Das Dialogfeld View Default Policy Details wird angezeigt.

3. Klicken Sie auf Edit Policy.Das Dialogfeld Edit Default Policy Details wird angezeigt.

4. Wählen Sie im Abschnitt Apply SmartPools Actions to Selected Files die Speichereinstellungen aus, die Sie als Standard für die Einstellungen Storage Target, Snapshot Storage Target und Requested Protection verwenden möchten.


Bei der nächsten Ausführung des SmartPools-Jobs werden die von Ihnen ausgewählten Einstellungen auf alle Dateien angewendet, die nicht durch eine andere Dateipool-Policy abgedeckt werden.

Speicherpools 341

Angeforderte Sicherheitseinstellungen des StandarddateipoolsDie Standardsicherheitseinstellungen umfassen die Angabe des Datenspeicherziels, des Snapshot-Speicherziels, des angeforderten Schutzes und der SSD-Strategie für Dateien, die durch die Standard-Policy für Dateipools gefiltert werden.

Einstellungen (Webverwaltung)

Einstellungen (CLI) Beschreibung Anmerkungen

Storage Target --data-storage-target

--data-ssd-strategy

Gibt den Speicherpool (Node-Pool oder Tier) an, der als Ziel für diese Dateipool-Policy fungieren soll.

VORSICHT:

Wenn vorhandene Dateipool-Policies Daten an einen bestimmten Speicherpool weiterleiten, konfigurieren Sie keine weitere Dateipool-Policy mit der Option anywhere für die Einstellung Data storage target. Da der angegebene Speicherpool in der Option anywhere enthalten ist, verwenden Sie bestimmte Speicherpools, um unbeabsichtigte Dateispeicherorte zu vermeiden.

Wählen Sie eine der folgenden Optionen aus, um Ihre SSD-Strategie zu definieren:

Use SSDs for metadata read acceleration

Standard. File-basierte Daten und Metadaten werden auf HDDs und Metadaten auf SSDs geschrieben. Beschleunigt nur Lesevorgänge von Metadaten. Benötigt weniger SSD-Speicherplatz als die Einstellung Metadata read/write acceleration.

Use SSDs for metadata read/write acceleration

Metadaten werden in SSD-Pools geschrieben. Benötigt deutlich mehr SSD-Speicherplatz als die Einstellung Metadata read acceleration, beschleunigt jedoch Lese- und Schreibvorgänge von Metadaten.

Use SSDs for data & metadata

Verwendet SSDs für Daten und Metadaten. Unabhängig davon, ob die Beschleunigung des globalen Namespace aktiviert ist, befinden sich alle SSD-Blöcke auf dem Speicherziel, wenn genug Platz zur Verfügung steht.

Avoid SSDs Alle zugehörigen File-basierten Daten und Metadaten werden nur auf HDDs geschrieben.

VORSICHT:

Verwenden Sie diese Option zur Freigabe von SSD-Speicherplatz nur

ANMERKUNG: Wenn GNA nicht aktiviert ist und der von Ihnen ausgewählte Zielspeicherpool keine SSDs enthält, können Sie keine SSD-Strategie definieren.

Die Option Use SSDs for metadata read acceleration schreibt File-basierte Daten und Metadaten in HDD-Speicherpools, fügt jedoch, wenn möglich, eine zusätzliche SSD-Spiegelung hinzu, um die Leseperformance zu beschleunigen. Verwendet HDDs, um Zuverlässigkeit und eine zusätzliche Metadatenspiegelung auf SSDs bereitzustellen, falls verfügbar, um die Leseperformance zu verbessern. Für die meisten Anwendungsbeispiele empfohlen.

Wenn Sie die Option Use SSDs for metadata read/write acceleration auswählen, verwendet die Strategie für eine höhere Performance und Zuverlässigkeit SSDs, falls diese im Speicherziel verfügbar sind. Die zusätzliche Spiegelung kann von einem anderen Speicherpool mit aktivierter GNA oder vom gleichen Node-Pool stammen.

Weder mit der Strategie Use SSDs for data & metadata noch mit der Strategie Use SSDs for data & metadata werden zusätzliche Spiegelungen erstellt, die über den angeforderten normalen Schutz hinausgehen. Sowohl File-basierte Daten als auch Metadaten werden auf SSDs gespeichert, wenn diese in der Dateipool-Policy verfügbar

342 Speicherpools

Einstellungen (Webverwaltung)

Einstellungen (CLI) Beschreibung Anmerkungen

nach Rücksprache mit dem technischen Isilon-Support, da die Einstellung negative Auswirkungen auf die Performance haben kann.

sind. Für diese Option ist eine erhebliche Menge an SSD-Speicher erforderlich.

Snapshot storage target

--snapshot-storage-target

--snapshot-ssd-strategy

Gibt den Speicherpool an, den Sie als Ziel für Snapshot-Speicher mit dieser Dateipool-Policy verwenden möchten. Diese Einstellungen sind dieselben wie für die Option „data storage target“, werden jedoch auf Snapshot-Daten angewendet.

Die Hinweise für die Option „data storage target“ treffen auch auf die Option „snapshot storage target“ zu.

Requested protection --set-requested-protection

Default of storage pool: Weisen Sie den gefilterten Dateien den angeforderten Standardschutz des Speicherpools zu.

Specific level: Weisen Sie den gefilterten Dateien einen bestimmten angeforderten Schutz zu.

Um den angeforderten Schutz zu ändern, wählen Sie einen neuen Wert aus der Liste aus.

Konfigurieren von Standardeinstellungen für die I/O-OptimierungSie können Standardeinstellungen für die I/O-Optimierung konfigurieren.


2. Klicken Sie auf der Registerkarte File Pool Policies in der Liste neben Default Policy auf View/Edit.Das Dialogfeld View Default Policy Details wird angezeigt.

3. Klicken Sie auf Edit Policy.Das Dialogfeld Edit Default Policy Details wird angezeigt.

4. Wählen Sie im Bereich Apply SmartPools Actions to Selected Files unter I/O Optimization Settings die Einstellungen aus, die Sie als Standard für die Einstellungen Write Performance und Data Access Pattern verwenden möchten.


Bei der nächsten Ausführung des SmartPools-Jobs werden die von Ihnen ausgewählten Einstellungen auf alle Dateien angewendet, die nicht durch eine andere Dateipool-Policy abgedeckt werden.

I/O-Optimierungseinstellungen für den StandarddateipoolSie können die I/O-Optimierungseinstellungen managen, die in der standardmäßigen Dateipool-Policy verwendet werden und Dateien mit manuell gemanagten Attributen umfassen können.

Damit SmartPools die Optimierungseinstellungen, die mit dem Dateisystem-Explorer oder dem Befehl isi set konfiguriert wurden, überschreiben kann, wählen Sie in der Gruppe Default Protection Settings die Option Including files with manually-managed I/O optimization settings aus. Verwenden Sie in der CLI die Option --automatically-manage-io-optimization mit dem Befehl isi storagepool settings modify.

Einstellung (Webverwaltung)

Einstellung (CLI) Beschreibung Anmerkungen

Schreib-Performance --enable-coalescer Aktiviert oder deaktiviert SmartCache (auch als Coalescer bezeichnet).

Enable SmartCache ist die empfohlene Einstellung für eine optimale Schreibperformance. Bei asynchronen Schreibvorgängen puffert der Isilon-Server Schreibvorgänge im Arbeitsspeicher. Wenn Sie die Pufferung jedoch deaktivieren möchten, wird empfohlen, Ihre Anwendungen für die Verwendung synchroner

Speicherpools 343

Einstellung (Webverwaltung)

Einstellung (CLI) Beschreibung Anmerkungen

Schreibvorgänge zu konfigurieren. Wenn dies nicht möglich ist, deaktivieren Sie SmartCache.

Data Access Pattern --data-access-pattern

Definiert die Optimierungseinstellungen für den Zugriff auf gleichzeitige, Streaming- oder zufällige Datentypen.

Dateien und Verzeichnisse verwenden standardmäßig das gleichzeitige Zugriffsmuster. Zur Optimierung der Performance wählen Sie das Muster aus, das von Ihrem Workflow vorgegeben wird. Ein Workflow, der beispielsweise viel Videobearbeitung umfasst, sollte auf Optimize for streaming access festgelegt werden. Dieser Workflow wäre beeinträchtigt, wenn das Datenzugriffsmuster auf Optimize for random access festgelegt werden würde.

Ändern einer Dateipool-PolicySie können eine Dateipool-Policy ändern.

VORSICHT: Wenn vorhandene Dateipool-Policies Daten an einen bestimmten Speicherpool weiterleiten, konfigurieren

Sie keine weitere Dateipool-Policy mit der Option anywhere für die Einstellung Data storage target. Da der angegebene

Speicherpool in der Option anywhere enthalten ist, verwenden Sie bestimmte Speicherpools, um unbeabsichtigte

Dateispeicherorte zu vermeiden.


2. Klicken Sie in der Liste File Pool Policies neben der zu ändernden Policy auf View/Edit.Das Dialogfeld View File Pool Policy Details wird angezeigt.

3. Klicken Sie auf Edit Policy.Das Dialogfeld Edit File Pool Policy Details wird angezeigt.

4. Ändern Sie die Policy-Einstellungen und klicken Sie dann auf Save Changes.

5. Klicken Sie auf Closeim Dialogfeld View File Pool Policy Details.

Änderungen an der Dateipool-Policy werden bei der nächsten Ausführung des SmartPools-Jobs angewendet. Sie können den SmartPools-Job auch manuell starten, um die Policy sofort auszuführen.

Priorisieren einer Dateipool-PolicySie können die Priorität von benutzerdefinierten Dateipool-Policies ändern. Dateipool-Policies werden in absteigender Reihenfolge und entsprechend ihrer Position in der Liste der Dateipool-Policies ausgewertet.

Standardmäßig werden neue Policies sofort über die Standard-Policy für Dateipools gesetzt, die in der Liste stets an letzter Stelle steht und daher die Policy mit der niedrigsten Priorität ist. Sie können einer benutzerdefinierten Policy eine höhere oder niedrigere Priorität zuweisen, indem Sie sie in der Liste nach oben oder unten verschieben.


Auf der Registerkarte File Pool Policies werden zwei Listen angezeigt: File Pool Policies und Policy Templates.

2. Klicken Sie in der Liste File Pool Policies in der Spalte Order auf das Pfeilsymbol neben einer Policy, um sie in der Prioritätsreihenfolge nach oben oder unten zu verschieben.

3. Wiederholen Sie den obigen Schritt für jede Policy, deren Priorität Sie ändern möchten.

Wenn der SmartPools-Systemjob ausgeführt wird, werden Dateipool-Policies der Reihenfolge ihrer Priorität nach verarbeitet. Die Standard-Policy für Dateipools wird auf alle Dateien angewendet, die keiner anderen Dateipool-Policy zugeordnet sind.

Erstellen einer Dateipool-Policy aus einer VorlageSie können aus einer Policy-Vorlage eine neue Dateipool-Policy erstellen. Die Vorlagen sind für typische Workflows wie die Archivierung älterer Dateien oder das Management von virtuellen Maschinen (.vmdk-Dateien) vorkonfiguriert.

1. Klicken Sie auf File System > Storage Pools > File Pool Policies.Auf der Registerkarte File Pool Policies werden zwei Listen angezeigt: File Pool Policies und Policy Templates.

2. Klicken Sie in der Liste Policy Templates neben dem Namen der Vorlage, die Sie verwenden möchten, auf View/Use Template.

344 Speicherpools

Das Dialogfeld View File Pool Policy Template Details wird geöffnet.

3. Klicken Sie auf Use Template.Das Dialogfeld Create a File Pool Policy wird geöffnet.

4. Erforderlich: Geben Sie einen Namen und eine Beschreibung für die Policy ein und ändern Sie ggf. Policy-Einstellungen.


Die neue benutzerdefinierte Policy wird zur Liste File Pool Policies direkt über der Standard-Policy hinzugefügt.

Löschen einer Dateipool-PolicySie können alle Dateipool-Policies außer der Standard-Policy löschen.

Wenn Sie eine Dateipool-Policy löschen, wird der entsprechende Dateipool bei der nächsten Ausführung des SmartPools-Jobs entweder über eine andere Dateipool-Policy oder über die Standard-Policy gesteuert.


Auf der Registerkarte File Pool Policies werden zwei Listen angezeigt: File Pool Policies und Policy Templates.

2. Klicken Sie in der Liste File Pool Policies neben der zu löschenden Policy auf Delete.


Die Dateipool-Policy wird aus der Liste der File Pool Policies gelöscht.

Monitoring von SpeicherpoolsSie können auf Informationen über die Speicherpoolintegrität und -nutzung zugreifen.

Die folgenden Informationen stehen zur Verfügung:

• Integrität der Dateipool-Policy• Integrität der SmartPools, einschließlich Tiers, Node-Pools und Subpools• Prozentsatz der HDD- und SSD-Speicherplatznutzung für jeden Speicherpool• Status der SmartPools-Jobs

Überwachen von SpeicherpoolsSie können den Status von Dateipool-Policies, SmartPools und Einstellungen anzeigen.

1. Klicken Sie auf File System > Storage Pools > Summary.

Auf der Registerkarte Summary werden zwei Bereiche angezeigt: die Liste Status und die Grafik Local Storage Usage.

2. Überprüfen Sie in der Liste Status den Status von Policies, SmartPools und SmartPools-Einstellungen.

3. Optional: Wenn der Status eines Elements ein anderer als Good ist, können Sie auf View Details klicken, um Probleme anzuzeigen und zu beheben.

4. Zeigen Sie im Bereich Local Storage Usage Statistiken zu jedem Node-Pool an.

Wenn z. B. die Node-Poolnutzung nicht ausgeglichen ist, sollten Sie eventuell eine Änderung Ihrer Dateipool-Policies in Erwägung ziehen.

Anzeigen der Integrität von SubpoolsOneFS stellt fehlerhafte Subpools in einer Liste zusammen, damit Sie alle Probleme beheben können.

Bei einem Subpool, auch bekannt als Laufwerkpool, handelt es sich um eine Gruppe von Laufwerken, die Teil eines Node-Pools sind.


Die Registerkarte SmartPools zeigt drei Gruppierungen an: Tiers & Node Pools, Compatibilities und Subpools Health.

2. Überprüfen Sie im Bereich Subpools Health die Details und beheben Sie die Probleme aller fehlerhaften Subpools.

Anzeigen der Ergebnisse eines SmartPools-JobsSie können detaillierte Ergebnisse der letzten Ausführung des SmartPools-Jobs anzeigen.

Speicherpools 345

1. Klicken Sie auf Cluster Management > Job Operations > Job Reports.

Auf der Registerkarte Jobs Reports wird eine Liste der Jobberichte angezeigt.

2. Suchen Sie in der Liste Job Reports in der Spalte Type nach dem letzten SmartPools-Job und klicken Sie auf View Details.Das Dialogfeld View Job Report Details wird geöffnet und der Jobbericht wird angezeigt.

3. Blättern Sie durch den Bericht, um die Ergebnisse jeder Dateipool-Policy anzuzeigen.

4. Klicken Sie im Dialogfeld View Job Report Details auf Close, wenn Sie fertig sind.

346 Speicherpools

SystemjobsDieser Abschnitt enthält die folgenden Themen:

Themen:

• Übersicht über Systemjobs• Systemjobbibliothek• Jobvorgang• Jobperformanceauswirkung• Jobprioritäten• Managen von Systemjobs• Managen von Auswirkungs-Policies• Anzeigen von Jobberichten und -statistiken

Übersicht über SystemjobsDie wichtigste Funktion von OneFS ist es, für die Integrität der Daten auf Ihrem Isilon-Cluster zu sorgen. Weitere wichtige Systemwartungsfunktionen sind Monitoring und Optimierung der Performance, Erkennung und Behebung von Laufwerks- und Node-Ausfällen und Freigabe von verfügbaren Speicherplatz.

Da Wartungsfunktionen Systemressourcen verwenden und deren Ausführung mehrere Stunden in Anspruch nehmen kann, führt OneFS diese über einen Service, der „Job-Engine“ bezeichnet wird, als Hintergrundjobs aus. Die Ausführungsdauer eines Jobs hängt von mehreren Faktoren ab und kann daher erheblich variieren. Zu diesen Faktoren gehören andere Systemjobs, die zum gleichen Zeitpunkt ausgeführt werden, andere Prozesse, die CPU und I/O-Zyklen in Anspruch nehmen, während der Job ausgeführt wird, die Konfiguration Ihres Clusters, die Größe Ihrer Datasets und wie viel Zeit seit der letzten Ausführung des Jobs vergangen ist.

Es können bis zu drei Jobs gleichzeitig ausgeführt werden. Damit Wartungsjobs sich nicht auf Ihre Produktivität auswirken oder in Konflikt miteinander stehen, werden sie von der Job-Engine kategorisiert und mit unterschiedlichen Prioritäten und Auswirkungsleveln ausführt. Außerdem können Wartungsjobs vorübergehend unterbrochen werden (ohne Verlust des Fortschritts), um Jobs mit höherer Priorität und Administratoraufgaben zu verarbeiten.

Bei einem Stromausfall verwendet die Job-Engine ein Kontrollpunktsystem, um Jobs an einem Punkt fortzusetzen, der so dicht wie möglich an dem Punkt liegt, an dem sie unterbrochen wurden. Mit dem Kontrollpunktsystem kann die Job-Engine Jobphasen und -aufgaben nachverfolgen, die bereits abgeschlossen sind. Wenn das Cluster wieder einsatzbereit ist, startet die Job-Engine den Job zu Beginn der Phase oder der Aufgabe neu, die zum Zeitpunkt des Stromausfalls durchgeführt wurde.

Als Systemadministrator können Sie mit dem Job-Engine-Service Systemwartungsjobs überwachen, planen, ausführen, beenden und andere Steuerungsmaßnahmen auf diese Jobs anwenden. Die Job-Engine stellt Statistiken und Reportingtools bereit, die Sie verwenden können, um die Ausführungsdauer unterschiedlicher Systemjobs in Ihrer OneFS-Umgebung zu ermitteln.

ANMERKUNG: Um Job-Engine-Aufgaben zu initiieren, müssen Sie über die Rolle eines Systemadministrators im OneFS-

System verfügen.

SystemjobbibliothekOneFS enthält eine Bibliothek von Systemjobs, die im Hintergrund ausgeführt werden, um Ihr Isilon-Cluster aufrechtzuerhalten. Standardmäßig werden Systemjobs entweder als manuell oder als geplant kategorisiert. Sie können aber je nach Workflow jeden beliebigen Job manuell oder nach einem Plan ausführen. Darüber hinaus startet OneFS einige Jobs automatisch, wenn bestimmte Systembedingungen auftreten – z. B. FlexProtect und FlexProtectLin, wenn auf einem Laufwerk ein Smartfail-Prozess aufgetreten ist.

Jobname Beschreibung Ausschlusssatz

Auswirkungs-Policy

Priorität Betrieb

AutoBalance Gleicht den freien Speicherplatz in einem Cluster aus und ist am effizientesten in Clustern, die nur Festplatten (HDDs) enthalten. Wird im

Restriping Niedrig 4 Manuell

24

Systemjobs 347


Auswirkungs-Policy

Priorität Betrieb

Rahmen von MultiScan oder automatisch vom System ausgeführt, wenn ein Gerät dem Cluster beitritt (oder erneut beitritt).

AutoBalanceLin Gleicht den freien Speicherplatz in einem Cluster aus und ist am effizientesten in Clustern, wenn Dateisystem-Metadaten auf SSDs (Solid-State-Laufwerke) gespeichert sind. Wird im Rahmen von MultiScan oder automatisch vom System ausgeführt, wenn ein Gerät dem Cluster beitritt (oder erneut beitritt).


AVScan Führt eine Virenüberprüfung aller Dateien durch. Keine Niedrig 6 Manuell

ChangelistCreate Erstellt eine Liste der Änderungen zwischen zwei Snapshots mit übereinstimmenden Stammpfaden. Sie können diese Snapshots über die CLI angeben.

Keine Niedrig 5 Manuell

Collect Gewinnt freien Speicherplatz wieder, der nicht genutzt werden konnte, weil ein Node oder Laufwerk nicht verfügbar war. Wird im Rahmen von MultiScan oder automatisch vom System ausgeführt, wenn ein Gerät dem Cluster beitritt (oder erneut beitritt).

Mark Niedrig 4 Manuell

Dedupe* Durchsucht ein Verzeichnis nach redundanten Datenblöcken und dedupliziert alle redundanten Daten, die im Verzeichnis gespeichert sind. Nur verfügbar, wenn Sie eine SmartDedupe-Lizenz aktivieren.


DedupeAssessment Durchsucht ein Verzeichnis nach redundanten Datenblöcken und meldet eine Schätzung der Speichermenge, die durch das Deduplizieren des Verzeichnisses eingespart werden könnte.


DomainMark Verknüpft einen Pfad und den Inhalt dieses Pfads mit einer Domain.


FlexProtect Führt nach einem Geräteausfall eine Überprüfung des Dateisystems durch, um dafür zu sorgen, dass alle Dateien weiterhin geschützt sind. FlexProtect ist am effizientesten auf Clustern, die nur HDDs enthalten. Bei einem Geräteausfall auf einem Cluster darf nur der FlexProtect-Job (oder FlexProtectLin) ausgeführt werden. Dieser Prozess kann je nach der Größe Ihrer Datensätze längere Zeit dauern. Das Cluster befindet sich in einem heruntergestuften Status, bis die Ausführung von FlexProtect (oder FlexProtectLin) abgeschlossen ist. Wenn Sie bemerken, dass andere Systemjobs nicht gestartet werden können oder angehalten wurden, können Sie mithilfe des Befehls isi job status --verbose feststellen, ob die Meldung „Cluster Is Degraded“ angezeigt wird.

ANMERKUNG: Im Gegensatz zu HDDs und SSDs, die für die Speicherung verwendet werden, sollte sich der Laufwerksstatus eines SSD, das für den L3-Cache verwendet wird, bei einem Ausfall sofort und ohne aktiven

Restriping Mittel 1 Manuell

348 Systemjobs


Auswirkungs-Policy

Priorität Betrieb

FlexProtect-Job zu ERSETZEN ändern. Ein SSD-Laufwerk, das für den L3-Cache verwendet wird, enthält nur Cachedaten, die nicht von FlexProtect geschützt werden müssen. Nachdem der Status eines Laufwerks zu ERSETZEN geändert wurde, können Sie das defekte SSD entnehmen und ersetzen.

FlexProtectLin Führt nach einem Geräteausfall eine Überprüfung des Dateisystems durch, um dafür zu sorgen, dass alle Dateien weiterhin geschützt sind. Dieser Befehl ist am effizientesten, wenn Dateisystem-Metadaten auf SSDs gespeichert sind. Führen Sie in diesem Fall FlexProtectLin anstelle von FlexProtect aus.


FSAnalyze* Sammelt Informationen über alle Dateien und Verzeichnisse unterhalb des Pfads /ifs und stellt sie in Berichten zusammen. Für diesen Job müssen Sie eine InsightIQ-Lizenz aktivieren. Berichte von diesem Job werden von InsightIQ-Benutzern zur Systemanalyse verwendet. Weitere Informationen finden Sie im Isilon InsightIQ User Guide.

