OneFS Guia de Administração da Web do OneFS 8.2Guia de Administração da Web

1 Introdução a este guia..................................................................................................................19Sobre este guia.....................................................................................................................................................................19Visão geral do NAS de scale-out do Isilon.........................................................................................................................19Onde obter suporte..............................................................................................................................................................19

2 NAS de scale-out da Isilon........................................................................................................... 21Arquitetura de armazenamento do OneFS....................................................................................................................... 21Componentes do nó Isilon...................................................................................................................................................21Redes internas e externas.................................................................................................................................................. 22Cluster Isilon......................................................................................................................................................................... 22

Administração de cluster.............................................................................................................................................. 22Quórum........................................................................................................................................................................... 23Separação e mescla.......................................................................................................................................................23Pools de armazenamento............................................................................................................................................. 24

Sistema operacional OneFS............................................................................................................................................... 24Ambientes mistos de protocolos de acesso aos dados.............................................................................................24Gerenciamento de identidade e controle de acesso................................................................................................. 24

Estrutura do file system......................................................................................................................................................25Layout de dados............................................................................................................................................................ 25Gravando arquivos.........................................................................................................................................................25Lendo arquivos...............................................................................................................................................................26Layout de metadados....................................................................................................................................................26Bloqueios e simultaneidade...........................................................................................................................................26Striping............................................................................................................................................................................26

Visão geral da proteção de dados......................................................................................................................................27Proteção de dados N+M...............................................................................................................................................27Espelhamento de dados................................................................................................................................................28Registro do file system..................................................................................................................................................28VHS (Virtual Hot Spare, hot spare virtual).................................................................................................................28Proteção de balanceamento com espaço de armazenamento................................................................................28

Integração com VMware.................................................................................................................................................... 28Módulos de software.......................................................................................................................................................... 29

3 Administração geral de cluster.....................................................................................................30Visão geral da administração de cluster........................................................................................................................... 30Interfaces do usuário...........................................................................................................................................................30Estabelecendo conexão com o cluster..............................................................................................................................31

Fazer log-in na interface Web de administração........................................................................................................31Abrir uma conexão SSH com um cluster.....................................................................................................................31

Licenciamento.......................................................................................................................................................................31Licenças de software.................................................................................................................................................... 32Níveis de hardware........................................................................................................................................................32Status da licença............................................................................................................................................................32Adicionando e removendo licenças............................................................................................................................. 33

Índice

2 Índice

Ativando licenças de versão de avaliação...................................................................................................................34Certificados.......................................................................................................................................................................... 35

Substituir ou renovar o certificado de TLS................................................................................................................ 35Verificar uma atualização de certificado TLS.............................................................................................................38Exemplo de dados do certificado de TLS................................................................................................................... 38

Identidade dos clusters....................................................................................................................................................... 39Definir o nome do cluster e as informações de contato...........................................................................................39

Data e hora do cluster.........................................................................................................................................................39Definir a data e a hora do cluster.................................................................................................................................40Especificar um servidor de horário NTP.....................................................................................................................40

Configurações de e-mail SMTP.........................................................................................................................................40Definir configurações de e-mail SMTP....................................................................................................................... 40

Configurando o cluster de associação de cluster.............................................................................................................41Especificar o modo de associação do cluster............................................................................................................. 41

Configurações do file system..............................................................................................................................................41Ativar ou desativar o rastreamento do horário de acesso.........................................................................................41Especificar a codificação de caracteres do cluster................................................................................................... 42

Reforço da segurança.........................................................................................................................................................42Perfil de reforço STIG................................................................................................................................................... 42Aplicar um perfil de reforço de segurança..................................................................................................................43Inverter um perfil de reforço de segurança................................................................................................................43Exibir o status do reforço de segurança..................................................................................................................... 44

Monitoramento de cluster..................................................................................................................................................44Monitorar o cluster........................................................................................................................................................45Exibir o status do nó......................................................................................................................................................45

Monitorando o hardware do cluster..................................................................................................................................46Exibir o status do hardware do nó...............................................................................................................................46Estados do chassi e da unidade................................................................................................................................... 46Verificar o status da bateria..........................................................................................................................................47Monitoramento do SNMP............................................................................................................................................ 48

Alertas e eventos.................................................................................................................................................................50Visão geral dos eventos................................................................................................................................................50Alertas - Visão geral...................................................................................................................................................... 50Visão geral de canais.....................................................................................................................................................50Visão geral dos grupos de evento............................................................................................................................... 50Visualizando e modificando os grupos de eventos.....................................................................................................51Gerenciando alertas....................................................................................................................................................... 51Gerenciando canais....................................................................................................................................................... 52Manutenção e teste......................................................................................................................................................55

Manutenção e clusters....................................................................................................................................................... 56Substituindo componentes do nó................................................................................................................................56Fazendo upgrade de componentes do nó..................................................................................................................56ARR para unidades........................................................................................................................................................ 57Gerenciando o microcódigo das unidades.................................................................................................................. 57Gerenciando nós do cluster.......................................................................................................................................... 61Fazendo upgrade do OneFS........................................................................................................................................ 62

Suporte remoto................................................................................................................................................................... 62Configurando o suporte ao Secure Remote Services...............................................................................................63Scripts e comandos de diagnóstico.............................................................................................................................64Ativar e configurar (E)SRS...........................................................................................................................................66

Índice 3

4 Zonas de acesso......................................................................................................................... 69Visão geral de segurança dos dados.................................................................................................................................69Diretrizes de diretórios base...............................................................................................................................................69Práticas recomendadas para zonas de acesso................................................................................................................ 70Zonas de acesso de um cluster secundário do SyncIQ.................................................................................................. 70Limites de zona de acesso..................................................................................................................................................70Qualidade de serviço........................................................................................................................................................... 70Controle de acesso com base em funções e em zonas (zRBAC)................................................................................. 71

Privilégios das zonas de acesso que não a System....................................................................................................71Funções integradas em zonas que não a System......................................................................................................72

Provedores de autenticação específicos de zonas......................................................................................................... 73Gerenciando zonas de acesso............................................................................................................................................73

Criar uma zona de acesso.............................................................................................................................................73Atribuir um diretório base sobreposto.........................................................................................................................74Gerenciar provedores de autenticação de uma zona de acesso............................................................................. 74Associar um pool de endereços IP a uma zona de acesso....................................................................................... 75Modificar uma zona de acesso.....................................................................................................................................75Excluir uma zona de acesso..........................................................................................................................................75Exibir uma lista de zonas de acesso............................................................................................................................ 75Modificar uma função em uma zona de acesso.........................................................................................................76

5 Autenticação..............................................................................................................................77Visão geral da autenticação................................................................................................................................................77Recursos dos provedores de autenticação...................................................................................................................... 77Visão geral do histórico do identificador de segurança...................................................................................................78Métodos compatíveis de autenticação............................................................................................................................. 78Active Directory................................................................................................................................................................... 78LDAP..................................................................................................................................................................................... 79NIS......................................................................................................................................................................................... 79Autenticação Kerberos....................................................................................................................................................... 80

Visão geral dos keytabs e SPNs.................................................................................................................................. 80Suporte a protocolo MIT Kerberos.............................................................................................................................. 81

Provedor de arquivos...........................................................................................................................................................81Provedor local.......................................................................................................................................................................81Active Directory de várias instâncias.................................................................................................................................81Gerenciando provedores do Active Directory..................................................................................................................82

Configurar um provedor do Active Directory.............................................................................................................82Modificar um provedor do Active Directory...............................................................................................................82Excluir um provedor do Active Directory....................................................................................................................83Configurações do provedor do Active Directory.......................................................................................................83

Gerenciando provedores de LDAP....................................................................................................................................84Configurar um provedor de LDAP............................................................................................................................... 84Modificar um provedor de LDAP.................................................................................................................................85Excluir um provedor de LDAP......................................................................................................................................85Configurações de consulta LDAP................................................................................................................................85Configurações avançadas de LDAP............................................................................................................................ 86

Gerenciando provedores de NIS........................................................................................................................................87Configurar um provedor de NIS...................................................................................................................................87

4 Índice

Modificar um provedor de NIS.....................................................................................................................................88Excluir um provedor de NIS..........................................................................................................................................88

Gerenciando autenticação do MIT Kerberos................................................................................................................... 88Gerenciando realms MIT Kerberos..............................................................................................................................88Gerenciando provedores do MIT Kerberos................................................................................................................ 90Gerenciando domínios do MIT Kerberos.....................................................................................................................92

Gerenciando provedores de arquivos............................................................................................................................... 93Configurar um provedor de arquivos.......................................................................................................................... 94Gerar um arquivo de senha.......................................................................................................................................... 94Formato dos arquivos de senha...................................................................................................................................95Formato dos arquivos de grupo...................................................................................................................................95Formato dos arquivos de grupos de rede...................................................................................................................96Modificar um provedor de arquivos............................................................................................................................ 96Excluir um provedor de arquivos..................................................................................................................................97

Gerenciando usuários e grupos locais............................................................................................................................... 97Exibir uma lista de usuários ou grupos por provedor.................................................................................................97Criar um usuário local.................................................................................................................................................... 97Criar um grupo local...................................................................................................................................................... 98Regras de nomenclatura para usuários e grupos locais............................................................................................99Modificar um usuário local............................................................................................................................................99Modificar um grupo local.............................................................................................................................................. 99Excluir um usuário local.................................................................................................................................................99Excluir um grupo local..................................................................................................................................................100

6 Funções e privilégios administrativos.......................................................................................... 101Acesso baseado em funções.............................................................................................................................................101Funções................................................................................................................................................................................101

Funções personalizadas...............................................................................................................................................102Funções integradas......................................................................................................................................................102

Privilégios............................................................................................................................................................................ 105Privilégios compatíveis com o OneFS....................................................................................................................... 106Privilégios de backup e restauração de dados..........................................................................................................108Privilégios da interface de linha de comando............................................................................................................109

Gerenciando funções......................................................................................................................................................... 112Criar uma função personalizada.................................................................................................................................. 112Modificar uma função...................................................................................................................................................112Copiar uma função........................................................................................................................................................112Adicionar um privilégio a uma função personalizada................................................................................................ 113Adicionar um membro a uma função.......................................................................................................................... 113Excluir uma função personalizada............................................................................................................................... 113Exibir uma função..........................................................................................................................................................113Exibir privilégios............................................................................................................................................................. 114

7 Gerenciamento de identidades.................................................................................................... 115Visão geral do gerenciamento de identidades.................................................................................................................115Tipos de identidade.............................................................................................................................................................115Tokens de acesso............................................................................................................................................................... 116Geração de tokens de acesso........................................................................................................................................... 116

Mapeamento de IDs......................................................................................................................................................117

Índice 5

Mapeamento de usuários.............................................................................................................................................118Identidade em disco..................................................................................................................................................... 120

Gerenciando mapeamentos de ID....................................................................................................................................120Criar um mapeamento de identidade..........................................................................................................................121Modificar um mapeamento de identidade................................................................................................................. 121Excluir um mapeamento de identidade...................................................................................................................... 121Exibir um mapeamento de identidade........................................................................................................................ 121Fazer flush do cache de mapeamento de identidades............................................................................................ 122Exibir um token do usuário.......................................................................................................................................... 122Definir as configurações do mapeamento de identidade........................................................................................ 122Exibir as configurações do mapeamento de identidade.......................................................................................... 123

Gerenciando identidades de usuários.............................................................................................................................. 123Exibir a identidade do usuário..................................................................................................................................... 123Criar uma regra de mapeamento de usuários........................................................................................................... 124Testar uma regra de mapeamento de usuários........................................................................................................ 125Mesclar tokens do UNIX e do Windows....................................................................................................................125Recuperar o grupo principal do LDAP....................................................................................................................... 126Opções das regras de mapeamento.......................................................................................................................... 127Operadoras das regras de mapeamento................................................................................................................... 127

8 Diretórios de usuário................................................................................................................. 129Visão geral dos diretórios de usuário............................................................................................................................... 129Permissões do diretório de usuário.................................................................................................................................. 129Autenticando os usuários do SMB...................................................................................................................................129Criação de diretórios de usuário via SMB....................................................................................................................... 130

Criar diretórios de usuário com variáveis de expansão............................................................................................130Criar diretórios de usuário com a opção --inheritable-path-acl.............................................................................. 131Criar diretórios de usuário especiais com a variável %U de compartilhamento SMB.......................................... 131

Criação de diretórios de usuário via SSH e FTP.............................................................................................................132Definir o shell de log-in SSH ou FTP .........................................................................................................................132Definir permissões de diretórios de usuário SSH/FTP............................................................................................ 132Definir opções de criação de diretórios de usuário SSH/FTP................................................................................ 133Fornecer diretórios de usuário com arquivos DOT.................................................................................................. 134

Criação de diretórios de usuário em um ambiente misto.............................................................................................. 134Interações entre as ACLs e bits de modo....................................................................................................................... 134Configurações padrão do diretório de usuário nos provedores de autenticação...................................................... 135Variáveis compatíveis de expansão................................................................................................................................. 135Variáveis de domínio no provisionamento de diretório de usuário............................................................................... 136

9 Controle do acesso a dados........................................................................................................ 138Visão geral do controle do acesso a dados.....................................................................................................................138ACLs.................................................................................................................................................................................... 138Permissões do UNIX.......................................................................................................................................................... 138Ambientes de permissões mistas..................................................................................................................................... 139

Acesso a NFS dos arquivos criados pelo Windows................................................................................................. 139Acesso a SMB dos arquivos criados pelo UNIX....................................................................................................... 139

Gerenciando permissões de acesso.................................................................................................................................139Exibir as permissões esperadas do usuário............................................................................................................... 139Definir configurações de gerenciamento de acesso................................................................................................ 140

6 Índice

Modificar configurações de política de ACL.............................................................................................................. 141Configurações de políticas de ACL............................................................................................................................. 141Executar o trabalho PermissionRepair.......................................................................................................................146

10 Compartilhamento de arquivos..................................................................................................148Visão geral do compartilhamento de arquivos................................................................................................................148

Ambientes mistos de protocolos................................................................................................................................ 148Armazenamento em cache para gravação com SmartCache................................................................................149

SMB.....................................................................................................................................................................................150Compartilhamentos do SMB nas zonas de acesso..................................................................................................150SMB Multichannel.........................................................................................................................................................151Gerenciamento de compartilhamentos do SMB via MMC..................................................................................... 152Criptografia de SMBv3................................................................................................................................................152Cópia do servidor SMB................................................................................................................................................153Disponibilidade contínua do SMB............................................................................................................................... 153Filtragem de arquivos do SMB................................................................................................................................... 154Links simbólicos e clients do SMB............................................................................................................................. 155Acesso anônimo a compartilhamentos SMB............................................................................................................ 156Gerenciando configurações do SMB.........................................................................................................................156Gerenciando compartilhamentos de SMB................................................................................................................ 160

NFS...................................................................................................................................................................................... 164Exportações de NFS....................................................................................................................................................164Aliases de NFS.............................................................................................................................................................. 164Arquivos de registros do NFS.....................................................................................................................................165Gerenciando o serviço NFS........................................................................................................................................ 165Gerenciando exportações NFS...................................................................................................................................167Gerenciando aliases de NFS........................................................................................................................................172

FTP.......................................................................................................................................................................................173Habilitar e configurar o compartilhamento de arquivos do FTP............................................................................. 173

HTTP e HTTPS...................................................................................................................................................................174Ativar e configurar o HTTP......................................................................................................................................... 174

11 Filtragem de arquivos............................................................................................................... 176Filtragem de arquivos em uma zona de acesso..............................................................................................................176Habilitar e configurar a filtragem de arquivos em uma zona de acesso...................................................................... 176Modificar as configurações de filtragem de arquivos de uma zona de acesso.......................................................... 177Exibir configurações de filtragem de arquivos................................................................................................................ 177

12 Auditoria................................................................................................................................. 178Visão geral das auditorias.................................................................................................................................................. 178Syslog...................................................................................................................................................................................178

Encaminhamento de syslogs.......................................................................................................................................179Eventos de auditoria de protocolos................................................................................................................................. 179Ferramentas compatíveis de auditoria.............................................................................................................................179Entregando eventos de auditoria de protocolos a vários servidores CEE.................................................................. 179Tipos de eventos compatíveis.......................................................................................................................................... 180Amostra de registro de auditoria.......................................................................................................................................181Gerenciando as configurações de auditoria.....................................................................................................................181

Habilitar a auditoria de acesso de protocolo..............................................................................................................181

Índice 7

Encaminhar eventos de acesso a protocolos ao syslog ......................................................................................... 182Habilitar a auditoria de configuração do sistema......................................................................................................183Configurar o nome de host de auditoria....................................................................................................................183Configurar zonas auditadas de protocolos............................................................................................................... 183Encaminhar alterações de configuração do sistema ao syslog.............................................................................. 184Configurar filtros de eventos de protocolo............................................................................................................... 184

Integrando-se ao Common Event Enabler......................................................................................................................184Instalar o CEE para Windows..................................................................................................................................... 185Configurar o CEE para Windows............................................................................................................................... 185Configurar os servidores CEE para oferecer eventos de auditoria de protocolos...............................................186

Rastreando a entrega de eventos de auditoria de protocolos..................................................................................... 186Exibir os registros de data e hora da entrega de eventos ao servidor CEE e ao syslog..................................... 186Mover a posição de registro do encaminhador do CEE.......................................................................................... 187Exibir a taxa de entrega dos eventos de auditoria de protocolos ao servidor CEE............................................. 187

13 Snapshots...............................................................................................................................188Visão geral de snapshots...................................................................................................................................................188Proteção de dados com SnapshotIQ...............................................................................................................................188Utilização do espaço em disco por snapshots................................................................................................................189Agendamentos de snapshot............................................................................................................................................. 189Aliases de snapshots..........................................................................................................................................................189Restauração de arquivos e diretórios.............................................................................................................................. 189Práticas recomendadas para criar snapshots................................................................................................................ 190Práticas recomendadas para criar agendamentos de snapshot.................................................................................. 190Clones de arquivos..............................................................................................................................................................191

Considerações sobre área de armazenamento de sombra......................................................................................191Bloqueios de snapshot.......................................................................................................................................................192Reserva de snapshot......................................................................................................................................................... 192Funcionalidade da licença do SnapshotIQ.......................................................................................................................192Criando snapshots com o SnapshotIQ............................................................................................................................ 193

Criar um domínio SnapRevert.....................................................................................................................................193Criar um agendamento de snapshots........................................................................................................................193Criar um snapshot........................................................................................................................................................ 194Padrões de nomenclatura de snapshots................................................................................................................... 194

Gerenciando snapshots ....................................................................................................................................................196Reduzindo o uso de espaço em disco dos snapshots..............................................................................................197Excluir snapshots..........................................................................................................................................................197Modificar os atributos do snapshot........................................................................................................................... 197Atribuir um alias de snapshot a um snapshot........................................................................................................... 198Exibir snapshots........................................................................................................................................................... 198Informações do snapshot............................................................................................................................................198

Restaurando dados do snapshot..................................................................................................................................... 199Reverter um snapshot................................................................................................................................................. 199Restaurar um arquivo ou diretório usando o Windows Explorer............................................................................ 199Restaurar um arquivo ou um diretório por meio da linha de comando do UNIX................................................. 200Clonar um arquivo de um snapshot.......................................................................................................................... 200

Gerenciando agendamentos de snapshot......................................................................................................................200Modificar um agendamento de snapshot.................................................................................................................200Excluir um agendamento de snapshot...................................................................................................................... 201Exibir agendamentos de snapshot............................................................................................................................. 201

8 Índice

Gerenciando aliases de snapshots................................................................................................................................... 201Configurar um alias de snapshot para um agendamento de snapshot................................................................. 201Atribuir um alias de snapshot a um snapshot........................................................................................................... 201Reatribuir um alias de snapshot ao file system ativo.............................................................................................. 202Exibir aliases de snapshots......................................................................................................................................... 202Informações de alias de snapshot............................................................................................................................. 202

Gerenciamento com bloqueios de snapshot..................................................................................................................202Criar um bloqueio de snapshot.................................................................................................................................. 203Modificar uma data de expiração de bloqueio de snapshot...................................................................................203Excluir um bloqueio de snapshot............................................................................................................................... 203Informações de bloqueio do snapshot...................................................................................................................... 204

Definir configurações do SnapshotIQ.............................................................................................................................204Configurações do SnapshotIQ...................................................................................................................................204

Definir a reserva de snapshots........................................................................................................................................ 205Gerenciando changelists.................................................................................................................................................. 205

Criar uma changelist................................................................................................................................................... 205Excluir uma changelist................................................................................................................................................ 206Exibir uma changelist.................................................................................................................................................. 206Informações da changelist......................................................................................................................................... 206

14 Desduplicação com o SmartDedupe.......................................................................................... 208Visão geral da desduplicação........................................................................................................................................... 208Trabalhos de desduplicação.............................................................................................................................................208Replicação de dados e backup com desduplicação...................................................................................................... 209Snapshots com desduplicação........................................................................................................................................ 209Considerações sobre desduplicação................................................................................................................................210Considerações sobre área de armazenamento de sombra...........................................................................................210Funcionalidade da licença do SmartDedupe...................................................................................................................210Gerenciando a desduplicação............................................................................................................................................211

Avaliar a economia de espaço gerada pela desduplicação.......................................................................................211Especificar configurações de desduplicação............................................................................................................. 211Iniciar ou agendar um trabalho de desduplicação..................................................................................................... 211Exibir a economia de espaço gerada pela desduplicação........................................................................................ 212Exibir um relatório de desduplicação..........................................................................................................................212Informações do relatório do trabalho de desduplicação..........................................................................................212Informações sobre a desduplicação...........................................................................................................................213

15 Replicação de dados com o SyncIQ............................................................................................214Visão geral da replicação de dados do SyncIQ...............................................................................................................214Políticas e trabalhos de replicação................................................................................................................................... 214

Políticas de replicação automatizadas.......................................................................................................................215Associação dos clusters de origem e de destino......................................................................................................216Configurando os clusters de origem e de destino do SyncIQ com NAT...............................................................216Replicação completa e diferencial.............................................................................................................................. 217Controlando o consumo de recursos de trabalhos de replicação.......................................................................... 218Prioridade das políticas de replicação........................................................................................................................ 218Relatórios de replicação...............................................................................................................................................218

Snapshots de replicação................................................................................................................................................... 218Snapshots do cluster de origem.................................................................................................................................219

Índice 9

Snapshots do cluster de destino................................................................................................................................219Failover e failback de dados com SyncIQ....................................................................................................................... 219

Failover de dados.........................................................................................................................................................220Failback de dados........................................................................................................................................................ 220Failback e failover do modo de conformidade do SmartLock................................................................................220Limitações de replicação do SmartLock....................................................................................................................221

Tempos e objetivos de recuperação do SyncIQ............................................................................................................222Alertas de RPO............................................................................................................................................................ 222

Prioridade das políticas de replicação............................................................................................................................. 222Funcionalidade da licença do SyncIQ..............................................................................................................................222Criando políticas de replicação........................................................................................................................................ 223

Excluindo diretórios na replicação............................................................................................................................. 223Excluindo arquivos na replicação...............................................................................................................................223Opções de critérios de arquivos................................................................................................................................ 224Definir as configurações de política de replicação padrão..................................................................................... 225Criar uma política de replicação.................................................................................................................................226Avaliar uma política de replicação..............................................................................................................................230

Gerenciando a replicação para clusters remotos........................................................................................................... 231Iniciar um trabalho de replicação................................................................................................................................ 231Pausar um trabalho de replicação.............................................................................................................................. 231Retomar um trabalho de replicação...........................................................................................................................231Cancelar um trabalho de replicação...........................................................................................................................231Exibir trabalhos de replicação ativos......................................................................................................................... 232Informações do trabalho de replicação.....................................................................................................................232

Iniciando o failover e o failback de dados com o SyncIQ..............................................................................................232Failover de dados a um cluster secundário.............................................................................................................. 232Reverter uma operação de failover...........................................................................................................................233Efetuar o failback de dados para um cluster primário.............................................................................................233Executar o trabalho ComplianceStoreDelete em um domínio do modo de conformidade do Smartlock........ 234

Realizando a recuperação de desastres dos diretórios mais antigos do SmartLock................................................ 234Recuperar diretórios de conformidade do SmartLock em um cluster de destino...............................................234Migrar diretórios de conformidade do SmartLock.................................................................................................. 235

Gerenciando as políticas de replicação...........................................................................................................................236Modificar uma política de replicação.........................................................................................................................236Excluir uma política de replicação..............................................................................................................................236Habilitar ou desabilitar uma política de replicação................................................................................................... 237Exibir políticas de replicação.......................................................................................................................................237Informações da política de replicação....................................................................................................................... 237Configurações da política de replicação....................................................................................................................237

Gerenciando a replicação ao cluster local...................................................................................................................... 239Cancelar a replicação para o cluster local................................................................................................................ 239Dividir a associação do destino local......................................................................................................................... 240Exibir políticas de replicação tendo como alvo o cluster local............................................................................... 240Informações de políticas de replicação remota....................................................................................................... 240

Gerenciando regras de desempenho de replicação...................................................................................................... 240Criar uma regra de tráfego de rede........................................................................................................................... 241Criar uma regra de operações de arquivo................................................................................................................. 241Modificar uma regra de desempenho........................................................................................................................241Excluir uma regra de desempenho.............................................................................................................................241Ativar ou desativar uma regra de desempenho.......................................................................................................242

10 Índice

Exibir regras de desempenho.....................................................................................................................................242Gerenciando relatórios de replicação..............................................................................................................................242

Definir configurações de relatório de replicação padrão........................................................................................ 242Excluir relatórios de replicação...................................................................................................................................242Exibir relatórios de replicação.....................................................................................................................................243Informações dos relatórios de replicação................................................................................................................. 243

Gerenciando trabalhos de replicação com falha............................................................................................................243Resolver uma política de replicação.......................................................................................................................... 244Redefinir uma política de replicação..........................................................................................................................244Executar uma replicação completa ou diferencial................................................................................................... 244

16 Criptografia de dados com o SyncIQ......................................................................................... 246Visão geral da criptografia de dados do SyncIQ............................................................................................................246Criptografia de tráfego do SyncIQ..................................................................................................................................246Visão geral do controle de fluxo por política.................................................................................................................. 246

17 Layout dos dados com o FlexProtect......................................................................................... 247Visão geral do FlexProtect............................................................................................................................................... 247Particionamento de arquivos........................................................................................................................................... 247Proteção de dados solicitada........................................................................................................................................... 247Recuperação de dados do FlexProtect.......................................................................................................................... 248

Smartfail........................................................................................................................................................................248Falhas dos nós..............................................................................................................................................................248

Solicitando proteção de dados........................................................................................................................................ 249Configurações da proteção solicitada.............................................................................................................................249Utilização do espaço em disco da proteção solicitada................................................................................................. 250

18 Backup e recuperação do NDMP............................................................................................... 252Visão geral do backup e recuperação do protocolo de gerenciamento de dados da rede...................................... 252Backup NDMP bidirecional...............................................................................................................................................253Backup NDMP de três vias..............................................................................................................................................253Capacidade de suporte às sessões do NDMP no hardware de 6ª geração..............................................................253Configurando os IPs preferenciais para as operações de três vias do NDMP.......................................................... 253Backup e recuperação multi-stream do NDMP............................................................................................................ 254Backups incrementais baseados em snapshot.............................................................................................................. 254Restauração e backup NDMP dos arquivos SmartLink............................................................................................... 255Suporte ao protocolo NDMP...........................................................................................................................................256DMAs compatíveis............................................................................................................................................................ 256Suporte ao hardware NDMP........................................................................................................................................... 256Limitações do backup NDMP.......................................................................................................................................... 256Recomendações de desempenho do NDMP.................................................................................................................257Excluindo arquivos e diretórios de backups NDMP...................................................................................................... 258Definindo configurações básicas de backup NDMP.....................................................................................................259

Configurar e habilitar o backup NDMP.....................................................................................................................259Exibir as configurações do backup NDMP...............................................................................................................259Desativar o backup NDMP.........................................................................................................................................259

Gerenciando contas de usuário NDMP.......................................................................................................................... 259Criar uma conta de administrador do NDMP...........................................................................................................259Exibir contas de usuário de NDMP........................................................................................................................... 260

Índice 11

Modificar a senha de uma conta de administrador do NDMP...............................................................................260Excluir uma conta de administrador do NDMP....................................................................................................... 260

Visão geral das variáveis de ambiente do NDMP..........................................................................................................260Gerenciando variáveis de ambiente do NDMP........................................................................................................260Configurações de variáveis de ambiente do NDMP................................................................................................ 261Adicionar uma variável de ambiente do NDMP........................................................................................................261Exibir variáveis de ambiente do NDMP..................................................................................................................... 261Editar uma variável de ambiente do NDMP............................................................................................................. 262Excluir uma variável de ambiente do NDMP............................................................................................................262Variáveis de ambiente NDMP.................................................................................................................................... 262Configurando variáveis de ambiente para operações de backup e restauração................................................. 267

Gerenciando contextos do NDMP..................................................................................................................................268Configurações de contexto do NDMP..................................................................................................................... 268Exibir contextos do NDMP.........................................................................................................................................268Excluir um contexto do NDMP..................................................................................................................................269

Gerenciando sessões de NDMP......................................................................................................................................269Informações de sessão do NDMP.............................................................................................................................269Exibir sessões do NDMP............................................................................................................................................. 271Abortar uma sessão do NDMP................................................................................................................................... 271

Gerenciando portas Fibre Channel do NDMP................................................................................................................ 271Configurações de portas de backup NDMP.............................................................................................................272Ativar ou desativar uma porta de backup NDMP....................................................................................................272Exibir portas de backup NDMP..................................................................................................................................272Modificar configurações de portas de backup NDMP............................................................................................273

Gerenciando as configurações preferenciais de IP do NDMP.....................................................................................273Criar uma configuração de IP preferencial do NDMP.............................................................................................273Modificar uma configuração de IP preferencial do NDMP.....................................................................................273Listar as configurações de IP preferencial do NDMP............................................................................................. 273Exibir as configurações de IP preferencial do NDMP............................................................................................. 274Excluir as configurações de IP preferencial do NDMP........................................................................................... 274

Gerenciando dispositivos de backup NDMP..................................................................................................................274Configurações de dispositivos de backup NDMP....................................................................................................274Detectar dispositivos de backup NDMP...................................................................................................................275Exibir dispositivos de backup NDMP.........................................................................................................................275Modificar o nome de um dispositivo de backup NDMP......................................................................................... 275Excluir uma entrada para um dispositivo de backup NDMP.................................................................................. 276

Visão geral do arquivo dumpdates do NDMP................................................................................................................276Gerenciando o arquivo dumpdates do NDMP......................................................................................................... 276Configurações do arquivo dumpdates do NDMP....................................................................................................276Exibir entradas no arquivo dumpdates do NDMP................................................................................................... 276Excluir entradas do arquivo dumpdates do NDMP................................................................................................. 277

Operações de restauração do NDMP.............................................................................................................................277Operação de restauração paralela do NDMP...........................................................................................................277Operação de restauração serial do NDMP............................................................................................................... 277Especificar uma operação de restauração serial do NDMP................................................................................... 277

Compartilhando unidades de fita entre clusters............................................................................................................ 277Gerenciando os backups incrementais baseados em snapshots.................................................................................278

Ativar os backups incrementais baseados em snapshots para um diretório........................................................278Exibir snapshots dos backups incrementais baseados em snapshots.................................................................. 278Excluir snapshots dos backups incrementais baseados em snapshots................................................................ 278

12 Índice

Gerenciando o desempenho do cluster para sessões do NDMP................................................................................ 279Ativar o NDMP Redirector para gerenciar o desempenho do cluster.................................................................. 279

Gerenciando o uso da CPU para sessões do NDMP.................................................................................................... 279Ativar o NDMP Throttler............................................................................................................................................ 279

19 Retenção de arquivos com o SmartLock.....................................................................................281Visão geral do SmartLock................................................................................................................................................. 281Modo de conformidade..................................................................................................................................................... 281Modo corporativo.............................................................................................................................................................. 281Diretórios do SmartLock...................................................................................................................................................282Replicação e backup com o SmartLock......................................................................................................................... 282Funcionalidade da licença do SmartLock....................................................................................................................... 282Considerações sobre o SmartLock................................................................................................................................. 283Definir o relógio de conformidade................................................................................................................................... 283Exibir o relógio de conformidade..................................................................................................................................... 283Criando um diretório do SmartLock................................................................................................................................284

Períodos de retenção..................................................................................................................................................284Confirmar períodos automaticamente...................................................................................................................... 284Criar um diretório corporativo para um diretório que não está vazio................................................................... 284Criar um diretório SmartLock.................................................................................................................................... 285

Gerenciando os diretórios do SmartLock.......................................................................................................................285Modificar um diretório do SmartLock.......................................................................................................................285Excluir um diretório SmartLock................................................................................................................................. 286Exibir configurações de diretório do SmartLock..................................................................................................... 286Definições de configuração do diretório do SmartLock......................................................................................... 286

Gerenciando arquivos em diretórios do SmartLock......................................................................................................287Definir um período de retenção por meio da linha de comando do UNIX.............................................................287Definir um período de retenção com o Windows PowerShell................................................................................288Confirmar um arquivo para um estado WORM por meio de uma linha de comando do UNIX..........................288Confirmar um arquivo para o estado WORM via Windows Explorer....................................................................289Sobrepor o período de retenção para todos os arquivos em um diretório do SmartLock................................. 289Excluir um arquivo confirmado para o estado WORM........................................................................................... 289Exibir o status WORM de um arquivo...................................................................................................................... 290

20 Domínios de proteção.............................................................................................................. 291Visão geral dos domínios de proteção.............................................................................................................................291Considerações sobre domínios de proteção...................................................................................................................291Criar um domínio de proteção.......................................................................................................................................... 291Excluir um domínio de proteção...................................................................................................................................... 292

21 Criptografia de dados em repouso.............................................................................................293Visão geral da criptografia de dados em repouso......................................................................................................... 293Unidades com criptografia automática...........................................................................................................................293Segurança de dados em SEDs.........................................................................................................................................293Migração de dados a um cluster com SEDs.................................................................................................................. 294Estados do chassi e da unidade.......................................................................................................................................294Estado REPLACE da unidade após o smartfail............................................................................................................. 295Estado ERASE da unidade após o smartfail...................................................................................................................296

Índice 13

22 SmartQuotas.......................................................................................................................... 297Visão geral do SmartQuotas............................................................................................................................................ 297Tipos de cota......................................................................................................................................................................297Tipo de cota padrão.......................................................................................................................................................... 298Contabilidade e limites de uso......................................................................................................................................... 299Cálculos de uso do disco.................................................................................................................................................. 300Notificações de cota..........................................................................................................................................................301Regras de notificação de cota..........................................................................................................................................301Relatórios de cota............................................................................................................................................................. 302Criando cotas.....................................................................................................................................................................302

Criar uma cota de contabilidade................................................................................................................................ 302Criar uma cota de imposição......................................................................................................................................303

Gerenciando cotas............................................................................................................................................................ 303Procurar cotas............................................................................................................................................................. 304Gerenciar cotas........................................................................................................................................................... 304Exportar um arquivo de configuração de cota........................................................................................................ 304Importar um arquivo de configuração de cota........................................................................................................ 305

Gerenciando notificações de cota.................................................................................................................................. 305Definir configurações de notificação de cota padrão............................................................................................. 305Configurar regras personalizadas de notificação de cotas.................................................................................... 306Mapear uma regra de notificação por e-mail para uma cota.................................................................................306

Mensagens de notificação de cota por e-mail...............................................................................................................306Descrições de variáveis dos modelos personalizados de notificação por e-mail................................................. 307Personalizar os modelos de notificação de cota por e-mail...................................................................................308

Gerenciando relatórios de cota....................................................................................................................................... 308Criar um agendamento de relatório de cotas.......................................................................................................... 308Gerar um relatório de cotas....................................................................................................................................... 309Localizar um relatório de cotas..................................................................................................................................309

Configurações básicas de cota........................................................................................................................................309Configurações de regras de notificação de cota de limite consultivo.........................................................................310Configurações de regras de notificação de cota de limite flexível............................................................................... 311Configurações de regras de notificação de cota de limite fixo.................................................................................... 312Configurações das notificações de limite........................................................................................................................313Configurações do relatório de cotas................................................................................................................................314

23 Pools de armazenamento......................................................................................................... 315Visão geral dos pools de armazenamento.......................................................................................................................315Funções do pool de armazenamento.............................................................................................................................. 316Provisionamento automático............................................................................................................................................ 317Pools de nós........................................................................................................................................................................317

Compatibilidades de classe de nós.............................................................................................................................318Compatibilidades de SSD............................................................................................................................................ 318Pools de nós manuais.................................................................................................................................................. 319

Hot spare virtual.................................................................................................................................................................319Transbordamento..............................................................................................................................................................320Proteção sugerida............................................................................................................................................................. 320Políticas de proteção........................................................................................................................................................ 320SSD strategies....................................................................................................................................................................321

14 Índice

Outras configurações de espelhamento de SSD........................................................................................................... 321Global namespace acceleration....................................................................................................................................... 322Visão geral do cache L3....................................................................................................................................................322

Migração para o cache L3..........................................................................................................................................323Cache L3 em pools de nós de classe de arquivamento..........................................................................................323

Níveis...................................................................................................................................................................................323Políticas de pool de arquivo..............................................................................................................................................324

Trabalho FilePolicy.......................................................................................................................................................324Gerenciando pools de nós na interface Web de administração.................................................................................. 325

Adicionar pools de nós a um nível..............................................................................................................................325Alterar o nome ou a proteção necessária de um pool de nós................................................................................325Criar uma compatibilidade de classe de nós............................................................................................................ 325Mesclar pools de nós compatíveis.............................................................................................................................326Excluir uma compatibilidade de classe de nós......................................................................................................... 326Criar uma compatibilidade de SSD............................................................................................................................ 327Excluir uma compatibilidade de SSD......................................................................................................................... 327

Gerenciando o cache L3 da interface Web de administração.....................................................................................328Definir o cache L3 como padrão para pools de nós................................................................................................ 328Definir o cache L3 em um pool de nós específico................................................................................................... 328Restaurar os SSDs aos drives de armazenamento de um pool de nós................................................................ 328

Gerenciando níveis............................................................................................................................................................ 329Criar um nível............................................................................................................................................................... 329Editar um nível............................................................................................................................................................. 329Excluir um nível............................................................................................................................................................ 329

Criando políticas de pools de arquivos............................................................................................................................330Criar uma política de pools de arquivos.................................................................................................................... 330Opções de verificação de correspondência de arquivos para as políticas de pools de arquivos....................... 331Caracteres-curinga válidos.........................................................................................................................................332Configurações do SmartPools................................................................................................................................... 332

Gerenciando políticas de pool de arquivos.....................................................................................................................335Definir configurações de proteção do pool de arquivos padrão............................................................................ 336Configurações padrão da proteção solicitada dos pools de arquivos................................................................... 336Definir configurações de otimização de I/O padrão................................................................................................337Configurações padrão de otimização de I/O dos pools de arquivos.....................................................................338Modificar uma política de pool de arquivos.............................................................................................................. 338Priorizar uma política de pool de arquivos................................................................................................................338Criar uma política de pool de arquivos a partir de um modelo............................................................................... 339Excluir uma política de pool de arquivos...................................................................................................................339

Monitorando os pools de armazenamento.....................................................................................................................339Monitorar pools de armazenamento......................................................................................................................... 339Exibir a integridade dos subpools.............................................................................................................................. 340Exibir os resultados de um trabalho SmartPools..................................................................................................... 340

24 Trabalhos do sistema............................................................................................................... 341Visão geral dos trabalhos do sistema...............................................................................................................................341Biblioteca de trabalhos do sistema...................................................................................................................................341Operação dos trabalhos....................................................................................................................................................344Impacto do desempenho dos trabalhos......................................................................................................................... 345Prioridades dos trabalhos................................................................................................................................................. 346Gerenciando os trabalhos do sistema.............................................................................................................................346

Índice 15

Exibir trabalhos ativos.................................................................................................................................................346Exibir histórico de trabalhos....................................................................................................................................... 346Iniciar um trabalho....................................................................................................................................................... 346Pausar um trabalho......................................................................................................................................................347Retomar um trabalho.................................................................................................................................................. 347Cancelar um trabalho.................................................................................................................................................. 347Atualizar um trabalho.................................................................................................................................................. 347Modificar as configurações do tipo de trabalho...................................................................................................... 348

Gerenciando políticas de impacto................................................................................................................................... 348Criar uma política de impacto.....................................................................................................................................348Copiar uma política de impacto..................................................................................................................................349Modificar uma política de impacto............................................................................................................................ 349Excluir uma política de impacto................................................................................................................................. 349Exibir configurações da política de impacto.............................................................................................................350

Exibindo relatórios e estatísticas dos trabalhos.............................................................................................................350Exibir as estatísticas de um trabalho em andamento............................................................................................. 350Exibir um relatório para um trabalho concluído....................................................................................................... 350

25 Sistema de rede...................................................................................................................... 351Visão geral do sistema de rede.........................................................................................................................................351Sobre a rede interna.......................................................................................................................................................... 351

Intervalos dos endereços IP internos.........................................................................................................................351Failover da rede interna.............................................................................................................................................. 352

Sobre a rede externa........................................................................................................................................................ 352Groupnets.....................................................................................................................................................................352Sub-redes..................................................................................................................................................................... 353Pools de endereços IP................................................................................................................................................ 354Módulo SmartConnect............................................................................................................................................... 354Regras de provisionamento de nós........................................................................................................................... 357Opções de roteamento...............................................................................................................................................358

Configurando a rede interna............................................................................................................................................ 359Modificar o intervalo de endereços IP interno.........................................................................................................359Modificar a máscara de rede interna........................................................................................................................ 359Configurar e habilitar failover interno....................................................................................................................... 360Desabilitar o failover de rede interna........................................................................................................................ 360

Gerenciando groupnets....................................................................................................................................................360Criar um groupnet........................................................................................................................................................ 361Modificar um groupnet............................................................................................................................................... 362Excluir um groupnet.................................................................................................................................................... 362Exibir groupnets...........................................................................................................................................................362

Gerenciando as sub-redes de rede externa...................................................................................................................363Criar uma sub-rede......................................................................................................................................................363Modificar uma sub-rede............................................................................................................................................. 364Excluir uma sub-rede.................................................................................................................................................. 364Exibir configurações de sub-rede..............................................................................................................................364Configurar um endereço IP do serviço SmartConnect.......................................................................................... 364Habilitar ou desabilitar a marcação da VLAN...........................................................................................................365Adicionar ou remover um endereço DSR................................................................................................................. 365Adicionar ou remover um intervalo de endereços IP por sub-rede.......................................................................365

Gerenciando os pools de endereços IP.......................................................................................................................... 366

16 Índice

Criar um pool de endereços IP...................................................................................................................................366Modificar um pool de endereços IP...........................................................................................................................366Excluir um pool de endereços IP............................................................................................................................... 366Exibir as configurações dos pools de endereços IP.................................................................................................367Adicionar ou remover um intervalo de endereços IP.............................................................................................. 367

Gerenciando as configurações do SmartConnect........................................................................................................ 367Modificar uma zona DNS do SmartConnect........................................................................................................... 367Especificar uma sub-rede de serviço do SmartConnect........................................................................................368Suspender ou reiniciar um nó.....................................................................................................................................368Configurar a alocação de endereços IP....................................................................................................................369Configurar uma política de balanceamento de conexões.......................................................................................370Configurar uma política de failover de IP...................................................................................................................371Configurar uma política de rebalanceamento de IP................................................................................................. 371

Gerenciando os membros da interface de rede.............................................................................................................372Adicionar ou remover uma interface de rede...........................................................................................................372Configurar agregação de links....................................................................................................................................372

Gerenciando regras de provisionamento de nós........................................................................................................... 374Criar uma regra de provisionamento de nós............................................................................................................ 374Modificar uma regra de provisionamento de nós.................................................................................................... 374Excluir uma regra de provisionamento de nós......................................................................................................... 375Exibir configurações das regras de provisionamento de nós................................................................................. 375

Gerenciando opções de roteamento...............................................................................................................................375Ativar ou desativar roteamento baseado em origem.............................................................................................. 375Adicionar ou remover uma rota estática...................................................................................................................375

Gerenciando configurações de cache do DNS..............................................................................................................376Fazer o flush do cache de DNS................................................................................................................................. 376Modificar configurações de cache de DNS..............................................................................................................376Configurações do cache de DNS.............................................................................................................................. 376

Gerenciando portas TCP.................................................................................................................................................. 377Adicionar ou remover portas TCP............................................................................................................................. 377

26 Antivírus................................................................................................................................ 378Visão geral do antivírus..................................................................................................................................................... 378Varredura no acesso......................................................................................................................................................... 378Varredura de política antivírus......................................................................................................................................... 379Varredura de arquivos individuais....................................................................................................................................379Arquivos WORM e antivírus.............................................................................................................................................379Relatórios de varredura antivírus.....................................................................................................................................379Servidores ICAP................................................................................................................................................................ 380Respostas a ameaças antivírus........................................................................................................................................380Definindo configurações globais de antivírus..................................................................................................................381

Excluir arquivos das verificações antivírus................................................................................................................381Definir configurações de varredura no acesso........................................................................................................ 382Definir as configurações de resposta a ameaças de vírus......................................................................................382Definir configurações de retenção do relatório de antivírus.................................................................................. 383Habilitar ou desabilitar a varredura antivírus............................................................................................................ 383

Gerenciando servidores ICAP.......................................................................................................................................... 383Adicionar e estabelecer conexão com um servidor ICAP.......................................................................................383Testar uma conexão de servidor ICAP..................................................................................................................... 383Modificar as configurações de conexão ICAP......................................................................................................... 384

Índice 17

Desconectar-se temporariamente de um servidor ICAP........................................................................................384Restabelecer conexão com um servidor ICAP.........................................................................................................384Remover um servidor ICAP........................................................................................................................................384

Criar uma política antivírus...............................................................................................................................................385Gerenciando políticas antivírus........................................................................................................................................385

Modificar uma política antivírus................................................................................................................................. 385Excluir uma política antivírus...................................................................................................................................... 386Habilitar ou desabilitar uma política antivírus........................................................................................................... 386Exibir políticas antivírus...............................................................................................................................................386

Gerenciando varreduras antivírus................................................................................................................................... 386Examinar um arquivo...................................................................................................................................................386Executar manualmente uma política antivírus..........................................................................................................387Interromper uma varredura antivírus.........................................................................................................................387

Gerenciando ameaças de vírus........................................................................................................................................ 387Colocar um arquivo em quarentena manualmente..................................................................................................387Examinar novamente um arquivo.............................................................................................................................. 387Remover um arquivo da quarentena.........................................................................................................................387Truncar um arquivo manualmente.............................................................................................................................388Exibir ameaças............................................................................................................................................................. 388Informações sobre ameaças de vírus........................................................................................................................388

Gerenciando relatórios antivírus......................................................................................................................................388Exibir os relatórios antivírus........................................................................................................................................388Exibir os eventos de antivírus.................................................................................................................................... 389

27 Integração com o VMware....................................................................................................... 390Visão geral da integração com VMware.........................................................................................................................390VAAI.................................................................................................................................................................................... 390VASA...................................................................................................................................................................................390

Alarmes de VASA do Isilon.......................................................................................................................................... 391Recursos de armazenamento da VASA.................................................................................................................... 391

Configurando o suporte ao VASA....................................................................................................................................391Ativar VASA.................................................................................................................................................................. 391Download do certificado do provedor de fornecedores do Isilon..........................................................................392Criar um certificado autoassinado.............................................................................................................................392Adicionar o provedor de fornecedores do Isilon...................................................................................................... 393

Desativar ou reativar o VASA.......................................................................................................................................... 393Fazendo a solução de problemas das falhas de exibição do armazenamento VASA............................................... 394

28 File System Explorer............................................................................................................... 395Visão geral do File System Explorer................................................................................................................................395Navegar no file system.....................................................................................................................................................395Criar um diretório.............................................................................................................................................................. 395Modificar as propriedades de arquivos e diretórios...................................................................................................... 395Exibir propriedades de arquivos e diretórios.................................................................................................................. 396Propriedades de arquivos e diretórios............................................................................................................................ 396

18 Índice

Introdução a este guiaEsta seção contém os seguintes tópicos:

Tópicos:

• Sobre este guia• Visão geral do NAS de scale-out do Isilon• Onde obter suporte

Sobre este guiaEste guia descreve como a interface Web de administração do Isilon OneFS oferece acesso à funcionalidade de configuração, gerenciamento e monitoramento de clusters.

Suas sugestões nos ajudarão a aprimorar a precisão, a organização e a qualidade geral da documentação. Envie seus comentários para http://bit.ly/isilon-docfeedback. Se não for possível fazê-lo por meio da URL, envie uma mensagem de e-mail para docfeedback@isilon.com.

Visão geral do NAS de scale-out do IsilonA plataforma de armazenamento de NAS de scale-out do Isilon combina hardware modular com software unificado para explorar dados não estruturados. Viabilizado pelo sistema operacional OneFS, um cluster oferece um pool escalável de armazenamento com um namespace global.

A plataforma unificada de software oferece administração centralizada, baseada na Web e de linha de comando para gerenciar os seguintes recursos:

• Um cluster que executa um file system distribuído• Nós de scale-out que adicionam capacidade e desempenho• Opções de armazenamento que gerenciam arquivos e classificação por níveis• Proteção de dados e alta disponibilidade flexíveis• Módulos de software que controlam custos e otimizam recursos

Onde obter suporteEste tópico contém recursos para obter respostas a perguntas sobre produtos Isilon.

Suporte on-line • Bate-papo on-line• Criar um chamado

Para perguntas sobre como acessar o suporte on-line, envie um e-mail para support@emc.com.

Suporte telefônico • Estados Unidos: 1-800-SVC-4EMC (1-800-782-4362)• Canadá: 1-800-543-4782• Internacional: 1-508-497-7901• Os números de telefone locais de um país específico estão disponíveis nos Centros de atendimento ao cliente

Dell EMC.

Isilon Community Network

O Isilon Community Network conecta você a um hub central de informações e especialistas para ajudá-lo a maximizar sua solução de armazenamento atual. Neste site, você pode obter demonstrações de produtos Isilon, fazer perguntas, visualizar vídeos técnicos e obter a documentação mais recente dos produtos Isilon.

Isilon Hubs de informações

Para obter a lista de hubs de informações do Isilon, consulte a página Isilon Info Hubs no Isilon Community Network. Use esses hubs de informações para localizar a documentação do produto, guias de solução de

1

Introdução a este guia 19

problemas, vídeos, blogs e outros recursos informativos sobre os produtos e recursos do Isilon em que você está interessado.

20 Introdução a este guia

NAS de scale-out da IsilonEsta seção contém os seguintes tópicos:

Tópicos:

• Arquitetura de armazenamento do OneFS• Componentes do nó Isilon• Redes internas e externas• Cluster Isilon• Sistema operacional OneFS• Estrutura do file system• Visão geral da proteção de dados• Integração com VMware• Módulos de software

Arquitetura de armazenamento do OneFSO Isilon adota uma abordagem de scale-out para o armazenamento criando um cluster de nós que executa um DFS. O OneFS combina as três camadas da arquitetura de armazenamento (file system, gerenciador de volumes e proteção de dados) em um cluster de NAS de scale-out.

Cada nó adiciona recursos ao cluster. Como cada nó contém RAM globalmente coerente, à medida que um cluster se torna maior, também aumenta sua velocidade. Enquanto isso, o file system se expande dinamicamente e redistribui o conteúdo, que elimina o trabalho de particionar discos e criar volumes.

Os nós funcionam como pares para distribuir dados pelo cluster. O processo de segmentação e distribuição de dados — conhecido como particionamento — não só protege dados, mas também permite que um usuário que se conecta a qualquer nó aproveite o desempenho de todo o cluster.

O OneFS usa um software distribuído para dimensionar dados no hardware genérico. Os dispositivos master não controlam o cluster e os dispositivos auxiliares não acionam dependências. Todos os nós ajudam a controlar solicitações de dados, impulsionar o desempenho e expandir a capacidade do cluster.

Componentes do nó IsilonComo um equipamento montável em rack, um nó de armazenamento anterior ao Generation 6 inclui os seguintes componentes em um chassi montável em rack de 2U ou 4U, com um painel frontal LCD: CPUs, RAM, NVRAM, interfaces de rede, adaptadores InfiniBand, controladores de disco e mídia de armazenamento. Um cluster do Isilon é composto por três ou mais nós, até 144. O chassi de 4U sempre é usado para Generation 6. Há quatro nós no chassi de 4U do Generation 6; portanto, um quarto do chassi compõe um nó.

Ao adicionar um nó a um cluster anterior ao Generation 6, você aumenta a capacidade agregada de disco, cache, CPU, RAM e rede. O OneFS agrupa a RAM em um só cache coerente, para que uma solicitação de dados em um nó se beneficie dos dados armazenados em cache em qualquer lugar. A NVRAM é agrupada para gravar dados com alto throughput e proteger operações de gravação contra falta de energia. À medida que o cluster cresce, os eixos e a CPU se combinam para aumentar o throughput, a capacidade e as operações de IOPS (Input/Output per Second). O cluster mínimo do Generation 6 tem quatro nós e o Generation 6 não usa NVRAM. Os registros são armazenados na RAM e o flash 2.M é usado para um backup em caso de falha do nó.

Há vários tipos de nós e todos eles podem ser adicionados a um cluster para equilibrar a capacidade e o desempenho com throughput ou IOPS:

Nó Caso de uso

Hardware F800 e F810 de 6ª geração (o F810 é compatível apenas com o OneFS 8.1.3)

Solução totalmente flash

Hardware série H de 6ª geração • H600, solução de aumento do desempenho• H500, capacidade do desempenho

2

NAS de scale-out da Isilon 21

Nó Caso de uso

• H400, capacidade do desempenho

Hardware série A de 6ª geração • A200, arquivamento ativo• A2000, arquivo morto

Série S Aplicativos com grande número de IOPS

Série X Workflows de alta simultaneidade e orientados por throughput

Série NL Fácil acesso quase primário com valor semelhante à fita

Série HD Capacidade máxima

Os seguintes nós do Dell EMC Isilon melhoram o desempenho:

Nó Função

Acelerador de desempenho da série A Dimensionamento independente para obter máximo desempenho

Acelerador de backup da série A Solução de backup e restauração de alta velocidade e dimensionável para unidades de fita em conexões Fibre Channel

Redes internas e externasUm cluster inclui duas redes: uma rede interna para trocar dados entre nós e uma rede externa para lidar com as conexões dos clients.

Os nós trocam dados pela rede interna com um protocolo unicast exclusivo via InfiniBand. Cada nó contém portas InfiniBand redundantes para adicionar uma segunda rede interna caso a primeira falhe.

Os clients acessam o cluster com Ethernet de 1 GigE ou de 10 GigE. Já que cada nó contém portas Ethernet, a largura de banda do cluster é dimensionada em termos de desempenho e de capacidade à medida que os nós são adicionados.

CUIDADO: Somente os nós do Isilon devem estar conectados ao comutador InfiniBand. As informações trocadas na rede

de back-end não são criptografadas. Conectar qualquer outra coisa que não os nós do Isilon ao comutador InfiniBand

criará um risco de segurança.

Cluster IsilonUm cluster do Isilon é composto por três ou mais nós de hardware, até 144. Todos os nós executam o sistema operacional Isilon OneFS, o software de file system distribuído que une os nós em um cluster. A capacidade de armazenamento de um cluster varia de um mínimo de 18 TB a um máximo de 50 PB.

Administração de clusterO OneFS centraliza o gerenciamento de clusters em uma interface Web de administração e uma interface de linha de comando. Ambas as interfaces oferecem métodos para ativar licenças, verificar o status dos nós, configurar o cluster, fazer upgrade do sistema, gerar alertas, exibir conexões dos clients, rastrear o desempenho e alterar várias configurações.

Além disso, o OneFS simplifica a administração automatizando a manutenção com um mecanismo de trabalho. Você pode agendar os trabalhos de verificação de vírus, inspeção de discos em busca de erros, recuperação de espaço em disco e verificação da integridade do file system. O mecanismo gerencia os trabalhos para minimizar o impacto sobre o desempenho do cluster.

Com versões 2c e 3 do SNMP (Simple Network Management Protocol), você pode monitorar remotamente os componentes de hardware, a utilização da CPU, os switches e as interfaces de rede. Dell EMC O Isilon oferece bases de informações de gerenciamento (MIBs) e traps para o sistema operacional OneFS.

O OneFS também inclui uma interface de programação de aplicativos (API) que é dividida em duas áreas funcionais: uma área ativa a funcionalidade de configuração, gerenciamento e monitoramento do cluster, e a outra ativa operações em arquivos e diretórios do cluster. Você pode enviar solicitações à API do OneFS por meio de uma interface de REST (Representational State Transfer), que é acessado por meio do recurso URIs e métodos padrão de HTTP. A API integra-se ao RBAC (Role-Based Access Control, controle de acesso baseado em funções) do OneFS para aumentar a segurança. Consulte Isilon Platform API Reference.

22 NAS de scale-out da Isilon

QuórumUm cluster do Isilon deve ter um quórum para funcionar devidamente. O quórum impede os conflitos de dados — por exemplo, versões conflitantes do mesmo arquivo — caso dois grupos de nós tornarem-se não sincronizados. Se um cluster perder seu quórum para solicitações de leitura e gravação, você não poderá acessar o file system do OneFS.

Em um quórum, mais da metade dos nós deve estar disponível na rede interna. Um cluster de sete nós, por exemplo, requer um quórum de quatro nós. Já um cluster de 10 nós requer um quórum de 6 nós. Se um nó não puder ser acessado pela rede interna, o OneFS separará o nó do cluster, em uma ação chamada de separação. Depois que um cluster é separado, as operações do cluster continuam enquanto houver nós suficientes conectados para que um quórum seja mantido.

Em um cluster separado, os nós que restam no cluster são chamados de grupo majoritário. Os nós que são separados do cluster são chamados de grupo minoritário.

Quando os nós separados puderem se reconectar ao cluster e se ressincronizar com os outros nós, os nós reingressarão no grupo majoritário do cluster, em uma ação chamada de mescla.

Um cluster do OneFS contém duas propriedades de quórum:

• read quorum (efs.gmp.has_quorum)• write quorum (efs.gmp.has_super_block_quorum)

Ao se conectar a um nó com SSH e executar a ferramenta de linha de comando sysctl como root, você pode visualizar o status dos dois tipos de quórum. A seguir, há um exemplo de um cluster que tem um quórum para operações de leitura e gravação, já que o resultado do comando exibe um 1, que significa verdadeiro:

sysctl efs.gmp.has_quorum efs.gmp.has_quorum: 1 sysctl efs.gmp.has_super_block_quorum efs.gmp.has_super_block_quorum: 1

Os estados degradados dos nós — como smartfail, somente leitura, off-line etc. — afetam o quórum de maneiras diferentes. Um nó no estado smartfail ou somente leitura afetam somente o quórum de gravação. No entanto, um nó no estado off-line afeta os quóruns de leitura e de gravação. Em um cluster, a combinação de nós em diferentes estados degradados determina se as solicitações de leitura, de gravação ou ambas, estão funcionando.

Um cluster pode perder o quórum de gravação, mas manter o quórum de leitura. Considere um cluster de quatro nós no qual os nós 1 e 2 estão funcionando normalmente. O nó 3 está no estado somente leitura e o nó 4 está no estado smartfail. Nesse caso, as solicitações de leitura ao cluster são enviadas com sucesso. No entanto, as solicitações de gravação recebem um erro de entrada e saída porque os estados dos nós 3 e 4 interrompem o quórum de gravação.

Um cluster também pode perder seu quórum de leitura e de gravação. Se os nós 3 e 4 de um cluster de quatro nós estiverem no estado off-line, as solicitações de gravação e de leitura receberão um erro de entrada e saída e você não poderá acessar o file system. Quando o OneFS conseguir se reconectar aos nós, o OneFS os mesclará de volta ao cluster. Ao contrário de um sistema RAID, um nó do Isilon pode reingressar no cluster sem ser reconstruído e reconfigurado.

Separação e mesclaA separação e a mescla otimizam o uso de nós sem sua intervenção.

O OneFS monitora todos os nós de um cluster. Se um nó não puder ser acessado pela rede interna, o OneFS separará o nó do cluster, uma ação chamada de separação. Quando o cluster conseguir se reconectar ao nó, o OneFS adiciona o nó de volta ao cluster, uma ação chamada de mescla.

Quando um nó é separado de um cluster, ele continuará capturando as informações sobre eventos localmente. Você pode se conectar a um nó separado com SSH e executar o comando isi event events list para exibir o log de eventos local do nó. O log de eventos local pode ajudá-lo a solucionar os problemas de conexão resultantes da separação. Quando o nó separado reingressa no cluster, os eventos locais coletados durante a separação são excluídos. Você ainda pode exibir os eventos gerados por um nó separado no arquivo do log de eventos do nó, localizado em /var/log/isi_celog_events.log.

Se um cluster for separado durante uma operação de gravação, o OneFS poderá precisar realocar os blocks do arquivo junto com o quórum, o que fará com que os blocks alocados que ficaram sem um quórum tornem-se órfãos. Quando os nós separados são reconectados ao cluster, o trabalho Collect do sistema OneFS recupera os blocks órfãos.

Enquanto isso, à medida que os nós se separam do cluster e mesclam-se a ele, o trabalho AutoBalance do OneFS redistribui os dados igualmente entre os nós do cluster, otimizando a proteção e conservando o espaço.

NAS de scale-out da Isilon 23

Pools de armazenamentoOs pools de armazenamento segmentam os nós e arquivos em divisões lógicas para simplificar o gerenciamento e o armazenamento de dados.

Um pool de armazenamento é composto por pools de nós e níveis. Os pools de nós agrupam os nós equivalentes para proteger os dados e garantir a confiabilidade. Os níveis combinam os pools de nós para otimizar o armazenamento conforme a necessidade, como um nível de alta velocidade usado frequentemente ou arquivamento raramente acessado.

O módulo SmartPools agrupa os nós e os arquivos em pools. Se você não ativar uma licença do SmartPools, o módulo fará o provisionamento dos pools de nós e criará um pool de arquivos. Se você ativar uma licença do SmartPools, receberá mais recursos. Você pode, por exemplo, criar vários pools de arquivos e controlá-los com políticas. As políticas movem arquivos, diretórios, bem como pools de arquivos entre pools de nós ou níveis. Você também pode definir como o OneFS lida com operações de gravação quando um pool de nós ou um nível está cheio. O SmartPools reserva um hot spare virtual para proteger os dados novamente se um drive falhar, independentemente da licença do SmartPools estar ou não ativada.

Sistema operacional OneFSUm sistema operacional distribuídos com base em FreeBSD, o OneFS apresenta um file system do cluster do Isilon como um só compartilhamento ou uma só exportação com um ponto central de administração.

O sistema operacional OneFS faz o seguinte:

• Dá suporte a protocolos comuns de acesso a dados, como o SMB e o NFS.• Conecta-se a vários sistemas de gerenciamento de identidade, como o Active Directory e o LDAP.• Autentica usuários e grupos.• Controla o acesso aos arquivos e diretórios.

Ambientes mistos de protocolos de acesso aos dadosCom o sistema operacional OneFS, você pode acessar dados com vários protocolos de transferência e compartilhamento de arquivos. Como resultado, os clients Microsoft Windows, UNIX, Linux e Mac OS X podem compartilhar os mesmos diretórios e arquivos.

O diretório /ifs é o diretório raiz de todos os dados do file system do cluster e serve como um compartilhamento SMB, uma exportação NFS e um diretório raiz de documentos. Você pode criar compartilhamentos e exportações adicionais na árvore de diretórios /ifs. Você pode configurar seu cluster do OneFS para usar o SMB ou NFS exclusivamente, ou ambos. Você também pode ativar HTTP, FTP e SSH.

Os direitos de acesso são impostos de modo consistente via protocolos de acesso em todos os modelos de segurança. Os direitos a um arquivo são concedidos ou recusados a um usuário, independentemente do uso de SMB ou NFS. Os clusters que executam o OneFS dão suporte a um conjunto de configurações globais de políticas que permitem a personalização da ACL (Access Control List, lista de controle de acesso) padrão e das configurações de permissões do UNIX.

O OneFS é configurado com permissões padrão do UNIX na árvore de arquivos. Nas ferramentas administrativas do Windows Explorer ou do OneFS, você pode oferecer uma ACL a qualquer arquivo ou diretório. Além dos usuários e grupos do domínio do Windows, as ACLs do OneFS podem incluir o local, o NIS (Network Information Service) e os usuários e grupos do LDAP (Lightweight Directory Access Protocol). Depois que um arquivo recebe uma ACL, os bits de modo não são mais impostos e existem apenas como uma estimativa das permissões efetivas.

NOTA: Recomendamos que você somente configure as permissões da ACL e do UNIX se entende totalmente como elas

interagem entre si.

Para obter informações sobre os protocolos de acesso aos dados, consulte o Guia de Administração da Web do OneFS 8.2.0 e a Referência de Comandos da CLI do OneFS 8.2.0.

Gerenciamento de identidade e controle de acessoO OneFS trabalha com vários sistemas de gerenciamento de identidade para autenticar usuários e controlar o acesso a arquivos. Além disso, o OneFS apresenta zonas de acesso que permitem que os usuários de diferentes serviços de diretórios acessem recursos diferentes com base em seu endereço IP. Enquanto isso, o RBAC (Role-Based Access Control, controle de acesso baseado em funções) segmenta o acesso administrativo por função.

O OneFS autentica os usuários com os seguintes sistemas de gerenciamento de identidade:

• AD (Microsoft Active Directory)• LDAP (Lightweight Directory Access Protocol)

24 NAS de scale-out da Isilon

• NIS (Network Information Service, serviço de informação da rede)• Usuários e grupos locais• Um provedor de arquivos para contas contidas nos arquivos /etc/spwd.db e /etc/group. Com o provedor de arquivos, você

pode adicionar uma origem autorizada de terceiros para as informações do usuário e do grupo.

Você pode gerenciar usuários com sistemas de gerenciamento de identidades diferentes; O OneFS mapeia as contas para que as identidades Windows e UNIX possam coexistir. Uma conta de usuário do Windows gerenciada no Active Directory, por exemplo, é associada a uma conta UNIX correspondente no NIS ou no LDAP.

Para controlar o acesso, um cluster do Isilon trabalha com as ACLs (Access Control Lists, listas de controle de acesso) dos sistemas Windows e com os bits de modo POSIX dos sistemas Unix. Quando o OneFS precisa mudar as permissões de um arquivo de ACLs para bits de modo ou de bits de modo para ACLs, o OneFS mescla as permissões para manter configurações consistentes de segurança.

O OneFS apresenta visualizações das permissões específicas aos protocolos, para que as exportações NFS exibam modos de bits e os compartilhamentos do SMB exibam ACLs. No entanto, você pode gerenciar não apenas os modos de bits, mas também as ACLs com as ferramentas padrão do UNIX, como os comandos chmod e chown. Além disso, as políticas de ACL permitem que você configure como o OneFS gerencia as permissões para as redes que combinam os sistemas Windows e UNIX.

Zonas de acesso O OneFS inclui um recurso de zonas de acesso. As zonas de acesso permitem que os usuários de diferentes provedores de autenticação, como dois domínios não confiáveis do Active Directory, acessem recursos diferentes do OneFS com base em um endereço IP recebido. Uma zona de acesso pode conter vários provedores de autenticação e namespaces de SMB.

RBAC para administração

O OneFS inclui controle de acesso baseado em funções para administração. Em vez de uma conta root ou de administrador, o RBAC permite gerenciar o acesso administrativo por função. Uma função limita privilégios a uma área de administração. Por exemplo, você pode criar funções de administrador separadas para segurança, auditoria, armazenamento e backup.

Estrutura do file systemO OneFS apresenta todos os nós de um cluster como um namespace global — ou seja, como um compartilhamento de arquivos padrão, o /ifs.

No file system, os diretórios são links de números inode. Um inode contém metadados de arquivos e um número inode, que identifica o local de um arquivo. O OneFS aloca os inodes dinamicamente e não há limite para o número de inodes.

Para distribuir dados entre os nós, o OneFS envia mensagens com um endereço de block globalmente roteável pela rede interna do cluster. O endereço do block identifica o nó e o drive que armazenam o block de dados.

NOTA: Recomendamos que você não salve os dados no caminho de arquivo raiz /ifs, mas nos diretórios abaixo de /ifs. O projeto de sua estrutura de armazenamento de dados deve ser planejado com cuidado. Um diretório bem

projetado otimiza o desempenho e a administração do cluster.

Layout de dadosO OneFS distribui os dados de modo uniforme entre os nós de um cluster com algoritmos de layout que maximizam a eficiência e o desempenho do armazenamento. O sistema realoca dados continuamente para conservar o espaço.

O OneFS divide os dados em seções menores chamadas de blocks e, em seguida, o sistema posiciona os blocks em uma unidade de fração. Ao fazer referência aos códigos de file data ou de eliminação, uma unidade de fração ajuda a proteger um arquivo de uma falha de hardware. O tamanho de uma unidade de fração depende do tamanho do arquivo, do número de nós e da configuração de proteção. Depois que o OneFS divide os dados em unidades de fração, ele aloca, ou fraciona, essas unidades nos nós do cluster.

Quando um client se conecta a um nó, suas operações de leitura e gravação ocorrem em vários nós. Por exemplo, quando um client se conecta a um nó e solicita um arquivo, o nó recupera os dados de vários nós e reconstrói o arquivo. Você pode otimizar o modo como OneFS faz o layout dos dados para corresponder a seu padrão de acesso dominante — simultâneo, contínuo ou aleatório.

Gravando arquivosEm um nó, as operações de I/O (Input/Output/, entrada e saída) da pilha de software do OneFS se dividem em duas camadas funcionais: uma camada superior, ou iniciador, e uma camada inferior, ou participante. Nas operações de leitura e gravação, o iniciador e o participante desempenham funções diferentes.

Quando um client grava um arquivo em um nó, o iniciador do nó gerencia o layout do arquivo no cluster. Primeiro, o iniciador divide o arquivo em blocks de 8 KB cada. Depois, ele coloca os blocks em uma ou mais unidades de fração. Em 128 KB, uma unidade de fração

NAS de scale-out da Isilon 25

consiste em 16 blocks. Em terceiro lugar, o iniciador distribui as unidades de fração no cluster até que elas abranjam uma largura do cluster, criando uma fração. A largura da fração depende do número de nós e da configuração de proteção.

Depois de dividir um arquivo em unidades de fração, o iniciador grava os dados na NVRAM (Non-Volatil Random-Access Memory) e, depois, no disco. A NVRAM retém informações quando a energia está desligada.

Durante a transação de gravação, a NVRAM protege contra nós com falha registrados. Se um nó falhar durante a transação, a transação reiniciará sem o nó com falha. Quando o nó retornar, ele reproduz o registro da NVRAM para concluir a transação. O nó também executa o trabalho AutoBalance para verificar o striping de disco do arquivo. Enquanto isso, as gravações não confirmadas que estão aguardando no cache são protegidas com o espelhamento. Como resultado, o OneFS elimina vários pontos de falha.

Lendo arquivosEm uma operação de leitura, um nó age como um gerenciador para coletar dados de outros nós e apresentá-los ao client solicitante.

Como o cache coerente de um cluster do Isilon abrange todos os nós, o OneFS pode armazenar dados diferentes na RAM de cada nó. Usando a rede InfiniBand interna, um nó pode recuperar file data do cache de outro nó com mais rapidez que de seu próprio disco local. Se uma operação de leitura solicitar dados que são armazenados em cache em qualquer nó, o OneFS obterá esses dados para apresentá-los rapidamente.

Além disso, para arquivos com um padrão de acesso simultâneo ou contínuo, o OneFS obtém previamente os dados solicitados a um cache local para um nó de gerenciamento para melhorar ainda mais o desempenho da leitura sequencial.

Layout de metadadosO OneFS protege os metadados espalhando-os entre os nós e os drives.

Os metadados — que incluem informações sobre onde um arquivo é armazenado, como ele é protegido e quem pode acessá-lo — são armazenados em inodes e protegidos com bloqueios em uma árvore B+, uma estrutura padrão para a organização de blocos de dados em um file system para oferecer pesquisas instantâneas. O OneFS replica os metadados de arquivos no cluster, para que não haja um ponto único de falha.

Trabalhando juntos como pares, todos os nós ajudam a gerenciar o acesso e o bloqueio dos metadados. Se um nó detectar um erro nos metadados, ele pesquisará os metadados em um local alternativo e corrige o erro.

Bloqueios e simultaneidadeO OneFS tem um gerenciador de bloqueio distribuído que orquestra os bloqueios de dados em todos os nós de um cluster.

O gerenciador de bloqueio concede bloqueios ao file system, aos intervalos de bytes e aos protocolos, inclusive bloqueios do modo de compartilhamento do SMB e bloqueios de consultoria de NFS. O OneFS também dá suporte aos bloqueios oportunistas de SMB.

Como o OneFS distribui o gerenciador de bloqueio por todos os nós, qualquer nó pode atuar como um coordenador de bloqueios. Quando um thread de um nó solicita um bloqueio, geralmente, o algoritmo de hash do gerenciador de bloqueio atribui a função de coordenador a um nó diferente. O coordenador aloca um bloqueio compartilhado ou um bloqueio exclusivo, dependendo do tipo de solicitação. Um bloqueio compartilhado permite que os usuários compartilhem um arquivo simultaneamente, normalmente para operações de leitura. Um bloqueio exclusivo permite que apenas um usuário acesse um arquivo, normalmente para as operações de gravação.

StripingEm um processo conhecido como particionamento, o OneFS segmenta os arquivos em unidades de dados e, depois, distribui essas unidades pelos nós de um cluster. O particionamento protege seus dados e melhora o desempenho do cluster.

Para distribuir um arquivo, o OneFS o reduz a blocos de dados, dispõe os blocos em unidades de fração e, depois, aloca as unidades de fração aos nós pela rede interna.

Ao mesmo tempo, o OneFS distribui os códigos de eliminação que protegem o arquivo. Os códigos de eliminação codificam os dados do arquivo em um conjunto distribuído de símbolos, adicionando redundância com uso eficiente de espaço. Com apenas uma parte do conjunto de símbolos, o OneFS pode recuperar os file data originais.

Juntos, os dados e sua redundância formam um grupo de proteção para uma região de file data. O OneFS coloca os grupos de proteção em diferentes drives dos diferentes nós — criando frações de dados.

Como o OneFS fraciona os dados nos nós que trabalham juntos como pares, um usuário que se conecta a qualquer nó pode aproveitar o desempenho de todo o cluster.

26 NAS de scale-out da Isilon

De modo padrão, o OneFS otimiza o particionamento para acesso simultâneo. Se seu padrão de acesso principal for do tipo contínuo — ou seja, as cargas de trabalho com maior single stream e menor simultaneidade, como vídeo — você poderá alterar o modo como o OneFS dispõe os dados para melhorar o desempenho da leitura sequencial. Para melhorar o controle do acesso contínuo, o OneFS fraciona os dados por mais drives. O acesso contínuo é mais eficaz em clusters ou em subpools que apresentam arquivos grandes.

Visão geral da proteção de dadosUm cluster do Isilon é projetado para servir dados mesmo quando os componentes falham. De modo padrão, o OneFS protege os dados com códigos de eliminação, permitindo que você recupere arquivos quando um nó ou disco falhar. Como uma alternativa aos códigos de eliminação, você pode proteger os dados com dois a oito espelhamentos.

Ao criar um cluster com cinco nós ou mais, os códigos de eliminação oferecerão uma eficiência de até 80%. Em clusters maiores, os códigos de eliminação oferecem até quatro níveis de redundância.

Além dos códigos de eliminação e do espelhamento, o OneFS inclui os seguintes recursos para ajudar a proteger a integridade, a disponibilidade e a confidencialidade dos dados:

Recurso Descrição

Antivírus O OneFS pode enviar arquivos aos servidores que executam o ICAP (Internet Content Adaptation Protocol) para fazer verificações de vírus e outras ameaças.

Clones O OneFS permite que você crie clones que compartilham blocks com outros aquivos para economizar espaço.

Restauração e backup NDMP O OneFS pode fazer backup de dados em fita e outros dispositivos com o NDMP (Network Data Management Protocol, protocolo de gerenciamento de dados da rede). Embora o OneFS dê suporte ao backup bidirecional e tridirecional, o backup bidirecional exige um nó Backup Accelerator do Isilon.

Domínios de proteção Você pode aplicar domínios de proteção aos arquivos e aos diretórios para impedir alterações.

Os seguintes módulos de software também ajudam a proteger os dados, mas requerem que você ative uma licença separada:

Recurso licenciado Descrição

SyncIQ O SyncIQ replica dados em outro cluster do Isilon e automatiza as operações de failover e failback entre clusters. Se um cluster se tornar inutilizável, você poderá fazer o failover dele a outro cluster do Isilon.

SnapshotIQ Você pode proteger os dados com um snapshot — uma cópia lógica dos dados armazenados em um cluster.

SmartLock A ferramenta SmartLock impede que os usuários modifiquem e excluam arquivos. É possível confirmar arquivos a um estado Write-Once, Read-Many: o arquivo nunca poderá ser modificado e só poderá ser excluído após um período de retenção definido. O SmartLock pode ajudá-lo a cumprir a regra 17a-4 da SEC (Securities and Exchange Comission).

Proteção de dados N+MO OneFS usa a redundância de dados em todo o cluster para impedir a perda de dados resultante de falhas de unidade ou nó. A proteção é integrada à estrutura do file system e pode ser aplicada até o nível de arquivos individuais.

A proteção do OneFS é modelada com base no algoritmo Reed-Solomon, que usa a FEC (Forward Error Correction). Usando a FEC, o OneFS aloca os dados em fragmentos de 128 KB. Para cada fragmento de dados N, o OneFS grava M fragmentos de proteção, ou paridade. Cada fragmento N + M, conhecido como um grupo de proteção, é gravado em um disco independente de um nó independente. Esse processo é chamado de particionamento de dados. Particionando os dados em todo o cluster, o OneFS poderá recuperar arquivos quando ocorrerem falhas de unidades ou nós.

NAS de scale-out da Isilon 27

No OneFS, os conceitos de política de proteção e nível de proteção são diferentes. A política de proteção é a configuração de proteção que você especifica para os pools de armazenamento de seu cluster. O nível de proteção é a proteção real que o OneFS oferece aos dados, com base na política de proteção e no número real de nós graváveis.

Por exemplo, se você tiver um cluster de três nós e especificar uma política de proteção de [+2d:1n], o OneFS poderá tolerar a falha de duas unidades ou de um nó sem perda de dados. No entanto, nesse mesmo cluster de três nós, se você especificar uma política de proteção de [+4d:2n], o OneFS não poderá atingir um nível de proteção que permitiria falhas de quatro unidades ou de dois nós. Isso ocorre porque N+M deve ser menor ou igual ao número de nós do cluster.

Por padrão, o OneFS calcula e define uma política de proteção recomendada com base na configuração de seu cluster. A política de proteção recomendada atinge o equilíbrio ideal entre a eficiência de armazenamento e a integridade dos dados.

É possível configurar um nível de proteção que seja mais alto que o nível ao qual o cluster pode dar suporte. Em um cluster de quatro nós, por exemplo, você pode configurar o nível de proteção como [5x]. No entanto, o OneFS protegeria os dados com uma proteção de 4x até você adicionar um 5º nó ao cluster; nesse momento, o OneFS protegeria os dados novamente com uma proteção de 5x.

Espelhamento de dadosVocê pode proteger os dados em disco com o espelhamento, que copia os dados em vários locais. O OneFS dá suporte de dois a oito espelhamentos. Você pode usar o espelhamento em vez de códigos de eliminação, ou pode combinar códigos de eliminação com o espelhamento.

No entanto, o espelhamento consome mais espaço que os códigos de eliminação. O espelhamento de dados realizado três vezes, por exemplo, duplica os dados três vezes, o que exige mais espaço que os códigos de eliminação. Como resultado, o espelhamento é mais adequado para as transações que exigem alto desempenho.

Você também pode combinar códigos de eliminação com o espelhamento. Durante uma operação de gravação, o OneFS divide os dados em grupos de proteção redundantes. Para arquivos protegidos pelos códigos de eliminação, um grupo de proteção consiste em blocos de dados e em seus códigos de eliminação. Para arquivos espelhados, um grupo de proteção contém todos os espelhamentos de um conjunto de blocos. O OneFS pode alternar o tipo de grupo de proteção à medida que grava um arquivo em disco. Alterando o grupo de proteção dinamicamente, o OneFS pode continuar gravando dados independentemente de uma falha do nó que impede que o cluster aplique códigos de eliminação. Depois que o nó é restaurado, o OneFS converte automaticamente os grupos de proteção espelhados em códigos de eliminação.

Registro do file systemUm registro, que indica as mudanças do file system em uma placa NVRAM com bateria reserva, recupera o file system após falhas, como uma queda de energia. Quando um nó é reiniciado, o registro reproduz as transações de arquivos para restaurar o file system.

VHS (Virtual Hot Spare, hot spare virtual)Quando um drive falha, o OneFS usa o espaço reservado em um subpool em vez de um drive de hot spare. O espaço reservado é conhecido como um hot spare virtual.

Em contraste com um drive sobressalente, um hot spare virtual resolve automaticamente as falhas de drive e continua gravando dados. Se um drive falhar, o OneFS migrará os dados ao hot spare virtual para protegê-los novamente. Você pode reservar até quatro drives de disco como hot spare virtual.

Proteção de balanceamento com espaço de armazenamentoVocê pode configurar níveis para balancear os requisitos de proteção com o espaço de armazenamento.

Geralmente, níveis maiores de proteção consomem mais espaço que níveis inferiores, já que você perder uma quantidade de espaço em disco para armazenar os códigos de eliminação. A sobrecarga dos códigos de eliminação depende do nível de proteção, do tamanho do arquivo e do número de nós no cluster. Já que o OneFS fraciona os dados e códigos de eliminação nos nós, a sobrecarga diminui à medida que você adicionar nós.

Integração com VMwareO OneFS integra-se a vários produtos da VMware, inclusive o vSphere, o vCenter e o ESXi.

28 NAS de scale-out da Isilon

Por exemplo, o OneFS trabalha com o VASA (VMware vSphere API for Storage Awareness) para que você possa exibir informações sobre um cluster do Isilon no vSphere. O OneFS também trabalha com o VAAI (VMware vSphere API for Array Integration) para dar suporte aos seguintes recursos de armazenamento em block: hardware-assisted locking, cópia completa e anulação de block. O VAAI para NFS requer um plug-in do ESXi.

Com o Isilon Storage Replication Adapter, o OneFS se integra ao VMware vCenter Site Recovery Manager para recuperar as máquinas virtuais que são replicadas entre os clusters do Isilon.

Módulos de softwareVocê pode acessar recursos avançados ativando licenças para os módulos de software da Dell EMC.

SmartLock O SmartLock protege os dados críticos contra alterações ou exclusões mal-intencionadas, acidentais ou prematuras para ajudá-lo a cumprir as normas 17a-4 da SEC (Securities and Exchange Comission). Você pode confirmar os dados automaticamente para um estado à prova de adulterações e, depois, mantê-los com um clock de conformidade.

HDFS O OneFS trabalha com o protocolo Hadoop Distributed File System para ajudar os clients que executam o Apache Hadoop, uma estrutura para aplicativos distribuídos com uso intenso de dados, a analisar o big data.

Failover e failback automatizados do SyncIQ

O SyncIQ replica dados em outro cluster do Isilon e automatiza o failover e o failback entre clusters. Se um cluster se tornar inutilizável, você poderá fazer o failover dele a outro cluster do Isilon. O failback restaura os dados da origem inicial depois que o cluster primário fica novamente disponível.

Reforço da segurança

O reforço da segurança é o processo de configuração de seu sistema para reduzir ou eliminar o máximo de risco de segurança possível. Você pode aplicar uma política de reforço que proteja a configuração do OneFS, de acordo com as diretrizes da política.

SnapshotIQ O SnapshotIQ protege os dados com um snapshot — uma cópia lógica dos dados armazenados em um cluster. Um snapshot pode ser restaurado a seu diretório de nível superior.

SmartDedupe Você pode restringir a redundância em um cluster executando o SmartDedupe. A desduplicação cria links que podem afetar a velocidade na qual você pode ler e gravar arquivos.

SmartPools O SmartPools permite que você crie vários pools de arquivos regidos por políticas de pools de arquivos. As políticas movem arquivos e diretórios entre pools de nós ou níveis. Você também pode definir como o OneFS lida com operações de gravação quando um pool de nós ou um nível está cheio.

CloudPools Desenvolvido com base no framework de políticas do SmartPools, o CloudPools permite o arquivamento de dados no armazenamento em nuvem, definindo a nuvem efetivamente como outro nível de armazenamento. O CloudPools oferece suporte ao Dell EMC Isilon, aoDell EMC ECS Appliance, ao Virtustream Storage Cloud, ao Amazon S3 e ao Microsoft Azure como provedores de armazenamento em nuvem.

SmartConnect Advanced

Se você ativar uma licença do SmartConnect Advanced, será possível balancear as políticas para distribuir, de maneira uniforme, o uso da CPU, as conexões de client ou o throughput. Você também pode configurar pools de endereços IP para dar suporte a várias zonas de DNS em uma sub-rede. Além disso, o SmartConnect aceita failover de IP, também conhecido como failover de NFS.

InsightIQ O dispositivo virtual InsightIQ monitora e analisa o desempenho de seu cluster do Isilon para ajudá-lo a otimizar os recursos de armazenamento e prever a capacidade.

SmartQuotas O módulo SmartQuotas rastreia o uso de disco com relatórios e impõe limites de armazenamento com alertas.

Isilon Swift O Isilon Swift é um gateway de armazenamento em object compatível com a API OpenStack Swift 1.0. Por meio do Isilon Swift, é possível acessar os dados existentes baseados em file armazenados em seu cluster do Dell EMC Isilon como objetos. A API do Swift é implementada como um conjunto de web services RESTful sobre HTTP ou HTTPS. Já que a API do Swift é considerada como um protocolo, o conteúdo e os metadados podem ser incluídos como objetos e acessados simultaneamente por meio de outros protocolos compatíveis com o Dell EMC Isilon.

NAS de scale-out da Isilon 29

Administração geral de clusterEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral da administração de cluster• Interfaces do usuário• Estabelecendo conexão com o cluster• Licenciamento• Certificados• Identidade dos clusters• Data e hora do cluster• Configurações de e-mail SMTP• Configurando o cluster de associação de cluster• Configurações do file system• Reforço da segurança• Monitoramento de cluster• Monitorando o hardware do cluster• Alertas e eventos• Manutenção e clusters• Suporte remoto

Visão geral da administração de clusterVocê pode gerenciar configurações gerais do OneFS e licenças de módulos do cluster do Isilon.

A administração geral do cluster abrange diversas áreas. É possível:

• Gerenciar configurações gerais como o nome do cluster, a data e a hora, e e-mail• Monitorar o status e o desempenho do cluster, inclusive componentes de hardware• Configurar o modo de tratamento dos eventos e notificações• Realizar a manutenção do cluster, como adição, remoção e reinício de nós

A maioria das tarefas de gerenciamento é realizada por meio da interface Web de administração ou pela interface de linha de comando, entretanto, você encontrará ocasionalmente uma tarefa que só poderá ser gerenciada por uma ou outra.

Interfaces do usuárioO OneFS oferece várias interfaces para gerenciamento dos clusters do Isilon.

Interface Descrição Comentário

Interface Web de administração do OneFS A interface Web de administração do OneFS baseada em navegador oferece acesso seguro com navegadores compatíveis com o OneFS. Use essa interface para visualizar sólidas exibições de monitoramento gráfico e para executar tarefas de gerenciamento de cluster.

A interface Web de administração do OneFS usa a porta 8080 como a porta padrão.

Interface de linha de comando do OneFS Execute os comandos isi do OneFS na interface de linha de comando para configurar, monitorar e gerenciar o cluster. O acesso à interface de linha de comando é

A interface de linha de comando do OneFS oferece um conjunto extenso de comandos padrão UNIX para o gerenciamento do cluster.

3

30 Administração geral de cluster

Interface Descrição Comentário

por meio de uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster.

API do OneFS A API (Application Programming Interface) do OneFS é dividida em duas áreas funcionais: uma área ativa a configuração em cluster, o gerenciamento e a funcionalidade de monitoramento, e a outra área permite operações em arquivos e diretórios do cluster. Você pode enviar solicitações à API do OneFS por meio de uma interface de REST (Representational State Transfer), que é acessado por meio do recurso URIs e métodos padrão de HTTP.

Você deve ter um entendimento sólido de HTTP/1.1 e experiência em elaborar software client baseado em HTTP para implementar o software client por meio da API do OneFS.

Painel frontal do nó Com a exceção dos nós do acelerador, o painel frontal de cada nó contém uma tela LCD com cinco botões, que você pode usar para monitorar os detalhes do nó e do cluster.

O status dos nós, os eventos, os detalhes do cluster, a capacidade e os endereços IP e MAC, o throughput e o status da unidade estão disponíveis pelo painel frontal dos nós.

Estabelecendo conexão com o clusterO acesso ao cluster do Isilon é concedido por meio da interface Web de administração ou por meio do SSH. Você pode usar uma conexão serial para executar tarefas de administração de cluster por meio da interface de linha de comando.

Você também pode acessar o cluster no painel frontal do nó para executar um subconjunto de tarefas de gerenciamento de cluster. Para obter informações sobre como estabelecer conexão com o painel frontal do nó, consulte a documentação de instalação do nó.

Fazer log-in na interface Web de administraçãoVocê pode monitorar e gerenciar seu cluster do Isilon na interface Web de administração baseada em navegador.

1. Abra uma janela do navegador e digite a URL de seu cluster no campo de endereço, substituindo <endereço IP de seu nó> de um dos seguintes exemplos pelo primeiro endereço IP que você especificou quando configurou ext-1:

IPv4 https://<yourNodeIPaddress>:8080IPv6 https://[<yourNodeIPaddress>]:8080

O sistema exibe uma mensagem se seus certificados de segurança não foram configurados. Resolva todas as configurações de certificado e continue para o site.

2. Faça log-in no OneFS digitando suas credenciais do OneFS nos campos Username e Password.

Depois de fazer log-in na interface Web de administração, há um timeout do log-in de 4 horas.

Abrir uma conexão SSH com um clusterVocê pode usar qualquer client SSH, como OpenSSH ou PuTTY, para se conectar a um cluster do Isilon.

Você deve ter credenciais válidas do OneFS para fazer log-in em um cluster depois que a conexão é aberta.

1. Abra uma conexão SSH (Secure Shell Protocol) segura com qualquer nó no cluster usando o endereço IP do nó e o número da porta 22.

2. Faça log-in com suas credenciais do OneFS.

No prompt de linha de comando do OneFS, é possível usar os comandos isi para monitorar e gerenciar seu cluster.

LicenciamentoTodos os produtos de hardware e software do Isilon devem ser licenciados por meio da Dell EMC Software Licensing Central (SLC).

Administração geral de cluster 31

Um registro de suas licenças ativas e do hardware de seu cluster está contido em um arquivo de licença armazenado em dois locais: uma cópia do arquivo de licença é armazenada no repositório da SLC e, a outra, em seu cluster. O arquivo de licença contém um registro dos seguintes tipos de licença:

• OneFS• Módulos adicionais de software

O arquivo de licença em seu cluster e o arquivo de licença no repositório da SLC devem corresponder a seu hardware e software instalados. Portanto, você deve enviar uma solicitação para atualizar seu arquivo de licença quando você:

• Fizer upgrade pela primeira vez para o OneFS 8.1 ou versão posterior• Adicionar um novo hardware ou fizer upgrade do hardware existente em seu cluster• Exigir a ativação de um módulo opcional de software

Para solicitar uma alteração em seu arquivo de licença, você deverá criar um arquivo que contenha uma lista atualizada de suas licenças necessárias de software e hardware e enviá-lo à Dell EMC Software Licensing Central (SLC). Você pode gerar o arquivo, conhecido como arquivo de ativação, em sua interface do OneFS.

As licenças serão criadas depois que você gerar um arquivo de ativação, enviá-lo à Dell EMC Software Licensing Central (SLC), receber um arquivo de licença da SLC e fizer upload do arquivo de licença em seu cluster.

Licenças de softwareSua licença do OneFS e as licenças dos módulos opcionais de software são incluídas no arquivo de licença de seu cluster e devem corresponder a seu registro de licenças no repositório da Dell EMC Software Licensing Central (SLC).

Você deve se certificar de que o arquivo de licença de seu cluster e que seu arquivo de licença no repositório da SLC correspondam a sua versão submetida a upgrade do OneFS.

Os recursos avançados de cluster estão disponíveis quando você ativa licenças para os seguintes módulos de software do OneFS:

• CloudPools• Reforço da segurança• HDFS• Isilon Swift• SmartConnect Advanced• SmartDedupe• SmartLock• SmartPools• SmartQuotas• SnapshotIQ• SyncIQ

Para obter mais informações sobre os módulos de software opcionais, entre em contato com o representante de vendas do Isilon.

Níveis de hardwareO arquivo de licença contém informações sobre o hardware Isilon instalado em seu cluster.

Os nós são listados por níveis em seu arquivo de licença. Eles são colocados em um nível de acordo com o nível de desempenho de computação, a capacidade e o tipo de unidade.

NOTA: Seu arquivo de licença conterá itens de linha para cada nó de seu cluster. No entanto, o hardware anterior à 6ª

geração não está incluído no modelo de licenciamento do OneFS.

Status da licençaO status de uma licença do OneFS indica se o arquivo de licença de seu cluster reflete sua versão atual do OneFS. O status da licença de um módulo do OneFS indica se a funcionalidade oferecida por um módulo está disponível no cluster.

As licenças existem em um dos seguintes estados:

32 Administração geral de cluster

Status Descrição

Unsigned A licença não foi atualizada na Dell EMC Software Licensing Central (SLC). Gere e envie um arquivo de ativação para atualizar seu arquivo de licença com a nova versão do OneFS.

Inativo A licença não foi ativada no cluster. Você não poderá acessar os recursos oferecidos pelo módulo correspondente.

Avaliação A licença foi ativada temporariamente no cluster. Você pode acessar os recursos oferecidos pelo módulo correspondente por 90 dias.

Ativada A licença foi ativada no cluster. Você pode acessar os recursos oferecidos pelo módulo correspondente.

Expired A licença expirou no cluster. Depois que a licença expirar, gere e envie um arquivo de ativação para atualizar seu arquivo de licença.

Exibir informações de licençaVocê pode visualizar informações sobre o status atual da licença do OneFS, do hardware e dos módulos opcionais de software do Isilon.

• Clique em Cluster Management > Licensing.

Você pode analisar informações sobre licenças, inclusive status e data de expiração.

Você pode localizar informações relacionadas às licenças do OneFS na área OneFS cluster license overview.

Você pode localizar informações relacionadas aos módulos opcionais de software na área Software licenses overview.• Você pode visualizar alertas ativos relacionados a suas licenças clicando em Alerts about licenses no canto superior da página

Cluster Management > Licensing.

Adicionando e removendo licençasVocê pode atualizar seu arquivo de licença gerando um arquivo de ativação, enviando o arquivo de ativação à Dell EMC Software Licensing Central (SLC) e, em seguida, fazendo upload de um arquivo de licença atualizado em seu cluster.

Você pode adicionar ou remover licenças de seu arquivo de licença enviando um arquivo de ativação à SLC.

Você deve atualizar seu arquivo de licença depois de:

• Adicionar ou remover hardware• Adicionar ou remover módulos opcionais de software

Gerar um arquivo de ativação de licençaPara atualizar o arquivo de licença, gere um arquivo de ativação de licença e envie-o à Dell EMC Software Licensing Central (SLC).

1. Clique em Cluster Management > Licensing.

2. Na área OneFS License Management, clique em Open Activation File Wizard.

3. Clique nas caixas de seleção ao lado dos módulos de software para selecionar ou desmarcar o conteúdo de seu arquivo de ativação.

Os módulos pré-selecionados são os que estão incluídos atualmente em seu arquivo de licença. Você pode desmarcar um módulo para remover a licença.

Para desfazer as alterações feitas na lista, clique em Revert changes na parte inferior da página.

4. Clique em Review Changes.

5. Analise as alterações que planeja fazer no arquivo de ativação.

A área Contents of activation file contém uma lista de todas as licenças que serão incluídas no arquivo de ativação.

Essa página também lista as licenças que você selecionou para remover do arquivo de ativação, bem como as licenças que você selecionou para adicionar.

6. Clique em Create file.

7. Analise todo o conteúdo do arquivo de ativação.

A licença do OneFS e um resumo dos níveis de hardware também serão exibidos nessa página de resumo.

8. Clique em Accept.

9. Clique em Download activation file.

Administração geral de cluster 33

Salve o arquivo de ativação na máquina local.

10. Clique em Complete process.Agora que você tem uma cópia do arquivo de ativação em sua máquina local, poderá enviar o arquivo à Dell EMC Software Licensing Central (SLC).

Enviar um arquivo de ativação de licença para SLCDepois de gerar um arquivo de ativação no OneFS, envie o arquivo de ativação à Dell EMC Software Licensing Central (SLC) para receber um arquivo de licença assinada para seu cluster.

Antes de enviar o arquivo de ativação à SLC, você deve gerar o arquivo de ativação por meio do OneFS e salvar o arquivo em sua máquina local.

1. Em seu sistema local e conectado à internet, acesse Dell EMC Software Licensing Central (SLC).

2. Faça log-in no sistema usando suas credenciais da Dell EMC.

3. Clique em ACTIVATE na parte superior da página.Um menu será exibido com duas opções: Activate e Activate by Fle.

4. Clique em Activate by FileA página Upload Activation File será exibida.

5. Confirme se o nome de sua empresa está listado ao lado da opção Company.

Se o nome da empresa não for exibido, clique em Select a Company e pesquise o nome e ID da empresa.

6. Clique em Upload.

7. Localize o arquivo de ativação em sua máquina local e clique em Open.

Esse é um arquivo XML. O arquivo foi gerado originalmente com o nome activation.xml, mas você pode tê-lo salvo com um nome diferente.

8. Clique no botão Start the Activation Process.A página Apply License Authorization Code (LAC) será exibida.

9. Na tabela Missing Product & Quantities Summary, confirme se há uma marca de verificação verde na coluna à extrema direita.Se não houver uma marca de verificação verde em alguma linha dessa coluna, você poderá pesquisar um LAC diferente clicando em Search e selecionando um LAC disponível diferente.

10. Clique no botão Next: Review.

11. Clique no botão Activate.Quando o arquivo de licença assinado estiver disponível, a SLC o enviará a você como um anexo de e-mail.

NOTA: Seu arquivo de licença assinado pode não ficar disponível imediatamente.

O arquivo de licença assinada é um arquivo XML com um nome no seguinte formato:

ISLN_nnn_date.xml

Por exemplo: ISLN_15002_13-Feb-2019.xml12. Faça download do arquivo de licença assinada em sua máquina local, em um diretório onde você possa localizá-lo para o próximo

procedimento. Por exemplo, salve-o em /ifs em sua máquina local.

Fazer upload do arquivo de licença atualizadoDepois de receber um arquivo de licença atualizado da Dell EMC Software Licensing Central (SLC), faça upload do arquivo atualizado no cluster.

1. Clique em Cluster Management > Licensing.

2. Na área Upload and activate a signed license file, clique em Browse e selecione seu arquivo de licença assinada.

3. Clique em Upload and Activate.

Ativando licenças de versão de avaliaçãoVocê pode ativar uma licença de versão de avaliação que permite que você avalie um módulo opcional de software por 90 dias.

Ativar uma licença de versão de avaliaçãoVocê pode ativar uma licença de versão de avaliação para avaliar um módulo de software do OneFS por 90 dias.

1. Clique em Cluster Management > Licensing.

34 Administração geral de cluster

2. Na área Manage trial versions of software modules, clique em Manage Trials.

3. Clique na caixa de seleção ao lado dos módulos de software que deseja avaliar.

4. Clique em Start Trial.

CertificadosToda a comunicação de APIs do OneFS, que inclui a comunicação feita pela interface Web de administração, é realizada pelo Transport Layer Security (TLS). Você pode renovar o certificado TLS da interface Web de administração do OneFS ou substituí-lo por um certificado TLS de terceiros.

Para substituir ou renovar um certificado de TLS, você deve fazer log-in como raiz.

NOTA: OneFS assume como padrão a melhor versão compatível do TLS em relação à solicitação do client.

Substituir ou renovar o certificado de TLSO certificado de TLS (Transport Layer Security, segurança de camada de transporte) é usado para acessar o cluster por meio de um navegador. Inicialmente, o cluster contém um certificado autoassinado para essa finalidade. Você pode continuar usando o certificado autoassinado existente ou pode substituí-lo por um certificado emitido por uma CA (Certificate Authority, autoridade de certificação) de terceiros.

Se você continuar usando o certificado autoassinado, deverá substituí-lo quando ele expirar por:

• Um certificado emitido por uma CA (pública ou privada) de terceiros• Outro certificado autoassinado que é gerado no cluster

As pastas a seguir são os locais padrão dos arquivos server.crt e server.key.

• Certificado de TLS: /usr/local/apache2/conf/ssl.crt/server.crt• Chave do certificado de TLS: /usr/local/apache2/conf/ssl.key/server.key

Substituir o certificado de TLS por um certificado emitido por uma CA de terceirosEste procedimento descreve como substituir o certificado de TLS existente por um certificado de TLS emitido por uma CA (Certificate Authority, autoridade de certificação) pública ou privada de terceiros.

Quando você solicita um certificado de TLS de uma autoridade de certificação, deve apresentar informações sobre sua organização. É uma boa ideia determinar essas informações com antecedência, antes de iniciar o processo. Consulte a seção Exemplo de dados do certificado de TLS deste capítulo para obter detalhes e exemplos das informações necessárias.

NOTA: Este procedimento requer que você reinicie o serviço isi_webui, que reinicia a interface Web de administração.

Portanto, recomenda-se que você siga essas etapas durante uma janela de manutenção agendada.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in como root.

2. Crie um diretório de backup executando o seguinte comando:

mkdir /ifs/data/backup/

3. Defina as permissões do diretório de backup como 700:

chmod 700 /ifs/data/backup

4. Faça cópias de backup dos arquivos server.crt e server.key existentes executando os dois seguintes comandos:

cp /usr/local/apache2/conf/ssl.crt/server.crt \/ifs/data/backup/server.crt.bak

cp /usr/local/apache2/conf/ssl.key/server.key \/ifs/data/backup/server.crt.bak

NOTA: Se houver arquivos com os mesmos nomes no diretório de backup, sobregrave os arquivos existentes ou, para

salvar os backups antigos, renomeie os novos arquivos com um registro de data e hora ou outro identificador.

Administração geral de cluster 35

5. Crie um diretório de trabalho para armazenar os arquivos enquanto conclui este procedimento:

mkdir /ifs/local

6. Defina as permissões do diretório de trabalho como 700:

chmod 700 /ifs/local

7. Mude para o diretório de trabalho:

cd /ifs/local

8. Gere uma nova CSR (Certificate Signing Request, solicitação de assinatura de certificado) e uma nova chave executando o comando a seguir, onde <commom-name> é um nome atribuído por você. Esse nome identifica os novos arquivos .key e .csr enquanto você está trabalhando com eles nesse procedimento. Eventualmente, você renomeará os arquivos e os copiará de volta no local padrão e excluirá os arquivos com o <common-name>. Embora você possa escolher qualquer nome para <common-name>, recomendamos que use o nome que planeja informar como o nome comum do novo certificado de TLS (por exemplo, o FQDN do servidor ou o nome do servidor, como isilon.example.com). Isso permite que você diferencie os novos arquivos dos arquivos originais.

openssl req -new -nodes -newkey rsa:1024 -keyout \<common-name>.key -out <common-name>.csr

9. Quando solicitado, digite as informações que serão incorporadas à solicitação de certificado.Quando terminar de digitar as informações, os arquivos <common-name>.csr e <common-name>.key serão exibidos no diretório /ifs/local.

10. Envie o conteúdo do arquivo <common-name>.csr do cluster à CA para assinatura.

11. Quando você receber o certificado assinado (agora um arquivo .crt) da CA, copie o certificado em /ifs/local/<common-name>.crt (onde<common-name> é o nome que você atribuiu anteriormente).

12. Opcional: Para verificar os atributos do certificado de TLS, execute o seguinte comando, onde <common-name> é o nome que você atribuiu anteriormente:

openssl x509 -text -noout -in <common-name>.crt

13. Execute os cinco comandos a seguir para instalar o certificado e a chave e reinicie o serviço isi_webui. Nos comandos, substitua <common-name> pelo nome que você atribuiu anteriormente.

isi services -a isi_webui disable

chmod 640 <common name>.key

isi_for_array -s 'cp /ifs/local/<common-name>.key \/usr/local/apache2/conf/ssl.key/server.key'

isi_for_array -s 'cp /ifs/local/<common-name>.crt \/usr/local/apache2/conf/ssl.crt/server.crt'

isi services -a isi_webui enable

14. Verifique se a instalação foi bem-sucedida. Para obter instruções, consulte a seção Verificar uma atualização do certificado de TLS deste guia.

15. Exclua os arquivos de trabalho temporários do diretório /ifs/local:

rm /ifs/local/<common-name>.csr \/ifs/local/<common-name>.key /ifs/local/<common-name>.crt

16. (Opcional) Exclua os arquivos de backup do diretório /ifs/data/backup:

rm /ifs/data/backup/server.crt.bak \/ifs/data/backup/server.key.bak

36 Administração geral de cluster

Renovar o certificado de TLS autoassinadoEste procedimento descreve como substituir um certificado expirado de TLS autoassinado gerando um novo certificado baseado na chave de servidor (de estoque) existente.

Quando você gera um certificado autoassinado, precisa apresentar informações sobre sua organização. É uma boa ideia determinar essas informações com antecedência, antes de iniciar o processo. Consulte a seção Exemplo de dados do certificado de TLS deste capítulo para obter detalhes e exemplos das informações necessárias.

NOTA: Este procedimento requer que você reinicie o serviço isi_webui, que reinicia a interface Web de administração.

Portanto, recomenda-se que você siga essas etapas durante uma janela de manutenção agendada.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in como root.

2. Crie um diretório de backup executando o seguinte comando:

mkdir /ifs/data/backup/

3. Defina as permissões do diretório de backup como 700:

chmod 700 /ifs/data/backup

4. Faça cópias de backup dos arquivos server.crt e server.key existentes executando os dois seguintes comandos:

cp /usr/local/apache2/conf/ssl.crt/server.crt \/ifs/data/backup.bak

cp /usr/local/apache2/conf/ssl.key/server.key \/ifs/data/backup.bak

NOTA: Se houver arquivos com os mesmos nomes no diretório de backup, sobregrave os arquivos existentes ou, para

salvar os backups antigos, renomeie os novos arquivos com um registro de data e hora ou outro identificador.

5. Crie um diretório de trabalho para armazenar os arquivos enquanto conclui este procedimento:

mkdir /ifs/local/

6. Defina as permissões do diretório de trabalho como 700:

chmod 700 /ifs/local

7. Mude para o diretório de trabalho:

cd /ifs/local/

8. No prompt de comando, execute os dois comandos a seguir para criar um certificado que expirará em 2 anos (730 dias). Aumente ou reduza o valor de -days para gerar um certificado com uma data de expiração diferente.

cp /usr/local/apache2/conf/ssl.key/server.key ./

openssl req -new -days 730 -nodes -x509 -key \server.key -out server.crt

NOTA: o valor -x509 é um formato de certificado.

9. Quando solicitado, digite as informações que serão incorporadas à solicitação de certificado.Quando terminar de apresentar as informações, um certificado de renovação será criado com base na chave do servidor (de estoque) existente. O certificado de renovação se chama server.crt e é exibido no diretório /ifs/local.

10. Opcional: Para verificar os atributos do certificado de TLS, execute o seguinte comando:

openssl x509 -text -noout -in server.crt

Administração geral de cluster 37

11. Execute os cinco seguintes comandos para instalar o certificado e a chave e reiniciar o serviço isi_webui:

isi services -a isi_webui disable

chmod 640 server.key

isi_for_array -s 'cp /ifs/local/server.key \/usr/local/apache2/conf/ssl.key/server.key'

isi_for_array -s 'cp /ifs/local/server.crt \/usr/local/apache2/conf/ssl.crt/server.crt'

isi services -a isi_webui enable

12. Verifique se a instalação foi bem-sucedida. Para obter instruções, consulte a seção Verificar uma atualização do certificado de TLS deste guia.

13. Exclua os arquivos de trabalho temporários do diretório /ifs/local:

rm /ifs/local/<common-name>.csr \/ifs/local/<common-name>.key /ifs/local/<common-name>.crt

14. (Opcional) Exclua os arquivos de backup do diretório /ifs/data/backup:

rm /ifs/data/backup/server.crt.bak \/ifs/data/backup/server.key.bak

Verificar uma atualização de certificado TLSVocê pode verificar os detalhes armazenados em um certificado Transporte Layer Security (TLS).

1. Abra uma janela do navegador da Web.

2. Acesse https://<common name>:8080, em que <common name> é o nome do host da interface Web de administração do OneFS, como isilon.example.com.

3. Nos detalhes de segurança da página da Web, verifique se o emissor, as datas de validade e o assunto estão corretos.

NOTA: As etapas para exibir detalhes de segurança variam de acordo com o navegador. Por exemplo, em alguns

navegadores, você pode clicar no ícone de cadeado na barra de endereços para visualizar os detalhes de segurança.

Siga as etapas específicas para o navegador.

Exemplo de dados do certificado de TLSA renovação ou substituição de um certificado de TLS exige que você apresente dados, como o nome do domínio completo e um endereço de e-mail para contato.

Ao renovar ou substituir um certificado de TLS, você deverá informar dados no formato exibido no seguinte exemplo:

You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:WashingtonLocality Name (eg, city) []:SeattleOrganization Name (eg, company) [Internet Widgits Pty Ltd]:CompanyOrganizational Unit Name (eg, section) []:System AdministrationCommon Name (e.g. server FQDN or YOUR name) []:localhost.example.orgEmail Address []:support@example.com

38 Administração geral de cluster

Além disso, se você estiver solicitando um certificado emitido por uma CA de terceiros, deverá incluir os atributos adicionais que são exibidos no seguinte exemplo:

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:passwordAn optional company name []:Another Name

Identidade dos clustersVocê pode especificar os atributos de identidade de um cluster do Isilon.

Nome do cluster O nome do cluster é exibido na página de log-in e torna o cluster e seus nós mais facilmente reconhecíveis em sua rede. Cada nó do cluster é identificado pelo nome do cluster e pelo número do nó. Por exemplo, o primeiro nó de um cluster chamado Images pode ser chamado de Images-1.

Descrição do cluster

A descrição do cluster é exibida abaixo do nome do cluster na página de log-in. Ela é útil caso seu ambiente tenha vários clusters.

Mensagem de log-in

A mensagem de log-in é exibida como uma caixa separada na página de log-in da interface Web de administração do OneFS ou como uma linha de texto sob o nome do cluster na interface de linha de comando do OneFS. Ela pode transmitir informações sobre o cluster, instruções de log-in ou advertências que um usuário deve saber antes de fazer log-in no cluster. Defina essas informações na página Cluster Identity da interface Web de administração do OneFS

Definir o nome do cluster e as informações de contatoVocê pode especificar um nome, uma descrição, uma mensagem de log-in e informações de contato para seu cluster do Isilon.

Os nomes dos clusters devem iniciar com uma letra e podem conter somente letras, números e hífens. Se o cluster for associado a um domínio do Active Directory, o nome do cluster deverá ter até 11 caracteres.

1. Cliquem em Cluster Management > General Settings > Cluster Identity.

2. Opcional: Na área Cluster Identity, digite um nome para o cluster no campo Cluster Name e uma descrição no campo Cluster Description.

3. Opcional: Na área Login Message, digite um título no campo Message Title e uma mensagem no campo Message Body.

4. Na área Contact Information, digite o nome e o local de sua empresa.

5. Na área Primary Administrator Information, digite o nome, os números de telefone e o endereço de e-mail do administrador principal do cluster do OneFS.

6. Na área Secondary Administrator Information, digite o nome, os números de telefone e o endereço de e-mail do administrador secundário do cluster do OneFS.

7. Clique em Save Changes.

É necessário adicionar o nome do cluster aos servidores DNS.

Data e hora do clusterO serviço NTP (Network Time Protocol) pode ser configurado manualmente, para que você possa garantir que todos os nós de um cluster sejam sincronizados com a mesma fonte de horário.

O método NTP sincroniza automaticamente as configurações de data e hora do cluster por meio de um servidor NTP. Você também pode definir manualmente a data e a hora informadas pelo cluster, configurando o serviço.

Os domínios Windows fornecem um mecanismo para sincronizar membros do domínio com um relógio master em execução nos controladores de domínio, de maneira que o OneFS defina a hora do cluster de acordo com a hora do Active Directory com um serviço. Se não houver servidores NTP externos configurados, o OneFS usará o controlador de domínio do Windows como o servidor de horário NTP. Quando o tempo de cluster e domínio ficarem fora de sincronia em mais de 4 minutos, o OneFS gerenciará uma notificação de eventos.

NOTA: Se o cluster e o Active Directory ficarem fora de sincronização em mais de 5 minutos, a autenticação não

funcionará.

Administração geral de cluster 39

Definir a data e a hora do clusterVocê pode configurar a data, a hora e o fuso horário que são utilizados pelo cluster do Isilon.

1. Clique em Cluster Management > General Settings > Date & Time.A página Date and Time exibe uma lista das configurações de endereço IP e de data e hora de cada nó.

2. Na lista Date and time, selecione as configurações de mês, data, ano, hora e minuto.

3. Na lista Time Zone, selecione um valor.

Se o fuso horário que você deseja não estiver na lista, selecione Advanced na lista Time zone e, em seguida, selecione o fuso horário na lista Advanced time zone.

4. Clique em Submit.

Especificar um servidor de horário NTPVocê pode especificar um ou mais servidores Network Time Protocol (NTP) para sincronizar o horário do sistema no cluster do Isilon. O cluster entra em contato periodicamente com os servidores NTP e configura a data e a hora com base nas informações que recebe.

1. Clique em Cluster Management > General Settings > NTP.

2. Na área NTP Servers, informe o endereço IPv4 ou IPv6 de um ou mais servidores NTP. Se quiser usar um arquivo de chave, digite os números da chave no campo ao lado do endereço IP do servidor.

Clique em Add Another NTP Server se estiver especificando vários servidores.

3. Opcional: Se estiver usando um arquivo de chave para o servidor NTP, digite o caminho desse arquivo no campo Path to Key File.

4. Na área Chimer Settings, especifique o número de nós chimer que entram em contato com os servidores NTP (o padrão é 3).

5. Para excluir um nó de chiming, digite seu número lógico de nó (LNN) no campo Nodes Excluded from Chiming.

6. Clique em Save Changes.

Configurações de e-mail SMTPSe o ambiente de rede exigir o uso de um servidor SMTP ou se você quiser rotear as notificações de eventos do cluster do Isilon com SMTP por uma porta, será possível definir as configurações de e-mail SMTP.

As configurações de SMTP incluem o endereço de SMTP relay e o número da porta pela qual o e-mail será roteado. Você pode especificar um e-mail de origem e uma linha de assunto para todos os e-mails de notificação de eventos enviados do cluster.

Se seu servidor SMTP estiver configurado para dar suporte à autenticação, você poderá especificar um nome de usuário e uma senha. Também é possível especificar se deverá ser aplicada criptografia à conexão.

Definir configurações de e-mail SMTPVocê pode enviar notificações de eventos por meio de um servidor de e-mail SMTP. Também será possível habilitar a autenticação de SMTP se seu servidor SMTP estiver configurado para dar suporte a esse recurso.

1. Clique em Cluster Management > General Settings > Email Settings.

2. Na área SMTP Settings, no campo SMTP relay address, digite o endereço IPv4 ou IPv6 ou o nome do domínio completo do SMTP relay.

3. No campo SMTP relay port, digite o número da porta.

O número da porta padrão é 25.

4. Clique na caixa de seleção Use SMTP Authentication para exigir a autenticação SMTP.Os campos nos quais você pode digitar o nome de usuário de autenticação e a senha serão exibidos, bem como os botões de opção referentes à segurança de camada de transporte. Avance para a etapa 7 caso não queira usar a autenticação SMTP.

5. Insira o nome de usuário e a senha de autenticação e confirme a senha.

6. Especifique a segurança da conexão. O padrão é não haver segurança. Selecione STARTTLS se quiser usar uma conexão criptografada por TLS.

7. Na área Event Notification Settings, digite o endereço de e-mail de origem que será exibido na linha To do e-mail no campo Send email as.

8. No campo Subject, digite o texto que será exibido na linha de assunto do e-mail.

9. Se quiser enviar e-mails de notificação de eventos em lote, selecione uma opção no menu drop-down Notification Batch Mode. O padrão é No batching.

40 Administração geral de cluster

10. No menu drop-down Default Email Template, selecione se usará o modelo padrão fornecido com o OneFS ou um modelo personalizado. Se selecionar um modelo personalizado, o campo Custom Template Location será exibido. Digite um nome de caminho para o modelo.

11. Clique em Save Changes.Você pode testar a configuração enviando uma notificação de evento de teste.

Configurando o cluster de associação de clusterO modo de associação ao cluster especifica a forma como um nó é adicionado ao cluster do Isilon e se a autenticação é necessária. O OneFS oferece suporte aos modos de associação segura e manual para adicionar nós ao cluster.

Modo Descrição

Manual Permite adicionar manualmente um nó ao cluster sem necessidade de autorização.

Seguro Requer a autorização de cada nó adicionado ao cluster e o nó deve ser adicionado por meio da interface Web de administração ou pelo comando isi devices -a add -d <unconfigured_node_serial_no> na interface de linha de comando.

NOTA: Se você especificar um modo de associação segura, não poderá associar a um nó ao cluster por meio da opção [2] Join an existing cluster do

assistente do console serial.

Especificar o modo de associação do clusterVocê pode especificar um modo de associação que determine como os nós são adicionados ao cluster do Isilon.

1. Clique em Cluster Management > General Settings > Join Mode.

2. Na área Settings, selecione o modo que determinará como os nós poderão ser adicionados ao cluster.

Opção Descrição

Manual É possível iniciar manualmente as associações.

Seguro É possível iniciar as associações somente pelo cluster e exige autenticação.

3. Clique em Submit.

Configurações do file systemVocê pode definir as configurações globais de file system de um cluster do Isilon relacionadas ao monitoramento do tempo de acesso e à codificação de caracteres.

É possível ativar ou desativar o rastreamento do tempo de acesso, que monitora o tempo de acesso em cada arquivo. Se necessário, também é possível alterar a codificação padrão de caracteres do cluster.

Ativar ou desativar o rastreamento do horário de acessoVocê pode ativar o rastreamento do horário de acesso para dar suporte a recursos que o exijam.

Por padrão, o cluster do Isilon não monitora o registro de data e hora em que os arquivos são acessados. Você pode ativar esse recurso para dar suporte aos recursos do OneFS que o utilizam. Por exemplo, o rastreamento do horário de acesso deve ser habilitado para configurar os critérios da política do SyncIQ que combinam os arquivos com base no horário em que foram acessados pela última vez.

NOTA: A ativação do rastreamento do horário de acesso pode afetar o desempenho do cluster.

1. Clique em File System Management > File System Settings > Access Time Tracking.

2. Na área Access Time Tracking, clique na caixa de seleção Enable access time tracking para monitorar os registros de data e hora de acesso aos arquivos. Este recurso está desativado por predefinição.

Administração geral de cluster 41

3. Nos campos Precision, especifique a frequência na qual o horário do último acesso será atualizado digitando um valor numérico e selecionando uma unidade de medida, como segundos, minutos, horas, dias, semanas, meses ou anos.

Por exemplo, se você definir uma configuração Precision como 1 dia, o cluster atualizará o horário do último acesso uma vez por dia, mesmo se alguns arquivos foram acessados mais de uma vez por dia.

4. Clique em Save Changes.

Especificar a codificação de caracteres do clusterVocê pode modificar a codificação de caracteres definida para o cluster do Isilon após a instalação.

Somente os conjuntos de caracteres compatíveis com o OneFS estão disponíveis para seleção. UTF-8 é o conjunto de caracteres padrão para nós do OneFS.

NOTA: Se a codificação do cluster não estiver configurada como UTF-8, os nomes de compartilhamento de SMB

diferenciarão maiúsculas de minúsculas.

Você deve reiniciar o cluster para aplicar as alterações de codificação de caracteres.

CUIDADO: Geralmente, a codificação de caracteres é estabelecida durante a instalação do cluster. Caso seja feita

incorretamente, a modificação da configuração de codificação de caracteres após a instalação pode tornar os arquivos

ilegíveis. Modifique configurações somente se necessário após consultar o Isilon Technical Support.

1. Clique em File System Management > File System Settings > Character Encoding.

2. Opcional: Na lista Character encoding, selecione o conjunto de codificação de caracteres que deseja usar.

3. Clique em Save Changes e em Yes para confirmar se a alteração na codificação entrará em vigor após o reinício do cluster.

4. Reinicie o cluster.

Após o reinício do cluster, a interface Web de administração do OneFS refletirá a alteração.

Reforço da segurançaO reforço da segurança é o processo de configurar um sistema para reduzir ou eliminar o máximo possível de riscos de segurança.

Quando você aplicar um perfil de reforço a um cluster do Isilon, o OneFS lerá o arquivo do perfil de segurança e aplicará a configuração definida no perfil ao cluster. Se necessário, o OneFS identificará problemas de configuração que impedem o reforço dos nós. Por exemplo, as permissões de arquivo de um diretório específico podem não estar configuradas de acordo com o valor esperado ou os diretórios necessários podem estar ausentes. Quando um problema for identificado, você poderá escolher permitir que o OneFS resolva o problema ou postergar a resolução e corrigir o problema manualmente.

NOTA: A intenção do perfil de reforço é dar suporte aos STIGs (Security Technical Implementation Guides, guias de

implementação técnica de segurança) definidos pela DISA (Defense Information Systems Agency) e aplicáveis ao

OneFS. Atualmente, o perfil de reforço dá suporte apenas a um subconjunto dos requisitos definidos pela DISA nos

STIGs. O perfil de reforço deve ser usado principalmente nas contas federais.

Se você determinar que a configuração de reforço não seja ideal para seu sistema, o OneFS permitirá a inversão do perfil de reforço de segurança. A inversão de um perfil de reforço devolverá o OneFS à configuração que foi realizada pela resolução de problemas antes do reforço, se houver.

Você deve ter uma licença ativa de reforço de segurança e ter feito log-in no cluster do Isilon como o usuário root para aplicar o reforço ao OneFS. Para obter uma licença, entre em contato com um representante de vendas do Isilon.

Perfil de reforço STIGO perfil STIG (Security Technical Implementation Guide) do OneFS contém um subconjunto dos requisitos de configuração definidos pelo Departamento de Defesa e é projetado para clusters do Isilon que dão suporte a contas do Governo Federal. Um cluster do Isilon instalado com um perfil STIG depende de o ecossistema adjacente também estar seguro.

Depois que você aplicar o perfil de STIG (Security Technical Implementation Guide) do OneFS, a configuração do OneFS será modificada para tornar o cluster do Isilon mais seguro e dar suporte a alguns dos controles que são definidos pelos STIGs da DISA. Alguns exemplos das várias alterações do sistema são apresentados a seguir:

• Depois que você fizer log-in por meio do SSH ou da interface Web, o sistema exibirá uma mensagem que diz que você está acessando um Sistema de Informações do Governo dos EUA e exibirá os termos e condições do uso do sistema.

• Em cada nó, o SSH e a interface Web apenas farão o monitoramento do endereço IP externo do nó.

42 Administração geral de cluster

• Os requisitos de complexidade das senhas das contas de usuários locais aumentarão. As senhas devem ter no mínimo 14 caracteres e conter pelo menos um de cada dos seguintes tipos de caracteres: numérico, letra maiúscula, letra minúscula, símbolo.

• O SSH raiz será desabilitado. Você pode fazer log-in como raiz somente por meio da interface Web ou de uma sessão de console serial.

Aplicar um perfil de reforço de segurançaÉ possível aplicar o perfil de STIG (Security Technical Implementation Guide) do OneFS ao cluster do Isilon.

O reforço de segurança exige privilégios root e pode ser realizado somente na interface de linha de comando.

Assim que o reforço for aplicado com sucesso ao cluster, o SSH root não é permitido em um cluster reforçado. Para fazer log-in como o usuário root em um cluster reforçado, você deverá se conectar por meio da interface Web ou de uma sessão de console serial.

É necessário ter uma licença ativa de reforço de segurança para aplicar um perfil de reforço ao OneFS. Para obter uma licença, entre em contato com um representante de vendas do Isilon.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in como root.

2. Execute o comando isi hardening apply.O comando a seguir direciona o OneFS a aplicar o perfil de reforço ao cluster do Isilon.

isi hardening apply --profile=STIG

NOTA: STIG é uma tag, não um arquivo.

O OneFS verificará se o sistema contém algum problema de configuração que deva ser resolvido antes de aplicar o reforço.

• Se o OneFS não identificar nenhum problema, o perfil de reforço será aplicado.• Se o OneFS identificar problemas, o sistema exibirá um resultado semelhante ao do seguinte exemplo:

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-21: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:

3. Resolva todos os problemas de configuração. No prompt Do you want to resolve the issue(s)?[Y/N], escolha uma das seguintes ações:

• Para permitir que OneFS resolva todos os problemas, digite Y. O OneFS corrigirá os problemas e, em seguida, aplicará o perfil de reforço.

• Para adiar a resolução e corrigir todos os problemas encontrados manualmente, digite N. Depois de corrigir todos os problemas adiados, execute o comando isi hardening apply novamente.

NOTA: Se o OneFS identificar um problema que seja considerado catastrófico, o sistema solicitará que você o resolva

manualmente. O OneFS não pode resolver um problema catastrófico.

Inverter um perfil de reforço de segurançaÉ possível inverter um perfil de reforço que foi aplicado ao cluster do Isilon.

A inversão do reforço de segurança exige privilégios root e pode ser realizada somente na interface de linha de comando. Para fazer log-in como o usuário root em um cluster reforçado, você deve se conectar por meio de uma sessão de console serial. O SSH de root não é permitido em um cluster reforçado.

Você deve ter uma licença ativa de reforço de segurança para inverter um perfil de reforço do OneFS. Para obter uma licença, entre em contato com um representante de vendas do Isilon.

1. Abra uma sessão de console serial em qualquer nó do cluster e faça log-in como root.

Administração geral de cluster 43

2. Execute o comando isi hardening revert.O OneFS verificará se o sistema está em um estado esperado.

• Se o OneFS não identificar nenhum problema, o perfil de reforço será invertido.• Se o OneFS identificar qualquer problema, o sistema exibirá um resultado semelhante ao do seguinte exemplo:

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-21: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:

3. Resolva todos os problemas de configuração. No prompt Do you want to resolve the issue(s)?[Y/N], escolha uma das seguintes ações:

• Para permitir que OneFS resolva todos os problemas, digite Y. O OneFS define as configurações afetadas para o estado esperado e, em seguida, inverte o perfil de reforço.

• Para adiar a resolução e corrigir todos os problemas encontrados manualmente, digite N. O OneFS interromperá o processo de inversão até que todos os problemas sejam corrigidos. Depois de corrigir todos os problemas adiados, execute o comando isi hardening revert novamente.

NOTA: Se o OneFS identificar um problema que seja considerado catastrófico, o sistema solicitará que você o resolva

manualmente. O OneFS não pode resolver um problema catastrófico.

Exibir o status do reforço de segurançaVocê pode visualizar o status do reforço de segurança do cluster do Isilon e de cada nó do cluster. Um cluster não será considerado reforçado até que todos os seus nós sejam reforçados. Durante o processo de reforço, se o OneFS identificar problemas que devam ser resolvidos manualmente ou se você postergar os problemas para resolvê-los manualmente, os nós em que os problemas ocorreram não serão reforçados até que os problemas sejam resolvidos e que o perfil de reforço seja aplicado com sucesso. Se precisar de ajuda para resolver esses problemas, entre em contato com o suporte técnico do Isilon.

A exibição do status do reforço de segurança do cluster exige privilégios root e pode ser realizada somente na interface de linha de comando. Para fazer log-in como o usuário root em um cluster reforçado, você deve se conectar por meio de uma sessão de console serial. O SSH de root não é permitido em um cluster reforçado.

Você não precisa de uma licença de reforço de segurança para exibir o status do reforço do cluster.

1. Abra uma sessão de console em qualquer nó do cluster e faça log-in como root.

2. Execute o comando isi hardening status para visualizar o status do reforço de segurança do cluster do Isilon e de todos os nós.

O sistema exibe resultados semelhantes aos do seguinte exemplo:

Cluster Name: test-clusterHardening Status: Not HardenedProfile: STIGNode status:test-cluster-1: Disabledtest-cluster-2: Enabledtest-cluster-3: Enabled

Monitoramento de clusterVocê pode monitorar a integridade, o desempenho e o status do cluster do Isilon.

Usando o painel de indicadores do OneFS na interface Web de administração, você pode monitorar o status e a integridade do sistema OneFS. As informações estão disponíveis para nós individuais, inclusive o tráfego de rede de nós específicos, as interfaces de rede internas e externas e detalhes sobre pools de nós, níveis e a integridade geral do cluster. É possível monitorar as seguintes áreas de integridade e desempenho do cluster do Isilon:

44 Administração geral de cluster

Node status Estatísticas de desempenho e integridade de cada nó do cluster, inclusive o uso de HDDs e SSDs.

Client connections Número de clients conectados por nó.

New events Lista de notificações gerados pelos eventos do sistema, inclusive a severidade, o ID de instância exclusivo, a hora de início, a mensagem de alerta e o escopo do evento.

Cluster size Exibição Current: espaço usado e disponível de HDDs e SSDs e espaço reservado para o hot spare virtual (VHS).

Exibição Historical: espaço total utilizado e o tamanho do cluster pelo período de um ano.

Cluster throughput (file system)

Exibição Current: volume médio do tráfego de entrada e saída que passou pelos nós do cluster na última hora.

Exibição Historical: volume médio do tráfego de entrada e saída que passou pelos nós do cluster nas duas últimas semanas.

CPU usage Exibição Current: porcentagens média e total de uso da CPU pelo sistema e pelos usuários na última hora.

Exibição Historical: uso da CPU nas duas últimas semanas.

Monitorar o clusterVocê pode monitorar a integridade e o desempenho de um cluster do Isilon com gráficos e tabelas que mostram o status e o desempenho dos nós, conexões de client, eventos, tamanho do cluster, throughput do cluster e uso da CPU.

1. Clique em Dashboard > Cluster Overview > Cluster Status.

2. Opcional: Visualize os detalhes do cluster.

• Status: para visualizar os detalhes de um nó, clique no número de ID.• Client connection summary: para visualizar uma lista das conexões atuais, clique em Dashboard > Cluster Overview > Client

Connections .• New events: para visualizar mais informações sobre um evento, clique em View details na coluna Actions.• Cluster size: para alternar entre exibições atual e histórica, clique em Historical ou Current ao lado do título da seção Monitoring.

Na exibição histórica, clique em Used ou Cluster size para alterar a exibição corretamente.• Cluster throughput (file system): para alternar entre as exibições atual e histórica, clique em Historical ou Current ao lado do

título da seção Monitoring. Para visualizar estatísticas de throughput de um período específico nas duas últimas semanas, clique em Dashboard > Cluster Overview > Throughput Distribution.

NOTA: Você pode ocultar ou mostrar o throughput de entrada ou saída clicando em Inbound ou Outbound na

legenda do gráfico. Para exibir o throughput máximo, ao lado de Show, selecione Maximum.

• CPU usage: para alternar entre exibições atual e histórica, clique em Historical ou Current ao lado do título da seção Monitoring.

NOTA:

Você pode ocultar ou mostrar uma representação clicando em System, User ou Total na legenda do gráfico. Para

exibir o uso máximo, ao lado de Show, selecione Maximum.

Exibir o status do nóVocê pode visualizar o status atual e histórico de um nó.

1. Clique em Dashboard > Cluster Overview > Cluster Status.

2. Opcional: Na área Status, clique no número de ID do nó cujo status você deseja visualizar.

3. Veja os detalhes do nó.

• Status: Para exibir configurações de rede para uma interface de nó, uma sub-rede ou um pool, clique no link na área Status.• Conexões de client: para exibir os clients atuais conectados a esse nó, analise a lista nessa área.• Status do chassi e dos drives: para exibir o estado dos drives desse nó, analise essa área. Para visualizar os detalhes de um drive,

clique no link do nome do drive; por exemplo, Bay1.• Tamanho dos nós: para alternar entre exibições atuais e históricas, clique em Historical ou Current ao lado do título da área

Monitoring. Na exibição de histórico, clique em Used ou Cluster size para alterar a exibição corretamente.• Throughput de nó (file system): para alternar entre exibições atuais e históricas, clique em Historical ou Current ao lado do título

da área Monitoring. Para exibir estatísticas de throughput de um período nas duas últimas semanas, clique em Dashboard > Cluster Overview > Throughput Distribution.

NOTA: Você pode ocultar ou mostrar o throughput de entrada ou saída clicando em Inbound ou Outbound na

legenda do gráfico. Para exibir o throughput máximo, ao lado de Show, selecione Maximum.

Administração geral de cluster 45

• Utilização da CPU: para alternar entre exibições atuais e históricas, clique em Historical ou Current ao lado do título da área Monitoring.

NOTA: Você pode ocultar ou mostrar uma representação clicando em System, User ou Total na legenda do

gráfico. Para exibir o uso máximo, ao lado de Show, selecione Maximum.

Monitorando o hardware do clusterVocê pode verificar manualmente o status do hardware no cluster do Isilon e ativar o SNMP para monitorar componentes remotamente.

Exibir o status do hardware do nóVocê pode visualizar o status do hardware de um nó.

1. Clique em Dashboard > Cluster Overview > Cluster Status.

2. Opcional: Na área Status, clique no número de ID de um nó.

3. Na área Chassis and drive status, clique em Platform.

Estados do chassi e da unidadeVocê pode exibir os detalhes dos estados do chassi e da unidade.

Em um cluster, a combinação de nós em diferentes estados degradados determina se as solicitações de leitura, de gravação ou ambas, estão funcionando. Um cluster pode perder o quórum de gravação, mas manter o quórum de leitura. O OneFS apresenta detalhes sobre o status do chassi e das unidades de seu cluster. A tabela a seguir descreve todos os possíveis estados que você pode encontrar em seu cluster.

Estado Descrição Interface Estado de erro

HEALTHY Todas as unidades do nó estão funcionando corretamente.

Interface de linha de comando, interface Web de administração

L3 Um SSD (Solid State Drive) foi implementado como um cache L3 (Level 3, nível 3) para aumentar o tamanho da memória de cache e melhorar as velocidades de throughput.

Interface de linha de comando

SMARTFAIL ou Smartfail or restripe in progress

A unidade está em processo de remoção com segurança do file system, devido a um erro de I/O ou a uma solicitação do usuário. Os nós ou unidades em um estado smartfail ou somente leitura só afetam o quórum de gravação.

Interface de linha de comando, interface Web de administração

NOT AVAILABLE Uma unidade está indisponível por diversos motivos. Você pode clicar no gabinete para exibir informações detalhadas sobre essa condição.

NOTA: Na interface Web de administração, esse estado inclui os estados ERASE e

SED_ERROR da interface de linha de

comando.

Interface de linha de comando, interface Web de administração

X

SUSPENDED Este estado indica que a atividade da unidade está suspensa temporariamente e que a unidade não está em uso. O estado é iniciado manualmente e não ocorre durante a atividade normal do cluster.

Interface de linha de comando, interface Web de administração

NOT IN USE Um nó em estado off-line está afetando o quórum de leitura e de gravação.

Interface de linha de comando, interface Web de administração

REPLACE A unidade passou por smartfail com sucesso e está pronto para ser substituída.

Somente interface de linha de comando

46 Administração geral de cluster

Estado Descrição Interface Estado de erro

STALLED A unidade foi interrompida e está passando por uma avaliação de interrupção. A avaliação de interrupção é o processo de verificação das unidades que estão lentas ou que apresentam outros problemas. Dependendo do resultado da avaliação, a unidade pode voltar ao serviço ou passar por smartfail. Este é um estado temporário.

Somente interface de linha de comando

NEW A unidade está nova e vazia. Esse é o estado de uma unidade quando você executa o comando isi dev com a opção -aadd.

Somente interface de linha de comando

USED A unidade foi adicionada e continha um GUID do Isilon, mas a unidade não é desse nó. Provavelmente, essa unidade será formatada no cluster.

Somente interface de linha de comando

PREPARING A unidade está passando por uma operação de formatação. O estado da unidade muda para HEALTHY quando a formatação é concluída com sucesso.

Somente interface de linha de comando

EMPTY Não há nenhuma unidade nesse gabinete. Somente interface de linha de comando

WRONG_TYPE O tipo de unidade é incorreto para esse nó. Por exemplo, uma unidade não SED em um nó SED ou SAS em vez do tipo esperado de unidade SATA.

Somente interface de linha de comando

BOOT_DRIVE Exclusivo à unidade A100, que tem unidades de inicialização em seus gabinetes.

Somente interface de linha de comando

SED_ERROR A unidade não pode ser reconhecida pelo sistema OneFS.

NOTA: Na interface Web de administração, esse estado é incluso em Not available.

Interface de linha de comando, interface Web de administração

X

ERASE A unidade está pronta para remoção, mas precisa de sua atenção porque os dados não foram eliminados. Você pode eliminar a unidade manualmente para garantir que os dados sejam removidos.

NOTA: Na interface Web de administração, esse estado é incluso em Not available.

Somente interface de linha de comando

INSECURE Os dados do SED podem ser acessados por uma equipe não autorizada. Os SEDs nunca devem ser utilizados para fins de dados não criptografados.

NOTA: Na interface Web de administração, esse estado é chamado de Unencrypted SED.

Somente interface de linha de comando

X

UNENCRYPTED Os dados do SED podem ser acessados por uma equipe não autorizada. Os SEDs nunca devem ser utilizados para fins de dados não criptografados.

NOTA: Na interface de linha de comando, esse estado é chamado de INSECURE.

Somente na interface Web de administração

X

Verificar o status da bateriaVocê pode monitorar o status das baterias NVRAM e dos sistemas de carregamento. Essa tarefa só pode ser executada na interface de linha de comando do OneFS do hardware de nó que dá suporte ao comando.

1. Abra uma conexão SSH com qualquer nó do cluster.

2. Execute o comando isi batterystatus list para visualizar o status de todas as baterias NVRAM e dos sistemas de carregamento do nó.

Administração geral de cluster 47

O sistema exibe resultados semelhantes aos do seguinte exemplo:

Lnn Status1 Status2 Result1 Result2----------------------------------------1 Good Good - -2 Good Good - -3 Good Good - -----------------------------------------

Monitoramento do SNMPVocê pode usar o SNMP para monitorar remotamente os componentes de hardware do cluster do Isilon, como ventiladores, sensores de hardware, fontes de alimentação e discos. Use as ferramentas padrão de SNMP do Linux ou uma ferramenta do SNMP baseada em GUI de sua preferência para essa finalidade.

O SNMP é ativado ou desativado em todo o cluster, enquanto os nós não são configurados individualmente. É possível monitorar as informações do cluster a partir de qualquer nó do cluster. As traps SNMP geradas correspondem aos eventos CELOG. Também é possível enviar notificações no SNMP. usando isi event channels create snmpchannel snmp --use-snmp-trap false.

Você pode configurar uma regra de notificação de eventos que especifica a estação de rede aonde você deseja enviar traps SNMP para eventos específicos. Quando ocorre o evento específico, o cluster envia a trap a esse servidor. O OneFS oferece suporte ao SNMP versão 2c (padrão) e ao SNMP versão 3, no modo somente leitura.

O OneFS não dá suporte à versão 1 do SNMP. Embora exista uma opção para --snmp-v1-v2-access no comando isi snmp settings modify da interface de linha de comando (CLI) do OneFS, se você ativar esse recurso, o OneFS somente fará o monitoramento por meio da versão 2c do SNMP.

Você pode definir as configurações da versão 3 do SNMP individualmente ou para as versões 2c e 3 do SNMP.

NOTA: Todos os níveis de segurança do SNMP v3 são configuráveis: noAuthNoPriv, authNoPriv, authPriv.

Os elementos de uma hierarquia de SNMP são dispostos em uma estrutura em árvore, de modo semelhante a uma árvore de diretório. Como nos diretórios, os identificadores movimentam-se de gerais para específicos à medida que a string avança da esquerda para a direita. No entanto, ao contrário de uma hierarquia de arquivos, cada elemento é nomeado e numerado.

Por exemplo, a entidade iso.org.dod.internet.private.enterprises.isilon.cluster.clusterStatus.clusterName.0 do SNMP é associada a .1.3.6.1.4.1.12124.1.1.1.0. A parte do nome que se refere ao namespace SNMP do OneFS é o elemento 12124. Tudo o que estiver à direita desse número está relacionado ao monitoramento específico do OneFS.

