Guía de administración web de OneFS 8.0...Reglas de asignación de nombres para los grupos y...

IsilonOneFSVersión 8.0.1

Administration Guide

Copyright © 2001-2016 EMC Corporation Todos los derechos reservados.

Publicado en Octubre de 2016

Dell considera que la información de este documento es precisa en el momento de su publicación. La información está sujeta a cambios sin previo

aviso.

LA INFORMACIÓN DE ESTA PUBLICACIÓN SE PROPORCIONA “TAL CUAL”. DELL NO SE HACE RESPONSABLE NI OFRECE GARANTÍA DE

NINGÚN TIPO CON RESPECTO A LA INFORMACIÓN DE ESTA PUBLICACIÓN Y, ESPECÍFICAMENTE, RENUNCIA A TODA GARANTÍA

IMPLÍCITA DE COMERCIABILIDAD O CAPACIDAD PARA UN PROPÓSITO DETERMINADO. EL USO, LA COPIA Y LA DISTRIBUCIÓN DE

CUALQUIER SOFTWARE DE DELL DESCRITO EN ESTA PUBLICACIÓN REQUIEREN LA LICENCIA DE SOFTWARE CORRESPONDIENTE.

Dell, EMC y otras marcas comerciales pertenecen a Dell Inc. o sus filiales. Las demás marcas comerciales pueden ser propiedad de sus respectivos

dueños. Publicado en México.

Dirección local de EMCEMC Argentina (Cono Sur) Tel. +54-11-4021-3622 http://www.emc.com/es-ar/index.htmEMC México Tel. +52-55-5080-3700 http://www.emc.com/es-mx/index.htmEMC Venezuela (Norte de Latinoamérica) Tel. +58-212-206-6911 http://www.emc.com/es-ve/index.htm

2 OneFS 8.0.1 Administration Guide

Introducción a esta guía 23Acerca de esta guía.................................................................................... 24Descripción general de NAS de escalamiento horizontal de Isilon............... 24Descripción general de IsilonSD Edge......................................................... 24Dónde recurrir para obtener soporte.......................................................... 25

NAS de escalamiento horizontal de Isilon 27Arquitectura de almacenamiento de OneFS................................................28Componentes de un nodo Isilon.................................................................. 28Redes externas e internas.......................................................................... 29Clúster Isilon...............................................................................................29

Administración de clústeres...........................................................29Quórum......................................................................................... 30División y fusión............................................................................. 31Pools de almacenamiento............................................................... 31

El sistema operativo OneFS........................................................................32Protocolos de acceso a datos........................................................ 32Administración de identidades y control de acceso........................33

Estructura del sistema de archivos............................................................. 34Diseño de datos y.......................................................................... 34Archivos de escritura..................................................................... 34Archivos de lectura........................................................................35Diseño de metadatos..................................................................... 35Bloqueos y simultaneidad...............................................................35Fraccionado...................................................................................36

Descripción general de la protección de datos............................................36Protección de datos N+M..............................................................37Espejeado de datos........................................................................38El registro del sistema de archivos.................................................39Hot spare virtual (VHS)................................................................. 39Balanceo de la protección con espacio de almacenamiento........... 39

Integración con VMware.............................................................................39Módulos de software.................................................................................. 39

General cluster administration 43Descripción general de la administración general del clúster.......................44Interfaces de usuario.................................................................................. 44Conexión con el clúster.............................................................................. 45

Iniciar sesión en la interfaz de administración web.........................45Abrir una conexión del protocolo SSH con un clúster.................... 46

Licencia...................................................................................................... 46Estado de licencia.......................................................................... 47Configuración de licencia...............................................................50Habilitar una licencia...................................................................... 51Ver información de licencia............................................................ 51

Certificados................................................................................................52Sustituir o renovar el certificado SSL............................................ 52Verificar una actualización del certificado SSL.............................. 53Ejemplo de datos de certificado SSL autofirmado......................... 54

Capítulo 1

Capítulo 2

Capítulo 3

CONTENIDO

OneFS 8.0.1 Administration Guide 3

Identidad del clúster................................................................................... 54Establecer el nombre del clúster y la información de contacto...... 55

Fecha y hora del clúster............................................................................. 56Ajustar la fecha y la hora del cluster.............................................. 56Especificar un servidor de hora NTP..............................................56

Ajustes de correo electrónico SMTP.......................................................... 57Configurar ajustes de correo electrónico SMTP............................ 57

Configuración de los límites de los clusters.................................................58Especificar el modo de incorporación al clúster............................. 58

Ajustes del sistema de archivos.................................................................. 59Habilitar o deshabilitar el rastreo de la hora de acceso...................59Especificar la codificación de caracteres del clúster......................59

Consolidación de la seguridad.....................................................................60Perfil STIG hardening..................................................................... 61Aplicar un perfil de reforzamiento de seguridad............................. 62Revertir un perfil de reforzamiento de seguridad........................... 63Ver el estado de la consolidación de seguridad.............................. 64

Monitoreo del clúster................................................................................. 65Monitorear el clúster..................................................................... 66Ver el estado de un nodo............................................................... 66

Monitoreo del hardware del clúster............................................................ 67Ver el estado del hardware del nodo.............................................. 67Estados del chasis y las unidades...................................................68Comprobar el estado de la batería..................................................72Monitoreo del protocolo SNMP..................................................... 72

Eventos y alertas........................................................................................ 76Descripción general de eventos..................................................... 76Descripción general de grupos de eventos..................................... 76Descripción general de las alertas.................................................. 77Descripción general de canales...................................................... 77Visualización y modificación de grupos de eventos........................ 77Administración de alertas...............................................................78Administración de canales............................................................. 80Mantenimiento y pruebas.............................................................. 84