Keine Niedrig 1 Geplant

IntegrityScan Überprüft die Dateisystemintegrität. Mark Mittel 1 Manuell

MediaScan Sucht und löscht Medienfehler auf Festplatten, um sicherzustellen, dass alle Daten geschützt bleiben

Restriping Niedrig 8 Geplant

MultiScan Führt die Jobs AutoBalance und Collect gleichzeitig aus

Restriping

Mark

Niedrig 4 Manuell

PermissionRepair Verwendet eine Vorlagendatei oder ein Verzeichnis als Grundlage für die Berechtigungen für eine Zieldatei oder ein Verzeichnis. Das Zielverzeichnis muss dem Pfad /ifs immer untergeordnet sein. Dieser Job muss manuell gestartet werden.


QuotaScan* Aktualisiert die Quota-Berechnung für Domains, die in einer vorhandenen Dateistruktur erstellt werden. Nur verfügbar, wenn Sie eine SmartQuotas-Lizenz aktivieren. Dieser Job wird am besten manuell außerhalb der Bürozeiten ausgeführt, wenn alle Quoten eingerichtet sind, sowie beim Einrichten neuer Quoten.


SetProtectPlus Wendet eine Standarddatei-Policy im gesamten Cluster an. Wird nur ausgeführt, wenn keine SmartPools-Lizenz aktiv ist.


ShadowStoreDelete Gibt Speicherplatz frei, der einem Schattenspeicher zugeordnet ist. Schattenspeicher sind versteckte Dateien, die von geklonten und deduplizierten Dateien referenziert werden.


Systemjobs 349


Auswirkungs-Policy

Priorität Betrieb

ShadowStoreProtect Schützt Schattenspeicher, der durch einen logischen i-Node (LIN) referenziert ist, durch ein höheres Schutzlevel


SmartPools* Erzwingt SmartPools-Dateipool-Policies Nur verfügbar, wenn Sie eine SmartPools-Lizenz aktivieren. Dieser Job wird regelmäßig nach Plan ausgeführt und kann auch vom System gestartet werden, wenn eine Änderung vorgenommen wird (z. B. beim Erstellen einer Kompatibilität, durch die Node-Pools zusammengeführt werden).

Restriping Niedrig 6 Geplant

SnapRevert Setzt einen gesamten Snapshot auf den Head zurück.


SnapshotDelete Schafft freien Speicherplatz durch gelöschte Snapshots Vom System ausgelöst, wenn Sie Snapshots zum Löschen markieren.

Keine Mittel 2 Manuell

TreeDelete Löscht einen angegebenen Dateipfad im Verzeichnis /ifs

Keine Mittel 4 Manuell

Upgrade Führt ein Upgrade des Dateisystems nach einem Upgrade der Softwareversion durch.

ANMERKUNG: Der Upgradejob sollte nur ausgeführt werden, wenn Sie Ihr Cluster mit einer Hauptsoftwareversion aktualisieren. Vollständige Informationen finden Sie im Isilon OneFS Upgrade Planning and Process Guide.


WormQueue Verarbeitet die WORM-Warteschlange, die die Commit-Zeiten für WORM-Dateien verfolgt. Wenn eine Datei in den WORM-Status versetzt wird, wird sie aus der Warteschlange entfernt.


* Nur verfügbar, wenn Sie eine zusätzliche Lizenz aktivieren

JobvorgangOneFS umfasst Systemwartungsjobs, mit denen sichergestellt werden soll, dass Ihr Isilon-Cluster einwandfrei arbeitet. Durch die Job-Engine führt OneFS einen Teil dieser Jobs je nach Bedarf automatisch aus, um Datei- und Datenintegrität sicherzustellen, Laufwerke und Nodes auf Fehler zu prüfen diese zu mindern, und um freien Speicherplatz zu optimieren. Andere Jobs, z. B. die Deduplizierung, können Sie mit der Job-Engine manuell starten, oder sie so planen, dass sie automatisch in regelmäßigen Intervallen ausgeführt werden.

Die Job-Engine führt Systemwartungsjobs im Hintergrund aus und verhindert, dass Jobs innerhalb derselben Klassifizierung (Ausschlussliste) gleichzeitig ausgeführt werden. Es werden zwei Ausschlusslisten angewendet: Restripe und Mark.

Restripe-Jobtypen sind:

• AutoBalance• AutoBalanceLin• FlexProtect• FlexProtectLin• MediaScan• MultiScan• SetProtectPlus• SmartPools

Mark-Jobtypen sind:

350 Systemjobs

• Collect• IntegrityScan• MultiScan

Beachten Sie, dass MultiScan sowohl in der Restripe- als auch in der Mark-Ausschlussliste enthalten ist. Sie können den festgelegten Ausschlussparameter für einen Jobtyp nicht ändern.

Die Job-Engine reagiert gleichfalls auf die Jobpriorität und kann bis zu drei Jobs jeglicher Priorität gleichzeitig ausführen. Die Jobpriorität wird mit 1-10 bezeichnet, wobei 1 die höchste und 10 die niedrigste Priorität ist. Das System verwendet die Jobpriorität, wenn ein Konflikt zwischen den in der Warteschlange befindlichen Jobs bzw. zwischen derzeit ausgeführten Jobs besteht. Beispiel: Wenn Sie manuell einen Job starten, der eine höhere Priorität hat als drei andere Jobs, die bereits ausgeführt werden, hält die Job-Engine den aktiven Job mit der niedrigsten Priorität an, führt den neuen Job aus, und nimmt dann die Ausführung des älteren Jobs an dem Punkt wieder auf, an dem er angehalten wurde. Ähnlich verhält es sich, wenn Sie einen Job starten, der sich in der Restripe-Ausschlussliste befindet und ein zweiter Restripe-Job bereits ausgeführt wird. In diesem Fall legt das System anhand der Priorität fest, welcher Job ausgeführt werden (oder in Ausführung bleiben) soll und welcher Job angehalten (oder weiterhin angehalten) werden soll.

Andere Jobparameter bestimmen den Aktivitätsstatus, die Auswirkungen auf die Performance und die Planung von Jobs. Als Systemadministrator können Sie die Jobstandards übernehmen oder diese Parameter nach Ihren Bedürfnissen anpassen (mit Ausnahme der Ausschlussliste).

Wenn ein Job gestartet wird, verteilt die Job-Engine Jobsegmente (Phasen und Aufgaben) über die Nodes Ihres Clusters. Ein Node dient als Jobkoordinator und kommuniziert ständig mit den anderen Nodes, um einen Lastenausgleich zu erzielen. Auf diese Weise wird kein Node überlastet und Systemressourcen bleiben für andere nicht von der Job-Engine stammende Administrator- und System-I/O-Aktivitäten frei.

Nach dem Abschluss einer Aufgabe, meldet jeder Node den Aufgabenstatus an den Jobkoordinator. Der Node, der als Jobkoordinator fungiert, speichert diese Aufgabenstatusinformationen in einer Kontrollpunktdatei. Folglich kann ein Job bei einem Stromausfall oder, falls er angehalten wird, immer ab dem Punkt neu gestartet werden, an dem er unterbrochen wurde. Dies ist wichtig, da bestimmte Jobs mehrere Stunden dauern können und erhebliche Systemressourcen verbrauchen.


Systemjobbibliothek

JobperformanceauswirkungDer Job-Engine-Service überwacht die Systemperformance, damit Wartungsjobs sich nicht wesentlich auf die normale I/O-Aktivität des Clusters und auf andere Systemadministrationsaufgaben auswirken. Die Job-Engine verwendet Auswirkungs-Policies, die Sie managen können, um zu steuern, wann ein Job ausgeführt werden kann und welche Systemressourcen der Job verwenden darf.

Die Job-Engine verfügt über vier Standardauswirkungs-Policies, die Sie verwenden, jedoch nicht ändern können. Die Standardauswirkungs-Policies sind:

Auswirkungs-Policy Ausführungsberechtigung Ressourcenverbrauch

LOW Jederzeit Niedrig

MEDIUM Jederzeit Mittel

HIGH Jederzeit Hoch

OFF_HOURS Außerhalb der Geschäftszeiten. Geschäftszeiten sind Montag bis Freitag, 9:00 bis 17:00 Uhr. OFF_HOURS wird während der Geschäftszeiten angehalten.

Niedrig

Wenn Sie keine Standardauswirkungs-Policy für einen Job festlegen möchten, können Sie eine benutzerdefinierte Policy mit neuen Einstellungen erstellen.

Jobs mit einer niedrigen Auswirkungs-Policy haben die geringsten Auswirkungen auf verfügbare CPU- und Festplatten-I/O-Ressourcen. Jobs mit einer hohen Auswirkungs-Policy haben erheblich höhere Auswirkungen. In allen Fällen wendet die Job-Engine jedoch Algorithmen zur Drosselung der CPU- und Festplattenauslastung an, um dafür zu sorgen, dass manuell gestartete Aufgaben und andere I/O-Aufgaben, die nicht mit der Job-Engine in Verbindung stehen, höhere Priorität erhalten.

Systemjobs 351


Managen von Auswirkungs-Policies

JobprioritätenJobprioritäten bestimmen, welcher Job Vorrang hat, wenn versucht wird, mehr als drei Jobs mit verschiedenen Ausschlusssätzen gleichzeitig auszuführen. Die Job-Engine weist jedem Job einen Prioritätswert zwischen 1 und 10 zu, wobei 1 der wichtigste und 10 der unwichtigste ist.

Es können maximal drei Jobs gleichzeitig ausgeführt werden. Wenn ein vierter Job mit einer höheren Priorität entweder manuell oder über ein Systemevent gestartet wird, hält die Job-Engine einen der Jobs mit niedrigerer Priorität, der aktuell ausgeführt wird, an. Die Job-Engine legt den angehaltenen Job in einer Prioritätswarteschlange ab und setzt ihn automatisch fort, wenn einer der anderen Jobs abgeschlossen wird.

Wenn zwei Jobs desselben Prioritätslevels so geplant werden, dass sie gleichzeitig ausgeführt werden, und bereits zwei weitere Jobs mit höherer Priorität ausgeführt werden, so wird der Job, der zuerst in die Warteschlange gestellt wurde, zuerst ausgeführt.

Managen von SystemjobsMit der Job-Engine können Sie regelmäßige Systemwartungsaufgaben steuern, die für Stabilität und Integrität des OneFS-Dateisystems sorgen. Während der Ausführung von Wartungsjobs überwacht und minimiert die Job-Engine kontinuierlich deren Auswirkungen auf die Gesamtperformance des Clusters.

Als Systemadministrator können Sie diese Jobs an einem bestimmten Workflow des Isilon-Clusters anpassen. Sie können aktive Jobs und den Jobverlauf anzeigen, Jobeinstellungen ändern und Jobinstanzen starten, anhalten, wiederaufnehmen, abbrechen und aktualisieren.

Anzeigen aktiver JobsWenn Sie langsamere Reaktionszeiten bei der Durchführung von Administrationsaufgaben verzeichnen, können Sie die Jobs anzeigen, die derzeit auf Ihrem Isilon-Cluster ausgeführt werden.

1. Klicken Sie auf Cluster Management > Job Operations > Job Summary.

2. In der Tabelle Active Jobs werden Statusinformationen über alle aktuell ausgeführten Jobs sowie Jobeinstellungen und Fortschrittsdetails angezeigt.

a) Sie können Sammelvorgänge für die aktiven Jobs durchführen, indem Sie das Kontrollkästchen Status aktivieren und dann eine Aktion aus der Drop-down-Liste Select a bulk action auswählen.


Systemjobbibliothek

Anzeigen des JobverlaufsWenn Sie prüfen möchten, wann ein wichtiger Job das letzte Mal ausgeführt wurde, können Sie die neuesten Aktivitäten für einen bestimmten Job oder für alle Jobs anzeigen.


In der Tabelle Job Reports wird eine chronologische Liste der Job-Events angezeigt, die im Cluster stattgefunden haben. Eventinformationen umfassen die Uhrzeit des Events, den Job, der für das Event verantwortlich ist, und die Ergebnisse des Events.

2. Sie können die Berichte nach Jobtyp filtern, indem Sie den Job in der Drop-down-Liste Filter by Job Type auswählen.

3. Klicken Sie neben einem Jobnamen auf View Details, um die neuesten Events ausschließlich zu diesem Job anzuzeigen.

Die neuesten Events für den Job werden im Fenster View Job Report Details angezeigt und enthalten Informationen wie Startzeit und Dauer und ob der Job erfolgreich war.


Systemjobbibliothek

352 Systemjobs

Starten eines JobsStandardmäßig werden nur bestimmte Systemwartungsjobs automatisch ausgeführt. Sie können Jobs jedoch jederzeit manuell starten.


2. Suchen Sie in der Liste Job Types den Job, den Sie starten möchten, und klicken Sie dann auf Start Job.Das Dialogfeld Start a Job wird angezeigt.

3. Geben Sie die Details für den Job an und klicken Sie dann auf Start Job.


Systemjobbibliothek

Anhalten eines JobsSie können einen Job vorübergehend anhalten, um Systemressourcen freizugeben.


2. Klicken Sie in der Tabelle Active Jobs neben dem Job, den Sie anhalten möchten, auf More.

3. Klicken Sie im daraufhin angezeigten Menü auf Pause Running Job.Der Job bleibt so lange angehalten, bis Sie ihn wiederaufnehmen.


Systemjobbibliothek

Wiederaufnehmen eines JobsSie können einen angehaltenen Job wiederaufnehmen.


2. Klicken Sie in der Tabelle Active Jobs neben dem Job, den Sie wiederaufnehmen möchten, auf More.

3. Klicken Sie im Menü, das daraufhin angezeigt wird, auf Resume Running Job.

Der Job wird in der Phase oder Aufgabe, in der er angehalten wurde, wiederaufgenommen.


Systemjobbibliothek

Abbrechen eines JobsSie können einen laufenden, angehaltenen oder wartenden Job dauerhaft abbrechen, beispielsweise um Systemressourcen freizugeben, oder aus einem anderen Grund.


2. Klicken Sie in der Tabelle Active Jobs neben dem Job, den Sie abbrechen möchten, auf More.

3. Klicken Sie im daraufhin angezeigten Menü auf Cancel Running Job.


Systemjobbibliothek

Aktualisieren eines JobsSie können die Priorität und die Auswirkungs-Policy eines laufenden, wartenden oder angehaltenen Jobs ändern.

Wenn Sie einen Job aktualisieren, wird nur die aktuellen Instanz des Jobs mit den aktualisierten Einstellungen ausgeführt. Die nächste Instanz des Jobs kehrt zu den Standardeinstellungen für diesen Job zurück.

ANMERKUNG: Informationen zur dauerhaften Änderung von Jobeinstellungen finden Sie unter „Ändern von

Jobtypeinstellungen“.

Systemjobs 353


2. Klicken Sie in der Tabelle Active Jobs neben dem Job, den Sie aktualisieren möchten, auf View/Edit.

3. Erforderlich: Klicken Sie im daraufhin angezeigten Fenster View Active Job Details auf Edit Job.

a) Wählen Sie aus der Drop-down-Liste Priority ein neues Prioritätslevel aus.b) Wählen Sie aus der Drop-down-Liste Impact Policy ein neues Auswirkungs-Policy-Level aus.


Wenn Sie einen laufenden Job aktualisieren, wird der Job automatisch wiederaufgenommen. Wenn Sie einen angehalten oder inaktiven Job aktualisieren, bleibt der Job in diesem Status, bis Sie ihn neu starten.


Systemjobbibliothek

Ändern von JobtypeinstellungenSie können Systemwartungsjobs für Ihren administrativen Workflow anpassen, indem Sie das Standardprioritätslevel, Auswirkungslevel und die Planung für einen Jobtyp ändern.


2. Suchen Sie in der Tabelle Job Types die Zeile für die Policy, die Sie ändern möchten, und klicken Sie auf View / Edit.

Im daraufhin angezeigten Fenster View Job Type Details werden die aktuellen Standardeinstellungen, die Planung, der aktuelle Status und die neueste Aktivität angezeigt.

3. Klicken Sie auf Edit Job Type. Das Fenster Edit Job Type Details wird angezeigt.

4. Nehmen Sie die gewünschten Änderungen vor. Sie können die Standardpriorität und die Standard-Auswirkungs-Policy ändern, den Job aktivieren und festlegen, ob der Job manuell oder nach einer Planung ausgeführt wird.

5. Klicken Sie auf Scheduled, um eine Jobplanung zu ändern, und wählen Sie die Planungsoption aus der Drop-down-Liste aus.

6. Klicken Sie auf Save Changes.Die Änderungen werden für alle Instanzen dieses Jobtyps gespeichert und angewendet. Die Ergebnisse werden im Fenster View Job Type Details angezeigt.



Systemjobbibliothek

Managen von Auswirkungs-PoliciesFür Systemwartungsjobs, die über den Job-Engine-Service ausgeführt werden, können Sie Policies erstellen und zuweisen, mit denen die Auswirkungen von Jobs auf die Systemperformance gesteuert werden können.

Als Systemadministrator können Sie Auswirkungs-Policies erstellen, kopieren, ändern und löschen und ihre Einstellungen anzeigen.


Jobperformanceauswirkung

Erstellen einer Auswirkungs-Policy:Die Job-Engine enthält vier Auswirkungs-Policies, die Sie weder ändern noch löschen können. Sie können jedoch neue Auswirkungs-Policies erstellen und konfigurieren.

1. Klicken Sie auf Cluster Management > Job Operations > Impact Policies.

2. Klicken Sie auf Add an Impact Policy.

Das Fenster Create Impact Policy wird angezeigt.

3. Geben Sie im Feld Name einen Namen für die Policy ein. Dieses Feld ist ein Pflichtfeld.

4. Erforderlich: Geben Sie im Textfeld Description einen Kommentar zur Auswirkungs-Policy ein.

Führen Sie spezifische Informationen zur Auswirkungs-Policy wie eindeutige Planungsparameter oder logistische Anforderungen an, die die Auswirkungs-Policy erforderlich machen.

354 Systemjobs

5. Klicken Sie auf Add an Impact Policy Interval.

a) Wählen Sie im Fenster Add an Impact Policy Interval in den Drop-down-Listen das Auswirkungslevel sowie Start- und Endzeit aus.b) Klicken Sie auf Add Impact Policy Interval.

Das Fenster Add an Impact Policy Interval wird nicht mehr angezeigt und die ausgewählten Einstellungen werden in der Tabelle Impact Schedule angezeigt.

6. Klicken Sie auf Create Impact Policy.Ihre Kopie der Auswirkungs-Policy wird gespeichert und in alphabetischer Reihenfolge in der Tabelle Impact Policies angezeigt.



Kopieren einer Auswirkungs-PolicySie können eine standardmäßige Auswirkungs-Policy als Vorlage für eine neue Policy verwenden, indem Sie eine Kopie erstellen und ändern.


2. Suchen Sie in der Tabelle Impact Policies die Zeile für die Policy, die Sie kopieren möchten, und klicken Sie auf More > Copy Impact Policy. Das Fenster Copy Impact Policy wird angezeigt.

3. Geben Sie im Feld Name einen Namen für die neue Policy ein.

4. Geben Sie im Textfeld Description eine Beschreibung für die neue Policy ein.

Führen Sie spezifische Informationen zur Auswirkungs-Policy wie eindeutige Planungsparameter oder logistische Anforderungen an, die die Auswirkungs-Policy erforderlich machen.

5. Klicken Sie auf Add an Impact Policy Interval.

a) Wählen Sie im Fenster Add an Impact Policy Interval in den Drop-down-Listen das Auswirkungslevel sowie Start- und Endzeit aus.b) Klicken Sie auf Add Impact Policy Interval.

Das Fenster Add an Impact Policy Interval wird geschlossen und die ausgewählten Einstellungen werden in der Tabelle Impact Schedule angezeigt.

6. Klicken Sie auf Copy Impact Policy.Die Kopie der Auswirkungs-Policy wird gespeichert und in alphabetischer Reihenfolge in der Tabelle Impact Policies angezeigt.



Ändern einer Auswirkungs-PolicySie können den Namen, die Beschreibung und die Auswirkungsintervalle einer angepassten Auswirkungs-Policy ändern.

Sie können die standardmäßigen Auswirkungs-Policies HIGH, MEDIUM, LOW und OFF_HOURS nicht ändern. Wenn Sie eine Policy ändern möchten, erstellen und ändern Sie hierzu eine Kopie einer Standard-Policy.

1. Navigieren Sie zu Cluster Management > Job Operations > Impact Policies.

2. Klicken Sie in der Tabelle Impact Policies neben der Policy, die Sie ändern möchten, auf View / Edit.Das Fenster Edit Impact Policy wird angezeigt.

3. Klicken Sie auf Edit Impact Policy und ändern Sie eine oder alle der folgenden Angaben:

Policy Description a. Geben Sie im Feld Description eine neue Beschreibung für die Auswirkungs-Policy ein.b. Klicken Sie auf Submit.

Auswirkungsplanung a. Ändern Sie im Bereich Impact Schedule die Planung für die Auswirkungs-Policy, indem Sie Auswirkungsintervalle hinzufügen, bearbeiten oder löschen.

b. Klicken Sie auf Save Changes.

Die geänderte Auswirkungs-Policy wird gespeichert und in alphabetischer Reihenfolge in der Tabelle Impact Policies angezeigt.

Systemjobs 355



Löschen einer Auswirkungs-PolicySie können selbst erstellte Auswirkungs-Policies löschen.

Sie können die standardmäßigen Auswirkungs-Policies HIGH, MEDIUM, LOW und OFF_HOURS nicht löschen.


2. Suchen Sie in der Tabelle Impact Policies die angepasste Auswirkungs-Policy, die Sie löschen möchten, und klicken Sie dann auf More > Delete.Das Dialogfeld Confirm Delete wird angezeigt.




Anzeigen der Auswirkungs-Policy-EinstellungenSie können die Auswirkungs-Policy-Einstellungen für jeden beliebigen Job anzeigen.

1. Klicken Sie auf Cluster Management > Job Operations > Job Types.Die Tabelle Job Types wird angezeigt.

2. Durchsuchen Sie bei Bedarf die Tabelle Job Types, um einen bestimmten Job zu finden.Die Auswirkungs-Policy-Einstellungen für den Job werden in der Tabelle Job Types angezeigt.



Anzeigen von Jobberichten und -statistikenSie können Berichte zu Systemjobs erzeugen und Statistiken anzeigen, um die verbrauchten Systemressourcen besser bestimmen zu können.

Die meisten von der Job Engine gesteuerten Systemjobs laufen mit niedriger Priorität und niedriger Auswirkungs-Policy und haben in der Regel keine spürbaren Auswirkungen auf die Clusterperformance.

Einige Jobs werden aufgrund von wichtigen Funktionen mit höherer Priorität und mittlerer Auswirkungs-Policy ausgeführt. Zu diesen Jobs gehören FlexProtect und FlexProtect Lin, FSAnalyze, SnapshotDelete und TreeDelete.

Wenn Sie sich als Systemadministrator Gedanken über die Auswirkungen von Systemjobs auf die Clusterperformance machen, können Sie hierzu Jobstatistiken und -berichte anzeigen. Diese Tools ermöglichen es Ihnen, detaillierte Informationen zur Auslastung durch Jobs, einschließlich CPU- und Arbeitsspeicherauslastung sowie I/O-Vorgänge anzuzeigen.