Os documentos da MIB (Management Information Base) definem nomes legíveis pelo usuário para os objetos gerenciados e especificam os tipos de dados e outras propriedades. Você pode fazer download das MIBs que são criadas para o monitoramento do SNMP de um cluster do Isilon a partir da interface Web de administração do OneFS ou gerenciá-las usando a interface de linha de comando. As MIBs são armazenadas em /usr/share/snmp/mibs/, em um nó do OneFS. As ISILON-MIBs do OneFS servem para duas finalidades:

• Aumentar as informações disponíveis nas MIBs padrão• Apresentar informações específicas do OneFS que não estão disponíveis nas MIBs padrão

A ISILON-MIB é uma MIB corporativa registrada. Os clusters do Isilon têm duas MIBs distintas:

ISILON-MIB Define um grupo de agentes do SNMP que respondem às consultas de um NMS (Network Management System, sistema de gerenciamento de redes) e que são chamados de agentes de snapshots de estatísticas do OneFS (OneFS Statistics Snapshot). Como o nome sugere, esses agentes geram snapshots do estado do file system do OneFS no momento em que ele recebe uma solicitação e relatam essas informações de volta ao NMS.

ISILON-TRAP-MIB Gera traps SNMP para enviar uma estação de monitoramento do SNMP quando ocorrerem as condições que estão definidas nas PDUs (Protocol Data Units) da trap.

Os arquivos da MIB do OneFS mapeiam os IDs de objeto específicos do OneFS às descrições. Faça download ou copie os arquivos da MIB em um diretório onde sua ferramenta do SNMP possa encontrá-los, como /usr/share/snmp/mibs/.

Para ativar as ferramentas Net-SNMP para ler as MIBs e oferecer mapeamento automático de nome para OID, adicione -m All ao comando, como no exemplo a seguir:

snmpwalk -v2c I$ilonpublic -m All <node IP> isilon

Durante a configuração do SNMP, recomenda-se que você altere o mapeamento a algo semelhante ao seguinte:

isi snmp settings modify -c <newcommunitystring>

48 Administração geral de cluster

Se os arquivos da MIB não estiverem no diretório padrão Net-SNMP da MIB, você precisará especificar o caminho completo, como no exemplo a seguir. Todas as três linhas são um só comando.

snmpwalk -m /usr/local/share/snmp/mibs/ISILON-MIB.txt:/usr \/share/snmp/mibs/ISILON-TRAP-MIB.txt:/usr/share/snmp/mibs \/ONEFS-TRAP-MIB.txt -v2c -C c -c public isilon

NOTA: Os exemplos anteriores são executados a partir do comando snmpwalk em um cluster. Sua versão do SNMP pode

exigir argumentos diferentes.

Gerenciando as configurações do SNMPVocê pode usar o SNMP para monitorar as informações de hardware e de sistema dos clusters. É possível definir as configurações na interface Web de administração ou na interface de linha de comando.

O nome de usuário (geral) e a senha padrão do SNMP v3 podem ser alterados para qualquer coisa a partir da CLI ou da IU da Web. O nome de usuário só é requerido quando o SNMP v3 é ativado e está fazendo consultas SNMP v3.

Configure um sistema de gerenciamento de redes (NMS) para consultar cada nó diretamente via um endereço IPv4 estático. Se um nó estiver configurado para IPv6, você poderá se comunicar com o SNMP por IPv6.

O proxy do SNMP é ativado por padrão e a implementação do SNMP em cada nó é configurada automaticamente para servir como proxy de todos os outros nós do cluster, com exceção do cluster em si. Essa configuração de proxy permite que a MIB (Management Information Base) do Isilon e as MIBs padrão sejam expostas perfeitamente pelo uso de strings contextuais para as versões compatíveis do SNMP. Essa abordagem permite que você consulte um nó por meio de outro nó, acrescentando _node_<node number> à string de comunidade da consulta. Por exemplo, snmpwalk -m /usr/share/snmp/mibs/ISILON-MIB.txt -v 2c -c 'I$ilonpublic_node_1' localhost <nodename>.

Configurar o cluster para monitoramento do SNMPVocê pode configurar seu cluster do Isilon para monitorar remotamente os componentes de hardware usando o SNMP.

1. Clique em Cluster Management > General Settings > SNMP Monitoring.

2. Em SNMP Service Settings, clique na caixa de seleção Enable SNMP Service. O serviço SNMP é ativado de modo padrão.

3. Baixe o arquivo da MIB que deseja usar (base ou trap).Siga o processo de download que é específico a seu navegador.

4. Copie os arquivos da MIB em um diretório em que sua ferramenta do SNMP possa encontrá-los, como /usr/share/snmp/mibs/.

Para que as ferramentas Net-SNMP leiam as MIBs para oferecer associação automática de nome a OID, adicione a opção -m All ao comando, como no seguinte exemplo:

snmpwalk -v2c -c public -m All <node IP> isilon

5. Se o protocolo for SNMPv2, certifique-se de que a caixa de seleção Allow SNMPv2 Access seja marcada. SNMPv2 é selecionado por padrão.

6. No campo SNMPv2 Read-Only Community Name, informe o nome adequado da comunidade. O padrão é I$ilonpublic.

7. Para habilitar o SNMPv3, clique na caixa de seleção Allow SNMPv3 Access.

8. Defina as configurações do SNMP v3:

a) No campo SNMPv3 Read-only User Name, digite o nome de segurança do SNMPv3 para alterar o nome do usuário com privilégios somente leitura.

O usuário padrão somente leitura é general.b) No campo SNMPv3 Read-Only Password, digite a nova senha do usuário somente leitura para configurar uma nova senha de

autenticação do SNMPv3.

A senha padrão é password. Recomendamos que você altere a senha para aumentar a segurança. A senha deve ter no mínimo oito caracteres e nenhum espaço.

c) Digite a nova senha no campo Confirm password para confirmá-la.

9. Na área SNMP Reporting, digite uma descrição do cluster no campo Cluster Description.

10. No campo System Contact Email, digite o endereço de e-mail de contato.

11. Clique em Save Changes.

Exibir configurações do SNMPVocê pode analisar as configurações de monitoramento de SNMP.

Administração geral de cluster 49

• Clique em Cluster Management > General Settings > SNMP Monitoring.

Alertas e eventosO OneFS monitora continuamente a integridade e o desempenho de seu cluster e gera eventos quando ocorrem situações que podem exigir sua atenção.

Os eventos podem ser relacionados à integridade do file system, às conexões de rede, aos trabalhos, ao hardware e a outras operações e componentes vitais de seu cluster. Depois que os eventos forem capturados, eles serão analisados pelo OneFS. Os eventos com causas raiz semelhantes são organizados em grupos de evento.

Um grupo de eventos é um ponto único de gerenciamento para vários eventos relacionados a uma situação específica. Você pode determinar quais grupos de eventos deseja monitorar, ignorar ou resolver.

Um alerta é a mensagem que informa sobre uma alteração que ocorreu em um grupo de eventos.

Você pode controlar como os alertas relacionados a um grupo de evento são distribuídos. Os alertas são distribuídos por meio de canais. Você pode criar e configurar um canal para enviar alertas a um público-alvo específico, controlar o conteúdo que o canal distribui e limitar a frequência dos alertas.

Visão geral dos eventosOs eventos são ocorrências individuais ou condições relacionadas a workflow de dados, operações de manutenção e componentes de hardware de seu cluster.

Ao longo do OneFS, há processos que monitoram e coletam constantemente informações sobre as operações de cluster.

Quando o status de um componente ou uma operação é alterado, a alteração é capturada como um evento e colocada em uma fila de prioridade no nível do kernel.

Todos os eventos têm dois números de ID que ajudam a estabelecer o contexto do evento:

• O ID do tipo de evento identifica o tipo de evento que ocorreu.• O ID da instância do evento é um número exclusivo que é específico a uma determinada ocorrência de um tipo de evento. Quando um

evento é enviado à fila de kernel, é atribuído um ID da instância do evento. Você pode consultar o ID da instância para determinar o momento exato que ocorreu um evento.

Você pode visualizar eventos individuais. No entanto, você gerencia eventos e alertas no nível do grupo de evento.

Alertas - Visão geralUm alerta é uma mensagem que descreve uma alteração que ocorreu em um grupo de eventos.

Em qualquer point-in-time, você pode visualizar grupos de eventos para rastrear situações que ocorrem em seu cluster. No entanto, você também pode criar alertas que notificarão de forma proativa se houver uma alteração em um grupo de eventos.

Por exemplo, você pode gerar um alerta quando um novo evento for adicionado a um grupo de eventos, quando um grupo de eventos for resolvido ou quando a severidade de um grupo de eventos for alterada.

Você pode configurar seu cluster para gerar alertas somente para condições, grupos e severidade de eventos específicos ou durante períodos limitados.

Alertas são fornecidos por meio de canais. Você pode configurar um canal para determinar quem e quando receberá o alerta.

Visão geral de canaisCanais são caminhos pelos quais os grupos de eventos enviam alertas.

Quando um alerta é gerado, o canal associado a ele determina como o alerta é distribuído e quem o recebe.

Você pode configurar um canal para entregar alertas com um dos seguintes mecanismos: SMTP, SNMP ou Connect Home. Também é possível especificar as informações necessárias de roteamento e etiquetamento para o mecanismo de entrega.

Visão geral dos grupos de eventoGrupos de evento são conjuntos de eventos individuais relacionados a sintomas de uma só situação em seu cluster. Grupos de evento oferecem um só ponto de gerenciamento para várias instâncias do evento que são geradas em resposta a uma situação de seu cluster.

50 Administração geral de cluster

Por exemplo, se um ventilador de chassi apresentar falha em um nó, o OneFS pode capturar vários eventos relacionados tanto para o ventilador com defeito em si quanto para os os limites de temperatura ultrapassados dentro do nó. Todos os eventos relacionados ao ventilador serão representados em um só grupo de evento. Como há um só ponto de contato, você não precisa gerenciar vários eventos individuais. Você pode manipular a situação como um só problema coerente.

Todo o gerenciamento de eventos é realizado no nível do grupo de eventos. Você pode marcar um grupo de eventos como resolvido ou ignorado. Você também pode configurar como e quando os alertas são distribuídos para um grupo de eventos.

Visualizando e modificando os grupos de eventosVocê pode visualizar eventos e modificar o status dos grupos de eventos.

Visualizar um grupo de eventosÉ possível visualizar os detalhes de um grupo de eventos.

1. Clique em Cluster Management > Events and Alerts.

2. Na coluna Actions do grupo de eventos que você deseja visualizar, clique em View Details.

Alterar o status de um grupo de eventosVocê pode ignorar ou resolver um grupo de eventos.

Depois de resolver um grupo de eventos, você não pode inverter essa ação. Quaisquer eventos novos que teriam sido adicionados ao grupo de eventos resolvidos serão adicionados a um novo grupo de eventos.

1. Clique em Cluster Management > Events and Alerts.

2. Na coluna Actions do grupo de eventos que você deseja alterar, clique em More.

3. No menu exibido, clique em Mark Resolved para resolver o grupo de eventos ou em Ignore para ignorar o grupo de eventos.

NOTA: Você pode executar uma ação em vários grupos de eventos ao selecionar a caixa de seleção ao lado do ID do

grupo dos eventos que você deseja alterar e depois selecionar uma ação da lista drop-down Select a bulk action.

4. Clique em Mark Resolved ou Ignore para confirmar a ação.

Visualizar um eventoVocê pode exibir os detalhes de um evento específico.

1. Clique em Cluster Management > Events and Alerts.

2. Na coluna Actions do grupo de eventos que contém o evento que você deseja visualizar, clique em View Details.

3. Na área Event Details, na coluna Actions do evento que você deseja visualizar, clique em View Details.

Gerenciando alertasVocê pode visualizar, criar, modificar ou excluir alertas para determinar as informações que você entrega sobre os grupos de eventos.

Visualizar um alertaVocê pode visualizar os detalhes de um alerta específico.

1. Clique em Cluster Management > Events and Alerts > Alerts.

2. Na coluna Actions do alerta que você deseja visualizar, clique em View/Edit.

Criar um novo alertaVocê pode criar novos alertas para fornecer atualizações específicas em grupos de evento.

1. Clique em Cluster Management > Events and Alerts > Alerts.

2. Clique em Create an Alert.

3. Modifique as configurações para o novo alerta conforme necessário.

a) No campo Name, digite o nome do alerta.b) Na área Alert Channels , clique na caixa de seleção próxima ao canal que você deseja associar ao alerta.

Para associar um novo canal ao alerta, clique em Create an Alert Channel.

Administração geral de cluster 51

c) Clique na caixa de seleção próxima às Event Group Categories que você deseja associar ao alerta.d) No campo Event Group ID, informe o ID de grupo de eventos em que você gostaria que o alerta reportasse.

Para adicionar outro ID de grupo de eventos ao alerta, clique em Add Another Event Group ID.e) Selecione uma condição de alerta na lista drop-down Condition.

NOTA: Dependendo da condição de alerta que você selecionar, outras configurações serão exibidas.

f) Para as condições New event groups, New events, Interval, Severity increase, Severity decrease e Resolved event group, informe um número e um valor de hora para especificar o tempo de existência de um evento antes que um alerta seja enviado sobre ele.

g) Para a condição New events, no campo Maximum Alert Limit, edite o número máximo de alertas que podem ser enviados para novos eventos.

h) Para a condição ONGOING, digite um número e um valor de hora para o intervalo desejado entre os alertas relacionados a um evento contínuo.

4. Clique em Create Alert.

Excluir um alertaVocê pode excluir alertas que criou.

1. Clique em Cluster Management > Events and Alerts > Alerts.

2. Na coluna Actions do alerta que você deseja excluir, clique em Delete.

3. No menu que é exibido, clique em Delete.

NOTA: Você pode excluir vários alertas ao marcar a caixa de seleção ao lado dos nomes que você deseja excluir e,

então, selecionar Delete Selections na lista drop-down Select an action.

4. Clique em Excluir para confirmar a ação.

Modificar um alertaVocê pode modificar um alerta que criou.

1. Clique em Cluster Management > Events and Alerts > Alerts.

2. Na coluna Actions do alerta que você deseja modificar, clique em View/Edit.

3. Clique em Edit Alert.

4. Modifique as configurações do alerta conforme necessário.

a) No campo Name, edite o nome do alerta.b) Na área Alert Channels , clique na caixa de seleção próxima ao canal que você deseja associar ao alerta.

Para associar um novo canal ao alerta, clique em Create an Alert Channel.c) Clique na caixa de seleção próxima às Event Group Categories que você deseja associar ao alerta.d) No campo Event Group ID, informe o ID de grupo de eventos em que você gostaria que o alerta reportasse.

Para adicionar outro ID de grupo de eventos ao alerta, clique em Add Another Event Group ID.e) Selecione uma condição de alerta na lista drop-down Condition.

NOTA: Dependendo da condição de alerta que você selecionar, outras configurações serão exibidas.

f) Para as condições New event groups, New events, Interval, Severity increase, Severity decrease e Resolved event group informe um número e um valor de hora para especificar o tempo de existência de um evento antes que um alerta seja enviado sobre ele.

g) Para a condição New events, no campo Maximum Alert Limit, edite o número máximo de alertas que podem ser enviados para novos eventos.

h) Para a condição ONGOING, digite um número e um valor de hora para o intervalo desejado entre os alertas relacionados a um evento contínuo.

5. Clique em Save Changes.

Gerenciando canaisVocê pode visualizar, criar, modificar ou excluir canais para determinar como você fornece informações sobre os grupos de eventos.

Visualizar um canalVocê pode visualizar os detalhes de um canal específico.

1. Clique em Cluster Management > Events and Alerts > Alerts.

52 Administração geral de cluster

2. Na área Alert Channels, localize o canal que você deseja visualizar.

3. Na coluna Actions do canal que você deseja visualizar, clique em View/Edit.

Criar um novo canalVocê pode criar e configurar novos canais para enviar informações de alerta.

1. Clique em Cluster Management > Events and Alerts > Alerts.

2. Na área Alert Channels , clique em Create an Alert Channel.

3. No campo Name, digite o nome do canal.

4. Clique na caixa de seleção Enable this Channel para ativar ou desativar o canal.

5. Selecione o mecanismo de entrega para o canal a partir da lista drop-down Type.

NOTA: Dependendo do mecanismo de entrega que você selecionar, serão exibidas diferentes configurações.

6. Se você quiser criar um canal SMTP, poderá configurar o seguinte:

a) No campo Send to, informe um endereço de e-mail se quiser receber alertas neste canal.

Para adicionar outro endereço de e-mail ao canal, clique em Add Another Email Address.b) No campo Send from, informe o endereço de e-mail que você deseja que seja exibido no campo "From" dos e-mails de alerta.c) No campo Subject, informe o texto que você deseja que seja exibido na linha "Subject" dos e-mails de alerta.d) No campo SMTP Host or Relay Address, informe o host do SMTP ou o endereço da retransmissão.e) No campo SMTP Relay Port, informe o número de sua porta de SMTP relay.f) Clique na caixa de seleção Use SMTP Authentication para especificar um nome de usuário e uma senha para seu servidor

SMTP.g) Especifique sua segurança de conexão entre NONE e STARTTLS.h) Na lista drop-down Notification Batch Mode, selecione se os alertas serão loteados juntos, por severidade ou categoria.i) Na lista drop-down Notification Email Template, selecione se os e-mails serão criados a partir de um modelo de e-mail padrão

ou personalizado.

Se você especificar um modelo personalizado, informe a localização do modelo em seu cluster no campo Custom Template Location.

j) Na área Master Nodes, no campo Allowed Nodes, digite o número de um nó no cluster que tem a permissão de enviar alertas por este canal.

Para adicionar outro nó permitido ao canal, clique em Add another Node. Se você não especificar nenhum nó, todos os nós no cluster serão considerados nós permitidos.

k) No campo Excluded Nodes, digite o número de um nó no cluster que não tem a permissão de enviar alertas por este canal.

Para adicionar outro nó excluído ao canal, clique em Exclude another Node.

7. Se você quiser criar um canal ConnectEMC, poderá configurar o seguinte:

a) Na área Master Nodes, no campo Allowed Nodes, digite o número de um nó no cluster que tem a permissão de enviar alertas por este canal.

Para adicionar outro nó permitido ao canal, clique em Add another Node. Se você não especificar nenhum nó, todos os nós no cluster serão considerados nós permitidos.

b) No campo Excluded Nodes, digite o número de um nó no cluster que não tem a permissão de enviar alertas por este canal.

Para adicionar outro nó excluído ao canal, clique em Exclude another Node.

8. Se você quiser criar um canal SNMP, poderá configurar o seguinte:

a) No campo Community, insira sua string de comunidade SNMP.b) No campo Host, insira o nome ou endereço do host de seu SNMP.c) Na área Master Nodes, no campo Allowed Nodes, digite o número de um nó no cluster que tem a permissão de enviar alertas por

este canal.

Para adicionar outro nó permitido ao canal, clique em Add another Node. Se você não especificar nenhum nó, todos os nós no cluster serão considerados nós permitidos.

d) No campo Excluded Nodes, digite o número de um nó no cluster que não tem a permissão de enviar alertas por este canal.

Para adicionar outro nó excluído ao canal, clique em Exclude another Node.

9. Clique em Create Alert Channel.

Modificar um canalVocê pode modificar um canal que você criou.

1. Clique em Cluster Management > Events and Alerts > Alerts.

Administração geral de cluster 53

2. Na área Alert Channels , localize o canal que você deseja modificar.

3. Na coluna Actions do canal que deseja modificar, clique em View / Edit.

4. Clique em Edit Alert Channel.

5. Clique na caixa de seleção Enable this Channel para ativar ou desativar o canal.

6. Selecione o mecanismo de entrega para o canal a partir da lista drop-down Type.

NOTA: Dependendo do mecanismo de entrega que você selecionar, serão exibidas diferentes configurações.

7. Se você estiver em um canal de SMTP, pode alterar as seguintes configurações:

a) No campo Send to, informe um endereço de e-mail se quiser receber alertas neste canal.

Para adicionar outro endereço de e-mail ao canal, clique em Add Another Email Address.b) No campo Send from, informe o endereço de e-mail que você deseja que seja exibido no campo "From" dos e-mails de alerta.c) No campo Subject, informe o texto que você deseja que seja exibido na linha "Subject" dos e-mails de alerta.d) No campo SMTP Host or Relay Address, informe o host do SMTP ou o endereço da retransmissão.e) No campo SMTP Relay Port, informe o número de sua porta de SMTP relay.f) Clique na caixa de seleção Use SMTP Authentication para especificar um nome de usuário e uma senha para seu servidor

SMTP.g) Especifique a segurança da conexão entre NONE e STARTTLS.h) Na lista drop-down Notification Batch Mode, selecione se os alertas serão loteados juntos, por severidade ou categoria.i) Na lista drop-down Notification Email Template, selecione se os e-mails serão criados a partir de um modelo de e-mail padrão

ou personalizado.

Se você especificar um modelo personalizado, informe a localização do modelo em seu cluster no campo Custom Template Location.

j) Na área Master Nodes, no campo Allowed Nodes, digite o número de um nó no cluster que tem a permissão para enviar alertas por esse canal.

Para adicionar outro nó permitido ao canal, clique em Add another Node. Se você não especificar nenhum nó, todos os nós no cluster serão considerados nós permitidos.

k) No campo Excluded Nodes, digite o número de um nó no cluster que não tem a permissão de enviar alertas por este canal.

Para adicionar outro nó excluído ao canal, clique em Exclude another Node.

8. Se você quiser modificar um canal ConnectHome, poderá alterar as seguintes configurações:

a) Na área Master Nodes, no campo Allowed Nodes, digite o número de um nó no cluster que tem a permissão para enviar alertas por esse canal.

Para adicionar outro nó permitido ao canal, clique em Add another Node. Se você não especificar nenhum nó, todos os nós no cluster serão considerados nós permitidos.

b) No campo Excluded Nodes, digite o número de um nó no cluster que não tem a permissão de enviar alertas por este canal.

Para adicionar outro nó excluído ao canal, clique em Exclude another Node.

9. Se você quiser modificar um canal SNMP, poderá alterar as seguintes configurações:

a) No campo Community, digite sua string de comunidade SNMP.b) No campo Host, digite o nome ou endereço do host de seu SNMP.c) Na área Master Nodes, no campo Allowed Nodes, digite o número de um nó no cluster que tem a permissão para enviar alertas

por esse canal.

Para adicionar outro nó permitido ao canal, clique em Add another Node. Se você não especificar nenhum nó, todos os nós no cluster serão considerados nós permitidos.

d) No campo Excluded Nodes, digite o número de um nó no cluster que não tem a permissão de enviar alertas por este canal.

Para adicionar outro nó excluído ao canal, clique em Exclude another Node.

10. Clique em Save Changes.

Excluir um canalVocê pode excluir canais que você criou.

1. Clique em Cluster Management > Events and Alerts > Alerts.

2. Na área Alert Channels , localize o canal que você deseja excluir.

3. Na coluna Actions do canal que você deseja excluir, clique em Delete.

NOTA: Você pode excluir vários canais ao marcar a caixa de seleção ao lado dos nomes que você deseja excluir e,

então, selecionar Delete Selections na lista drop-down Select an action.

4. Clique em Excluir para confirmar a ação.

54 Administração geral de cluster

Manutenção e testeVocê pode modificar as configurações de eventos para especificar limites de armazenamento e de retenção para dados de eventos, agendar janelas de manutenção e enviar eventos de teste.

Limites de armazenamento e retenção de dados de eventosVocê pode modificar as configurações para determinar como os dados de eventos são tratados em seu cluster.

Por padrão, os dados relacionados a grupos de eventos resolvidos são mantidos indefinidamente. Você pode definir um limite de retenção para fazer com que o sistema exclua automaticamente os dados do grupo de eventos resolvidos depois de um determinado número de dias.

Você também pode limitar a quantidade de memória que dados de eventos podem ocupar em seu cluster. Por padrão, o limite é de 1 MB de memória para cada 1 TB de memória total do cluster. Você pode ajustar esse limite para estar entre 1 e 100 MB de memória. Para clusters menores, a quantidade mínima de memória que será separada é de 1 GB.

Quando o cluster atingir um limite de armazenamento, o sistema começará a exclusão dos dados de grupo de eventos mais antigos para acomodar dados novos.

Visualizar configurações de armazenamento do eventoVocê pode visualizar as configurações de armazenamento e manutenção.

Clique em Cluster Management > Events and Alerts > Settings.

Modificar as configurações de armazenamento do eventoVocê pode visualizar as configurações de armazenamento e manutenção.

1. Clique em Cluster Management > Events and Alerts > Settings.

2. Localize a área Event Retention Settings.

3. No campo Resolved Event Group Data Retention, digite o número de dias que você deseja armazenar os grupos de eventos resolvidos antes de serem excluídos.

4. No campo Event Log Storage Limit, digite o limite para o valor de armazenamento que você deseja definir

O valor nesse campo representa quantos megabytes de dados podem ser armazenados por terabyte de armazenamento total do cluster.

5. Clique em Save Changes.

Janelas de manutençãoVocê pode agendar uma janela de manutenção por meio da configuração da hora de início e da duração da manutenção.

Durante uma janela de manutenção agendada, o sistema continuará a registrar eventos, mas nenhum alerta será gerado. Agendar uma janela de manutenção evitará que os canais sofram flooding de alertas benignos associados a procedimentos de manutenção do cluster.

Grupos de eventos ativos retomarão automaticamente a geração de alertas ao término do período da manutenção agendada.

Agendar uma manutenção do WindowsÉ possível agendar uma janela de manutenção para descontinuar alertas enquanto você estiver realizando a manutenção no cluster.

1. Clique em Cluster Management > Events and Alerts > Settings.

2. Localize a área Maintenance Period Settings.

3. No campo Start Date, digite a data em que você deseja que a janela de manutenção inicie.

4. Na lista drop-down Start Date, selecione o horário em que você deseja que a janela de manutenção inicie.

5. No campo Duration, digite um número e valor de hora para a duração da janela de manutenção.

6. Clique em Save Changes.

Testar eventos e alertasEventos de teste chamados de eventos de heartbeat são gerados automaticamente. Você também pode gerar alertas de teste manualmente.

Administração geral de cluster 55

Para confirmar que o sistema está em operação corretamente, eventos de teste são enviados automaticamente todos os dias, um evento de cada nó em seu cluster. Eles são chamados de eventos de heartbeat e são reportados a um grupo de eventos chamado Evento de heartbeat.

Para testar a configuração de canais, você pode enviar um alerta de teste manualmente por meio do sistema.

Enviar alerta de testeVocê pode gerar um alerta de teste manualmente.

1. Clique em Cluster Management > Events and Alerts > Alerts.

2. Localize a área Send Test Alert.

3. No campo Text message, digite o texto da mensagem que você deseja enviar.

4. Clique em Send Test Alert.

Modificar o evento de heartbeatVocê pode alterar a frequência com que um evento de heartbeat é gerado.

Este procedimento somente está disponível pela interface de linha de comando.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Modifique o intervalo de evento de heartbeat executando o comando isi event settings modify.O seguinte exemplo de comando modifica o evento de heartbeat para que ele seja enviado semanalmente:

isi event settings modify --heartbeat-interval weekly

Manutenção e clustersA equipe treinada de serviços pode substituir ou fazer upgrade de componentes dos nós do Isilon.

O Suporte técnico do Isilon pode ajudá-lo a substituir componentes dos nós ou a fazer upgrade dos componentes para aumentar o desempenho.

Substituindo componentes do nóSe o componente de um nó falhar, o Suporte técnico do Isilon trabalhará com você para substituir rapidamente o componente e retornar o nó a um status íntegro.

A equipe treinada de serviços pode substituir as seguintes FRUs (Field Replaceable Units, unidades substituíveis em campo):

• bateria• unidade bootflash• unidade SATA/SAS• memória (DIMM)• ventilador• painel frontal• switch de invasão• NIC (Network Interface Card, placa de interface de rede)• Placa InfiniBand• Placa NVRAM• controlador SAS• fonte de alimentação

Se você configurar o cluster para enviar alertas ao Isilon, o Suporte técnico do Isilon entrará em contato se um componente precisar ser substituído. Se você não configurar seu cluster para enviar alertas ao Isilon, você deverá iniciar um chamado.

Fazendo upgrade de componentes do nóVocê pode fazer upgrade dos componentes dos nós para obter capacidade ou desempenho adicionais.

A equipe treinada de serviços pode fazer upgrade dos seguintes componentes do campo:

• unidade

56 Administração geral de cluster

• memória (DIMM)• NIC (Network Interface Card, placa de interface de rede)

Se desejar fazer upgrade de componentes de seus nós, entre em contato com o Suporte técnico do Isilon.

ARR para unidadesQuando uma unidade é substituída em um nó, o OneFS formata e adiciona automaticamente essa unidade ao cluster.

Se você estiver substituindo uma unidade de um nó, seja para fazer upgrade da unidade ou substituir uma unidade com falha, você não precisará realizar ações adicionais para incluir a unidade no cluster. O OneFS formatará e adicionará a unidade automaticamente.

O ARR (Automatic Replacement Recognition, reconhecimento automático de substituições) também atualizará automaticamente o microcódigo da nova unidade para corresponder ao pacote atual de suporte de unidade instalado no cluster. O microcódigo da unidade não será atualizado para todo o cluster, somente para a nova unidade.

Se você preferir formatar e adicionar as unidades manualmente, poderá desabilitar o ARR.

Exibir o status do ARRVocê pode confirmar se o ARR (Automatic Replacement Recognition, reconhecimento automático de substituições) está habilitado em seu cluster.

Clique em Cluster Management > Automatic Replacement Recognition.Na área ARR settings per node, todos os nós são listados por LNN (Logical Node Number, número lógico do nó) com o status atual do ARR para cada nó.

Habilitar ou desabilitar o ARRVocê pode habilitar ou desabilitar o ARR (Automatic Replacement Recognition, reconhecimento automático de substituição) em todo o cluster ou apenas para nós específicos.

1. Para habilitar ou desabilitar o ARR para todo o cluster, clique em Cluster Management > Automatic Replacement Recognition.

2. Na área Settings, clique em Disable ARR ou Enable ARR.

3. Para desabilitar o ARR para um nó específico, você deve executar as etapas a seguir por meio da CLI (Command Line Interface, interface de linha de comando).

a) Estabeleça uma conexão SSH com qualquer nó do cluster.b) Execute o seguinte comando:

isi devices config modify --automatic-replacement-recognition no --node-lnn <node-lnn>

Se você não especificar um LNN do nó, o comando será aplicado a todo o cluster.

O seguinte exemplo de comando desabilita o ARR para o nó com o LNN 2:

isi devices config modify --automatic-replacement-recognition no --node-lnn 2

4. Para habilitar o ARR para um nó específico, você deve executar as etapas a seguir por meio da CLI.

a) Estabeleça uma conexão SSH com qualquer nó do cluster.b) Execute o seguinte comando:

isi devices config modify --automatic-replacement-recognition yes --node-lnn <node-lnn>

Se você não especificar um LNN do nó, o comando será aplicado a todo o cluster.

O seguinte exemplo de comando habilita o ARR para o nó com o LNN 2:

isi devices config modify --automatic-replacement-recognition yes --node-lnn 2

Gerenciando o microcódigo das unidadesSe o microcódigo de qualquer unidade em um cluster se tornar obsoleto, a confiabilidade do hardware ou do desempenho do cluster pode ter afetada. Para garantir a integridade geral dos dados, você pode atualizar o microcódigo de unidade para a revisão mais recente instalando o pacote de suporte de drives ou o pacote de microcódigo de unidade.

É possível determinar se o microcódigo de unidade no cluster é a revisão mais recente exibindo o status do microcódigo da unidade.

Administração geral de cluster 57

NOTA: Recomendamos que você entre em contato com o Suporte técnico do Isilon antes de atualizar o firmware das

unidades.

Visão geral da atualização do microcódigo das unidadesVocê pode atualizar o firmware das unidades por meio de pacotes de suporte a unidades ou pacotes de firmware de unidades.

Faça download e instale um desses pacotes de Online Support, dependendo da versão do OneFS em execução em seu cluster e do tipo de unidades nos nós.

Pacote de suporte a unidades

Para os clusters que executam o OneFS 7.1.1 e versões posteriores, instale um pacote de suporte a unidades para atualizar o firmware das unidades. Você não precisa reinicializar os nós afetados para concluir a atualização do firmware. Um pacote de suporte a unidades oferece os seguintes recursos adicionais:

• Atualiza as seguintes informações de configuração de unidades:

• Lista de unidades compatíveis• Metadados de firmware das unidades• Dados de monitoramento de desgaste das SSDs• Configurações e atributos de SAS e SATA

• Atualiza automaticamente o firmware das unidades novas e de substituição para a revisão mais recente, antes que as unidades sejam formatadas e usadas em um cluster. Isso é aplicável somente para clusters que estejam executando o OneFS 7.2 e versões posteriores.

NOTA: O firmware das unidades em uso não pode ser atualizado automaticamente.

Pacote de firmware de unidades

Para os clusters que executam as versões do OneFS anteriores à 7.1.1 ou para clusters com nós que não são bootflash, instale um pacote de firmware de unidades em todo o cluster para atualizar o firmware das unidades. Você deve reinicializar os nós afetados para concluir a atualização do firmware.

Instalar um pacote de suporte a unidadeAs instruções a seguir referem-se à realização de uma atualização de firmware sem interrupções (NDFU) com um pacote de suporte a unidades (DSP).

CUIDADO: Consulte a tabela da seção Requisitos do sistema acima para confirmar se você está realizando o

procedimento correto para o tipo de nó e a versão do OneFS.

1. Acesse a página Support que relaciona todas as versões disponíveis do pacote de suporte a unidades.

2. Clique na versão mais recente do pacote de suporte a drives e faça download do arquivo.

NOTA: Se você não conseguir fazer download do pacote, entre em contato com o Isilon Technical Support para obter

assistência.

3. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

4. Crie ou verifique a disponibilidade da estrutura de diretórios /ifs/data/Isilon_Support/dsp.

5. Copie o arquivo baixado no diretório dsp por meio dos protocolos SCP, FTP, SMB, NFS ou outros protocolos compatíveis de acesso aos dados.

6. Descompacte o arquivo executando o seguinte comando:

tar -zxvf Drive_Support_<version>.tgz7. Instale o pacote executando o seguinte comando:

isi_dsp_install Drive_Support_<version>.tarNOTA:

• Você deve executar o comando isi_dsp_install para instalar o pacote de suporte a drives. Não use o comando

isi pkg.

• Executar isi_dsp_install instalará o pacote de suporte a unidades em todo o cluster.

• O processo de instalação lida com a instalação de todos os arquivos necessários do pacote de suporte a drives,

seguida pela desinstalação do pacote. Não é necessário excluir o pacote após sua instalação nem antes da

instalação de uma versão posterior.

58 Administração geral de cluster

Exibir o status do microcódigo da unidadeVocê pode exibir o status do microcódigo de unidade do cluster para determinar se é necessário atualizá-lo.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute uma das tarefas a seguir:

• Exiba o status do microcódigo de unidade de todos os nós. Dependendo de sua versão do OneFS, execute um dos seguintes comandos:

OneFS 8.0 ou versões posteriores

isi devices drive firmware list --node-lnn all

Versões anteriores ao OneFS 8.0

isi drivefirmware status

• Para exibir o status do microcódigo das unidades de um nó específico, execute um dos seguintes comandos:

OneFS 8.0 ou versões posteriores

isi devices drive firmware list --node-lnn<node-number>

Versões anteriores ao OneFS 8.0

isi drivefirmware status -n <node-number>

Se não for necessário atualizar o microcódigo de unidade, a coluna Desired FW ficará em branco.

Atualizar o microcódigo de unidadeÉ possível atualizar o microcódigo de unidade para a revisão mais recente; isso garantirá a integridade geral dos dados.

Este procedimento explica como atualizar o microcódigo de unidade nos nós que têm unidades bootflash depois de ter instalado o pacote mais recente de suporte a unidades. Para obter uma lista dos nós com unidades bootflash, consulte a seção Requisitos do sistema nas Notas da Versão do Pacote de Suporte a Unidade do Isilon.

Para atualizar o microcódigo de unidade nos nós que não contêm unidades bootflash, faça o download e instale o pacote mais recente de microcódigo de unidade. Para obter mais informações, consulte as notas da versão mais recentes do pacote de firmware de unidade em Online Support.

NOTA: Realizar um ciclo de alimentação das unidades durante uma atualização de microcódigo pode causar resultados

inesperados. Como prática recomendada, não reinicie nem desligue os nós enquanto o firmware da unidade estiver

sendo atualizado em um cluster.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o seguinte comando para atualizar o microcódigo de unidade de todo o cluster:

isi devices drive firmware update start all --node-lnn allPara atualizar o microcódigo de unidade de um nó específico, execute o seguinte comando:

isi devices drive firmware update start all --node-lnn <node-number>

CUIDADO: Você deve aguardar até que um nó conclua a atualização antes de iniciar uma atualização no próximo nó.

Para confirmar se um nó concluiu a atualização, execute o seguinte comando:

isi devices drive firmware update list

Uma unidade que ainda esteja sendo atualizada exibirá o status FWUPDATE.

Atualizar o microcódigo de uma só unidade leva cerca de 15 segundos, dependendo do modelo da unidade. OneFS atualiza as unidades em sequência.

Verificar a atualização do microcódigo de uma unidadeDepois de atualizar o microcódigo de unidade de um nó, confirme se ele foi atualizado devidamente e se as unidades afetadas estão funcionando corretamente.

Administração geral de cluster 59

1. Execute o seguinte comando para certificar-se de que nenhuma atualização de microcódigo de unidade esteja em andamento no momento:

isi devices drive firmware update list

Se uma unidade estiver sendo atualizada, [FW_UPDATE] será exibida na coluna Status.

2. Verifique se todas as unidades foram atualizadas executando o seguinte comando:

isi devices drive firmware list --node-lnn all

Se todas as unidades tiverem sido atualizadas, a coluna Desired FW ficará em branco.

3. Verifique se todas as unidades afetadas estão funcionando em um estado íntegro executando o seguinte comando:

isi devices drive list --node-lnn all

Se uma unidade estiver funcionando em um estado íntegro, [HEALTHY] será exibido na coluna de status.

Informações de status do microcódigo da unidadeVocê pode exibir informações sobre o status do microcódigo de unidade por meio da interface de linha de comando do OneFS.

O seguinte exemplo mostra o resultado do comando isi devices drive firmware list:

your-cluster-1# isi devices drive firmware listLnn Location Firmware Desired Model------------------------------------------------------2 Bay 1 A204 - HGST HUSMM1680ASS2002 Bay 2 A204 - HGST HUSMM1680ASS2002 Bay 3 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 4 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 5 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 6 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 7 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 8 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 9 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 10 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 11 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 12 MFAOABW0 MFAOAC50 HGST HUS724040ALA640------------------------------------------------------Total: 12Em que:

LNN Exibe o LNN do nó que contém a unidade.

Localização Exibe o número do gabinete no qual a unidade está instalada.

Firmware Exibe o número da versão do microcódigo em execução atualmente na unidade.

Desired Se o microcódigo da unidade precisar receber upgrade, exibirá o número da versão do microcódigo de unidade para a qual o microcódigo deve ser atualizado.

Modelo Exibe o número do modelo da unidade.

NOTA: O comando isi devices drive firmware list exibe informações somente sobre o microcódigo das

unidades do nó local. Você pode exibir informações sobre microcódigos de unidade de todo o cluster, não apenas do

cluster local, executando o seguinte comando:

isi devices drive firmware list --node-lnn all

Atualizar o microcódigo do drive automaticamentePara os clusters que executam o OneFS 7.2 ou posterior, instale o pacote de suporte a drives mais recente em um nó para atualizar automaticamente o microcódigo para um drive novo ou de substituição.

As informações no pacote de suporte a drives determinam se o microcódigo do drive deve ser atualizado antes do drive ser formatado e usado. Se uma atualização estiver disponível, o drive é atualizado automaticamente com o microcódigo mais recente.

NOTA: Os drives novos e de substituição adicionados a um cluster são formatados independentemente do status da

revisão do microcódigo. Você pode identificar uma falha de atualização do microcódigo exibindo o status do microcódigo

60 Administração geral de cluster

para os drives em um nó específico. Em caso de falha, execute o comando isi devices com a ação fwupdate no nó

para atualizar manualmente o microcódigo. Por exemplo, execute o seguinte comando para atualizar manualmente o

microcódigo no nó 1:

isi devices -a fwupdate -d 1

Gerenciando nós do clusterVocê pode adicionar e remover nós de um cluster. Também é possível desligar ou reiniciar todo o cluster.

Adicionar um nó a um clusterVocê pode adicionar um novo nó a um cluster existente do Isilon.

Antes de adicionar um nó a um cluster, verifique se há um endereço IP interno disponível. Adicione os endereços IP conforme necessário antes de adicionar um novo nó.

Se um novo nó estiver executando uma versão diferente do OneFS que a do cluster, o sistema alterará a versão do nó do OneFS para corresponder à do cluster.

NOTA: Para obter informações específicas sobre a compatibilidade de versões entre o OneFS e o hardware do Isilon,

consulte Guia de Compatibilidade e Capacidade de Suporte do Isilon.

1. Clique em Cluster Management > Hardware Configuration > Add Nodes.

2. Na tabela Available Nodes, clique em Add para o nó que você deseja adicionar ao cluster.

Remover um nó do clusterVocê pode remover um nó de um cluster do OneFS. Ao remover um nó, o sistema provoca o smartfail do nó para garantir que os dados no nó sejam transferidos a outros nós do cluster.

A remoção de um nó de armazenamento de um cluster exclui os dados desse nó. Antes de excluir os dados do sistema, o trabalho FlexProtect redireciona com segurança os dados nos nós restantes no cluster.

1. Acesse Cluster Management > Hardware Configuration > Remove Nodes.

2. Na área Remove Node, especifique o nó que deseja remover.

3. Clique em Submit.

Se você remover um nó de armazenamento, a área Cluster Status exibirá o progresso do smartfail. Se você remover um nó acelerador que não seja de armazenamento, ele será removido do cluster imediatamente.

Modificar o LNN de um nóVocê pode modificar o LNN (Logical Node Number) de um nó. Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

Os nós de seu cluster podem ser renomeados para qualquer nome/número inteiro entre 1 e 144. Ao alterar o nome de seu nó, você estará redefinindo o LNN.

NOTA: Embora você possa especificar qualquer número inteiro como um LNN, recomendamos que você não especifique

um número inteiro maior que 144. Isso pode resultar em uma degradação significativa do desempenho.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Abra o prompt do comando isi config executando o seguinte comando:

isi config

3. Execute o comando lnnset .O seguinte comando altera o LNN de um nó de 12 para 73:

lnnset 12 73

4. Digite commit .

Você pode precisar se reconectar a sua sessão SSH antes que o nome do novo nó seja alterado automaticamente.

Administração geral de cluster 61

Desligar ou reiniciar um nóVocê pode desligar ou reiniciar nós individuais ou todos os nós de um cluster do Isilon.

1. Clique em Cluster Management > Hardware Configuration > Nodes.

2. Na área Nodes, selecione um ou mais nós clicando nas caixas de seleção correspondentes e especifique uma ação:

Desligar Desliga o nó.

Reinicializar Interrompe e, em seguida, reinicia o nó.

Como alternativa, selecione um nó e, na coluna Actions, execute uma das seguintes opções:

• Clique em More > Shut down node para desligar o nó.• Clique em More > Reboot node para interromper e reiniciar o nó.

Fazendo upgrade do OneFSHá duas opções disponíveis para fazer upgrade do sistema operacional OneFS: um rolling upgrade ou um upgrade simultâneo. Antes de fazer upgrade do software do OneFS, deve ser realizada uma verificação pré-upgrade.

Um rolling upgrade faz o upgrade e reinicia individualmente cada nó do cluster do Isilon de modo sequencial. Durante um rolling upgrade, o cluster permanece on-line e continua atendendo aos clients sem interrupção no serviço, embora algumas redefinições da conexão possam ocorrer nos clients de SMB. Os rolling upgrades são executados em sequência por número de nós. Assim, um rolling upgrade leva mais tempo para ser concluído que um upgrade simultâneo. O nó final do processo de upgrade é o nó que você usou para iniciar o processo de upgrade.

NOTA: Os rolling upgrades não estão disponíveis para todos os clusters. Para obter instruções sobre como planejar um

upgrade, preparar o cluster para upgrade e realizar um upgrade do sistema operacional, consulte Upgrades do OneFS –

Hub de informações do Isilon

O upgrade simultâneo instala o novo sistema operacional e reinicia todos os nós do cluster ao mesmo tempo. Upgrades simultâneos são mais rápidos que rolling upgrades, mas exigem uma interrupção temporária do serviço durante o processo de upgrade. Seus dados ficarão inacessíveis até a conclusão do processo de upgrade.

Antes de iniciar um upgrade simultâneo ou um rolling upgrade, o OneFS compara o cluster e o sistema operacional atuais com a nova versão para garantir que o cluster atenda a certos critérios, como a compatibilidade de configuração (SMB, LDAP, SmartPools), a disponibilidade do disco e a ausência de eventos críticos do cluster. Se o upgrade colocar o cluster em risco, o OneFS avisará você, apresentará informações sobre os riscos e solicitará que você confirme se deseja continuar o upgrade.

Se o cluster não atender aos critérios pré-upgrade, o upgrade será interrompido e os status não compatíveis serão listados.

NOTA: Recomendamos que você execute as verificações opcionais pré-upgrade. Antes de iniciar um upgrade, o OneFS

verifica se o cluster está suficientemente íntegro para concluir o processo de upgrade. Algumas verificações pré-

upgrade são obrigatórias e serão executadas, mesmo se você optar por ignorar as verificações opcionais. Todas as

verificações pré-upgrade contribuem para um upgrade mais seguro.

Suporte remotoOneFS permite o suporte remoto por meio do Secure Remote Services ((E)SRS), que monitora o cluster e, com sua permissão, oferece acesso remoto à equipe de suporte técnico do Isilon para coletar dados do cluster e solucionar problemas. (E)SRS é um sistema seguro de suporte ao cliente que inclui monitoramento remoto 24 horas por dia, 7 dias por semana e autenticação segura com criptografia AES de 256 bits e certificados digitais da RSA.

Embora o (E)SRS não seja um recurso licenciado, o cluster do OneFS deverá estar licenciado para que o (E)SRS seja ativado.

NOTA: Não será possível ativar o (E)SRS se você estiver usando uma licença de avaliação no cluster. Deverá haver uma

licença assinada do OneFS para ativar o (E)SRS.

Quando configurado, o (E)SRS monitora o cluster do Isilon e envia alertas sobre a integridade dos dispositivos. A equipe de suporte técnico do Isilon pode estabelecer sessões remotas por meio de SSH ou da interface de back-end da Dell EMC. Durante as sessões remotas, a equipe de suporte pode executar scripts de suporte remoto que coletam dados de diagnóstico sobre as configurações e operações do cluster. Os dados de diagnóstico são enviados por uma conexão segura do (E)SRS ao Dell EMC (E)SRS.

62 Administração geral de cluster

Se você ativar o suporte remoto, a equipe de suporte técnico do Isilon poderá estabelecer uma sessão de SSH segura com o cluster por meio da conexão do (E)SRS. O acesso remoto ao cluster ocorre apenas no contexto de um caso de suporte aberto. É possível permitir ou negar a solicitação de sessão remota da equipe de suporte técnico do Isilon.

NOTA: As credenciais do usuário de suporte remoto são necessárias para acessar o cluster, não as credenciais do

usuário geral do cluster ou do administrador do sistema. OneFS não armazena as credenciais do usuário necessárias.

Uma descrição completa dos recursos e das funcionalidades do (E)SRS está disponível na versão mais recente do documento Descrição Técnica do EMC Secure Remote Services. A documentação adicional do (E)SRS está disponível em Dell EMC Support by Product.

Configurando o suporte ao Secure Remote ServicesÉ possível configurar o suporte ao Secure Remote Services ((E)SRS) no cluster do Isilon. (E)SRS agora, está configurado para todo o cluster com um só registro, e não um nó por vez, como nas versões anteriores do OneFS.

Antes de configurar o (E)SRS no OneFS, pelo menos um servidor (E)SRS Virtual Edition Gateway (servidor ESRS v3) deve ser instalado e configurado. O servidor ESRS v3 age como o ponto único de entrada e de saída para atividades de suporte remoto e notificações de monitoramento. Se necessário, configure um servidor (E)SRS v3 secundário como failover.

(E)SRS não oferece suporte a comunicações IPv6. Para oferecer suporte às transmissões e conexões remotas do (E)SRS, pelo menos uma sub-rede do cluster do Isilon deve ser configurada para endereços IPv4. Todos os nós que serão gerenciados pelo (E)SRS devem ter no mínimo uma interface de rede que seja membro de um pool de endereços IPv4.

Ao ativar o suporte ao (E)SRS em um cluster, é possível criar regras para conexões de suporte remoto ao cluster do Isilon com o (E)SRS Policy Manager. A configuração do Policy Manager é separada do sistema ESRS v3.

Os detalhes sobre o Policy Manager estão disponíveis no Guia de Instalação do EMC Secure Remote Services mais recente.

A tabela a seguir lista os recursos e aprimoramentos disponíveis com o (E)SRS para o OneFS 8.1 e versões posteriores.

Tabela 1. (E)SRS recursos e aprimoramentos

Recurso Descrição

Consolidação (E)SRS consolida os pontos de acesso de suporte técnico oferecendo uma arquitetura uniforme e com base em padrões para acesso remoto em todas as linhas de produtos da Dell EMC. Os benefícios incluem custos reduzidos por meio da eliminação de modems e linhas telefônicas, autorização controlada do acesso para eventos de serviços remotos e registro consolidado do acesso remoto para análise de auditoria.

Mais segurança • Segurança digital abrangente — a segurança do (E)SRS inclui criptografia de dados de Transport Layer Security (TLS), encapsulamento de TLS v1.2 com criptografia de dados SHA-2 de 256 bits do Advanced Encryption Standard (AES), autenticação de entidades (certificados digitais privados) e autenticação de usuário de acesso remoto verificada por meio da segurança de rede da Dell EMC.

• Controles de autorização — os controles de política permitem que a autorização personalizada aceite, recuse ou exija a aprovação dinâmica para conexões à infraestrutura de dispositivos da Dell EMC no nível de dispositivos e de aplicativos de suporte, com o uso do Policy Manager.

• Encapsulamento seguro de sessões de acesso remoto — o (E)SRS estabelece sessões remotas usando a atribuição de portas seguras de IP e aplicativos entre os endpoints de origem e de destino.

Transferência de dados de utilização de licenciamento (E)SRS v3 oferece suporte à transferência de dados de uso de licenciamento à Dell EMC, a partir dos produtos Dell EMC. Esses produtos devem ser gerenciados pelo (E)SRS v3 e ser ativados para que o Usage Intelligence envie dados de uso. Dell EMC processa dados de uso e apresenta relatórios do Usage Intelligence, visíveis aos clientes e à Dell EMC, para monitorar melhor o uso de produtos e gerenciar a conformidade.

Administração geral de cluster 63

Recurso Descrição

Atualizações automáticas de software (software de gateway) (E)SRS v3 verifica automaticamente se há atualizações do software Dell EMC (E)SRS VE Gateway e notifica os usuários por e-mail assim que elas se tornam disponíveis. Além disso, o painel de indicadores da IU na Web do (E)SRS exibe as atualizações mais recentes disponíveis quando elas ficam disponíveis. Os usuários podem aplicar atualizações conforme desejarem a partir da IU na Web do (E)SRS v3.

MFT (Managed File Transfer) MFT é um mecanismo de transferência bidirecional de arquivos oferecido como parte do (E)SRS v3. Você pode usar o MFT para enviar ou receber arquivos grandes, como arquivos de log, microcódigos, scripts ou grandes arquivos de instalação entre o produto e a Dell EMC. Uma distribuição "locker" é usada para staging bidirecional de arquivos.

Scripts e comandos de diagnósticoDepois de ativar o suporte remoto por meio do (E)SRS, a equipe de suporte técnico do Isilon pode solicitar comandos e scripts de diagnóstico que coletam dados do cluster e, em seguida, fazer upload desses dados.

Os scripts se baseiam nas ferramentas isi diagnostics gather e isi diagnostics netlogger. Eles estão localizados no diretório /ifs/data/Isilon_Support/ de cada nó.

NOTA: Os comandos isi diagnostics gather e isi diagnostics netlogger substituem o comando

isi_gather_info.

Além disso, se o (E)SRS estiver ativado, a ferramenta isi_phone_home também será ativada. Essa ferramenta se concentra em dados específicos de clusters e nós e é predefinida para enviar informações sobre um cluster ao suporte técnico do Isilon semanalmente. É possível ativar ou desativar o isi_phone_home na interface de linha de comando do OneFS.

A tabela a seguir lista as atividades de coleta de dados realizadas pelos scripts de suporte remoto. Mediante a solicitação de um representante do suporte técnico do Isilon, esses scripts podem ser executados automaticamente para coletar informações sobre as definições e operações de configuração de um cluster. As informações são enviadas ao (E)SRS por meio da conexão segura do (E)SRS, para que estejam disponíveis para análise pela equipe de suporte técnico do Isilon. Os scripts de suporte remoto não afetam os serviços de cluster nem a disponibilidade dos dados.

Tabela 2. Comandos e subcomandos do isi diagnostics gatherComando Descrição

isi diagnostics gatherstart Inicia a coleta e faz upload de todas as informações recentes de registro do cluster.

isi diagnostics gatherstop Interrompe a coleta de informações do cluster.

isi diagnostics gatherstatus Informa o status do cluster.

isi diagnostics gather settings view Visualiza as configurações de coleta.

isi diagnostics gather settingsmodify --esrs Configura o (E)SRS para upload da coleta.

isi diagnostics gather settings modify --ftp-upload Controla se usará ou não o upload do FTP na coleta concluída

isi diagnostics gather settingsmodify --ftp-upload-host

Configura o host do FTP ao qual será feito o upload.

isi diagnostics gather settingsmodify --ftp-upload-pass

Configura a senha do usuário do FTP. Consulte também --set-ftp-upload-pass.

isi diagnostics gather settingsmodify --ftp-upload-path

Configura o caminho do servidor FTP para upload.

isi diagnostics gather settingsmodify --ftp-upload-proxy

Configura o servidor proxy do FTP.

isi diagnostics gather settingsmodify --ftp-upload-proxy-port

Configura a porta para o servidor proxy do FTP.

64 Administração geral de cluster

Comando Descrição

isi diagnostics gather settingsmodify --ftp-upoad-user

Configura o usuário do FTP.

isi diagnostics gather settingsmodify --gather-mode Configura o tipo de coleta: completa ou incremental.

isi diagnostics gather settingsmodify --http-upload Define se usará ou não o upload do HTTP na coleta concluída.

isi diagnostics gather settingsmodify --help Exibe a ajuda desse comando.

isi diagnostics gather settingsmodify --http-upload-host

Configura o host do HTTP ao qual será feito o upload.

isi diagnostics gather settingsmodify --http-upload-path

Configura o caminho do upload.

isi diagnostics gather settingsmodify --http-upload-proxy

Configura o proxy a ser usado para o upload do HTTP.

isi diagnostics gather settingsmodify --http-upload-proxy-port

Configura a porta de proxy a ser usada para o upload do HTTP.

isi diagnostics gather settingsmodify --set-ftp-upload-pass

Especifique --ftp-upload-pass interativamente.

isi diagnostics gather settingsmodify --upload Ativa o upload da coleta.

isi diagnostics gather settingsmodify --verbose Exibe informações mais detalhadas.

Tabela 3. Comandos e subcomandos da isi diagnostics netlogger

Comando Descrição

isi diagnostics netloggerstart Inicia o processo netlogger.

isi diagnostics netloggerstop Interrompe o processo netlogger.

isi diagnostics netloggerstatus Informa o status do netlogger.

isi diagnostics netlogger settingsview Visualiza as configurações do netlogger.

isi diagnostics netlogger settingsmodify --clients Define o endereço IP ou endereços IP do client a serem filtrados.

isi diagnostics netlogger settings modify --count

Configura o número de arquivos de captura que será mantido depois de atingir o limite de duração. Assume como padrão os três últimos arquivos.

isi diagnostics netlogger settings modify --duration

Define por quanto tempo executar a captura antes de fazer rodízio do arquivo de captura. O padrão é 10 minutos.

isi diagnostics netlogger settings modify --help Exibe a ajuda desse comando.

isi diagnostics netlogger settings modify --interfaces

Especifica as interfaces de rede em que a captura será feita.

isi diagnostics netlogger settings modify --nodelist

Configura uma lista de nós na qual a captura será executada.

isi diagnostics netlogger settings modify --ports Configura a porta ou as portas TCP ou UDP a serem filtradas.

isi diagnostics netlogger settings modify --protocols

Configura os protocolos a serem filtrados: TCP, UDP, IP, ARP.

isi diagnostics netlogger settings modify --snaplength

Especifica a quantidade do pacote que será exibida. O padrão é 320 bytes. Um valor de 0 mostra todo o pacote.

Tabela 4. Scripts de informações do cluster

Ação Descrição

Limpar a pasta de observação Limpa o conteúdo de /var/crash.

Obter dados do aplicativo Coleta e faz upload das informações sobre programas de aplicativo do OneFS.

Administração geral de cluster 65

Ação Descrição

Gerar arquivos de painel de controle diariamente Gera informações de painel de controle diariamente.

Gerar a sequência de painel de controle Gera informações de painel de controle na sequência em que ocorreram.

Obter dados de ABR (como registro integrado) Coleta informações integradas sobre o hardware.

Obter controle de ATA e o status de GMirror Coleta resultados do sistema e invoca um script quando recebe um evento que corresponde a um eventid predeterminado.

Coletar dados do cluster Coleta e faz upload das informações sobre as operações e a configuração geral do cluster.

Exibir eventos de cluster Obtém o resultado de eventos críticos existentes e faz upload das informações.

Obter o status do cluster Coleta e faz upload dos detalhes do status do cluster.

Obter informações de contato Extrai informações de contato e faz upload de um arquivo de texto com as informações.

Obter conteúdo (var/crash) Faz upload do conteúdo de /var/crash.

Obter status do trabalho Coleta e faz upload dos detalhes sobre um trabalho que está sendo monitorado.

Obter dados do domínio Coleta e faz upload das informações sobre a associação do domínio do ADS (Active Directory Services) do cluster.

Obter dados do file system Coleta e faz upload das informações sobre o estado e a integridade do file system /ifs/ do OneFS.

Obter dados da IB Coleta e faz upload das informações sobre a configuração e a operação da rede de back-end InfiniBand.

Obter dados de registros Coleta e faz upload apenas das informações de registro mais recentes do cluster.

Obter mensagens Coleta e faz upload de arquivos /var/log/messages ativos.

Obter dados de rede Coleta e faz upload das informações sobre as definições de configuração e as operações da rede específica dos nós e de todo o cluster.

Obter clients NFS Executa um comando para verificar se os nós estão sendo usados como clients NFS.

Obter dados de nós Coleta e faz upload das informações sobre configuração, status, e informações operacionais específicas dos nós.

Obter dados de protocolo Coleta e faz upload das informações de status da rede e as definições de configuração dos protocolos NFS, SMB, HDFS, FTP e HTTP.

Obter estatísticas de client Pcap Coleta e faz upload de estatísticas do client.

Obter status somente leitura Avisa se o chassi está aberto e faz upload de um arquivo de texto com as informações do evento.

Obter dados de uso Coleta e faz upload das informações atuais e históricas sobre o desempenho e a utilização de recursos do nó.

Ativar e configurar (E)SRSVocê pode ativar o suporte ao Secure Remote Services ((E)SRS) e configurá-lo em um cluster do Isilon na IU da Web do OneFS.

O software do OneFS deve ter uma licença assinada para que você possa ativar e configurar o (E)SRS.

66 Administração geral de cluster

Além disso, o (E)SRS Gateway Server 3.x deverá estar instalado e configurado para que você possa ativar o (E)SRS para um cluster do OneFS 8.1 ou um cluster posterior do Isilon. Os pools de endereços IP que gerenciarão as conexões de gateway devem existir no sistema e devem pertencer a uma sub-rede do groupnet0, que é o groupnet padrão do sistema.

1. Clique em Cluster Management > General Settings > Remote Support.

2. Para ativar o (E)SRS, primeiramente, você deverá configurar o (E)SRS. Clique em Configure ESRS.

3. Se sua licença do OneFS não estiver assinada, clique em Update license now e siga as instruções em Licenciamento.

NOTA: Não será possível ativar o (E)SRS se você estiver usando uma licença de avaliação no cluster. Deverá haver

uma licença assinada do OneFS para ativar o (E)SRS.

Figura 1. Aviso de licença não assinada

Quando você tiver uma licença assinada do OneFS adicionada, poderá ativar e configurar o (E)SRS.

4. Clique em Configure ESRS.

5. No campo Primary ESRS gateway address, digite um endereço IPv4 ou o nome do servidor de gateway principal.

6. No campo Secondary ESRS gateway address, digite um endereço IPv4 ou o nome do servidor de gateway secundário.

7. Na seção Manage subnets and pools, selecione os pools de rede que deseja gerenciar.

8. Para enviar um alerta se o cluster perder a conexão, marque a caixa de seleção Create an alert if the cluster loses its connection with ESRS.

9. Para salvar as configurações, clique em Save Configuration.

10. Quando as definições de configuração estiverem concluídas, clique em Enable ESRS to se conectar ao gateway.A caixa de diálogo de log-in será aberta.

11. Digite o nome de usuário e a senha e clique em Enable ESRS.Se o nome de usuário ou a senha estiverem incorretos, ou se o usuário não estiver registrado na Dell EMC, uma mensagem de erro será gerada. Procure a seção u'message no texto de erro.

Administração geral de cluster 67

Figura 2. Erro de nome de usuário e senha inválidos

68 Administração geral de cluster

Zonas de acessoEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral de segurança dos dados• Diretrizes de diretórios base• Práticas recomendadas para zonas de acesso• Zonas de acesso de um cluster secundário do SyncIQ• Limites de zona de acesso• Qualidade de serviço• Controle de acesso com base em funções e em zonas (zRBAC)• Provedores de autenticação específicos de zonas• Gerenciando zonas de acesso

Visão geral de segurança dos dadosPara obter informações sobre segurança de dados, consulte o Guia de Administração do OneFS e o Guia de Administração da Interface de Linha de Comando do OneFS.

Diretrizes de diretórios baseUm diretório base define a árvore de file system que será exposta por uma zona de acesso. A zona de acesso não pode conceder acesso a todos os arquivos fora do diretório base. Você deve atribuir um diretório base para cada zona de acesso.

Os diretórios base restringem as opções de caminhos de vários recursos, como compartilhamentos de SMB, exportações NFS, diretório raiz do HDFS e o modelo do diretório de usuário do provedor local. O diretório base da zona de acesso System padrão é /ifs e não pode ser modificado.

Para obter isolamento de dados em uma zona de acesso, recomendamos a criação de um caminho exclusivo de diretório base que não seja idêntico a outro diretório base nem se sobreponha a ele, com exceção da zona de acesso System. Por exemplo, não especifique /ifs/data/hr como o diretório base para as zonas de acesso zone2 e zone3 ou, se /ifs/data/hr for atribuído à zone2, não atribua /ifs/data/hr/personnel à zone3.

O OneFS dá suporte à sobreposição de dados entre zonas de acesso para os casos em que seus workflows exigem dados compartilhados; no entanto, isso aumenta a complexidade da configuração de zona de acesso, o que pode causar problemas futuros com o acesso do client. Para obter os melhores resultados da sobreposição de dados entre as zonas de acesso, recomendamos que as zonas de acesso também compartilhem os mesmos provedores de autenticação. Os provedores compartilhados garantem que os usuários terão informações de identidade consistentes ao acessar os mesmos dados por meio de zonas de acesso diferentes.

Se não for possível configurar os mesmos provedores de autenticação para zonas de acesso com dados compartilhados, recomendamos as seguintes práticas recomendadas:

• Selecione o Active Directory como o provedor de autenticação em cada zona de acesso. Isso faz com que arquivos armazenem identificadores de segurança globalmente exclusivos como a identidade em disco, eliminando a chance de usuários de diferentes zonas terem acesso a dados uns do outros.

• Evite selecionar local, LDAP e NIS como os provedores de autenticação das zonas de acesso. Esses provedores de autenticação usam IDs exclusivos e IDs de grupo que não podem ser garantidos como globalmente exclusivos. Isso resulta em uma alta probabilidade de que os usuários de diferentes zonas possam acessar dados uns dos outros

• Defina a identidade em disco para nativa ou, preferencialmente, para identificador de segurança. Quando existirem mapeamentos de usuário entre os usuários do Active Directory e do UNIX ou se a opção Services for Unix estiver ativada para o provedor do Active Directory, o OneFS armazenará os SIDs, e não os UIDs, como a identidade em disco.

4

Zonas de acesso 69

Práticas recomendadas para zonas de acessoAo seguir as diretrizes de práticas recomendadas, você pode evitar problemas de configuração no cluster do Isilon ao criar zonas de acesso.

Prática recomendada Detalhes

Criar diretórios base exclusivos. Para obter o isolamento de dados, o caminho do diretório base de cada zona de acesso deve ser exclusivo e não deve se sobrepor ou ser aninhado no diretório base de outra zona de acesso. A sobreposição é permitida, mas só deverá ser usada se seus workflows exigirem dados compartilhados.

Separar a função da zona do sistema de outras zonas de acesso. Reserve a zona do sistema para o acesso de configuração e crie zonas adicionais para acesso aos dados. Mova os dados atuais para fora da zona do sistema e para uma nova zona de acesso.

Criar zonas de acesso para isolar o acesso aos dados para os diferentes clients ou usuários.

Não crie zonas de acesso se um workflow exigir o compartilhamento de dados entre diferentes classes de clients ou usuários.

Atribuir somente um provedor de autenticação de cada tipo para cada zona de acesso.

Uma zona de acesso é limitada a um só provedor do Active Directory; no entanto, o OneFS permite vários provedores de autenticação LDAP, NIS de file em cada zona de acesso. Recomenda-se que você atribua apenas um tipo de cada provedor por zona de acesso para simplificar a administração.

Evitar a sobreposição dos intervalos de UID (Unique Identifier, ID exclusivo) ou GID (Group Identifier, ID de grupo) para provedores de autenticação na mesma zona de acesso.

O potencial de conflitos nas zonas de acesso é pequeno, mas possível se houver IDs exclusivos/IDs de grupo sobrepostos na mesma zona de acesso.

Zonas de acesso de um cluster secundário do SyncIQCom algumas limitações, é possível criar zonas de acesso em um cluster secundário do SyncIQ usado para backup e recuperação de desastres.

Se você tiver uma licença ativa do SyncIQ, poderá manter um cluster secundário do Isilon para fins de backup e failover, caso seu servidor primário fique off-line. Quando você executa um trabalho de replicação no servidor primário, os file data são replicados para o servidor de backup, inclusive os caminhos de diretórios e outros metadados associados a esses arquivos.

No entanto, as definições de configuração do sistema, como zonas de acesso, não são replicadas para o servidor secundário. Em um cenário de failover, você provavelmente precisaria que as definições de configuração dos clusters principal e secundário fossem semelhantes, se não idênticas.

Na maioria dos casos, inclusive com zonas de acesso, recomendamos que você defina as configurações do sistema antes de executar um trabalho de replicação do SyncIQ. O motivo para isso é que um trabalho de replicação coloca os diretórios de destino em modo somente leitura. Se você tentar criar uma zona de acesso quando o diretório base já estiver em modo somente leitura, o OneFS impedirá isso e gerará uma mensagem de erro.

Limites de zona de acessoVocê pode seguir as diretrizes de limites de zonas de acesso para ajudar a dimensionar as cargas de trabalho no sistema OneFS.

Se você configurar várias zonas de acesso em um cluster do Isilon, as diretrizes de limite serão recomendadas para obter o melhor desempenho do sistema. Os limites descritos em Guia de Especificações Técnicas do Isilon OneFS são recomendados para fluxos de trabalho corporativos intensos de um cluster, tratando cada zona de acesso como um servidor físico separado. Você pode encontrar esse guia de especificações técnicas e a documentação relacionada ao Isilon em Documentação do OneFS 8.1.0 – Hub de informações do Isilon.

Qualidade de serviçoVocê pode definir limites superiores da qualidade de serviço atribuindo recursos físicos específicos a cada zona de acesso.

70 Zonas de acesso

A qualidade de serviço aborda as características físicas do desempenho de hardware que podem ser medidas, melhoradas e, às vezes, garantidas. As características medidas para a qualidade de serviço incluem, sem limitações, as taxas de throughput, a utilização da CPU e a capacidade do disco. Ao compartilhar o hardware físico de um cluster do Isilon em várias instâncias virtuais, haverá concorrência para os seguintes serviços:

• CPU• Memória• Largura de banda da rede• I/O de disco• Capacidade do disco

As zonas de acesso não oferecem garantias lógicas de qualidade de serviço a esses recursos, mas você pode particioná-los entre as zonas de acesso em um só cluster. A seguinte tabela descreve algumas maneiras de particionar os recursos para melhorar a qualidade de serviço:

Uso Observações

NICs Você pode atribuir NICs (Network Interface Cards, placas de interface da rede) específicas em nós específicos a um pool de endereços IP que esteja associado a uma zona de acesso. Ao atribuir essas NICs, você pode determinar os nós e as interfaces que são associados a uma zona de acesso. Isso permite a separação da CPU, da memória e da largura de banda da rede.

SmartPools Os SmartPools são separados por classes de equivalência de hardware dos nós, geralmente em vários níveis de desempenho: alto, médio e baixo. Os dados gravados em um SmartPool são gravados apenas nos discos dos nós desse pool.

A associação de um pool de endereços IP somente aos nós de um só SmartPool permite o particionamento dos recursos de I/O de disco.

SmartQuotas Com o SmartQuotas, você pode limitar a capacidade do disco a um usuário ou um grupo ou em um diretório. Ao aplicar uma cota ao diretório base de uma zona de acesso, você pode limitar a capacidade do disco utilizada nessa zona de acesso.

Controle de acesso com base em funções e em zonas (zRBAC)Você pode atribuir funções e um subconjunto de privilégios aos usuários por zona de acesso.

O controle de acesso com base em funções (RBAC) oferece suporte à concessão de privilégios e a capacidade de realizar determinadas tarefas aos usuários. As tarefas podem ser realizadas por meio da API da plataforma, como criação, modificação ou visualização de NFS exportações, compartilhamentos SMB, provedores de autenticação e várias configurações de cluster.

Os usuários podem querer realizar essas tarefas em uma só zona de acesso, permitindo que um administrador local crie compartilhamentos SMB para uma zona de acesso específica, por exemplo, mas não permitindo que o administrador modifique a configuração que afetaria outras zonas de acesso.

Antes do zRBAC, somente os usuários da zona de acesso System recebiam privilégios. Esses usuários podiam visualizar e modificar a configuração em todas as outras zonas de acesso. Portanto, um usuário com um privilégio específico era um administrador global da configuração que estava acessível por meio desse privilégio.

o zRBAC permite que você atribua funções e um subconjunto de privilégios que devem ser atribuídos por zona de acesso. As tarefas administrativas abordadas pelos privilégios com reconhecimento de zona podem ser delegadas ao administrador de uma zona de acesso específica. Como resultado, você pode criar um administrador local que é responsável por uma só zona de acesso. Um usuário da zona de acesso System pode afetar todas as outras zonas de acesso e continua sendo um administrador global.

Privilégios das zonas de acesso que não a SystemOs privilégios disponíveis nas zonas de acesso que não a System são listados na tabela a seguir.

Zonas de acesso 71

Privilégio Descrição

ISI_PRIV_AUDIT • Adicionar/remover sua zona da lista de zonas auditadas• Visualizar/modificar as configurações de auditoria específicas de zona para sua zona• Visualizar configurações globais de auditoria

ISI_PRIV_AUTH • Visualizar/editar sua zona de acesso• Criar/modificar/visualizar funções em sua zona de acesso• Visualizar/modificar as configurações de mapeamento de autenticação para sua zona• Visualizar as configurações globais relacionadas à autenticação

ISI_PRIV_FILE_FILTER Usar todas as funcionalidades associadas a esse privilégio em sua própria zona.

ISI_PRIV_HDFS Usar todas as funcionalidades associadas a esse privilégio em sua própria zona.

ISI_PRIV_NFS • Visualizar as configurações globais do NFS, mas não modificá-las.• Caso contrário, usar todas as funcionalidades associadas a esse privilégio em sua própria zona.

ISI_PRIV_ROLE Usar todas as funcionalidades associadas a esse privilégio, mas apenas em sua própria zona.

ISI_PRIV_SMB • Visualizar as configurações globais do SMB, mas não modificá-las.• Caso contrário, usar todas as funcionalidades associadas a esse privilégio em sua própria zona.

ISI_PRIV_SWIFT Usar todas as funcionalidades associadas a esse privilégio em sua própria zona.

ISI_PRIV_VCENTER Configurar o VMware vCenter

ISI_PRIV_LOGIN_PAPI Acessar a IU da Web por meio de uma zona de acesso que não a System

ISI_PRIV_BACKUP Ignorar verificações de permissão de arquivo e conceder todas as permissões de leitura.

ISI_PRIV_RESTORE Ignorar verificações de permissão de arquivo e conceder todas as permissões de gravação.

ISI_PRIV_NS_TRAVERSE Atravessar e visualizar os metadados de diretório no caminho básico da zona.

ISI_PRIV_NS_IFS_ACCESS Acessar diretórios no caminho básico da zona por meio do RAN

Funções integradas em zonas que não a SystemEm uma zona de acesso que não seja a System, são oferecidas duas funções integradas. As funções com seus privilégios estão listadas abaixo:

Função Descrição Privilégios

ZoneAdmin Permite a administração de aspectos de configuração que estão relacionados à zona de acesso atual.

• ISI_PRIV_LOGIN_PAPI• ISI_PRIV_AUDIT• ISI_PRIV_FILE_FILTER• ISI_PRIV_HDFS• ISI_PRIV_NFS• ISI_PRIV_SMB• ISI_PRIV_SWIFT• ISI_PRIV_VCENTER• ISI_PRIV_NS_TRAVERSE• ISI_PRIV_NS_IFS_ACCESS

ZoneSecurityAdmin Permite a administração dos aspectos de configuração de segurança relacionados à zona de acesso atual.

• ISI_PRIV_LOGIN_PAPI• ISI_PRIV_AUTH• ISI_PRIV_ROLE

NOTA: Essas funções não têm usuários padrão que sejam atribuídos automaticamente a elas.

72 Zonas de acesso

Provedores de autenticação específicos de zonasAlgumas informações sobre como os provedores de autenticação funcionam com o zRBAC.

Os provedores de autenticação são objetos globais em um cluster do OneFS. No entanto, como parte do recurso zRBAC, um provedor de autenticação é associado implicitamente à zona de acesso a partir da qual ele foi criado e tem determinados comportamentos que são baseados nessa associação.

• Todas as zonas de acesso podem visualizar e usar um provedor de autenticação que é criado a partir da zona System. No entanto, apenas uma solicitação da zona de acesso System pode modificá-lo ou excluí-lo.

• Um provedor de autenticação que é criado a partir de (ou em nome de) uma zona de acesso que não seja a System só poderá ser visualizado, modificado ou excluído por essa zona de acesso e pela zona System.

• Um provedor de autenticação local será implicitamente criado sempre que uma zona de acesso for criada e será associado a essa zona de acesso.

• Um provedor de autenticação local para uma zona de acesso que não seja a System não poderá mais ser usado por outra zona de acesso. Se você quiser compartilhar um provedor de autenticação local entre as zonas de acesso, ele deverá ser o provedor local da zona System.

• O nome de um provedor de autenticação ainda é global. Portanto, os provedores de autenticação devem ter nomes exclusivos. Assim, não é possível criar dois provedores do LDAP chamados ldap5 em diferentes zonas de acesso, por exemplo.

• O provedor de Kerberos só pode ser criado a partir da zona de acesso System.• A criação de dois provedores distintos do Active Directory (AD) para o mesmo AD pode exigir o uso do recurso de várias instâncias do

AD. Para atribuir um nome exclusivo ao provedor do AD, use --instance.

Gerenciando zonas de acessoVocê pode criar zonas de acesso em um cluster do Isilon, visualizar e modificar as configurações de zonas de acesso e excluir as zonas de acesso.

Criar uma zona de acessoVocê pode criar uma zona de acesso e definir um diretório base e provedores de autenticação.

1. Clique em Access > Access Zones.

2. Clique em Create an access zone.

3. No campo Zone Name, informe um nome para a zona de acesso.

4. No campo Zone Base Directory, especifique ou procure o caminho do diretório base da zona de acesso.

5. Se o diretório que você definir ainda não existir no sistema, marque a caixa de seleção Create zone base directory if it does not exist.

6. Na lista Groupnet, selecione um groupnet a ser associado à zona de acesso. A zona de acesso somente pode ser associada aos pools de endereços IP e provedores de autenticação que compartilham o groupnet selecionado.

7. Opcional: Clique em Add a Provider para abrir a janela Add a New Auth Provider e selecione um provedor de autenticação para a zona de acesso.

a) Na lista Authentication Provider Type, selecione um tipo do provedor. Um tipo de provedor somente será listado se uma instância desse tipo existir no sistema.

b) Na lista Authentication Provider Type, selecione o provedor de autenticação.c) Para alterar a ordem em que os provedores de autenticação são pesquisados durante a autenticação e a consulta do usuário, clique

na barra de título de uma instância do provedor e arraste-a para uma nova posição na lista.

8. Clique em Create Zone.

9. Se o diretório que você definir se sobrepuser ao diretório base de outra zona de acesso, clique em Create no prompt do sistema para confirmar que deseja permitir o acesso aos usuários de ambas as zonas de acesso.

Para que os usuários possam se conectar a uma zona de acesso, você deverá associá-lo a um pool de endereços IP.

Conceitos relacionados

Visão geral de segurança dos dados

Gerenciando zonas de acesso

Zonas de acesso 73

Tarefas relacionadas

Associar um pool de endereços IP a uma zona de acesso

Atribuir um diretório base sobrepostoVocê pode criar diretórios base sobrepostos entre zonas de acesso para os casos em que seus workflows exigirem dados compartilhados.

1. Clique em Access > Access Zones.

2. Ao lado da zona de acesso que deseja modificar, clique em View/Edit.O sistema exibirá a janela View Access Zone Details.

3. Clique em Edit.O sistema exibirá a janela Edit Access Zone Details.

4. No campo Zone Base Directory, especifique ou procure o caminho do diretório base da zona de acesso.

5. Clique em Save Changes.

O sistema solicitará que você confirme se o diretório definido se sobrepõe ao diretório base de outra zona de acesso.

6. Clique em Update no prompt do sistema para confirmar que você deseja permitir o acesso a dados aos usuários de ambas as zonas de acesso.

7. Clique em Close.

Para que os usuários possam se conectar a uma zona de acesso, você deverá associá-lo a um pool de endereços IP.

Conceitos relacionados

Visão geral de segurança dos dados

Gerenciando zonas de acesso

Gerenciar provedores de autenticação de uma zona de acessoVocê pode adicionar e remover os provedores de autenticação de uma zona de acesso e gerenciar a ordem na qual os provedores são verificados durante o processo de autenticação.

1. Clique em Access > Access Zones.

2. Clique em View/Editao lado da zona de acesso que deseja modificar.O sistema exibirá a janela View Access Zone Details.

3. Clique em Edit.O sistema exibirá a janela Edit Access Zone Details.

4. Opcional: Clique em Add a Provider para abrir a janela Add a New Auth Provider e selecione um provedor de autenticação para a zona de acesso.

a) Na lista Authentication Provider Type, selecione um tipo do provedor. Um tipo de provedor somente será listado se uma instância desse tipo existir no sistema.

b) Na lista Authentication Provider, selecione o provedor de autenticação.c) Para alterar a ordem em que os provedores de autenticação são pesquisados durante a autenticação e a consulta do usuário, clique

na barra de título de uma instância do provedor e arraste-a para uma nova posição na lista.

5. Clique em Create Zone.

6. Se o diretório que você definir se sobrepuser ao diretório base de outra zona de acesso, clique em Create no prompt do sistema para confirmar que você deseja permitir o acesso aos usuários em ambas as zonas de acesso.

Para que os usuários possam se conectar a uma zona de acesso, você deverá associá-lo a um pool de endereços IP.

Conceitos relacionados

Visão geral de segurança dos dados

Gerenciando zonas de acesso

74 Zonas de acesso

Associar um pool de endereços IP a uma zona de acessoVocê pode associar um pool de endereços IP a uma zona de acesso para garantir que os clients somente possam se conectar à zona de acesso por meio do intervalo de endereços IP atribuído ao pool.

O pool de endereços IP deve pertencer ao mesmo groupnet mencionado pela zona de acesso.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Na lista Access Zone, selecione a zona de acesso que deseja associar ao pool.

5. Clique em Save Changes.

Conceitos relacionados

Visão geral de segurança dos dados

Gerenciando zonas de acesso

Modificar uma zona de acessoVocê pode modificar as propriedades de qualquer zona de acesso com algumas exceções: não é possível alterar o nome da zona integrada do sistema e não é possível modificar o groupnet selecionado.

1. Clique em Access > Access Zones.

2. Ao lado da zona de acesso que deseja modificar, clique em View/Edit.O sistema exibirá a janela View Access Zone Details.

3. Clique em Edit.O sistema exibirá a janela Edit Access Zone Details.

4. Modifique as configurações desejas, clique em Save Changes e clique em Close.

Conceitos relacionados

Visão geral de segurança dos dados

Gerenciando zonas de acesso

Excluir uma zona de acessoVocê pode excluir todas as zonas de acesso, exceto a zona integrada System. Quando você exclui uma zona de acesso, todos os provedores de autenticação associados permanecem disponíveis para outras zonas, mas os endereços IP não são reatribuídos a outras zonas. Os compartilhamentos SMB, as exportações NFS e os caminhos de dados de HDFS são excluídos quando você exclui uma zona de acesso. Entretanto, os diretórios e os dados ainda existem, e você pode mapear compartilhamentos, exportações ou caminhos novos em outra zona de acesso.

1. Clique em Access > Access Zones.

2. Na tabela de zonas de acesso, clique em Delete ao lado da zona de acesso que deseja excluir.

3. Na caixa de diálogo Confirm Delete, clique em Delete.

Conceitos relacionados

Visão geral de segurança dos dados

Gerenciando zonas de acesso

Exibir uma lista de zonas de acessoVocê pode exibir uma lista de todas as zonas de acesso no cluster.

1. Clique em Access > Access Zones.

2. Ao lado da zona de acesso que deseja exibir, clique em View/Edit.O sistema exibirá a janela View Access Zone Details.

Zonas de acesso 75

3. Clique em Close.

Conceitos relacionados

Visão geral de segurança dos dados

Gerenciando zonas de acesso

Modificar uma função em uma zona de acessoVocê pode modificar as funções em nível de zona com a ajuda da lista Current access zone.

1. Clique em Access > Membership & Roles > Roles.

2. Na lista Current access zone , selecione a função adequada em nível de zona que deseja modificar.As funções associadas a essa zona de acesso serão exibidas.

3. Na área Roles, selecione uma função e clique em View / Edit.A caixa de diálogo View role details será exibida.

NOTA: Na lista More, selecione Copy ou Delete para copiar ou excluir uma função.

4. Clique em Edit Role e modifique as configurações conforme necessário na caixa de diálogo Edit role details.

5. Para voltar à caixa de diálogo View Role Details, clique em Save Changes.

6. Clique em Close.

76 Zonas de acesso

AutenticaçãoEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral da autenticação• Recursos dos provedores de autenticação• Visão geral do histórico do identificador de segurança• Métodos compatíveis de autenticação• Active Directory• LDAP• NIS• Autenticação Kerberos• Provedor de arquivos• Provedor local• Active Directory de várias instâncias• Gerenciando provedores do Active Directory• Gerenciando provedores de LDAP• Gerenciando provedores de NIS• Gerenciando autenticação do MIT Kerberos• Gerenciando provedores de arquivos• Gerenciando usuários e grupos locais

Visão geral da autenticaçãoÉ possível gerenciar as configurações de autenticação de seu cluster, incluindo provedores de autenticação, domínios do Active Directory, autenticação LDAP, NIS e Kerberos, provedores de arquivos e locais, autenticação baseada em vários fatores e muito mais.

Recursos dos provedores de autenticaçãoVocê pode configurar provedores de autenticação para seu ambiente.

Os provedores de autenticação dão suporte a uma combinação dos recursos descritos na tabela a seguir.

Recurso Descrição

Autenticação Todos os provedores de autenticação dão suporte à autenticação de texto não criptografado. Você também pode configurar alguns provedores para dar suporte à autenticação NTLM ou Kerberos.

Usuários e grupos O OneFS oferece a capacidade de gerenciar usuários e grupos diretamente no cluster.

Grupos de rede Específico para NFS, os grupos de rede restringem o acesso às exportações NFS.

Propriedades de usuários e grupos centradas em UNIX Shell de log-in, diretório de usuário, ID exclusivo e ID de grupo. As informações ausentes são complementadas pelos modelos de configuração ou por provedores de autenticação adicionais.

Propriedades de usuários e grupos centradas em Windows Identificador de segurança e domínio NetBIOS (Network Basic Input/Output System). As informações ausentes são complementadas pelos modelos de configuração.

5

Autenticação 77

Conceitos relacionados

Visão geral da autenticação

Visão geral do histórico do identificador de segurançaO histórico do SID (Security Identifier, identificador de segurança) preserva os direitos de acesso e associação dos usuários e grupos durante uma migração de domínio do Active Directory.

O histórico do SID (Security Identifier, identificador de segurança) preserva os direitos de acesso e associação dos usuários e grupos durante uma migração de domínio do Active Directory. Quando um objeto é movido para um novo domínio, o novo domínio gera um novo SID com um prefixo exclusivo e registra as informações do SID anterior em um campo do LDAP (Lightweight Directory Access Protocol). Esse processo garante que, no novo domínio, os usuários e grupos detenham os mesmos direitos de acesso e privilégios que tinham no domínio anterior.

Ao trabalhar com SIDs históricos, observe as condições a seguir.

• Use SIDs históricos somente para manter o acesso aos arquivos históricos e os privilégios de autenticação.• Não use SIDs históricos para adicionar novos usuários, grupos ou funções.• Sempre use o SID do objeto atual conforme definido pelo domínio para modificar um usuário ou para adicionar um usuário a qualquer

função ou grupo.

Métodos compatíveis de autenticaçãoVocê pode configurar provedores locais e remotos de autenticação para autenticar ou negar o acesso do usuário a um cluster.

A tabela a seguir compara os recursos que estão disponíveis em cada um dos provedores de autenticação compatíveis com o OneFS. Na tabela, um x indica que o recurso é totalmente compatível com um provedor, um asterisco (*) indica que é necessária a configuração ou o suporte adicional de outro provedor.

Provedor de autenticação

NTLM Kerberos Gerenciamento de usuários/ grupos

Grupos de rede

Propriedades do UNIX (RFC 2307)

Propriedades do Windows

Active Directory x x * x

LDAP * x x x *

NIS x x

Local x x x x

File x x x

MIT Kerberos x * * *

Conceitos relacionados

Visão geral da autenticação

Active DirectoryO Active Directory é uma implementação pela Microsoft das tecnologias LDAP (Lightweight Directory Access Protocol), Kerberos e DNS que pode armazenar informações sobre os recursos de rede. O Active Directory pode atender a muitas funções, mas a principal razão para associar o cluster a um domínio do AD é realizar a autenticação de usuários e de grupos.

Você pode associar o cluster a um domínio do Active Directory (AD) especificando o nome completo do domínio, que pode ser resolvido como um endereço IPv4 ou IPv6, e um nome de usuário com permissão de associação. Quando o cluster se associa a um domínio do AD, uma só conta de máquina do AD é criada. A conta de máquina estabelece um relacionamento de confiança com o domínio e permite que o cluster autentique e autorize usuários na floresta do Active Directory. De modo padrão, a conta de máquina tem o mesmo nome que o cluster. Se o nome do cluster tiver mais de 15 caracteres, o nome receberá a aplicação de hash e é exibido depois de se associar ao domínio.

78 Autenticação

O OneFS dá suporte a NTLM e Microsoft Kerberos para autenticação dos usuários do domínio do Active Directory. As credenciais de client do NTLM são obtidas do processo de log-in e, depois, apresentadas em formato criptografado de desafio/resposta para autenticação. As credenciais de client do Microsoft Kerberos são obtidas de um KDC (Key Distribution Center) e, depois, apresentadas ao estabelecer conexões de servidor. Para obter mais segurança e desempenho, recomendamos que você implemente o Kerberos, de acordo com as diretrizes da Microsoft, como o principal protocolo de autenticação do Active Directory.

Cada provedor do Active Directory deve ser associado um groupnet. O groupnet é um recipiente de sistema de rede de nível superior que gerencia a resolução de nome de host em relação aos nameservers DNS e contém as sub-redes e pools de endereços IP. O groupnet especifica quais propriedades de sistema de rede o provedor do Active Directory usará ao se comunicar com servidores externos. O groupnet associado ao provedor do Active Directory não pode ser alterado. Em vez disso, você deve excluir o provedor do Active Directory e criá-lo novamente com a nova associação de groupnet.

Você pode adicionar um provedor do Active Directory a uma zona de acesso como um método de autenticação para os clients que se conectam por meio da zona de acesso. O OneFS dá suporte a várias instâncias do Active Directory em um cluster do Isilon; no entanto, somente é possível atribuir um provedor do Active Directory por zona de acesso. A zona de acesso e o provedor do Active Directory devem fazer referência ao mesmo groupnet. Configure várias instâncias do Active Directory para conceder acesso aos vários conjuntos de domínios mutuamente não confiáveis. Caso contrário, configure uma só instância do Active Directory se todos os domínios tiverem um relacionamento de confiança. Você também pode interromper a autenticação por meio de um provedor do Active Directory removendo-o de todas as zonas de acesso associadas.

Conceitos relacionados

Visão geral da autenticação

Gerenciando provedores do Active Directory

LDAPO LDAP (Lightweight Directory Access Protocol) é um protocolo de sistema de rede que permite que você defina, consulte e modifique os serviços e recursos de diretório.

O OneFS pode autenticar usuários e grupos em um repositório do LDAP para conceder-lhes acesso ao cluster. O OneFS dá suporte à autenticação Kerberos para um provedor LDAP.

O serviço LDAP dá suporte aos seguintes recursos:

• Usuários, grupos e grupos de rede.• Esquemas LDAP configuráveis. Por exemplo, o esquema ldapsam permite a autenticação de NTLM via protocolo SMB para usuários

com atributos semelhantes aos do Windows.• Autenticação bind simples, com e sem TLS.• Redundância e balanceamento de carga nos servidores com dados idênticos de diretório.• Várias instâncias de provedores de LDAP para acesso aos servidores com dados de usuários diferentes.• Senhas criptografadas.• URIs de servidor IPv4 e IPv6.

Cada provedor LDAP deve ser associado a um groupnet. O groupnet é um recipiente de sistema de rede de nível superior que gerencia a resolução de nome de host em relação aos nameservers DNS e contém as sub-redes e pools de endereços IP. O groupnet especifica quais propriedades de sistema de rede o provedor de LDAP usará ao se comunicar com servidores externos. O groupnet associado ao provedor LDAP não pode ser alterado. Em vez disso, você deve excluir o provedor LDAP e criá-lo novamente com a nova associação de groupnet.

Você pode adicionar um provedor de LDAP a uma zona de acesso como um método de autenticação para clients que se conectam por meio da zona de acesso. Uma zona de acesso pode conter no máximo um provedor LDAP. A zona de acesso e o provedor LDAP devem fazer referência ao mesmo groupnet. Você pode interromper a autenticação por meio de um provedor LDAP removendo o provedor das zonas de acesso associadas.

Conceitos relacionados

Visão geral da autenticação

Gerenciando provedores de LDAP

NISO NIS (Network Information Service, serviço de informação da rede) oferece uniformidade da autenticação e das identidades nas LANs (Local Area Networks). O OneFS inclui um provedor de autenticação NIS que permite que você integre o cluster a sua infraestrutura de NIS.

Autenticação 79

O NIS, desenvolvido pela Sun Microsystems, pode autenticar usuários e grupos quando eles acessam o cluster. O provedor de NIS expõe os mapeamentos de senha, de grupo e de grupo de rede de um servidor de NIS. As pesquisas de nome de host também são compatíveis. Você pode especificar vários servidores para redundância e balanceamento de carga.

Cada provedor de NIS deve ser associado a um groupnet. O groupnet é um recipiente de sistema de rede de nível superior que gerencia a resolução de nome de host em relação aos nameservers DNS e contém as sub-redes e pools de endereços IP. O groupnet especifica quais propriedades de sistema de rede o provedor de NIS usará ao se comunicar com servidores externos. O groupnet associado ao provedor de NIS não pode ser alterado. Em vez disso, você deve excluir o provedor de NIS e criá-lo novamente com a nova associação de groupnet.

Você pode adicionar um provedor de NIS a uma zona de acesso como um método de autenticação para clients que se conectam por meio da zona de acesso. Uma zona de acesso pode conter no máximo um provedor de NIS. A zona de acesso e o provedor de NIS devem fazer referência ao mesmo groupnet. Você pode interromper a autenticação por meio de um provedor de NIS removendo o provedor das zonas de acesso associadas.

NOTA: O NIS é diferente do NIS+, ao qual o OneFS não dá suporte.

Conceitos relacionados

Visão geral da autenticação

Gerenciando provedores de NIS

Autenticação KerberosO Kerberos é um provedor de autenticação de rede que negocia tíquetes de criptografia para proteger uma conexão. O OneFS oferece suporte aos provedores de autenticação Microsoft Kerberos e MIT Kerberos em um cluster. Se você configurar um provedor do Active Directory, o suporte à autenticação Microsoft Kerberos será oferecido automaticamente. O MIT Kerberos funciona independentemente do Active Directory.

Para a autenticação do MIT Kerberos, defina um domínio administrativo conhecido como realm. Nesse realm, um servidor de autenticação tem a autoridade para autenticar um usuário, um host ou um serviço; o servidor pode ser resolvido para endereços IPv4 ou IPv6. Você tem a opção de definir um domínio Kerberos para permitir que as extensões adicionais de domínio sejam associadas ao realm.

O servidor de autenticação em um ambiente Kerberos é chamado de KDC (Key Distribution Center) e distribui tíquetes criptografados. Quando um usuário é autenticado com um provedor do MIT Kerberos em um realm, um tíquete criptografado com o SPN do usuário é criado e validado para aprovar com segurança a identificação do usuário para o serviço solicitado.

Cada provedor do MIT Kerberos deve ser associado um groupnet. O groupnet é um recipiente de sistema de rede de nível superior que gerencia a resolução de nome de host em relação aos nameservers DNS e contém as sub-redes e pools de endereços IP. O groupnet especifica quais propriedades de sistema de rede o provedor do Kerberos usará ao se comunicar com servidores externos. O groupnet associado com o provedor do Kerberos não pode ser alterado. Em vez disso, você deve excluir o provedor do Kerberos e criá-lo novamente com a nova associação de groupnet.

Você pode adicionar um provedor do Kerberos a uma zona de acesso como um método de autenticação para os clients que se conectam por meio da zona de acesso. Uma zona de acesso pode conter no máximo um provedor do MIT Kerberos. A zona de acesso e o provedor do Kerberos devem fazer referência ao mesmo groupnet. Você também pode interromper a autenticação por meio de um provedor do MIT Kerberos removendo-o de todas as zonas de acesso associadas.

Conceitos relacionados

Visão geral da autenticação

Visão geral dos keytabs e SPNsUm Key Distribution Center (KDC) é um servidor de autenticação que armazena contas e keytabs para os usuários que se conectam a um serviço de rede em um cluster. Uma keytab é uma tabela de chaves que armazena chaves para validar e criptografar tíquetes do Kerberos.

Um dos campos em uma entrada de keytab é um nome de entidade de serviço (SPN). Um SPN identifica uma instância de serviço exclusiva em um cluster. Cada SPN está associado a uma chave específica do Key Distribution Center. Os usuários podem usar o SPN e suas chaves associadas para obter tíquetes do Kerberos que permitem o acesso a vários serviços do cluster. Um membro da função SecurityAdmin pode criar novas chaves para os SPNs e modificá-los posteriormente conforme necessário. Geralmente, o SPN de um serviço é exibido como <service>/<fqdn>@<realm>.

NOTA: Os SPNs devem corresponder ao nome da zona SmartConnect e ao nome de host do FQDN do cluster. Se as

configurações da zona SmartConnect forem alteradas, você deverá atualizar os SPNs do cluster para que correspondam

às alterações.

80 Autenticação

Suporte a protocolo MIT KerberosO MIT Kerberos dá suporte a determinados protocolos padrão de comunicação de rede, como HTTP, HDFS e NFS. O MIT Kerberos não dá suporte aos protocolos SMB, SSH e FTP.

Para o suporte ao protocolo NFS, o MIT Kerberos devem ser ativado para uma exportação e também um provedor do Kerberos deve ser incluído na zona de acesso.

Provedor de arquivosUm provedor de arquivos permite que você ofereça uma origem autorizada de terceiros para as informações sobre usuários e grupos a um cluster do Isilon. Uma origem de terceiros é útil nos ambientes UNIX e Linux que sincronizam os arquivos /etc/passwd, /etc/group e etc/netgroup entre vários servidores.

Os arquivos BSD padrão de base de dados /etc/spwd.db e /etc/group servem como o provedor de arquivos que auxilia a área de armazenamento de um cluster. O arquivo spwd.db é gerado executando o comando pwd_mkdb na interface de linha de comando (CLI) do OneFS. Você pode fazer o script das atualizações aos arquivos de banco de dados.

Em um cluster do Isilon, um provedor de arquivos faz o hash das senhas com libcrypt. Para proporcionar a melhor segurança, recomendamos que você use o Modular Crypt Format no arquivo de origem /etc/passwd para determinar o algoritmo de hashing. O OneFS dá suporte aos seguintes algoritmos do Modular Crypt Format:

• MD5• NT-Hash• SHA-256• SHA-512

Para obter informações sobre outros formatos disponíveis de senha, execute o comando man 3 crypt na CLI para visualizar as páginas de manual de criptografia.

NOTA: O provedor de arquivos integrado do sistema inclui serviços para listar, gerenciar e autenticar nas contas do

sistema como root, admin e nobody. Recomendamos que você não modifique o provedor de arquivos do sistema.

Conceitos relacionados

Visão geral da autenticação

Provedor localO provedor local oferece recursos de autenticação e de pesquisa para as contas de usuário adicionadas por um administrador.

A autenticação local é útil quando os serviços de diretório do Active Directory, do LDAP ou do NIS não estão configurados ou quando um usuário ou um aplicativo específico precisa acessar o cluster. Os grupos locais podem incluir grupos integrados e grupos do Active Directory como membros.

Além de configurar as origens de autenticação com base na rede, você pode gerenciar os usuários e os grupos locais configurando uma política local de senha para cada nó do cluster. As configurações do OneFS especificam a complexidade das senhas, o tempo de vida e a reutilização das senhas e as políticas de bloqueio de tentativas de entrada de senha.

Conceitos relacionados

Visão geral da autenticação

Active Directory de várias instânciasSe você for um administrador de zonas locais, poderá criar sua própria instância do AD, mesmo se a instância do AD para o mesmo domínio já tiver sido criada globalmente ou em outra zona de acesso.

Anteriormente, apenas uma conexão com o Active Directory era permitida e o nome do provedor do Active Directory tinha que ser igual ao nome do domínio ao qual ele estava se conectando. Com a introdução dos provedores de autenticação de zonas locais, os administradores de zonas locais podem criar seu próprio provedor do Active Directory e modificar seus parâmetros. Para executar essa ação, você deve fazer duas coisas:

• Criar um novo nome de instância para esse provedor• Criar uma nova conta de máquina para essa conexão de provedor

Autenticação 81

Um provedor do AD pode ter um nome diferente do nome do domínio, usando -instance. Em seguida, os comandos podem usar o nome da instância para localizar o provedor do AD específico. Cada zona de acesso pode ter apenas um provedor de AD.

Gerenciando provedores do Active DirectoryVocê pode exibir, configurar, modificar e excluir os provedores do Active Directory. O OneFS inclui um arquivo de configuração do Kerberos para Active Directory, além do arquivo de configuração global do Kerberos. Os dois podem ser configurados na interface de linha de comando. Você também pode interromper a autenticação via um provedor do Active Directory removendo-o de todas as zonas de acesso que o estão usando.

Configurar um provedor do Active DirectoryVocê pode configurar um ou mais provedores do Active Directory e todos eles devem ser adicionados a um domínio separado do Active Directory. De modo padrão, quando você configura um provedor do Active Directory, ele é adicionado automaticamente à zona de acesso System.

NOTA: Considere as seguintes informações ao configurar um provedor do Active Directory:

• Ao ingressar no Active Directory a partir do OneFS, o tempo de cluster é atualizado do Active Directory Server desde

que um servidor NTP não tenha sido configurado para o cluster.

• Se você migrar os usuários para um domínio do Active Directory novo ou diferente, deverá redefinir as informações

de domínio de ACL depois de configurar o novo provedor. Você pode usar ferramentas de terceiros como o Microsoft

SubInACL.

1. Clique em Access > Authentication Providers > Active Directory.

2. Clique em Join a domain.

3. No campo Domain Name, especifique o nome do domínio completo do Active Directory, que pode ser resolvido para um endereço IPv4 ou IPv6.

O nome do domínio também será usado como o nome do provedor.

4. No campo User, digite o nome de usuário de uma conta que seja autorizada para se associar ao domínio do Active Directory.

5. No campo Password, digite a senha da conta do usuário.

6. Opcional: No campo Organizational Unit, digite o nome da unidade organizacional a ser conectada ao Active Directory Server. Especifique a OU no formato OuName ou OuName1/SubName2.

7. Opcional: No campo Machine Account, digite o nome da conta de máquina.

NOTA: Se você especificar uma OU para conexão, ocorrerá uma falha na associação do domínio se a conta de

máquina não residir na OU.

8. Na lista Groupnet, selecione o groupnet ao qual o provedor de autenticação fará referência.

9. Opcional: Para habilitar a autenticação do Active Directory para NFS, selecione Enable Secure NFS.

NOTA: Se você especificar uma OU para conexão, ocorrerá uma falha na associação do domínio se a conta de

máquina não residir na OU.

Se você habilitar essa configuração, o OneFS registrará SPNs de NFS durante a associação do domínio.

10. Opcional: Na área Advanced Active Directory Settings, defina as configurações avançadas que deseja usar. Recomenda-se que você não altere nenhuma configuração avançada sem entender suas consequências.

11. Clique em Join.

Conceitos relacionados

Gerenciando provedores do Active Directory

Referências relacionadas

Configurações do provedor do Active Directory

Modificar um provedor do Active DirectoryVocê pode modificar as configurações avançadas de um provedor do Active Directory.

1. Clique em Access > Authentication Providers > Active Directory.

82 Autenticação

2. Na tabela Active Directory Providers, clique em View details para o provedor cujas configurações deseja modificar.

3. Clique em Advanced Active Directory Settings.

4. Para cada configuração a ser modificada, clique em Edit, faça a alteração e clique em Save.

5. Opcional: Clique em Close.

Conceitos relacionados

Gerenciando provedores do Active Directory

Excluir um provedor do Active DirectoryAo excluir um provedor do Active Directory, você desconectará o cluster do domínio do Active Directory associado ao provedor, interrompendo o serviço para os usuários que o acessam. Ao sair de um domínio do Active Directory, os usuários não podem mais acessá-lo do cluster.

1. Clique em Access > Authentication Providers > Active Directory.

2. Na tabela Active Directory Providers, clique em Leave para o domínio do qual você deseja sair.

3. Na caixa de diálogo de confirmação, clique em Leave.

Conceitos relacionados

Gerenciando provedores do Active Directory

Configurações do provedor do Active DirectoryVocê pode visualizar ou modificar as configurações avançadas de um provedor do Active Directory.

Configuração Descrição

Services For UNIX Especifica se deverá haver suporte a atributos de RFC 2307 para controladores de domínio. O RFC 2307 é necessário para as tecnologias Windows UNIX Integration e Services for UNIX.

Map to primary domain Permite a pesquisa de nomes de usuário não qualificados no domínio principal. Se essa configuração não estiver habilitada, o domínio principal deverá ser especificado para cada operação de autenticação.

Ignore trusted domains Ignora todos os domínios confiáveis.

Trusted Domains Especifica domínios confiáveis a serem incluídos se a configuração Ignore Trusted Domains estiver habilitada.

Domains to Ignore Especifica domínios confiáveis a serem ignorados se a configuração Ignore Trusted Domains estiver desabilitada.

Send notification when domain is unreachable Envia um alerta conforme especificado nas regras de notificação globais.

Use enhanced privacy and encryption Criptografa a comunicação que entra e sai do controlador de domínio.

Home Directory Naming Especifica o caminho que será utilizado como modelo para nomear os diretórios de usuário. O caminho deve começar com /ifs e pode conter variáveis, como %U, que são expandidas para gerar o caminho do diretório de usuário.

Create home directories on first login Cria um diretório de usuário na primeira vez que um usuário fizer log-in se não houver um diretório de usuário para ele.

UNIX Shell Especifica o caminho ao shell de log-in que será usado se o servidor do Active Directory não especificar informações de shell de log-in. Esta configuração somente se aplica aos usuários que acessam o file system via SSH.

Autenticação 83

Configuração Descrição

Query all other providers for UID Se nenhum ID exclusivo estiver disponível no Active Directory, pesquisa os usuários do Active Directory em todos os outros provedores para alocar um ID exclusivo.

Match users with lowercase Se nenhum ID exclusivo estiver disponível no Ative Directory, padroniza nomes de usuário do Active Directory em minúsculas antes da pesquisa.

Auto-assign UIDs Se nenhum ID exclusivo estiver disponível no Active Directory, permite a alocação de ID exclusivo para usuários do Active Directory não associados.

Query all other providers for GID Se nenhum ID de grupo estiver disponível no Active Directory, pesquisa os grupos do Active Directory em todos os outros provedores para alocar um ID de grupo.

Match groups with lowercase Se nenhum ID de grupo estiver disponível no Active Directory, padroniza nomes de grupos do Active Directory em minúsculas antes da pesquisa.

Auto-assign GIDs Se nenhum ID de grupo estiver disponível no Active Directory, permite a alocação de IDs de grupo para grupos do Active Directory não associados.

Make UID/GID assignments for users and groups in these specific domains

Restringe pesquisas de usuários e grupos aos domínios especificados.

Gerenciando provedores de LDAPVocê pode exibir, configurar, modificar e excluir os provedores de LDAP. Além disso, também é possível interromper a autenticação via um provedor de LDAP removendo-o de todas as zonas de acesso que o estão usando.

Configurar um provedor de LDAPPor padrão, quando você configura um provedor de LDAP, ele é adicionado automaticamente à zona de acesso do sistema.

1. Clique em Access > Authentication Providers > LDAP.

2. Clique em Add an LDAP Provider.

3. No campo LDAP provider name, digite um nome para o provedor.

4. No campo Server URIs, digite um ou mais URIs de servidor LDAP válidos, um por linha, no formato ldaps://<server>:<port> (LDAP seguro) ou ldap://<server>:<port> (LDAP não seguro). Um URI de servidor LDAP pode ser especificado como um endereço IPv4, um endereço IPv6 ou um nome de host.

NOTA:

• Se você não especificar nenhuma porta, será usada a porta padrão. A porta padrão para LDAP não seguro

(ldap://) é 389; para LDAP seguro (ldaps://) é 636. Se você especificar o LDAP não seguro, a senha de

vinculação será transmitida ao servidor em texto não criptografado.

• Se você especificar um endereço IPv6, ele deverá ser inserido entre colchetes. Por exemplo, ldap://

[2001:DB8:170:7cff::c001] é o formato correto de IPv6 para este campo.

5. Marque a caixa de seleção Connect to a random server on each request para se conectar aleatoriamente a um servidor LDAP. Se a caixa for desmarcada, o OneFS se conectará a um servidor LDAP na ordem listada no campo Server URIs.

6. No campo Base distinguished name (DN), digite o nome distinto (DN) da entrada na qual serão iniciadas as pesquisas do LDAP.

Os DNs básicos podem incluir cn (nome comum), l (local), dc (componente de domínio), ou (unidade organizacional) ou outros componentes. Por exemplo, dc=emc,dc=com é um DN básico para emc.com.

7. Na lista Groupnet, selecione o groupnet ao qual o provedor de autenticação fará referência.

8. No campo Bind DN, digite o nome distinto da entrada à qual o servidor LDAP será vinculado.

9. No campo Bind DN password, especifique a senha que será usada para a vinculação ao servidor LDAP.

O uso dessa senha não exige uma conexão segura; se a conexão não estiver usando Transport Layer Security (TLS), a senha será enviada em texto não criptografado.

84 Autenticação

10. Opcional: Atualize as configurações das seguintes seções do formulário Add an LDAP provider para atender às necessidades de seu ambiente:

Opção Descrição

Default Query Settings Modifique as configurações padrão das consultas de grupo de rede, usuário e grupo.

User Query Settings Modifique as configurações das consultas de usuário e do provisionamento de diretórios de usuário.

Group Query Settings Modifique as configurações das consultas de grupo.

Netgroup Query Settings Modifique as configurações das consultas de grupo de rede.

Advanced LDAP Settings Modifique os atributos padrão do LDAP que contêm informações do usuário ou modifique as configurações de segurança do LDAP.

11. Clique em Add LDAP Provider.

Conceitos relacionados

Gerenciando provedores de LDAP

Referências relacionadas

Configurações de consulta LDAP

Configurações avançadas de LDAP

Modificar um provedor de LDAPVocê pode alterar qualquer configuração de um provedor de LDAP, exceto o nome. Especifique pelo menos um servidor para que o provedor seja ativado.

1. Clique em Access > Authentication Providers > LDAP.

2. Na tabela LDAP Providers, clique em View details para o provedor cujas configurações você deseja modificar.

3. Para cada configuração a ser modificada, clique em Edit, faça a alteração e clique em Save.

4. Opcional: Clique em Close.

Conceitos relacionados

Gerenciando provedores de LDAP

Excluir um provedor de LDAPAo excluir um provedor LDAP, ele é removido de todas as zonas de acesso. Como alternativa, você pode parar de usar um provedor de LDAP removendo-o de cada zona de acesso que o contenha de modo que o provedor permaneça disponível para uso futuro.

1. Clique em Access > Authentication Providers > LDAP.

2. Na tabela LDAP Providers, clique em Delete para o provedor que deseja excluir.

3. Na caixa de diálogo de confirmação, clique em Delete.

Conceitos relacionados

Gerenciando provedores de LDAP

Configurações de consulta LDAPVocê pode configurar o ponto inicial e a profundidade da pesquisa de usuários LDAP, grupos e grupos de rede. Você também pode definir as configurações para provisionamento de diretórios de usuário.

NOTA: O OneFS está em conformidade com RFC 2307.

Base distinguished name

Especifica o DN (Distinct name, nome distinto) da base da entrada na qual iniciar as pesquisas LDAP de usuário, grupo ou objetos de grupo de rede. Os DNs base podem incluir cn (nome comum), l (local), dc (componente de

Autenticação 85

domínio), ou (unidade organizacional) ou outros componentes. Por exemplo, dc=emc, dc=com é um DN de base para brazil.emc.com.

Escopo da pesquisa

Especifica a profundidade a partir do DN base na qual realizar pesquisas LDAP. Os seguintes valores são válidos:

Padrão Aplica o escopo de pesquisa que é definido nas configurações padrão das consultas. Essa opção não está disponível para o escopo de pesquisa de consulta padrão.

Base Pesquisa somente a entrada do nome distinto de base.

One-level Pesquisa todas as entradas exatamente um nível abaixo do nome distinto de base.

Subárvore Pesquisa o nome distinto de base de todas as entradas abaixo dele.

Filhos Pesquisa todas as entradas abaixo do nome distinto de base, exceto ele mesmo.

Search timeout Especifica o número de segundos após o qual as repetições são interrompidas e a pesquisa apresenta falha. O valor padrão é 100. Essa configuração só está disponível em configurações de consulta padrão.

Query filter Especifica o filtro de LDAP para usuário, grupo ou objetos de grupo de rede. Essa configuração não está disponível em configurações de consulta padrão.

Authenticate users from this LDAP provider

Especifica se o provedor poderá responder a solicitações de autenticação. Essa configuração só está disponível em configurações de consulta do usuário.

Home directory naming template

Especifica o caminho que será utilizado como modelo para nomear os diretórios de usuário. O caminho deve começar com /ifs e pode conter variáveis, como %U, que são expandidas para gerar o caminho do diretório de usuário. Essa configuração só está disponível em configurações de consulta do usuário.

Automatically create user home directories on first login

Especifica se um diretório de usuário será ou não criado na primeira vez que um usuário fizer log-in, se não existir um diretório de usuário para ele. Essa configuração só está disponível em configurações de consulta do usuário.

UNIX shell Especifica o caminho para o shell de log-in do usuário, para os usuários que acessam o file system por meio do SSH. Essa configuração só está disponível em configurações de consulta do usuário.

Configurações avançadas de LDAPVocê pode definir as configurações de LDAP e especificar os atributos de LDAP que contêm informações do usuário.

NOTA: O OneFS está em conformidade com RFC 2307.

Name attribute Especifica o atributo de LDAP que contém os IDs exclusivos, que são usados como nomes de log-in. O valor padrão é uid.

Common name attribute

Especifica o atributo de LDAP que contém nomes comuns (CNs). O valor padrão é cn.

Email attribute Especifica o atributo do LDAP que contém endereços de e-mail. O valor padrão é mail.

GECOS field attribute

Especifica o atributo do LDAP que contém campos GECOS. O valor padrão é gecos.

UID attribute Especifica o atributo de LDAP que contém números de ID exclusivo. O valor padrão é uidNumber.

GID attribute Especifica o atributo de LDAP que contém IDs de grupo. O valor padrão é gidNumber.

Home directory attribute

Especifica o atributo de LDAP que contém diretórios de usuário. O valor padrão é homeDirectory.

UNIX shell attribute

Especifica o atributo de LDAP que contém shells de log-in UNIX. O valor padrão é loginShell.

Member of attribute

Configura o atributo que será usado para pesquisar o LDAP em busca de associações inversas. Esse valor de LDAP deve ser um atributo do tipo de usuário posixAccount que descreve os grupos dos quais o usuário POSIX é membro. Esta configuração não tem um valor padrão.

Netgroup members attribute

Especifica o atributo de LDAP que contém membros do grupo de rede. O valor padrão é memberNisNetgroup.

86 Autenticação

Netgroup triple attribute

Especifica o atributo do LDAP que contém triplos dos grupos de rede. O valor padrão é nisNetgroupTriple.

Group members attribute

Especifica o atributo de LDAP que contém membros do grupo. O valor padrão é memberUid.

Unique group members attribute

Especifica o atributo de LDAP que contém membros de grupos exclusivos. Esse atributo é usado para determinar a quais grupos um usuário pertence se o servidor LDAP for consultado pelo nome distinto do usuário, e não pelo nome do usuário. Esta configuração não tem um valor padrão.

Alternate security identities attribute

Especifica o nome que será usado ao pesquisar identidades de segurança alternativas. Esse nome é usado quando o OneFS tenta resolver um principal do Kerberos para um usuário. Esta configuração não tem um valor padrão.

UNIX password attribute

Especifica o atributo de LDAP que contém senhas UNIX. Esta configuração não tem um valor padrão.

Windows password attribute

Especifica o atributo de LDAP que contém senhas do Windows. Um valor geralmente usado é ntpasswdhash.

Certificate authority file

Especifica o caminho completo para o arquivo de certificados root.

Require secure connection for passwords

Especifica se será necessária uma conexão TLS (Transport Layer Security, segurança de camada de transporte).

Ignore TLS errors Continuará em uma conexão segura mesmo se houver falhas nas verificações de identidade.

Gerenciando provedores de NISVocê pode exibir, configurar e modificar os provedores de NIS (Network Information Service) ou excluir os provedores que não são mais necessários. Além disso, você também pode interromper a autenticação via um provedor de NIS removendo-o de todas as zonas de acesso que o estão usando.

Configurar um provedor de NISPor padrão, quando você configura um provedor de NIS, ele é adicionado automaticamente à zona de acesso do sistema.

1. Clique em Access > Authentication Providers > NIS.

2. Clique em Add a NIS provider.

3. No campo NIS Provider Name, digite um nome para o provedor.

4. No campo Servers, digite um ou mais endereços IPv4, nomes de host ou nomes dos domínios completos (FQDNs) válidos separados por vírgulas.

NOTA: Se a opção Load balance servers não for selecionada, os servidores serão acessados na ordem em que

estiverem listados.

5. No campo NIS Domain, digite o nome do domínio.

6. Opcional: Defina a configuração Load balance servers:

• Para se conectar a um servidor NIS aleatoriamente, marque a caixa de seleção.• Para se conectar de acordo com a ordem em que os servidores NIS estão listados no campo Servers, desmarque a caixa de

seleção.

7. Na lista Groupnet, selecione o groupnet ao qual o provedor de autenticação fará referência.

8. Opcional: Especifique Default Query Settings.

a) No campo Search Timeout, especifique o número de segundos após os quais o sistema deverá parar de repetir a pesquisa e indicar falha no processo. O valor padrão é 20.

b) No campo Retry Frequency, especifique o período de timeout em segundos após o qual uma solicitação será repetida. O valor padrão é 5.

9. Opcional: Especifique User Query Settings.

a) Marque a caixa de seleção Authenticate users from this provider para permitir que o provedor responda a solicitações de autenticação.

Autenticação 87

b) Digite um caminho no campo Home Directory Naming a ser usado como modelo para a nomenclatura dos diretórios de usuário. O caminho deve começar com /ifs e pode conter variáveis de expansão como %U, que são expandidas para gerar o caminho do diretório de usuário. Para obter mais informações, consulte a seção Diretórios de usuário.

c) Marque a caixa de seleção Create home directories on first login para especificar se um diretório de usuário deverá ser criado na primeira vez que o usuário fizer log-in, caso não exista nenhum para o usuário.

d) Selecione um caminho na lista UNIX Shell para especificar o caminho do shell de log-in para usuários que acessem o file system por meio do SSH.

10. Opcional: Clique em Host Name Query Settings e defina a configuração Resolve hosts from this provider:

• Para habilitar a resolução de host, marque a caixa de seleção.• Para desativar a resolução de host, desmarque a caixa de seleção.

11. Clique em Add NIS provider.

Conceitos relacionados

Gerenciando provedores de NIS

Modificar um provedor de NISVocê pode alterar qualquer configuração de um provedor de NIS, exceto o nome. Especifique pelo menos um servidor para que o provedor seja ativado.

1. Clique em Access > Authentication Providers > NIS.

2. Na tabela NIS Providers, clique em View details para o provedor cujas configurações deseja modificar.

3. Para cada configuração a ser modificada, clique em Edit, faça a alteração e clique em Save.

4. Clique em Close.

Conceitos relacionados

Gerenciando provedores de NIS

Excluir um provedor de NISAo excluir um provedor de NIS, ele será removido de todas as zonas de acesso. Como alternativa, você pode parar de usar um provedor de NIS removendo-o de cada zona de acesso que o contenha de modo que o provedor permaneça disponível para uso futuro.

1. Clique em Access > Authentication Providers > NIS.

2. Na tabela NIS Providers, clique em Delete para o provedor que deseja excluir.

3. Na caixa de diálogo de confirmação, clique em Delete.

Conceitos relacionados

Gerenciando provedores de NIS

Gerenciando autenticação do MIT KerberosVocê pode configurar um provedor do MIT Kerberos para autenticação sem o Active Directory. A configuração de um provedor do MIT Kerberos envolve criar um realm MIT Kerberos, criando um provedor e associando um realm predefinido. Opcionalmente, é possível configurar um domínio MIT Kerberos para o provedor. Você também pode atualizar as chaves de criptografia se houver alguma alteração de configuração no provedor do Kerberos. Você pode incluir o provedor em uma ou mais zonas de acesso.

Gerenciando realms MIT KerberosUm realm MIT Kerberos é um domínio administrativo que define os limites em que um servidor de autenticação tem autoridade para autenticar um usuário ou um serviço. Você pode criar, exibir, editar ou excluir um realm. Como prática recomendada, especifique um nome de realm usando caracteres maiúsculos.

88 Autenticação

Criar um realm MIT KerberosUm realm MIT Kerberos é um domínio administrativo que define os limites em que um servidor de autenticação tem autoridade para autenticar um usuário ou um serviço. Você pode criar um realm definindo um KDC (Key Distribution Center) e um servidor administrativo.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Clique em Create a Kerberos Realm.

3. No campo Realm Name, digite um nome de domínio usando letras maiúsculas. Por exemplo, CLUSTER-NAME.COMPANY.COM.

4. Marque a caixa de seleção Set as the default realm para definir o realm como padrão.

5. No campo Key Distribution Centers (KDCs), adicione um ou mais KDCs especificando o endereço IPv4, o endereço IPv6 ou o nome de host de cada servidor.

6. Opcional: No campo Admin Server, especifique o endereço IPv4, o endereço IPv6 ou o nome de host do servidor de administração, que atenderá à função do KDC master. Se você pular essa etapa, o primeiro KDC adicionado anteriormente será usado como o servidor administrativo padrão.

7. Opcional: No campo Default Domain, especifique o nome de domínio para usar na conversão dos nomes do principal do serviço.

8. Clique em Create Realm.

Conceitos relacionados

Gerenciando realms MIT Kerberos

Modificar um realm MIT KerberosVocê pode modificar um realm MIT Kerberos alterando o KDC (Key Distribution Center) e as configurações do servidor administrativo para aquele realm.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Na tabela Kerberos Realms, selecione um realm e clique em View / Edit.

3. Na página View a Kerberos Realm, clique em Edit Realm.

4. Marque ou desmarque a caixa de seleção Set as the default realm para modificar a configuração padrão de realm.

5. No campo Key Distribution Centers (KDCs), especifique o endereço IPv4, o endereço IPv6 ou o nome de host de cada servidor KDC adicional.

6. No campo Admin Server, especifique o endereço IPv4, o endereço IPv6 ou o nome de host do servidor de administração, que atenderá à função do KDC master.

7. No campo Default Domain, especifique um nome de domínio alternativo para converter os SPNs (Service Principal Names, nomes do principal do serviço).

8. Clique em Save Changes para voltar à página View a Kerberos Realm.

9. Clique em Close.

Conceitos relacionados

Gerenciando realms MIT Kerberos

Exibir um realm MIT KerberosVocê pode exibir os detalhes relacionados ao nome, aos KDCs (Key Distribution Center) e ao servidor administrativo associado a um realm MIT Kerberos.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Na tabela Kerberos Realms, selecione um realm e clique em View / Edit para exibir as informações associadas ao realm.

Conceitos relacionados

Gerenciando realms MIT Kerberos

Excluir um realm MIT KerberosVocê pode excluir um ou mais realms MIT Kerberos e todos os domínios associados do MIT Kerberos. Os realms Kerberos são referidos por provedores de Kerberos. Portanto, antes de excluir um realm para o qual você criou um provedor, primeiro exclua esse provedor.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Na tabela Kerberos Realms, selecione um ou mais realms e execute uma das seguintes ações:

Autenticação 89

• Para excluir um só realm, selecione-o e clique em More > Delete na coluna Actions.• Para excluir vários realms, selecione-os e depois selecione Delete Selection na lista Select a bulk action.

3. Na caixa de diálogo de confirmação, clique em Delete.

Conceitos relacionados

Gerenciando realms MIT Kerberos

Gerenciando provedores do MIT KerberosVocê pode criar, exibir, excluir ou modificar um provedor do MIT Kerberos. Você também pode definir as configurações do provedor Kerberos.

Criando um provedor do MIT KerberosVocê pode criar um provedor do MIT Kerberos obtendo as credenciais para acessar um cluster pelo KDC (Key Distribution Center) do realm Kerberos. Esse processo também é conhecido como associação de um realm. Quando você cria um provedor do Kerberos, também associa um realm criado anteriormente. Você deve ser membro da função SecurityAdmin para criar um provedor do MIT Kerberos.

Usando a interface Web, você pode executar as seguintes tarefas com um workflow único ou executar cada tarefa individualmente antes de criar o provedor.

• Definindo um realm• Definindo um domínio• Gerenciando um SPN (Service Principal Name, nome do principal do serviço)

Conceitos relacionados

Gerenciando provedores do MIT Kerberos

Criar um realm, um domínio e um provedor de MIT KerberosVocê pode criar um realm, um domínio e um provedor de MIT Kerberos utilizando um workflow único em vez da configuração de cada um desses objetos individualmente.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Clique em Get Started.O sistema exibe a janela Create a Kerberos Realm and Provider.

3. Na seção Create Realm, digite um nome de domínio no campo Realm Name.

Recomenda-se que o nome do domínio seja formatado em letras maiúsculas, como CLUSTER-NAME.COMPANY.COM.

4. Selecione a caixa Set as the default realm para definir o realm como padrão.

5. No campo Key Distribution Centers (KDCs), adicione um ou mais KDCs especificando o endereço IPv4, o endereço IPv6 ou o nome de host de cada servidor.

6. No campo Admin Server, especifique o endereço IPv4, o endereço IPv6 ou o nome de host do servidor de administração, que atenderá à função do KDC master. Se você pular essa etapa, o primeiro KDC adicionado anteriormente será usado como o servidor administrativo padrão.

7. No campo Default Domain, especifique o nome de domínio para usar na conversão dos nomes do principal do serviço.

8. Opcional: Na seção Create Domain(s), especifique um ou mais nomes de domínio para associar ao realm no campo Domain(s).

9. Na seção Authenticate to Realm, digite o nome e a senha de um usuário que tenha permissão para criar SPNs no realm do Kerberos nos campos User e Password.

10. Na seção Create Provider, selecione o groupnet que o provedor de autenticação consultará na lista Groupnet.

11. Na área Service Principal Name (SPN) Management, selecione uma das seguintes opções que será usada para gerenciar SPNs:

• Use recommended SPNs• Manually associate SPNs

Se você selecionar essa opção, digite pelo menos um SPN no formato service/principal@realm para associá-lo manualmente ao realm.

12. Clique em Create Provider and Join Realm.

Conceitos relacionados

Criando um provedor do MIT Kerberos

90 Autenticação

Criar um provedor de MIT Kerberos e associar um realmVocê associa um realm automaticamente quando cria um provedor do MIT Kerberos. Um realm define um domínio em que a autenticação de um usuário ou um serviço específico ocorre.

Você deve ser membro da função SecurityAdmin para visualizar e acessar o botão Create a Kerberos Provider e executar as tarefas descritas neste procedimento.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Clique em Create a Kerberos Provider.

3. No campo User, um nome de usuário que tem permissão para criar SPNs (Service Principal Names, nomes do principal do serviço) no realm Kerberos.

4. No campo Password, digite a senha para o usuário.

5. Na lista Realm, selecione o realm que deseja associar. O realm deve já deve estar configurado no sistema.

6. Na lista Groupnet, selecione o groupnet ao qual o provedor de autenticação fará referência.

7. Na área Service Principal Name (SPN) Management, selecione uma das seguintes opções que será usada para gerenciar SPNs:

• Use recommended SPNs• Manually associate SPNs

Se você selecionar essa opção, digite pelo menos um SPN no formato service/principal@realm para associá-lo manualmente ao realm.

8. Clique em Create Provider and Join Realm.

Conceitos relacionados

Criando um provedor do MIT Kerberos

Modificar um provedor de MIT KerberosVocê pode modificar as informações de autenticação do realm e as informações do SPN para um provedor do MIT Kerberos.

Você deve ser membro da função SecurityAdmin para visualizar e acessar o botão View / Edit para modificar um provedor do MIT Kerberos.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Na tabela Kerberos Provider, selecione um domínio e clique em View / Edit.

3. Na página View a Kerberos Provider, clique em Edit Provider.

4. Na seção Realm Authentication Information, especifique as credenciais para um usuário com permissões para criar SPNs no realm Kerberos especificado.

5. Na seção Provider Information, selecione uma das seguintes opções para gerenciamento dos SPNs:

• Use os SPNs recomendados.• Digite um SPN no formato service/principal@realm para associá-lo manualmente ao realm selecionado. Você pode

adicionar mais de um SPN para associação, se necessário.

6. Clique em Save Changes para voltar à página View a Kerberos Provider.

7. Clique em Close.

Conceitos relacionados

Gerenciando provedores do MIT Kerberos

Exibir um provedor de MIT KerberosVocê pode visualizar informações relacionadas aos realms MIT Kerberos e aos SPNs associados a um provedor do MIT Kerberos.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Na tabela Kerberos Providers, selecione um provedor e clique em View / Edit para exibir as informações do provedor que incluem o realm, os SPNs recomendados e qualquer outro SPN detectado.

Conceitos relacionados

Gerenciando provedores do MIT Kerberos

Autenticação 91

Excluir um provedor de MIT KerberosVocê pode excluir um provedor do MIT Kerberos e removê-lo de todas as zonas de acesso referidas. Ao excluir um provedor, você também deixa o realm MIT Kerberos.

Você deve ser membro da função SecurityAdmin para executar as tarefas descritas neste procedimento.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Na tabela Kerberos Providers, selecione um ou mais provedores e execute uma das seguintes ações:

• Para excluir um só provedor, selecione-o provedor e clique em More > Delete na coluna Actions.• Para excluir vários provedores, selecione-os e depois selecione Delete Selection na lista Select a bulk action.

3. Na caixa de diálogo de confirmação, clique em Delete.

Conceitos relacionados

Gerenciando provedores do MIT Kerberos

Definir configurações do provedor de KerberosVocê pode definir as configurações de um provedor de Kerberos para permitir que os registros de DNS localizem o KDC (Key Distribution Center), os realms Kerberos e os servidores de autenticação associados a um realm Kerberos. Essas configurações são globais para todos os usuários de Kerberos em todos os nós, serviços e zonas de acesso. Algumas configurações são aplicáveis somente aos Kerberos do client que são relevantes na associação de um realm ou na comunicação com um KDC do Active Directory. Normalmente, você não precisa alterar as configurações após a configuração inicial.

1. Clique em Access > Authentication Providers > Kerberos Settings.

2. No campo Default Realm, especifique o realm a ser usado para o SPN (Service Principal Name, nome do principal do serviço). O realm padrão é o primeiro realm criado.

3. Marque uma caixa de seleção para enviar sempre a pré-autenticação. Essa é uma definição de configuração do Kerberos do client.

Marcar essa caixa de seleção permite que as solicitações de ticket de Kerberos incluam ENC_TIMESTAMP como o evento de dados de pré-autenticação se o servidor de autenticação não o selecionou. Isso é útil ao trabalhar com servidores do Active Directory.

4. Marque uma caixa de seleção para especificar o uso dos registros do servidor DNS para localizar os KDCs e outros servidores para um realm se essas informações não estiverem listadas para o realm.

5. Marque uma caixa de seleção para especificar o uso dos registros de texto do DNS para determinar o realm Kerberos de um host.

6. Clique em Save Changes.

Conceitos relacionados

Gerenciando provedores do MIT Kerberos

Gerenciando domínios do MIT KerberosVocê tem a opção de definir domínios do MIT Kerberos para permitir que as extensões adicionais de domínio sejam associadas ao realm MIT Kerberos. Você sempre pode especificar um domínio padrão para um realm.

Você pode criar, modificar, excluir e exibir um domínio do MIT Kerberos. Um nome de domínio Kerberos é um sufixo DNS que você especifica normalmente usando caracteres minúsculos.

Criar um domínio do MIT KerberosComo opção, você pode criar um domínio do MIT Kerberos para permitir que as extensões adicionais de domínio sejam associadas ao realm MIT Kerberos independentemente dos domínios padrão.

Você deve ser membro da função SecurityAdmin para executar as tarefas descritas neste procedimento.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Clique em Create a Kerberos Domain.

3. No campo Domain, especifique um nome de domínio que é normalmente um sufixo DNS em letras minúsculas.

4. Na lista Realm, selecione um realm configurado anteriormente.

5. Clique em Create Domain.

92 Autenticação

Conceitos relacionados

Gerenciando domínios do MIT Kerberos

Modificar um domínio do MIT KerberosVocê pode modificar um domínio do MIT Kerberos alterando as configurações do realm.

Você deve ser membro da função SecurityAdmin para executar as tarefas descritas neste procedimento.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Na tabela Kerberos Domains, selecione um domínio e clique em View / Edit.

3. Na página View a Kerberos Domain, clique em Edit Domain.

4. Na lista Realm, selecione um realm alternativo.

5. Clique em Save Changes para voltar à página View a Kerberos Domain.

6. Clique em Close.

Conceitos relacionados

Gerenciando domínios do MIT Kerberos

Exibir um domínio do MIT KerberosVocê pode exibir as propriedades de um mapeamento de domínio do MIT Kerberos.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Na tabela Kerberos Domains, selecione um domínio e clique em View / Edit para visualizar as propriedades do mapeamento de domínio.

Conceitos relacionados

Gerenciando domínios do MIT Kerberos

Excluir um domínio do MIT KerberosÉ possível excluir um ou mais mapeamentos de domínio do MIT Kerberos.

Você deve ser membro da função SecurityAdmin para executar as tarefas descritas neste procedimento.

1. Clique em Access > Authentication Providers > Kerberos Provider.

2. Na tabela Kerberos Domains, selecione um ou mais mapeamentos de domínio e execute uma das seguintes ações:

• Para excluir um só mapeamento de domínio, selecione o mapeamento e clique em More > Delete na coluna Actions.• Para excluir vários mapeamentos de domínio, selecione-os e depois selecione Delete Selection na lista Select a bulk action.

Conceitos relacionados

Gerenciando domínios do MIT Kerberos

Gerenciando provedores de arquivosVocê pode configurar um ou mais provedores de arquivos, cada um deles com sua própria combinação de arquivos de substituição, para cada zona de acesso. Os arquivos de banco de dados de senhas, que também são chamados de arquivos de banco de dados de usuários, devem estar no formato binário.

Cada provedor de arquivos obtém diretamente de até três arquivos de banco de dados de substituição: um arquivo de grupo com o mesmo formato que o arquivo /etc/group, um arquivo de grupos de rede e um arquivo binário de senha, spwd.db, que oferece acesso rápido aos dados de um arquivo que tem o formato do /etc/master.passwd. Você deve copiar os arquivos de substituição no cluster e fazer referência e eles pelo caminho de seu diretório.

NOTA: Se os arquivos de substituição estiverem localizados fora da árvore de diretórios /ifs, você deverá distribuí-los

manualmente a cada nó do cluster. As alterações feitas nos arquivos do provedor do sistema são distribuídas

automaticamente no cluster.

Autenticação 93

Configurar um provedor de arquivosVocê pode configurar um ou mais provedores de arquivos, cada um deles com sua própria combinação de arquivos de substituição, para cada zona de acesso. Você pode especificar arquivos de substituição para qualquer combinação de usuários, grupos e grupos de rede.

1. Clique em Access > Authentication Providers > File Provider.

2. Clique em Add a file provider.

3. No campo File provider name, digite um nome para o provedor de arquivos.

4. Para especificar um arquivo de substituição do usuário, no campo Path to users file, especifique ou procure o local do arquivo spwd.db.

5. Para especificar um arquivo de substituição do grupo de rede, no campo Path to netgroups file, especifique ou procure o local do arquivo netgroup.

6. Para especificar um arquivo de substituição de grupo, no campo Path to groups file, digite ou procure o local do arquivo group.

7. Opcional: Selecione as seguintes configurações:

Opção Descrição

Authenticate users from this provider

Especifica se o provedor poderá responder a solicitações de autenticação.

Create home directories on first login

Especifica se um diretório de usuário será ou não criado na primeira vez que um usuário fizer log-in, se não existir um diretório de usuário para ele.

Path to home directory Especifica o caminho que será utilizado como modelo para nomear os diretórios de usuário. O caminho deve começar com /ifs e pode conter variáveis de expansão como %U, que são expandidas para gerar o caminho do diretório de usuário. Para obter mais informações, consulte a seção "Diretórios de usuário".

UNIX Shell Especifica o caminho para o shell de log-in do usuário, para os usuários que acessam o file system por meio do SSH.

8. Clique em Add File Provider.

Conceitos relacionados

Gerenciando provedores de arquivos

Referências relacionadas

Formato dos arquivos de senha

Formato dos arquivos de grupo

Formato dos arquivos de grupos de rede

Gerar um arquivo de senhaOs arquivos de banco de dados de senhas, que também são chamados de arquivos de banco de dados de usuários, devem estar no formato binário.

Este procedimento deve ser realizado por meio da interface de linha de comando. Para obter diretrizes sobre o uso de comandos, execute o comando man pwd_mkdb.

1. Estabeleça uma conexão SSH com qualquer nó do cluster.

2. Execute o comando pwd_mkdb<arquivo>, onde <arquivo> é o local do arquivo de senhas de origem.

NOTA: De modo padrão, o arquivo binário de senha, spwd.db, é criado no diretório /etc. Você pode sobrepor o local

de armazenamento do arquivo spwd.db especificando a opção -d com um diretório de destino diferente.

O seguinte comando gera um arquivo spwd.db no diretório /etc a partir de um arquivo de senha localizado em /ifs/test.passwd:

pwd_mkdb /ifs/test.passwd

94 Autenticação

O seguinte comando gera um arquivo spwd.db no diretório /ifs a partir de um arquivo de senha localizado em /ifs/test.passwd:

pwd_mkdb -d /ifs /ifs/test.passwd

Conceitos relacionados

Gerenciando provedores de arquivos

Referências relacionadas

Formato dos arquivos de senha

Formato dos arquivos de senhaO provedor de arquivos usa um arquivo binário de banco de dados de senhas, o spwd.db. Você pode gerar um arquivo binário de senhas a partir de um arquivo formatado por master.passwd executando o comando pwd_mkdb.

O arquivo master.passwd contém dez campos separados por dois pontos, como exibido no seguinte exemplo:

admin:*:10:10::0:0:Web UI Administrator:/ifs/home/admin:/bin/zsh

Os campos são definidos a seguir na ordem em que aparecem no arquivo.

NOTA: Geralmente, os sistemas UNIX definem o formato passwd como um subconjunto desses campos, omitindo os

campos Class, Change e Expiry. Para converter um arquivo do formato passwd ao master.passwd, adicione : 0:0: entre o campo do ID de grupo e o campo Gecos.

Username O nome do usuário. Esse campo diferencia maiúsculas e minúsculas. O OneFS não limita o comprimento; no entanto, muitos aplicativos têm seu nome truncado em 16 caracteres.

Password A senha criptografada do usuário. Se a autenticação não for necessária para o usuário, você poderá substituir um asterisco (*) por uma senha. O caractere asterisco é uma garantia de que nenhuma senha corresponderá à outra.

UID O identificador do usuário do UNIX. Este valor deve ser um número dentro do intervalo 0 a 4294967294 que não esteja reservado nem atribuído a um usuário. Os problemas de compatibilidade ocorrem se esse valor entrar em conflito com o ID exclusivo de uma conta existente.

GID O identificador do grupo principal do usuário. Todos os usuários são membros de pelo menos um grupo, que é usado para verificações de acesso e que também pode ser usado ao criar arquivos.

Class Este campo não é compatível com o OneFS e deve ser deixado em branco.

Change O OneFS não dá suporte à alteração de senhas dos usuários no provedor de arquivos. Este campo é ignorado.

Expiry O OneFS não dá suporte à expiração das contas de usuário no provedor de arquivos. Este campo é ignorado.

Gecos Este campo pode armazenar uma variedade de informações, mas geralmente é usado para armazenar o nome completo do usuário.

Home O caminho absoluto ao diretório de usuário, começando com /ifs.

Shell O caminho absoluto do shell do usuário. Se este campo for configurado como /sbin/nologin, o usuário não será autorizado a acessar a linha de comando.

Conceitos relacionados

Gerenciando provedores de arquivos

Formato dos arquivos de grupoO provedor de arquivos usa um arquivo de grupo no formato do arquivo /etc/group que existe na maioria dos sistemas UNIX.

Autenticação 95

O arquivo group consiste em uma ou mais linhas que contêm quatro campos separados por dois pontos, como exibido no seguinte exemplo:

admin:*:10:root,admin

Os campos são definidos a seguir na ordem em que aparecem no arquivo.

Group name O nome do grupo. Esse campo diferencia maiúsculas e minúsculas. Embora o OneFS não limite o comprimento do nome do grupo, muitos aplicativos têm seu nome truncado em 16 caracteres.

Password Este campo não é compatível com o OneFS e deve conter um asterisco (*).

GID O identificador do grupo do UNIX. Os valores válidos são qualquer número dentro do intervalo 0 a 4294967294 que não esteja reservado nem atribuído a um grupo. Os problemas de compatibilidade ocorrem se esse valor entrar em conflito com um ID de grupo existente.

Group members Uma lista de nomes de usuário separados por vírgulas.

Conceitos relacionados

Gerenciando provedores de arquivos

Formato dos arquivos de grupos de redeUm arquivo de grupo de rede consiste em um ou mais grupos de rede, e cada um deles pode conter membros. Os hosts, usuários ou domínios, que são membros de um grupo de rede, são especificados em um triplo de membros. Um grupo de rede também pode conter outro grupo de rede.

Cada entrada de um arquivo netgroup consiste no nome do grupo de rede, seguido por um conjunto de triplos de membros separados por espaços e em nomes de grupos de rede aninhados. Se você especificar um grupo de rede aninhado, ele deverá ser definido em uma linha separada do arquivo.

Um triplo de membros assume a seguinte forma:

(<host>, <user>, <domain>)

Onde <host> é um espaço reservado para um nome de máquina, <usuário> é um espaço reservado para um nome de usuário e <domínio> é um espaço reservado para um nome de domínio. Qualquer combinação é válida, exceto um triplo vazio: (,,).

O exemplo de arquivo a seguir contém dois grupos de rede. O grupo de rede rootgrp contém quatro hosts: dois hosts são definidos em triplos de membros e os outros dois hosts são contidos no grupo de rede aninhado othergrp, que é definido na segunda linha.

rootgrp (myserver, root, somedomain.com) (otherserver, root, somedomain.com) othergrpothergrp (other-win,, somedomain.com) (other-linux,, somedomain.com)

NOTA: Uma nova linha significa um novo grupo de rede. Você pode continuar uma longa entrada de grupo de rede na

próxima linha, digitando um caractere de barra invertida (\) na posição à extrema direita da primeira linha.