Mantenimiento del clúster.......................................................................... 86Sustitución de componentes del nodo........................................... 86Actualización de componentes del nodo........................................ 87Administración del firmware de una unidad.................................... 87Administración de nodos del clúster...............................................93Actualización de OneFS.................................................................95

Soporte remoto.......................................................................................... 96Configuración de la compatibilidad con ESRS................................96Scripts de soporte remoto............................................................. 97Habilitar y configurar ESRS........................................................... 99

Zonas de acceso 101Descripción general de las zonas de acceso ............................................. 102Reglas de directorios base........................................................................ 102Mejores prácticas de zonas de acceso...................................................... 103Zonas de acceso en un clúster secundario de SyncIQ............................... 104Límites de zonas de acceso....................................................................... 104Calidad del servicio................................................................................... 105Administración de zonas de acceso........................................................... 106

Crear una función de acceso........................................................ 106Asignar un directorio base superpuesto........................................ 107

Capítulo 4

CONTENIDO


Administrar proveedores de autenticación en una zona de acceso....107Asociar un pool de direcciones IP con una zona de acceso........... 108Modificar una zona de acceso...................................................... 108Eliminar una zona de acceso.........................................................108Ver una lista de las zonas de acceso.............................................109

Autenticación 111Descripción general de la autenticación..................................................... 112Funciones de proveedor de autenticación.................................................. 112Descripción general del historial del identificador de seguridad (SID)........ 112Proveedores de autenticación compatibles................................................ 113Active Directory.........................................................................................113LDAP......................................................................................................... 114NIS............................................................................................................ 115Autenticación Kerberos............................................................................. 115

Descripción general de keytabs y SPN..........................................116Compatibilidad con protocolo MIT Kerberos................................. 116

Proveedor de archivos............................................................................... 117Proveedor local.......................................................................................... 117Administración de proveedores de Active Directory...................................117

Configurar un proveedor de Active Directory................................118Modificar un proveedor de Active Directory..................................119Eliminar un proveedor de Active Directory.................................... 119Configuración del proveedor de Active Directory..........................119

Administración de proveedores de LDAP................................................... 121Configurar un proveedor de LDAP................................................ 121Modificar un proveedor de LDAP..................................................122Eliminar un proveedor de LDAP.................................................... 122Ajustes de consulta de LDAP........................................................ 123Ajustes avanzados de LDAP......................................................... 124

Administración de proveedores de NIS......................................................125Configurar un proveedor de NIS................................................... 126Modificar un proveedor de NIS..................................................... 127Eliminar un proveedor de NIS....................................................... 127

Administrar la autenticación MIT Kerberos................................................ 127Administración de realms MIT Kerberos....................................... 127Administración de proveedores MIT Kerberos.............................. 129Administración de los dominios de MIT Kerberos..........................132

Administración de proveedores de archivos.............................................. 134Configurar un proveedor de archivos............................................134Generar un archivo de contraseña................................................135Formato de archivo de contraseña............................................... 135Formato de archivo de grupo........................................................136Formato de archivo de netgroup...................................................137Modificar un proveedor de archivos............................................. 138Eliminar un proveedor de archivos................................................138

Administración de usuarios y grupos locales..............................................138Ver una lista de usuarios o grupos por proveedor......................... 138Crear un usuario local................................................................... 139Crear un grupo local..................................................................... 140Reglas de asignación de nombres para los grupos y usuarios locales..................................................................................................... 141Modificar un usuario local............................................................. 141Modificar un grupo local................................................................141

Capítulo 5

CONTENIDO


Eliminar un usuario local............................................................... 142Eliminar un grupo local................................................................. 142

Funciones y privilegios administrativos 143Acceso basado en funciones..................................................................... 144Roles......................................................................................................... 144

Funciones personalizadas............................................................. 145Funciones incorporadas................................................................145

Privilegios..................................................................................................148Privilegios de OneFS compatibles.................................................149Privilegios de respaldo y restauración de datos............................ 152Privilegios de la interfaz de la línea de comandos......................... 153

Administración de funciones......................................................................157Crear una función personalizada...................................................157Modificar una función...................................................................157Copiar una función....................................................................... 157Agregar un privilegio a una función personalizada........................ 158Agregar un miembro a una función............................................... 158Eliminar una función personalizada...............................................159Ver una función............................................................................ 159Ver privilegios...............................................................................159

Administración de identidades 161Descripción general de la administración de VCE...................................... 162Tipos de identidad..................................................................................... 162Tokens de acceso......................................................................................163Generación de token de acceso.................................................................164

Mapeo de ID................................................................................. 165Mapeo de usuarios....................................................................... 166Identidad en disco........................................................................ 169

Administrar mapeos de ID.......................................................................... 171Crear un mapeo de identidad.........................................................171Modificar un mapeo de identidad.................................................. 171Eliminar un mapeo de identidad..................................................... 171Ver un mapeo de identidad........................................................... 172Vaciar la caché de mapeo de identidades......................................172Ver un token de usuario................................................................ 173Configurar los ajustes del mapeo de identidades...........................173Ver la configuración del mapeo de identidades............................. 174

Administración de las identidades de usuario............................................. 174Ver la identidad de usuarios.......................................................... 175Crear una regla de mapeo de usuarios.......................................... 176Probar una regla de asignación de usuarios...................................177Fusionar tokens de Windows y UNIX............................................ 177Recuperar el grupo primario de LDAP...........................................178Opciones de I/O........................................................................... 179Operadores de reglas de mapeo................................................... 180