Anzeigen von Statistiken für einen laufenden JobSie können Statistiken für einen in Ausführung befindlichen Job anzeigen.


Sie können Jobs anzeigen, die im BereichActive Jobs ausgeführt werden.

2. Klicken Sie rechts neben dem Jobeintrag auf View/Edit.

Der Bildschirm View Active Jobs Details wird geöffnet, wo Sie Statistiken wie verarbeitete Daten, verstrichene Zeit, Phasen und Fortschritt anzeigen können, darunter eine Schätzung der verbleibenden Zeit für den Job.

Anzeigen eines Berichts für einen abgeschlossenen JobNach Abschluss eines Jobs können Sie einen Bericht zu diesem Job anzeigen.

Ein Jobbericht ist erst dann verfügbar, wenn der Job abgeschlossen ist.

356 Systemjobs


Die Seite Job Reports wird angezeigt.

2. Suchen Sie den Job, dessen Bericht Sie anzeigen möchten.

3. Klicken Sie auf View Details.Der Bildschirm View Job Report Details wird angezeigt. Die Details enthalten Jobstatistiken wie verstrichene Zeit, CPU- und Speicherauslastung sowie Gesamt-I/O-Vorgänge.

4. Wenn Sie mit dem Anzeigen des Berichts fertig sind, klicken Sie auf Close.

Systemjobs 357

NetzwerkeDieser Abschnitt enthält die folgenden Themen:

Themen:

• Übersicht über das Netzwerk• Informationen über das interne Netzwerk• Informationen über das externe Netzwerk• Konfigurieren des internen Netzwerks• Managen von Gruppennetzen• Managen externer Netzwerksubnetze• Managen von IP-Adressenpools• Managen von SmartConnect-Einstellungen• Managen von Netzwerkschnittstellenmitgliedern• Managen von Node-Provisioning-Regeln• Managen von Routingoptionen• Managen von DNS-Cacheeinstellungen• Managen von TCP-Ports

Übersicht über das NetzwerkNachdem Sie die Topologie Ihres Netzwerks bestimmt haben, können Sie Ihre internen und externen Netzwerke einrichten und managen.

Auf einem Cluster gibt es 2 Typen von Netzwerken:

Intern Nodes kommunizieren über ein InfiniBand-Hochgeschwindigkeitsnetzwerk mit niedriger Latenz miteinander. Sie können optional ein zweites InfiniBand-Netzwerk als Failover für Redundanz konfigurieren.

Extern Clients stellen über das externe Netzwerk eine Ethernetverbindung zum Cluster her. Das Isilon-Cluster unterstützt Standardprotokolle für die Netzwerkkommunikation, darunter NFS, SMB, HDFS, HTTP und FTP. Das Cluster enthält verschiedene externe Ethernetverbindungen und stellt Flexibilität für viele verschiedene Netzwerkkonfigurationen bereit.

Informationen über das interne NetzwerkEin Cluster muss für die interne Kommunikation und die Datenübertragung eine Verbindung zu mindestens einem InfiniBand-Highspeedswitch mit niedriger Latenz herstellen. Die Verbindung mit dem InfiniBand-Switch wird auch als internes Netzwerk bezeichnet. Das interne Netzwerk unterscheidet sich vom externen Netzwerk (Ethernet), durch welches die Benutzer auf das Cluster zugreifen.

Nach der Erstkonfiguration Ihres Clusters erstellt OneFS ein erstes internes Netzwerk für den InfiniBand-Switch. Die Schnittstelle zum internen Standardnetzwerk ist int-a. Ein internes Netzwerk für einen zweiten InfiniBand-Switch kann für Redundanz und Failover hinzugefügt werden. Failover ermöglicht fortlaufende Konnektivität während Pfadausfällen. Die Schnittstelle zum sekundären internen Netzwerk ist int-b, in der Webverwaltungsschnittstelle als int-b/failover bezeichnet.

VORSICHT: Nur Isilon-Nodes sollten mit Ihrem InfiniBand-Switch verbunden werden. Im Back-end-Netzwerk

ausgetauschte Informationen werden nicht verschlüsselt. Wenn Sie andere Nodes als Isilon-Nodes mit dem InfiniBand-

Switch verbinden, stellt das ein Sicherheitsrisiko dar.

Interne IP-AdressbereicheDie Anzahl der IP-Adressen, die dem internen Netzwerk zugewiesen sind, legt fest, wie viele Nodes dem Cluster beitreten können.

Bei der Erstkonfiguration des Clusters geben Sie eine oder mehrere IP-Adressbereiche für den primären InfiniBand-Switch an. Der Adressbereich wird von den Nodes verwendet, um miteinander zu kommunizieren. Es wird empfohlen, dass Sie einen Bereich von IP-Adressen erstellen, der groß genug für das Hinzufügen von zusätzlichen Nodes zum Cluster ist.

25

358 Netzwerke

Alle Cluster verfügen zwar mindestens über ein internes InfiniBand-Netzwerk (int-a), aber Sie können ein zweites internes Netzwerk zur Unterstützung eines anderen Infiniband-Switches mit Netzwerk-Failover (int-b/failover) aktivieren. Sie müssen für das sekundäre Netzwerk mindestens einen IP-Adressbereich sowie einen Bereich für das Failover zuweisen.

Wenn einer der während der Erstkonfiguration definierten IP-Adressbereiche zu restriktiv für die Größe des internen Netzwerks ist, können Sie Bereiche zum int-a- und int-b/failover-Netzwerk hinzufügen. Dabei ist u. U. ein Neustart des Clusters erforderlich. Bei anderen Konfigurationsänderungen, beispielsweise beim Löschen einer IP-Adresse, die einem Node zugewiesen ist, muss das Cluster ebenfalls neu gestartet werden.

Internes Netzwerk-FailoverSie können einen internen Switch als Failover-Netzwerk konfigurieren, um Redundanz für die clusterinterne Kommunikation bereitzustellen.

Um ein internes Failover-Netzwerk zu unterstützen, muss Port „int-a“ auf jedem Node im Cluster physisch mit einem der Infiniband-Switche verbunden werden und Port „int-b“ auf jedem Node muss mit dem anderen Infiniband-Switch verbunden werden.

Wenn die Ports verbunden sind, müssen Sie zwei IP-Adressbereiche konfigurieren: einen zur Unterstützung der internen int-b-Schnittstellen und einen zur Unterstützung von Failover. Diese Failover-Adressen ermöglichen ein nahtloses Failover für den Fall, dass entweder der int-a- oder der int-b-Switch ausfällt.

Informationen über das externe NetzwerkSie stellen die Verbindung eines Clientcomputers mit dem Cluster über das externe Netzwerk her. Die Konfiguration des externen Netzwerks umfasst Gruppennetze, Subnetze, IP-Adressenpools sowie Regeln zum Node Provisioning.

Gruppennetze sind die Konfigurationsebene für das Management mehrerer Mandanten auf Ihrem externen Netzwerk. Die Einstellungen für den DNS-Client, z. B. Nameserver und eine DNS-Suchliste, sind Eigenschaften des Gruppennetzes. Gruppennetze befinden sich an der obersten Ebene der Netzwerkhierarchie. Sie können in einem Gruppennetz ein oder mehrere Subnetze erstellen.

Subnetze vereinfachen das externe (Front-end)-Netzwerkmanagement und bieten Flexibilität bei der Implementierung und Wartung des Clusternetzwerks. Sie können IP-Adressenpools innerhalb von Subnetzen erstellen, um die Netzwerkschnittstellen gemäß Workflow- oder Node-Typ zu partitionieren.

Der IP-Adressenpool eines Subnetzes besteht aus einem oder mehreren IP-Adressbereichen. IP-Adressenpools können Netzwerkschnittstellen auf Cluster-Nodes zugeordnet werden. Die Einstellungen für die Clientverbindung werden auf Ebene des IP-Adressenpools konfiguriert.

Während der Einrichtung des Clusters wird ein erstes externes Netzwerksubnetz mit der folgenden Konfiguration erstellt:

• Ein erstes Gruppennetz mit dem Namen „groupnet0“ und den festgelegten globalen, ausgehenden DNS-Einstellungen für die Domainnamenserverliste und die DNS-Suchliste, sofern vorhanden

• Ein erstes Subnetz mit dem Namen „subnet0“ einschließlich Netzmaske, Gateway und SmartConnect-Serviceadresse• Ein erster IP-Adressenpool mit dem Namen „pool0“ und dem angegebenen IP-Adressbereich, dem Namen der SmartConnect-Zone

und der externen Schnittstelle des ersten Node im Cluster als einziges Poolmitglied• Eine erste Standardregel für das Netzwerk-Provisioning mit dem Namen „rule0“, die die erste Netzwerkschnittstelle für alle neu

hinzugefügten Nodes automatisch zu „pool0“ zuweist• Fügt „subnet0“ zu „groupnet0“ hinzu• Fügt „pool0“ zu „subnet0“ hinzu und konfiguriert „pool0“ für die Verwendung der virtuellen IP von „subnet0“ als SmartConnect-

Serviceadresse

GruppennetzeGruppennetze stehen an oberster Ebene der Netzwerkhierarchie und sind die Konfigurationsebene für das Management mehrerer Mandanten auf Ihrem externen Netzwerk. Die Einstellungen für den DNS-Client, z. B. Nameserver und eine DNS-Suchliste, sind Eigenschaften des Gruppennetzes. Sie können ein separates Gruppennetz für jeden DNS-Namespace erstellen, den Sie verwenden möchten. Auf diese Weise können Teile des Isilon-Clusters unterschiedliche Netzwerkeigenschaften für die Namensauflösung haben. Jedes Gruppennetz verwaltet seinen eigenen DNS-Cache, der standardmäßig aktiviert ist.

Ein Gruppennetz ist ein Container, der Subnetze, IP-Adressenpools und Provisioning-Regeln enthält. Gruppennetze können ein oder mehrere Subnetze enthalten und jedes Subnetz ist einem einzigen Gruppennetz zugewiesen. Jeder Cluster enthält ein standardmäßiges Gruppennetz namens „groupnet0“, das ein erstes Subnetz namens „subnet0“, einen ersten IP-Adressenpool namens „pool0“ und eine erste Provisioning-Regel namens „rule0“ enthält.

Jedes Gruppennetz wird durch eine oder mehrere Zugriffszonen referenziert. Wenn Sie eine Zugriffszone erstellen, können Sie ein Gruppennetz angeben. Wenn kein Gruppennetz angegeben wird, wird für die Zugriffszone das standardmäßige Gruppennetz verwendet.

Netzwerke 359

Die Systemzugriffszone ist automatisch dem Standardgruppennetz zugeordnet. Authentifizierungsanbieter, die mit einem externen Server wie Active Directory und LDAP kommunizieren, müssen ebenfalls ein Gruppennetz angeben. Sie können für den Authentifizierungsanbieter ein bestimmtes Gruppennetz angeben. Andernfalls referenziert der Anbieter das Standardgruppennetz. Sie können einen Authentifizierungsanbieter nur dann einer Zugriffszone hinzufügen, wenn dieser mit dem gleichen Gruppennetz verknüpft ist. Clientprotokolle wie SMB, NFS, HDFS und Swift werden über ihre jeweiligen Zugriffszonen für Gruppennetze unterstützt.


Managen von Gruppennetzen

DNS-Namensauflösung

DNS-NamensauflösungSie können bis zu drei DNS-Server pro Gruppennetz zur Verarbeitung der DNS-Namensauflösung festlegen.

Die DNS-Server müssen als IPv4- oder IPv6-Adresse konfiguriert werden. Sie können bis zu sechs DNS-Suchsuffixe pro Gruppennetz angeben. Die Einstellungen für Suffixe werden an die Domainnamen angehängt, die nicht vollständig qualifiziert sind.

Zusätzliche DNS-Servereinstellungen auf Ebene des Gruppennetzes umfassen das Aktivieren eines DNS-Caches, einer serverseitigen Suche und einer DNS-Auflösung nach dem Rotationsprinzip.

Zugehörige Tasks

Festlegen eines SmartConnect-Servicesubnetzes

SubnetzeSubnetze sind Netzwerkcontainer, mit denen Sie Ihr Netzwerk in kleinere, logische IP-Netzwerke unterteilen können.

Auf einem Cluster werden Subnetze unter einem Gruppennetz erstellt, wobei jedes Subnetz ein oder mehrere IP-Adressenpools umfasst. IPv4- und IPv6-Adressen werden in OneFS unterstützt. Allerdings ist eine Kombination aus beiden in Subnetzen nicht möglich. Geben Sie beim Erstellen eines Subnetzes an, ob es IPv4- oder IPv6-Adressen unterstützen soll.

Sie können beim Erstellen von Subnetzen die folgenden Optionen konfigurieren:

• Gatewayserver zur Weiterleitung ausgehender Pakete und Gatewaypriorität• Maximum Transmission Unit (MTU), die Netzwerkschnittstellen im Subnetz für die Netzwerkkommunikation verwenden sollen• SmartConnect-Serviceadresse, also die IP-Adresse, auf der das SmartConnect-Modul die DNS-Anforderungen in diesem Subnetz

überwacht• VLAN-Tagging, damit das Cluster an mehreren virtuellen Netzwerken teilnehmen kann• Direct Server Return-Adresse (DSR), wenn Ihr Cluster einen externen Switch für den Hardwarelastenausgleich umfasst, der DSR

verwendet

Die Einrichtung Ihrer externen Netzwerksubnetze hängt von der Netzwerktopologie ab. In einer grundlegenden Netzwerktopologie, in der die gesamte Client-Node-Kommunikation über direkte Verbindungen erfolgt, ist beispielsweise nur ein einziges externes Subnetz erforderlich. Wenn Ihre Clients aber z. B. eine Verbindung über IPv4- und IPv6-Adressen herstellen sollen, müssen Sie mehrere Subnetze konfigurieren.


VLANs

Managen externer Netzwerksubnetze

IPv6-Support

IPv6-SupportOneFS unterstützt auf einem Cluster sowohl IPv4- als auch IPv6-Adressformate.

IPv6 ist die nächste Generation der Internetprotokolladressen und wurde im Hinblick auf die wachsende Nachfrage nach IP-Adressen entwickelt. In der folgenden Tabelle werden wichtige Unterschiede zwischen IPv4 und IPv6 aufgeführt.

IPv4 IPv6

32-Bit-Adressen 128-Bit-Adressen

ARP (Address Resolution Protocol) NDP (Neighbor Discovery Protocol)

360 Netzwerke

Sie können das Isilon-Cluster in OneFS für IPv4, IPv6 oder beides (Dual-Stack) konfigurieren. Sie legen die IP-Familie bei der Erstellung eines Subnetzes fest und alle dem Subnetz zugewiesenen IP-Adressenpools müssen das ausgewählte Format verwenden.


Subnetze

VLANsVLAN-Tagging ist eine optionale Einstellung, mit der ein Cluster an mehreren virtuellen Netzwerken teilnehmen kann.

Sie können ein physisches Netzwerk in mehrere Broadcast-Domains oder virtuelle LANs (VLANs) partitionieren. Sie können ein Cluster für die Teilnahme an einem VLAN aktivieren, was den Support mehrerer Clustersubnetze ohne mehrere Netzwerkswitche ermöglicht. Ein physischer Switch aktiviert mehrere virtuelle Subnetze.

VLAN-Tagging fügt eine ID in Paketkopfzeilen ein. Der Switch verwendet die ID, um das VLAN zu identifizieren, von dem das Paket stammt, und um festzustellen, an welche Netzwerkschnittstelle ein Paket gesendet werden soll.

Zugehörige Tasks

Aktivieren oder Deaktivieren von VLAN-Tagging

IP-AdressenpoolsIP-Adressenpools werden einem Subnetz zugewiesen und bestehen aus einem oder mehreren IP-Adressbereichen. Sie können Nodes und Netzwerkschnittstellen in logische IP-Adressenpools partitionieren. IP-Adressenpools werden auch beim Konfigurieren von SmartConnect-DNS-Zonen und zum Management der Clientverbindung verwendet.

Jeder IP-Adressenpool gehört zu einem einzigen Subnetz. Mehrere Pools sind für ein einziges Subnetz nur dann verfügbar, wenn Sie eine SmartConnect Advanced-Lizenz aktivieren.

Die einem Pool zugewiesenen IP-Adressbereiche müssen eindeutig sein und der IP-Adressreihe (IPv4 oder IPv6) angehören, die für das Subnetz angegeben ist, das den Pool enthält.

Sie können Netzwerkschnittstellen zu IP-Adressenpools hinzufügen, um Adressbereiche mit einem Node oder einer Gruppe von Nodes zu verknüpfen. Beispiel: Auf Grundlage des erwarteten Netzwerkverkehrs entscheiden Sie möglicherweise, eine IP-Adresse für Speicher-Nodes und eine andere für Accelerator Nodes einzurichten.

SmartConnect-Einstellungen zum Management der Antworten auf DNS-Abfragen und von Clientverbindungen werden auf der Poolebene der IP-Adresse konfiguriert.


Managen von IP-Adressenpools

VerbindungsbündelungDie Linkzusammenfassung, auch bekannt als NIC-Aggregation (Network Interface Card), ist optional. Sie ermöglicht es, die Netzwerkschnittstellen auf einem physischen Node in einer einzigen logischen Verbindung zu kombinieren, um einen erhöhten Netzwerkdurchsatz zu erzielen.

Netzwerkschnittstellen können einem IP-Adressenpool einzeln oder zusammengefasst hinzugefügt werden. Ein Linkzusammenfassungsmodus wird auf Poolbasis ausgewählt und gilt für alle zusammengefassten Netzwerkschnittstellen im IP-Adressenpool. Der Linkzusammenfassungsmodus bestimmt, wie der Datenverkehr zwischen den zusammengefassten Netzwerkschnittstellen ausgeglichen und weitergeleitet wird.


Managen von Netzwerkschnittstellenmitgliedern

SmartConnect-ModulSmartConnect ist ein Modul, das angibt, wie der DNS-Server auf dem Cluster Verbindungsanforderungen von Clients verarbeitet und welche Policies für die Zuweisung von IP-Adressen zu Netzwerkschnittstellen verwendet werden, darunter Failover und Umverteilung.

Die Einstellungen und Policies, die für SmartConnect konfiguriert sind, werden pro IP-Adressenpool angewendet. Sie können grundlegende und erweiterte SmartConnect-Einstellungen konfigurieren.

Netzwerke 361

SmartConnect BasicSmartConnect Basic ist in OneFS als Standardfunktion enthalten und erfordert keine Lizenz. SmartConnect Basic unterstützt die folgenden Einstellungen:

• Spezifikation der DNS-Zone• Nur Verbindungslastenausgleich nach der Round-Robin-Methode• Servicesubnetz zur Reaktion auf DNS-Anforderungen

SmartConnect Basic ermöglicht das Hinzufügen von 2 SmartConnect-Service-IP-Adressen zu einem Subnetz.

SmartConnect Basic hat die folgenden Einschränkungen bezüglich der IP-Adressenpoolkonfiguration:

• Sie können lediglich eine statische IP-Adressenzuweisungs-Policy festlegen.• Sie können keine Failover Policy für IP-Adressen festlegen.• Sie können keine Neuverteilungs-Policy für IP-Adressen festlegen.• Pro externem Netzwerksubnetz können Sie nur einen IP-Adressenpool zuweisen.

SmartConnect AdvancedSmartConnect Advanced erweitert die Einstellungen, die mit SmartConnect Basic verfügbar sind. Eine aktive Lizenz ist erforderlich. SmartConnect Advanced unterstützt die folgenden Einstellungen:

• Round Robin, CPU-Auslastung, Verbindungszähler und Durchsatzausgleichsverfahren• Statische und dynamische IP-Adresszuweisung

SmartConnect Advanced ermöglicht das Hinzufügen von maximal 6 SmartConnect-Service-IP-Adressen pro Subnetz.

Mit SmartConnect Advanced können Sie die folgenden Konfigurationsoptionen für IP-Adressenpools festlegen:

• Sie können für den IP-Adressenpool eine Failover Policy für IP-Adressen definieren.• Sie können für den IP-Adressenpool eine Neuverteilungs-Policy für IP-Adressen definieren.• SmartConnect Advanced unterstützt mehrere IP-Adressenpools pro externem Subnetz, um mehrere DNS-Zonen in einem einzigen

Subnetz zu aktivieren.


Managen von SmartConnect-Einstellungen

SmartConnect-Zonen und AliaseClients können über eine bestimmte IP-Adresse oder über eine Domain, die einen IP-Adressenpool darstellt, eine Verbindung zum Cluster herstellen.

Sie können für jeden IP-Adressenpool einen SmartConnect DNS-Zonennamen konfigurieren. Der Zonenname muss ein vollständig qualifizierter Domainname sein. Für SmartConnect müssen Sie einen neuen Name Server (NS)-Datensatz, der mit der SmartConnect-Service-IP-Adresse verbunden ist, zur vorhandenen maßgeblichen DNS-Zone hinzufügen, die das Cluster enthält. Sie müssen in Ihrer DNS-Infrastruktur auch eine Zonendelegation für den vollständig qualifizierten Domainnamen (FQDN) der SmartConnect-Zone bereitstellen.

Wenn Sie über eine SmartConnect Advanced-Lizenz verfügen, können Sie auch eine Liste alternativer SmartConnect-DNS-Zonennamen für den IP-Adressenpool angeben.

Wenn ein Client über eine SmartConnect-DNS-Zone eine Verbindung mit dem Cluster herstellt, verarbeitet SmartConnect die eingehenden DNS-Anforderungen für den IP-Adressenpool und das Servicesubnetz verteilt eingehende DNS-Anforderungen gemäß der Verbindungsausgleichs-Policy des Pools.

Zugehörige Tasks

Ändern einer SmartConnect-DNS-Zone

Verarbeiten von DNS-AnforderungenSmartConnect verarbeitet alle eingehenden DNS-Anforderungen für einen IP-Adressenpool, wenn dem Pool ein SmartConnect-Servicesubnetz zugeordnet wurde.

Das SmartConnect-Servicesubnetz ist eine Einstellung im IP-Adressenpool. Sie können ein Subnetz angeben, das mit einer IP-Adresse des SmartConnect-Service konfiguriert wurde und mit dem gleichen Gruppennetz wie der Pool verbunden ist. Sie müssen mindestens ein

362 Netzwerke

Subnetz haben, das mit einer SmartConnect-Service-IP-Adresse konfiguriert ist, um die Client-DNS-Anforderungen verarbeiten zu können. Sie können nur eine Service-IP-Adresse pro Subnetz konfigurieren.

Eine SmartConnect-Service-IP-Adresse sollte ausschließlich für die Beantwortung von DNS-Anforderungen verwendet werden und darf keine IP-Adresse im IP-Adressbereich eines Pools sein. Clientverbindungen über die IP-Adresse des SmartConnect-Service führen zu einem unerwarteten Verhalten oder einer Verbindungstrennung.

Sobald ein SmartConnect-Servicesubnetz einem IP-Adressenpool zugeordnet wurde, verteilt das Servicesubnetz eingehende DNS-Anforderungen gemäß der Policy zum Verbindungsausgleich des Pools. Wenn ein Pool kein bestimmtes Servicesubnetz hat, werden eingehende DNS-Anforderungen von dem Subnetz beantwortet, das den Pool enthält, vorausgesetzt, dass Subnetz wurde mit einer IP-Adresse des SmartConnect-Service konfiguriert. Andernfalls werden die DNS-Anforderungen ausgeschlossen.