Conceitos relacionados

Gerenciando provedores de arquivos

Modificar um provedor de arquivosVocê pode alterar qualquer configuração de um provedor de arquivo, exceto renomear o provedor de file system.

1. Clique em Access > Authentication Providers > File Provider.

2. Na tabela File Providers, clique em View details para o provedor cujas configurações você deseja modificar.

3. Para cada configuração a ser modificada, clique em Edit, faça a alteração e clique em Save.

4. Clique em Close.

Conceitos relacionados

Gerenciando provedores de arquivos

96 Autenticação

Excluir um provedor de arquivosPara parar de usar um provedor de arquivos, desmarque todas as configurações de arquivo de substituição ou você pode excluir permanentemente o provedor.

1. Clique em Access > Authentication Providers > File Provider.

2. Na tabela File Providers, selecione o nome do provedor.

3. Selecione Delete na lista Select an action.

4. Na caixa de diálogo de confirmação, clique em Delete.

Conceitos relacionados

Gerenciando provedores de arquivos

Gerenciando usuários e grupos locaisAo criar uma zona de acesso, cada zona incluirá um provedor local que permitirá a criação e o gerenciamento dos usuários e grupos locais. Embora você possa exibir os usuários e os grupos de qualquer provedor de autenticação, somente é possível criar, modificar e excluir usuários e grupos do provedor local.

Exibir uma lista de usuários ou grupos por provedorVocê pode exibir os usuários e grupos de qualquer provedor de autenticação.

1. Clique em Access > Membership & Roles.

2. Clique em uma das seguintes guias, dependendo do que deseja visualizar:

Opção Descrição

Usuários Selecione essa guia para exibir todos os usuários por provedor.

Grupos Selecione essa guia para exibir todos os grupos por provedor.

3. Na lista Current Access Zone, selecione uma zona de acesso.

4. Selecione o provedor local na lista Providers.

Conceitos relacionados

Gerenciando usuários e grupos locais

Criar um usuário localCada zona de acesso inclui um provedor local que permite que você crie e gerencie usuários e grupos locais. Ao criar uma conta de usuário local, você pode configurar seu nome, senha, diretório de usuário, ID exclusivo, shell de log-in UNIX e lista de membros do grupo.

1. Clique em Access > Membership & Roles > Users.

2. Na lista Current Access Zone, selecione uma zona de acesso.

3. Na lista Providers, selecione o provedor local da zona.

4. Clique em Create User.

5. No campo User Name, digite um nome de usuário para a conta.

6. No campo Password, digite a senha para a conta.

7. Opcional: Defina as configurações adicionais a seguir conforme necessário.

Opção Descrição

UID Se essa configuração for deixada em branco, o sistema alocará automaticamente um ID exclusivo para a conta. Esta é a configuração recomendada. Você não pode atribuir um ID exclusivo que está sendo usado por outra conta de usuário local.

Full Name Digite um nome completo para o usuário.

Email Address Digite um endereço de e-mail para a conta.

Autenticação 97

Opção Descrição

Primary Group Para especificar o grupo de proprietários usando a caixa de diálogo Select a Primary Group, clique em Select group.

a. Para localizar um grupo no provedor local selecionado, digite um nome de grupo ou um clique em Search.b. Selecione um grupo para voltar à janela Manage Users.

Additional Groups Para especificar quaisquer grupos adicionais dos quais esse usuário se tornará membro, clique em Add group.

Home Directory Digite o caminho para o diretório de usuário em questão. Se você não especificar um caminho, será criado um diretório automaticamente em/ifs/home/<username>.

UNIX Shell Esta configuração somente se aplica aos usuários que acessam o file system via SSH. Na lista, selecione um shell. Por padrão, o shell /bin/zsh é selecionado.

Account Expiration Date

Clique no ícone de calendário para selecionar a data de expiração ou digite a data de expiração do campo e, em seguida, digite a data no formato <mm>/<dd>/<aaaa>.

Enable the account

Marque esta caixa de seleção para permitir que o usuário faça a autenticação com base no banco de dados local para SSH, FTP, HTTP e WFS (Windows File Sharing, compartilhamento de arquivos do Windows) pelo SMB. Essa configuração não é usada para compartilhamento de arquivos UNIX por NFS.

8. Clique em Create.

Conceitos relacionados

Gerenciando usuários e grupos locais

Referências relacionadas

Regras de nomenclatura para usuários e grupos locais

Criar um grupo localNo provedor local de uma zona de acesso, você pode criar grupos e atribuir membros a eles.

1. Clique em Access > Membership & Roles > Groups.

2. Na lista Current Access Zone, selecione uma zona de acesso.

3. Na lista Providers, selecione o provedor local da zona.

4. Clique em Create Group.

5. No campo Group Name, digite um nome para o grupo.

6. Opcional: Para sobrepor a alocação automática do ID de grupo UNIX, no campo GID, digite um valor numérico.

NOTA: Você não pode atribuir um ID de grupo que está sendo usado por outro grupo. É recomendável deixar esse

campo em branco para permitir que o sistema gerencie automaticamente o ID de grupo.

7. Opcional: Para cada membro que deseja adicionar ao grupo, clique em Add Members e execute as seguintes tarefas na caixa de diálogo Select a User:

a) Procure Users, Groups ou Well-known SIDs.b) Se você selecionou Users ou Groups, especifique valores para os seguintes campos:

c) Clique em Search.d) Na tabela Search Results, selecione um usuário e clique em Select.

A caixa de diálogo é fechada.

8. Clique em Create Group.

Conceitos relacionados

Gerenciando usuários e grupos locais

Referências relacionadas

Regras de nomenclatura para usuários e grupos locais

98 Autenticação

Regras de nomenclatura para usuários e grupos locaisOs nomes de usuários e grupos locais devem seguir as regras de nomenclatura para garantir a autenticação adequada e o acesso ao cluster.

Você deve cumprir as seguintes regras de nomenclatura ao criar e modificar usuários e grupos locais:

• O comprimento máximo do nome é de 104 caracteres. É recomendável que os nomes não excedam 64 caracteres.• Os nomes não podem conter os seguintes caracteres inválidos:

" / \ [ ] : ; | = , + * ? < >• Os nomes podem conter qualquer caractere especial que não esteja na lista de caracteres inválidos. Recomenda-se que os nomes não

contenham espaços.• Os nomes não diferenciam maiúsculas de minúsculas.

Modificar um usuário localVocê pode modificar qualquer configuração de uma conta de usuários locais, exceto o nome de usuário.

1. Clique em Access > Membership & Roles > Users.

2. Na lista Current Access Zone, selecione uma zona de acesso.

3. Na lista Users, selecione o provedor local para a zona de acesso.

4. Na lista de usuários, localize o usuário que deseja atualizar e, em seguida, clique em View/Edit.A caixa de diálogo View User Details será exibida.

5. Clique em Edit User.A caixa de diálogo Edit User é exibida.

6. Atualize as configurações que deseja definir.

7. Clique em Save Changes.

8. Clique em Close.

Conceitos relacionados

Gerenciando usuários e grupos locais

Modificar um grupo localVocê pode adicionar ou remover membros de um grupo local.

1. Clique em Access > Membership & Roles > Groups.

2. Na lista Current Access Zone, selecione uma zona de acesso.

3. Na lista de grupos, localize o grupo que deseja atualizar e, em seguida, clique em View/Edit.A caixa de diálogo View Group Details será exibida.

4. Clique em Edit Group.A caixa de diálogo Edit Group será exibida.

5. Na área Members, clique em Add Members para adicionar usuários ao grupo ou clique em Delete ao lado de um nome de usuário para remover o usuário do grupo.

6. Clique em Save Changes.

7. Clique em Close.

Conceitos relacionados

Gerenciando usuários e grupos locais

Excluir um usuário localUm usuário excluído não poderá mais acessar o cluster pela interface de linha de comando, pela interface Web de administração nem pelos protocolos de acesso a arquivos. Se você excluir uma conta de usuário local, o diretório de usuário correspondente permanecerá no lugar.

1. Clique em Access > Membership & Roles > Users.

2. Na lista Current Access Zone, selecione uma zona de acesso.

Autenticação 99

3. Na lista Providers, selecione o provedor local da zona de acesso.

4. Na lista de usuários, localize o usuário que deseja excluir e, em seguida, clique em More > Delete.A caixa de diálogo Confirm Delete será exibida.

5. Clique em Delete.

Conceitos relacionados

Gerenciando usuários e grupos locais

Excluir um grupo localVocê poderá excluir um grupo local mesmo se houver membros atribuídos a ele; a exclusão de um grupo não afeta seus membros.

1. Clique em Access > Membership & Roles > Groups.

2. Na lista Current Access Zone, selecione uma zona de acesso.

3. Na lista Providers, selecione o provedor local da zona de acesso.

4. Na lista de grupos, localize o grupo que deseja excluir e, em seguida, clique em More > Delete.A caixa de diálogo Confirm Delete será exibida.

5. Clique em Delete.

Conceitos relacionados

Gerenciando usuários e grupos locais

100 Autenticação

Funções e privilégios administrativosEsta seção contém os seguintes tópicos:

Tópicos:

• Acesso baseado em funções• Funções• Privilégios• Gerenciando funções

Acesso baseado em funçõesVocê pode atribuir o acesso baseado em funções para delegar tarefas administrativas a usuários selecionados.

O RBAC (Role Based Access Control, controle de acesso baseado em funções) permite o direito de executar ações administrativas específicas que serão concedidas a qualquer usuário que possa se autenticar em um cluster. As funções são criadas por um administrador de segurança, são atribuídas a privilégios e, depois, atribuídas a membros. Todos os administradores, inclusive os que recebem privilégios de uma função, devem se conectar à zona do sistema para configurar o cluster. Quando esses membros fazem log-in no cluster via uma interface de configuração, eles têm esses privilégios. Todos os administradores podem definir configurações para as zonas de acesso e sempre têm controle sobre todas as zonas de acesso do cluster.

As funções também oferecem a você a capacidade de atribuir privilégios aos usuários e aos grupos que são membros. De modo padrão, somente o usuário root e o usuário admin podem fazer log-in na interface Web de administração via HTTP ou na interface de linha de comando via SSH. Usando as funções, os usuários root e admin podem atribuir outras pessoas a funções integradas ou personalizadas que tenham privilégios administrativos e de log-in para executar tarefas administrativas específicas.

NOTA: Como prática recomendada, atribua usuários às funções que contêm o conjunto mínimo de privilégios

necessários. Para a maioria das finalidades, as configurações padrão das políticas de permissões, a zona de acesso do

sistema e as funções integradas são suficientes. Você pode criar políticas de gerenciamento de acesso baseadas em

funções conforme necessário para seu ambiente específico.

FunçõesVocê pode autorizar e limitar o acesso às áreas administrativas de seu cluster por usuário e com base em funções. O OneFS inclui várias funções integradas de administrador com conjuntos predefinidos de privilégios que não podem ser modificados. Você também pode criar funções personalizadas e atribuir privilégios.

A seguinte lista descreve o que você pode e não pode fazer com base nas funções:

• Você pode atribuir privilégios a uma função.• Você pode criar funções personalizadas e atribuir privilégios a elas.• Você pode copiar uma função existente.• Você pode adicionar qualquer usuário ou grupo de usuários, inclusive grupos conhecidos, a uma função desde que os usuários possam

ser autenticados no cluster.• Você pode adicionar um usuário ou grupo a mais de uma função.• Você não pode atribuir privilégios diretamente aos usuários nem aos grupos.

NOTA: Quando o OneFS é instalado pela primeira vez, somente os usuários com acesso de nível root ou admin podem

fazer log-in e atribuir usuários às funções.

Conceitos relacionados

Acesso baseado em funções

Gerenciando funções

6

Funções e privilégios administrativos 101

Funções personalizadasAs funções personalizadas complementam as funções integradas.

Você pode criar funções personalizadas e atribuir privilégios associados às áreas administrativas do ambiente de seu cluster. Por exemplo, você pode criar funções separadas de administrador para segurança, auditoria, provisionamento para armazenamento e backup.

Você também pode designar determinados privilégios como somente leitura ou leitura/gravação ao adicionar o privilégio a uma função. Você pode modificar essa opção a qualquer momento para adicionar ou remover privilégios à medida que as responsabilidades dos usuários crescem e mudam.

Conceitos relacionados

Funções

Gerenciando funções

Funções integradasAs funções integradas estão incluídas no OneFS e foram configuradas com os privilégios mais provavelmente necessários para executar funções administrativas comuns. Você não pode modificar a lista de privilégios atribuídos a cada função integrada; no entanto, pode atribuir usuários e grupos às funções integradas.

Conceitos relacionados

Funções

Gerenciando funções

Função integrada SecurityAdminA função integrada SecurityAdmin permite a configuração de segurança do cluster, inclusive os provedores de autenticação, os usuários e grupos locais e a associação das funções.

Privilégios Acesso de leitura/gravação

ISI_PRIV_LOGIN_CONSOLE N/D

ISI_PRIV_LOGIN_PAPI N/D

ISI_PRIV_LOGIN_SSH N/D

ISI_PRIV_AUTH Leitura/gravação

ISI_PRIV_ROLE Leitura/gravação

Referências relacionadas

Funções integradas

Função integrada SystemAdminA função integrada SystemAdmin permite a administração de toda a configuração em cluster que não seja tratada especificamente pela função SecurityAdmin.

Privilégios Acesso de leitura/gravação

ISI_PRIV_LOGIN_CONSOLE N/D

ISI_PRIV_LOGIN_PAPI N/D

ISI_PRIV_LOGIN_SSH N/D

ISI_PRIV_SYS_SHUTDOWN N/D

ISI_PRIV_SYS_SUPPORT N/D

ISI_PRIV_SYS_TIME Leitura/gravação

ISI_PRIV_SYS_UPGRADE Leitura/gravação

102 Funções e privilégios administrativos

Privilégios Acesso de leitura/gravação

ISI_PRIV_ANTIVIRUS Leitura/gravação

ISI_PRIV_AUDIT Leitura/gravação

ISI_PRIV_CLOUDPOOLS Leitura/gravação

ISI_PRIV_CLUSTER Leitura/gravação

ISI_PRIV_DEVICES Leitura/gravação

ISI_PRIV_EVENT Leitura/gravação

ISI_PRIV_FILE_FILTER Leitura/gravação

ISI_PRIV_FTP Leitura/gravação

ISI_PRIV_HARDENING Leitura/gravação

ISI_PRIV_HDFS Leitura/gravação

ISI_PRIV_HTTP Leitura/gravação

ISI_PRIV_JOB_ENGINE Leitura/gravação

ISI_PRIV_LICENSE Leitura/gravação

ISI_PRIV_MONITORING Leitura/gravação

ISI_PRIV_NDMP Leitura/gravação

ISI_PRIV_NETWORK Leitura/gravação

ISI_PRIV_NFS Leitura/gravação

ISI_PRIV_NTP Leitura/gravação

ISI_PRIV_QUOTA Leitura/gravação

ISI_PRIV_REMOTE_SUPPORT Leitura/gravação

ISI_PRIV_SMARTPOOLS Leitura/gravação

ISI_PRIV_SMB Leitura/gravação

ISI_PRIV_SNAPSHOT Leitura/gravação

ISI_PRIV_SNMP Leitura/gravação

ISI_PRIV_STATISTICS Leitura/gravação

ISI_PRIV_SWIFT Leitura/gravação

ISI_PRIV_SYNCIQ Leitura/gravação

ISI_PRIV_VCENTER Leitura/gravação

ISI_PRIV_WORM Leitura/gravação

ISI_PRIV_NS_TRAVERSE N/D

ISI_PRIV_NS_IFS_ACCESS N/D

Referências relacionadas

Funções integradas

Função integrada AuditAdminA função integrada AuditAdmin permite que você visualize todas as definições de configuração do sistema.

Privilégios Acesso de leitura/gravação

ISI_PRIV_LOGIN_CONSOLE N/D

ISI_PRIV_LOGIN_PAPI N/D

ISI_PRIV_LOGIN_SSH N/D

Funções e privilégios administrativos 103

Privilégios Acesso de leitura/gravação

ISI_PRIV_SYS_TIME Somente leitura

ISI_PRIV_SYS_UPGRADE Somente leitura

ISI_PRIV_ANTIVIRUS Somente leitura

ISI_PRIV_AUDIT Somente leitura

ISI_PRIV_CLOUDPOOLS Somente leitura

ISI_PRIV_CLUSTER Somente leitura

ISI_PRIV_DEVICES Somente leitura

ISI_PRIV_EVENT Somente leitura

ISI_PRIV_FILE_FILTER Somente leitura

ISI_PRIV_FTP Somente leitura

ISI_PRIV_HARDENING Somente leitura

ISI_PRIV_HDFS Somente leitura

ISI_PRIV_HTTP Somente leitura

ISI_PRIV_JOB_ENGINE Somente leitura

ISI_PRIV_LICENSE Somente leitura

ISI_PRIV_MONITORING Somente leitura

SI_PRIV_NDMP Somente leitura

ISI_PRIV_NETWORK Somente leitura

ISI_PRIV_NFS Somente leitura

ISI_PRIV_NTP Somente leitura

ISI_PRIV_QUOTA Somente leitura

ISI_PRIV_REMOTE_SUPPORT Somente leitura

ISI_PRIV_SMARTPOOLS Somente leitura

ISI_PRIV_SMB Somente leitura

ISI_PRIV_SNAPSHOT Somente leitura

ISI_PRIV_SNMP Somente leitura

ISI_PRIV_STATISTICS Somente leitura

ISI_PRIV_SWIFT Somente leitura

ISI_PRIV_SYNCIQ Somente leitura

ISI_PRIV_VCENTER Somente leitura

ISI_PRIV_WORM Somente leitura

Referências relacionadas

Funções integradas

Função integrada BackupAdminA função integrada BackupAdmin permite o backup e a restauração de arquivos de /ifs.

Privilégios Acesso de leitura/gravação

ISI_PRIV_IFS_BACKUP Somente leitura

ISI_PRIV_IFS_RESTORE Leitura/gravação

104 Funções e privilégios administrativos

Referências relacionadas

Funções integradas

Função integrada VMwareAdminA função integrada VMwareAdmin permite a administração remota do armazenamento necessário ao VMware vCenter.

Privilégios Acesso de leitura/gravação

ISI_PRIV_LOGIN_PAPI N/D

ISI_PRIV_NETWORK Leitura/gravação

ISI_PRIV_SMARTPOOLS Leitura/gravação

ISI_PRIV_SNAPSHOT Leitura/gravação

ISI_PRIV_SYNCIQ Leitura/gravação

ISI_PRIV_VCENTER Leitura/gravação

ISI_PRIV_NS_TRAVERSE N/D

ISI_PRIV_NS_IFS_ACCESS N/D

Referências relacionadas

Funções integradas

PrivilégiosOs privilégios permitem que os usuários realizem tarefas em um cluster.

Os privilégios são associados a uma área de administração de clusters, como o Mecanismo de trabalho, o SMB ou as estatísticas.

Os privilégios têm uma de duas formas:

Ação Permite que o usuário execute uma ação específica em um cluster. Por exemplo, o privilégio ISI_PRIV_LOGIN_SSH permite que um usuário faça log-in em um cluster por um client SSH.

Leitura/gravação Permite que um usuário exiba ou modifique um subsistema de configuração, como estatísticas, snapshots ou cotas. Por exemplo, o privilégio ISI_PRIV_SNAPSHOT permite que um administrador crie e exclua snapshots e agendamentos de snapshots. Um privilégio de leitura/gravação pode conceder acesso somente leitura ou acesso de leitura/gravação. O acesso somente leitura permite que um usuário exiba as definições de configuração; o acesso de leitura/gravação permite que um usuário exiba e modifique as definições de configuração.

Os privilégios são concedidos ao usuário quando ele faz log-in em um cluster via API do OneFS, via interface de administração da Web, via SSH ou via uma sessão de console. É gerado um token para o usuário que inclui uma lista de todos os privilégios concedidos a ele. Cada URI, cada página da interface de administração da Web e cada comando requer um privilégio específico para exibir ou modificar as informações disponíveis em qualquer uma dessas interfaces.

Em alguns casos, os privilégios não podem ser concedidos ou existem limitações dos privilégios.

• Os privilégios não são concedidos aos usuários que não se conectam à zona do sistema durante o log-in ou aos usuários se conectam via o serviço obsoleto de Telnet, mesmo que eles sejam membros de uma função.

• Os privilégios não fornecem acesso administrativo aos caminhos de configuração externos à API do OneFS. Por exemplo, o privilégio ISI_PRIV_SMB não concede a um usuário o direito de configurar os compartilhamentos de SMB usando o MMC (Microsoft Management Console).

• Os privilégios não fornecem acesso administrativo a todos os arquivos de registro. A maioria dos arquivos de registro exige acesso root.

Conceitos relacionados

Acesso baseado em funções

Gerenciando funções

Funções e privilégios administrativos 105

Privilégios compatíveis com o OneFSOs privilégios compatíveis com o OneFS são categorizados pelo tipo de ação ou pelo acesso concedido ao usuário — por exemplo, privilégios de log-in, segurança e configuração.

Conceitos relacionados

Privilégios

Privilégios de log-inOs privilégios de log-in listados na tabela a seguir permitem que o usuário execute ações específicas ou concedem acesso de leitura ou gravação a uma área de administração do cluster.

Privilégio Descrição Type

ISI_PRIV_LOGIN_CONSOLE Fazer log-in a partir do console. Ação

ISI_PRIV_LOGIN_PAPI Fazer log-in na API da plataforma e na interface Web de administração.

Ação

ISI_PRIV_LOGIN_SSH Fazer log-in via SSH. Ação

Privilégios do sistemaOs privilégios do sistema listados na tabela a seguir permitem que o usuário execute ações específicas ou concedem acesso de leitura ou gravação a uma área de administração do cluster.

Privilégio Descrição Type

ISI_PRIV_SYS_SHUTDOWN Desligar sistema. Ação

ISI_PRIV_SYS_SUPPORT Executar ferramentas de diagnóstico de cluster.

Ação

ISI_PRIV_SYS_TIME Altera o horário do sistema. Leitura/gravação

ISI_PRIV_SYS_UPGRADE Faz upgrades do sistema OneFS. Leitura/gravação

Privilégios de segurançaOs privilégios de segurança listados na tabela a seguir permitem que o usuário execute ações específicas ou concedem acesso de leitura ou gravação a uma área de administração do cluster.

Privilégio Descrição Type

ISI_PRIV_AUTH Configure provedores de autenticação externos, incluindo contas de nível root.

Leitura/gravação

ISI_PRIV_ROLE Crie novas funções e atribua privilégios, incluindo contas de nível root.

Leitura/gravação

Privilégios de configuraçãoOs privilégios de configuração listados na tabela a seguir permitem que o usuário execute ações específicas ou concedem acesso de leitura ou gravação a uma área de administração do cluster.

Privilégio Descrição Type

ISI_PRIV_ANTIVIRUS Configurar a verificação antivírus. Leitura/gravação

ISI_PRIV_AUDIT Configurar recursos de auditoria. Leitura/gravação

ISI_PRIV_CLOUDPOOLS Configurar o CloudPools. Leitura/gravação

ISI_PRIV_CLUSTER Definir as configurações gerais e de identidade do cluster.

Leitura/gravação

106 Funções e privilégios administrativos

Privilégio Descrição Type

ISI_PRIV_DEVICES Criar novas funções e atribuir privilégios. Leitura/gravação

ISI_PRIV_EVENT Exibir e modificar os eventos do sistema. Leitura/gravação

ISI_PRIV_FILE_FILTER Definir as configurações de filtragem de arquivos.

Leitura/gravação

ISI_PRIV_FTP Configurar o servidor FTP. Leitura/gravação

ISI_PRIV_HDFS Configurar o servidor HDFS. Leitura/gravação

ISI_PRIV_HTTP Configurar o servidor HTTP. Leitura/gravação

ISI_PRIV_JOB_ENGINE Agendar trabalhos para todo o cluster. Leitura/gravação

ISI_PRIV_LICENSE Ativar licenças de software do OneFS. Leitura/gravação

ISI_PRIV_MONITORING Registrar os aplicativos que monitoram o cluster.

Leitura/gravação

ISI_PRIV_NDMP Configurar o servidor NDMP. Leitura/gravação

ISI_PRIV_NETWORK Configurar as interfaces de rede. Leitura/gravação

ISI_PRIV_NFS Configurar o servidor NFS. Leitura/gravação

ISI_PRIV_NTP Configurar o NTP. Leitura/gravação

ISI_PRIV_QUOTA Configurar as cotas do file system. Leitura/gravação

ISI_PRIV_REMOTE_SUPPORT Configurar o suporte remoto. Leitura/gravação

ISI_PRIV_SMARTPOOLS Configure pools de armazenamento. Leitura/gravação

ISI_PRIV_SMB Configurar o servidor SMB. Leitura/gravação

ISI_PRIV_SNAPSHOT Agendar, criar e exibir snapshots. Leitura/gravação

ISI_PRIV_SNMP Configurar o servidor SNMP. Leitura/gravação

ISI_PRIV_STATISTICS Exibir as estatísticas de desempenho do file system.

Leitura/gravação

ISI_PRIV_SWIFT Configurar o Swift. Leitura/gravação

ISI_PRIV_SYNCIQ Configurar o SyncIQ. Leitura/gravação

ISI_PRIV_VCENTER Configurar o VMware for vCenter. Leitura/gravação

ISI_PRIV_WORM Configurar os diretórios do SmartLock. Leitura/gravação

Privilégios de acesso a arquivosOs privilégios de acesso ao arquivo listados na tabela a seguir permitem que o usuário execute ações específicas ou concedem acesso de leitura ou gravação a uma área de administração do cluster.

Privilégio Descrição Type

ISI_PRIV_IFS_BACKUP Faça backup de arquivos de /ifs.NOTA: Este privilégio contorna as verificações tradicionais de acesso a arquivos, como bits de modo ou ACLs NTFS.

Ação

ISI_PRIV_IFS_RESTORE Restaure arquivos de /ifs.NOTA: Este privilégio contorna as verificações tradicionais de acesso a arquivos, como bits de modo ou ACLs NTFS.

Ação

Funções e privilégios administrativos 107

Privilégio Descrição Type

ISI_PRIV_IFS_WORM_DELETE Realiza uma operação de exclusão privilegiada nos arquivos confirmados para WORM.

NOTA: Se você não estiver conectado com a conta de usuário root, você também precisa ter o privilégio ISI_PRIV_NS_IFS_ACCESS.

Ação

Privilégios de namespaceOs privilégios de namespace listados na tabela a seguir permitem que o usuário execute ações específicas ou concedem acesso de leitura ou gravação a uma área de administração do cluster.

Privilégio Descrição Type

ISI_PRIV_NS_TRAVERSE Atravessar e visualizar os metadados de diretório.

Ação

ISI_PRIV_NS_IFS_ACCESS Acesse o diretório /ifs por meio da API do OneFS.

Ação

Privilégios de backup e restauração de dadosVocê pode atribuir privilégios a um usuário que servem explicitamente para ações de backup e restauração de dados do cluster.

Dois privilégios permitem que um usuário faça backup e restaure os dados de cluster com protocolos compatíveis do nível de client: ISI_PRIV_IFS_BACKUP e ISI_PRIV_IFS_RESTORE.

CUIDADO: Esses privilégios contornam as verificações tradicionais de acesso a arquivos, como bits de modo ou listas de

controle de acesso do NTFS.

A maioria dos privilégios dos clusters permitem certas alterações à configuração do cluster. Os privilégios de backup e restauração permitem o acesso aos dados do cluster a partir da zona do sistema, o atravessamento de todos os diretórios e a leitura de todos os file data e os metadados, independentemente das permissões dos arquivos.

Os usuários atribuídos a esses privilégios usam o protocolo como um protocolo de backup para outra máquina sem gerar erros de acesso negado e sem conectar-se como usuário root. Estes dois privilégios são compatíveis com os seguintes protocolos de nível de client:

• SMB• NFS• API do OneFS• FTP• SSH

Via SMB, os privilégios de ISI_PRIV_IFS_BACKUP e ISI_PRIV_IFS_RESTORE emulam os privilégios SE_BACKUP_NAME e SE_RESTORE_NAME do Windows. A emulação significa que os procedimentos normais de abertura de arquivos estão protegidos pelas permissões do file system. Para ativar os privilégios de backup e restauração via protocolo SMB, você deve abrir os arquivos com a opção FILE_OPEN_FOR_BACKUP_INTENT, que ocorre automaticamente pelo software para backup do Windows, como o Robocopy. A aplicação da opção não é automática quando os arquivos são abertos pelo software geral de pesquisa de arquivos, como o Windows File Explorer.

Os privilégios ISI_PRIV_IFS_BACKUP e ISI_PRIV_IFS_RESTORE dão suporte principalmente às ferramentas de backup Windows, como o Robocopy. Um usuário deve ser membro da função integrada BackupAdmin para acessar todos os recursos do Robocopy, que incluem a cópia dos metadados de DACL e de SACL dos arquivos.

Conceitos relacionados

Privilégios

108 Funções e privilégios administrativos

Privilégios da interface de linha de comandoVocê pode executar a maioria das tarefas autorizadas por um privilégio na CLI (Command-Line Interface, interface de linha de comando). Alguns comandos do OneFS exigem acesso root.

Conceitos relacionados

Privilégios

Mapeamento de comandos a privilégiosCada comando da CLI é associado a um privilégio. Alguns comandos exigem acesso root.

Comando isi Privilégio

isi antivirus ISI_PRIV_ANTIVIRUS

isi audit ISI_PRIV_AUDIT

isi auth, excluding isi auth roles ISI_PRIV_AUTH

isi auth roles ISI_PRIV_ROLE

isi batterystatus ISI_PRIV_DEVICES

isi cloud ISI_PRIV_CLOUDPOOLS

isi config root

isi dedupe, com exceção de isi dedupe stats ISI_PRIV_JOB_ENGINE

isi dedupe stats ISI_PRIV_STATISTICS

isi devices ISI_PRIV_DEVICES

isi email ISI_PRIV_CLUSTER

isi event ISI_PRIV_EVENT

isi fc ISI_PRIV_NDMP

isi file-filter ISI_PRIV_FILE_FILTER

isi filepool ISI_PRIV_SMARTPOOLS

isi ftp ISI_PRIV_FTP

isi get root

isi hardening ISI_PRIV_HARDENING

isi hdfs ISI_PRIV_HDFS

isi http ISI_PRIV_HTTP

isi job ISI_PRIV_JOB_ENGINE

isi license ISI_PRIV_LICENSE

isi ndmp ISI_PRIV_NDMP

isi network ISI_PRIV_NETWORK

isi nfs ISI_PRIV_NFS

ifs ntp ISI_PRIV_NTP

isi quota ISI_PRIV_QUOTA

isi readonly ISI_PRIV_DEVICES

isi remotesupport ISI_PRIV_REMOTE_SUPPORT

isi servicelight ISI_PRIV_DEVICES

isi services root

isi set root

Funções e privilégios administrativos 109

Comando isi Privilégio

isi smb ISI_PRIV_SMB

isi snapshot ISI_PRIV_SNAPSHOT

isi snmp ISI_PRIV_SNMP

isi statistics ISI_PRIV_STATISTICS

isi status ISI_PRIV_EVENT

ISI_PRIV_DEVICES

ISI_PRIV_JOB_ENGINE

ISI_PRIV_NETWORK

ISI_PRIV_SMARTPOOLS

ISI_PRIV_STATISTICS

isi storagepool ISI_PRIV_SMARTPOOLS

isi swift ISI_PRIV_SWIFT

isi sync ISI_PRIV_SYNCIQ

isi tape ISI_PRIV_NDMP

isi time ISI_PRIV_SYS_TIME

isi upgrade ISI_PRIV_SYS_UPGRADE

isi version ISI_PRIV_CLUSTER

isi worm, com exceção de isi worm files delete ISI_PRIV_WORM

isi worm files delete ISI_PRIV_IFS_WORM_DELETE

isi zone ISI_PRIV_AUTH

Referências relacionadas

Privilégios da interface de linha de comando

Mapeamento de privilégios a comandosCada privilégio é associado a um ou mais comandos. Alguns comandos exigem acesso root.

Privilégio Comandos isi

ISI_PRIV_ANTIVIRUS isi antivirus

ISI_PRIV_AUDIT isi audit

ISI_PRIV_AUTH isi auth - com exceção de isi auth role

isi zone

ISI_PRIV_CLOUDPOOLS isi cloud

ISI_PRIV_CLUSTER isi email

isi version

ISI_PRIV_DEVICES isi batterystatus

isi devices

isi readonly

isi servicelight

isi status

ISI_PRIV_EVENT isi event

isi status

110 Funções e privilégios administrativos

Privilégio Comandos isi

ISI_PRIV_FILE_FILTER isi file-filter

ISI_PRIV_FTP isi ftp

ISI_PRIV_HARDENING isi hardening

ISI_PRIV_HDFS isi hdfs

ISI_PRIV_HTTP isi http

ISI_PRIV_JOB_ENGINE isi job

isi dedupe

isi status

ISI_PRIV_LICENSE isi license

ISI_PRIV_NDMP isi fc

isi tape

isi ndmp

ISI_PRIV_NETWORK isi network

isi status

ISI_PRIV_NFS isi nfs

ISI_PRIV_NTP isi ntp

ISI_PRIV_QUOTA isi quota

ISI_PRIV_REMOTE_SUPPORT isi remotesupport

ISI_PRIV_ROLE isi auth role

ISI_PRIV_SMARTPOOLS isi filepool

isi storagepool

isi status

ISI_PRIV_SMB isi smb

ISI_PRIV_SNAPSHOT isi snapshot

ISI_PRIV_SNMP isi snmp

ISI_PRIV_STATISTICS isi status

isi statistics

isi dedupe stats

ISI_PRIV_SWIFT isi swift

ISI_PRIV_SYNCIQ isi sync

ISI_PRIV_SYS_TIME isi time

ISI_PRIV_SYS_UPGRADE isi upgrade

ISI_PRIV_WORM isi worm com exceção de isi worm files delete

ISI_PRIV_IFS_WORM_DELETE isi worm files delete

root • isi config• isi get• isi services• isi set

Referências relacionadas

Privilégios da interface de linha de comando

Funções e privilégios administrativos 111

Gerenciando funçõesVocê pode exibir, adicionar ou remover membros de qualquer função. Com exceção das funções integradas, cujos privilégios você não pode modificar, é possível adicionar ou remover privilégios do OneFS com base em cada função.

NOTA: As funções adotam os usuários e grupos como membros. Se um grupo for adicionado a uma função, todos os

usuários que são membros desse grupo serão atribuídos aos privilégios associados à função. Da mesma forma, os

membros de várias funções serão atribuídos aos privilégios combinados de cada função.

Criar uma função personalizadaVocê pode criar uma função personalizada e adicionar privilégios e membros a ela.

1. Clique em Access > Membership & Roles > Roles.

2. Clique em Create a Role.

3. No campo Role Name, digite um nome da função.

O nome da função deve seguir as convenções de nomenclatura POSIX. Por exemplo, o nome da função não deve conter espaços nem hífens.

4. No campo Description, digite uma descrição.

5. Clique em Add a member to this role para adicionar um membro à função.

6. Clique em Add a privilege to this role para atribuir direitos de acesso e privilégios.

7. Clique em Create Role.

Conceitos relacionados

Gerenciando funções

Modificar uma funçãoVocê pode modificar a descrição e a lista de membros do grupo ou de usuários de qualquer função, inclusive as funções integradas. No entanto, você pode modificar o nome e os privilégios apenas para funções personalizadas.

1. Clique em Access > Membership & Roles > Roles.

2. Na área Roles, selecione uma função e clique em View / Edit.A caixa de diálogo View Role Details é exibida.

3. Clique em Edit Role e modifique as configurações conforme necessário na caixa de diálogo Edit Role Details.

4. Clique em Save Changes para voltar à caixa de diálogo View Role Details.

5. Clique em Close.

Conceitos relacionados

Gerenciando funções

Copiar uma funçãoVocê pode copiar uma função existente e adicionar ou remover privilégios e membros para essa função conforme necessário.

1. Clique em Access > Membership & Roles > Roles.

2. Na área Roles, selecione uma função e clique em More > Copy.

3. Modifique o nome da função, a descrição, os membros e os privilégios conforme necessário.

4. Clique em Copy Role.

Conceitos relacionados

Gerenciando funções

112 Funções e privilégios administrativos

Adicionar um privilégio a uma função personalizadaVocê pode adicionar ou remover privilégios de uma função personalizada conforme necessário. Você pode designar determinados privilégios como somente leitura ou leitura/gravação. Você não pode modificar os privilégios atribuídos a uma função integrada. Repita esse procedimento para cada privilégio que deseja adicionar a uma função personalizada.

1. Clique em Add a privilege to this role na caixa de diálogo para criar, copiar ou editar uma função.

2. Na caixa de diálogo Add a privilege to this role, selecione um tipo de acesso para a função.

3. Selecione um privilégio na lista.

4. Clique em Add Privilege.

Conceitos relacionados

Gerenciando funções

Adicionar um membro a uma funçãoVocê pode adicionar um ou mais membros a uma função ao criar, copiar ou modificar a função. Um usuário ou um grupo pode ser membro de mais de uma função. Os privilégios associados a uma função são concedidos a todos os membros da função. Repita esse procedimento para adicionar membros à função.

1. Clique em Add a member to this role na caixa de diálogo para criar, copiar ou editar uma função.

2. Na caixa de diálogo Select a User, selecione uma das seguintes opções:

• Users• Groups• Well-known SIDs

3. Se você selecionar User ou Group, localize o usuário ou grupo usando um dos seguintes métodos:

• Digite o nome de usuário ou nome do grupo que você deseja pesquisar no campo de texto.• Selecione o provedor de autenticação que você deseja pesquisar na lista Provider. Somente os provedores que estiverem

atualmente configurados e habilitados no cluster serão listados.

4. Clique em Search.

5. Selecione um nome de usuário, nome de grupo ou um SID conhecido nos resultados da pesquisa a ser adicionado como membro à função.

6. Clique em Select.

Conceitos relacionados

Gerenciando funções

Excluir uma função personalizadaA exclusão de uma função personalizada não afeta os privilégios nem os usuários que foram atribuídos a ela. Você não pode excluir funções integradas.

1. Clique em Access > Membership & Roles > Roles.

2. Na área Funções, selecione uma ou mais funções e, em seguida, execute uma das seguintes ações:

• Para excluir uma só função, clique em More > Delete na coluna Actions relacionada à função selecionada.• Para excluir várias funções, selecione Delete Selection na lista Select a bulk action.

3. Na caixa de diálogo de confirmação, clique em Delete.

Conceitos relacionados

Gerenciando funções

Exibir uma funçãoVocê pode exibir informações sobre funções integradas e personalizadas.

1. Clique em Access > Membership & Roles > Roles.

Funções e privilégios administrativos 113

2. Na área Roles, selecione uma função e clique em View / Edit.

3. Na caixa de diálogo View Role Details, visualize as informações sobre a função.

4. Clique em Close para voltar à página Membership & Roles.

Conceitos relacionados

Gerenciando funções

Exibir privilégiosVocê pode exibir os privilégios de usuário.

Este procedimento deve ser realizado na interface de linha de comando. Você pode exibir uma lista de seus privilégios ou dos privilégios de outro usuário usando os seguintes comandos:

1. Estabeleça uma conexão SSH com qualquer nó do cluster.

2. Para exibir os privilégios, execute um dos comandos a seguir.

• Para exibir uma lista de todos os privilégios, execute o seguinte comando:

isi auth privileges --verbose• Para exibir uma lista de seus privilégios, execute o seguinte comando:

isi auth id• Para exibir uma lista dos privilégios de outro usuário, execute o seguinte comando, onde <usuário> é um espaço reservado para

outro usuário por nome:

isi auth mapping token <user>

Conceitos relacionados

Gerenciando funções

114 Funções e privilégios administrativos

Gerenciamento de identidadesEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral do gerenciamento de identidades• Tipos de identidade• Tokens de acesso• Geração de tokens de acesso• Gerenciando mapeamentos de ID• Gerenciando identidades de usuários

Visão geral do gerenciamento de identidadesEm ambientes com vários tipos diferentes de serviços de diretório, o OneFS mapeia os usuários e os grupos dos diferentes serviços para oferecer uma só identidade unificada em um cluster e um controle de acesso uniforme aos arquivos e diretórios, independentemente do protocolo de entrada. Esse processo é chamado de mapeamento de identidade.

Com frequência, os clusters do Isilon são implementados em ambientes com vários tipos de serviços de diretório, como Active Directory e LDAP. Quando um usuário com contas em vários serviços de diretório faz log-in em um cluster, o OneFS combina as identidades e os privilégios do usuário a partir de todos os serviços de diretório em um token nativo de acesso.

Você pode definir as configurações do OneFS para incluir uma lista de regras para manipulação dos tokens de acesso e controlar a identidade e os privilégios do usuário. Por exemplo, você pode configurar uma regra de mapeamento de usuários para mesclar uma identidade do Active Directory e uma identidade do LDAP em um só token que funciona para o acesso aos arquivos armazenados via SMB e NFS. O token pode incluir grupos do Active Directory e do LDAP. As regras de mapeamento que você criar podem resolver problemas de identidade manipulando os tokens de acesso de várias maneiras, que incluem os seguintes exemplos:

• Autenticar um usuário com o Active Directory, mas oferecer a ele uma identidade do UNIX.• Selecionar um grupo principal de opções concorrentes do Active Directory ou do LDAP.• Impedir o log-in dos usuários que não existem no Active Directory e no LDAP.

Para obter mais informações sobre o gerenciamento de identidades, consulte o white paper Gerenciando Identidades com o Serviço de Mapeamento de Usuários do Isilon OneFS em .

Tipos de identidadeO OneFS dá suporte a três tipos principais de identidades e você armazenar cada uma delas diretamente no file system. Os tipos de identidades são identificadores de usuário e de grupo do UNIX e identificadores de segurança do Windows.

Ao fazer log-in em um cluster, o mapeador de usuários expandirá sua identidade para incluir suas outras identidades de todos os serviços de diretório, inclusive Active Directory, LDAP e NIS. Depois que o OneFS mapeia suas identidades aos serviços de diretório, ele gera um token de acesso que inclui as informações de identidade associadas a suas contas. Um token inclui os seguintes identificadores:

• Um ID exclusivo e um ID de grupo do UNIX. Um ID exclusivo ou um ID de grupo é um número de 32 bits com um valor máximo de 4.294.967.295.

• Um identificador de segurança para uma conta de usuário do Windows. Um identificador de segurança é uma série de autoridades e subautoridades que terminam com um RID (Relative Identifier, identificador relativo) de 32 bits. A maioria dos identificadores de segurança têm o formato S-1-5-21-<A>-<B>-<C>-<RID>, onde <A>, <B> e <C> são específicos a um domínio ou computador e <RID> denota o objeto do domínio.

• Um identificador de segurança principal de grupo para uma conta de grupo do Windows.• Uma lista de identidades adicionais, inclusive todos os grupos dos quais o usuário é membro.

O token também contém os privilégios resultantes do controle de acesso baseado em funções administrativas.

Em um cluster do Isilon, um arquivo contém as permissões, que são exibidas como uma ACL. A ACL controla o acesso aos diretórios, arquivos e outros objetos do sistema que precisam de proteção.

7

Gerenciamento de identidades 115

Quando um usuário tenta acessar um arquivo, o OneFS compara as identidades do token de acesso do usuário com a ACL do arquivo. O OneFS concede o acesso quando a ACL do arquivo contém uma ACE (Access Control Entry, entrada de controle de acesso) que permite que a identidade do token acesse o arquivo e que não inclui uma ACE que nega o acesso da identidade. O OneFS compara o token de acesso de um usuário com a ACL de um arquivo.

NOTA: Para obter mais informações sobre as listas de controle de acesso, inclusive uma descrição das permissões e de

como elas correspondem aos bits de modo POSIX, consulte o white paper intitulado Acesso a Dados Multiprotocolos do EMC Isilon com um Modelo Unificado de Segurança no site Dell EMC Isilon Technical Support.

Quando um nome é apresentado como um identificador, ele é convertido ao objeto correspondente de usuário ou de grupo e ao tipo correto de identidade. Você pode digitar ou exibir um nome de várias maneiras:

• O UNIX supõe namespaces exclusivos que diferenciam letras maiúsculas de minúsculas para usuários e grupos. Por exemplo, Name e name representam objetos diferentes.

• O Windows oferece um namespace exclusivo e que não diferencia letras maiúsculas de minúsculas para todos os objetos e também especifica um prefixo para definir um domínio do Active Directory como destino; por exemplo, domain\nome.

• O Kerberos e o NFSv4 definem os principais, o que requer que os nomes sejam formatados da mesma forma que os endereços de e-mail; por exemplo, name@domain.com.

Vários nomes podem se referir ao mesmo objeto. Por exemplo, considerando-se o nome 'support' e o domínio 'example.com', os nomes 'support', 'EXAMPLE\support' e 'support@example.com' são todos os nomes para um só objeto do Active Directory.

Tokens de acessoUm token de acesso é criado quando o usuário faz sua primeira solicitação de acesso.

Os tokens de acesso representam quem é um usuário ao realizar ações no cluster e oferecem as identidades de proprietário principal e de grupo durante a criação de arquivos. Os tokens de acesso são comparados aos bits de modo ou de ACL durante as verificações de autorização.

Durante a autorização de usuários, o OneFS compara o token de acesso, que é gerado durante a conexão inicial, com os dados de autorização do arquivo. Todo o mapeamento de usuário e identidades ocorre durante a geração de tokens; nenhum mapeamento ocorre durante a avaliação de permissões.

Um token de acesso inclui todos os IDs exclusivos, IDs de grupo e identificadores de segurança de uma identidade, além de todos os privilégios do OneFS. O OneFS lê as informações do token para determinar se um usuário tem acesso a um recurso. É importante que o token contenha a lista correta de IDs exclusivos, IDs de grupo e identificadores de segurança. Um token de acesso é criado a partir de uma das seguintes origens:

Origem Autenticação

Nome de usuário • SMB impersonate user• Kerberized NFSv3• Kerberized NFSv4• Mapeamento de usuários da exportação NFS• HTTP• FTP• HDFS

PAC (Privilege Attribute Certificate) • SMB NTLM• Active Directory Kerberos

UID (User identifier) • NFS AUTH_SYS mapping

Geração de tokens de acessoPara a maioria de protocolos, o token de acesso é gerado a partir do nome de usuário ou dos dados de autorização que são recuperados durante a autenticação.

As seguintes etapas apresentam uma visão geral simplificada do processo complexo pelo qual um token de acesso é gerado:

Etapa 1: Pesquisa de identidade do usuário

Usando a identidade inicial, o usuário será pesquisado em todos os provedores de autenticação configurados na zona de acesso, na ordem em que estiverem listados. A lista de identidades e grupos de usuários é recuperada do provedor de autenticação. Em seguida, as listas adicionais de membros do grupo associadas à lista de usuários e

116 Gerenciamento de identidades

grupos são pesquisadas para todos os outros provedores de autenticação. Todos esses identificadores de segurança, IDs exclusivos ou IDs de grupo são adicionados ao token inicial.

NOTA: Uma exceção a esse comportamento ocorre se o provedor do Active Directory for

configurado para chamar outros provedores, como LDAP ou NIS.

Etapa 2: Mapeamento de IDs

Os identificadores do usuário são associados nos serviços de diretórios. Todos os identificadores de segurança são convertidos a seu ID exclusivo/ID de grupo equivalente e vice-versa. Esses mapeamentos de IDs também são adicionados ao token de acesso.

Etapa 3: Mapeamento de usuários

Os tokens de acesso dos outros serviços de diretórios são combinados. Se o nome de usuário corresponder a quaisquer regras de mapeamento de usuários, as regras são processadas em ordem e o token é atualizado de modo adequado.

Etapa 4: Cálculo da identidade em disco

A identidade em disco padrão é calculada a partir do token final e da configuração global. Essas identidades são usadas para os arquivos recém-criados.

Mapeamento de IDsO serviço de mapeamento de identidade (ID) mantém as informações da relação entre os identificadores mapeados Windows e UNIX para fornecer controle de acesso consistente nos protocolos de compartilhamento de arquivos dentro de uma zona de acesso.

NOTA: O mapeamento de IDs e o mapeamento de usuários são serviços diferentes, apesar da semelhança entre os

nomes.

Durante a autenticação, o daemon de autenticação solicita mapeamentos de identidade do serviço de mapeamento de IDs para criar tokens de acesso. Mediante solicitação, o serviço de mapeamento de IDs retorna identificadores do Windows associados aos identificadores do UNIX , ou identificadores do UNIX associados a identificadores do Windows. Quando um usuário é autenticado em um cluster via NFS com um ID exclusivo ou um ID de grupo, o serviço de mapeamento de IDs retorna o SID do Windows associado permitindo o acesso a arquivos que outros usuários armazenaram via SMB. Quando um usuário é autenticado em um cluster via SMB com um SID, o serviço de mapeamento de IDs retorna o ID exclusivo e o ID de grupo do UNIX associado permitindo o acesso a arquivos que um client UNIX armazenou via NFS.

Os mapeamentos entre IDs exclusivos e IDs de grupo e SIDs são armazenados de acordo com as zonas de acesso em um banco de dados distribuído do cluster chamado mapa de ID. Cada mapeamento no mapa de ID é armazenado como uma relação unidirecional do tipo de identidade de origem ao de destino. Os mapeamentos bidirecionais são armazenados como mapeamentos unidirecionais complementares.

Associando os IDs Windows aos IDs UNIXQuando um usuário do Windows faz a autenticação com um SID, o daemon de autenticação pesquisa o provedor externo do Active Directory para procurar o usuário ou grupo associado ao SID. Se o usuário ou grupo tiver apenas um SID no Active Directory, o daemon de autenticação solicitará um mapeamento do serviço de mapeamento de ID.

NOTA: As pesquisas de usuários e grupos podem ser desativadas ou limitadas nas configurações do Active Directory.

Você ativa as configurações de pesquisa de usuários e grupos com o comando isi auth ads modify.

Se o serviço de mapeamento de ID não encontrar e retornar um ID exclusivo ou ID de grupo mapeado no mapa de ID, o daemon de autenticação pesquisa outros provedores externos de autenticação configurados na mesma zona de acesso de um usuário que combina o mesmo nome do usuário do Active Directory.

Se um nome de usuário de correspondência for encontrado em outro provedor externo, o daemon de autenticação adiciona o ID exclusivo do usuário ou o ID de grupo correspondentes ao token de acesso para o usuário do Active Directory, e o serviço de mapeamento de ID cria um mapeamento entre o ID exclusivo ou o ID de grupo e o SID de usuário do Active Directory no mapa de ID. Isso é chamado de mapeamento externo.

NOTA: Quando um mapeamento externo é armazenado no mapa de ID, o ID exclusivo é especificado como a identidade

no disco para esse usuário. Quando o serviço de mapeamento de ID armazena um mapeamento gerado, o SID é

especificado como a identidade no disco.

Se um nome de usuário correspondente não for encontrado em outro provedor externo, o daemon de autenticação atribui um ID exclusivo ou um ID de grupo do intervalo de mapeamento ID para o SID de usuário do Active Directory, e os serviços de mapeamento de ID armazenam o mapeamento no mapa de ID. Isso é chamado de mapeamento gerado. O intervalo de mapeamento de ID é um pool de IDs exclusivos e IDs de grupo alocados nas configurações de mapeamento.

Depois da criação de um mapeamento para um usuário, o daemon de autenticação recupera o ID exclusivo ou ID de grupo armazenado no mapa de ID nas pesquisas subsequentes para o usuário.

Gerenciamento de identidades 117

Associando os IDs do UNIX aos IDs do WindowsO serviço de mapeamento de ID cria mapeamentos temporários de ID exclusivo para SID e de ID de grupo para SID somente se um mapeamento ainda não existir. Os identificadores de segurança do UNIX que resultam desses mapeamentos nunca são armazenados em disco.

Os IDs exclusivos e os IDs de grupo têm um conjunto de mapeamentos predefinidos para e de SIDs.

Se um mapeamento de ID exclusivo para SID ou de ID de grupo para SID for solicitado durante a autenticação, o serviço de mapeamento de ID gerar um identificador de segurança do UNIX temporário no formato S-1-22-1-<UID> ou S-1-22-2-<GID> aplicando as seguintes regras:

• Para IDs exclusivos, o serviço de mapeamento de ID gera um identificador de segurança do UNIX com um domínio de S-1-22-1 e um ID de recurso que corresponda ao ID exclusivo. Por exemplo, o identificador de segurança do UNIX para o ID exclusivo 600 é S-1-22-1-600.

• Para IDs de grupo, o serviço de mapeamento de ID gera um identificador de segurança do UNIX com um domínio de S-1-22-2 e um ID de recurso que corresponda ao ID exclusivo. Por exemplo, o identificador de segurança do UNIX para o ID de grupo 800 é S-1-22-2-800.

Intervalos de mapeamento de IDNas zonas de acesso com os vários provedores externos de autenticação, como Active Directory e LDAP, é importante que os IDs exclusivos e IDs de grupo de diferentes fornecedores configurados na mesma zona de acesso não se sobreponham. A sobreposição de IDs exclusivos e IDs de grupo entre provedores em uma zona de acesso pode resultar em alguns usuários obtendo acesso a diretórios e arquivos de outros usuários.

O intervalo de IDs exclusivos e IDs de grupo que pode ser alocado para o mapeamento gerado é configurável em cada zona de acesso com o comando isi auth settings mappings modify. O intervalo padrão para IDs exclusivos e IDs de grupo é 1000000-2000000 em cada zona de acesso.

Não inclua os IDs exclusivos e IDs de grupo utilizados geralmente em seus intervalos de IDs. Por exemplo, os IDs exclusivos e os IDs de grupo abaixo de 1000 são reservados para contas do sistema e não devem ser atribuídos a usuários nem a grupos.

Mapeamento de usuáriosO mapeamento de usuários representa um modo de controlar as permissões especificando os identificadores de segurança de um usuário, os identificadores do usuário e os identificadores do grupo. O OneFS usa os identificadores para verificar a propriedade dos arquivos ou dos grupos.

Com o recurso de mapeamento de usuários, você pode aplicar regras para modificar a identidade de usuário usada pelo OneFS, adicionar identidades complementares do usuário e modificar a lista de membros do grupo de um usuário. O serviço de mapeamento de usuários combina as identidades de um usuário obtidas de diferentes serviços de diretórios em um só token de acesso e, depois, as modifica de acordo com as regras que você cria.

NOTA: Você pode configurar as regras de mapeamento por zona. As regras de mapeamento devem ser configuradas

separadamente em cada zona de acesso que as usa. O OneFS somente mapeia usuários somente durante o log-in ou o

acesso a protocolos.

Mapeamentos de usuários padrãoOs mapeamentos de usuários padrão determinarão o acesso se regras explícitas de mapeamento de usuários não forem criadas.

Se você não configurar regras, um usuário que fizer a autenticação com um serviço de diretórios receberá as informações de identidade em outros serviços de diretórios quando os nomes das contas forem os mesmos. Por exemplo, um usuário que fizer a autenticação com um domínio do Active Directory como Desktop\jane receberá automaticamente as identidades no token de acesso final para a conta de usuário UNIX correspondente para jane no LDAP ou no NIS.

No cenário mais comum, o OneFS é conectado a dois serviços de diretórios, o Active Directory e o LDAP. Nesse caso, o mapeamento padrão fornece ao usuário os seguintes atributos de identidade:

• Um ID exclusivo do LDAP• O SID do usuário do Active Directory• Um SID do grupo padrão no Active Directory

Os grupos do usuário se originarão do Active Directory e do LDAP, com os grupos LDAP e o ID de grupo gerado automaticamente adicionado à lista. Para extrair grupos do LDAP, o serviço de mapeamento consulta o atributo memberUid. O diretório de usuário, os gecos e o shell do usuário se originam do Active Directory.

118 Gerenciamento de identidades

Elementos de regras de mapeamento de usuáriosCombine operadores com nomes de usuários para criar uma regra de mapeamento de usuários.

Os seguintes elementos afetam como o mapeador do usuário aplica uma regra:

• O operador, que determina a operação executada por uma regra• Campos para nomes de usuário• Opções• Um parâmetro• Caracteres-curinga

Práticas recomendadas de mapeamento de usuáriosVocê pode seguir as práticas recomendadas para simplificar o mapeamento de usuários.

Use o Active Directory com RFC 2307 e Windows Services for UNIX

Use o Microsoft Active Directory com Windows Services for UNIX e atributos RFC 2307 para gerenciar os sistemas Linux, UNIX e Windows. A integração dos sistemas UNIX e Linux ao Active Directory centraliza o gerenciamento de identidades e facilita a interoperabilidade, reduzindo a necessidade de regras de mapeamento de usuários. Certifique-se de que seus controladores de domínio estejam executando o Windows Server 2003 ou posterior.

Aplique uma estratégia consistente de nome de usuário

As configurações mais simples nomeiam os usuários de modo consistente, para que cada usuário UNIX corresponda a um usuário do Windows com um nome semelhante. Essa convenção permite que as regras com caracteres-curinga façam a correspondência a nomes e os mapeiem sem especificar explicitamente cada par de contas.

Não use intervalos sobrepostos de IDs

Nas redes com várias origens de identidade, como LDAP e Active Directory com atributos RFC 2307, você deve garantir que os intervalos de IDs exclusivos ou de IDs de grupo não se sobreponham. Também é importante que o intervalo a partir do qual o OneFS aloca automaticamente os IDs exclusivos e IDs de grupo não se sobreponha a nenhum outro intervalo de IDs. O OneFS aloca automaticamente os IDs exclusivos e IDs de grupo a partir do intervalo 1.000.000 a 2.000.000. Se os IDs exclusivos e IDs de grupo se sobrepuserem a vários serviços de diretório, alguns usuários poderão ter acesso aos diretórios e arquivos de outros usuários.

Evite IDs de usuários exclusivos e IDs de grupo comuns

Não inclua os IDs exclusivos e IDs de grupo utilizados geralmente em seus intervalos de IDs. Por exemplo, os IDs exclusivos e os IDs de grupo abaixo de 1000 são reservados para contas do sistema; não os atribua a usuários nem grupos.

Não use UPNs nas regras de mapeamento

Você não pode usar um UPN (User Principal Name) em uma regra de mapeamento de usuários. Um UPN é um domínio e um nome de usuário do Active Directory que são combinados em um nome de estilo Internet com um símbolo @, como um endereço de e-mail: jane@example. Se você incluir o UPN em uma regra, o serviço de mapeamento vai ignorá-lo e poderá exibir um erro. Em vez disso, especifique nomes no formato DOMAIN\user.com.

Agrupe as regras por tipo e coloque-as em ordem

O sistema processa todas as regras de mapeamento de modo padrão, o que pode apresentar problemas quando você aplicar uma regra deny-all — por exemplo, para negar o acesso a todos os usuários desconhecidos. Além disso, as regras replacement (substituição) podem interagir com as regras que contêm caracteres-curinga. Para minimizar a complexidade, recomenda-se que você agrupe as regras por tipo e coloque-as na seguinte ordem:

1. Regras replacement: primeiro, especifique todas as regras que substituem uma identidade para garantir que o OneFS substitua todas as instâncias da identidade.

2. Regras join, add e insert: depois que os nomes forem configurados pelas operações replacement, especifique as regras join (associação), add (adição) e insert (inserção) para adicionar identificadores adicionais.

3. Regras allow e deny: por último, especifique as regras que autorizam ou negam o acesso.NOTA: Interrompa todo o processamento antes de aplicar uma regra deny padrão. Para fazer

isso, crie uma regra que corresponda aos usuários autorizados, mas que não faça nada, como

um operador add sem opções de campo, e que tenha a opção break. Depois de enumerar os

usuários autorizados, você pode informar uma regra catchall deny ao final para substituir

qualquer usuário não correspondido por um usuário em branco.

Para impedir que as regras explícitas sejam ignoradas, em cada grupo de regras, ordene as regras explícitas antes das regras que contêm caracteres-curinga.

Adicione o grupo principal de LDAP ou de NIS aos

Quando um cluster do Isilon é conectado ao Active Directory e ao LDAP, a prática recomendada é adicionar o grupo principal do LDAP à lista de grupos complementares. Isso permite que o OneFS honre as permissões de

Gerenciamento de identidades 119

grupos complementares

grupo dos arquivos criados via NFS ou migrados de outros sistemas de armazenamento UNIX. A mesma prática é recomendada quando um cluster do Isilon é conectado ao Active Directory e ao NIS.

Identidade em discoDepois que o mapeador de usuários resolver as identidades de um usuário, o OneFS determina um identificador de autoria para ele, que é a identidade preferencial em disco.

O OneFS armazena as identidades do UNIX ou do Windows em metadados de arquivos no disco. Os tipos de identidade em disco são UNIX, identificador de segurança e nativa. As identidades são configuradas quando um arquivo é criado ou quando os dados de controle de acesso de um arquivo são modificados. Quase todos os protocolos requerem algum nível de mapeamento para operar corretamente; portanto, é muito importante escolher a identidade preferencial para armazenar no disco. Você pode configurar o OneFS para armazenar a identidade do UNIX ou do Windows, ou você pode permitir que o OneFS determine a identidade ideal que será armazenada.

Os tipos de identidade em disco são UNIX, identificador de segurança e nativa. Embora você possa alterar o tipo de identidade em disco, a identidade nativa é a melhor para uma rede com sistemas UNIX e Windows. No modo de identidade nativa em disco, configurar o ID exclusivo como a identidade em disco melhora o desempenho do NFS.

NOTA: A identidade de identificador de segurança em disco serve para uma rede homogênea de sistemas Windows

gerenciados somente com o Active Directory. Ao fazer upgrade de uma versão anterior a OneFS 6.5, a identidade em

disco será configurada como UNIX. Ao fazer upgrade do OneFS 6.5 ou posterior, a configuração da identidade em disco

será preservada. Nas novas instalações, a identidade em disco é configurada como nativa.

O tipo de identidade nativa permite que o daemon de autenticação do OneFS selecione a identidade correta que será armazenada em disco, verificando os tipos de mapeamento de identidade na seguinte ordem:

Order Tipo de mapeamento Descrição

1 Mapeamento algorítmico Um identificador de segurança que faz a correspondência com S-1-22-1-UID ou com S-1-22-2-GID no banco de dados interno de mapeamento de IDs é convertido de volta à identidade correspondente do UNIX, e o ID exclusivo e o ID de grupo são configurados como a identidade em disco.

2 Mapeamento externo Um usuário com um ID exclusivo ou um ID de grupo explícito em um serviço de diretório (como o Active Directory com atributos de RFC 2307, o LDAP, o NIS, o provedor de arquivos do OneFS ou o provedor local) tem a identidade do UNIX configurada como a identidade em disco.

3 Mapeamento persistente Os mapeamentos são armazenados de modo persistente no banco de dados do mapeador de identidades. Uma identidade com um mapeamento persistente no banco de dados do mapeador de identidades usa o destino desse mapeamento como a identidade em disco, que ocorre principalmente com mapeamentos manuais de IDs. Por exemplo, se houver um mapeamento de IDs do GID:10000 a S-1-5-32-545, uma solicitação do armazenamento em disco do GID:10000 exibirá S-1-5-32-545.

4 Nenhum mapeamento Se um usuário não tem um ID exclusivo ou um ID de grupo mesmo depois de consultar os outros serviços de diretórios e bancos de dados de identidades, o identificador de segurança é configurado como a identidade em disco. Além disso, para garantir que um usuário possa acessar arquivos via NFS, o OneFS aloca um ID exclusivo e um ID de grupo em uma faixa predefinida de 1.000.000 a 2.000.000. No modo de identidade nativa em disco, um ID exclusivo ou um ID de grupo gerado pelo OneFS nunca é definido como a identidade em disco.

NOTA: Se você alterar o tipo de identidade em disco, deverá executar o trabalho PermissionRepair com o tipo de reparo

Convert selecionado para garantir que a representação de disco de todos os arquivos seja consistente com a

configuração alterada. Para obter mais informações, consulte a seção Executar o trabalho PermissionRepair.

Gerenciando mapeamentos de IDVocê pode criar, modificar, excluir mapeamentos de identidade e definir as configurações de mapeamento de ID.

120 Gerenciamento de identidades

Criar um mapeamento de identidadeVocê pode criar um mapeamento manual de identidade entre as identidades de origem e de destino ou gerar automaticamente um mapeamento para uma identidade da origem.

Este procedimento somente está disponível pela interface de linha de comando.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi auth mapping create.O seguinte comando especifica IDs de identidades de origem e de destino na zona de acesso zone3 para criar um mapeamento bidirecional entre as identidades:

isi auth mapping create --2way --source-sid=S-1-5-21-12345 \--target-uid=5211 --zone=zone3

Modificar um mapeamento de identidadeVocê pode modificar as configurações de um mapeamento de identidade.

Este procedimento somente está disponível pela interface de linha de comando.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi auth mapping modify.O seguinte comando modifica o mapeamento do usuário com ID exclusivo 4236 na zona de acesso zone3 para incluir um mapeamento bidirecional, inverso entre as identidades de origem e de destino:

isi auth mapping modify --source-uid=4236 \--target-sid=S-1-5-21-12345 --zone=zone3 --2way

Excluir um mapeamento de identidadeVocê pode excluir um ou vários mapeamentos de identidade.

Este procedimento somente está disponível pela interface de linha de comando.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi auth mapping delete.O seguinte comando exclui todos os mapeamentos de identidade na zona de acesso zone3:

isi auth mapping delete --all --zone=zone3

O seguinte comando exclui todos os mapeamentos de identidade na zona de acesso zone3 que foram criados automaticamente e incluem um ID exclusivo ou um ID de grupo de uma origem externa de autenticação:

isi auth mapping delete --all --only-external --zone=zone3

O seguinte comando exclui o mapeamento de identidade do usuário com ID exclusivo 4236 na zona de acesso zone3:

isi auth mapping delete --source-uid=4236 --zone=zone3

Exibir um mapeamento de identidadeVocê pode exibir informações de mapeamento para uma identidade específica.

Este procedimento somente está disponível pela interface de linha de comando.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi auth mapping view.O seguinte comando exibe mapeamentos para o usuário com ID exclusivo 4236 na zona de acesso zone3:

isi auth mapping view --uid=4236 --zone=zone3

O sistema exibe resultados semelhantes aos do seguinte exemplo:

Gerenciamento de identidades 121

Name: user_36 On-disk: UID: 4236Unix uid: 4236Unix gid: -100000 SMB: S-1-22-1-4236

Fazer flush do cache de mapeamento de identidadesVocê pode fazer flush do cache de mapeamento de IDs para remover cópias em memória de todos os mapeamentos de identidades ou de mapeamentos específicos.

As modificações nos mapeamentos de IDs podem fazer com que o cache fique fora de sincronia e os usuários possam experimentar lentidão ou paralisações durante a autenticação. Você pode fazer flush do cache para sincronizar os mapeamentos.

Este procedimento somente está disponível pela interface de linha de comando.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi auth mapping flush.O seguinte comando faz o flush de todos os mapeamentos de identidades do cluster:

isi auth mapping flush --all

O seguinte comando faz o flush do mapeamento do usuário com o UID 4236 na zona de acesso zone3:

isi auth mapping flush --source-uid-4236 --zone=zone3

Exibir um token do usuárioVocê pode exibir o conteúdo de um token de acesso gerado para um usuário durante a autenticação.

Este procedimento somente está disponível pela interface de linha de comando.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi auth mapping token.O seguinte comando exibe o token de acesso de um usuário a um ID exclusivo 4236 na zona de acesso zone3:

isi auth mapping token --uid=4236 --zone=zone3

O sistema exibe um resultado semelhante ao do seguinte exemplo:

User Name: user_36 UID: 4236 SID: S-1-22-1-4236 On Disk: 4236ZID: 3Zone: zone3Privileges: -Primary Group Name: user_36 GID: 4236 SID: S-1-22-2-4236 On Disk: 4236

Definir as configurações do mapeamento de identidadeVocê pode habilitar ou desabilitar a alocação automática de IDs exclusivos e de IDs de grupo e personalizar o intervalo de valores de ID em cada zona de acesso. O intervalo padrão é 1000000–2000000.

Este procedimento somente está disponível pela interface de linha de comando.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi auth settings mapping modify.

122 Gerenciamento de identidades

O seguinte comando permite a alocação automática de IDs exclusivos e IDs de grupo na zona de acesso zone3 e define os intervalos de alocação para 25000-50000:

isi auth settings mapping modify --gid-range-enabled=yes \--gid-range-min=25000 --gid-range-max=50000 --uid-range-enabled=yes \--uid-range-min=25000 --uid-range-max=50000 --zone=zone3

Exibir as configurações do mapeamento de identidadeVocê pode exibir a definição atual de configurações do mapeamento de identidade em cada zona.

Este procedimento somente está disponível pela interface de linha de comando.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi auth settings mapping view.O seguinte comando exibe as configurações atuais da zona de acesso zone3:

isi auth settings mapping view --zone=zone3

O sistema exibe um resultado semelhante ao do seguinte exemplo:

GID Range Enabled: Yes GID Range Min: 25000 GID Range Max: 50000UID Range Enabled: Yes UID Range Min: 25000 UID Range Max: 50000

Gerenciando identidades de usuáriosVocê pode gerenciar identidades de usuários criando regras de mapeamento de usuários.

Ao criar regras de mapeamento de usuários, é importante lembrar as seguintes informações:

• Só será possível criar regras de mapeamento de usuários se você estiver conectado ao cluster por meio da zona System; entretanto, você pode aplicar regras de mapeamento de usuários a zonas de acesso específicas. Se você criar uma regra de mapeamento de usuários para uma zona de acesso específica, a regra será aplicada somente no contexto da zona.

• Ao alterar o mapeamento de usuários em um nó, o OneFS propaga as alterações nos outros nós.• Feita uma alteração em um mapeamento de usuários, o serviço de autenticação do OneFS recarrega a configuração.

Exibir a identidade do usuárioVocê pode exibir as identidades e a lista de membros do grupo que um usuário especificado tem no Active Directory e nos serviços de diretório do LDAP, inclusive o histórico de SIDs (Security Identifiers, identificadores de segurança).

Este procedimento deve ser realizado por meio da interface de linha de comando.

NOTA: O token de acesso do usuário do OneFS conterá uma combinação de identidades do Active Directory e do LDAP

se os dois serviços de diretório estiverem configurados. Você pode executar os comandos a seguir para detectar as

identidades incluídas em cada serviço de diretório específico.

1. Estabeleça uma conexão SSH com qualquer nó do cluster.

2. Visualize uma identidade de usuário do Active Directory somente pela execução do comando isi auth users view.O seguinte comando exibe a identidade de um usuário denominado stand no domínio do Active Directory chamado YORK:

isi auth users view --user=YORK\\stand --show-groups

O sistema exibe resultados semelhantes aos do seguinte exemplo:

Name: YORK\stand DN: CN=stand,CN=Users,DC=york,DC=hull,DC=example,DC=com DNS Domain: york.hull.example.com Domain: YORK Provider: lsa-activedirectory-provider:YORK.HULL.EXAMPLE.COMSam Account Name: stand UID: 4326

Gerenciamento de identidades 123

SID: S-1-5-21-1195855716-1269722693-1240286574-591111 Primary Group ID : GID:1000000 Name : YORK\york_sh_udg Additional Groups: YORK\sd-york space group YORK\york_sh_udg YORK\sd-york-group YORK\sd-group YORK\domain users

3. Visualize uma identidade de usuário do LDAP somente pela execução do comando isi auth users view.O seguinte comando exibe a identidade de um usuário do LDAP denominado stand:

isi auth user view --user=stand --show-groups

O sistema exibe resultados semelhantes aos do seguinte exemplo:

Name: stand DN: uid=stand,ou=People,dc=colorado4,dc=hull,dc=example,dc=comDNS Domain: - Domain: LDAP_USERS Provider: lsa-ldap-provider:Unix LDAPSam Account Name: stand UID: 4326 SID: S-1-22-1-4326 Primary Group ID : GID:7222 Name : stand Additional Groups: stand sd-group sd-group2

Criar uma regra de mapeamento de usuáriosVocê pode criar uma regra de mapeamento de usuários para gerenciar as identidades dos usuários.

1. Clique em Access > Membership & Roles > User Mapping.

2. Na lista Current Access Zone, selecione a zona de acesso que contém as regras que deseja gerenciar e clique em Edit User Mapping Rules.A caixa de diálogo Edit User Mapping Rules é exibida.

3. Clique em Create a User Mapping Rule.A caixa de diálogo Create a User Mapping Rule é exibida.

4. Na lista Operation, selecione uma operação.Dependendo de sua seleção, a opção Create a User Mapping Rule exibe campos adicionais.

5. Preencha os campos conforme necessário.

6. Clique em Add Rule para salvar a regra e voltar para a caixa de diálogo Edit User Mapping Rules.

7. Na área User Mapping Rules, clique na barra de títulos de uma regra e arraste-a para uma nova posição para alterar a posição de uma regra na lista.

As regras são aplicadas na ordem em que são listadas. Para garantir que todas as regras sejam processadas, liste as regras de substituição primeiro e, por último, as regras de permissão ou negação.

8. Se o token de acesso não estiver associado a um usuário UNIX padrão ou se o usuário UNIX padrão não tiver um ID exclusivo principal ou um ID de grupo, selecione uma das seguintes opções de autenticação:

• Gerar ID exclusivo principal ou ID de grupo a partir do intervalo reservado de IDs exclusivos e IDs de grupo• Negar acesso ao usuário• Atribuir outro usuário como o usuário padrão do UNIX

NOTA: Recomenda-se que você atribua um usuário a partir de uma conta conhecida que tem acesso somente

leitura.

9. Clique em Save Changes.

Tarefas relacionadas

Mesclar tokens do UNIX e do Windows

Recuperar o grupo principal do LDAP

Testar uma regra de mapeamento de usuários

124 Gerenciamento de identidades

Referências relacionadas

Opções das regras de mapeamento

Operadoras das regras de mapeamento

Testar uma regra de mapeamento de usuáriosDepois de criar uma regra de mapeamento de usuário, é possível testá-la para garantir que os resultados do token de um usuário sejam exibidos como esperado.

1. Clique em Access > Membership & Roles > User Mapping.

2. Na lista Current Access Zone, selecione uma zona de acesso que contenha as regras que você deseja testar.

3. Na área Test User Mapping, no campo User, Group, or Well-known SID, digite o nome de um usuário ou de um grupo ou o valor de um SID, ou clique em Browse para fazer uma seleção.

4. Clique em Test Mapping.Os resultados do token aparecem na seção Results conforme mostrado:

User Name:krb_user_002 UID:1002 SID:S-1-22-1-1001 On disk:1001 ZID:1 Zone:System Privileges:-

Primary Group Name:krb_user_001 GID:1000 SID:S-1-22-2-1001 On disk:1000

Supplemental Identities Name:Authenticated Users GID: - SID:S-1-5-11

Tarefas relacionadas

Criar uma regra de mapeamento de usuários

Mesclar tokens do UNIX e do WindowsVocê pode usar o operador de associação ou acréscimo para mesclar tokens de diferentes serviços de diretórios em um só token de usuário do OneFS.

Quando os nomes de usuários do Windows e do UNIX não coincidirem com os serviços de diretório, você poderá criar regras de mapeamento de usuários que o operador de associação ou acréscimo para mesclar dois nomes de usuário em um só token. Por exemplo, se o nome de um usuário do Windows for win_bob e o nome do usuário do Unix for UNIX_bob, você poderá adicionar ou acrescentar os tokens dos dois usuários diferentes.

Ao acrescentar uma conta à outra, o operador de acréscimo adiciona informações de uma identidade à outra: O OneFS acrescenta os campos que as opções especificam da identidade da origem à identidade de destino. O OneFS acrescenta os identificadores à lista de grupos adicionais.

1. Clique em Access > Membership & Roles > User Mapping.

2. Selecione Current Access Zone que contém as regras que você deseja gerenciar e clique em Edit User Mapping Rules.A caixa de diálogo Edit User Mapping Rules é exibida.

3. Clique em Create a User Mapping Rule.A caixa de diálogo Create a User Mapping Rule é exibida.

4. Na lista Operation, selecione uma opção:

Gerenciamento de identidades 125

Opção Descrição

Join two users together Insere a nova identidade no token.

Append field from a user Modifica o token de acesso adicionando campos a ele.

Dependendo de sua seleção, a caixa de diálogo Create a User Mapping Rule é atualizada para exibir campos adicionais.

5. Preencha os campos conforme necessário.

6. Clique em Adicionar regra.

NOTA: As regras são descritas na ordem em que são listadas. Para garantir que cada regra seja processada, liste

primeiro as substituições e, por último, as regras de permissão/negação. Você pode alterar a ordem na qual uma

regra é listada clicando em sua barra de título e arrastando-a para uma nova posição.

7. Clique em Save Changes.

Tarefas relacionadas

Testar uma regra de mapeamento de usuários

Recuperar o grupo principal do LDAPVocê pode criar uma regra de mapeamento de usuários para inserir as informações do grupo principal de LDAP no token de acesso do usuário.

De modo padrão, o serviço de mapeamento de usuários combina as informações do AD e do LDAP, mas dá preferência às informações do AD. Você pode criar uma regra de mapeamento para gerenciar como o OneFS combina as informações, dando precedência a um grupo principal de LDAP em vez do Active Directory para o usuário.

1. Clique em Access > Membership & Roles > User Mapping.

2. Selecione Current Access Zone que contém as regras que você deseja gerenciar e clique em Edit User Mapping Rules.A caixa de diálogo Edit User Mapping Rules é exibida.

3. Clique em Create a User Mapping Rule.A caixa de diálogo Create a User Mapping Rule é exibida.

4. Na lista Operation, selecione Insert fields from a user.A caixa de diálogo Create a User Mapping Rule é atualizada para exibir os campos adicionais.

5. Para preencher o campo Insert Fields into this User, execute as seguintes etapas:

a) Clique em Browse.A caixa de diálogo Select a User é exibida.

b) Selecione um usuário e um provedor de autenticação do Active Directory.c) Clique em Search para exibir os resultados da pesquisa.d) Selecione um nome de usuário e clique em Select para voltar à caixa de diálogo Create a User Mapping Rule.

O grupo principal do segundo usuário é apresentado como o grupo principal do primeiro usuário.

6. Marque a caixa de seleção Insert primary group SID and GID.

7. Para preencher o campo Insert Fields from this User, execute as seguintes etapas:

a) Clique em Browse.A caixa de diálogo Select a User é exibida.

b) Selecione um usuário e um provedor de autenticação LDAP.c) Clique em Search para exibir os resultados da pesquisa.d) Selecione um nome de usuário e clique em Select para voltar à caixa de diálogo Create a User Mapping Rule.

8. Clique em Adicionar regra.

NOTA: As regras são descritas na ordem em que são listadas. Para garantir que cada regra seja processada, liste

primeiro as substituições e, por último, as regras de permissão ou negação. Você pode alterar a ordem na qual uma

regra é listada clicando em sua barra de título e arrastando-a para uma nova posição.

9. Clique em Save Changes.

Tarefas relacionadas

Testar uma regra de mapeamento de usuários

126 Gerenciamento de identidades

Opções das regras de mapeamentoAs regras de mapeamento podem conter opções que se destinam aos campos de um token de acesso.

Um campo representa um aspecto de um token de acesso pertencente a vários domínios, como o ID exclusivo principal e o identificador de segurança principal de um usuário que você selecionar. Você pode ver alguns dos campos na interface Web de administração do OneFS. User, na interface Web de administração, é o mesmo que nome de usuário. Você também pode ver os campos de um token de acesso executando o comando isi auth mapping token.

Ao criar uma regra, você pode adicionar uma opção para manipular o modo como o OneFS combina aspectos das duas identidades em um só token. Por exemplo, uma opção pode forçar o OneFS a acrescentar grupos complementares a um token.

Um token inclui os seguintes campos, que você pode manipular com regras de mapeamento de usuários:

• nome de usuário• unix_name• primary_uid• primary_user_sid• primary_gid• primary_group_sid• additional_ids (inclui grupos complementares)

As opções controlam o modo como uma regra combina as informações de identidade em um token. A opção de interrupção é a exceção: ela impede que o OneFS processe regras adicionais.

Embora várias opções possam se aplicar a uma regra, nem todas as opções aplicam-se a todos os operadores. A tabela a seguir descreve o efeito de cada opção e os operadores com os quais elas trabalham.

Opção Operador Descrição

user insert, append Copia o ID exclusivo principal e o identificador de segurança principal do usuário, se eles existirem, no token.

grupos insert, append Copia o ID de grupo principal e o identificador de segurança principal do grupo, se eles existirem, no token.

grupos insert, append Copia todos os identificadores adicionais no token. Os identificadores adicionais excluem o ID exclusivo principal, o ID de grupo principal, o identificador de segurança principal do usuário e o identificador de segurança principal do grupo.

default_user todos os operadores, exceto remove groups

Se o serviço de mapeamento não localizar o segundo usuário de uma regra, o serviço tentará localizar o nome de usuário do usuário padrão. O nome do usuário padrão não pode incluir caracteres-curinga. Ao configurar a opção do usuário padrão em uma regra com a interface de linha de comando, você deve defini-la com um sublinhado: default_user.

break todos os operadores Impede que o serviço de mapeamento aplique regras que seguem o ponto de inserção da opção break. O serviço de mapeamento gera o token final no ponto de interrupção.

Tarefas relacionadas

Criar uma regra de mapeamento de usuários

Operadoras das regras de mapeamentoO operador determina o que uma regra de mapeamento faz.

Você pode criar regras de mapeamento de usuários pela interface Web de administração, onde os operadores são relacionados em uma lista, ou pela interface de linha de comando.

Ao criar uma regra de mapeamento com a interface de linha de comando do OneFS, você deve especificar um operador com um símbolo. O operador afeta a direção na qual o serviço de mapeamento processa uma regra. Para obter mais informações sobre a criação de uma regra de mapeamento, consulte o white paper Gerenciando Identidades com o Serviço de Mapeamento de Usuários do Isilon OneFS. A tabela a seguir descreve os operadores que você pode usar em uma regra de mapeamento.

Uma regra de mapeamento pode conter apenas um operador.

Gerenciamento de identidades 127

Operador Interface Web CLI Direção Descrição

append Append fields from a user ++ Da esquerda para a direita Modifica um token de acesso adicionando campos a ele. O serviço de mapeamento acrescenta os campos que são especificados na lista de opções (user, group, groups) à primeira identidade da regra. Os campos são copiados a partir da segunda identidade da regra. Todos os identificadores adicionados tornam-se membros da lista de grupos adicionais. Uma regra append sem uma opção só executa uma operação de pesquisa; você deve incluir uma opção para alterar um token.

insert Insert fields from a user += Da esquerda para a direita Modifica um token de acesso existente adicionando campos a ele. Os campos especificados na lista de opções (user, group, groups) são copiados da nova identidade e inseridos na identidade do token. Quando a regra insere um usuário ou um grupo principal, eles tornam-se o usuário e o grupo principais do token. O usuário principal e o grupo principal anteriores são movidos à lista de identificadores adicionais. Alterar o usuário principal deixa o nome de usuário do token inalterado. Ao inserir grupos adicionais a partir de uma identidade, o serviço adiciona os novos grupos aos grupos existentes.

replace Replace one user with a different user

=> Da esquerda para a direita Remove o token e o substitui pelo novo token que é identificado pelo segundo nome de usuário. Se o segundo nome do usuário estiver em branco, o serviço de mapeamento removerá o primeiro nome de usuário do token, não deixando nenhum nome de usuário. Se um token não contiver um nome de usuário, o OneFS negará o acesso com um erro no such user.

remove groups

Remove supplemental groups from a user

-- Unidirecional Altera um token pela remoção dos grupos complementares.

join Join two users together &= Bidirecional Insere a nova identidade no token. Se a nova identidade for o segundo usuário, o serviço de mapeamento fará sua inserção depois da identidade existente; caso contrário, o serviço fará a inserção antes da identidade existente. O local do ponto de inserção é pertinente quando a identidade existente já é a primeira da lista, já que o OneFS usa a primeira identidade para determinar a propriedade dos novos objetos do file system.

Tarefas relacionadas

Criar uma regra de mapeamento de usuários

128 Gerenciamento de identidades

Diretórios de usuárioEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral dos diretórios de usuário• Permissões do diretório de usuário• Autenticando os usuários do SMB• Criação de diretórios de usuário via SMB• Criação de diretórios de usuário via SSH e FTP• Criação de diretórios de usuário em um ambiente misto• Interações entre as ACLs e bits de modo• Configurações padrão do diretório de usuário nos provedores de autenticação• Variáveis compatíveis de expansão• Variáveis de domínio no provisionamento de diretório de usuário

Visão geral dos diretórios de usuárioAo criar um usuário local, o OneFS criará automaticamente um diretório de usuário. O OneFS também dá suporte ao provisionamento dinâmico de diretórios de usuário para os usuários que acessam o cluster conectando-se a um compartilhamento de SMB ou fazendo log-in via FTP ou SSH.

Independentemente do método de criação de um diretório de usuário, você pode configurar o acesso a ele com uma combinação de SMB, SSH e FTP.

Permissões do diretório de usuárioVocê pode configurar o diretório de um usuário com uma ACL do Windows ou com bits de modo POSIX, que em seguida são convertidos em uma ACL sintética. O método pelo qual um diretório de usuário é criado determina as permissões iniciais configuradas no diretório de usuário.

De modo padrão, ao criar um usuário local, o diretório de usuário será criado com bits de modo.

Para usuários que se autenticam por fontes externas, você pode especificar configurações para criar diretórios de usuário dinamicamente no momento do log-in. Se um diretório de usuário for criado durante um log-in via SSH ou FTP, ele é configurado com bits de modo; se um diretório de usuário for criado durante uma conexão com SMB, ele recebe bits de modo ou uma ACL. Por exemplo, se um usuário do LDAP fizer log-in primeiro via SSH ou FTP, o diretório do usuário é criado com bits de modo. Se o mesmo usuário se conectar primeiro via um compartilhamento de SMB, o diretório de usuário é criado com as permissões indicadas pelas definições configuradas do SMB. Se a opção --inheritable-path-acl estiver ativada, é gerada uma ACL; caso contrário, serão usados os bits de modo.

Autenticando os usuários do SMBVocê pode autenticar os usuários de SMB dos provedores de autenticação que podem manipular os hashes NT.

O SMB envia um hash de senha NT para autenticar os usuários do SMB. Portanto, somente usuários dos provedores de autenticação que podem manipular hashes NT podem fazer log-in via SMB. Os seguintes provedores de autenticação compatíveis com o OneFS podem manipular hashes NT:

• Active Directory• Local• LDAPSAM (LDAP com extensões do Samba ativadas)

8

Diretórios de usuário 129

Criação de diretórios de usuário via SMBVocê pode criar compartilhamentos de SMB incluindo variáveis de expansão no caminho do compartilhamento. As variáveis de expansão permitem que os usuários acessem seus diretórios de usuário conectando-se ao compartilhamento. Você também pode ativar o provisionamento dinâmico dos diretórios de usuário que não existem no momento da conexão com o SMB.

NOTA: As permissões de compartilhamento são verificadas quando os arquivos são acessados, antes que as permissões

subjacentes do file system sejam verificadas. Qualquer uma dessas permissões pode impedir o acesso ao arquivo ou ao

diretório.

Criar diretórios de usuário com variáveis de expansãoVocê pode definir as configurações com variáveis de expansão para criar diretórios de usuário de compartilhamento de SMB.

Quando os usuários acessam o cluster pelo SMB, o acesso ao diretório de usuário é feito pelos compartilhamentos SMB. Você pode definir as configurações com um caminho que use uma sintaxe de expansão variável, permitindo que um usuário se conecte ao compartilhamento do diretório de usuário.

NOTA: Os caminhos de compartilhamento dos diretórios de usuário devem começar com /ifs/ e devem estar no

caminho root da zona de acesso em que o compartilhamento SMB do diretório de usuário foi criado.

Nos comandos a seguir, a opção --allow-variable-expansion é ativada para indicar que %U deve ser estendida ao nome do usuário, que é user411 neste exemplo. A opção --auto-create-directory é ativada para criar o diretório, caso ele não exista:

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full isi smb shares view HOMEDIR

O sistema exibe resultados semelhantes aos do seguinte exemplo:

Share Name: HOMEDIR Path: /ifs/home/%U Description: Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...Quando o user411 se conecta ao compartilhamento com o comando net use, o diretório inicial do usuário é criado em /ifs/home/user411. No client Windows do user411, o comando net usem: conecta /ifs/home/user411 por meio do compartilhamento HOMEDIR:

net use m: \\cluster.company.com\HOMEDIR /u:user4111. Execute os comandos a seguir no cluster com a opção --allow-variable-expansion ativada. A variável de expansão %U se estende ao

nome de usuário, e a opção --auto-create-directory é ativada para criar o diretório, caso ele não exista:

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full

2. Execute o seguinte comando para exibir as configurações do diretório de usuário:

isi smb shares view HOMEDIR

O sistema exibe resultados semelhantes aos do seguinte exemplo:

Share Name: HOMEDIR Path: /ifs/home/%U Description:

130 Diretórios de usuário

Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...Se o user411 se conectar ao compartilhamento com o comando net use, o diretório de usuário do user411 será criado em /ifs/home/user411. No client Windows do user411, o comando net usem: conecta /ifs/home/user411 por meio do compartilhamento HOMEDIR, mapeando a conexão de forma semelhante ao seguinte exemplo:

net use m: \\cluster.company.com\HOMEDIR /u:user411

Criar diretórios de usuário com a opção --inheritable-path-aclVocê pode habilitar a opção --inheritable-path-acl em um compartilhamento para especificar que ela deverá ser herdada no caminho do compartilhamento se o diretório pai tiver uma ACL hereditária.

Para executar a maioria das tarefas de configuração, você deve fazer log-on como membro da função SecurityAdmin.

Por padrão, o caminho do diretório de um compartilhamento SMB é criado com uma ACL sintética baseada em bits de modo. Você pode habilitar a opção --inheritable-path-acl para usar a ACL hereditária em todos os diretórios que forem criados, no momento da criação do compartilhamento ou para os provisionados dinamicamente durante a conexão com o compartilhamento em questão.

1. Execute comandos semelhantes aos seguintes exemplos para permitir que a opção --inheritable-path-acl provisione dinamicamente um diretório de usuário na primeira conexão com um compartilhamento no cluster:

isi smb shares create HOMEDIR_ACL --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes \ --inheritable-path-acl=yes

isi smb shares permission modify HOMEDIR_ACL \ --wellknown Everyone \ --permission-type allow --permission full

2. Execute um comando net use semelhante ao seguinte exemplo em um client Windows para mapear o diretório de usuário para user411:

net use q: \\cluster.company.com\HOMEDIR_ACL /u:user411

3. Execute um comando semelhante ao seguinte exemplo no cluster para exibir as permissões de ACL herdadas para o compartilhamento user411:

cd /ifs/home/user411ls -lde .

O sistema exibe um resultado semelhante ao do seguinte exemplo:

drwx------ + 2 user411 Isilon Users 0 Oct 19 16:23 ./ OWNER: user:user411 GROUP: group:Isilon Users CONTROL:dacl_auto_inherited,dacl_protected 0: user:user411 allow dir_gen_all,object_inherit,container_inherit

Criar diretórios de usuário especiais com a variável %U de compartilhamento SMBO nome %U de compartilhamento SMB especial permite criar um compartilhamento SMB de diretório de usuário que pareça o mesmo que o nome de um usuário.

Diretórios de usuário 131

Geralmente, você configura um compartilhamento SMB %U com um caminho de compartilhamento que inclua a variável de expansão %U. Se um usuário tentar se conectar a um compartilhamento correspondente ao nome de log-in e ele não existir, o usuário se conectará ao compartilhamento %U e será direcionado para o caminho expandido do compartilhamento %U.

NOTA: Se existir outro compartilhamento SMB que corresponda ao nome do usuário, o usuário se conectará

explicitamente ao compartilhamento nomeado e não ao compartilhamento %U.

Execute o seguinte comando para criar um compartilhamento que corresponda ao nome de log-in autenticado quando o usuário se conectar ao compartilhamento:

isi smb share create %U /ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes \ --zone=System

Depois de executar este comando, o usuário Zachary verá um compartilhamento chamado "zachary" em vez de "%U", e quando tentar se conectar ao compartilhamento chamado "zachary", ele será direcionado para /ifs/home/zachary. Em um client Windows, se o Zachary executar os seguintes comandos, ele verá o conteúdo deste diretório /ifs/home/zachary:

net use m: \\cluster.ip\zachary /u:zachary cd m:dir

Da mesma forma, se o usuário Claudia executar os seguintes comandos em um client Windows, ela verá o conteúdo do diretório /ifs/home/claudia:

net use m: \\cluster.ip\claudia /u:claudia cd m: dir

Zachary e Claudia não podem acessar o diretório de usuário um do outro porque existe somente o compartilhamento "zachary" para o Zachary e somente o compartilhamento "claudia" existe para a Claudia.

Criação de diretórios de usuário via SSH e FTPVocê pode configurar o suporte de diretórios de usuário para os usuários que acessam o cluster via SSH ou FTP, modificando as configurações do provedor de autenticação.

Definir o shell de log-in SSH ou FTPVocê pode usar a opção --login-shell para definir o shell de log-in o padrão para o usuário.

Por padrão, a opção --login-shell, se especificada, sobrepõe todas as informações de shell de log-in especificadas pelo provedor de autenticação, exceto com o Active Directory. Se a opção --login-shell for especificada com o Active Directory, ela representará simplesmente o shell de log-in padrão se o Active Directory Server não especificar informações de shell de log-in.

NOTA: Os exemplos a seguir referem-se à configuração do shell de log-in como /bin/bash. Você também pode

configurar o shell como /bin/rbash.

1. Execute o seguinte comando para definir o shell de log-in para todos os usuários locais como /bin/bash:

isi auth local modify System --login-shell /bin/bash

2. Execute o seguinte comando para definir o shell de log-in padrão para todos os usuários do Active Directory no domínio como /bin/bash:

isi auth ads modify YOUR.DOMAIN.NAME.COM --login-shell /bin/bash

Definir permissões de diretórios de usuário SSH/FTPVocê pode especificar permissões para um diretório de usuário que é acessado por meio do SSH ou FTP definindo um valor de umask.

Para executar a maioria das tarefas de configuração, você deve fazer log-on como membro da função SecurityAdmin.

132 Diretórios de usuário

Quando o diretório de usuário é criado no log-in por SSH ou FTP, ele é criado usando bits no modo POSIX. As permissões em um diretório de usuário são definidas como 0755 e, em seguida, são mascaradas de acordo com a configuração umask da zona de acesso do usuário para limitar ainda mais as permissões. Você pode modificar a configuração umask para uma zona com a opção --home-directory-umask, especificando um número octal como o valor de umask.

1. Execute o seguinte comando para visualizar a configuração umask:

isi zone zones view System

O sistema exibe resultados semelhantes aos do seguinte exemplo:

Name: System Path: /ifs Groupnet: groupnet0 Map Untrusted: - Auth Providers: lsa-local-provider:System, lsa-file-provider:System NetBIOS Name: - User Mapping Rules: - Home Directory Umask: 0077 Skeleton Directory: /usr/share/skel Cache Entry Expiry: 4H Negative Cache Entry Expiry: 1m Zone ID: 1No resultado do comando, você pode ver que a configuração padrão para Home Directory Umask do diretório de usuário criado é 0700, que é equivalente a (0755 e ~ (077)). Você pode modificar a configuração Home Directory Umask para uma zona com a opção --home-directory-umask, especificando um número octal como o valor de umask. Esse valor indica as permissões que devem ser desabilitadas, para que os valores de máscara maiores indiquem menos permissões. Por exemplo, um valor de umask de 000 ou 022 produz permissões de diretório de usuário criado de 0755, enquanto um valor de umask de 077 produz permissões de diretório de usuário criado de 0700.

2. Execute um comando semelhante ao seguinte exemplo para permitir que um grupo/outros gravem/executem a permissão em um diretório de usuário:

isi zone zones modify System --home-directory-umask=022

Neste exemplo, os diretórios de usuário serão criados com os bits de modo 0755 mascarados pelo campo umask, definido como o valor de 022. Portanto, os diretórios de usuário serão criados com os bits de modo 0755, o que é equivalente a (0755 e ~ (022)).

Definir opções de criação de diretórios de usuário SSH/FTPVocê pode configurar o suporte a diretórios de um usuário que acessa o cluster por meio de SSH ou FTP especificando opções de provedor de autenticação.

1. Execute o seguinte comando para exibir as configurações de um provedor de autenticação do Active Directory no cluster:

isi auth ads list

O sistema exibe um resultado semelhante ao do seguinte exemplo:

Name Authentication Status DC Name Site ---------------------------------------------------------YOUR.DOMAIN.NAME.COM Yes online - SEA---------------------------------------------------------Total: 1

2. Execute o comando isi auth ads modify com as opções --home-directory-template e --create-home-directory.

isi auth ads modify YOUR.DOMAIN.NAME.COM \--home-directory-template=/ifs/home/ADS/%D/%U \--create-home-directory=yes

3. Execute o comando isi auth ads view com a opção --verbose.O sistema exibe um resultado semelhante ao do seguinte exemplo:

Name: YOUR.DOMAIN.NAME.COM NetBIOS Domain: YOUR

Diretórios de usuário 133

... Create Home Directory: Yes Home Directory Template: /ifs/home/ADS/%D/%U Login Shell: /bin/sh

4. Execute o comando id.O sistema exibe um resultado semelhante ao do seguinte exemplo:

uid=1000008(<your-domain>\user_100) gid=1000000(<your-domain>\domain users) groups=1000000(<your-domain>\domain users),1000024(<your-domain>\c1t),1545(Users)

5. Opcional: Para verificar essas informações de um nó externo do UNIX, execute o comando ssh de um nó externo do UNIX.Por exemplo, o seguinte comando criará /ifs/home/ADS/<your-domain>/user_100 se não existir:

ssh <your-domain>\\user_100@cluster.isilon.com

Fornecer diretórios de usuário com arquivos DOTVocê pode fornecer diretório de usuário com arquivos DOT.

Para executar a maioria das tarefas de configuração, você deve fazer log-on como membro da função SecurityAdmin.

O diretório de esqueleto, que está localizado em /usr/share/skel por padrão, contém um conjunto de arquivos que são copiados no diretório de usuário quando um usuário local é criado ou quando um diretório de usuário é criado dinamicamente durante o log-in. Os arquivos contidos no diretório esqueleto que começam com dot. são renomeados para remover o prefixo dot quando são copiados no diretório de usuário. Por exemplo, dot.cshrc é copiado no diretório de usuário como .cshrc. Esse formato permite que os arquivos DOT contidos no diretório esqueleto sejam visualizados por meio da interface de linha de comando sem a necessidade de executar o comando ls-a.

Para os compartilhamentos SMB que podem usar diretórios de usuário fornecidos com arquivos DOT, você pode definir uma opção para impedir que os usuários que se conectam ao compartilhamento por meio de SMB visualizem os arquivos DOT.

1. Execute o seguinte comando para exibir o diretório esqueleto padrão na zona de acesso do sistema:

isi zone zones view System

O sistema exibe um resultado semelhante ao do seguinte exemplo:

Name: System... Skeleton Directory: /usr/share/skel

2. Execute o comando isi zone zones modify para modificar o diretório esqueleto padrão.O seguinte comando modifica o diretório esqueleto padrão /usr/share/skel em uma zona de acesso, na qual o sistema é o valor da opção <zona> e /usr/share/skel2 é o valor da opção <caminho>:

isi zone zones modify System --skeleton-directory=/usr/share/skel2

Criação de diretórios de usuário em um ambiente mistoSe um usuário fizer log-in via SMB e SSH, recomenda-se que você defina as configurações de diretório de usuário para que o modelo dos caminhos seja o mesmo para o compartilhamento de SMB e para cada provedor de autenticação com o qual o usuário esteja se autenticando via SSH.

Interações entre as ACLs e bits de modoA configuração de diretórios de usuário é determinada por vários fatores, inclusive como os usuários são autenticados e as opções que especificam a criação de diretórios de usuário.

Um diretório de usuário pode ser configurado com ACLs ou bits de modo POSIX, que são convertidos em uma ACL sintética. O diretório de um usuário local e o usuário local são criados juntos, e o diretório é configurado, por padrão, com bits de modo POSIX. Os diretórios podem ser provisionados dinamicamente no log-in para usuários que são autenticados em relação a fontes externas e, em alguns casos, para usuários que são autenticados em relação ao provedor de arquivos. Nesse caso, o diretório de usuário é criado de acordo com a maneira como o usuário faz seu primeiro log-in.

134 Diretórios de usuário

Por exemplo, se um usuário LDAP fizer o primeiro log-in por meio de SSH ou FTP e o diretório de usuário for criado, ele será criado com bits de modo POSIX. Se o mesmo usuário fizer o primeiro log-in por meio de um compartilhamento de diretório de usuário SMB, o diretório de usuário será criado conforme especificado pelas configurações da opção SMB. Se a opção --inherited-path-acl estiver habilitada, as ACLs serão geradas. Caso contrário, os bits de modo POSIX serão usados.

Configurações padrão do diretório de usuário nos provedores de autenticaçãoAs configurações padrão que afetam o modo como os diretórios de usuário são configurados variam com base no provedor de autenticação com o qual o usuário se autentica.

Provedor de autenticação Diretório de usuário Criação do diretório de usuário

Shell de log-in UNIX

Local • --home-directory-template=/ifs/home/%U

• --create-home-directory=yes

• --login-shell=/bin/sh

Habilitado /bin/sh

File • --home-directory-template=""

• --create-home-directory=no

Desabilitado Nenhum

Active Directory • --home-directory-template=/ifs/home/%D/%U

• --create-home-directory=no• --login-shell=/bin/sh

NOTA: Se estiverem disponíveis, as informações do provedor se sobrepõem a esse valor.

Desabilitado /bin/sh

LDAP • --home-directory-template=""

• --create-home-directory=no

Desabilitado Nenhum

NIS • --home-directory-template=""

• --create-home-directory=no

Desabilitado Nenhum

Referências relacionadas

Variáveis compatíveis de expansão

Variáveis compatíveis de expansãoVocê pode incluir variáveis de expansão em um caminho de compartilhamento de SMB ou no modelo de diretório de usuário de um provedor de autenticação.

O OneFS dá suporte às variáveis de expansão a seguir. Você pode melhorar o desempenho e reduzir o número de compartilhamentos que serão gerenciados ao configurá-los com variáveis de expansão. Por exemplo, você pode incluir a variável %U para um compartilhamento, em vez de criar um compartilhamento para cada usuário. Quando uma variável %U é incluída no nome e o caminho de cada usuário é diferente, a segurança ainda é garantida, já que cada usuário pode exibir e acessar apenas seu próprio diretório de usuário.

NOTA: Ao criar um compartilhamento de SMB na interface de administração da Web, será necessário selecionar a caixa

de seleção Allow Variable Expansion ou a string será interpretada literalmente pelo sistema.

Diretórios de usuário 135

Variável Valor Descrição

%U Nome de usuário (por exemplo, user_001)

É expandida até o nome de usuário para permitir que diferentes usuários usem diferentes diretórios de usuário. Geralmente, esta variável é incluída ao final do caminho. Por exemplo, para um usuário chamado user1, o caminho /ifs/home/%U é associado a /ifs/home/user1.

%D Nome de domínio do NetBIOS (por exemplo, YORK para YORK.EAST.EXAMPLE.COM)

É expandida ao nome de domínio do usuário com base no provedor de autenticação:

• Para usuários do Active Directory, %D se expande ao nome do NetBIOS do Active Directory.

• Para usuários locais, %D se expande ao nome do cluster em caracteres maiúsculos. Por exemplo, para um cluster chamado cluster1, %D se expande para CLUSTER1.

• Para usuários do provedor de arquivos do sistema, %D se expande para UNIX_USERS.

• Para os usuários de outros provedores de arquivos, %D se expande para FILE_USERS.

• Para usuários do LDAP, %D se expande para LDAP_USERS.• Para usuários do NIS, %D se expande para NIS_USERS.

%Z Nome da zona (por exemplo, ZoneABC)

É expandida para o nome da zona de acesso. Se várias zonas forem ativadas, esta variável é útil para diferenciar usuários de zonas separadas. Por exemplo, para um usuário chamado user1 na zona System, o caminho /ifs/home/%Z/%U é associado a /ifs/home/System/user1.

%L Nome de host (nome de host do cluster em letras minúsculas)

É expandida ao nome de host do cluster, normalizado em letras minúsculas. Uso limitado.

%0 Primeiro caractere do nome de usuário

É expandida ao primeiro caractere do nome do usuário.

%1 Segundo caractere do nome de usuário

É expandida ao segundo caractere do nome do usuário.

%2 Terceiro caractere do nome de usuário

É expandida ao terceiro caractere do nome do usuário.

NOTA: Se o nome de usuário incluir menos de três caracteres, as variáveis %0, %1 e %2 abrangem apenas esses

caracteres. Por exemplo, para um usuário chamado 'ab', as variáveis são associadas a 'a', 'b' e 'a', respectivamente. Para

um usuário chamado 'a', todas as três variáveis são associadas a 'a'.

Variáveis de domínio no provisionamento de diretório de usuárioVocê pode usar variáveis de domínio para especificar provedores de autenticação ao provisionar diretórios de usuário.

Geralmente, a variável de domínio (%D) é usada para os usuários do Active Directory, mas tem um valor definido que pode ser usado para outros provedores de autenticação. %D expande-se conforme descrito na tabela a seguir para os vários provedores de autenticação.

Usuário autenticado Expansão da %D

Usuário do Active Directory Nome do NetBIOS do Active Directory — por exemplo, YORK para o provedor YORK.EAST.EXAMPLE.COM.

Usuário local O nome de cluster em caracteres totalmente em letras maiúsculas — por exemplo, se o cluster é chamado MyCluster, %D expande-se para MYCLUSTER.

Usuário de arquivos • UNIX_USERS (para o provedor de arquivos System)• FILE_USERS (para todos os outros provedores de arquivo)

Usuário do LDAP LDAP_USERS (para todos os provedores de autenticação LDAP)

136 Diretórios de usuário

Usuário autenticado Expansão da %D

Usuário do NIS NIS_USERS (para todos os provedores de autenticação do NIS)

Referências relacionadas

Variáveis compatíveis de expansão

Diretórios de usuário 137

Controle do acesso a dadosEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral do controle do acesso a dados• ACLs• Permissões do UNIX• Ambientes de permissões mistas• Gerenciando permissões de acesso

Visão geral do controle do acesso a dadosO OneFS oferece suporte a dois tipos de dados de permissões em arquivos e diretórios que controlam quem tem acesso: listas de controle de acesso (ACLs) com estilo do Windows e bits de modo POSIX (permissões do UNIX). Você pode definir configurações globais de políticas que permitem que você personalize as permissões padrão de ACL e UNIX para dar um melhor suporte a seu ambiente.

Para obter mais informações sobre o controle de acesso aos dados, consulte o Guia de Administração do OneFS e o Guia de Administração da Interface de Linha de Comando do OneFS

ACLsNos ambientes Windows, as permissões de arquivos e de diretórios, chamados de direitos de acesso, são definidas nas ACLs (Access Control Lists, listas de controle de acesso). Embora as ACLs sejam mais complexas que os bits de modo, elas podem expressar conjuntos muito mais granulares de regras de acesso. O OneFS verifica as regras de processamento de ACL que são geralmente associadas às ACLs do Windows.

Uma ACL do Windows contém zero ou mais ACEs (Access Control Entries, entradas de controle de acesso) e cada uma delas representa o identificador de segurança de um usuário ou de um grupo como um depositário. No OneFS, uma ACL pode conter ACEs com um ID exclusivo, um ID de grupo ou um identificador de segurança como depositário. Cada ACE contém um conjunto de direitos que permitem ou negam o acesso a um arquivo ou a uma pasta. De modo opcional, uma ACE pode conter um indicador de herança para especificar se ACE deve ser herdada pelas pastas e arquivos filhos.

NOTA: Em vez das três permissões padrão disponíveis para bits de modo, as ACLs têm 32 bits de direitos de acesso com

alta granularidade. Desses 32 bits, 16 são gerais e aplicam-se a todos os tipos de objetos. Os 16 bits inferiores variam

entre arquivos e diretórios, mas são definidos de modo a permitir que a maioria dos aplicativos aplique os mesmos bits

para arquivos e diretórios.

Os direitos concedem ou negam acesso a determinado depositário. Você pode bloquear o acesso do usuário explicitamente via uma ACE de negação ou implicitamente, garantindo que um usuário não seja exibido direta nem indiretamente por um grupo em uma ACE que concede o direito.

Permissões do UNIXEm um ambiente UNIX, o acesso a arquivos e diretórios é controlado pelos bits de modo POSIX, que concedem permissões de leitura, gravação ou execução ao usuário proprietário, ao grupo proprietário e a todos os outros.

O OneFS dá suporte às ferramentas padrão do UNIX, ls, chmod e chown para exibição e alteração das permissões. Para obter mais informações, execute os comandos man ls, man chmod e man chown.

Todos os arquivos contêm 16 bits de permissão, que apresentam informações sobre o tipo de arquivo ou de diretório e sobre as permissões. Os 9 bits inferiores são agrupados como conjuntos de 3 bits, chamados de triplos, que contêm as permissões de leitura, gravação e execução (rwx) para cada classe de usuários — proprietário, grupo e outros. Você pode configurar os indicadores de permissões para conceder permissões a cada uma dessas três classes.

A menos que o usuário seja root, o OneFS verifica a classe para determinar se concederá ou negará o acesso ao arquivo. As classes não são cumulativas: a primeira classe correspondida é aplicada. Portanto, é comum conceder permissões em ordem decrescente.

9

138 Controle do acesso a dados

Ambientes de permissões mistasQuando uma operação de arquivos solicita dados de autorização de um objeto, por exemplo, com o comando ls-l via NFS ou com a guia Security da caixa de diálogo Properties do Windows Explorer via SMB, o OneFS tenta oferecer esses dados no formato solicitado. Em um ambiente que combina os sistemas UNIX e Windows, pode ser necessário fazer conversões ao realizar as operações de criação de arquivos (create file), configuração de segurança (set security), obtenção de segurança (get security) ou acesso (access).

Acesso a NFS dos arquivos criados pelo WindowsSe um arquivo contiver um usuário ou um grupo proprietário que é um identificador de segurança, o sistema tentará associá-lo a um ID exclusivo ou ID de grupo correspondente antes de exibi-lo ao chamador.

No UNIX, os dados de autorização são recuperados chamando stat(2) em um arquivo e examinando o proprietário, o grupo e os bits de modo. No NFSv3, o comando GETATTR funciona de maneira semelhante. O sistema aproxima os bits de modo e os configura no arquivo sempre que a sua ACL muda. As aproximações dos bits de modo somente precisam ser recuperadas para atender a essas chamadas.

NOTA:

Os mapeamentos de identificador de segurança a ID exclusivo e de identificador de segurança a ID de grupo são

armazenados em cache no mapeador de IDs do OneFS e no cache stat. Se um mapeamento mudou recentemente, o

arquivo pode relatar informações imprecisas até que ele seja atualizado ou até que o cache passe por flush.

Acesso a SMB dos arquivos criados pelo UNIXNenhuma associação de ID exclusivo a identificador de segurança ou de ID de grupo a identificador de segurança será realizado ao criar uma ACL para um arquivo; todos os IDs exclusivos e IDs de grupo serão convertidos em identificadores de segurança ou em principais quando a ACL for exibida.

O OneFS inicia um processo de duas etapas para exibir um descritor de segurança, que contém identificadores de segurança para o proprietário e o grupo principal de um objeto:

1. O descritor de segurança atual é recuperado do arquivo. Se o arquivo não tiver uma DACL (Discretionary Access Control List, lista de controle de acesso discricionário), uma ACL sintática será construída a partir dos 9 bits de modo inferiores do arquivo, que são separados em três conjuntos de triplos de permissão — cada um deles para proprietários, grupos e todos os outros. Para obter detalhes sobre bits de modo, consulte o tópico de permissões do UNIX.

2. Duas ACEs (Access Control Entries, entradas de controle de acesso) são criadas para cada triplo: a ACE de concessão (allow) contém os direitos correspondentes que são concedidos de acordo com as permissões; a ACE de negação (deny) contém os direitos correspondentes que são negados. Em ambos os casos, o depositário da ACE corresponde ao proprietário do arquivo, ao grupo ou a todos os outros. Após a geração de todas as ACEs, todas as que não forem necessárias são removidas antes da exibição da ACL sintética.

Gerenciando permissões de acessoA representação interna das identidades e permissões pode conter informações das origens UNIX, das origens Windows ou de ambas. Como os protocolos de acesso podem processar as informações de apenas uma dessas origens, o sistema pode precisar fazer aproximações para apresentar as informações em um formato que o protocolo possa processar.

Exibir as permissões esperadas do usuárioVocê pode exibir as permissões esperadas para o acesso do usuário a um arquivo ou um diretório.

Este procedimento deve ser realizado na interface de linha de comando.

1. Estabeleça uma conexão SSH com qualquer nó do cluster.

2. Exiba as permissões esperadas do usuário executando o comando isi auth access.O seguinte comando exibe permissões de /ifs/ para o usuário especificado no lugar de <nome de usuário>:

isi auth access <username> /ifs/

O sistema exibe resultados semelhantes aos do seguinte exemplo:

User Name : <nome de usuário>

Controle do acesso a dados 139

UID : 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<nome de usuário> \ allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

3. Exiba as permissões de bits de modo de um usuário executando o comando isi auth access.O seguinte comando exibe as informações sobre as permissões dos arquivos do modo detalhado (verbose) do diretório /ifs/ para o usuário especificado no lugar de <nome de usuário>:

isi auth access <username> /ifs/ -v

O sistema exibe resultados semelhantes aos do seguinte exemplo:

User Name : <nome de usuário> UID \: 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<username>allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

4. Exiba as permissões esperadas de usuários de ACL de um arquivo para um usuário executando o comando isi auth access.O seguinte comando exibe informações sobre as permissões de arquivos de ACL do modo detalhado do arquivo file_with_acl.tx do diretório /ifs/data/ para o usuário especificado no lugar de <nome de usuário>:

isi auth access <username> /ifs/data/file_with_acl.tx -v

O sistema exibe resultados semelhantes aos do seguinte exemplo:

User Name : <nome de usuário> \UID : 2097 SID : SID:S-1-7-21-2141457107-1614332578-1691322789-1018 File Owner : user:<nome de usuário> Group : group:wheel Permissions Expected : user:<nome de usuário> allow file_gen_read,file_gen_write,std_write_dac Relevant Acl: group:<nome-grupo> Users allow file_gen_read user:<nome de usuário> allow std_write_dac,file_write,append,file_write_ext_attr,file_write_attr group:wheel allow file_gen_read,file_gen_write

Definir configurações de gerenciamento de acessoAs configurações padrão de acesso incluem o envio das respostas NTLMv2 para as conexões de SMB, o tipo de identidade que será armazenado em disco, o nome do grupo de trabalho do Windows para execução no modo local e a substituição dos caracteres para os espaços encontrados nos nomes de usuário e de grupo.

1. Clique em Access > Settings.

2. Defina as configurações a seguir, conforme necessário.

Opção Descrição

Send NTLMv2 Especifica se somente as respostas NTLMv2 serão enviadas a clients SMB com credenciais compatíveis com NTLM.

On-Disk Identity Gerencia a identidade de preferência para armazenamento em disco. Se o OneFS não conseguir converter uma identidade no formato de preferência, ela será armazenada como está. Essa configuração não afeta as identidades atualmente armazenadas em disco. Selecione uma das seguintes configurações:

native Permite que o OneFS determine a identidade a ser armazenada em disco. Esta é a configuração recomendada.

unix Sempre armazena identificadores UNIX recebidos (IDs exclusivos e IDs de grupo) no disco.

sid Armazena em disco identificadores de segurança (SIDs) recebidos do Windows, a menos que o SID tenha sido gerado por um identificador UNIX; nesse caso, converte-o de volta no identificador UNIX e o armazena no disco.

140 Controle do acesso a dados

Opção Descrição

Workgroup Especifica o grupo de trabalho NetBIOS. O valor padrão é WORKGROUP.

Space Replacement

Para clients que tenham dificuldade de analisar espaços em nomes de usuários e grupos, especifica um caractere substituto.

3. Clique em Save.

Se você tiver alterado a seleção de identidade em disco, recomenda-se que você execute o trabalho PermissionRepair com o tipo de reparo Convert para impedir possíveis erros de permissões. Para obter mais informações, consulte a seção Executar o trabalho PermissionRepair.

Modificar configurações de política de ACLVocê pode modificar as configurações da política de lista de controle de acesso, mas as configurações padrão da política de ACL são suficientes para a maioria das implementações de cluster.

CUIDADO: Como as políticas de ACL alteram o comportamento das permissões em todo o sistema, devem ser

modificadas somente conforme necessário por administradores experientes com conhecimento avançado de ACLs do

Windows. Isso é válido especialmente para as configurações avançadas, que são aplicadas independentemente do

ambiente do cluster.

Para UNIX, Windows ou ambientes balanceados, as configurações ideais de políticas de permissão são selecionadas e não podem ser modificadas. No entanto, se necessário, você pode escolher configurar manualmente as configurações de permissão padrão do cluster para dar suporte a seu ambiente específico.

1. Clique em Access > ACL Policy Settings.

2. Na área Environment, selecione a opção que melhor descreva seu ambiente ou selecione Custom environment para configurar políticas de permissão individuais.

3. Se você tiver selecionado a opção Custom environment, será necessário especificar as configurações da área General ACL Settings.

4. Na área Advanced ACL Settings, defina as configurações conforme necessário.

Referências relacionadas

Configurações de políticas de ACL

Configurações de políticas de ACLÉ possível configurar uma política de ACL (Access Control List, lista de controle de acesso) escolhendo entre as opções de configuração disponíveis.

AmbienteDependendo do ambiente que você selecionar, o sistema selecionará automaticamente as opções General ACL Settings e Advanced ACL Settings que são ideais para o ambiente. Você também tem a opção de definir manualmente as configurações gerais e avançadas.

Balanceado Faz com que as permissões do cluster do Isilon funcionem em um ambiente misto de UNIX e Windows. Essa configuração é recomendada para a maioria das implementações de cluster do Isilon.

UNIX only Permite que as permissões do cluster do Isilon operem com a semântica do UNIX, e não com a semântica do Windows. Habilitar essa opção impede a criação de ACLs no sistema.

Windows only Faz com que as permissões de cluster do Isilon funcionem com a semântica do Windows, e não com a semântica do UNIX. Habilitar essa opção faz com que o sistema retorne um erro em solicitações chmod UNIX.

Custom environment

Permite que você configure as opções General ACL Settings e Advanced ACL Settings.

General ACL SettingsACL Creation Through SMB

Especifica se a criação de ACLs será permitida ou negada pelo SMB. Selecione uma das seguintes opções:

Controle do acesso a dados 141

Do not allow ACLs to be created through SMB

Impede a criação de ACLs no cluster.

Allow ACLs to be created through SMB

Permite a criação de ACLs no cluster.

NOTA: As ACLs herdadas do sistema têm preferência sobre essa configuração. Se as ACLs

hereditárias forem definidas em uma pasta, todos os novos arquivos e pastas que forem criados

nessa pasta herdarão a ACL dela. Desabilitar essa configuração não removerá as ACLs definidas

atualmente nos arquivos. Se você deseja cancelar uma ACL existente, execute o comando chmod -b <mode> <file> para remover a ACL e definir as permissões corretas.

Use the chmod Command On Files With Existing ACLs

Especifica como as permissões são controladas quando uma operação chmod é iniciada em um arquivo com uma ACL, localmente ou via NFS. Essa configuração controla todos os elementos que afetam as permissões do UNIX, inclusive o File System Explorer. A ativação dessa configuração de política não altera a forma como as operações chmod afetam os arquivos que não têm ACLs. Selecione uma das seguintes opções:

Remove the existing ACL and set UNIX permissions instead

Para operações chmod, remove todas as ACLs existentes e define as permissões chmod. Selecione esta opção somente se você não precisar que permissões sejam definidas do Windows.

Remove the existing ACL and create an ACL equivalent to the UNIX permissions

Armazena as permissões do UNIX em uma nova ACL do Windows. Selecione esta opção somente se você quiser remover as permissões do Windows, mas não quiser que os arquivos tenham ACLs sintéticas.

Remove the existing ACL and create an ACL equivalent to the UNIX permissions, for all users/groups referenced in old ACL

Armazena as permissões do UNIX em uma nova ACL do Windows apenas para usuários e grupos que sejam mencionados pela antiga ACL. Selecione esta opção somente se você quiser remover as permissões do Windows, mas não quiser que os arquivos tenham ACLs sintéticas.

Merge the new permissions with the existing ACL

Mescla as permissões que são aplicadas por chmod com as ACLs existentes. A ACE para cada identidade (proprietário, grupo e todos) é modificada ou criada, mas todas as outras ACEs permanecem inalteradas. As ACEs hereditárias também ficam inalteradas para que os usuários do Windows continuem a herdar as permissões apropriadas. No entanto, os usuários do UNIX podem definir permissões específicas para cada uma dessas três identidades padrão.

Deny permission to modify the ACL

Impede que os usuários façam operações chmod locais e do NFS. Habilite essa configuração se não quiser permitir conjuntos de permissões em NFS.

Ignore operation if file has an existing ACL

Impede que um client NFS altere a ACL. Selecione essa opção se tiver definido uma ACL hereditária em um diretório e deseja usar a ACL para permissões.

CUIDADO: Se você tentar executar o comando chmod nas mesmas permissões que estão definidas

atualmente em um arquivo com uma ACL, poderá fazer com que a operação falhe silenciosamente.

A operação será exibida como bem-sucedida; mas, se você examinar as permissões do cluster, verá

que o comando chmod não surtiu efeito. Como alternativa, é possível executar o comando chmod fora das permissões atuais e, em seguida, executar um segundo comando chmod para reverter para

as permissões originais. Por exemplo, se o arquivo mostrar 755 permissões do UNIX e você quiser

confirmar esse número, poderá executar chmod 700 file; chmod 755 file.

142 Controle do acesso a dados

ACLs Created On Directories By the chmod Command

Nos sistemas Windows, as ACEs dos diretórios podem definir regras de herança detalhadas. Em um sistema UNIX, os bits de modo não são herdados. Tornar hereditárias as ACLs criadas em diretórios com o comando chmod é um processo mais seguro para os ambientes totalmente gerenciados, mas isso pode negar acesso a alguns usuários do Windows que, de outra maneira, teriam acesso. Selecione uma das seguintes opções:

• Make ACLs inheritable• Do not make ACLs inheritable

Use the chown/chgrp On Files With Existing ACLs

Altera o usuário ou o grupo que tem a propriedade de um arquivo ou pasta. Selecione uma das seguintes opções:

Modify only the owner and/or group

Faz com que a operação chown ou chgrp seja executada como no UNIX. Habilitar essa configuração modifica todas as ACEs na ACL associada ao novo proprietário ou grupo.

Modify the owner and/or group and ACL permissions

Faz com que a operação chown ou chgrp do NFS funcione como no Windows. Quando o proprietário de um arquivo é alterado no Windows, nenhuma permissão na ACL é alterada.

Ignore operation if file has an existing ACL

Impede que um client NFS altere o proprietário ou o grupo.

NOTA: No NFS, a operação chown ou chgrp altera as permissões e o usuário ou o grupo

proprietário. Por exemplo, um arquivo que seja pertencente ao usuário Joe com permissões

rwx------ (700) indica permissões de rwx para o proprietário, mas nenhuma permissão para outra

pessoa. Se você executar o comando chown para alterar a propriedade do arquivo para o usuário

Bob, as permissões do proprietário ainda serão rwx, mas agora elas representam as permissões de

Bob, e não de Joe, que perdeu todas as permissões. Essa configuração não afeta as operações

chown ou chgrp do UNIX que são executadas em arquivos com permissões do UNIX, nem afeta as

operações chown ou chgrp do Windows, que não alteram quaisquer permissões.

Access checks (chmod, chown)

Em ambientes UNIX, somente o proprietário do arquivo ou o superusuário têm o direito de executar uma operação chmod ou chown em um arquivo. Em ambientes Windows, é possível implementar essa configuração de política para oferecer aos usuários o direito de executar operações chmod que alteram permissões, ou o direito de executar operações chown que assumem a propriedade, mas não a concedem. Selecione uma das seguintes opções:

Allow only the file owner to change the mode or owner of the file (UNIX model)

Faz com que as verificações de acesso chmod e chown funcionem com um comportamento semelhante ao do UNIX.

Allow the file owner and users with WRITE_DAC and WRITE_OWNER permissions to change the mode or owner of the file (Windows model)

Faz com que as verificações de acesso chmod e chown funcionem com um comportamento semelhante ao do Windows.

Advanced ACL SettingsTratamento de permissões "rwx"

Nos ambientes UNIX, as permissões rwx indicam que um usuário ou grupo tem permissões de leitura, gravação e execução, e que um usuário ou grupo tem o nível máximo de permissões.

Ao atribuir permissões do UNIX a um arquivo, nenhuma ACL será armazenada para esse arquivo. Já que um sistema Windows somente processa ACLs, o cluster do Isilon deve converter as permissões do UNIX em uma ACL quando você visualizar as permissões de um arquivo em um sistema Windows. Esse tipo de ACL é chamada de ACL sintética. As ACLs sintéticas não são armazenadas em nenhum lugar; em vez disso, são geradas

Controle do acesso a dados 143

dinamicamente e descartadas conforme necessário. Se um arquivo tiver permissões do UNIX, você poderá observar as ACLs sintéticas ao executar o comando de arquivo ls para visualizar as ACLs de um arquivo.

Ao gerar uma ACL sintética, o cluster do Isilon fará o mapeamento das permissões do UNIX aos direitos do Windows. O Windows dá suporte a um modelo mais granular de permissões do que o UNIX e especifica os direitos que não podem ser facilmente associados a partir de permissões do UNIX. Se o cluster do Isilon associar permissões de rwx aos direitos do Windows, você deverá habilitar uma das seguintes opções:

Retain 'rwx' permissions

Gerencia uma ACE que fornece somente permissões de leitura, gravação e execução.

Treat 'rwx' permissions as Full Control

Gerencia uma ACE que apresenta as permissões máximas do Windows para um usuário ou grupo adicionando os direitos de alterar permissões, de tomada de propriedade e de exclusão.

Group Owner Inheritance

Os sistemas operacionais tendem a trabalhar com a propriedade e as permissões de grupo de duas maneiras diferentes: o BSD herda o proprietário do grupo da pasta principal do arquivo; o Windows e o Linux herdam o proprietário do grupo do grupo principal do criador do arquivo. Se você ativar uma configuração que faça com que o proprietário do grupo seja herdado do grupo principal do criador, poderá substituí-la por pasta, executando o comando chmod para definir o bit set-gid. Essa herança se aplica somente quando o arquivo é criado. Para obter mais informações, consulte a página do manual sobre o comando chmod.

Selecione uma das seguintes opções:

When an ACL exists, use Linux and Windows semantics, otherwise use BSD semantics

Especifica que, se houver uma ACL em um arquivo, o proprietário do grupo será herdado do grupo principal do criador do arquivo. Se não houver nenhuma ACL, o proprietário do grupo será herdado da pasta principal.

BSD semantics - Inherit group owner from the parent folder

Especifica que o proprietário do grupo será herdado da pasta principal do arquivo.

Linux and Windows semantics - Inherit group owner from the creator's primary group

Especifica que o proprietário do grupo será herdado do grupo principal do criador do arquivo.

chmod (007) On Files With Existing ACLs

Especifica se as ACLs serão ou não removidas ao executar o comando chmod (007). Selecione uma das opções a seguir:

chmod(007) does not remove existing ACL

Define permissões 007 UNIX sem remover uma ACL existente.

chmod(007) removes existing ACL and sets 007 UNIX permissions

Remove as ACLs dos arquivos por meio do compartilhamento de arquivos UNIX (NFS) e localmente no cluster por meio do comando chmod (007). Se você ativar essa configuração, certifique-se de executar o comando chmod no arquivo imediatamente após utilizar chmod (007) para remover uma ACL. Na maioria dos casos, não é recomendável deixar permissões 007 no arquivo.

Approximate Owner Mode Bits When ACL Exists

As ACLs do Windows são mais complexas que as permissões do UNIX. Quando um client UNIX solicita permissões do UNIX para um arquivo com uma ACL em NFS, ele receberá uma aproximação das verdadeiras permissões do arquivo. A execução do comando ls -l em um client UNIX retorna um conjunto de permissões mais aberto do que o usuário espera. Essa permissividade compensa os aplicativos que inspecionam incorretamente as permissões do UNIX ao determinar se haverá uma tentativa de operação do file system. O objetivo da configuração dessa política é garantir que esses aplicativos continuem com a operação para permitir que o file system determine corretamente o acesso do usuário por meio da ACL. Selecione uma das seguintes opções:

Approximate owner mode bits

Faz com que as permissões do proprietário pareçam mais permissivas que as permissões reais do arquivo.

144 Controle do acesso a dados

using all possible group ACEs in ACL

Approximate owner mode bits using only the ACE with the owner ID

Faz com que as permissões do proprietário pareçam mais precisas, pois você só vê as permissões de um proprietário específico e não do conjunto mais permissivo. No entanto, isso pode causar problemas de acesso negado para clients UNIX.

Approximate Group Mode Bits When ACL Exists

Selecione uma das seguintes opções para permissões de grupo:

Approximate group mode bits using all possible group ACEs in ACL

Faz com que as permissões do grupo pareçam mais permissivas do que as permissões reais no arquivo.

Approximate group mode bits using only the ACE with the group ID

Faz com que as permissões do grupo pareçam mais precisas, pois você só vê as permissões de um grupo específico e não do conjunto mais permissivo. No entanto, isso pode causar problemas de acesso negado para clients UNIX.

Synthetic "deny" ACEs

A interface de usuário da ACL do Windows não poderá exibir uma ACL se alguma ACE de negação estiver fora da ordem canônica de ACLs. Para representar corretamente as permissões do UNIX, pode ser necessário que as ACEs estejam fora da ordem canônica de ACLs. Selecione uma das seguintes opções:

Do not modify synthetic ACLs and mode bit approximations

Impede as modificações da geração de ACLs sintéticas e permite que as ACEs "deny" sejam geradas quando necessário.

CUIDADO: Essa opção pode fazer com que as permissões sejam reordenadas,

negando acesso permanentemente se um usuário ou um aplicativo do

Windows executar uma obtenção, modificação e definição de ACL para o

Windows e a partir dele.

Remove “deny” ACEs from ACLs. Essa configuração pode fazer com que as ACLs sejam mais permissivas do que os bits de modo equivalentes

Não inclui ACEs de negação ao gerar ACLs sintéticas.

Access check (utimes)

Você pode controlar quem pode alterar os utimes e quais são os horários de acesso e modificação de um arquivo. Selecione uma das seguintes opções:

Allow only owners to change utimes to client-specific times (POSIX compliant)

Permite que somente os proprietários alterem utimes, o que está em conformidade com o padrão POSIX.

Allow owners and users with ‘write’ access to change utimes to client-specific times

Permite que os proprietários, bem como os usuários com acesso de gravação, modifiquem utimes, o que é menos restritivo.

Atributo DOS somente leitura

Deny permission to modify files with DOS read-only attribute over Windows Files Sharing (SMB)

Duplica o comportamento de permissões de atributos do DOS somente pelo protocolo SMB, para que os arquivos usem o atributo somente leitura pelo SMB.

Deny permission to modify files with DOS read-

Duplica o comportamento das permissões de atributos DOS pelos protocolos NFS e SMB. Por exemplo, se as permissões forem somente leitura em um arquivo no SMB, as permissões serão somente leitura em NFS.

Controle do acesso a dados 145

only attribute through NFS and SMB

Bits de modo exibidos

Use ACL to approximate mode bits

Exibe a aproximação dos bits de modo NFS que são baseados nas permissões de ACL.

Always display 777 if ACL exists

Exibe 777 permissões de arquivo. Se as permissões aproximadas de NFS forem menos permissivas que as da ACL, você poderá usar essa configuração para que o client NFS não seja interrompido na verificação de acesso antes de executar sua operação. Use essa configuração quando um aplicativo de terceiros puder ser bloqueado se a ACL não fornecer acesso adequado.

Tarefas relacionadas

Modificar configurações de política de ACL

Executar o trabalho PermissionRepairÉ possível atualizar as permissões ou a propriedade dos arquivos e diretórios executando o trabalho PermissionRepair. Para evitar problemas de permissões que possam ocorrer depois de alterar a identidade em disco, execute esse trabalho com o tipo de reparo Convert para garantir que as alterações sejam propagadas totalmente em todo o cluster.

1. Clique em Cluster Management > Job Operations > Job Types.

2. Opcional: Na tabela Job Types, clique em View/Edit na linha PermissionRepair.A janela View Job Type Details será exibida.

3. Clique em Edit Job Type.A janela Edit Job Type Details é exibida.

4. Selecione Enable this job type.

5. Na lista Default Priority, selecione um número de prioridade que especifique a prioridade do trabalho dentre todos os trabalhos em execução. A prioridade dos trabalhos é indicada como 1-10, onde 1 é a maior prioridade e, 10, a menor.

6. Opcional: Na lista Default Impact Policy, selecione uma política de impacto que deve ser seguida pelo trabalho.

7. Na área Schedule, especifique como o trabalho deve ser iniciado.

Opção Descrição

Manual O trabalho deve ser iniciado manualmente.

Agendado O trabalho está agendado regularmente. Selecione a opção de agendamento na lista drop-down e especifique os detalhes do agendamento.

8. Clique em Save Changes e em Close.

9. Opcional: Na tabela Job Types, clique em Start Job.A janela Start a Job será aberta.

10. Marque ou desmarque a caixa de seleção Allow Duplicate Jobs.

11. Opcional: Na lista Impact policy, selecione uma política de impacto a ser seguida para o trabalho.

12. No campo Paths, digite ou acesse o diretório /ifs cujas permissões você deseja reparar.

13. Opcional: Clique em Add another directory path e no campo Paths, digite ou acesse um diretório adicional em /ifs cujas permissões você deseja reparar.

Você pode repetir essa etapa para adicionar novos caminhos de diretórios conforme necessário.

14. Na lista Repair Type, selecione um dos seguintes métodos para atualizar as permissões:

Opção Descrição

Clone Aplica as configurações de permissões do diretório que é especificado pela configuração Template File or Directory para o diretório definido no campo Paths.

Inherit Aplica, de maneira recorrente, a ACL do diretório especificado pela configuração Template File or Directory a cada arquivo e subdiretório dos campos Paths especificados, de acordo com as regras padrão de herança.

146 Controle do acesso a dados

Opção Descrição

Convert Para cada arquivo e diretório contido dos campos Paths especificados, converte o proprietário, o grupo e a ACL (Access Control List, lista de controle de acesso) à identidade do disco de destino com base na configuração Mapping Type.

As opções de configurações restantes diferem dependendo do tipo de reparo selecionado.

15. No campo Template File or Directory, digite ou acesse o diretório em /ifs do qual você deseja copiar as permissões. Essa configuração só se aplica aos tipos de reparo Clone e Inherit.

16. Opcional: Na lista Mapping Type, selecione o tipo de identidade preferido do disco que será aplicado. Essa configuração se aplica apenas ao tipo de reparo Convert.

Opção Descrição

Global Aplica a identidade padrão do sistema.

SID (Windows) Aplica a identidade do Windows.

UNIX Aplica a identidade do UNIX.

Native Se um usuário ou grupo não tiver um identificador autorizado UNIX (ID exclusivo ou ID de grupo), aplica a identidade do Windows (SID)

17. Opcional: Clique em Start Job.

Controle do acesso a dados 147

Compartilhamento de arquivosEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral do compartilhamento de arquivos• SMB• NFS• FTP• HTTP e HTTPS

Visão geral do compartilhamento de arquivosO suporte a multiprotocolo no OneFS permite que arquivos e diretórios no cluster do Isilon sejam acessados via SMB para compartilhamento de arquivos do Windows, NFS para compartilhamento de arquivos do UNIX, SSH (Secure Shell Protocol), FTP e HTTP. De modo padrão, apenas os protocolos SMB e NFS são ativados.

O OneFS cria o diretório /ifs, que é o diretório raiz de todos os dados do file system do cluster. De modo padrão, o diretório /ifs é configurado como um compartilhamento de SMB e uma exportação NFS. Você pode criar compartilhamentos e exportações adicionais na árvore de diretórios /ifs.

NOTA: Recomendamos que você não salve os dados no caminho de arquivo raiz /ifs, mas nos diretórios abaixo de /ifs. O projeto de sua estrutura de armazenamento de dados deve ser planejado com cuidado. Uma estrutura de

diretório bem projetada otimiza o desempenho e a administração do cluster.

Você pode configurar permissões baseadas em Windows e UNIX nos arquivos e diretórios do OneFS. Os usuários que têm as permissões e privilégios administrativos necessários podem criar, modificar e ler dados do cluster via um ou mais dos protocolos compatíveis de compartilhamento de arquivos.

• SMB. Permite que os clients do Microsoft Windows e do sistema operacional Mac acessem os arquivos que estão armazenados no cluster.

• NFS. Permite que os clients Linux e UNIX que seguem as especificações RFC1813 (NFSv3) e RFC3530 (NFSv4) para acessar arquivos que são armazenados no cluster.

• HTTP e HTTPS (com DAV opcional). Permite que os clients acessem os arquivos que estão armazenados no cluster por um navegador da Web.

• FTP. Permite que qualquer client equipado com um programa de client de FTP acesse os arquivos armazenados no cluster via protocolo FTP.

Ambientes mistos de protocolosO diretório /ifs é o diretório raiz de todos os dados do file system do cluster e serve como um compartilhamento SMB, uma exportação NFS e um diretório raiz de documentos.

Você pode criar compartilhamentos e exportações adicionais na árvore de diretórios /ifs. Você pode configurar seu cluster do OneFS para usar o SMB ou NFS exclusivamente, ou ambos. Você também pode ativar HTTP, FTP e SSH.

Os direitos de acesso são impostos de modo consistente via protocolos de acesso em todos os modelos de segurança. Os direitos a um arquivo são concedidos ou recusados a um usuário, independentemente do uso de SMB ou NFS. Os clusters que executam o OneFS dão suporte a um conjunto de configurações globais de políticas que permitem a personalização da ACL (Access Control List, lista de controle de acesso) padrão e das configurações de permissões do UNIX.

O OneFS é configurado com permissões padrão do UNIX na árvore de arquivos. Nas ferramentas administrativas do Windows Explorer ou do OneFS, você pode oferecer uma ACL a qualquer arquivo ou diretório. Além dos usuários e grupos do domínio do Windows, as ACLs do OneFS podem incluir o local, o NIS (Network Information Service) e os usuários e grupos do LDAP (Lightweight Directory Access Protocol). Depois que um arquivo recebe uma ACL, os bits de modo não são mais impostos e existem apenas como uma estimativa das permissões efetivas.

10

148 Compartilhamento de arquivos

NOTA: Recomendamos que você somente configure as permissões da ACL e do UNIX se entende totalmente como elas

interagem entre si.

Armazenamento em cache para gravação com SmartCacheO armazenamento em cache para gravação acelera o processo de gravação de dados ao cluster. O OneFS inclui um recurso de armazenamento em cache para gravação chamado SmartCache, que é ativado de modo padrão para todos os arquivos e diretórios.

Se o armazenamento em cache para gravação estiver ativado, o OneFS grava dados em um cache de write-back, em vez de gravar imediatamente os dados no disco. O OneFS pode gravar os dados no disco em um momento mais conveniente.

NOTA: Recomendamos que você mantenha o armazenamento em cache para gravação ativado. Você também deve ativar

o armazenamento em cache para gravação para todas as políticas de pools de arquivos.

O OneFS interpreta as gravações ao cluster como síncronas ou assíncronas, dependendo das especificações de um client. Os impactos e riscos do armazenamento em cache para gravação dependem dos protocolos usados pelos clients para fazer as gravações no cluster e do fato de as gravações serem interpretadas como síncronas ou assíncronas. Se você desativar o armazenamento em cache para gravação, as especificações dos clients são ignoradas e todas as gravações são executadas de modo síncrono.

A tabela a seguir explica como as especificações dos clients são interpretadas, de acordo com o protocolo.

Protocolo Síncrono Assíncrono

NFS O campo estável é configurado como data_sync ou file_sync.

O campo estável é configurado como unstable.

SMB O indicador write-through foi aplicado. O indicador write-through não foi aplicado.

Armazenamento em cache para gravações assíncronasAs gravações assíncronas em cache com o armazenamento em cache para gravações é o método mais rápido de gravar dados a seu cluster.

O armazenamento em cache para gravações assíncronas requer menos recursos de cluster que o armazenamento em cache para gravações síncronas e melhorará o desempenho geral do cluster para a maioria dos workflows. Entretanto, existem alguns riscos de perda de dados com as gravações assíncronas.

A seguinte tabela descreve o risco de perda de dados para cada protocolo quando o armazenamento em cache para gravações assíncronas é ativado:

Protocolo Risco

NFS Se um nó falhar, não haverá perda de dados, exceto no caso improvável de que um client desse nó também apresente falha antes de se reconectar ao cluster. Nessa situação, as gravações assíncronas que não foram confirmadas no disco serão perdidas.

SMB Se um nó falhar, as gravações assíncronas que não foram confirmadas no disco serão perdidas.