Directorios principales 185Descripción general de los directorios principales..................................... 186Permisos del directorio principal............................................................... 186Autenticación de usuarios SMB.................................................................186Creación del directorio principal a través de SMB..................................... 186

Crear directorios principales con variables de expansión.............. 187

Capítulo 6

Capítulo 7

Capítulo 8

CONTENIDO


Create home directories with the --inheritable-path-acl option....188Crear directorios principales especiales con la variable %U derecursos compartidos de SMB..................................................... 189

Creación de directorios principales mediante los protocolos SSH y FTP... 190Configuración del shell de inicio de sesión de protocolo SSH o FTP ..190Establecer los permisos del directorio principal de protocoloSSH/FTP...................................................................................... 191Establecer opciones de creación del directorio principal deprotocolo SSH/FTP..................................................................... 192Provisionar directorios principales con archivos dot..................... 193

Creación del directorio principal en un ambiente mixto............................. 194Interacciones entre ACL y bits de modo.................................................... 194Configuración predeterminada del directorio principal en los proveedores deautenticación............................................................................................ 194Variables de expansión compatibles.......................................................... 196Variables de dominio en el aprovisionamiento de directorios de inicio........197

Control de acceso a los datos 199Descripción general del control de acceso a datos....................................200ACL.......................................................................................................... 200Permisos de UNIX..................................................................................... 201Ambientes de permisos mixtos.................................................................. 201

Acceso NFS de archivos creados por Windows............................ 201Acceso SMB de archivos creados por UNIX................................ 202

Administración de permisos de acceso..................................................... 202Ver permisos de usuario esperados..............................................202Configurar los ajustes de administración de acceso..................... 203Modificar los ajustes de políticas de ACL..................................... 204Ajustes de configuración de la política de ACL.............................205Ejecutar el trabajo PermissionRepair.............................................211

Uso compartido de archivos 215Descripción general del uso compartido de archivos................................. 216

Ambientes de protocolos mixtos...................................................216Almacenamiento en caché de escritura con SmartCache............. 217

SMB..........................................................................................................218Recursos compartidos de SMB en zonas de acceso..................... 219SMB Multichannel....................................................................... 220Administración de recursos compartidos de SMB mediante MMC....221Copia del lado del servidor de SMB..............................................222Disponibilidad continua de SMB...................................................223Filtrado de archivos SMB.............................................................224Vínculos simbólicos y clientes SMB............................................. 225Acceso anónimo a los recursos compartidos de SMB...................227Administración de ajustes de SMB............................................... 227Administración de recursos compartidos de SMB.........................231

NFS.......................................................................................................... 237Exportaciones NFS...................................................................... 238Alias de NFS................................................................................ 238Archivos de log de NFS................................................................239Administración del servicio de NFS..............................................239Managing NFS exports.................................................................241

Capítulo 9

Capítulo 10

CONTENIDO


Administrar alias de NFS..............................................................249FTP........................................................................................................... 251

Habilitar y configurar el uso compartido de archivos vía FTP........251HTTP y HTTPS.........................................................................................252

Habilitar y configurar HTTP......................................................... 252

Filtrado de archivos 255Filtrado de archivos en una zona de acceso..............................................256Habilitar y configurar el filtrado de archivo en una zona de acceso...........256Modificar la configuración de filtrado de archivos en una zona de acceso....257Ver ajustes de filtrado de archivos............................................................ 257

Auditoría 259Descripción general de la auditoría........................................................... 260Syslog...................................................................................................... 260

Reenvío de syslog.........................................................................261Eventos de auditoría de protocolo.............................................................261Herramientas de auditoría compatibles.....................................................262Entrega de eventos de auditoría de protocolo a varios servidores CEE.....262Tipos de evento compatibles.................................................................... 263Ejemplo de registro de auditoría............................................................... 264Administración de configuraciones de auditoría........................................265

Enable protocol access auditing.................................................. 265Enviar eventos de acceso de protocolos a syslog ........................267Habilitar auditorías del sistema de configuración..........................267Configurar el nombre de host de auditoría................................... 268Configurar las zonas de protocolo auditado................................. 268Reenviar los cambios en la configuración del sistema a syslog.....269Configurar filtros de eventos de protocolo.................................. 269

Integración con EMC Common Event Enabler.......................................... 270Instalar CEE para Windows..........................................................270Configurar CEE para Windows..................................................... 271Configurar los servidores CEE para proporcionar eventos deauditoría de protocolo.................................................................. 272

Seguimiento de la entrega de eventos de auditoría de protocolo.............. 272Ver las horas de registro de la entrega de eventos al servidor deCEE y syslog................................................................................ 272Mover la posición en el registro del reenviador de CEE................ 273Ver la velocidad de entrega de eventos de auditoría de protocolo enel servidor de CEE........................................................................273

Snapshots 275Descripción general de snapshots.............................................................276Protección de datos con SnapshotIQ........................................................276Uso del espacio en disco para snapshots.................................................. 276Calendarios de snapshots......................................................................... 277Alias de snapshots.................................................................................... 277Restauración de archivos y directorios......................................................277Mejores prácticas para crear snapshots....................................................278Mejores prácticas para crear calendarios de snapshots............................ 279Clones de archivos................................................................................... 280

Consideraciones sobre las áreas de almacenamiento ocultas.......280Bloqueos de snapshots..............................................................................281

Capítulo 11

Capítulo 12

Capítulo 13

CONTENIDO


Reserva de snapshots............................................................................... 281Funcionalidad de licencia de SnapshotIQ.................................................. 282Creación de snapshots con SnapshotIQ....................................................282