ANMERKUNG: Für SmartConnect müssen Sie einen neuen Name Server (NS)-Datensatz, der mit der SmartConnect-

Service-IP-Adresse verbunden ist, zur vorhandenen maßgeblichen DNS-Zone hinzufügen, die das Cluster enthält. Sie

müssen auch eine Zonendelegation für den vollständig qualifizierten Domainnamen (FQDN) der SmartConnect-Zone

bereitstellen.

Zugehörige Tasks

Konfigurieren einer IP-Adresse für den SmartConnect-Service

Unterbrechen oder Wiederaufnehmen eines Node

IP-AdressenzuweisungDie IP-Zuweisungs-Policy gibt an, dass alle IP-Adressen im Pool einer verfügbaren Netzwerkschnittstelle zugewiesen werden.

Sie können festlegen, ob die statische oder dynamische Zuweisung verwendet werden soll.

Static Bei dieser Methode wird eine IP-Adresse jeder Netzwerkschnittstelle zugewiesen, die dem IP-Adressenpool hinzugefügt wird. Dies bietet jedoch keine Garantie dafür, dass alle IP-Adressen zugewiesen werden.

Nach der Zuweisung behält die Netzwerkschnittstelle die IP-Adresse unbegrenzt bei, selbst wenn die Netzwerkschnittstelle nicht mehr verfügbar ist. Zur Freigabe der IP-Adresse müssen Sie die Netzwerkschnittstelle aus dem Pool oder aus dem Node entfernen.

Ohne eine Lizenz für SmartConnect Advanced steht nur die statische Methode für die IP-Adresszuweisung zur Verfügung.

Dynamisch Bei dieser Methode werden IP-Adressen jeder Netzwerkschnittstelle zugewiesen, die dem IP-Adressenpool hinzugefügt wird, bis alle IP-Adressen zugewiesen wurden. Dadurch wird eine Reaktion garantiert, wenn Clients eine Verbindung zu einer beliebigen IP-Adresse im Pool herstellen.

Wenn eine Netzwerkschnittstelle nicht mehr verfügbar ist, werden die zugehörigen IP-Adressen automatisch zu anderen verfügbaren Netzwerkschnittstellen im Pool verschoben, was durch die Failover Policy für IP-Adressen bestimmt wird.

Diese Methode ist nur mit einer Lizenz für SmartConnect Advanced verfügbar.

Zugehörige Tasks

Konfigurieren der IP-Adressenzuweisung


Unterstützte IP-Zuweisungsmethoden

Zuweisungsempfehlungen auf Grundlage von Dateifreigabeprotokollen

IP-Adressen-FailoverWenn eine Netzwerkschnittstelle nicht mehr verfügbar ist, ist in der Failover-Policy für IP-Adressen festgelegt, wie die der Netzwerkschnittstelle zugewiesenen IP-Adressen behandelt werden sollen.

Um eine Failover Policy für IP-Adressen zu definieren, müssen Sie eine Lizenz für SmartConnect Advanced haben, und die IP-Adressenzuweisungs-Policy muss auf dynamic gesetzt sein. Die dynamische IP-Zuweisung sorgt dafür, dass alle IP-Adressen im Pool verfügbaren Netzwerkschnittstellen zugewiesen werden.

Wenn eine Netzwerkschnittstelle nicht mehr verfügbar ist, werden die ihr zugewiesen IP-Adressen gemäß der Failover Policy für IP-Adressen auf verfügbare Netzwerkschnittstellen umverteilt. Nachfolgende Clientverbindungen werden zu den neuen Netzwerkschnittstellen weitergeleitet.

Netzwerke 363

Sie können eine der folgenden Methoden für den Verbindungslastenausgleich auswählen, um zu bestimmen, wie die Failover-Policy für IP-Adressen auswählt, welche Netzwerkschnittstelle eine umverteilte IP-Adresse erhält:

• Round-robin• Verbindungszähler• Netzwerkdurchsatz• CPU-Auslastung

Zugehörige Tasks

Konfigurieren einer IP-Failover Policy

VerbindungslastenausgleichDie Policy zum Verbindungslastenausgleich legt fest, wie der DNS-Server Clientverbindungen zum Cluster verarbeitet.

Sie können eine der folgenden Lastenausgleichsmethoden festlegen:

Round-robin Wählt die nächste verfügbare Netzwerkschnittstelle nach dem Rotationsprinzip aus. Dies ist die Standardmethode. Ohne SmartConnect-Lizenz für erweiterte Einstellungen ist dies die einzige Methode, die für den Lastenausgleich verfügbar ist.

Connection count Bestimmt die Anzahl der offenen TCP-Verbindungen auf jeder verfügbaren Netzwerkschnittstelle und wählt die Schnittstelle mit den wenigsten Clientverbindungen aus

Network throughput

Bestimmt den durchschnittlichen Durchsatz auf jeder verfügbaren Netzwerkschnittstelle und wählt die Schnittstelle mit der geringsten Netzwerkschnittstellenlast aus

CPU-Auslastung Bestimmt die durchschnittliche CPU-Auslastung auf jeder verfügbaren Netzwerkschnittstelle und wählt die Schnittstelle mit der geringsten Prozessorauslastung aus

Zugehörige Tasks

Konfigurieren einer Verbindungsausgleichs-Policy


Unterstützte Methoden für den Verbindungslastenausgleich

IP-AdressenneuverteilungIn der Neuverteilungs-Policy für IP-Adressen ist festgelegt, wann IP-Adressen neu verteilt werden, wenn eine oder mehrere zuvor nicht verfügbaren Netzwerkschnittstellen wieder verfügbar sind.

Um eine Neuverteilungs-Policy für IP-Adressen zu definieren, müssen Sie eine Lizenz für SmartConnect Advanced haben, und die IP-Adressenzuweisungs-Policy muss auf dynamic gesetzt sein. Die dynamische IP-Adressenzuweisung sorgt dafür, dass alle IP-Adressen im Pool verfügbaren Netzwerkschnittstellen zugewiesen werden.

Sie können festlegen, ob die Abstimmung manuell oder automatisch ausgeführt wird:

Manuell Die IP-Adressen werden erst dann umverteilt, wenn Sie den Neuverteilungsprozess manuell starten.

Bei der Neuverteilung werden IP-Adressen anhand der in der Failover Policy für IP-Adressen für den IP-Adressenpool festgelegten Methode des Verbindungslastenausgleichs neu verteilt.

Automatisch Die IP-Adressen werden anhand der in der Failover Policy für IP-Adressen für den IP-Adressenpool festgelegten Methode des Verbindungslastenausgleichs neu verteilt.

Die automatische Neuverteilung kann auch durch Änderungen an den Cluster-Nodes, den Netzwerkschnittstellen oder der Konfiguration des externen Netzwerks ausgelöst werden.

ANMERKUNG: Durch die Neuverteilung können Clientverbindungen unterbrochen werden.

Überprüfen Sie, ob der Clientworkflow im IP-Adressenpool für die automatische Neuverteilung

geeignet ist.

Zugehörige Tasks

Manuelles Abstimmen von IP-Adressen

364 Netzwerke

Provisioning-Regeln für NodesMit Provisioning-Regeln für Nodes wird festgelegt, wie neue Nodes beim Hinzufügen zu einem Cluster konfiguriert werden.

Wenn der neue Node-Typ mit dem in einer Regel definierten Typ übereinstimmt, werden die Netzwerkschnittstellen des neuen Node dem Subnetz und dem IP-Adressenpool hinzugefügt, die in der Regel festgelegt sind.

Beispielsweise können Sie eine Provisioning-Regel für Nodes erstellen, mit der neue Isilon-Speicher-Nodes konfiguriert werden, und eine weitere Regel, mit der neue Accelerator Nodes konfiguriert werden.

Wenn neue Regeln hinzugefügt werden, prüft OneFS automatisch, ob mehrere Provisioning-Regeln vorliegen, um Konflikte zu vermeiden.


Managen von Node-Provisioning-Regeln

RoutingoptionenOneFS unterstützt quellenbasiertes Routing und statische Routen. Diese Optionen ermöglichen eine feiner abgestimmte Steuerung der Richtung des ausgehenden Clientdatenverkehrs auf dem Cluster.

Wenn keine Routingoptionen definiert sind, wird der ausgehende Clientverkehr auf dem Cluster standardmäßig über das Standardgateway geleitet, also das Gateway mit der niedrigsten Prioritätseinstellung auf dem Node. Wenn der Datenverkehr an ein lokales Subnetz weitergeleitet wird und nicht über ein Gateway geleitet werden muss, wird der Datenverkehr direkt über eine Schnittstelle auf diesem Subnetz geleitet.


Managen von Routingoptionen

Quellenbasiertes RoutingQuellenbasiertes Routing wählt das Gateway aus, durch das ausgehender Clientverkehr geleitet werden soll, basierend auf der Quellen-IP-Adresse in jeder Paketkopfzeile.

Wenn diese Option aktiviert ist, durchsucht quellenbasiertes Routing automatisch Ihre Netzwerkkonfiguration, um Clientdatenverkehrsregeln zu erstellen. Wenn Sie Änderungen an Ihrer Netzwerkkonfiguration vornehmen, beispielsweise die IP-Adresse eines Gateway-Servers ändern, passt das quellenbasierte Routing die Regeln an. Quellenbasiertes Routing gilt im gesamten Cluster und bietet keine Unterstützung für das IPv6-Protokoll.

Im folgenden Beispiel aktivieren Sie quellenbasiertes Routing in einem Isilon-Cluster, das mit SubnetA und SubnetB verbunden ist. Jedes Subnetz wird mit einer SmartConnect-Zone und einem Gateway konfiguriert, die auch mit A und B bezeichnet werden. Wenn ein Client in SubnetA eine Anfrage an SmartConnect-ZoneB sendet, stammt die Antwort von ZoneB. Dies führt zu einer ZoneB-IP-Adresse als Quellen-IP in der Paketkopfzeile und die Antwort wird durch GatewayB geleitet. Ohne quellenbasiertes Routing ist die Standardroute zielbasiert, sodass die Antwort durch GatewayA geleitet wird.

In einem anderen Beispiel stellt ein Client in SubnetC, das nicht mit dem Isilon-Cluster verbunden ist, eine Anfrage in SmartConnect-ZoneA und -ZoneB. Die Antwort von ZoneA wird durch GatewayA geleitet und die Antwort von ZoneB wird durch GatewayB geleitet. Das bedeutet, dass der Datenverkehr zwischen Gateways aufgeteilt wird. Ohne quellenbasiertes Routing werden beide Antworten durch dasselbe Gateway geleitet.

Quellenbasiertes Routing ist standardmäßig deaktiviert. Die Aktivierung oder Deaktivierung des quellenbasierten Routings tritt sofort in Kraft. Pakete in der Übertragung werden auf den ursprünglichen Routen fortgeführt, nachfolgender Datenverkehr wird auf der Basis der Statusänderung geleitet. Transaktionen, die aus mehreren Paketen bestehen, werden u. U. unterbrochen oder verzögert, wenn der Status des quellenbasierten Routings sich während der Übertragung ändert.

Quellenbasiertes Routing kann mit statischen Routen in Konflikt geraten. Wenn ein Routingkonflikt eintritt, wird die Regeln des quellenbasierten Routings eine höhere Priorität als der statischen Route zugeteilt.

Sie können quellenbasiertes Routing aktivieren, wenn Sie ein großes Netzwerk mit einer komplexen Topologie besitzen. Beispiel: Wenn Ihr Netzwerk eine Multi-Tenant-Umgebung mit mehreren Gateways ist, wird der Datenverkehr mit quellenbasiertem Routing effizienter verteilt.

Zugehörige Tasks

Aktivieren oder Deaktivieren von quellenbasiertem Routing

Netzwerke 365

Statisches RoutingBeim statischen Routing wird ausgehender Clientverkehr zu einem bestimmten Gateway basierend auf der IP-Adresse der Clientverbindung weitergeleitet.

Sie konfigurieren statische Routen nach IP-Adressenpool und jede Route gilt für alle Nodes, die Netzwerkschnittstellen als Mitglieder des Adressenpools haben.

Sie können statisches Routing konfigurieren, um Netzwerke zu verbinden, die über die Standardrouten nicht verfügbar sind, oder wenn Sie ein kleines Netzwerk haben, das nur eine oder zwei Routen erfordert.

ANMERKUNG: Wenn Sie ein Upgrade von einer Version vor OneFS 7.0 durchgeführt haben, funktionieren vorhandene

statische Routen, die über rc-Skripte hinzugefügt wurden, nicht mehr und müssen neu erstellt werden.

Zugehörige Tasks

Hinzufügen oder Entfernen einer statischen Route

Konfigurieren des internen NetzwerksSie können die internen Netzwerkeinstellungen des Clusters ändern.

Die folgenden Aktionen sind verfügbar:

• Ändern der IP-Adressbereiche des internen Netzwerks und des int-b/Failover-Netzwerks• Ändern der Netzmaske des internen Netzwerks• Konfigurieren und Aktivieren eines internen Failover-Netzwerks• Deaktivieren des Failover für das interne Netzwerk

Sie können das int-b/Failover-Netzwerk so konfigurieren, dass im Fall eines int-a-Netzwerkausfalls ein Backup bereitgestellt wird. Die Konfiguration beinhaltet die Angabe einer gültigen Netzmaske und eines IP-Adressbereichs für das Failover-Netzwerk.

Ändern des internen IP-AdressbereichsJedes interne InfiniBand-Netzwerk erfordert einen IP-Adressbereich. Die Bereiche sollten über eine ausreichende Anzahl von IP-Adressen für die vorhandenen Betriebsbedingungen sowie für zukünftige Erweiterungen und zusätzliche Nodes verfügen. Sie können IP-Adressen für das ursprüngliche interne Netzwerk (int-a) und für das sekundäre interne Netzwerk (int-b/failover) hinzufügen, entfernen oder migrieren.

1. Klicken Sie auf Cluster Management > Network Configuration > Internal Network.

2. Wählen Sie im Bereich Internal Networks Settings das Netzwerk aus, dem Sie IP-Adressen hinzufügen möchten.

• Um das int-a-Netzwerk auszuwählen, klicken Sie auf int-a.• Um das int-b/Failover-Netzwerk auszuwählen, klicken Sie auf int-b/Failover.

3. Im Bereich IP Ranges können Sie Ihre IP-Adressbereiche hinzufügen, löschen oder migrieren.

Idealerweise knüpft der neue Bereich an den vorherigen an. Wenn Ihr aktueller IP-Adressbereich beispielsweise 192.168.160.60 bis 192.168.160.162 lautet, sollte der neue Bereich mit 192.168.160.163 beginnen.


5. Starten Sie das Cluster bei Bedarf neu.

• Wenn Sie eine IP-Adresse entfernen, die derzeit verwendet wird, müssen Sie das Cluster neu starten.• Wenn Sie IP-Adressen innerhalb der Netzmaske des internen Netzwerks ändern, müssen Sie das Cluster nicht neu starten.• Wenn Sie die Netzmaske des internen Netzwerks ändern, müssen Sie das Cluster neu starten.• Wenn Sie IP-Adressbereiche migrieren, müssen Sie das Cluster neu starten.


Interne IP-Adressbereiche

Ändern der Netzmaske des internen NetzwerksSie können den Netzmaskenwert für das interne Netzwerk ändern.

366 Netzwerke

Wenn die Netzmaske für die Größe des internen Netzwerks zu restriktiv ist, müssen Sie die Netzmaskeneinstellungen ändern. Es wird empfohlen, eine Netzmaske der Klasse C, wie beispielsweise 255.255.255.0, als interne Netzmaske anzugeben. Diese Netzmaske ist groß genug, um zukünftige Nodes aufzunehmen.

ANMERKUNG: Damit die Änderungen am Netzmaskenwert wirksam werden, müssen Sie das Cluster neu starten.


2. Wählen Sie im Bereich Internal Network Settings das Netzwerk aus, für das Sie die Netzmaske konfigurieren möchten.

• Um das int-a-Netzwerk auszuwählen, klicken Sie auf int-a.

• Um das int-b/Failover-Netzwerk auszuwählen, klicken Sie auf int-b/Failover.

Es wird empfohlen, identische Netzmaskenwerte für int-a und int-b/Failover zu verwenden. Wenn Sie den Netzmaskenwert eines Netzwerks ändern, ändern Sie auch den Wert des anderen Netzwerks.

3. Geben Sie im Feld Netmask einen Netzmaskenwert ein.

Sie können den Netzmaskenwert nicht ändern, wenn die Änderung Node-Adressen ungültig macht.

4. Klicken Sie auf Submit.Ein Dialogfeld fordert Sie auf, das Cluster neu zu starten.

5. Geben Sie an, wann das Cluster neu gestartet werden soll.

• Um das Cluster sofort neu zu starten, klicken Sie auf Yes. Wenn der Neustart des Clusters abgeschlossen ist, wird die Anmeldeseite angezeigt.

• Klicken Sie auf No, um zur Seite Edit Internal Network zurückzukehren, ohne die Einstellungen zu ändern oder das Cluster neu zu starten.


Interne IP-Adressbereiche

Konfigurieren und Aktivieren eines internen FailoverSie können einen internen Failover-Vorgang auf dem Cluster aktivieren.


2. Klicken Sie im Bereich Internal Network Settings auf int-b/Failover.

3. Klicken Sie im Bereich IP Ranges für das int-b-Netzwerk auf Add range.

4. Geben Sie im Dialogfeld Add IP Range die IP-Adresse im unteren Bereich des ersten Felds IP range ein.

5. Geben Sie im zweiten Feld IP range die IP-Adresse im oberen Bereich des Felds ein.

Achten Sie darauf, dass keine Überschneidungen von IP-Adressen zwischen den int-a- und den int-b-/Failover-Netzwerkbereichen vorliegen. Wenn beispielsweise der IP-Adressbereich für das int-a-Netzwerk 192.168.1.1 bis 192.168.1.100 lautet, geben Sie für das int-a-Netzwerk einen Bereich von 192.168.2.1 bis 192.168.2.100 ein.


7. Klicken Sie im Bereich IP Ranges für das Failover-Netzwerk auf Add range.

Fügen Sie einen IP-Adressbereich für das Failover-Netzwerk hinzu und sorgen Sie dafür, dass keine Überschneidungen mit dem int-a-Netzwerk oder dem int-b-Netzwerk vorliegen.

Die Seite Edit Internal Network wird angezeigt und in der Liste IP Ranges wird der neue IP-Adressbereich angezeigt.

8. Geben Sie im Bereich Settings eine gültige Netzmaske an. Achten Sie darauf, dass keine Überschneidungen zwischen dem IP-Adressbereich für das int-b-Netzwerk oder für das Failover-Netzwerk vorliegen.

Es wird empfohlen, identische Netzmaskenwerte für int-a und int-b/Failover zu verwenden.

9. Klicken Sie im Bereich Settings für State auf Enable, um die int-b- und Failover-Netzwerke zu aktivieren.

10. Klicken Sie auf Submit.Das Dialogfeld Confirm Cluster Reboot wird angezeigt.

11. Starten Sie das Cluster neu, indem Sie auf Yes klicken.


Internes Netzwerk-Failover

Netzwerke 367

Deaktivieren des Failover für das interne NetzwerkSie können die internen int-b- und Failover-Netzwerke deaktivieren.


2. Klicken Sie im Bereich Internal Network Settings auf int-b/Failover.

3. Klicken Sie im Bereich State auf Disable.


Das Dialogfeld Confirm Cluster Reboot wird angezeigt.

5. Starten Sie das Cluster neu, indem Sie auf Yes klicken.


Internes Netzwerk-Failover

Managen von GruppennetzenSie könne Gruppennetze in einem Cluster erstellen und managen.

Erstellen eines GruppennetzesSie können ein Gruppennetz erstellen und Client-DNS-Einstellungen konfigurieren.

1. Klicken Sie auf Cluster Management > Networking Configuration > External Network.

2. Klicken Sie auf Add a groupnet.Das Fenster Create Groupnet wird geöffnet.

3. Geben Sie im Feld Name einen für das System eindeutigen Namen für das Gruppennetz ein.

Der Name kann bis zu 32 alphanumerische Zeichen lang sein und darf Bindestriche und Unterstriche, jedoch keine Leerzeichen oder andere Satzzeichen enthalten.

4. Optional: Geben Sie im Feld Description einen beschreibenden Kommentar zum Gruppennetz ein.

Die Beschreibung darf 128 Zeichen nicht überschreiten

5. Konfigurieren Sie im Bereich DNS Settings die folgenden DNS-Einstellungen, die auf das Gruppennetz angewendet werden sollen:

• DNS-Server• DNS-Suchsuffixe• DNS Resolver Rotate• Serverseitige DNS-Suche• DNS-Cache

6. Klicken Sie auf Add groupnet.


Gruppennetze



Einstellungen für DNS

Einstellungen für DNSSie können einen DNS-Server zu einem Gruppennetz zuweisen und die DNS-Einstellungen ändern, die das Verhalten des DNS-Servers festlegen.


DNS-Server Legt eine Liste mit DNS-IP-Adressen fest. Von den Nodes werden DNS-Anforderungen an diese IP-Adressen gesendet.

Sie können nicht mehr als drei DNS-Server festlegen.

368 Netzwerke


DNS-Suchsuffixe Legt die Liste der Suffixe für die DNS-Suche fest. Suffixe werden an Domainnamen angehängt, die nicht vollständig qualifiziert sind.

Sie können nicht mehr als sechs Suffixe festlegen.

Enable DNS resolver rotate Legt die DNS-Auflösung für alle DNS-Server auf Durchlaufen oder Round-Robin fest

Enable DNS server-side search Gibt an, ob die serverseitige DNS-Suche aktiviert ist, bei der DNS-Suchlisten an DNS-Anfragen angehängt werden, die über eine SmartConnect-Service-IP-Adresse verarbeitet werden

Enable DNS cache Gibt an, ob DNS-Caching für das Gruppennetz aktiviert ist


Gruppennetze

Zugehörige Tasks

Erstellen eines Gruppennetzes

Ändern eines GruppennetzesSie können Gruppennetzattribute einschließlich Name, unterstützte DNS-Server und DNS-Konfigurationseinstellungen ändern.


2. Klicken Sie in der Zeile für das Gruppennetz, das geändert werden soll, auf die Schaltfläche View/Edit.

3. Klicken Sie im Fenster View Groupnet Details auf Edit.

4. Ändern Sie im Fenster Edit Groupnet Details die Einstellungen für das Gruppennetz nach Bedarf.



Gruppennetze



Einstellungen für DNS

Löschen von GruppennetzenSie können ein Gruppennetz aus dem System löschen, wenn es nicht mit einer Zugriffszone oder einem Authentifizierungsanbieter verknüpft ist oder es sich um das standardmäßige Gruppennetz handelt. Das Entfernen des Gruppennetzes aus dem System hat möglicherweise Auswirkungen auf verschiedene andere Bereiche von OneFS und sollte daher mit Vorsicht durchgeführt werden.