Recomendamos que você não desative o armazenamento em cache, independentemente do protocolo com o qual estiver gravando. Se estiver fazendo gravações assíncronas no cluster, e decidir que o risco de perda de dados é muito grande, recomendamos que você configure seus clients para usar gravações síncronas, em vez de desativar o armazenamento em cache.

Armazenamento em cache para gravações síncronasO armazenamento em cache para gravações síncronas requer recursos de cluster, inclusive um tamanho insignificante de espaço de armazenamento. Embora ele não seja tão rápido quanto o armazenamento em cache para gravações assíncronas, a menos que os recursos de cluster sejam extremamente limitados, o armazenamento em cache para gravações síncronas é mais rápido que gravar em um cluster sem armazenamento em cache para gravação.

O armazenamento em cache para gravação não afeta a integridade das gravações síncronas; se um cluster ou nó falhar, não haverá perda de nenhum dos dados do cache de write-back para gravações síncronas.

Compartilhamento de arquivos 149

SMBO OneFS inclui um serviço configurável de SMB para criar e gerenciar compartilhamentos de SMB. Os compartilhamentos de SMB oferecem à rede de clients do Windows o acesso aos recursos de file system do cluster. Você pode conceder permissões aos usuários e aos grupos para que eles realizem operações como leitura, gravação e configuração de permissões de acesso nos compartilhamentos de SMB.

O diretório /ifs é configurado como um compartilhamento de SMB e ativado de modo padrão. O OneFS dá suporte aos modos de segurança anônimos e de usuário. Se o modo de segurança do usuário estiver ativado, os usuários que se conectam a um compartilhamento de um client de SMB devem apresentar um nome de usuário válido com credenciais adequadas.

Os compartilhamentos SMB agem como checkpoints, e os usuários devem ter acesso a um compartilhamento para acessar os objetos de um file system de um compartilhamento. Se um usuário receber acesso a um file system, mas não ao compartilhamento no qual ele reside, esse usuário não poderá acessar o file system independentemente de seus privilégios. Por exemplo, suponha que um compartilhamento chamado ABCDocs contenha um arquivo chamado file1.txt em um caminho como: /ifs/data/ABCDocs/file1.txt. Se um usuário que tentar acessar file1.txt não tiver privilégios de compartilhamento em ABCDocs, ele não poderá acessar o arquivo mesmo se tiver recebido privilégios de leitura e/ou gravação ao arquivo.

O protocolo SMB usa SIDs (Security Identifiers, identificadores de segurança) para os dados de autorização. Todas as identidades são convertidas em identificadores de segurança durante a recuperação e convertidas de volta a sua representação em disco antes de serem armazenadas no cluster.

Quando um arquivo ou diretório é criado, o OneFS verifica a ACL de seu diretório principal. Se a ACL contiver ACEs (Access Control Entries, entradas de controle de acesso) hereditárias, ela é gerada a partir dessas ACEs. Caso contrário, o OneFS cria uma ACL a partir das configurações combinadas create mask e create mode de arquivos e diretórios.

O OneFS dá suporte aos seguintes clients de SMB:

Versão do SMB Sistemas operacionais compatíveis

3.0 – somente multicanais Windows 8 ou posterior

Windows Server 2012 ou posterior

2.1 Windows 7 ou posterior

Windows Server 2008 R2 ou posterior

2.0 Windows Vista ou posterior

Windows Server 2008 ou posterior

Mac OS X 10.9 ou posterior

1.0 Windows 2000 ou posterior

Windows XP ou posterior

Mac OS X 10.5 ou posterior

Conceitos relacionados

Gerenciando configurações do SMB

Gerenciando compartilhamentos de SMB

Compartilhamentos do SMB nas zonas de acessoVocê pode criar e gerenciar compartilhamentos do SMB nas zonas de acesso.

É possível criar zonas de acesso que particionam o armazenamento do cluster em vários contêineres virtuais. As zonas de acesso dão suporte a todas as configurações dos serviços de gerenciamento de autenticação e de identidade do cluster, para que você possa configurar provedores de autenticação e provisionar compartilhamentos do SMB com base em zonas. Ao criar uma zona de acesso, um provedor local será criado automaticamente. Ele permitirá configurar cada zona de acesso com uma lista de usuários e grupos locais. Você também pode se autenticar em um provedor diferente do Active Directory em cada zona de acesso e pode controlar o acesso a dados direcionando as conexões recebidas da zona de acesso a partir de um endereço IP específico de um pool. A associação de uma zona de acesso a um pool de endereços IP restringe a autenticação à zona de acesso associada e reduz o número de compartilhamentos do SMB disponíveis e acessíveis.

Estas são algumas maneiras de simplificar o gerenciamento do SMB com zonas de acesso:

150 Compartilhamento de arquivos

• Faça a migração de vários servidores SMB, como servidores de arquivos do Windows ou do NetApp, a um só cluster do Isilon. Depois, configure uma zona de acesso separada para cada servidor SMB.

• Configure cada zona de acesso com um conjunto exclusivo de nomes de compartilhamento SMB que não entrem em conflito com os nomes de compartilhamento de outras zonas de acesso e, em seguida, associe cada zona de acesso a um domínio diferente do Active Directory.

• Reduza o número de compartilhamentos disponíveis e acessíveis para gerenciamento associando um pool de endereços IP a uma zona de acesso para restringir a autenticação à zona.

• Defina as configurações padrão dos compartilhamentos SMB que se aplicam a todos os compartilhamentos de uma zona de acesso.

O cluster inclui um sistema nomeado pela zona de acesso integrada, em que você gerencia todos os aspectos do cluster e outras zonas de acesso. Se você não especificar uma zona de acesso ao gerenciar compartilhamentos do SMB, o OneFS atribuirá a zona System como padrão.

SMB MultichannelO SMB Multichannel dá suporte ao estabelecimento de uma só sessão do SMB via várias conexões de rede.

O SMB Multichannel é um recurso do protocolo SMB 3.0 que oferece os seguintes recursos:

Aumento do throughput

O OneFS pode transmitir mais dados a um client por meio de várias conexões com adaptadores de rede de alta velocidade ou de vários adaptadores de rede.

Tolerância a falha de conexão

Quando uma sessão do SMB Multichannel é estabelecida em várias conexões de rede, a sessão não é perdida se uma das conexões apresentar falha de rede, o que permite que o client continue trabalhando.

Detecção automática

O SMB Multichannel detecta automaticamente as configurações de hardware compatível do client que têm vários caminhos de rede e, depois, negocia e estabelece uma sessão por várias conexões de rede. Você não precisa instalar componentes, funções, serviços das funções nem recursos.

Requisitos do SMB MultichannelVocê deve atender aos requisitos de configuração de software e de NIC para oferecer suporte ao SMB Multichannel em um cluster.

O OneFS somente pode dar suporte ao SMB Multichannel quando os seguintes requisitos de software forem atendidos:

• Clients do Windows Server 2012 e 2012 R2, ou Windows 8 e 8.1• O SMB Multichannel deve estar ativado no cluster e no computador client do Windows. Ele é ativado no cluster por padrão.

O SMB Multichannel somente estabelece uma sessão do SMB em várias conexões de rede nas configurações compatíveis de NIC. Ele requer pelo menos uma das seguintes configurações de NIC no computador client:

• Duas ou mais placas de interface de rede.• Uma ou mais placas de interface de rede que dão suporte a RSS (Receive Side Scaling).• Uma ou mais placas de interface de rede configuradas com agregação de links. A agregação de links permite que você combine a

largura de banda das várias NICs de um nó em uma só única interface lógica.

Configurações das NICs do client compatíveis com o SMB MultichannelO SMB Multichannel detecta automaticamente as configurações de hardware compatível do client que têm vários caminhos de rede disponíveis.

Cada nó do cluster tem pelo menos uma placa de interface de rede (NIC) habilitada para RSS. A configuração das NICs no nível do client determina como o SMB Multichannel estabelece conexões de rede simultâneas por sessão do SMB.

Configuração das NICs no nível do client

Descrição

NIC habilitada para um só RSS

O SMB Multichannel estabelece um máximo de quatro conexões de rede ao cluster do Isilon pela NIC. As conexões tendem a ser distribuídas por vários núcleos de CPU, o que reduz a probabilidade de problemas de gargalo de desempenho e garante o recurso de velocidade máxima da NIC.

Várias NICs Se as NICs forem compatíveis com RSS, o SMB Multichannel estabelecerá um máximo de quatro conexões de rede ao cluster do Isilon por cada NIC. Se as NICs do client não forem compatíveis com RSS, o SMB Multichannel estabelecerá uma só conexão de rede ao cluster do Isilon por cada NIC. As duas configurações permitem que o SMB Multichannel aproveite a largura de banda combinada das várias NICs e ofereça tolerância a falhas de conexão em caso de falha de uma conexão ou de uma NIC.

Compartilhamento de arquivos 151

Configuração das NICs no nível do client

Descrição

NOTA: O SMB Multichannel não pode estabelecer mais de oito conexões de rede simultâneas por sessão. Em uma configuração de várias NIC, isso pode limitar o número de conexões permitidas por NIC. Por exemplo, se a configuração contiver três NICs habilitadas para RSS, o SMB Multichannel pode estabelecer três conexões pela primeira NIC, três conexões pela segunda e duas conexões pela terceira.

NICs agregadas O SMB Multichannel estabelece várias conexões de rede ao cluster do Isilon pelas NICs agregadas, o que resulta em conexões balanceadas nos núcleos da CPU, consumo eficiente da largura de banda combinada e tolerância a falhas de conexão.

NOTA: A configuração de NICs agregadas oferece uma tolerância inerente à falha de NICs que não depende do SMB.

Gerenciamento de compartilhamentos do SMB via MMCO OneFS oferece suporte ao snap-in Shared Folders do Microsoft Management Console (MMC), que permite que os compartilhamentos SMB do cluster sejam gerenciados usando a ferramenta MMC.

Normalmente, você se conecta à zona global do sistema pela interface Web de administração ou pela interface de linha de comando para gerenciar e configurar os compartilhamentos. Se você configurar as zonas de acesso, será possível se conectar a uma zona pelo snap-in Shared Folders do MMC e gerenciar diretamente todos os compartilhamentos dessa zona.

Você pode estabelecer uma conexão a um nó do Isilon pelo snap-in Shared Folders do MMC e executar as seguintes tarefas de gerenciamento dos compartilhamentos do SMB:

• Criar e excluir as pastas compartilhadas• Configurar a permissão de acesso a um compartilhamento do SMB• Exibir uma lista das sessões ativas do SMB• Fechar as sessões abertas do SMB• Exibir uma lista dos arquivos abertos• Fechar os arquivos abertos

Ao se conectar a uma zona pelo snap-in Shared Folders do MMC, será possível exibir e gerenciar todos os compartilhamentos do SMB atribuídos a ela; entretanto, você só poderá exibir as sessões ativas e os arquivos abertos do SMB no nó específico pelo qual você está conectado à zona. As alterações feitas nos compartilhamentos por meio do snap-in Shared Folders do MMC são propagadas no cluster.

Requisitos de conexão do MMCVocê poderá se conectar a um cluster pelo snap-in Shared Folders do MMC se atender aos requisitos de acesso.

As seguintes condições são necessárias para estabelecer uma conexão pelo snap-in Shared Folders do MMC:

• Você deve executar o MMC (Microsoft Management Consol) a partir de uma estação de trabalho do Windows que esteja associada ao domínio de um provedor do AD (Active Directory) configurado no cluster.

• Você deve ser membro do grupo local <cluster>\Administrators.NOTA: Os privilégios de RBAC (Role Based Access Control, controle de acesso baseado em funções) não se aplicam

ao MMC. Uma função com privilégios de SMB não é suficiente para obter acesso.

• Você deve fazer log-in em uma estação de trabalho do Windows como um usuário do Active Directory que é membro do grupo local <cluster>\Administrators.

Criptografia de SMBv3Certas combinações de Microsoft Windows e de client/servidor do Apple Mac podem oferecer suporte à criptografia de dados em ambientes SMBv3.

Você pode configurar a criptografia de SMBv3 por compartilhamento, por zona ou em todo o cluster. É possível permitir o acesso a clients criptografados e não criptografados. Globalmente e para zonas de acesso, você também pode exigir que todas as conexões de client sejam criptografadas.

Se você definir as configurações de criptografia por zona, essas configurações substituirão as configurações globais do servidor.

NOTA: As configurações de criptografia por zona e por compartilhamento só podem ser definidas por meio da interface

de linha de comando do OneFS.

152 Compartilhamento de arquivos

Ativar a criptografia de SMBv3É possível modificar as configurações de criptografia de SMBv3 do cluster. Por padrão, a criptografia de SMBv3 é desativada.

Para ativar a criptografia de SMBv3 e permitir que os clients criptografados e não criptografados acessem o servidor:

1. Acesse Protocols > Windows Sharing (SMB) > Server Settings.

2. Na seção Encryption, em Enable encryption on encryption-capable SMB clients, selecione Use Custom.

3. Selecione Enable encryption on encryption-capable SMB clients.Os clients criptografados e não criptografados terão permissão de acesso.

Rejeitar o acesso a clients SMBv3 não criptografadosVocê pode negar globalmente o acesso de clients SMBv3 não criptografados.

Para rejeitar o acesso de clients SMBv3 não criptografados:

1. Acesse Protocols > Windows Sharing (SMB) > Server Settings.

2. Na seção Encryption, em Reject unencrypted acces, clique Use Custom.

3. Selecione Reject unencrypted access.

Cópia do servidor SMBPara aumentar o desempenho do sistema, o SMB 2 e os clientes posteriores podem utilizar o recurso de cópia do servidor do OneFS.

Os clients do Windows que usam o suporte de cópia do servidor podem observar melhorias de desempenho das operações de cópia de arquivos, já que os file data não precisam mais atravessar a rede. O recurso de cópia do servidor lê e grava arquivos apenas no servidor, evitando o ciclo de ida e volta da rede e a duplicação dos file data. Esse recurso só afeta as operações de cópia parcial ou de arquivos nas quais os identificadores de arquivos de origem e de destino estão abertos no mesmo compartilhamento, e não funciona para operações de compartilhamento cruzado.

O recurso é habilitado por padrão nos clusters do OneFS e só pode ser desabilitado em todo o sistema, em todas as zonas. Além disso, cópia do servidor do OneFS é compatível com o recurso de disponibilidade contínua do SMB. Se a disponibilidade contínua estiver habilitada para um compartilhamento e o client abrir um identificador de arquivo persistente, a cópia do servidor será automaticamente desabilitada para esse arquivo.

NOTA: Você só pode desabilitar ou habilitar a cópia do servidor SMB do OneFS usando a CLI (Command Line Interface,

interface de linha de comando).

Habilitar ou desabilitar a cópia do servidor do SMBVocê pode habilitar ou desabilitar o recurso de cópia do servidor do SMB.

Esse recurso é habilitado no OneFS por padrão.

1. Abra uma conexão Secure Shell (SSH) com o cluster.

2. Execute o comando isi smb settings global modify.

3. Modifique a opção --server-side-copy conforme necessário.

Esse recurso é habilitado por padrão.

Por exemplo, o seguinte comando desativa a cópia do servidor do SMB:

isi smb settings global modify --server-side-copy=no

Disponibilidade contínua do SMBSe você estiver executando o OneFS em um ambiente de SMB 3.0, alguns clients do Windows serão autorizados a abrir arquivos em um servidor com a disponibilidade contínua habilitada.

Se um servidor estiver usando o Windows 8 ou o Windows Server 2012, os clients poderão criar identificadores de arquivo persistente podem ser recuperados após uma paralisação, como uma desconexão relacionada à rede ou uma falha no servidor. Você pode especificar por quanto tempo o identificador persistente é mantido após uma desconexão ou falha do servidor, e também forçar rigorosos bloqueios sobre os usuários que estejam tentando abrir um arquivo pertencente a outro identificador. Além disso, por meio da CLI (Command Line Interface, interface de linha de comando) do OneFS, você pode definir as configurações de integridade de gravação para controlar a estabilidade das gravações feitas no compartilhamento.

Compartilhamento de arquivos 153

Se a disponibilidade contínua estiver habilitada para um compartilhamento e o client abrir um identificador de arquivo persistente, a cópia do servidor será automaticamente desabilitada para esse arquivo.

NOTA: Você só pode habilitar a disponibilidade contínua ao criar um compartilhamento, mas pode atualizar as

configurações de timeout, bloqueio e integridade das gravações ao criar ou modificar um compartilhamento.

Ativar a disponibilidade contínua do SMBVocê pode ativar a disponibilidade contínua do SMB 3.0 e definir as configurações ao criar um compartilhamento.

Você também pode atualizar o timeout de disponibilidade contínua, fazer o bloqueio e gravar as configurações de integridade ao modificar um compartilhamento.

1. Acesse Protocols > Windows Sharing (SMB) > SMB Shares.

2. Clique em Create an SMB share.A janela Create an SMB Share será exibida.

3. Selecione Enable continuous availability on the share.

4. Opcional: Clique em Show Advanced Settings.

5. Opcional: No campo Continuous Availability Timeout, especifique por quanto tempo você deseja que um identificador persistente seja mantido depois que um client seja desconectado ou após a falha de um servidor. O padrão é dois minutos.

6. Opcional: Defina Continuous Availability Timeout como Yes para impedir que um client abra um arquivo se outro client tiver um identificador persistente aberto, mas desconectado, para esse arquivo. Se a opção for definida como no, o OneFS emitirá identificadores persistentes, mas os descartará se qualquer client que não seja o responsável pela abertura original tente acessar o arquivo. O padrão é Yes.

7. Clique em Create Share.

8. Para definir as configurações de integridade de gravação:

a) Abra uma conexão SSH (Secure Shell) para a CLI (Command Line Interface, interface de linha de comando) do OneFS.b) Defina o parâmetro --ca-write-integrity como um dos seguintes:

none As gravações continuamente disponíveis não são manipuladas de modo diferente das outras gravações do cluster. Se você especificar none e um nó falhar, poderá experimentar perda de dados sem notificação. Essa configuração não é recomendada.

write-read-coherent

As gravações feitas no compartilhamento são movidas para o armazenamento persistente antes que uma mensagem de sucesso seja exibida ao client do SMB que enviou os dados. Essa é a configuração padrão.

full As gravações feitas no compartilhamento são movidas para o armazenamento persistente antes que uma mensagem de sucesso seja exibida para o client do SMB que enviou os dados, e impedem que o OneFS conceda aos clients do SMB leasings de armazenamento em cache de gravação e de identificador.

Filtragem de arquivos do SMBVocê pode usar a filtragem de arquivos do SMB para permitir ou negar gravações em um compartilhamento ou uma zona de acesso.

Esse recurso permite que você negue certos tipos de arquivos que podem causar problemas de throughput, problemas de segurança, desorganização do armazenamento ou interrupções da produtividade. Você pode restringir as gravações permitindo as gravações de determinados tipos de arquivos em um compartilhamento.

• Se você optar por recusar gravações de arquivos, poderá especificar os tipos de arquivo que não podem ser gravados por extensão. O OneFS permite que todos os outros tipos de arquivo sejam gravados no compartilhamento.

• Se você optar por permitir gravações de arquivos, poderá especificar os tipos de arquivo que podem ser gravados por extensão. O OneFS nega a gravação de todos os outros tipos de arquivo no compartilhamento.

Você pode adicionar ou remover extensões de arquivos se suas políticas de restrição mudarem.

Habilitar a filtragem de arquivos do SMBVocê pode habilitar ou desabilitar a filtragem de arquivos do SMB para um compartilhamento.

1. Clique em Protocols > Windows Sharing (SMB) > Default Share Settings.

2. Selecione Enable file filters.As configurações de extensões de arquivo serão exibidas.

3. Na lista File Extensions, selecione um dos seguintes:

154 Compartilhamento de arquivos

• Deny writes for list of file extensions. Os tipos de arquivo que você especificar não poderão ser gravados no compartilhamento.

• Allow writes for list of file extensions. Os tipos de arquivo que você especificar serão os únicos tipos de arquivo que poderão ser gravados no compartilhamento.

4. Clique em Add file extensions.

5. Digite um tipo de arquivo, tal como .wav ou .mpg, no campo File Extensions.

6. Opcional: Para especificar mais tipos de arquivo, clique em Add another file extension.

7. Clique em Add Extensions para salvar as alterações.

8. Para remover um tipo de arquivo da lista de extensões, marque a caixa de seleção correspondente à extensão e clique em Delete.

Links simbólicos e clients do SMBO OneFS permite que os clients do SMB2 acessem os links simbólicos de maneira perfeita. Muitos administradores implementam links simbólicos para reorganizar virtualmente as hierarquias de file system, principalmente quando arquivos ou diretórios essenciais estiverem espalhados em um ambiente.

Em um compartilhamento do SMB, um link simbólico (também conhecido como symlink) é um tipo de arquivo que contém um caminho para um arquivo ou um diretório de destino. Os links simbólicos são transparentes aos aplicativos executados nos clients do SMB e funcionam como arquivos e diretórios típicos. O suporte aos links relativos e absolutos é ativado pelo client do SMB. A configuração específica depende do tipo e da versão do client.

Um link simbólico que aponta para um arquivo ou um diretório de rede e que não esteja no caminho da sessão ativa do SMB é referido como um link absoluto (ou remoto). Os links absolutos sempre apontam para o mesmo local de um file system, independentemente do diretório funcional presente e, geralmente, contêm o diretório raiz como parte do caminho. Por outro lado, um link relativo é um link simbólico que aponta diretamente para o diretório funcional do aplicativo ou de um usuário; portanto, não é necessário especificar o caminho absoluto completo ao criar o link.

O OneFS expõe os links simbólicos por meio do protocolo SMB2, permitindo que os clients do SMB2 resolvam os links em vez de depender do OneFS para resolvê-los em nome dos clients. Para atravessar um link relativo ou absoluto, o client do SMB deve estar autenticado para os compartilhamentos do SMB pelos quais o link pode ser seguido. Entretanto, se o client do SMB não tiver permissão para acessar o compartilhamento, o acesso ao destino será negado e o Windows não solicitará as credenciais ao usuário.

Os links do SMB2 e do NFS são interoperáveis somente para links relativos. Para obter o máximo de compatibilidade, crie esses links a partir de um client POSIX.

NOTA: Os clients do SMB1 (como Windows XP ou 2002) ainda podem usar links relativos, mas eles são atravessados no

servidor e chamados de "arquivos de atalho." Os links absolutos não funcionam nesses ambientes.

Ativando os links simbólicosAntes de poder usar links simbólicos totalmente em um ambiente SMB, você deverá ativá-los.

Para que os clients do SMB do Windows atravessem todos os tipos de links simbólicos, você deverá ativá-los no client. O Windows dá suporte aos seguintes tipos de link:

• local a local• remoto a remoto• local a remoto• remoto a local

Você deve executar o seguinte comando do Windows para ativar todos os quatro tipos de links:

fsutil behavior set SymlinkEvaluation L2L:1 R2R:1 L2R:1 R2L:1

Para clients POSIX que usam o Samba, você deve configurar as seguintes opções na seção [global] de seu arquivo de configuração do Samba (smb.conf) para permitir que os clients do Samba atravessem os links relativos e absolutos:

follow symlinks=yes wide links=yes

Nesse caso, os "links extensos" do arquivo smb.conf referem-se a links absolutos. A configuração padrão desse arquivo é no.

Compartilhamento de arquivos 155

Gerenciando links simbólicosDepois de ativar os links simbólicos, você pode criá-los ou excluí-los no prompt de comando do Windows ou em uma linha de comando POSIX.

Crie links simbólicos usando o comando mklink do Windows em um client SMB2 ou o comando ln de uma interface de linha de comando POSIX. Por exemplo, um administrador pode querer dar a um usuário chamado User1 o acesso a um arquivo chamado File1.doc do diretório /ifs/data/ sem oferecer acesso específico a esse diretório criando um link chamado Link1:

mklink \ifs\home\users\User1\Link1 \ifs\data\Share1\File1.doc

Quando você cria um link simbólico, ele é designado como um link de arquivos ou de diretórios. Assim que o link é configurado, sua designação não pode ser alterada. Você pode formatar os caminhos dos links simbólicos como relativos ou absolutos.

Para excluir os links simbólicos, use o comando del do Windows ou o comando rm em um ambiente POSIX.

Lembre-se de que, ao excluir um link simbólico, o arquivo ou diretório de destino ainda existirá. No entanto, ao excluir um arquivo ou diretório de destino, um link simbólico existirá e ainda apontará para o destino antigo, tornando-se um link quebrado.

Acesso anônimo a compartilhamentos SMBVocê pode configurar o acesso anônimo aos compartilhamentos SMB ativando o usuário guest local e permitindo a imitação do usuário guest.

Por exemplo, se você armazenar arquivos como executáveis do navegador ou outros dados que serão públicos na Internet, o acesso anônimo permitirá que o usuário acesse o compartilhamento SMB sem autenticação.

Gerenciando configurações do SMBVocê pode ativar ou desativar o serviço SMB, definir as configurações globais do serviço SMB e definir as configurações padrão dos compartilhamentos de SMB que são específicas a cada zona de acesso.

Conceitos relacionados

SMB

Definir configurações do servidor SMBVocê pode habilitar ou desabilitar o servidor de SMB e definir as configurações globais para compartilhamentos SMB e diretórios de snapshot.

CUIDADO: Modificar as configurações avançadas pode resultar em problemas operacionais. Esteja ciente das possíveis

consequências antes de confirmar as alterações nessas configurações.

1. Clique em Protocols > Windows Sharing (SMB) > SMB Server Settings.

2. Na área Service, selecione Enable SMB Service.

3. Na caixa Advanced Settings, escolha o padrão do sistema ou uma definição personalizada para as seguintes configurações:

• Visible at root• Accessible at root• Visible in subdirectories• Accessible in subdirectories• Configurações de criptografia

4. Clique em Save Changes.

Conceitos relacionados

SMB

Referências relacionadas

Configurações de permissões de arquivo e diretório

Configurações do diretório de snapshots

Configurações de desempenho de SMB

156 Compartilhamento de arquivos

Configurações de segurança de SMB

Configurar um compartilhamento de SMB padrãoÉ possível definir configurações do compartilhamento de SMB específicas para cada zona de acesso.

As configurações padrão são aplicadas a todos os novos compartilhamentos que são adicionados à zona de acesso.CUIDADO: Se você modificar as configurações padrão, as alterações serão aplicadas a todos os compartilhamentos

existentes da zona de acesso, a menos que a configuração tenha sido definida no nível do compartilhamento SMB.

1. Clique em Protocols > Windows Sharing (SMB) > Default Share Settings.

2. Na lista drop-down Current Access Zones, selecione a zona de acesso à qual as configurações padrão se aplicam.

3. Na área File Filtering, selecione Enable file filters para habilitar a filtragem de arquivos.

4. Na caixa Advanced Settings, escolha o padrão do sistema ou uma definição personalizada para as seguintes configurações:

• Continuous Availability Timeout• Strict Continuous Availability Lockout• Create Permission• Directory Create Mask• Directory Create Mode• File Create Mask• File Create Mode• Change Notify• Oplocks• Impersonate Guest• Impersonate User• NTFS ACL• Access Based Enumeration• Host ACL

5. Clique em Save Changes.

Ativar ou desativar o SMB MultichannelO SMB Multichannel é necessário para várias sessões simultâneas do SMB entre um computador client do Windows e um nó de um cluster. Ele é ativado no cluster por padrão.

Você somente pode ativar ou desativar o SMB Multichannel pela interface de linha de comando.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi smb settings global modify.O seguinte comando ativa o SMB Multichannel no cluster:

isi smb settings global modify –-support-multichannel=yes

O seguinte comando desativa o SMB Multichannel no cluster:

isi smb settings global modify –-support-multichannel=no

Configurações do diretório de snapshotsVocê pode exibir e configurar as definições que controlam os diretórios de snapshots em SMBs.

CUIDADO: Essas configurações afetam o comportamento do serviço de SMB. Alterações nessas configurações podem

afetar todos os compartilhamentos de SMB atuais e futuros.

Definição Valor da configuração

Visible at Root Especifica se o diretório .snapshot ficará ou não visível na raiz do compartilhamento. O valor padrão é Yes.

Accessible at Root Especifica se o diretório .snapshot ficará ou não acessível na raiz do compartilhamento. O valor padrão é Yes.

Compartilhamento de arquivos 157

Definição Valor da configuração

Visible in Subdirectories Especifica se o diretório .snapshot ficará visível em subdiretórios da raiz do compartilhamento. O valor padrão é No.

Accessible in Subdirectories Especifica se o diretório .snapshot ficará acessível em subdiretórios da raiz do compartilhamento. O valor padrão é Yes.

Conceitos relacionados

SMB

Configurações de permissões de arquivo e diretórioVocê pode exibir e configurar as permissões de origem padrão e bits de modo/máscara de criação UNIX que são aplicados quando um arquivo ou diretório é criado em um compartilhamento SMB.

NOTA: As alterações feitas diretamente em um compartilhamento SMB se sobrepõem às configurações padrão que são

definidas na guia Default SMB Share Settings.

Se os bits de máscara e de modo corresponderem aos valores padrão, será exibida uma marca de verificação verde ao lado de uma configuração, indicando que a permissão de leitura (R), gravação (W) ou execução (X) especificada está habilitada para o usuário, grupo ou "outro" nível. O "outro" nível inclui todos os usuários que não estão listados como proprietários do compartilhamento e não fazem parte do nível do grupo ao qual o arquivo pertence.

Definição Valor da configuração

Continuous Availability Timeout Especifica por quanto tempo você deseja que um identificador persistente seja mantido depois que um client seja desconectado ou após a falha de um servidor. O padrão é dois minutos.

Strict Continuous Availability Lockout Impede que um client abra um arquivo se outro client tiver um identificador persistente aberto, mas desconectado, para esse arquivo. Se essa opção for definida como no, o OneFS emitirá identificadores persistentes, mas os descartará se qualquer client que não seja o responsável pela abertura original tentar abrir o arquivo. O padrão é no.

Create Permission Define as permissões de origem padrão a serem aplicadas quando um arquivo ou diretório é criado. O valor padrão é Default ACL.

Directory Create Mask Especifica os bits de modo UNIX removidos quando um diretório é criado, restringindo as permissões. Os bits de máscara são aplicados antes dos bits de modo.

Directory Create Mode Especifica os bits de modo UNIX que são adicionados quando um diretório é criado, habilitando as permissões. Os bits de modo são aplicados após os bits de máscara.

File Create Mask Especifica os bits de modo UNIX removidos quando um arquivo é criado, restringindo as permissões. Os bits de máscara são aplicados antes dos bits de modo.

File Create Mode Especifica os bits de modo UNIX que são adicionados quando um arquivo é criado, habilitando as permissões. Os bits de modo são aplicados após os bits de máscara.

Conceitos relacionados

SMB

Configurações de desempenho de SMBVocê pode exibir e definir as configurações de desempenho change notify e oplocks de um compartilhamento SMB.

NOTA: As alterações feitas diretamente em um compartilhamento SMB sobrepõem as configurações padrão definidas na

guia Default SMB Share Settings.

158 Compartilhamento de arquivos

Configuração Valor da configuração

Change Notify Configura notificações de clients quando ocorrem alterações em arquivos ou diretórios. Isso ajuda a impedir que os clients vejam conteúdo obsoleto, mas requer recursos do servidor. O valor padrão é Norecurse.

Oplocks Indica se uma solicitação opcional de bloqueio oportunista (oplock) está habilitada. Um oplock permite que os clients ofereçam melhorias de desempenho usando informações em cache local. O valor padrão é Yes.

Conceitos relacionados

SMB

Configurações de segurança de SMBVocê pode visualizar e definir as configurações de segurança de um compartilhamento SMB.

NOTA: As alterações feitas diretamente em um compartilhamento SMB substituem as configurações padrão que são

definidas na guia Default Share Settings.

Configuração Valor da configuração

Create Permission Define as permissões de origem padrão a serem aplicadas quando um arquivo ou diretório é criado. O valor padrão é Default acl.

Directory Create Mask Especifica os bits de modo UNIX removidos quando um diretório é criado, restringindo as permissões. Os bits de máscara são aplicados antes dos bits de modo. O valor padrão é que o user tem as permissões Read, Write e Execute.

Directory Create Mode Especifica os bits de modo UNIX que são adicionados quando um diretório é criado, habilitando as permissões. Os bits de modo são aplicados após os bits de máscara. O valor padrão é None.

File Create Mask Especifica os bits de modo UNIX removidos quando um arquivo é criado, restringindo as permissões. Os bits de máscara são aplicados antes dos bits de modo. O valor padrão é que o user tem as permissões Read, Write e Execute.

File Create Mode Especifica os bits de modo UNIX que são adicionados quando um arquivo é criado, habilitando as permissões. Os bits de modo são aplicados após os bits de máscara. O valor padrão é que o user tem permissões Execute.

Impersonate Guest Determina o acesso do guest a um compartilhamento. O valor padrão é Never.

Impersonate User Permite que todo o acesso aos arquivos seja executado como um usuário específico. Deve ser um nome de usuário completo. O valor padrão é No value.

NTFS ACL Permite que as ACLs sejam armazenadas e editadas nos clients SMB. O valor padrão é Yes.

Access Based Enumeration Somente permite a enumeração com base em acesso nos arquivos e pastas que o usuário solicitante puder acessar. O valor padrão é No.

HOST ACL A ACL que define o acesso ao host. O valor padrão é No value.

Conceitos relacionados

SMB

Compartilhamento de arquivos 159

Gerenciando compartilhamentos de SMBVocê pode configurar as regras e outras configurações que controlam a interação entre sua rede Windows e os compartilhamentos individuais de SMB do cluster.

O OneFS dá suporte às expansões variáveis %U, %D, %Z, %L, %0, %1, %2 e %3 e ao provisionamento automático de diretórios de usuário.

Você pode configurar os usuários e os grupos que são associados a um compartilhamento de SMB e exibir ou modificar suas permissões de nível de compartilhamento.

NOTA: Recomendamos que você somente defina as configurações avançadas de compartilhamentos de SMB se tiver um

entendimento sólido sobre o protocolo SMB.

Conceitos relacionados

SMB

Criar um compartilhamento de SMBAo criar um compartilhamento de SMB, você pode sobrepor as permissões padrão, as configurações de desempenho e acesso. Você pode configurar o provisionamento do diretório de usuário do SMB incluindo variáveis de expansão no caminho do compartilhamento, a fim de criar e redirecionar os usuários automaticamente a seus próprios diretórios de usuário.

Especifique um caminho de diretório para ser utilizado como um compartilhamento de SMB e crie o diretório antes de criar um compartilhamento de SMB. Os compartilhamentos são específicos às zonas de acesso e o caminho do compartilhamento deve existir no caminho da zona. Crie zonas de acesso antes de criar compartilhamentos de SMB.

1. Clique em Protocols > Windows Sharing (SMB) > SMB Shares.

2. Na lista drop-down Current Access Zone, selecione a zona de acesso onde deseja criar o compartilhamento.

3. Clique em Create an SMB Share.

4. No campo Name, digite um nome para o compartilhamento.

Os nomes dos compartilhamentos podem conter até 80 caracteres, exceto os seguintes: " \ / [ ] : | < > + = ; , * ?Além disso, se a codificação de caracteres do cluster não estiver configurada como UTF-8, os nomes de compartilhamentos de SMB diferenciam letras maiúsculas de minúsculas.

5. Opcional: No campo Description, digite um comentário sobre o compartilhamento.

A descrição é opcional, mas poderá ser útil ao gerenciar vários compartilhamentos. O campo está limitado a 255 caracteres.

6. No campo Path, digite o caminho completo de diretório do compartilhamento, que começa com /ifs, ou clique em Browse para localizar o caminho do diretório.

NOTA: Se quiser usar qualquer uma das variáveis da tabela a seguir ao especificar um caminho de diretório, marque a

caixa de seleção Allow Variable Expansion ou o sistema interpretará a string literalmente.

Variável Expansion

%D Nome de domínio do NetBIOS.

%U Nome do usuário — por exemplo, user_001.

%Z Nome da zona, por exemplo, System.

%L Nome de host do cluster, padronizado em minúsculas.

%0 Primeiro caractere do nome de usuário.

%1 Segundo caractere do nome de usuário.

%2 Terceiro caractere do nome de usuário.

Por exemplo, se um usuário estiver em um domínio denominado DOMAIN e tiver um nome de usuário user_1, o caminho /ifs/home/%D/%U se expandirá para /ifs/home/DOMAIN/user_1.

7. Selecione Create SMB share directory if it does not exist para que o OneFS crie o diretório de compartilhamento para o caminho que você especificou, caso ele ainda não exista.

160 Compartilhamento de arquivos

8. Aplique as configurações iniciais de ACL para o diretório. Você pode modificar essas configurações posteriormente.

• Para aplicar uma ACL padrão ao diretório compartilhado, selecione Apply Windows default ACLs.NOTA: Se a configuração Create SMB share directory if it does not exist estiver selecionada, o OneFS criará uma

ACL com o equivalente das permissões de bits do modo UNIX 700 para qualquer diretório que seja criado

automaticamente.

• Para manter as permissões existentes no diretório compartilhado, selecione Do not change existing permissions.

9. Opcional: Configure o provisionamento de diretórios de usuário.

• Para expandir variáveis de caminho como %U no caminho do diretório de compartilhamento, selecione Allow Variable Expansion.• Para criar diretórios de usuário automaticamente quando os usuários acessam o compartilhamento pela primeira vez, selecione

Auto-Create Directories. Essa opção estará disponível apenas se a opção Allow Variable Expansion estiver habilitada.

10. Selecione Enable continuous availability on the share para permitir que os clients criem identificadores persistentes que possam ser recuperados após uma paralisação, como uma desconexão relacionada à rede ou uma falha no servidor. Os servidores devem estar usando o Windows 8 ou o Windows 2012 R2 (ou versão posterior).

11. Clique em Add User or Group para editar as configurações de grupos e usuários.A configuração de permissões padrão é o acesso somente leitura à conta Everyone conhecida. Modifique as configurações para permitir que os usuários façam gravações no compartilhamento.

12. Selecione Enable file filters na seção File Filter Extensions para ativar o suporte à filtragem de arquivos. Adicione os tipos de arquivo que serão aplicados ao método de filtragem de arquivos.

13. Selecione Enable ou Disable na seção Encryption para permitir ou impedir que os clients criptografados do SMBv3 se conectem ao compartilhamento.

14. Opcional: Clique em Show Advanced Settings para aplicar as configurações avançadas do compartilhamento de SMB, se necessário.

15. Clique em Create Share.

Conceitos relacionados

SMB

Modificar as permissões, o desempenho ou a segurança do compartilhamento SMBÉ possível modificar as permissões, o desempenho e as configurações de acesso para compartilhamentos SMB individuais.

É possível configurar o provisionamento de diretórios de usuário SMB por meio de variáveis de expansão ou o caminho de compartilhamento para criar e redirecionar automaticamente os usuários para seus próprios diretórios de usuário.

NOTA: Todas as alterações que forem feitas nessas configurações afetarão apenas as configurações desse

compartilhamento. Se for preciso alterar os valores padrão do compartilhamento SMB, isso poderá ser feito na guia

Default SMB Share Settings.

1. Clique em Protocols > Windows Sharing (SMB) > SMB Shares.

2. Na lista drop-down Current Access Zones, selecione a zona de acesso que contém o compartilhamento que você deseja modificar.

3. Na lista de compartilhamentos SMB, localize o compartilhamento que deseja modificar e clique em View/Edit.As configurações do compartilhamento serão exibidas.

4. Clique em Edit SMB Share.

5. Modifique as configurações desejadas.

6. Opcional: Para modificar as configurações de permissões de arquivos e diretórios, o desempenho ou a segurança, clique em Show Advanced Settings.

7. Clique em Save Changes.

Conceitos relacionados

SMB

Excluir um compartilhamento de SMBVocê pode excluir os compartilhamentos SMB que não são mais necessários.

Os compartilhamentos SMB não utilizados não prejudicam o desempenho do cluster. Se você excluir um compartilhamento SMB, o caminho do compartilhamento será excluído, mas o diretório a que ele faz referência ainda existirá. Se você criar um novo

Compartilhamento de arquivos 161

compartilhamento com o mesmo caminho do compartilhamento que foi excluído, o diretório ao qual o compartilhamento anterior fazia referência estará acessível novamente no novo compartilhamento.

1. Clique em Protocols > Windows Sharing (SMB) > SMB Shares.

2. Na lista drop-down Current Access Zone, selecione a zona de acesso que contém o compartilhamento que você deseja excluir.

3. Na lista de compartilhamentos SMB, selecione o compartilhamento que deseja excluir.

NOTA: É possível excluir vários compartilhamentos no cluster marcando as caixas de seleção ao lado do nome do

compartilhamento, e, em seguida, clicando em Delete.

4. Na caixa de diálogo de confirmação, clique em Delete para confirmar a exclusão.

Conceitos relacionados

SMB

Limitar o acesso ao compartilhamento /ifs para a conta EveryonePor padrão, o diretório raiz /ifs é configurado como um compartilhamento SMB na zona de acesso do sistema. É recomendável que você restrinja a conta Everyone desse compartilhamento ao acesso somente leitura.

1. Clique em Protocols > Windows Sharing (SMB) > SMB Shares.

2. Na lista drop-down Current Access Zone, selecione System.

3. Marque a caixa de seleção correspondente ao compartilhamento /ifs e clique em View/Edit.A caixa de diálogo View SMB Share Details será exibida.

4. Clique em Edit SMB Share.A caixa de diálogo Edit SMB Share Details será exibida.

5. Na área Users and Groups, marque a caixa de seleção correspondente à conta Everyone e clique em View/Edit.A caixa de diálogo Edit Persona será exibida.

6. Selecione Specify Permission Level e marque a caixa de seleção Read. Desmarque as caixas de seleção Full Control e

Read-Write caso elas estejam selecionadas.

7. Clique em Apply.

Configurar acesso anônimo a um só compartilhamento SMBVocê pode configurar o acesso anônimo aos dados armazenados em um só compartilhamento com a imitação de usuário guest.

1. Clique em Access > Membership & Roles > Users.

2. Na lista Current Access Zone, selecione a zona de acesso que contém o compartilhamento que deseja permitir o acesso anônimo.

3. Na lista drop-down Providers, selecione Local.

a) Clique em View/Edit para a conta de guest.A caixa de diálogo View User Details será exibida.

b) Clique em Edit User.c) Selecione Enable Account e, depois, clique em Save Changes.

4. Clique em Protocols > Windows Sharing (SMB) > SMB Shares.

5. Clique em View/Edit ao lado do compartilhamento ao qual você permitirá acesso anônimo.

6. Clique em Edit SMB Share.

7. Clique em Show Advanced Settings.

8. Localize a configuração Impersonate Guest e, depois, clique em Use Custom.A lista drop-down Impersonate Guest será exibida.

9. Selecione Always na lista Impersonate Guest.

10. Clique em Save Changes.

Configurar o acesso anônimo a todos os compartilhamentos SMB em uma zona de acessoVocê pode configurar o acesso anônimo aos dados armazenados em uma zona de acesso com a imitação de usuário guest.

1. Clique em Access > Membership & Roles > Users.

2. Na lista Current Access Zone, selecione a zona de acesso na qual você deseja permitir o acesso anônimo.

3. Na lista drop-down Providers, selecione Local.

162 Compartilhamento de arquivos

a) Clique em View/Edit para a conta de guest.A caixa de diálogo View User Details será exibida.

b) Clique em Edit User.c) Selecione Enable Account e, depois, clique em Save Changes.

4. Clique em Protocols > Windows Sharing (SMB) > Default Share Settings.

5. Na lista Current Access Zone, selecione a zona de acesso na qual você deseja permitir o acesso anônimo.

6. Localize a configuração Impersonate Guest e, depois, clique em Use Custom.A lista drop-down Impersonate Guest será exibida.

7. Selecione Always na lista Impersonate Guest.

8. Clique em Save Changes.

Adicionar um usuário ou um grupo a um compartilhamento de SMBPara cada compartilhamento SMB, você pode adicionar permissões de nível do compartilhamento para usuários e grupos específicos.

1. Clique em Protocols > Windows Sharing (SMB) > SMB Shares.

2. Na lista drop-down Current Access Zone, selecione a zona de acesso que contém o compartilhamento ao qual você deseja adicionar um usuário ou grupo.

3. Na lista de compartilhamentos de SMB, localize o compartilhamento que deseja modificar e clique em View/Edit.

4. Clique em Edit SMB Share.

5. Na seção Users and Groups, clique em Add a User or Group.A caixa de diálogo Add Persona será exibida.

6. Clique em Select User.A caixa de diálogo Select Persona será exibida.

7. Você pode localizar o usuário ou o grupo com um dos seguintes métodos:

• Digite o nome de usuário ou nome do grupo que você deseja pesquisar no campo de texto e clique em Search.• Selecione o provedor de autenticação que você deseja pesquisar no campo de texto e clique em Search. Somente os provedores

que estiverem atualmente configurados e habilitados no cluster serão listados.• Digite o nome de usuário ou nome do grupo, selecione um provedor de autenticação e clique em Search.

8. Se você selecionou Well-known SIDs, clique em Search.

9. Nos resultados da pesquisa, clique no usuário, grupo ou SID que você deseja adicionar ao compartilhamento SMB e clique em Select.

10. Por padrão, os direitos de acesso da nova conta são definidos como Deny All. Para permitir a um usuário ou um grupo acessar o compartilhamento, siga estas etapas adicionais:

a) Ao lado do usuário ou grupo adicionado, clique em Edit.b) Selecione Run as Root ou selecione Specify Permission Level e selecione um ou mais dos seguintes níveis de permissão: Full

Control, Read-Write e Read.

11. Clique em Add Persona.

12. Clique em Save Changes.

Conceitos relacionados

SMB

Configurar o acesso multiprotocolo ao diretório de usuárioPara os usuários que acessarão esse compartilhamento via FTP ou SSH, você pode garantir que o caminho de seu diretório de usuário seja o mesmo, independentemente de eles se conectarem via SMB ou se fizerem log-in por FTP ou SSH. Essa tarefa só pode ser realizada na interface de linha de comando do OneFS.

Este comando direciona o compartilhamento de SMB a usar o modelo de diretório de usuário especificado no provedor de autenticação do usuário. Este procedimento somente está disponível pela interface de linha de comando.

1. Estabeleça uma conexão SSH com qualquer nó do cluster.

2. Execute o seguinte comando, onde <compartilhamento> é o nome do compartilhamento do SMB e --path é o caminho de diretório do modelo de diretório de usuário especificado pelo provedor de autenticação do usuário:

isi smb shares modify <compartilhamento> --path=""

Compartilhamento de arquivos 163

Conceitos relacionados

SMB

Ambientes mistos de protocolos

NFSO OneFS fornece um servidor NFS para o compartilhamento de arquivos no cluster com os clients NFS que seguem as especificações RFC1813 (NFSv3) e RFC3530 (NFSv4).

No OneFS, o servidor NFS é totalmente otimizado como um serviço com multi-thread em execução no espaço do usuário em vez do kernel. Essa arquitetura faz o balanceamento de carga do serviço NFS em todos os nós de cluster, fornecendo a estabilidade e a escalabilidade necessárias para gerenciar até milhares de conexões entre vários clients NFS.

As montagens NFS são executadas e atualizadas rapidamente, e o servidor monitora constantemente as demandas de flutuação em serviços NFS e faz ajustes em todos os nós para garantir o desempenho contínuo, confiável. Usando um agendador integrado de processos, o OneFS ajuda a garantir uma alocação justa dos recursos de nós para que nenhum client possa transferir mais do que seu compartilhamento justo dos serviços do NFS.

O servidor NFS também aceita as zonas de acesso definidas no OneFS, de modo que os clients possam acessar somente as exportações apropriadas em sua zona. Por exemplo, se as exportações NFS são especificadas para Zone 2, somente os clients atribuídos à Zone 2 podem acessar essas exportações.

Para simplificar as conexões dos clients, principalmente para as exportações com grandes nomes de caminho, o servidor NFS também dá suporte a alias, que são atalhos aos pontos de montagem que os clients podem especificar diretamente.

Para proteger o compartilhamento de arquivo NFS, o OneFS dá suporte aos provedores de autenticação NIS do OneFS e LDAP.

Conceitos relacionados

Gerenciando o serviço NFS

Gerenciando exportações NFS

Exportações de NFSVocê pode gerenciar as regras individuais de exportação NFS que definem pontos de montagem (caminhos) disponíveis para clients do NFS e como deve ser o desempenho do servidor com esses clients.

No OneFS, você pode criar, excluir, listar, visualizar, modificar e recarregar as exportações NFS.

As regras de exportação NFS têm reconhecimento de zona. Cada exportação é associada a uma zona, pode ser montada somente por clients dessa zona e somente pode expor caminhos abaixo da raiz da zona. Por padrão, qualquer comando de exportação se aplica à zona atual do client.

Cada regra deve ter pelo menos um caminho (ponto de montagem) e pode incluir caminhos adicionais. Você também pode especificar que todos os subdiretórios de determinado(s) caminho(s) podem ser montados. Caso contrário, somente os caminhos especificados serão exportados e os diretórios secundários não poderão ser montados.

Uma regra de exportação pode especificar um conjunto específico de clients, permitindo que você restrinja o acesso a certos pontos de montagem ou aplique um conjunto exclusivo de opções para esses clients. Se a regra não especificar nenhum client, a regra se aplicará a todos os clients que se conectam ao servidor. Se a regra especificar clients, essa regra será aplicada somente a esses clients.

Aliases de NFSVocê pode criar e gerenciar alias como atalhos dos nomes de caminho de diretórios do OneFS. Se esses nomes de caminhos forem definidos como exportações NFS, os clients de NFS podem especificar os alias como pontos de montagem do NFS.

Os alias do NFS são projetadas para dar a paridade funcional com nomes de compartilhamento SMB no contexto do NFS. Cada alias associa um nome exclusivo a um caminho no file system. Os clients NFS podem usar o nome do alias no lugar do caminho durante a montagem.

164 Compartilhamento de arquivos

Os alias devem ser formados como nomes de caminho Unix de nível superior, com uma barra única seguida pelo nome. Por exemplo, você pode criar um alias chamado /q4 que faça o mapeamento a /ifs/data/finance/accounting/winter2015 (um caminho do OneFS). Um client NFS pode montar o diretório por meio de:

mount cluster_ip:/q4

mount cluster_ip:/ifs/data/finance/accounting/winter2015

Os alias e as exportações são completamente independentes. Você pode criar um alias sem associá-lo a uma exportação NFS. Da mesma forma, uma exportação NFS não requer um alias.

Cada alias deve apontar para um caminho válido no file system. Embora esse caminho seja absoluto, ele deve apontar para um local abaixo da zona root (/ifs na zona do sistema). Se os pontos de alias para um caminho que não existe no file system, qualquer client que tentar montar os alias teria sua solicitação recusada da mesma maneira ao tentar montar um nome de caminho completo inválido.

Os aliases do NFS têm reconhecimento de zona. Por padrão, um alias aplica-se à zona de acesso atual do client. Para alterar isso, você pode especificar uma zona de acesso alternativa como parte da criação ou da modificação de um alias.

Cada alias só pode ser usado pelos clients naquela zona, e só pode ser aplicado aos caminhos abaixo da zona root. Os nomes dos alias são exclusivos por zona, mas o mesmo nome pode ser usado em zonas diferentes — por exemplo, /home.

Quando você cria um alias na interface Web de administração, a lista de alias exibe o status do alias. Da mesma forma, usando a opção --check do comando isi nfs aliases, você pode verificar o status de um alias do NFS (o status pode ser: bom, caminho ilegal, conflito de nome, não exportado ou caminho não encontrado).

Arquivos de registros do NFSO OneFS grava mensagens de registro associadas a eventos do NFS em um conjunto de arquivos de /var/log.

Com a opção de nível de registro, você pode especificar os detalhes com base nos quais as mensagens de registro são colocadas nos arquivos de registros. A tabela a seguir descreve os arquivos de registros associados ao NFS.

Arquivo de registros Descrição

nfs.log Principal funcionalidade do servidor NFS (v3, v4 e montagem)

rpc_lockd.log Eventos de bloqueio do NFS v3 por meio do protocolo NLM

rpc_statd.log Detecção de reinicialização do NFS v3 por meio do protocolo NSM

isi_netgroup_d.log Resolução e armazenamento em cache de netgroup

Gerenciando o serviço NFSVocê pode ativar ou desativar o serviço NFS e especificar as versões do NFS que serão compatíveis, inclusive NFSv3 e NFSv4. As configurações do NFS são aplicadas em todos os nós do cluster.

NOTA: O NFSv4 pode ser ativado de modo não disruptivo em um cluster do OneFS e será executado simultaneamente

com o NFSv3. Os clients NFSv3 existentes não serão afetados com a ativação do NFSv4.

Conceitos relacionados

NFS

Configurar o compartilhamento de arquivos do NFSVocê pode ativar ou desativar o serviço NFS, definir o nível de proteção de bloqueios e o tipo de segurança. Essas configurações são aplicadas em todos os nós do cluster. Você pode alterar as configurações das exportações NFS individuais.

1. Clique em Protocols > UNIX Sharing (NFS) > Global Settings.

2. Ative ou desative as seguintes configurações:

• NFS Export Service• NFSv3• NFSv4

3. Clique em Reload na seção Cached Export Configuration para recarregar as configurações de exportações NFS armazenadas em cache.

Compartilhamento de arquivos 165

As configurações de exportações NFS armazenadas em cache são recarregadas para ajudar a garantir que as alterações no DNS ou no NIS sejam aplicadas.

4. Clique em Save Changes.

Conceitos relacionados

NFS

Referências relacionadas

Configurações globais de NFS

Configurações de desempenho da exportação NFS

Configurações da compatibilidade do client de exportações NFS

Configurações do comportamento da exportação NFS

Criar uma regra de root-squashing (recolhimento raiz) da exportação NFS padrãoPor padrão, o serviço NFS implementa uma regra de root-squashing para a exportação NFS padrão. Essa regra impede que os usuários root dos clients NFS utilizem os privilégios root no servidor NFS.

1. Clique em Protocols > UNIX Sharing (NFS) > NFS Exports.

2. Selecione a exportação padrão na lista NFS Exports e clique em View/Edit.

3. Na área Root User Mapping, verifique se as configurações padrão estão selecionadas. Em caso afirmativo, nenhuma alteração será necessária e você poderá avançar à etapa sete.

4. Clique em Edit Export.

5. Localize a configuração Root User Mapping e, depois, clique em Use Default para redefini-la para estes valores:

User: Map root users to user nobodyPrimary Group: No primary groupSecondary Groups: No secondary groups

6. Clique em Save Changes.

7. Clique em Close.

Com essas configurações, independentemente das credenciais dos usuários no client NFS, eles não poderiam obter privilégios root no servidor NFS.

Configurações globais de NFSAs configurações globais de NFS determinam como o serviço NFS funciona. Você pode modificar essas configurações de acordo com as necessidades de sua organização.

A tabela a seguir descreve as configurações globais de NFS e seus valores padrão:

Definição Descrição

NFS Export Service Ativa ou desativa o serviço NFS. Essa configuração é ativada por padrão.

NFSv3 Habilita ou desabilita o suporte a NFSv3. Essa configuração é ativada por padrão.

NFSv4 Habilita ou desabilita o suporte a NFSv4. Essa configuração é desativada por padrão.

Cached Export Configuration Permite que você recarregue as exportações NFS armazenadas em cache para ajudar a garantir que qualquer alteração no domínio ou na rede entre em vigor imediatamente.

Conceitos relacionados

NFS

Tarefas relacionadas

Configurar o compartilhamento de arquivos do NFS

166 Compartilhamento de arquivos

Gerenciando exportações NFSVocê pode criar exportações NFS, exibir e modificar configurações de exportação e excluir as exportações que não são mais necessárias.

O /ifs é o diretório de nível superior para armazenamento de dados no OneFS, e também é o caminho definido na exportação padrão. Por padrão, a exportação /ifs não permite o acesso raiz, mas permite que outros clients do UNIX montem esse diretório e todos os subdiretórios abaixo dele.

NOTA: Recomendamos que você modifique a exportação padrão para limitar o acesso somente aos clients confiáveis, ou

para restringir o acesso completamente. Para ajudar a garantir que os dados confidenciais não sejam comprometidos, as

outras exportações que você criar devem estar mais abaixo na hierarquia de arquivos do OneFS e podem ser protegidas

pelas zonas de acesso ou limitadas a clients específicos com acesso root, leitura/gravação ou somente leitura, conforme

adequado.

Conceitos relacionados

NFS

Criar uma exportação NFSVocê pode criar exportações NFS para compartilhar arquivos no OneFS com os clients baseados no UNIX.

O serviço NFS é executado no espaço do usuário e distribui a carga em todos os nós do cluster. Isso permite que o serviço seja altamente dimensionável e dê suporte a milhares de exportações. Como prática recomendada, no entanto, você deve evitar criar uma exportação separada para cada client em sua rede. É mais eficiente criar menos exportações e usar zonas de acesso e mapeamento de usuário para controlar o acesso.

1. Clique em Protocols > UNIX Sharing (NFS) > NFS Exports.

2. Clique em Create Export.

3. Para a configuração Directory Paths, digite ou procure o diretório que você deseja exportar.

É possível adicionar vários caminhos de diretórios clicando em Add another directory path para cada caminho adicional.

4. Opcional: No campo Description, digite um comentário descrevendo a exportação.

5. Opcional: Especifique os clients NFS que têm permissão para acessar a exportação.

Você pode especificar clients NFS em alguns ou todos os campos do client, conforme descrito na tabela a seguir. Um client pode ser identificado pelo nome do host, pelo endereço IPv4 ou IPv6, pela sub-rede ou pelo grupo de rede. Os endereços IPv4 mapeados ao espaço do endereço IPv6 são traduzidos e armazenados como endereços IPv4 para remover todas as possíveis ambiguidades.

É possível especificar vários clients em cada campo digitando uma entrada por linha.

NOTA: Se você não especificar nenhum client, todos os clients da rede poderão acessar a exportação. Se você

especificar clients em qualquer um dos campos de regra, como Always Read-Only Clients, a regra aplicável somente

será aplicada a esses clients. No entanto, adicionar uma entrada a Root Clients não impedirá que outros clients

acessem a exportação.

Se você adicionar o mesmo client a mais de uma lista e especificá-lo no mesmo formato em cada entrada, ele será

padronizado em uma lista única na seguinte ordem de prioridade:

• Root Clients

• Always Read-Write Clients

• Always Read-Only Clients

• Clients

Configuração Descrição

Clients Especifica um ou mais clients a serem habilitados para acesso à exportação. O nível de acesso é controlado por permissões de exportação.

Always Read-Write Clients

Especifica um ou mais clients a serem habilitados para acesso de leitura/gravação à exportação independentemente da configuração de restrição de acesso da exportação. Isso equivale a adicionar um client à lista Clients com a configuração Restrict access to read-only cancelada.

Always Read-Only Clients

Especifica um ou mais clients a serem habilitados para acesso de somente leitura à exportação independentemente da configuração de restrição de acesso da exportação. Isso equivale a adicionar um client à lista Clients com a configuração Restrict access to read-only selecionada.

Compartilhamento de arquivos 167

Configuração Descrição

Root Clients Especifica um ou mais clients a serem mapeados como root para a exportação. Essa configuração permite que o próximo client monte a exportação, apresente a identidade root e seja associado ao root. Adicionar um client a essa lista não impedirá que outros clients montem a exportação se clients, clients somente leitura e clients de leitura/gravação não estiverem configurados.

6. Selecione a configuração de permissões de exportação que será usada:

• Restringir ações a somente leitura.• Habilitar o acesso de montagem a subdiretórios. Permitir que os subdiretórios abaixo dos caminhos sejam montados.

7. Especifique os mapeamentos de usuários e grupos.

Selecione Use custom para limitar o acesso associando usuários root ou todos os usuários a um usuário e um ID de grupo específicos. Para root squash, associe os usuários root ao nome de usuário nobody.

8. Localize a configuração Security Flavors. Defina o tipo de segurança que será usado. UNIX é a configuração padrão.

Clique em Use custom para selecionar um ou mais dos seguintes tipos de segurança:

• UNIX (sistema)• Kerberos5• Integridade Kerberos5• Privacidade Kerberos5

NOTA: O tipo de segurança padrão (UNIX) depende de uma rede confiável. Se você não confiar plenamente em tudo

o que há em sua rede, a prática recomendada será escolher uma opção de Kerberos. Se o sistema não oferecer

suporte a Kerberos, ele não estará totalmente protegido porque o NFS sem Kerberos confia em tudo o que há na rede

e envia todos os pacotes em texto sem formatação. Se você não puder usar Kerberos, deverá encontrar outra

maneira de proteger a conexão à Internet. No mínimo, faça o seguinte:

• Limite o acesso de root ao cluster para os endereços IP de host confiáveis.

• Certifique-se de que todos os novos dispositivos que você adicionar à rede sejam confiáveis. Os métodos para

garantir a confiança incluem, sem limitações, os seguintes:

• Use um túnel IPsec. Essa opção é muito segura porque autentica os dispositivos usando chaves seguras.

• Configure todas as portas de switch para ficarem inativas se forem desconectadas fisicamente. Além disso,

certifique-se de que as portas de switch sejam limitadas por MAC.

9. Clique em Show Advanced Settings para definir as configurações avançadas de exportações NFS.

Não altere as configurações avançadas, a menos que isso seja necessário e que você compreenda totalmente as consequências dessas alterações.

10. Clique em Save Changes.

A nova exportação NFS é criada e exibida no topo da lista NFS Exports.

Conceitos relacionados

NFS

Modificar uma exportação NFSVocê pode modificar as configurações das exportações NFS existentes.

CUIDADO: Alterar as configurações de exportações pode causar problemas de desempenho. Certifique-se de que você

compreende o possível impacto das alterações de configurações antes de salvá-las.

1. Selecione Protocols > UNIX Sharing (NFS) > NFS Exports.

2. Na lista NFS Exports, marque a caixa de seleção correspondente à exportação que deseja modificar e clique em View/Edit.

3. Clique em Edit Export.

4. Edite as configurações de exportação desejadas.

5. Clique em Show Advanced Settings para editar as configurações avançadas de exportação.

Recomenda-se que você não altere as configurações avançadas, a menos que isso seja necessário e que você compreenda totalmente as consequências dessas configurações.

6. Clique em Save Changes.

7. Clique em Close.

168 Compartilhamento de arquivos

Conceitos relacionados

NFS

Excluir uma exportação NFSÉ possível excluir as exportações NFS desnecessárias. Todas as conexões atuais do client NFS com essas exportações tornam-se inválidas.

NOTA: Você pode excluir todas as exportações em um cluster de uma vez. Clique na caixa de seleção Export ID/Path na

parte superior da lista NFS Exports e selecione Delete na lista drop-down à direita.

1. Selecione Protocols > UNIX Sharing (NFS) > NFS Exports.

2. Na lista NFS Exports, clique na caixa de seleção à esquerda da exportação que deseja excluir.

3. Clique em Delete.

4. Na caixa de diálogo de confirmação, clique em Delete para confirmar a operação.

Conceitos relacionados

NFS

Verificar as exportações NFS em busca de errosVocê pode verificar se há erros nas exportações NFS, como regras de exportação conflitantes, caminhos inválidos e nomes de host e netgroups não solucionados. Essa tarefa só pode ser realizada na interface de linha de comando do OneFS.

1. Estabeleça uma conexão SSH com qualquer nó do cluster.

2. Execute o comando isi nfs exports check.

No seguinte exemplo de resultado, nenhum erro foi encontrado:

ID Message--------------------Total: 0No seguinte exemplo de resultado, a exportação 1 contém um caminho de diretório que não existe no momento:

ID Message-----------------------------------1 '/ifs/test' does not exist-----------------------------------Total: 1

Exibir e definir as configurações de exportação NFS padrãoVocê pode visualizar e definir as configurações padrão de exportação NFS. As alterações dessas configurações se aplicarão a todas as novas exportações e todos os relatórios existentes que usam valores padrão.

NOTA: As alterações nas configurações padrão de exportação afetarão todas as exportações NFS atuais e futuras que

usam as configurações padrão. Alterar incorretamente essas configurações poderá afetar negativamente a

disponibilidade dos serviços de compartilhamento de arquivos do NFS. Recomenda-se que você não faça alterações das

configurações padrão, especialmente das configurações avançadas, a menos que tenha experiência em trabalhar com o

NFS. Em vez disso, você deve alterar as configurações conforme necessário para exportações NFS individuais à medida

que criá-las.

1. Selecione Protocols > UNIX Sharing (NFS) > Export Settings.As configurações comuns de exportações NFS são listadas na área Export Settings: Root User Mapping, Non-Root User Mapping, Failed User Mapping e Security Flavors. Modifique as configurações padrão que deseja aplicar a todas as novas exportações NFS ou aos relatórios existentes que usam os valores padrão.

2. Na área Advanced Export Settings, você pode editar as configurações avançadas.

Recomenda-se que você não altere as configurações avançadas, a menos que isso seja necessário e que você compreenda totalmente as consequências das alterações.

3. Clique em Save Changes.

Compartilhamento de arquivos 169

Conceitos relacionados

NFS

Configurações básicas de exportações NFSAs configurações básicas de exportação NFS são configurações globais que se aplicam a todas as exportações NFS novas que você criar.

As configurações básicas de exportação NFS são descritas na tabela a seguir.

Definição Valores padrão

Root User Mapping Usuário: mapear os usuários root ao usuário nobody

Primary Group: No primary group

Secondary Groups: No secondary groups

NOTA: As configurações padrão resultam em uma regra root squashing em que nenhum usuário no client NFS, mesmo um usuário root, pode obter privilégios root no servidor NFS.

Non-Root User Mapping User mapping é desativado por padrão. Recomenda-se que você especifique essa configuração por exportação, quando apropriado.

Failed User Mapping User mapping é desativado por padrão. Recomenda-se que você especifique essa configuração por exportação, quando apropriado.

Security Flavors As opções disponíveis incluem UNIX (system), a configuração padrão, Kerberos5, Kerberos5 Integrity e Kerberos5 Privacy.

Configurações de desempenho da exportação NFSVocê pode especificar as configurações para controlar o desempenho de exportações NFS.

A seguinte tabela descreve a categoria de desempenho de configurações de exportações NFS:

Configuração Descrição

Block Size (Tamanho do bloco) O tamanho do block usado para calcular o número de blocos de solicitaçõesFSSTAT de NFSv3 eGETATTR NFSv4. O valor padrão é 8192 bytes.

Commit Asynchronous Se definida como yes, permite que operações de COMMIT de NFSv3 e NFSv4 sejam assíncronas. O valor padrão é No.

Directory Transfer Size O tamanho da transferência de leitura de diretório preferencial para clients de NFSv3 e NFSv4. O valor padrão é 131072 bytes.

Read Transfer Max Size O número máximo do tamanho da transferência dos clients de NFSv3 e NFSv4. O valor padrão é 1048576 bytes.

Read Transfer Multiple O múltiplo do tamanho da transferência de leitura recomendado para clients de NFSv3 e NFSv4. O valor padrão é 512 bytes.

Read Transfer Preferred Size O tamanho relatado da transferência de leitura de preferência para clients de NFSv3 e NFSv4. O valor padrão é 131072 bytes.

Setattr Asynchronous Se definida como Yes, executará operações de atributo assincronamente. O valor padrão é No.

Write Datasync Action A ação a ser executada para gravações de DATASYNC. O valor padrão é DATASYNC.

Write Datasync Reply A resposta a ser enviada para gravações de DATASYNC. O valor padrão é DATASYNC.

Write Filesync Action A ação a ser executada para gravações de FILESYNC. O valor padrão é FILESYNC.

Write Filesync Reply A resposta a ser enviada para gravações de FILESYNC. O valor padrão é FILESYNC.

170 Compartilhamento de arquivos

Configuração Descrição

Write Transfer Max Size O tamanho máximo do tamanho da transferência de gravação relatado aos clients de NFSv3 e NFSv4. O valor padrão é 1048576 bytes.

Write Transfer Multiple O tamanho recomendado de transferência de gravação relatado aos clients de NFSv3 e NFSv4. O valor padrão é 512 bytes.

Write Transfer Preferred O tamanho de transferência de gravação preferencial relatado aos clients de NFSv3 e NFSv4. O valor padrão é 524288.

Write Unstable Action A ação a ser executada para gravações de UNSTABLE. O valor padrão é UNSTABLE.

Write Unstable Reply A resposta a ser enviada para gravações de UNSTABLE. O valor padrão é UNSTABLE.

Conceitos relacionados

NFS

Tarefas relacionadas

Configurar o compartilhamento de arquivos do NFS

Configurações da compatibilidade do client de exportações NFSAs configurações de compatibilidade do client de exportações NFS afetam a personalização de exportações NFS.

Essas configurações são descritas na tabela a seguir.

Configuração Valor da configuração

Max File Size Especifica o tamanho máximo permitido do arquivo. Essa configuração é informativa por natureza e é retornada ao client em uma resposta a uma solicitação de NFSv3 FSINFO ou NFSv4 GETATTR. O valor padrão é 9223372036854776000 bytes.

Readdirplus Enable Permite o uso do serviço readdirplus de NFSv3 em que um client pode enviar uma solicitação e informações estendidas recebidas sobre o diretório e os arquivos na exportação. O padrão é Yes.

Return 32 bit File IDs Especifica a devolução dos IDs de arquivo de 32 bits para o client. O padrão é No.

Conceitos relacionados

NFS

Tarefas relacionadas

Configurar o compartilhamento de arquivos do NFS

Configurações do comportamento da exportação NFSAs configurações do comportamento da exportação NFS controlam se os clients NFS podem executar determinadas funções no servidor NFS, como o ajuste de tempo.

As configurações do comportamento da exportação NFS são descritas na tabela a seguir.

Definição Descrição

Can Set Time Quando essa configuração é ativada, o OneFS permite que o client NFS defina vários atributos de tempo no servidor NFS. O valor padrão é Yes.

Codificação Sobrepõe as configurações gerais de codificação que o cluster tem para a exportação. O valor padrão é DEFAULT.

Compartilhamento de arquivos 171

Definição Descrição

Map Lookup UID Procura identificadores de usuário recebidos (UIDs) no banco de dados de autenticação local. O valor padrão é No.

Symlinks Informa ao client NFS que o file system dá suporte a tipos de arquivos de link simbólicos. O valor padrão é Yes.

Time Delta Define a granularidade do relógio do servidor. O valor padrão é 1e-9 seconds (0,000000001 segundo).

Conceitos relacionados

NFS

Tarefas relacionadas

Configurar o compartilhamento de arquivos do NFS

Gerenciando aliases de NFSVocê pode criar alias de NFS para simplificar as exportações a que os clients se conectam. Um alias de NFS associa um caminho de diretório absoluto a um caminho de diretório simples.

Por exemplo, suponha que você criou uma exportação NFS para /ifs/data/hq/home/archive/first-quarter/finance. Você pode criar o alias /finance1 para fazer o mapeamento a esse caminho de diretório.

Os alias do NFS podem ser criados em qualquer zona de acesso, inclusive na zona System.

Criar um alias de NFSVocê pode criar um alias de NFS para associar um caminho de diretório longo a um nome de caminho simples.

Os aliases devem ser formados por um caminho de diretório simples de estilo do Unix, por exemplo, /home.

1. Selecione Protocols > UNIX Sharing (NFS) > NFS Aliases.

2. Clique em Create Alias.

3. No campo Alias Name, digite um nome para o alias.

O nome do alias deve ser formado com um caminho simples no estilo do Unix com um elemento, por exemplo, /home.

4. No campo Path, digite o caminho completo ao qual o alias deve ser associado ou clique em Browse para pesquisar o caminho.

Se você já configurou as zonas de acesso no OneFS, o caminho completo deve começar com o root da zona de acesso atual.

5. Clique em Create Alias.

O nome, o status e o caminho do novo alias são mostrados na parte superior da lista NFS Aliases.

Modificar um alias NFSVocê pode modificar um alias NFS.

1. Selecione Protocols > UNIX Sharing (NFS) > NFS Aliases.

2. Na lista NFS Aliases, localize o alias que deseja modificar e, em seguida, clique emView/Edit.

3. Na caixa de diálogo View Alias Details, clique em Edit Alias.

4. No campo Alias Name, digite um novo nome para o alias.

O nome do alias deve ser formado com um caminho simples no estilo do Unix com um elemento, por exemplo, /home.

5. No campo Path, digite o caminho completo ao qual o alias deve ser associado ou clique em Browse para pesquisar o caminho.

Se você já configurou as zonas de acesso no OneFS, o caminho completo deve começar com o root da zona de acesso atual.

6. Clique em Save Changes.A caixa de diálogo View Alias Details será exibida e uma mensagem indicará que a alteração foi feita com sucesso.

7. Clique em Close.

O nome, o status e o caminho modificados do alias são exibidos na lista NFS Aliases.

172 Compartilhamento de arquivos

Excluir um alias NFSVocê pode excluir um alias NFS.

Se um alias NFS estiver associado a uma exportação NFS, a exclusão do alias pode desconectar os clients que usaram o alias para montar a exportação.

1. Selecione Protocols > UNIX Sharing (NFS) > NFS Aliases.

2. Marque a caixa de seleção correspondente ao alias que você deseja excluir e clique em More.

3. Clique em Delete.A caixa de diálogo Confirm Delete será exibida.

4. Clique em Delete.O alias é removido da lista NFS Aliases.

Listar aliases NFSVocê pode visualizar uma lista de aliases NFS que já foram definidos para uma zona específica. Os aliases da zona do sistema são listados por padrão.

• Selecione Protocols > UNIX Sharing (NFS) > NFS Aliases.A lista NFS Aliases é exibida e mostrará todos os aliases para a zona de acesso atual. Os nomes, os estados e os caminhos para todos os aliases são exibidos.

Exibir um alias NFSVocê pode exibir as configurações de um alias NFS.

1. Selecione Protocols > UNIX Sharing (NFS) > NFS Aliases.

2. Marque a caixa de seleção correspondente ao alias que deseja exibir e clique em View/Edit.A caixa de diálogo View Alias Details exibe as configurações associadas ao alias.

3. Quando terminar de visualizar o alias, clique em Close.

FTPO OneFS inclui um serviço seguro de FTP chamado vsftpd, que significa Very Secure FTP Daemon e pode ser configurado para transferências padrão de arquivos FTP e FTPS.

Tarefas relacionadas

Habilitar e configurar o compartilhamento de arquivos do FTP

Habilitar e configurar o compartilhamento de arquivos do FTPVocê pode configurar o serviço FTP para permitir que qualquer nó do cluster responda às solicitações de FTP via uma conta padrão de usuário.

É possível habilitar a transferência de arquivos entre servidores FTP remotos e permitir o serviço de FTP anônimo no root criando um usuário local denominado "anonymous" ou "ftp".

Ao configurar o acesso ao FTP, certifique-se de que o root especificado do FTP seja o diretório de usuário relacionado ao usuário que fizer log-in. Por exemplo, o root do FTP para o usuário local jsmith deve ser ifs/home/jsmith.

1. Clique em Protocols > FTP Settings.

2. Na área Service, selecione Enable FTP service.

3. Na área Settings, selecione uma ou mais das seguintes opções:

Opção Descrição

Enable anonymous access Permite que os usuários que tenham o nome de usuário "anonymous" ou "ftp" acessem arquivos e diretórios sem exigir autenticação. Essa configuração é desativada por padrão.

Compartilhamento de arquivos 173

Opção Descrição

Enable local access Permite que os usuários locais acessem arquivos e diretórios com seu nome de usuário e senha locais, e façam upload dos arquivos diretamente por meio do file system. Essa configuração é ativada por padrão.

Enable server-to-server transfers

Permite que os arquivos sejam transferidos entre dois servidores FTP remotos. Essa configuração é desativada por padrão.

4. Clique em Save Changes.

Conceitos relacionados

FTP

HTTP e HTTPSO OneFS inclui um serviço configurável de HTTP (Hypertext Transfer Protocol) que é usado para solicitar os arquivos que são armazenados no cluster e para interagir com a interface Web de administração.

O OneFS dá suporte a HTTP e a sua variante segura, HTTPS. Cada nó no cluster executa uma instância do servidor Apache HTTP para oferecer acesso HTTP. Você pode configurar o serviço HTTP para ser executado de modos diferentes.

O HTTP e o HTTPS são compatíveis com a transferência de arquivos, mas apenas o HTTPS é compatível com as chamadas API. O requisito somente HTTPS inclui uma interface de administração da Web. Além disso, o OneFS dá suporte a um tipo de protocolo WebDAV (Web Based DAV) que permite que os usuários modifiquem e gerenciem arquivos nos servidores remotos da Web. O OneFS realiza apresentações multimídia distribuídas, mas não dá suporte à atribuição de versões e não executa verificações de segurança. Você pode ativar o DAV na interface de administração da Web.

Tarefas relacionadas

Ativar e configurar o HTTP

Ativar e configurar o HTTPVocê pode configurar o HTTP e o DAV para permitir que os usuários editem e gerenciem arquivos de modo colaborativo nos servidores remotos da Web. Você só pode executar essa tarefa por meio da interface Web de administração do OneFS.

1. Clique em Protocols > HTTP Settings.

2. Na área Service, selecione uma das seguintes configurações:

Opção Descrição

Enable HTTP Permite o acesso a HTTP para administração do cluster e a procura de conteúdo no cluster.

Disable HTTP and redirect to the OneFS Web Administration interface

Permite somente o acesso administrativo à interface de administração da Web. Essa é a configuração padrão.

Disable HTTP Fecha a porta HTTP que é usada para o acesso a arquivos. Os usuários podem continuar acessando a interface de administração da Web especificando o número da porta na URL. A porta-padrão é 8080.

3. Na área Protocol Settings, no campo Document root directory, digite um nome de caminho ou clique em Browse para procurar um diretório existente em /ifs.

NOTA: O servidor HTTP é executado como o usuário e o grupo de daemon. Para impor devidamente os controles de

acesso, você deve conceder ao usuário ou ao grupo do daemon o acesso de leitura a todos os arquivos da raiz de

documentos e permitir que o servidor HTTP atravesse a raiz de documentos.

4. Na área Authentication Settings, na lista HTTP Authentication, selecione uma configuração de autenticação:

Opção Descrição

Off Desativa a autenticação HTTP.

Basic Authentication Only Ativa autenticação básica HTTP. As credenciais do usuário são enviadas em texto sem formatação.

174 Compartilhamento de arquivos

Opção Descrição

Integrated Authentication Only

Ativa a autenticação HTTP via NTLM, Kerberos ou ambos.

Integrated and Basic Authentication

Ativa a autenticação básica e integrada.

Basic Authentication with Access Controls

Ativa a autenticação HTTP básica e permite que o servidor da Web Apache execute verificações de acesso.

Integrated Authentication with Access Controls

Ativa a autenticação HTTP integrada via NTLM e Kerberos, e permite que o servidor da Web Apache execute verificações de acesso.

Integrated and Basic Authentication with Access Controls

Ativa a autenticação HTTP básica e a autenticação integrada, e permite que o servidor da Web Apache execute verificações de acesso.

5. Para permitir que vários usuários gerenciem e modifiquem arquivos colaborativamente nos servidores remotos da Web, selecione Enable WebDAV.

6. Selecione Enable access logging.

7. Clique em Save Changes.

Conceitos relacionados

HTTP e HTTPS

Compartilhamento de arquivos 175

Filtragem de arquivosEsta seção contém os seguintes tópicos:

Tópicos:

• Filtragem de arquivos em uma zona de acesso• Habilitar e configurar a filtragem de arquivos em uma zona de acesso• Modificar as configurações de filtragem de arquivos de uma zona de acesso• Exibir configurações de filtragem de arquivos

Filtragem de arquivos em uma zona de acessoEm uma zona de acesso, você pode usar a filtragem de arquivos para permitir ou negar gravações de arquivos com base no tipo de arquivo.

Se alguns tipos de arquivos causarem problemas de throughput, problemas de segurança, desorganização do armazenamento ou interrupções de produtividade em seu cluster, ou se suas organizações precisarem cumprir políticas específicas de arquivo, você poderá restringir as gravações aos tipos de arquivo especificados ou somente permitir gravações em uma lista especificada de tipos de arquivo. Quando você habilita a filtragem de arquivos em uma zona de acesso, o OneFS aplica as regras de filtragem de arquivos somente aos arquivos dessa zona de acesso.

• Se você optar por recusar gravações de arquivos, poderá especificar os tipos de arquivo que não podem ser gravados por extensão. O OneFS permite que todos os outros tipos de arquivo sejam gravados.

• Se você optar por permitir gravações de arquivos, poderá especificar os tipos de arquivo que podem ser gravados por extensão. O OneFS nega a gravação de todos os outros tipos de arquivo.

O OneFS não leva em consideração qual protocolo de compartilhamento de arquivos foi usado para se conectar à zona de acesso ao aplicar as regras de filtragem de arquivos; no entanto, você pode aplicar filtragem adicional no nível de compartilhamento de SMB. Consulte "Filtragem de arquivos de SMB" no capítulo Compartilhamento de arquivos deste guia.

Habilitar e configurar a filtragem de arquivos em uma zona de acessoVocê pode habilitar a filtragem de arquivos por zona de acesso e especificar a quais tipos de arquivo os usuários têm ou não acesso de gravação na zona de acesso.

1. Clique em Access > File Filter.

2. Na lista Current Access Zone, selecione a zona de acesso na qual deseja aplicar a filtragem de arquivos.

3. Selecione Enable file filters.

4. Na lista File Extensions, selecione um dos seguintes métodos de filtragem:

• Deny writes for list of file extensions• Allow writes for list of file extensions

5. Clique em Add file extensions.A caixa de diálogo Add File Extensions será exibida.

6. No campo File Extensions, digite a extensão do nome para o tipo de arquivo que deseja filtrar.

A extensão deve começar com um ponto ("."), como .txt.

7. Opcional: Clique em Add another file extension para inserir várias extensões.

8. Clique em Add Extensions.

9. Clique em Save Changes.

Conceitos relacionados

Filtragem de arquivos em uma zona de acesso

11

176 Filtragem de arquivos

Modificar as configurações de filtragem de arquivos de uma zona de acessoVocê pode modificar as configurações de filtragem de arquivos alterando o método de filtragem ou editando as extensões de arquivo.

1. Clique em Access > File Filter.

2. Na lista drop-down Current Access Zone, selecione a zona de acesso que deseja modificar.

3. Para desativar a filtragem de arquivos na zona de acesso, desmarque a caixa de seleção Enable file filters.

4. Para alterar o método de filtragem de arquivos, selecione um dos seguintes métodos de filtragem na lista File Extensions:

• Deny writes for list of file extensions• Allow writes for list of file extensions

5. Para adicionar uma nova extensão de arquivo, clique em Add file extensions, informe a extensão do nome e clique em Add Extensions.

6. Para remover a extensão do nome de um arquivo, clique no botão Remove Filter ao lado da extensão que gostaria de excluir.

7. Clique em Save Changes.

Conceitos relacionados

Filtragem de arquivos em uma zona de acesso

Exibir configurações de filtragem de arquivosVocê pode exibir as configurações de filtragem de arquivos de uma zona de acesso.

1. Clique em Access > File Filter.

2. Na lista drop-down Current Access Zone, selecione a zona de acesso que deseja modificar.As configurações da zona de acesso selecionada são exibidas na guia File Filter Settings.

Filtragem de arquivos 177

AuditoriaEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral das auditorias• Syslog• Eventos de auditoria de protocolos• Ferramentas compatíveis de auditoria• Entregando eventos de auditoria de protocolos a vários servidores CEE• Tipos de eventos compatíveis• Amostra de registro de auditoria• Gerenciando as configurações de auditoria• Integrando-se ao Common Event Enabler• Rastreando a entrega de eventos de auditoria de protocolos

Visão geral das auditoriasÉ possível auditar as alterações de configuração do sistema e a atividade de protocolos de um cluster do Isilon. Todos os dados de auditoria são armazenados e protegidos no file system do cluster e organizados por tópicos de auditoria.

A auditoria pode detectar muitas possíveis fontes de perda de dados, inclusive atividades fraudulentas, qualificações inadequadas e tentativas de acesso não autorizado. Os clientes dos setores como serviços financeiros, assistência médica, ciências biomédicas, mídia e entretenimento e de órgãos governamentais devem cumprir rígidos requisitos regulamentares desenvolvidos para proteção contra essas fontes de perda de dados.

A auditoria da configuração do sistema monitora e registra todos os eventos de configuração que são controlados pela API HTTP do OneFS. O processo envolve a auditoria da interface de linha de comando (CLI), da interface Web de administração e das APIs do OneFS. Ao ativar a auditoria da configuração do sistema, nenhuma configuração adicional será necessária. Os eventos de auditoria da configuração do sistema são armazenados nos diretórios de tópicos de auditoria config.

A auditoria de protocolos rastreia e armazena a atividade realizada por meio das conexões de protocolo SMB, NFS e HDFS. Você pode ativar e configurar a auditoria de protocolos para uma ou mais zonas de acesso de um cluster. Se você ativar a auditoria de protocolos para uma zona de acesso, os eventos de acesso a arquivos por meio dos protocolos SMB, NFS e HDFS serão registrados nos diretórios de tópicos de auditoria dos protocolos. Você pode especificar quais eventos farão log-in em cada zona de acesso. Por exemplo, talvez você queira auditar o conjunto padrão dos eventos protocol da zona de acesso System, mas auditar apenas as tentativas com sucesso de excluir arquivos de uma zona de acesso diferente.

Os eventos de auditoria são registrados nos nós individuais em que o client do SMB, NFS ou HDFS iniciou a atividade. Em seguida, os eventos são armazenados em um arquivo binário em /ifs/.ifsvar/audit/logs. Os registros são transmitidos automaticamente para um novo arquivo depois que o tamanho atinge 1 GB. Depois, os registros são compactados para reduzir o espaço.

O arquivo de log de auditoria protocol é consumido pelos aplicativos de auditoria que dão suporte ao Common Event Enabler (CEE).

SyslogO syslog é um protocolo usado para transmitir certas mensagens de notificação de eventos. Você pode configurar um cluster do Isilon para registrar os eventos de auditoria e encaminhá-los ao syslog usando o encaminhador de syslogs.

Por padrão, todos os eventos de protocolo que ocorrem em um nó específico são encaminhados ao arquivo /var/log/audit_protocol.log, independentemente da zona de acesso em que o evento foi originado. Por padrão, todos os eventos de auditoria de configuração são registrados em /var/log/audit_config.log.

O syslog é configurado com uma identidade que depende do tipo de evento de auditoria que está sendo enviado a ele. Ele usa a instalação daemon e um nível de prioridade info. Os eventos de auditoria de protocolos são registrados no syslog com a identidade audit_protocol. Os eventos de auditoria de configuração são registrados no syslog com a identidade audit_config.

12

178 Auditoria

Para configurar a auditoria em um cluster do Isilon, você deve ser um usuário root ou deve ser atribuído a uma função administrativa que inclua privilégios de auditoria (ISI_PRIV_AUDIT).

Encaminhamento de syslogsO encaminhador de syslogs é um daemon que, quando ativado, recupera os eventos de alterações de configuração e de auditoria de protocolos de uma zona de acesso e os encaminha ao syslog. Somente os eventos de falha e sucesso de auditoria definidos pelo usuário são qualificados a ser encaminhados ao syslog.

Em cada nó, há um daemon encaminhador de syslogs de auditoria em execução que fará o registro dos eventos de auditoria no daemon de syslog do mesmo nó.

Eventos de auditoria de protocolosPor padrão, as zonas de acesso auditadas monitoram apenas certos eventos do cluster Isilon, inclusive as tentativas com falha e com sucesso de acessar arquivos e diretórios.

Os eventos padrão rastreados são create, close, delete, rename e set_security.

Os nomes dos eventos gerados são livremente baseados no modelo de IRP (I/O Request Packet) do Windows, no qual todas as operações começam com um evento de criação para obter um identificador de arquivos. Um evento de criação é necessário antes de todas as operações de I/O, inclusive os seguintes: close, create, delete, get_security, read, rename, set_security e write. Um evento de encerramento (close) marca quando o client terminou de usar o identificador de arquivo que foi produzido por um evento de criação.

NOTA: Para os protocolos NFS e HDFS, os eventos rename e delete não podem ser colocados com os eventos create e

close.

Esses eventos armazenados internamente são convertidos em eventos que são encaminhados via CEE ao aplicativo de auditoria. Os recursos de exportação do CEE no OneFS realizam esse mapeamento. O CEE pode ser usado para se conectar a qualquer aplicativo de terceiros que ofereça suporte ao CEE.

NOTA: Ele não oferece suporte ao encaminhamento de eventos do protocolo HDFS a um aplicativo de terceiros.

Os diferentes clients de SMB, NFS e HDFS emitem solicitações diferentes, e as versões específicas de uma plataforma, como Windows ou Mac OS X, que usem SMB podem ser diferentes entre si. Do mesmo modo, as diferentes versões de um aplicativo, como Microsoft Word ou Windows Explorer, podem fazer solicitações de protocolo diferentes. Por exemplo, um client com uma janela aberta do Windows Explorer pode gerar muitos eventos se ocorrer uma atualização automática ou manual dessa janela. Os aplicativos emitem solicitações com as credenciais do usuário conectado, mas não se deve supor que todas as solicitações são ações propositais dos usuários.

Quando estiver ativada, a auditoria do OneFS fará o monitoramento de todas as alterações que forem feitas nos arquivos e diretórios dos compartilhamentos SMB, das exportações NFS e dos dados do HDFS.

Tarefas relacionadas

Habilitar a auditoria de acesso de protocolo

Configurar filtros de eventos de protocolo

Ferramentas compatíveis de auditoriaVocê pode configurar o OneFS para enviar registros de auditoria de protocolos aos servidores que oferecem suporte ao Common Event Enabler (CEE).

O CEE foi testado e verificado para funcionar em vários fornecedores de software de terceiros.NOTA: Recomendamos que você instale e configure aplicativos de auditoria de terceiros antes de ativar o recurso de

auditoria do OneFS. Caso contrário, todos os eventos que forem registrados serão encaminhados ao aplicativo de

auditoria e um grande acúmulo causará atrasos no recebimento dos eventos mais recentes.

Entregando eventos de auditoria de protocolos a vários servidores CEEO OneFS oferece suporte à entrega simultânea de eventos de auditoria de protocolos a vários servidores CEE que executam o serviço CEE.

Auditoria 179

É possível estabelecer até 20 conexões HTTP 1.1 em um subconjunto de servidores CEE. Cada nó de um cluster do Isilon Isilon pode selecionar até cinco servidores CEE para entrega. Os servidores CEE são compartilhados em uma configuração global e são configurados com o OneFS, adicionando o URI de cada servidor à configuração do OneFS.

Depois de configurar os servidores CEE, um nó de um cluster do Isilon selecionará os servidores CEE automaticamente em uma lista classificada de URIs do CEE. Os servidores são selecionados a partir do deslocamento do número lógico do nó contido na lista classificada. Quando um servidor CEE estiver indisponível, o próximo servidor disponível será selecionado na ordem classificada. Todas as conexões são distribuídas igualmente entre os servidores selecionados. Quando um nó for movido porque um servidor CEE estava indisponível anteriormente, serão feitas verificações de disponibilidade do servidor CEE a cada 15 minutos. O nó será movido de volta assim que o servidor CEE ficar disponível.

Estas são algumas práticas recomendadas antes de configurar os servidores CEE:

• Recomendamos que você somente ofereça um servidor CEE por nó. Somente será possível usar servidores CEE adicionais além do tamanho do cluster do Isilon quando o servidor CEE selecionado ficar off-line.

NOTA: Em uma configuração global, deve haver um servidor CEE por nó.

• Configure o servidor CEE e habilite a auditoria de protocolos ao mesmo tempo. Caso contrário, pode ser gerado um acúmulo de eventos, causando entregas fora do prazo durante um período.

Você também pode receber uma visão global do progresso da entrega dos eventos de auditoria de protocolos ou uma exibição do número lógico de nós do progresso, executando o comando isi audit progress view.

Tipos de eventos compatíveisÉ possível visualizar ou modificar os tipos de eventos que são examinados em uma zona de acesso.

Nome do evento

Exemplo de atividade do protocolo

Auditado por padrão Pode ser exportado por CEE

Não pode ser exportado por CEE

create • Criar um arquivo ou diretório• Abrir um arquivo, diretório ou

compartilhamento• Montar um compartilhamento• Excluir um arquivo

NOTA: Embora o protocolo SMB permita que você defina um arquivo para exclusão com a operação create, você deverá habilitar o evento delete para que a ferramenta de auditoria registre o evento.

X X

close • Fechar um diretório• Fechar um arquivo modificado

ou não modificado

X X

rename Renomear um arquivo ou diretório X X

excluir Excluir um arquivo ou diretório X X

set_security Tentar modificar as permissões de arquivo ou diretório

X X

read A primeira solicitação de leitura em um identificador de arquivo aberto

X

write A primeira solicitação de gravação em um identificador de arquivo aberto

X

180 Auditoria

Nome do evento

Exemplo de atividade do protocolo

Auditado por padrão Pode ser exportado por CEE

Não pode ser exportado por CEE

get_security O client lê as informações de segurança para um identificador de arquivo aberto

X

logon Solicitação de criação de sessão de SMB do client

X

logoff Log-off da sessão de SMB X

tree_connect Primeira tentativa do SMB de acessar um compartilhamento

X

Amostra de registro de auditoriaVocê pode visualizar os registros de auditoria de protocolos e de auditoria de configuração executando o comando isi_audit_viewer em qualquer nó do cluster do Isilon.

Você pode visualizar os registros de auditoria de acesso a protocolos executando isi_audit_viewer -t protocol. Já os registros de configuração do sistema podem ser visualizados executando isi_audit_viewer -t config. O seguinte resultado é um exemplo de um registro de configuração do sistema:

[0: Fri Jan 23 16:17:03 2015] {"id":"524e0928-a35e-11e4-9d0c-005056302134","timestamp":1422058623106323,"payload":"PAPI config logging started."}

[1: Fri Jan 23 16:17:03 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058623112992,"payload":{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/protocols/smb/shares","method":"POST","args":"","body":{"path": "/ifs/data", "name": "Test"}}}

[2: Fri Jan 23 16:17:05 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058625144567,"payload":{"status":201,"statusmsg":"Created","body":{"id":"Test"}}}

[3: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659345539,"payload":{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/audit/settings","method":"PUT","args":"","body":{"config_syslog_enabled": true}}}

[4: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659387928,"payload":{"status":204,"statusmsg":"No Content","body":{}}}Os eventos de auditoria da configuração são gerados em pares; um pré-evento é registrado antes de o comando ser executado e um pós-evento é registrado após o evento ser acionado. Os eventos de auditoria de protocolos são registrados como pós-eventos depois que uma operação é realizada. Os eventos de auditoria da configuração podem ser correlacionados pela correspondência do campo id.

O pré-evento sempre vem primeiro e contém as informações de token do usuário, o caminho da PAPI e os argumentos que foram transferidos à chamada PAPI. No evento 1, uma solicitação POST foi feita a /1/protocols/smb/shares com os argumentos path=/ifs/data e name=Test. O pós-evento contém o status de devolução do HTTP e todos os resultados exibidos no servidor.

Gerenciando as configurações de auditoriaVocê pode ativar e desativar as configurações de auditoria do acesso a protocolos e as definições da configuração do sistema, além de configurar a integração ao Common Event Enabler.

Habilitar a auditoria de acesso de protocoloVocê pode auditar o acesso aos protocolos SMB, NFS e HDFS por zona de acesso e, opcionalmente, encaminhar os eventos gerados ao Common Event Enabler (CEE) para exportação a produtos de terceiros.

Auditoria 181

NOTA: Já que cada evento auditado consome recursos do sistema, recomendamos que você configure zonas apenas

para os eventos que são necessários a seu aplicativo de auditoria. Além disso, recomendamos que você instale e

configure aplicativos de auditoria de terceiros antes de ativar o recurso de auditoria do OneFS. Caso contrário, o grande

acúmulo realizado por esse recurso pode fazer com que os resultados não sejam atualizados por um período

considerável.

1. Clique em Cluster Management > Auditing.

2. Na área Settings, marque a caixa de seleção Enable Protocol Access Auditing.

3. Na área Audited Zones, clique em Add Zones.

4. Na caixa de diálogo Select Access Zones, marque a caixa de seleção de uma ou mais zonas de acesso e, em seguida, clique em Add Zones.

5. Opcional: Na área Event Forwarding, especifique um ou mais servidores do CEE para os quais encaminhar eventos registrados.

a) No campo CEE Server URIs, digite o URI de cada servidor do CEE no pool de servidores do CEE.

O serviço de exportação do OneFS CEE utiliza o balanceamento de carga round-robin ao exportar eventos a vários servidores do CEE. Os URIs válidos começam com http:// e, se necessário, incluirão o número da porta e o caminho para o servidor do CEE, por exemplo, http://example.com:12228/cee.

b) No campo Storage Cluster Name, especifique o nome do cluster de armazenamento a ser usado ao encaminhar eventos de protocolo.

Geralmente, esse valor de nome é o nome da zona do SmartConnect, mas, nos casos em que o SmartConnect não estiver implementado, o valor deverá corresponder ao nome de host do cluster conforme o aplicativo de terceiros o reconhece. Se o campo for deixado em branco, os eventos de cada nó serão preenchidos com o nome do nó (nome do cluster + lnn). Esta configuração somente é necessária se for exigida por seu aplicativo de auditoria de terceiros.

NOTA: Embora esta etapa seja opcional, lembre-se de que eventos pendentes se acumularão independentemente

de os servidores do CEE estarem ou não configurados. Quando configurada, a transmissão do CEE começa com

os eventos pendentes mais antigos e passa para os eventos mais recentes em uma FIFO.

6. Clique em Save Changes.

Os seguintes eventos de protocolo são coletados por padrão para as zonas de acesso auditadas: create, close, delete, rename e set_security. Você pode modificar o conjunto de eventos que são auditados em uma zona de acesso executando o comando isi audit settings modify na interface de linha de comando. Como cada evento auditado consome recursos do sistema, é recomendável que você configure apenas zonas para os eventos que são necessários a seu aplicativo de auditoria.

Você pode modificar os tipos de eventos de acesso ao protocolo que serão auditados executando o comando isi audit settings modify. Também é possível ativar o encaminhamento de eventos de acesso a protocolo ao syslog, executando o comando isi audit settings modify com a opção --syslog-forwarding-enabled. Esses procedimentos somente estão disponíveis pela interface de linha de comando.

Conceitos relacionados

Eventos de auditoria de protocolos

Tarefas relacionadas

Encaminhar eventos de acesso a protocolos ao syslog

Encaminhar eventos de acesso a protocolos ao syslogVocê pode ativar ou desativar o encaminhamento de eventos auditados de acesso a protocolos ao syslog de cada zona de acesso. O encaminhamento não será ativado por padrão quando a auditoria de acesso a protocolos for ativada. Este procedimento somente está disponível pela interface de linha de comando.

Para ativar o encaminhamento de eventos de acesso a protocolos em uma zona de acesso, primeiro será necessário ativar a auditoria de acesso a protocolos na zona de acesso.

As opções --audit-success e --audit-failure definem os tipos de eventos que serão auditados, e a opção --syslog-audit-events define os tipos de evento que serão encaminhados ao syslog. Apenas os tipos de eventos auditados são qualificados para o encaminhamento ao syslog. Se o encaminhamento ao syslog estiver ativado, os eventos de acesso a protocolos serão gravados no arquivo /var/log/audit_protocol.log.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi audit settings modify com a opção --syslog-forwarding-enabled para ativar ou desativar o syslog de auditoria.

182 Auditoria

O seguinte comando ativa o encaminhamento dos eventos auditados de acesso a protocolos na zona de acesso zone3 e especifica que os únicos tipos de eventos encaminhados são os eventos close, create e delete:

isi audit settings modify --syslog-forwarding-enabled=yes --syslog-audit-events=close,create,delete --zone=zone3

O seguinte comando desativa o encaminhamento de eventos auditados de acesso a protocolos na zona de acesso zone3:

isi audit settings modify --syslog-forwarding-enabled=no --zone=zone3

Conceitos relacionados

Syslog

Encaminhamento de syslogs

Habilitar a auditoria de configuração do sistemaO OneFS pode auditar os eventos de configuração do sistema do cluster do Isilon. Todos os eventos de configuração que forem gerenciados pela API, inclusive gravações, modificações e exclusões, serão rastreados e registrados nos diretórios de tópicos de auditoria de configuração. Ao ativar ou desativar a auditoria da configuração do sistema, nenhuma configuração adicional será necessária.

Os eventos de configuração somente serão registrados em /var/log/audit_config.log se você tiver habilitado o encaminhamento de syslog para a auditoria da configuração. Os registros de alteração da configuração são preenchidos no tópico de configuração da área de armazenamento de back-end de auditoria, em /ifs/.ifsvar/audit.

NOTA: Os eventos de configuração não são encaminhados ao CEE (Common Event Enabler).

1. Clique em Cluster Management > Auditing.

2. Na área Settings, marque a caixa de seleção Enable Configuration Change Auditing.

3. Clique em Save Changes.

Você pode habilitar o encaminhamento das alterações de configuração do sistema ao syslog executando o comando isi audit settings global modify com a opção --config-syslog-enabled. Este procedimento somente está disponível pela interface de linha de comando.

Tarefas relacionadas

Encaminhar alterações de configuração do sistema ao syslog

Configurar o nome de host de auditoriaOpcionalmente, é possível configurar o nome de host de auditoria para alguns dos aplicativos de auditoria de terceiros que exigem um nome de host unificado. Se você não configurar um nome de host para esses aplicativos, os nós de um cluster do Isilon enviarão o nome do host como o nome do servidor ao servidor CEE. Caso contrário, o nome de host de auditoria configurado será usado como o nome do servidor global.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi audit settings global modify com a opção --hostname para definir o nome de host de auditoria.O seguinte comando configura mycluster como o nome de host de auditoria:

isi audit settings global modify --hostname=mycluster

Configurar zonas auditadas de protocolosSomente os eventos de auditoria de protocolos de uma zona auditada são capturados e enviados ao servidor CEE. Portanto, você deve configurar uma zona auditada de protocolos para enviar eventos de auditoria.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi audit settings global modify com a opção --audited-zones para configurar as zonas auditadas de protocolos.

Auditoria 183

O seguinte comando configura HomeDirectory e Misc como as zonas auditadas de protocolos:

isi audit settings global modify --audited-zones=HomeDirectory,Misc

Encaminhar alterações de configuração do sistema ao syslogVocê pode ativar ou desativar o encaminhamento das alterações de configuração do sistema no cluster do Isilon ao syslog, que é salvo em /var/log/audit_config.log. Este procedimento somente está disponível pela interface de linha de comando.

O encaminhamento não é ativado por padrão quando a auditoria de configurações do sistema está habilitada. Para ativar o encaminhamento das alterações de configuração do sistema ao syslog, primeiro você deve habilitar a auditoria de configurações do sistema no cluster.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi audit settings global modify com a opção --config-syslog-enabled para ativar ou desativar o encaminhamento das alterações de configuração do sistema.O seguinte comando ativa o encaminhamento das alterações de configuração do sistema ao syslog:

isi audit settings global modify --config-syslog-enabled=yes

O seguinte comando desativa o encaminhamento das alterações de configuração do sistema ao syslog:

isi audit settings global modify --config-syslog-enabled=no

Conceitos relacionados

Syslog

Encaminhamento de syslogs

Configurar filtros de eventos de protocoloVocê pode filtrar os tipos de eventos de acesso a protocolos que serão auditados em uma zona de acesso. É possível criar filtros para eventos bem-sucedidos e eventos com falha. Os eventos de protocolos a seguir são coletados por padrão para as zonas de acesso auditadas: create, delete, rename, close e set_security. Este procedimento somente está disponível pela interface de linha de comando.

Para criar filtros de eventos de protocolo, primeiro você deve habilitar a auditoria de acesso a protocolos na zona de acesso.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi audit settings modifyO seguinte comando cria um filtro que audita a falha dos eventos create, close e delete na zona de acesso zone3:

isi audit settings modify --audit-failure=create,close,delete --zone=zone3

O seguinte comando cria um filtro que audita o sucesso dos eventos create, close e delete na zona de acesso zone5:

isi audit settings modify --audit-success=create,close,delete --zone=zone5

Referências relacionadas

Tipos de eventos compatíveis

Integrando-se ao Common Event EnablerOneFS a integração ao Common Event Enabler (CEE) permite que os aplicativos de auditoria de terceiros coletem e analisem os registros de auditoria de protocolos.

OneFS oferece suporte ao componente Common Event Publishing Agent (CEPA) do CEE para Windows. Para fazer a integração ao OneFS, você deve instalar e configurar o CEE para Windows em um client compatível com o Windows.

184 Auditoria

NOTA: Recomendamos que você instale e configure aplicativos de auditoria de terceiros antes de ativar o recurso de

auditoria do OneFS. Caso contrário, o grande acúmulo realizado por esse recurso poderá fazer com que os resultados

não sejam atualizados por um período considerável.

Referências relacionadas

Ferramentas compatíveis de auditoria

Instalar o CEE para WindowsPara integrar o CEE ao OneFS, primeiramente, é necessário instalar o CEE em um computador que esteja executando o sistema operacional Windows.

Esteja preparado para extrair arquivos do arquivo .iso, como descrito nas etapas a seguir. Se você não estiver familiarizado com o processo, considere escolher um dos seguintes métodos:

1. Instalar o WinRAR ou outro programa adequado de arquivamento que possa abrir os arquivos .iso como um arquivamento, e copiar os arquivos.

2. Gravar a imagem em um CD-ROM e, depois, copiar os arquivos.3. Instalar o SlySoft Virtual CloneDrive, que permite que você monte uma imagem ISO como uma unidade a partir do qual é possível

copiar arquivos.

NOTA: Você deve instalar um mínimo de dois servidores. Recomendamos que você instale a CEE 6.6.0 ou mais recente.

1. Faça download do software de framework do CEE a partir do site de Suporte on-line:

a) Acesse Online Support.b) No campo de pesquisa, digite Common Event Enabler for Windows e clique no ícone Search.

c) Clique em Common Event Enabler <Version> for Windows, em que <Version> equivale à versão 6.2 ou posterior, e siga as instruções para abrir ou salvar o arquivo .iso.

2. A partir do arquivo .iso, extraia o arquivo executável EMC_CEE_Pack de 32 ou 64 bits de que você precisa.Após a conclusão da extração, o assistente de instalação do CEE será aberto.

3. Clique em Next para continuar à página License Agreement.

4. Selecione a opção I accept... para aceitar os termos do contrato de licença e clique em Next.

5. Na página Customer Information, informe seu nome de usuário e organização, selecione sua preferência de instalação e clique em Next.

6. Na página Setup Type, selecione Complete e clique em Next.

7. Clique em Install para iniciar a instalação.O progresso da instalação será exibido. Quando a instalação estiver concluída, a página InstallShield Wizard Completed será exibida.

8. Clique em Finish para sair do assistente.

9. Reinicie o sistema.

Conceitos relacionados

Integrando-se ao Common Event Enabler

Configurar o CEE para WindowsApós instalar o CEE for Windows em um computador client, você deverá definir as configurações adicionais pelo Editor de Registro do Windows (regedit.exe).

1. Abra o Editor de registro do Windows.

2. Configure as seguintes chaves de registro, se elas forem compatíveis com seu aplicativo de auditoria:

Configuração Local do registro Chave Valor

Porta de monitoramento de HTTP do CEE

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\Configuration] HttpPort 12228

Ativar pontos periféricos

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

Habilitado 1

Auditoria 185

Configuração Local do registro Chave Valor

remotos de auditoria

Auditar pontos periféricos remotos

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

EndPoint <ponto periférico>

NOTA:

• O valor HttpPort deve corresponder à porta dos URIs do CEE que você especificou durante a configuração de

auditoria de protocolos do OneFS.

• O valor EndPoint deve ter o formato <nome_ponto_periférico>@<endereço_IP>. Você pode especificar vários

pontos periféricos separando os valores com um ponto e vírgula (;).

A seguinte chave especifica um endpoint remoto único:

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint = AuditApplication@10.7.1.2A seguinte chave especifica vários endpoints remotos:

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint = AuditApplication@192.168.22.3;AuditApplication@192.168.33.2

3. Feche o Editor de registro do Windows.

Conceitos relacionados

Integrando-se ao Common Event Enabler

Configurar os servidores CEE para oferecer eventos de auditoria de protocolosÉ possível configurar os servidores CEE com o OneFS para oferecer eventos de auditoria de protocolos, adicionando o URI de cada servidor à configuração do OneFS.

• Execute o comando isi audit settings global modify com a opção --cee-server-uris para adicionar os URIs dos servidores CEE à configuração do OneFS.O seguinte comando adiciona os URIs de três servidores CEE à configuração do OneFS:

isi audit settings global modify --cee-server-uris=http://server1.example.com:12228/vee,http://server2.example.com:12228/vee,http://server3.example.com:12228/vee

Rastreando a entrega de eventos de auditoria de protocolosOs processos de captura de eventos de auditoria de protocolos e sua entrega ao servidor CEE não ocorrem ao mesmo tempo. Portanto, mesmo quando não houver servidores CEE disponíveis, os eventos de auditoria de protocolos ainda serão capturados e armazenados para serem entregues posteriormente ao servidor CEE.

Você pode exibir a hora do último evento capturado de auditoria de protocolos e a hora do último evento que foi enviado ao servidor CEE. Também é possível mover a posição de log do encaminhador do CEE para um período desejado.

Exibir os registros de data e hora da entrega de eventos ao servidor CEE e ao syslogVocê pode exibir os registros de data e hora da entrega de eventos ao servidor CEE e ao syslog no nó em que está executando o comando isi audit progress view.

Esta configuração somente está disponível pela interface de linha de comando.

186 Auditoria

• Execute o comando isi audit progress view para exibir os registros de hora da entrega de eventos ao servidor CEE e ao syslog no nó em que está executando o comando.Um resultado de amostra de isi audit progress view é exibido:

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016Você pode executar o comando isi audit progress view com a opção --lnn para exibir os registros de data e hora da entrega dos eventos de auditoria em um nó especificado por meio do número lógico de nó.

O seguinte comando exibe o progresso da entrega dos eventos de auditoria em um nó com o número lógico de nó 2:

isi audit progress view --lnn=2

O resultado exibido é semelhante ao seguinte:

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016

Mover a posição de registro do encaminhador do CEEÉ possível mover manualmente a posição de registro do encaminhador do CEE se o horário do evento no registro de auditoria indicar um atraso em relação ao horário atual. Essa ação moverá globalmente o horário do evento em todos os registros do encaminhador do CEE de um cluster do Isilon para o horário mais próximo.

NOTA: Os eventos que forem ignorados não serão encaminhados ao servidor CEE, mesmo que ainda estejam disponíveis

no cluster.

• Execute o comando isi audit settings global modify com a opção --cee-log-time para mover a posição do registro do encaminhador do CEE.O seguinte comando move manualmente a posição de registro do encaminhador do CEE:

isi audit settings global modify --cee-log-time='protocol@2016-01-27 01:03:02'

Exibir a taxa de entrega dos eventos de auditoria de protocolos ao servidor CEEÉ possível exibir a taxa de entrega dos eventos de auditoria de protocolos ao servidor CEE.

• Execute o comando isi statistics query para visualizar a taxa atual de entrega dos eventos de auditoria de protocolos ao servidor CEE de um nó.O seguinte comando exibe a taxa atual de entrega dos eventos de auditoria de protocolos ao servidor CEE:

isi statistics query current list --keys=node.audit.cee.export.rate

O resultado exibido é semelhante ao seguinte:

Node node.audit.cee.export.rate--------------------------------- 1 3904.600000---------------------------------Total: 1

Auditoria 187

SnapshotsEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral de snapshots• Proteção de dados com SnapshotIQ• Utilização do espaço em disco por snapshots• Agendamentos de snapshot• Aliases de snapshots• Restauração de arquivos e diretórios• Práticas recomendadas para criar snapshots• Práticas recomendadas para criar agendamentos de snapshot• Clones de arquivos• Bloqueios de snapshot• Reserva de snapshot• Funcionalidade da licença do SnapshotIQ• Criando snapshots com o SnapshotIQ• Gerenciando snapshots • Restaurando dados do snapshot• Gerenciando agendamentos de snapshot• Gerenciando aliases de snapshots• Gerenciamento com bloqueios de snapshot• Definir configurações do SnapshotIQ• Definir a reserva de snapshots• Gerenciando changelists

Visão geral de snapshotsUm snapshot do OneFS é um indicador lógico dos dados armazenados em um cluster em um point-in-time específico.

Para obter informações sobre snapshots, consulte o Guia de Administração do OneFS e o Guia de Administração da Interface de Linha de Comando do OneFS.

Proteção de dados com SnapshotIQVocê pode criar snapshots para proteger os dados com o módulo de software SnapshotIQ. Os snapshots protegem os dados contra exclusão e modificações acidentais permitindo a restauração de arquivos excluídos e modificados. Para criar o SnapshotIQ, você deve ativar uma licença do software no cluster.

Snapshots custam menos do que o backup de seus dados em um dispositivo de armazenamento físico separado em termos de tempo e consumo de armazenamento. O tempo necessário para mover os dados para outro dispositivo físico depende do volume de dados movidos, enquanto os snapshots são criados quase sempre de maneira instantânea, independentemente do volume de dados referenciados pelo snapshot. Além disso, como os snapshots ficam disponíveis localmente, em geral, os usuários finais podem restaurar seus dados sem precisarem de assistência de um administrador do sistema. Snapshots exigem menos espaço do que um backup remoto porque os dados inalteráveis são referenciados e em vez de recriados.

Os snapshots não protegem contra problemas de hardware ou do file system. Os snapshots fazem referência a dados armazenados em um cluster, portanto, se os dados contidos no cluster ficarem indisponíveis, os snapshots também estarão indisponíveis. Por isso, recomenda-se que você faça backup de seus dados em dispositivos físicos separados além de criar snapshots.

13

188 Snapshots

Utilização do espaço em disco por snapshotsO volume de espaço em disco que um snapshot consome depende do volume de dados armazenados pelo snapshot e o volume de dados aos quais o snapshot faz referência de outros snapshots.

Logo depois que o OneFS cria um snapshot, este consome uma quantidade insignificante de espaço em disco. O snapshot não consome espaço em disco adicional a menos que os dados referenciados pelo snapshot sejam modificados. Se os dados aos quais um snapshot fizer referência forem alterados, o snapshot armazenará cópias somente leitura dos dados originais. Um snapshot consome apenas o espaço que é necessário para restaurar o conteúdo de um diretório ao estado em que ele se encontrava quando o snapshot foi obtido.

Para reduzir a utilização do espaço em disco, os snapshots que fazem referência ao mesmo diretório fazem referência entre si, sendo que os snapshots mais antigos fazem referência aos snapshots mais recentes. Se um arquivo for excluído, e vários snapshots fizerem referência a ele, um só snapshot armazenará uma cópia do arquivo, e os outros snapshots farão referência ao arquivo a partir do snapshot que armazenou a cópia. O tamanho relatado de um snapshot reflete apenas o volume de dados armazenados pelo snapshot e não inclui o volume dos dados referidos pelo snapshot.

Como os snapshots não consomem determinado volume de espaço de armazenamento, não há necessidade de espaço disponível para criar um snapshot. O tamanho de um snapshot aumenta conforme os dados referidos por ele são alterados. Um cluster não pode conter mais de 20.000 snapshots.

Agendamentos de snapshotVocê pode gerar automaticamente snapshots de acordo com um agendamento.

Com os agendamentos de snapshot, você pode gerar snapshots de um diretório periodicamente sem a necessidade de criá-los manualmente todas as vezes. Também é possível atribuir um período de expiração que determine quando o SnapshotIQ excluirá cada snapshot gerado automaticamente.

Conceitos relacionados

Gerenciando agendamentos de snapshot

Práticas recomendadas para criar agendamentos de snapshot

Tarefas relacionadas

Criar um agendamento de snapshots

Aliases de snapshotsAlias de snapshot é um indicador lógico de um snapshot. Se você especificar um alias para um agendamento de snapshot, ele sempre indicará o snapshot mais recente gerado pelo agendamento. Atribuir um alias de snapshot permite que você identifique e acesse rapidamente o snapshot mais recente gerado de acordo com um agendamento de snapshot.

Se você permitir que os clients acessem os snapshots por meio de um alias, poderá reatribuir o alias para redirecionar os clients para outros snapshots. Além da atribuição de aliases a snapshots, você pode também pode atribuir aliases à versão ativa do file system. Isso poderá ser útil se os clients estiverem acessando snapshots por meio de um alias e você desejar redirecioná-los para a versão ativa do file system.

Restauração de arquivos e diretóriosVocê pode restaurar os arquivos e os diretórios que são mencionados por um alias de snapshot copiando os dados do snapshot, clonando um arquivo do snapshot ou invertendo todo o snapshot.

Copiar um arquivo de um snapshot duplica o arquivo, o que praticamente dobra a quantidade de espaço consumido. Mesmo se você excluir o arquivo original do diretório que não seja de snapshot, a cópia do arquivo permanece no snapshot.

A clonagem um arquivo de um snapshot também duplica o arquivo. No entanto, diferentemente da cópia, que consome imediatamente o espaço adicional no cluster, um clone não consome nenhum espaço adicional no cluster a menos que o clone ou o arquivo clonado seja modificado.

Reverter um snapshot substitui o conteúdo de um diretório pelos dados armazenados no snapshot. Antes que um snapshot seja revertido, o SnapshotIQ cria um snapshot do diretório que está sendo substituído, o que permite desfazer a reversão do snapshot posteriormente. Reverter um snapshot pode ser útil quando você deseja desfazer um grande número de alterações feitas nos arquivos e diretórios. Se os novos arquivos ou diretórios tiverem sido criados em um diretório desde que foi criado um snapshot do diretório, esses arquivos e diretórios serão excluídos quando o snapshot for revertido.

Snapshots 189

NOTA: Se você movimentar um diretório, não será possível inverter os snapshots do diretório que foram obtidos antes

da movimentação.

Práticas recomendadas para criar snapshotsConsidere as práticas recomendadas de snapshot a seguir ao trabalhar com um grande número de snapshots.

É recomendável não criar mais de 1.000 snapshots de um só diretório para evitar degradação no desempenho. Se você criar um snapshot de um diretório raiz, esse snapshot será contabilizado no número total de snapshots de todos os subdiretórios do diretório raiz. Por exemplo, ao criar 500 snapshots de /ifs/data e 500 snapshots de /ifs/data/media, você terá criado 1.000 snapshots de /ifs/data/media. Evite criar snapshots dos diretórios que já são referidos por outros snapshots.

É recomendável não criar mais de 1.000 links rígidos por arquivo em um snapshot para evitar degradação no desempenho. Sempre tente manter caminhos de diretórios o mais rasos possível. Quanto maior for a profundidade dos diretórios referidos por snapshots, maior será a degradação no desempenho.

A criação de snapshots de diretórios superiores em uma árvore de diretórios aumentará o tempo necessário para modificar os dados referenciados pelo snapshot e exigirá mais recursos de cluster para gerenciar o snapshot e o diretório. Entretanto, a criação de snapshots de diretórios inferiores em árvores de diretório exigirá mais agendamentos de snapshots, o que pode ser difícil de gerenciar. É recomendável não criar snapshots de /ifs nem de /ifs/data.

Você pode criar até 20.000 snapshots em um cluster por vez. Se seu workflow exigir um grande número de snapshots de maneira consistente, talvez você prefira gerenciar snapshots por meio da interface de linha de comando do OneFS e não por meio da interface Web de administração do OneFS. Na CLI, é possível aplicar uma ampla variedade de opções de classificação e filtragem e redirecionar listas para arquivos de texto.

Você deve marcar snapshots para exclusão quando eles não forem mais necessários e certificar-se de que o trabalho SnapshotDelete do sistema esteja habilitado. Desabilitar o trabalho SnapshotDelete impedirá a recuperação do espaço em disco não utilizado e também poderá causar degradação no desempenho ao longo do tempo.

Se o relógio do sistema estiver configurado para um fuso horário diferente do UTC (Coordinated Universal Time, horário universal coordenado), o SnapshotIQ modificará os períodos de duração dos snapshots para corresponder ao horário de verão. Após entrar no horário de verão, as durações dos snapshots são aumentadas uma hora para cumprir o horário de verão; ao sair do horário de verão, as durações dos snapshots são diminuídas uma hora para cumprir o horário padrão.

Práticas recomendadas para criar agendamentos de snapshotAs configurações de agendamento de snapshot podem ser categorizadas de acordo com a maneira como elas excluem os snapshots: exclusões ordenadas ou desordenadas.

Exclusão ordenada é a exclusão do snapshot mais antigo de um diretório. Exclusão desordenada é a exclusão de um snapshot que não é o mais antigo de um diretório. As exclusões desordenadas levam aproximadamente duas vezes mais tempo para serem concluídas e consomem mais recursos do cluster que as exclusões ordenadas. No entanto, as exclusões desordenadas podem economizar espaço retendo um número total de snapshots menor.

Os benefícios das exclusões desordenadas em comparação com as exclusões ordenadas dependem da frequência na qual os dados referenciados pelos snapshots são alterados. Se os dados forem alterados com frequência, as exclusões desordenadas economizarão espaço. Entretanto, se os dados permanecerem inalterados, as exclusões desordenadas provavelmente não economizarão espaço, e é recomendável que você execute exclusões ordenadas para liberar recursos do cluster.

Para executar exclusões ordenadas, atribua a mesma duração a todos os snapshots de um diretório. Os snapshots podem ser criados por um ou vários agendamentos de snapshot. Certifique-se sempre que não sejam criados mais de 1.000 snapshots de um diretório.

Para executar exclusões de snapshots desordenadas, crie vários agendamentos de snapshot para um só diretório e atribua diferentes períodos de retenção de snapshots a cada agendamento. Certifique-se de que todos os snapshots sejam criados ao mesmo tempo quando possível.

A seguinte tabela descreve os agendamentos de snapshot que seguem as práticas recomendadas:

Tabela 5. Configurações do agendamento de snapshot

Tipo de exclusão

Frequência de snapshots Tempo de snapshot Expiração do snapshot Máximo de snapshots retidos

Exclusão ordenada (para

A cada hora Começando às 00:00 e terminando às 11:59

1 mês 720

190 Snapshots

Tipo de exclusão

Frequência de snapshots Tempo de snapshot Expiração do snapshot Máximo de snapshots retidos

dados estáticos, principalmente)

Exclusão desordenada (para dados alterados com frequência)

Em horas alternadas Começando às 00:00 e terminando às 23:59

1 dia 27

Todos os dias Às 00:00 1 semana

A cada semana Sábado às 00:00 1 mês

Todos os meses O primeiro sábado do mês às 00:00

3 meses

Conceitos relacionados

Agendamentos de snapshot

Clones de arquivosO SnapshotIQ permite criar clones de arquivos que compartilham blocks com os arquivos existentes para economizar espaço no cluster. Um clone de arquivo geralmente consome menos espaço e leva menos tempo para ser criado do que uma cópia do arquivo. Embora você possa clonar arquivos de snapshots, os clones são usados principalmente internamente pelo OneFS.

Os blocks que são compartilhados entre um clone e um arquivo clonado são contidos em um arquivo oculto chamado armazenamento de sombra. Logo depois que um clone é criado, todos os dados originalmente contidos no arquivo clonado são transferidos para um armazenamento de sombra. Como os dois arquivos fazem referência a todos os blocks da área de armazenamento de sombra, os dois arquivos não consomem mais espaço que o arquivo original; o clone não requer espaço adicional no cluster. Entretanto, se o arquivo clonado ou o clone for alterado, eles compartilharão somente os blocks que forem comuns a ambos, e os blocks alterados e não compartilhado ocuparão espaço adicional no cluster.

Com o tempo, os blocks compartilhados contidos no armazenamento de sombra poderão ficar inúteis se nem o arquivo nem o clone fizer referência aos blocks. O cluster exclui rotineiramente os blocks que não são mais necessários. É possível forçar o cluster a excluir blocks não utilizados a qualquer momento, executando o trabalho ShadowStoreDelete.

Os clones não podem conter fluxos de dados alternativos (ADS). Se você clonar um arquivo que contenha fluxos de dados alternativos, o clone não os conterá.

Tarefas relacionadas

Clonar um arquivo de um snapshot

Considerações sobre área de armazenamento de sombraÁreas de armazenamento de sombra são arquivos ocultos referenciados por arquivos clonados e desduplicados. Os arquivos que fazem referência a áreas de armazenamento de sombra se comportam de maneira diferente de outros arquivos.

• A leitura de referências de áreas de armazenamento de sombra pode ser mais lenta que a leitura direta dos dados. Especificamente, ler referências de áreas de armazenamento de sombra não armazenadas em cache é mais lento do que ler dados que não estejam em cache. A leitura de referências de áreas de armazenamento de sombra em cache não leva mais tempo do que a leitura de dados em cache.

• Quando os arquivos que fazem referência a áreas de armazenamento de sombra são replicados em outro cluster Isilon ou é feito backup deles em um dispositivo de backup NDMP, as áreas de armazenamento de sombra não são transferidas para o cluster Isilon de destino nem para o dispositivo de backup. Os arquivos são transferidos como se contivessem os dados a que eles fazem referência das áreas de armazenamento de sombra. No cluster Isilon de destino ou no dispositivo de backup, os arquivos consomem a mesma quantidade de espaço que eles consumiriam se não fizessem referência a áreas de armazenamento de sombra.

• Ao criar um armazenamento de sombra, o OneFS atribui o armazenamento de sombra a um pool de armazenamento de um arquivo que referencia o armazenamento de sombra. Se você excluir o pool de armazenamento no qual reside uma área de armazenamento de sombra, este será movido para um pool ocupado por outro arquivo que faça referência ao armazenamento de sombra.

• O OneFS não exclui um block de armazenamento de sombra imediatamente após a exclusão da última referência ao block. Em vez disso, o OneFS espera até que o trabalho ShadowStoreDelete seja executado para excluir o block não referenciado. Se houver um número muito grande de blocks não referenciados no cluster, o OneFS poderá informar uma economia negativa com a desduplicação até que o trabalho ShadowStoreDelete seja executado.

Snapshots 191

• As áreas de armazenamento de sombra têm, pelo menos, o mesmo nível de proteção que o arquivo com proteção máxima que as referenciam. Por exemplo, se um arquivo que faça referência a uma área de armazenamento de sombra residir em um pool de armazenamento com 2 vezes mais proteção e outro arquivo que referencie a área de armazenamento de sombra residir em um pool de armazenamento com 3 vezes mais proteção, a área de armazenamento terá 3 vezes mais proteção.

• As cotas consideram os arquivos que fazem referência a áreas de armazenamento de sombra como se os arquivos contivessem os dados referenciados das áreas; do ponto de vista de uma cota, as referências das áreas de armazenamento de sombra não existem. Entretanto, se uma cota incluir sobrecarga de proteção de dados, ela não considerará a sobrecarga das áreas de armazenamento de sombra.

Bloqueios de snapshotUm bloqueio de snapshot impede que um snapshot seja excluído. Se um snapshot tiver um ou mais bloqueio aplicados a ele, não será possível excluí-lo e ele será chamado de snapshot bloqueado. Se o período de duração de um snapshot bloqueado expirar, o OneFS não excluirá o snapshot até que todos os bloqueios sejam excluídos.

O OneFS aplica bloqueios de snapshot para garantir que os snapshots gerados por aplicativos do OneFS não sejam excluídos prematuramente. Por esse motivo, é recomendável que você não exclua bloqueios de snapshot nem modifique o período de duração dos bloqueios.

Um número limitado de bloqueios pode ser aplicado a um snapshot por vez. Se você criar bloqueios de snapshot, talvez o limite de um snapshot seja atingido, e o OneFS não possa aplicar um bloqueio quando necessário. Por esse motivo, é recomendável que você não crie bloqueios de snapshot.

Conceitos relacionados

Gerenciamento com bloqueios de snapshot

Tarefas relacionadas

Criar um bloqueio de snapshot

Reserva de snapshotA reserva de snapshot permite de reservar um percentual mínimo da capacidade de armazenamento do cluster especificamente para snapshots. Se especificada, nenhuma outra operação do OneFS poderá acessar a porcentagem da capacidade do cluster que está reservada para snapshots.

NOTA: A reserva de snapshot não limita a quantidade de espaço que os snapshots podem consumir no cluster. Os

snapshots podem consumir um maior percentual de armazenamento especificado pela reserva de snapshots. É

recomendável que você não especifique uma reserva de snapshot.

Tarefas relacionadas

Definir a reserva de snapshots

Funcionalidade da licença do SnapshotIQVocê só poderá criar snapshots se ativar uma licença do SnapshotIQ em um cluster. No entanto, é possível visualizar os snapshots e os bloqueios de snapshot que são criados para uso interno pelo OneFS sem ativar uma licença do SnapshotIQ.

A seguinte tabela descreve qual funcionalidade de snapshot está disponível se a licença do SnapshotIQ estiver ativa:

Recurso Inactive Ativo

Criar snapshots e agendamentos de snapshot

Não Sim

Definir configurações do SnapshotIQ Não Sim

Exibir agendamentos de snapshot Sim Sim

Excluir snapshots Sim Sim

Acessar dados de snapshot Sim Sim

Exibir snapshots Sim Sim

192 Snapshots

Se a licença do SnapshotIQ ficar inativa, você não poderá criar novos snapshots, todos os agendamentos de snapshot serão desativados, e você não poderá modificar snapshots nem as respectivas configurações. No entanto, você ainda poderá excluir snapshots e acessar os dados contidos neles.

Criando snapshots com o SnapshotIQPara criar snapshots, você deve configurar a licença do SnapshotIQ no cluster. É possível criar snapshots definindo um agendamento ou gerando manualmente um snapshot individual.

Os snapshots manuais são úteis quando se deseja criar imediatamente um snapshot, ou em um momento que não esteja especificado em um agendamento de snapshot. Por exemplo, se você pretende fazer alterações no file system, mas não sabe as consequências, pode capturar o estado atual do file system em um snapshot antes de fazer a alteração.

Antes de criar snapshots, considere que a reversão de um snapshot exige que um domínio SnapRevert exista para o diretório que está sendo revertido. Se você pretende reverter snapshots para um diretório, recomenda-se criar domínios SnapRevert para esses diretórios quando eles estiverem vazios. Criar um domínio para um diretório que contenha menos dados leva menos tempo.

Criar um domínio SnapRevertPara que você possa reverter um snapshot que contenha um diretório, você deverá criar um domínio SnapRevert para o diretório. É recomendável que você crie domínios SnapRevert para um diretório enquanto ele estiver vazio.

O caminho da raiz do domínio SnapRevert deve ser o mesmo caminho raiz do snapshot. Por exemplo, um domínio com um caminho da raiz /ifs/data/media não pode ser usado para reverter um snapshot com um caminho da raiz de /ifs/data/media/archive. Para reverter /ifs/data/media/archive, você deve criar um domínio SnapRevert com um caminho da raiz de /ifs/data/media/archive.

1. Clique em Cluster Management > Job Operations > Job Types.

2. Na área Job Types, na linha DomainMark, coluna Actions, selecione Start Job.

3. No campo Domain Root Path, digite o caminho de um diretório raiz de snapshots.

4. Na lista Type of domain, selecione SnapRevert.

5. Certifique-se de que a caixa de seleção Delete this domain esteja desmarcada.

6. Clique em Start Job.

Criar um agendamento de snapshotsVocê pode criar um agendamento de snapshot para gerar continuamente snapshots de diretórios.

1. Clique em Data Protection > SnapshotIQ > Snapshot Schedules.

2. Clique em Create a Schedule.A caixa de diálogo Create a Schedule será exibida.

3. Opcional: No campo Schedule Name, digite um nome para o agendamento de snapshot.

4. Opcional: No campo Naming pattern for Generated Snapshots, digite um padrão de nomenclatura. A cada snapshot que seja gerado de acordo com esse agendamento será atribuído um nome com base no padrão.

Por exemplo, o seguinte padrão de nomenclatura é válido:

WeeklyBackup_%m-%d-%Y_%H:%M

O exemplo produz nomes semelhantes ao seguinte:

WeeklyBackup_07-13-2014_14:21

5. No campo Path, especifique o diretório que você deseja incluir nos snapshots que forem gerados de acordo com esse agendamento.

6. Na lista Schedule, selecione a frequência em que você deseja gerar snapshots de acordo com o agendamento.

Gere snapshots todos os dias ou ignore a geração de snapshots por um número específico de dias.

Selecione Daily e especifique a frequência com que deseja gerar snapshots.

Gere snapshots em dias específicos da semana e, opcionalmente, ignore a geração de snapshots por um número específico de semanas.

Selecione Weekly e especifique a frequência com que deseja gerar snapshots.

Snapshots 193

Gere snapshots em dias específicos do mês e, opcionalmente, ignore a geração de snapshots por um número específico de meses.

Selecione Monthly e especifique a frequência com que deseja gerar snapshots.

Gerar snapshots em dias específicos do ano. Selecione Yearly e especifique a frequência com que deseja gerar snapshots.

NOTA: Um agendamento de snapshot não pode abranger vários dias. Por exemplo, você não pode especificar para

que a geração de snapshots comece às 17:00 de segunda-feira e termine às 5:00 de terça-feira. Para gerar snapshots

de maneira contínua por um período maior que um dia, você deve criar dois agendamentos de snapshot. Por exemplo,

para gerar snapshots das 17 horas de segunda-feira até às 17 horas de terça-feira, crie um agendamento que gere

snapshots das 17 horas às 23h59 na segunda-feira, e outro agendamento que gere snapshots da 0 hora às 17 horas de

terça-feira.

7. Opcional: Para atribuir um nome alternativo ao snapshot mais recente que foi gerado pelo agendamento, especifique um alias de snapshot.

a) Ao lado de Create an Alias, clique em Yes.b) Para modificar o nome do alias de snapshot padrão, no campo Alias Name, digite um nome alternativo para o snapshot.

8. Opcional: Para especificar um período durante o qual os snapshots que forem gerados de acordo com o agendamento serão mantidos antes de serem excluídos pelo OneFS, especifique um período de expiração.

a) Ao lado de Snapshot Expiration, selecione Snapshots expire.b) Ao lado de Snapshots expire, especifique o período durante o qual você deseja manter os snapshots que foram gerados de

acordo com o agendamento.

9. Clique em Create Schedule.

Conceitos relacionados

Práticas recomendadas para criar agendamentos de snapshot

Referências relacionadas

Padrões de nomenclatura de snapshots

Criar um snapshotÉ possível criar um snapshot de um diretório.

1. Clique em Data Protection > SnapshotIQ > Snapshots.

2. Clique em Create a Snapshot.A caixa de diálogo Create a Snapshot será exibida.

3. Opcional: No campo Snapshot Name, digite um nome para o snapshot.

4. No campo Path, especifique o diretório que o snapshot deverá conter.

5. Opcional: Para criar um nome alternativo para o snapshot, selecione Create a snapshot alias e, em seguida, digite o nome do alias.

6. Opcional: Para atribuir uma data na qual o OneFS excluirá o snapshot automaticamente, especifique um período de expiração.

a) Selecione Snapshot Expires on.b) No calendário, especifique o dia em que você deseja que o snapshot seja excluído automaticamente.

7. Clique em Create Snapshot.

Referências relacionadas

Informações do snapshot

Padrões de nomenclatura de snapshotsSe você agendar a geração automática de snapshots, seja de acordo com um agendamento de snapshot ou com uma política de replicação, é necessário atribuir um padrão de nomenclatura que determina os nomes dos snapshots. Os padrões de nomenclatura dos snapshots contêm variáveis que incluem informações sobre como e quando o snapshot foi criado.

As seguintes variáveis podem ser incluídas em um padrão de nomenclatura de snapshots:

194 Snapshots

Variável Descrição

%A O dia da semana.

%a O dia da semana abreviado. Por exemplo, se o snapshot for gerado no domingo, %a será substituída por Sun.

%B O nome do mês.

%b O nome do mês abreviado. Por exemplo, se o snapshot for gerado em setembro, %b será substituída por Sep.

%C Os primeiros dois dígitos do ano. Por exemplo, se o snapshot for criado em 2014, %C será substituído por 20.

%c A hora e o dia. Esta variável é equivalente a especificar %a %b %e %T %Y.

%d O dia do mês com dois dígitos.

%e O dia do mês. Um dia com um só dígito é precedido por um espaço em branco.

%F A data. Esta variável é equivalente a especificar %Y-%m-%d.

%G O ano. Esta variável é equivalente a especificar %Y. Entretanto, se o snapshot for criado em uma semana que tenha menos de quatro dias no ano atual, o ano que contém a maioria dos dias da semana será exibido. O primeiro dia da semana é calculado como segunda-feira. Por exemplo, se um snapshot for criado no domingo, 1º de janeiro de 2017, %G será substituída por 2016, porque somente um dia dessa semana está em 2017.

%g O ano abreviado. Esta variável é equivalente a especificar %y. Entretanto, se o snapshot for criado em uma semana que tenha menos de quatro dias no ano atual, o ano que contém a maioria dos dias da semana é exibido. O primeiro dia da semana é calculado como segunda-feira. Por exemplo, se um snapshot for criado no domingo, 1º de janeiro de 2017, %g será substituída por 16, porque somente um dia dessa semana está em 2017.

%H A hora. O horário é representado no formato de 24 horas. As horas com um só dígito são precedidas por zero. Por exemplo, se um snapshot for criado à 1h45, %H será substituída por 01.

%h O nome do mês abreviado. Esta variável é equivalente a especificar %b.

%I A hora representada no formato de 12 horas. As horas com um só dígito são precedidas por zero. Por exemplo, se um snapshot for criado às 13h45, %l será substituída por 01.

%j O dia numérico do ano. Por exemplo, se um snapshot for criado em 1º de fevereiro, %j será substituída por 32.

%k A hora representada no formato de 24 horas. As horas com um só dígito são precedidas por um espaço em branco.

%l A hora representada no formato de 12 horas. As horas com um só dígito são precedidas por um espaço em branco. Por exemplo, se um snapshot for criado à 1:45, %l será substituída por 1.

%M O minuto com dois dígitos.

%m O mês com dois dígitos.

%p AM ou PM.

%{PolicyName} O nome da política de replicação para a qual o snapshot foi criado. Esta variável somente é válida se você especificar um padrão de nomenclatura de snapshots para uma política de replicação.

%R O horário. Esta variável é equivalente a especificar %H:%M.

Snapshots 195

Variável Descrição

%r O horário. Esta variável é equivalente a especificar %I:%M:%S%p.

%S O segundo com dois dígitos.

%s O segundo representado em horário UNIX ou POSIX.

%{SrcCluster} O nome do cluster de origem da política replicação para a qual o snapshot foi criado. Esta variável somente é válida se você especificar um padrão de nomenclatura de snapshots para uma política de replicação.

%T O horário. Esta variável é equivalente a especificar %H:%M:%S%U A semana numérica do ano com dois dígitos. Os números variam de

00 a 53. O primeiro dia da semana é calculado como domingo.

%u O dia numérico da semana. Os números variam de 1 a 7. O primeiro dia da semana é calculado como segunda-feira. Por exemplo, se um snapshot for criado no domingo, %u é substituído por 7.

%V A semana numérica com dois dígitos do ano em que o snapshot foi criado. Os números variam de 01 a 53. O primeiro dia da semana é calculado como segunda-feira. Se a semana de 1º de janeiro tiver quatro dias ou mais, a semana é contada como a primeira semana do ano.

%v O dia em que o snapshot foi criado. Esta variável é equivalente a especificar %e-%b-%Y.

%W A semana numérica com dois dígitos do ano em que o snapshot foi criado. Os números variam de 00 a 53. O primeiro dia da semana é calculado como segunda-feira.

%w O dia numérico da semana em que o snapshot foi criado. Os números variam de 0 a 6. O primeiro dia da semana é calculado como domingo. Por exemplo, se o snapshot for criado no domingo, %w será substituída por 0.

%X O horário em que o snapshot foi criado. Esta variável é equivalente a especificar %H:%M:%S.

%Y O ano em que o snapshot foi criado.

%y Os últimos dois dígitos do ano em que o snapshot foi criado. Por exemplo, se o snapshot for criado em 2014, %y será substituída por 14.

%Z O fuso horário em que o snapshot foi criado.

%z A diferença do horário universal coordenado (UTC) do fuso horário em que o snapshot foi criado. Se for precedido por um sinal de mais, o fuso horário estará a leste do UTC. Se for precedido por um sinal de menos, fuso horário está a oeste do UTC.

%+ A hora e data em que o snapshot foi criado. Esta variável é equivalente a especificar %a %b %e %X %Z %Y.

%% Remove um sinal de porcentagem. Por exemplo, 100%% será substituído por 100%.

Gerenciando snapshotsVocê pode excluir e visualizar snapshots. Você também pode alterar o nome, o período de duração e o alias de um snapshot existente. Entretanto, não é possível modificar os dados contidos em um snapshot, pois eles são somente leitura.

196 Snapshots

Reduzindo o uso de espaço em disco dos snapshotsSe vários snapshots contiverem os mesmos diretórios, a exclusão de um dos snapshots talvez não libere todo o espaço relatado pelo sistema como o tamanho do snapshot. O tamanho de um snapshot é o volume máximo de dados que poderá ser liberado se o snapshot for excluído.

A exclusão de um snapshot libera apenas o espaço que é utilizado exclusivamente por esse snapshot. Se dois snapshots fizerem referência aos mesmos dados armazenados, eles não serão liberados até que os snapshots sejam excluídos. Lembre-se de que os snapshots armazenam os dados contidos em todos os subdiretórios do diretório raiz; se o snapshot_one contiver /ifs/data/, e o snapshot_two contiver /ifs/data/dir, é bem provável que eles compartilhem os dados.

Se você excluir um diretório e recriá-lo, um snapshot que contiver o diretório armazenará todo o diretório recriado, mesmo se os arquivos contidos nesse diretório nunca forem alterados.