Crear un dominio SnapRevert...................................................... 283Crear un calendario de snapshots................................................ 283Cree un snapshot.........................................................................284Perfiles de asignación de nombres de snapshots......................... 285

Administración de snapshots ................................................................... 288Reducción del uso del espacio en disco para snapshots............... 288Eliminar un snapshot....................................................................289Modificar atributos de snapshots.................................................289Asignar un alias de snapshot a un snapshot................................. 290Ver snapshots..............................................................................290Información del snapshot.............................................................290

Restauración de datos de snapshots......................................................... 291Revertir un snapshot.................................................................... 291Restaurar un archivo o directorio con el Explorador de Windows....291Restaurar un archivo o directorio mediante una línea de comandosde UNIX....................................................................................... 292Clonar una archivo desde un snapshot.........................................292

Administración de calendarios de snapshots.............................................293Modificar un calendario de snapshots..........................................293Eliminar un calendario de snapshots............................................ 293Ver calendarios de snapshots.......................................................294

Administración de alias de snapshots........................................................294Configurar un alias de snapshot para un calendario de snapshots....294Asignar un alias de snapshot a un snapshot................................. 294Reasignar un alias de snapshot al sistema de archivos activo...... 295Ver recursos compartidos de snapshot........................................295Información del snapshot.............................................................295

Administración con bloqueos de snapshots...............................................296Crear un bloqueo de snapshot..................................................... 296Modificar una fecha de vencimiento de bloqueo de snapshot...... 296Eliminar un bloqueo de snapshot..................................................297Información de un bloqueo de snapshot....................................... 297

Configurar ajustes de SnapshotIQ............................................................ 298Configuración SnapshotIQ...........................................................298

Establecimiento de una reserva de snapshot............................................ 299Administración de listas de cambios......................................................... 300

Crear una lista de cambios...........................................................300Eliminar una lista de cambios....................................................... 300Ver una lista de cambios.............................................................. 300Información de listas de cambios..................................................301

Administración de deduplicación con SmartDedupe 303Descripción general de la deduplicación....................................................304Trabajos de deduplicación........................................................................ 304Replicación de datos y respaldo con deduplicación...................................305Snapshots con deduplicación................................................................... 306CUATRO CONSIDERACIONES................................................................ 306Consideraciones sobre las áreas de almacenamiento ocultas.................... 307Funcionalidad clave de SmartDedupe....................................................... 307Administración de deduplicación...............................................................308

Capítulo 14

CONTENIDO


Evaluar el ahorro de espacio con la deduplicación........................308Especificar la configuración de la deduplicación.......................... 308Iniciar o programar un trabajo de deduplicación...........................309Ver el ahorro de espacio con la deduplicación...............................310Ver un informe de deduplicación.................................................. 310Información sobre el informe de trabajo de deduplicación............ 310Información sobre la deduplicación............................................... 311

Replicación de datos con SyncIQ 313Descripción general de la replicación de datos de SyncIQ......................... 314

Acceso a SyncIQ con IsilonSD Edge............................................. 314Políticas y trabajos de replicación..............................................................314

Políticas de replicación automatizada...........................................315Asociación de clústeres de origen y destino..................................317Configuración de clústeres de origen y destino de SyncIQ con NAT..317Replicación completa y diferencial............................................... 319Control del uso de recursos de los trabajos de replicación............319Prioridad de las políticas de replicación........................................ 319Informes de replicación................................................................320

Snapshots de replicación..........................................................................320Snapshots de clústeres de origen................................................ 320Snapshots de clústeres de destino............................................... 321

Failover y failback de datos con SyncIQ.................................................... 321Failover de datos......................................................................... 322Failback de datos......................................................................... 323Conmutaciones por error y por recuperación en el modo decumplimiento de normas de SmartLock....................................... 323Limitaciones de la replicación de SmartLock................................324

Tiempos y objetivos de recuperación de SyncIQ.......................................325Alertas de RPO............................................................................ 325

Prioridad de las políticas de replicación.................................................... 326Funcionalidad de licencia de SyncIQ......................................................... 326Creación de políticas de replicación..........................................................326

Exclusión de directorios en la replicación.....................................326Exclusión de archivos en la replicación.........................................327Opciones de criterios de archivos................................................ 328Configurar los ajustes predeterminados de la política de replicación..330Crear una política de replicación...................................................331Configuración de la política de replicación................................... 338

Administración de la replicación en clústeres remotos.............................. 338Iniciar un trabajo de replicación....................................................339Pausar un trabajo de replicación.................................................. 339Reanudar un trabajo de replicación.............................................. 339Cancelar un trabajo de replicación............................................... 339Ver trabajos de replicación activos.............................................. 339Información sobre el trabajo de replicación..................................340

Inicio de failover y failback de datos con SyncIQ...................................... 340Realizar failover de los datos a un clúster secundario................... 341Revertir una operación de failover................................................341Fail back data to a primary cluster............................................... 342

Realizar recuperación ante desastres para directorios de SmartLock másantiguos....................................................................................................343

Capítulo 15

CONTENIDO


Recuperar directorios de cumplimiento de normas de SmartLock enun clúster de destino....................................................................343Migrar directorios de cumplimiento de normas de SmartLock......344

Administración de políticas de replicación.................................................346Modificar una política de replicación............................................346Eliminar política de autenticación.................................................346Activar o desactivar frames jumbo:.............................................. 347Ver políticas de replicación.......................................................... 347Información de la política de replicación.......................................347Configuración de políticas de replicación..................................... 348

Administración de replicación en el clúster local........................................351Cancelar la replicación en el clúster local..................................... 352Cancelar la asociación de destino local........................................ 352Ver las políticas de replicación destinadas al clúster local............ 352Información sobre la política de replicación remota..................... 352