In mehreren Fällen ist die Verknüpfung zwischen einem Gruppennetz und einer anderen OneFS-Komponente, z. B. Zugriffszonen oder Authentifizierungsanbieter, absolut. Diese Komponenten können nicht geändert und mit einem anderen Gruppennetz verknüpft werden.

Falls Sie ein Gruppennetz löschen müssen, wird empfohlen, die Aufgaben in der folgenden Reihenfolge durchzuführen:

1. Löschen Sie die IP-Adressenpools in den mit dem Gruppennetz verknüpften Subnetzen.2. Löschen Sie die mit dem Gruppennetz verknüpften Subnetze3. Löschen Sie die mit dem Gruppennetz verknüpften Authentifizierungsanbieter.4. Löschen Sie die mit dem Gruppennetz verknüpften Zugriffszonen.


2. Klicken Sie in der Zeile des zu löschenden Gruppennetzes auf die Schaltfläche More und dann auf Delete Groupnet.

3. Klicken Sie im Dialogfeld Confirm Delete auf Delete.Wenn Sie die mit dem Gruppennetz verknüpften Zugriffszonen nicht zuvor gelöscht haben, schlägt der Löschvorgang fehl und das System zeigt eine Fehlermeldung an.

Netzwerke 369


Gruppennetze

Anzeigen von GruppennetzenSie können eine Liste aller Gruppennetze im System sowie die Details eines bestimmten Gruppennetzes anzeigen.

1. Klicken Sie auf Cluster Management > Networking Configuration > External Network.In der Tabelle External Network werden alle Gruppennetze im System mit den folgenden Attributen angezeigt:

• Gruppennetzname• Dem Gruppennetz zugewiesene DNS-Server• Typ des Gruppennetzes• Beschreibung des Gruppennetzes

2. Klicken Sie auf die Schaltfläche View/Edit in einer Zeile, um die aktuellen Einstellungen für das Gruppennetz anzuzeigen.Das Dialogfeld View Groupnet Details wird geöffnet und zeigt die folgenden Einstellungen:

• Gruppennetzname• Beschreibung des Gruppennetzes• Dem Gruppennetz zugewiesene DNS-Server• DNS-Suchsuffixe• Ob die DNS-Auflösung aktiviert ist• Ob die DNS-Suche aktiviert ist• Ob DNS-Caching aktiviert ist

3. Klicken Sie neben einem Gruppennetznamen auf den Strukturpfeil, um die dem Gruppennetz zugewiesenen Subnetze anzuzeigen.Die Tabelle zeigt jedes Gruppennetz innerhalb der Gruppennetzstruktur in einer neuen Zeile an.

4. Wenn Sie mit dem Anzeigen der Gruppennetze fertig sind, klicken Sie auf Close.


Gruppennetze

Managen externer NetzwerksubnetzeSie können Subnetze auf einem Cluster erstellen und managen.

Erstellen eines SubnetzesSie können ein Subnetz zum externen Netzwerk hinzufügen. Subnetze werden unter einem Gruppennetz erstellt.


2. Klicken Sie neben dem Gruppennetz, das das neue Subnetz enthalten soll, auf More > Add Subnet.Das Fenster Create Subnet wird angezeigt.

3. Geben Sie im Feld Name den Namen des neuen Subnetzes an.


4. Optional: Geben Sie im Feld Description einen beschreibenden Kommentar zum Subnetz ein.

Der Kommentar darf nicht länger als 128 Zeichen lang sein.

5. Wählen Sie im Bereich IP family eines der folgenden IP-Adressformate für das Subnetz aus:

• IPv4 • IPv6

Alle dem Subnetz hinzugefügten Subnetzeinstellungen und IP-Adressenpools müssen das angegebene Adressenformat verwenden. Die Adressreihe kann nach dem Erstellen des Subnetzes nicht mehr geändert werden.

6. Geben Sie im Feld Netmask je nach der ausgewählten Adressreihe eine Subnetzmaske oder Präfixlänge an.

• Geben Sie für ein IPv4-Subnetz ein Oktett in Dezimalpunktschreibweise (x.x.x.x) ein, das die Subnetzmaske darstellt.• Geben Sie für ein IPv6-Subnetz eine Ganzzahl (von 1 bis 128) ein, die die Netzwerkpräfixlänge darstellt.

370 Netzwerke

7. Geben Sie in das Feld Gateway address die IP-Adresse des Gateways ein, über das der Cluster mit Systemen außerhalb des Subnetzes kommuniziert.

8. Geben Sie in das Feld Gateway priority die Priorität (Ganzzahl) ein, anhand der bestimmt wird, welches Subnetzgateway als Standardgateway auf Nodes installiert wird, die mehrere Subnetze haben.

Ein Wert von 1 ist die höchste Priorität.

9. Wählen Sie in der MTU-Liste die Größe der MTU aus, die das Cluster bei der Netzwerkkommunikation verwendet, oder geben Sie sie ein. Jeder numerische Wert ist zulässig, muss jedoch mit Ihrem Netzwerk und der Konfiguration aller Geräte im Netzwerkpfad kompatibel sein. Allgemeine Einstellungen sind 1.500 (Standard-Frames) und 9.000 (Jumbo Frames).

Obwohl OneFS sowohl 1.500 MTU als auch 9.000 MTU unterstützt, ermöglicht die Verwendung größerer Frames für den Netzwerkdatenverkehr eine effizientere Kommunikation im externen Netzwerk zwischen Clients und Cluster-Nodes. Wenn beispielsweise ein Subnetz über eine 10-GbE-Schnittstelle verbunden ist und die NIC-Aggregation für IP-Adressenpools im Subnetz konfiguriert ist, wird empfohlen, die MTU auf 9.000 festzulegen. Um von der Anwendung von Jumbo Frames zu profitieren, müssen alle Geräte im Netzwerkpfad für die Verwendung von Jumbo Frames konfiguriert sein.

10. Wenn Sie planen, SmartConnect für den Verbindungslastenausgleich zu verwenden, geben Sie in das Feld SmartConnect Service IP die IP-Adresse ein, die gemäß der Clientverbindungs-Policy alle eingehenden DNS-Anforderungen für jeden IP-Adressenpool empfängt. Sie müssen mindestens ein Subnetz haben, das mit einer SmartConnect-Service IP-Adresse konfiguriert ist, um den Verbindungslastenausgleich verwenden zu können.

11. Geben Sie in das Feld SmartConnect Service Name den SmartConnect-Servicenamen an.

12. Im Abschnitt Advanced Settings können Sie VLAN-Tagging aktivieren, wenn der Cluster an virtuellen Netzwerken teilnehmen soll.

ANMERKUNG: Das Konfigurieren eines VLAN erfordert erweiterte Kenntnisse über Netzwerkswitche. Schlagen Sie

in Ihrer Netzwerkswitchdokumentation nach, bevor Sie das Cluster für ein VLAN konfigurieren.

13. Wenn Sie VLAN-Tagging aktivieren, geben Sie eine VLAN-ID ein, die der ID für das VLAN entspricht, das auf dem Switch festgelegt ist, wobei der Wert im Bereich von 2 bis 4.094 liegt.

14. Geben Sie in das Feld Hardware Load Balancing IPs die IP-Adresse für einen Switch für den Hardwarelastenausgleich mithilfe von DSR (Direct Server Return) ein. Dadurch wird der gesamte Clientverkehr über den Switch auf das Cluster gelenkt. Der Switch bestimmt, welcher Node den Datenverkehr für den Client verarbeitet, und leitet den Datenverkehr auf diesen Node weiter.

15. Klicken Sie auf Remove IP, um eine IP-Adresse für den Hardwarelastenausgleich zu entfernen.

16. Klicken Sie auf Add Subnet.


Subnetze

IPv6-Support

Ändern eines SubnetzesSie können ein Subnetz im externen Netzwerk ändern.


2. Klicken Sie neben dem Subnetz, das Sie ändern möchten, auf View/Edit.Das Fenster View Subnet Details wird angezeigt.

3. Klicken Sie auf Edit.Das Fenster Edit Subnet Details wird angezeigt.

4. Ändern Sie die Subnetzeinstellungen und klicken Sie dann auf Save Changes.


Subnetze

Löschen eines SubnetzesSie können ein Subnetz aus dem externen Netzwerk löschen.

Durch Löschen eines Subnetzes, das verwendet wird, kann der Zugriff auf den Cluster verhindert werden. Die Clientverbindungen zum Cluster über alle IP-Adressenpools, die zum gelöschten Subnetz gehören, werden beendet.


2. Klicken Sie neben dem zu löschenden Subnetz auf More > Delete Subnet.

3. Klicken Sie in der Bestätigungsaufforderung auf Delete.

Netzwerke 371


Subnetze

Anzeigen von SubnetzeinstellungenSie können die Einstellungsdetails für ein bestimmtes Subnetz anzeigen.


2. Klicken Sie neben dem Subnetz, das Sie anzeigen möchten, auf View/Edit.Das Fenster View Subnet Details wird angezeigt.

3. Klicken Sie auf Close, um den Assistenten zu schließen.


Subnetze

Konfigurieren einer IP-Adresse für den SmartConnect-ServiceSie können eine SmartConnect-Service-IP-Adresse in einem Subnetz festlegen, die alle eingehenden DNS-Anforderungen für jeden IP-Adressenpool empfängt, der zur Nutzung dieses Subnetzes als SmartConnect-Servicesubnetz konfiguriert ist.


2. Klicken Sie neben dem Subnet, das Sie ändern möchten, auf View/Edit.Das Fenster View Subnet Details wird angezeigt.


4. Geben Sie im Feld SmartConnect Service IP die IP-Adresse ein.


Wenn ein IP-Adressenpool die konfigurierte SmartConnect-Service-IP-Adresse verwenden soll, um auf DNS-Anforderungen zu antworten, ändern Sie die Pooleinstellungen, um dieses Subnetz als SmartConnect-Servicesubnetz festzulegen.


Subnetze

Verarbeiten von DNS-Anforderungen

Aktivieren oder Deaktivieren von VLAN-TaggingSie können ein Cluster so konfigurieren, dass es an mehreren Virtual Private Networks, auch bekannt als virtuelle LANs oder VLANs, teilnimmt.




4. Aktivieren Sie das Kontrollkästchen Allow VLAN Tagging, um VLAN-Tagging zu aktivieren oder zu deaktivieren.

5. Wenn Sie VLAN-Tagging aktivieren, geben Sie im Feld VLAN ID eine Zahl zwischen 2 und 4094 ein. Die Anzahl muss mit der auf dem Switch festgelegten VLAN-ID übereinstimmen.



Subnetze

VLANs

372 Netzwerke

Hinzufügen oder Entfernen einer DSR-AdresseWenn Ihr Netzwerk einen Switch für den Hardwarelastenausgleich enthält, der DSR (Direct Server Return) verwendet, müssen Sie eine DSR-Adresse für jedes Subnetz konfigurieren.

Die DSR-Adresse leitet den gesamten Clientdatenverkehr über den Switch an den Cluster weiter. Der Switch bestimmt, welcher Node den Datenverkehr für den Client verarbeitet, und leitet den Datenverkehr an diesen Node weiter.




4. Geben Sie die DSR-Adresse in das Feld Hardware Load Balancing IPs ein.



Subnetze

Hinzufügen oder Entfernen eines IP-Adressbereichs pro SubnetzSie können in einem Subnetz einen IP-Adressbereich hinzufügen oder ihn aus einem Subnetz entfernen.


2. Klicken Sie neben dem Subnet, das Sie ändern möchten, auf View/Edit.Das Fenster View subnet details wird angezeigt.

3. Klicken Sie auf Edit.Das Fenster Edit subnet details wird angezeigt.

4. Um einen Bereich hinzuzufügen, geben Sie im Bereich SmartConnect service IPs einen Bereich von IP-Adressen ein, die Sie dem Subnetz zuweisen möchten.

Der Adressbereich muss das folgende Format aufweisen: <low-ip-address>-<high-ip-address>

Wenn Sie eine einzelne IP-Adresse verwenden möchten, geben Sie in beide Felder dieselbe IP-Adresse ein.

5. Um einen weiteren Bereich hinzuzufügen, klicken Sie auf Add an IP range.Das System bietet Felder, in denen Sie die low- und high-IP-Adressen des weiteren Bereichs eingeben können.

6. Um einen IP-Adressbereich zu löschen, klicken Sie neben dem Bereich, der gelöscht werden soll, auf Remove IP range.


Managen von IP-AdressenpoolsSie können IP-Adressenpools auf dem Cluster erstellen und managen.

Erstellen eines IP-AdressenpoolsSie können einen IP-Adressenpool zum externen Netzwerk hinzufügen. Pools werden unter einem Subnetz erstellt.


2. Klicken Sie neben dem Subnetz, das den neuen IP-Adressenpool enthalten soll, auf More > Add Pool.Das Fenster Create Pool wird angezeigt.

3. Geben Sie im Feld Name den Namen des neuen IP-Adressenpools an.


4. Optional: Geben Sie im Feld Description einen beschreibenden Kommentar für den IP-Adressenpool ein.


5. Wählen Sie in der Liste Access Zone die Zugriffszone aus, die mit dem IP-Adressenpool verknüpft werden soll.

Netzwerke 373

Clients, die über IP-Adressen in diesem Pool eine Verbindung herstellen, können nur auf Daten in der zugehörigen Zugriffszone zugreifen.

6. Geben Sie im Bereich IP range in den entsprechenden Feldern einen Bereich von IP-Adressen ein, die den IP-Adressenpools zugewiesen werden sollen.

Die Bereiche müssen das folgende Format aufweisen: <lower_ip_address>–<higher_ip_address>.

7. Klicken Sie auf Add Pool.


IP-Adressenpools

Ändern eines IP-AdressenpoolsSie können einen IP-Adressenpool im externen Netzwerk ändern.




4. Ändern Sie die Einstellungen für den IP-Adressenpool und klicken Sie dann auf Save Changes.


IP-Adressenpools

Löschen eines IP-AdressenpoolsMithilfe der Weboberfläche können Sie IP-Adressenpooleinstellungen löschen.

Durch das Löschen eines IP-Adressenpools, der verwendet wird, kann der Zugriff auf den Isilon-Cluster verhindert werden. Die Clientverbindungen zum Cluster über alle IP-Adressen im Pool werden beendet.


2. Klicken Sie neben dem zu löschenden IP-Adressenpool auf More > Delete Pool.



IP-Adressenpools

Anzeigen der Einstellungen des IP-AdressenpoolsSie können die Einstellungsdetails für einen bestimmten IP-Adressenpool anzeigen.


2. Klicken Sie neben dem IP-Adressenpool, den Sie anzeigen möchten, auf View/Edit.Das Fenster View Pool Details wird angezeigt.

3. Klicken Sie auf Close, um das Fenster zu schließen.


IP-Adressenpools

Hinzufügen oder Entfernen eines IP-AdressbereichsSie können einen IP-Adressbereich in den Einstellungen für den IP-Adressenpool hinzufügen oder entfernen.



374 Netzwerke


4. Um einen Adressbereich hinzuzufügen, geben Sie im Bereich IP range einen Bereich von IP-Adressen ein, die den IP-Adressenpools in den entsprechenden Feldern zugewiesen werden sollen.

Der Adressbereich muss das folgende Format aufweisen: <low-ip-address>-<high-ip-address>

5. Um einen weiteren Bereich hinzuzufügen, klicken Sie auf Add an IP range.Das System bietet Felder, in denen Sie die low- und high-IP-Adressen des weiteren Bereichs eingeben können.

6. Um einen IP-Adressbereich zu löschen, klicken Sie neben dem Bereich, der gelöscht werden soll, auf Remove IP range.



IP-Adressenpools

Managen von SmartConnect-EinstellungenSie können SmartConnect-Einstellungen in den einzelnen IP-Adressenpools auf dem Cluster konfigurieren.

Ändern einer SmartConnect-DNS-ZoneSie können eine SmartConnect-DNS-Zone und alternative DNS-Zonenaliase angeben, die die DNS-Anforderungen für einen IP-Adressenpool verarbeiten.




4. Geben Sie im Bereich SmartConnect Basic die SmartConnect-DNS-Zone im Feld Zone name an.

Die SmartConnect-DNS-Zone muss ein vollständig qualifizierter Domainname sein.

5. Optional: Geben Sie im Bereich SmartConnect Advanced die Aliasnamen für die SmartConnect-DNS-Zone im Feld SmartConnect Zone Aliases an.

Zur Angabe von Zonenaliasen ist eine SmartConnect Advanced-Lizenz erforderlich.


Um die SmartConnect-Zone verwenden zu können, müssen Sie Ihre DNS-Infrastruktur für eine Delegation an die DNS-Zone konfigurieren. Fügen Sie einen neuen Name Server (NS)-Datensatz hinzu, der auf die IP-Adresse des SmartConnect-Service verweist, und fügen Sie dann eine Zonendelegation zum neuen Name Server für den FQDN des SmartConnect-Zonennamens hinzu.


SmartConnect-Zonen und Aliase

Festlegen eines SmartConnect-ServicesubnetzesSie können ein Subnetz als SmartConnect-Servicesubnetz für einen IP-Adressenpool festlegen. Das Servicesubnetz beantwortet alle DNS-Anforderungen für die SmartConnect-DNS-Zone des Pools.

Für das Subnetz, das Sie als SmartConnect-Servicesubnetz festlegen, muss eine SmartConnect-Service-IP-Adresse konfiguriert sein und es muss sich im selben Gruppennetz wie der IP-Adressenpool befinden. Beispielsweise kann ein Pool zwar zu subnet3 gehören, Sie können aber subnet5 als das SmartConnect-Servicesubnetz festlegen, solange sich beide Subnetze im selben Gruppennetz befinden.

Wenn ein Pool kein bestimmtes Servicesubnetz hat, werden eingehende DNS-Anforderungen von dem Subnetz beantwortet, das den Pool enthält, vorausgesetzt, dass Subnetz wurde mit einer IP-Adresse des SmartConnect-Service konfiguriert. Andernfalls werden die DNS-Anforderungen ausgeschlossen.



3. Klicken Sie auf Edit.

Netzwerke 375

Das Fenster Edit Pool Details wird angezeigt.

4. Wählen Sie im Bereich SmartConnect Basic in der Liste SmartConnect Service Subnetz ein Subnetz aus.




Zugehörige Tasks

Konfigurieren einer IP-Adresse für den SmartConnect-Service

Unterbrechen oder Wiederaufnehmen eines NodeSie können SmartConnect-DNS-Antworten für einen Node unterbrechen und wiederaufnehmen .




4. So unterbrechen Sie einen Node:

a) Klicken Sie im Bereich SmartConnect Suspended Nodes auf Suspend Nodes.Das Fenster Suspend Nodes wird angezeigt.

b) Wählen Sie in der Tabelle Available eine logische Node-Nummer (LNN) aus und klicken Sie dann auf Add.c) Klicken Sie auf Suspend Nodes.d) Klicken Sie im Bestätigungsfenster auf Confirm.

5. So nehmen Sie einen Node wieder auf:

a) Klicken Sie in der Tabelle SmartConnect Suspended Nodes neben der Nummer des Node, der wiederaufgenommen werden soll, auf die Schaltfläche Resume.

b) Klicken Sie im Bestätigungsfenster auf Confirm.




Konfigurieren der IP-AdressenzuweisungSie können festlegen, ob die IP-Adressen in einem IP-Adressenpool Netzwerkschnittstellen auf statische oder dynamische Weise zugewiesen werden.

Um die dynamische IP-Adresszuweisung zu konfigurieren, müssen Sie eine SmartConnect Advanced-Lizenz aktivieren.




4. Wählen Sie in der Liste Allocation Method im Bereich SmartConnect Advanced Settings eine der folgenden Zuweisungsmethoden aus:

• Static• Dynamisch



IP-Adressenzuweisung

376 Netzwerke

Unterstützte IP-ZuweisungsmethodenDie IP-Adresszuweisungs-Policy sorgt dafür, dass alle IP-Adressen im Pool einer verfügbaren Netzwerkschnittstelle zugewiesen werden.

Sie können festlegen, ob die statische oder dynamische Zuweisung verwendet werden soll.

Static Bei dieser Methode wird eine IP-Adresse jeder Netzwerkschnittstelle zugewiesen, die dem IP-Adressenpool hinzugefügt wird. Dies bietet jedoch keine Garantie dafür, dass alle IP-Adressen zugewiesen werden.

Nach der Zuweisung behält die Netzwerkschnittstelle die IP-Adresse unbegrenzt bei, selbst wenn die Netzwerkschnittstelle nicht mehr verfügbar ist. Zur Freigabe der IP-Adresse müssen Sie die Netzwerkschnittstelle aus dem Pool oder aus dem Cluster entfernen.

Ohne eine Lizenz für SmartConnect Advanced steht nur die statische Methode für die IP-Adresszuweisung zur Verfügung.

Dynamisch Bei dieser Methode werden IP-Adressen jeder Netzwerkschnittstelle zugewiesen, die dem IP-Adressenpool hinzugefügt wird, bis alle IP-Adressen zugewiesen wurden. Dadurch wird eine Reaktion garantiert, wenn Clients eine Verbindung zu einer beliebigen IP-Adresse im Pool herstellen.

Wenn eine Netzwerkschnittstelle nicht mehr verfügbar ist, werden die zugehörigen IP-Adressen automatisch zu anderen verfügbaren Netzwerkschnittstellen im Pool verschoben, was durch die Failover Policy für IP-Adressen bestimmt wird.

Diese Methode ist nur mit einer Lizenz für SmartConnect Advanced verfügbar.



Zuweisungsempfehlungen auf Grundlage von DateifreigabeprotokollenEs wird empfohlen, dass Sie eine statische Zuweisungsmethode wählen, wenn Ihre Clients Verbindungen durch statusbehaftete Protokolle herstellen, und eine dynamische Zuweisungsmethode bei statuslosen Protokollen.

In der folgenden Tabelle sind einige gängige Protokolle und die empfohlene Zuweisungsmethode aufgeführt:

Dateifreigabeprotokoll Empfohlene Zuweisungsmethode

• SMB• HTTP• HDFS• FTP• sFTP• FTPS• SyncIQ• Swift

Static

• NFSv3• NFSv4

Dynamic



Konfigurieren einer Verbindungsausgleichs-PolicySie können eine Verbindungsausgleichs-Policy für einen IP-Adressenpool festlegen.




Netzwerke 377

4. Wählen Sie im Bereich SmartConnect Advanced in der Liste Client Connection Balancing Policy eine der folgenden Ausgleichsmethoden aus:

• Round-robinANMERKUNG: Round Robin ist die Standardeinstellung und die einzige Ausgleichsmethode, bei der keine

SmartConnect Advanced-Lizenz aktiviert werden muss.

• Connection count• Throughput• CPU usage



Verbindungslastenausgleich

Unterstützte Methoden für den VerbindungslastenausgleichDie Policy zum Verbindungslastenausgleich legt fest, wie der DNS-Server Clientverbindungen zum Cluster verarbeitet.

Sie können eine der folgenden Lastenausgleichsmethoden festlegen:

Round-robin Wählt den nächsten verfügbaren Node nach dem Rotationsprinzip aus. Dies ist die Standardmethode. Ohne SmartConnect-Lizenz für erweiterte Einstellungen ist dies die einzige Methode, die für den Lastenausgleich verfügbar ist.