É mais provável que a exclusão de vários snapshots que contenham os mesmos diretórios libere dados do que a exclusão de vários snapshots que contenham diretórios diferentes.

Se vários snapshots contiverem os mesmos diretórios, será mais provável que a exclusão dos snapshots mais antigos libere espaço em disco do que a exclusão de snapshots mais novos.

Os snapshots com datas de expiração são automaticamente marcados para exclusão pelo daemon de snapshot. Se o daemon estiver desabilitado, os snapshots não serão excluídos automaticamente pelo sistema. Recomenda-se que você não desabilite o daemon de snapshot.

Excluir snapshotsÉ possível excluir um snapshot se você não desejar mais acessar os dados contidos nele.

Quando o trabalho SnapshotDelete é executado, o OneFS libera o espaço em disco que é ocupado pelos snapshots excluídos. Além disso, se você excluir um snapshot que contenha clones ou arquivos clonados, os dados em uma área de armazenamento de sombra poderão não ser mais referenciados pelos arquivos no cluster; quando o trabalho ShadowStoreDelete é executado, o OneFS exclui dados não referenciados em uma área de armazenamento de sombra. O OneFS executa rotineiramente os trabalhos ShadowStoreDelete e SnapshotDelete. No entanto, você também pode executar manualmente os trabalhos a qualquer momento.

1. Clique em Data Protection > SnapshotIQ > Snapshots.

2. Na lista de snapshots, selecione os snapshots que deseja excluir.

a) Na lista Select an action, selecione Delete.b) Na caixa de diálogo de confirmação, clique em Delete.

3. Opcional: Para aumentar a velocidade com que os dados do snapshot excluído são liberados no cluster, execute o trabalho SnapshotDelete.

a) Clique em Cluster Management > Job Operations > Job Types.b) Na área Job Types, localize SnapshotDelete e, em seguida, clique em Start Job.

A caixa de diálogo Start a Job será exibida.c) Clique em Start Job.

4. Opcional: Para aumentar a velocidade na qual os dados excluídos que são compartilhados entre arquivos desduplicados e clonados são liberados no cluster, execute o trabalho ShadowStoreDelete.

Execute o trabalho ShadowStoreDelete somente depois que você executar o trabalho SnapshotDelete.

a) Clique em Cluster Management > Job Operations > Job Types.b) Na área Job Types, localize ShadowStoreDelete e, em seguida, clique em Start Job.

A caixa de diálogo Start a Job será exibida.c) Clique em Start Job.

Conceitos relacionados

Utilização do espaço em disco por snapshots

Reduzindo o uso de espaço em disco dos snapshots

Práticas recomendadas para criar snapshots

Modificar os atributos do snapshotVocê pode modificar o nome e a data de expiração de um snapshot.

1. Clique em Data Protection > SnapshotIQ > Snapshots.

Snapshots 197

2. Na lista de snapshots, localize o snapshot que deseja modificar e clique em View/Edit.A caixa de diálogo View Snapshot Details será exibida.

3. Clique em Edit.A caixa de diálogo Edit Snapshot Details será exibida.

4. Modifique os atributos que deseja alterar.

5. Clique em Save Changes.

Referências relacionadas

Informações do snapshot

Atribuir um alias de snapshot a um snapshotVocê pode atribuir um alias de snapshots a um snapshot.

1. Clique em Data Protection > SnapshotIQ > Snapshots.

2. Na tabela Snapshot Aliases, na linha de um alias, clique em View/Edit.

3. Na área Alias Name, clique em Edit.

4. No campo Alias Name, digite um novo nome de alias.

5. Clique em Salvar.

Referências relacionadas

Informações do snapshot

Exibir snapshotsVocê pode exibir uma lista de snapshots.

Clique em Data Protection > SnapshotIQ > Snapshots.Os snapshots serão listados na tabela Snapshots.

Referências relacionadas

Informações do snapshot

Informações do snapshotVocê pode visualizar informações sobre os snapshots, inclusive o volume total de espaço consumido por todos os snapshots.

As seguintes informações são exibidas na área Saved Snapshots:

Saved Snapshots Exibe o número total de snapshots existentes no cluster.

Snapshots Pending Deletion

Exibe o número total de snapshots que foram excluídos no cluster desde a execução do último trabalho de exclusão de snapshots. O espaço que é consumido pelos snapshots excluídos só é liberado quando o trabalho snapshot delete é executado novamente.

Snapshot Aliases Exibe o número total de aliases de snapshots que existem no cluster.

Capacity Used by Snapshots

Indica o volume total de espaço que é consumido por todos os snapshots.

Tarefas relacionadas

Criar um snapshot

Modificar os atributos do snapshot

Atribuir um alias de snapshot a um snapshot

Exibir snapshots

198 Snapshots

Restaurando dados do snapshotVocê pode restaurar dados de snapshot por vários métodos. É possível reverter um snapshot ou acessar dados de snapshots por meio dos respectivos diretórios.

No diretório de snapshots, você pode clonar um arquivo ou copiar um diretório ou arquivo. O diretório de snapshots pode ser acessado por meio do Windows Explorer ou da linha de comando do UNIX. Para qualquer um desses métodos, você pode desabilitar e habilitar o acesso ao diretório de snapshots pelas configurações de snapshots.

Reverter um snapshotVocê pode reverter um diretório de volta ao estado em que ele se encontrava quando um snapshot foi obtido. Antes de o OneFS inverter um snapshot, ele gerará um snapshot do diretório que está sendo invertido para que os dados armazenados no diretório não sejam perdidos. O OneFS não exclui um snapshot após a reversão.

• Crie um domínio SnapRevert para o diretório.• Crie um snapshot de um diretório.

1. Clique em Cluster Management > Job Operations > Job Types.

2. Na tabela Job Types, localize o trabalho SnapRevert e clique em Start Job.A caixa de diálogo Start a Job será exibida.

3. Opcional: Para especificar uma prioridade para o trabalho, na lista Priority, selecione uma prioridade.

Os valores inferiores indicam uma prioridade maior. Se você não especificar uma prioridade, o trabalho receberá a prioridade de reversão de snapshot padrão.

4. Opcional: Para especificar o volume de recursos de cluster que o trabalho pode consumir, na lista Impact Policy, selecione uma política de impacto.

Se você não especificar uma política, o trabalho receberá a política de reversão de snapshot padrão.

5. No campo Snapshot ID to revert, digite o nome ou o ID do snapshot que deseja inverter e clique em Start Job.

Tarefas relacionadas

Criar um domínio SnapRevert

Restaurar um arquivo ou diretório usando o Windows ExplorerSe o Microsoft Shadow Copy Client estiver instalado no computador, você poderá usá-lo para restaurar os arquivos e diretórios que estiverem armazenados em snapshots.

Esse método de restaurar arquivos e diretórios não preserva as permissões originais. Em vez disso, ele atribui o arquivo ou diretório às mesmas permissões do diretório ao qual você está copiando esse arquivo ou diretório. Para preservar as permissões e, ao mesmo tempo, restaurar os dados de um snapshot, execute o comando cp com a opção -a em uma linha de comando do UNIX.

NOTA: Você pode acessar até 64 snapshots de um diretório por meio do Windows Explorer, começando com o snapshot

mais recente. Para obter mais de 64 snapshots para um diretório, acesse o cluster por meio de uma linha de comando do

UNIX.

1. No Windows Explorer, navegue até o diretório que você deseja restaurar ou para o diretório que contém o arquivo que você deseja restaurar.

Se o diretório for excluído, você precisará recriá-lo.

2. Clique com o botão direito do mouse na pasta e clique em Properties.

3. Na caixa de diálogo Properties, clique na guia Previous Versions.

4. Selecione a versão da pasta que você deseja restaurar ou a versão da pasta que contém a versão do arquivo que você deseja restaurar.

5. Restaure a versão do arquivo ou do diretório.

• Para restaurar todos os arquivos no diretório selecionado, clique em Restore.• Para copiar o diretório selecionado em outro local, clique em Copy e especifique um local no qual copiar o diretório.• Para restaurar um arquivo específico, clique em Open e copie o arquivo no diretório original, substituindo a cópia existente pela

versão do snapshot.

Snapshots 199

Restaurar um arquivo ou um diretório por meio da linha de comando do UNIXVocê pode restaurar um arquivo ou um diretório de um snapshot por meio de uma linha de comando do UNIX.

1. Abra uma conexão com o cluster por meio de uma linha de comando do UNIX.

2. Opcional: Para visualizar o conteúdo do snapshot do qual você deseja restaurar um arquivo ou diretório, execute o comando ls para um diretório contido no diretório raiz dos snapshots.Por exemplo, o seguinte comando exibe o conteúdo do diretório /archive contido em Snapshot2014Jun04:

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. Copie o arquivo ou o diretório usando o comando cp.Por exemplo, o seguinte comando cria uma cópia do arquivo file1:

cp -a /ifs/.snapshot/Snapshot2014Jun04/archive/file1 \ /ifs/archive/file1_copy

Clonar um arquivo de um snapshotVocê pode clonar um arquivo de um snapshot.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Para visualizar o conteúdo do snapshot do qual você deseja restaurar um arquivo ou diretório, execute o comando ls para um subdiretório do diretório raiz dos snapshots.

Por exemplo, o seguinte comando exibe o conteúdo do diretório /archive contido em Snapshot2014Jun04:

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. Clone um arquivo do snapshot executando o comando cp com a opção -c.

Por exemplo, o seguinte comando clona o arquivo test.txt de Snapshot2014Jun04:

cp -c /ifs/.snapshot/Snapshot2014Jun04/archive/test.txt \/ifs/archive/test_clone.text

Conceitos relacionados

Clones de arquivos

Gerenciando agendamentos de snapshotVocê pode modificar, excluir e exibir agendamentos de snapshot.

Modificar um agendamento de snapshotTodas as alterações realizadas em um agendamento de snapshot serão aplicadas apenas aos snapshots que forem gerados depois delas. As alterações dos agendamentos não afetam os snapshots existentes.

Se você modificar o alias de um agendamento de snapshot, o alias será atribuído ao próximo snapshot que for gerado com base no agendamento. Entretanto, o alias antigo não será removido do último snapshot ao qual foi atribuído. A menos que você remova manualmente o alias antigo, ele permanecerá conectado ao último snapshot ao qual foi atribuído.

1. Clique em Data Protection > SnapshotIQ > Snapshot Schedules.

2. Na tabela Schedules, localize o agendamento de snapshot que deseja modificar e clique em View/Edit.A caixa de diálogo View Snapshot Schedule Details será exibida.

3. Clique em Edit.A caixa de diálogo Edit Snapshot Schedule Details será exibida.

4. Modifique os atributos de agendamento de snapshot que deseja alterar.

200 Snapshots

5. Clique em Save Changes.

Conceitos relacionados

Agendamentos de snapshot

Práticas recomendadas para criar agendamentos de snapshot

Excluir um agendamento de snapshotVocê pode excluir um agendamento de snapshot. A exclusão de um agendamento de snapshot não excluirá os snapshots que foram gerados de acordo com o agendamento.

1. Clique em Data Protection > SnapshotIQ > Snapshot Schedules.

2. Na tabela Schedules, localize o agendamento de snapshot que deseja excluir e, depois, clique em Delete.A caixa de diálogo Confirm Delete será exibida.

3. Clique em Delete.

Conceitos relacionados

Agendamentos de snapshot

Exibir agendamentos de snapshotVocê pode visualizar agendamentos de snapshot.

1. Clique em Data Protection > SnapshotIQ > Snapshot Schedules.

2. Na tabela Schedules, localize o agendamento de snapshot que deseja exibir e clique em View/Edit.

Conceitos relacionados

Agendamentos de snapshot

Gerenciando aliases de snapshotsVocê pode configurar agendamentos de snapshot para atribuir um alias ao snapshot criado mais recentemente por um agendamento. Você também pode atribuir manualmente aliases a snapshots específicos ou à versão ativa do file system.

Configurar um alias de snapshot para um agendamento de snapshotÉ possível configurar um agendamento de snapshot para atribuir um alias ao snapshot mais recente que foi criado pelo agendamento.

1. Clique em Data Protection > SnapshotIQ > Snapshot Schedules

2. Na tabela Schedules, localize o agendamento de snapshot que você deseja configurar e clique em View/Edit.A caixa de diálogo View Snapshot Schedule Details será exibida.

3. Clique em Edit.A caixa de diálogo Edit Snapshot Schedule Details será exibida.

4. Selecione Create a snapshot alias.

5. No campo Snapshot Alias, digite o nome do alias do snapshot.

6. Clique em Save Changes.

Atribuir um alias de snapshot a um snapshotVocê pode atribuir um alias de snapshots a um snapshot.

1. Clique em Data Protection > SnapshotIQ > Snapshots.

2. Na tabela Snapshot Aliases, na linha de um alias, clique em View/Edit.

3. Na área Alias Name, clique em Edit.

Snapshots 201

4. No campo Alias Name, digite um novo nome de alias.

5. Clique em Salvar.

Referências relacionadas

Informações do snapshot

Reatribuir um alias de snapshot ao file system ativoVocê pode reatribuir um alias de snapshot para redirecionar clients de um snapshot para o file system ativo.

Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi snapshot aliases modify.O seguinte comando reatribui o alias latestWeekly ao file system ativo:

isi snapshot aliases modify latestWeekly --target LIVE

Exibir aliases de snapshotsVocê pode visualizar uma lista de todos os aliases de snapshots.

Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Visualize uma lista de todos os aliases de snapshots executando o seguinte comando:

isi snapshot aliases list

Se um alias de snapshot fizer referência à versão em tempo real do file system, o ID de destino será -1.

3. Opcional: Leia as informações sobre um determinado snapshot executando o comando isi snapshot aliases view.O seguinte comando exibe informações sobre latestWeekly:

isi snapshot aliases view latestWeekly

Informações de alias de snapshotVocê pode visualizar informações sobre alias de snapshots no resultado do comando isi snapshot aliases view.

ID O ID numérico do alias do snapshot.

Nome Digite o alias do snapshot.

ID de destino O ID numérico do snapshot que é referenciado pelo alias.

Nome de destino O nome do snapshot que é referenciado pelo alias.

Created A data na qual o alias do snapshot foi criado.

Gerenciamento com bloqueios de snapshotVocê pode excluir, criar e modificar a data de expiração de bloqueios de snapshot.

CUIDADO:

É recomendável não criar, excluir nem modificar bloqueios de snapshot, a menos que você seja instruído a fazê-lo pelo

suporte técnico do Isilon.

A exclusão de um bloqueio de snapshot que foi criado pelo OneFS pode resultar em perda de dados. Se você excluir um bloqueio de snapshot que foi criado pelo OneFS, é possível que o snapshot correspondente seja excluído enquanto ainda estiver sendo utilizado pelo OneFS. Se o OneFS não conseguir acessar um snapshot que seja necessário para uma operação, ocorrerão problemas na operação, podendo resultar em perda de dados. Modificar a data de expiração de um bloqueio de snapshot criado pelo OneFS também pode resultar em perda de dados porque o snapshot correspondente pode ser excluído prematuramente.

202 Snapshots

Conceitos relacionados

Bloqueios de snapshot

Criar um bloqueio de snapshotVocê pode criar bloqueios de snapshot que impeçam que os snapshots sejam excluídos.

Embora seja possível evitar que um snapshot seja excluído automaticamente criando um bloqueio de snapshot, é recomendável que você não crie bloqueios de snapshot. Para impedir que um snapshot seja excluído automaticamente, recomenda-se que você amplie o período de duração do snapshot.

Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Crie um bloqueio de snapshot executando o comando isi snapshot locks create.Por exemplo, o seguinte comando aplica um bloqueio de snapshot a SnapshotApril2016, define o bloqueio para expirar em um mês e adiciona uma descrição de "Bloqueio de manutenção":

isi snapshot locks create SnapshotApril2016 --expires 1M \--comment "Maintenance Lock"

Conceitos relacionados

Bloqueios de snapshot

Referências relacionadas

Informações de bloqueio do snapshot

Modificar uma data de expiração de bloqueio de snapshotVocê pode alterar a data de expiração de um bloqueio de snapshot.

CUIDADO: É recomendável não alterar as datas de expiração de bloqueios de snapshot.

Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi snapshot locks modify.O seguinte comando define uma data de expiração a dois dias da data atual para um bloqueio de snapshot com ID de 1 que será aplicada a um snapshot denominado SnapshotApril2014:

isi snapshot locks modify SnapshotApril2014 1 --expires 2D

Conceitos relacionados

Bloqueios de snapshot

Referências relacionadas

Informações de bloqueio do snapshot

Excluir um bloqueio de snapshotVocê pode excluir um bloqueio de snapshot.

CUIDADO: É recomendável não excluir bloqueios de snapshot.

Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Exclua um bloqueio do snapshot executando o comando isi snapshot locks delete.

Snapshots 203

O seguinte comando exclui um bloqueio de snapshot aplicado ao SnapshotApril2014 e tem um ID de bloqueio de 1:

isi snapshot locks delete Snapshot2014Apr16 1

O sistema solicitará que você confirme se deseja excluir o bloqueio de snapshot.

3. Digite yes e pressione ENTER.

Conceitos relacionados

Bloqueios de snapshot

Informações de bloqueio do snapshotVocê pode exibir informações sobre bloqueios de snapshot por meio dos comandos isi snapshot locks view e isi snapshot locks list.

ID Número de identificação numérica do bloqueio de snapshot.

Comentário Descrição do bloqueio de snapshot. Pode ser qualquer string especificada por um usuário.

Expires A data em que o bloqueio de snapshot será excluído automaticamente pelo OneFS.

Contar O número de vezes que o bloqueio de snapshot foi aplicado.

A operação de clonagem de arquivos pode aplicar várias vezes um bloqueio de snapshot único. Se vários clones de arquivos forem criados simultaneamente, a operação de clonagem de arquivos aplicará o mesmo bloqueio várias vezes em vez de criar vários bloqueios. Se você excluir um bloqueio de snapshot que tiver sido aplicado mais de uma vez, excluirá somente uma das instâncias nas quais o bloqueio foi aplicado. Para excluir um bloqueio de snapshot aplicado várias vezes, você deve excluir o bloqueio o mesmo número de vezes exibidas no campo de número.

Definir configurações do SnapshotIQVocê pode definir as configurações do SnapshotIQ que determinam como os snapshots podem ser criados e os métodos pelos quais os usuários podem acessar dados do snapshot.

1. Clique em Data Protection > SnapshotIQ > Settings.

2. Modifique as configurações do SnapshotIQ e clique em Save.

Referências relacionadas

Configurações do SnapshotIQ

Configurações do SnapshotIQAs configurações do SnapshotIQ determinam como os snapshots se comportam e podem ser acessados.

As seguintes configurações do SnapshotIQ podem ser definidas:

Snapshot Scheduling

Determina se snapshots podem ser gerados.NOTA: Desabilitar a geração de snapshots pode causar falhas nas operações do OneFS.

Recomenda-se que você não desabilite essa configuração.

Auto-create Snapshots

Determina se os snapshots são gerados automaticamente de acordo com o agendamento de snapshots.

Auto-delete Snapshots

Determina se os snapshots são excluídos automaticamente de acordo com as datas de expiração.

Visibilidade e acessibilidade do NFS

Root Directory Accessible

Determina se os diretórios de snapshots são acessíveis por meio do NFS.

Root Directory Visible

Determina se os diretórios de snapshots são visíveis por meio do NFS.

204 Snapshots

Sub-directories Accessible

Determina se os subdiretórios de snapshots são acessíveis por meio do NFS.

Visibilidade e acessibilidade do SMB

Root Directory Accessible

Determina se os diretórios de snapshots são acessíveis por meio do SMB.

Root Directory Visible

Determina se os diretórios de snapshots são visíveis por meio do SMB.

Sub-directories Accessible

Determina se os subdiretórios de snapshots são acessíveis por meio do SMB.

Visibilidade e acessibilidade locais

Root Directory Accessible

Determina se os diretórios de snapshots são acessíveis por meio do file system local. Você pode acessar o file system local por meio de uma conexão SSH ou do console local.

Root Directory Visible

Determina se os diretórios de snapshots são visíveis por meio do file system local. Você pode acessar o file system local por meio de uma conexão SSH ou do console local.

Sub-directories Accessible

Determina se os subdiretórios de snapshots são acessíveis por meio do file system local. Você pode acessar o file system local por meio de uma conexão SSH ou do console local.

Tarefas relacionadas

Definir configurações do SnapshotIQ

Definir a reserva de snapshotsVocê pode especificar um percentual mínimo da capacidade de armazenamento em cluster reservado para snapshots.

A reserva de snapshots não limita a quantidade de espaço que os snapshots podem consumir no cluster. Os snapshots podem consumir mais do que a porcentagem de capacidade especificada pela reserva de snapshots. É recomendável que você não especifique uma reserva de snapshot.

Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Defina a reserva de snapshot executando o comando isi snapshot settings modify com a opção --reserve.Por exemplo, o seguinte comando define a reserva de snapshots para 20%:

isi snapshot settings modify --reserve 20

Conceitos relacionados

Reserva de snapshot

Gerenciando changelistsVocê pode criar e exibir as changelists que descrevem as diferenças entre dois snapshots. Você pode criar uma changelist para dois snapshots que tenham um diretório raiz comum.

Geralmente, as changelists são mais acessadas por aplicativos na API da plataforma do OneFS. Por exemplo, um aplicativo personalizado pode comparar regularmente os dois snapshots mais recentes de um caminho de diretório essencial para determinar se é necessário fazer backup do diretório ou acionar outras ações.

Criar uma changelistVocê pode criar uma changelist para ver as diferenças entre dois snapshots.

1. Opcional: Registre os IDs dos snapshots.

a) Clique em Data Protection > SnapshotIQ > Snapshots.b) Na linha de cada snapshot para o qual você deseja criar uma changelist, clique em View Details e registre o ID do snapshot.

2. Clique em Cluster Management > Job Operations > Job Types.

Snapshots 205

3. Na área Job Types, na linha ChangelistCreate, coluna Actions, selecione Start Job.

4. No campo Older Snapshot ID, digite o ID do snapshot mais antigo.

5. No campo Newer Snapshot ID, digite o ID do snapshot mais recente.

6. Clique em Start Job.

Excluir uma changelistVocê pode excluir uma changelist

Execute o comando isi_changelist_mod com a opção -k.

O seguinte comando exclui a changelist 22_24:

isi_changelist_mod -k 22_24

Exibir uma changelistVocê pode exibir uma changelist que descreva as diferenças entre dois snapshots. Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

1. Exiba os IDs das changelists executando o seguinte comando:

isi_changelist_mod -l

Os IDs das changelists incluem os IDs dos snapshots usados para criar a changelist. Se o OneFS ainda estiver em processo de criação de uma changelist, a mensagem inprog será acrescentada ao ID da changelist.

2. Opcional: Exiba todo o conteúdo de uma changelist executando o comando isi_changelist_mod com a opção -a.O seguinte comando exibe o conteúdo de um changelist chamada 2_6:

isi_changelist_mod -a 2_6

Informações da changelistVocê pode exibir as informações contidas nas changelists.

NOTA: As informações contidas nas changelists devem ser consumidas por aplicativos na API da plataforma do OneFS.

As seguintes informações são exibidas para cada item da changeList quando você executa o comando isi_changelist_mod:

st_ino Exibe o número inode do item especificado.

st_mode Exibe o tipo de arquivo e as permissões para o item especificado.

st_size Exibe o tamanho total do item em bytes.

st_atime Exibe o registro de data e hora POSIX do momento em que o item foi acessado pela última vez.

st_mtime Exibe o registro de data e hora POSIX do momento em que o item foi modificado pela última vez.

st_ctime Exibe o registro de data e hora POSIX do momento em que o item foi alterado pela última vez.

cl_flags Exibe informações sobre o item e quais tipos de alterações foram feitas nele.

01 O item foi adicionado ou movido para o diretório raiz dos snapshots.

02 O item foi removido ou movido para fora do diretório raiz dos snapshots.

04 O caminho do item foi alterado sem ser removido do diretório raiz do snapshot.

10 O item contém ou já conteve ADSs (Alternate Data Streams).

20 O item é um ADS.

40 O item tem hardlinks.

206 Snapshots

NOTA: Esses valores são adicionados no resultado. Por exemplo, se um ADS foi adicionado, o

código seria cl_flags=021.

path O caminho absoluto do diretório ou arquivo especificado.

Snapshots 207

Desduplicação com o SmartDedupeEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral da desduplicação• Trabalhos de desduplicação• Replicação de dados e backup com desduplicação• Snapshots com desduplicação• Considerações sobre desduplicação• Considerações sobre área de armazenamento de sombra• Funcionalidade da licença do SmartDedupe• Gerenciando a desduplicação

Visão geral da desduplicaçãoO módulo SmartDedupe permite que você economize o espaço de armazenamento em seu cluster reduzindo os dados redundantes. A desduplicação aumenta a eficiência de seu cluster diminuindo o volume de armazenamento necessário para armazenar vários arquivos com blocks idênticos.

O módulo de software SmartDedupe desduplica os dados verificando a existência de blocos de dados idênticos em um cluster do Isilon. Cada block tem 8 KB. Ao encontrar blocos duplicados, o SmartDedupe transfere uma cópia única dos blocos para um arquivo oculto chamado armazenamento de sombra. Em seguida, o SmartDedupe exclui os blocos duplicados dos arquivos originais e substitui os blocos por indicadores para o armazenamento de sombra.

A desduplicação é aplicada no nível do diretório, direcionando-se para todos os arquivos e diretórios abaixo de um ou mais diretórios raiz. O Smartdedupe desduplica não apenas os blocks idênticos de arquivos diferentes, como também desduplica os blocks idênticos de um só único.

Primeiro, você pode avaliar um diretório para desduplicação e determinar a quantidade de espaço calculada que você espera economizar. Em seguida, poderá decidir ser desduplicará ou não o diretório. Depois de iniciar a desduplicação de um diretório, você pode monitorar em tempo real a quantidade de espaço economizada pela desduplicação.

Para dois ou mais arquivos serem desduplicados, eles devem ter o mesmo ID de política de pool de discos e a mesma política de proteção. Se um ou ambos atributos se diferirem entre dois ou mais arquivos idênticos ou arquivos com blocks de 8K idênticos, os arquivos não serão desduplicados.

Como é possível especificar as políticas de proteção por arquivo ou por diretório, a desduplicação pode ser ainda mais afetada. Considere o exemplo de dois arquivos, /ifs/data/projects/alpha/logo.jpg e /ifs/data/projects/beta/logo.jpg. Embora os arquivos logo.jpg em ambos os diretórios sejam idênticos, se um deles tiver uma política de proteção diferente da outra, nenhum dos dois arquivos será desduplicado.

Além disso, se você ativou uma licença do SmartPools no cluster, é possível especificar políticas personalizadas de pool de arquivo. Essas políticas de pool de arquivo podem fazer com que arquivos idênticos ou que têm blocks de 8K idênticos sejam armazenados em pools de nós diferentes. Consequentemente, esses arquivos terão ID de política de pool de discos diferentes e não serão desduplicados.

O SmartDedupe também não faz a desduplicação dos arquivos com 32 KB ou menos, pois isso resultaria em um consumo de recursos do cluster maior que a economia de armazenamento oferecida. O tamanho padrão de uma área de armazenamento invisível é 2 GB. Cada área de armazenamento invisível pode conter até 256.000 blocks. Cada block de uma área de armazenamento invisível pode ser mencionado até 32.000 vezes.

Trabalhos de desduplicaçãoA desduplicação é realizada por um trabalho de manutenção do sistema chamado de trabalho de desduplicação. Você pode monitorar e gerenciar trabalhos de desduplicação da mesma maneira que monitora e gerencia qualquer outro trabalho de manutenção no cluster. Embora o impacto geral da desduplicação sobre o desempenho seja mínimo, os trabalhos de desduplicação consomem 400 MB de memória por nó.

14

208 Desduplicação com o SmartDedupe

Quando um trabalho de desduplicação é executado pela primeira vez em um cluster, o SmartDedupe faz a amostragem de blocks de cada arquivo e cria entradas de índice para esses blocks. Se as entradas de índice de dois blocks combinarem, o SmartDedupe examinará os blocks adjacentes ao par correspondente e, em seguida, desduplicará todos os blocks duplicados. Depois que um trabalho de desduplicação faz a amostragem de um arquivo uma vez, os novos trabalhos de desduplicação não farão a amostragem do arquivo novamente até que ele seja alterado.

O primeiro trabalho de desduplicação que você executar poderá demorar muito mais tempo para ser concluído que os trabalhos de desduplicação subsequentes. O primeiro trabalho de desduplicação deve examinar todos os arquivos nos diretórios especificados para gerar o índice inicial. Se os trabalhos de desduplicação subsequentes levarem muito tempo para serem concluídos, é provável que um grande volume de dados esteja sendo desduplicado. Entretanto, isso também pode indicar que os usuários estão armazenamento um grande volume de dados novos no cluster. Se um trabalho de desduplicação for interrompido durante o processo de desduplicação, ele reiniciará automaticamente o processo de varredura a partir do ponto onde foi interrompido.

NOTA: Você deve executar trabalhos de desduplicação quando os usuários não estiverem modificando dados no cluster.

Se os usuários estiverem alterando continuamente arquivos no cluster, a quantidade de espaço economizada pela

desduplicação será mínima porque os blocks desduplicados são removidos constantemente da área de armazenamento

invisível.

A frequência com que você deve executar um trabalho de desduplicação em seu cluster do Isilon varia, dependendo do tamanho de seu conjunto de dados, da taxa de alterações e da oportunidade. Para a maioria dos clusters, recomenda-se que você inicie um trabalho de desduplicação a cada 7-10 dias. Você pode iniciar um trabalho de desduplicação manualmente ou agendar um trabalho recorrente em intervalos específicos. Por padrão, o trabalho de desduplicação é configurado para execução com uma prioridade baixa. No entanto, você pode especificar controles, como prioridade e impacto, dos trabalhos de desduplicação que são executados manualmente ou por agendamento.

As permissões necessárias para modificar as configurações de desduplicação não são as mesmas que as necessárias para executar um trabalho de desduplicação. Embora um usuário deva ter permissão para executar trabalhos de manutenção a fim de executar um trabalho de desduplicação, ele deve ter a permissão para desduplicação para modificar as configurações da desduplicação. Por padrão, o usuário root e o usuário SystemAdmin têm as permissões necessárias para todas as operações de desduplicação.

Tarefas relacionadas

Avaliar a economia de espaço gerada pela desduplicação

Especificar configurações de desduplicação

Replicação de dados e backup com desduplicaçãoQuando os arquivos desduplicados são replicados para outro cluster Isilon ou copiados em um dispositivo de fita, os arquivos desduplicados deixam de compartilhar blocks no cluster Isilon de destino nem no dispositivo de backup. No entanto, embora você possa desduplicar dados em um cluster Isilon de destino, não pode desduplicar dados em um dispositivo de backup NDMP.

Os armazenamentos de sombra não são transferidos para clusters de destino nem dispositivos de backup. Por isso, os arquivos desduplicados não consomem menos espaço do que os arquivos não desduplicados quando são replicados ou copiados em backup. Para evitar falta de espaço, você deverá garantir que os clusters de destino e os dispositivos de fita tenham espaço suficiente para armazenar dados desduplicados como se eles não fossem desduplicados. Para reduzir a quantidade de espaço consumido em um cluster Isilon de destino, você pode configurar a desduplicação para os diretórios de destino das políticas de replicação. Embora esse procedimento desduplique os dados no diretório de destino, ele não permitirá que o SyncIQ transferia armazenamentos de sombra. A desduplicação ainda é realizada pelos trabalhos de desduplicação em execução no cluster de destino.

A quantidade de recursos de cluster necessários para fazer backup de dados desduplicados e replicá-los é a mesma para dados não desduplicados. Você pode desduplicar dados enquanto eles estão sendo replicados ou copiados em backup.

Snapshots com desduplicaçãoVocê não pode desduplicar os dados armazenados em um snapshot. No entanto, você pode criar snapshots de dados desduplicados.

Se você criar um snapshot para um diretório desduplicado e, em seguida, modificar o conteúdo desse diretório, com o tempo, as referências aos armazenamentos de sombra serão transferidas para o snapshot. Portanto, se ativar a desduplicação antes de criar snapshots, você economizará mais espaço no cluster. Se você executar a desduplicação em um cluster que já tenha um volume significativo de dados armazenados em snapshots, demorará para que os dados de snapshot sejam afetados pela desduplicação. Os snapshots criados recentemente podem conter dados desduplicados, ao contrário dos snapshots criados antes da execução da desduplicação.

Se você planeja reverter um snapshot, é melhor revertê-lo antes de executar um trabalho de desduplicação. Restaurar um snapshot pode sobregravar vários arquivos no cluster. Todos os arquivos desduplicados serão revertidos novamente para os arquivos normais se forem

Desduplicação com o SmartDedupe 209

sobrepostos pela reversão de um snapshot. Entretanto, concluída a reversão do snapshot, você poderá desduplicar o diretório e manter a economia de espaço no cluster.

Considerações sobre desduplicaçãoA desduplicação pode aumentar significativamente a eficiência de seu método de armazenamento de dados. Entretanto, o efeito da desduplicação varia dependendo do cluster.

Você pode restringir a redundância em um cluster executando o SmartDedupe. A desduplicação cria links que podem afetar a velocidade na qual você pode ler e gravar arquivos. Especificamente, ler sequencialmente fragmentos com menos de 512 KB de um arquivo desduplicado pode ser muito mais lento do que ler os mesmos pequenos fragmentos sequenciais de um arquivo não desduplicado. Essa degradação no desempenho se aplicará somente se você estiver lendo dados não armazenados em cache. Para dados em cache, o desempenho de arquivos desduplicados é potencialmente melhor do que dos arquivos não desduplicados. Se você transmitir fragmentos com mais de 512 KB, a desduplicação não afetará significativamente o desempenho da leitura do arquivo. Se você pretende transmitir 8 KB ou menos de cada arquivo por vez, e não pretende transmitir simultaneamente os arquivos, a desduplicação dos arquivos não é recomendável.

A desduplicação é mais eficaz quando aplicada a diretórios e arquivos estáticos ou compactados. Quanto menos alterados forem os arquivos, menos negativo será o efeito produzido no cluster pela desduplicação. Por exemplo, as máquinas virtuais frequentemente têm várias cópias de arquivos idênticos que raramente são alterados. Desduplicar um grande número de máquinas virtuais pode reduzir muito o espaço de armazenamento consumido.

Considerações sobre área de armazenamento de sombraÁreas de armazenamento de sombra são arquivos ocultos referenciados por arquivos clonados e desduplicados. Os arquivos que fazem referência a áreas de armazenamento de sombra se comportam de maneira diferente de outros arquivos.

• A leitura de referências de áreas de armazenamento de sombra pode ser mais lenta que a leitura direta dos dados. Especificamente, ler referências de áreas de armazenamento de sombra não armazenadas em cache é mais lento do que ler dados que não estejam em cache. A leitura de referências de áreas de armazenamento de sombra em cache não leva mais tempo do que a leitura de dados em cache.

• Quando os arquivos que fazem referência a áreas de armazenamento de sombra são replicados em outro cluster Isilon ou é feito backup deles em um dispositivo de backup NDMP, as áreas de armazenamento de sombra não são transferidas para o cluster Isilon de destino nem para o dispositivo de backup. Os arquivos são transferidos como se contivessem os dados a que eles fazem referência das áreas de armazenamento de sombra. No cluster Isilon de destino ou no dispositivo de backup, os arquivos consomem a mesma quantidade de espaço que eles consumiriam se não fizessem referência a áreas de armazenamento de sombra.

• Ao criar um armazenamento de sombra, o OneFS atribui o armazenamento de sombra a um pool de armazenamento de um arquivo que referencia o armazenamento de sombra. Se você excluir o pool de armazenamento no qual reside uma área de armazenamento de sombra, este será movido para um pool ocupado por outro arquivo que faça referência ao armazenamento de sombra.

• O OneFS não exclui um block de armazenamento de sombra imediatamente após a exclusão da última referência ao block. Em vez disso, o OneFS espera até que o trabalho ShadowStoreDelete seja executado para excluir o block não referenciado. Se houver um número muito grande de blocks não referenciados no cluster, o OneFS poderá informar uma economia negativa com a desduplicação até que o trabalho ShadowStoreDelete seja executado.

• As áreas de armazenamento de sombra têm, pelo menos, o mesmo nível de proteção que o arquivo com proteção máxima que as referenciam. Por exemplo, se um arquivo que faça referência a uma área de armazenamento de sombra residir em um pool de armazenamento com 2 vezes mais proteção e outro arquivo que referencie a área de armazenamento de sombra residir em um pool de armazenamento com 3 vezes mais proteção, a área de armazenamento terá 3 vezes mais proteção.

• As cotas consideram os arquivos que fazem referência a áreas de armazenamento de sombra como se os arquivos contivessem os dados referenciados das áreas; do ponto de vista de uma cota, as referências das áreas de armazenamento de sombra não existem. Entretanto, se uma cota incluir sobrecarga de proteção de dados, ela não considerará a sobrecarga das áreas de armazenamento de sombra.

Funcionalidade da licença do SmartDedupeVocê só poderá desduplicar dados se ativar uma licença do SmartDedupe em um cluster. No entanto, é possível avaliar a economia proporcionada pela desduplicação sem ativar uma licença do SmartDedupe.

Se você ativar uma licença do SmartDedupe e, em seguida, desduplicar os dados, a economia de espaço não será perdida se a licença se tornar inativa. Você ainda poderá obter uma economia com a desduplicação enquanto a licença estiver inativa. No entanto, só será possível desduplicar mais dados com a reativação da licença do SmartDedupe.

210 Desduplicação com o SmartDedupe

Gerenciando a desduplicaçãoVocê pode gerenciar a desduplicação em um cluster primeiro avaliando quanto de espaço é possível economizar com a desduplicação de diretórios individuais. Após determinar quais diretórios vale a pena desduplicar, você pode configurar o SmartDedupe para desduplicá-los especificamente. Em seguida, é possível monitorar a quantidade de espaço em disco real que você está economizando.

Avaliar a economia de espaço gerada pela desduplicaçãoVocê pode avaliar a quantidade de espaço em disco que você economizará com a desduplicação de um diretório.

1. Clique em File System > Deduplication > Settings.

2. Na área Assess Deduplication, clique em Browse e selecione um diretório que você deseja desduplicar.

Se você avaliar vários diretórios, a economia do disco não será diferenciada por diretório no relatório de desduplicação.

3. Clique em Save para salvar as configurações de desduplicação.

4. Clique em Cluster Management > Job Operations > Job Types.

5. Na tabela Job Types, localize o trabalho DedupeAssessment e clique em Start Job.A caixa de diálogo Start a Job será exibida.

6. Clique em Start Job.

7. Clique em Cluster Management > Job Operations > Job Summary.Os trabalhos ativos serão exibidos na lista Active Jobs.

8. Aguarde o término da operação de avaliação.Concluído o trabalho DedupeAssessment, ele será removido da lista Active Jobs.

9. Clique em File System > Deduplication > Summary.Na área Deduplication Assessment Reports, na linha do trabalho de avaliação mais recente, clique em View Report.

10. Visualize a quantidade de espaço que será economizada se você desduplicar o diretório.

O número de blocks que serão desduplicados é exibido no campo Deduped blocks.

Conceitos relacionados

Trabalhos de desduplicação

Especificar configurações de desduplicaçãoVocê pode especificar os diretórios que deseja desduplicar.

1. Clique em File System > Deduplication > Settings.

2. Na área Deduplication Settings, clique em Browse e selecione um diretório que você deseja desduplicar.

3. Opcional: Especifique diretórios adicionais.

a) Clique em Add another directory path.b) Clique em Browse e selecione o diretório que deseja desduplicar.

4. Clique em Save Changes.

Conceitos relacionados

Trabalhos de desduplicação

Iniciar ou agendar um trabalho de desduplicaçãoVocê pode iniciar um trabalho de desduplicação manualmente ou especificar um agendamento repetido para que o trabalho seja executado automaticamente.

Recomenda-se que você execute o trabalho Dedupe a cada 10 dias. O primeiro trabalho de desduplicação que você executar no cluster poderá levar muito mais tempo para ser concluído que os trabalhos de desduplicação subsequentes.

1. Clique em Cluster Management > Job Operations > Job Types.

2. Na lista Job Type, localize o trabalho Dedupe e, em seguida, clique em View/Edit.A caixa de diálogo View Job Type Details será exibida.

3. Clique em Edit Job Type.

Desduplicação com o SmartDedupe 211

A caixa de diálogo Edit Job Type Details será exibida

4. Especifique os controles do trabalho como a seguir:

Opção Descrição

Enable this job type Selecione essa opção para habilitar o tipo de trabalho.

Default Priority Defina a prioridade do trabalho em comparação a outros trabalhos de manutenção do sistema que são executados ao mesmo tempo. A prioridade dos trabalhos é indicada como 1-10, onde 1 é a maior prioridade e, 10, a menor. O valor padrão é 4.

Default Impact Policy Selecione a quantidade de recursos do sistema que o trabalho usa em comparação a outros trabalhos de manutenção do sistema que são executados ao mesmo tempo. Selecione um valor de política de HIGH, MEDIUM, LOW ou OFF-HOURS. O padrão é LOW.

Agendamento Especifique se o trabalho deve ser iniciado manualmente ou será executado de acordo com um agendamento regular. Ao clicar em Scheduled, você pode especificar um agendamento diário, semanal, mensal ou anual. Para a maioria dos clusters, recomenda-se que você execute o trabalho Dedupe a cada 10 dias.

5. Clique em Save Changes e em Close.Os novos controles do trabalho são salvos e a caixa de diálogo é fechada.

6. Clique em Start Job.

O trabalho Dedupe é executado com os novos controles do trabalho.

Exibir a economia de espaço gerada pela desduplicaçãoVocê pode visualizar a quantidade de espaço em disco economizado com a desduplicação.

1. Clique em File System > Deduplication > Summary.

2. Na área Deduplication Savings, visualize a quantidade de espaço em disco economizado.

Referências relacionadas

Informações sobre a desduplicação

Exibir um relatório de desduplicaçãoConcluído um trabalho de desduplicação, você pode exibir informações sobre o trabalho em um relatório de desduplicação.

1. Clique em File System > Deduplication > Summary.

2. Na seção Deduplication Reports ou Deduplication Assessment Reports, localize o relatório que deseja exibir e, depois, clique em View Report.

Referências relacionadas

Informações do relatório do trabalho de desduplicação

Informações do relatório do trabalho de desduplicaçãoVocê pode visualizar as seguintes informações específicas da desduplicação em relatórios de trabalhos de desduplicação:

Start time A hora em que ocorreu o trabalho de desduplicação.

End time A hora de término do trabalho de desduplicação.

Iteration Count O número de vezes que o SmartDedupe interrompeu o processo de amostragem. Se o SmartDedupe estiver efetuando a amostragem de um grande volume de dados, ele poderá interromper o processo para iniciar a desduplicação dos dados. Depois que o SmartDedupe finaliza a desduplicação dos dados submetidos a amostragem, ele continua o processo nos dados restantes.

Scanned blocks O número total de blocks localizados abaixo dos diretórios desduplicados especificados.

Sampled blocks O número de blocks para os quais o SmartDedupe criou entradas de índice.

Deduped blocks O número de blocks que foram desduplicados.

212 Desduplicação com o SmartDedupe

Dedupe percent A porcentagem de blocks examinados que foram desduplicados.

Created dedupe requests

Número total de solicitações de desduplicação criadas. Uma solicitação de desduplicação é criada para cada par de blocks de dados correspondentes. Por exemplo, se você tiver 3 blocks de dados correspondentes, o SmartDedupe criará 2 solicitações. Uma das solicitações pode combinar file1 e file2, e as outras solicitações, file2 e file3.

Successful dedupe requests

O número de solicitações de desduplicação que foram concluídas com sucesso.

Failed dedupe requests

O número de solicitações de desduplicação que falharam. A ocorrência de falhas em uma solicitação de desduplicação não significa que também ocorreram falhas no trabalho. Podem ocorrer falhas em uma solicitação de desduplicação por uma série de motivos. Por exemplo, o arquivo pode ter sido alterado depois da amostragem.

Skipped files O número de arquivos que não foram examinados pelo trabalho de desduplicação. O SmartDedupe ignora arquivos por vários motivos. Por exemplo, o SmartDedupe ignora os arquivos que já foram examinados e não foram modificados desde então. O SmartDedupe também ignora todos os arquivos com menos de 4 KB.

Index entries O número de entradas que existem no índice atualmente.

Index lookup attempts

O número total de pesquisas feitas por trabalhos de desduplicação anteriores mais o número de pesquisas feitas por esse trabalho de desduplicação. Chama-se pesquisa quando o trabalho de desduplicação tenta estabelecer a correspondência entre um block que foi indexado e um que não foi.

Index lookup hits O número de blocks que corresponderam a entradas indexadas.

Tarefas relacionadas

Exibir um relatório de desduplicação

Informações sobre a desduplicaçãoVocê pode visualizar a quantidade de espaço em disco economizado com a desduplicação na área Deduplication Savings:

Space Savings O volume total de espaço em disco físico economizado com a desduplicação, inclusive a sobrecarga de proteção e metadados. Por exemplo, se você tiver três arquivos idênticos com 5 GB, a economia física estimada será superior a 10 GB, pois a desduplicação economizará espaço que seria ocupado pelos metadados de arquivos e a sobrecarga de proteção.

Deduplicated data A quantidade de espaço ocupado no cluster pelos diretórios que foram desduplicados.

Other data A quantidade de espaço no cluster ocupado pelos diretórios que não foram desduplicados.

Tarefas relacionadas

Exibir a economia de espaço gerada pela desduplicação

Desduplicação com o SmartDedupe 213

Replicação de dados com o SyncIQEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral da replicação de dados do SyncIQ• Políticas e trabalhos de replicação• Snapshots de replicação• Failover e failback de dados com SyncIQ• Tempos e objetivos de recuperação do SyncIQ• Prioridade das políticas de replicação• Funcionalidade da licença do SyncIQ• Criando políticas de replicação• Gerenciando a replicação para clusters remotos• Iniciando o failover e o failback de dados com o SyncIQ• Realizando a recuperação de desastres dos diretórios mais antigos do SmartLock• Gerenciando as políticas de replicação• Gerenciando a replicação ao cluster local• Gerenciando regras de desempenho de replicação• Gerenciando relatórios de replicação• Gerenciando trabalhos de replicação com falha

Visão geral da replicação de dados do SyncIQOneFS permite que você replique dados de um cluster do Isilon para outro no módulo de software do SyncIQ. Para poder replicar os dados entre dois clusters do Isilon, você deve ativar uma licença do SyncIQ em ambos.

É possível replicar dados no nível do diretório, excluindo opcionalmente arquivos e subdiretórios específicos da replicação. O SyncIQ cria e faz referência a snapshots para replicar uma imagem point-in-time consistente de um diretório de origem. Os metadados, como ACLs (Access Control Lists, listas de controle de acesso) e ADS (Alternate Data Streams), são replicados juntamente com os dados.

O SyncIQ permite que você mantenha uma réplica consistente de seus dados em outro cluster do Isilon e controle a frequência da replicação de dados. Por exemplo, você pode configurar o SyncIQ para fazer backup dos dados de seu cluster principal a um cluster secundário, uma vez por dia, às 22 horas. Dependendo do tamanho de seu conjunto de dados, a primeira operação de replicação pode demorar um período considerável. Depois disso, no entanto, as operações de replicação seriam concluídas mais rapidamente.

O SyncIQ também oferece os recursos automatizados de failover e failback que permitirão que você continue as operações no cluster secundário do Isilon se seu cluster principal ficar indisponível.

Políticas e trabalhos de replicaçãoA replicação de dados é coordenada de acordo com as políticas e os trabalhos de replicação. As políticas de replicação especificam quais dados são replicados, onde os dados são replicados e com que frequência os dados são replicados. Os trabalhos de replicação são operações que replicam dados de um cluster do Isilon a outro. O SyncIQ gera trabalhos de replicação de acordo com as políticas de replicação.

Uma política de replicação especifica dois clusters: o de origem e o de destino. O cluster onde existe a política de replicação é o cluster de origem. O cluster aonde os dados são replicados é o cluster de destino. Quando uma política de replicação é iniciada, o SyncIQ gera um trabalho de replicação para ela. Quando um trabalho de replicação é executado, os arquivos de uma árvore de diretório do cluster de origem são replicados a uma árvore de diretório do cluster de destino; essas árvores de diretórios são conhecidas como diretórios de origem e de destino.

Depois que o primeiro trabalho de replicação criado por uma política de replicação é encerrado, o diretório de destino e todos os arquivos contidos nele são configurados para um estado somente leitura e somente podem ser modificados por outros trabalhos de replicação pertencentes à mesma política de replicação. Recomendamos que não sejam criadas mais de 1.000 políticas em um cluster.

15

214 Replicação de dados com o SyncIQ

NOTA: Para impedir erros de permissões, verifique se as configurações da política de ACL (Access Control List, lista de

controle de acesso) são as mesmas nos clusters de origem e de destino.

Você pode criar dois tipos de políticas de replicação: políticas de sincronização e políticas de cópia. Uma política de sincronização mantém uma réplica exata do diretório de origem no cluster de destino. Se um arquivo ou subdiretório for excluído do diretório de origem, o arquivo ou diretório é excluído do cluster de destino quando a política for executada novamente.

Você pode usar as políticas de sincronização para fazer o failover e failback de dados entre os clusters de origem e de destino. Quando um cluster de origem fica indisponível, você pode fazer o failover dos dados em um cluster de destino e disponibilizar os dados aos clients. Quando o cluster fica disponível novamente, você pode fazer o failback dos dados ao cluster de origem.

Uma política de cópia mantém versões recentes dos arquivos que são armazenados no cluster de origem. No entanto, os arquivos que são excluídos do cluster de origem não são excluídos do cluster de destino. O failback não é compatível com as políticas de cópia. As políticas de cópia são mais utilizadas para fins de arquivamento.

Elas permitem que você remova os arquivos do cluster de origem sem perdê-los no cluster de destino. A exclusão de arquivos do cluster de origem melhora o desempenho desse cluster e, ao mesmo tempo, mantém os arquivos excluídos no cluster de destino. Isso pode ser útil se, por exemplo, seu cluster de origem estiver sendo usado para fins de produção e seu cluster de destino estiver sendo usado somente para arquivamento.

Depois de criar um trabalho para uma política de replicação, o SyncIQ deve esperar até que o trabalho seja concluído para poder criar outro trabalho para a política. Qualquer número de trabalhos de replicação pode existir em um cluster em um determinado momento; entretanto, não é possível executar mais de 50 trabalhos de replicação ao mesmo tempo em um cluster de origem. Se existirem mais de 50 trabalhos de replicação em um cluster, os primeiros 50 serão executados enquanto os outros ficarão na fila para execução.

Não existe um limite quanto ao número de trabalhos de replicação aos quais um cluster de destino pode dar suporte simultaneamente. No entanto, já que mais trabalhos de replicação exigem mais recursos de cluster, o ritmo da replicação diminuirá à medida que mais trabalhos simultâneos forem adicionados.

Quando um trabalho de replicação é executado, o OneFS gera operadores nos clusters de origem e de destino. Os operadores do cluster de origem leem e enviam dados, enquanto os operadores do cluster de destino os recebem e gravam.

Você pode replicar qualquer número de arquivos e diretórios com um só trabalho de replicação. Também é possível impedir que um grande trabalho de replicação sobrecarregue o sistema, limitando o volume de recursos de cluster e de largura de banda da rede que a sincronização de dados é autorizada a consumir. Já que cada nó de um cluster pode enviar e receber dados, a velocidade na qual os dados são replicados aumenta para clusters maiores.

Conceitos relacionados

Criando políticas de replicação

Políticas de replicação automatizadasVocê pode iniciar uma política de replicação manualmente a qualquer momento, mas também pode configurar as políticas de replicação para serem iniciadas automaticamente com base em modificações do diretório de origem ou em agendamentos.

Uma política de replicação pode ser configurada para ser executada de acordo com um agendamento; assim, você pode controlar o momento em que a replicação é realizada. Você também pode configurar políticas para replicar os dados capturados em snapshots de um diretório. Você também pode configurar uma política de replicação para ser iniciada quando o SyncIQ detectar uma modificação do diretório de origem. Dessa forma, o SyncIQ mantém uma versão mais atual de seus dados no cluster de destino.

O agendamento de uma política pode ser útil nas seguintes condições:

• Você quer replicar dados quando a atividade dos usuários for mínima• Você pode prever com precisão quando haverá modificações nos dados

Se uma política for configurada para ser executada de acordo com um agendamento, você poderá configurá-la para que ela não seja executada se nenhuma alteração tiver sido feita no conteúdo do diretório de origem desde a última execução do trabalho. No entanto, se alterações forem feitas no diretório principal do diretório de origem ou em um diretório irmão do diretório de origem e, em seguida, um snapshot do diretório principal for criado, o SyncIQ criará um trabalho para a política, mesmo que nenhuma alteração tenha sido feita no diretório de origem. Além disso, se você monitorar o cluster por meio do recurso FSA (File System Analytics) do InsightIQ, o trabalho FSA criará snapshots de /ifs o que, provavelmente, causará o início de um trabalho de replicação sempre que o trabalho FSA for executado.

Replicar dados contidos nos snapshots de um diretório pode ser útil nas seguintes condições:

• Você quer replicar dados de acordo com um agendamento e já está gerando snapshots do diretório de origem por meio de um agendamento de snapshot

• Você quer manter snapshots idênticos no cluster de origem e de destino• Você quer replicar snapshots existentes no cluster de destino

Replicação de dados com o SyncIQ 215

Para fazer isso, você deve habilitar snapshots de arquivamento no cluster de destino. Essa configuração só pode ser ativada quando a política for criada.

Se uma política for configurada para replicar snapshots, você poderá configurar o SyncIQ para replicar somente os snapshots que correspondam a um padrão de nomenclatura especificado.

A configuração de uma política para ser iniciada quando forem feitas alterações ao diretório de origem pode ser útil nas seguintes condições:

• Você quer manter uma cópia sempre atualizada de seus dados• Você espera um grande número de alterações em intervalos imprevisíveis

Nas políticas que são configuradas para serem iniciadas sempre que forem feitas alterações ao diretório de origem, o SyncIQ verifica os diretórios de origem a cada dez segundos. O SyncIQ verifica todos os arquivos e diretórios do diretório de origem, independentemente de eles estarem excluídos da replicação; portanto, o SyncIQ ocasionalmente pode executar um trabalho de replicação desnecessariamente. Por exemplo, suponha que a política newPolicy replique /ifs/data/media, mas exclua /ifs/data/media/temp. Se uma modificação for feita em /ifs/data/media/temp/file.txt, o SyncIQ executará a newPolicy, embora /ifs/data/media/temp/file.txt não será replicado.

Se uma política for configurada para ser iniciada sempre que forem feitas alterações no diretório de origem, e se um trabalho de replicação apresentar falha, o SyncIQ aguardará um minuto antes de tentar executar a política novamente. O SyncIQ aumenta esse atraso exponencialmente para cada falha até o máximo de oito horas. Você pode sobrepor o atraso executando a política manualmente a qualquer momento. Depois que um trabalho da política for concluído com sucesso, o SyncIQ retomará a verificação do diretório de origem a cada dez segundos.

Se uma política for configurada para ser iniciada sempre que forem feitas alterações no diretório de origem, você poderá configurar o SyncIQ para aguardar um período especificado para iniciar um trabalho após a modificação do diretório de origem.

NOTA: Para evitar a sincronização frequente de conjuntos mínimos de alterações e a sobrecarga dos recursos do

sistema, recomendamos não configurar a replicação contínua quando o diretório de origem for altamente ativo. Nesses

casos, muitas vezes, é melhor configurar a replicação contínua com um atraso acionado por alterações de várias horas

para consolidar grupos de alterações.

Associação dos clusters de origem e de destinoO SyncIQ associa uma política de replicação a um cluster de destino marcando este cluster quando o trabalho é executado pela primeira vez. Mesmo se você modificar o nome ou o endereço IP do cluster de destino, a marca permanece nele. Quando uma política de replicação é executada, o SyncIQ verifica a marca para garantir que os dados sejam replicados ao local correto.

No cluster de destino, você pode remover manualmente uma associação entre uma política de replicação e um diretório de destino. A remoção da associação entre um cluster de origem e um cluster de destino faz com que a marca do cluster de destino seja excluída. Você pode remover uma associação de destino manualmente se a associação for obsoleta. Caso a associação de uma política seja violada, a política será desativada no cluster de origem e você não poderá executar a política. Se quiser executar novamente a política desativada, será necessário redefinir a política de replicação.

Remover uma associação de políticas faz com que uma replicação completa ou diferencial ocorra na próxima execução da política de replicação. Durante uma replicação completa ou diferencial, o SyncIQ criar uma nova associação entre os clusters de origem e de destino. Dependendo do volume de dados que está sendo replicado, a replicação completa ou diferencial pode levar muito tempo para ser concluída.

CUIDADO: As alterações na configuração do cluster de destino fora do SyncIQ podem introduzir uma condição de erro

que rompe, efetivamente, a associação entre o cluster de origem e de destino. Por exemplo, alterar o registro do DNS do

cluster de destino pode causar esse problema. Se você precisar fazer alterações significativas de configuração no

cluster de destino fora do SyncIQ, certifique-se de que suas políticas do SyncIQ ainda podem se conectar ao cluster de

destino.

Configurando os clusters de origem e de destino do SyncIQ com NATOs clusters de origem e destino podem usar NAT (Network Address Translation) para fins de failover e failback do SyncIQ, mas devem ser configurados devidamente.

Nesse cenário, geralmente, os clusters de origem e destino estão em locais físicos diferentes, usam espaço de endereço privado e não roteável e não têm conexões diretas à Internet. Normalmente, é atribuído um intervalo de endereços IP privados a cada cluster. Por exemplo, para um cluster de 12 nós, podem ser atribuídos os endereços IP 192.168.10.11 a 192.168.10.22.

216 Replicação de dados com o SyncIQ

Para se comunicar pela Internet pública, os clusters de origem e destino devem ter todos os pacotes de dados de entrada e saída devidamente convertidos e direcionados por um firewall ou roteador habilitado para NAT.

CUIDADO: Os dados do SyncIQ não são criptografados. A execução de trabalhos do SyncIQ na Internet pública não

oferece proteção contra roubo de dados.

O SyncIQ permite que você limite os trabalhos de replicação a determinados nós de seu cluster. Por exemplo, se seu cluster fosse composto por 12 nós, seria possível limitar os trabalhos de replicação a apenas três deles. Para dar suporte a NAT, você precisaria estabelecer uma associação direta entre os clusters de origem e destino. Portanto, ao limitar os trabalhos de replicação a três nós de seu cluster de origem, você deve associar três nós em seu cluster de destino.

Nesse caso, seria necessário configurar uma NAT estática, às vezes chamada de mapeamento de entrada. Nos clusters de origem e destino, seria necessário associar um endereço de NAT estática ao endereço privado atribuído a cada nó. Por exemplo:

Cluster de origem Cluster de destino

Nome do nó Endereço privado Endereço de NAT Nome do nó Endereço privado Endereço de NAT

origem-1 192.168.10.11 10.8.8.201 destino-1 192.168.55.101 10.1.2.11

origem-2 192.168.10.12 10.8.8.202 destino-2 192.168.55.102 10.1.2.12

origem-3 192.168.10.13 10.8.8.203 destino-3 192.168.55.103 10.1.2.13

Para configurar uma NAT estática, seria necessário editar o arquivo /etc/local/hosts em todos os seis nós e associá-los a seus correspondentes adicionando o endereço adequado da NAT e o nome do nó. Por exemplo, no arquivo /etc/local/hosts dos três nós do cluster de origem, as entradas seriam semelhantes às seguintes:

10.1.2.11 target-1

10.1.2.12 target-2

10.1.2.13 target-3Da mesma forma, nos três nós do cluster de destino, você editaria o arquivo /etc/local/hosts e inseriria o endereço da NAT e o nome do nó associado no cluster de origem. Por exemplo, nos três nós do cluster de destino, as entradas seriam semelhantes às seguintes:

10.8.8.201 source-1

10.8.8.202 source-2

10.8.8.203 source-3Quando o servidor de NAT recebe pacotes dos dados do SyncIQ a partir de um nó do cluster de origem, ele substitui os cabeçalhos dos pacotes e o número da porta e o endereço IP interno do nó pelo próprio número da porta e pelo endereço IP externo do servidor de NAT. Então, o servidor de NAT da rede de origem envia os pacotes pela Internet para a rede de destino, onde outro servidor de NAT executa um processo semelhante para transmitir os dados ao nó de destino. O processo é invertido quando os dados são submetidos a failback.

Com esse tipo de configuração, o SyncIQ pode determinar os endereços corretos aos quais se conectar e, assim, pode enviar e receber dados. Nesse cenário, não é necessário fazer nenhuma configuração de zonas do SmartConnect.

Para obter mais informações sobre as portas usadas pelo SyncIQ, consulte o Guia de Configuração de Segurança do OneFS para sua versão do OneFS.

Replicação completa e diferencialSe uma política de replicação encontrar um problema que não pode ser corrigido (por exemplo, se a associação foi removida no cluster de destino), pode ser necessário redefinir a política de replicação. Se você redefinir uma política de replicação, o SyncIQ realizará uma replicação completa ou diferencial na próxima execução da política. Você pode especificar o tipo de replicação realizada pelo SyncIQ.

Durante uma replicação completa, o SyncIQ transfere todos os dados do cluster de origem, independentemente de quais dados existem no cluster de destino. A replicação completa consome grandes quantidades de largura de banda da rede e pode levar muito tempo para ser concluída. Entretanto, uma replicação completa é menos extenuante sobre a utilização da CPU que uma replicação diferencial.

Durante uma replicação diferencial, o SyncIQ verifica primeiro se um arquivo já existe no cluster de destino e, então, transfere apenas os dados que não existem nesse cluster. Uma replicação diferencial consome menos largura de banda da rede que uma replicação completa; entretanto, as replicações diferenciais consomem mais CPU. A replicação diferencial pode ser muito mais rápida que uma replicação completa se houver um volume adequado de CPU disponível para ser consumido pelo trabalho de replicação.

Tarefas relacionadas

Executar uma replicação completa ou diferencial

Replicação de dados com o SyncIQ 217

Controlando o consumo de recursos de trabalhos de replicaçãoVocê pode criar regras que limitem o tráfego de rede criado pelos trabalhos de replicação, a taxa na qual os arquivos são enviados pelos trabalhos de replicação, a porcentagem de CPU usada pelos trabalhos de replicação e o número de operadores criado para os trabalhos de replicação.

Se você limitar a porcentagem do total de operadores que o SyncIQ pode criar, o limite será aplicado à quantidade total de operadores que o SyncIQ pode criar, que é determinada pelo hardware do cluster. Os operadores do cluster de origem leem e enviam dados, enquanto os operadores do cluster de destino os recebem e gravam.

NOTA: As regras de operação de arquivos podem não funcionar com precisão para os arquivos que podem demorar mais

de um segundo para serem transferidos e para os arquivos que não têm tamanhos previsivelmente semelhantes.

Conceitos relacionados

Gerenciando regras de desempenho de replicação

Prioridade das políticas de replicaçãoAo criar uma política de replicação, você pode configurar uma política para que ela tenha prioridade sobre outros trabalhos.

Se vários trabalhos de replicação forem colocados em fila para execução porque o número máximo de trabalhos já está em execução, os trabalhos criados pelas políticas com prioridade serão executados antes dos trabalhos sem prioridades. Por exemplo, suponha que 50 trabalhos já estejam em execução. Um trabalho sem prioridade é criado e colocado em fila para execução; em seguida, um trabalho com prioridade é criado e colocado em fila para execução. O trabalho com prioridade será executado em seguida, mesmo que o trabalho sem prioridade tenha sido colocado em fila há mais tempo.

O SyncIQ também pausará trabalhos de replicação sem prioridade para permitir que os trabalhos com prioridade sejam executados. Por exemplo, suponha que 50 trabalhos já estejam em execução e que um deles não tenha prioridade. Se um trabalho de replicação com prioridade for criado, o SyncIQ pausará o trabalho de replicação sem prioridade e executará o trabalho com prioridade.

Relatórios de replicaçãoDepois que um trabalho de replicação é concluído, o SyncIQ gera um relatório de replicação que contém informações detalhadas sobre o trabalho, inclusive por quanto tempo o trabalho foi executado, o volume de dados que foi transferido e quais erros ocorreram.

Se um relatório de replicação for interrompido, o SyncIQ pode criar um sub-relatório sobre o progresso do trabalho até o momento. Se o trabalho for reiniciado posteriormente, o SyncIQ cria outro sub-relatório sobre o progresso do trabalho até que ele seja concluído ou interrompido novamente. O SyncIQ cria um sub-relatório sempre que o trabalho é interrompido, até que o trabalho seja concluído com sucesso. Se forem criados vários sub-relatórios para um trabalho, o SyncIQ combina as informações dos sub-relatórios em um só relatório.

O SyncIQ exclui os relatórios de replicação de modo rotineiro. Você pode especificar o número máximo de relatórios de replicação que o SyncIQ mantém e a o período durante o qual o SyncIQ mantém os relatórios de replicação. Se o número máximo de relatórios de replicação for excedido em um cluster, o SyncIQ exclui o relatório o mais antigo sempre que um novo relatório for criado.

Não é possível personalizar o conteúdo de um relatório de replicação.

NOTA: Se você excluir uma política de replicação, o SyncIQ exclui automaticamente todos os relatórios que foram

gerados para ela.

Conceitos relacionados

Gerenciando relatórios de replicação

Snapshots de replicaçãoO SyncIQ gera snapshots para facilitar a replicação, o failover e o failback entre clusters do Isilon. Os snapshots gerados pelo SyncIQ também podem ser usados para fins de arquivamento no cluster de destino.

218 Replicação de dados com o SyncIQ

Snapshots do cluster de origemO SyncIQ gera snapshots no cluster de origem para garantir que uma imagem point-in-time consistente seja replicada e que os dados não alterados não sejam enviados ao cluster de destino.

Antes de executar um trabalho de replicação, o SyncIQ cria um snapshot do diretório de origem. Em seguida, ele replica os dados de acordo com o snapshot, e não com o estado atual do cluster, permitindo que os usuários modifiquem os arquivos do diretório de origem e, ao mesmo, garantindo a replicação de uma imagem point-in-time exata do diretório de origem.

Por exemplo, se um trabalho de replicação do /ifs/data/dir/ começar às 13:00 e terminar às 13:20, e o diretório /ifs/data/dir/file for modificado às 13:10, as modificações não são refletidas no cluster de destino, mesmo se o diretório /ifs/data/dir/file não for replicado até às 13:15.

Você pode replicar os dados de acordo com um snapshot gerado com o módulo de software SnapshotIQ. Se você replicar dados de acordo com um snapshot do SnapshotIQ, o SyncIQ não gera outro snapshot do diretório de origem. Esse método pode ser útil quando você deseja replicar cópias idênticas dos dados a vários clusters do Isilon.

O SyncIQ gera snapshots de origem para garantir que os trabalhos de replicação não transfiram dados não modificados. Quando um trabalho é criado para uma política de replicação, o SyncIQ verifica se ele é o primeiro trabalho criado para a política. Se ele não for o primeiro, o SyncIQ compara o snapshot gerado para o trabalho anterior com o snapshot gerado para o novo trabalho.

O SyncIQ somente replica os dados que foram alterados desde a última vez em que um snapshot foi gerado para a política de replicação. Quando um trabalho de replicação é concluído, o SyncIQ exclui o snapshot anterior do cluster de origem e mantém o snapshot mais recente até que o próximo trabalho seja executado.

Snapshots do cluster de destinoQuando um trabalho de replicação é executado, o SyncIQ gera um snapshot no cluster de destino para facilitar as operações de failover. Quando o próximo trabalho de replicação é criado para a política de replicação, ele cria um novo snapshot e exclui o antigo.

Se uma licença do SnapshotIQ for ativada no cluster de destino, você pode configurar uma política de replicação para gerar snapshots adicionais que permanecem no cluster de destino mesmo quando os próximos trabalhos de replicação forem executados.

O SyncIQ gera snapshots de destino para facilitar o failover no cluster de destino, independentemente de haver uma licença do SnapshotIQ configurada nesse cluster. Os snapshots de failover são gerados quando um trabalho de replicação é concluído. O SyncIQ mantém só um snapshot de failover por política de replicação e exclui o snapshot antigo após o novo snapshot ser criado.

Se uma licença do SnapshotIQ for ativada no cluster de destino, você pode configurar o SyncIQ para gerar snapshots de arquivamento no cluster de destino que não são excluídos automaticamente quando os próximos trabalhos de replicação forem executados. Os snapshots de arquivamento contêm os mesmos dados que os snapshots gerados para fins de failover. No entanto, você pode configurar por quanto tempo os snapshots de arquivamento são mantidos no cluster de destino. Você pode acessar os snapshots de arquivamento da mesma forma com que você acessa outros snapshots gerados em um cluster.

Failover e failback de dados com SyncIQO SyncIQ permite a realização de operações automatizadas de failover e failback de dados entre clusters do Isilon. Se seu cluster principal ficar off-line, você poderá fazer failover para um cluster secundário do Isilon, permitindo que os clients continuem acessando os dados. Se o cluster principal ficar operacional novamente, você poderá fazer o failback para ele.

Para fins de failback e failover do SyncIQ, o cluster acessado originalmente pelos clients é chamado de cluster principal. O cluster onde os dados do client são replicados é chamado de cluster secundário.

Failover é o processo que permite que os clients acessem, visualizem, modifiquem e excluam dados de um cluster secundário. Failback é o processo que permite que os clients retomem seu workflow no cluster principal. Durante o failback, todas as alterações feitas nos dados do cluster secundário são copiados de volta no cluster principal por meio de um trabalho de replicação, usando uma política de espelhamento.

O failover e o failback podem ser úteis em situações de recuperação de desastres. Por exemplo, se um cluster principal for danificado por um desastre natural, você poderá migrar os clients a um cluster secundário, onde eles poderão continuar as operações normais. Quando o cluster principal for reparado e colocado on-line novamente, você poderá migrar os clients de volta às operações do cluster principal.

É possível fazer o failover e o failback para facilitar a manutenção agendada do cluster. Por exemplo, se estiver fazendo upgrade do cluster primário, é possível migrar clients a um cluster secundário até que o upgrade seja concluído e, depois, migrar os clients de volta ao cluster primário.

NOTA: O failover e o failback de dados são compatíveis com os diretórios corporativos e de conformidade do SmartLock.

Os diretórios de conformidade do SmartLock aderem à norma 17a-4(f) da SEC (Securities and Exchange Commission,

comissão de valores mobiliários e câmbio) dos EUA, que exige que os corretores e vendedores de valores mobiliários

Replicação de dados com o SyncIQ 219

preservem os registros em um formato que não possa ser regravado nem excluído. O SyncIQ mantém devidamente a

conformidade com a norma 17a-4(f) durante o failover e o failback.

Conceitos relacionados

Iniciando o failover e o failback de dados com o SyncIQ

Failover de dadosFailover é o processo de preparação de dados em um cluster secundário e de mudança para o cluster secundário para as operações normais de clients. Depois de fazer o failover a um cluster secundário, você poderá direcionar os clients para acessar, visualizar e modificar dados nesse cluster.

Antes de realizar o failover, você deve criar e executar uma política de replicação do SyncIQ no cluster principal. O processo de failover é iniciado no cluster secundário. Para migrar os dados do cluster principal que são distribuídos em várias políticas de replicação, você deve iniciar um failover para cada política de replicação.

Se a ação de uma política de replicação estiver configurada como cópia, todos os arquivos que foram excluídos do cluster principal ainda estarão presentes no cluster secundário. Quando o client se conectar ao cluster secundário, todos os arquivos que foram excluídos do cluster principal estarão disponíveis.

Se você iniciar o failover para uma política de replicação enquanto um trabalho de replicação associado estiver em execução, a operação de failover é concluída, mas o trabalho de replicação apresentará falha. Já que os dados podem estar em um estado inconsistente, o SyncIQ usa o snapshot gerado pelo último trabalho de replicação concluído com sucesso para inverter os dados do cluster secundário ao último ponto de recuperação.

Se ocorrer um desastre no cluster primário, nenhuma modificação de dados que foi feita após o início do último trabalho de replicação concluído com sucesso será refletida no cluster secundário. Quando um client se conecta ao cluster secundário, seus dados são exibidos como eram quando o último trabalho de replicação concluído com sucesso foi iniciado.

Tarefas relacionadas

Failover de dados a um cluster secundário

Failback de dadosFailback é o processo de restaurar clusters principais e secundários às funções que eles ocupavam antes de uma operação de failover. Depois que o failback for concluído, o cluster principal manterá o conjunto de dados mais recente e retomará as operações normais, inclusive hospedagem de clients e replicação dos dados no cluster secundário por meio das políticas vigentes de replicação do SyncIQ.

A primeira etapa do processo de failback é atualizar o cluster primário com todas as modificações que foram feitas aos dados do cluster secundário. A próxima etapa é preparar o cluster principal para ser acessado pelos clients. A última etapa é retomar a replicação de dados do cluster principal ao secundário. Ao final do processo de failback, você poderá redirecionar os usuários para retomar o acesso a dados no cluster principal.

Para atualizar o cluster principal com as modificações feitas no cluster secundário, o SyncIQ deve criar um domínio SyncIQ para o diretório de origem.

Você pode fazer o failback de dados com qualquer política de replicação que atenda a todos os seguintes critérios:

• A política sofreu failover.• A política é uma política de sincronização (não uma política de cópia).• A política não exclui nenhum arquivo ou diretório da replicação.

Tarefas relacionadas

Efetuar o failback de dados para um cluster primário

Failback e failover do modo de conformidade do SmartLockUsando o OneFS 8.0.1 e versões posteriores, é possível replicar os domínios do modo de conformidade do SmartLock em um cluster de destino. Esse suporte inclui failover e failback desses domínios do SmartLock.

Como o modo de conformidade do SmartLock cumpre a regra 17a-4(f) da Comissão de Valores Mobiliários e Câmbio (SEC) dos EUA, o failover e failback de um domínio WORM do modo de conformidade exigem certo planejamento e configuração.

220 Replicação de dados com o SyncIQ

O mais importante é que seus clusters principal (origem) e secundário (destino) devem ser configurados na instalação inicial como clusters de modo de conformidade. Esse processo é descrito no guia de instalação do Isilon do seu modelo de nó (por exemplo, o Guia de Instalação do Isilon S210).

Além disso, os dois clusters devem ter diretórios definidos como domínios WORM com o tipo de conformidade. Por exemplo, se você estiver armazenando os arquivos WORM no domínio /ifs/financial-records/locked de conformidade do SmartLock no cluster principal, deverá ter um domínio de conformidade do SmartLock no cluster de destino para fazer failover. Embora os domínios de origem e destino de conformidade do SmartLock possam ter o mesmo nome de caminho, isso não será necessário.

Além disso, você deve iniciar o relógio de conformidade em ambos os clusters.

O SyncIQ trata conflitos durante as operações de failover/failback em um domínio do modo de conformidade do SmartLock, desvinculando os arquivos confirmados da área de armazenamento do usuário e deixando um link do arquivo na área de armazenamento de conformidade. O trabalho ComplianceStoreDelete monitora e remove automaticamente os arquivos expirados da área de armazenamento de conformidade, caso eles tenham sido colocados nela como resultado da resolução de conflitos do SyncIQ. O trabalho é executado automaticamente uma vez por mês ou quando iniciado manualmente. Para obter informações sobre como iniciar o trabalho ComplianceStoreDelete, consulte o Guia de Administração da CLI do Isilon OneFS.

Limitações de replicação do SmartLockEsteja ciente das limitações da replicação e do failback dos diretórios do SmartLock com o SyncIQ.

Se o diretório de origem ou de destino de uma política do SyncIQ for um diretório do SmartLock, a replicação e o failback não poderão ser autorizados. Para obter mais informações, consulte a seguinte tabela:

Tipo de diretório de origem

Tipo de diretório de destino Replicação permitida Failback permitido

Não SmartLock Não SmartLock Sim Sim

Não SmartLock SmartLock corporativo Sim Sim, a menos que os arquivos sejam confirmados para o estado WORM no cluster de destino

Não SmartLock SmartLock conformidade Não Não

SmartLock corporativo Não SmartLock Sim; entretanto, as datas de retenção e o status de confirmação dos arquivos serão perdidos.

Sim; no entanto, os arquivos não terão o status WORM

SmartLock corporativo SmartLock corporativo Sim Sim; todos os arquivos recentemente confirmados para o estado WORM serão inclusos

SmartLock corporativo SmartLock conformidade Não Não

SmartLock conformidade Não SmartLock Não Não

SmartLock conformidade SmartLock corporativo Não Não

SmartLock conformidade SmartLock conformidade Sim Sim; todos os arquivos recentemente confirmados para o estado WORM serão inclusos

Se você estiver replicando um diretório SmartLock a outro diretório SmartLock, será necessário criar o diretório SmartLock de destino antes de executar a política de replicação. Embora o OneFS crie um diretório de destino automaticamente se já não houver um existente, o OneFS não criará um diretório SmartLock de destino automaticamente. Se você tentar replicar um diretório corporativo antes da criação de um diretório de destino, o OneFS criará um diretório de destino não SmartLock e o trabalho de replicação será concluído com sucesso. Se você replicar um diretório de conformidade antes da criação do diretório de destino, o trabalho de replicação apresentará falha.

Se você replicar diretórios do SmartLock a outro cluster do Isilon com o SyncIQ, o estado WORM dos arquivos será replicado. No entanto, as configurações dos diretórios do SmartLock não são transferidas ao diretório de destino.

Por exemplo, se você replicar um diretório que contém um arquivo confirmado que está configurado para expirar em 4 de março, o arquivo ainda estará configurado para expirar em 4 de março no cluster de destino. Entretanto, se o diretório do cluster de origem estiver configurado para evitar que os arquivos sejam confirmados por mais de um ano, o diretório de destino não será configurado automaticamente para a mesma restrição.

No cenário em que um domínio de exclusão WORM foi criado em um diretório do modo de conformidade ou do modo corporativo, a replicação da exclusão do SmartLock no diretório ocorrerá somente se a política do SyncIQ estiver enraizada no domínio SmartLock que

Replicação de dados com o SyncIQ 221

contém a exclusão. Se essa condição não for atendida, apenas os dados serão replicados e a exclusão do SmartLock não será criada no diretório de destino.

Tempos e objetivos de recuperação do SyncIQO RPO (Recovery Point Objective, objetivo de ponto de recuperação) e o RTO (Recovery Time Objective, objetivo de tempo de recuperação) são medidas dos impactos que um desastre pode causar sobre as operações de negócios. Você pode calcular seu RPO e RTO para uma recuperação de desastres com as políticas de replicação.

O RPO é o período máximo durante o qual os dados são perdidos em caso de indisponibilidade repentina de um cluster. Em um cluster do Isilon, o RPO é o período decorrido desde o início do último trabalho de replicação concluído. O RPO nunca é maior que o tempo necessário para que dois trabalhos de replicação consecutivos sejam executados e concluídos.

Se ocorrer um desastre enquanto um trabalho de replicação estiver em execução, os dados do cluster secundário são invertidos para o estado em que estavam quando o último trabalho de replicação foi concluído. Por exemplo, considere um ambiente onde uma política de replicação está agendada para ser executada a cada três horas e onde os trabalhos de replicação levam duas horas para serem concluídos. Se ocorrer um desastre uma hora após o início de um trabalho de replicação, o RPO é de quatro horas, já que faz quatro horas desde que um trabalho concluído começou a replicar dados.

O RTO é o período máximo necessário para fazer backup dos dados disponíveis aos clients após um desastre. O RTO é sempre menor ou aproximadamente igual ao RPO, dependendo da taxa na qual os trabalhos de replicação são criados para uma política específica.

Se os trabalhos de replicação forem executados continuamente, o que significa que outro trabalho de replicação é criado para a política antes que o trabalho de replicação anterior seja concluído, o RTO é aproximadamente igual ao RPO. Quando o cluster secundário sofrer failover, os dados do cluster são redefinidos para o estado em que estavam quando o último trabalho foi concluído; redefinir os dados demora um período proporcional ao tempo necessário para que os usuários modifiquem os dados.

Se os trabalhos de replicação forem executados em um intervalo, o que significa que há um período após a conclusão de um trabalho de replicação e antes do início do próximo trabalho de replicação da política, a relação entre o RTO e o RPO dependem do fato de um trabalho de replicação estar ou não em execução quando o desastre ocorre. Se um trabalho estiver em andamento quando um desastre ocorrer, o RTO é praticamente igual ao RPO. Entretanto, se um trabalho não estiver em execução quando um desastre ocorrer, o RTO é insignificante, já que o cluster secundário não foi modificado desde a execução do último trabalho de replicação e o processo de failover é quase instantâneo.

Alertas de RPOVocê pode configurar o SyncIQ para criar eventos do OneFS que alertam você quando um RPO (Recovery Point Objective, objetivo de ponto de recuperação) especificado for excedido. Você pode visualizar esses eventos na mesma interface que a dos outros eventos do OneFS.

Os eventos têm um ID de evento de 400040020. A mensagem de evento para esses alertas segue o seguinte formato:

SW_SIQ_RPO_EXCEEDED: SyncIQ RPO exceeded for policy <replication_policy>Por exemplo, suponha que você defina um RPO de 5 horas, que um trabalho comece às 13 horas e seja concluído às 15 horas e que um segundo trabalho comece às 15h30; se o segundo trabalho não for concluído até às 18 horas, o SyncIQ criará um evento do OneFS.

Prioridade das políticas de replicaçãoAo criar uma política de replicação, você pode configurar uma política para que ela tenha prioridade sobre outros trabalhos.

Se vários trabalhos de replicação forem colocados em fila para execução porque o número máximo de trabalhos já está em execução, os trabalhos criados pelas políticas com prioridade serão executados antes dos trabalhos sem prioridades. Por exemplo, suponha que 50 trabalhos já estejam em execução. Um trabalho sem prioridade é criado e colocado em fila para execução; em seguida, um trabalho com prioridade é criado e colocado em fila para execução. O trabalho com prioridade será executado em seguida, mesmo que o trabalho sem prioridade tenha sido colocado em fila há mais tempo.

O SyncIQ também pausará trabalhos de replicação sem prioridade para permitir que os trabalhos com prioridade sejam executados. Por exemplo, suponha que 50 trabalhos já estejam em execução e que um deles não tenha prioridade. Se um trabalho de replicação com prioridade for criado, o SyncIQ pausará o trabalho de replicação sem prioridade e executará o trabalho com prioridade.

Funcionalidade da licença do SyncIQVocê pode replicar os dados a outro cluster do Isilon somente se ativar uma licença do SyncIQ nos clusters local e de destino.

222 Replicação de dados com o SyncIQ

Se uma licença do SyncIQ ficar inativa, você não poderá criar, nem executar ou gerenciar políticas de replicação. Além disso, todas as políticas de replicação criadas anteriormente serão desativadas. As políticas de replicação destinadas ao cluster local também serão desativadas. Entretanto, os dados que foram replicados anteriormente ao cluster local ainda estarão disponíveis.

Criando políticas de replicaçãoVocê pode criar políticas de replicação que determinam quando os dados são replicados com SyncIQ.

Conceitos relacionados

Políticas e trabalhos de replicação

Excluindo diretórios na replicaçãoCom as políticas de replicação, você pode excluir diretórios da replicação mesmo se eles existirem no diretório de origem especificado.

NOTA: O failback das políticas de replicação que excluem diretórios não é compatível.

De modo padrão, todos os arquivos e diretórios do diretório de origem de uma política de replicação são replicados ao cluster de destino. No entanto, você pode impedir que os diretórios sob o diretório de origem sejam replicados.

Se você especificar um diretório para exclusão, os arquivos e diretórios contidos nele não serão replicados ao cluster de destino. Se você especificar um diretório para inclusão, somente os arquivos e diretórios contidos no diretório incluído serão replicados ao cluster de destino; todos os diretórios que não estiverem contidos em um diretório incluído serão excluídos.

Se você incluir e excluir diretórios, todos os diretórios excluídos devem estar contidos em um dos diretórios incluídos; caso contrário, a configuração de diretórios excluídos não terá efeito. Por exemplo, considere uma política com as seguintes configurações:

• O diretório raiz é /ifs/data• Os diretórios incluídos são /ifs/data/media/music e /ifs/data/media/movies• Os diretórios excluídos são /ifs/data/archive e /ifs/data/media/music/workingNeste exemplo, a configuração que exclui o diretório /ifs/data/archive não tem efeito porque o diretório /ifs/data/archive não está em nenhum dos diretórios incluídos. O diretório /ifs/data/archive não é replicado, independentemente de o diretório ser excluído explicitamente. Entretanto, a configuração que exclui o diretório /ifs/data/media/music/working tem efeito, já que o diretório seria replicado se a configuração não fosse especificada.

Além disso, se você excluir um diretório que contém o diretório de origem, a configuração de diretórios excluídos não terá efeito. Por exemplo, se o diretório raiz de uma política é /ifs/data, excluir explicitamente o diretório /ifs não impede que o /ifs/data seja replicado.

Todos os diretórios que forem incluídos ou excluídos explicitamente devem estar contidos no diretório raiz especificado. Por exemplo, considere uma política na qual o diretório raiz especificado é /ifs/data. Neste exemplo, você pode incluir os diretórios /ifs/data/media e/ifs/data/users/, já que eles estão contidos em /ifs/data.

Excluir diretórios de uma política de sincronização não faz com que os diretórios sejam excluídos do cluster de destino. Por exemplo, considere uma política de replicação que sincroniza o /ifs/data do cluster de origem ao /ifs/data do cluster de destino. Se a política excluir /ifs/data/media da replicação, e se /ifs/data/media/file existir no cluster de destino, executar a política não fará com que /ifs/data/media/file seja excluído do cluster de destino.

Tarefas relacionadas

Especificar os diretórios e arquivos de origem

Excluindo arquivos na replicaçãoSe você não quiser que arquivos específicos sejam replicados por uma política de replicação, é possível excluí-los do processo de replicação por meio de instruções de critérios de verificação de correspondência de arquivos. Você pode configurar essas instruções durante o processo de criação da política de replicação.

NOTA: Não é possível fazer o failback das políticas de replicação que excluem arquivos.

Uma instrução de critérios de verificação de correspondência de arquivos pode incluir um ou vários elementos. Cada elemento desses critérios contém um atributo de arquivo, um operador de comparação e um valor de comparação. É possível combinar vários elementos de critérios em uma só instrução com os operadores booleanos "AND" e "OR". Você pode configurar qualquer número de definições de critérios de arquivos.

Replicação de dados com o SyncIQ 223

A configuração de instruções de critérios de verificação de correspondência de arquivos pode causar uma lenta execução dos trabalhos associados. Recomenda-se que você especifique essas instruções em uma política de replicação somente se necessário.

A modificação de uma instrução de critérios de verificação de correspondência de arquivos causará uma replicação completa na próxima inicialização de uma política de replicação. Dependendo do volume de dados que está sendo replicado, uma replicação completa pode levar muito tempo para ser concluída.

Para as políticas de sincronização, se você modificar os operadores de comparação ou os valores de comparação de um atributo de arquivo, e se um arquivo não mais corresponder aos critérios de verificação de correspondência especificados, o arquivo será excluído do destino na próxima vez que o trabalho for executado. Esta regra não se aplica às políticas de cópia.

Tarefas relacionadas

Especificar os diretórios e arquivos de origem

Referências relacionadas

Opções de critérios de arquivos

Opções de critérios de arquivosVocê pode configurar uma política de replicação para excluir os arquivos que atendem ou não a critérios específicos.

É possível especificar os critérios de arquivos com base nos seguintes atributos dos arquivos:

Date created Inclui ou exclui os arquivos com base em quando ele foi criado. Esta opção está disponível somente para políticas de cópia.

Você pode especificar uma data e hora relativas, como "duas semanas atrás", ou uma data e hora específicas, como "1º de janeiro de 2012". As configurações de horário são baseadas no formato de 24 horas.

Date accessed Inclui ou exclui os arquivos com base em quando o arquivo foi acessado pela última vez. Esta opção está disponível somente para políticas de cópia e somente se a opção de rastreamento global de hora de acesso do cluster estiver ativada.

Você pode especificar uma data e hora relativas, como "duas semanas atrás", ou uma data e hora específicas, como "1º de janeiro de 2012". As configurações de horário são baseadas no formato de 24 horas.

Date modified Inclui ou exclui os arquivos com base em quando o arquivo foi modificado pela última vez. Esta opção está disponível somente para políticas de cópia.

Você pode especificar uma data e hora relativas, como "duas semanas atrás", ou uma data e hora específicas, como "1º de janeiro de 2012". As configurações de horário são baseadas no formato de 24 horas.

Nome do arquivo Inclui ou exclui os arquivos com base no nome do arquivo. Você pode especificar incluir ou excluir nomes completos ou parciais que contêm um texto específico.

Os seguintes caracteres-curinga são aceitos:

NOTA: Opcionalmente, você pode filtrar os nomes de arquivo usando o texto de expressões

regulares (regex) POSIX. Os cluster do Isilon dão suporte às expressões regulares IEEE Std 1003.2

(POSIX.2). Para obter mais informações sobre as expressões regulares POSIX, consulte as

páginas de manual de BSD.

Tabela 6. Caracteres-curinga de verificação de correspondência de arquivos de replicação

Caractere-coringa Descrição

* Faz a correspondência com qualquer string que estiver no lugar do asterisco.

Por exemplo, m* corresponde a movies e m123.

[ ] Faz a correspondência com todos os caracteres contidos entre colchetes ou com vários caracteres separados por hífen.

Por exemplo, b[aei]t corresponde a bat, bet e bit.

224 Replicação de dados com o SyncIQ

Caractere-coringa Descrição

Por exemplo, 1[4-7]2 corresponde a 142, 152, 162 e 172.

Você pode excluir caracteres entre colchetes digitando um ponto de exclamação após o primeiro colchete.

Por exemplo, b[!ie] corresponde a bat, mas não a bit ou bet.

É possível fazer a correspondência com um colchete contido em outro colchete, se ele for o primeiro ou o último caractere.

Por exemplo, [[c]at corresponde a cat e [at.

É possível fazer a correspondência com um hífen dentro de um colchete se ele for o primeiro ou o último caractere.

Por exemplo, car[-s] corresponde a cars e car-.

? Faz a correspondência com qualquer caractere que estiver no lugar do ponto de interrogação.

Por exemplo, t?p corresponde a tap, tip e top.

Caminho Inclui ou exclui os arquivos com baseados no caminho do arquivo. Esta opção está disponível somente para políticas de cópia.

Você pode especificar incluir ou excluir caminhos completos ou parciais que contêm o texto especificado. Também é possível incluir os caracteres-coringa *, ? e [ ].

Tamanho Inclui ou exclui os arquivos com base em seu tamanho.

NOTA: Os tamanhos de arquivos são representados em múltiplos de 1.024, não de 1.000.

Tipo Inclui ou exclui os arquivos com base em um dos seguintes tipos de objetos do file system:

• Llink simbólico• Arquivo regular• Diretório

Conceitos relacionados

Excluindo arquivos na replicação

Tarefas relacionadas

Especificar os diretórios e arquivos de origem

Definir as configurações de política de replicação padrãoÉ possível definir as configurações padrão para políticas de replicação. Se você não modificar essas configurações ao criar uma política de replicação, as configurações padrão especificadas serão aplicadas.

1. Clique em Data Protection > SyncIQ > Settings.

2. Na seção Default Policy Settings, se desejar que as políticas somente se conectem aos nós de uma zona SmartConnect especificada, selecione Connect only to the nodes within the target cluster SmartConnect zone.

NOTA: Essa opção somente afetará as políticas que especifiquem o cluster de destino como uma zona

SmartConnect.

3. Especifique os nós aos quais você deseja que as políticas de replicação se conectem ao ser executada.

Replicação de dados com o SyncIQ 225

Para conectar as políticas a todos os nós de um cluster de origem:

Clique em Run the policy on all nodes in this cluster.

Para conectar as políticas somente aos nós contidos em uma sub-rede e um pool especificados:

a. Clique em Run the policy only on nodes in the specified subnet and pool.

b. Na lista Subnet and pool, selecione a sub-rede e o pool.

NOTA: O SyncIQ não dá suporte a pools de endereços IP atribuídos dinamicamente. Se um trabalho de replicação se

conectar a um endereço IP alocado dinamicamente, o SmartConnect poderá reatribuir o endereço durante a

execução de um trabalho de replicação, o que desconectaria o trabalho e causaria sua falha.

4. Clique em Save Changes.

Criar uma política de replicaçãoVocê pode criar uma política de replicação com o SyncIQ que defina como e quando os dados serão replicados para outro cluster Isilon. Configurar uma política de replicação é um processo de cinco etapas.

Configure políticas de replicação com cuidado. Se você modificar as seguintes configurações após a execução da política, o OneFS executará uma replicação completa ou diferencial da próxima vez que ela for executada:

• Diretório de origem• Diretórios incluídos ou excluídos• Instrução de critérios de arquivos• Nome ou endereço do cluster de destino

Isso se aplicará somente se você definir um cluster diferente. Se você modificar o IP ou o nome de domínio de um cluster de destino e, em seguida, modificar a política de replicação no cluster de origem para coincidir com o novo IP ou nome de domínio, não será executada uma replicação completa.

• Diretório de destino

NOTA: Se você criar uma política de replicação para um diretório de conformidade do SmartLock, os domínios de

conformidade do SmartLock e do SyncIQ deverão ser configurados no mesmo nível de root. Um domínio de

conformidade do SmartLock não pode ser armazenado dentro de um domínio do SyncIQ.

Conceitos relacionados

Políticas e trabalhos de replicação

Definir as configurações de política básicasÉ necessário definir as configurações básicas para uma política de replicação.

1. Clique em Data Protection > SyncIQ > Policies.

2. Clique em Create a SyncIQ policy.

3. Na área Settings, no campo Policy name, digite um nome para a política de replicação.

4. Opcional: No campo Description, informe uma descrição para a política de replicação.

5. Na configuração Action, especifique o tipo de política de replicação.

• Para copiar todos os arquivos do diretório de origem no diretório de destino, clique em Copy.

NOTA: O failback não é compatível com as políticas de cópia.

• Para copiar todos os arquivos do diretório de origem no diretório de destino e excluir alguns arquivos no diretório de destino que não estejam no diretório de origem, clique em Synchronize.

6. Na configuração Run Job, especifique se os trabalhos de replicação serão executados.

Execute os trabalhos apenas quando iniciados manualmente por um usuário.

Clique em Manually.

Execute trabalhos automaticamente de acordo com uma programação.

a. Clique em On a schedule.b. Especifique uma programação.

226 Replicação de dados com o SyncIQ

Ao configurar uma política de replicação para ser executada mais de uma vez por dia, você não poderá configurar um intervalo que abranja dois dias corridos. Por exemplo, você não pode configurar uma política de replicação para ser executada a cada hora começando às 19h e terminando à 1h.

c. Para impedir que a política seja executada quando o conteúdo do diretório de origem não for modificado, clique em Only run if source directory contents are modified.

d. Para criar eventos do OneFS se um RPO especificado for excedido, clique em Send ROP alerts after... e, em seguida, especifique um RPO.

Por exemplo, suponha que você defina um RPO de 5 hours, que um trabalho comece às 13 horas e seja concluído às 15 horas, e que um segundo trabalho comece às 15h30; se o segundo trabalho não for concluído até às 18 horas, o SyncIQ criará um evento do OneFS.

NOTA: Esta opção somente é válida se os alertas de RPO forem ativados

globalmente por meio das configurações do SyncIQ. Os eventos têm um ID de

evento de 400040020.

Executar trabalhos automaticamente sempre que uma alteração for feita no diretório de origem.

a. Clique em Whenever the source is modified.b. Para configurar o SyncIQ para aguardar um período especificado depois que o diretório de

origem for modificado antes de iniciar um trabalho de replicação, clique em Change-Triggered Sync Job Delay e, em seguida, especifique um atraso.

Executar trabalhos automaticamente sempre que um snapshot for obtido do diretório de origem.

a. Clique em Whenever a snapshot of the source directory is taken.b. Para replicar somente os dados contidos nos snapshots que correspondam a um padrão de

nomenclatura específico, digite um padrão de nomenclatura de snapshot na caixa Run job if snapshot name matches the following pattern.

c. Para replicar os dados contidos em todos os snapshots que foram obtidos do diretório de origem antes da criação da política, clique em Sync existing snapshots before policy creation time.

O próximo passo no processo de criação de uma política de replicação é especificar diretórios de origem e arquivos.

Referências relacionadas

Configurações da política de replicação

Especificar os diretórios e arquivos de origemVocê deve especificar os diretórios e os arquivos que deseja replicar.

CUIDADO: Em uma política de replicação do SyncIQ, o OneFS permite que você especifique um diretório de origem que é

um diretório de destino ou que está contido em um diretório de destino, a partir de uma política de replicação diferente.

Conhecido como replicação em cascata, esse caso de uso é especificamente para fins de backup e deve ser usado com

cuidado. Nesses casos, o OneFS não permite failback.

1. Na área Source Cluster, no campo Source Root Directory, digite o caminho completo do diretório de origem que você deseja replicar no cluster de destino.

É necessário especificar um diretório contido em /ifs. Você não pode especificar o diretório /ifs/.snapshot nem seu subdiretório.

2. Opcional: Impeça que subdiretórios específicos do diretório de origem sejam replicados.

• Para incluir um diretório, na área Included Directories, clique em Add a directory path.• Para excluir um diretório, na área Excluded Directories, clique em Add a directory path.

3. Opcional: Impeça que arquivos específicos sejam replicados especificando critérios de correspondência de arquivos.

a) Na área File Matching Criteria, selecione um tipo de filtro.b) Selecione um operador.c) Digite um valor.

Os arquivos que não atenderem aos critérios especificados não serão replicados para o cluster de destino. Por exemplo, se você especificar File Type doesn't match .txt, o SyncIQ não replicará nenhum arquivo com a extensão .txt. Se você especificar Created after 08/14/2013, o SyncIQ não replicará nenhum arquivo criado antes de 14 de agosto de 2013.

Se desejar especificar mais de um critério de correspondência de arquivos, você poderá controlar como os critérios se relacionam entre si clicando em Add an "Or" condition ou Add an "And" condition.

Replicação de dados com o SyncIQ 227

4. Especifique os nós aos quais você deseja que a política de replicação se conecte ao ser executada.

Conecte a política a todos os nós no cluster de origem. Clique em Run the policy on all nodes in this cluster.

Conecte a política somente aos nós contidos em uma sub-rede e um pool especificados.

a. Clique em Run the policy only on nodes in the specified subnet and pool.

b. Na lista Subnet and pool, selecione a sub-rede e o pool.

NOTA: O SyncIQ não dá suporte a pools de endereços IP alocados dinamicamente. Se um trabalho de replicação se

conectar a um endereço IP alocado dinamicamente, o SmartConnect pode reatribuir o endereço enquanto um

trabalho de replicação estiver em execução, desconectando o trabalho e fazendo com que ele apresente falha.

O próximo passo no processo de criação de uma política de replicação é especificar o diretório de destino.

Conceitos relacionados

Excluindo diretórios na replicação

Excluindo arquivos na replicação

Referências relacionadas

Opções de critérios de arquivos

Configurações da política de replicação

Especificar o diretório de destino da políticaÉ necessário especificar um cluster e um diretório de destino para os quais replicar dados.

1. Na área Target Cluster, no campo Target Host, digite o seguinte:

• O nome do domínio completo (FQDN) de qualquer nó do cluster de destino.• O nome do host de qualquer nó no cluster de destino.• O nome de uma zona SmartConnect no cluster de destino.• O endereço IPv4 ou IPv6 de qualquer nó no cluster de destino.• localhost

Isso replicará os dados para outro diretório no cluster local.

NOTA: O SyncIQ não dá suporte a pools de endereços IP atribuídos dinamicamente. Se um trabalho de replicação se

conectar a um endereço IP atribuído dinamicamente, o SmartConnect poderá reatribuir o endereço durante a

execução de um trabalho de replicação, o que desconectaria o trabalho e causaria sua falha.

2. No campo Target Directory, digite o caminho absoluto do diretório no cluster de destino para o qual você deseja replicar dados.

CUIDADO:

Se você especificar um diretório existente no cluster de destino, verifique se o diretório não é o destino de outra

política de replicação. Se essa for uma política de sincronização, certifique-se de que o diretório esteja vazio. Todos

os arquivos são excluídos do destino de uma política de sincronização na primeira vez em que ela é executada.

Se o diretório de destino especificado não existir no cluster de destino, ele será criado na primeira vez que o trabalho for executado. Recomendamos que você não especifique o diretório /ifs. Se você especificar o diretório /ifs, todo o cluster de destino será configurado para um estado somente leitura, impedindo que você armazene todos os outros dados no cluster.

Se for uma política de cópia, e os arquivos no diretório de destino compartilharem o mesmo nome que os arquivos no diretório de origem, os arquivos do diretório de destino serão sobrepostos quando o trabalho for executado.

3. Se você deseja que os trabalhos de replicação se conectem apenas aos nós incluídos na zona do SmartConnect especificada pelo cluster de destino, clique em Connect only to the nodes within the target cluster SmartConnect Zone.

O próximo passo do processo de criação de uma política de replicação é especificar as configurações do snapshot de destino da política.

Referências relacionadas

Configurações da política de replicação

228 Replicação de dados com o SyncIQ

Definir as configurações de snapshot de destino da políticaVocê também pode especificar como os snapshots de arquivamento são gerados no cluster de destino. Você pode acessar snapshots de arquivamento da mesma maneira que acessa snapshots do SnapshotIQ.

O SyncIQ sempre retém um snapshot no cluster de destino para facilitar o failover, independentemente dessas configurações.

1. Para criar snapshots de arquivamento no cluster de destino, na área Target Snapshots, selecione Enable capture of snapshots on the target cluster.

2. Opcional: Para modificar o alias padrão do último snapshot que foi criado de acordo com a política de replicação, no campo Snapshot Alias Name, digite um novo alias.

Você pode especificar o nome do alias como um padrão de nomenclatura de snapshot. Por exemplo, o seguinte padrão de nomenclatura é válido:

%{PolicyName}-on-%{SrcCluster}-latest

O exemplo anterior produz nomes semelhantes ao seguinte:

newPolicy-on-Cluster1-latest

3. Opcional: Para modificar o padrão de nomenclatura dos snapshots que são criados de acordo com a política de replicação, no campo Snapshot Naming Pattern, digite um padrão de nomenclatura. A cada snapshot gerado para essa política de replicação será atribuído um nome que se baseia nesse padrão.

Por exemplo, o seguinte padrão de nomenclatura é válido:

%{PolicyName}-from-%{SrcCluster}-at-%H:%M-on-%m-%d-%Y

O exemplo produz nomes semelhantes ao seguinte:

newPolicy-from-Cluster1-at-10:30-on-7-12-2012

4. Selecione uma das seguintes opções para a expiração dos snapshots:

• Clique em Snapshots do not expire.• Clique em Snapshots expire after... e especifique um período de expiração.

O próximo passo no processo de criação de uma política de replicação é definir configurações de política avançada.

Referências relacionadas

Configurações da política de replicação

Definir configurações de política avançadasVocê pode definir as configurações avançadas para uma política de replicação.

1. Opcional: No campo Priority, especifique se a política tem prioridade.

Selecionar Normal fará com que trabalhos criados pela política não tenham prioridade. Selecionar High dará prioridade aos trabalhos criados pela política de replicação.

2. Opcional: Na lista Log Level, selecione o nível de registro que você deseja que o SyncIQ execute para trabalhos de replicação.

Os seguintes níveis de registro são válidos, relacionados do menos para o mais detalhado:

• Fatal• Erro• Notice• Info• Copy• Debug• Rastreamento

Os registros de replicação são normalmente usados para fins de depuração. Se necessário, você pode fazer log-in em um nó pela interface de linha de comando e visualizar o conteúdo do arquivo /var/log/isi_migrate.log no nó.

NOTA: Notice é o nível de registro recomendado.

Replicação de dados com o SyncIQ 229

3. Opcional: Se você deseja que o SyncIQ execute um checksum em cada pacote de dados de arquivos afetado pela política de replicação, marque a caixa de seleção Validate File Integrity.

Se você habilitar essa opção, e os valores de checksum para um pacote de dados de arquivo não corresponderem, o SyncIQ transmitirá novamente o pacote afetado.

4. Opcional: Para aumentar a velocidade do failback da política, clique em Prepare policy for accelerated failback performance.

Selecionar essa opção faz com que o SyncIQ execute tarefas de configuração de failback na próxima vez que um trabalho for executado, em vez de aguardar para executar essas tarefas durante o processo de failback. Isso reduzirá o período necessário para realizar operações de failback quando o failback for iniciado.

5. Opcional: Para modificar o período durante o qual o SyncIQ mantém relatórios para a política, na área Keep Reports For, especifique uma duração.

Terminado o período de expiração especificado para um relatório, o SyncIQ o excluirá automaticamente.

Ao visualizar um relatório, algumas unidades de tempo são exibidas de maneira diferente da especificada. Ao digitar um número de dias igual a um valor correspondente em semanas, meses ou anos, a maior unidade de tempo será exibida. Por exemplo, se você especificar um valor de 7 days será exibido 1 semana para esse relatório depois de criado. Essa alteração ocorre porque o SyncIQ registra internamente os períodos de retenção de relatórios em segundos e, em seguida, os converte em dias, semanas, meses ou anos.

6. Opcional: Especifique se as informações sobre os arquivos excluídos por trabalhos de replicação serão registradas selecionando uma das seguintes opções:

• Clique em Record when a synchronization deletes files or directories.• Clique em Do not record when a synchronization deletes files or directories.

Essa opção é aplicável somente para políticas de sincronização.

7. Especifique como a política replica os arquivos SmartLink do CloudPools.

Se a opção estiver definida como Deny, o SyncIQ replicará todos os arquivos SmartLink do CloudPools para o cluster de destino como arquivos SmartLink; se o cluster de destino não der suporte ao CloudPools, o trabalho falhará. Se a opção estiver definida como Force, o SyncIQ replicará todos os arquivos SmartLink para o cluster de destino como arquivos regulares. Se a opção estiver definida como Allow, o SyncIQ tentará replicar os arquivos SmartLink para o cluster de destino como arquivos SmartLink; se o cluster de destino não der suporte ao CloudPools, o SyncIQ replicará os arquivos SmartLink como arquivos regulares.

A próxima etapa do processo de criação de uma política de replicação é salvar as configurações da política de replicação.

Referências relacionadas

Configurações da política de replicação

Salvar configurações de política de replicaçãoO SyncIQ não cria trabalhos de replicação para uma política de replicação até que você salve a política.

Analise as configurações atuais da política de replicação. Se necessário, modifique-as.

Na caixa de diálogo Create SyncIQ Policy, depois que todas as configurações de política estiverem conforme o pretendido, clique em Create Policy.

Avaliar uma política de replicaçãoAntes de executar uma política de replicação pela primeira vez, você pode exibir estatísticas dos arquivos que serão afetados pela replicação sem transferir nenhum arquivo. Isso pode ser útil se você deseja visualizar o tamanho do conjunto de dados que será transferido ao executar a política.

NOTA: Você pode avaliar apenas as políticas de replicação que foram executadas antes.

1. Clique em Data Protection > SyncIQ > Policies.

2. Na tabela SyncIQ Policies, na linha de uma política de replicação, coluna Actions, selecione Assess Sync.

3. Clique em Data Protection > SyncIQ > Summary.

4. Concluído o trabalho, na tabela SyncIQ Recent Reports, na linha do trabalho de replicação, clique em View Details.O relatório exibe o volume total de dados que seriam transferidos no campo Total Data.

230 Replicação de dados com o SyncIQ

Gerenciando a replicação para clusters remotosVocê pode executar, exibir, avaliar, pausar, retomar, cancelar, resolver e redefinir manualmente os trabalhos de replicação destinados a outros clusters.

Após o início de um trabalho de política, você pode pausar o trabalho para suspender as atividades de replicação. Posteriormente, é possível retomar o trabalho, continuando a replicação do ponto em que o trabalho foi interrompido. Você também pode cancelar um trabalho de replicação pausado ou em execução se quiser liberar os recursos de cluster alocados para o trabalho. Um trabalho pausado reserva os recursos de cluster mesmo se eles não estiverem sendo utilizados. Um trabalho cancelado libera seus recursos de cluster e permite que outro trabalho de replicação os consuma. Não podem existir mais de cinco trabalhos de replicação pausados ou em execução em um cluster de uma só vez. Entretanto, pode existir um número ilimitado de trabalhos de replicação cancelados em um cluster. Se um trabalho de replicação permanecer pausado por mais de uma semana, o SyncIQ o cancelará automaticamente.

Iniciar um trabalho de replicaçãoVocê pode iniciar manualmente um trabalho de replicação para uma política de replicação a qualquer momento.

Se você desejar replicar dados de acordo com um snapshot existente, no prompt de comando do OneFS, execute o comando isi sync jobs start com a opção --source-snapshot. Você não pode replicar dados de acordo com os snapshots gerados pelo SyncIQ.

1. Clique em Data Protection > SyncIQ > Policies.

2. Na tabela SyncIQ Policies, na coluna Actions de um trabalho, selecione Start Job.

Conceitos relacionados

Políticas e trabalhos de replicação

Pausar um trabalho de replicaçãoÉ possível pausar um trabalho de replicação em execução e retomá-lo posteriormente. Pausar um trabalho de replicação temporariamente impede que os dados sejam replicados, mas não libera os recursos do cluster envolvidos na replicação dos dados.

1. Clique em Data Protection > SyncIQ > Summary.

2. Na tabela Active Jobs, na coluna Actions de um trabalho, clique em Pause Running Job.

Conceitos relacionados

Políticas e trabalhos de replicação

Retomar um trabalho de replicaçãoVocê pode retomar uma sessão de replicação pausada.

1. Clique em Data Protection > SyncIQ > Summary.

2. Na tabela Currently Running, na columa Actions de um trabalho, clique em Resume Running Job.

Conceitos relacionados

Políticas e trabalhos de replicação

Cancelar um trabalho de replicaçãoVocê pode cancelar um trabalho de replicação em execução ou pausado. O cancelamento de um trabalho de replicação impede que os dados sejam replicados e libera os recursos do cluster que estavam envolvidos na replicação. Não é possível retomar um trabalho de replicação cancelado. Para reiniciar a replicação, é necessário reiniciar a política de replicação.

1. Clique em Data Protection > SyncIQ > Summary.

2. Na tabela Active Jobs, na coluna Actions de um trabalho, clique em Cancel Running Job.

Conceitos relacionados

Políticas e trabalhos de replicação

Replicação de dados com o SyncIQ 231

Exibir trabalhos de replicação ativosVocê pode visualizar informações sobre os trabalhos de replicação que estejam pausados ou em execução no momento.

1. Clique em Data Protection > SyncIQ > Policies.

2. Na tabela Active Jobs, analise as informações de trabalhos de replicação ativos.

Conceitos relacionados

Políticas e trabalhos de replicação

Referências relacionadas

Informações do trabalho de replicação

Informações do trabalho de replicaçãoÉ possível visualizar informações de trabalhos de replicação na tabela Active Jobs.

Status O status do trabalho. Os seguintes status de trabalho são possíveis:

Running Os trabalhos em execução no momento sem erro.

Paused O trabalho que foi pausado temporariamente.

Policy Name O nome da política de replicação associada.

Started A hora de início do trabalho.

Elapsed O tempo decorrido desde que o trabalho foi iniciado.

Transferred O número de arquivos transferidos e o tamanho total de todos os arquivos transferidos.

Source Directory O caminho do diretório de origem no cluster de origem.

Target Host O diretório de destino no cluster de destino.

Ações Exibe todas as ações relacionadas ao trabalho que você pode executar.

Iniciando o failover e o failback de dados com o SyncIQÉ possível fazer o failover de um cluster do Isilon para outro se, por exemplo, seu cluster principal ficar indisponível. Nesse caso, você poderá fazer o failback quando o cluster principal ficar disponível novamente. Você também pode inverter o failover se decidir que ele foi desnecessário ou se o fez para fins de teste.

NOTA: Agora, o failover e o failback de dados são compatíveis com os diretórios corporativos e de conformidade do

SmartLock. Os diretórios de conformidade do SmartLock somente podem ser criados em clusters que foram

configurados como clusters em modo de conformidade durante a configuração inicial.

Conceitos relacionados

Failover e failback de dados com SyncIQ

Failover de dados a um cluster secundárioÉ possível fazer o failover a um cluster secundário do Isilon se seu cluster principal ficar indisponível.

Você deve ter criado e executado com sucesso uma política de replicação no cluster principal. Essa ação replicará os dados no cluster secundário.

NOTA: O failover de dados é compatível com os diretórios corporativos e de conformidade do SmartLock. Um diretório

de conformidade do SmartLock exige sua própria política separada de replicação.

Siga o procedimento a seguir para cada política de replicação para a qual deseja fazer failover.

232 Replicação de dados com o SyncIQ

1. Se o cluster principal ainda estiver on-line, siga as seguintes etapas:

a) Interromper todas as gravações no caminho da política de replicação, inclusive a atividade local e do client.

Essa ação garantirá que os novos dados não sejam gravados no caminho da política enquanto você se prepara para fazer failover para o cluster secundário.

b) Modificar a política de replicação para que ela seja configurada para ser executada apenas manualmente.

Essa ação impedirá que a política do cluster principal execute um trabalho de replicação automaticamente. Se a política do cluster principal executar um trabalho de replicação enquanto as gravações forem autorizadas no diretório de destino, o trabalho falhará e a política de replicação será desativada. Se isso acontecer, modifique a política para que ela seja definida para ser executada apenas manualmente, resolva a política e conclua o processo de failback. Depois de concluir o processo de failback, você pode modificar a política para ela ser executada novamente de acordo com um agendamento.

2. No cluster secundário, clique em Data Protection > SyncIQ > Local Targets.

3. Na tabela SyncIQ Local Targets, selecione More > Allow Writes para uma política de replicação.

4. Reative o acesso do client e instrua os usuários a começar a acessar os dados no cluster secundário.

Conceitos relacionados

Failover de dados

Reverter uma operação de failoverA inversão de uma operação de failover em um cluster secundário permite que você replique os dados do cluster principal no cluster secundário. A reversão de failover será útil se o cluster principal ficar disponível antes que os dados sejam alterados no cluster secundário ou se você executou o failover para um cluster secundário para teste.

Faça o failover executando uma política de replicação.

A reversão de uma operação de failover não migra dados alterados de volta para o cluster principal. Para migrar dados que os clients modificaram no cluster secundário, você deve fazer failback para o cluster principal.

Execute o seguinte procedimento para cada política de replicação para a qual deseja fazer failover:

1. Clique em Data Protection > SyncIQ > Local Targets.

2. Na tabela SyncIQ Local Targets, na linha de cada política de replicação, coluna Actions, selecione Disallow Writes.

Efetuar o failback de dados para um cluster primárioApós realizar um failover para um cluster secundário, você poderá fazer failback de volta para o cluster principal.

Antes de fazer um failback para o cluster principal, você já deve ter feito o failover para o cluster secundário. Além disso, você deve garantir que o cluster primário esteja novamente on-line.

NOTA: O failback de dados é compatível com os diretórios corporativos e de conformidade do SmartLock. Se os clients

confirmarem novos arquivos do SmartLock enquanto o cluster secundário estiver em operação, esses arquivos do

SmartLock serão replicados ao cluster principal durante o failback.

1. No cluster principal, clique em Data Protection > SyncIQ > Policies.

2. Na lista SyncIQ Policies, para uma política de replicação, clique em More > Resync-prep.

Essa ação fará com que o SyncIQ crie uma política de espelhamento para a política de replicação no cluster principal e secundário. A política de espelhamento será colocada em Data Protection > SyncIQ > Local Targets no cluster principal. No cluster secundário, a política de espelhamento é colocada em Data Protection > SyncIQ > Policies.

O SyncIQ atribui nomes às políticas de espelhamento de acordo com a seguinte padrão:

<replication-policy-name>_mirror3. Antes de iniciar o processo de failback, impeça que os clients acessem o cluster secundário.

Essa ação garante que o SyncIQ faça o failback do conjunto de dados mais recente, inclusive todas as alterações que os usuários fizeram nos dados no cluster secundário, enquanto o cluster principal estava fora de serviço. Recomendamos que você aguarde até que a atividade dos clients esteja baixa antes de impedir o acesso ao cluster secundário.

4. No cluster secundário, clique em Data Protection > SyncIQ > Policies.

5. Na lista SyncIQ Policies, na política de espelhamento, clique em More > Start Job.

Como alternativa, você pode editar a política de espelhamento no cluster secundário e especificar um agendamento para executá-la.

6. No cluster principal, clique em Data Protection > SyncIQ > Local Targets.

Replicação de dados com o SyncIQ 233

7. No cluster principal, na lista SyncIQ Local Targets, na política de espelhamento, selecione More > Allow Writes.

8. No cluster secundário, clique em Data Protection > SyncIQ > Policies.

9. No cluster secundário, na lista SyncIQ Policies, clique em More > Resync-prep para a política de espelhamento.

Isso recolocará o cluster secundário no modo somente leitura e garantirá que os conjuntos de dados sejam consistentes em ambos os clusters.

Redirecione os clients para que eles comecem a acessar os dados no cluster principal. Embora não seja necessário, é melhor remover uma política de espelhamento após o failback ser concluído com sucesso.

Conceitos relacionados

Failback de dados

Executar o trabalho ComplianceStoreDelete em um domínio do modo de conformidade do SmartlockO SyncIQ trata conflitos durante as operações de failover/failback em um domínio do modo de conformidade do SmartLock, desvinculando os arquivos confirmados da área de armazenamento do usuário e deixando um link do arquivo na área de armazenamento de conformidade. O trabalho ComplianceStoreDelete monitora e remove automaticamente os arquivos expirados da área de armazenamento de conformidade, caso eles tenham sido colocados nela como resultado da resolução de conflitos do SyncIQ.

Por exemplo, você executa um failover ou failback do SyncIQ em um domínio do modo de conformidade do SmartLock. A operação resulta na reversão de um arquivo confirmado para o estado não confirmado. Para a resolução de conflitos, uma cópia do arquivo confirmado é armazenada na área de armazenamento de conformidade. Por fim, o arquivo confirmado na área de armazenamento de conformidade expira. O trabalho ComplianceStoreDelete é executado automaticamente uma vez por mês e exclui o arquivo expirado. Os arquivos expirados que estão em uso (referenciados de fora da área de armazenamento de conformidade) não serão excluídos.

O trabalho ComplianceStoreDelete é executado automaticamente uma vez por mês ou quando iniciado manualmente. Você pode executar o trabalho manualmente a partir da IU da Web, na página Job Operations.

1. Clique em Cluster Management > Job Operations > Job Types.

2. Na tabela Job Types, clique em Start Job na linha ComplianceStoreDelete.A caixa de diálogo Start a Job será exibida.

3. Clique em Start Job.

Realizando a recuperação de desastres dos diretórios mais antigos do SmartLockSe você tiver replicado um diretório de conformidade do SmartLock para um cluster secundário que executa o OneFS 7.2.1 ou versões anteriores, não poderá fazer failback do diretório de conformidade do SmartLock para um cluster principal que execute o OneFS 8.0.1 ou versões posteriores. No entanto, será possível recuperar o diretório de conformidade do SmartLock armazenado no cluster secundário e migrá-lo de volta ao cluster principal.

NOTA: O failover e o failback de dados com versões anteriores do OneFS são compatíveis com os diretórios corporativos

do SmartLock.

Recuperar diretórios de conformidade do SmartLock em um cluster de destinoVocê pode recuperar os diretórios de conformidade do SmartLock que foram replicados a um cluster secundário executando o OneFS 7.2.1 ou versões anteriores.

Conclua o procedimento a seguir para cada diretório de conformidade do SmartLock que deseja recuperar.

1. No cluster secundário, clique em Data Protection > SyncIQ > Local Targets.

2. Na tabela SyncIQ Local Targets, na política de replicação, habilite gravações para o diretório de destino da política.

• Se o último trabalho de replicação for concluído com sucesso e não houver trabalhos de replicação em execução no momento, selecione Allow Writes.

• Se um trabalho de replicação estiver em execução no momento, aguarde o término e selecione Allow Writes.

234 Replicação de dados com o SyncIQ

• Se o cluster principal ficar indisponível durante a execução de um trabalho de replicação, selecione Break Association. Observe que a associação somente deve ser interrompida se o cluster principal for mantido off-line de modo permanente.

3. Se você clicou em Break Association, recupere todos os arquivos que forem deixados em um estado inconsistente.

a) Exclua do diretório de destino todos os arquivos que não estiverem no estado WORM.b) Copie todos os arquivos do snapshot de failover no diretório de destino.

Os snapshots de failover são nomeados de acordo com o seguinte padrão de nomenclatura:

SIQ-Failover-<policy-name>-<year>-<month>-<day>_<hour>-<minute>-<second>Os snapshots estão armazenados no diretório /ifs/.snapshot.

4. Se alguma configuração do diretório do SmartLock, como um período de autocommit, tiver sido especificada para o diretório de origem da política de replicação, aplique-a ao diretório de destino.

Como as informações de confirmação automática não são transferidas para o cluster de destino, os arquivos que foram agendados para serem confirmados para o estado WORM no cluster de origem inicial não serão agendados para serem confirmados ao mesmo tempo no cluster de destino. Para garantir que todos os arquivos sejam retidos pelo período adequado, você pode confirmar todos os arquivos dos diretórios de destino do SmartLock para o estado WORM.

Por exemplo, o seguinte comando confirma automaticamente todos os arquivos em /ifs/data/smartlock para um estado WORM após um minuto:

isi worm domains modify /ifs/data/smartlock --autocommit-offset 1m

Redirecione os clients para acessar o cluster de destino.

Migrar diretórios de conformidade do SmartLockVocê pode migrar diretórios de conformidade do SmartLock a partir de um cluster de recuperação, replicando os diretórios de volta ao cluster de origem inicial ou a um novo cluster. A migração é necessária somente quando o cluster de recuperação está executando o OneFS 7.2.1 ou versão anterior. Essas versões do OneFS não dão suporte a failover e o failback dos diretórios de conformidade do SmartLock.

1. No cluster de recuperação, crie uma política de replicação para cada diretório de conformidade do SmartLock que você deseja migrar para outro cluster (o cluster principal original ou um novo cluster).

As políticas devem atender aos seguintes requisitos:

• O diretório de origem do cluster de recuperação é o diretório de conformidade do SmartLock que você está migrando.• O diretório de destino é um diretório de conformidade do SmartLock em branco no cluster ao qual os dados estão sendo migrados.

Os diretórios de origem e de destino devem ser diretórios de conformidade do SmartLock.

2. Replique os dados de recuperação no diretório de destino executando as políticas que você criou.

É possível replicar dados manualmente iniciando as políticas ou especificando um agendamento.

3. Opcional: Para garantir que a proteção do SmartLock seja imposta a todos os arquivos, confirme todos os arquivos migrados no diretório de destino do SmartLock para o estado WORM.

Como as informações de confirmação automática não são transferidas do cluster de recuperação, confirme todos os arquivos migrados nos diretórios de destino do SmartLock para o estado WORM.

Por exemplo, o seguinte comando confirma automaticamente todos os arquivos em /ifs/data/smartlock para um estado WORM após um minuto:

isi worm domains modify /ifs/data/smartlock --autocommit-offset 1m

Essa etapa será desnecessária se você configurou um período de confirmação automática para os diretórios do SmartLock que estão sendo migrados.

4. No cluster que tem os dados migrados, clique em Data Protection > SyncIQ > Local Targets.

5. Na tabela SyncIQ Local Targets, para cada política de replicação, selecione More > Allow Writes.

6. Opcional: Se alguma configuração de diretórios do SmartLock, como um período de confirmação automática, tiver sido especificada para os diretórios de origem das políticas de replicação, aplique-a aos diretórios de destino do cluster que, agora, contém os dados migrados.

7. Opcional: Exclua a cópia dos dados do SmartLock do cluster de recuperação.

Não será possível recuperar o espaço consumido pelos diretórios de origem do SmartLock até que todos os arquivos sejam liberados do estado WORM. Se quiser liberar espaço antes de os arquivos serem liberados do estado WORM, entre em contato com o suporte técnico do Isilon para obter informações sobre a reformatação de seu cluster de recuperação.

Replicação de dados com o SyncIQ 235

Gerenciando as políticas de replicaçãoVocê pode modificar, exibir, ativar e desativar as políticas de replicação.

Conceitos relacionados

Políticas e trabalhos de replicação

Modificar uma política de replicaçãoVocê pode modificar as configurações de uma política de replicação.

Se você modificar alguma das seguintes configurações após a execução da política, o OneFS executará uma replicação completa ou diferencial da próxima vez que ela for executada:

• Diretório de origem• Diretórios incluídos ou excluídos• Instrução de critérios de arquivos• Cluster de destino

Isso se aplicará somente se você definir um cluster diferente. Se você modificar o IP ou o nome de domínio de um cluster de destino e, em seguida, modificar a política de replicação no cluster de origem para coincidir com o novo IP ou nome de domínio, não será executada uma replicação completa.

• Diretório de destino

1. Clique em Data Protection > SyncIQ > Policies.

2. Na tabela SyncIQ Policies, na linha de uma política, clique em View/Edit.

3. Na caixa de diálogo View SyncIQ Policy Details, clique em Edit Policy.

4. Modifique as configurações da política de replicação e clique em Save Changes.

Referências relacionadas

Configurações da política de replicação

Excluir uma política de replicaçãoVocê pode excluir uma política de replicação. Assim que uma política for excluída, o SyncIQ não cria mais trabalhos de replicação para ela. A exclusão de uma política de replicação remove a associação de destino do cluster de destino e permite gravações para o diretório de destino.

Se você deseja impedir temporariamente uma política de replicação de criar trabalhos de replicação, é possível desativá-la e, depois, reativá-la posteriormente.

1. Clique em Data Protection > SyncIQ > Policies.

2. Na tabela SyncIQ Policies, na linha de uma política, selecione Delete Policy.

3. Na caixa de diálogo de confirmação, clique em Delete.

NOTA: A operação não será realizada com sucesso até que o SyncIQ consiga se comunicar com o cluster de destino;

até esse momento, a política não será removida da tabela SyncIQ Policies. Depois que a conexão entre o cluster de

origem e o cluster de destino for restabelecida, o SyncIQ excluirá a política na próxima vez que o trabalho for

agendado para execução; se a política estiver configurada para ser executada apenas manualmente, você deverá

executá-la manualmente mais uma vez. Se o SyncIQ não conseguir se comunicar de modo permanente com o cluster

de destino, execute o comando isi sync policies delete com a opção --local-only. Isso excluirá a política

somente do cluster local e não interromperá a associação de destino do cluster de destino. Para obter mais

informações, consulte o Guia de Administração da CLI do OneFS.

Conceitos relacionados

Políticas e trabalhos de replicação

236 Replicação de dados com o SyncIQ

Habilitar ou desabilitar uma política de replicaçãoÉ possível impedir temporariamente que uma política de replicação crie trabalhos de replicação e, em seguida, reativá-la.

NOTA:

Se você desabilitar uma política de replicação durante a execução de um trabalho de replicação associado, ele não será

interrompido. Entretanto, a política não criará outro trabalho até ser ativada.

1. Clique em Data Protection > SyncIQ > Policies.

2. Na tabela SyncIQ Policies, na linha para uma política de replicação, selecione Enable Policy ou Disable Policy.

Se nem Enable Policy nem Disable Policy for exibido, verifique se há algum trabalho de replicação em execução para a política. Se não houver nenhum trabalho de replicação associado em execução, verifique se a licença do SyncIQ está ativa no cluster.

Conceitos relacionados

Políticas e trabalhos de replicação

Exibir políticas de replicaçãoVocê pode visualizar informações sobre políticas de replicação.

1. Clique em Data Protection > SyncIQ > Policies.

2. Na tabela SyncIQ Policies, analise as informações sobre políticas de replicação.

Conceitos relacionados

Políticas e trabalhos de replicação

Referências relacionadas

Configurações da política de replicação

Informações da política de replicaçãoVocê pode visualizar informações sobre políticas de replicação na tabela SyncIQ Policies.

Policy Name O nome da política.

Estado Se a política está habilitada ou desabilitada.

Last Known Good Data do último trabalho executado com sucesso.

Agendamento Data do próximo trabalho a ser executado. Um valor de Manual indica que o trabalho pode ser executado apenas manualmente. Um valor de When source is modified indica que o trabalho será executado sempre que alterações forem feitas no diretório de origem.

Source Directory O caminho do diretório de origem no cluster de origem.

Target Host : Diretório

O endereço IP ou o nome do domínio completo do cluster de destino e o caminho completo do diretório de destino.

Ações Todas as ações relacionadas à política que você pode executar.

Tarefas relacionadas

Exibir políticas de replicação tendo como alvo o cluster local

Configurações da política de replicaçãoVocê configura as políticas de replicação para serem executadas de acordo com as configurações de políticas de replicação.

Policy name O nome da política.

Descrição Descreve a política. Por exemplo, a descrição pode explicar a finalidade ou a função da política.

Replicação de dados com o SyncIQ 237

Habilitado Determina se a política está habilitada.

Ação Determina como a política replica os dados. Todas as políticas copiam arquivos do diretório de origem no diretório de destino e atualizam os arquivos no diretório de destino para que correspondam aos arquivos presentes no diretório de origem. A ação determina como a exclusão de um arquivo no diretório de origem afeta o destino. Os seguintes valores são válidos:

Copy Se um arquivo for excluído do diretório de origem, ele não será excluído do diretório de destino.

Synchronize Excluirá os arquivos do diretório de destino se eles não estiverem mais presentes no diretório de origem. Isso garante que uma réplica exata do diretório de origem seja mantida no cluster de destino.

Run job Determina se os trabalhos serão executados automaticamente de acordo com uma programação ou somente quando especificado manualmente pelo usuário.

Last Successful Run

Exibe a última vez que um trabalho de replicação foi concluído com sucesso para a política.

Last Started Exibe a última vez que a política foi executada.

Source Root Directory

O caminho completo do diretório de origem. Os dados são replicados do diretório de origem para o diretório de destino.

Included Directories

Determina quais diretórios são incluídos na replicação. Se um ou mais diretórios forem especificados por essa configuração, os diretórios que não forem especificados não serão replicados.

Excluded Directories

Determina quais diretórios serão excluídos da replicação. Os diretórios especificados por essa configuração não são replicados.

File Matching Criteria

Determina quais arquivos serão excluídos da replicação. Os arquivos que não atenderem aos critérios especificados não serão replicados.

Restrict Source Nodes

Determina se a política pode ser executada em todos os nós do cluster de origem ou apenas em nós específicos.

Target Host O endereço IP ou o nome do domínio completo do cluster de destino.

Target Directory O caminho completo do diretório de destino. Os dados são replicados do diretório de origem para o diretório de destino .

Restrict Target Nodes

Determina se a política pode se conectar a todos os nós no cluster de destino ou somente a nós específicos.

Capture Snapshots

Determina se serão gerados snapshots de arquivamento no cluster de destino.

Snapshot Alias Name

Especifica um alias para o snapshot de arquivamento mais recente obtido no cluster de destino.

Snapshot Naming Pattern

Especifica como os snapshots de arquivamento são nomeados no cluster de destino.

Snapshot Expiration

Especifica quanto tempo os snapshots de arquivamento serão mantidos no cluster de destino antes de serem excluídos automaticamente pelo sistema.

Workers Threads Per Node

Especifica o número de operadores por nó gerados pelo OneFS para executar cada trabalho de replicação para a política.

Log Level Especifica a quantidade de informações que são registradas para trabalhos de replicação.

Opções mais detalhadas incluem todas as informações de opções menos detalhadas. A seguinte tabela mostra os níveis de registro, do menos para o mais detalhado:

• Fatal• Erro• Aviso• Info• Copy• Debug• Rastreamento

238 Replicação de dados com o SyncIQ

Os registros de replicação são normalmente usados para fins de depuração. Se necessário, você pode fazer log-in em um nó pela interface de linha de comando e visualizar o conteúdo do arquivo /var/log/isi_migrate.log no nó.

NOTA: Notice é o nível de registro recomendado.

Validate File Integrity

Determina se o OneFS executa um checksum em cada pacote de dados de arquivos que é afetado por um trabalho de replicação. Se não houver correspondência para um valor de checksum, o OneFS transmitirá novamente o pacote de dados de arquivo afetado.

Keep Reports For Especifica quanto tempo os relatórios de replicação serão mantidos antes que sejam excluídos automaticamente pelo OneFS.

Log Deletions on Synchronization

Determina se o OneFS registrará ou não quando um trabalho de sincronização excluir arquivos ou diretórios no cluster de destino.

Os campos da política de replicação a seguir estão disponíveis apenas por meio da interface de linha de comando do OneFS.

Source Subnet Especifica se os trabalhos de replicação se conectam a algum nó do cluster ou se podem se conectar apenas aos nós em uma sub-rede especificada.

Source Pool Especifica se os trabalhos de replicação se conectam a algum nó do cluster ou se podem se conectar apenas aos nós de um pool especificado.

Password Set Especifica uma senha para acessar o cluster de destino.

Report Max Count Especifica o número máximo de relatórios de replicação que são mantidos para essa política.

Target Compare Initial Sync

Determina se replicações completas ou diferenciais são executadas para essa política. Replicações completas ou diferenciais são executadas na primeira vez que uma política é executada e depois que uma política é redefinida.

Source Snapshot Archive

Determina se os snapshots gerados para a política de replicação no cluster de origem serão excluídos quando a próxima política de replicação for executada. Habilitar snapshots de arquivamento de origem não exige que você ative a licença do SnapshotIQ no cluster.

Source Snapshot Pattern

Se os snapshots gerados para a política de replicação no cluster de origem forem mantidos, renomeará os snapshots de acordo com o padrão especificado.

Source Snapshot Expiration

Se os snapshots gerados para a política de replicação no cluster de origem forem mantidos, especificará um período de expiração para eles.

Restrict Target Network

Determina se os trabalhos de replicação se conectam somente a nós em uma determinada zona do SmartConnect. Essa configuração se aplicará apenas se o host de destino estiver especificado como uma zona do SmartConnect.

Target Detect Modifications

Determina se o SyncIQ verificará ou não se há modificações no diretório de destino antes de replicar arquivos. Por padrão, o SyncIQ sempre verifica se há modificações.

NOTA: Desabilitar essa opção pode resultar em perda de dados. Recomenda-se que você consulte

o suporte técnico do Isilon antes de desabilitar essa opção.

Resolve Determina se você pode resolver manualmente a política se um trabalho de replicação encontrar um erro.

Gerenciando a replicação ao cluster localVocê pode interromper os trabalhos de replicação que se destinam ao cluster local.

Você pode cancelar uma tarefa em execução atualmente destinada ao cluster local ou pode remover a associação entre uma política e seu destino especificado. Remover uma associação de clusters de origem e de destino faz com que o SyncIQ realize uma replicação completa na próxima execução da política.

Cancelar a replicação para o cluster localÉ possível cancelar um trabalho de replicação que seja destinado aos clusters locais.

1. Clique em Data Protection > SyncIQ > Local Targets.

2. Na tabela SyncIQ Local Targets, especifique se deverá cancelar um trabalho de replicação específico ou todos os trabalhos de replicação que visem ao cluster local.

Replicação de dados com o SyncIQ 239

• Para cancelar um trabalho específico, na linha de um trabalho de replicação, selecione Cancel Running Job.• Para cancelar todos os trabalhos que visem ao cluster local, marque a caixa de seleção à esquerda de Policy Name e, em seguida,

selecione Cancel Selection na lista Select a bulk action.

Dividir a associação do destino localÉ possível dividir a associação entre uma política de replicação e o cluster local. A divisão da associação de destino permitirá gravações no diretório de destino, mas também exigirá a redefinição da política de replicação antes de executá-la novamente.

CUIDADO:

Redefinida a política de replicação, o SyncIQ executará uma replicação completa ou diferencial da próxima vez que ela

for executada. Dependendo do volume de dados que está sendo replicado, a replicação completa ou diferencial pode

levar muito tempo para ser concluída.

1. Clique em Data Protection > SyncIQ > Local Targets.

2. Na tabela SyncIQ Local Targets, na linha de uma política de replicação, selecione Break Association.

3. Na caixa de diálogo Confirm, clique em Yes.

Exibir políticas de replicação tendo como alvo o cluster localÉ possível visualizar informações sobre as políticas de replicação que estão replicando dados no cluster local.

1. Clique em Data Protection > SyncIQ > Local Targets.

2. Na tabela SyncIQ Local Targets, visualize as informações sobre políticas de replicação.

Referências relacionadas

Informações da política de replicação

Informações de políticas de replicação remotaVocê pode visualizar as informações sobre as políticas de replicação que estão atualmente em vigor para o cluster local.

As seguintes informações são exibidas na tabela SyncIQ Local Targets:

ID O ID da política de replicação.

Policy Name O nome da política de replicação.

Source Host O nome do cluster de destino.

Source Cluster GUID

O GUID do cluster de origem.

Coordinator IP O endereço IP do nó no cluster de origem que funciona como o coordenador do trabalho.

Atualizado A data em que dados sobre a política ou o trabalho foram coletados pela última vez do cluster de origem.

Target Path O caminho do diretório de destino no cluster de destino.

Status O status atual do trabalho de replicação.

Ações Exibe todas as ações relacionadas ao trabalho que você pode executar.

Gerenciando regras de desempenho de replicaçãoVocê pode gerenciar o impacto da replicação sobre o desempenho do cluster criando regras que limitam o tráfego de rede criado e a taxa na qual os arquivos são enviados pelos trabalhos de replicação.

Conceitos relacionados

Controlando o consumo de recursos de trabalhos de replicação

240 Replicação de dados com o SyncIQ

Criar uma regra de tráfego de redeVocê pode criar uma regra de tráfego de rede que limite o volume de tráfego de rede que as políticas de replicação podem gerar durante um período especificado.

1. Clique em Data Protection > SyncIQ > Performance Rules.

2. Clique em Create a SyncIQ Performance Rule.

3. Na lista Rule Type, selecione Bandwidth.

4. No campo Limit, especifique o número máximo de kilobits por segundo que as políticas de replicação podem enviar.

5. Na área Schedule, especifique a hora e os dias da semana em que você deseja aplicar a regra.

6. Clique em Create Performance Rule.

Conceitos relacionados

Controlando o consumo de recursos de trabalhos de replicação

Criar uma regra de operações de arquivoVocê pode criar uma regra de operações de arquivos que limita o número de arquivos que os trabalhos de replicação podem enviar por segundo.

1. Clique em Data Protection > SyncIQ > Performance Rules.

2. Clique em Create a SyncIQ Performance Rule.

3. Na lista Rule Type, selecione Bandwidth.

4. No campo Limit, especifique o número máximo de arquivos por segundo que as políticas de replicação podem enviar.

5. Na área Schedule, especifique a hora e os dias da semana em que você deseja aplicar a regra.

6. Clique em Create Performance Rule.

Conceitos relacionados

Controlando o consumo de recursos de trabalhos de replicação

Modificar uma regra de desempenhoÉ possível modificar uma regra de desempenho.

1. Clique em Data Protection > SyncIQ > Performance Rules.

2. Em SyncIQ Performance Rules, na linha da regra a ser modificada, clique em View/Edit.

3. Clique em Edit Performance Rule.

4. Modifique as configurações da regra e clique em Save Changes.

Conceitos relacionados

Controlando o consumo de recursos de trabalhos de replicação

Excluir uma regra de desempenhoÉ possível excluir uma regra de desempenho.

1. Clique em Data Protection > SyncIQ > Performance Rules.

2. Na tabela SyncIQ Performance Rules, na linha da regra a ser excluída, selecione Delete Rule.

3. Na caixa de diálogo Confirm Delete, clique em Delete.

Conceitos relacionados

Controlando o consumo de recursos de trabalhos de replicação

Replicação de dados com o SyncIQ 241

Ativar ou desativar uma regra de desempenhoVocê pode desativar uma regra de desempenho para impedir temporariamente sua imposição. Também é possível ativar uma regra de desempenho depois de desabilitada.

1. Clique em Data Protection > SyncIQ > Performance Rules.

2. Na tabela SyncIQ Performance Rules, na linha de uma regra a ser ativada ou desativada, selecione Enable Rule ou Disable Rule.

Conceitos relacionados

Controlando o consumo de recursos de trabalhos de replicação

Exibir regras de desempenhoVocê pode visualizar informações sobre regras de desempenho de replicação.

1. Clique em Data Protection > SyncIQ > Performance Rules.

2. Na tabela SyncIQ Performance Rules, visualize informações sobre regras de desempenho.

Conceitos relacionados

Controlando o consumo de recursos de trabalhos de replicação

Gerenciando relatórios de replicaçãoAlém de exibir os relatórios de replicação, você pode configurar por quanto tempo eles serão mantidos no cluster. Você também pode excluir todos os relatórios que passarem do período de expiração.

Conceitos relacionados

Relatórios de replicação

Definir configurações de relatório de replicação padrãoVocê pode configurar o intervalo de tempo padrão durante o qual o SyncIQ mantém relatórios de replicação. Também é possível configurar o número máximo de relatórios que o SyncIQ mantém para cada política de replicação.

1. Clique em Data Protection > SyncIQ > Settings.

2. Na área Report Settings, na área Keep Reports For, especifique o intervalo de tempo pelo qual você deseja manter relatórios de replicação.

Terminado o período de expiração especificado para um relatório, o SyncIQ o excluirá automaticamente.