Administración de reglas de rendimiento de la replicación........................ 353Crear una regla nueva o de prueba...............................................353Crear una regla para las operaciones de archivos.........................353Modificar una regla de rendimiento..............................................354Eliminar una regla de rendimiento................................................ 354Habilitar o deshabilitar una regla de rendimiento..........................354Ver las reglas de rendimiento.......................................................354

Administración de informes de replicación................................................355Configurar ajustes predeterminados de informes de replicación.. 355Eliminar informes de replicación.................................................. 355Ver todos los informes.................................................................355Información de los informes de replicación.................................. 356

Administración de trabajos de replicación fallidos..................................... 357Configuración de la política de replicación................................... 357Restablecer una política de replicación........................................ 357Realizar una replicación completa o diferencial............................358

Disposición de datos con FlexProtect 359Descripción general de la FlexProtect...................................................... 360Fraccionado de archivos...........................................................................360« Protección de datos..............................................................................360Recuperación de datos de FlexProtect......................................................361

SmartFail......................................................................................361Fallas de nodo..............................................................................362

Solicitar protección de datos.................................................................... 362Configuración de la protección requerida................................................. 363Uso del espacio en disco para la protección requerida.............................. 364

Descripción general de la recuperación y del respaldo de tipoNDMP 367Descripción general de respaldo y restauración de NDMP........................368

Recuperación y respaldo de tipo NDMP de IsilonSD Edge........... 368Respaldo de tipo NDMP bidireccional.......................................................368Respaldo de tipo NDMP de tres vías.........................................................369Configuración de direcciones IP recomendadas para las operaciones de tipoNDMP de tres vías....................................................................................369Recuperación y respaldo multi-stream de tipo NDMP.............................. 369Respaldos incrementales basados en snapshots....................................... 370Compatibilidad con protocolo NDMP.........................................................371

Capítulo 16

Capítulo 17

CONTENIDO


DMA compatibles...................................................................................... 371Compatibilidad con hardware NDMP........................................................ 372Limitaciones de respaldo de NDMP.......................................................... 372Recomendaciones de rendimiento de NDMP............................................ 372Exclusión de archivos y directorios de respaldos de tipo NDMP............... 374Configuración de los ajustes básicos de respaldo de tipo NDMP...............375

Configurar y habilitar el respaldo de tipo NDMP.......................... 376Ver la configuración del respaldo de tipo NDMP.......................... 376Deshabilitar el respaldo de tipo NDMP.........................................376

Administración de cuentas de usuario de NDMP....................................... 377Crear una cuenta de administrador de NDMP.............................. 377Ver las cuentas de usuario de NDMP........................................... 377Modificar la contraseña de una cuenta de administrador de NDMP...377Eliminar una cuenta de administrador de NDMP.......................... 378

Descripción general de las variables de ambiente NDMP.......................... 378Administrar variables de ambiente NDMP.................................... 378Configuración de variables de ambiente NDMP........................... 379Agregar una variable de ambiente NDMP.....................................379Ver las variables del ambiente NDMP.......................................... 380Editar una variable del ambiente NDMP.......................................380Eliminar una variable del ambiente NDMP....................................380Variables de ambiente NDMP....................................................... 381Configuración de variables de ambiente para las operaciones derespaldo y restauración................................................................389

Administración de contextos NDMP.........................................................390Configuración de contextos de NDMP.........................................390Ver contextos NDMP................................................................... 391Eliminar un contexto de NDMP.................................................... 391

Administrar sesiones NDMP......................................................................391Información de sesión de NDMP.................................................. 391Ver sesiones de NDMP................................................................ 394Anular una sesión de NDMP.........................................................394

Administración de puertos Fibre Channel NDMP...................................... 394Ajustes de un puerto de respaldo de tipo NDMP..........................395Habilitar o deshabilitar un puerto de respaldo de tipo NDMP....... 395Ver puertos de respaldo de tipo NDMP........................................396Modificar ajustes de un puerto de respaldo de tipo NDMP.......... 396

Administración de configuraciones de IP recomendadas NDMP............... 396Crear una configuración de IP recomendada de NDMP............... 396Modificar una configuración de IP recomendada de NDMP......... 397Ver las configuraciones de IP recomendadas de NDMP............... 397Ver la configuración de IP NDMP recomendada.......................... 398Eliminar la configuración de IP recomendada de NDMP...............398

Administración de dispositivos de respaldo de tipo NDMP........................398Ajustes del dispositivo de respaldo de tipo NDMP....................... 398Detectar dispositivos de respaldo de tipo NDMP......................... 399Ver dispositivos de respaldo de tipo NDMP................................. 400Modificar el nombre de un dispositivo de respaldo de tipo NDMP....400Eliminar una entrada de un dispositivo de respaldo de tipo NDMP....400

Descripción general de los archivos dumpdate de NDMP..........................401Administrar el archivo dumpdates de NDMP................................ 401Configuración de archivo dumpdates de NDMP........................... 401Ver las entradas en el archivo dumpdates de NDMP....................402

CONTENIDO


Eliminar entradas del archivo dumpdates de NDMP.....................402Operaciones de restauración de NDMP.................................................... 402

Operación de restauración NDMP paralela.................................. 402Operación de restauración en serie de tipo NDMP.......................402Especificar una operación de restauración en serie de tipo NDMP....402

Uso compartido de unidades de cinta entre clústeres...............................403Administración de respaldos incrementales basados en snapshots........... 403