Connection count Bestimmt die Anzahl der offenen TCP-Verbindungen auf jedem verfügbaren Node und wählt den Node mit den wenigsten Clientverbindungen aus

Network throughput

Bestimmt den durchschnittlichen Durchsatz auf jedem verfügbaren Node und wählt den Node mit der geringsten Netzwerkschnittstellenlast aus

CPU-Auslastung Bestimmt die durchschnittliche CPU-Auslastung auf jedem verfügbaren Node und wählt den Node mit der geringsten Prozessorauslastung aus


Verbindungslastenausgleich

Konfigurieren einer IP-Failover PolicySie können eine Failover-Policy für einen IP-Adressenpool festlegen.

Um eine IP-Failover-Policy zu konfigurieren, müssen Sie eine SmartConnect Advanced-Lizenz aktivieren.




4. Wählen Sie im Bereich SmartConnect Advanced in der Liste IP Failover Policy eine der folgenden Failover-Methoden aus:

• Round-robin• Connection count• Throughput• CPU usage



IP-Adressen-Failover

Konfigurieren einer IP-Neuverteilungs-PolicySie können eine manuelle oder eine automatische Neuverteilungs-Policy für einen IP-Adressenpool konfigurieren.

378 Netzwerke

Wenn Sie eine Neuverteilungs-Policy für einen IP-Adressenpool konfigurieren möchten, müssen Sie eine SmartConnect Advanced-Lizenz aktivieren und die Zuweisungsmethode auf dynamic festlegen.




4. Wählen Sie im Bereich SmartConnect Advanced in der Liste Rebalance Policy eine der folgenden Neuverteilungsmethoden aus:

• Automatic• Manual



IP-Adressenneuverteilung

Unterstützte Methoden für die NeuverteilungIn der Neuverteilungs-Policy für IP-Adressen ist festgelegt, wann IP-Adressen neu verteilt werden, wenn eine oder mehrere zuvor nicht verfügbaren Netzwerkschnittstellen wieder verfügbar sind.

Sie können festlegen, ob die Abstimmung manuell oder automatisch ausgeführt wird:

Manuell Adressen werden erst dann neu verteilt, wenn Sie über die Befehlszeilenoberfläche manuell einen Neuverteilungsbefehl ausführen.

Bei der Neuverteilung werden IP-Adressen anhand der in der Failover Policy für IP-Adressen für den IP-Adressenpool festgelegten Methode des Verbindungslastenausgleichs neu verteilt.

Automatic Die IP-Adressen werden anhand der in der Failover Policy für IP-Adressen für den IP-Adressenpool festgelegten Methode des Verbindungslastenausgleichs neu verteilt.

Die automatische Neuverteilung kann auch durch Änderungen an den Cluster-Nodes, den Netzwerkschnittstellen oder der Konfiguration des externen Netzwerks ausgelöst werden.

ANMERKUNG: Durch die Neuverteilung können Clientverbindungen unterbrochen werden.

Überprüfen Sie, ob der Clientworkflow im IP-Adressenpool für die automatische Neuverteilung

geeignet ist.

Manuelles Abstimmen von IP-AdressenSie können einen bestimmten IP-Adressenpool oder alle Pools im externen Netzwerk manuell abstimmen.

Dazu müssen Sie eine SmartConnect Advanced-Lizenz aktivieren.

1. So stimmen Sie IP-Adressen in einem Pool manuell ab:

a) Klicken Sie auf Cluster Management > Network Configuration > External Network.b) Klicken Sie neben dem IP-Adressenpool, den Sie ändern möchten, auf View/Edit.

Das Fenster View Pool Details wird angezeigt.c) Klicken Sie auf Edit.

Das Fenster Edit Pool Details wird angezeigt.d) Klicken Sie im Bereich Advanced Settings auf Rebalance Pool IPs.e) Klicken Sie im Bestätigungsfenster auf Confirm.f) Klicken Sie auf Cancel, um das Fenster Edit Pool Details zu schließen.

2. So stimmen Sie alle IP-Adressen manuell ab:

a) Klicken Sie auf Cluster Management > Network Configuration > Settings.b) Klicken Sie auf Rebalance All IPs.c) Klicken Sie im Bestätigungsfenster auf Confirm.


IP-Adressenneuverteilung

Netzwerke 379

Managen von NetzwerkschnittstellenmitgliedernSie können IP-Adressenpools Netzwerkschnittstellen hinzufügen und sie daraus entfernen.

Hinzufügen oder Entfernen einer NetzwerkschnittstelleSie können konfigurieren, welche Netzwerkschnittstellen einem IP-Adressenpool zugewiesen werden.




4. So fügen Sie dem IP-Adressenpool eine Netzwerkschnittstelle hinzu:

a) Wählen Sie im Bereich Pool Interface Members die gewünschte Schnittstelle aus der Tabelle Available aus.

Wenn Sie dem Pool eine zusammengefasste Schnittstelle hinzufügen, können Sie Schnittstellen, die zur zusammengefassten Schnittstelle gehören, nicht einzeln hinzufügen.

b) Klicken Sie auf Add.

5. So entfernen Sie eine Netzwerkschnittstelle aus dem IP-Adressenpool:

a) Wählen Sie im Bereich Pool Interface Members die gewünschte Schnittstelle aus der Tabelle In Pool aus.b) Klicken Sie auf Remove.



Managen von Netzwerkschnittstellenmitgliedern

Verbindungsbündelung

Konfigurieren der VerbindungsbündelungMit der Linkzusammenfassung können Sie mehrere physische externe Netzwerkschnittstellen auf einem Node in einer einzigen logischen Schnittstelle zusammenfassen.




4. Wählen Sie im Bereich Pool Interface Members die zusammengefasste Schnittstelle aus der Tabelle Available aus und klicken Sie auf Add.

5. Wählen Sie im Bereich Advanced Settings in der Liste Aggregation Mode eine der folgenden Linkzusammenfassungsmethoden aus:

• Round-robin• Failover• LACP• FEC



Verbindungsbündelung

LinkzusammenfassungsmodiDer Linkzusammenfassungsmodus bestimmt, wie der Datenverkehr zwischen den zusammengefassten Netzwerkschnittstellen ausgeglichen und weitergeleitet wird. Der Zusammenfassungsmodus wird pro Pool ausgewählt und gilt für alle zusammengefassten Netzwerkschnittstellen im IP-Adressenpool.

380 Netzwerke

OneFS unterstützt dynamische und statische Zusammenfassungsmodi. Der dynamische Zusammenfassungsmodus ermöglicht Nodes mit zusammengefassten Schnittstellen, mit dem Switch zu kommunizieren, sodass der Switch einen analogen Zusammenfassungsmodus verwenden kann. Statische Modi ermöglichen keine Kommunikation zwischen Nodes und dem Switch.

OneFS bietet Support für die folgenden Linkzusammenfassungsmodi:

Link Aggregation Control Protocol (LACP)

Dynamischer Zusammenfassungsmodus, der LACP IEEE 802.3ad (Link Aggregation Control Protocol) unterstützt. Sie können LACP auf Switchebene konfigurieren, sodass der Node die Schnittstellenzusammenfassung mit dem Switch aushandeln kann. LACP gleicht ausgehenden Datenverkehr über die Schnittstellen auf der Grundlage von gehashten Protokoll-Header-Informationen aus, die die Quell- und Zieladresse und das VLAN-Tag umfassen, falls verfügbar. Diese Option ist der standardmäßige Zusammenfassungsmodus.

Loadbalance (FEC)

Statische Zusammenfassungsmethode, die den gesamten eingehenden Datenverkehr akzeptiert und den ausgehenden Datenverkehr über zusammengefasste Schnittstellen basierend auf gehashten Protokoll-Header-Informationen ausgleicht, die Quell-und Zieladressen enthalten

Active/Passive Failover

Statischer Zusammenfassungsmodus, der zur nächsten aktiven Schnittstelle wechselt, wenn die primäre Schnittstelle nicht mehr verfügbar ist. Die primäre Schnittstelle verarbeitet den Datenverkehr so lange, bis die Kommunikation unterbrochen wird. Zu diesem Zeitpunkt übernimmt eine der sekundären Schnittstellen die Arbeit der primären Schnittstelle.

Round-robin Statischer Zusammenfassungsmodus, der Verbindungen über die Nodes in einer First-in-First-out-Sequenz rotiert und alle Prozesse ohne Priorität verarbeitet. Dabei wird der ausgehende Datenverkehr über alle aktiven Ports im aggregierten Link ausgeglichen und der eingehende Datenverkehr an jedem Port angenommen.

ANMERKUNG: Diese Methode wird nicht empfohlen, wenn der Cluster TCP/IP-Workloads

verarbeitet.

Zugehörige Tasks

Konfigurieren der Verbindungsbündelung

Zuordnen der LinkzusammenfassungBei der Anzeige einer Liste der Netzwerkschnittstellen auf einem Node sind die Netzwerkschnittstellen enthalten, die einem IP-Adressenpool als eine zusammengefasste Schnittstelle hinzugefügt werden können. Die folgende Tabelle zeigt Beispiele dafür, wie zusammengefasste Schnittstellen nicht zusammengefassten Schnittstellen zugeordnet werden.

Logische Netzwerkschnittstelle (LNI)

Aggregierte LNI

ext-1

ext-2

ext-agg = ext-1 + ext-2

ext-1

ext-2

ext-3

ext-4


ext-agg-2 = ext-3 + ext-4

ext-agg-3 = ext-3 + ext-4 + ext-1 + ext-2

ext-1

ext-2

10gige-1

10gige-2


10gige-agg-1 = 10gige-1 + 10gige-2

Zugehörige Tasks

Konfigurieren der Verbindungsbündelung

Managen von Node-Provisioning-RegelnSie können Node-Provisining-Regeln erstellen und managen, um die Konfiguration neuer Netzwerkschnittstellen zu automatisieren.

Netzwerke 381

Erstellen einer Node-Provisioning-RegelSie können eine Node-Provisioning-Regel erstellen, um anzugeben, wie Netzwerkschnittstellen auf neuen Nodes beim Hinzufügen von Nodes zum Cluster konfiguriert werden sollen. Node-Provisioning-Regeln werden unter einem IP-Adressenpool erstellt.


2. Klicken Sie neben dem IP-Adressenpool, der die neue Node-Provisioning-Regel enthalten soll, auf More > Add Rule.Das Fenster Create Rule wird angezeigt.

3. Geben Sie im Feld Name den Namen der neuen Node-Provisioning-Regel an.

4. Optional: Geben Sie im Feld Description einen beschreibenden Kommentar zur Regel ein.


5. Wählen Sie in der Liste Interface Type den Typ für die Netzwerkschnittstelle aus, die dem Pool hinzugefügt werden soll, wenn der neue Node zum Cluster hinzugefügt wird.

6. Wählen Sie in der Liste Node Type einen der folgenden Node-Typen aus:

• Any• Storage• Accelerator• Backup accelerator

Die Regel wird angewendet, wenn ein mit dem ausgewählten Typ übereinstimmender Node zum Cluster hinzugefügt wird.

7. Klicken Sie auf Add rule.


Provisioning-Regeln für Nodes

Ändern einer Node-Provisioning-RegelSie können die Einstellungen für Node-Provisioning-Regeln ändern.


2. Klicken Sie neben der Node-Provisioning-Regel, die geändert werden soll, auf View/Edit.Das Fenster View Rule Details wird angezeigt.

3. Klicken Sie auf Edit.Das Fenster Edit Rule Details wird angezeigt.

4. Ändern Sie die Einstellungen für die Node-Provisioning-Regeln und klicken Sie dann auf Save Changes.



Löschen einer Node-Provisioning-RegelSie können eine Node-Provisioning-Regel löschen, wenn sie nicht mehr erforderlich ist.


2. Klicken Sie neben der zu löschenden Node-Provisioning-Regel auf More > Delete Rule.




Anzeigen der Einstellungen für Node-Provisioning-RegelnSie können die Einstellungsdetails für eine bestimmte Node-Provisioning-Regel anzeigen.


2. Klicken Sie neben der Provisioning-Regel, die Sie anzeigen möchten, auf View/Edit.Das Fenster View Rule Details wird angezeigt.

382 Netzwerke

3. Klicken Sie auf Close, um das Fenster zu schließen.



Managen von RoutingoptionenSie können die Richtung des ausgehenden Clientdatenverkehrs durch die Konfiguration von quellenbasiertem Routing oder statischen Routen zusätzlich steuern.

Wenn quellenbasiertes Routing und statische Routen konfiguriert sind, haben die statischen Routen Priorität für Datenverkehr, der diesen Routen entspricht.

Aktivieren oder Deaktivieren von quellenbasiertem RoutingSie können quellenbasiertes Routing auf dem Cluster global aktivieren oder deaktivieren.

1. Klicken Sie auf Cluster Management > Network Configuration > Settings.

2. Aktivieren oder deaktivieren Sie das Kontrollkästchen Enable source based routing.



Quellenbasiertes Routing

Hinzufügen oder Entfernen einer statischen RouteSie können statische Routen konfigurieren, um ausgehenden Datenverkehr über ein bestimmtes Gateway an bestimmte Ziele zu leiten. Statische Routen werden auf Level des IP-Adressenpools konfiguriert.

Statische Routen müssen mit der IP-Adressreihe (IPv4 oder IPv6) des IP-Adressenpools übereinstimmen, in dem sie konfiguriert werden.




4. So ändern Sie eine statische Route:

a) Klicken Sie im Bereich Static Routes auf Add static route.Das Fenster Create Static Route wird angezeigt.

b) Geben Sie im Feld Subnet die IPv4- oder IPv6-Adresse des Subnetzes an, an das der Datenverkehr weitergeleitet werden soll.c) Geben Sie im Feld Netmask oder Prefixlen die Netzmaske (IPv4) oder die Präfixlänge (IPv6) des von Ihnen zur Verfügung

gestellten Subnetzes an.d) Geben Sie im Feld Gateway die IPv4- oder IPv6-Adresse des Gateways an, durch das der Datenverkehr geleitet werden soll.e) Klicken Sie auf Add Static Route.

5. Um eine statische Route aus der Tabelle Static Routes zu entfernen, klicken Sie neben der Route, die entfernt werden soll, auf die Schaltfläche Remove.



Statisches Routing

Managen von DNS-CacheeinstellungenSie können DNS-Cacheeinstellungen für das externe Netzwerk festlegen.

Netzwerke 383

Löschen des DNS-CachesSie können den DNS-Cache der einzelnen Gruppennetze, für die DNS-Caching aktiviert ist, auf einmal löschen.

1. Klicken Sie auf Cluster Management > Network Configuration > DNS Cache.

2. Klicken Sie im Bereich Actions auf Flush DNS Cache.

3. Klicken Sie im Bestätigungsfenster auf Confirm.

Ändern der DNS-CacheeinstellungenSie können die globalen Einstellungen für den DNS-Cache der einzelnen Gruppennetze ändern, für die DNS-Caching aktiviert ist.

1. Klicken Sie auf Cluster Management > Network Configuration > DNS Cache.

2. Ändern Sie die DNS-Einstellungen und klicken Sie dann auf Save Changes.

DNS-CacheeinstellungenSie können die Einstellungen für den DNS-Cache konfigurieren.


TTL No Error Minimum Gibt den unteren TTL-Grenzwert für Cachetreffer an.

Der Standardwert ist 30 Sekunden.

TTL No Error Maximum Gibt den oberen TTL-Grenzwert für Cachetreffer an.


TTL Non-existent Domain Minimum Gibt den unteren TTL-Grenzwert für nxdomain an.


TTL Non-existent Domain Maximum Gibt den oberen TTL-Grenzwert für nxdomain an.


TTL Other Failures Minimum Gibt den unteren TTL-Grenzwert für Nicht-nxdomain-Fehler an.


TTL Other Failures Maximum Gibt den oberen TTL-Grenzwert für Nicht-nxdomain-Fehler an.


TTL Lower Limit For Server Failures Gibt den unteren TTL-Grenzwert für DNS-Serverausfälle an.


TTL Upper Limit For Server Failures Gibt den oberen TTL-Grenzwert für DNS-Serverausfälle an.


Eager Refresh Gibt die Vorlaufzeit für die Aktualisierung von Cacheeinträgen an, die sich dem Ablaufzeitpunkt nähern.


Cache Entry Limit Gibt die maximale Anzahl an Einträgen an, die der DNS-Cache enthalten kann.

Der Standardwert sind 65536 Einträge.

Test Ping Delta Gibt das Delta für die Überprüfung der cbind-Clusterintegrität an.


384 Netzwerke

Managen von TCP-PortsSie können die Liste der Client-TCP-Ports ändern, die für das externe Netzwerk verfügbar sind.

Hinzufügen oder Entfernen von TCP-PortsSie können TCP-Ports in der Liste der für das externe Netzwerk verfügbaren Ports hinzufügen oder entfernen.

1. Klicken Sie auf Cluster Management > Network Configuration > Settings.

2. So fügen Sie einen TCP-Port hinzu:

a) Klicken Sie im Bereich TCP Ports auf Add TCP Ports.Das Fenster Add TCP Ports wird angezeigt.

b) Geben Sie im Feld TCP Ports eine Portnummer ein.c) Optional: Klicken Sie auf Add another port, um weitere Portnummern anzugeben.d) Klicken Sie auf Add Ports.

3. Klicken Sie zum Entfernen eines TCP-Ports in der Tabelle TCP Ports neben dem Port, der gelöscht werden soll, auf die Schaltfläche Remove.


Netzwerke 385

VirenschutzDieser Abschnitt enthält die folgenden Themen:

Themen:

• Virenschutzüberblick• Scannen während des Zugriffs• Scannen nach Virenschutz-Policies• Scannen einzelner Dateien• WORM-Dateien und Virenschutz• Virenüberprüfungsberichte• ICAP Server• Reaktionen auf Bedrohungen durch Viren• Konfigurieren globaler Virenschutzeinstellungen• Managen von ICAP-Servern• Erstellen einer Virenschutz-Policy• Managen von Virenschutz-Policies• Managen von Virenüberprüfungen• Managen von Virenbedrohungen• Managen von Virenschutzberichten

VirenschutzüberblickSie können die Dateien, die Sie auf einem Isilon-Cluster speichern, auf Computerviren, Schadsoftware und andere Sicherheitsbedrohungen scannen, indem Sie Scanservices von Drittanbietern über ICAP (Internet Content Adaptation Protocol) integrieren.

OneFS sendet Dateien über ICAP an einen Server, auf dem Virenscansoftware eines Drittanbieters ausgeführt wird. Diese Server werden als ICAP-Server bezeichnet. ICAP-Server scannen Dateien auf Viren.

Nachdem ein ICAP-Server eine Datei gescannt hat, informiert er OneFS darüber, ob die Datei eine Bedrohung darstellt. Wenn eine Bedrohung erkannt wird, informiert OneFS die Systemadministratoren, indem es ein Event erstellt und nahezu in Echtzeit eine Zusammenfassung anzeigt und die Bedrohung in einem Virenschutzbericht dokumentiert. Sie können OneFS so konfigurieren, dass ICAP-Server veranlasst werden, infizierte Dateien zu reparieren. Sie können OneFS auch so konfigurieren, dass Benutzer vor gefährlichen Dateien geschützt werden, indem infizierte Dateien gekürzt oder unter Quarantäne gestellt werden.

Bevor OneFS eine Datei zum Scannen sendet, sorgt es dafür, dass der Scanvorgang nicht redundant ist. Wenn eine Datei bereits gescannt und anschließend nicht geändert wurde, sendet OneFS die Datei nicht zum Scannen, sofern die Virendatenbank auf dem ICAP-Server seit der letzten Virenüberprüfung nicht aktualisiert wurde.

ANMERKUNG: Virenscans sind nur auf Nodes im Cluster verfügbar, die mit dem externen Netzwerk verbunden sind.

Scannen während des ZugriffsSie können OneFS so konfigurieren, dass zu scannende Dateien gesendet werden, bevor sie geöffnet bzw. nachdem sie geschlossen werden, oder beides. Dies kann über Dateizugriffsprotokolle wie SMB, NFS und SSH erfolgen. Das Senden von Dateien zum Scannen, nachdem sie geschlossen wurden, ist schneller, jedoch auch unsicherer. Das Senden von Dateien zum Scannen, bevor sie geöffnet wurden, ist langsamer, jedoch auch sicherer.

Wenn OneFS so konfiguriert ist, dass Dateien gescannt werden, nachdem sie geschlossen wurden und ein Benutzer eine Datei auf dem Cluster erstellt oder ändert, stellt OneFS die zu scannenden Datei in eine Warteschlange. OneFS sendet die Datei dann an einen ICAP-Server, damit sie bei passender Gelegenheit gescannt wird. In dieser Konfiguration können Benutzer jederzeit ohne Verzögerung auf Dateien zugreifen. Es ist jedoch möglich, dass, nachdem ein Benutzer eine Datei erstellt oder geändert hat, ein zweiter Benutzer auf die Datei zugreift, bevor sie gescannt wurde. Wenn durch den ersten Benutzer ein Virus in die Datei eingebracht wurde, greift der zweite Benutzer auf die infizierte Datei zu. Wenn zudem ein ICAP-Server nicht in der Lage ist, eine Datei zu scannen, ist die Datei weiterhin für die Benutzer verfügbar.

26

386 Virenschutz

Wenn OneFS sicherstellt, dass Dateien gescannt werden, bevor sie geöffnet werden und ein Benutzer versucht, eine Datei vom Cluster herunterzuladen, sendet OneFS die Datei zunächst zum Scannen an einen ICAP-Server. Die Datei wird erst dann an den Benutzer gesendet, wenn der Scanvorgang abgeschlossen ist. Das Scannen von Dateien vor dem Öffnen ist sicherer als das Scannen nach dem Schließen, da Benutzer nur auf gescannte Dateien zugreifen können. Das Scannen von Dateien vor dem Öffnen bedeutet jedoch auch, dass Benutzer warten müssen, bis die Dateien gescannt sind. Sie können OneFS auch so konfigurieren, dass der Zugriff auf Dateien verweigert wird, die nicht von einem ICAP-Server gescannt werden können, was die Verzögerung jedoch erhöhen kann. Wenn beispielsweise keine ICAP-Server verfügbar sind, können Benutzer nicht auf Dateien zugreifen, bis die ICAP-Server wieder verfügbar sind.

Wenn Sie OneFS so konfigurieren, dass Dateien gescannt werden, bevor sie geöffnet werden, sollte OneFS auch so konfiguriert werden, dass Dateien gescannt werden, nachdem sie geschlossen wurden. Das Scannen von Dateien sowohl nach dem Öffnen als auch nach dem Schließen bedeutet nicht unbedingt eine Verbesserung der Sicherheit, sondern eher eine Verbesserung der Datenverfügbarkeit im Vergleich zum ausschließlichen Scannen von Dateien beim Öffnen. Wenn ein Benutzer auf eine Datei zugreifen möchte, wurde die Datei möglicherweise bereits gescannt, nachdem sie zuletzt geändert wurde, und muss nicht erneut gescannt werden, wenn die ICAP-Serverdatenbank seit dem letzten Scanvorgang nicht aktualisiert wurde.

Zugehörige Tasks

Konfigurieren der Überprüfungseinstellungen während des Zugriffs

Scannen nach Virenschutz-PoliciesMit der OneFS Job Engine können Sie Virenscan-Policies erstellen, die Dateien von einem angegebenen Verzeichnis zu dem zu scannenden Verzeichnis senden. Virenschutz-Policies können jederzeit manuell ausgeführt werden oder so konfiguriert werden, dass sie nach einer Planung ausgeführt werden.