Ao visualizar um relatório, algumas unidades de tempo são exibidas de maneira diferente da especificada originalmente. Ao digitar um número de dias igual a um valor correspondente em semanas, meses ou anos, a maior unidade de tempo será exibida. Por exemplo, se você especificar um valor de 7 dias, será exibido 1 semana para esse relatório depois de criado. Essa alteração ocorre porque o SyncIQ registra internamente os períodos de retenção de relatórios em segundos e, em seguida, os converte em dias, semanas, meses ou anos para exibição.

3. No campo Number of Reports to Keep Per Policy, digite o número máximo de relatórios que você deseja manter em determinado momento para uma política de replicação.

4. Clique em Submit.

Conceitos relacionados

Relatórios de replicação

Excluir relatórios de replicaçãoOs relatórios de replicação são excluídos rotineiramente pelo SyncIQ após a data de expiração. O SyncIQ também exclui relatórios depois que o número de relatórios excede o limite especificado. Os relatórios em excesso são excluídos periodicamente pelo SyncIQ; entretanto, você pode excluir manualmente e a qualquer momento todos os relatórios de replicação em excesso. Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

242 Replicação de dados com o SyncIQ

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Exclua os relatórios de replicação em excesso executando o seguinte comando:

isi sync reports rotate

Conceitos relacionados

Relatórios de replicação

Exibir relatórios de replicaçãoVocê pode visualizar relatórios e sub-relatórios de replicação.

1. Clique em Data Protection > SyncIQ > Reports.

2. Na tabela SyncIQ Reports, na linha de um relatório, clique em View Details.

Se um relatório for composto de sub-relatórios, o relatório será exibido como uma pasta. Os sub-relatórios são exibidos como arquivos em pastas de relatório.

Conceitos relacionados

Relatórios de replicação

Referências relacionadas

Informações dos relatórios de replicação

Informações dos relatórios de replicaçãoVocê pode exibir informações sobre os trabalhos de replicação na tabela Reports.

Policy Name O nome da política associada ao trabalho. Você pode exibir ou editar as configurações da política clicando no nome dela.

Status Exibe o status do trabalho. Os seguintes status de trabalho são possíveis:

Started Indica a hora em que o trabalho foi iniciado.

Ended Indica a hora em que o trabalho foi concluído.

Duração Exibe quanto tempo o trabalho levou para ser concluído.

Transferred O número total de arquivos que foram transferidos durante a execução do trabalho e o tamanho total de todos os arquivos transferidos. Para as políticas avaliadas, é exibida a mensagem Assessment.

Source Directory O caminho do diretório de origem no cluster de origem.

Target Host O endereço IP ou o nome do domínio completo do cluster de destino.

Ação Exibe todas as ações que você pode realizar relacionadas a relatórios.

Tarefas relacionadas

Exibir relatórios de replicação

Gerenciando trabalhos de replicação com falhaSe um trabalho de replicação apresentar falha devido a um erro, o SyncIQ pode desativar a política de replicação correspondente. Por exemplo, o SyncIQ pode desativar uma política de replicação se o IP ou o nome de host do cluster de destino for modificado. Se uma política de replicação estiver desativada, a política não pode ser executada.

Para retomar a replicação para uma política desativada, você deve corrigir o erro que causou sua desativação ou redefinir a política de replicação. Recomenda-se que você tente corrigir o problema em vez de redefinir a política. Caso você acredite que corrigiu o erro,

Replicação de dados com o SyncIQ 243

retorne a política de replicação para o estado ativado resolvendo a política. Você pode executar a política novamente para testar se o problema foi corrigido. Se o problema não for corrigido, você pode redefinir a política de replicação. Entretanto, redefinir uma política de replicação causa uma replicação completa ou diferencial na próxima vez em que a política for executada.

NOTA: Dependendo do volume de dados que está sendo sincronizado ou copiado, as replicações completas ou

diferenciais podem levar muito tempo para serem concluídas.

Resolver uma política de replicaçãoSe o SyncIQ desabilitar uma política de replicação devido a um erro de replicação, e você corrigir o problema que causou o erro, poderá resolver a política de replicação. Ao resolver uma política de replicação, é possível executá-la novamente. Se você não puder resolver o problema que ocasionou o erro, poderá redefinir a política de replicação.

1. Clique em Data Protection > SyncIQ > Policies.

2. Na tabela Policies, na linha de uma política, selecione Resolve.

Conceitos relacionados

Políticas e trabalhos de replicação

Redefinir uma política de replicaçãoSe um trabalho de replicação encontrar um erro que você não seja possível resolver, você poderá redefinir a política de replicação correspondente. A redefinição de uma política faz com que o OneFS execute uma replicação completa ou diferencial da próxima vez que ela é executada. A redefinição de uma política de replicação exclui o snapshot mais recente gerado para a política no cluster de origem.

CUIDADO: Dependendo do volume de dados que está sendo replicado, a replicação completa ou diferencial pode levar

muito tempo para ser concluída. Redefina uma política de replicação somente se você não puder resolver o problema que

ocasionou o erro de replicação. Se você corrigir o problema que ocasionou o erro, resolva a política em vez de redefini-la.

1. Clique em Data Protection > SyncIQ > Policies.

2. Na tabela SyncIQ Policies, na linha de uma política, selecione Reset Sync State.

Conceitos relacionados

Políticas e trabalhos de replicação

Executar uma replicação completa ou diferencialDepois de redefinir uma política de replicação, é necessário realizar uma replicação completa ou diferencial. Você só pode fazer isso na CLI.

Redefina uma política de replicação.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in com a conta root ou de administrador de conformidade.

2. Especifique o tipo de replicação que deseja realizar executando o comando isi sync policies modify.

• Para realizar uma replicação completa, desative a opção --target-compare-initial-sync.

Por exemplo, o seguinte comando desativa uma sincronização diferencial para a newPolicy:

isi sync policies modify newPolicy \--target-compare-initial-sync false

• Para realizar uma replicação diferencial, ative a opção --target-compare-initial-sync.

Por exemplo, o seguinte comando ativa a sincronização diferencial para a newPolicy:

isi sync policies modify newPolicy \--target-compare-initial-sync true

3. Execute a política com o comando isi sync jobs start.Por exemplo, o seguinte comando executa a newPolicy:

isi sync jobs start newPolicy

244 Replicação de dados com o SyncIQ

Conceitos relacionados

Replicação completa e diferencial

Replicação de dados com o SyncIQ 245

Criptografia de dados com o SyncIQEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral da criptografia de dados do SyncIQ• Criptografia de tráfego do SyncIQ• Visão geral do controle de fluxo por política

Visão geral da criptografia de dados do SyncIQAgora, o OneFS permite que você criptografe dados do SyncIQ entre clusters do Isilon.

Você pode usar os recursos integrados do SyncIQ para criptografar os dados durante a transferência entre os clusters do Isilon e proteger os dados em trânsito durante as replicações entre clusters.

Agora, as políticas de SyncIQ oferecem suporte à criptografia completa para comunicações entre clusters.

É possível gerenciar os certificados facilmente com a ajuda da nova área de armazenamento do SyncIQ. A revogação de certificação é compatível por meio de um respondente Online Certificate Status Protocol (OCSP) externo.

Agora, os clusters do Isilon podem exigir que todas as políticas do SyncIQ de entrada e saída sejam criptografadas por meio de uma simples alteração nas configurações globais do SyncIQ.

Criptografia de tráfego do SyncIQOs dados do SyncIQ transmitidos entre os clusters de origem e de destino são criptografados.

O SyncIQ oferece proteção adicional contra ataques de Man-in-the-middle e impede relações não autorizadas da origem ou do destino. A configuração padrão de certificados para a criptografia de políticas do SyncIQ exige seis arquivos:

• SourceClusterCert.pem — um só certificado de entidade final que identifica o cluster de origem• SourceClusterKey.pem — o arquivo associado de chave privada que acompanha o certificado de identidade do cluster de origem• SourceClusterCA.pem — um arquivo autoassinado de CA raiz que emitiu o certificado de identidade do cluster de origem• TargetClusterCert.pem — um só certificado de entidade final que identifica o cluster de destino• TargetClusterKey.pem — o arquivo associado de chave privada que acompanha o certificado de identidade do cluster de destino• TargetClusterCA.pem — um arquivo autoassinado de CA raiz que emitiu o certificado de identidade do cluster de destino (pode ser

igual ao item 3)

Como a criptografia do SyncIQ exige handshakes SSL de autenticação mútua, cada cluster deve especificar seu próprio certificado de identidade e o certificado da CA do peer.

Visão geral do controle de fluxo por políticaOneFS agora, permite que você defina regras de controle de fluxo por política.

As versões existentes do OneFS permitem que você configure regras globais de controle de fluxo da largura de banda que são aplicadas de modo uniforme às políticas em execução. Agora, é possível definir as reservas de largura de banda por política, em vez de em nível global.

16

246 Criptografia de dados com o SyncIQ

Layout dos dados com o FlexProtectEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral do FlexProtect• Particionamento de arquivos• Proteção de dados solicitada• Recuperação de dados do FlexProtect• Solicitando proteção de dados• Configurações da proteção solicitada• Utilização do espaço em disco da proteção solicitada

Visão geral do FlexProtectUm cluster do Isilon é projetado para oferecer dados continuamente, mesmo quando um ou mais componentes falharem simultaneamente. O OneFS garante a disponibilidade de dados pelo particionamento ou espelhamento dos dados no cluster. Se um componente do cluster falhar, os dados armazenados no componente com defeito estarão disponíveis em outro componente. Após uma falha de componente, os dados perdidos são restaurados nos componentes íntegros pelo sistema exclusivo FlexProtect.

A proteção de dados é especificada no nível de arquivos, não no nível de blocks, permitindo que o sistema recupere os dados com rapidez. Já que todos os dados, metadados e informações de paridade são distribuídos por todos os nós, o cluster não requer um nó nem um drive dedicado de paridade. Isso garante que um único nó não limite a velocidade do processo de reconstrução.

Particionamento de arquivosO OneFS usa a rede interna de um cluster do Isilon para distribuir dados automaticamente entre os nós e discos individuais do cluster. Ele protege os arquivos à medida que os dados são gravados. Não é necessário realizar nenhuma ação separada para proteger os dados.

Antes de gravar arquivos no armazenamento, o OneFS dividirá os arquivos em fragmentos lógicos menores chamados de frações. O tamanho de cada fragmento de arquivo é conhecido como o tamanho da unidade de fração. Cada block do OneFS tem 8 KB e uma unidade de fração consiste em 16 blocks, o que representa um total de 128 KB por unidade de fração. Durante uma gravação, o OneFS divide os dados em frações e, depois, coloca-os logicamente em uma unidade de fração. Já que o OneFS grava os dados no cluster, ele preenche a unidade de fração e protege os dados de acordo com o número de nós graváveis e a política especificada de proteção.

O OneFS pode realocar dados continuamente e tornar o espaço de armazenamento mais utilizável e eficiente. À medida que o tamanho do cluster aumenta, o OneFS armazena arquivos grandes com mais eficiência.

Para proteger os arquivos que têm 128 KB ou menos, o OneFS não divide esses arquivos em fragmentos lógicos menores. Em vez disso, ele usa o espelhamento com FEC (Forward Error Connection). Com o espelhamento, o OneFS faz cópias de cada file data reduzido (N), adiciona um fragmento de paridade de FEC (M) e distribui várias instâncias de toda a unidade de proteção (N+M) em todo o cluster.

Proteção de dados solicitadaA proteção de dados solicitada determina o volume de dados redundantes criado no cluster para garantir que os dados estejam protegidos contra falhas de componentes. O OneFS permite que você modifique a proteção solicitada em tempo real enquanto os clients leem e gravam dados no cluster.

O OneFS oferece várias configurações de proteção de dados. Você pode modificar essas configurações de proteção a qualquer momento sem reinicializar ou colocar o cluster ou o file system off-line. Ao planejar sua solução de armazenamento, lembre-se de que aumentar a proteção solicitada reduz o desempenho das gravações e requer espaço adicional de armazenamento para o maior número de nós.

O OneFS usa o algoritmo Reed Solomon para a proteção N+M. No modelo de proteção de dados N+M, N representa o número de unidades de frações de dados e M representa o número de falhas simultâneas de nós ou de drives — ou uma combinação de falhas de nós e de drives — que o cluster pode suportar sem sofrer perda de dados. N deve ser maior que M.

17

Layout dos dados com o FlexProtect 247

Além da proteção de dados N+M, o OneFS também dá suporte ao espelhamento de dados de 2 a 8 vezes, permitindo de dois a oito espelhamentos de dados. Em termos de desempenho geral do cluster e de consumo de recursos, a proteção N+M geralmente é mais eficiente que a proteção espelhada. Entretanto, já que o desempenho de leitura e gravação é reduzido para a proteção N+M, o espelhamento de dados pode ser mais rápido para os dados que são atualizados com frequência e de tamanho reduzido. O espelhamento de dados requer uma sobrecarga significativa e podem nem sempre ser o melhor método de proteção de dados. Por exemplo, se você ativar o espelhamento de 3 vezes, o conteúdo especificado é duplicado três vezes no cluster; dependendo do volume de conteúdo espelhado, isso pode consumir uma quantidade significativa de espaço de armazenamento.

Conceitos relacionados

Solicitando proteção de dados

Referências relacionadas

Configurações da proteção solicitada

Utilização do espaço em disco da proteção solicitada

Recuperação de dados do FlexProtectO OneFS usa o sistema exclusivo FlexProtect para detectar e reparar arquivos e diretórios que estão em um estado degradado devido a falhas dos nó ou dos drives.

O OneFS protege os dados do cluster com base na política de proteção configurada. Ele reconstrói os discos com defeito, usa o espaço livre de armazenamento de todo o cluster para impedir a perda de dados, monitora dados e migra dados dos componentes que estão em risco.

O OneFS distribui todos os dados e informações sobre correção de erros ao cluster e garante que todos os dados permaneçam intactos e acessíveis, mesmo em caso de falhas simultâneas dos componentes. Em condições normais de operação, todos os dados do cluster são protegidos contra uma ou mais falhas de um nó ou de um drive. Entretanto, se um nó ou um drive falhar, o status da proteção do cluster é considerado como degradado até que os dados sejam protegidos pelo OneFS novamente. O OneFS protege os dados novamente reconstruindo os dados no espaço livre do cluster. Enquanto o status de proteção estiver em um estado degradado, os dados são mais vulneráveis à perda de dados.

Já que os dados são reconstruídos no espaço livre do cluster, o cluster não requer um nó nem um drive dedicado de hot spare para se recuperar de uma falha de componente. Como um determinado espaço livre é necessário para reconstruir os dados, recomenda-se que você reserve um espaço livre adequado no recurso de hot spare virtual.

À medida que você adicionar mais nós, o cluster obtém mais CPU, memória e discos para usar durante as operações de recuperação. Além disso, à medida que um cluster aumenta, as operações de novo fracionamento de dados tornam-se mais rápidas.

SmartfailO OneFS protege os dados armazenados em nós ou drives com falha por um processo chamado de smartfail.

Durante o processo de smartfail, o OneFS coloca um dispositivo em quarentena. Os dados armazenados nos dispositivos em quarentena são somente leitura. Quando um dispositivo é colocado em quarentena, o OneFS protege novamente os dados do dispositivo distribuindo os dados a outros dispositivos. Depois que toda a migração de dados estiver concluída, o OneFS remove logicamente o dispositivo do cluster, o cluster muda logicamente sua largura para a nova configuração e o nó ou o drive podem ser substituídos fisicamente.

O OneFS só faz o smartfail dos dispositivos como último recurso. Embora você possa fazer o smartfail manualmente dos nós ou drives, recomenda-se que você consulte primeiro o Suporte técnico do Isilon.

Ocasionalmente, um dispositivo pode falhar antes que o OneFS detecte um problema. Se um drive falhar sem passar por smartfail, o OneFS começará automaticamente a reconstruir os dados ao espaço livre disponível no cluster. No entanto, já que um nó pode se recuperar de uma falha, se um nó falhar, o OneFS somente começa a reconstruir os dados se o nó for removido logicamente do cluster.

Falhas dos nósJá que, muitas vezes, a perda de nós é um problema temporário, o OneFS não inicia automaticamente a nova proteção dos dados quando um nó apresenta falha ou fica off-line. Se um nó for reinicializado, o file system não precisará ser reconstruído porque permanece intacto durante a falha temporária.

Se você configurar a proteção de dados N+1 em um cluster, e se um nó falhar, todos os dados ainda poderão ser acessados de qualquer outro nó do cluster. Se o nó ficar on-line novamente, o nó reingressará no cluster automaticamente sem a necessidade de uma reconstrução completa.

248 Layout dos dados com o FlexProtect

Para garantir que os dados permaneçam protegidos, se você remover um nó fisicamente do cluster, também será necessário removê-lo logicamente. Depois de remover um nó logicamente, ele reformatará automaticamente seus próprios drives e se redefinirá às configurações padrão de fábrica. A redefinição ocorrerá somente depois que o OneFS confirmar que todos os dados foram protegidos novamente. Você pode remover um nó logicamente usando o processo de smartfail. É importante que você somente aplique o smartfail nos nós quando desejar removê-lo de modo permanente do cluster.

Se você remover um nó com falha antes de adicionar um novo nó, os dados armazenados no nó com falha deverão ser reconstruídos no espaço livre do cluster. Depois que o novo nó for adicionado, o OneFS distribuirá os dados a ele. É mais eficiente de adicionar um nó de reposição para o cluster antes do antigo nó falhar, já que o OneFS pode usar o nó de substituição imediatamente para reconstruir os dados armazenados no nó com falha.

Solicitando proteção de dadosÉ possível especificar a proteção de um arquivo ou de um diretório configurando sua proteção solicitada. Essa flexibilidade permite que você proteja conjuntos diferentes de dados em níveis mais altos que os níveis padrão.

A proteção solicitada dos dados é calculada pelo OneFS e definida automaticamente nos pools de armazenamento de seu cluster. A configuração padrão é mencionada como proteção sugerida e oferece o equilíbrio ideal entre proteção de dados e eficiência do armazenamento. Por exemplo, uma proteção sugerida de N+2:1 significa que duas unidades ou um nó podem falhar sem causar nenhuma perda de dados.

Para obter melhores resultados, recomendamos que você aceite pelo menos a proteção sugerida para os dados de seu cluster. Sempre é possível especificar um nível de proteção mais alto que o da proteção sugerida nos arquivos críticos, diretórios ou pools de nós.

O OneFS permite que você solicite proteção se o cluster não puder fazer a verificação de correspondência no momento. Se você solicitar uma proteção que não pode ser correspondida, o cluster continuará tentando fazer a correspondência da proteção solicitada até que uma correspondência seja possível. Por exemplo, em um cluster com 4 nós, você pode solicitar uma proteção de espelhamento de 5x. Nesse exemplo, o OneFS faria o espelhamento dos dados com 4x até você adicionar um 5º nó ao cluster; nesse momento, o OneFS protegeria os dados novamente com uma proteção 5x.

Se você definir a proteção solicitada para um nível abaixo da proteção sugerida, o OneFS avisará você sobre essa condição.

NOTA:

Para os nós 4U IQ das séries X e NL do Isilon, e para as plataformas de combinação IQ 12000X/EX 12000, o tamanho

mínimo de cluster de 3 nós exige uma proteção mínima de N+2:1.

Conceitos relacionados

Proteção de dados solicitada

Configurações da proteção solicitadaAs configurações da proteção solicitada determinam o nível de falha de hardware do qual um cluster pode se recuperar sem perda de dados.

Configuração da proteção solicitada Número mínimo de nós necessários

Definição

[+1n] 3 O cluster pode se recuperar de uma falha de drive ou de nó sem nenhuma perda de dados.

[+2d:1n] 3 O cluster pode se recuperar de duas falhas simultâneas de drive ou de uma falha de nó sem nenhuma perda de dados.

[+2n] 4 O cluster pode se recuperar de duas falhas simultâneas de drive ou de nó sem nenhuma perda de dados.

[+3d:1n] 3 O cluster pode se recuperar de três falhas simultâneas de drive ou de uma falha de nó sem nenhuma perda de dados.

[+3d:1n1d] 3 O cluster pode se recuperar de três falhas simultâneas de drive ou de falhas simultâneas de um nó e um drive sem nenhuma perda de dados.

Layout dos dados com o FlexProtect 249

Configuração da proteção solicitada Número mínimo de nós necessários

Definição

[+3n] 6 O cluster pode se recuperar de três falhas simultâneas de drive ou de nó sem nenhuma perda de dados.

[+4d:1n] 3 O cluster pode se recuperar de quatro falhas simultâneas de drive ou de uma falha de nó sem nenhuma perda de dados.

[+4d:2n] 4 O cluster pode se recuperar de quatro falhas simultâneas de drive ou de duas falhas de nó sem nenhuma perda de dados.

[+4n] 8 O cluster pode se recuperar de quatro falhas simultâneas de drive ou de nó sem nenhuma perda de dados.

Nx (espelhamento de dados) N

Por exemplo, 5x exige um mínimo de 5 nós.

O cluster pode se recuperar de N - 1 falhas de drive ou nó sem perda de dados. Por exemplo, uma proteção de 5x significa que o cluster pode se recuperar de quatro falhas de drive ou nó.

Conceitos relacionados

Proteção de dados solicitada

Utilização do espaço em disco da proteção solicitadaAumentar a proteção de dados solicitada também aumenta o tamanho do espaço consumido pelos dados no cluster.

A sobrecarga de paridade da proteção N + M depende do tamanho do arquivo e do número de nós do cluster. A porcentagem da sobrecarga de paridade diminui à medida que o cluster aumenta.

A tabela a seguir descreve a porcentagem estimada de sobrecarga, dependendo da proteção solicitada e do tamanho do cluster ou do pool de nós. Ela não exibe os níveis de proteção recomendados com base no tamanho do cluster.

Número de nós

[+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]

3 2 +1 (33%) 4 + 2 (33%)

— 6 + 3 (33%)

3 + 3 (50%) — 8 + 4 (33%)

— —

4 3 +1 (25%) 6 + 2 (25%)

2 + 2 (50%)

9 + 3 (25%)

5 + 3 (38%) — 12 + 4 (25%)

4 + 4 (50%)

—

5 4 +1 (20%) 8 + 2 (20%)

3 + 2 (40%)

12 + 3 (20%)

7 + 3 (30%) — 16 + 4 (20%)

6 + 4 (40%)

—

6 5 +1 (17%) 10 + 2 (17%)

4 + 2 (33%)

15 + 3 (17%)

9 + 3 (25%) 3 + 3 (50%)

16 + 4 (20%)

8 + 4 (33%)

—

7 6 +1 (14%) 12 + 2 (14%)

5 + 2 (29%)

15 + 3 (17%)

11 + 3 (21%) 4 + 3 (43%)

16 + 4 (20%)

10 + 4 (29%)

—

8 7 +1 (13%) 14 + 2 (12,5%)

6 + 2 (25%)

15 + 3 (17%)

13 + 3 (19%) 5 + 3 (38%)

16 + 4 (20%)

12 + 4 (25%)

4 + 4 (50%)

9 8 +1 (11%) 16 + 2 (11%)

7 + 2 (22%) 15 + 3 (17%)

15+3 (17%) 6 + 3 (33%)

16 + 4 (20%)

14 + 4 (22%)

5 + 4 (44%)

10 9 +1 (10%) 16 + 2 (11%)

8 + 2 (20%)

15 + 3 (17%)

15+3 (17%) 7 + 3 (30%)

16 + 4 (20%)

16 + 4 (20%)

6 + 4 (40%)

12 11 +1 (8%) 16 + 2 (11%)

10 + 2 (17%)

15 + 3 (17%)

15+3 (17%) 9 + 3 (25%)

16 + 4 (20%)

16 + 4 (20%)

8 + 4 (33%)

250 Layout dos dados com o FlexProtect

Número de nós

[+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]

14 13 + 1 (7%) 16 + 2 (11%)

12 + 2 (14%)

15 + 3 (17%)

15+3 (17%) 11 + 3 (21%)

16 + 4 (20%)

16 + 4 (20%)

10 + 4 (29%)

16 15 + 1 (6%) 16 + 2 (11%)

14 + 2 (13%)

15 + 3 (17%)

15+3 (17%) 13 + 3 (19%)

16 + 4 (20%)

16 + 4 (20%)

12 + 4 (25%)

18 16 + 1 (6%) 16 + 2 (11%)

16 + 2 (11%)

15 + 3 (17%)

15+3 (17%) 15 + 3 (17%)

16 + 4 (20%)

16 + 4 (20%)

14 + 4 (22%)

20 16 + 1 (6%) 16 + 2 (11%)

16 + 2 (11%)

16 + 3 (16%)

16 + 3 (16%) 16 + 3 (16%)

16 + 4 (20%)

16 + 4 (20%)

16 + 4 (20%)

30 16 + 1 (6%) 16 + 2 (11%)

16 + 2 (11%)

16 + 3 (16%)

16 + 3 (16%) 16 + 3 (16%)

16 + 4 (20%)

16 + 4 (20%)

16 + 4 (20%)

A sobrecarga de paridade da proteção de dados espelhados não é afetada pelo número de nós do cluster. A tabela a seguir descreve a sobrecarga de paridade da proteção espelhada solicitada.

2x 3x 4x 5x 6x 7x 8x

50% 67% 75% 80% 83% 86% 88%

Conceitos relacionados

Proteção de dados solicitada

Layout dos dados com o FlexProtect 251

Backup e recuperação do NDMPEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral do backup e recuperação do protocolo de gerenciamento de dados da rede• Backup NDMP bidirecional• Backup NDMP de três vias• Capacidade de suporte às sessões do NDMP no hardware de 6ª geração• Configurando os IPs preferenciais para as operações de três vias do NDMP• Backup e recuperação multi-stream do NDMP• Backups incrementais baseados em snapshot• Restauração e backup NDMP dos arquivos SmartLink• Suporte ao protocolo NDMP• DMAs compatíveis• Suporte ao hardware NDMP• Limitações do backup NDMP• Recomendações de desempenho do NDMP• Excluindo arquivos e diretórios de backups NDMP• Definindo configurações básicas de backup NDMP• Gerenciando contas de usuário NDMP• Visão geral das variáveis de ambiente do NDMP• Gerenciando contextos do NDMP• Gerenciando sessões de NDMP• Gerenciando portas Fibre Channel do NDMP• Gerenciando as configurações preferenciais de IP do NDMP• Gerenciando dispositivos de backup NDMP• Visão geral do arquivo dumpdates do NDMP• Operações de restauração do NDMP• Compartilhando unidades de fita entre clusters• Gerenciando os backups incrementais baseados em snapshots• Gerenciando o desempenho do cluster para sessões do NDMP• Gerenciando o uso da CPU para sessões do NDMP

Visão geral do backup e recuperação do protocolo de gerenciamento de dados da redeNo OneFS, você pode fazer o backup e a recuperação dos dados do file system pelo protocolo de gerenciamento de dados da rede (NDMP). Em um servidor de backup, é possível direcionar os processos de backup e recuperação entre um cluster do Isilon e dispositivos de backup, como dispositivos de fita, servidores de mídia e bibliotecas de fitas virtuais (VTLs).

Alguns dos recursos do NDMP (Network Data Management Protocol, protocolo de gerenciamento de dados da rede) são descritos a seguir:

• O NDMP dá suporte aos modelos de backup bidirecional e de três vias.• Com determinados aplicativos de gerenciamento de dados, o NDMP dá suporte à BRE (Backup Restartable Extension). A BRE do

NDMP permite que você retome um trabalho de backup com falha a partir do último checkpoint obtido antes da falha. O trabalho com falha será retomado automaticamente e não poderá ser agendado nem iniciado manualmente.

• Não é necessário ativar uma licença do SnapshotIQ no cluster para realizar backups do NDMP. Se você ativou uma licença do SnapshotIQ no cluster, é possível gerar um snapshot pela ferramenta SnapshotIQ e, depois, fazer o backup do mesmo snapshot. Se você fizer o backup de um snapshot do SnapshotIQ, o OneFS não criará outro snapshot para o backup.

• Também é possível fazer backup de domínios WORM por meio do NDMP.

18

252 Backup e recuperação do NDMP

Backup NDMP bidirecionalO backup NDMP bidirecional também é conhecido como backup NDMP local ou direto. Para executar backups NDMP bidirecionais, você deve conectar o cluster do Isilon a um nó Backup Accelerator que seja sinônimo de um nó Fibre Attached Storage, conectar um dispositivo de fita a esse nó. Em seguida, você deve usar o OneFS para detectar o dispositivo de fita para poder fazer backup nesse dispositivo.

Você pode conectar dispositivos de fita compatíveis diretamente às portas Fibre Channel de um nó Fibre Attached Storage. Também é possível conectar comutadores Fibre Channel às portas Fibre Channel do nó Fibre Attached Storage e conectar os dispositivos de fita e troca de mídia aos comutadores Fibre Channel. Para obter mais informações, consulte a documentação de comutadores Fibre Channel sobre o zoneamento do comutador para permitir a comunicação entre o nó Fibre Attached Storage e os dispositivos de fita e troca de mídia conectados.

Se você conectar dispositivos de fita a um nó Fibre Attached Storage, o cluster detectará os dispositivos quando você iniciar ou reiniciar o nó, ou refazer a verificação das portas Fibre Channel para detectar dispositivos. Se um cluster detectar dispositivos de fita, o cluster criará uma entrada para o caminho para cada dispositivo detectado.

Se você conectar um dispositivo com um switch Fibre Channel, poderão existir vários caminhos para um só dispositivo. Por exemplo, se você conectar um dispositivo de fita a um comutador Fibre Channel e, depois, conectar o comutador Fibre Channel a duas portas Fibre Channel, o OneFS criará duas entradas para o dispositivo, uma para cada caminho.

NOTA: Os nós da 6ª geração adicionados a uma rede InfiniBand de back-end são compatíveis com o A100 Backup

Accelerator como parte de uma solução de backup NDMP bidirecional. O A100 Backup Accelerator não é compatível

como parte de uma solução de backup NDMP bidirecional com um cluster totalmente de 6ª geração e com um back-end

de Ethernet.

Backup NDMP de três viasO backup NDMP de três vias também é conhecido como backup NDMP remoto.

Durante uma operação de backup NDMP tridirecional, um DMA (Data Management Application) de um servidor de backup instrui o cluster a iniciar o backup de dados em um servidor de mídia de fita que está conectado à LAN ou conectado diretamente ao DMA. O serviço NDMP é executado em um servidor NDMP, e o serviço de fita NDMP é executado em um servidor separado. Ambos os servidores são conectados uns aos outros pelo limite de rede.

Capacidade de suporte às sessões do NDMP no hardware de 6ª geraçãoVocê pode ativar sessões bidirecionais do NDMP em nós da 6ª geração configurando-as com placas Sheba. Uma placa Sheba é um adaptador de barramento de host (HBA) Fibre Channel híbrido que ativa sessões bidirecionais do NDMP por meio da porta Fibre Channel. Você precisa entrar em contato com o Isilon Professional Services para ativar o suporte à placa Sheba.

NOTA: A placa Sheba não é compatível com os nós F810.

Configurando os IPs preferenciais para as operações de três vias do NDMPSe você estiver usando o Avamar como seu aplicativo de gerenciamento de dados (DMA) para uma operação tridirecional do NDMP em um ambiente com várias interfaces de rede, será possível aplicar uma configuração de IP preferencial em um cluster do Isilon ou em uma ou mais sub-redes que estiverem definidas no OneFS. Uma configuração de IP preferencial é uma lista de endereços IP priorizados à qual um servidor de dados ou um servidor de fita se conecta durante uma operação de três vias do NDMP.

O endereço IP do servidor NDMP que recebe a solicitação de entrada do DMA decide o escopo e a prioridade para configurar a preferência. Se o endereço IP de entrada estiver em um escopo de sub-rede que tenha uma preferência, a configuração da preferência será aplicada. Se não existir uma preferência específica de sub-rede, mas existir uma preferência para todo o cluster, a configuração de preferência para todo o cluster será aplicada. A preferência específica de sub-rede sempre será sobreposta à preferência para todo o cluster. Se não existirem preferências específicas de sub-rede e para todo o cluster, os endereços IP da sub-rede do endereço IP que estiver recebendo as solicitações de entrada do DMA serão usados como os endereços IP preferenciais.

Somente é possível ter uma configuração de IP preferencial por cluster ou por sub-rede da rede.

Você pode especificar uma lista de IPs preferenciais do NDMP por meio do comando isi ndmp settings preferred-ips.

Backup e recuperação do NDMP 253

Backup e recuperação multi-stream do NDMPVocê pode usar o recurso de backup multi-stream do NDMP, em conjunto com certos DMAs (Data Management Applications), para acelerar os backups.

Com o backup multi-stream, você pode usar seu DMA para especificar vários fluxos de dados para serem submetidos a backup simultaneamente. OneFS considera todos os fluxos de uma operação específica de backup multi-stream como parte do mesmo contexto de backup. Um contexto de backup multi-stream será excluído se uma sessão de backup multi-stream for bem-sucedida. Se um fluxo específico falhar, o contexto de backup será mantido por cinco minutos até que a operação de backup seja concluída e você poderá repetir o fluxo com falha dentro desse período.

Se você usou o recurso de backup multi-stream do NDMP para fazer backup de dados em unidades de fita, também poderá recuperar esses dados em vários fluxos, dependendo do DMA. No OneFS 8.0.0.0 e versões posteriores, os backups multi-stream são compatíveis com o CommVault Simpana versão 11.0 Service Pack 3 e com o NetWorker versão 9.0.1. Se você fizer backup de dados usando o CommVault Simpana, um contexto multi-stream é criado, mas os dados são recuperados por um fluxo de cada vez.

NOTA: OneFS os backups multi-stream não são compatíveis com o recurso de backup NDMP com capacidade de

reinicialização.

Backups incrementais baseados em snapshotVocê pode implementar backups incrementais com base em snapshot para aumentar a velocidade na qual os backups são executados.

Durante um backup incremental baseado em snapshot, o OneFS verifica o snapshot obtido na operação anterior de backup NDMP e o compara com um novo snapshot. OneFS em seguida, faz backup de todos os arquivos que foram modificados desde o último snapshot obtido.

Se o backup incremental não envolver snapshots, o OneFS deverá verificar o diretório para detectar quais arquivos foram modificados. OneFS poderá realizar backups incrementais significativamente mais rápidos se a taxa de alteração for baixa.

Você pode realizar backups incrementais sem ativar uma licença do SnapshotIQ no cluster. Embora o SnapshotIQ ofereça vários recursos úteis, ele não aprimora os recursos de snapshot na recuperação e no backup NDMP.

Defina a variável de ambiente BACKUP_MODE como SNAPSHOT para ativar os backups incrementais com base em snapshot. Se você ativar os backups incrementais baseados em snapshot, o OneFS manterá todos os snapshots obtidos para backups NDMP até que um novo backup do mesmo nível ou de nível inferior seja executado. Contudo, se você não ativar os backups incrementais baseados em snapshot, o OneFS excluirá automaticamente todos os snapshots gerados após a conclusão ou o cancelamento do backup correspondente.

NOTA: Um backup incremental baseado em snapshot compartilha as entradas de dumpdates na base de dados de

dumpdates, juntamente com os outros backups baseados em níveis. Portanto, certifique-se de não executar backups

baseados em snapshots e backups regulares baseados em níveis nos mesmos caminhos de backup. Por exemplo, não

execute um backup de nível 0 e um backup incremental com base em snapshot no mesmo caminho de backup ou vice-

versa.

Depois de definir a variável de ambiente BACKUP_MODE, o backup incremental com base em snapshot funcionará com determinados aplicativos de gerenciamento de dados (DMAs), como listado na tabela a seguir.

Tabela 7. Suporte do DMA para backups incrementais baseados em snapshot

DMA Integrado ao DMA

Symantec NetBackup Ativado somente por meio de uma variável de ambiente.

Networker Ativado somente por meio de uma variável de ambiente.

Avamar Sim

CommVault Simpana Ativado somente por meio de uma variável de ambiente baseada em cluster.

Tivoli Storage Manager Ativado somente por meio de uma variável de ambiente baseada em cluster.

Symantec Backup Exec Ativado somente por meio de uma variável de ambiente baseada em cluster.

NetVault Ativado somente por meio de uma variável de ambiente baseada em cluster.

254 Backup e recuperação do NDMP

DMA Integrado ao DMA

ASG-Time Navigator Ativado somente por meio de uma variável de ambiente baseada em cluster.

Conceitos relacionados

Backups incrementais baseados em snapshot

Restauração e backup NDMP dos arquivos SmartLinkVocê pode fazer operações de restauração e backup NDMP dos dados que foram arquivados na nuvem.

Os recursos de backup e restauração dos dados do CloudPools incluem:

• Arquivamento de arquivos SmartLink ao fazer backup de um cluster• Restaurar dados, inclusive arquivos SmartLink, para o mesmo cluster• Restaurar dados, inclusive arquivos SmartLink, para outro cluster• Faça backup das informações de versão com cada arquivo SmartLink e restaure o arquivo SmartLink depois de verificar a

compatibilidade de versão do cluster de destino.

Especifique como os arquivos são submetidos a backup e restaurados configurando as variáveis de ambiente do NDMP BACKUP_OPTIONS e RESTORE_OPTIONS. Consulte Administrando o NDMP para obter detalhes sobre como definir as configurações de backup e como gerenciar as variáveis de ambiente do NDMP.

NOTA: Os backups DeepCopy e ComboCopy recuperam os dados de arquivo da nuvem. Os dados não são armazenados

nos discos. A recuperação dos dados de arquivo pode resultar em cobranças dos provedores de serviços em nuvem.

Por padrão, com o backup NDMP, o CloudPools oferece suporte ao backup de arquivos SmartLink que contêm metadados em nuvem, como a localização do objeto. Outros detalhes, como informações sobre versão, informações sobre contas, estado do cache local e os dados em cache não sincronizados associados ao arquivo SmartLink, também são submetidos a backup.

Para evitar a perda de dados ao recuperar arquivos SmartLink com versões incompatíveis, você pode usar a opção de backup de cópia combinada do NDMP para fazer backup de arquivos SmartLink com dados completos. Os dados completos incluem metadados e dados do usuário. É possível usar a opção de cópia combinada do NDMP definindo a variável de ambiente BACKUP_OPTIONS.

Ao executar uma operação de restauração do NDMP em arquivos SmartLink submetidos a backup usando a opção de cópia combinada, é possível uma das opções de restauração de cópia combinada, cópia superficial ou cópia profunda para recuperar os arquivos SmartLink. Você pode especificar essas opções configurando os valores adequados para a variável de ambiente RESTORE_OPTIONS:

• A opção de restauração de cópia combinada somente restaura arquivos SmartLink do fluxo de backup se a versão deles for compatível com a versão do OneFS no cluster de destino. Se a versão do arquivo SmartLink for incompatível com a versão do OneFS no cluster de destino, um arquivo regular será restaurado.

• A operação de restauração de cópia superficial fará a restauração do arquivo SmartLink submetido a backup como um arquivo SmartLink no cluster de destino se a operação de verificação de versão do cluster de destino for bem-sucedida.

• A operação de restauração de cópia profunda forçará a recuperação dos arquivos SmartLink como arquivos regulares no cluster de destino se a operação de verificação de versão do cluster de destino apresentar falha.

• Se você não especificar uma operação de restauração, o NDMP fará a restauração de arquivos SmartLink usando a operação de restauração de cópia combinada por padrão.

• Ao especificar várias opções de restauração, a operação de restauração de cópia combinada tem a prioridade mais alta, seguida pela operação de restauração de cópia superficial. A operação de restauração de cópia profunda tem a prioridade mais baixa.

Nas configurações do CloudPools, é possível definir três períodos de retenção que afetam os arquivos SmartLink submetidos a backup e seus dados em nuvem associados:

• O Full Backup Retention Period for NDMP entra em vigor quando o arquivo SmartLink é submetido a backup como parte de um backup completo. O padrão é de cinco anos.

• O Incremental Backup Retention Period for Incremental NDMP Backup and SyncIQ entra em vigor quando um arquivo SmartLink é submetido a backup como parte de um backup incremental. O padrão é de cinco anos.

• O Cloud Data Retention Period define o período durante o qual os dados em nuvem serão mantidos quando seu arquivo SmartLink relacionado for excluído. O padrão é de uma semana.

O CloudPools garante a validade de um arquivo SmartLink submetido a backup dentro do período de retenção de dados em nuvem. É importante que você defina os períodos de retenção devidamente para garantir que, quando o arquivo SmartLink seja restaurado a partir de fita, ele permaneça válido. O CloudPools não permite restaurar arquivos SmartLink inválidos.

Backup e recuperação do NDMP 255

Para verificar se um arquivo SmartLink submetido a backup ainda é válido, o CloudPools verifica os períodos de retenção armazenados em fita para o arquivo. Se o tempo de retenção tiver ultrapassado o tempo de restauração, o CloudPools impedirá que o NDMP restaure o arquivo SmartLink.

O CloudPools também garante que a conta na qual os arquivos SmartLink foram originalmente criados não seja excluída. Se ela tiver sido excluída, a restauração e backup NDMP dos arquivos SmartLink apresentarão falha.

Suporte ao protocolo NDMPVocê pode fazer backup dos dados do cluster do Isilon com a versão 3 ou 4 do protocolo NDMP.

OneFS oferece suporte aos seguintes recursos das versões 3 e 4 do NDMP:

• Backups NDMP completos (nível 0)• Backups NDMP incrementais (níveis 1-9) e backups incrementais contínuos (nível 10)

NOTA: Em um backup NDMP de nível 10, apenas os dados alterados desde o backup incremental mais recente (níveis

1-9) ou o último backup de nível 10 são copiados. Ao repetir backups de nível 10, você pode garantir que seja feito

backup das versões mais recentes dos arquivos no conjunto de dados sem precisar executar um backup completo.

• Backups NDMP baseados em token• Tipo de backup NDMP TAR• Tipo de backup dump• Formato de histórico de arquivo dir/nó e baseado em caminho• DAR (Direct Access Restore)• DAR de diretórios (DDAR)• Incluir e excluir arquivos e diretórios específicos do backup• Backup de atributos de arquivo• Backup de ACLs• Backup de ADSs (Alternate Data Streams)• BRE (Backup Restartable Extension)• Backup e restauração de atributos do HDFS

OneFS oferece suporte à conexão de clusters por IPv4 ou IPv6.

DMAs compatíveisOs backups NDMP são coordenados por um aplicativo de gerenciamento de dados (DMA) que é executado em um servidor de backup.

NOTA: Todos os DMAs compatíveis podem se conectar a um cluster do Isilon por meio do protocolo IPv4. No entanto,

apenas alguns dos DMAs oferecem suporte ao protocolo IPv6 para a conexão a um cluster do Isilon.

Suporte ao hardware NDMPOneFS pode fazer backup de dados em dispositivos de fita e em bibliotecas de fitas virtuais (VTLs) e recuperá-los desses locais.

Dispositivos de fita compatíveis

Nos backups NDMP tridirecionais, o DMA (Data Management Application) determina os dispositivos de fita que são compatíveis.

Bibliotecas de fitas compatíveis

Nos backups NDMP bidirecionais e tridirecionais, o OneFS oferece suporte a todas as bibliotecas de fitas compatíveis com o DMA.

Bibliotecas de fitas virtuais compatíveis

Nos backups NDMP tridirecionais, o DMA determina as bibliotecas de fitas virtuais que serão compatíveis.

Limitações do backup NDMPOs backups NDMP têm as limitações a seguir.

• Oferece suporta a tamanhos de block de até 512 KB.• Não oferece suporte a um comprimento de caminho do arquivo maior que 4 KB.• Não fazem o backup dos dados de configuração do file system, como cotas e políticas de nível de proteção de arquivos.

256 Backup e recuperação do NDMP

• Não oferece suporte à recuperação de dados de um file system que não seja o OneFS. No entanto, você pode migrar dados pelo protocolo NDMP de um sistema de armazenamento NetApp ou Unity ao OneFS por meio das ferramentas isi_vol_copy. Para obter mais informações sobre essas ferramentas, consulte o Guia de Ferramentas Integradas de Migração do OneFS.

• Os nós Fibre Attached Storage não podem interagir com mais de 4.096 caminhos de fita.• O comprimento máximo da variável de ambiente FILESYSTEM compatível para uma operação de backup é 1.024.

Recomendações de desempenho do NDMPConsidere as recomendações a seguir para otimizar os backups NDMP do OneFS.

Recomendações de desempenho gerais• Instale os patches mais recentes do OneFS e do aplicativo de gerenciamento de dados (DMA).• Execute no máximo oito sessões simultâneas do NDMP por nó Fibre Attached Storage e quatro sessões simultâneas do NDMP por nó

Isilon IQ Backup Accelerator para obter um throughput ideal por sessão.• Os backups NDMP resultam em RPOs (Recovery Point Objectives, objetivos de ponto de recuperação) e RTOs (Recovery Time

Objectives, objetivos de tempo de recuperação) muito altos. Você pode reduzir seu RPO e seu RTO conectando um ou mais nós Fibre Attached Storage ao cluster e executando backups NDMP bidirecionais.

• O throughput de um cluster do Isilon durante as operações de backup e recuperação depende do conjunto de dados e é reduzido consideravelmente para arquivos pequenos.

• Se você estiver fazendo backup de grandes números de arquivos pequenos, defina um agendamento separado para cada diretório.• Se estiver executando backups NDMP tridirecionais, execute várias sessões do NDMP em vários nós do cluster do Isilon.• Recupere os arquivos com DDAR (DAR de diretórios) se você recupera um grande número de arquivos frequentemente.• Use o maior tamanho de registro em fita disponível para sua versão do OneFS para aumentar o throughput.• Se possível, não inclua nem excluir arquivos do backup. Incluir ou excluir arquivos pode afetar o desempenho do backup, devido à

sobrecarga de filtragem.• Limite a profundidade dos subdiretórios armazenados no file system.

Recomendações do SmartConnect• Uma sessão de backup NDMP bidirecional com o SmartConnect exige o nó Fibre Attached Storage para operações de backup e

recuperação. No entanto, uma sessão de backup NDMP tridirecional com o SmartConnect não exige nós Fibre Attached Storage para essas operações.

• Em uma sessão de backup NDMP bidirecional com o SmartConnect, conecte-se à sessão do NDMP por meio de uma zona dedicada do SmartConnect que consiste em um pool de placas de interface de rede (NICs) nos nós Fibre Attached Storage.

• Em uma sessão de backup NDMP bidirecional sem o SmartConnect, inicie a sessão de backup por meio de um endereço IP estático ou de um nome completo do domínio do nó Fibre Attached Storage.

• Em uma operação de backup NDMP tridirecional, a rede Ethernet de front-end ou as interfaces dos nós são usadas para atender ao tráfego de backup. Portanto, recomenda-se que você configure um DMA para iniciar uma sessão do NDMP usando apenas os nós que já estiverem sobrecarregados atendendo a outras cargas de trabalho ou conexões.

• Em uma operação de backup NDMP tridirecional com ou sem SmartConnect, inicie a sessão de backup usando os endereços IP dos nós que são identificados para execução das sessões do NDMP.

Recomendações sobre Fibre Attached Storage• Atribua endereços IP estáticos aos nós Fibre Attached Storage.• Conecte mais nós Fibre Attached Storage aos clusters maiores. O número recomendado de nós Fibre Attached Storage está listado na

tabela a seguir.

Tabela 8. Nós por nó Fibre Attached Storage

Tipo de nó Número recomendado de nós por nó Fibre Attached Storage

Série X 3

Série NL 3

Série S 3

Backup e recuperação do NDMP 257

Tipo de nó Número recomendado de nós por nó Fibre Attached Storage

Série HD 3

• Conecte mais nós Fibre Attached Storage se estiver fazendo backup em mais dispositivos de fita.

Recomendações específicas do DMA• Ative o paralelismo do DMA se o DMA der suporte a essa opção. Isso permite que o OneFS faça backup dos dados em vários

dispositivos de fita ao mesmo tempo.

Excluindo arquivos e diretórios de backups NDMPVocê pode excluir arquivos e diretórios das operações de backup NDMP especificando variáveis de ambiente NDMP com um DMA. Se você incluir um arquivo ou diretório, todos os arquivos e diretórios serão excluídos automaticamente das operações de backup. Se você excluir um arquivo ou diretório, será feito backup de todos os arquivos e diretórios, exceto do excluído.

Você pode incluir ou excluir arquivos e diretórios especificando os padrões de caracteres a seguir. Os exemplos fornecidos na tabela são válidos somente se o caminho de backup for /ifs/data.

Tabela 9. Caracteres-curinga correspondentes a arquivos e diretórios de NDMP

Caractere Descrição Exemplo Inclui ou exclui os diretórios a seguir

* Substitui qualquer caractere ou caracteres

archive* archive1src/archive42_a/media

[] Substitui um intervalo de letras ou números

data_store_[a-f]

data_store_[0-9]

/ifs/data/data_store_a/ifs/data/data_store_c/ifs/data/data_store_8

? Substitui qualquer caractere único

user_? /ifs/data/user_1/ifs/data/user_2

\ Inclui um espaço em branco user\ 1 /ifs/data/user 1// Substitui uma barra única

(/)ifs//data//archive /ifs/data/archive

*** Substitui um asterisco único (*)

.. Ignora o padrão se estiver no início de um caminho

../home/john home/john

NOTA: " " são necessárias para o Symantec NetBackup quando vários padrões forem especificados. Os padrões não são

limitados aos diretórios.

Os padrões não ancorados, como home ouuser1, têm como alvo uma string de texto que pode pertencer a muitos arquivos ou diretórios. Se um padrão contiver '/', ele será um padrão ancorado. Um padrão ancorado sempre é correspondido desde o início de um caminho. Um padrão no meio de um caminho não é correspondido. Os padrões ancorados têm como alvo nomes de caminho de arquivo específicos, como ifs/data/home. Você pode incluir ou excluir tipos de padrão.

Se você especificar os padrões de inclusão e exclusão, o padrão de inclusão será o primeiro processado, seguido do padrão de exclusão.

Se você especificar padrões de inclusão e exclusão, não será feito o backup de nenhum arquivo ou diretório excluído dos diretórios incluídos. Se os diretórios excluídos não forem localizados nos diretórios incluídos, a especificação de exclusão não terá efeito.

NOTA: A especificação de padrões não ancorados pode degradar o desempenho dos backups. Recomenda-se evitar

padrões não ancorados sempre que possível.

258 Backup e recuperação do NDMP

Definindo configurações básicas de backup NDMPVocê pode definir as configurações de backup NDMP para controlar a maneira como esses backups são executados no cluster do Isilon. Também é possível configurar o OneFS para interagir com um aplicativo de gerenciamento de dados (DMA) específico para backups NDMP.

Configurar e habilitar o backup NDMPOneFS impede backups NDMP por padrão. Antes de executar backups NDMP, é necessário habilitar backups NDMP e configurar o recurso.

1. Clique em Data Protection > NDMP > NDMP Settings.

2. Na área Service, clique em Enable NDMP Service.

3. No campo Port number, especifique um número de porta por meio do qual um aplicativo de gerenciamento de dados (DMA) pode se conectar ao cluster do Isilon. O número padrão de porta é 10000.

4. Opcional: Na lista DMA vendor, selecione o nome do fornecedor do DMA para gerenciar operações de backup. Se seu fornecedor de DMA não estiver incluído na lista, selecione generic. No entanto, observe que, oficialmente, nenhum fornecedor que não esteja incluído na lista é compatível e pode não funcionar como esperado.

5. Na área NDMP Administrators, clique em Add an NDMP Administrator para adicionar um novo administrador.A caixa de diálogo Add NDMP Administrator será exibida.

6. Digite um nome de administrador e senha, confirme a senha e clique em Add NDMP Administrator.

7. Clique em Save Changes para salvar todas as configurações. Como alternativa, clique em Revert Changes para desfazer as alterações e voltar para as configurações anteriores.

Exibir as configurações do backup NDMPÉ possível exibir as configurações atuais de backup NDMP. Essas configurações definem se o backup NDMP está ativado, definem a porta pela qual o aplicativo de gerenciamento de dados (DMA) se conecta ao cluster do Isilon e definem o fornecedor do DMA com o qual o OneFS está configurado para interagir.

1. Clique em Data Protection > NDMP > NDMP Settings e visualize as configurações de backup NDMP.

2. Na área Settings, analise configurações do backup NDMP.

Desativar o backup NDMPVocê poderá desativar o backup NDMP se não quiser usar esse método de backup.

1. Clique em Data Protection > NDMP > NDMP Settings.

2. Na área Service, desmarque a caixa de seleção Enable NDMP service para desativar o backup NDMP.

Gerenciando contas de usuário NDMPÉ possível criar, excluir e modificar as senhas de contas de usuário de NDMP.

Criar uma conta de administrador do NDMPAntes de executar backups NDMP, você deve criar uma conta de administrador do NDMP por meio da qual seu aplicativo de gerenciamento de dados (DMA) pode acessar o cluster do Isilon.

1. Clique em Data Protection > NDMP > NDMP Settings.

2. Na área NDMP Administrators, clique em Add an NDMP administrator.A caixa de diálogo Add NDMP Administrator será exibida.

3. Na caixa de diálogo Add NDMP Administrator, no campo Name, digite um nome para a conta.

NOTA: O administrador do NDMP (Network Data Management Protocol, protocolo de gerenciamento de dados da

rede) que você criar nesta etapa se aplicará somente às operações do NDMP. Não é possível vincular esse

administrador do NDMP a outro usuário, grupo ou identidade do cluster.

4. Nos campos Password e Confirm password, digite a senha da conta.

Backup e recuperação do NDMP 259

NOTA: Não há requisitos especiais de política de senha para um administrador do NDMP.

5. Clique em Add NDMP Administrator.

Exibir contas de usuário de NDMPVocê pode visualizar informações sobre contas de usuário de NDMP.

1. Clique em Data Protection > NDMP > NDMP Settings.

2. Na área NDMP Administrators, analise as informações sobre um administrador do NDMP marcando a caixa de seleção correspondente a um administrador e clicando em View/Edit.

Modificar a senha de uma conta de administrador do NDMPVocê pode modificar a senha de uma conta de administrador do NDMP.

1. Clique em Data Protection > NDMP > NDMP Settings.

2. Na área NDMP Administrators, marque a caixa de seleção ao lado do nome do administrador desejado e clique em View/Edit.A caixa de diálogo View NDMP Administrator Details será exibida.

3. Clique em Edit.A caixa de diálogo Edit NDMP Administrator Details será exibida.

4. Digite uma nova senha, confirme-a e clique em Save Changes.

Excluir uma conta de administrador do NDMPVocê pode excluir uma conta de administrador do NDMP.

1. Clique em Data Protection > NDMP > NDMP Settings.

2. Na área NDMP Administrators, marque a caixa de seleção ao lado do nome do administrador desejado e clique em Delete.O nome do administrador será removido da lista de administradores do NDMP.

Visão geral das variáveis de ambiente do NDMPAs variáveis de ambiente do NDMP são associadas a caminhos. Quando o caminho de uma variável de ambiente corresponde ao caminho de uma operação de backup ou recuperação, a variável de ambiente é aplicada a essa operação.

Todas as variáveis de ambiente residem no diretório /ifs. Existem dois outros caminhos virtuais, /BACKUP e /RESTORE, que contêm variáveis de ambiente. As variáveis de ambiente desse esse caminho podem ser aplicadas globalmente. As variáveis de ambiente de /BACKUP são aplicadas a todas as operações de backup. As variáveis de ambiente de /RESTORE são aplicadas a todas as operações de recuperação. As variáveis de ambiente globais somente são aplicadas após a aplicação das variáveis de ambiente específicas a um caminho. Portanto, as variáveis específicas a um caminho têm precedência sobre as variáveis globais.

Gerenciando variáveis de ambiente do NDMPNo OneFS, você pode gerenciar as operações de recuperação e backup NDMP especificando variáveis de ambiente padrão do NDMP. Além disso, também é possível sobrepor as variáveis de ambiente do protocolo de gerenciamento de dados da rede com seu DMA (Data Management Application).

Você pode adicionar, visualizar, editar e excluir variáveis de ambiente. As variáveis de ambiente podem ser gerenciadas por caminho de backup. Elas são acrescentadas às variáveis de ambiente passadas de um DMA em uma sessão de backup ou recuperação.

A seguinte tabela lista os DMAs que permitem que você defina diretamente as variáveis de ambiente:

Tabela 10. Suporte do DMA para configuração de variável de ambiente

DMA Compatível diretamente com o DMA

Compatível por meio da interface de linha de comando do OneFS

Symantec NetBackup Sim Sim

260 Backup e recuperação do NDMP

DMA Compatível diretamente com o DMA

Compatível por meio da interface de linha de comando do OneFS

Networker Sim Sim

Avamar Não Sim

CommVault Simpana Não Sim

IBM Tivoli Storage Manager Não Sim

Symantec Backup Exec Não Sim

Dell NetVault Não Sim

ASG-Time Navigator Não Sim

Caso não seja possível definir uma variável de ambiente diretamente em um DMA para sua operação de backup ou recuperação NDMP, faça log-in em um cluster do Isilon por meio de um client SSH e defina a variável de ambiente no cluster por meio do comando isi ndmp settings variables create.

Configurações de variáveis de ambiente do NDMPVocê pode exibir as configurações de variáveis de ambiente do NDMP e gerenciá-las conforme necessário.

As seguintes configurações são exibidas na tabela Variables:

Definição Descrição

Add Variables Adicione o caminho das novas variáveis de ambiente junto com seus valores.

Caminho O caminho do diretório /ifs para armazenar as novas variáveis de ambiente. Se o caminho for definido como "/BACKUP", a variável de ambiente será aplicada a todas as operações de backup. Se o caminho for definido como "/RESTORE", a variável de ambiente será aplicada a todas as operações de restauração.

Add Name/Value Adicione um nome e um valor para a nova variável de ambiente.

Nome Nome da variável de ambiente.

Valor Valor definido para a variável de ambiente

Ação Edite, visualize ou exclua uma variável de ambiente de um caminho especificado.

Adicionar uma variável de ambiente do NDMPEm um caminho especificado, você pode adicionar variáveis de ambiente que podem ser aplicadas por caminho de backup ou globalmente.

1. Clique em Data Protection > NDMP > Environment Settings.

2. Clique em Add Variables para abrir a caixa de diálogo Add Path Variables.

3. Na área Variable Settings, especifique os seguintes parâmetros:

a) Especifique ou procure um caminho em /ifs para armazenar a variável de ambiente.

NOTA:

• Para definir uma variável de ambiente global para operações de backup e recuperação, especifique o

caminho /BACKUP para uma operação de backup e o caminho /RESTORE para uma operação de recuperação.

• O caminho do backup deve incluir .snapshot/<snapshot name> ao executar um backup de um snapshot

criado pelo usuário.

b) Clique em Add Name/Value, especifique um nome e valor da variável de ambiente e clique em Create Variable.

Exibir variáveis de ambiente do NDMPVocê pode exibir detalhes sobre as variáveis de ambiente do NDMP

Backup e recuperação do NDMP 261

1. Clique em Data Protection > NDMP > Environment Settings.

2. Na tabela Variables, clique na caixa de seleção correspondente a uma variável de ambiente e, em seguida, clique em View/Edit.

3. Na caixa de diálgo Display Path Variables, analise os detalhes.

Editar uma variável de ambiente do NDMPVocê pode editar uma variável de ambiente do NDMP.

1. Clique em Data Protection > NDMP > Environment Settings.

2. Na tabela Variables, clique na caixa de seleção correspondente a uma variável de ambiente e, em seguida, clique em View/Edit.

3. Na caixa de diálogo Display Path Variables, clique em Edit Path Variables.

4. Na caixa de diálogo Edit Variables, clique em Add Name/Value e especifique um nome novo e valor para a variável de ambiente.

Excluir uma variável de ambiente do NDMPVocê pode excluir uma variável de ambiente do NDMP.

1. Clique em Data Protection > NDMP > Environment Settings.

2. Na tabela Variables, clique na caixa de seleção correspondente a uma variável de ambiente e, em seguida, clique em Delete.

3. Na caixa de diálogo de confirmação, clique em Delete.

Você também pode excluir uma variável de ambiente do NDMP por meio da caixa de diálogo Edit Variables que é exibida ao clicar em View/Edit e, em seguida, em Edit Path Variables.

Variáveis de ambiente NDMPVocê pode especificar as configurações padrão das operações de recuperação e backup NDMP com as variáveis de ambiente do protocolo de gerenciamento de dados da rede. Além disso, também é possível especificar variáveis de ambiente do protocolo de gerenciamento de dados da rede com seu DMA (Data Management Application).

O Symantec NetBackup e o NetWorker são os dois únicos DMAs que permitem que você defina variáveis de ambiente e as propague ao OneFS.

Tabela 11. Variáveis de ambiente NDMP

Variável de ambiente Valores válidos Padrão Descrição

BACKUP_FILE_LIST <caminho-arquivo> Nenhuma Aciona um backup de lista de arquivos.

Atualmente, somente o NetWorker e o Symantec NetBackup podem transmitir variáveis de ambiente ao OneFS.

BACKUP_MODE TIMESTAMP

SNAPSHOT

TIMESTAMP Ativa ou desativa os backups incrementais baseados em snapshots. Para ativar os backups incrementais baseados em snapshot, especifique SNAPSHOT.

BACKUP_OPTIONS 0x00000400

0x00000200

0x00000100

0x00000001

0x00000002

0x00000004

0 Essa variável de ambiente controla o comportamento das operações de backup.

As seguintes configurações se aplicam somente aos conjuntos de dados que contêm os arquivos SmartLink orientados por CloudPools:

0x00000400 Faz backup dos arquivos SmartLink com dados completos. Essa é a opção

262 Backup e recuperação do NDMP

Variável de ambiente Valores válidos Padrão Descrição

de backup de cópia combinada.

0x00000200 Faz o backup de todos os dados em cache. Essa é a opção de backup de cópia superficial.

0x00000100 Lê os file data SmartLink da nuvem e faz o backup dos arquivos SmartLink como arquivos regulares. Essa é a opção de cópia profunda.

0x00000001 Sempre adiciona DUMP_DATE à lista de variáveis de ambiente ao final de uma operação de backup. O valor DUMP_DATE corresponde à hora em que o snapshot do backup foi criado. Um DMA pode usar o valor DUMP_DATE para definir a opção BASE_DATE para a próxima operação de backup.

0x00000002 Mantém o snapshot de um backup baseado em token no arquivo dumpdates. Já que um backup baseado em token não tem nenhum LEVEL (nível), por padrão, seu nível é definido como 10. O snapshot permitirá um backup incremental mais rápido como o próximo backup

Backup e recuperação do NDMP 263

Variável de ambiente Valores válidos Padrão Descrição

incremental depois que o backup baseado em token for feito.

0x00000004 Mantém o snapshot anterior. Após um backup incremental mais rápido, o snapshot anterior é salvo no nível 10. Para evitar dois snapshots no mesmo nível, o snapshot anterior é mantido em um nível menor no arquivo dumpdates. Isso permite que as configurações BASE_DATE e BACKUP_MODE=snapshot acionem um backup incremental mais rápido, em vez de um backup baseado em token. As configurações de variáveis de ambiente solicitam que o servidor NDMP compare o valor BASE_DATE com o registro de data e hora do arquivo dumpdates para localizar o backup anterior. Mesmo que o DMA falhe no mais recente backup incremental mais rápido, o OneFS manterá o snapshot anterior. Em seguida, o DMA poderá repetir o backup incremental mais rápido no próximo ciclo de backup, usando o valor BASE_DATE do backup anterior.

BASE_DATE Ativa um backup incremental baseado em token. Nesse caso, o arquivo dumpdates não será atualizado.

DIRECT Y

N

N Ativa ou desativa o DAR (Direct Access Restore) e o DAR de diretórios. Os seguintes valores são válidos:

Y Ativa o DAR e o DAR de diretórios.

N Desativa o DAR e o DAR de diretórios.

EXCLUDE <padrão-correspondência-arquivos>

Nenhuma Se você especificar essa opção, o OneFS não fará backup dos diretórios e arquivos que atendem ao padrão especificado. Separe os vários padrões com um espaço.

264 Backup e recuperação do NDMP

Variável de ambiente Valores válidos Padrão Descrição

FILES <padrão-correspondência-arquivos>

Nenhuma Se você especificar essa opção, o OneFS fará backup somente dos diretórios e arquivos que atendem ao padrão especificado. Separe os vários padrões com um espaço.

NOTA: Como uma regra, os arquivos são correspondidos em primeiro lugar e, em seguida, o padrão EXCLUDE é aplicado.

HIST <file-history-format> Y Especifica o formato do histórico de arquivos.

Os seguintes valores são válidos:

D Especifica o histórico de arquivos do diretório ou nó.

F Especifica o histórico de arquivos com base em caminhos.

Y Especifica o formato padrão do histórico de arquivos determinado por suas configurações de backup NDMP.

N Desativa o histórico de arquivos.

LEVEL <número inteiro> 0 Especifica o nível de backup NDMP que será realizado. Os seguintes valores são válidos:

0 Executa um backup NDMP completo.

1 - 9 Executa um backup incremental no nível especificado.

10 Realiza backups incrementais contínuos.

MSB_RETENTION_PERIOD Número inteiro 300 s Para uma sessão de backup multi-stream, especifica o período de retenção do contexto de backup.

MSR_RETENTION_PERIOD 0 a 60*60*24 600 s Para uma sessão de restauração multi-stream, especifica o período de retenção do contexto de recuperação no qual é possível tentar realizar uma sessão de recuperação novamente.

Backup e recuperação do NDMP 265

Variável de ambiente Valores válidos Padrão Descrição

RECURSIVE Y

N

Y Somente para sessões de restauração. Especifica que a sessão de restauração deve recuperar automaticamente arquivos ou subdiretórios de um diretório.

RESTORE_BIRTHTIME Y

N

N Especifica se é necessário recuperar o horário de nascimento de uma sessão de recuperação.

RESTORE_HARDLINK _BY_TABLE Y

N

N Para uma sessão de restauração com um só thread, determina se o OneFS recupera ou não os vínculos físicos criando uma tabela de vínculos físicos durante as operações de recuperação. Especifique esta opção se o backup dos vínculos físicos estiver incorreto e se as operações de recuperação apresentarem falha.

Se uma operação de recuperação falhar devido ao backup incorreto dos vínculos físicos, a seguinte mensagem será exibida nos registros de backup NDMP:

Bad hardlink path for <path>NOTA: Esta variável não é eficaz para uma operação de restauração paralela.

RESTORE_OPTIONS 0x00000001

0x00000002

0x00000004

0x00000100

0x00000200

0 Essa variável de ambiente controla o comportamento das operações de restauração.

0x00000001 Realiza uma operação de restauração com um só thread.

0x00000002 Restaura atributos aos diretórios existentes.

0x00000004 Cria diretórios intermediários com atributos padrão. O comportamento padrão é colocar atributos do primeiro objeto em determinado diretório.

As seguintes configurações são aplicáveis apenas aos conjuntos de dados submetidos a backup com a opção de cópia combinada:

0x00000100 Força a restauração de cópia profunda dos arquivos SmartLink. Ou seja, restaura o

266 Backup e recuperação do NDMP

Variável de ambiente Valores válidos Padrão Descrição

arquivo SmartLink submetido a backup como um arquivo regular no cluster de destino.

0x00000200 Força a restauração de cópia superficial dos arquivos SmartLink. Ou seja, restaura o arquivo SmartLink submetido a backup como um arquivo SmartLink no cluster de destino.

UPDATE Y

N

Y Determina se o OneFS atualiza ou não o arquivo dumpdates. O padrão é executar uma restauração de cópia combinada.

Y OneFS atualiza o arquivo dumpdates.

N OneFS não atualiza o arquivo dumpdates.

Conceitos relacionados

Excluindo arquivos e diretórios de backups NDMP

Configurando variáveis de ambiente para operações de backup e restauraçãoÉ possível configurar variáveis de ambiente para dar suporte às operações de backup e restauração de sua sessão do NDMP (Network Data Management Protocol, protocolo de gerenciamento de dados da rede).

Você pode configurar variáveis de ambiente por meio de um DMA (Data Management Application, aplicativo de gerenciamento de dados) ou da interface de linha de comando. Como alternativa, é possível configurar variáveis globais de ambiente. A prioridade para aplicar as configurações de uma operação de backup ou restauração é a seguinte:

• As variáveis de ambiente especificadas por meio de um DMA têm a prioridade mais alta.• As variáveis de ambiente específicas a um caminho especificadas por isi ndmp settings variables têm a próxima prioridade.

• As configurações globais de variáveis de ambiente de "/BACKUP" ou "/RESTORE" têm a menor prioridade.

É possível configurar variáveis de ambiente para dar suporte a diferentes tipos de operações de backup, conforme descrito nos seguintes cenários:

• Se a variável de ambiente BASE_DATE for definida para qualquer valor e você definir a variável de ambiente BACKUP_MODE como SNAPSHOT, a variável de ambiente LEVEL será definida automaticamente como 10 e um backup incremental contínuo será realizado.

• Se a variável de ambiente BASE_DATE for definida como 0, um backup completo será realizado.

Backup e recuperação do NDMP 267

• Se a variável de ambiente BACKUP_MODE for definida como snapshot e a variável de ambiente BASE_DATE não for definida como 0, as entradas do arquivo dumpdates serão lidas e comparadas com a variável de ambiente BASE_DATE. Se uma entrada for encontrada e um snapshot válido anterior não for encontrado, um backup incremental mais rápido será realizado.

• Se a variável de ambiente BACKUP_MODE for definida como snapshot, se a variável de ambiente BASE_DATE não for definida como 0, se nenhuma entrada for encontrada no arquivo dumpdates e se nenhum snapshot válido anterior for encontrado, um backup baseado em token será realizado usando o valor da variável de ambiente BASE_DATE.

• Se a variável de ambiente BASE_DATE for configurada, a variável de ambiente BACKUP_OPTIONS será definida como 0x0001 por padrão.

• Se a variável de ambiente BACKUP_MODE for definida como snapshot, a variável de ambiente BACKUP_OPTIONS será definida como 0x0002 por padrão.

• Se a variável de ambiente BACKUP_OPTIONS for definida como 0x0004 , o snapshot será salvo e mantido pelo aplicativo usado para o processo de backup.

• Para executar um backup Incremental Forever com backups incrementais mais rápidos, você deverá configurar as seguintes variáveis de ambiente:

• BASE_DATE=<time>• BACKUP_MODE=snapshot• BACKUP_OPTIONS=7

Gerenciando contextos do NDMPCada backup NDMP, restauração, backup com capacidade de reinicialização e processo de backup multi-stream cria um contexto. O servidor NDMP armazena os arquivos de trabalho correspondentes no contexto. Você pode exibir ou excluir um contexto.

NOTA: Se você excluir um contexto de backup com capacidade de reinicialização, não poderá reiniciar a sessão de

backup correspondente.

Configurações de contexto do NDMPVocê pode visualizar e gerenciar os detalhes dos contextos do NDMP.

As seguintes configurações são exibidas na tabela Contexts:

Definição Descrição

Tipo O tipo de contexto. Pode ser de backup, backup com capacidade de reinicialização ou restauração.

ID Um identificador de um trabalho de backup ou restauração. Um trabalho de backup ou restauração consiste em um ou mais fluxos que são identificados por esse identificador. Esse identificador é gerado pelo daemon do backup NDMP.

Start Time A hora em que o contexto foi iniciado no formato mês data hora ano.

Ações Exiba ou exclua um contexto selecionado.

Status Status do contexto. O status é exibido como active se um trabalho de backup ou restauração for iniciado e continuar ativo até que o fluxo de backup seja concluído ou gere um erro.

Caminho O caminho onde todos os arquivos funcionais do contexto selecionado são armazenados.

MultiStream Especifica se o processo de backup multi-stream é habilitado.

Lead Session ID O identificador da primeira sessão de backup ou restauração correspondente a uma operação de backup ou restauração.

Sessões Uma tabela com uma lista de todas as sessões que são associadas ao contexto selecionado.

Exibir contextos do NDMPVocê pode exibir informações sobre o backup NDMP, o backup com capacidade de reinicialização e os contextos de recuperação.

268 Backup e recuperação do NDMP

1. Clique em Data Protection > NDMP > Contexts.

2. Na tabela Contexts, clique na caixa de seleção correspondente a um contexto que você deseja analisar e clique em View Details.

3. Analise as informações sobre o contexto na caixa de diálogo Display Backup Context.

Excluir um contexto do NDMPVocê pode excluir um contexto do NDMP.

Os contextos de backup e restauração têm períodos de retenção além dos quais os contextos são excluídos automaticamente. No entanto, você pode optar por excluir um contexto antes de seu período de retenção para liberar recursos. Não é possível excluir contextos com sessões ativas. Além disso, não é possível excluir contextos de backup com contextos BRE ativos. Você só pode excluir contextos BRE se eles não fizerem parte das sessões ativas.

1. Clique em Data Protection > NDMP > Contexts.

2. Na tabela Contexts, selecione um contexto e clique em Delete.

3. Na caixa de diálogo de confirmação, clique em Delete.

Gerenciando sessões de NDMPVocê pode exibir o status das sessões de NDMP ou encerrar uma sessão que está em andamento.

Informações de sessão do NDMPOs aplicativos de gerenciamento de dados (DMAs) estabelecem sessões com o daemon do NDMP em execução no nó Fibre Attached Storage. A comunicação do DMA com o daemon do NDMP é gerenciada no contexto de uma sessão.

Os seguintes itens são exibidos na tabela Sessions:

Item Descrição

Sessão Especifica o número de identificação exclusivo que o OneFS atribui à sessão.

Elapsed Especifica o tempo decorrido desde que a sessão foi iniciada.

Transferred Especifica o volume de dados transferido durante a sessão.

Throughput Especifica o throughput médio da sessão nos últimos cinco minutos.

Client/Remote Especifica o endereço IP do servidor de backup no qual o DMA está em execução. Se um backup NDMP de três vias ou uma operação de restauração estiver em execução no momento, o endereço IP do servidor remoto da mídia de fita também será exibido.

Mover/Data Especifica o estado atual do movimentador de dados e do servidor de dados. A primeira palavra descreve a atividade do movimentador de dados. A segunda palavra descreve a atividade do movimentador de dados.

O movimentador e o servidor de dados enviam e recebem dados entre si durante as operações de backup e restauração. O movimentador de dados é um componente do servidor de backup que recebe dados durante os backups e os envia durante operações de restauração. O servidor de dados é um componente do OneFS que envia dados durante os backups e recebe informações durante as operações de restauração.

NOTA: Quando um ID de sessão é exibido em vez de um estado, a sessão é redirecionada automaticamente.

Os seguintes estados podem aparecer:

Ativo O movimentador de dados ou o servidor de dados está enviando ou recebendo dados no momento.

Pausada O movimentador de dados não pode receber dados temporariamente. Quando o movimentador de dados é pausado, o servidor de dados não consegue enviar dados para ele. Não é possível pausar o servidor de dados.

Backup e recuperação do NDMP 269

Item Descrição

Idle O movimentador de dados ou o servidor de dados não está enviando nem recebendo dados.

Listen O movimentador de dados ou o servidor de dados está aguardando para se conectar ao servidor de dados ou ao movimentador de dados.

Operação Especifica o tipo de operação (backup ou restauração) que está em andamento. Se nenhuma operação estiver em andamento, esse campo estará vazio.

B ({M} {F} [L[0-10] | T0 | Ti | S[0-10]] {r | R})+

Em que:

[ a ] — a é obrigatório

{ a } — a é opcional

a | b — a ou b, mas não ao mesmo tempo

A(B) — a sessão é uma sessão do agente para uma operação de backup redirecionada

M — backup multi-stream

F – lista de arquivos

L — baseado em nível

T — baseado em token

S — modo de snapshot

s — modo de snapshot e um backup completo (quando o diretório root é novo)

r — backup com capacidade de reinicialização

R — backup reiniciado

+ — o backup está sendo executado com vários threads de estado para proporcionar um melhor desempenho

0 a 10 – nível de dump

R ({M|s}[F | D | S]{h})

Em que:

A(B) — a sessão é uma sessão do agente para uma operação de restauração redirecionada

M — restauração multi-stream

s — restauração de um só thread (quando RESTORE_OPTIONS=1)

F — restauração completa

D — DAR

S – restauração seletiva

h — restauração de hardlinks por tabela

Source/Destination Se uma operação estiver em andamento, especifica os diretórios /ifs afetados pela operação. Se um backup estiver em andamento, indica o caminho do diretório de origem que está sendo copiado. Se uma operação de restauração estiver em andamento, indicará o caminho do diretório que estiver sendo restaurado juntamente com o diretório de destino no qual o servidor de mídia de fita estiver restaurando dados. Se você estiver restaurando dados no mesmo local do qual fez backup dos dados, o mesmo caminho aparecerá duas vezes.

Dispositivo Especifica o nome do dispositivo de fita ou troca de mídia que está se comunicando com o cluster do Isilon.

Modo Especifica como o OneFS está interagindo com os dados do servidor de mídia de backup por meio das seguintes opções:

Leitura/gravação OneFS está lendo e gravando os dados durante uma operação de backup.

270 Backup e recuperação do NDMP

Item Descrição

Read OneFS está lendo dados durante uma operação de restauração.

Não processado O DMA tem acesso a unidades de fita, mas as unidades não contêm mídia de fita gravável.

Ações Permite que você teste ou exclua uma sessão.

Operações de restauração e backup NDMP

Os exemplos de sessões ativas de backup NDMP indicadas por meio do campo Operation descrito na tabela anterior são os seguintes:

B(T0): Token based full backup B(Ti): Token based incremental backup B(L0): Level based full backup B(L5): Level 5 incremental backup B(S0): Snapshot based full backup B(S3): Snapshot based level 3 backup B(FT0): Token based full filelist backup B(FL4): Level 4 incremental filelist backup B(L0r): Restartable level based full backup B(S4r): Restartable snapshot based level 4 incremental backup B(L7R): Restarted level 7 backup B(FT1R): Restarted token based incremental filelist backup B(ML0): Multi-stream full backup

Os exemplos de sessões ativas de restauração NDMP indicadas por meio do campo Operation descrito na tabela anterior são os seguintes:

R(F): Full restoreR(D): DARR(S): Selective restoreR(MF): Multi-stream full restoreR(sFh): single threaded full restore with restore hardlinks by table option

Tarefas relacionadas

Exibir sessões do NDMP

Exibir sessões do NDMPVocê pode visualizar informações sobre sessões ativas de NDMP.

1. Clique em Data Protection > NDMP > Sessions.

2. Na tabela Sessions, analise as informações sobre sessões NDMP.

Referências relacionadas

Informações de sessão do NDMP

Abortar uma sessão do NDMPÉ possível abortar uma sessão de restauração ou backup NDMP a qualquer momento.

1. Clique em Data Protection > NDMP > Sessions.

2. Na tabela Sessions, clique na caixa de seleção correspondente à sessão que deseja abortar e clique em Delete.

3. Na caixa de diálogo de confirmação, clique em Delete.

Gerenciando portas Fibre Channel do NDMPVocê pode gerenciar as portas Fibre Channel que conectam dispositivos de fita e troca de mídia a um nó Fibre Attached Storage. Você também pode ativar, desativar ou modificar as configurações de uma porta Fibre Channel do NDMP.

Backup e recuperação do NDMP 271

Configurações de portas de backup NDMPOneFS atribui configurações padrão a cada porta Fibre Channel do nó Fibre Attached Storage conectado ao cluster do Isilon. Essas configurações identificam a porta e determinam como ela interage com os dispositivos de backup NDMP.

As seguintes configurações são exibidas na tabela Ports:

Configuração Descrição

LNN Especifica o número lógico do nó Fibre Attached Storage.

Porta Especifica o nome e o número da porta do nó Fibre Attached Storage.

Topologia Especifica o tipo de topologia Fibre Channel ao qual a porta dá suporte. As opções são:

Point to Point Um dispositivo de backup ou switch Fibre Channel único conectado diretamente à porta.

Loop Vários dispositivos de backup conectados a uma porta única em uma formação circular.

Automática Detecta automaticamente a topologia do dispositivo conectado. Esta é a configuração recomendada e é obrigatória para uma topologia de switched fabric.

WWNN Especifica o nome mundial do nó (WWNN) da porta. Esse nome é o mesmo para todas as portas de um nó específico.

WWPN Especifica o nome mundial da porta (WWPN). Esse nome é exclusivo para a porta.

Taxa Especifica a taxa na qual os dados são enviados pela porta. A taxa pode ser definida como 1 Gb/s, 2 Gb/s, 4 Gb/s, 8 Gb/s e Auto. 8 Gb/s está disponível apenas para nós A100. Se ela for definida como Auto, o chip de Fibre Channel negociará com o comutador Fibre Channel ou com os dispositivos Fibre Channel para determinar a taxa. Auto é a configuração recomendada.

Estado Especifica se a porta está ativada ou desativada.

Ações Permite que você visualize e edite as configurações de porta.

Tarefas relacionadas

Modificar configurações de portas de backup NDMP

Exibir portas de backup NDMP

Ativar ou desativar uma porta de backup NDMPVocê pode ativar ou desativar uma porta de backup NDMP.

1. Clique em Data Protection > NDMP > Ports.

2. Na linha de uma porta, clique em View/Edit.A caixa de diálogo View Port será exibida.

3. Clique no botão Edit Port.A caixa de diálogo Edit Port será exibida.

4. Na lista drop-down State, selecione Enable ou Disable.

5. Clique no botão Save Changes.

Exibir portas de backup NDMPVocê pode visualizar informações sobre portas Fibre Channel dos nós Fibre Attached Storage conectados a um cluster do Isilon.

1. Clique em Data Protection > NDMP > Ports.

2. Na tabela Ports, analise as informações sobre portas de backup NDMP. Para obter informações mais detalhadas sobre uma porta específica, clique no botão View/Edit correspondente a essa porta.

Referências relacionadas

Configurações de portas de backup NDMP

272 Backup e recuperação do NDMP

Modificar configurações de portas de backup NDMPVocê pode modificar as configurações de uma porta de backup NDMP.

1. Clique em Data Protection > NDMP > Ports.

2. Clique no botão View/Edit correspondente à porta que deseja modificar.A caixa de diálogo View Port será exibida.

3. Clique no botão Edit Port.A caixa de diálogo Edit Port será exibida.

4. Edite as configurações da caixa de diálogo Edit Port e, quando terminar, clique em Save Changes.

Referências relacionadas

Configurações de portas de backup NDMP

Gerenciando as configurações preferenciais de IP do NDMPSe você estiver realizando operações tridirecionais do NDMP usando o EMC Avamar em um ambiente com várias interfaces de rede, poderá criar, modificar, excluir, listar e visualizar as configurações de IP preferenciais do NDMP para todo o cluster ou específicas das sub-redes.

Só é possível gerenciar as configurações de IP preferenciais do NDMP por meio da interface de linha de comando do OneFS.

Criar uma configuração de IP preferencial do NDMPSe você estiver executando uma operação de restauração ou backup tridirecional do NDMP usando o Avamar, poderá criar uma configuração de IP preferencial do NDMP para todo o cluster ou específica de uma sub-rede.

• Crie uma configuração de IP preferencial do NDMP executando o comando isi ndmp settings preferred-ips create.Por exemplo, execute o seguinte comando para aplicar uma configuração de IP preferencial a um cluster:

isi ndmp settings preferred-ips create cluster groupnet0.subnet0,10gnet.subnet0

Execute o comando conforme o seguinte exemplo para aplicar uma configuração de IP preferencial a um grupo de sub-rede:

isi ndmp settings preferred-ips create 10gnet.subnet0 10gnet.subnet0,groupnet0.subnet0

Modificar uma configuração de IP preferencial do NDMPSe você estiver executando uma operação de restauração ou backup tridirecional do NDMP usando o Avamar, poderá modificar uma configuração de IP preferencial do NDMP adicionando ou excluindo um grupo de sub-rede.

• Modifique uma configuração de IP preferencial do NDMP executando o comando isi ndmp settings preferred-ips modify.Por exemplo, execute os seguintes comandos para modificar uma configuração de IP preferencial do NDMP de um cluster:

isi ndmp settings preferred-ips modify 10gnet.subnet0 --add-data-subnets 10gnet.subnet0,groupnet0.subnet0

Execute o comando conforme o seguinte exemplo para modificar uma configuração de IP preferencial do NDMP de uma sub-rede:

isi ndmp settings preferred-ips modify 10gnet.subnet0 --remove-data-subnets groupnet0.subnet0

Listar as configurações de IP preferencial do NDMPSe você estiver executando uma operação de restauração ou backup tridirecional do NDMP usando o EMC Avamar, poderá listar todas as configurações de IP preferenciais do NDMP.

Backup e recuperação do NDMP 273

• Liste as configurações de IP preferenciais do NDMP executando o comando isi ndmp settings preferred-ips list.Por exemplo, execute o seguinte comando para listar as configurações de IP preferencial do NDMP:

isi ndmp settings preferred-ips list

Exibir as configurações de IP preferencial do NDMPSe você estiver executando uma operação de restauração ou backup tridirecional do NDMP usando o Avamar, poderá visualizar as configurações de IP preferenciais do NDMP para uma sub-rede ou um cluster.

• Visualize uma configuração de IP preferencial do NDMP executando o comando isi ndmp settings preferred-ips view.Por exemplo, execute o seguinte comando para exibir a configuração de IP preferencial de uma sub-rede:

isi ndmp settings preferred-ips view --scope=10gnet.subnet0

Excluir as configurações de IP preferencial do NDMPSe você estiver executando uma operação de restauração ou backup tridirecional do NDMP usando o Avamar, poderá excluir uma configuração de IP preferencial do NDMP para uma sub-rede ou um cluster.

• Exclua as configurações de IP preferenciais do NDMP executando o comando isi ndmp settings preferred-ips delete.Por exemplo, execute o seguinte comando para excluir a configuração de IP preferencial de uma sub-rede:

isi ndmp settings preferred-ips delete --scope=10gnet.subnet0

Gerenciando dispositivos de backup NDMPApós conectar um dispositivo de fita ou troca de mídia a um nó Fibre Attached Storage, você deverá configurar o OneFS para detectar e estabelecer uma conexão com o dispositivo. Estabelecida a conexão entre o cluster e o dispositivo de backup, você poderá modificar o nome que o cluster atribuiu ao dispositivo ou desconectá-lo do cluster.

Caso o dispositivo de biblioteca de fitas virtuais (VTL) tenha vários LUNs, você deverá configurar LUN0 para que todas as LUNs sejam detectadas devidamente.

Configurações de dispositivos de backup NDMPOneFS cria uma entrada de dispositivo para cada dispositivo conectado ao cluster por meio de um nó Fibre Attached Storage.

A tabela a seguir descreve as configurações que você pode analisar para um dispositivo de fita ou troca de mídia na tabela Devices e também na caixa de diálogo View Tape Devices que é exibida ao selecionar um dispositivo e clicar em View/Edit:

Configuração Descrição

Nome Especifica um nome de dispositivo atribuído pelo OneFS.

Estado Indica se o dispositivo está em uso. Se os dados estiverem sendo submetidos a backup ou restaurados do dispositivo, a mensagem Read/Write será exibida. Se o dispositivo não estiver em uso, a mensagem Closed será exibida.

WWNN Especifica o nome mundial do nó do dispositivo.

Product (Vendor/Model/Revision)

Especifica o nome do fornecedor do dispositivo e o nome ou o número de modelo do dispositivo

Número de série Especifica o número de série do dispositivo.

Ações Permite que você visualize, edite ou exclua um dispositivo.

Caminho Especifica o nome do nó Fibre Attached Storage conectado ao dispositivo e os números das portas às quais o dispositivo está conectado.

LUN Especifica a LUN (Logical Unit Number) do dispositivo.

Estado Especifica se o dispositivo está ativo ou inativo.

274 Backup e recuperação do NDMP

Configuração Descrição

WWPN Especifica o WWPN (World Wide Port Name) da porta do dispositivo de fita ou de troca de mídia.

ID de porta Especifica o ID da porta do dispositivo que vincula o dispositivo lógico ao dispositivo físico.

Open Count Um contador das conexões ativas e abertas ao dispositivo.

Nome do dispositivo Especifica o nome regular do dispositivo que é exibido no sistema operacional FreeBSD.

Pass Name Especifica o nome do dispositivo de passagem que é exibido no sistema operacional FreeBSD.

Tarefas relacionadas

Detectar dispositivos de backup NDMP

Exibir dispositivos de backup NDMP

Detectar dispositivos de backup NDMPSe você conectar um dispositivo de fita ou troca de mídia a um nó Fibre Attached Storage, deverá configurar o OneFS para detectar o dispositivo. Somente assim, o OneFS fará backup de dados no dispositivo e os restaurará a partir dele. No OneFS, você pode verificar um nó específico do Isilon, uma porta específica ou todas as portas de todos os nós.

1. Clique em Data Protection > NDMP > Devices.

2. Clique no link Discover Devices.A caixa de diálogo Discover Devices será exibida.

3. Opcional: Para examinar apenas um nó específico para dispositivos NDMP, na lista Node, selecione um nó.

4. Opcional: Para examinar apenas uma porta específica para dispositivos NDMP, na lista Ports, selecione uma porta.

Se você especificar uma porta e um nó, somente a porta especificada no nó será examinada. Entretanto, se você especificar apenas uma porta, ela será examinada em todos os nós.

5. Opcional: Para remover entradas para dispositivos ou caminhos que se tornaram inacessíveis, marque a caixa de seleção Delete inaccessible paths or devices.

6. Clique em Submit.

Para cada dispositivo que é detectado, uma entrada é adicionada às tabelas Tape Devices ou Media Changers.

Referências relacionadas

Configurações de dispositivos de backup NDMP

Exibir dispositivos de backup NDMPVocê pode visualizar informações sobre os dispositivos de fita e troca de mídia que estão conectados no momento ao cluster do Isilon.

1. Clique em Data Protection > NDMP > Devices.

2. Nas tabelas Tape Devices e Media Changer Devices, analise as informações sobre dispositivos de backup NDMP.

Referências relacionadas

Configurações de dispositivos de backup NDMP

Modificar o nome de um dispositivo de backup NDMPVocê pode modificar o nome de um dispositivo de backup NDMP no OneFS.

1. Clique em Data Protection > NDMP > Devices.

2. Na tabela Tape Devices ou Media Changer Devices, clique na caixa de seleção correspondente ao nome de uma entrada de dispositivo de backup.

3. Clique em View/Edit.A caixa de diálogo View Tape Devices ou View Media Changers será exibida.

4. Clique em Edit Tape Device.A caixa de diálogo Edit Tape Devices ou Edit Media Changers será exibida.

Backup e recuperação do NDMP 275

5. Edite o nome do dispositivo.

6. Clique em Save Changes.

Excluir uma entrada para um dispositivo de backup NDMPSe você remover fisicamente um dispositivo NDMP de um cluster do Isilon, o OneFS reterá a entrada do dispositivo. Você pode excluir uma entrada para um dispositivo removido. Também é possível remover a entrada de um dispositivo que ainda está fisicamente conectado ao cluster; isso faz com que o OneFS se desconecte do dispositivo.

Se você remover a entrada de um dispositivo que está conectado ao cluster e não desconectá-lo fisicamente, o OneFS detectará o dispositivo na próxima vez que verificar as portas. Não é possível remover uma entrada de um dispositivo que está sendo utilizado no momento.

1. Clique em Data Protection > NDMP > Devices.

2. Na tabela Tape Devices ou Media Changer Devices, clique na caixa de seleção correspondente ao dispositivo que deseja remover.

3. Clique em Delete.

4. Na caixa de diálogo Confirm Delete, clique em Delete.

Visão geral do arquivo dumpdates do NDMPQuando você define a variável de ambiente UPDATE como Y, o daemon do NDMP (Network Data Management Protocol, protocolo de gerenciamento de dados da rede) mantém um arquivo dumpdates para registrar todas as sessões de backup, com exceção das baseadas em token. O registro de data e hora do arquivo dumpdates ajuda a identificar os arquivos alterados para o próximo backup com base em níveis. As entradas do arquivo dumpdates também apresentam informações sobre a última sessão de backup em determinado caminho e o tipo de sessão de backup, que pode ser um backup completo, incremental com base em níveis ou baseado em snapshot. Essas informações determinam o tipo de backup incremental que deve ser executado posteriormente. As entradas do arquivo dumpdates podem ser obsoletas quando o caminho do backup é removido. Nesse caso, todas as entradas obsoletas podem ser removidas do arquivo dumpdates.

Gerenciando o arquivo dumpdates do NDMPVocê pode exibir ou excluir as entradas do arquivo dumpdates do NDMP (Network Data Management Protocol, protocolo de gerenciamento de dados da rede).

Configurações do arquivo dumpdates do NDMPÉ possível exibir detalhes sobre as entradas do arquivo dumpdates do NDMP (Network Data Management Protocol, protocolo de gerenciamento de dados da rede) e excluí-los, se necessário.

As seguintes configurações são exibidas na tabela Dumpdates:

Definição Descrição

Data Especifica a data em que uma entrada foi adicionada ao arquivo dumpdates.

ID O identificador de uma entrada do arquivo dumpdates.

Nível Especifica o nível de backup.

Caminho Especifica o caminho onde o arquivo dumpdates está salvo.

Snapshot ID Identifica os arquivos alterados para o próximo nível de backup. Esse ID é aplicável apenas para backups baseados em snapshots. Em todos os outros casos, o valor é 0.

Ações Exclui uma entrada do arquivo dumpdates.

Exibir entradas no arquivo dumpdates do NDMPVocê pode exibir todas as entradas do arquivo dumpdates do NDMP (Network Data Management Protocol, protocolo de gerenciamento de dados da rede).

276 Backup e recuperação do NDMP

1. Clique em Data Protection > NDMP > Environment Settings.

2. Na tabela Dumpdates, visualize informações sobre as entradas do arquivo dumpdates do NDMP.

Excluir entradas do arquivo dumpdates do NDMPVocê pode excluir as entradas do arquivo dumpdates do NDMP (Network Data Management Protocol, protocolo de gerenciamento de dados da rede).

1. Clique em Data Protection > NDMP > Environment Settings.

2. Na tabela Dumpdates, clique em Delete para a entrada que deseja excluir.

3. Na caixa de diálogo Confirm Delete, clique em Delete.

Operações de restauração do NDMPO NDMP dá suporte aos seguintes tipos de operações de restauração:

• Restauração paralela do NDMP (processo com multithread)• Restauração serial do NDMP (processo com thread único)

Operação de restauração paralela do NDMPA restauração paralela (com multi-thread) permite operações mais rápidas de restauração completa ou parcial gravando os dados no cluster tão rapidamente quanto os dados podem ser lidos a partir da fita. A restauração paralela é o mecanismo padrão de restauração do OneFS.

Por meio desse mecanismo, a operação de restauração pode restaurar vários arquivos simultaneamente.

Operação de restauração serial do NDMPPara fins de solução de problemas ou outros, você pode executar uma operação de restauração serial, que usa menos recursos do sistema. O processo de restauração serial é executado como um processo de thread único e restaura um arquivo por vez ao caminho especificado.

Especificar uma operação de restauração serial do NDMPVocê pode usar a variável de ambiente RESTORE_OPTIONS para especificar uma operação de restauração serial (de um só thread).

1. Em seu aplicativo de gerenciamento de dados, configure uma operação de restauração normalmente.

2. Verifique se a variável de ambiente RESTORE_OPTIONS está configurada como 1 em seu aplicativo de gerenciamento de dados.Se a variável de ambiente RESTORE_OPTIONS ainda não estiver configurada como 1, especifique o comando isi ndmp settings variables modify na linha de comando do OneFS. O seguinte comando especifica a restauração serial para o diretório /ifs/data/projects:

isi ndmp settings variables modify /ifs/data/projects RESTORE_OPTIONS 1

O valor da opção path deve corresponder à variável de ambiente FILESYSTEM configurada durante a operação de backup. O valor especificado para a opção name distingue maiúsculas de minúsculas.

3. Inicie a operação de restauração.

Compartilhando unidades de fita entre clustersVários clusters do Isilon, ou um cluster do Isilon e um sistema NAS de terceiros, podem ser configurados para compartilhar uma só unidade de fita. Isso ajuda a maximizar a utilização da infraestrutura de fitas em seu datacenter.

Em seu DMA (Data Management Application), você deve configurar o protocolo de gerenciamento de dados da rede para gerenciar a unidade de fita e garantir que ele seja compartilhado adequadamente. As configurações a seguir são compatíveis.

Backup e recuperação do NDMP 277

DMAs compatíveis Configurações testadas

• NetWorker 8.0 e posterior• Symantec NetBackup 7.5 e posterior

• O nó Backup Accelerator ou o nó Fibre Attached Storage do Isilon com um segundo nó Backup Accelerator ou nó Fibre Attached Storage.

• O nó Backup Accelerator ou o nó Fibre Attached Storage do Isilon com um sistema de armazenamento NetApp

NetWorker refere-se à unidade de fita que compartilha recursos como compartilhamento dinâmico de unidades (DDS). O Symantec NetBackup usa o termo SSO (Shared Storage Option). Consulte a documentação do fornecedor de seu DMA para obter instruções de configuração.

Gerenciando os backups incrementais baseados em snapshotsApós ativar os backups incrementais baseados em snapshots, você pode exibir e excluir os snapshots criados para esses backups.

Referências relacionadas

Variáveis de ambiente NDMP

Ativar os backups incrementais baseados em snapshots para um diretórioVocê pode configurar o OneFS para, por padrão, executar backups incrementais baseados em snapshot para um diretório. Você também pode sobrepor a configuração padrão em seu DMA (Data Management Application).

• Execute o comando isi ndmp settings variable create.

O seguinte o comando ativa os backups incrementais baseados em snapshot para /ifs/data/media:

isi ndmp settings variables create /ifs/data/media BACKUP_MODE SNAPSHOT

Referências relacionadas

Variáveis de ambiente NDMP

Exibir snapshots dos backups incrementais baseados em snapshotsVocê pode exibir os snapshots gerados para os backups incrementais baseados em snapshots.

1. Clique em Data Protection > NDMP > Environment Settings.

2. Na tabela Dumpdates, visualize informações sobre os backups incrementais baseados em snapshot.

Conceitos relacionados

Excluindo arquivos e diretórios de backups NDMP

Excluir snapshots dos backups incrementais baseados em snapshotsVocê pode excluir os snapshots criados para os backups incrementais baseados em snapshots.

278 Backup e recuperação do NDMP

NOTA: Recomenda-se que você não exclua os snapshots criados para os backups incrementais baseados em snapshots.

Se todos os snapshots de um caminho forem excluídos, o próximo backup realizado para o caminho será um backup

completo.

1. Clique em Data Protection > NDMP > Environment Settings.

2. Na tabela Dumpdates, clique em Delete para a entrada que deseja excluir.

3. Na caixa de diálogo Confirm Delete, clique em Delete.

Referências relacionadas

Variáveis de ambiente NDMP

Gerenciando o desempenho do cluster para sessões do NDMPO NDMP Redirector distribui automaticamente as cargas do NDMP pelos nós com a placa de interface de rede (NIC) Sheba. Você pode permitir que o NDMP Redirector distribua automaticamente as sessões bidirecionais do NDMP aos nós com menores cargas. O NDMP Redirector verifica o uso da CPU, o número de operações do NDMP já em execução e a disponibilidade de dispositivos de fita para a operação em cada nó, antes de redirecionar a operação do NDMP. O recurso de distribuição de carga resulta em melhor desempenho do cluster quando várias operações do NDMP são iniciadas.

Ativar o NDMP Redirector para gerenciar o desempenho do clusterVocê deve ativar o NDMP Redirector para distribuir automaticamente as sessões bidirecionais do NDMP aos nós com menores cargas.

Certifique-se de que o cluster esteja confirmado antes de ativar o NDMP Redirector.

1. Execute o seguinte comando por meio da interface de linha de comando para ativar o NDMP Redirector:

isi ndmp settings global modify --enable-redirector true

2. Visualize a alteração da configuração executando o seguinte comando:

isi ndmp settings global modify

A seguir, há um exemplo de resultado do comando anterior:

Service: False Port: 10000 DMA: generic Bre Max Num Contexts: 64 Context Retention Duration: 300 Smartlink File Open Timeout: 10 Enable Redirector: True

Gerenciando o uso da CPU para sessões do NDMPO NDMP Throttler gerencia o uso da CPU durante sessões bidirecionais do NDMP em nós da 6ª geração. Então, os nós são disponibilizados para oferecer suporte devidamente a outras atividades do sistema.

Ativar o NDMP ThrottlerVocê deve ativar o NDMP Throttler para gerenciar o uso da CPU pelas sessões do NDMP nos nós da 6ª geração.

1. Execute o seguinte comando por meio da interface de linha de comando para ativar o NDMP Throttler:

isi ndmp settings global modify --enable-throttler true

Backup e recuperação do NDMP 279

2. Visualize a alteração da configuração executando o seguinte comando:

isi ndmp settings global modify

A seguir, há um exemplo de resultado do comando anterior:

Service: False Port: 10000 DMA: generic Bre Max Num Contexts: 64 Context Retention Duration: 600 Smartlink File Open Timeout: 10 Enable Throttler: TrueThrottler CPU Threshold: 50

3. Se necessário, altere o limite de CPU do acelerador, conforme exibido neste exemplo:

isi ndmp settings global modify –throttler-cpu-threshold 80

280 Backup e recuperação do NDMP

Retenção de arquivos com o SmartLockEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral do SmartLock• Modo de conformidade• Modo corporativo• Diretórios do SmartLock• Replicação e backup com o SmartLock• Funcionalidade da licença do SmartLock• Considerações sobre o SmartLock• Definir o relógio de conformidade• Exibir o relógio de conformidade• Criando um diretório do SmartLock• Gerenciando os diretórios do SmartLock• Gerenciando arquivos em diretórios do SmartLock

Visão geral do SmartLockCom o módulo de software SmartLock, é possível proteger os arquivos de um cluster do Isilon contra modificação, substituição ou exclusão. Para proteger arquivos dessa maneira, você deve ativar uma licença do SmartLock.

Para obter informações sobre o SmartLock, consulte o Guia de Administração do OneFS e o Guia de Administração da Interface de Linha de Comando do OneFS.

Modo de conformidadeO modo de conformidade do SmartLock permite proteger seus dados em conformidade com as normas definidas pela regra 17a-4 da Comissão de Valores Mobiliários e Câmbio dos EUA. Essa norma, voltada para os corretores e vendedores de valores mobiliários, especifica que os registros de todas as transações de ações devem ser arquivados de um modo que não permita que eles sejam regravados nem eliminados.

NOTA: Você só pode configurar um cluster do Isilon para o modo de conformidade do SmartLock durante o processo

inicial de configuração em cluster, antes de ativar uma licença do SmartLock. Um cluster não pode ser convertido para o

modo de conformidade do SmartLock depois de ser configurado e colocado em produção.

Se você configurar um cluster para o modo de conformidade do SmartLock, o usuário root será desabilitado e não será possível fazer log-in nesse cluster com a conta de usuário root. Em vez disso, você pode fazer log-in no cluster com a conta de administrador de conformidade que foi definida durante a configuração inicial do modo de conformidade do SmartLock.

Quando você fizer log-in em um cluster do modo de conformidade do SmartLock com a conta de administrador de conformidade, poderá executar tarefas administrativas por meio do comando sudo.

Tarefas relacionadas

Definir o relógio de conformidade

Modo corporativoÉ possível criar domínios do SmartLock e aplicar o status WORM aos arquivos ativando uma licença do SmartLock em um cluster com a configuração padrão. Isso é chamado de modo de corporativo do SmartLock.

O modo corporativo do SmartLock não cumpre as normas da SEC (Securities and Exchange Commission, comissão de valores mobiliários e câmbio), mas permite que você crie diretórios do SmartLock e aplique os controles do SmartLock para proteger os arquivos para que eles não possam ser regravados nem eliminados. Além disso, a conta de usuário root permanece em seu sistema.

19

Retenção de arquivos com o SmartLock 281

Diretórios do SmartLockEm um diretório do SmartLock, é possível confirmar um arquivo para o estado WORM manualmente ou configurar o SmartLock para confirmar o arquivo automaticamente. Antes de criar diretórios do SmartLock, você deve ativar uma licença do SmartLock no cluster.

Você pode criar dois tipos de diretórios do SmartLock: corporativo e de conformidade. Entretanto, somente será possível criar diretórios de conformidade se o cluster do Isilon tiver sido configurado no modo de conformidade do SmartLock durante a configuração inicial.

Diretórios corporativos permitem que você proteja seus dados sem restringir seu cluster a cumprir as normas definidas pela regra 17a-4 da Comissão de Valores Mobiliários e Câmbio dos EUA. Se você confirmar um arquivo para o estado WORM em um diretório corporativo, o arquivo nunca pode ser modificado e não pode ser excluído até o encerramento do período de retenção.

No entanto, se você for o proprietário de um arquivo e for atribuído ao privilégio ISI_PRIV_IFS_WORM_DELETE ou fizer log-in com a conta de usuário root, poderá excluir o arquivo por meio do recurso de exclusão privilegiada antes que o período de retenção termine. O recurso de exclusão privilegiada não está disponível para diretórios de conformidade. Os diretórios corporativos fazem referência ao relógio do sistema para facilitar as operações que dependem do tempo, inclusive a retenção de arquivos.

Os diretórios de conformidade permitem que você proteja seus dados em conformidade com as normas definidas pela regra 17a-4 da Comissão de Valores Mobiliários e Câmbio dos EUA. Se você confirmar um arquivo para o estado WORM em um diretório de conformidade, o arquivo não poderá ser modificado nem excluído até a expiração do período de retenção especificado. Você não pode excluir os arquivos confirmados mesmo se tiver feito log-in com a conta do administrador de conformidade. Os diretórios de conformidade fazem referência ao relógio de conformidade para facilitar as operações que dependem do tempo, inclusive a retenção de arquivos.

Você deve configurar o relógio de conformidade antes de criar diretórios de conformidade. É possível configurá-lo somente uma vez; depois, não será possível modificar o horário. Se desejar, você pode aumentar individualmente o tempo de retenção dos arquivos confirmados para o estado WORM, mas não pode diminuí-lo.

O relógio de conformidade é controlado pelo daemon do relógio de conformidade. Os usuários administradores de raiz e de conformidade poderiam desativar o daemon do relógio de conformidade, o que causaria o aumento do período de retenção de todos os arquivos confirmados para o estado WORM. Entretanto, isso não é recomendado.

NOTA: Usando exclusões de WORM, é possível remover o estado WORM dos arquivos de um domínio corporativo ou de

conformidade WORM. Todos os arquivos do diretório excluído se comportarão como arquivos normais não protegidos

pelo SmartLock. Para obter mais informações, consulte o Guia de Administração da CLI do OneFS.

Replicação e backup com o SmartLockO OneFS permite que os diretórios corporativos e de conformidade do SmartLock sejam replicados ou submetidos a backup em um cluster de destino.

Se você estiver replicando diretórios do SmartLock com o SyncIQ, recomendamos que você configure todos os nós dos clusters de origem e de destino com o modo de par do NTP (Network Time Protocol), a fim de garantir que os relógios dos nós estejam sincronizados. Para os clusters de conformidade, recomendamos que você configure todos os nós dos clusters de origem e de destino com o modo de par do NTP antes de configurar os relógios de conformidade. Inicialmente, isso definirá os clusters de origem e de destino com o mesmo horário e ajudará a garantir a conformidade com a regra 17a-4 da Comissão de Valores Mobiliários e Câmbio dos EUA.

NOTA: Se você replicar dados a um diretório do SmartLock, não defina as configurações de SmartLock desse diretório

até que não esteja mais fazendo a replicação de dados ao diretório. Configurar um período de confirmação automática

para um diretório de destino do SmartLock, por exemplo, poderá causar falhas dos trabalhos de replicação. Se o

diretório de destino confirmar um arquivo para o estado WORM, e se o arquivo for modificado no cluster de origem, o

próximo trabalho de replicação falhará porque não poderá sobregravar o arquivo confirmado.

Se você fizer o backup de dados a um dispositivo do protocolo de gerenciamento de dados da rede, todos os metadados do SmartLock relacionados à data de retenção e ao status de confirmação serão transferidos a esse dispositivo. Se você recuperar dados a um diretório do SmartLock do cluster, os metadados persistirão no cluster. Entretanto, se o diretório ao qual você recupera os dados não for um diretório do SmartLock, os metadados serão perdidos. Você pode recuperar dados a um diretório do SmartLock somente se ele estiver vazio.

Para obter informações sobre as limitações da replicação e do failback de diretórios SmartLock com o SyncIQ, consulte Limitações de replicação do SmartLock.

Funcionalidade da licença do SmartLockVocê deve ativar uma licença do SmartLock em um cluster do Isilon antes de criar diretórios do SmartLock e confirmar arquivos para o estado WORM.

282 Retenção de arquivos com o SmartLock

Se uma licença do SmartLock ficar inativa, você não poderá criar novos diretórios do SmartLock no cluster, modificar as definições de configuração dos diretórios do SmartLock ou excluir os arquivos confirmados para o estado WORM dos diretórios corporativos antes de suas datas de expiração. No entanto, você ainda poderá confirmar os arquivos dos diretórios existentes SmartLock para o estado WORM.

Se uma licença do SmartLock ficar inativa em um cluster que está sendo executado no modo de conformidade do SmartLock, o acesso root ao cluster não é restaurado.

Considerações sobre o SmartLock• Se um arquivo for propriedade exclusiva do usuário root e existir em um cluster do Isilon que está no modo de conformidade do

SmartLock, o arquivo será inacessível porque a conta do usuário root é desativada no modo de conformidade. Por exemplo, isso pode ocorrer se um arquivo for atribuído à propriedade de raiz em um cluster que não foi configurado no modo de conformidade. Nesse caso, o arquivo será replicado para um cluster em modo de conformidade. Isso também poderá ocorrer se um arquivo de propriedade raiz for restaurado em um cluster de conformidade a partir de um backup.

• Recomenda-se que você crie arquivos fora dos diretórios do SmartLock e transfira-os a um diretório do SmartLock quando tiver terminado de trabalhar com eles. Se você estiver fazendo upload de arquivos em um cluster, recomenda-se que você faça o upload dos arquivos para um diretório que não seja SmartLock e, depois, transfira os arquivos posteriormente a um diretório do SmartLock. Se um arquivo for confirmado para o estado WORM enquanto estiver sendo transferido por upload, ele ficará preso em um estado inconsistente.

• É possível confirmar os arquivos um estado WORM (Write Once Read Many times) enquanto ainda estão abertos. Se você especificar um período de confirmação automática para um diretório, esse período será calculado de acordo com o tempo transcorrido desde a última modificação do arquivo, não desde seu fechamento. Se houver um atraso maior que o período de confirmação automática ao gravar em um arquivo aberto, o arquivo será confirmado automaticamente para o estado WORM e você não poderá fazer gravações nele.

• Em um ambiente Microsoft Windows, se você confirmar um arquivo para um estado WORM (Write Once Read Many times), não será mais possível modificar os atributos ocultos ou de arquivamento do arquivo. A tentativa de modificar os atributos ocultos ou de arquivamento de um arquivo confirmado para o estado WORM gerará um erro. Isso pode impedir que os aplicativos de terceiros modifiquem os atributos ocultos ou de arquivamento.

• Não é possível renomear um diretório de conformidade do SmartLock. Você só poderá renomear um diretório corporativo do SmartLock se ele estiver vazio.

• Também só será possível renomear arquivos dos diretórios corporativos ou de conformidade do SmartLock se os arquivos não estiverem confirmados.

• Não é possível mover:

• Diretórios SmartLock de um domínio WORM• Diretórios SmartLock de um domínio WORM a um diretório de um domínio não WORM.• diretórios de um domínio diferente de WORM a um diretório SmartLock de um domínio WORM.

Definir o relógio de conformidadeAntes de criar diretórios de conformidade SmartLock, você deve configurar o relógio de conformidade.

A definição do relógio de conformidade configura o relógio para o mesmo horário do relógio do sistema do cluster do Isilon. Antes de configurar o relógio de conformidade, certifique-se de que o relógio do sistema está configurado para o horário correto. Se posteriormente o relógio de conformidade perder a sincronização com o relógio do sistema, o relógio de conformidade se corrigirá lentamente para corresponder ao relógio do sistema. O relógio de conformidade se corrige a uma taxa de cerca de uma semana por ano.

1. Clique em File System > SmartLock > WORM.

2. Clique em Start Compliance Clock.

Conceitos relacionados

Modo de conformidade

Exibir o relógio de conformidadeVocê pode exibir a hora atual do relógio de conformidade.

1. Clique em File System > SmartLock > WORM.

2. Na área Compliance Clock, exiba o relógio de conformidade.

Retenção de arquivos com o SmartLock 283

Criando um diretório do SmartLockVocê pode criar um diretório do SmartLock e definir as configurações que controlam por quanto tempo os arquivos são mantidos no estado WORM e quando os arquivos são confirmados automaticamente para o estado WORM. Você não pode mover nem renomear um diretório que contém um diretório do SmartLock.

Períodos de retençãoUm período de retenção é o período durante o qual um arquivo permanece no estado WORM antes de ser liberado. Você pode definir as configurações dos diretórios do SmartLock que impõem os períodos de retenção padrão, mínimos e máximos para o diretório.

Se você confirmar um arquivo manualmente, também é possível especificar a data em que o arquivo foi liberado do estado WORM. Você pode configurar um período de retenção mínimo e máximo para que um diretório do SmartLock impeça que os arquivos sejam mantidos por um período muito longo ou muito curto. Recomenda-se que você especifique um período de retenção mínimo para todos os diretórios do SmartLock.

Por exemplo, suponha que você tenha um diretório do SmartLock com um período de retenção mínimo de dois dias. Às 13h da segunda-feira, você confirma um arquivo para o estado WORM e especifica que o arquivo seja liberado na terça-feira, às 15h. O arquivo será liberado do estado WORM dois dias depois, na quarta-feira às 13h, já que liberá-lo anteriormente violaria o período de retenção mínimo.

Você também pode configurar um período de retenção padrão que é atribuído quando você confirmar um arquivo sem especificar uma data para liberar o arquivo do estado WORM.

Tarefas relacionadas

Definir um período de retenção por meio da linha de comando do UNIX

Definir um período de retenção com o Windows PowerShell

Sobrepor o período de retenção para todos os arquivos em um diretório do SmartLock

Confirmar períodos automaticamenteVocê pode configurar um período de confirmação automática para os diretórios do SmartLock. Um período de confirmação automática faz com que os arquivos que estão em um diretório do SmartLock há um período sem serem modificados sejam confirmados automaticamente para o estado WORM.

Se você modificar o período de confirmação automática de um diretório do SmartLock que contém arquivos não confirmados, a novo período de confirmação automática é aplicado imediatamente aos arquivos que existiam antes da modificação. Por exemplo, considere um diretório do SmartLock com um período de confirmação automática de 2 horas. Se você modificar um arquivo do diretório do SmartLock às 13h e diminuir o período de confirmação automática para 1 hora às 14h15, o arquivo é confirmado instantaneamente para o estado WORM.

Se um arquivo for confirmado manualmente para o estado WORM, as permissões de leitura/gravação do arquivo são modificadas. Entretanto, se um arquivo for confirmado automaticamente para o estado WORM, as permissões de leitura/gravação do arquivo não são modificadas.

Criar um diretório corporativo para um diretório que não está vazioVocê pode transformar um diretório que não está vazio em um diretório corporativo do SmartLock. Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

Antes de criar um diretório do SmartLock, esteja ciente das seguintes condições e requisitos:

• Não é possível criar um diretório do SmartLock como um subdiretório de um diretório existente do SmartLock.• Os vínculos físicos não podem ultrapassar limites dos diretórios do SmartLock.• Criar um diretório do SmartLock faz com que um domínio SmartLock correspondente seja criado para esse diretório.

Execute o comando isi job jobs start.

O seguinte comando cria um domínio corporativo do SmartLock para /ifs/data/smartlock:

isi job jobs start DomainMark --root /ifs/data/smartlock --dm-type Worm

284 Retenção de arquivos com o SmartLock

Criar um diretório SmartLockVocê pode criar um diretório do SmartLock e confirmar os arquivos dele para o estado WORM.

Antes de criar um diretório do SmartLock, esteja ciente das seguintes condições e requisitos:

• Não é possível criar um diretório do SmartLock como um subdiretório de um diretório existente do SmartLock.• Os vínculos físicos não podem ultrapassar limites dos diretórios do SmartLock.• Criar um diretório do SmartLock faz com que um domínio SmartLock correspondente seja criado para esse diretório.

1. Clique em File System > SmartLock > WORM.

2. Clique em Create Domain.

3. Na lista Type, especifique se o diretório é um diretório corporativo ou um diretório de conformidade.

Os diretórios de conformidade permitem que você proteja seus dados em conformidade com as normas definidas pela regra 17a-4 da comissão de valores mobiliários e câmbio dos EUA. Os diretórios corporativos permitem que você proteja seus dados sem cumprir essas restrições.

Esta opção só é válida se o cluster estiver no modo de conformidade do SmartLock. Se o cluster não estiver no modo de conformidade, todos os diretórios do SmartLock serão diretórios corporativos.

4. Na lista Privileged Delete, especifique se deseja habilitar o usuário root para excluir arquivos que, atualmente, estão confirmados para o estado WORM.

NOTA: Esta funcionalidade só está disponível para os diretórios corporativos do SmartLock.

5. No campo Path, digite o caminho completo do diretório que deseja transformar em um diretório do SmartLock.

O caminho especificado deve pertencer a um diretório vazio do cluster.

6. Opcional: Para especificar um período de retenção padrão para o diretório, clique em Apply a default retention span e, em seguida, especifique um período.

O período de retenção padrão será atribuído se você confirmar um arquivo para o estado WORM sem especificar um dia para liberar o arquivo do estado WORM.

7. Opcional: Para especificar um período de retenção mínimo para o diretório, clique em Apply a minimum retention spane, em seguida, especifique um período.

O período de retenção mínimo garante que os arquivos sejam mantidos no estado WORM pelo menos durante o período especificado.

8. Opcional: Para especificar um período de retenção máximo para o diretório, clique em Apply a maximum retention span e, em seguida, especifique um período.

O período de retenção máximo garante que os arquivos não sejam mantidos no estado WORM por mais que o período especificado.

9. Clique em Create Domain.

10. Clique em Create.

Conceitos relacionados

Diretórios do SmartLock

Confirmar períodos automaticamente

Referências relacionadas

Definições de configuração do diretório do SmartLock

Gerenciando os diretórios do SmartLockVocê pode modificar as configurações dos diretórios do SmartLock, inclusive o período de retenção mínimo, máximo e padrão, e o período de confirmação automática.

Um diretório corporativo do SmartLock só poderá ser renomeado se estiver vazio. Não é possível renomear um diretório de conformidade do SmartLock.

Modificar um diretório do SmartLockVocê pode modificar as definições de configuração de um diretório do SmartLock.

1. Clique em File System > SmartLock > WORM.

2. Na tabela Write Once Read many (WORM) Domains, na linha de um diretório do SmartLock, clique em View / Edit.

Retenção de arquivos com o SmartLock 285

3. Clique em Edit Domain.

4. Modifique as configurações e clique em Save Changes.

Conceitos relacionados

Diretórios do SmartLock

Confirmar períodos automaticamente

Referências relacionadas

Definições de configuração do diretório do SmartLock

Excluir um diretório SmartLockVocê pode excluir um diretório de modo de conformidade do SmartLock e seu domínio WORM de modo de conformidade correspondente (se necessário) usando a CLI, mas não a IU da Web.

Para fazer isso, você deve definir o sinalizador de exclusão pendente no domínio por meio do comando isi worm domain modify <domain> --set-pending-delete da CLI. Não é possível definir o sinalizador de exclusão pendente em um domínio WORM do modo corporativo. Para obter mais informações, consulte o Guia de Administração da CLI do OneFS.

Exibir configurações de diretório do SmartLockVocê pode exibir as configurações de diretórios do SmartLock

1. Clique em File System > SmartLock > WORM.

2. Na tabela Write Once Read many (WORM) Domains, na linha de um diretório do SmartLock, clique em View / Edit.

3. Na caixa de diálogo View WORM Domain Details, visualize as configurações de diretórios do SmartLock.

Conceitos relacionados

Diretórios do SmartLock

Confirmar períodos automaticamente

Referências relacionadas

Definições de configuração do diretório do SmartLock

Definições de configuração do diretório do SmartLockVocê pode definir as configurações dos diretórios do SmartLock que determinam quando os arquivos são confirmados para o estado WORM e por quanto tempo são mantidos nele.

Caminho O caminho do diretório.

Root Logical Inode (LIN)

O LIN do diretório.

ID O ID numérico do domínio SmartLock correspondente.

Tipo O tipo de diretório do SmartLock.

Privileged Delete Indica se os arquivos confirmados ao estado WORM (Write Once Read Many times) no diretório podem ser excluídos usando a funcionalidade de exclusão privilegiada. Para acessar a funcionalidade de exclusão privilegiada, você deve ser atribuído ao privilégio ISI_PRIV_IFS_WORM_DELETE e ser o proprietário do arquivo que estiver excluindo. Você também pode acessar a funcionalidade de exclusão privilegiada para qualquer arquivo se tiver feito log-in pela conta de usuário root ou compadmin.

on Os arquivos confirmados para o estado WORM não podem ser excluídos com o comando isi worm files delete.

off Os arquivos confirmados para o estado WORM não podem ser excluídos, mesmo com o comando isi worm files delete.

286 Retenção de arquivos com o SmartLock

disabled Os arquivos confirmados para o estado WORM não podem ser excluídos, mesmo com o comando isi worm files delete. Depois que essa configuração é aplicada, ela não pode ser modificada.

Apply a default retention span

O período de retenção padrão para o diretório. Se um usuário não especificar uma data para liberar um arquivo do estado WORM, o período de retenção padrão será atribuído.

Enforce a minimum retention time span

O período de retenção mínimo para o diretório. Os arquivos são mantidos no estado WORM no mínimo o durante o período especificado, mesmo que um usuário especifique uma data de expiração que resulte em um menor período de retenção.

Enforce a maximum retention time span

O período de retenção máximo para o diretório. Os arquivos não podem ser mantidos no estado WORM por mais que o período especificado, mesmo que um usuário especifique uma data de expiração que resulte em um maior período de retenção.

Automatically commit files after a specific period of time

O período de confirmação automática do diretório. Depois que um arquivo permanece no diretório do SmartLock sem ser modificado durante o período especificado, ele é confirmado automaticamente para o estado WORM.

Override retention periods and protect all files until a specific date

A data de retenção de sobreposição para o diretório. Os arquivos confirmados para o estado WORM não são liberados desse estado até a data especificada, independentemente do período de retenção máximo para o diretório ou mesmo se um usuário especificar uma data anterior para liberar um arquivo do estado WORM.

Conceitos relacionados

Diretórios do SmartLock

Tarefas relacionadas

Criar um diretório SmartLock

Modificar um diretório do SmartLock

Exibir configurações de diretório do SmartLock

Gerenciando arquivos em diretórios do SmartLockVocê pode confirmar arquivos dos diretórios do SmartLock para o estado WORM removendo os privilégios de leitura/gravação do arquivo. Você também pode configurar uma data específica na qual o período de retenção do arquivo expira. Assim que um arquivo for confirmado para o estado WORM, você pode aumentar, mas não diminuir, o período de retenção do arquivo. Não é possível mover um arquivo que tenha sido confirmado para o estado WORM, mesmo depois que o período de retenção do arquivo expirar.

A data de expiração do período de retenção é configurada modificando o horário de acesso a um arquivo. Em uma linha de comando UNIX, o horário de acesso pode ser modificado pelo comando touch. Embora não exista nenhum método para modificar o horário de acesso no Windows Explorer, você pode modificar o horário de acesso no Windows PowerShell. O acesso a um arquivo não configura a data de expiração do período de retenção.

Se você executar o comando touch em um arquivo de um diretório do SmartLock sem especificar uma data na qual o arquivo deve ser liberado do estado WORM, e se o arquivo for confirmado, o período de retenção será configurado automaticamente para o período de retenção padrão especificado para o diretório do SmartLock. Se você não especificar um período de retenção padrão para o diretório do SmartLock, o arquivo será atribuído a um período de retenção de zero segundo. Recomenda-se que você especifique um período de retenção mínimo para todos os diretórios do SmartLock.

Definir um período de retenção por meio da linha de comando do UNIXVocê pode especificar quando um arquivo será liberado do estado WORM em uma linha de comando do UNIX.

1. Abra uma conexão com qualquer nó do cluster do Isilon em uma linha de comando UNIX e faça log-in.

2. Configure o período de retenção modificando o horário de acesso do arquivo com o comando touch.

Retenção de arquivos com o SmartLock 287

O seguinte comando configura uma data de expiração de 1º de junho de 2015 para /ifs/data/test.txt:

touch -at 201506010000 /ifs/data/test.txt

Conceitos relacionados

Períodos de retenção

Definir um período de retenção com o Windows PowerShellVocê pode especificar quando um arquivo será liberado do WORM no Microsoft Windows PowerShell.

1. Abra o prompt de comando do Windows PowerShell.

2. Opcional: Estabeleça uma conexão com o cluster do Isilon executando o comando net use.O seguinte comando estabelece uma conexão com o diretório /ifs em cluster.ip.address.com:

net use "\\cluster.ip.address.com\ifs" /user:root password

3. Especifique o nome do arquivo para o qual você deseja configurar um período de retenção ao criar um objeto.

O arquivo deve existir em um diretório do SmartLock.

O seguinte comando cria um objeto para /smartlock/file.txt:

$file = Get-Item "\\cluster.ip.address.com\ifs\smartlock\file.txt"

4. Especifique o período de retenção configurando o último horário de acesso ao arquivo.O seguinte comando configura uma data de expiração de 1º de julho de 2015, às 13h:

$file.LastAccessTime = Get-Date "2015/7/1 1:00 pm"

Conceitos relacionados

Períodos de retenção

Confirmar um arquivo para um estado WORM por meio de uma linha de comando do UNIXVocê pode confirmar um arquivo para o estado WORM em uma linha de comando do UNIX.

Para confirmar um arquivo para o estado WORM, você deve remover todos os privilégios de gravação do arquivo. Se um arquivo já estiver configurado para o estado somente leitura, você deve primeiro adicionar privilégios de gravação ao arquivo e, depois, retornar o arquivo ao estado somente leitura.

1. Abra uma conexão com o cluster do Isilon em uma interface de linha de comando do UNIX e faça log-in.

2. Remova os privilégios de gravação de um arquivo executando o comando chmod.O seguinte comando remove os privilégios de gravação de /ifs/data/smartlock/file.txt:

chmod ugo-w /ifs/data/smartlock/file.txt

Tarefas relacionadas

Exibir o status WORM de um arquivo

288 Retenção de arquivos com o SmartLock

Confirmar um arquivo para o estado WORM via Windows ExplorerVocê pode confirmar um arquivo para o estado WORM via Microsoft Windows Explorer. Este procedimento descreve como confirmar um arquivo pelo Windows 7.

Para confirmar um arquivo para o estado WORM, você deve aplicar a configuração somente leitura. Se um arquivo já estiver configurado como somente leitura, você deverá removê-lo dessa configuração e, depois, retorná-lo ao estado somente leitura.

1. No Windows Explorer, navegue até o arquivo que deseja confirmar ao estado WORM.

2. Clique com o botão direito na pasta e, depois, clique em Properties.

3. Na janela Properties, clique na guia General.

4. Marque a caixa de seleção Read-only e, depois, clique em OK.

Tarefas relacionadas

Exibir o status WORM de um arquivo

Sobrepor o período de retenção para todos os arquivos em um diretório do SmartLockVocê pode sobrepor o período de retenção dos arquivos de um diretório do SmartLock. Todos os arquivos do diretório confirmados para o estado WORM permanecerão nesse estado até depois do dia especificado.

Se os arquivos forem confirmados para o estado WORM após o período de retenção ser sobreposto, a data sobreposta funciona como uma data de retenção mínima. Todos os arquivos confirmados para o estado WORM não expiram até, no mínimo, o dia especificado, independentemente das especificações do usuário.

1. Clique em File System > SmartLock > WORM.

2. Na tabela Write Once Read many (WORM) Domains, na linha de um diretório do SmartLock, clique em View / Edit.

3. Clique em Edit Domain.

4. Clique em Override retention periods and protect all files until a specific date e especifique uma data.

5. Clique em Save Changes.

Conceitos relacionados

Períodos de retenção

Excluir um arquivo confirmado para o estado WORMVocê pode excluir um arquivo confirmado para WORM de um domínio WORM corporativo antes da data de expiração, por meio da funcionalidade de exclusão privilegiada. Este procedimento está disponível somente na CLI.

• A funcionalidade de exclusão privilegiada não deve ser desativada de modo permanente para o diretório do SmartLock que contém o arquivo.

• Você deve ser o proprietário do arquivo e ter os privilégios ISI_PRIV_IFS_WORM_DELETE e ISI_PRIV_NS_IFS_ACCESS ou ter feito log-in com a conta de usuário root.

1. Abra uma conexão com o cluster do Isilon em uma linha de comando do UNIX e faça log-in.

2. Se a funcionalidade de exclusão privilegiada foi desativada para o diretório do SmartLock, modifique o diretório executando o comando isi worm domains modify com a opção --privileged-delete.

O seguinte comando ativa a exclusão privilegiada para o diretório /ifs/data/SmartLock/directory1:

isi worm domains modify /ifs/data/SmartLock/directory1 \--privileged-delete true

3. Exclua o arquivo confirmado para WORM executando o comando isi worm files delete.

O seguinte comando exclui o arquivo /ifs/data/SmartLock/directory1/file:

isi worm files delete /ifs/data/SmartLock/directory1/file

Retenção de arquivos com o SmartLock 289

O sistema exibe um resultado semelhante ao seguinte:

Are you sure? (yes, [no]):4. Digite yes e pressione ENTER.

Exibir o status WORM de um arquivoVocê pode exibir o status WORM de um arquivo individual. Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

1. Abra uma conexão com o cluster do Isilon por meio de uma linha de comando do UNIX.

2. Visualize o status WORM de um arquivo executando o comando isi worm files view.Por exemplo, o seguinte comando exibe o status WORM de um arquivo:

isi worm files view /ifs/data/SmartLock/directory1/file

O sistema exibe um resultado semelhante ao seguinte:

WORM DomainsID Root Path------------------------------------65539 /ifs/data/SmartLock/directory1

WORM State: COMMITTED Expires: 2015-06-01T00:00:00

Tarefas relacionadas

Confirmar um arquivo para um estado WORM por meio de uma linha de comando do UNIX

Confirmar um arquivo para o estado WORM via Windows Explorer

290 Retenção de arquivos com o SmartLock

Domínios de proteçãoEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral dos domínios de proteção• Considerações sobre domínios de proteção• Criar um domínio de proteção• Excluir um domínio de proteção

Visão geral dos domínios de proteçãoDomínios de proteção são marcadores que impedem que sejam feitas modificações em arquivos e diretórios. Se um domínio for aplicado a um diretório, ele também será aplicado a todos os arquivos e subdiretórios do diretório. Você pode especificar domínios manualmente; entretanto, em geral, o OneFS cria domínios automaticamente.

Para obter informações sobre os domínios de proteção, consulte o Guia de Administração do OneFS e o Guia de Administração da Interface de Linha de Comando do OneFS.

Considerações sobre domínios de proteçãoVocê pode criar manualmente domínios de proteção antes que sejam exigidos pelo OneFS para executar determinadas ações. Entretanto, criar manualmente domínios de proteção pode limitar a capacidade de interagir com os dados marcados pelo domínio.

• Copiar um grande número de arquivos em um domínio de proteção pode levar muito tempo porque cada arquivo deve ser marcado individualmente como pertencente ao domínio de proteção.

• Não é possível mover diretórios para dentro ou fora dos domínios de proteção. No entanto, você pode mover um diretório contido em um domínio de proteção para outro local no mesmo domínio de proteção.

• Criar um domínio de proteção para um diretório que contenha um grande número de arquivos levará mais tempo do que criar um domínio de proteção para um diretório com menos arquivos. Por isso, recomenda-se criar domínios de proteção para diretórios quando estes estiverem vazios e, em seguida, adicionar arquivos no diretório.

• Se um domínio estiver impedindo a modificação ou a exclusão de um arquivo no momento, você não poderá criar um domínio de proteção para um diretório que contenha o arquivo. Por exemplo, se /ifs/data/smartlock/file.txt estiver definido como um estado WORM por um domínio SmartLock, você não poderá criar um domínio SnapRevert para /ifs/data/.

NOTA: Se você usar o SyncIQ para criar uma política de replicação para um diretório de conformidade do SmartLock, os

domínios de conformidade do SyncIQ e do SmartLock deverão ser configurados no mesmo nível de diretório raiz. Um

domínio de conformidade do SmartLock não pode ser armazenado dentro de um domínio do SyncIQ.

Criar um domínio de proteçãoVocê pode criar domínios SyncIQ ou SnapRevert para facilitar as operações de failover e inversão de snapshots. Não é possível criar um domínio SmartLock. O OneFS cria automaticamente um domínio SmartLock quando você cria um diretório do SmartLock.

1. Clique em Cluster Management > Job Operations > Job Types.

2. Na área Job Types, na linha DomainMark, coluna Actions, selecione Start Job.

3. No campo Domain Root Path, digite o caminho do diretório para o qual você deseja criar um domínio de proteção.

4. Na lista Type of domain, especifique o tipo de domínio que deseja criar.

5. Certifique-se de que a caixa de seleção Delete this domain esteja desmarcada.

6. Clique em Start Job.

Conceitos relacionados

Visão geral dos domínios de proteção

20

Domínios de proteção 291

Excluir um domínio de proteçãoVocê pode excluir domínios SyncIQ ou SnapRevert se desejar mover diretórios para fora do domínio. Não é possível excluir um domínio SmartLock. O OneFS exclui automaticamente um domínio SmartLock quando você exclui um diretório do SmartLock.

1. Clique em Cluster Management > Job Operations > Job Types.

2. Na área Job Types, na linha DomainMark, coluna Actions, selecione Start Job.

3. No campo Domain Root Path, digite o caminho do diretório do qual você deseja excluir um domínio de proteção.

4. Na lista Type of domain, especifique o tipo de domínio que você deseja excluir.

5. Selecione Delete this domain.

6. Clique em Start Job.

Conceitos relacionados

Visão geral dos domínios de proteção

292 Domínios de proteção

Criptografia de dados em repousoEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral da criptografia de dados em repouso• Unidades com criptografia automática• Segurança de dados em SEDs• Migração de dados a um cluster com SEDs• Estados do chassi e da unidade• Estado REPLACE da unidade após o smartfail• Estado ERASE da unidade após o smartfail

Visão geral da criptografia de dados em repousoVocê pode melhorar a segurança dos dados em um cluster que contenha apenas nós de unidades com criptografia automática, oferecendo proteção de dados em repouso.

Para obter informações sobre a criptografia de dados em repouso, consulte o Guia de Administração do OneFS e o Guia de Administração da Interface de Linha de Comando do OneFS.

Unidades com criptografia automáticaAs SEDs (Self-Encrypting Drives) armazenam dados em um cluster que foi desenvolvido especialmente para criptografia de dados em repouso.

A criptografia de dados em repouso das SEDs ocorre quando os dados que estão armazenados em um dispositivo são criptografados para impedir o acesso não autorizado a eles. Todos os dados gravados no dispositivo de armazenamento são criptografados quando são armazenados, e todos os dados lidos do dispositivo de armazenamento são descriptografados quando lidos. Os dados armazenados são criptografados com uma chave de criptografia de dados AES de 256 bits e descriptografados da mesma maneira. O OneFS controla o acesso a dados combinando a chave de autenticação da unidade com chaves de criptografia de dados em disco.

NOTA: Todos os nós de um cluster devem ser do tipo SED (Self-Encrypting Drive). Nós mistos não são compatíveis.

Segurança de dados em SEDsAs SEDs (Self-Encrypting Drives) submetidas a smartfail garantem a segurança dos dados após a remoção.

Os dados das SEDs são protegidos contra acesso não autorizado pela autenticação de chaves de criptografia. As chaves de criptografia nunca saem da unidade. Quando uma unidade é bloqueada, a autenticação feita com sucesso desbloqueia a unidade para acesso aos dados.

Os dados das SEDs ficam inacessíveis nas seguintes condições:

• Quando um SED é submetido a smartfail, as chaves de autenticação da unidade são excluídas do nó. Os dados na unidade não podem ser descriptografados e por isso se tornam ilegíveis, o que protege a unidade.

• Quando uma unidade é submetida a smartfail e removida de um nó, a chave de criptografia da unidade é excluída. Como a chave de criptografia para ler os dados da unidade deve ser a mesma chave usada quando os dados foram gravados, é impossível descriptografar os dados gravados anteriormente na unidade. Ao submeter uma unidade a smartfail e depois removê-la, ela será apagada por criptografia.

NOTA: Submeter uma unidade a smartfail é o método preferencial para remover uma SED. A remoção de um nó que

foi submetido a smartfail garantirá que os dados fiquem inacessíveis.

• Quando um SED ficam sem energia, os bloqueios de unidade impedem o acesso não autorizado. Quando a energia é restaurada, os dados se tornam acessíveis novamente quando a chave de autenticação apropriada da unidade é fornecida.

21

Criptografia de dados em repouso 293

Migração de dados a um cluster com SEDsÉ possível migrar dados de seu cluster existente para um cluster de nós composto por SEDs (Self-Encrypting Drives). Como resultado, todos os dados migrados e futuros do novo cluster serão criptografados.

NOTA: A migração de dados para um cluster com SEDs deve ser realizada pelo Isilon Professional Services. Para obter

mais informações, entre em contato com seu representante da Dell EMC.

Estados do chassi e da unidadeVocê pode exibir os detalhes dos estados do chassi e da unidade.

Em um cluster, a combinação de nós em diferentes estados degradados determina se as solicitações de leitura, de gravação ou ambas, estão funcionando. Um cluster pode perder o quórum de gravação, mas manter o quórum de leitura. O OneFS apresenta detalhes sobre o status do chassi e das unidades de seu cluster. A tabela a seguir descreve todos os possíveis estados que você pode encontrar em seu cluster.

Estado Descrição Interface Estado de erro

HEALTHY Todas as unidades do nó estão funcionando corretamente.

Interface de linha de comando, interface Web de administração

L3 Um SSD (Solid State Drive) foi implementado como um cache L3 (Level 3, nível 3) para aumentar o tamanho da memória de cache e melhorar as velocidades de throughput.

Interface de linha de comando

SMARTFAIL ou Smartfail or restripe in progress

A unidade está em processo de remoção com segurança do file system, devido a um erro de I/O ou a uma solicitação do usuário. Os nós ou unidades em um estado smartfail ou somente leitura só afetam o quórum de gravação.

Interface de linha de comando, interface Web de administração

NOT AVAILABLE Uma unidade está indisponível por diversos motivos. Você pode clicar no gabinete para exibir informações detalhadas sobre essa condição.

NOTA: Na interface Web de administração, esse estado inclui os estados ERASE e

SED_ERROR da interface de linha de

comando.

Interface de linha de comando, interface Web de administração

X

SUSPENDED Este estado indica que a atividade da unidade está suspensa temporariamente e que a unidade não está em uso. O estado é iniciado manualmente e não ocorre durante a atividade normal do cluster.

Interface de linha de comando, interface Web de administração

NOT IN USE Um nó em estado off-line está afetando o quórum de leitura e de gravação.

Interface de linha de comando, interface Web de administração

REPLACE A unidade passou por smartfail com sucesso e está pronto para ser substituída.

Somente interface de linha de comando

STALLED A unidade foi interrompida e está passando por uma avaliação de interrupção. A avaliação de interrupção é o processo de verificação das unidades que estão lentas ou que apresentam outros problemas. Dependendo do resultado da avaliação, a unidade pode voltar ao serviço ou passar por smartfail. Este é um estado temporário.

Somente interface de linha de comando

NEW A unidade está nova e vazia. Esse é o estado de uma unidade quando você executa o comando isi dev com a opção -aadd.

Somente interface de linha de comando

294 Criptografia de dados em repouso

Estado Descrição Interface Estado de erro

USED A unidade foi adicionada e continha um GUID do Isilon, mas a unidade não é desse nó. Provavelmente, essa unidade será formatada no cluster.

Somente interface de linha de comando

PREPARING A unidade está passando por uma operação de formatação. O estado da unidade muda para HEALTHY quando a formatação é concluída com sucesso.

Somente interface de linha de comando

EMPTY Não há nenhuma unidade nesse gabinete. Somente interface de linha de comando

WRONG_TYPE O tipo de unidade é incorreto para esse nó. Por exemplo, uma unidade não SED em um nó SED ou SAS em vez do tipo esperado de unidade SATA.

Somente interface de linha de comando

BOOT_DRIVE Exclusivo à unidade A100, que tem unidades de inicialização em seus gabinetes.

Somente interface de linha de comando

SED_ERROR A unidade não pode ser reconhecida pelo sistema OneFS.

NOTA: Na interface Web de administração, esse estado é incluso em Not available.

Interface de linha de comando, interface Web de administração

X

ERASE A unidade está pronta para remoção, mas precisa de sua atenção porque os dados não foram eliminados. Você pode eliminar a unidade manualmente para garantir que os dados sejam removidos.

NOTA: Na interface Web de administração, esse estado é incluso em Not available.

Somente interface de linha de comando

INSECURE Os dados do SED podem ser acessados por uma equipe não autorizada. Os SEDs nunca devem ser utilizados para fins de dados não criptografados.

NOTA: Na interface Web de administração, esse estado é chamado de Unencrypted SED.

Somente interface de linha de comando

X

UNENCRYPTED Os dados do SED podem ser acessados por uma equipe não autorizada. Os SEDs nunca devem ser utilizados para fins de dados não criptografados.

NOTA: Na interface de linha de comando, esse estado é chamado de INSECURE.