Habilitar respaldos incrementales basados en snapshots para undirectorio.....................................................................................404Ver snapshots para respaldos incrementales basados en snapshots..404Eliminar snapshots para respaldos incrementales basados ensnapshots.................................................................................... 404

Retención de archivos con SmartLock 405Descripción general de SmartLock........................................................... 406Modo de cumplimiento de normas............................................................ 406Modo empresarial.....................................................................................406Directorios de SmartLock......................................................................... 407Acceso a SmartLock con IsilonSD Edge....................................................407Replicación y respaldo con SmartLock..................................................... 408Funcionalidad de licencia de SmartLock................................................... 408Consideraciones de SmartLock................................................................ 409Establecer el reloj de cumplimiento de normas......................................... 409Ver el reloj de cumplimiento de normas..................................................... 410Creación de un directorio de SmartLock................................................... 410

Periodos de retención.................................................................. 410Períodos de tiempo de confirmación automática.......................... 410Crear un directorio empresarial a partir de un directorio que no estávacío............................................................................................. 411Crear un directorio de SmartLock................................................. 411

Administración de directorios SmartLock..................................................412Modificar un directorio de SmartLock.......................................... 412Ver los ajustes de directorios SmartLock......................................413Ajustes de configuración de directorios de SmartLock................. 413

Administración de archivos en directorios de SmartLock.......................... 414Configurar un período de retención mediante una línea de comandosUNIX............................................................................................ 415Establecer un período de retención a través de WindowsPowerShell...................................................................................415Confirmar un archivo en un estado WORM mediante una línea decomandos de UNIX.......................................................................416Asignar un archivo a un estado WORM a través del Explorador deWindows...................................................................................... 416Reemplazar el período de retención de todos los archivos de undirectorio de SmartLock...............................................................416Eliminar un archivo confirmado en un estado WORM .................. 417Ver el estado WORM de un archivo.............................................. 417

Dominios de protección 419Descripción general de los dominios de protección...................................420

Dominios de protección para IsilonSD Edge................................. 420Consideraciones sobre los dominios de protección................................... 420

Capítulo 18

Capítulo 19

CONTENIDO


Crear un dominio de protección................................................................ 421Eliminar un dominio de protección.............................................................421

Data-at-rest-encryption 423Descripción general del cifrado de datos en reposo.................................. 424

Cifrado de datos en reposo para IsilonSD Edge............................424Unidades con cifrado automático..............................................................424Seguridad de datos en unidades con autocifrado......................................424Migración de datos a un clúster de unidades con cifrado automático....... 425Estados del chasis y las unidades..............................................................425Estado REPLACE de las unidades con SmartFail...................................... 429Estado ERASE de las unidades con SmartFail........................................... 431

SmartQuotas 433Descripción general de la SmartQuotas.................................................... 434Tipos de cuota.......................................................................................... 434Tipo de cuota predeterminado..................................................................435Contabilidad y límites de uso.....................................................................437Cálculos del uso de discos........................................................................ 439Notificaciones de cuotas.......................................................................... 440Reglas de notificación de cuotas.............................................................. 440Informes de cuotas....................................................................................441Creación de cuotas...................................................................................442

Crear una cuota de contabilidad...................................................442Crear una cuota de imposición.....................................................443

Administración de cuotas..........................................................................444Buscar cuotas.............................................................................. 444Administrar cuotas.......................................................................445Exportar un archivo de configuración de cuotas.......................... 446Importar un archivo de configuración de cuota............................ 446

Administración de notificaciones de cuotas.............................................. 446Configurar ajustes de notificación de cuota predeterminados......447Configurar reglas de notificación de cuota personalizadas...........448Asignar una regla de notificación por correo electrónico a una cuota.................................................................................................... 448

Mensajes de notificación de cuotas por correo electrónico...................... 449Descripciones de las variables de plantillas de notificación porcorreo electrónico personalizadas............................................... 450Personalizar plantillas de notificación de cuotas por correoelectrónico.................................................................................. 450

Administración de informes de cuotas.......................................................451Crear un calendario de informes de cuotas.................................. 452Generar un informe de cuotas......................................................452Localizar un informe de cuotas.................................................... 452

Configuración básica del usuario...............................................................453Configuración de reglas de notificación de cuotas de límites recomendados..454Configuración de reglas de notificación de cuotas de límite mínimo......... 455Configuración de reglas de notificación de cuotas de límites máximos..... 456Configuración de notificaciones del cliente...............................................457Ajustes de informes de cuotas..................................................................458

Pools de almacenamiento 461Descripción general del pool de almacenamiento...................................... 462

Capítulo 20

Capítulo 21

Capítulo 22

CONTENIDO


Funciones del pool de almacenamiento.....................................................463Funciones de pools de almacenamiento compatibles con IsilonSDEdge............................................................................................ 465

Aprovisionamiento automatizado..............................................................465Pools de nodos......................................................................................... 465

Compatibilidades de clases de nodos........................................... 466Compatibilidades de discos SSD.................................................. 467Pools de nodos manuales.............................................................468

Hot spares virtuales..................................................................................468Spillover................................................................................................... 469Protección sugerida..................................................................................469Políticas de protección............................................................................. 470Estrategias de discos SSD.........................................................................471Aceleración de espacios de nombres globales...........................................472Descripción general de la caché L3........................................................... 472

Migración a caché L3................................................................... 473Caché L3 en pools de nodos serie NL y serie HD..........................474

Niveles......................................................................................................474Políticas de pools de archivos................................................................... 475Administración de los pools de nodos en la interfaz de administración web....476