Virenschutz-Policies gelten für ein bestimmtes Verzeichnis im Cluster. Sie können eine Virenschutz-Policy daran hindern, bestimmte Dateien innerhalb des angegebenen Stammverzeichnisses aufgrund der Größe, des Namens oder der Erweiterung der Datei zu senden. Das Scannen während des Zugriffs unterstützt zudem die Filterung nach Größe, Name und Erweiterung mithilfe des Befehls isi antivirus settings. Virenschutz-Policies gelten nicht für Snapshots. Nur Scans während des Zugriffs schließen Snapshots ein.


Managen von Virenschutz-Policies

Zugehörige Tasks

Erstellen einer Virenschutz-Policy

Scannen einzelner DateienSie können eine bestimmte Datei jederzeit an einen ICAP-Server zur Überprüfung senden.

Wenn ein Virus in einer Datei gefunden wird, dieser vom ICAP-Server aber nicht behoben werden kann, können Sie die Datei an den ICAP-Server senden, nachdem die Virendatenbank aktualisiert wurde. Möglicherweise ist der ICAP-Server dann in der Lage, die Datei zu reparieren. Sie können auch einzelne Dateien überprüfen, um die Verbindung zwischen dem Cluster und ICAP-Servern zu testen.

WORM-Dateien und VirenschutzWORM-Dateien (Write Once Read Many) können durch eine Virenschutzsoftware gescannt und unter Quarantäne gestellt werden. Sie können allerdings erst nach Ablauf ihrer Aufbewahrungsfrist repariert oder gelöscht werden.

Mit dem SmartLock-Softwaremodul können Sie ein Verzeichnis in OneFS als WORM-Domain identifizieren. Alle Dateien innerhalb der WORM-Domain werden in einen WORM-Status versetzt, d. h., dass diese Dateien nicht überschrieben, geändert oder gelöscht werden können.

Wie andere Dateien in OneFS können WORM-Dateien auf Viren und andere Sicherheitsbedrohungen gescannt werden. Aufgrund ihres Schreibschutzes können WORM-Dateien allerdings während einer Virenüberprüfung weder repariert noch gelöscht werden. Wird eine WORM-Datei als Bedrohung erachtet, wird die Datei unter Quarantäne gestellt.

Sofern möglich, können Sie eine Virenüberprüfung für die Dateien initiieren, bevor sie in den WORM-Status versetzt werden.

Virenschutz 387

VirenüberprüfungsberichteOneFS erstellt Berichte zu Virenüberprüfungen. Sobald eine Virenschutz-Policy ausgeführt wird, erstellt OneFS einen Bericht für diese Policy. OneFS erstellt ebenfalls alle 24 Stunden einen Bericht, der alle Scanvorgänge während des Zugriffs enthält, die während des Tages stattgefunden haben.

Die Berichte zu Virenüberprüfungen enthalten die folgenden Informationen:

• Zeitpunkt des Scanbeginns• Zeitpunkt des Abschlusses des Scanvorgangs• Gesamtzahl der gescannten Dateien• Gesamtgröße der gescannten Dateien• Gesendeter Gesamtnetzwerkverkehr• Der Netzwerkdurchsatz, der durch die Virenüberprüfung verbraucht wurde• Ergebnis (Erfolg) des Scanvorgangs• Gesamtzahl der erkannten infizierten Dateien• Die Namen der infizierten Dateien• Die Bedrohungen im Zusammenhang mit den infizierten Dateien• Reaktion von OneFS auf erkannte Bedrohungen


Managen von Virenschutzberichten

Zugehörige Tasks

Konfigurieren der Aufbewahrungseinstellungen von Virenschutzberichten

Anzeigen von Virenschutzberichten

ICAP ServerDie Anzahl der ICAP-Server, die erforderlich sind, um ein Isilon-Cluster zu unterstützen, hängt von der Konfiguration der Virenüberprüfung ab, der Menge an Daten, die ein Cluster verarbeitet, und der Verarbeitungsleistung der ICAP-Server.

Wenn Sie Dateien ausschließlich über Antiviren-Policies scannen möchten, wird empfohlen, dass Sie mindestens zwei ICAP-Server pro Cluster einsetzen. Wenn Sie Dateien beim Zugriff scannen möchten, wird empfohlen, dass Sie mindestens einen ICAP-Server für jeden Node im Cluster nutzen.

Wenn Sie mehr als einen ICAP-Server für einen Cluster konfigurieren, müssen Sie unbedingt sicherstellen, dass die Verarbeitungsleistung jedes ICAP-Servers relativ ausgeglichen ist. OneFS verteilt abwechselnd Daten an die ICAP-Server auf, ungeachtet der Verarbeitungsleistung der ICAP-Server. Wenn ein Server erheblich leistungsstärker ist als ein anderer, sendet OneFS keine zusätzlichen Dateien an den leistungsstärkeren Server.

VORSICHT: Wenn Dateien aus dem Cluster an einen ICAP-Server gesendet werden, werden sie als Klartext über das

Netzwerk gesendet. Vergewissern Sie sich, dass der Pfad aus dem Cluster an den ICAP-Server zu einem

vertrauenswürdigen Netzwerk gehört. Außerdem wird Authentifizierung nicht unterstützt. Wenn zwischen einem ICAP-

Client und einem ICAP-Server eine Authentifizierung erforderlich ist, muss die Hop-by-Hop-Proxyauthentifizierung

verwendet werden.


Managen von ICAP-Servern

Zugehörige Tasks

ICAP-Server hinzufügen und Verbindung mit diesem herstellen

Reaktionen auf Bedrohungen durch VirenSie können das System so konfigurieren, dass alle Dateien, in denen der ICAP-Server Viren erkannt hat, repariert, unter Quarantäne gestellt oder gekürzt werden.

OneFS und ICAP-Server reagieren auf eine der folgenden Arten, wenn Bedrohungen erkannt werden:

388 Virenschutz

Warnmeldungen Durch alle erkannten Bedrohungen wird, unabhängig von der Bedrohungsreaktionskonfiguration, in OneFS ein Warnevent erzeugt.

Reparatur Der ICAP-Server versucht, die infizierte Datei zu reparieren, bevor er die Datei an OneFS zurückgibt.

Unter Quarantäne stellen

OneFS stellt die infizierte Datei unter Quarantäne. Auf eine unter Quarantäne gestellte Datei kann von keinem Benutzer zugegriffen werden. Eine unter Quarantäne gestellte Datei kann jedoch vom Stammbenutzer aus der Quarantäne genommen werden, wenn der Stammbenutzer mit dem Cluster über SSH (Secure Shell) verbunden ist. Wenn Sie Ihr Cluster über NDMP-Backup sichern, bleiben unter Quarantäne gestellte Dateien beim Wiederherstellen der Dateien weiterhin unter Quarantäne. Wenn Sie unter Quarantäne gestellte Dateien auf ein anderes Isilon-Cluster replizieren, bleiben die unter Quarantäne gestellten Dateien auf dem Zielcluster weiterhin unter Quarantäne. Quarantänen arbeiten unabhängig von ACLs (Zugriffskontrolllisten).

Kürzen OneFS kürzt die infizierte Datei. Wenn eine Datei gekürzt wird, reduziert OneFS die Größe der Datei auf 0 Byte, um die Datei harmlos zu machen.

Sie können OneFS und ICAP-Server so konfigurieren, dass sie auf eine der folgenden Arten reagieren, wenn Bedrohungen erkannt werden:

Reparieren oder unter Quarantäne stellen

Versucht, die infizierten Dateien zu reparieren. Wenn ein ICAP-Server eine Datei nicht reparieren kann, stellt OneFS die Datei unter Quarantäne. Wenn der ICAP-Server die Datei erfolgreich repariert, sendet OneFS die Datei an den Benutzer. Reparatur oder Quarantäne können hilfreich sein, wenn Sie die Benutzer vor dem Zugriff auf infizierte Dateien schützen, gleichzeitig aber auch alle Daten auf einem Cluster aufbewahren möchten.

Reparieren oder Kürzen

Versucht, die infizierten Dateien zu reparieren. Wenn ein ICAP-Server eine Datei nicht reparieren kann, kürzt OneFS die Datei. Wenn der ICAP-Server die Datei erfolgreich repariert, sendet OneFS die Datei an den Benutzer. Reparieren oder Kürzen kann nützlich sein, wenn Sie nicht alle Daten im Cluster aufbewahren möchten und Speicherplatz freigeben möchten. Die Daten in den infizierten Dateien gehen jedoch verloren.

Nur Warnmeldung Erzeugt nur ein Event für jede infizierte Datei. Es wird empfohlen, dass Sie diese Einstellung nicht anwenden.

Nur Reparieren Versucht, die infizierten Dateien zu reparieren. Danach sendet OneFS die Dateien an den Benutzer, egal ob der ICAP-Server die Dateien erfolgreich repariert hat oder nicht. Es wird empfohlen, dass Sie diese Einstellung nicht anwenden. Wenn Sie nur versuchen, Dateien zu reparieren, können Benutzer weiterhin auf infizierte Dateien zugreifen, die nicht repariert werden können.

Unter Quarantäne stellen

Stellt alle infizierten Dateien unter Quarantäne. Es wird empfohlen, dass Sie diese Einstellung nicht anwenden. Wenn Sie Dateien unter Quarantäne stellen, ohne zu versuchen, sie zu reparieren, wird Ihnen möglicherweise der Zugriff auf infizierte Dateien verweigert, die hätten repariert werden können.

Kürzen Kürzt alle infizierten Dateien. Es wird empfohlen, dass Sie diese Einstellung nicht anwenden. Wenn Sie die Dateien kürzen, ohne zu versuchen, sie zu reparieren, löschen Sie möglicherweise unnötig Daten.

Zugehörige Tasks

Konfigurieren von Virenschutzeinstellungen

Konfigurieren globaler VirenschutzeinstellungenSie können globale Virenschutzeinstellungen konfigurieren, die standardmäßig auf alle Virenüberprüfungen angewendet werden.

Ausschließen von Dateien aus VirenüberprüfungenSie können Dateien von Virenscans ausschließen.

ANMERKUNG: Die in diesem Abschnitt aufgelisteten Einstellungen gelten für alle Virenscans. Alle Einstellungen gelten

nur für das Scannen während des Zugriffs und die Scaneinstellungen der Policy werden auf der Registerkarte Policy pro

Policy angezeigt.

1. Klicken Sie auf Data Protection > Antivirus > Settings.

2. Optional: Um Dateien auf Grundlage der Dateigröße auszuschließen, legen Sie im Bereich Maximum File Scan Size die größte Dateigröße fest, die Sie scannen möchten.

3. Um Dateien basierend auf dem Namen auszuschließen, führen Sie die folgenden Schritte aus:

a) Wählen Sie Enable filters aus.b) Geben Sie im Bereich Filter Matching an, ob alle Dateien gescannt werden sollen, die einem bestimmten Filter entsprechen, oder

alle Dateien, die keinem bestimmten Filter entsprechen.

Virenschutz 389

c) Legen Sie einen oder mehrere Filter fest.

1. Klicken Sie auf Add Filters.2. Legen Sie den Filter fest.

Sie können die folgenden Platzhalterzeichen einschließen:

Platzhalterzeichen Beschreibung

* Das Sternchen kann für eine beliebige Zeichenfolge stehen. Beispiel: Die Angabe m* würde beispielsweise mit movies und m123 übereinstimmen.

[ ] Gleicht alle Zeichen, die in den Klammern enthalten sind, oder einer Reihe von Zeichen ab, die durch einen Bindestrich getrennt sind.

Beispiel: Die Angabe b[aei]t würde beispielsweise mit bat, bet und bit übereinstimmen.

Beispiel: Die Angabe 1[4-7]2 würde beispielsweise mit 142, 152, 162 und 172 übereinstimmen.

Sie können Zeichen in Klammern ausschließen, indem Sie der ersten Klammer ein Ausrufezeichen nachstellen.

Beispiel: Die Angabe b[!ie] würde beispielsweise mit bat übereinstimmen, aber nicht mit bit oder bet.

Sie können eine Klammer innerhalb einer Klammer verwenden, wenn es sich um das erste oder letzte Zeichen handelt.

Beispiel: Die Angabe [[c]at würde beispielsweise mit cat und [at übereinstimmen.

Sie können einen Bindestrich innerhalb einer Klammer verwenden, wenn es sich um das erste oder letzte Zeichen handelt.

Beispiel: Die Angabe car[-s] würde beispielsweise mit cars and car- übereinstimmen.

? Gleicht jedes Zeichen anstelle des Fragezeichens ab.

Beispiel: Die Angabe t?p würde beispielsweise mit tap, tip und top übereinstimmen.

3. Klicken Sie auf Add Filters.


Konfigurieren der Überprüfungseinstellungen während des ZugriffsSie können OneFS so konfigurieren, dass Dateien automatisch überprüft werden, wenn Benutzer auf sie zugreifen. Überprüfungen während des Zugriffs werden unabhängig von den Virenschutz-Policies ausführt.


2. Legen Sie im Bereich On-Access Scans fest, ob die Dateien beim Zugriff gescannt werden sollen.

• Wenn alle Dateien gescannt werden sollen, bevor sie vom Benutzer geöffnet werden, wählen Sie Enable scan of files on open aus und geben Sie an, ob Sie den Zugriff auf Dateien ermöglichen möchten, die nicht gescannt werden können, indem Sie Enable file access when scanning fails aktivieren oder deaktivieren.

• Um Dateien zu scannen, nachdem sie geschlossen wurden, wählen Sie die Option Enable scan of files on close aus.

3. Geben Sie im Bereich All Scans im Feld Path Prefixes die Verzeichnisse an, auf die Zugriffseinstellungen angewendet werden sollen.


390 Virenschutz


Scannen während des Zugriffs

Konfigurieren von VirenschutzeinstellungenSie können konfigurieren, wie OneFS auf erkannte Bedrohungen reagiert.


2. Legen Sie im Bereich Action on Detection fest, wie OneFS auf potenziell infizierte Dateien reagieren soll.


Reaktionen auf Bedrohungen durch Viren

Konfigurieren der Aufbewahrungseinstellungen von VirenschutzberichtenSie können konfigurieren, wie lange Virenschutzberichte in OneFS aufbewahrt werden, bevor sie automatisch gelöscht werden.


2. Geben Sie im Bereich Reports an, wie lange Berichte von OneFS aufbewahrt werden sollen.


Virenüberprüfungsberichte

Aktivieren oder Deaktivieren von VirenüberprüfungenSie können alle Virenüberprüfungen aktivieren oder deaktivieren.

Dieses Verfahren ist nur über die Webverwaltungsschnittstelle verfügbar.

1. Klicken Sie auf Data Protection > Antivirus > Summary.

2. Aktivieren oder deaktivieren Sie im Bereich Service die Option Enable Antivirus service.

Managen von ICAP-ServernBevor Sie die zu scannenden Dateien an einen ICAP-Server senden können, müssen Sie die Verbindung von OneFS zum Server konfigurieren. Sie können eine ICAP-Serververbindung testen, ändern und entfernen. Sie können eine Verbindung zu einem ICAP-Server auch vorübergehend trennen und anschließend wiederherstellen.


ICAP Server

ICAP-Server hinzufügen und Verbindung mit diesem herstellenSie können einen ICAP-Server hinzufügen und mit diesem eine Verbindung herstellen. Nachdem ein Server hinzugefügt wurde, kann OneFS Dateien an den Server senden, damit diese auf Viren gescannt werden.

1. Klicken Sie auf Data Protection > Antivirus > ICAP Servers.

2. Klicken Sie im Bereich ICAP Servers auf Add an ICAP Server.

3. Optional: Klicken Sie auf Enable ICAP Server, um den ICAP-Server zu aktivieren.

4. Geben Sie im Dialogfeld Create ICAP Server im Feld ICAP Server URL die IPv4- oder IPv6-Adresse eines ICAP-Servers ein.

5. Optional: Im Feld Description können Sie eine Beschreibung für den Server eingeben.

6. Klicken Sie auf Server hinzufügen.

Virenschutz 391


ICAP Server

Testen einer ICAP-SerververbindungSie können die Verbindung zwischen OneFS und einem ICAP-Server testen. Dieses Verfahren ist nur über die Webverwaltungsschnittstelle verfügbar.


2. Klicken Sie in der Tabelle ICAP Servers in der Zeile für den ICAP-Server auf View / Edit.Wenn das Cluster mit dem ICAP-Server verbunden ist, wird im Bereich Details im Feld Status der Status active angezeigt.


ICAP Server

Ändern von ICAP-VerbindungseinstellungenSie können die IP-Adresse und die optionale Beschreibung von ICAP-Serververbindungen ändern.


2. Klicken Sie in der Tabelle ICAP Servers in der Zeile für einen ICAP-Server auf View / Edit.




ICAP Server

Zugehörige Tasks

Testen einer ICAP-Serververbindung

Vorübergehendes Trennen der Verbindung zu einem ICAP-ServerWenn Sie verhindern möchten, dass OneFS Dateien an einen ICAP-Server sendet, die Verbindungseinstellungen des ICAP-Servers jedoch beibehalten möchten, können Sie die Verbindung zum ICAP-Server vorübergehend trennen.


2. Klicken Sie in der Tabelle ICAP Servers in der Zeile für einen ICAP-Server auf View/Edit.


4. Deaktivieren Sie das Kontrollkästchen Enable ICAP Server und klicken Sie dann auf Save Changes.


ICAP Server

Zugehörige Tasks

Wiederherstellen einer Verbindung zu einem ICAP-Server

Wiederherstellen einer Verbindung zu einem ICAP-ServerSie können eine vorübergehend getrennte Verbindung zu einem ICAP-Server wiederherstellen.


2. Klicken Sie in der Tabelle ICAP Servers in der Zeile für einen ICAP-Server auf View / Edit.


392 Virenschutz

4. Wählen Sie Enable ICAP Server und klicken Sie dann auf Save Changes.


ICAP Server

Zugehörige Tasks

Vorübergehendes Trennen der Verbindung zu einem ICAP-Server

Entfernen eines ICAP-ServersSie können die Verbindung zu einem ICAP-Server dauerhaft trennen.


2. Klicken Sie in der Tabelle ICAP Servers in der Zeile für einen ICAP-Server auf Delete.


ICAP Server

Zugehörige Tasks

ICAP-Server hinzufügen und Verbindung mit diesem herstellen

Erstellen einer Virenschutz-PolicySie können eine Virenschutz-Policy erstellen, mit der bestimmte Dateien jedes Mal auf Viren überprüft werden, wenn die Policy ausgeführt wird.

1. Klicken Sie auf Data Protection > Antivirus > Policies.

2. Klicken Sie auf Create an Antivirus Policy.

3. Optional: Um die Policy zu aktivieren, klicken Sie auf Enable antivirus policy.

4. Geben Sie im Feld Policy Name einen Namen für die Virenschutz-Policy ein.

5. Optional: Im Feld Description können Sie eine optionale Beschreibung der Policy eingeben.

6. Geben Sie im Feld Paths das Verzeichnis ein, das gescannt werden soll.Klicken Sie optional auf Add another directory path, um weitere Verzeichnisse anzugeben.

7. Geben Sie im Bereich Recursion Depth an, wie viel in den angegebenen Verzeichnissen gescannt werden soll.

• Um alle Unterverzeichnisse der angegebenen Verzeichnisse zu scannen, klicken Sie auf Full recursion.• Um eine begrenzte Anzahl an Unterverzeichnissen der angegebenen Verzeichnisse zu scannen, klicken Sie auf Limit depth und

geben Sie dann an, wie viele Unterverzeichnisse gescannt werden sollen.

8. Optional: Um alle Dateien unabhängig davon zu scannen, ob OneFS Dateien als gescannt gekennzeichnet hat, oder falls globale Einstellungen angeben, dass bestimmte Dateien nicht gescannt werden sollen, wählen Sie Enable force run of policy regardless of impact policy aus.

9. Optional: Um die standardmäßige Auswirkungs-Policy der Virenüberprüfungen zu ändern, wählen Sie in der Liste Impact Policy eine neue Auswirkungs-Policy aus.

10. Legen Sie im Bereich Schedule fest, ob die Policy anhand eines Plans oder manuell ausgeführt werden soll.

Geplante Policies können auch jederzeit manuell ausgeführt werden.

Run the policy only manually Klicken Sie auf Manual.

Run the policy according to a schedule a. Klicken Sie auf Scheduled.b. Geben Sie an, wie oft die Policy ausgeführt werden soll.

11. Klicken Sie auf Create Policy.


Scannen nach Virenschutz-Policies

Virenschutz 393

Managen von Virenschutz-PoliciesSie können Virenschutz-Policies ändern und löschen. Sie können Virenschutz-Policies auch vorübergehend deaktivieren, wenn Sie die Policy beibehalten, derzeit jedoch keine Dateien scannen möchten.



Ändern einer Virenschutz-PolicySie können eine Virenschutz-Policy ändern.


2. Klicken Sie in der Tabelle Antivirus Policies in der Zeile für die Virenschutz-Policy, die geändert werden soll, auf View / Edit.

3. Klicken Sie im Dialogfeld View Antivirus Policy Details auf Edit.




Löschen einer Virenschutz-PolicySie können eine Virenschutz-Policy löschen.


2. Klicken Sie in der Tabelle Antivirus Policies in der Zeile für die Virenschutz-Policy, die gelöscht werden soll, auf More > Delete.



Aktivieren oder Deaktivieren einer Virenschutz-PolicySie können Virenschutz-Policies vorübergehend deaktivieren, wenn Sie die Policy beibehalten, derzeit jedoch keine Dateien überprüfen möchten.


2. Klicken Sie in der Tabelle Antivirus Policies in der Zeile für die Virenschutz-Policy, die aktiviert oder deaktiviert werden soll, auf More > Enable Policy oder More > Disable Policy.



Anzeigen von Virenschutz-PoliciesSie können Virenschutz-Policies anzeigen.


2. In der Tabelle Antivirus Policies werden die Virenschutz-Policies angezeigt.



394 Virenschutz

Managen von VirenüberprüfungenSie können mehrere Dateien auf Viren scannen, indem Sie manuell eine Virenschutz-Policy ausführen oder eine einzelne Datei ohne Virenschutz-Policy scannen. Sie können Virenüberprüfungen auch beenden.

Scannen einer DateiSie können eine einzelne Datei manuell auf Viren scannen.



2. Führen Sie den Befehl isi antivirus scan aus.Der folgende Befehl scannt die Datei /ifs/data/virus_file auf Viren:

isi antivirus scan /ifs/data/virus_file

Manuelles Ausführen einer Virenschutz-PolicySie können eine Virenschutz-Policy jederzeit manuell ausführen.

Dieses Verfahren ist nur über die Webverwaltungsschnittstelle verfügbar.


2. Klicken Sie in der Tabelle Antivirus Policies in der Zeile für eine Policy auf More > Run Policy.

Beenden einer laufenden VirenüberprüfungSie können eine laufende Virenüberprüfung beenden. Dieses Verfahren ist nur über die Webverwaltungsschnittstelle verfügbar.