Somente na interface Web de administração

X

Estado REPLACE da unidade após o smartfailÉ possível ver diferentes estados da unidade durante o processo de smartfail.

Se você executar o comando isi dev list durante o processo de smartfail da drive do compartimento 1, o sistema exibirá um resultado semelhante ao seguinte exemplo:

Node 1, [ATTN] Bay 1 Lnum 11 [SMARTFAIL] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4 00009330EYE03 /dev/da3 Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12

Criptografia de dados em repouso 295

Se você executar o comando isi dev list após a conclusão com sucesso do smartfail, o sistema exibirá um resultado semelhante ao seguinte exemplo, mostrando o estado da unidade como REPLACE:

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4 00009330EYE03 /dev/da3 Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12Se você executar o comando isi dev list durante o smartfail da unidade contida no gabinete 3, o sistema exibirá um resultado semelhante ao seguinte exemplo:

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [SMARTFAIL] SN:Z296LBP4 00009330EYE03 N/A Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12

Estado ERASE da unidade após o smartfailAo final do processo de smartfail, o OneFS tenta excluir a chave de autenticação de uma unidade caso não consiga redefini-la.

NOTA:

• Para excluir a chave de autenticação de uma só unidade com segurança, faça o smartfail da unidade individual.

• Para excluir a chave de autenticação de um só nó com segurança, faça o smartfail do nó.

• Para excluir as chaves de autenticação de todo um cluster com segurança, faça o smartfail de cada nó e execute o

comando isi_reformat_node no último nó.

Após executar o comando isi dev list, o sistema exibirá um resultado semelhante ao do seguinte exemplo, mostrando o estado da unidade como ERASE:

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [ERASE] SN:Z296LBP4 00009330EYE03 /dev/da3 As unidades que mostram o estado ERASE podem ser removidas, reutilizadas ou devolvidas com segurança.

Qualquer acesso posterior a uma unidade que mostre o estado ERASE exige que a chave de autenticação da unidade seja configurada para seu MSID (Manufactured Security ID) padrão. Essa ação elimina a DEK (Data Encryption Key, chave de criptografia de dados) da unidade e processa todos os dados existentes na unidade que forem ilegíveis de modo permanente

296 Criptografia de dados em repouso

SmartQuotasEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral do SmartQuotas• Tipos de cota• Tipo de cota padrão• Contabilidade e limites de uso• Cálculos de uso do disco• Notificações de cota• Regras de notificação de cota• Relatórios de cota• Criando cotas• Gerenciando cotas• Gerenciando notificações de cota• Mensagens de notificação de cota por e-mail• Gerenciando relatórios de cota• Configurações básicas de cota• Configurações de regras de notificação de cota de limite consultivo• Configurações de regras de notificação de cota de limite flexível• Configurações de regras de notificação de cota de limite fixo• Configurações das notificações de limite• Configurações do relatório de cotas

Visão geral do SmartQuotasO módulo SmartQuotas é uma ferramenta de gerenciamento de cotas que monitora e impõe limites de armazenamento definidos pelo administrador. Com o uso de limites de cota de contabilidade e imposição, recursos de geração de relatórios e notificações automáticas, o SmartQuotas gerencia a utilização do armazenamento, monitora o armazenamento em disco e emite alertas quando os limites de armazenamento são ultrapassados.

As cotas ajudam a gerenciar o uso de armazenamento de acordo com os critérios definidos. As cotas são usadas para monitoramento — e, às vezes, limitação — do volume de armazenamento que um usuário, um grupo ou um projeto consome. As cotas ajudam a garantir que um usuário ou departamento não viole o armazenamento alocado a outros usuários ou departamentos. Em algumas implementações de cotas, as gravações além do espaço definido são negadas e, em outros casos, uma notificação simples é enviada.

NOTA: Não aplique cotas a /ifs/.ifsvar/ ou seus subdiretórios. Se você limitar o tamanho do diretório /ifs/.ifsvar/ por meio de uma cota e o diretório atingir o limite, os trabalhos como File-System Analytics

apresentarão falha. Uma cota impede que os relatórios de trabalho mais antigos sejam excluídos dos subdiretórios /ifs/.ifsvar/ para oferecer mais espaço para relatórios mais recentes.

O módulo SmartQuotas requer uma licença separada. Para obter mais informações sobre o módulo SmartQuotas ou para ativar o módulo, entre em contato com o representante de vendas do Dell EMC.

Tipos de cotaO OneFS usa o conceito de tipos de cota como a unidade organizacional fundamental de cotas de armazenamento. As cotas de armazenamento compreendem um conjunto de recursos e uma contagem de cada tipo de recurso para esse conjunto. As cotas de armazenamento também são chamadas de domínios de armazenamento.

A criação de cotas de armazenamento requer três identificadores:

• O diretório a ser monitorado

22

SmartQuotas 297

• O fato de os snapshots serem ou não rastreados em relação ao limite de cota• O tipo de cota (diretório, usuário ou grupo)

NOTA: Não crie cotas de qualquer tipo no root do OneFS (/ifs). Uma cota no nível root pode degradar

significativamente o desempenho.

Você pode escolher um tipo de cota entre as seguintes entidades:

Directory Um diretório específico e seus subdiretórios.NOTA: Não é possível escolher um tipo de cota de diretório padrão usando a IU da Web. Você só

pode criar uma cota de diretório padrão usando a CLI. No entanto, é possível gerenciar as cotas de

diretório padrão usando a IU (modificar as configurações de cota, e vincular e desvincular

subdiretórios). Todos os subdiretórios imediatos de uma cota de diretório padrão herdarão as

configurações de cota do diretório principal, a menos que forem modificados de outra forma. As

cotas de diretório específicas que você configura têm precedência sobre uma cota de diretório

padrão.

Usuário Um usuário específico ou o usuário padrão (cada usuário). Cotas específicas de usuário que você configura para terem precedência sobre uma cota de usuário padrão.

Group Todos os membros de um grupo específico ou todos os membros de um grupo padrão (cada grupo). Cotas específicas de grupo que você configura para terem precedência sobre uma cota de grupo padrão. A associação de uma cota de grupo a uma cota de grupo padrão cria uma cota vinculada.

Você pode criar vários tipos de cotas no mesmo diretório, mas devem ser de um tipo diferente ou ter uma opção de snapshot diferente. Você pode especificar tipos de cotas para qualquer diretório do OneFS e aninhá-los entre si para criar uma hierarquia de políticas de uso complexas.

As cotas de armazenamento aninhadas podem se sobrepor. Por exemplo, as seguintes configurações de cota garantem que o diretório de finanças nunca exceda 5 TB, limitando os usuários do departamento financeiro a 1 TB cada:

• Defina uma cota fixa de 5 TB em /ifs/data/finance.

• Define uma cota flexível de 1 TB para cada usuário do departamento financeiro.

Tipo de cota padrãoAs cotas padrão criam automaticamente outras cotas para usuários, grupos ou subdiretórios imediatos de um diretório especificado.

Existem três tipos de cota padrão que você pode configurar em um diretório especificado: usuário padrão, grupo padrão e diretório padrão. Uma cota padrão permite automatizar as cotas de uma pasta /ifs e especifica uma política para novas entidades que correspondem a um gatilho. Por exemplo, se uma cota de usuário padrão for configurada na pasta /ifs/dir1, default-user@/ifs/dir1 se tornará specific-user@/ifs/dir1 para cada usuário específico que não esteja definido de outra forma. A imposição de cotas de usuário padrão é copiada em um usuário específico do diretório, e cota herdada é chamada de cota vinculada. Dessa forma, cada conta de usuário tem sua própria contabilidade de uso.

NOTA: As alterações na configuração das cotas vinculadas devem ser feitas na cota pai da qual a cota vinculada está

sendo herdada. As alterações na cota pai são propagadas para todos os filhos. Para sobrepor a configuração da cota

principal, primeiramente, desvincule a cota.

Se uma cota padrão de diretório for configurada na pasta /ifs/parent, qualquer subdiretório imediato criado nesse diretório herdará automaticamente as informações de configuração de cota do domínio padrão. Somente subdiretórios imediatos herdam as cotas padrão de diretório; um subdiretório de um subdiretório imediato (um subdiretório de segundo nível ou mais profundo) não herdará a cota padrão de diretório. Por exemplo, você cria um tipo de cota de diretório padrão no diretório /ifs/parent. Em seguida, você cria o subdiretório /ifs/parent/child. Esse subdiretório herda as configurações de cota padrão de diretório. Em seguida, você cria o subdiretório /ifs/parent/child/grandchild de segundo nível. Esse subdiretório não herda as configurações de cota padrão de diretório.

Não é possível escolher um tipo de cota padrão usando a IU da Web. Você só pode criar cotas padrão usando a CLI. No entanto, é possível gerenciar as cotas padrão usando a IU (modificar as configurações de cota, e vincular e desvincular subdiretórios). As cotas de diretório específicas que você configura têm precedência sobre uma cota de diretório padrão. Para obter mais informações sobre a criação de cotas padrão, consulte o Guia de Referência de Comandos da CLI do OneFS.

298 SmartQuotas

Contabilidade e limites de usoAs cotas de armazenamento podem executar duas funções: monitoram o espaço de armazenamento por meio da contabilidade de uso e gerenciam o espaço de armazenamento por meio da imposição de limites.

Você pode configurar cotas do OneFS por tipo de uso para controlar e limitar o uso do armazenamento. A opção de contabilidade, que monitora o uso do armazenamento em disco, é útil para auditoria, planejamento e faturamento. Os limites de imposição definem limites de armazenamento para usuários, grupos ou diretórios.

Monitore o consumo de armazenamento sem especificar um limite

A opção de contabilidade controla, mas não limita o uso de armazenamento em disco. Com a opção de contabilidade para uma cota, você pode monitorar o número de inodes e os recursos de espaço físico e lógico. Espaço físico se refere a todo o espaço que é usado para armazenar arquivos e diretórios, inclusive dados, metadados e sobrecarga de proteção de dados do domínio. Existem dois tipos de espaço lógico:

• Tamanho lógico do file system: tamanho lógico dos arquivos conforme o file system. Soma dos tamanhos de todos os arquivos, com exceção de metadados de arquivos e sobrecarga de proteção de dados.

• Tamanho lógico do aplicativo: tamanho lógico do arquivo aparente para o aplicativo. Capacidade utilizada de arquivos a partir do ponto de vista do aplicativo, que geralmente é igual ou menor que o tamanho lógico do file system. No entanto, no caso de um arquivo fragmentado, o tamanho lógico do aplicativo pode ser maior que o tamanho lógico do file system. O tamanho lógico do aplicativo inclui o consumo de capacidade do cluster, bem como os dados classificados em nível para a nuvem.

O consumo de armazenamento é monitorado usando o tamanho lógico do file system por padrão, o que não inclui a sobrecarga de proteção. Por exemplo, com a opção de contabilidade, você pode fazer o seguinte:

• Rastrear o total de espaço em disco que é usado por vários usuários ou grupos para cobrar de cada usuário, grupo ou diretório somente o espaço em disco que é utilizado.

• Revisar e analisar os relatórios que ajudam a identificar padrões de utilização do armazenamento e definir políticas de armazenamento.

• Planejar a capacidade e outras necessidades de armazenamento.

Especificar limites de armazenamento

Os limites de imposição incluem toda a funcionalidade da opção de contabilidade, além da capacidade de limitar o armazenamento em disco e enviar notificações. Usando limites de imposição, você pode particionar um cluster de maneira lógica para controlar ou restringir o armazenamento que um usuário, um grupo ou um diretório pode usar. Por exemplo, é possível definir limites de capacidade fixos e flexíveis para garantir que o espaço adequado esteja sempre disponível para projetos e aplicativos essenciais e para garantir que os usuários do cluster não excedam a capacidade de armazenamento permitido. Você também pode fornecer notificações de cota por e-mail em tempo real a usuários, gerentes de grupo ou administradores quando estiverem se aproximando ou tiverem excedido o limite de cota.

NOTA:

Se um tipo de cotas usar a opção somente de contabilidade, não será possível usar limites de imposição para essa cota.

As ações de um administrador que está conectado como root podem forçar um domínio para além de um limite de cota. Por exemplo, alterar o nível de proteção ou criar um snapshot pode exceder os parâmetros de cotas. Ações do sistema como reparos também podem enviar um domínio de cotas além do limite.

O sistema oferece três tipos de limites de imposição definidos pelo administrador.

Tipo de limite Descrição

Fixo Limita o uso do disco a um tamanho que não pode ser excedido. Se uma operação, como uma gravação de arquivo, fizer com que um destino exceda uma cota fixa, ocorrerão os seguintes eventos:

• Ocorrerá uma falha na operação• Um alerta será registrado no cluster• Uma notificação será enviada aos destinatários especificados.

As gravações serão reiniciadas quando for atingido um nível de uso abaixo do limite.

Suave Permite um limite com um período de tolerância que pode ser excedido até a expiração desse período. Quando uma cota flexível é excedida, um alerta é registrado no cluster e uma notificação é enviada aos destinatários especificados; entretanto, são permitidas gravações de dados durante o período de tolerância.

SmartQuotas 299

Tipo de limite Descrição

Se o limite flexível for ultrapassado quando o período de tolerância expirar, ocorrerá falha nas gravações de dados e uma notificação será enviada aos destinatários especificados.

As gravações serão reiniciadas quando for atingido um nível de uso abaixo do limite.

Consultivo Limite informativo que pode ser excedido. Quando um limite de cota consultivo é excedido, um alerta é registrado no cluster, e uma notificação é enviada aos destinatários especificados. Os limites consultivos não evitam gravações de dados.

Cálculos de uso do discoPara cada cota configurada, você pode especificar se o espaço físico ou lógico será incluído nos cálculos futuros de uso do disco.

É possível configurar cotas para incluir os seguintes tipos de espaço físico ou lógico:

Tipo de espaço físico ou lógico a incluir na cota

Descrição

Tamanho físico Espaço total em disco consumido para armazenar arquivos no OneFS. Além dos dados de arquivo, isso conta os metadados de usuário (por exemplo, ACLs e atributos estendidos especificados pelo usuário) e a sobrecarga de proteção de dados. Contas para consumo de capacidade no local com proteção de dados.

Blocks de dados de arquivo (regiões não fragmentadas) + metadados de IFS (ACLs, ExAttr, inode) + sobrecarga de proteção de dados

Tamanho lógico do file system

Aproximação do uso do disco em outros sistemas, ignorando a sobrecarga de proteção. O espaço consumido para armazenar arquivos com proteção 1x. Contas para consumo de capacidade no local sem proteção de dados.

Blocks de dados de arquivo (regiões não fragmentadas) + metadados de IFS (ACLs, ExAttr, inode)

Tamanho lógico do aplicativo

Tamanho aparente do arquivo observado por um usuário/aplicativo. Como um aplicativo encontra espaço disponível para armazenamento, independentemente de os arquivos estarem classificados em níveis, fragmentados, desduplicados ou compactados. É a compensação do último byte do arquivo (final do arquivo). O tamanho lógico do aplicativo não é afetado pelo local físico dos dados, por um cluster ligado ou desligado e, portanto, inclui a capacidade do CloudPools em vários locais. Contas para consumo de capacidade no local e fora do local sem proteção de dados.

O tamanho físico e as métricas de cotas de tamanho lógico do file system contam o número de blocks necessários para armazenar os dados de arquivo (alinhados por block). A métrica de cotas de tamanho lógico do aplicativo não é alinhada por block. Em geral, o tamanho lógico do aplicativo é menor que o tamanho físico ou o tamanho lógico do file system, já que o tamanho lógico do file system conta o tamanho total do último block do arquivo, enquanto o tamanho lógico do aplicativo considera os dados presentes no último block. No entanto, o tamanho lógico do aplicativo será maior para arquivos fragmentados.

A maioria das configurações de cota não precisa incluir cálculos de sobrecarga de proteção de dados e, portanto, não precisa incluir espaço físico. No entanto, essas configurações podem incluir o espaço lógico (o tamanho lógico do file system ou do aplicativo). Se você não incluir a sobrecarga de proteção de dados nos cálculos de uso para uma cota, os futuros cálculos de uso do disco para a cota incluirão somente o espaço lógico necessário para armazenar arquivos e diretórios. O espaço necessário para a configuração da proteção de dados do cluster não está incluído.

Considere um exemplo de usuário que seja restrito por uma cota de 40 GB que não inclui sobrecarga de proteção de dados nos cálculos de uso do disco. (A cota de 40 GB inclui o tamanho lógico do file system ou do aplicativo). Se o cluster estiver configurado com um nível de proteção de dados de 2x e o usuário gravar um arquivo de 10 GB no cluster, esse arquivo consumirá 20 GB de espaço, mas os 10 GB para sobrecarga de proteção de dados não serão considerados no cálculo da cota. Neste exemplo, o usuário atingiu 25% da cota de 40 GB gravando um arquivo de 10 GB no cluster. Esse método de cálculo de uso do disco é recomendado para a maioria das configurações de cota.

Se você incluir a sobrecarga de proteção de dados em cálculos de uso para uma cota, os cálculos futuros de uso de disco para a cota incluirão o volume total de espaço necessário para armazenar arquivos e diretórios, além do espaço que é necessário para acomodar as configurações de proteção de dados, como paridade ou espelhamento. Por exemplo, considere um usuário que esteja restrito por uma cota de 40 GB que inclua sobrecarga de proteção de dados em seus cálculos de uso do disco. (A cota de 40 GB inclui o tamanho físico). Se o cluster estiver configurado com um nível de proteção de dados de 2x (espelhado) e o usuário gravar um arquivo de 10 GB no cluster,

300 SmartQuotas

esse arquivo consumirá 20 GB de espaço: 10 GB para o arquivo e 10 GB para a sobrecarga de proteção de dados. Neste exemplo, o usuário atingiu 50% da cota de 40 GB gravando um arquivo de 10 GB no cluster.

NOTA: Os arquivos clonados e desduplicados são tratados como arquivos comuns pelas cotas. Se a cota incluir a

sobrecarga de proteção de dados, a sobrecarga de proteção de dados compartilhados não será incluída no cálculo do

uso.

Você pode configurar as cotas para incluir o espaço consumido por snapshots. Um só caminho pode ter duas cotas aplicadas a ele: uma sem uso de snapshots, que é o padrão, e outra com uso de snapshots. Se você incluir snapshots na cota, serão incluídos no cálculo mais arquivos do que os contidos no diretório atual. O uso real do disco é a soma do diretório atual e os snapshots desse diretório. Você pode ver quais snapshots estão incluídos no cálculo examinando o diretório .snapshot do caminho da cota.

NOTA: Somente snapshots criados após o término do trabalho QuotaScan são incluídos no cálculo.

Notificações de cotaAs notificações de cota são geradas para cotas de imposição, que fornecem informações aos usuários quando ocorre uma violação de cota. Os lembretes serão enviados periodicamente enquanto a condição persistir.

Cada regra de notificação define a condição que deve ser imposta e a ação a ser executada quando a condição for verdadeira. Uma cota de imposição pode definir várias regras de notificação. Quando os limites são excedidos, notificações por e-mail automáticas podem ser enviadas aos usuários especificados, ou você poderá monitorar as notificações como alertas do sistema ou receber e-mails sobre esses eventos.

As notificações podem ser configuradas globalmente para se aplicarem a todos os domínios de cotas ou ser definidas para domínios de cotas específicos.

As cotas de imposição dão suporte às configurações de notificação a seguir. Uma determinada cota pode utilizar apenas uma destas configurações.

Configurações das notificações de limite Descrição

Disable quota notifications Desativa todas as notificações da cota.

Use the system settings for quota notifications Usa a notificação padrão global do tipo de cota especificado.

Create custom notifications rules Permite a criação de notificações personalizadas avançadas que se aplicam à cota específica. As notificações personalizadas podem ser configuradas para alguns ou todos os tipos de limite (fixo, flexível ou consultivo) para a cota especificada.

Regras de notificação de cotaVocê pode criar regras de notificação de cota para gerar alertas que são acionados por limites de evento.

Quando ocorre um evento, uma notificação é enviada de acordo com a regra de notificação. Por exemplo, você pode criar uma regra de notificação que envie um e-mail quando o limite de alocação de espaço em disco é excedido por um grupo.

Você pode configurar regras de notificação para acionar uma ação de acordo com os limites de evento (uma condição de notificação). Uma regra pode especificar um agendamento, como "todos os dias à 1:00" para executar uma ação ou uma notificação imediata de determinadas transições de estado. Quando ocorre um evento, um acionamento de notificação pode executar uma ou mais ações, como enviar um e-mail ou emitir um alerta de cluster para a interface. Os exemplos a seguir demonstram os tipos de critérios que você pode usar para configurar regras de notificação.

• Notificar quando um limite é excedido; no máximo, uma vez a cada 5 minutos• Notificar quando a alocação é negada; no máximo, uma vez a cada hora• Notificar quando estiver acima do limite, diariamente às 2h• Notificar quando o período de tolerância expirar semanalmente, aos domingos às 2h

As notificações são acionadas para eventos agrupados pelas seguintes categorias:

Notificações instantâneas

Inclui a notificação de negação de gravação, acionada quando um limite fixo nega uma gravação, e a notificação de limite excedido, acionada no momento em que um limite fixo, flexível ou consultivo é excedido. Essas são notificações únicas porque representam eventos distintos e pontuais.

SmartQuotas 301

Notificações contínuas

Geradas com base em um agendamento para indicar uma condição persistente, como um limite fixo, flexível ou consultivo que foi ultrapassado ou um período de tolerância que já está expirado por um longo período.

Relatórios de cotaO módulo SmartQuotas do OneFS oferece recursos de geração de relatórios que permitem aos administradores gerenciar recursos de cluster e analisar as estatísticas de uso.

Os relatórios de cotas de armazenamento fornecem uma exibição resumida do estado anterior ou atual dos domínios de cota. Depois que o OneFS coleta dados brutos para geração de relatórios, você pode produzir resumos de dados usando um conjunto de parâmetros de filtragem e tipos de classificação. Os relatórios de cota de armazenamento incluem informações sobre os violadores, agrupados por tipo de limite. Você pode gerar relatórios de uma amostra de dados históricos ou dos dados atuais. Em qualquer caso, os relatórios são visualizações de dados de uso em um determinado momento. O OneFS não fornece relatórios sobre dados agregados ao longo do tempo, como relatórios de tendências, mas você pode usar dados brutos para análise de tendências. Não há um limite de configuração para o número de relatórios, a não ser o espaço necessário para armazená-los.

O OneFS oferece os seguintes métodos de coleta de dados e geração de relatórios:

• Os relatórios agendados são gerados e salvos em intervalos regulares.• Os relatórios eventuais são gerados e salvos mediante solicitação do usuário.• Os relatórios em tempo real são gerados para visualização imediata e temporária.

Os relatórios agendados, por padrão, são colocados no diretório /ifs/.isilon/smartquotas/reports, mas o local pode ser configurado para qualquer diretório em /ifs. Cada relatório gerado inclui configurações de definição de domínio de cotas, estado, uso e globais. Por padrão, dez relatórios são mantidos por vez, e os mais antigos são removidos. Você pode criar relatórios eventuais a qualquer momento para visualizar o estado atual do sistema de cotas de armazenamento. Esses relatórios em tempo real podem ser salvos manualmente. Os relatórios eventuais são salvos em um local separado dos relatórios agendados para não distorcer os conjuntos de relatórios programados.

Criando cotasVocê pode criar dois tipos de cotas de armazenamento para monitorar dados: cotas de contabilidade e cotas de aplicação. Os limites e restrições de cotas de armazenamento podem ser aplicadas a usuários, grupos ou diretórios específicos.

O tipo de cota que você criar dependerá de seu objetivo.

• As cotas de imposição monitoram e limitam a utilização do disco. Você pode criar as cotas de imposição que usem qualquer combinação de limites fixos, flexíveis e consultivos.

NOTA: As cotas de imposição não são recomendadas para domínios de cotas de rastreamento de snapshot.

• As cotas de contabilidade monitoram, mas não limitam a utilização do disco.

NOTA: Antes de usar os dados de cotas para análise ou outros fins, verifique se os trabalhos QuotaScan estão em

execução.

Criar uma cota de contabilidadeVocê pode criar uma cota de contabilidade para monitorar, mas não limitar, o uso do disco.

Opcionalmente, você pode incluir os dados dos snapshots, a sobrecarga de proteção de dados ou ambos na cota de contabilidade.

1. Clique em File system > SmartQuotas > Quotas and usage.

2. Clique em Create a quota.A caixa de diálogo Create a Quota será exibida.

3. Na lista Quota Type, selecione o destino para a cota.

• Directory quota• User quota• Group quota

4. Dependendo do destino selecionado, escolha a entidade à qual a cota será aplicada. Por exemplo, se você selecionou User quota na lista Quota Type, poderá estabelecer como destino todos os usuários ou um usuário específico.

5. No campo Path, especifique o caminho para a cota ou clique em Browse e selecione um diretório.

6. Na área Quota Accounting, selecione as opções que deseja usar.

302 SmartQuotas

• Para incluir dados de snapshot na cota de contabilidade, selecione Include snapshots in the storage quota.• Para incluir os metadados e a sobrecarga de proteção de dados na cota de contabilidade, selecione Physical size.• Para incluir o tamanho físico, menos os metadados e a sobrecarga de proteção de dados, selecione File System Logical size.• Para incluir o consumo de capacidade do cluster, bem como os dados classificados em níveis para a nuvem, selecione Application

logical size. Essa cota de contabilidade não mede o espaço do file system, mas apresenta a visualização do aplicativo/usuário sobre a capacidade de arquivos utilizada.

7. Na área Quota Limits, selecione Track storage without specifying a storage limit.

8. Selecione como o espaço disponível deve ser exibido:

• Size of smallest hard or soft threshold• Size of cluster

9. Clique em Create quota.

Antes de usar os dados de cota para análise ou outros objetivos, confirme se não há trabalhos QuotaScan em andamento verificando Cluster management > Job operations > Job summary.

Criar uma cota de imposiçãoVocê pode criar uma cota de imposição para monitorar e limitar o uso do disco.

Você pode criar cotas de imposição que configuram limites fixos, flexíveis e de consultoria.

1. Clique em File system > SmartQuotas > Quotas and usage.

2. Clique em Create a quota.A caixa de diálogo Create a Quota será exibida.

3. Na lista Quota Type, selecione o destino para a cota.

• Directory quota• User quota• Group quota

4. Dependendo do destino selecionado, escolha a entidade à qual a cota será aplicada. Por exemplo, se você selecionou User quota na lista Quota Type, poderá estabelecer como destino todos os usuários ou um usuário específico.

5. No campo Path, especifique o caminho para a cota ou clique em Browse e selecione um diretório.

6. Na área Quota Accounting, selecione as opções que deseja usar.

• Para incluir dados de snapshot na cota de contabilidade, selecione Include snapshots in the storage quota.• Para incluir os metadados e a sobrecarga de proteção de dados na cota de contabilidade, selecione Physical size.• Para incluir o tamanho físico, menos os metadados e a sobrecarga de proteção de dados, selecione File System Logical size.• Para incluir o consumo de capacidade do cluster, bem como os dados classificados em níveis para a nuvem, selecione Application

logical size. Essa cota de contabilidade não mede o espaço do file system, mas apresenta a visualização do aplicativo/usuário sobre a capacidade de arquivos utilizada.

7. Na área Quota Limits, selecione Specify storage limits.

8. Marque a caixa de seleção ao lado de cada limite que deseja impor.

9. Digite algarismos nos campos e, nas listas, selecione os valores que deseja usar para a cota.

10. Selecione como o espaço disponível deve ser exibido:

• Size of smallest hard or soft threshold• Size of cluster

11. Na área Quota Notifications, selecione a opção de notificação que deseja aplicar à cota.

12. Opcional: Se você selecionou a opção para usar regras de notificação personalizadas, clique no link para expandir o tipo de notificação personalizada que se aplica às seleções de limite de uso.

13. Clique em Create quota.

Antes de usar os dados de cota para análise ou outros objetivos, confirme se não há trabalhos QuotaScan em andamento verificando Cluster management > Job operations > Job summary.

Gerenciando cotasVocê pode modificar os valores configurados de uma cota de armazenamento, e você pode habilitar ou desabilitar uma cota. Você também pode criar os limites e as restrições de cotas que se aplicam a usuários, grupos ou diretórios específicos.

SmartQuotas 303

O gerenciamento de cotas no OneFS é simplificado pelo recurso de pesquisa de cotas, que ajuda a localizar uma cota ou cotas por meio de filtros. Você pode desvincular cotas associadas a uma cota pai e configurar notificações personalizadas de cotas. Você também pode desabilitar uma cota temporariamente e, em seguida, habilitá-la quando necessário.

NOTA: Não há suporte à movimentação de diretórios de cotas entre domínios.

Procurar cotasVocê pode procurar uma cota utilizando uma gama de critérios de pesquisa.

1. Clique em File system > SmartQuotas > Quotas and usage.

2. Na barra de filtros, selecione as opções pelas quais deseja filtrar.

• Na lista Filters, selecione o tipo de cota que deseja localizar (Directory, User, Group, Default user ou Default group).• Para pesquisar cotas que estejam acima do limite, selecione Over limit na lista Exceeded.• No campo Path, digite um caminho completo ou parcial. É possível usar o caractere curinga (*) no campo Path.• Para pesquisar subdiretórios, selecione Include children na lista Recursive path.

As cotas que corresponderem aos critérios da pesquisa serão exibidas na tabela Quotas and usage.

Uma cota de contabilidade e imposição com um valor limite de zero é indicada por um traço (–). Você pode clicar nos títulos das colunas para classificar o conjunto de resultados.

NOTA:

Para remover o conjunto de resultados e exibir todas as cotas de armazenamento, clique em Reset.

Gerenciar cotasAs cotas ajudam você a monitorar e analisar o uso atual ou histórico do armazenamento em disco. Você pode pesquisar cotas e visualizar, modificar, excluir e desvincular uma cota.

É necessário executar um trabalho inicial QuotaScan para as cotas padrão ou agendadas, ou os dados exibidos poderão ficar incompletos.

Antes de modificar uma cota, considere como as alterações afetarão o file system e os usuários finais.

NOTA:

• As opções para editar ou excluir uma cota somente são exibidas quando a cota não está vinculada a uma cota padrão.

• A opção para desvincular uma cota está disponível somente quando a cota está vinculada a uma cota padrão.

1. Clique em File System > SmartQuotas > Quotas and usage.

2. Opcional: Na barra de filtros, selecione as opções pelas quais deseja filtrar.

• Na lista Filters, selecione o tipo de cota que deseja localizar (Directory, User, Group, Default user ou Default group).• Para pesquisar cotas que estejam acima do limite, selecione Over limit na lista Exceeded.• No campo Path, digite um caminho completo ou parcial. É possível usar o caractere curinga (*) no campo Path.• Para pesquisar subdiretórios, selecione Include children na lista Recursive path.

As cotas que corresponderem aos critérios da pesquisa serão exibidas na tabela Quotas and usage.

3. Opcional: Localize a cota que deseja gerenciar. Você pode executar as seguintes ações:

• Para analisar ou editar essa cota, clique em View Details.• Para excluir a cota, clique em Delete.• Para desvincular uma cota vinculada, clique em Unlink.

NOTA: As alterações de configuração de cotas vinculadas devem ser feitas na cota pai (padrão) da qual a cota

vinculada foi herdada. As alterações na cota pai são propagadas para todos os filhos. Se você desejar sobrepor a

configuração da cota pai, primeiro desvincule a cota.

Exportar um arquivo de configuração de cotaVocê pode exportar as configurações de cota como um arquivo de configuração que, em seguida, poderá ser importado para reutilização para outro cluster Isilon. Você também pode armazenar as configurações de cota exportadas em um local fora do cluster. Essa tarefa só pode ser realizada na interface de linha de comando do OneFS.

304 SmartQuotas

É possível encadear o relatório XML a um arquivo ou diretório. Em seguida, o arquivo poderá ser importado para outro cluster.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. No prompt de comando, digite o seguinte comando:

isi_classic quota list --export

O arquivo de configuração de cota é exibido como um XML bruto.

Importar um arquivo de configuração de cotaVocê pode importar configurações de cota na forma de um arquivo de configuração que foi exportado de outro cluster Isilon. Essa tarefa só pode ser realizada na interface de linha de comando do OneFS.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Navegue até o local do arquivo de configuração de cota exportado.

3. No prompt de comando, execute o seguinte comando, em que <filename> é o nome de um arquivo de configuração exportado:

isi_classic quota import --from-file=<filename>

O sistema analisa o arquivo e importa as configurações de cota do arquivo de configuração. As configurações de cota que você configurou antes de importar o arquivo de configuração são mantidas, e as configurações de cota importadas entram em vigor imediatamente.

Gerenciando notificações de cotaAs notificações de cota podem ser habilitadas ou desabilitadas, modificadas e excluídas.

Por padrão, uma notificação de cota global já é configurada e aplicada a todas as cotas. Você pode continuar a usar as configurações de notificações globais de cota, modificar as configurações de notificações globais ou desabilitar ou definir uma notificação personalizada para uma cota.

As cotas de imposição dão suporte a quatro tipos de notificações e lembretes:

• Threshold exceeded• Over-quota reminder• Período de tolerância expirado• Acesso de gravação negado

Se um serviço de diretórios for usado para autenticar usuários, você poderá configurar os mapeamentos de notificação que controlam como os endereços de e-mail são resolvidos quando o cluster envia uma notificação de cota. Se necessário, você pode remapear o domínio usado para notificações de cota e remapear os domínios do Active Directory, domínios locais UNIX ou ambos.

Definir configurações de notificação de cota padrãoVocê pode configurar as notificações padrão de cotas que se aplicam a todas as cotas de um tipo de limite especificado.

As configurações personalizadas de notificação que você definir para uma cota terão preferência sobre as configurações padrão globais de notificação.

1. Clique em File System > SmartQuotas > Settings.

2. Na área Scheduled Reporting, você pode definir as seguintes opções de relatórios:

• No campo Archive Directory, digite ou procure o diretório no qual você quer arquivar os relatórios agendados de cotas.• No campo Number of Scheduled Reports Retained, digite o número de relatórios que você quer arquivar.• Selecione as opções desejadas de agendamento de relatórios e clique em• Selecione Scheduled para habilitar os relatórios agendados ou selecione Manual para desativá-los.

3. Na área Manual Reporting, é possível configurar as seguintes opções de relatórios:

• No campo Archive Directory, digite ou procure o diretório onde você quer arquivar os relatórios de cota gerados manualmente.• No campo Number of Live Reports Retained, digite o número de relatórios que você quer arquivar.

4. Na área Email Mapping, defina a regra de mapeamento ou as regras que deseja usar. Para adicionar uma regra de mapeamento de e-mail, clique em Add a Mapping Rule e, em seguida, especifique as configurações da regra.

5. Na área Notification Rules, defina as regras padrão de notificação para cada tipo de regra.

SmartQuotas 305

a) Clique em Add a Notification Rule.A caixa de dialogo Create a Notification Rule será exibida.

b) Na lista Rule Type, selecione o tipo de regra que será usado.c) Na área Rule Settings, selecione a opção de notificação que será usada.

6. Clique em Create Rule.

7. Clique em Save Changes.

Antes de usar os dados de cota para análise ou outros objetivos, confirme se não há um trabalho QuotaScan em andamento verificando Cluster Management > Job Operations > Job Summary.

Configurar regras personalizadas de notificação de cotasVocê pode configurar as regras personalizadas de notificação de cotas que se aplicam somente a uma cota especificada.

Para configurar uma regra de notificação personalizada, uma cota de imposição deve existir ou estar no processo de criação. Para configurar as notificações de uma cota de imposição existente, siga o procedimento para modificar uma cota e, depois, siga estas etapas para configurar as regras de notificação de cotas.

As regras de notificação de cota personalizadas devem ser configuradas para essa cota. Se regras de notificação não forem configuradas para uma cota, a configuração de notificação padrão será usada. Para obter mais informações sobre como configurar regras de notificação padrão, consulte Criar uma regra de notificação de eventos.

1. Na caixa de diálogo Edit Quota Details, selecione Create custom notification rules.

2. Para adicionar uma regra de notificação, clique em Create a notification rule e, em seguida, selecione os valores que deseja usar para a notificação.

3. Depois de concluir a definição das configurações da notificação, clique em Create Rule.

4. Clique em Save Changes.

Antes de usar os dados de cota para análise ou outros objetivos, confirme se não há um trabalho QuotaScan em andamento verificando Cluster Management > Job Operations > Job Summary.

Mapear uma regra de notificação por e-mail para uma cotaAs regras de mapeamento de notificação por e-mail controlam como os endereços de e-mail são resolvidos quando o cluster envia uma notificação de cota.

Se necessário, você pode remapear o domínio que é usado para notificações por e-mail do SmartQuotas. Você pode remapear os domínios do Windows Active Directory, domínios locais do UNIX ou domínios do NIS.

NOTA: É necessário estar conectado à interface Web de administração para executar esta tarefa.

1. Clique em File System > SmartQuotas > Settings.

2. Opcional: Na área Email Mapping, clique em Add a Mapping Rule.

3. Na lista Type, selecione o tipo de provedor de autenticação para essa regra de notificação. O padrão é Local. Para determinar quais provedores de autenticação estarão disponíveis em seu cluster, navegue até Access > Authentication Providers.

4. Na lista Current Domain, selecione o domínio que deseja usar para a regra de mapeamento. Se a lista estiver em branco, navegue até Cluster Management > Network Configuration e, depois, especifique os domínios que deseja usar para o mapeamento.

5. No campo Map to Domain, digite o nome do domínio ao qual deseja associar as notificações por e-mail. Ele pode ser o mesmo domínio que foi selecionado na lista Current domain. Para especificar vários domínios, separe os nomes de domínio entre vírgulas.

6. Clique em Create Rule.

Mensagens de notificação de cota por e-mailSe as notificações por e-mail das cotas excedidas forem ativadas, você poderá personalizar modelos do Isilon para as notificações por e-mail ou criar os seus próprios modelos.

O OneFS oferece três modelos de notificação por e-mail. Os modelos estão localizados em /etc/ifs e são descritos na seguinte tabela:

Modelo Descrição

quota_email_template.txt Uma notificação de que a cota do disco foi excedida.

306 SmartQuotas

Modelo Descrição

quota_email_grace_template.txt Uma notificação de que a cota do disco foi excedida (também inclui um parâmetro para definir um período de tolerância em número de dias).

quota_email_test_template.txt Uma mensagem de teste de notificação que pode ser usada para verificar se um usuário está recebendo notificações por e-mail.

Se os modelos padrão de notificação por e-mail não atenderem a suas necessidades, você poderá configurar seus próprios modelos personalizados de notificação por e-mail usando uma combinação de texto e variáveis do SmartQuotas. Quer você escolha criar seus próprios modelos ou modificar os modelos existentes, verifique se a primeira linha do arquivo do modelo é uma linha Subject:. Por exemplo:

Subject: Disk quota exceededSe você quiser incluir informações sobre o remetente da mensagem, inclua uma linha From: imediatamente abaixo da linha de assunto. Se você usar um endereço de e-mail, inclua o nome do domínio completo para o endereço. Por exemplo:

From: administrator@abcd.comNeste exemplo do arquivo quota_email_template.txt, uma linha From: é incluída. Além disso, o texto padrão "Contact your system administrator for details" ao final do modelo é alterado para nomear o administrador:

Subject: Disk quota exceededFrom: administrator@abcd.com

The <ISI_QUOTA_DOMAIN_TYPE> quota on path <ISI_QUOTA_PATH> owned by <ISI_QUOTA_OWNER> has exceeded the <ISI_QUOTA_TYPE> limit.The quota limit is <ISI_QUOTA_THRESHOLD>, and <ISI_QUOTA_USAGE>is currently in use. You may be able to free some disk space bydeleting unnecessary files. If your quota includes snapshot usage,your administrator may be able to free some disk space by deletingone or more snapshots. Contact Jane Anderson (janderson@abcd.com)for details.Este é um exemplo do que um usuário verá como uma notificação enviada por e-mail (observe que as variáveis do SmartQuotas são resolvidas):

Subject: Disk quota exceededFrom: administrator@abcd.com

The advisory disk quota on directory /ifs/data/sales_tools/collateralowned by jsmith on production-Boris was exceeded.

The quota limit is 10 GB, and 11 GB is in use. You may be able to free some disk space by deleting unnecessary files. If your quota includes snapshot usage, your administrator may be able to free some disk space by deleting one or more snapshots. Contact Jane Anderson (janderson@abcd.com) for details.

Descrições de variáveis dos modelos personalizados de notificação por e-mailUm modelo de e-mail contém texto e, opcionalmente, variáveis que representam valores. Você pode usar qualquer variável do SmartQuotas em seus modelos.

Variável Descrição Exemplo

ISI_QUOTA_DOMAIN_TYPE Tipo de cota. Os valores válidos são: directory, user, group, default-directory, default-user, default-group

default-directory

ISI_QUOTA_EXPIRATION Data de expiração do período de tolerância Sex 22 maio 14:23:19 PST 2015

ISI_QUOTA_GRACE Período de tolerância, em dias 5 dias

ISI_QUOTA_HARD_LIMIT Inclui as informações de limite fixo da cota para tornar as notificações consultivas/e-mails personalizados mais informativos.

Você terá 30 MB restantes até atingir o limite fixo de cota de 50 MB.

ISI_QUOTA_NODE Nome de host do nó no qual ocorreu o evento de cota someHost-prod-wf-1

SmartQuotas 307

Variável Descrição Exemplo

ISI_QUOTA_OWNER Nome do proprietário do domínio de cotas jsmith

ISI_QUOTA_PATH Caminho do domínio de cotas /ifs/dataISI_QUOTA_THRESHOLD Valor do limite 20 GB

ISI_QUOTA_TYPE Tipo de limite Consultivo

ISI_QUOTA_USAGE Espaço do disco em uso 10,5 GB

Personalizar os modelos de notificação de cota por e-mailVocê pode personalizar os modelos do Isilon para notificações por e-mail. A personalização de modelos só pode ser realizada na interface de linha de comando do OneFS.

Esse procedimento supõe que você esteja usando os modelos do Isilon, que estão localizados no diretório /etc/ifs.

NOTA: Recomenda-se que você não edite os modelos diretamente. Em vez disso, copie-os em outro diretório para editá-

los e implementá-los.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Copie um dos modelos padrão em um diretório no qual você possa editar o arquivo e acessá-lo posteriormente por meio da interface Web de administração do OneFS. Por exemplo:

cp /etc/ifs/quota_email_template.txt /ifs/data/quotanotifiers/quota_email_template_copy.txt

3. Abra o arquivo do modelo em um editor de texto. Por exemplo:

edit /ifs/data/quotanotifiers/quota_email_template_copy.txt

O modelo será exibido no editor.

4. Edite o modelo. Se estiver usando ou criando um modelo personalizado, certifique-se de que o modelo tenha uma linha Subject:.

5. Salve as alterações. Os arquivos de modelo devem ser salvos como arquivos .txt.

6. Na interface Web de administração, procure File System > SmartQuotas > Settings.

7. Na área Notification Rules, clique em Add a Notification Rule.A caixa de diálogo Create a Notification Rule será exibida.

8. Na lista Rule Type, selecione o tipo de regra de notificação que você deseja usar com o modelo.

9. Na área Rule Settings, selecione uma opção de tipo de notificação.

10. Dependendo do tipo de regra que foi selecionado, poderá ser exibido um formulário de agendamento. Selecione as opções de agendamento que deseja usar.

11. No campo Message template, digite o caminho para o modelo de mensagem ou clique em Browse para localizar o modelo.

12. Opcional: Clique em Create Rule

Gerenciando relatórios de cotaVocê pode configurar e agendar relatórios para ajudá-lo a monitorar, rastrear e analisar o uso do armazenamento em um cluster Isilon.

É possível visualizar e agendar relatórios, bem como personalizar as configurações do relatório para rastrear, monitorar e analisar o uso do armazenamento em disco. Os relatórios de cotas são gerenciados definindo as configurações que oferecem controle sobre quando os relatórios são agendados, como são gerados, onde e como são armazenados e como são exibidos. O número máximo de relatórios agendados que estão disponíveis para visualização na interface Web de administração pode ser configurado para cada tipo de relatório. Quando o número máximo de relatórios é armazenado, o sistema exclui os mais antigos para criar espaço para novos relatórios que forem gerados.

Criar um agendamento de relatório de cotasVocê pode configurar a geração de relatórios de cotas em um agendamento especificado.

Essas configurações determinam se e quando os relatórios agendados são gerados, e onde e como os relatórios são armazenados. Se você desativar um relatório agendado, ainda poderá executar os relatórios não agendados a qualquer momento.

308 SmartQuotas

1. Clique em File System > SmartQuotas > Settings.

2. Opcional: Na página Quota Settings, na área Scheduled Reporting, selecione Scheduled.

O painel de agendamento será exibido.

3. No painel de agendamento, selecione as opções de agendamento e frequência de relatórios que deseja definir.

4. Clique em Save Changes.

Os relatórios são gerados de acordo com os critérios de agendamento e podem ser visualizados clicando em File System > SmartQuotas > Generated Reports Archive.

Gerar um relatório de cotasAlém dos relatórios de cotas agendados, você pode gerar um relatório para capturar a estatística de uso em determinado momento.

Antes de gerar um relatório de cotas, as cotas devem existir e nenhum trabalho do QuotaScan pode estar em execução.

1. Clique em File System > SmartQuotas > Generated Reports Archive.

2. Clique em Create a Manual Report.

O novo relatório será exibido na lista Quota Reports.

Localizar um relatório de cotasVocê pode localizar relatórios de cotas, que são armazenados como arquivos XML, e usar suas próprias ferramentas e transformações para visualizá-los. Essa tarefa só pode ser realizada na interface de linha de comando do OneFS.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Acesse o diretório no qual os relatórios de cotas estão armazenados. O seguinte caminho é o local do relatório de cota padrão:

/ifs/.isilon/smartquotas/reportsNOTA: Se os relatórios de cotas não estiverem no diretório padrão, você poderá executar o comando isi quota settings para localizar o diretório no qual eles estão armazenados.

3. No prompt de comando, execute o comando ls.

• Para exibir uma lista de todos os relatórios de cotas do diretório, execute o seguinte comando:

ls -a *.xml• Para exibir um relatório específico de cotas do diretório, execute o seguinte comando:

ls <filename>.xml

Configurações básicas de cotaAo criar uma cota armazenamento, no mínimo, os atributos a seguir devem ser definidos. Ao especificar limites de uso, opções adicionais estão disponíveis para definir a cota.

Opção Descrição

Caminho O diretório no qual a cota está ativa.

Directory Quota Defina limites de armazenamento em um diretório.

User Quota Crie uma cota para cada usuário atual ou futuro que armazenar dados no diretório especificado.

Group Quota Crie uma cota para cada grupo atual ou futuro que armazenar dados no diretório especificado.

Include snapshots in the storage quota Conte todos os dados de snapshot dos limites de uso. Essa opção não pode ser alterada após a criação da cota.

SmartQuotas 309

Opção Descrição

Enforce the limits for this quota based on physical size Imposição de cota básica sobre o uso do armazenamento, que inclui metadados e proteção de dados.

Enforce the limits for this quota based on file system logical size Imposição de cota básica sobre o uso do armazenamento, que não inclui metadados e proteção de dados.

Enforce the limits for this quota based on application logical size Imposição de cota básica sobre o uso do armazenamento, que inclui o consumo de capacidade do cluster, bem como os dados classificados em nível para a nuvem.

Track storage without specifying a storage limit Conta somente para uso.

Especificar limites de armazenamento Configure e imponha limites consultivos, flexíveis ou absolutos.

Configurações de regras de notificação de cota de limite consultivoVocê pode definir as regras de notificação de cota personalizadas para limites consultivos de uma cota. Essas configurações estão disponíveis ao selecionar a opção de usar regras de notificação personalizadas.

Opção Descrição Excedido Permanece excedido

Notify owner Selecione para enviar uma notificação por e-mail ao proprietário da entidade.

Sim Sim

Notificar outros contatos Selecione para enviar notificações por e-mail a outros destinatários e digite os endereços de e-mail dos destinatários.

NOTA: Só é possível informar um endereço de e-mail antes de o cluster ser confirmado. Depois que o cluster for confirmado, você poderá digitar vários endereços de e-mail separados por vírgulas. Endereços de e-mail duplicados são identificados e apenas endereços exclusivos são armazenados. Você pode digitar um máximo de 1.024 caracteres de endereços de e-mail separados por vírgulas.

Sim Sim

Message template Digite o caminho do modelo personalizado ou clique em Browse para localizá-lo.

Deixe o campo em branco para usar o modelo padrão.

Sim Sim

Create cluster event Selecione para gerar uma notificação de evento para a cota quando for excedida.

Sim Sim

310 SmartQuotas

Opção Descrição Excedido Permanece excedido

Intervalo mínimo de notificações Especifique o intervalo de tempo de espera (em horas, dias ou semanas) até a geração da notificação. Isso minimiza notificações duplicadas.

Sim Não

Agendamento Especifique a frequência de alertas e notificações: diária, semanal, mensal e anual. Dependendo da seleção, especifique intervalos, o dia de envio, o horário do dia, várias mensagens de e-mail por regra.

Não Sim

Configurações de regras de notificação de cota de limite flexívelVocê pode configurar regras de notificação personalizadas de limite flexível para uma cota. Essas configurações estão disponíveis ao selecionar a opção de usar regras de notificação personalizadas.

Opção Descrição Excedido Permanece excedido

Período de tolerância expirado

Acesso de gravação negado

Notify owner Selecione para enviar uma notificação por e-mail ao proprietário da entidade.

Sim Sim Sim Sim

Notificar outros contatos

Selecione para enviar notificações por e-mail a outros destinatários e digite os endereços de e-mail dos destinatários.

NOTA: Só é possível informar um endereço de e-mail antes de o cluster ser confirmado. Depois que o cluster for confirmado, você poderá digitar vários endereços de e-mail separados por vírgulas. Endereços de e-mail duplicados são identificados e apenas endereços exclusivos são

Sim Sim Sim Sim

SmartQuotas 311

Opção Descrição Excedido Permanece excedido

Período de tolerância expirado

Acesso de gravação negado

armazenados. Você pode digitar um máximo de 1.024 caracteres de endereços de e-mail separados por vírgulas.

Message template Digite o caminho do modelo personalizado ou clique em Browse para localizá-lo.

Deixe o campo em branco para usar o modelo padrão.

Sim Sim Sim Sim

Create cluster event Selecione para gerar uma notificação de evento para a cota.

Sim Sim Sim Sim

Intervalo mínimo de notificações

Especifique o intervalo de tempo de espera (em horas, dias ou semanas) até a geração da notificação. Isso minimiza notificações duplicadas.

Sim Não Não Sim

Agendamento Especifique a frequência de alertas e notificações: diária, semanal, mensal e anual. Dependendo da seleção, especifique intervalos, o dia de envio, o horário do dia, várias mensagens de e-mail por regra.

Não Sim Sim Não

Configurações de regras de notificação de cota de limite fixoVocê pode definir as regras de notificação de cota personalizadas para limites fixos de uma cota. Essas configurações estão disponíveis ao selecionar a opção de usar regras de notificação personalizadas.

Opção Descrição Acesso de gravação negado Excedido

Notify owner Selecione para enviar uma notificação por e-mail ao proprietário da entidade.

Sim Sim

312 SmartQuotas

Opção Descrição Acesso de gravação negado Excedido

Notificar outros contatos Selecione para enviar notificações por e-mail a outros destinatários e digite os endereços de e-mail dos destinatários.

NOTA: Só é possível informar um endereço de e-mail antes de o cluster ser confirmado. Depois que o cluster for confirmado, você poderá digitar vários endereços de e-mail separados por vírgulas. Endereços de e-mail duplicados são identificados e apenas endereços exclusivos são armazenados. Você pode digitar um máximo de 1.024 caracteres de endereços de e-mail separados por vírgulas.

Sim Sim

Message template Digite o caminho do modelo personalizado ou clique em Browse para localizá-lo.

Deixe o campo em branco para usar o modelo padrão.

Sim Sim

Create cluster event Selecione para gerar uma notificação de evento para a cota.

Sim Sim

Intervalo mínimo de notificações Especifique o intervalo de tempo de espera (em horas, dias ou semanas) até a geração da notificação. Isso minimiza notificações duplicadas.

Sim Não

Agendamento Especifique a frequência de alertas e notificações: diária, semanal, mensal e anual. Dependendo da seleção, especifique intervalos, o dia de envio, o horário do dia, várias mensagens de e-mail por regra.

Não Sim

Configurações das notificações de limiteAs cotas de imposição dão suporte às configurações de notificação a seguir para cada tipo de limite. Uma cota pode usar somente uma dessas configurações.

Configuração de notificação Descrição

Disable quota notifications Desativa todas as notificações da cota.

Use the system settings for quota notifications Usa as regras padrão de notificação que você configurou para o tipo de limite especificado.

Create custom notification rules Oferece configurações para criar notificações personalizadas básicas que se aplicarão somente a essa cota.

SmartQuotas 313

Configurações do relatório de cotasVocê pode definir as configurações do relatório de cota que controlam o uso do disco. Essas configurações determinam se e quando os relatórios agendados são gerados, e onde e como os relatórios são armazenados. Quando o número máximo de relatórios é armazenado, o sistema exclui os mais antigos para criar espaço para novos relatórios que forem gerados.

Definição Descrição

Scheduled reporting Habilita ou desabilita o recurso de geração de relatórios agendados.

• Off. Os relatórios sob demanda gerados manualmente podem ser executadas a qualquer momento.

• On. Os relatórios são executados automaticamente de acordo com o agendamento especificado.

Report frequency Especifica o intervalo para execução desse relatório: diariamente, semanalmente, mensalmente ou anualmente. Você pode usar as opções a seguir para refinar ainda mais o agendamento de relatórios.

Generate report every. Especifique o valor numérico da frequência de relatórios selecionada; por exemplo, a cada 2 meses.

Generate reports on. Selecione o dia ou vários dias para gerar relatórios.

Select report day by. Especifique a data ou o dia da semana para gerar o relatório.

Generate one report per specified by. Defina a hora do dia para gerar o relatório.

Generate multiple reports per specified day. Defina intervalos e a hora do dia para gerar o relatório do dia.

Scheduled report archiving Determina o número máximo de relatórios agendados disponíveis para exibição na página Reports do SmartQuotas.

Limit archive size — limita o tamanho do arquivamento dos relatórios agendados a um número especificado. Digite o número inteiro para especificar o número máximo de relatórios a serem mantidos.

Archive Directory. Acesse o diretório onde você deseja armazenar os relatórios de cota para arquivamento.

Manual report archiving Determina o número máximo de relatórios (sob demanda) gerados manualmente disponíveis para exibição na página Reports do SmartQuotas.

Limit archive size — limita o tamanho do arquivamento dos relatórios em tempo real a um número especificado. Digite o número inteiro para especificar o número máximo de relatórios a serem mantidos.

Archive Directory. Acesse o diretório onde você deseja armazenar os relatórios de cota para arquivamento.

314 SmartQuotas

Pools de armazenamentoEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral dos pools de armazenamento• Funções do pool de armazenamento• Provisionamento automático• Pools de nós• Hot spare virtual• Transbordamento• Proteção sugerida• Políticas de proteção• SSD strategies• Outras configurações de espelhamento de SSD• Global namespace acceleration• Visão geral do cache L3• Níveis• Políticas de pool de arquivo• Gerenciando pools de nós na interface Web de administração• Gerenciando o cache L3 da interface Web de administração• Gerenciando níveis• Criando políticas de pools de arquivos• Gerenciando políticas de pool de arquivos• Monitorando os pools de armazenamento

Visão geral dos pools de armazenamentoO OneFS organiza tipos diferentes de nós em pools de nós separados. Além disso, você pode organizar esses pools de nós em níveis lógicos de armazenamento. Ao ativar uma licença do SmartPools, você poderá criar políticas de pools de arquivos que armazenam os arquivos nesses níveis automaticamente com base nos critérios de correspondência de arquivos que você especificar.

Sem uma licença ativa do SmartPools, o OneFS gerencia todos os pools de nós em um só pool de armazenamento. Os file data e os metadados são fracionados em todo o cluster para que os dados sejam protegidos, seguros e imediatamente acessíveis. Todos os arquivos pertencem ao pool padrão de arquivos e são controlados pela política padrão de pools de arquivos. Nesse modo, o OneFS oferece funções como provisionamento automático, compatibilidades, VHS (Virtual Hot Spare), estratégias de SSD, GNA (Global Namespace Acceleration), cache L3 e níveis de armazenamento.

Quando você ativa uma licença do SmartPools, funções adicionais são disponibilizadas, inclusive políticas personalizadas de pools de arquivos e gerenciamento de transbordamento. Com uma licença do SmartPools, é possível gerenciar seu conjunto de dados com mais granularidade para melhorar o desempenho de seu cluster.

A tabela a seguir resume as funções do pool de armazenamento com base no status de uma licença do SmartPools.

Função Licença inativa do SmartPools Licença ativa do SmartPools

Automatic storage pool provisioning Sim Sim

Compatibilidades de classe de nó (equivalência de nós)

Sim Sim

Compatibilidades de capacidade de SSD Sim Sim

Compatibilidades de número de SSDs Sim Sim

Hot spare virtual Sim Sim

SSD strategies Sim Sim

23

Pools de armazenamento 315

Função Licença inativa do SmartPools Licença ativa do SmartPools

L3 cache Sim Sim

Tiers Sim Sim

GNA Sim Sim

Políticas de pool de arquivo Não Sim

Spillover management Não Sim

Funções do pool de armazenamentoQuando um cluster é instalado, e sempre que os nós forem adicionados ao cluster, o OneFS agrupa os nós automaticamente em pools de nós. O provisionamento automáticos dos nós em pools de nós permite que o OneFS otimize o desempenho, a confiabilidade e a proteção de dados do cluster.

Sem uma licença ativa do SmartPools, o OneFS aplica uma política padrão de pool de arquivos para organizar todos os dados em um só pool de arquivos. Com essa política, o OneFS distribui os dados em todo o cluster para que os dados sejam protegidos e imediatamente acessíveis. Quando você ativa uma licença do SmartPools, funções adicionais serão disponibilizadas.

O OneFS oferece as seguintes funções, com ou sem uma licença ativa do SmartPools:

Autoprovisioning of node pools

Agrupa automaticamente os nós de classe de equivalência em pools de nós para proporcionar eficiência e proteção ideais do armazenamento. No mínimo três nós de uma classe de equivalência são necessários para que o provisionamento automático funcione.

Compatibilidades de classe de nó (equivalência de nós)

Permite que certos nós que não tenham classe de equivalência se associem aos pools de nós existentes. O OneFS dá suporte às compatibilidades de classe de nós entre os nós S200 e S210, os nós X200 e X210, os nós X400 e X410, e os nós NL400 e NL410 do Isilon. O cache L3 deve ser ativado nos pools de nós para que as compatibilidades de classe de nós funcionem.

SSD capacity compatibilities

Permite que os nós com capacidades diferentes de SSD sejam provisionados a um pool de nós compatível existente. Caso contrário, os nós compatíveis que têm capacidades diferentes de SSD não poderão se associar ao mesmo pool de nós. Se você tiver menos de três nós com diferenças de capacidade de SSD, esses nós continuarão desprovisionados e, portanto, não serão funcionais. O cache L3 deve ser ativado nos pools de nós para que as compatibilidades de capacidade de SSD funcionem.

SSD count compatibilities

Permite que os nós com diferentes números de SSDs sejam provisionados para o mesmo pool de nós. Caso contrário, os nós compatíveis com diferentes números de SSDs não poderão se associar ao mesmo pool de nós. Se você tiver menos de três nós com determinado número de SSDs, esses nós permanecerão desprovisionados e, portanto, não serão funcionais até que você crie uma compatibilidade de número de SSDs. O cache L3 deve ser ativado nos pools de nós para que as compatibilidades de número de SSDs funcionem.

Tiers Agrupa os pools de nós em níveis lógicos de armazenamento. Se você ativar uma licença do SmartPools para esse recurso, será possível criar políticas personalizadas de pool de arquivos e direcionar os diferentes pools de arquivos a níveis de armazenamento adequados.

Default file pool policy

Essa função controla todos os tipos de arquivos e pode armazenar arquivos em qualquer lugar no cluster. As políticas personalizadas de pools de arquivos, que exigem uma licença do SmartPools, têm prioridade em relação à política padrão de pools de arquivos.

Requested protection

Especifica uma configuração de proteção solicitada para o pool padrão de arquivos, por pool de nós, ou até mesmo em arquivos individuais. Você pode deixar a configuração padrão implementada ou escolher a proteção sugerida calculada pelo OneFS para oferecer a proteção de dados ideal.

Hot spare virtual Reserva uma parte do espaço disponível de armazenamento para reparo de dados em caso de uma falha do disco.

SSD strategies Define o tipo de dados que é armazenado nos SDDs do cluster. Por exemple, o armazenamento de metadados para aceleração de leitura/gravação.

L3 cache Especifica que os SSDs dos nós serão usados para aumentar a memória de cache e acelerar o desempenho do file system em maiores conjuntos de arquivos funcionais.

Global namespace acceleration

Ativa a GNA (Global Namespace Acceleration), que permite que os dados armazenados nos pools de nós sem SSDs acessem os SSDs em outro lugar do cluster para armazenar os mirrors adicionais de metadados. Os espelhamentos adicionais dos metadados aceleram as operações de leitura de metadados.

Quando você ativa uma licença do SmartPools, o OneFS oferece as seguintes funções adicionais:

316 Pools de armazenamento

Custom file pool policies

Cria políticas personalizadas de pool de arquivos para identificar as diferentes classes de arquivos, e armazena esses pools de arquivos em níveis de armazenamento lógicos. Por exemplo, você pode definir um nível de alto desempenho de pools de nós série S do Isilon e um nível de arquivamento de alta capacidade de pools de nós NL400 e HD400 do Isilon. Depois, com políticas personalizadas de pool de arquivos, você pode identificar os pools de arquivos com base nos critérios de correspondência e definir ações para serem realizadas nesses pools. Por exemplo, uma política de pool de arquivos pode identificar todos os arquivos JPEG com mais de um ano de idade e armazená-los em um nível de arquivamento. Outra política pode mover todos os arquivos que foram criados ou modificados nos últimos três meses a um nível de desempenho.

Storage pool spillover

Ativa o gerenciamento automatizado do overflow de capacidade dos pools de armazenamento. O transbordamento define como manipular as operações de gravação quando um pool de armazenamento não é gravável. Se o transbordamento estiver ativado, os dados são redirecionados a um pool de armazenamento especificado. Se o transbordamento estiver desativado, as novas gravações de dados apresentarão falha e uma mensagem de erro será enviada ao client que está tentando fazer a operação de gravação.

Provisionamento automáticoQuando você adiciona um nó a um cluster do Isilon, o OneFS tenta atribuir o nó a um pool de nós. Esse processo é conhecido como provisionamento automático, que ajuda o OneFS a oferecer um desempenho ideal, balanceamento de carga e integridade do file system em todo um cluster.

Um nó é provisionado automaticamente a um pool de nós e transformado em gravável até que, no mínimo, três nós coma mesma classe de equivalência sejam adicionados ao cluster. Se você adicionar somente dois nós de uma classe de equivalência, nenhum dado será armazenado nesses nós até que um terceiro nó com a mesma classe de equivalência seja adicionado.

Da mesma forma, se um nó falhar ou for removido do cluster para que menos de três nós com classe de equivalência permaneçam, o pool de nós se tornará subprovisionado. Nesse caso, os dois nós restantes ainda serão graváveis. No entanto, se restar somente um nó com a classe de equivalência, esse nó não será gravável, mas continuará legível.

Com o passar do tempo, à medida que você adiciona novos nós do Isilon a seu cluster, de certa forma, os novos nós provavelmente serão diferentes dos nós mais antigos. Por exemplo, os novos nós podem ser de uma geração diferente ou ter configurações diferentes de drive. A menos que você adicione três novos nós com a mesma classe de equivalência sempre que você fizer o upgrade de seu cluster, os novos nós não serão provisionados automaticamente.

Para resolver essas restrições, o OneFS permite que você crie três tipos de compatibilidades: de classe de nó, de capacidade de SSD e de número de SSDs. Com as compatibilidades adequadas implementadas, os novos tipos de nós podem ser provisionados aos pools de nós existentes. Você pode adicionar os nós um de cada vez a seu cluster e os novos nós terão o mesmo nível de funcionalidade nos pools de nós existentes.

Por exemplo, suponha que um cluster tinha um pool de nós composto por três nós S200 e você comprou um nó S210. Além de ser uma geração de nó diferente, o nó S210 pode ter um número e capacidade diferentes de SSD. Com as compatibilidades adequadas, o novo nó S210 pode ser provisionado para o pool de nós S200.

Pools de nósUm pool de nós é um grupo de três ou mais nós Isilon que forma um único pool de armazenamento. À medida que você adiciona nós ao cluster do Isilon, o OneFS tenta provisionar automaticamente os novos nós em pools de nós.

Para o provisionamento automático de um nó, o OneFS exige que o novo nó tenha a mesma classe de equivalência que os outros nós do pool de nós. OneFS usa os seguintes critérios para determinar se o novo nó tem a mesma classe de equivalência:

• Código da família• Código do chassi• Código de geração• Configuração de unidades• Capacidade RAM

Se o novo nó corresponder a todos os critérios, o OneFS fará o provisionamento do novo nó ao pool de nós. Todos os nós de um pool de nós são peers e os dados são distribuídos aos nós do pool. Cada nó provisionado aumenta a capacidade agregada de disco, cache, CPU e rede do cluster.

Recomendamos que você deixe que o OneFS gerencie o provisionamento de nós. No entanto, se você tiver um requisito ou caso de uso especial, poderá mover os nós de um pool de nós provisionados automaticamente a um pool de nós definido manualmente. A capacidade de criar pools de nós definidos manualmente só está disponível na interface de linha de comando do OneFS e só deve ser implementada após consultar o Isilon Technical Support.

Pools de armazenamento 317

Se você tentar remover um nó de um pool de nós para adicioná-lo a um pool de nós manual e o resultado deixar menos de três nós no pool de nós original, a remoção apresentará falha. Ao remover um nó de um pool de nós definido manualmente, o tentará fazer o OneFS provisionamento automático do nó de volta a um pool de nós com a mesma classe de equivalência.

Se você adicionar menos de três nós de uma classe de equivalência a seu cluster, o OneFS não poderá fazer o provisionamento automático deles. Nesses casos, muitas vezes, é possível criar uma ou mais compatibilidades para permitir que o OneFS faça o provisionamento dos nós recém-adicionados a um pool de nós compatível.

Os tipos de compatibilidades incluem classe de nó, capacidade de SSD e número de SSDs.

Compatibilidades de classe de nósPara ser provisionado automaticamente, um nó deve ter a mesma classe de equivalência que os outros nós do pool de nós. Se o novo nó não tiver a mesma classe de equivalência, muitas vezes, você poderá permitir que o nó seja provisionado a um pool de nós existente definindo uma compatibilidade de classe de nós.

NOTA: A classe dos modelos do Isilon Infinity não pode ser tornada compatível com outros tipos de nó.

Se você tiver pools existentes de nós S200, X200, X400 ou NL400 e adicionar menos de três nós S210, X210, X410 ou NL410 do Isilon, poderá criar compatibilidades de classe de nós para fazer o provisionamento dos novos nós e torná-los funcionais no cluster. No momento, somente os nós S210, X210, X410 e NL410 são qualificados para a compatibilidade de classe de nós com as gerações de nós mais antigas.

Para serem provisionados, os novos nós devem ter as mesmas configurações de unidade que suas contrapartes da geração mais antiga e devem ter quantidades compatíveis de RAM, como exibido na seguinte tabela:

Compatibilidade com S200/S210

Compatibilidade com X200/X210

Compatibilidade com X400/X410

Compatibilidade com NL400/NL410

RAM do S200 RAM do S210 RAM do X200 RAM do X210 RAM do X400 RAM do X410 RAM do NL400

RAM do NL410

24 GB 32 GB 6 GB Não disponível 24 GB 32 GB 12 GB Não disponível

48 GB 64 GB 12 GB 48 GB 64 GB 24 GB 24 GB

96 GB 128 GB 24 GB 24 GB 96 GB 128 GB 48 GB 48 GB

256 GB 48 GB 48 GB 192 GB 256 GB – –

Se os novos nós tiverem configurações de unidade diferentes por terem SSDs de capacidades ou números variáveis, você precisará criar compatibilidades de capacidade ou número de SSDs, além de compatibilidades de classe de nó.

NOTA: Depois de adicionar três ou mais nós da geração mais recente ou de uma classe de equivalência específica a seu

cluster, recomendamos que você remova as compatibilidades de classe de nós que foram criadas. Essa etapa permite

que o OneFS faça o provisionamento automático dos novos nós S210, X210, X410 ou NL410 a seus próprios pools de nós

e aproveite as vantagens das especificações de maior desempenho dos novos tipos de nós. No entanto, como pools de

nós maiores armazenam dados com mais eficiência, remover compatibilidades também pode reduzir a quantidade de

armazenamento disponível em seu cluster. Se você não tiver certeza sobre a remoção de compatibilidades,

recomendamos que, primeiro, consulte o Isilon Technical Support.

Compatibilidades de SSDO OneFS não pode fazer o provisionamento automático dos novos nós se eles tiverem capacidades ou números diferentes de SSD dos outros nós de um pool de nós. Para permitir que os novos nós com capacidades ou números diferentes de SSD se associem a um pool de nós compatível, você pode criar compatibilidades de SSD.

Por exemplo, se seu cluster já tiver um pool de nós S200 e você adicionar um novo nó S200, o OneFS tentaria fazer o provisionamento automático do novo nó ao pool de nós S200. No entanto, se o novo nó S200 tiver SSDs com mais capacidade que os nós S200 antigos ou um número diferente de SSDs, o OneFS não poderá fazer o provisionamento automático do novo nó. Para permitir o provisionamento automático do novo nó, você pode criar compatibilidades de SSD para o tipo de nó S200.

Do mesmo modo que nas compatibilidades de classe de nós, as compatibilidades de SSD exigem que os nós sejam compatíveis, como exibido na seguinte tabela:

Pool de nós existente Compatibilidades de SSD que podem ser criadas

S200 S200, S210*

318 Pools de armazenamento

Pool de nós existente Compatibilidades de SSD que podem ser criadas

X200 X200, X210*

X400 X400, X410*

NL400 NL400, NL410*

S210 S210, S200*

X210 X210, X210*

X410 X410, X410*

NL410 NL410, NL400*

Geração 6-F800 Sistema totalmente flash; compatibilidades de SSD não compatíveis com suporte

Geração 6-H600 Ger. 6-H600

Geração 6-H500 Ger. 6-H500

Geração 6-H400 Ger. 6-H400

Geração 6-A2000 Ger. 6-A2000

Geração 6-A200 Ger. 6-A200

* Também exige uma compatibilidade de classe de nós com a classe do pool de nós existente.

NOTA: Para que as compatibilidades de SSD sejam criadas, todos os nós devem ter o cache L3 ativado. Se você tentar

criar uma compatibilidade de classe de nós e compatibilidades adequadas do SSD, e o processo falhar com uma

mensagem de erro, certifique-se de que o pool de nós existente tenha o cache L3 habilitado. Em seguida, tente criar a

compatibilidade novamente. O cache L3 somente pode ser habilitado em nós que tiverem menos de 16 SSDs e, no

mínimo, uma razão de 2:1 de HDDs para SSDs. Nos modelos Infinity que derem suporte a compatibilidades de SSD, o

número de SSDS será ignorado. Se as SSDs forem usadas para armazenamento, os números de SSDS devem ser

idênticos em todos os nós de um pool de nós. Se os números de SSD forem deixados desbalanceados, a eficiência e o

desempenho do pool de nós serão menores que os valores ideais.

Pools de nós manuaisSe os pools de nós provisionados automaticamente pelo OneFS não atenderem a suas necessidades, você poderá configurar pools de nós manualmente. Você faz isso movendo nós de um pool de nós existente para o pool de nós manual.

Esse recurso permite armazenar dados em nós específicos de acordo com seus objetivos; ele está disponível apenas por meio da interface de linha de comando do OneFS.

CUIDADO: Recomenda-se que você habilite o OneFS para provisionar nós automaticamente. Os pools de nós criados

manualmente podem não oferecer o mesmo desempenho e eficiência que os pools de nós gerenciados automaticamente,

especialmente se suas alterações resultarem em menos de 20 nós no pool de nós manual.

Hot spare virtualAs configurações de VHS (Virtual Hot Spare) permitem que você reserve o espaço em disco para recriar os dados em caso de falha de um drive.

Você pode especificar um número de drives virtuais para reservar e uma porcentagem do espaço total de armazenamento. Por exemplo, se você especificar dois drives virtuais e 15%, cada pool de nós reservará um espaço de drives virtuais equivalente a dois drives ou 15% de sua capacidade total (o que for maior).

Você pode reservar espaço nos pools de nós do cluster para essa finalidade, especificando as seguintes opções:

• No mínimo 1 a 4 drives virtuais.• No mínimo 0 a 20% do armazenamento total.

O OneFS calcula o maior número dos dois fatores para determinar o espaço que foi alocado. Ao definir as configurações de VHS, considere as seguintes informações:

• Se você desmarcar a opção Ignore reserved space when calculating available free space (a opção padrão), os cálculos de espaço livre incluirão o espaço reservado para VHS.

Pools de armazenamento 319

• Se você desmarcar a opção Deny data writes to reserved disk space (a opção padrão), o OneFS poderá usar o VHS para as gravações normais de dados. Nós recomendamos que você deixe essa opção selecionada ou o reparo dos dados pode ser comprometido.

• Se a opção Ignore reserved space when calculating available free space for ativada enquanto Deny data writes to reserved disk space estiver desativada, é possível que o file system informe a utilização como mais de 100%.

NOTA: As configurações de VHS afetam o transbordamento. Se a opção de VHS Deny data writes to reserved disk space

estiver ativada enquanto Ignore reserved space when calculating available free space estiver desativada, o

transbordamento ocorrerá antes que o file system informe 100% de utilização.

TransbordamentoQuando você ativar uma licença do SmartPools, é possível designar um pool ou nível de nós para receber os dados de transbordamento quando o hardware especificado por uma política de pools de arquivos estiver completo ou não for gravável.

Se você não quiser que os dados transbordem a um local diferente porque o pool ou nível de nós especificado está completo ou não é gravável, poderá desativar esse recurso.

NOTA: As reservas para hot spare afetam o transbordamento. Se a configuração Deny data writes to reserved disk space

estiver ativada enquanto Ignore reserved space when calculating available free space estiver desativada, o

transbordamento ocorrerá antes que o file system informe 100% de utilização.

Proteção sugeridaCom base na configuração de seu cluster do Isilon, o OneFS calcula automaticamente a quantidade de proteção recomendada para manter os rigorosos requisitos de proteção de dados do Dell EMC Isilon.

O OneFS inclui uma função para calcular a proteção sugerida dos dados, a fim de manter um tempo médio teórico até a perda de dados (MTTDL) de 5.000 anos. A proteção sugerida proporciona o equilíbrio ideal entre a eficiência de armazenamento e proteção de dados em seu cluster.

Ao configurar as políticas de pools de arquivos, você pode especificar uma das várias configurações de proteção solicitadas para um só arquivo, para subconjuntos de arquivos chamados pools de arquivos ou para todos os arquivos do cluster.

É recomendável que você não especifique uma configuração abaixo da proteção sugerida. O OneFS verifica periodicamente o nível de proteção no cluster e alerta você se os dados estiverem abaixo da proteção recomendada.

Políticas de proteçãoO OneFS fornece uma série de políticas de proteção para escolher ao proteger um arquivo ou especificar uma política de pool de arquivos.

Quanto mais nós você tiver no cluster, até 20 nós, maior será a eficiência com que o OneFS poderá armazenar e proteger dados, e mais altos serão os níveis de proteção solicitados que o sistema operacional poderá atingir. Dependendo da configuração do cluster e do volume de dados armazenado, o OneFS não poderá atingir o nível de proteção que você solicita. Por exemplo, se você tiver um cluster de três nós que está no limite da capacidade, e você solicitar a proteção +2n, o OneFS não poderá fornecer proteção solicitada.

A tabela a seguir descreve as políticas de proteção disponíveis no OneFS.

Política de proteção Resumo

+1n Tolera a falha de 1 drive ou de 1 nó

+2d:1n Tolera a falha de 2 drives ou de 1 nó

+2n Tolera a falha de 2 drives ou de 2 nós

+3d:1n Tolera a falha de 3 drives ou de 1 nó

+3d:1n1d Tolera a falha de 3 drives ou de 1 nó e 1 drive

+3n Tolera a falha de 3 drives ou de 3 nós

+4d:1n Tolera a falha de 4 drives ou de 1 nó

+4d:2n Tolera a falha de 4 drives ou de 2 nós

+4n Tolera a falha de 4 drives ou de 4 nós

320 Pools de armazenamento

Política de proteção Resumo

Espelhamentos:

2x

3x

4x

5x

6x

7x

8x

Duplica ou cria espelhamento dos dados nos números de nós especificados. Por exemplo, 2x resulta em duas cópias de cada bloco de dados.

NOTA: Os espelhamentos podem usar mais dados do que outras políticas de proteção, mas podem ser uma forma eficiente de proteger arquivos que são gravados de modo não sequencial ou fornecer acesso mais rápido aos arquivos importantes.

SSD strategiesOs clusters do OneFS podem conter nós que incluem SSDs (Solid State Drives). O OneFS faz o provisionamento automático de nós com classe de equivalência aos SSDs em um ou mais pools de nós. A estratégia de SSD definida na política padrão de pools de arquivos determina como os SSDs são usados no cluster e pode ser definida para aumentar o desempenho em uma ampla variedade de workflows.

Você pode configurar políticas de pools de arquivos para aplicar estratégias específicas de SSD conforme necessário. Ao selecionar as opções de SSD durante a criação de uma política de pools de arquivos, você pode identificar os arquivos do cluster do OneFS que exigem um desempenho mais rápido ou mais lento. Quando o trabalho SmartPools for executado, o OneFS usará políticas de pools de arquivos para mover esses dados ao pool de armazenamento e ao tipo de unidade adequados.

As seguintes opções de estratégia de SSD que podem ser definidas em uma política de pools de arquivos estão listadas na ordem da mais lenta para a mais rápida:

Avoid SSDs Grava todos os file data e metadados associados somente nos HDDs.CUIDADO: Use esta opção para liberar espaço de SSD somente após consultar a equipe de suporte

técnico do Isilon. O uso dessa estratégia pode afetar o desempenho negativamente.

Metadata read acceleration

Grava file data e metadados nos HDDs. Essa é a configuração padrão. Um espelhamento adicional dos metadados de arquivos é gravado nos SSDs, se disponível. O espelhamento adicional da SSD é incluso no número de espelhamentos, se houver, necessários para atender à proteção solicitada.

Metadata read/write acceleration

Grava os file data nos HDDs e os metadados nos SSDs, quando disponíveis. Essa estratégia acelera as gravações de metadados para além das leituras, mas requer cerca de quatro a cinco vezes mais armazenamento SSD que a configuração Metadata read acceleration. A ativação da GNA não afeta a aceleração de leitura/gravação.

Data on SSDs Usa os pools de nós de SSDs para dados e metadados, independentemente de a aceleração global de namespace estar ativada. Essa estratégia de SSD não resulta na criação de espelhamentos adicionais além da proteção normal solicitada, mas requer requisitos de armazenamento significativamente maiores em comparação às outras opções de estratégia de SSD.

Outras configurações de espelhamento de SSDO OneFS cria vários espelhamentos para as estruturas de file system e, por padrão, armazena um espelhamento para cada uma dessas estruturas na SSD. Você pode especificar que todos os espelhamentos dessas estruturas de file system sejam armazenados na SSD.

O OneFS cria espelhamentos para as seguintes estruturas de file system:

• árvore B do sistema• delta do sistema• QAB (Quota Aaccounting Block)

Para cada estrutura, o OneFS cria vários espelhamentos no file system e armazena pelo menos um espelhamento em uma SSD. Já que as SSDs oferecem um I/O mais rápido que o das HDDs, o OneFS pode localizar e acessar mais rapidamente um espelhamento para cada estrutura, quando necessário.

Como alternativa, você pode especificar que todos os espelhamentos criados para essas estruturas de file system sejam armazenados em SSDs.

NOTA: A capacidade de alterar a configuração padrão de espelhamento da árvore B do sistema, do delta do sistema e do

QAB está disponível apenas na CLI do OneFS, especificamente no comando isi storagepool settings.

Pools de armazenamento 321

Global namespace accelerationA GNA (Global Namespace Acceleration) permite que os dados dos pools de nós sem SSDs tenham mirrors adicionais de metadados nos SSDs de outro local do cluster. Os mirrors de metadados dos SSDs podem melhorar o desempenho do file system por meio da aceleração das operações de leitura dos metadados.

Você só pode ativar a GNA se 20% ou mais dos nós do cluster tiverem no mínimo um SSD e se 1,5% ou mais do armazenamento total do cluster for baseado em SSD. Para obter melhores resultados, antes de ativar a GNA, verifique se no mínimo 2% do armazenamento total do cluster é baseado em SSD.

Mesmo quando estiver ativada, a GNA ficará inativa se a relação de SSDs para HDDs for menor que o limite de 1,5% ou se a porcentagem dos nós que contêm no mínimo um SSD for menor que 20%. A GNA será reativada quando esses requisitos forem atendidos novamente. Enquanto a GNA estiver inativa nesses casos, os mirrors existentes dos SSDs serão legíveis, mas os metadados recentemente gravados não incluirão o mirror adicional de SSD.

NOTA: Os pools de nós com o cache L3 ativado são efetivamente invisíveis para fins de GNA. Todos os cálculos de

proporção da GNA são feitos exclusivamente para os pools de nós sem o cache L3 ativado. Portanto, por exemplo, se

você tiver seis pools de nós em seu cluster e três deles tiverem o cache L3 ativado, a GNA somente será aplicada aos

três pools de nós restantes que não tiverem o cache L3 ativado. Nos pools de nós que tiverem o cache L3 ativado, os

metadados não precisam de um mirror adicional de GNA, já que o acesso aos metadados já é acelerado pelo cache L3.

Visão geral do cache L3Você pode configurar nós com SSDs (Solid State Drives) para aumentar a memória do cache e acelerar o desempenho do file system em maiores conjuntos de arquivos funcionais.

O OneFS armazena em cache os file data e metadados em vários níveis. A tabela a seguir descreve os tipos de cache do file system disponíveis em um cluster do Isilon.

Nome Tipo Perfil Escopo Descrição

Cache L1 RAM Volátil Nó local Também conhecido como cache de front-end, mantém cópias dos metadados e dados do file system solicitados pela rede de front-end por meio de NFS, SMB, HTTP, etc.

Cache L2 RAM Volátil Global Também conhecido como cache de back-end, mantém cópias dos metadados e dados do file system no nó do proprietário dos dados.

SmartCache Variável Não volátil Nó local Mantém todas as alterações pendentes dos arquivos de front-end que aguardam para serem gravados no armazenamento. Esse tipo de cache protege os dados de write-back por meio de uma combinação de RAM e de armazenamento estável.

L3 cache SSD Não volátil Global Mantém os file data e metadados liberados do cache L2, aumentando efetivamente a capacidade do cache L2.

O OneFS armazena em cache os arquivos e metadados acessados com frequência na RAM (Random Access Memory) disponível. O armazenamento em cache permite que o OneFS otimize o desempenho da proteção de dados e do file system. Quando o cache de RAM atinge a capacidade, o OneFS geralmente descarta os dados mais antigos armazenados em cache e processa as novas solicitações de dados acessando os drives de armazenamento. Esse ciclo é repetido toda vez que o cache de RAM estiver cheio.

Para reduzir o problema de ciclo de cache e melhorar ainda mais o desempenho do file system, você pode implementar SSDs como cache L3. O cache L3 é uma adição significativa à memória de cache disponível e oferece um acesso mais rápido aos dados que o dos HDDs (Hard Disk Drives, drives de disco rígido).

À medida que o cache L2 atinge sua capacidade, o OneFS avalia os dados que serão liberados e, dependendo de seu workflow, move os dados ao cache L3. Dessa forma, uma parte muito maior dos dados acessados com mais frequência é mantida no cache e o desempenho geral do file system é melhorado.

Por exemplo, considere um cluster com 128 GB de RAM. Geralmente, a quantidade de RAM disponível para o cache varia, dependendo dos outros processos ativos. Se 50% do RAM estiverem disponíveis para o cache, o tamanho do cache será de aproximadamente 64 GB. Se esse mesmo cluster tivesse três nós, cada um deles com SSDs de 200 GB, o tamanho do cache L3 seria de 1,2 TB, o que á aproximadamente 18 vezes maior que a quantidade disponível do cache L2.

O cache L3 é ativado de modo padrão para os novos pools de nós. Um pool de nós é um conjunto de nós com a mesma classe de equivalência ou para o qual foram criadas compatibilidades. O cache L3 somente se aplica aos nós onde residem os SSDs. Para o nó

322 Pools de armazenamento

HD400, que é destinado principalmente para fins de arquivamento, o cache L3 é habilitado por padrão e não pode ser desligado. No HD400, o cache L3 é usado somente para metadados.

Se você ativar o cache L3 em um pool de nós, o OneFS gerenciará todos os níveis de cache para oferecer proteção de dados, disponibilidade e desempenho ideais. Além disso, em caso de falta de energia, os dados do cache L3 ficarão retidos e ainda estarão disponíveis quando a energia for restaurada.

NOTA: Embora alguns benefícios do cache L3 sejam encontrados nos workflows acesso a arquivos simultâneo e

contínuo, o chace L3 oferece os maiores benefícios nos workflows que envolvem o acesso aleatório a arquivos.

Migração para o cache L3O cache L3 está habilitado por padrão em novos nós. Se você estiver fazendo upgrade do cluster a partir de uma versão do OneFS 7.1.0 ou anterior, deverá ativar o cache L3 manualmente nos pools de nós que contêm SSDs. Quando você ativa o cache L3, o OneFS migra os dados armazenados nas SSDs aos discos de armazenamento de HDD e, em seguida, começa a usar as SSDs como cache.

Você pode habilitar o cache L3 como padrão para todos os novos pools de nós ou manualmente para um pool de nós específico, por meio da linha de comando ou da interface Web de administração. O cache L3 somente pode ser ativado em pools de nós com nós que contêm SSDs.

Quando você ativa o cache L3, o OneFS exibe a seguinte mensagem:

WARNING: Changes to L3 cache configuration can have a long completion time. If this is a concern, please contact Isilon Technical Support for more information.Confirme se o OneFS deve continuar com a migração. Depois de confirmar a migração, o OneFS lida com a migração como um processo de segundo plano e, dependendo do volume de dados armazenados em suas SSDs, o processo de migração de dados das SSDs às HDDs pode levar muito tempo.

NOTA: É possível continuar administrando o cluster durante a migração de dados.

Cache L3 em pools de nós de classe de arquivamentoAlguns nós do Isilon são unidades de alta capacidade projetadas principalmente para workflows de arquivamento, que envolvem uma porcentagem maior de gravações de dados em comparação às leituras de dados. Em pools de nós compostos por esses nós de classe de arquivamento, as SSDs são implementadas para o cache L3, o que melhora significativamente a velocidade das atividades de travessia do file system, como pesquisa no diretório.

O cache L3 com metadados armazenados somente em SSDs fornece o melhor desempenho para arquivar dados nesses nós de alta capacidade. O cache L3 é habilitado por padrão, conforme descrito na tabela a seguir.

Nós Comentários

Série NL Para os pools de nós compostos por nós da série NL com HDDs (Hard Disk Drives, unidades de disco rídigo) que têm menos de 4 TB de capacidade, o cache L3 armazena dados e metadados nas SSDs por padrão. Você pode desativar o cache L3 nos nós da série NL com 4 TB ou HDDs menores. No entanto, recomendamos que você deixe o cache L3 habilitado, já que os pools de nós da série NL geralmente não têm grande número de SSDs. De uma perspectiva de desempenho, os benefícios do cache L3 superam os benefícios de usar SSDs como unidades de armazenamento nesses pools de nós.

Para pools de nós compostos por nós da série NL com HDDs que têm mais de 4 TB de capacidade, o cache L3 armazena metadados somente nas SSDs e não pode ser desabilitado.

Série HD Para pools de nós compostos por nós da série HD, o cache L3 armazena metadados somente nas SSDs e não pode ser desabilitado.

Infinity série A Para pools de nós compostos por nós Infinity série A, o cache L3 armazena metadados somente nas SSDs e não pode ser desabilitado.

NíveisUm nível é um conjunto definido pelo usuário de pools de nós que podem ser especificados como um pool de armazenamento para arquivos. Um pool de nós pode pertencer somente a um nível.

Você pode criar níveis para atribuir seus dados a qualquer um dos pools de nós do nível. Por exemplo, você pode atribuir um conjunto de pools de nós a um nível criado especificamente para armazenar dados que requerem alta disponibilidade e acesso rápido. Em um sistema de três níveis, essa classificação pode ser nível 1. Você pode classificar os dados usados com menos frequência ou que são acessados por

Pools de armazenamento 323

menos usuários como os dados de nível 2. Geralmente, o nível 3 abrange os dados usados raramente e pode ser arquivado para fins históricos ou regulamentares.

Políticas de pool de arquivoAs políticas de pool de arquivos definem conjuntos de arquivos — pools de arquivos — e onde e como eles são armazenados em seu cluster. Você pode configurar várias políticas de pool de arquivos com regras de filtragem que identificam pools de arquivos específicos e as configurações solicitadas de otimização de I/O e proteção desses pools de arquivos. A criação de políticas personalizadas de pools de arquivos exige uma licença ativa do SmartPools.

A instalação inicial do OneFS coloca todos os arquivos em um só pool de arquivos, que está sujeito à política padrão de pools de arquivos. Sem uma licença ativa do SmartPools, você só pode configurar a política padrão de pool de arquivos, que controla todos os arquivos e os armazena em qualquer lugar do cluster.

Com uma licença ativa do SmartPools, o OneFS amplia as funções básicas de armazenamento, permitindo que você crie políticas personalizadas de pool de arquivos que identificam, protegem e controlam vários pools de arquivos. Com uma política personalizada de pool de arquivos, por exemplo, você pode definir e armazenar um pool de arquivos em um pool ou nível de nós específico para fins de acesso rápido ou de arquivamento.

Quando você cria uma política de pool de arquivos, os critérios flexíveis de filtragem permitem que você especifique atributos baseados no tempo para as datas em que os arquivos foram acessados, modificados ou criados pela última vez. Além disso, também é possível definir atributos relativos de tempo, como 30 dias antes da data atual. Outros critérios de filtragem incluem tipo, nome, tamanho e atributos personalizados do arquivo. Os seguintes exemplos demonstram algumas maneiras de configurar políticas de pools de arquivos:

• Uma política de pool de arquivos para configurar uma proteção mais forte em um conjunto específico de arquivos importantes.• Uma política de pool de arquivos para armazenar os arquivos acessados com mais frequência em um pool de nós que proporciona as

leituras ou as leituras/gravações mais rápidas.• Uma política de pool de arquivos para avaliar a última vez em que os arquivos foram acessados, para que os arquivos mais antigos

sejam armazenados em um pool de nós mais adequado para fins de arquivamento normativo.

Quando o trabalho do SmartPools é executado, geralmente uma vez por dia, ele processa as políticas de pool de arquivos em ordem de prioridade. Você pode editar, reordenar ou remover as políticas personalizadas de pool de arquivos a qualquer momento. No entanto, a política padrão de pool de arquivos é sempre a última na ordem de prioridade. Embora você possa modificar a política padrão de pool de arquivos, não será possível reordená-la nem removê-la. Quando as políticas personalizadas de pools de arquivos estão implementadas, as configurações da política padrão de pool de arquivos se aplicam somente aos arquivos que não são cobertos por outra política de pool de arquivos.

Quando um novo arquivo é criado, o OneFS escolhe um pool de armazenamento com base na política padrão de pool de arquivos ou, caso exista, uma política de pool de arquivos personalizada de prioridade mais alta que corresponda ao arquivo. Se um novo arquivo foi originalmente correspondido à política de pool de arquivos padrão e você criar posteriormente uma política de pools de arquivos personalizados que corresponde ao arquivo, o arquivo será controlado pela nova política personalizada. Como resultado, o arquivo poderá ser colocado em um pool de armazenamento diferente na próxima vez que o trabalho do SmartPools for executado.

Trabalho FilePolicyVocê pode usar o FilePolicy para aplicar as políticas de pools de arquivos.

Esse trabalho complementa o trabalho SmartPools verificando o índice do file system utilizado pelo trabalho do File System Analytics (FSA). Você poderá usar o trabalho FilePolicy se já estiver usando snapshots (ou o FSA) e políticas de pool de arquivos para gerenciar dados do cluster. O trabalho FilePolicy é um modo eficiente de manter os dados inativos fora dos níveis mais rápidos. A verificação é feita no índice, o que não exige muitos blocks. Assim, é possível reduzir significativamente o número de vezes que um arquivo é acessado antes de ele ser classificado por níveis.

Você precisa continuar classificando os dados em níveis da forma como eles geralmente são classificados, como políticas de pool de arquivos que movem dados com base em uma idade fixa. Ajuste os dados com base na totalidade de seus níveis.

Para certificar-se de que o cluster seja disposto corretamente e devidamente protegido, execute o trabalho SmartPools. Você pode usar o trabalho SmartPools depois de modificar o cluster, como adicionar ou remover nós. Também será possível usar esse trabalho para modificar as configurações do SmartPools (como as configurações padrão de proteção) e se um nó estiver inativo.

Para usar esse recurso, você deve agendar o trabalho FilePolicy diariamente e continuar executando o trabalho SmartPools com menos frequência. É possível executar o trabalho SmartPools depois de eventos que possam afetar a associação do pool de nós.

Você pode usar as seguintes opções ao executar o trabalho FilePolicy:

• --directory-only: essa opção ajuda você a processar diretórios e é feita para redirecionar a inclusão de novos arquivos.

• --policy-only: essa opção ajuda você a definir políticas. Certifique-se de não fazer uma redistribuição.

• --ingest: essa opção ajuda você a usar -directory-only e -policy-only em combinação.

324 Pools de armazenamento

• --nop: essa opção ajuda a calcular e relatar o trabalho que você realizou.

Gerenciando pools de nós na interface Web de administraçãoVocê pode gerenciar os pools de nós por meio da interface Web de administração. Você deve ter o privilégio administrativo SmartPools ou superior.

Adicionar pools de nós a um nívelVocê pode agrupar os pools de nós disponíveis em níveis.

Um pool de nós só pode ser adicionado a um nível de cada vez. Se nenhum pool de nós for listado como disponível, ele já pertencerá aos outros níveis.

1. Clique em File System > Storage Pools > SmartPools.A página SmartPools exibe dois grupos: Tiers & Node Pools e Compatibilities

2. Na área Tiers & Node Pools, clique em View/Edit ao lado do nível.

3. Na página View Tier Details, clique em Edit Tier.A página Edit Tier Details é exibida.

4. Na lista Available Node Pools, selecione um pool de nós e clique em Add.O pool de nós é movido para a lista Selected Node Pools for this Tier.

5. Repita a etapa 4 para cada pool de nós que deseja adicionar. Quando todos os pools de nós forem adicionados, clique em Save Changes.Uma mensagem indicará que a operação foi feita com sucesso. A página View Tier Details permanece aberta.

6. Clique em Close.O grupo Tiers & Node Pools agora mostra que os pools de nós fazem parte do nível.

Alterar o nome ou a proteção necessária de um pool de nósVocê pode alterar o nome ou a proteção necessária de um pool de nós.

1. Clique em File System > Storage Pools > SmartPools.

2. No grupo Tiers & Node Pools, na linha do pool do nó que você deseja modificar, clique em View/Edit.A página View Node Pools Details é exibida.

3. Clique em Edit.A página Edit Node Pools Details é exibida.

4. Especifique um novo nome para o pool de nós ou um novo nível de proteção necessária da lista, ou ambos.

O nome de um pool de nós somente pode começar com uma letra ou o caractere de sublinhado e somente pode conter letras, números, hífens, sublinhados ou pontos.

5. Clique em Save Changes na página Edit Node Pools Details.

6. Clique em Close na página View Node Pools Details.

Criar uma compatibilidade de classe de nósO OneFS adiciona automaticamente um novo nó com a mesma classe de equivalência a um pool de nós existente. Para novos nós sem classe de equivalência, você pode criar uma compatibilidade de classe de nós para adicionar esses nós a um pool de nós existente.

Não há suporte para as seguintes compatibilidades: S200/S210, X200/X210, X400/X410 e NL400/NL410. Por exemplo, se você tiver um pool de nós composto por três ou mais nós S200, poderá criar uma compatibilidade de modo que os novos nós S210 sejam adicionados automaticamente ao pool de nós S200.

NOTA: Os novos nós devem ter RAM compatível e as mesmas configurações de drives que os nós mais antigos para

serem provisionados aos pools de nós existentes. Se as configurações de drive não forem as mesmas devido a diferenças

de número ou capacidade de SSDs, você também poderá criar compatibilidades de SSD.

1. Selecione File System > Storage Pools > SmartPools.

A guia SmartPools exibe duas listas: Tiers & Node Pools e Compatibilities.

Pools de armazenamento 325

2. Clique em Create a compatibility.A caixa de diálogo Create a Compatibility exibirá uma lista drop-down de opções de compatibilidade.

3. Na lista Compatibility Type, selecione Node Class.Duas listas drop-down adicionais são adicionadas, First Node Class e Second Node Class.

4. Na lista First Node Class, aceite a seleção atual ou faça uma nova seleção.

5. Na lista Second Node Class, aceite a seleção atual ou faça uma nova seleção.

6. Clique em Create Compatibility.Uma caixa de diálogo Confirm Create Compatibility será exibida com uma ou mais caixas de seleção que você deve marcar antes de continuar. As caixas de seleção descrevem os resultados da operação.

7. Marque todas as caixas de seleção e clique em Confirm.

A compatibilidade de classe de nós é criada e também descrita na lista Compatibilities. Por exemplo, uma mensagem como "The S200 Node Class is now considered compatible with the S210 Node Class" será exibida. O resultado da nova compatibilidade é exibido na lista Tiers & Node Pools. Se os novos nós tiverem compatibilidade de classe de nós, mas continuarem desprovisionados, você precisará criar uma compatibilidade de SSD para os novos nós. Se o cache L3 estiver desativado no pool de nós destinado, os novos nós continuarão desprovisionados e uma mensagem de erro será gerada.

Mesclar pools de nós compatíveisVocê pode criar uma compatibilidade de classe de nós para mesclar vários pools de nós compatíveis. Os pools de nós maiores, de até 20 nós, permitem que o OneFS proteja os dados com mais eficiência, oferecendo mais espaço de armazenamento para dados novos.

Por exemplo, se você tiver seis nós S200 em um pool de nós e três nós S210 em um segundo pool de nós, poderá criar uma compatibilidade para mesclar os dois pools de nós em um pool de nove nós.

NOTA: Geralmente, os tipos de nós mais novos têm melhores especificações de desempenho que os tipos de nós mais

antigos; portanto, mesclá-los com tipos de nós mais antigos pode reduzir o desempenho geral. Além disso, quando dois

pools de nós são mesclados, o OneFS refraciona os dados, o que pode demorar um tempo considerável, dependendo do

tamanho de seu conjunto de dados.

1. Clique em File System > Storage Pools > SmartPools.

A guia SmartPools exibe duas listas: Tiers & Node Pools e Compatibilities.

2. Clique em Create a compatibility.A caixa de diálogo Create a Compatibility exibirá uma lista drop-down de opções de compatibilidade.

3. Na lista Compatibility Type, selecione Node Class.Duas listas drop-down adicionais são adicionadas, First Node Class e Second Node Class.

4. Na lista First Node Class, aceite a seleção atual ou faça uma nova seleção.

5. Na lista Second Node Class, aceite a seleção atual ou faça uma nova seleção.

6. Clique em Create Compatibility.Uma caixa de diálogo Confirm Create Compatibility será exibida com uma ou mais caixas de seleção que você deve marcar antes de continuar. As caixas de seleção descrevem os resultados da operação.

7. Marque todas as caixas de seleção e clique em Confirm.

A compatibilidade de classe de nós é criada e também descrita na lista Compatibilities. Por exemplo, uma mensagem como "The S200 Node Class is now considered compatible with the S210 Node Class" será exibida. O resultado da nova compatibilidade é exibido na lista Tiers & Node Pools. Se a criação de compatibilidade for bem-sucedida, mas os pools de nós não forem mesclados, você provavelmente precisará criar uma compatibilidade de SSD entre os dois pools de nós. Se a criação de compatibilidade falhar com uma mensagem de erro, o cache L3 será desabilitado em um ou ambos os pools de nós.

Excluir uma compatibilidade de classe de nósÉ possível excluir uma compatibilidade de classe de nós. Como resultado, todos os nós que foram provisionados a um pool de nós por causa dessa compatibilidade serão removidos do pool de nós.

CUIDADO: A exclusão de uma compatibilidade de classe de nós pode resultar em consequências inesperadas. Por

exemplo, se você excluir uma compatibilidade e menos de três nós compatíveis forem removidos do pool de nós, esses

nós serão removidos do pool de armazenamento disponível de seu cluster. Na próxima execução do trabalho do

SmartPools, os dados desses nós serão refracionados em outra parte do cluster, o que pode ser um processo demorado.

Se três ou mais nós compatíveis forem removidos do pool de nós, esses nós formarão seu próprio pool de nós, e os

dados serão refracionados. Qualquer política de pool de arquivos que aponte para o pool de nós original apontaria agora

para o nível do pool de nós, se existisse um ou, caso contrário, a um novo nível criado pelo OneFS.

326 Pools de armazenamento

1. Clique em File System > Storage Pools > SmartPools.

A guia SmartPools exibe duas listas: Tiers & Node Pools e Compatibilities.

2. Na lista Compatibilities, ao lado da compatibilidade que deseja excluir, clique em Excluir.A caixa de diálogo Confirm Delete Compatibility é exibida com uma ou mais caixas de seleção que você deve marcar antes de continuar.

3. Marque todas as caixas de seleção da caixa de diálogo e clique em Confirm.

A compatibilidade é excluída, e o novo estado dos nós afetados é exibido na lista Tiers & Node Pools.

Criar uma compatibilidade de SSDVocê pode criar compatibilidades de SSD para capacidade e número, permitindo que os novos nós sejam provisionados aos pools de nós com diferentes especificações de SSD. As compatibilidades de SSD podem ser criadas para os seguintes tipos de nós: S200, S210, X200, X210, X400, X410, NL400 e NL410.

Por exemplo, se você tiver um pool de nós composto por três nós S200 com SSDs de 100 GB e instalar um nó S200 com um número igual de SSDs de 200 GB, o novo nó S200 não será provisionado automaticamente ao pool de nós S200 até que você crie uma compatibilidade de SSD. Se os nós do pool de nós S200 tiverem seis SSDs cada um e o novo nó S200 tiver oito SSDs, você também deverá criar uma compatibilidade de número de SSDs para permitir que o novo nó S200 seja provisionado ao pool de nós S200.

Do mesmo modo, se você tiver nós de gerações diferentes com compatibilidade de classe, como os nós S200 e S210, também poderá criar compatibilidades de SSD entre esses tipos de nós.

1. Selecione File System > Storage Pools > SmartPools.

A guia SmartPools exibe duas listas: Tiers & Node Pools e Compatibilities.

2. Clique em Create a compatibility.A caixa de diálogo Create a Compatibility exibirá uma lista drop-down de opções de compatibilidade.

3. Na lista Compatibility Type, selecione SSD.Uma lista drop-down adicional, Node Class, será adicionada.

4. Na lista Node Class, aceite a seleção atual ou faça uma nova seleção, conforme adequado.

5. Se adequado, marque também a caixa de seleção SSD Count Compatibility.

6. Clique em Create Compatibility.Uma caixa de diálogo Confirm Create Compatibility será exibida com uma ou mais caixas de seleção que você deve marcar antes de continuar. As caixas de seleção descrevem os resultados da operação.

7. Marque todas as caixas de seleção e clique em Confirm.

A compatibilidade de SSD é criada e descrita na lista Compatibilities. Por exemplo, uma mensagem como "S200 and S210 nodes are SSD compatible" é exibida. O resultado da compatibilidade de SSDs também será exibido na lista Tiers & Node Pools. Se o cache L3 estiver desligado em qualquer um dos pools de nós que seria afetado pela compatibilidade de SSD, a compatibilidade de SSD não será criada e uma mensagem de erro será gerada. Para corrigir a situação, ligue o cache L3 para esses pools de nós.

Excluir uma compatibilidade de SSD.Você pode excluir uma compatibilidade de SSD. Se você fizer isso, todos os nós que fazem parte de um pool de nós devido a essa compatibilidade serão removidos do pool de nós.

CUIDADO: A exclusão de uma compatibilidade de SSD pode resultar em consequências indesejadas. Por exemplo, se

você excluir uma compatibilidade de SSD e menos de três nós compatíveis forem removidos de um pool de nós como

resultado, esses nós serão removidos do pool de armazenamento disponível de seu cluster. Na próxima execução do

trabalho do SmartPools, os dados desses nós serão refracionados em outra parte do cluster, o que pode ser um processo

demorado. Se três ou mais nós compatíveis forem removidos do pool de nós, esses nós formarão seu próprio pool de

nós, mas os dados serão refracionados. Qualquer política de pools de arquivos que aponte para o pool de nós original

apontaria agora para o nível do pool de nós, se existisse um ou, caso contrário, a um novo nível criado pelo OneFS.

1. Clique em File System > Storage Pools > SmartPools.

A guia SmartPools exibe duas listas: Tiers & Node Pools e Compatibilities.

2. Na lista Compatibilities, ao lado da compatibilidade de SSD que deseja excluir, clique em Delete.A caixa de diálogo Confirm Delete Compatibility é exibida com uma ou mais caixas de seleção que você deve marcar antes de continuar. As caixas de seleção descrevem o resultado da operação.

3. Marque todas as caixas de seleção da caixa de diálogo e clique em Confirm.

Pools de armazenamento 327

A compatibilidade de SSD é excluída, e o novo estado dos nós afetados é exibido na lista Tiers & Node Pools. Por exemplo, agora, um nó provisionado anteriormente será desprovisionado.

Gerenciando o cache L3 da interface Web de administraçãoVocê pode gerenciar o cache L3 globalmente ou em pools de nós específicos na interface Web de administração. Você deve ter o privilégio administrativo SmartPools ou superior. Nos nós HD400, o cache L3 é ativado por padrão e não pode ser desativado.

Definir o cache L3 como padrão para pools de nósVocê pode definir o cache L3 como padrão, de modo que, ao criar novos pools de nós, o cache L3 seja automaticamente habilitado.

O cache L3 só será efetivo em nós que incluam SSDs. Se nenhum dos clusters tiver armazenamento SSD, não haverá necessidade de ativar o cache L3 como padrão.

1. Clique em File System > Storage Pools > SmartPools Settings.

A página Edit SmartPools Settings é exibida.

2. Em Local Storage Settings, clique em Use SSDs as L3 Cache by default for new node pools.

3. Clique em Save Changes.

Conforme você adiciona novos nós com SSDs ao cluster, e o OneFS designa novos pools de nós, estes apresentam o cache L3 habilitado automaticamente. Os novos pools de nós sem SSDs não têm cache L3 habilitado por padrão.

Definir o cache L3 em um pool de nós específicoVocê pode ativar o cache L3 para um pool de nós específico.

1. Clique em File System > Storage Pools > SmartPools.

A página SmartPools, mostrando uma lista de níveis e pools de nós, é exibida.

2. Na lista Tiers & Node Pools, clique em View/Edit ao lado do pool de nós padrão.A caixa de diálogo View Node Pool Details é exibida, mostrando as configurações atuais do pool de nós.

3. Clique em Edit.A caixa de diálogo Edit Node Pool Details é exibida.

4. Clique na caixa de seleção Enable L3 cache.

A caixa de seleção fica esmaecida para os pools de nós que não têm SSDs ou para aqueles nos quais a configuração não pode ser alterada.

5. Clique em Save Changes.A caixa de mensagem Confirm Change to L3 Cache Setting é exibida.

6. Clique no botão Continue.O processo de migração para o cache L3 é iniciado e pode demorar um pouco, dependendo do número e do tamanho dos SSDs no pool de nós. Concluído o processo de migração, a caixa de diálogo View Node Pool Details é exibida.

7. Clique em Close.

Restaurar os SSDs aos drives de armazenamento de um pool de nósVocê pode desabilitar o cache L3 para SSDs em um pool de nós e restaurá-los em drives de armazenamento.

NOTA: Em pools de nós HD400, os SSDs são usados somente para o cache L3, que é ativado por padrão e não pode ser

desativado. Todos os outros pools de nós com SSDs para o cache L3 podem ter seus SSDs migrados de volta para os

drives de armazenamento.

1. Clique em File System > Storage Pools > SmartPools.

2. Na área Tiers & Node Pools da guia SmartPools, selecione View/Edit ao lado do pool de nós de destino.A caixa de diálogo View Node Pool Details é exibida, mostrando as configurações atuais do pool de nós.

3. Clique em Edit.

328 Pools de armazenamento

A caixa de diálogo Edit Node Pool Details é exibida.

4. Desmarque a caixa de seleção Enable L3 cache.

A configuração fica esmaecida para os pools de nós que não têm SSDs ou para aqueles nos quais a configuração não pode ser alterada.

5. Clique em Save Changes.A caixa de mensagem Confirm Change to L3 Cache Setting é exibida.

6. Clique em Continue.O processo de migração para desabilitar o cache L3 é iniciado e pode levar algum tempo, dependendo do número e do tamanho dos SSDs no pool de nós. Concluído o processo de migração, a caixa de diálogo View Node Pool Details é exibida.

7. Clique em Close.

Gerenciando níveisVocê pode mover os pools de nós nos níveis para otimizar o gerenciamento de arquivos e de armazenamento. O gerenciamento de níveis requer privilégios administrativos do SmartPools ou superiores.

Criar um nívelVocê pode criar um nível que contenha um ou mais pools de nós. É possível usar o nível para armazenar categorias específicas de arquivos.

1. Clique em File System > Storage Pools > SmartPools.

A guia SmartPools é exibida com duas seções: Tiers & Node Pools e Compatibilities.

2. Na seção Tiers & Node Pools, clique em Create a Tier.

3. Na página Create a Tier exibida, digite um nome para o nível.

4. Para cada pool de nós que você deseja adicionar ao nível, selecione um pool de nós na lista Available Node Pools e clique em Add.O pool de nós é movido para a lista Selected Node Pools for this Tier.

5. Clique em Create Tier.A página Create a Tier é fechada, e o novo nível é adicionado à área Tiers & Node Pools. Os pools de nós que você adicionou são mostrados abaixo o nome do nível.

Editar um nívelVocê pode modificar o nome e os pools de nós atribuídos a um nível.

O nome de um nível pode conter caráteres alfanuméricos e sublinhados, mas não pode começar com um número.

1. Clique em File System > Storage Pools > SmartPools.

A guia SmartPools exibe dois grupos: Tiers & Node Pools e Compatibilities.

2. Na área Tiers & Node Pools, ao lado do nível você deseja editar, clique em View/Edit.

3. Na caixa de diálogo View Tier Details, clique em Edit Tier.

4. Na caixa de diálogo Edit Tier Details, modifique os itens a seguir conforme necessário:

Opção Descrição

Tier Name Para alterar o nome do nível, selecione e digite sobre o nome existente.

Node Pool Selection Para alterar a seleção do pool de nós, selecione um pool de nós e clique em Add ou Remove.

5. Ao terminar de editar as configurações de nível, clique em Save Changes.

6. Na caixa de diálogo View Tier Details, clique em Close.

Excluir um nívelVocê pode excluir um nível que não tenha pools de nós atribuídos.

Se quiser excluir um nível que tenha pools de nós atribuídos, primeiro você deve remover os pools de nós do nível.

1. Clique em File System > Storage Pools > SmartPools.

A guia SmartPools exibe duas listas: Tiers & Node Pools e Compatibilities.

Pools de armazenamento 329

2. Na lista Tiers & Node Pools, ao lado no nível que deseja excluir, clique em More > Delete Tier.Uma caixa de mensagens solicitará que você confirme ou cancele a operação.

3. Clique em Delete Tier para confirmar a operação.

O nível é removido da lista Tiers & Node Pools.

Criando políticas de pools de arquivosVocê pode configurar políticas de pools de arquivos para identificar grupos lógicos de arquivos chamados pools de arquivos. Além disso, você também pode especificar as operações de armazenamento para esses arquivos.

Antes de criar políticas de pools de arquivos, é necessário ativar uma licença do SmartPools e ter o privilégio administrativo ou superior do SmartPools.

As políticas de pool de arquivos têm duas partes: critérios de verificação de correspondência de arquivos que definem um pool de arquivos e as ações que podem ser aplicadas ao pool de arquivos. Você pode definir os pools de arquivos com base em características como o tipo, tamanho, caminho, nascimento, alterações e registros de data e hora de acesso dos arquivos e combinar esses critérios com os operadores booleanos (AND, OR).

Além dos critérios de verificação de correspondência de arquivos, você pode identificar uma variedade de ações que podem ser aplicadas ao pool de arquivos. Essas ações incluem:

• Configuração dos parâmetros de proteção solicitada e de otimização do acesso a dados• Identificação dos destinos de armazenamento dos dados e snapshots• Definição das estratégias de SSD de dados e snapshots• Ativação ou desativação do SmartCache

Por exemplo, para liberar espaço em disco em seu nível de desempenho (pools de nós série S), você pode criar uma política de pools de arquivos para corresponder a todos os arquivos maiores que 25 MB, que não foram acessados nem modificados por mais de um mês, e migrá-los para seu nível de arquivamento (pools de nós série NL).

Você pode configurar e priorizar as várias políticas de pools de arquivos para otimizar o armazenamento de arquivos para seus workflows específicos e sua configuração de cluster. Quando o trabalho do SmartPools é executado, de modo padrão uma vez por dia, ele aplica as políticas de pools de arquivos em ordem de prioridade. Quando um pool de arquivo corresponde aos critérios definidos em uma política, as ações dessa política são aplicadas, e as políticas personalizadas de menor prioridade são ignoradas para o pool de arquivos.

Depois que a lista de políticas customizadas de pools de arquivos é atravessada, se nenhuma das ações for aplicada a um arquivo, serão aplicadas as ações da política padrão de pools de arquivos. Dessa forma, a política padrão de pools de arquivos garante que todas as ações se apliquem a todos os arquivos.

NOTA: Você pode reordenar a lista de políticas de pools de arquivos a qualquer momento, mas a política padrão de pools

de arquivos será sempre a última da lista.

O OneFS também oferece políticas personalizáveis de modelo que você pode copiar para fazer suas próprias políticas. Esses modelos, no entanto, só estão disponíveis na interface de administração da Web do OneFS.

Criar uma política de pools de arquivosVocê pode criar uma política de pool de arquivos para definir um conjunto de arquivos específico e especificar as ações do SmartPools para serem aplicadas aos arquivos correspondentes. Essas ações do SmartPools incluem movimentação de arquivos para determinados níveis ou pools de nós, alteração dos níveis de proteção, necessários e otimização do desempenho da gravação e do acesso a dados.

CUIDADO:

Se as políticas de pool de arquivos existentes direcionarem os dados para um pool de armazenamento específico, não

defina outras políticas de pool de arquivos com anywhere para a opção Data storage target. Como o pool de

armazenamento especificado é incluído ao usar anywhere, especifique como alvo pools de armazenamento específicos

para evitar resultados inesperados.

1. Clique em File System > Storage Pools > File Pool Policies.

2. Clique em Create a File Pool Policy.

3. Na caixa de diálogo Create a File Pool Policy, digite o nome da política e, opcionalmente, uma descrição.

4. Especifique os arquivos a serem gerenciados pela política de pool de arquivos.

Para definir o pool de arquivos, você pode especificar critérios de correspondência, combinando as condições IF, AND e OR. Você pode definir essas condições com vários atributos de arquivo, como nome, caminho, tipo, tamanho e as informações de registro de data e hora.

330 Pools de armazenamento

5. Especifique as ações do SmartPools a serem aplicadas ao pool de arquivos selecionado.

Você pode especificar configurações de armazenamento e otimização de I/O a serem aplicadas.

6. Clique em Create Policy.

A política de pool de arquivos será criada e aplicada quando o próximo trabalho agendado do sistema do SmartPools for executado. Por padrão, esse trabalho é executado uma vez por dia, mas também há a opção de iniciar o trabalho imediatamente.

Opções de verificação de correspondência de arquivos para as políticas de pools de arquivosVocê pode configurar uma política de pools de arquivos que corresponda a critérios específicos.

As opções a seguir de verificação de correspondência de arquivos podem ser especificadas quando você criar ou editar uma política de pools de arquivos.

NOTA:

O OneFS dá suporte à verificação de correspondência de padrões (globais) de estilo shell do UNIX para atributos e

caminhos de nomes de arquivos.

A tabela a seguir lista os atributos de arquivo que você pode usar para definir uma política de pools de arquivos.

Atributo do arquivo Especifica

Name Inclui ou exclui os arquivos com base no nome do arquivo.

Você pode especificar se serão incluídos ou excluídos nomes completos ou parciais que contêm um texto específico. É permitido o uso de caracteres-curinga.

Path Inclui ou exclui os arquivos com baseados no caminho do arquivo.

Você pode especificar se serão incluídos ou excluídos caminhos completos ou parciais que contêm o texto especificado. Também é possível incluir os caracteres-curinga *, ? e [ ].

File type Inclui ou exclui os arquivos com base em um dos seguintes tipos de objetos do file system:

• File• Directory• Other

Size Inclui ou exclui os arquivos com base em seu tamanho.NOTA: Os tamanhos de arquivos são representados em múltiplos de 1024, não de 1000.

Modified Inclui ou exclui os arquivos com base em quando o arquivo foi modificado pela última vez.

Na interface de administração da Web, você pode especificar uma data e hora relativas, como "mais antigo que duas semanas", ou data e hora específicas, como "antes de 1º de janeiro de 2012". As configurações de horário são baseadas no formato de 24 horas.

Created Inclui ou exclui os arquivos com base em quando ele foi criado.

Na interface de administração da Web, você pode especificar uma data e hora relativas, como "mais antigo que duas semanas", ou data e hora específicas, como "antes de 1º de janeiro de 2012". As configurações de horário são baseadas no formato de 24 horas.

Metadata changed Inclui ou exclui os arquivos com base em quando os metadados foram modificados pela última vez. Esta opção está disponível somente se a opção de controle global da hora de acesso do cluster estiver ativada.

Pools de armazenamento 331

Atributo do arquivo Especifica

Na interface de administração da Web, você pode especificar uma data e hora relativas, como "mais antigo que duas semanas", ou data e hora específicas, como "antes de 1º de janeiro de 2012". As configurações de horário são baseadas no formato de 24 horas.

Accessed Inclui ou exclui os arquivos com base em quando o arquivo foi acessado pela última vez de acordo com as seguintes unidades de tempo:

Na interface de administração da Web, você pode especificar uma data e hora relativas, como "mais antigo que duas semanas", ou data e hora específicas, como "antes de 1º de janeiro de 2012". As configurações de horário são baseadas no formato de 24 horas.

NOTA: Já que ele afeta o desempenho, o controle da hora de acesso como um critério de política de pools de arquivos é desativado de modo padrão.

File attribute Inclui ou excluir os arquivos com base em um atributo personalizado definido pelo usuário.

Caracteres-curinga válidosVocê pode combinar caracteres-curinga com as opções de verificação de correspondência de arquivos para definir uma política de pool de arquivos.

O OneFS dá suporte à verificação de correspondência de padrões (globais) de estilo shell do UNIX para atributos e caminhos de nomes de arquivos.

A tabela a seguir lista os caracteres-curinga válidos que podem ser combinados com as opções de verificação de correspondência de arquivos para definir uma política de pool de arquivos.

Caractere-curinga Descrição

* Faz a correspondência com qualquer string que estiver no lugar do asterisco.

Por exemplo, m* corresponde a movies e m123.

[a-z] Faz a correspondência com todos os caracteres contidos entre colchetes ou com vários caracteres separados por hífen. Por exemplo, b[aei]t corresponde a bat, bet e bit, e 1[4-7]2 corresponde a 142, 152, 162 e 172.

Você pode excluir caracteres entre colchetes digitando um ponto de exclamação após o primeiro colchete. Por exemplo, b[!ie] corresponde a bat, mas não a bit ou bet.

É possível fazer a correspondência com um colchete contido em outro colchete, se ele for o primeiro ou o último caractere. Por exemplo, [[c]at corresponde a cat e [at.

É possível fazer a correspondência com um hífen dentro de um colchete se ele for o primeiro ou o último caractere. Por exemplo, car[-s] corresponde a cars e car-.

? Faz a correspondência com qualquer caractere que estiver no lugar do ponto de interrogação. Por exemplo, t?p corresponde a tap, tip e top.

Configurações do SmartPoolsAs configurações do SmartPools incluem proteção de diretórios, aceleração global de namespace, cache L3, hot spare virtual, transbordamento, gerenciamento da proteção solicitada e gerenciamento da otimização de I/O.

Configurações do Web Admin

Configurações da CLI Descrição Observações

Increase directory protection to a higher level than its contents

--protect-directories-one-level-higher

Aumenta a proteção dos diretórios para um nível mais alto que a dos diretórios e dos arquivos contidos neles. Assim, os dados que não forem perdidos ainda podem ser acessados.

Esta configuração deve ser ativada (o padrão).

Quando esta configuração é desativada, o diretório que contém um pool de arquivos está protegido

332 Pools de armazenamento

Configurações do Web Admin

Configurações da CLI Descrição Observações

Quando as falhas de dispositivo resultarem em perda de dados (por exemplo, três unidades ou dois nós em uma política de +2:1), a ativação desta configuração garante que os dados intactos continuem acessíveis.

de acordo com suas configurações de nível de proteção, mas os dispositivos usados para armazenar o diretório e o arquivo podem não ser os mesmos. Existe a possibilidade de perder nós com file data intactos, mas de não ser possível acessar os dados por causa dos nós contidos no diretório.

Por exemplo, considere um cluster que tenha uma configuração padrão de proteção de pools de arquivos +2 e nenhuma política adicional de pools de arquivos. Os diretórios do OneFS são sempre espelhados. Assim, eles são armazenados em 3x, que é o equivalente espelhado do padrão +2.

Esta configuração pode suportar uma falha de dois nós antes da perda de dados ou da falta de acessibilidade. Se ela for ativada, todos os diretórios serão protegidos em 4x. Se o cluster tiver três falhas de nó, embora os arquivos individuais possam ficar inacessíveis, a árvore de diretórios estará disponível e oferecerá o acesso aos arquivos que ainda estejam acessíveis.

Além disso, se outra política de pools de arquivos proteger alguns arquivos com um nível mais alto, eles estarão acessíveis em caso de falha em três nós.

Enable global namespace acceleration

--global-namespace-acceleration-enabled

Especifica se os metadados por arquivo serão autorizados a usar SSDs no pool de nós.

• Quando desativada, esta configuração restringe os metadados por arquivo à política de pools de armazenamento do arquivo, exceto no caso de transbordamento. Essa é a configuração padrão.

• Quando ativada, ela permite que os metadados por arquivo usem SSDs em qualquer pool de nós.

Esta configuração só estará disponível se 20% ou mais dos nós do cluster contiverem SSDs e se pelo menos 1,5% do armazenamento total do cluster se basear em SSD.

Se os nós forem adicionados ou removidos de um cluster, e se os limites de SSDs não forem mais atendidos, a GNA fica inativa. A GNA permanece habilitada para que, quando os limites de SSD forem atendidos novamente, ela seja reativada.

NOTA: Os pools de nós com o cache L3 ativado são efetivamente invisíveis para fins de GNA. Todos os cálculos de proporção da GNA são feitos exclusivamente para os pools de nós sem o cache L3 ativado.

Pools de armazenamento 333

Configurações do Web Admin

Configurações da CLI Descrição Observações

Use SSDs as L3 Cache by default for new node pools

--ssd-l3-cache-default-enabled

Para os pools de nós que incluem unidades de estado sólido, implemente os SSDs como cache L3. O cache L3 amplia o cache L2 e acelera o desempenho do file system em maiores conjuntos de arquivos funcionais.

O cache L3 é ativado de modo padrão nos novos pools de nós. Ao ativar o cache L3 em um pool de nós existente, o OneFS realizará uma migração, movendo todos os dados existentes dos SSDs para outros locais do cluster.

O OneFS gerencia todos os níveis de cache para oferecer proteção de dados, disponibilidade e desempenho ideais. Em caso de falta de energia, os dados do cache L3 ficam retidos e ainda estarão disponíveis quando a energia for restaurada.

Virtual Hot Spare --virtual-hot-spare-deny-writes

--virtual-hot-spare-hide-spare

--virtual-hot-spare-limit-drives

--virtual-hot-spare-limit-percent

Reserva uma quantidade mínima de espaço no pool de nós que pode ser usada para fo reparo de dados em caso de uma falha de unidade.

Para reservar espaço em disco para uso como um hot spare virtual, selecione dentre as seguintes opções:

• Ignore reserved disk space when calculating available free space. Subtrai o espaço reservado para o hot spare virtual ao calcular o espaço livre disponível.

• Deny data writes to reserved disk space. Impede que as operações de gravação usem o espaço em disco reservado.

• VHS Space Reserved. Você pode reservar um número mínimo de unidades virtuais (1 a 4), bem como um percentual mínimo do espaço total em disco (0% a 20%).

Se você configurar o número mínimo de unidades virtuais e um percentual mínimo do espaço total do disco ao configurar o espaço reservado de VHS, o valor mínimo imposto atenderá aos dois requisitos.

Se esta configuração for ativada e a opção Deny new data writes estiver desativada, a utilização do file system poderá ser relatada como mais de 100%.

Enable global spillover --spillover-enabled Especifica como manipular as operações de gravação a um pool de nós que não é gravável.

• Quando ativada, esta configuração redireciona as operações de gravação de um pool de nós que não é gravável para outro pool de nós ou qualquer outro lugar do cluster (o padrão).

• Quando desativada, ela exibe um erro de espaço em disco para as operações de gravação em um pool de nós que não é gravável.

Spillover Data Target --spillover-target

--spillover-anywhere

Especifica outro pool de armazenamento de destino nos casos em que um pool de armazenamento não for gravável.

Quando o transbordamento estiver ativado, e é importante que as gravações de dados não falhem; selecione anywhere para a configuração Spillover Data Target, mesmo que as políticas de pools de arquivos enviem dados a pools específicos.

334 Pools de armazenamento

Configurações do Web Admin

Configurações da CLI Descrição Observações

Gerenciar configurações de proteção

--automatically-manage-protection

Quando esta configuração estiver ativada, o SmartPools gerenciará os níveis de proteção solicitados automaticamente.

Quando a opção Apply to files with manually-managed protection estiver ativada, ela sobregravará todas as configurações de proteção que estejam definidas pelo File System Explorer ou pela interface de linha de comando.

Manage I/O optimization settings

--automatically-manage-io-optimization

Quando ativada, esta configuração usa a tecnologia do SmartPools para gerenciar a otimização de I/O.

Quando a opção Apply to files with manually-managed I/O optimization settings estiver ativada, ela sobregravará todas as configurações de otimização de I/O que estejam definidas pelo File System Explorer ou pela interface de linha de comando.

Nenhuma --ssd-qab-mirrors Um espelhamento ou todos os espelhamentos do QAB (Quota Account Block) são armazenados em SSDs (Solid State Drive)

Melhore o desempenho da contabilidade de cotas colocando todos os espelhamentos de QAB nas SSDs para proporcionar uma E/S mais rápida. Por padrão, apenas um espelhamento de QAB é armazenado na SSD.

Nenhuma --ssd-system-btree-mirrors Um espelhamento ou todos os espelhamentos da árvore B do sistema são armazenados em SSDs

Aumente o desempenho do file system colocando todos os espelhamentos de árvore B do sistema em SSDs para obter um acesso mais rápido. Caso contrário, apenas um espelhamento de árvore B do sistema será armazenado na SSD.

Nenhuma --ssd-system-delta-mirrors Um espelhamento ou todos os espelhamentos do delta do sistema são armazenados em SSDs

Aumente o desempenho do file system colocando todos os espelhamentos de delta do sistema em SSDs para obter um acesso mais rápido. Caso contrário, somente um espelhamento de delta do sistema será armazenado na SSD.

Gerenciando políticas de pool de arquivosÉ possível modificar, reordenar, copiar e remover políticas de pool de arquivos personalizadas. Embora você possa modificar a política padrão de pools de arquivos, não é possível reordená-la nem removê-la.

Para gerenciar políticas de pools de arquivos, realize as seguintes tarefas:

• Modificar políticas de pool de arquivos• Modificar a política do pool de arquivos padrão• Copiar políticas de pool de arquivos• Usar um modelo de política de pool de arquivos• Reordenar políticas de pool de arquivos• Excluir políticas de pool de arquivos

Pools de armazenamento 335

Definir configurações de proteção do pool de arquivos padrãoVocê pode definir as configurações de proteção de pool de arquivos padrão. As configurações padrão são aplicadas a todos os arquivos que não forem cobertos por outra política de pool de arquivos.

CUIDADO: Se as políticas de pool de arquivos existentes direcionarem os dados para um pool de armazenamento

específico, não adicione nem modifique nenhuma política de pool de arquivos à opção anywhere para a opção Data

storage target. Em vez disso, faça o direcionamento para um pool específico de arquivos.

1. Clique em File System > Storage Pools > File Pool Policies.

2. Na guia File Pool Policies, ao lado de Default Policy na lista, clique em View/Edit.A caixa de diálogo View Default Policy Details é exibida.

3. Clique em Edit Policy.A caixa de diálogo Edit Default Policy Details é exibida.

4. Na seção Apply SmartPools Actions to Selected Files, escolha as configurações de armazenamento que você deseja aplicar como padrão para Storage Target, Snapshot Storage Target e Requested Protection.

5. Clique em Save Changes e em Close.

Na próxima vez que o trabalho do SmartPools for executado, as configurações que você selecionou serão aplicadas a todos os arquivos que não estiverem cobertos por outra política de pool de arquivos.

Configurações padrão da proteção solicitada dos pools de arquivosAs configurações padrão de proteção incluem a especificação do destino do armazenamento de dados, do destino de armazenamento dos snapshots, da proteção solicitada e da estratégia de SSDs para os arquivos que são filtrados pela política padrão de pools de arquivos.

Configurações (Web Admin)

Configurações (CLI) Descrição Observações

Storage Target --data-storage-target

--data-ssd-strategy

Especifica o pool de armazenamento (pool ou nível de nós) que você deseja direcionar com essa política de pools de arquivos.

CUIDADO:

Se as políticas existentes de pools de arquivos direcionarem os dados a um pool de armazenamento específico, não configure as outras políticas de pools de arquivos com a opção anywhere para a opção Data storage target. Já que o pool de armazenamento especificado é incluído quando você usa a opção anywhere, defina os pools de armazenamento específicos como destino para evitar locais não intencionais de armazenamento de arquivos.

Selecione uma das seguintes opções para definir sua estratégia de SSD:

Use SSDs for metadata read acceleration

Padrão. Grave os file data e os metadados nos HDDs e os metadados nos SSDs. Acelera somente as leituras de metadados. Usa menos espaço de SSD que a configuração Metadata read/write acceleration.

NOTA: Se a GNA não estiver ativada e o pool de armazenamento que você escolher como destino não contiver SSDs, você não poderá definir uma estratégia de SSD.

A opção Use SSDs for metadata read acceleration grava os file data e metadados nos pools de armazenamento de HDD, mas adiciona um mirror adicional de SSD, se possível, para acelerar o desempenho das leituras. Usa HDDs para oferecer confiabilidade e um espelhamento adicional dos metadados nos SSDs, se disponível, para melhorar o desempenho das leituras. Recomendado para a maioria dos usos.

Ao selecionar Use SSDs for metadata read/write acceleration, a estratégia

336 Pools de armazenamento

Configurações (Web Admin)

Configurações (CLI) Descrição Observações

Use SSDs for metadata read/write acceleration

Grave os metadados nos pools de SSDs. Usa significativamente mais espaço de SSD que a configuração Metadata read acceleration, mas acelera as leituras e gravações de metadados.

Use SSDs for data & metadata

Use SSDs para dados e metadados. Independentemente de a aceleração global de namespace estar ativada, todos os blocks de SSD residem no destino de armazenamento, se houver espaço.

Avoid SSDs Grave todos os file data e metadados associados somente nos HDDs.

CUIDADO:

Somente use esta configuração para liberar espaço de SSD depois de consultar a equipe de Suporte técnico do Isilon, já que ela pode afetar o desempenho negativamente.

utilizará SSDs, se disponíveis no destino de armazenamento, para fins de desempenho e confiabilidade. O mirror adicional pode ser proveniente de um pool de armazenamento diferente que usa a GNA ativada ou proveniente do mesmo pool de nós.

As estratégias Use SSDs for data & metadata e Use SSDs for metadata read/write acceleration não resultam na criação de mirrors adicionais além da proteção normal solicitada. Os file data e os metadados são armazenados em SSDs, se eles estiverem disponíveis na política de pools de arquivos. Esta opção requer uma quantidade significativa de armazenamento SSD.

Snapshot storage target

--snapshot-storage-target

--snapshot-ssd-strategy

Especifica o pool de armazenamento que você deseja direcionar para armazenamento de snapshots com essa política de pools de arquivos. As configurações são as mesmas para o destino de armazenamento de dados, mas aplicam-se aos dados de snapshot.

As observações do destino de armazenamento de dados se aplicam ao destino de armazenamento de snapshots

Requested protection --set-requested-protection

Default of storage pool. Atribua a proteção solicitada padrão do pool de armazenamento aos arquivos filtrados.

Specific level. Atribua uma proteção solicitada especificada aos arquivos filtrados.

Para alterar a proteção solicitada, selecione um novo valor na lista.

Definir configurações de otimização de I/O padrãoVocê pode definir as configurações de I/O padrão.

1. Clique em File System > Storage Pools > File Pool Policies.

2. Na guia File Pool Policies, ao lado de Default Policy na lista, clique em View/Edit.A caixa de diálogo View Default Policy Details é exibida.

3. Clique em Edit Policy.A caixa de diálogo Edit Default Policy Details é exibida.

4. Na seção Apply SmartPools Actions to Selected Files, em I/O Optimization Settings, escolha as configurações que você deseja aplicar como padrão para Write Performance e Data Access Pattern.

5. Clique em Save Changes e em Close.

Pools de armazenamento 337

Na próxima vez que o trabalho do SmartPools for executado, as configurações que você selecionou serão aplicadas a todos os arquivos que não estiverem cobertos por outra política de pool de arquivos.

Configurações padrão de otimização de I/O dos pools de arquivosVocê pode gerenciar as configurações de otimização de I/O que são usadas na política padrão de pools de arquivos, que pode incluir arquivos com atributos gerenciados manualmente.

Para ativar o SmartPools para sobregravar as configurações de otimização que foram definidas pelo File System Explorer ou pelo comando isi set, selecione a opção Including files with manually-managed I/O optimization settings no grupo Default Protection Settings. Na CLI, use a opção --automatically-manage-io-optimization com o comando isi storagepool settings modify.

Configuração (Web Admin)

Configuração (CLI) Descrição Observações

Write Performance --enable-coalescer Ativa ou desativa o SmartCache (também chamado de aglutinador (coalescer)).

Enable SmartCache é a configuração recomendada para um desempenho ideal das gravações. Com gravações assíncronas, o servidor do Isilon armazena as gravações em buffer na memória. No entanto, se deseja desativar esse buffering, recomendamos que você configure seus aplicativos para usar gravações síncronas. Se isso não for possível, desative o SmartCache.

Data Access Pattern --data-access-pattern

Define as configurações de otimização para acessar tipos de dados simultâneos, aleatórios ou de fluxo contínuo.

De modo padrão, os arquivos e diretórios usam um padrão de acesso simultâneo. Para otimizar o desempenho, selecione o padrão estabelecido por seu workflow. Por exemplo, um workflow com uso intenso de edição de vídeo deve ser configurado para Optimize for streaming access. Esse workflow sofreria se o padrão de acesso a dados fosse configurado para Optimize for random access.

Modificar uma política de pool de arquivosVocê pode modificar uma política de pool de arquivos.

CUIDADO: Se as políticas de pool de arquivos existentes direcionarem os dados para um pool de armazenamento

específico, não defina outras políticas de pool de arquivos com anywhere para a opção Data storage target. Já que o pool

de armazenamento especificado é incluído quando você usa a opção anywhere, defina os pools de armazenamento

específicos como destino para evitar locais não intencionais de armazenamento de arquivos.

1. Clique em File System > Storage Pools > File Pool Policies.

2. Na lista File Pool Policies, ao lado da política que você deseja modificar, clique em View/Edit.A caixa de diálogo View File Pool Policy Details é exibida.

3. Clique em Edit Policy.A caixa de diálogo Edit File Pool Policy Details é exibida.

4. Modifique as configurações de política e clique em Save Changes.

5. Clique em Close na caixa de diálogo View File Pool Policy Details.

As alterações na política de pool de arquivos serão aplicadas quando o próximo trabalho do SmartPools for executado. Você também pode iniciar o trabalho do SmartPools manualmente para executar imediatamente a política.

Priorizar uma política de pool de arquivosVocê pode alterar a prioridade das políticas personalizadas de pools de arquivos. As políticas de pool de arquivos são classificadas em ordem decrescente de acordo com sua posição na lista de políticas de pool de arquivos.

Por padrão, as novas políticas são apresentadas imediatamente acima da política de pool de arquivos padrão, que está sempre por último na lista e, portanto, com prioridade inferior. Você pode atribuir a uma política personalizada uma prioridade mais alta ou mais baixa movendo-a para cima ou para baixo na lista.

338 Pools de armazenamento

1. Clique em File System > Storage Pools > File Pool Policies.

A guia File Pool Policies exibe duas listas: File Pool Policies e Policy Templates.

2. Na lista File Pool Policies, na coluna Order, clique no ícone de seta ao lado da política para movê-la para cima ou para baixo na ordem de prioridade.

3. Repita a etapa acima para cada política cuja prioridade você deseja alterar.

Quando o trabalho do sistema do SmartPools for executado, ele processará as políticas de pool de arquivos na ordem de prioridade. A política de pool de arquivos padrão será aplicada a todos os arquivos que não corresponderem a nenhuma outra política.

Criar uma política de pool de arquivos a partir de um modeloVocê pode criar uma nova política de pool de arquivos a partir de um modelo de política. Os modelos são pré-configurados para workflows comuns, como o arquivamento de arquivos antigos ou o gerenciamento de máquinas virtuais (arquivos .vmdk).

1. Clique em File System > Storage Pools > File Pool Policies.A guia File Pool Policies fornece duas listas: File Pool Policies e Policy Templates.

2. Na lista Policy Templates, ao lado do nome do modelo que você deseja usar, clique em View/Use Template.A caixa de diálogo View File Pool Policy Template Details é aberta.

3. Clique em Use Template.A caixa de diálogo Create a File Pool Policy é aberta.

4. Necessário: Especifique um nome e uma descrição de política e modifique as configurações da política.

5. Clique em Save Changes.

A nova política personalizada é adicionada à lista File Pool Policies diretamente acima da política padrão.

Excluir uma política de pool de arquivosVocê pode excluir qualquer política de pool de arquivos exceto a política padrão.

Quando você exclui uma política de pool de arquivos, seu pool de arquivos será controlado por outra política ou pela política padrão de pools de arquivos na próxima execução do trabalho do SmartPools.

1. Clique em File System > Storage Pools > File Pool Policies.

A guia File Pool Policies exibe duas listas: File Pool Policies e Policy Templates.

2. Na lista File Pool Policies, ao lado da política que deseja excluir, clique em Delete.

3. Na caixa de diálogo Confirm Delete, clique em Delete.

A política de pool de arquivos é removida da lista File Pool Policies.

Monitorando os pools de armazenamentoVocê pode acessar informações sobre a integridade e o uso dos pools de armazenamento.

As seguintes informações estão disponíveis:

• Integridade das políticas de pools de arquivos• Verificação do SmartPools, inclusive níveis, pools de nós e subpools• Para cada pool de armazenamento, a porcentagem de utilização do espaço em disco HDD e SSD• Status do trabalho do SmartPools

Monitorar pools de armazenamentoVocê pode visualizar o status de políticas de pools de arquivos, do SmartPools e de configurações.

1. Clique em File System > Storage Pools > Summary.

A guia Summary exibe duas áreas: a lista Status e o gráfico Local Storage Usage.

2. Na lista Status, verifique o status das políticas, dos SmartPools e das configurações SmartPools.

Pools de armazenamento 339

3. Opcional: Se o status de um item for diferente de Good, você poderá clicar em View Details para visualizar e corrigir quaisquer problemas.

4. Na área Local Storage Usage, consulte as estatísticas associadas a cada pool de nós.

Se a utilização do pool de nós não estiver equilibrada, por exemplo, talvez seja recomendável modificar suas políticas de pool de arquivos.

Exibir a integridade dos subpoolsO OneFS expõe subpools com problema de integridade em uma lista de modo que você possa corrigir todos os problemas.

Um subpool também é conhecido como um pool de discos, um conjunto de discos que faz parte de um pool de nós.

1. Clique em File System > Storage Pools > SmartPools.

O guia SmartPools exibe três agrupamentos: Tiers & Node Pools, Compatibilities e Subpools Health.

2. Na área Subpools Health, analise os detalhes de todos os subpools com problemas de integridade e mitigue-os.

Exibir os resultados de um trabalho SmartPoolsÉ possível analisar os resultados detalhados da última vez em que o trabalho do SmartPools foi executado.