Agregar pools de nodos a un nivel................................................476Cambiar el nombre o la protección requerida de un pool de nodos....476Crear una compatibilidad de clases de nodo.................................477Fusionar los pools de nodos compatibles......................................478Eliminar una compatibilidad de clases de nodo............................. 479Crear una compatibilidad de discos SSD...................................... 479Eliminar una compatibilidad de discos SSD.................................. 480

Administración de la caché L3 desde la interfaz de administración web.... 481Establecer la caché L3 como la opción predeterminada para lospools de nodos............................................................................. 481Establecer la caché L3 en un pool de nodos específico.................481Restaurar discos SSD para almacenar unidades para un pool denodos...........................................................................................482

Administración de niveles......................................................................... 483Crear un nivel.............................................................................. 483Editar un nivel..............................................................................483Eliminar un nivel...........................................................................484

Creación de políticas de pools de archivos................................................484Crear una política de pools de archivos........................................485Opciones de coincidencia de archivos para las políticas de pool dearchivos.......................................................................................486Caracteres comodín válidos......................................................... 487Configuración de SmartPools...................................................... 488

Administración de políticas de pools de archivos...................................... 492Configurar los ajustes de protección de pools de archivospredeterminados..........................................................................492Configuración predeterminada de protección requerida para poolsde archivos.................................................................................. 492Configuración de los ajustes de optimización de I/Opredeterminados..........................................................................494Configuración de optimización de I/O predeterminada de pools dearchivos.......................................................................................495Modificar una política de pool de archivos................................... 495Priorizar una política de pool de archivos.....................................496

CONTENIDO


Create a file pool policy from a template..................................... 496Eliminar una política de pool de archivos...................................... 497

Monitoreo de pools de almacenamiento....................................................497Monitorear los pools de almacenamiento..................................... 497Visualización del estado de los subpools...................................... 498Ver los resultados de un trabajo SmartPools................................498

CloudPools 499Descripción general de CloudPools...........................................................500

Acceso a CloudPools con IsilonSD Edge.......................................501Proveedores de nube compatibles............................................................ 501

EMC Isilon....................................................................................501Dispositivo EMC ECS...................................................................501Virtustream Storage Cloud.......................................................... 502Amazon S3.................................................................................. 502Microsoft Azure...........................................................................503

Conceptos de CloudPools.........................................................................503Procesamiento de archivos de CloudPools............................................... 505Archiving de archivos con las políticas de pools de archivos.....................506

Políticas de muestra con acciones de CloudPools........................506Acerca del orden de la política de pools de archivos.................... 506Parámetros de políticas de pool de archivos para archiving en lanube............................................................................................ 507Opciones de coincidencia de archivos para las políticas de archivingde nube........................................................................................ 512Combinación de acciones de políticas de almacenamiento local y denube............................................................................................. 514

Recuperación de datos en archivos desde la nube.....................................514Acceso en línea de datos de nube.................................................514Recuperar archivos desde la nube................................................ 514

Interoperabilidad de CloudPools con otras funciones de OneFS................515Compresión y cifrado de datos en la nube.................................... 515Acceso en línea de NFS................................................................516Acceso en línea de SMB............................................................... 516Otros protocolos compatibles con el acceso en línea................... 516Interoperabilidad de SyncIQ......................................................... 516Respaldo y restauración de tipo NDMP para datos en la nube......519Comportamiento de CloudPools con instantáneas.......................520CloudPools con SmartLock.......................................................... 521CloudPools y SmartQuotas.......................................................... 521CloudPools y SmartDedupe..........................................................521

Mejores prácticas de CloudPools..............................................................522Uso de registros de fecha y hora para la recuperación y el archivingde datos en la nube......................................................................522Archiving y tamaño de los archivos de CloudPools.......................522Creación de cuentas exclusivas para fines de CloudPools............522

Solución de problemas de CloudPools...................................................... 523Comportamiento esperado de CloudPools................................... 523Registros de CloudPools..............................................................525Solución de problemas de CloudPools......................................... 526

Servidores proxy de red con CloudPools.................................................. 526Crear un proxy de red.................................................................. 527Ver una lista de proxies de red..................................................... 527Ver las propiedades del proxy de red........................................... 528Modificar un proxy de red............................................................528

Capítulo 23

CONTENIDO


Eliminar un proxy de red.............................................................. 528Administración de las cuentas de almacenamiento de nube...................... 529

Crear cuentas de almacenamiento de nube..................................529Editar una cuenta de almacenamiento de nube............................ 530

Administración de CloudPools................................................................... 531Crear un CloudPool...................................................................... 531Ver información sobre un CloudPool............................................ 531Editar un CloudPool..................................................................... 532Monitorear CloudPools................................................................ 532

Administración de políticas de nube..........................................................532Ver o editar la configuración predeterminada de pools de archivos....533Crear una política de pools de archivos para el almacenamiento denube............................................................................................ 533Modificar los atributos de nube en una política de pool de archivos...535

Tareas del sistema 537Descripción general de trabajos del sistema............................................. 538Biblioteca de trabajos del sistema.............................................................538Operación del trabajo............................................................................... 542Impacto en el rendimiento del trabajo....................................................... 543Prioridades de trabajos.............................................................................544Administración de trabajos del sistema..................................................... 544

Ver los trabajos activos................................................................545Ver el historial de tareas.............................................................. 545Iniciar un trabajo..........................................................................545Pausar un trabajo.........................................................................545Reanudación de una tarea............................................................546Cancelación de una tarea.............................................................546Actualizar un informe...................................................................546Modificar la configuración del tipo de trabajo.............................. 547

Administración de una librería de cintas virtuales......................................547Creación de una política de grupos.............................................. 547Copiar una política de impacto.....................................................548Para configurar una política:........................................................ 548Eliminar una política de impacto...................................................549Ver ajustes de puertos Fibre Channel.......................................... 549