2. Klicken Sie in der Tabelle Active Jobs in der Zeile mit dem Typ AVScan auf More > Cancel Running Job.

Managen von VirenbedrohungenSie können Dateien, in denen Bedrohungen erkannt wurden, reparieren, in Quarantäne stellen oder kürzen. Wenn Sie der Meinung sind, dass eine in Quarantäne gestellte Datei keine Bedrohung mehr darstellt, können Sie die Datei erneut scannen oder aus der Quarantäne entfernen.

Manuelles Verschieben einer Datei in die QuarantäneSie können eine Datei in Quarantäne stellen, damit Benutzer nicht auf die Datei zugreifen können.

1. Klicken Sie auf Data Protection > Antivirus > Detected Threats.

2. Klicken Sie in der Tabelle Antivirus Threat Reports in der Zeile für eine Datei auf More > Quarantine File.



Erneutes Scannen einer DateiSie können eine Datei erneut auf Viren scannen, z. B. wenn Sie überzeugt sind, dass die Datei keine Bedrohung mehr darstellt.



2. Führen Sie den Befehl isi antivirus scan aus.

Virenschutz 395

Mit dem folgenden Befehl wird beispielsweise /ifs/data/virus_file gescannt:

isi antivirus scan /ifs/data/virus_file



Entfernen einer Datei aus der QuarantäneSie können eine Datei aus der Quarantäne entfernen, wenn Sie beispielsweise der Meinung sind, dass die Datei keine Bedrohung mehr darstellt.


2. Klicken Sie in der Tabelle Antivirus Threat Reports in der Zeile für eine Datei auf More > Restore File.



Manuelles Kürzen einer DateiWenn in einer Datei eine Bedrohung gefunden wird und die Datei irreparabel ist und nicht mehr benötigt wird, können Sie die Datei manuell kürzen.



2. Führen Sie den Befehl truncate für eine Datei aus.Mit dem folgenden Befehl wird die Datei /ifs/data/virus_file gekürzt:

truncate -s 0 /ifs/data/virus_file



Anzeigen von BedrohungenSie können Dateien anzeigen, die von einem ICAP-Server als Bedrohungen identifiziert wurden.


2. In der Tabelle Antivirus Threat Reports werden potenziell infizierte Dateien angezeigt.




Informationen zu Bedrohungen durch Viren

Informationen zu Bedrohungen durch VirenSie können Informationen zu Bedrohungen durch Viren anzeigen, die von einem ICAP-Server gemeldet wurden.

Name Zeigt den Namen der erkannten Bedrohungen an, die der ICAP-Server erkannt hat.

Pfad Zeigt den Dateipfad der potenziell infizierten Datei an.

Remediation Zeigt an, was OneFS mit der Datei gemacht hat, als die Bedrohung erkannt wurde.

Policy Zeigt die ID der Virenschutz-Policy an, mit der die Bedrohung erkannt wurde.

396 Virenschutz

Detected Zeigt den Zeitpunkt an, zu dem die Bedrohung erkannt wurde.

Aktionen Zeigt die Aktionen an, die für die Datei ausgeführt werden können.

Managen von VirenschutzberichtenSie können Virenschutzberichte über die Webverwaltungsschnittstelle anzeigen. Sie können ebenfalls Virenschutzevents anzeigen.

Anzeigen von VirenschutzberichtenSie können Virenschutzberichte anzeigen.

1. Klicken Sie auf Data Protection > Antivirus > Reports.

2. Klicken Sie in der Tabelle Antivirus Scan Reports in der Zeile für einen Bericht auf View Details.


Virenüberprüfungsberichte

Anzeigen von VirenschutzereignissenSie können Ereignisse anzeigen, die sich auf Virenschutzaktivitäten beziehen.

1. Klicken Sie auf Cluster Management > Events and Alerts > Events.

2. In der Tabelle Event Groups sehen Sie alle Events.

Alle mit Virenüberprüfungen verbundenen Ereignisse werden als Warnungen klassifiziert. Die folgenden Ereignisse beziehen sich auf Virenschutzaktivitäten:

Virenschutz 397

VMware-IntegrationDieser Abschnitt enthält die folgenden Themen:

Themen:

• Überblick über die VMware-Integration• VAAI• VASA• Konfigurieren des VASA-Supports• Deaktivieren oder erneutes Aktivieren von VASA• Troubleshooting von VASA-Speicheranzeigefehlern

Überblick über die VMware-IntegrationOneFS kann in VMware-Infrastrukturen, einschließlich vSphere, vCenter und ESXi, integriert werden. Die VMware-Integration ermöglicht Ihnen, Informationen über Isilon-Cluster anzuzeigen und über VMware-Anwendungen mit diesen zu interagieren.

OneFS interagiert über VASA und VAAI (VMware vSphere APIs for Array Integration) mit VMware-Infrastrukturen. Weitere Informationen über VAAI finden Sie in den Isilon VAAI NAS Plug-In for Isilon Release Notes.

OneFS kann über den Storage Replication Adapter (SRA) von Isilon in VMware vCenter Site Recovery Manager (SRM) integriert werden. VMware SRM ermöglicht die Migration und Disaster Recovery virtueller Maschinen, die in Isilon-Clustern gespeichert sind. Isilon SRA ermöglicht VMware vCenter SRM das automatische Management der Setup-, Test- und Failover-Komponenten der Disaster-Recovery-Vorgänge für Isilon-Cluster. Informationen über den Isilon SRA für VMware SRM finden Sie in den Isilon SRA for VMware SRM Release Notes.

VAAIOneFS verwendet VAAI (VMware vSphere APIs for Array Integration), um die Auslagerung bestimmter Speicher- und Managementvorgänge virtueller Maschinen von VMware ESXi-Hypervisors zu einem Isilon-Cluster zu unterstützen.

Mit dem VAAI-Support können Sie den Vorgang zum Erstellen von virtuellen Maschinen und virtuellen Laufwerken beschleunigen. Damit OneFS über VASA mit vSphere interagieren kann, muss Ihre VMware-Umgebung ESXi 5.0-Hypervisors oder höher umfassen.

Wenn Sie VAAI-Funktionen für ein Isilon-Cluster aktivieren, wenn Sie über VMware eine virtuelle Maschine klonen, die sich auf dem Cluster von befindet, klont OneFS die Dateien, die in Relation zu dieser virtuellen Maschine stehen.

Um OneFS für die Verwendung von VAAI zu aktivieren, müssen Sie das VAAI-NAS-Plug-in für Isilon auf dem ESXi-Server installieren. Weitere Informationen zum VAAI-NAS-Plug-in für Isilon finden Sie in den VAAI NAS plug-in for Isilon Release Notes.

VASAOneFS kommuniziert über VASA mit VMware vSphere.

Durch den VASA-Support können Sie Informationen über Isilon-Cluster durch vSphere, einschließlich Isilon-spezifischer Alarme in vCenter anzeigen. Durch den VASA-Support können Sie zudem profilgesteuerten VMware-Speicher integrieren, indem Sie Speicherfunktionen für Isilon-Cluster in vCenter bereitstellen. Damit OneFS über VASA mit vSphere kommunizieren kann, muss Ihre VMware-Umgebung ESXi 5.0-Hypervisors oder höher umfassen.


Konfigurieren des VASA-Supports

27

398 VMware-Integration

https://support.emc.com/docu71154_VAAI_NAS_Plug-In_for_Isilon_1.2.2_Release_Notes.pdf



Isilon VASA-AlarmeWenn der VASA-Service auf einem Isilon-Cluster aktiviert ist und das Cluster als VASA-Anbieter (VMware vSphere API for Storage Awareness) in vCenter hinzugefügt wird, erzeugt OneFS Alarme in vSphere.

In der folgenden Tabelle wird der von OneFS erzeugte Alarm beschrieben:

Alarmbezeichnung Beschreibung

Thin-provisioned LUN capacity exceeded Es ist nicht genügend freier Speicherplatz auf dem Cluster vorhanden, um Speicherplatz zum Schreiben von Daten auf mit Thin Provisioning bereitgestellte LUNs zuzuweisen. Wenn diese Bedingung weiterhin besteht, können Sie keine Daten auf die virtuelle Maschine in diesem Cluster schreiben. Zur Behebung dieses Problems müssen Sie Speicherplatz auf dem Cluster freimachen.

VASA-SpeicherfunktionenOneFS ist durch VASA in VMware vCenter integriert, um Speicherfunktionen von Isilon-Clustern in vCenter anzuzeigen.

Die folgenden Speicherfunktionen werden über vCenter angezeigt:

Archivierung Das Isilon-Cluster besteht aus Nodes der Serie Isilon NL. Das Cluster ist für maximale Kapazität konfiguriert.

Performance Das Isilon-Cluster besteht aus Nodes der Serien Isilon-i, Isilon X oder Isilon S. Das Cluster ist für maximale Performance konfiguriert.

ANMERKUNG: Wenn ein Node-Typ SSDs unterstützt, jedoch keine installiert sind, wird das

Cluster als Kapazitätscluster erkannt.

Kapazität Das Isilon-Cluster besteht aus Nodes der Serie Isilon X, die keine SSDs enthalten. Das Cluster ist auf ein Gleichgewicht zwischen Performance und Kapazität konfiguriert.

Hybrid Das Isilon-Cluster besteht aus Nodes, die mit zwei oder mehr Speicherfunktionen verknüpft sind. Beispiel: Wenn das Cluster sowohl Nodes der Serie Isilon S als auch der Serie Isilon NL umfasst, wird die Speicherfunktion des Clusters als Hybrid angezeigt.

Konfigurieren des VASA-SupportsZur Aktivierung des VASA-Supports (VMware vSphere API for Storage Awareness) für ein Cluster müssen Sie den VASA-Daemon auf dem Cluster aktivieren und das Isilon-Herstellerzertifikat in vCenter hinzufügen.

ANMERKUNG: Wenn Sie die vCenter-Version 6.0 ausführen, müssen Sie ein selbstsigniertes Zertifikat erstellen, wie im

Abschnitt Selbstsigniertes Zertifikat erstellen beschrieben, bevor Sie das Isilon-Herstellerzertifikat hinzufügen und den

VASA-Provider über vCenter registrieren.


VASA

Aktivierung von VASASie müssen ein Isilon-Cluster für die Kommunikation mit VASA aktivieren, indem Sie den VASA-Daemon aktivieren.


2. Aktivieren Sie VASA, indem Sie den folgenden Befehl ausführen:

isi services isi_vasa_d enable

VMware-Integration 399

Herunterladen des Isilon-HerstellerzertifikatsUm einen VASA-Hersteller eines Isilon-Clusters in VMware vCenter hinzuzufügen, müssen Sie ein Herstellerzertifikat verwenden.

1. Stellen Sie in einem unterstützten Webbrowser unter https://<IPAddress> eine Verbindung mit einem Isilon-Cluster her, wobei <IPAddress> die IP-Adresse des Isilon-Clusters ist.

2. Fügen Sie eine Sicherheitsausnahme hinzu und zeigen Sie das Sicherheitszertifikat an, um sicherzustellen, dass es aktuell ist.

3. Laden Sie das Sicherheitszertifikat herunter und speichern Sie es an einem Speicherort auf Ihrem Computer.

Weitere Informationen zum Exportieren eines Sicherheitszertifikats finden Sie in der Dokumentation zu Ihrem Browser.

ANMERKUNG: Notieren Sie den Standort, an dem Sie das Zertifikat gespeichert haben. Sie benötigen diesen

Dateipfad, wenn Sie den Hersteller in vCenter hinzufügen.

Wenn Sie vCenter Version 6.0 ausführen, befolgen Sie die Anweisungen im Abschnitt Erstellen eines selbstsignierten Zertifikats. Wenn Sie die vorherigen Versionen von vCenter ausführen, überspringen Sie den nächsten Abschnitt, und befolgen Sie die Anweisungen im Abschnitt Hinzufügen des Isilon-Herstellers.

Erstellen eines selbstsignierten ZertifikatsWenn Sie VMware vCenter Version 6.0 ausführen, müssen Sie vor dem Hinzufügen und Registrieren eines VASA-Anbieters über vCenter ein neues selbstsigniertes Zertifikat erstellen.

Durch das Öffnen einer SSH-Verbindung (Secure Shell) zu einem Node im Isilon-Cluster, der als VASA-Anbieter verwendet wird, können Sie ein selbstsigniertes Zertifikat erstellen. Alternativ können Sie nach dem Erstellen eines selbstsignierten Zertifikats auf einem Node das Zertifikat auf einen beliebigen anderen Node im Cluster kopieren und diesen Node als VASA-Anbieter in vCenter registrieren.

1. Erstellen Sie einen RSA-Schlüssel, indem Sie den folgenden Befehl ausführen:

openssl genrsa -aes128 -out vp.key 1024

2. Entfernen Sie die Passphrase aus dem Schlüssel, indem Sie die folgenden Befehle nacheinander ausführen:

cp vp.key vp.key.withpassphraseopenssl rsa -in vp.key.withpassphrase -out vp.key

3. Erzeugen Sie eine Zertifikatsignieranforderung, indem Sie den folgenden Befehl ausführen:

openssl req -new -key vp.key -out vp.csr

4. Erzeugen Sie ein selbstsigniertes Zertifikat, das nicht von einer Zertifizierungsstelle signiert werden kann, indem Sie die folgenden Befehle nacheinander ausführen:

echo "basicConstraints=CA:FALSE" > vp.extopenssl x509 -req -days 365 -in vp.csr -sha256 -signkey vp.key -extfile vp.ext -out vp.crt:

ANMERKUNG: Bei einer Gültigkeitsdauer von 365 Tagen können Sie das selbstsignierte Zertifikat bei Bedarf ändern.

5. Zeigen Sie das neue Zertifikat mit den Erweiterungsinformationen zur Überprüfung an, indem Sie den folgenden Befehl ausführen:

openssl x509 -text -noout -purpose -in vp.crt

6. Erstellen Sie ein Backup des ursprünglichen server.key, indem Sie den folgenden Befehl ausführen:

cp /usr/local/apache2/conf/ssl.key/server.key /usr/local/apache2/conf/ssl.key/server.key.bkp

7. Ersetzen Sie den vorherigen Serverschlüssel durch den neuen Serverschlüssel, indem Sie den folgenden Befehl ausführen:

cp vp.key /usr/local/apache2/conf/ssl.key/server.key

Dabei ist vp.key der neue Serverschlüssel.


8. Erstellen Sie ein Backup des ursprünglichen Zertifikats, indem Sie den folgenden Befehl ausführen:

cp /usr/local/apache2/conf/ssl.crt/server.crt /usr/local/apache2/conf/ssl.crt/server.crt.bkp

Dabei ist server.crt das ursprüngliche Zertifikat.

9. Ersetzen Sie das ursprüngliche Zertifikat auf dem Server durch das neue Zertifikat, indem Sie den folgenden Befehl ausführen:

cp vp.crt /usr/local/apache2/conf/ssl.crt/server.crt

Dabei ist vp.crt das neue Zertifikat.

10. Nachdem das Zertifikat ersetzt wurde, beenden Sie den Apache-Service httpd auf /usr/local/apache2/bin/ und starten Sie ihn neu, indem Sie die folgenden Befehle nacheinander ausführen:

killall httpd/usr/local/apache2/bin/httpd -k start

Hinzufügen des Isilon-HerstellersSie müssen ein Isilon-Cluster als Hersteller in VMware vCenter hinzufügen, bevor Sie Informationen zu Speicherfunktionen des Clusters über vCenter anzeigen können.

Laden Sie ein Herstellerzertifikat herunter. Erstellen Sie ein selbstsigniertes Zertifikat, wenn Sie vCenter-Version 6.0 ausführen.

1. Navigieren Sie in vCenter zum Fenster Add Vendor Provider.

2. Füllen Sie folgende Felder im Fenster Add Vendor Provider aus:

Name Geben Sie einen Namen für diesen VASA-Anbieter ein. Dies kann eine beliebige Zeichenfolge sein. Geben Sie beispielsweise Isilon System ein.

URL Geben Sie https://<IPAddress>:8081/vasaprovider ein, wobei <IPAddress> die IP-Adresse eines Node im Isilon-Cluster ist.

Anmeldung Geben Sie root ein.

Password Geben Sie das Passwort für den Stammbenutzer ein.

Certificate location

Geben Sie den Pfad des Herstellerzertifikats für dieses Cluster ein.

3. Aktivieren Sie das Kontrollkästchen Use Vendor Provider Certificate.

4. Auf OK.klicken.

Deaktivieren oder erneutes Aktivieren von VASAEin Isilon-Cluster kann für die Kommunikation mit VMware vSphere über VASA deaktiviert oder erneut aktiviert werden.

Um den VASA-Support zu deaktivieren, müssen Sie den VASA-Daemon und die Isilon-Webverwaltungsschnittstelle deaktivieren. Wenn die Weboberfläche deaktiviert ist, können Sie das Cluster nicht über einen Internetbrowser managen. Um den VASA-Support erneut zu aktivieren, müssen Sie den VASA-Daemon und die Weboberfläche aktivieren.


2. Deaktivieren oder aktivieren Sie die Weboberfläche, indem Sie einen der folgenden Befehle ausführen:

• isi services apache2 disable• isi services apache2 enable

3. Deaktivieren oder aktivieren Sie den VASA-Daemon, indem Sie einen der folgenden Befehle ausführen:

• isi services isi_vasa_d disable• isi services isi_vasa_d enable

VMware-Integration 401

Troubleshooting von VASA-SpeicheranzeigefehlernWenn Sie über vSphere keine Informationen über Isilon-Cluster anzeigen können, befolgen Sie die unten aufgeführten Troubleshooting-Tipps, um das Problem zu beheben.

• Überprüfen Sie, ob das Herstellerzertifikat aktuell und nicht abgelaufen ist.• Überprüfen Sie, ob das Isilon-Cluster über den VASA-Daemon mit VASA kommunizieren kann. Wenn der VASA-Daemon deaktiviert ist,

führen Sie den folgenden Befehl aus, um ihn zu aktivieren:

isi services isi_vasa_d enable• Überprüfen Sie, ob Datum und Zeit auf dem Cluster korrekt festgelegt sind.• Überprüfen Sie, ob die Daten von vCenter ordnungsgemäß synchronisiert wurden.


Dateisystem-ExplorerDieser Abschnitt enthält die folgenden Themen:

Themen:

• Übersicht über den Dateisystem-Explorer• Durchsuchen des Dateisystems• Erstellen eines Verzeichnisses• Ändern der Datei- und Verzeichniseigenschaften• Anzeigen der Datei- und Verzeichniseigenschaften• Datei- und Verzeichniseigenschaften

Übersicht über den Dateisystem-ExplorerDer Dateisystem-Explorer ist eine webbasierte Benutzeroberfläche, mit der Sie auf dem Cluster gespeicherte Inhalte managen können. Sie können mit dem Dateisystem-Explorer zum Isilon-Dateisystem (/ifs) navigieren, Verzeichnisse hinzufügen und Datei- und Verzeichniseigenschaften wie Data Protection, I/O-Optimierung und UNIX-Berechtigungen managen.

Die Verzeichnisberechtigungen des Isilon-Dateisystems sind zunächst so festgelegt, dass allen Benutzern ein vollständiger Zugriff gewährt wird. Jeder Benutzer kann jede beliebige Datei löschen, unabhängig von den Berechtigungen für die entsprechende Datei. Je nach Ihrer Umgebung sollten Sie Berechtigungseinschränkungen über den Dateisystem-Explorer festlegen.

Der Dateisystem-Explorer unterstützt Zugriffszonen. Standardmäßig erhalten der Root-Nutzer und sysadmin Zugriff auf der obersten Zugriffszone, System (/ifs). Andere Nutzer können auf bestimmte Zugriffszonen beschränkt sein, z. B. /ifs/home.

Sie können Datei- und Verzeichniseigenschaften über Windows-Clients anzeigen und konfigurieren, die mit dem Cluster verbunden sind. Da Windows- und UNIX-Berechtigungen voneinander abweichen können, müssen Sie vorsichtig sein, um keine unerwünschten Änderungen vorzunehmen, die sich auf Datei- und Verzeichniszugriff auswirken.

Durchsuchen des DateisystemsSie können das Isilon-Dateisystem, /ifs, über den Dateisystem-Explorer durchsuchen.

1. Klicken Sie auf File System > File System Explorer.

2. Zeigen Sie Dateien und Verzeichnisse an.

Klicken Sie auf ein Verzeichnis, um den Inhalt anzuzeigen.

Erstellen eines VerzeichnissesSie können über den Dateisystem-Explorer ein Verzeichnis unter der /ifs-Verzeichnisstruktur erstellen.

1. Klicken Sie auf File System > File System Explorer.

2. Navigieren Sie zu dem Verzeichnis, dem Sie das Verzeichnis hinzufügen möchten.

3. Klicken Sie auf Create Directory.

4. Geben Sie im Dialogfeld Create a Directory im Feld Directory Name einen Namen für das Verzeichnis ein.

5. Weisen Sie dem Verzeichnis im Bereich Permissions die gewünschten Berechtigungen zu.

6. Klicken Sie auf Create Directory.

Ändern der Datei- und VerzeichniseigenschaftenSie können die Eigenschaften für Dateien und Verzeichnisse über den Dateisystem-Explorer ändern.

1. Klicken Sie auf File System Management > File System Explorer.

28

Dateisystem-Explorer 403

2. Navigieren Sie zur Datei bzw. zum Verzeichnis, das Sie ändern möchten.

3. Klicken Sie in der Zeile für die Datei oder das Verzeichnis auf View / Edit.

4. Klicken Sie auf Edit Properties.

5. Ändern Sie die Eigenschaften für die Datei oder das Verzeichnis und klicken Sie dann auf Save Changes.

Anzeigen der Datei- und VerzeichniseigenschaftenSie können Datei- und Verzeichniseigenschaften über den Dateisystem-Explorer anzeigen.

1. Klicken Sie auf File System Management > File System Explorer.

2. Navigieren Sie zur Datei bzw. zum Verzeichnis, das Sie anzeigen möchten.

3. Klicken Sie in der Zeile für die Datei oder das Verzeichnis auf View / Edit.

Datei- und VerzeichniseigenschaftenDie folgenden Datei- und Verzeichniseigenschaften werden im Dateisystem-Explorer angezeigt:

EigenschaftenPfad Zeigt den absoluten Pfad der Datei oder des Verzeichnisses an

File Size Zeigt die logische Größe der Datei oder des Verzeichnisses an

Space Used Zeigt die physische Größe der Datei oder des Verzeichnisses an

Last Modified Zeigt die Zeit an, zu der die Datei oder das Verzeichnis zuletzt geändert wurde

Last Accessed Zeigt die Zeit an, zu der zuletzt auf die Datei oder das Verzeichnis zugegriffen wurde

UNIX-BerechtigungenUser Zeigt die Berechtigungen an, die dem Eigentümer der Datei oder des Verzeichnisses zugewiesen wurden

Gruppe Zeigt die Berechtigungen an, die der Datei- oder Verzeichnisgruppe zugewiesen wurden

Andere Zeigt die Berechtigungen an, die anderen Benutzern für die Datei oder das Verzeichnis zugewiesen wurden

404 Dateisystem-Explorer

Date post:	24-Jul-2020
Category:	Documents
Upload:	others
View:	1 times
Download:	0 times

OneFS 8.2-Webverwaltungshandbuch · 4 Zugriffszonen..... 69

Documents