1. Clique em Cluster Management > Job Operations > Job Reports.

A guia Jobs Reports exibe uma lista de relatórios de trabalhos.

2. Na lista Job Reports, na coluna Type, localize o trabalho mais recente do SmartPools e clique em View Details.A caixa de diálogo View Job Report Details é aberta, exibindo o relatório do trabalho.

3. Role ao relatório para visualizar os resultados de cada política de pool de arquivos.

4. Ao concluir, clique em Close na caixa de diálogo View Job Report Details.

340 Pools de armazenamento

Trabalhos do sistemaEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral dos trabalhos do sistema• Biblioteca de trabalhos do sistema• Operação dos trabalhos• Impacto do desempenho dos trabalhos• Prioridades dos trabalhos• Gerenciando os trabalhos do sistema• Gerenciando políticas de impacto• Exibindo relatórios e estatísticas dos trabalhos

Visão geral dos trabalhos do sistemaA função mais essencial do OneFS é manter a integridade dos dados no cluster Isilon. Outras funções importantes de manutenção incluem monitoramento e otimização do desempenho, detectando e mitigando falhas em drives e nós, e a liberação de espaço disponível.

Como as funções de manutenção usam recursos do sistema e podem levar horas para serem executadas, o OneFS as executa como trabalhos em segundo plano com um serviço chamado mecanismo de trabalhos. O tempo necessário para que um trabalho seja executado pode variar muito dependendo de vários fatores. Isso inclui outros trabalhos do sistema que estejam em execução ao mesmo tempo, outros processos que estejam ocupando mais ciclos de CPU e I/O durante a execução dos trabalhos, a configuração do cluster, o tamanho do conjunto de dados e o tempo transcorrido desde a execução da última iteração do trabalho.

Até três trabalhos podem ser executados simultaneamente. Para garantir que os trabalhos de manutenção não afetem a produtividade nem entrem em conflito, o mecanismo de trabalhos os categoriza, os executa com prioridade e níveis de impacto diferentes e pode suspendê-los temporariamente (sem perda de progresso) para garantir a continuidade de trabalhos com prioridade mais elevada e tarefas do administrador.

Em caso de falta de energia, o mecanismo de trabalhos usa um sistema de checkpoints para retomar os trabalhos com a máxima proximidade do ponto em que foram interrompidos. O sistema de checkpoint ajuda o mecanismo de trabalhos a controlar as fases dos trabalhos e as tarefas que já foram concluídas. Quando o cluster volta a funcionar, o mecanismo de trabalhos reinicia o trabalho no começo da fase ou da tarefa que estava em andamento quando a falta de energia ocorreu.

Como administrador do sistema, por meio do serviço mecanismo de trabalhos, você pode monitorar, programar, executar, encerrar e aplicar outros controles aos trabalhos de manutenção do sistema. O mecanismo de trabalho fornece ferramentas de estatística e geração de relatórios que você pode usar para determinar o tempo necessário para a execução de diferentes trabalhos do sistema no ambiente do OneFS.

NOTA: Para iniciar tarefas do mecanismo de trabalhos, você deve ter a função SystemAdmin no sistema do OneFS.

Biblioteca de trabalhos do sistemaO OneFS contém uma biblioteca de trabalhos do sistema que é executada em segundo plano para ajudar a manter seu cluster do Isilon. Por padrão, os trabalhos do sistema são categorizados como manuais ou agendados. No entanto, você pode executar qualquer trabalho manualmente ou agendar qualquer trabalho para ser executado periodicamente de acordo com seu workflow. Além disso, o OneFS inicia alguns trabalhos automaticamente quando surgirem condições específicas do sistema — por exemplo, o FlexProtect e o FlexProtectLin, que são iniciados quando uma unidade é submetida a smartfail.

Nome do trabalho Descrição Conjunto de exclusões

Política de impacto

do incidente

Operação

AutoBalance Equilibra o espaço livre em um cluster e é mais eficiente em clusters que contêm somente HDDs (Hard Disk Drives, unidades de disco

Restripe Baixa 4 Manual

24

Trabalhos do sistema 341

Nome do trabalho Descrição Conjunto de exclusões

Política de impacto

do incidente

Operação

rígido). Execute como parte do MultiScan ou automaticamente pelo sistema quando um dispositivo se associar (ou reingressar) ao cluster.

AutoBalanceLin Equilibra o espaço livre em um cluster e é mais eficiente nos clusters quando os metadados do file system são armazenados em SSDs (Solid State Drives). Execute como parte do MultiScan ou automaticamente pelo sistema quando um dispositivo se associar (ou reingressar) ao cluster.

Restripe Baixa 4 Manual

AVScan Faz uma verificação antivírus em todos os arquivos.

Nenhum Baixa 6 Manual

ChangelistCreate Cria uma lista de alterações entre dois snapshots com caminhos de root correspondentes. Você pode especificar esses snapshots na CLI.

Nenhum Baixa 5 Manual

Coletar Recupera o espaço livre que, anteriormente, não pôde ser liberado porque o nó ou a unidade estava indisponível. Execute como parte do MultiScan ou automaticamente pelo sistema quando um dispositivo se associar (ou reingressar) ao cluster.

Mark Baixa 4 Manual

Dedupe* Analisa um diretório em busca de blocks de dados redundantes e desduplica todos os dados redundantes armazenados no diretório. Disponível somente se você ativar uma licença do SmartDedupe.

Nenhum Baixa 4 Manual

DedupeAssessment Analisa um diretório em busca de blocks de dados redundantes e relata uma estimativa do tamanho do espaço que pode ser economizado pela desduplicação do diretório.

Nenhum Baixa 6 Manual

DomainMark Associa um caminho, e o conteúdo desse caminho, a um domínio.

Nenhum Baixa 5 Manual

FlexProtect Analisa o file system após uma falha de dispositivo para garantir que todos os arquivos permaneçam protegidos. O FlexProtect é mais eficiente em clusters que contenham somente HDDs. Enquanto houver uma falha de dispositivo em um cluster, somente o trabalho do FlexProtect (ou FlexProtectLin) poderá ser executado. Dependendo do tamanho de seu conjunto de dados, esse processo pode durar um longo período. Será considerado que o cluster tenha um estado degradado até que o FlexProtect (ou FlexProtectLin) conclua seu trabalho. Se você observar que outros trabalhos do sistema não podem ser iniciados ou foram pausados, é possível usar o comando isi job status --verbose para verificar se a mensagem "Cluster Is Degraded" é exibida.

NOTA: Ao contrário de HDDs e SSDs que são usados para armazenamento, quando um SSD usado para o cache L3 apresenta falha, o estado da unidade deve ser alterado imediatamente para

Restripe Médio 1 Manual

342 Trabalhos do sistema

Nome do trabalho Descrição Conjunto de exclusões

Política de impacto

do incidente

Operação

REPLACE sem um trabalho FlexProtect em execução. Uma unidade SSD usada para o cache L3 contém somente dados em cache que não precisam ser protegidos pelo FlexProtect. Depois que o estado da unidade mudar para REPLACE, você poderá obter e substituir o SSD com falha.

FlexProtectLin Analisa o file system após uma falha de dispositivo para garantir que todos os arquivos permaneçam protegidos. Esse comando é mais eficiente quando os metadados do file system estão armazenados em SSDs. Nesse caso, execute o FlexProtectLin em vez do FlexProtect.

Restripe Médio 1 Manual

FSAnalyze* Coleta e relata informações sobre todos os arquivos e diretórios abaixo do caminho /ifs. Esse trabalho exige que você ative uma licença do InsightIQ. Os relatórios deste trabalho são usados pelos usuários do InsightIQ para fins de análise do sistema. Para obter mais informações, consulte o Guia do Usuário do Isilon InsightIQ.

Nenhum Baixa 1 Agendado

IntegrityScan Verifica a integridade do file system. Mark Médio 1 Manual

MediaScan Localiza e limpa erros em nível de mídia dos discos para garantir que todos os dados permaneçam protegidos.

Restripe Baixa 8 Agendado

MultiScan Realiza o serviço dos trabalhos AutoBalance e Collect simultaneamente.

Restripe

Mark

Baixa 4 Manual

PermissionRepair Usa um arquivo ou diretório de modelo como base para as permissões que serão definidas em um arquivo ou diretório de destino. O diretório de destino deve sempre ser subordinado ao caminho /ifs. Este trabalho deve ser iniciado manualmente.

Nenhum Baixa 5 Manual

QuotaScan* Atualiza a contabilidade de cotas dos domínios criados em uma árvore de arquivos existente. Disponível somente se você ativar uma licença do SmartQuotas. Este trabalho deve ser executado manualmente fora do horário comercial após a configuração de todas as cotas e sempre que for feita a configuração de novas cotas.

Nenhum Baixa 6 Manual

SetProtectPlus Aplica uma política padrão de arquivos no cluster. Somente é executado se uma licença do SmartPools não estiver ativa.

Restripe Baixa 6 Manual

ShadowStoreDelete Libera o espaço associado a uma área de armazenamento invisível. Áreas de armazenamento de sombra são arquivos ocultos referenciados por arquivos clonados e desduplicados.

Nenhum Baixa 2 Agendado

ShadowStoreProtect Protege a área de armazenamento invisível que é mencionada por um LIN (Logical I-Node) com um nível mais alto de proteção.

Nenhum Baixa 6 Agendado

Trabalhos do sistema 343

Nome do trabalho Descrição Conjunto de exclusões

Política de impacto

do incidente

Operação

SmartPools* Impõe as políticas de pool de arquivos do SmartPools. Disponível somente se você ativar uma licença do SmartPools. Este trabalho é executado com base em um agendamento regular e também pode ser iniciado pelo sistema quando uma alteração for feita (por exemplo, criação de uma compatibilidade que mescla os pools de nós).

Restripe Baixa 6 Agendado

SnapRevert Inverte todo um snapshot. Nenhum Baixa 5 Manual

SnapshotDelete Cria o espaço livre associado aos snapshots excluídos. Acionado pelo sistema quando você marca snapshots para exclusão.

Nenhum Médio 2 Manual

TreeDelete Exclui um caminho de arquivo especificado no diretório /ifs.

Nenhum Médio 4 Manual

Upgrade Faz o upgrade do file system após o upgrade de uma versão de software.

NOTA: O trabalho Upgrade somente deve ser executado quando você estiver atualizando seu cluster com uma versão de software principal. Para obter todas as informações, consulte o Guia de Processo e Planejamento de Upgrade do OneFS.

Restripe Médio 3 Manual

WormQueue Processa a fila WORM, que rastreia os tempos de confirmação dos arquivos WORM. Depois que um arquivo for confirmado para o estado WORM, ele será removido da fila.

Nenhum Baixa 6 Agendado

* Disponível somente se você ativar uma licença adicional

Operação dos trabalhosO OneFS inclui trabalhos de manutenção do sistema que são executados para garantir que seu cluster do Isilon apresente o máximo de integridade. Via o Mecanismo de trabalho, o OneFS executa um subconjunto desses trabalhos automaticamente, conforme necessário, para garantir a integridade dos arquivos e dos dados, verificar e reduzir as falhas dos nós e dos drives, além de otimizar o espaço livre. Para outros trabalhos, como o Dedupe, você pode usar o Mecanismo de trabalho para iniciá-los manualmente ou para agendá-los para execução automática em intervalos regulares.

O Mecanismo de trabalho executa os trabalhos de manutenção em segundo plano e impede que os trabalhos com a mesma classificação (conjunto de exclusões) sejam executados simultaneamente. Dois conjuntos de exclusões são impostos: restripe e mark.

Os tipos de trabalho restripe são:

• AutoBalance• AutoBalanceLin• FlexProtect• FlexProtectLin• MediaScan• MultiScan• SetProtectPlus• SmartPools

Os tipos de trabalho mark são:

• Coletar• IntegrityScan• MultiScan

344 Trabalhos do sistema

Observe que MultiScan é membro dos conjuntos de exclusões restripe e mark. Não é possível alterar o parâmetro de um conjunto de exclusões de um tipo de trabalho.

O Mecanismo de trabalho também é sensível à prioridade do trabalho, e pode executar até três trabalhos de qualquer prioridade simultaneamente. A prioridade dos trabalhos é indicada como 1-10, onde 1 é a maior prioridade e, 10, a menor. O sistema usa a prioridade dos trabalhos quando surge um conflito entre os trabalhos enfileirados ou em execução. Por exemplo, se você iniciar manualmente um trabalho que tenha mais prioridade que os três outros trabalhos que já estão em execução, o Mecanismo de trabalho pausa o trabalho ativos de menor prioridade, executa o novo trabalho e reinicia o trabalho mais antigo do ponto em que ele foi pausado. Da mesma forma, se você iniciar um trabalho do conjunto de exclusões restripe, e outro trabalho de restripe já estiver em execução, o sistema usa a prioridade para determinar qual trabalho deve ser executado (ou continuar em execução) e qual deve ser pausado (ou continuar pausado).

Outros parâmetros de trabalhos determinam se os trabalhos são ativados, seu impacto sobre o desempenho e o agendamento. Como administrador do sistema, você pode aceitar os padrões dos trabalhos ou ajustar esses parâmetros (exceto para os conjuntos de exclusões) com base em seus requisitos.

Quando um trabalho começa, o Mecanismo de trabalho distribui os segmentos do trabalho — fases e tarefas — nos nós de seu cluster. Um nó age como o coordenador do trabalho e trabalha de modo contínuo com os outros nós para fazer o balanceamento de carga do trabalho. Dessa forma, nenhum nó é sobrecarregado e os recursos do sistema permanecem disponíveis para as outras atividades de administradores e de I/O do sistema que não forem originadas do Mecanismo de trabalho.

Depois de concluir uma tarefa, cada nó informa o status da tarefa ao coordenador do trabalho. O nó que atua como o coordenador do trabalho salva essas informações de status da tarefa em um arquivo de checkpoint. Portanto, no caso de falta de energia ou de pausa, um trabalho sempre pode ser reiniciado do ponto no qual ele foi interrompido. Isso é importante porque alguns trabalhos podem levar horas para serem executados e podem usar recursos consideráveis do sistema.

Referências relacionadas

Biblioteca de trabalhos do sistema

Impacto do desempenho dos trabalhosO serviço do Mecanismo de trabalho monitora o desempenho do sistema para garantir que os trabalhos de manutenção não interfiram significativamente na atividade regular de I/O do cluster e em outras tarefas de administração do sistema. O Mecanismo de trabalho usa políticas de impacto que você pode gerenciar para controlar quando um trabalho pode ser executado e os recursos do sistema que ele consome.

O Mecanismo de trabalho tem quatro políticas de impacto padrão que você pode usar, mas não modificar. As políticas de impacto padrão são:

Política de impacto Pode ser executada Consumo de recursos

LOW Qualquer hora do dia. Baixo

MEDIUM Qualquer hora do dia. Médio

HIGH Qualquer hora do dia. Alto

OFF_HOURS Fora do horário comercial. O horário comercial é definido como das 9h às 17h, de segunda a sexta-feira. A OFF_HOURS é interrompida durante o horário comercial.

Baixo

Se você deseja especificar uma política de impacto que não seja padrão para um trabalho, é possível criar uma política personalizada com novas configurações.

Os trabalhos com uma política de baixo impacto causam menos impacto sobre os recursos disponíveis de CPU e I/O de disco. Os trabalhos com uma política de alto impacto causam um impacto significativamente maior. Em todos os casos, entretanto, o Mecanismo de trabalho usa algoritmos de controle de fluxo da CPU e do disco para garantir que as tarefas que você iniciar manualmente, e outras tarefas de I/O não relacionadas ao Mecanismo de trabalho, tenham maior prioridade.

Conceitos relacionados

Gerenciando políticas de impacto

Trabalhos do sistema 345

Prioridades dos trabalhosAs prioridades dos trabalhos determinam qual trabalho tem prioridade quando mais de três trabalhos de conjuntos de exclusão diferentes tentarem ser executados simultaneamente. O Mecanismo de trabalho atribui um valor de prioridade entre 1 e 10 para cada trabalho, onde 1 é o mais importante e, 10, o menos importante.

O número máximo de trabalhos que podem ser executados simultaneamente é três. Se um quarto trabalho com prioridade mais alta for iniciado, seja manualmente ou via um evento do sistema, o Mecanismo de trabalho pausa um dos processos de menor prioridade que estiver em execução atualmente. O Mecanismo de trabalho coloca o trabalho pausado em uma fila de prioridade e o retoma automaticamente quando um dos outros trabalhos é concluído.

Se dois trabalhos com o mesmo nível de prioridade forem agendados para serem executados simultaneamente, e outros dois trabalhos com maior prioridade já estiverem em execução, o primeiro trabalho que foi colocado na fila é executado em primeiro lugar.

Gerenciando os trabalhos do sistemaO Mecanismo de trabalho permite que você controle as tarefas periódicas de manutenção do sistema que garantem a estabilidade e a integridade do file system do OneFS. À medida que os trabalhos de manutenção são executados, o Mecanismo de trabalho os monitora constantemente e reduz seu impacto sobre o desempenho geral do cluster.

Como administrador do sistema, você pode personalizar esses trabalhos para o workflow específico de seu cluster do Isilon. Você pode exibir os trabalhos ativos e as configurações 'job history' e 'modify job' e iniciar, pausar, retomar, cancelar e atualizar as instâncias dos trabalhos.

Exibir trabalhos ativosSe você observar uma resposta mais lenta do sistema ao executar tarefas administrativas, poderá visualizar os trabalhos que estão em execução no cluster Isilon.

1. Clique em Cluster Management > Job Operations > Job Summary.

2. Na tabela Active Jobs, visualize as informações de status sobre todos os trabalhos em execução no momento, as configurações do trabalho e detalhes do andamento.

a) Você pode executar ações em massa nos trabalhos ativos marcando a caixa de seleção Status e, em seguida, selecionando a lista drop-down Select a bulk action.

Referências relacionadas

Biblioteca de trabalhos do sistema

Exibir histórico de trabalhosSe você quiser verificar a última vez que um trabalho crítico foi executado, poderá visualizar a atividade recente de um trabalho específico ou de todos os trabalhos.

1. Clique em Cluster Management > Job Operations > Job Reports.

A tabela Job Reports exibe uma lista cronológica dos eventos de trabalho ocorridos no cluster. As informações de eventos incluem a hora em que o evento ocorreu, o trabalho responsável pelo evento e os resultados do evento.

2. Filtre os relatórios por tipo de trabalho selecionando o trabalho na lista drop-down Filter by Job Type.

3. Clique em View Details ao lado do nome de um trabalho para visualizar os eventos recentes somente desse trabalho.

Os eventos recentes do trabalho são exibidos na janela View Job Report Details e incluem informações como hora de início, duração e se o trabalho foi ou não executado com sucesso.

Referências relacionadas

Biblioteca de trabalhos do sistema

Iniciar um trabalhoPor padrão, apenas algumas tarefas de manutenção do sistema ficam programadas para execução automática. No entanto, você pode iniciar qualquer trabalho manualmente a qualquer momento.

346 Trabalhos do sistema

1. Clique em Cluster Management > Job Operations > Job Types.

2. Na lista Job Types, localize o trabalho que deseja iniciar e, em seguida, clique em Start Job.A caixa de diálogo Start a Job será exibida.

3. Especifique os detalhes do trabalho e clique em Start Job.

Referências relacionadas

Biblioteca de trabalhos do sistema

Pausar um trabalhoÉ possível pausar um trabalho temporariamente para liberar recursos do sistema.

1. Clique em Cluster Management > Job Operations > Job Summary.

2. Na tabela Active Jobs ativo, clique em More para o trabalho que você deseja pausar.

3. Clique em Pause Running Job no menu exibido.O trabalho permanecerá pausado até que seja retomado.

Referências relacionadas

Biblioteca de trabalhos do sistema

Retomar um trabalhoVocê pode retomar um trabalho pausado.

1. Clique em Cluster Management > Job Operations > Job Summary.

2. Na tabela Active Jobs ativo, clique em More para o trabalho que você deseja pausar.

3. Clique em Resume Running Job no menu exibido.

O trabalho prossegue da fase ou da tarefa em que foi pausado.

Referências relacionadas

Biblioteca de trabalhos do sistema

Cancelar um trabalhoSe você desejar liberar recursos do sistema ou tiver qualquer outro motivo, poderá interromper permanentemente um trabalho em execução, pausado ou em espera.

1. Clique em Cluster Management > Job Operations > Job Summary.

2. Na tabela Active Jobs ativo, clique em More para o trabalho que você deseja cancelar.

3. Clique em Cancel Running Job no menu exibido.

Referências relacionadas

Biblioteca de trabalhos do sistema

Atualizar um trabalhoVocê pode alterar a prioridade e a política de impacto de um trabalho em execução, em espera ou pausado.

Ao atualizar um trabalho, apenas a instância atual dele será executada com as configurações atualizadas. A próxima instância do trabalho retoma as configurações padrão para esse trabalho.

NOTA: Para alterar permanentemente as configurações do trabalho, consulte "Modificar as configurações do tipo de

trabalho".

1. Clique em Cluster Management > Job Operations > Job Summary.

2. Na tabela Active Jobs, clique em View/Edit para o trabalho que você deseja atualizar.

3. Necessário: Na janela View Active Job Details, clique em Edit Job.

Trabalhos do sistema 347

a) Selecione um novo nível de prioridade na lista drop-down Priority.b) Selecione um nível de política de impacto na lista drop-down Impact Policy.

4. Clique em Save Changes.

Ao criar um trabalho em execução, o trabalho será retomado automaticamente. Ao atualizar um trabalho pausado ou ocioso, ele permanecerá nesse estado até ser reiniciado.

Referências relacionadas

Biblioteca de trabalhos do sistema

Modificar as configurações do tipo de trabalhoVocê pode personalizar trabalhos de manutenção do sistema para o workflow administrativo modificando o nível de prioridade padrão, o nível de impacto e o agendamento de um tipo de trabalho.

1. Clique em Cluster Management > Job Operations > Job Types.

2. Na tabela Job Types, localize a linha da política que você deseja copiar e clique em View/Edit.

A janela View Job Type Details é exibida, mostrando as configurações padrão atuais, o agendamento, o estado atual e a atividade recente.

3. Clique em Edit Job Type. A janela Edit Job Type Details é exibida.

4. Modifique os detalhes que você deseja alterar. Você pode modificar a prioridade padrão, a política de impacto padrão, se o trabalho está habilitado e se o trabalho é executado manualmente ou em um agendamento.

5. Clique em Scheduled para modificar um agendamento de tarefas e, em seguida, selecione a opção de agendamento na lista drop-down.

6. Clique em Save Changes.As modificações são salvas e aplicadas a todas as instâncias desse tipo de trabalho. Os resultados são mostrados na janela View Job Type Details.

7. Clique em Close.

Referências relacionadas

Biblioteca de trabalhos do sistema

Gerenciando políticas de impactoPara os trabalhos de manutenção do sistema que são executados via serviço Mecanismo de trabalho, você pode criar e atribuir as políticas que ajudam a controlar o modo como os trabalhos afetam o desempenho do sistema.

Como administrador do sistema, você pode criar, copiar, modificar e excluir as políticas de impacto e exibir suas configurações.

Conceitos relacionados

Impacto do desempenho dos trabalhos

Criar uma política de impactoO mecanismo de trabalho inclui quatro políticas de impacto, que não é possível alterar nem excluir. No entanto, você pode criar e configurar novas políticas de impacto.

1. Clique em Cluster Management > Job Operations > Impact Policies.

2. Clique em Add an Impact Policy.

A janela Create Impact Policy é exibida.

3. No campo Name, digite um nome para a política. Este campo é obrigatório.

4. Necessário: No campo de texto Description, digite um comentário sobre a política de impacto.

Inclua informações específicas da política de impacto como os parâmetros de agendamento exclusivos ou os requisitos de logística que tornam a política de impacto necessária.

5. Clique em Add an Impact Policy Interval.

a) Na janela Add an Impact Policy Interval, selecione o nível de impacto e as horas de início e término nas listas drop-down.

348 Trabalhos do sistema

b) Clique em Add Impact Policy Interval.

A janela Add an Impact Policy Interval é fechada, e as configurações selecionadas são exibidas na tabela Impact Schedule.

6. Clique em Create Impact Policy.A cópia da política de impacto é salva e listada em ordem alfabética na tabela Impact Policies.

Conceitos relacionados

Impacto do desempenho dos trabalhos

Copiar uma política de impactoÉ possível usar uma política de impacto padrão como modelo para uma nova política fazendo e modificando uma cópia.

1. Clique em Cluster Management > Job Operations > Impact Policies.

2. Na tabela Impact Policies, localize a linha da política que você deseja copiar e clique em More > Copy Impact Policy. A janela Copy Impact Policy é exibida.

3. No campo Name, digite um nome para a nova política.

4. No campo de texto Description, apresente uma descrição para a nova política.

Inclua informações específicas da política de impacto como os parâmetros de agendamento exclusivos ou os requisitos de logística que tornam a política de impacto necessária.

5. Clique em Add an Impact Policy Interval.

a) Na janela Add an Impact Policy Interval, selecione o nível de impacto e as horas de início e término nas listas drop-down.b) Clique em Add Impact Policy Interval.

A janela Add an Impact Policy Interval é fechada, e as configurações selecionadas são exibidas na tabela Impact Schedule.

6. Clique em Copy Impact Policy.A cópia da política de impacto é salva e listada em ordem alfabética na tabela Impact Policies.

Conceitos relacionados

Impacto do desempenho dos trabalhos

Modificar uma política de impactoVocê pode alterar o nome, a descrição e os intervalos de impacto de uma política de impacto personalizada.

Não é possível modificar as políticas de impacto padrão, HIGH, MEDIUM, LOW e OFF_HOURS. Se quiser modificar uma política, crie e modifique uma cópia de uma política padrão.

1. Acesse Cluster Management > Job Operations > Impact Policies.

2. Na tabela Impact Policies, clique em View / Edit para a política que você deseja modificar.A janela Edit Impact Policy é exibida.

3. Clique em Edit Impact Policy e modifique um ou todos os seguintes itens:

Descrição da política a. No campo Description, digite uma nova visão geral para a política de impacto.b. Clique em Submit.

Agendamento de impacto a. Na área Impact Schedule, modifique o agendamento da política de impacto adicionando, editando ou excluindo intervalos de impacto.

b. Clique em Save Changes.

A política de impacto modificada é salva e listada em ordem alfabética na tabela Impact Policies.

Conceitos relacionados

Impacto do desempenho dos trabalhos

Excluir uma política de impactoVocê pode excluir as políticas de impacto que você criou.

Trabalhos do sistema 349

Não é possível excluir as políticas de impacto padrão, HIGH, MEDIUM, LOW e OFF_HOURS.

1. Clique em Cluster Management > Job Operations > Impact Policies.

2. Na tabela Impact Policies, localize a política personalizada de impacto que deseja excluir e, depois, clique em More > Delete.A caixa de diálogo Confirm Delete será exibida.

3. Clique em Delete.

Conceitos relacionados

Impacto do desempenho dos trabalhos

Exibir configurações da política de impactoVocê pode visualizar as configurações de política de impacto de todos os trabalhos.

1. Clique em Cluster Management > Job Operations > Job Types.A tabela Job Types é exibida.

2. Se necessário, percorra a tabela Job Types para localizar um trabalho específico.As configurações de política de impacto dos trabalhos são mostradas na tabela Job Types.

Conceitos relacionados

Impacto do desempenho dos trabalhos

Exibindo relatórios e estatísticas dos trabalhosVocê pode gerar relatórios dos trabalhos do sistema e exibir as estatísticas para determinar melhor os volumes de recursos do sistema que estão sendo usados.

A maioria dos trabalhos do sistema controlados pelo Mecanismo de trabalho é executada com baixa prioridade e com uma política de baixo impacto e, geralmente, não causa um impacto significativo sobre o desempenho do cluster.

Alguns trabalhos, devido às funções críticas que executam, são executados com maior prioridade e com uma política de médio impacto. Esses trabalhos incluem o FlexProtect e o FlexProtect Lin, o FSAnalyze, o SnapshotDelete e o TreeDelete.

Como um administrador do sistema, se você estiver preocupado com o impacto um trabalho do sistema sobre o desempenho do cluster, você pode exibir as estatísticas e os relatórios desse trabalho. Essas ferramentas permitem que você exiba informações detalhadas sobre a carga do trabalho, inclusive a utilização de CPU e de memória e as operações de I/O.

Exibir as estatísticas de um trabalho em andamentoÉ possível exibir as estatísticas de um trabalho em andamento.

1. Clique em Cluster Management > Job Operations > Job Summary.

Você pode exibir os trabalhos que estão na área Active Jobs.

2. Clique na opção View/Edit à direita da entrada do trabalho.

A tela View Active Jobs Details é aberta, na qual você pode visualizar estatísticas, como dados processados, o tempo decorrido, a fase e o andamento, inclusive uma estimativa do tempo restante para que o trabalho seja concluído.

Exibir um relatório para um trabalho concluídoApós o término do trabalho, é possível visualizar um relatório sobre o trabalho.

Só haverá relatório disponível após o término do trabalho.

1. Clique em Cluster Management > Job Operations > Job Reports.

A página Job Reports será exibida.

2. Localize o trabalho cujo relatório você deseja visualizar.

3. Clique em View Details.A tela View Job Report Details é exibida, contendo as estatísticas do trabalho como o tempo decorrido, a utilização de CPU e memória e operações totais de I/O.

4. Ao terminar de ler o relatório, clique em Close.

350 Trabalhos do sistema

Sistema de redeEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral do sistema de rede• Sobre a rede interna• Sobre a rede externa• Configurando a rede interna• Gerenciando groupnets• Gerenciando as sub-redes de rede externa• Gerenciando os pools de endereços IP• Gerenciando as configurações do SmartConnect• Gerenciando os membros da interface de rede• Gerenciando regras de provisionamento de nós• Gerenciando opções de roteamento• Gerenciando configurações de cache do DNS• Gerenciando portas TCP

Visão geral do sistema de redeDepois que você determinar a topologia de sua rede, é possível configurar e gerenciar suas redes internas e externas.

Existem dois tipos de redes em um cluster:

Interno Os nós comunicam-se entre si usando uma rede InfiniBand de alta velocidade e baixa latência. Você tem a opção de configurar uma segunda rede InfiniBand para ativar o failover para redundância.

External Os clients se conectam ao cluster via rede externa com Ethernet. O cluster do Isilon dá suporte aos protocolos padrão de comunicação de rede, inclusive NFS, SMB, HDFS, HTTP e FTP. O cluster contém várias conexões externas de Ethernet, oferecendo flexibilidade para uma grande variedade de configurações de rede.

Sobre a rede internaUm cluster deve se conectar a pelo menos um comutador InfiniBand de alta velocidade e baixa latência para comunicação interna e transferência de dados. A conexão com o switch InfiniBand também é chamada de rede interna. A rede interna é separada da rede externa (Ethernet) pela qual os usuários acessam o cluster.

Após a configuração inicial de seu cluster, o OneFS cria uma rede interna inicial para o switch InfiniBand. A interface com a rede interna padrão é a int-a. Uma rede interna para um segundo switch InfiniBand pode ser adicionada para redundância e failover. O failover permite a conectividade contínua durante as falhas dos caminhos. A interface com a rede interna secundária é a int-b, que é chamada de int-b/failover na interface Web de administração.

CUIDADO: Somente os nós do Isilon devem estar conectados a seu switch InfiniBand. As informações trocadas na rede

de back-end não são criptografadas. Conectar qualquer outra coisa que não os nós do Isilon ao switch InfiniBand criará

um risco de segurança.

Intervalos dos endereços IP internosO número de endereços IP atribuídos à rede interna determina quantos nós podem ser associados ao cluster.

Ao configurar o cluster inicialmente, especifique um ou mais intervalos de endereços IP para a rede InfiniBand principal. Esse intervalo de endereços é usado pelos nós para comunicarem-se entre si. É recomendável que você crie um intervalo de endereços que seja grande o suficiente para acomodar a inclusão de nós adicionais a seu cluster.

25

Sistema de rede 351

Embora todos os clusters terão, no mínimo, uma rede InfiniBand interna (int-a), você pode ativar uma segunda rede interna para dar suporte a outro switch Infiniband com failover de rede (int-b/failover). Você deve atribuir pelo menos um intervalo de endereços IP para a rede secundária e um intervalo para failover.

Se os intervalos de endereços IP definidos durante a configuração inicial forem muito restritivos para o tamanho da rede interna, você poderá adicionar intervalos às redes int-a e int-b/failover, o que pode exigir um reinício do cluster. Outras alterações de configuração, como a exclusão de um endereço IP atribuído a um nó, também podem exigir que o cluster seja reiniciado.

Failover da rede internaVocê pode configurar um switch interno como uma rede de failover para oferecer redundância à comunicação dos clusters.

Para dar suporte a uma rede interna de failover, a porta int-a de cada nó do cluster deve estar fisicamente conectada a um dos switches Infiniband, e a porta int-b de cada nó deve estar conectada a outro switch Infiniband.

Depois que as portas estiverem conectadas, você deverá configurar dois intervalos de endereços IP; um intervalo de endereços para dar suporte às interfaces internas int-b, e um intervalo de endereços para dar suporte a failover. Os endereços de failover permitem o failover perfeito em caso de falha dos switches int-a ou int-b.

Sobre a rede externaUm computador client é conectado ao cluster pela rede externa. A configuração da rede externa é composta por groupnets, sub-redes, pools de endereços IP e apresenta regras de provisionamento de nós.

Os groupnets são o nível de configuração para o gerenciamento de vários tenants em sua rede externa. As configurações de client DNS, como nameservers e uma lista de pesquisa de DNS, são propriedades do groupnet. Os groupnets residem no nível superior da hierarquia do sistema de rede. Você pode criar uma ou mais sub-redes em um groupnet.

As sub-redes simplificam o gerenciamento de rede externa (front-end) e oferecem flexibilidade para a implementação e a manutenção da rede do cluster. Você pode criar pools de endereços IP nas sub-redes para particionar suas interfaces de rede de acordo com o tipo de workflow ou de nó.

O pool de endereços IP de uma sub-rede consiste em um ou mais intervalos de endereços IP. Os pools de endereços IP podem ser associados a interfaces de rede dos nós do cluster. As configurações de conexão do client são configuradas no nível do pool de endereços IP.

Uma sub-rede da rede externa inicial é criada durante a configuração do seu cluster com a seguinte configuração:

• Um groupnet inicial chamado de groupnet0 com as configurações globais e de saída do DNS para a lista do servidor de nome de domínio e para a lista de pesquisa de DNS, se forem fornecidas.

• Uma sub-rede inicial chamada de subnet0 com a máscara de rede, o gateway e o endereço do serviço SmartConnect especificados.• Um pool de endereços IP inicial chamado de pool0 com o intervalo de endereços IP, o nome da zona SmartConnect e a interface de

rede especificados do primeiro nó do cluster como o único membro do pool.• Uma regra de provisionamento de nós inicial chamada de rule0 que atribui automaticamente a primeira interface de rede a todos os nós

recém-adicionados ao pool0.• Adiciona a subnet0 ao groupnet0.• Adiciona o pool0 à subnet0 e o configura para usar o IP virtual da subnet0 como seu endereço do serviço SmartConnect.

GroupnetsOs groupnets residem no nível superior da hierarquia do sistema de rede e são o nível de configuração para o gerenciamento de vários tenants de sua rede externa. As configurações de client DNS, como nameservers e uma lista de pesquisa de DNS, são propriedades do groupnet. Você pode criar um groupnet separado para cada namespace de DNS que deseja usar para permitir que partes do cluster do Isilon tenham diferentes propriedades de sistema de rede para a resolução de nomes. Cada groupnet mantém seu próprio cache de DNS, que é habilitado por padrão.

Um groupnet é um recipiente que inclui sub-redes, pools de endereços IP e regras de provisionamento. Os groupnets podem conter uma ou mais sub-redes, e cada sub-rede é atribuída a um só groupnet. Cada cluster contém um groupnet padrão chamado groupnet0 que contém uma sub-rede inicial chamada subnet0, um pool de endereços IP inicial chamado pool0 e uma regra de provisionamento inicial chamada rule0.

Cada groupnet é mencionado por uma ou mais zonas de acesso. Quando você cria uma zona de acesso, pode especificar um groupnet. Se um groupnet não for especificado, a zona de acesso fará referência ao groupnet padrão. A zona de acesso padrão do sistema é automaticamente associada ao groupnet padrão. Os provedores de autenticação que se comunicam com um servidor externo, como Active Directory e LDAP, também devem fazer referência a um groupnet. Você pode especificar o provedor de autenticação com um groupnet específico; caso contrário, o provedor fará referência ao groupnet padrão. Só é possível adicionar um provedor de autenticação a

352 Sistema de rede

uma zona de acesso se elas estiverem associadas ao mesmo groupnet. Os protocolos de client, como NFS, SMB, HDFS e Swift, são compatíveis com groupnets por meio de suas zonas de acesso associadas.

Conceitos relacionados

Gerenciando groupnets

Resolução de nomes de DNS

Resolução de nomes de DNSVocê pode designar até três servidores DNS por groupnet para lidar com a resolução de nomes do DNS.

Os servidores DNS devem ser configurados como um endereço IPv4 ou IPv6. Você pode especificar até seis sufixos de DNS por groupnet; as configurações de sufixos são acrescentadas aos nomes de domínio que não sejam completos.

As configurações adicionais do servidor DNS no nível do groupnet incluem a ativação de um cache de DNS, a ativação da pesquisa do servidor e a ativação de uma resolução DNS com base em rodízio.

Tarefas relacionadas

Especificar uma sub-rede de serviço do SmartConnect

Sub-redesAs sub-redes são recipientes de sistemas de rede que permitem que você subdivida sua rede em redes IP lógicas menores.

Em um cluster, as sub-redes são criadas em um groupnet e cada sub-rede contém um ou mais pools de endereços IP. Os endereços IPv4 e IPv6 são compatíveis com o OneFS; no entanto, uma sub-rede não pode conter uma combinação de ambos. Quando você cria uma sub-rede, especifique se ela é compatível com endereços IPv4 ou IPv6.

Você pode configurar as seguintes opções ao criar uma sub-rede:

• Servidores de gateway que encaminham os pacotes de saída e a prioridade do gateway.• MTU (Maximum Transmission Unit, unidade máxima de transmissão) que as interfaces de rede da sub-rede usarão para comunicações

de rede.• Endereços do serviço SmartConnect, que é o endereço IP no qual o módulo SmartConnect monitora as solicitações de DNS dessa

sub-rede.• Marcação da VLAN para permitir que o cluster participe de várias redes virtuais.• Endereço DSR (Direct Server Return), se seu cluster contiver um switch externo de balanceamento de carga de hardware que use

DSR.

O seu modo de configuração das sub-redes de rede externa depende da topologia de sua rede. Por exemplo, em uma topologia básica de rede, na qual toda a comunicação dos nós do client ocorre por meio de conexões diretas, somente uma sub-rede externa é obrigatória. Em outro exemplo, se você quiser que os clients se conectem por endereços IPv4 e IPv6, deverá configurar várias sub-redes.

Conceitos relacionados

VLANs

Gerenciando as sub-redes de rede externa

Suporte a IPv6

Suporte a IPv6O OneFS oferece suporte aos formatos de endereço IPv4 e IPv6 em um cluster.

O IPv6 é a próxima geração de endereços IP e foi desenvolvido considerando a crescente demanda por endereços IP. A tabela a seguir descreve as diferenças entre IPv4 e IPv6.

IPv4 IPv6

Endereços de 32 bits Endereços de 128 bits

ARP (Address Resolution Protocol, protocolo de resolução de endereços)

NDP (Neighbor Discovery Protocol)

Você pode configurar o cluster do Isilon para IPv4, IPv6 ou ambos (duplo pacote de discos) no OneFS. A família de IP é configurada ao criar uma sub-rede e todos os pools de endereços IP atribuídos à sub-rede devem usar o formato selecionado.

Sistema de rede 353

Conceitos relacionados

Sub-redes

VLANsA marcação da VLAN (LAN virtual) é uma configuração opcional que permite que um cluster participe de várias redes virtuais.

Você pode particionar uma rede física em vários domínios de difusão ou VLANs. É possível ativar um cluster para que ele participe de uma VLAN que permite o suporte a várias sub-redes de cluster sem vários switches de rede; um switch físico permite várias sub-redes virtuais.

A marcação da VLAN insere um ID nos cabeçalhos dos pacotes. O switch consulta o ID para identificar a partir de qual VLAN o pacote foi originado e a qual interface de rede um pacote deve ser enviado.

Tarefas relacionadas

Habilitar ou desabilitar a marcação da VLAN

Pools de endereços IPOs pools de endereços IP são atribuídos a uma sub-rede e consistem em um ou mais intervalos de endereços IP. Você pode particionar os nós e as interfaces de rede em pools lógicos de endereços IP. Os pools de endereços IP também são usados ao configurar zonas DNS do SmartConnect e ao gerenciar conexões de client.

Cada pool de endereços IP pertence a uma só sub-rede. Vários pools para uma só sub-rede estão disponíveis somente se você ativar uma licença SmartConnect Advanced.

Os intervalos de endereços IP atribuídos a um pool devem ser exclusivos e pertencer à família de endereços IP (IPv4 ou IPv6) especificada pela sub-rede que contém o pool.

Você pode adicionar interfaces de rede aos pools de endereços IP para associar intervalos de endereços a um nó ou a um grupo de nós. Por exemplo, com base no tráfego de rede esperado, você pode optar por estabelecer um pool de endereços IP para nós de armazenamento e outro para nós aceleradores.

As configurações do SmartConnect que gerenciam as respostas das consultas de DNS e as conexões de client são definidas no nível do pool de endereços IP.

Conceitos relacionados

Gerenciando os pools de endereços IP

Agregação de linksA agregação de links, também conhecida como agregação de NIC (Network Interface Card, placa de interface da rede), combina as interfaces de rede de um nó físico em uma só conexão lógica para oferecer melhor throughput de rede.

Você pode adicionar interfaces de rede a um pool de endereços IP individualmente ou como uma agregação. O modo de agregação de links é selecionado por pool e se aplica a todas as interfaces de rede agregadas do pool de endereços IP. Ele determina como o tráfego é balanceado e roteado entre as interfaces de rede agregadas.

Conceitos relacionados

Gerenciando os membros da interface de rede

Módulo SmartConnectSmartConnect é um módulo que especifica como o servidor DNS do cluster controla as solicitações de conexão dos clients e as políticas usadas para atribuir endereços IP às interfaces de rede, inclusive failover e rebalanceamento.

As configurações e as políticas definidas para o SmartConnect são aplicadas por pool de endereços IP. Você pode definir configurações básicas e avançadas do SmartConnect.

SmartConnect BasicO SmartConnect Basic é incluso no OneFS como um recurso padrão e não exige uma licença. O SmartConnect Basic dá suporte às seguintes configurações:

• Especificação da zona do DNS

354 Sistema de rede

• Somente método de balanceamento de conexões round-robin• Sub-rede de serviço para responder às solicitações de DNS

O SmartConnect Basic permite adicionar dois endereços IP do serviço SmartConnect a uma sub-rede.

O SmartConnect Basic tem as seguintes limitações de configuração de pools de endereços IP:

• Você só pode especificar uma política de alocação estática de endereços IP.• Você não pode especificar uma política de failover de endereços IP.• Você não pode especificar uma política de rebalanceamento de endereços IP.• Você só pode atribuir dois pools de endereços IP por sub-rede da rede externa.

SmartConnect AdvancedO SmartConnect Advanced estende as configurações disponíveis do SmartConnect Basic. Ele requer uma licença ativa. O SmartConnect Advanced dá suporte às seguintes configurações:

• Round-robin, utilização da CPU, contagem de conexões e métodos de balanceamento de throughput• Alocação de endereços IP estáticos e dinâmicos

O SmartConnect Advance permite adicionar um máximo de seis endereços IP do serviço SmartConnect por sub-rede.

Ele permite que você especifique as seguintes opções de configuração de pools de endereços IP:

• Você pode definir uma política de failover de endereços IP para o pool de endereços IP.• Você pode definir uma política de rebalanceamento de endereços IP para o pool de endereços IP.• O SmartConnect Advanced oferece suporte a vários pools de endereços IP por sub-rede externa para permitir várias zonas do DNS

em uma só sub-rede.

Conceitos relacionados

Gerenciando as configurações do SmartConnect

Aliases e zonas do SmartConnectOs clients podem se conectar ao cluster por meio de um endereço IP específico ou por meio de um domínio que represente um pool de endereços IP.

Você pode configurar um nome de zona DNS do SmartConnect para cada pool de endereços IP. O nome da zona deve ser um nome do domínio completo. O SmartConnect exige que você adicione um novo registro de NS (Name Server) que faça referência ao endereço IP do serviço SmartConnect da zona existente autorizada de DNS que contém o cluster. Você também deve oferecer uma delegação de zona para o FQDN (Fully Qualified Domain Name, nome do domínio completo) da zona do SmartConnect em sua infraestrutura de DNS.

Se você tiver uma licença do SmartConnect Advanced, também poderá especificar uma lista de nomes alternativos de zona DNS do SmartConnect para o pool de endereços IP.

Quando um client se conecta ao cluster por meio de uma zona DNS do SmartConnect, o SmartConnect trata as solicitações DNS recebidas em nome do pool de endereços IP, e a sub-rede do serviço distribui as solicitações DNS recebidas de acordo com a política de balanceamento de conexões do pool.

Tarefas relacionadas

Modificar uma zona DNS do SmartConnect

Tratamento de solicitações de DNSO SmartConnect manipula todas as solicitações DNS recebidas em nome de um pool de endereços IP se uma sub-rede do serviço SmartConnect foi associada ao pool.

A sub-rede de serviço do SmartConnect é uma configuração de pool de endereços IP. Você pode especificar qualquer sub-rede que tenha sido configurada com um endereço IP do serviço SmartConnect e que faça referência ao mesmo groupnet que o pool. Você deve ter pelo menos uma sub-rede configurada com um endereço IP do serviço SmartConnect para manipular as solicitações de DNS dos clients. Você somente pode configurar um endereço IP do serviço por sub-rede.

Um endereço IP do serviço SmartConnect deve ser usado exclusivamente para responder às solicitações de DNS e não pode ser um endereço IP que esteja no intervalo de endereços IP de qualquer pool. As conexões de client por meio do endereço IP do serviço SmartConnect resultam em um comportamento inesperado ou em desconexão.

Assim que uma sub-rede do serviço SmartConnect for associada um pool de endereços IP, a sub-rede do serviço distribuirá as solicitações de DNS recebidas de acordo com a política de balanceamento de conexões do pool. Se um pool não tiver uma sub-rede de serviço

Sistema de rede 355

designada, as solicitações de DNS recebidas serão respondidas pela sub-rede que contém o pool, desde que a sub-rede seja configurada com um endereço IP do serviço SmartConnect. Caso contrário, as solicitações de DNS serão excluídas.

NOTA: O SmartConnect exige que você adicione um novo registro de NS (Name Server) que faça referência ao endereço

IP do serviço SmartConnect da zona existente autorizada de DNS que contém o cluster. Você também deve oferecer

uma delegação de zona para o FQDN (Fully Qualified Domain Name, nome do domínio completo) da zona do

SmartConnect.

Tarefas relacionadas

Configurar um endereço IP do serviço SmartConnect

Suspender ou reiniciar um nó

Alocação de endereço IPA política de alocação de endereços IP especifica como os endereços IP do pool serão atribuídos a uma interface de rede disponível.

Você pode especificar se será usada a alocação estática ou dinâmica.

Static Atribui um endereço IP a cada interface de rede adicionada ao pool de endereços IP, mas não garante que todos os endereços IP sejam atribuídos.

Assim que for atribuída, a interface de rede mantém o endereço IP indefinidamente, mesmo se a interface de rede se tornar indisponível. Para liberar o endereço IP, remova a interface de rede do pool ou do nó.

Sem uma licença do SmartConnect Advanced, a alocação estática é o único método disponível para a alocação de endereços IP.

Dynamic Atribui endereços IP a cada interface de rede adicionada ao pool de endereços IP, até que todos os endereços IP sejam atribuídos. Isso garante uma resposta quando os clients se conectam a qualquer endereço IP do pool.

Se uma interface de rede ficar indisponível, seus endereços IP serão automaticamente movidos para outras interfaces de rede disponíveis no pool, conforme determinado pela política de failover de endereços IP.

Esse método só está disponível com uma licença do SmartConnect Advanced.

Tarefas relacionadas

Configurar a alocação de endereços IP

Referências relacionadas

Métodos compatíveis de alocação de IP

Recomendações de alocação com base nos protocolos de compartilhamento de arquivos

Failover de endereços IPQuando uma interface de rede ficar indisponível, a política de failover de endereços IP especificará como tratar os endereços IP que foram atribuídos a essa interface de rede.

Para definir uma política de failover de endereços IP, você deve ter uma licença do SmartConnect Advanced e a política de alocação de endereços IP deve ser definida como dinâmica. A alocação dinâmica de IP garante que todos os endereços IP do pool sejam atribuídos às interfaces de rede disponíveis.

Quando uma interface de rede ficar indisponível, os endereços IP que foram atribuídos a ela são redistribuídos às interfaces de rede disponíveis de acordo com a política de failover de endereços IP. As conexões de client subsequentes são direcionadas às novas interfaces de rede.

Você pode selecionar um dos seguintes métodos de balanceamento de conexões para determinar como a política de failover de endereços IP seleciona a interface de rede que receberá um endereço IP redistribuído:

• Round-robin• Connection count• Network throughput• CPU usage

Tarefas relacionadas

Configurar uma política de failover de IP

356 Sistema de rede

Balanceamento de conexõesA política de balanceamento de conexões determina como o servidor DNS manipula as conexões dos clients ao cluster.

Você pode especificar um dos seguintes formatos de balanceamento:

Round-robin Seleciona a próxima interface de rede disponível com base em rodízio. Este é o método padrão. Sem uma licença do SmartConnect para configurações avançadas, este é o único método disponível para o balanceamento de carga.

Connection count Determina o número de conexões TCP abertas em cada interface de rede disponível e seleciona a interface de rede com o menor número de conexões de client.

Network throughput

Determina o throughput médio em cada interface de rede disponível e seleciona a interface de rede com a menor carga.

CPU usage Determina a utilização média da CPU em cada interface de rede disponível e seleciona a interface de rede com o uso mais leve de processador.

Tarefas relacionadas

Configurar uma política de balanceamento de conexões

Referências relacionadas

Métodos de balanceamento de conexões compatíveis

Rebalanceamento de endereços IPA política de rebalanceamento de endereços IP especifica quando os endereços IP devem ser redistribuídos se uma ou mais interfaces de rede anteriormente indisponíveis tornarem-se disponíveis novamente.

Para definir uma política de rebalanceamento de endereços IP, você deve ter uma licença do SmartConnect Advanced e a política de alocação de endereços IP deve ser definida como dinâmica. A alocação dinâmica de endereços IP garante que todos os endereços IP do pool sejam atribuídos às interfaces de rede disponíveis.

Você pode configurar o rebalanceamento para ocorrer manual ou automaticamente:

Manual Não redistribui os endereços IP até você iniciar manualmente o processo de rebalanceamento.

Depois do rebalanceamento, os endereços IP serão redistribuídos de acordo com o método de balanceamento de conexões especificado pela política de failover de endereços IP definida para o pool de endereços IP.

Automático Redistribui os endereços IP automaticamente de acordo com o método de balanceamento de conexões especificado pela política de failover de endereços IP definida para o pool de endereços IP.

O rebalanceamento automático também pode ser acionado por alterações nos nós do cluster, nas interfaces de rede ou na configuração da rede externa.

NOTA: O rebalanceamento pode interromper as conexões dos clients. Certifique-se de que o

workflow do client no pool de endereços IP seja adequado para rebalanceamento automático.

Tarefas relacionadas

Rebalancear endereços IP manualmente

Regras de provisionamento de nósAs regras de provisionamento de nós especificam como os novos nós são configurados quando são adicionados a um cluster.

Se o novo tipo de nó corresponder ao tipo definido em uma regra, as interfaces de rede do nó serão adicionadas à sub-rede e ao pool de endereços IP especificados na regra.

Por exemplo, você pode criar uma regra de provisionamento de nós que configura novos nós de armazenamento do Isilon, e outra regra que configure novos nós aceleradores.

Quando novas regras são adicionadas, o OneFS verifica automaticamente as várias regras de provisionamento para garantir que não haja conflitos.

Sistema de rede 357

Conceitos relacionados

Gerenciando regras de provisionamento de nós

Opções de roteamentoO OneFS oferece suporte ao roteamento baseado em origem e a rotas estáticas, o que permite um controle mais específico da direção do tráfego de saída do client no cluster.

Se nenhuma opção de roteamento for definida, por padrão, o tráfego de saída do client no cluster será roteado pelo gateway padrão, que é o gateway com a configuração de prioridade mais baixa do nó. Se o tráfego estiver sendo roteado para uma sub-rede local e não precisar ser roteado por um gateway, o tráfego sairá diretamente por uma interface dessa sub-rede.

Conceitos relacionados

Gerenciando opções de roteamento

Roteamento na origemO roteamento baseado em origem seleciona por meio de qual gateway direcionar o tráfego do client com base no endereço IP de origem de cada cabeçalho de pacote.

Quando ativado, o roteamento baseado em origem verifica automaticamente sua configuração de rede para criar regras de tráfego do client. Se você fizer modificações em sua configuração da rede, como alterar o endereço IP de um servidor de gateway, o roteamento baseado em origem ajustará as regras. O roteamento baseado em origem é aplicado em todo o cluster e não oferece suporte ao protocolo IPv6.

No exemplo a seguir, você habilita o roteamento baseado em origem em um cluster do Isilon que é conectado às sub-redes SubnetA e SubnetB. Cada sub-rede é configurada com uma zona e um gateway SmartConnect, também chamados de A e B. Quando um client da SubnetA faz uma solicitação para a ZoneB do SmartConnect, a resposta é originada na ZoneB. Isso resulta em um endereço da ZoneB como o IP de origem no cabeçalho de pacote e a resposta será roteada pelo GatewayB. Sem o roteamento baseado em origem, a rota padrão é baseada no destino; portanto, a resposta é roteada pelo GatewayA.

Em outro exemplo, um client da SubnetC que não está conectado ao cluster do Isilon faz uma solicitação às zonas ZoneA e ZoneB do SmartConnect. A resposta da ZoneA é roteada pelo GatewayA, e a resposta da ZoneB é roteada pelo GatewayB. Em outras palavras, o tráfego é dividido entre gateways. Sem o roteamento baseado em origem, ambas as respostas são roteadas pelo mesmo gateway.

O roteamento baseado em origem é desabilitado por padrão. A ativação ou desativação do roteamento baseado em origem entra imediatamente em vigor. Os pacotes em trânsito continuam em seus cursos originais e o tráfego subsequente é roteado com base na alteração de status. As transações compostas por vários pacotes podem ser interrompidas ou atrasadas se o status do roteamento baseado em origem for alterado durante a transmissão.

O roteamento baseado em origem pode conflitar com as rotas estáticas. Se ocorrer um conflito de roteamento, as regras do roteamento baseado em origem terão prioridade sobre a rota estática.

Você pode habilitar o roteamento baseado em origem se tiver uma grande rede com uma topologia complexa. Por exemplo, se sua rede é for um ambiente de multi-tenant com vários gateways, o tráfego será distribuído com mais eficiência com o roteamento baseado em origem.

Tarefas relacionadas

Ativar ou desativar roteamento baseado em origem

Roteamento estáticoUma rota estática direciona o tráfego de saída do client para um gateway especificado com base no endereço IP da conexão do client.

Você configura as rotas estáticas por pool de endereços IP, e cada rota aplica-se a todos os nós que têm interfaces de rede como membros do pool de endereços IP.

Você pode configurar o roteamento estático para se conectar às redes que não estão disponíveis pelas rotas padrão ou se tiver uma rede pequena que exija uma ou duas rotas.

NOTA: Se você tiver feito o upgrade de uma versão anterior à do OneFS 7.0.0, as rotas estáticas existentes que foram

adicionadas por meio de scripts rc não funcionarão mais e deverão ser recriadas.

Tarefas relacionadas

Adicionar ou remover uma rota estática

358 Sistema de rede

Configurando a rede internaÉ possível modificar as configurações da rede interna do cluster.

As seguintes opções estão disponíveis:

• Modificar os intervalos de endereços IP da rede interna e a rede int-b/failover• Modificar a máscara de rede interna• Configurar e habilitar uma rede de failover interna• Desabilitar o failover de rede interna

Você pode configurar a rede int-b/failover para fornecer backup em caso de falha da rede int-a. A configuração envolve especificar uma máscara de rede e um intervalo de endereços IP válidos para a rede de failover.

Modificar o intervalo de endereços IP internoCada rede InfiniBand interna requer um intervalo de endereços IP. Os intervalos devem ter um número suficiente de endereços IP para as condições de operação atuais, bem como para a futura expansão e adição de nós. Você pode adicionar, remover ou migrar endereços IP para a rede interna inicial (int-a) e a rede interna secundária (int-b/failover).

1. Clique em Cluster Management > Network Configuration > Internal Network.

2. Na área Internal Network Settings, selecione a rede à qual você deseja adicionar endereços IP.

• Para selecionar a rede int-a, clique em int-a.• Para selecionar a rede int-b/failover, clique em int-b/Failover.

3. Na área IP Ranges, você pode adicionar, excluir ou migrar os intervalos de endereços IP.

Em condições ideais, o novo intervalo é contíguo com o anterior. Por exemplo, se seu intervalo de endereços IP atual for 192.168.160.60 - 192.168.160.162, o novo intervalo deverá começar com 192.168.160.163.

4. Clique em Submit.

5. Reinicie o cluster, se necessário.

• Se você remover qualquer endereço IP que esteja em uso no momento, deverá reiniciar o cluster.• Se você adicionar as alterações de endereços IP que forem feitas na máscara de rede interna, não será necessário reiniciar o

cluster.• Se você alterar a máscara de rede da rede interna, deverá reiniciar o cluster.• Se você migra os intervalos de endereços IP, deverá reiniciar o cluster.

Conceitos relacionados

Intervalos dos endereços IP internos

Modificar a máscara de rede internaVocê pode modificar o valor da máscara da rede interna.

Se a máscara de rede for muito restritiva para o tamanho da rede interna, você deverá modificar suas configurações. É recomendável que você especifique uma máscara de rede de nível C, como 255.255.255.0, para a máscara de rede interna. Essa máscara de rede é grande o suficiente para acomodar os futuros nós.

NOTA: Para que as alterações no valor de máscara de rede entrem em vigor, você deve reinicializar o cluster.

1. Clique em Cluster Management > Network Configuration > Internal Network.

2. Na área Internal Network Settings, selecione a rede para a qual você deseja configurar a máscara de rede.

• Para selecionar a rede int-a, clique em int-a.

• Para selecionar a rede int-b/failover, clique em int-b/Failover.

Recomenda-se que os valores de máscara de rede especificados para int-a e int-b/failover sejam iguais. Se você modificar o valor da máscara de rede de um, modifique o outro.

3. No campo Netmask, digite um valor de máscara de rede.

Não será possível modificar o valor da máscara de rede se a alteração invalidar endereços de nós.

4. Clique em Submit.A caixa de diálogo solicita a reinicialização do cluster.

Sistema de rede 359

5. Especifique quando você deseja reinicializar o cluster.

• Para reinicializar imediatamente o cluster, clique em Yes. Reinicializado o cluster, a página de log-in é exibida.• Clique em No para voltar para a página Edit Internal Network sem alterar as configurações do cluster nem reinicializá-lo.

Conceitos relacionados

Intervalos dos endereços IP internos

Configurar e habilitar failover internoÉ possível ativar um failover interno em seu cluster.

1. Clique em Cluster Management > Network Configuration > Internal Network.

2. Na área Internal Network Settings, clique em int-b/Failover.

3. Na área IP Ranges, para a rede int-b, clique em Add range.

4. Na caixa de diálogo Add IP Range, informe o endereço IP no limite inferior do intervalo no primeiro campo IP range.

5. No segundo campo IP range, digite o endereço IP no limite superior do intervalo.

Certifique-se de que não haja sobreposição de endereços IP entre os intervalos de rede int-a e int-b/failover. Por exemplo, se o intervalo de endereços IP para a rede int-a for 192.168.1.1 a 192.168.1.100, especifique um intervalo de 192.168.2.1 a 192.168.2.100 para a rede int-b.

6. Clique em Submit.

7. Na área IP Ranges para a rede Failover, clique em Add range.

Adicione um intervalo de endereços IP para a rede de failover, garantindo que não haja sobreposição com a rede int-a ou int-b.

A página Edit Internal Network é exibida, e o novo intervalo de endereços IP é exibido na lista IP Ranges.

8. Na área Settings, especifique uma máscara de rede válida. Certifique-se de que não haja sobreposição entre o intervalo de endereços IP para a rede int-b ou para a rede de failover.

Recomenda-se que os valores de máscara de rede especificados para int-a e int-b/failover sejam iguais.

9. Na área Settings, para State, clique em Enable para habilitar as redes int-b e failover.

10. Clique em Submit.A caixa de diálogo Confirm Cluster Reebot é exibida.

11. Reinicie o cluster clicando em Yes.

Conceitos relacionados

Failover da rede interna

Desabilitar o failover de rede internaVocê pode desabilitar as redes internas int-b e failover.

1. Clique em Cluster Management > Network Configuration > Internal Network.

2. Na área Internal Network Settings, clique em int-b/Failover.

3. Na área State, clique em Disable.

4. Clique em Submit.

A caixa de diálogo Confirm Cluster Reebot é exibida.

5. Reinicie o cluster clicando em Yes.

Conceitos relacionados

Failover da rede interna

Gerenciando groupnetsVocê pode criar e gerenciar groupnets de um cluster.

360 Sistema de rede

Criar um groupnetVocê pode criar um groupnet e definir as configurações de client do DNS.

1. Clique em Cluster Management > Networking Configuration > External Network.

2. Clique em Add a groupnet.A janela Create Groupnet será aberta.

3. No campo Name, digite um nome para o groupnet que seja exclusivo no sistema.

O nome pode ter até 32 caracteres alfanuméricos e pode incluir sublinhados ou hífens, mas não pode incluir espaço ou outra pontuação.

4. Opcional: No campo Description, digite um comentário descritivo sobre o groupnet.

A descrição do grupo não pode ter mais de 128 caracteres.

5. Na área DNS Settings, defina as seguintes configurações de DNS que deseja aplicar ao groupnet:

• Servidores DNS• DNS Search Suffixes• DNS Resolver Rotate• Server-side DNS Search• DNS Cache

6. Clique em Add Groupnet.

Conceitos relacionados

Groupnets

Resolução de nomes de DNS

Referências relacionadas

Configurações de DNS

Configurações de DNSVocê pode atribuir servidores DNS a um groupnet e modificar as configurações de DNS que especificam o comportamento do servidor DNS.

Definição Descrição

Servidores DNS Configura uma lista de endereços IP de DNS. Os nós emitem solicitações de DNS a esses endereços IP.

Não é possível especificar mais de três servidores DNS.

DNS Search Suffixes Configura a lista de sufixos de pesquisa de DNS. Os sufixos são acrescentados aos nomes de domínio incompletos.

Não é possível especificar mais de seis sufixos.

Enable DNS resolver rotate Define o solucionador DNS para girar ou round-robin nos servidores DNS.

Enable DNS server-side search Especifica se a pesquisa de DNS do lado do servidor está ativada, o que acrescenta listas de pesquisa de DNS às consultas de DNS de client processadas por um endereço IP do serviço SmartConnect.

Enable DNS cache Especifica se o armazenamento em cache de DNS do groupnet está ativado.

Conceitos relacionados

Groupnets

Tarefas relacionadas

Criar um groupnet

Sistema de rede 361

Modificar um groupnetVocê pode modificar os atributos dos groupnets, inclusive nome, servidores DNS compatíveis e as definições de configuração de DNS.

1. Clique em Cluster Management > Networking Configuration > External Network.

2. Clique no botão View/Edit na linha do groupnet que deseja modificar.

3. Na janela View Groupnet Details, clique em Edit.

4. Na janela Edit Groupnet Details, modifique as configurações do groupnet conforme necessário.

5. Clique em Save Changes.

Conceitos relacionados

Groupnets

Resolução de nomes de DNS

Referências relacionadas

Configurações de DNS

Excluir um groupnetVocê pode excluir um groupnet do sistema, a menos que ele esteja associado a uma zona de acesso ou a um provedor de autenticação, ou seja o groupnet padrão. A remoção de groupnet do sistema pode afetar várias outras áreas do OneFS e deve ser realizada com cuidado.

Em muitos casos, a associação entre um groupnet e outro componente do OneFS, como zonas de acesso ou provedores de autenticação, é absoluta. Não é possível modificar esses componentes para que eles sejam associados a outro groupnet.

Caso você precise excluir um groupnet, recomendamos que execute estas tarefas na seguinte ordem:

1. Excluir pools de endereços IP nas sub-redes associadas ao groupnet.2. Excluir as sub-redes associadas ao groupnet.3. Excluir os provedores de autenticação associados ao groupnet.4. Excluir as zonas de acesso associadas ao groupnet.

1. Clique em Cluster Management > Networking Configuration > External Network.

2. Clique no botão More da linha do groupnet que deseja excluir e clique em Delete Groupnet.

3. Na caixa de diálogo Confirm Delete, clique em Delete.Se você não excluir primeiro as zonas de acesso associadas ao groupnet, a exclusão falhará e o sistema exibirá um erro.

Conceitos relacionados

Groupnets

Exibir groupnetsVocê pode exibir uma lista de todos os groupnets do sistema e visualizar os detalhes de um groupnet específico.

1. Clique em Cluster Management > Networking Configuration > External Network.A tabela External Network exibe todos os groupnets do sistema e os seguintes atributos:

• Nome do groupnet• Servidores DNS atribuídos ao groupnet• O tipo de groupnet• Descrição do groupnet

2. Clique no botão View/Edit de uma linha para exibir as configurações atuais desse groupnet.A caixa de diálogo View Groupnet Details será aberta e exibirá as seguintes configurações:

• Nome do groupnet• Descrição do groupnet• Servidores DNS atribuídos ao groupnet• Sufixos de pesquisa DNS• Se o solucionador DNS está habilitado• Se a pesquisa DNS está habilitada

362 Sistema de rede

• Se o armazenamento em cache DNS está habilitado

3. Clique na seta de árvore ao lado de um nome de groupnet para exibir as sub-redes atribuídas ao groupnet.A tabela exibe cada sub-rede em uma nova linha dentro da árvore de groupnets.

4. Quando terminar de exibir os detalhes do groupnet, clique em Close.

Conceitos relacionados

Groupnets

Gerenciando as sub-redes de rede externaVocê pode criar e gerenciar sub-redes de um cluster.

Criar uma sub-redeVocê pode adicionar uma sub-rede à rede externa. As sub-redes são criadas em um groupnet.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em More > Add Subnet ao lado do groupnet que conterá a nova sub-rede.O sistema exibirá a janela Create Subnet.

3. No campo Name, especifique o nome da nova sub-rede.

O nome pode ter até 32 caracteres alfanuméricos e pode incluir sublinhados ou hifens, mas nenhum espaço ou outra pontuação.

4. Opcional: No campo Description, digite um comentário descritivo sobre a sub-rede.

O comentário não pode ter mais de 128 caracteres.

5. Na área IP Family, selecione um dos seguintes formatos de endereços IP para a sub-rede:

• IPv4 • IPv6

Todas as configurações de sub-rede e pools de endereços IP adicionados à sub-rede devem usar o formato de endereço especificado. Você não pode modificar a família de endereço depois que a sub-rede tiver sido criada.

6. No campo Netmask, especifique uma máscara de sub-rede ou tamanho do prefixo, dependendo da família de IP que você selecionou.

• Para uma sub-rede IPv4, digite um octeto decimal pontilhado (x.x.x.x) que represente a máscara de sub-rede.• Para uma sub-rede IPv6, digite um número inteiro (que varie de 1 a 128) que represente o comprimento do prefixo de rede.

7. No campo Gateway Address, digite o endereço IP do gateway por meio do qual o cluster faz o roteamento das comunicações aos sistemas fora da sub-rede.

8. No campo Gateway Priority, digite a prioridade (número inteiro) que determina qual gateway de sub-rede será instalado como o gateway padrão nos nós que tiverem mais de uma sub-rede.

Um valor de 1 representa a prioridade mais alta.

9. Na lista MTU, digite ou selecione o tamanho das unidades máximas de transmissão que o cluster utiliza na comunicação de rede. Qualquer valor numérico é permitido, mas deve ser compatível com a rede e a configuração de todos os dispositivos no caminho de rede. As configurações comuns são 1500 (estruturas padrão) e 9000 (jumbo-frames).

Embora o OneFS aceite 1.500 MTU e 9.000 MTU, a utilização de um tamanho maior de estrutura para o tráfego de rede permite uma comunicação mais eficiente na rede externa entre clients e nós de cluster. Por exemplo, se uma sub-rede estiver conectada por uma interface de 10 GbE e a agregação de NICs estiver configurada para os pools de endereços IP da sub-rede, recomendamos que você configure a MTU para 9000. Para beneficiar-se do uso de jumbo-frames, todos os dispositivos do caminho de rede devem ser configurados para usar jumbo-frames.

10. Se você planeja usar o SmartConnect para balanceamento de conexões, no campo SmartConnect Service IP, digite o endereço IP que receberá todas as solicitações DNS recebidas para cada pool de endereços IP, de acordo com a política de conexão do client. Você deve ter, pelo menos, uma sub-rede configurada com um IP do serviço do SmartConnect para usar o balanceamento de conexões.

11. No campo SmartConnect Service Name, especifique o nome do serviço SmartConnect.

12. Na seção Advanced Settings, você poderá ativar a marcação da VLAN se quiser permitir que o cluster participe de redes virtuais.

NOTA: Para configurar uma VLAN, é necessário ter conhecimento avançado de switches de rede. Consulte a

documentação do switch de rede antes de configurar o cluster para VLAN.

13. Se você habilitou a marcação da VLAN, especifique um ID de VLAN que corresponda ao número de ID da VLAN configurada no switch, com um valor de 2 a 4094.

Sistema de rede 363

14. No campo Hardware Load Balancing IPs, digite o endereço IP de um comutador de balanceamento de carga de hardware que use o Direct Server Return (DSR). Isso direciona todo o tráfego do client para o cluster pelo switch. O switch determina qual nó lidará com o tráfego para o client e passa o tráfego para esse nó.

15. Clique em Remove IP para remover um IP de balanceamento de carga de hardware.

16. Clique em Add Subnet.

Conceitos relacionados

Sub-redes

Suporte a IPv6

Modificar uma sub-redeVocê pode modificar uma sub-rede da rede externa.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Ao lado da sub-rede que deseja modificar, clique em View/Edit.O sistema exibirá a janela View Subnet Details.

3. Clique em Edit.O sistema exibirá a janela Edit Subnet Details.

4. Modifique as configurações de sub-rede e clique em Save Changes.

Conceitos relacionados

Sub-redes

Excluir uma sub-redeVocê pode excluir uma sub-rede da rede externa.

A exclusão de uma sub-rede que está em uso pode impedir o acesso ao cluster. As conexões do client ao cluster por meio de qualquer pool de endereços IP que pertença à sub-rede excluída serão encerradas.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em More > Delete Subnet ao lado da sub-rede que deseja excluir.

3. No prompt de confirmação, clique em Delete.

Conceitos relacionados

Sub-redes

Exibir configurações de sub-redeVocê pode exibir detalhes de configuração de uma sub-rede específica.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Ao lado da sub-rede que deseja exibir, clique em View/Edit.O sistema exibirá a janela View Subnet Details.

3. Clique em Close para fechar a janela.

Conceitos relacionados

Sub-redes

Configurar um endereço IP do serviço SmartConnectVocê pode definir um endereço IP do serviço SmartConnect em uma sub-rede que tratará todas as solicitações DNS recebidas para cada pool de endereços IP que seja configurado para usar essa sub-rede como uma sub-rede do serviço SmartConnect.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Ao lado da sub-rede que deseja modificar, clique em View/Edit.

364 Sistema de rede

O sistema exibirá a janela View Subnet Details.

3. Clique em Edit.O sistema exibirá a janela Edit Subnet Details.

4. No campo SmartConnect Service IP, digite o endereço IP.

5. Clique em Save Changes.

Se você quiser que um pool de endereços IP use o endereço IP do serviço SmartConnect configurado para responder às solicitações DNS, modifique as configurações do pool para especificar essa sub-rede como a sub-rede de serviço do SmartConnect.

Conceitos relacionados

Sub-redes

Tratamento de solicitações de DNS

Habilitar ou desabilitar a marcação da VLANVocê pode configurar um cluster para participar de várias redes privadas virtuais, também conhecidas como LANs virtuais ou VLANs.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Ao lado da sub-rede que deseja modificar, clique em View/Edit.O sistema exibirá a janela View Subnet Details.

3. Clique em Edit.O sistema exibirá a janela Edit Subnet Details.

4. Marque a caixa de seleção Allow VLAN Tagging para ativar ou desativar a marcação da VLAN.

5. Se você habilitar a marcação da VLAN, digite um número entre 2 e 4.094 no campo VLAN ID. O número deve corresponder ao número de ID da VLAN definido no switch.

6. Clique em Save Changes.

Conceitos relacionados

Sub-redes

VLANs

Adicionar ou remover um endereço DSRSe sua rede contiver um switch de balanceamento de carga de hardware que use DSR (Direct Server Return), você deverá configurar um endereço DSR para cada sub-rede.

O endereço DSR encaminha todo o tráfego do client ao cluster por meio do comutador. O switch determina qual nó lidará com o tráfego do client e encaminha o tráfego para esse nó.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Ao lado da sub-rede que deseja modificar, clique em View/Edit.O sistema exibirá a janela View Subnet Details.

3. Clique em Edit.O sistema exibirá a janela Edit Subnet Details.

4. No campo Hardware Load Balancing IPs, digite o endereço DSR.

5. Clique em Save Changes.

Conceitos relacionados

Sub-redes

Adicionar ou remover um intervalo de endereços IP por sub-redeVocê pode adicionar ou remover um intervalo de endereços IP de uma sub-rede.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Ao lado da sub-rede que deseja modificar, clique em View/Edit.

Sistema de rede 365

O sistema exibirá a janela View Subnet Details.

3. Clique em Edit.O sistema exibirá a janela Edit subnet details.

4. Para adicionar um intervalo, na área SmartConnect service IPS, digite um intervalo de endereços IP que deseja atribuir à sub-rede.

Especifique o intervalo no seguinte formato: menor endereço IP menor - maior endereço IP

Se você quiser usar um só endereço IP, digite o mesmo endereço IP em ambos os campos.

5. Para incluir outro intervalo, clique em Add an IP range.O sistema oferece campos nos quais você pode digitar o menor e o maior endereço IP do intervalo adicional.

6. Para excluir um intervalo de endereços IP, clique em Remove IP range ao lado do intervalo que deseja excluir.

7. Clique em Save Changes.

Gerenciando os pools de endereços IPVocê pode criar e gerenciar pools de endereços IP no cluster.

Criar um pool de endereços IPVocê pode adicionar um pool de endereços IP a uma rede externa. Os pools são criados em uma sub-rede.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em More > Add Pool ao lado da sub-rede que conterá o novo pool de endereços IP.O sistema exibirá a janela Create Pool.

3. No campo Name, especifique o nome do novo pool de endereços IP.

O nome pode ter até 32 caracteres alfanuméricos e pode incluir sublinhados ou hífens, mas não pode incluir espaço ou outra pontuação.

4. Opcional: No campo Description, digite um comentário descritivo sobre o pool de endereços IP.

O comentário não pode ter mais de 128 caracteres.

5. Na lista Access Zone, selecione a zona de acesso que deseja associar ao pool de endereços IP

Os clients que se conectam por meio de endereços IP desse pool somente podem acessar os dados da zona de acesso associada.

6. Na área IP Range, digite um intervalo de endereços IP que deseja atribuir ao pool de endereços IP nos campos oferecidos.

Especifique o intervalo no seguinte formato: <menor_endereço_ip>–<maior_endereço_ip>.

7. Clique em Add Pool.

Conceitos relacionados

Pools de endereços IP

Modificar um pool de endereços IPVocê pode modificar um pool de endereços IP da rede externa.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Modifique as configurações de pool de endereços IP e clique em Save Changes.

Conceitos relacionados

Pools de endereços IP

Excluir um pool de endereços IPVocê pode usar a interface Web para excluir configurações de pool de endereços IP.

366 Sistema de rede

A exclusão de um pool de endereços IP que está em uso pode impedir o acesso ao cluster. As conexões do client ao cluster por meio de qualquer endereço IP do pool serão encerradas.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em More > Delete Pool ao lado do pool de endereços IP que deseja excluir.

3. No prompt de confirmação, clique em Delete.

Conceitos relacionados

Pools de endereços IP

Exibir as configurações dos pools de endereços IP.Você pode exibir os detalhes de configuração de um pool específico de endereços IP.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja exibir.O sistema exibirá a janela View Pool Details.

3. Clique em Close para fechar a janela.

Conceitos relacionados

Pools de endereços IP

Adicionar ou remover um intervalo de endereços IPVocê pode adicionar ou remover um intervalo de endereços IP nas configurações de pools de endereços IP.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Para adicionar um intervalo, na área IP Range, digite um intervalo de endereços IP que deseja atribuir ao pool de endereços IP nos campos oferecidos.

Especifique o intervalo no seguinte formato: menor endereço IP menor - maior endereço IP

5. Para incluir um intervalo adicional, clique em Add an IP range.O sistema oferece campos nos quais você pode digitar o menor e o maior endereço IP do intervalo adicional.

6. Para excluir um intervalo de endereços IP, clique no ícone Remove IP Range ao lado do intervalo que deseja excluir.

7. Clique em Save Changes.

Conceitos relacionados

Pools de endereços IP

Gerenciando as configurações do SmartConnectVocê pode definir as configurações do SmartConnect em cada pool de endereços IP do cluster.

Modificar uma zona DNS do SmartConnectVocê pode especificar uma zona DNS do SmartConnect e aliases alternativos de zonas DNS que tratarão as solicitações DNS de um pool de endereços IP.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

Sistema de rede 367

4. Na área SmartConnect Basic, especifique a zona DNS do SmartConnect no campo Zone Name.

A zona DNS do SmartConnect deve ser um FQDN (Fully Qualified Domain Name, nome do domínio completo).

5. Opcional: Na área SmartConnect Advanced, especifique os aliases para a zona DNS do SmartConnect no campo SmartConnect Zone Aliases.

Uma licença do SmartConnect Advanced é necessária para especificar os aliases da zona.

6. Clique em Save Changes.

Para usar a zona do SmartConnect, você precisa configurar sua infraestrutura DNS para delegar a zona DNS. Adicione um novo registro de NS (Name Server) que aponte para o endereço IP do serviço SmartConnect e, em seguida, adicione uma delegação de zona ao novo servidor de nome para o FQDN do nome da zona do SmartConnect.

Conceitos relacionados

Aliases e zonas do SmartConnect

Especificar uma sub-rede de serviço do SmartConnectVocê pode designar uma sub-rede como a sub-rede de serviço do SmartConnect para um pool de endereços IP. A sub-rede de serviço responde a todas as solicitações de DNS em nome da zona DNS de SmartConnect do pool.

A sub-rede que você designar como a sub-rede de serviço do SmartConnect deve ter um endereço IP do serviço SmartConnect configurado, e a sub-rede deve estar no mesmo groupnet do pool de endereços IP. Por exemplo, embora um pool possa pertencer à subnet3, você pode designar a subnet5 como a sub-rede de serviço do SmartConnect, desde que ambas as sub-redes estejam no mesmo groupnet.

Se um pool não tiver uma sub-rede de serviço designada, as solicitações de DNS recebidas serão respondidas pela sub-rede que contém o pool, desde que a sub-rede seja configurada com um endereço IP do serviço SmartConnect. Caso contrário, as solicitações de DNS serão excluídas.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Na área SmartConnect Basic, selecione uma sub-rede na lista SmartConnect Service Subnet.

5. Clique em Save Changes.

Conceitos relacionados

Resolução de nomes de DNS

Tarefas relacionadas

Configurar um endereço IP do serviço SmartConnect

Suspender ou reiniciar um nóVocê pode suspender e reiniciar as respostas DNS do SmartConnect para um nó.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Para suspender um nó:

a) Na área SmartConnect Suspended Nodes, clique em Suspend Nodes.O sistema exibirá a janela Suspend Nodes.

b) Selecione um LNN (Logical Node Number) na tabela Available e clique em Add.c) Clique em Suspend Nodes.d) Na janela de confirmação, clique em Confirm.

5. Para reiniciar um nó:

368 Sistema de rede

a) Na tabela SmartConnect Suspended Nodes, clique no botão Resume ao lado do número do nó que deseja reiniciar.b) Na janela de confirmação, clique em Confirm.

6. Clique em Close.

Conceitos relacionados

Resolução de nomes de DNS

Configurar a alocação de endereços IPVocê pode especificar se os endereços IP de um pool de endereços IP são alocados às interfaces de rede de forma estática ou dinâmica.

Para configurar a alocação dinâmica de endereços IP, você deve ativar uma licença do SmartConnect Advanced.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Na lista Allocation Method da área SmartConnect Advanced Settings, selecione um dos seguintes métodos de alocação:

• Estático• Dynamic

5. Clique em Save Changes.

Conceitos relacionados

Alocação de endereço IP

Métodos compatíveis de alocação de IPA política de alocação de endereços IP especifica como os endereços IP do pool serão atribuídos a uma interface de rede disponível.

Você pode especificar se será usada a alocação estática ou dinâmica.

Static Atribui um endereço IP a cada interface de rede adicionada ao pool de endereços IP, mas não garante que todos os endereços IP sejam atribuídos.

Assim que for atribuída, a interface de rede mantém o endereço IP indefinidamente, mesmo se a interface de rede se tornar indisponível. Para liberar o endereço IP, remova a interface de rede do pool ou do cluster.

Sem uma licença do SmartConnect Advanced, a alocação estática é o único método disponível para a alocação de endereços IP.

Dynamic Atribui endereços IP a cada interface de rede adicionada ao pool de endereços IP, até que todos os endereços IP sejam atribuídos. Isso garante uma resposta quando os clients se conectam a qualquer endereço IP do pool.

Se uma interface de rede ficar indisponível, seus endereços IP serão automaticamente movidos para outras interfaces de rede disponíveis no pool, conforme determinado pela política de failover de endereços IP.

Esse método só está disponível com uma licença do SmartConnect Advanced.

Conceitos relacionados

Alocação de endereço IP

Recomendações de alocação com base nos protocolos de compartilhamento de arquivosRecomenda-se que você selecione um método de alocação estática se seus clients se conectam por protocolos stateful e um método de alocação dinâmica se eles se conectam por protocolos stateless.

A seguinte tabela exibe vários protocolos comuns e o método recomendado de alocação:

Protocolo de compartilhamento de arquivos Método recomendado de alocação

• SMB Static

Sistema de rede 369

Protocolo de compartilhamento de arquivos Método recomendado de alocação

• HTTP• HDFS• FTP• sFTP• FTPS• SyncIQ• Swift

• NFSv3• NFSv4

Dynamic

Conceitos relacionados

Alocação de endereço IP

Configurar uma política de balanceamento de conexõesVocê pode especificar uma política de balanceamento de conexões para um pool de endereços IP.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Na área SmartConnect Advanced, selecione um dos seguintes métodos de balanceamento na lista Client Connection Balancing Policy:

• Round-robinNOTA: Round-robin é a configuração padrão e o único método de balanceamento disponível sem ativar uma

licença do SmartConnect Advanced.

• Connection count• Throughput• CPU usage

5. Clique em Save Changes.

Conceitos relacionados

Balanceamento de conexões

Métodos de balanceamento de conexões compatíveisA política de balanceamento de conexões determina como o servidor DNS manipula as conexões dos clients ao cluster.

Você pode especificar um dos seguintes formatos de balanceamento:

Round-robin Seleciona o próximo nó disponível com base em rodízio. Este é o método padrão. Sem uma licença do SmartConnect para configurações avançadas, este é o único método disponível para o balanceamento de carga.

Connection count Determina o número de conexões TCP abertas em cada nó disponível e seleciona o nó com o menor número de conexões de client.

Network throughput

Determina o throughput médio em cada nó disponível e seleciona o nó com a menor carga de interface de rede.

CPU usage Determina a utilização média da CPU em cada nó disponível e seleciona o nó com o uso mais leve de processador.

Conceitos relacionados

Balanceamento de conexões

370 Sistema de rede

Configurar uma política de failover de IPVocê pode definir uma política de failover de IP para um pool de endereços IP.

Para configurar uma política de failover de IP, você deve ativar uma licença do SmartConnect Advanced.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Na área SmartConnect Advanced, selecione um dos seguintes métodos de failover na lista IP Failover Policy:

• Round-robin• Connection count• Throughput• CPU usage

5. Clique em Save Changes.

Conceitos relacionados

Failover de endereços IP

Configurar uma política de rebalanceamento de IPVocê pode configurar uma política de rebalanceamento manual ou automática para um pool de endereços IP.

Para configurar uma política de rebalanceamento para um pool de endereços IP, você deve ativar uma licença do SmartConnect Advanced e definir o método de alocação para dynamic.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Na área SmartConnect Advanced, selecione um dos seguintes métodos de rebalanceamento na lista Rebalance Policy:

• Automatic• Manual

5. Clique em Save Changes.

Conceitos relacionados

Rebalanceamento de endereços IP

Métodos de rebalanceamento compatíveisA política de rebalanceamento de endereços IP especifica quando os endereços IP devem ser redistribuídos se uma ou mais interfaces de rede anteriormente indisponíveis tornarem-se disponíveis novamente.

Você pode configurar o rebalanceamento para ocorrer manual ou automaticamente:

Manual Não redireciona endereços IP até que você execute manualmente um comando de rebalanceamento pela interface de linha de comando.

Depois do rebalanceamento, os endereços IP serão redistribuídos de acordo com o método de balanceamento de conexões especificado pela política de failover de endereços IP definida para o pool de endereços IP.

Automático Redistribui os endereços IP automaticamente de acordo com o método de balanceamento de conexões especificado pela política de failover de endereços IP definida para o pool de endereços IP.

O rebalanceamento automático também pode ser acionado por alterações nos nós de cluster, nas interfaces de rede ou na configuração da rede externa.

NOTA: O rebalanceamento pode interromper as conexões dos clients. Certifique-se de que o

workflow do client no pool de endereços IP seja adequado para o rebalanceamento automático.

Sistema de rede 371

Rebalancear endereços IP manualmenteVocê pode rebalancear manualmente um pool de endereços IP específico ou todos os pools da rede externa.

Você deve ativar uma licença do SmartConnect Advanced.

1. Para fazer o rebalanceamento manual dos endereços IP de um pool:

a) Clique em Cluster Management > Network Configuration > External Network.b) Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.

O sistema exibirá a janela View Pool Details.c) Clique em Edit.

O sistema exibirá a janela Edit Pool Details.d) Na área Advanced Settings, clique em Rebalance Pool IPs.e) Na janela de confirmação, clique em Confirm.f) Clique em Cancel para fechar a janela Edit Pool Details.

2. Para fazer o rebalanceamento manual de todos os pools de endereços IP:

a) Clique em Cluster Management > Network Configuration > Settings.b) Clique em Rebalance All IPs.c) Na janela de confirmação, clique em Confirm.

Conceitos relacionados

Rebalanceamento de endereços IP

Gerenciando os membros da interface de redeVocê pode adicionar e remover interfaces de rede dos pools de endereços IP.

Adicionar ou remover uma interface de redeVocê pode configurar quais interfaces de rede são atribuídas a um pool de endereços IP.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Para adicionar uma interface de rede ao pool de endereços IP:

a) Na área Pool Interface Members, selecione a interface desejada na tabela Available.

Se você adicionar uma interface agregada ao pool, não será possível adicionar individualmente qualquer interface que faça parte da interface agregada.

b) Clique em Adicionar.

5. Para remover uma interface de rede do pool de endereços IP:

a) Na área Pool Interface Members, selecione a interface desejada na tabela In Pool.b) Clique em Remove.

6. Clique em Save Changes.

Conceitos relacionados

Gerenciando os membros da interface de rede

Agregação de links

Configurar agregação de linksCom a agregação de links, você pode combinar várias interfaces de rede externa e física de um nó em uma só interface lógica.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

372 Sistema de rede

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Na área Pool Interface Members, selecione a interface agregada desejada na tabela Available e clique em Add.

5. Na área Advanced Settings, selecione um dos seguintes métodos de agregação de links na lista Aggregation Mode:

• Round-robin• Failover• LACP• FEC

6. Clique em Save Changes.

Conceitos relacionados

Agregação de links

Modos de agregação de linksO modo de agregação de Links determina como o tráfego é balanceado e roteado entre as interfaces de rede agregadas. Ele é selecionado por pool e se aplica a todas as interfaces de rede agregadas do pool de endereços IP.

O OneFS dá suporte aos modos de agregação estática e dinâmica. Um modo de agregação dinâmica permite que os nós com interfaces agregadas se comuniquem com o switch para que o switch possa usar um modo de agregação analógica. Os modos estáticos não facilitam a comunicação entre os nós e o switch.

O OneFS dá suporte aos seguintes modos de agregação de links:

Link Aggregation Control Protocol (LACP)

O modo de agregação dinâmica que dá suporte ao LACP (Link Aggregation Control Protocol, protocolo de controle de agregação de links) IEEE 802.3ad. Você pode configurar o LACP no nível do switch, que permite que o nó negocie a agregação de interface com o switch. O LACP balanceia o tráfego de saída nas interfaces baseadas em informações de cabeçalho de protocolo hash que incluem o endereço de origem e de destino e a tag de VLAN, se disponível. Essa opção é o modo de agregação padrão.

Loadbalance (FEC)

Método de agregação estática que aceita todo o tráfego de entrada e balanceia o tráfego de saída em interfaces agregadas com base nas informações de cabeçalho de protocolo de hash que incluem os endereços de origem e destino.

Active/Passive Failover

Modo de agregação estática que alterna para a próxima interface ativa quando a interface principal ficar indisponível. A interface principal faz o tratamento do tráfego até que haja uma interrupção na comunicação. Nesse ponto, uma das interfaces secundárias assumirá o controle do trabalho da principal.

Round-robin Modo de agregação estática que faz a rotação das conexões por meio dos nós em ordem de chegada, fazendo o tratamento de todos os processos sem prioridade. Faz o balanceamento do tráfego de saída em todas as portas ativas do link agregado e aceita o tráfego de entrada em qualquer porta.

NOTA: Esse método não será recomendado se seu cluster estiver processando cargas de trabalho

de TCP/IP.

Tarefas relacionadas

Configurar agregação de links

Mapeamento de agregação de linksAs interfaces de rede que podem ser adicionadas a um pool de endereços IP como uma interface agregada são incluídas na exibição de uma lista de interfaces de rede em um nó. A tabela a seguir mostra exemplos de como as interfaces agregadas são mapeadas a interfaces não agregadas.

LNI (Logical Network Interface) LNI agregada

ext-1

ext-2

ext-agg = ext-1 + ext-2

ext-1

ext-2

ext-3

ext-agg = ext-1 + ext-2

ext-agg-2 = ext-3 + ext-4

ext-agg-3 = ext-3 + ext-4 + ext-1 + ext-2

Sistema de rede 373

LNI (Logical Network Interface) LNI agregada

ext-4

ext-1

ext-2

10gige-1

10gige-2

ext-agg = ext-1 + ext-2

10gige-agg-1 = 10gige-1 + 10gige-2

Tarefas relacionadas

Configurar agregação de links

Gerenciando regras de provisionamento de nósVocê pode criar e gerenciar regras de provisionamento de nós que automatizem a configuração de novas interfaces de rede.

Criar uma regra de provisionamento de nósVocê pode criar uma regra de provisionamento de nós para especificar como as interfaces de rede dos novos nós são configuradas quando os nós são adicionados ao cluster. As regras de provisionamento de nós são criadas em um pool de endereços IP.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em More > Add Rule ao lado do pool de endereços IP que conterá a nova regra de provisionamento de nós.O sistema exibe a janela Create Rule.

3. No campo Name, especifique o nome da nova regra de provisionamento de nós.

4. Opcional: No campo Description, digite um comentário descritivo sobre a regra.

O comentário não pode ter mais de 128 caracteres.

5. Na lista Interface Type, selecione o tipo de interface de rede que será adicionado ao pool quando o novo nó for adicionado ao cluster.

6. Na lista Node Type, selecione um dos seguintes tipos de nós:

• Any• Storage• Accelerator• Backup accelerator

A regra será aplicada quando um nó que corresponda ao tipo selecionado for adicionado ao cluster.

7. Clique em Add rule.

Conceitos relacionados

Regras de provisionamento de nós

Modificar uma regra de provisionamento de nósVocê pode modificar as configurações das regras de provisionamento de nós.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado da regra de provisionamento de nós que deseja modificar.O sistema exibirá a janela View Rule Details.

3. Clique em Edit.O sistema exibirá a janela Edit Rule Details.

4. Modifique as configurações da regra de provisionamento de nós e clique em Save Changes.

Conceitos relacionados

Regras de provisionamento de nós

374 Sistema de rede

Excluir uma regra de provisionamento de nósVocê pode excluir uma regra de provisionamento de nós que não seja mais necessária.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em More > Delete Rule ao lado da regra de provisionamento de nós que deseja excluir.

3. No prompt de confirmação, clique em Delete.

Conceitos relacionados

Regras de provisionamento de nós

Exibir configurações das regras de provisionamento de nósVocê pode exibir detalhes de configuração de uma regra específica de provisionamento de nós.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado da regra de provisionamento de nós que deseja exibir.O sistema exibirá a janela View Rule Details.

3. Clique em Close para fechar a janela.

Conceitos relacionados

Regras de provisionamento de nós

Gerenciando opções de roteamentoVocê pode oferecer mais controle sobre a direção do tráfego de saída do client por meio do roteamento baseado em origem ou da configuração de rota estática.

Se o roteamento baseado em origem e as rotas estáticas estiverem configurados, as rotas estáticas terão prioridade para o tráfego que corresponda às rotas estáticas.

Ativar ou desativar roteamento baseado em origemVocê pode ativar ou desativar o roteamento baseado em origem globalmente no cluster.

1. Clique em Cluster Management > Network Configuration > Settings.

2. Selecione ou desmarque a caixa de seleção Enable source based routing.

3. Clique em Save Changes.

Conceitos relacionados

Roteamento na origem

Adicionar ou remover uma rota estáticaVocê pode configurar rotas estáticas para direcionar o tráfego de saída a destinos específicos por meio de um gateway específico. As rotas estáticas são configuradas no nível do pool de endereços IP.

As rotas estáticas devem corresponder à família de endereços IP (IPv4 ou IPv6) do pool de endereços IP no qual elas são configuradas.

1. Clique em Cluster Management > Network Configuration > External Network.

2. Clique em View/Edit ao lado do pool de endereços IP que deseja modificar.O sistema exibirá a janela View Pool Details.

3. Clique em Edit.O sistema exibirá a janela Edit Pool Details.

4. Para adicionar uma rota estática:

a) Na área Static Routes, clique em Add static route.O sistema exibirá a janela Create Static Route.

b) No campo Subnet, especifique o endereço IPv4 ou IPv6 da sub-rede à qual o tráfego será roteado.

Sistema de rede 375

c) Nos campos Netmask ou Prefixlen, especifique a máscara de rede (IPv4) ou o comprimento do prefixo (IPv6) da sub-rede que você especificou.

d) No campo Gateway, especifique o endereço IPv4 ou IPv6 do gateway pelo qual o tráfego será roteado.e) Clique em Add Static Route.

5. Para remover uma rota estática, na tabela Static Routes, clique no botão Remove ao lado a rota que deseja excluir.

6. Clique em Save Changes.

Conceitos relacionados

Roteamento estático

Gerenciando configurações de cache do DNSVocê pode definir as configurações de cache do DNS para a rede externa.

Fazer o flush do cache de DNSVocê pode fazer flush do cache de DNS simultaneamente para todos os groupnets que tiverem habilitado o armazenamento em cache de DNS.

1. Clique em Cluster Management > Network Configuration > DNS Cache.

2. Na área Actions, clique em Flush DNS Cache.

3. Na janela de confirmação, clique em Confirm.

Modificar configurações de cache de DNSVocê pode modificar as configurações globais que são aplicadas ao cache de DNS de cada groupnet que tenha o armazenamento em cache de DNS habilitado.

1. Clique em Cluster Management > Network Configuration > DNS Cache.

2. Modifique as configurações de cache de DNS e clique em Save Changes.

Configurações do cache de DNSVocê pode definir as configurações do cache de DNS.

Definição Descrição

TTL No Error Minimum Especifica o limite inferior do tempo de vida dos acessos ao cache.

O valor padrão é de 30 segundos.

TTL No Error Maximum Especifica o limite superior do tempo de vida de acessos ao cache.

O valor padrão é de 3.600 segundos.

TTL Non-existent Domain Minimum Especifica o limite inferior do tempo de vida de nxdomain.

O valor padrão é de 15 segundos.

TTL Non-existent Domain Maximum Especifica o limite superior do tempo de vida de nxdomain.

O valor padrão é de 3.600 segundos.

TTL Other Failures Minimum Especifica o limite inferior do tempo de vida para falhas não relacionadas a nxdomain.

O valor padrão é de 0 segundo.

TTL Other Failures Maximum Especifica o limite superior do tempo de vida para falhas não relacionadas a nxdomain.

O valor padrão é 60 segundos.

376 Sistema de rede

Definição Descrição

TTL Lower Limit For Server Failures Especifica o limite inferior do tempo de vida para falhas do servidor DNS.

O valor padrão é de 300 segundos.

TTL Upper Limit For Server Failures Especifica o limite superior do tempo de vida para falhas do servidor DNS.

O valor padrão é de 3.600 segundos.

Eager Refresh Especifica o tempo de processamento para atualizar as entradas de cache que estão próximas de expirar.

O valor padrão é de 0 segundo.

Cache Entry Limit Especifica o número máximo de entradas que o cache de DNS pode conter.

O valor padrão é de 65536 entradas.

Test Ping Delta Especifica o delta para verificar a integridade do cluster cbind.

O valor padrão é de 30 segundos.

Gerenciando portas TCPVocê pode modificar a lista de portas TCP do client disponíveis à rede externa.

Adicionar ou remover portas TCPVocê pode adicionar e remover portas TCP da lista de portas disponíveis para a rede externa.

1. Clique em Cluster Management > Network Configuration > Settings.

2. Para adicionar uma porta TCP:

a) Na área TCP Ports, clique em Add TCP Ports.O sistema exibirá a janela Add TCP Ports.

b) No campo TCP Ports, especifique o número da porta.c) Opcional: Clique em Add another port para especificar números de porta adicionais.d) Clique em Add Ports.

3. Para remover uma porta TCP da tabela TCP Ports, clique no botão Remove ao lado da porta que deseja excluir.

4. Clique em Save Changes.

Sistema de rede 377

AntivírusEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral do antivírus• Varredura no acesso• Varredura de política antivírus• Varredura de arquivos individuais• Arquivos WORM e antivírus• Relatórios de varredura antivírus• Servidores ICAP• Respostas a ameaças antivírus• Definindo configurações globais de antivírus• Gerenciando servidores ICAP• Criar uma política antivírus• Gerenciando políticas antivírus• Gerenciando varreduras antivírus• Gerenciando ameaças de vírus• Gerenciando relatórios antivírus

Visão geral do antivírusVocê pode verificar os arquivos que armazena em um cluster do Isilon em busca de vírus e malware de computador e outras ameaças de segurança integrando-se a serviços de varredura de terceiros por meio do ICAP (Internet Content Adaptation Protocol).

O OneFS envia arquivos a um servidor via ICAP executando software de análise antivírus de terceiros. Esses servidores são chamados de servidores ICAP. Os servidores ICAP verificam os arquivos em busca de vírus.

Depois que um servidor ICAP verifica um arquivo, ele informa o OneFS se um arquivo é uma ameaça. Se uma ameaça for detectada, o OneFS informa os administradores do sistema criando um evento, exibindo informações resumidas quase em tempo real e documentando a ameaça em um relatório de verificação antivírus. Você pode configurar o OneFS para solicitar que os servidores ICAP tentem reparar os arquivos infectados. Também é possível configurar o OneFS para proteger os usuários contra arquivos potencialmente perigosos truncando ou colocando os arquivos infectados em quarentena.

Antes que o OneFS envie um arquivo para ser verificado, ele garante que a verificação não seja redundante. Se um arquivo já tiver sido verificado e não modificado, o OneFS não enviará o arquivo para verificação, a menos que o banco de dados de vírus do servidor ICAP tenha sido atualizado desde a última verificação.

NOTA: A varredura antivírus está disponível somente nos nós do cluster que estão conectados à rede externa.

Varredura no acessoÉ possível configurar o OneFS para enviar os arquivos para serem examinados antes que eles sejam abertos, depois de fechados ou nas duas situações. Isso pode ser feito por meio de protocolos de acesso a arquivos, como SMB, NFS e SSH. Enviar os arquivos para varredura depois de fechá-los é um processo mais rápido, mas menos seguro. Enviar os arquivos para varredura antes que eles sejam abertos é um processo mais lento, mas mais seguro.

Se o OneFS for configurado para garantir que os arquivos sejam examinados depois de fechados, quando um usuário criar ou modificar um arquivo no cluster, o OneFS o colocará na fila para ser examinado. Em seguida, o OneFS enviará o arquivo para um servidor ICAP para ser examinado quando for conveniente. Nessa configuração, os usuários podem acessar os arquivos sempre, sem atraso. Entretanto, é possível que depois que um usuário modifica ou cria um arquivo, um segundo usuário acesse o arquivo antes que ele seja examinado. Se um vírus foi introduzido no arquivo do primeiro usuário, o segundo usuário poderá acessar o arquivo infectado. Além disso, se um servidor ICAP não conseguir fazer a varredura de um arquivo, ele ainda estará acessível aos usuários.

26

378 Antivírus

Se o OneFS garantir que os arquivos sejam examinados antes de serem abertos, quando um usuário tentar fazer download de um arquivo do cluster, o OneFS primeiro enviará o arquivo para um servidor ICAP para ser examinado. O arquivo só será enviado ao usuário após o término da varredura. Examinar os arquivos antes de serem abertos é mais seguro que examiná-los depois de fechados porque os usuários só poderão acessar arquivos examinados. No entanto, a análise dos arquivos antes que eles sejam abertos exige que os usuários aguardem a varredura dos arquivos. Você também pode configurar o OneFS para negar o acesso a arquivos que não tiverem sido examinados por um servidor ICAP, o que pode aumentar o atraso. Por exemplo, se não houver servidores ICAP disponíveis, os usuários só poderão acessar os arquivos quando eles se tornarem disponíveis novamente.

Se você configurar o OneFS para garantir que os arquivos sejam examinados antes de serem abertos, é recomendável que você também o configure para garantir que os arquivos sejam examinados depois de fechados. Examinar os arquivos nas duas situações não aprimora necessariamente a segurança, mas, em geral, aumenta a disponibilidade dos dados em comparação com a varredura dos arquivos apenas quando são abertos. Se um usuário quiser acessar um arquivo, talvez ele já tenha sido examinado na última modificação e não seja necessário examiná-lo novamente se o banco de dados do servidor ICAP não tiver sido atualizado desde a última varredura.

Tarefas relacionadas

Definir configurações de varredura no acesso

Varredura de política antivírusUsando o OneFS Job Engine, é possível criar políticas de varredura antivírus que enviam arquivos de um diretório especificado a ser examinado. As políticas antivírus podem ser realizadas manualmente a qualquer momento ou configuradas para execução de acordo com uma programação.

As políticas antivírus têm como alvo um diretório específico no cluster. Você pode impedir que uma política antivírus envie certos arquivos contidos no diretório raiz especificado com base em tamanho, nome ou extensão do arquivo. As varreduras no acesso também oferecem suporte à filtragem por tamanho, nome e extensões, usando o comando isi antivirus settings. As políticas antivírus não contemplam snapshots. Somente as análises no acesso incluem snapshots.

Conceitos relacionados

Gerenciando políticas antivírus

Tarefas relacionadas

Criar uma política antivírus

Varredura de arquivos individuaisVocê pode enviar um arquivo específico para um servidor ICAP para ser examinado a qualquer momento.

Se um vírus for detectado em um arquivo, mas o servidor ICAP não conseguir repará-lo, você poderá enviá-lo para o servidor ICAP após a atualização do banco de dados de vírus. Dessa maneira, talvez o servidor ICAP consiga repará-lo. Também é possível examinar arquivos individuais para testar a conexão entre o cluster e os servidores ICAP.

Arquivos WORM e antivírusOs arquivos WORM (Write Once Read Many times) podem ser examinados e colocados em quarentena por um software antivírus, mas não podem ser reparados nem excluídos até a expiração de seu período de retenção.

O módulo de software SmartLock permite que você identifique um diretório do OneFS como um domínio WORM. Todos os arquivos do domínio WORM serão confirmados para o estado WORM, o que significa que eles não poderão ser sobregravados, modificados nem excluídos.

Como nos outros arquivos do OneFS, os arquivos WORM podem ser examinados em busca de vírus e outras ameaças de segurança. No entanto, devido a sua natureza protegida e somente leitura, os arquivos WORM não podem ser reparados nem excluídos durante uma verificação antivírus. Se um arquivo WORM for considerado uma ameaça, ele será colocado em quarentena.

Quando viável, você poderá iniciar uma verificação antivírus nos arquivos antes de eles serem confirmados para o estado WORM.

Relatórios de varredura antivírusO OneFS gera relatórios sobre varreduras antivírus. Cada vez que uma política antivírus é executada, o OneFS gera um relatório sobre a política. O OneFS também gera um relatório a cada 24 horas que inclui todas as varreduras feitas no acesso que ocorreram durante o dia.

Antivírus 379

Os relatórios de varredura antivírus contêm as seguintes informações:

• A hora em que a varredura foi iniciada.• A hora em que a varredura foi concluída.• O número total de arquivos examinados.• O tamanho total dos arquivos examinados.• O tráfego de rede total enviado.• O throughput de rede que foi consumido pela varredura de vírus.• Se a varredura foi feita com sucesso.• O número total de arquivos infectados detectados.• Os nomes dos arquivos infectados.• As ameaças associadas aos arquivos infectados.• Como o OneFS reagiu às ameaças detectadas.

Conceitos relacionados

Gerenciando relatórios antivírus

Tarefas relacionadas

Definir configurações de retenção do relatório de antivírus

Exibir os relatórios antivírus

Servidores ICAPO número de servidores ICAP necessários para dar suporte a um cluster Isilon depende de como a verificação de vírus é configurada, do volume de dados processos de um cluster e da capacidade de processamento dos servidores ICAP.

Se você quiser examinar os arquivos exclusivamente com políticas de verificação antivírus, é recomendável ter, no mínimo, dois servidores ICAP por cluster. Se você pretende verificar os arquivos no acesso, é recomendável ter, pelo menos, um servidor ICAP para cada nó do cluster.

Se você configurar mais de um servidor ICAP para um cluster, é importante garantir que a capacidade de processamento de cada servidor ICAP seja relativamente igual. O OneFS distribui arquivos para os servidores ICAP de modo rotativo, independentemente da capacidade de processamento dos servidores ICAP. Se um servidor for muito mais avançado do que os outros, o OneFS não enviará mais arquivos ao servidor mais avançado.

CUIDADO: Quando arquivos são enviados do cluster a um servidor ICAP, eles são enviados pela rede em texto não

criptografado. Certifique-se de que o caminho do cluster ao servidor ICAP esteja em uma rede confiável. Além disso, a

autenticação não é compatível. Se a autenticação for requerida entre um client ICAP e um servidor ICAP, a autenticação

de proxy hop-by-hop deverá ser usada.

Conceitos relacionados

Gerenciando servidores ICAP

Tarefas relacionadas

Adicionar e estabelecer conexão com um servidor ICAP

Respostas a ameaças antivírusVocê pode configurar o sistema para reparar, colocar em quarentena ou truncar todos os arquivos nos quais o servidor ICAP detectar vírus.

O OneFS e os servidores ICAP reagem de uma das seguintes maneiras quando ameaças são detectadas:

Alerta Todas as ameaças detectadas geram um evento no OneFS no nível de advertência, independentemente da configuração de resposta a ameaças.

Repair O servidor ICAP tenta reparar o arquivo infectado antes de devolvê-lo para o OneFS.

Quarantine O OneFS coloca o arquivo infectado em quarentena. Um arquivo colocado em quarentena não pode ser acessado por nenhum usuário. No entanto, o usuário root, se estiver conectado ao cluster pelo SSH (Secure Shell Protocol)

380 Antivírus

poderá remover o arquivo da quarentena. Se você fizer backup de seu cluster com o backup NDMP, os arquivos colocados em quarentena permanecerão em quarentena quando os arquivos forem restaurados. Se você replicar os arquivos em quarentena para outro cluster Isilon, eles continuarão em quarentena no cluster de destino. A quarentena funciona independentemente de listas de controle de acesso.

Truncate O OneFS trunca o arquivo infectado. Quando um arquivo é truncado, o OneFS reduz o tamanho do arquivo para zero bytes para tornar o arquivo inofensivo.

Você pode configurar o OneFS e os servidores ICAP para reagirem de uma das seguintes maneiras quando ameaças são detectadas:

Repair or quarantine

Tenta reparar os arquivos infectados. Se um servidor ICAP não conseguir reparar um arquivo, o OneFS o colocará em quarentena. Se o servidor ICAP reparar o arquivo com sucesso, o OneFS o enviará para o usuário. O reparo ou a quarentena pode ser útil quando você deseja impedir que os usuários acessem arquivos infectados e, ao mesmo tempo, manter todos os dados em um cluster.

Repair or truncate Tenta reparar os arquivos infectados. Se um servidor ICAP não conseguir reparar um arquivo, o OneFS o truncará. Se o servidor ICAP reparar o arquivo com sucesso, o OneFS o enviará para o usuário. Reparar ou truncar o arquivo pode ser útil se você não se importa em reter todos os dados no cluster e deseja liberar espaço de armazenamento. Entretanto, os dados nos arquivos infectados serão perdidos.

Alert only Apenas gera um evento para cada arquivo infectado. É recomendável não aplicar essa configuração.

Repair only Tenta reparar os arquivos infectados. Posteriormente, o OneFS envia os arquivos para o usuário, tenha o servidor ICAP reparado ou não os arquivos com sucesso. É recomendável não aplicar essa configuração. Se você só tentar reparar arquivos, os usuários ainda poderão acessar arquivos infectados que não podem ser reparados.

Quarantine Coloca em quarentena todos os arquivos infectados. É recomendável não aplicar essa configuração. Se você colocar os arquivos em quarentena sem tentar repará-los, poderá negar acesso aos arquivos infectados que puderam ser reparados.

Truncate Trunca todos os arquivos infectados. É recomendável não aplicar essa configuração. Se você truncar os arquivos sem tentar repará-los, talvez exclua dados desnecessariamente.

Tarefas relacionadas

Definir as configurações de resposta a ameaças de vírus

Definindo configurações globais de antivírusVocê pode definir as configurações de antivírus globais que se aplicam a todas as varreduras antivírus por padrão.

Excluir arquivos das verificações antivírusVocê pode excluir arquivos das varreduras antivírus.

NOTA: As configurações listadas nesta seção se aplicam a todas as varreduras antivírus. Todas as configurações se

aplicam somente à varredura no acesso, e as configurações de verificação de políticas são feitas por política, na guia

Policy.

1. Clique em Data Protection > Antivirus > Settings.

2. Opcional: Para excluir arquivos com base no tamanho do arquivo, na área Maximum File Scan Size, especifique o maior tamanho de arquivo que deseja examinar.

3. Para excluir arquivos com base no nome do arquivo, siga as seguintes etapas:

a) Selecione Enable filters.b) Na área Filter Matching, especifique se deseja examinar todos os arquivos que correspondem a um filtro especificado ou todos os

arquivos que não correspondem a um filtro especificado.c) Especifique um ou mais filtros.

1. Clique em Add Filters.2. Especifique o filtro.

Você pode incluir os seguintes caracteres-coringa:

Antivírus 381

Caractere-coringa Descrição

* Faz a correspondência com qualquer string que estiver no lugar do asterisco. Por exemplo, especificar m* faria a correspondência com movies e m123.

[ ] Faz a correspondência com todos os caracteres contidos entre colchetes ou com vários caracteres separados por hífen.

Por exemplo, especificar b[aei]t faria a correspondência com bat, bet e bit.

Por exemplo, especificar 1[4-7]2 faria a correspondência com 142, 152, 162 e 172.

Você pode excluir caracteres entre colchetes digitando um ponto de exclamação após o primeiro colchete.

Por exemplo, especificar b[!ie] faria a correspondência com bat, mas não com bit ou bet.

É possível fazer a correspondência com um colchete contido em outro colchete, se ele for o primeiro ou o último caractere.

Por exemplo, especificar [[c]at faria a correspondência com cat e [at.

É possível fazer a correspondência com um hífen dentro de um colchete se ele for o primeiro ou o último caractere.

Por exemplo, especificar car[-s] faria a correspondência com cars e car-.

? Faz a correspondência com qualquer caractere que estiver no lugar do ponto de interrogação.

Por exemplo, especificar t?p faria a correspondência com tap, tip e top.

3. Clique em Add Filters.

4. Clique em Save Changes.

Definir configurações de varredura no acessoVocê pode configurar o OneFS para fazer a varredura automática dos arquivos que são acessados pelos usuários. As varreduras no acesso funcionam de maneira independente das políticas antivírus.

1. Clique em Data Protection > Antivirus > Settings.

2. Na área On-Access Scans, especifique se deseja que os arquivos sejam examinados ao serem acessados.

• Para que todos os arquivos sejam examinados antes de serem abertos por um usuário, selecione Enable scan of files on open e, em seguida, especifique se deseja permitir o acesso a arquivos que não possam ser examinados selecionando ou desmarcando a opção Enable file access when scanning fails.

• Para examinar os arquivos depois que eles forem fechados, selecione Enable scan of files on close.

3. Na área All Scans, no campo Path Prefixes, especifique os diretórios aos quais deseja aplicar configurações no acesso.

4. Clique em Save Changes.

Conceitos relacionados

Varredura no acesso

Definir as configurações de resposta a ameaças de vírusVocê pode configurar como o OneFS responderá às ameaças detectadas.

1. Clique em Data Protection > Antivirus > Settings.

2. Na área Action On Detection, especifique como você deseja que o OneFS reaja aos arquivos possivelmente infectados.

382 Antivírus

Conceitos relacionados

Respostas a ameaças antivírus

Definir configurações de retenção do relatório de antivírusVocê pode configurar o período durante o qual o OneFS mantém relatórios de antivírus antes de excluí-los automaticamente.

1. Clique em Data Protection > Antivirus > Settings.

2. Na área Reports, especifique por quanto tempo deseja que o OneFS mantenha os relatórios.

Conceitos relacionados

Relatórios de varredura antivírus

Habilitar ou desabilitar a varredura antivírusVocê pode habilitar ou desabilitar todas as varreduras antivírus.

Este procedimento está disponível apenas por meio da interface Web de administração.

1. Clique em Data Protection > Antivirus > Summary.

2. Na área Service, selecione ou desmarque a opção Enable Antivirus Service.

Gerenciando servidores ICAPPara que seja possível enviar arquivos para varredura em um servidor ICAP, é necessário configurar o OneFS para estabelecer conexão com o servidor. Você pode testar, modificar e remover uma conexão de servidor ICAP. Também é possível desativar temporariamente e restabelecer conexão com um servidor ICAP.

Conceitos relacionados

Servidores ICAP

Adicionar e estabelecer conexão com um servidor ICAPVocê pode adicionar um servidor ICAP e conectar-se a ele. Adicionado um servidor, o OneFS pode enviar arquivos para que seja verificada a existência de vírus neles.

1. Clique em Data Protection > Antivirus > ICAP Servers.

2. Na área ICAP Servers, clique em Add an ICAP Server.

3. Opcional: Para habilitar o servidor ICAP, clique em Enable ICAP Server.

4. Na caixa de diálogo Create ICAP Server, no campo ICAP Server URL, digite o endereço IPv4 ou IPv6 de um servidor ICAP.

5. Opcional: Para adicionar uma descrição do servidor, digite um texto no campo Description.

6. Clique em Add Server.

Conceitos relacionados

Servidores ICAP

Testar uma conexão de servidor ICAPVocê pode testar a conexão entre o OneFS e um servidor ICAP. Este procedimento está disponível apenas por meio da interface Web de administração.

1. Clique em Data Protection > Antivirus > ICAP Servers.

2. Na tabela ICAP Servers, na linha de um servidor ICAP, clique em Edit/View.Se o cluster estiver conectado ao servidor ICAP, na área Details, a opção active será exibida no campo Status.

Antivírus 383

Conceitos relacionados

Servidores ICAP

Modificar as configurações de conexão ICAPVocê pode modificar o endereço IP e a descrição opcional de conexões de servidores ICAP.

1. Clique em Data Protection > Antivirus > ICAP Servers.

2. Na tabela ICAP Servers, na linha de um servidor ICAP, clique em View / Edit.

3. Clique em Edit.

4. Modifique as configurações e clique em Save Changes.

Conceitos relacionados

Servidores ICAP

Tarefas relacionadas

Testar uma conexão de servidor ICAP

Desconectar-se temporariamente de um servidor ICAPSe você deseja impedir que o OneFS envie arquivos a um servidor ICAP, mas quer manter as configurações de conexão do servidor ICAP, desative temporariamente o servidor ICAP.

1. Clique em Data Protection > Antivirus > ICAP Servers.

2. Na tabela ICAP Servers, na linha de um servidor ICAP, clique em View / Edit.

3. Clique em Edit.

4. Desmarque a caixa Enable ICAP Server e clique em Save Changes.

Conceitos relacionados

Servidores ICAP

Tarefas relacionadas

Restabelecer conexão com um servidor ICAP

Restabelecer conexão com um servidor ICAPVocê pode se reconectar a um servidor ICAP do qual você se desconectou temporariamente.

1. Clique em Data Protection > Antivirus > ICAP Servers.

2. Na tabela ICAP Servers, na linha de um servidor ICAP, clique em View / Edit.

3. Clique em Edit.

4. Selecione Enable ICAP Server e clique em Save Changes.

Conceitos relacionados

Servidores ICAP

Tarefas relacionadas

Desconectar-se temporariamente de um servidor ICAP

Remover um servidor ICAPVocê pode se desconectar permanentemente do servidor ICAP.

1. Clique em Data Protection > Antivirus > ICAP Servers.

384 Antivírus

2. Na tabela ICAP Servers, na linha correspondente a um servidor ICAP, clique em Delete.

Conceitos relacionados

Servidores ICAP

Tarefas relacionadas

Adicionar e estabelecer conexão com um servidor ICAP

Criar uma política antivírusVocê pode criar uma política antivírus que faz com que arquivos específicos sejam examinados quanto a vírus sempre que a política é executada.

1. Clique em Data Protection > Antivirus > Policies.

2. Clique em Create an Antivirus Policy.

3. Opcional: Para habilitar a política, clique em Enable antivirus policy.

4. No campo Policy Name, digite um nome para a política antivírus.

5. Opcional: Para especificar uma descrição opcional da política, no campo Description, digite uma descrição.

6. No campo Paths, especifique o diretório que deseja examinar.Opcionalmente, clique em Add another directory path para especificar diretórios adicionais.

7. Na área Recursion Depth, especifique quantos diretórios especificados você deseja examinar.

• Para examinar todos os subdiretórios dos diretórios especificados, clique em Full recursion.• Para examinar um número limitado de subdiretórios de diretórios especificados, clique em Limit depth e, em seguida, especifique

quantos subdiretórios você deseja examinar.

8. Opcional: Para examinar todos os arquivos, independentemente de o OneFS tê-los marcado como já verificados ou se as configurações globais especificarem que certos arquivos não devem ser examinados, selecione Enable force run of policy regardless of impact policy.

9. Opcional: Para modificar a política padrão de impacto das varreduras antivírus, na lista Impact Policy, selecione uma nova política de impacto.

10. Na área Schedule, especifique se deseja executar a política de acordo com um agendamento ou manualmente.

As políticas programadas também podem ser implementadas manualmente a qualquer momento.

Implementar a política apenas manualmente. Clique em Manual

Implementar a política de acordo com uma programação. a. Clique em Scheduled.b. Especifique a frequência em que deseja executar a política.

11. Clique em Create Policy.

Conceitos relacionados

Varredura de política antivírus

Gerenciando políticas antivírusVocê pode modificar e excluir políticas antivírus. Também é possível desativar temporariamente as políticas antivírus se quiser manter a política, mas não examinar os arquivos.

Conceitos relacionados

Varredura de política antivírus

Modificar uma política antivírusVocê pode modificar uma política antivírus.

1. Clique em Data Protection > Antivirus > Policies.

Antivírus 385

2. Na tabela Antivirus Policies, na linha da política antivírus que deseja modificar, clique em View / Edit.

3. Na caixa de diálogo View Antivirus Policy Details, clique em Edit.

4. Modifique as configurações e clique em Save Changes.

Conceitos relacionados

Varredura de política antivírus

Excluir uma política antivírusVocê pode excluir uma política antivírus.

1. Clique em Data Protection > Antivirus > Policies.

2. Na tabela Antivirus Policies, na linha da política antivírus que deseja excluir, clique em More > Delete.

Conceitos relacionados

Varredura de política antivírus

Habilitar ou desabilitar uma política antivírusVocê pode desabilitar temporariamente políticas antivírus se deseja mantê-las, mas sem examinar os arquivos.

1. Clique em Data Protection > Antivirus > Policies.

2. Na tabela Antivirus Policies, na linha da política antivírus que deseja ativar ou desativar, clique em More > Enable Policy ou More > Disable Policy.

Conceitos relacionados

Varredura de política antivírus

Exibir políticas antivírusVocê pode exibir as políticas antivírus.

1. Clique em Data Protection > Antivirus > Policies.

2. Na tabela Antivirus Policies, exiba as políticas antivírus.

Conceitos relacionados

Varredura de política antivírus

Gerenciando varreduras antivírusVocê pode analisar manualmente vários arquivos em busca de vírus executando uma política antivírus ou examinar um arquivo individual sem nenhuma política antivírus. Também é possível interromper as varreduras antivírus.

Examinar um arquivoVocê pode verificar manualmente a existência de vírus em arquivos individuais.

Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi antivirus scan.O seguinte comando examina o arquivo /ifs/data/virus_file em busca de vírus:

isi antivirus scan /ifs/data/virus_file

386 Antivírus

Executar manualmente uma política antivírusVocê pode executar manualmente uma política antivírus a qualquer momento.

Este procedimento está disponível apenas por meio da interface Web de administração.

1. Clique em Data Protection > Antivirus > Policies.

2. Na tabela Antivirus Policies, na linha de uma política, clique em More > Run Policy.

Interromper uma varredura antivírusÉ possível interromper uma varredura antivírus. Este procedimento está disponível apenas por meio da interface Web de administração.

1. Clique em Cluster Management > Job Operations > Job Summary.

2. Na tabela Active Jobs, na linha com o tipo AVScan, clique em More > Cancel Running Job.

Gerenciando ameaças de vírusVocê pode reparar, colocar em quarentena e truncar arquivos nos quais forem detectadas ameaças. Se você acreditar que um arquivo em quarentena não é mais uma ameaça, poderá examiná-lo novamente ou removê-lo da quarentena.

Colocar um arquivo em quarentena manualmenteVocê pode colocar um arquivo em quarentena para impedir que ele seja acessado por usuários.

1. Clique em Data Protection > Antivirus > Detected Threats.

2. Na tabela Antivirus Threat Reports, na linha de um arquivo, clique em More > Quarantine File.

Conceitos relacionados

Respostas a ameaças antivírus

Examinar novamente um arquivoVocê pode verificar novamente a existência de vírus em um arquivo, por exemplo, se acreditar que ele não é mais uma ameaça.

Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando isi antivirus scan.Por exemplo, o seguinte comando examina /ifs/data/virus_file:

isi antivirus scan /ifs/data/virus_file

Conceitos relacionados

Respostas a ameaças antivírus

Remover um arquivo da quarentenaVocê poderá remover um arquivo da quarentena se, por exemplo, acreditar que ele não é mais uma ameaça.

1. Clique em Data Protection > Antivirus > Detected Threats.

2. Na tabela Antivirus Threat Reports, na linha de um arquivo, clique em More > Restore File.

Conceitos relacionados

Respostas a ameaças antivírus

Antivírus 387

Truncar um arquivo manualmenteSe uma ameaça for detectada em um arquivo, e o arquivo for irreparável e não mais necessário, você poderá truncá-lo manualmente.

Esse procedimento está disponível apenas por meio da CLI (interface de linha de comando).

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Execute o comando truncate em um arquivo.O seguinte comando trunca o arquivo /ifs/data/virus_file:

truncate -s 0 /ifs/data/virus_file

Conceitos relacionados

Respostas a ameaças antivírus

Exibir ameaçasVocê pode exibir os arquivos que foram identificados como ameaças por um servidor ICAP.

1. Clique em Data Protection > Antivirus > Detected Threats.

2. Na tabela Antivirus Threat Reports, veja os arquivos que podem estar infectados.

Conceitos relacionados

Respostas a ameaças antivírus

Referências relacionadas

Informações sobre ameaças de vírus

Informações sobre ameaças de vírusVocê pode visualizar informações sobre ameaças de vírus que são relatadas por um servidor ICAP.

Nome Exibe o nome da ameaça detectada que foi reconhecida pelo servidor ICAP.

Caminho Exibe o caminho do arquivo possivelmente infectado.

Remediation Exibe como o OneFS reagiu ao arquivo quando a ameaça foi detectada.

Policy Exibe o ID da política antivírus que fez com que a ameaça fosse detectada.

Detected Exibe a hora em que a ameaça foi detectada.

Ações Exibe as ações que podem ser realizadas no arquivo.

Gerenciando relatórios antivírusVocê pode visualizar relatórios antivírus por meio da interface Web de administração. Você também pode visualizar eventos relacionados à atividade antivírus.

Exibir os relatórios antivírusVocê pode exibir os relatórios antivírus.

1. Clique em Data Protection > Antivirus > Reports.

2. Na tabela Antivirus Scan Reports, na linha de um relatório, clique em View Details.

Conceitos relacionados

Relatórios de varredura antivírus

388 Antivírus

Exibir os eventos de antivírusVocê pode exibir os eventos relacionados às atividades antivírus.

1. Clique em Cluster Management > Events and Alerts > Events.

2. Na tabela Event Groups, visualize todos os eventos.

Todos os eventos relacionados às verificações antivírus são classificados como advertências. Os seguintes eventos são relacionados às atividades antivírus:

Antivírus 389

Integração com o VMwareEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral da integração com VMware• VAAI• VASA• Configurando o suporte ao VASA• Desativar ou reativar o VASA• Fazendo a solução de problemas das falhas de exibição do armazenamento VASA

Visão geral da integração com VMwareO OneFS integra-se às infraestruturas VMware, inclusive ao vSphere, ao vCenter e ao ESXi. A integração com VMware permite que você exiba informações sobre os clusters do Isilon e interaja com eles pelos aplicativos da VMware.

O OneFS interage com as infraestruturas VMware via VASA (VMware vSphere API for Storage Awareness) e VAAI (VMware vSphere API for Array Integration). Para obter mais informações sobre o VAAI, consulte as Notas da Versão do Plug-In VAAI NAS for Isilon.

O OneFS se integra ao VMware vCenter SRM (Site Recovery Manager) por meio do Isilon SRA (Storage Replication Adapter). O VMware SRM facilita a migração e a recuperação de desastres das máquinas virtuais armazenadas nos clusters do Isilon. O Isilon SRA permite que o VMware vCenter SRM gerencie automaticamente a configuração, os testes e o failover dos processos de recuperação de desastres para clusters do Isilon. Para obter informações sobre o Isilon SRA for VMware SRM, consulte as Notas da Versão do Isilon SRA for VMware SRM.

VAAIO OneFS usa a VAAI (VMware vSphere API for Array Integration) para dar suporte ao descarregamento das operações específicas de gerenciamento e armazenamento de máquinas virtuais dos hipervisores VMware ESXi a um cluster do Isilon.

O suporte a VAAI permite que você acelere o processo de criação de máquinas virtuais e de discos virtuais. Para que o OneFS interaja com seu ambiente vSphere via VAAI, seu ambiente VMware deve incluir o ESXi 5.0 ou hipervisores mais recentes.

Se você ativar os recursos da VAAI para um cluster do Isilon, quando você clonar uma máquina virtual que reside no cluster com VMware, o OneFS clonará os arquivos relacionados a essa máquina virtual.

Para habilitar o OneFS para usar a VAAI, você deve instalar o plug-in NAS da VAAI para Isilon no servidor ESXi. Para obter mais informações sobre o plug-in NAS da VAAI para Isilon, consulte VAAI NAS plug-in for Isilon Release Notes.

VASAO OneFS se comunica com o VMware vSphere via VASA (VMware vSphere API for Storage Awareness).

O suporte a VASA permite que você exiba informações sobre os clusters do Isilon no vSphere, inclusive alarmes específicos do Isilon no vCenter. O suporte a VASA também permite que você se integre ao armazenamento orientado por perfil da VMware, oferecendo recursos de armazenamento para os clusters do Isilon no vCenter. Para que o OneFS se comunique com o vSphere via VASA, seu ambiente VMware deve incluir ESXi 5.0 ou hipervisores mais recentes.

Conceitos relacionados

Configurando o suporte ao VASA

27

390 Integração com o VMware

Alarmes de VASA do IsilonSe o serviço VASA estiver ativado em um cluster do Isilon e o cluster for adicionado como um provedor de fornecedores VASA (VMware vSphere API for Storage Awareness) no vCenter, o OneFS gerará alarmes no vSphere.

A seguinte tabela descreve os alarmes gerados pelo OneFS:

Nome do alarme Descrição

Thin-provisioned LUN capacity exceeded Não há espaço suficiente disponível no cluster para alocar espaço para a gravação de dados nas LUNs com provisionamento thin. Se essa condição persistir, você não poderá gravar na máquina virtual desse cluster. Para resolver esse problema, é necessário liberar espaço de armazenamento no cluster.

Recursos de armazenamento da VASAO OneFS se integra ao VMware vCenter via VASA (VMware vSphere API for Storage Awareness) para exibir todos os recursos de armazenamento dos clusters do Isilon no vCenter.

Os seguintes recursos de armazenamento são exibidos no vCenter:

Archive O cluster do Isilon é composto de nós da série NL do Isilon. O cluster é configurado para a capacidade máxima.

Performance O cluster do Isilon é composto de nós da série i, da série X ou da série S do Isilon. O cluster é configurado para o desempenho máximo.

NOTA: Se um tipo de nó der suporte a SSDs, mas não houver nenhum instalado, o cluster será

reconhecido como um cluster de capacidade.

Capacity O cluster do Isilon é composto de nós da série X do Isilon que não contêm SSDs. O cluster é configurado para balanceamento entre desempenho e capacidade.

Hybrid O cluster do Isilon é composto de nós associados a dois ou mais recursos de armazenamento. Por exemplo, se o cluster contiver nós da série S e da série NL do Isilon, o recurso de armazenamento do cluster é exibido como Hybrid.

Configurando o suporte ao VASAPara ativar o suporte ao VMware VASA (VMware vSphere API for Storage Awareness) de um cluster, você deve ativar o daemon do VASA no cluster e adicionar o certificado do provedor do Isilon no vCenter.

NOTA: Se você estiver executando a versão 6.0 do vCenter, deverá criar um certificado autoassinado conforme descrito

na seção Criar um certificado autoassinado antes de adicionar o certificado de provedor do fornecedor do Isilon e de

registrar o provedor de VASA por meio do vCenter.

Conceitos relacionados

VASA

Ativar VASAVocê deve permitir que um cluster do Isilon se comunique com a VASA (VMware vSphere API for Storage Awareness) ativando o daemon de VASA.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Ative a VASA executando o seguinte comando:

isi services isi_vasa_d enable

Integração com o VMware 391

Download do certificado do provedor de fornecedores do IsilonPara adicionar um provedor de fornecedores de VASA do cluster do Isilon no VMware vCenter, você deve usar um certificado de provedor de fornecedores.

1. Em um navegador da Web compatível, conecte-se a um cluster do Isilon em https://<IPAddress>, em que <IPAddress> é o endereço IP do cluster do Isilon.

2. Adicione uma exceção de segurança e visualize o certificado de segurança para verificar se ele é atual.

3. Faça o download do certificado de segurança e salve-o em um local de sua máquina.

Para obter mais informações sobre a exportação de um certificado de segurança, consulte a documentação de seu navegador.

NOTA: Registre o local onde você salvou o certificado. Você precisará desse caminho de arquivo ao adicionar o

provedor de fornecedores no vCenter.

Se estiver executando a versão 6.0 do vCenter, siga as instruções da seção Criar um certificado autoassinado. Se estiver executando as versões anteriores do vCenter, ignore a próxima seção e siga as instruções da seção Adicionar o provedor de fornecedores do Isilon.

Criar um certificado autoassinadoSe você estiver executando o VMware vCenter versão 6.0, deverá criar um novo certificado autoassinado antes de adicionar e registrar um provedor de VASA por meio do vCenter.

É possível criar um certificado autoassinado abrindo uma conexão Secure Shell (SSH) com um nó do cluster do Isilon que será usado como o provedor de VASA. Como alternativa, depois de criar um certificado autoassinado em um nó, você poderá copiar o certificado para qualquer outro nó do cluster e registrar esse nó como um provedor de VASA no vCenter.

1. Crie uma chave de RSA executando o seguinte comando:

openssl genrsa -aes128 -out vp.key 1024

2. Remova a senha da chave executando os seguintes comandos em sequência:

cp vp.key vp.key.withpassphraseopenssl rsa -in vp.key.withpassphrase -out vp.key

3. Crie uma solicitação de assinatura de certificado executando o seguinte comando:

openssl req -new -key vp.key -out vp.csr

4. Gere um certificado autoassinado que não tenha recebido a capacidade de assinatura pela autoridade de certificação executando os seguintes comandos em sequência:

echo "basicConstraints=CA:FALSE" > vp.extopenssl x509 -req -days 365 -in vp.csr -sha256 -signkey vp.key -extfile vp.ext -out vp.crt:

NOTA: você pode alterar o certificado autoassinado dentro de um período de validade de 365 dias, se necessário.

5. Exiba o novo certificado com as informações de extensões para verificação executando o seguinte comando:

openssl x509 -text -noout -purpose -in vp.crt

6. Crie um backup do server.key original executando o seguinte comando:

cp /usr/local/apache2/conf/ssl.key/server.key /usr/local/apache2/conf/ssl.key/server.key.bkp

7. Substitua a chave anterior do servidor pela nova chave executando o seguinte comando:

cp vp.key /usr/local/apache2/conf/ssl.key/server.key

Em que vp.key é a nova chave de servidor.

392 Integração com o VMware

8. Crie um backup do certificado original executando o seguinte comando:

cp /usr/local/apache2/conf/ssl.crt/server.crt /usr/local/apache2/conf/ssl.crt/server.crt.bkp

Em que server.crt é o certificado original.

9. Substitua o certificado original do servidor pelo novo certificado executando o seguinte comando:

cp vp.crt /usr/local/apache2/conf/ssl.crt/server.crt

Em que vp.crt é o novo certificado.

10. Interrompa e reinicie o serviço Apache httpd de /usr/local/apache2/bin/ depois que o certificado for substituído, executando os seguintes comandos em sequência:

killall httpd/usr/local/apache2/bin/httpd -k start

Adicionar o provedor de fornecedores do IsilonVocê deve adicionar um cluster do Isilon como um provedor de fornecedores no VMware vCenter antes de poder exibir informações sobre os recursos de armazenamento do cluster no vCenter.

Faça download do certificado do provedor de fornecedores. Crie um certificado autoassinado se estiver executando a versão 6.0 do vCenter.

1. No vCenter, navegue até a janela Add Vendor Provider.

2. Preencha os seguintes campos da janela Add Vendor Provider:

Nome Digite um nome para esse provedor de VASA. Especifique como qualquer string. Por exemplo, digite Isilon System.

URL Digite https://<EndereçoIP>:8081/vasaprovider, onde <EndereçoIP> é o endereço IP de um nó do cluster do Isilon.

Log-in Digite root.

Password Digite a senha do usuário root.

Certificate location

Digite o caminho de arquivo do certificado do provedor de fornecedores desse cluster.

3. Selecione a caixa Use Vendor Provider Certificate.

4. Clique em OK.

Desativar ou reativar o VASAVocê pode desativar ou reativar um cluster do Isilon para que ele se comunique com o VMware vSphere via VASA (VMware vSphere API for Storage Awareness).

Para desativar o suporte o VASA, você deve desativar o daemon de VASA e a interface Web de administração. Não é possível administrar o cluster por um navegador da Internet enquanto a interface Web estiver desativada. Para reativar o suporte o VASA, você deve ativar o daemon de VASA e a interface Web.

1. Abra uma conexão SSH (Secure Shell Protocol) com qualquer nó do cluster e faça log-in.

2. Desative ou ative a interface Web executando um dos seguintes comandos:

• isi services apache2 disable• isi services apache2 enable

3. Desative ou ative o daemon de VASA executando um dos seguintes comandos:

• isi services isi_vasa_d disable• isi services isi_vasa_d enable

Integração com o VMware 393

Fazendo a solução de problemas das falhas de exibição do armazenamento VASASe você não conseguir exibir informações sobre os clusters do Isilon por meio do vSphere, siga as dicas de solução de problemas a seguir para corrigir o problema.

• Verifique se o certificado de provedor do fornecedor é atual e não expirou.• Verifique se o cluster do Isilon pode se comunicar com VASA por meio do daemon VASA. Se o daemon VASA estiver desativado,

execute o seguinte comando para ativá-lo:

isi services isi_vasa_d enable• Verifique se a data e hora do cluster estão configuradas corretamente.• Verifique se os dados foram sincronizados devidamente do vCenter.

394 Integração com o VMware

File System ExplorerEsta seção contém os seguintes tópicos:

Tópicos:

• Visão geral do File System Explorer• Navegar no file system• Criar um diretório• Modificar as propriedades de arquivos e diretórios• Exibir propriedades de arquivos e diretórios• Propriedades de arquivos e diretórios

Visão geral do File System ExplorerFile System Explorer é uma interface baseada na Web que permite gerenciar conteúdo armazenado no cluster. Você pode usar o File System Explorer para navegar pelo file system Isilon (/ifs), adicionar diretórios e gerenciar propriedades de arquivos e diretórios, inclusive proteção de dados, otimização de E/S e permissões do UNIX.

As permissões do diretório do file system do Isilon são definidas inicialmente para permitir acesso total a todos os usuários. Qualquer usuário pode excluir qualquer arquivo, independentemente das permissões do arquivo. Dependendo de seu ambiente, você deve estabelecer restrições adequadas de permissão por meio do File System Explorer.

O File System Explorer dá suporte às zonas de acesso. Por padrão, o usuário root e o sysadmin têm acesso à zona de acesso de nível superior, chamada System (/ifs). Outros usuários podem ser restritos a zonas de acesso específicas — por exemplo, /ifs/home.

Você pode exibir e configurar as propriedades de arquivos e diretórios de clients Windows que estão conectados ao cluster. No entanto, como as permissões do Windows e do UNIX diferem entre si, você deve ter cuidado para não fazer alterações indesejadas que afetem o acesso a arquivos e diretórios.

Navegar no file systemVocê pode procurar o file system do Isilon, /ifs, por meio do File System Explorer.

1. Clique em File System > File System Explorer.

2. Visualize arquivos e diretórios.

Você pode clicar em um diretório para exibir seu conteúdo.

Criar um diretórioVocê pode criar um diretório na árvore de diretórios /ifs por meio do File System Explorer.

1. Clique em File System > File System Explorer.

2. Navegue até o diretório ao qual deseja adicionar o diretório.

3. Clique em Create Directory.

4. Na caixa de diálogo Create a Directory, no campo Directory name, digite um nome para o diretório.

5. Na área Permissions, atribua permissões ao diretório.

6. Clique em Create Directory.

Modificar as propriedades de arquivos e diretóriosVocê pode modificar as propriedades de arquivos e diretórios por meio do File System Explorer.

1. Clique em File System Management > File System Explorer.

28

File System Explorer 395

2. Navegue até o arquivo ou diretório que deseja modificar.

3. Na linha do arquivo ou diretório, clique em View / Edit.

4. Clique em Edit Properties.

5. Modifique as propriedades do arquivo ou diretório e, em seguida, clique em Save Changes.

Exibir propriedades de arquivos e diretóriosVocê pode exibir as propriedades de arquivos e diretórios por meio do File System Explorer.

1. Clique em File System Management > File System Explorer.

2. Navegue até o arquivo ou diretório que deseja exibir.

3. Na linha do arquivo ou diretório, clique em View / Edit.

Propriedades de arquivos e diretóriosAs seguintes propriedades de arquivos e diretórios são exibidas no File System Explorer:

PropertiesCaminho Exibe o caminho absoluto do arquivo ou diretório.

Tamanho do arquivo

Exibe o tamanho lógico do arquivo ou diretório.

Espaço usado Exibe o tamanho físico do arquivo ou diretório.

Last Modified Exibe a hora em que o arquivo ou diretório foi modificado pela última vez.

Last Accessed Exibe a hora em que o arquivo ou diretório foi acessado pela última vez.

UNIX PermissionsUser Exibe as permissões atribuídas ao proprietário do arquivo ou do diretório.

Group Exibe as permissões atribuídas ao grupo do arquivo ou do diretório.

Outros Exibe as permissões atribuídas a outros usuários do arquivo ou do diretório.

396 File System Explorer