透明的云分层规划

透明的云分层规划包括购买许可功能,然后在系统上激活并启用该功能。

透明云分层是获得许可的功能,允许将卷数据复制和传输到云存储器。系统支持创建到云服务提供商的连接,以将卷数据副本存储在私有或公共云存储器中。

通过透明云分层,管理员可以将较旧数据移到云存储器来释放系统上的容量。可以在系统上创建数据的时间点快照,然后将其复制并存储到云存储器中。外部云服务提供商负责管理云存储器,因此降低系统的存储成本。首先必须创建从系统到云服务提供商的连接,然后才能将数据复制到云存储器。云帐户是系统上的一个对象,用于使用一组特定凭证表示到云服务提供商的连接。这些凭证根据指定的云服务提供商类型的不同而有所不同。大多数云服务提供商都需要云服务提供商的主机名和关联密码,而某些云服务提供商还需要用于认证云存储器用户的证书。公共云使用由众所周知的认证中心签署的证书。私有云服务提供商可以使用自签名证书或者由可信认证中心签署的证书。这些凭证在云服务提供商中定义,并通过云服务提供商的管理员传递到系统。云帐户定义系统是否能够成功地使用帐户凭证与云服务提供商通信以及向云服务提供商进行认证。如果系统通过认证,那么可以访问云存储器以将数据复制到云存储器或者将复制到云存储器的数据复原回到系统。系统支持一个云帐户对应于一个云服务提供商。不支持在提供商之间迁移。

每个云服务提供商都将云存储器划分为多个分段,以用于使用云存储器的每个客户机。这些对象仅存储特定于该客户机的数据。对象名称以您在为系统创建帐户时指定的前缀开头。 前缀定义对象存储的系统特定内容,并支持多个独立系统将数据存储到单个云帐户。每个云服务提供商对这些存储对象都使用不同的术语。

在创建云帐户之前,请满足以下先决条件:
  1. 确保与受支持云服务提供商签订了服务合同。
  2. 获取用于对系统执行透明云分层的许可证。Lenovo Storage V7000 支持透明云分层。验证硬件型号是否支持此功能,再继续。
  3. 确保在系统上配置 DNS 服务器。如果尚未配置 DNS 服务器,那么在配置云帐户期间,向导将提示您创建 DNS 服务器。所有公共云服务提供商都使用主机名在公共网络中标识自己。系统需要使用域名系统 (DNS) 来将这些主机名转换为 IP 地址以建立云帐户。域名系统 (DNS) 将 IP 地址转换为主机名。

    在创建到云服务提供商的连接之前,请确保至少指定一个 DNS 服务器来管理主机名。系统上最多可以配置 2 个 DNS 服务器。要为系统配置 DNS,请为每个服务器输入有效 IP 地址和名称。支持 IPv4 和 IPv6 地址格式。

  4. 确定到云帐户的连接是否需要加密。如果要访问公共云解决方案,那么加密在数据传输到外部云服务提供商期间加以保护,以免遭受攻击。 要对发送到云服务提供商的数据加密,系统要求支持该功能的每个机柜都具有加密许可证,并且在系统上启用加密。

云帐户的安全注意事项

每当系统访问外部网络时,都存在可能有意或无意泄露敏感数据的风险。将系统连接到公共网络上的云服务提供商时,可以使用加密来保护传输到云服务提供商的数据。

第一级基于加密的安全性在系统和云服务提供商之间提供安全通信。标准协议“传输层安全性”(TLS) 通过对系统和云服务提供商之间传输的数据进行加密来保护这些连接。安全通信对于这些连接而言是必需的,并要求在云服务提供商和系统之间交换公用证书。要在管理 GUI 中配置证书以用于安全通信,请转至设置 > 安全 > 安全通信。还可使用 chsystemcert 命令来创建系统证书。 通过安全通信,数据在传输到云时进行加密,但在云中存储时可能处于解密状态。当数据存储到云存储器中后,每个云服务提供商都有自己的安全措施来保护数据;但是,仍可能发生违规现象并且数据可能受到危害。使用云服务提供商的客户可以添加额外的加密方法,以在数据存储到云之后加以保护。

由于系统支持对静态数据加密,因此您可以选择配置加密密钥管理以进一步保护云存储器中存储的数据。如果在系统中配置了密钥管理,那么会在数据离开系统和存储在云中之前进行加密。 系统支持通过 USB 闪存驱动器或加密密钥服务器进行密钥管理。当配置加密时,将创建主加密密钥,并将其单独存储在 USB 闪存驱动器或密钥服务器上。在创建数据快照以发送到配置的云服务提供商时,每个卷和每个云帐户都具有独立的加密密钥。云帐户使用的加密密钥将保护卷的加密密钥。 主加密密钥将保护云帐户使用的加密密钥。由于主加密密钥以物理方式存在于 USB 闪存驱动器或密钥服务器上,因此必须确保实施了安全措施,以防止主加密密钥失窃或丢失。在系统和云服务提供商之间传输数据时,该数据也通过为安全通信配置的证书进行加密。主加密密钥也会保护传输中的数据,并且该数据在存储到云存储器中时会保持加密状态。在复原操作期间,将数据从云传输回系统时,数据也会使用主加密密钥保持加密状态。最终,可以在数据到达系统时对其进行解密,或者可将其存储到系统上的加密卷。

当配置了到云服务提供商的连接时,您必须决定是否针对此帐户对云中的静态数据进行加密。做出决定之后,帐户的加密设置便不能更改,除非从云中复原所有数据,重新配置帐户,并且重新为数据创建云快照。

更新加密云帐户的要求

如果系统使用的代码级别低于 7.8.0,现在已更新至 7.8.x 或更高版本,并且您要使用加密的云帐户,那么在创建云帐户之前必须使用 chencryption 命令运行再加密操作。根据您使用的是基于 USB 还是密钥服务器的加密,再加密操作可能是以下任一命令。
chencyrption -usb newkey -key prepare chencryption -usb newkey -key commitchencryption -keyserver newkey -key prepare chencryption -keyserver newkey -key commit

再加密操作必须在完成更新至 7.8.x 代码级别或更高级别之后,并在生成加密的云帐户之前运行。