Visualización de informes y estadísticas de trabajos.................................550Ver estadísticas de una tarea en curso........................................ 550Ver un informe de un trabajo completado.................................... 550

Redes 551Descripción general de la red....................................................................552Acerca de la red interna............................................................................552

Rangos de direcciones IP internas............................................... 552Failover de red interna.................................................................553Configuración de la red interna para IsilonSD Edge......................553

Acerca de la red externa...........................................................................553Groupnets................................................................................... 554Subredes..................................................................................... 555Los pools de direcciones IP..........................................................556Módulo de SmartConnect............................................................556Reglas de aprovisionamiento de nodos........................................ 560

Capítulo 24

Capítulo 25

CONTENIDO


Opciones de enrutamiento...........................................................560Configuración de la red interna................................................................. 561

Modificar el rango de direcciones IP internas.............................. 562Modificar la máscara de red de la red interna.............................. 562Configurar y habilitar el failover interno ...................................... 563Deshabilitar el failover de la red interna....................................... 564

Administración de groupnets.................................................................... 564Crear una groupnet......................................................................564Modificar una groupnet............................................................... 565Eliminar una groupnet..................................................................566Ver groupnets..............................................................................566

Administración de subredes de red externa.............................................. 567Crear una subred......................................................................... 567Modificar una subred...................................................................569Eliminar una subred..................................................................... 569Ver la configuración de subred.................................................... 569Configurar una dirección IP del servicio SmartConnect...............569Habilitar o deshabilitar el etiquetado de VLAN............................. 570Agregar o eliminar una dirección de DSR..................................... 570

Administración de pools de direcciones IP.................................................571Crear un pool de direcciones IP.................................................... 571Modificar un pool de direcciones IP..............................................571Eliminar un pool de direcciones IP................................................572Ver la configuración del pool de direcciones IP............................ 572Agregar o eliminar un rango de direcciones IP..............................572

Administración de la configuración de SmartConnect...............................573Modificar una zona DNS SmartConnect...................................... 573Especificar una subred del servicio de SmartConnect..................573Suspender o reanudar un nodo.................................................... 574Configurar la asignación de direcciones IP................................... 574Configurar una política de balanceo de conexiones...................... 576Configurar una política de failover de IP.......................................577Configurar una política de rebalanceo de direcciones IP.............. 577

Administración de miembros de la interfaz de red.....................................579Agregar o eliminar una interfaz de red......................................... 579Configurar agregación de enlaces................................................579

Administración de las reglas de aprovisionamiento de nodos.....................581Crear una regla de aprovisionamiento de nodos........................... 581Modificar una regla de aprovisionamiento de nodos.....................582Eliminar una regla de aprovisionamiento de nodos....................... 582Ver la configuración de la regla de aprovisionamiento de nodos...583

Opciones de administración del enrutamiento.......................................... 583Habilitar o deshabilitar el enrutamiento basado en el origen.........583Agregar o eliminar una ruta estática............................................ 583

Administración de la configuración de la caché de DNS............................584Vaciar la caché de DNS................................................................584Modificar la configuración de la caché de DNS............................584Configuración de la caché de DNS...............................................584

Administración de puertos TCP................................................................ 585Agregar o eliminar puertos TCP...................................................585

Hadoop 587Descripción general de Hadoop................................................................ 588Dirección IP de Hadoop............................................................................ 588

Capa de cómputo........................................................................ 588

Capítulo 26

CONTENIDO


Capa de almacenamiento.............................................................588Cómo se implementa Hadoop en OneFS...................................................589Hadoop distributions supported by OneFS............................................... 589Archivos y directorios HDFS.....................................................................589Cuentas de grupos y usuarios de Hadoop................................................. 590Métodos de autenticación de HDFS......................................................... 590HDFS SmartConnect................................................................................590WebHDFS................................................................................................. 591Suplantación de identidad segura..............................................................591Agente Ambari..........................................................................................592Cifrado por cable HDFS............................................................................592Compatibilidad con Apache Ranger.......................................................... 593IP de Virtual HDFS....................................................................................593Implementación de Hadoop con OneFS.................................................... 594Administración del servicio de HDFS........................................................ 594

Activar o desactivar el dominio HDFS.......................................... 594Configurar ajustes de servidores HDFS....................................... 594Ajustes de servicios de HDFS...................................................... 595Ver la configuración de HDFS......................................................595Modificar los niveles de registro de HDFS................................... 596Ver los niveles de registro de HDFS.............................................596

Configurar el directorio raíz de HDFS.......................................................596Configuración de los métodos de autenticación de HDFS.........................597

Configurar el método de autenticación de HDFS......................... 597Configurar las propiedades de autenticación de HDFS en el clienteHadoop........................................................................................ 597Métodos de autenticación de HDFS compatibles.........................598

Crear un usuario local de Hadoop............................................................. 598Habilitar o inhabilitar WebHDFS............................................................... 599Configuración de suplantación de identidad segura.................................. 599

Crear un usuario proxy................................................................ 599Modificar un usuario proxy.......................................................... 600Eliminar un usuario proxy.............................................................600Ver un usuario proxy....................................................................600

Configurar ajustes del agente Ambari........................................................601Editar la configuración del plug-in Ranger.................................................601Configurar el cifrado de cable HDFS.........................................................602Administración de racks virtuales de HDFS.............................................. 602

Cree dos adaptadores virtuales de HDFS.....................................603Modificar un rack virtual HDFS....................................................603Eliminar un rack virtual de HDFS................................................. 603Ver racks virtuales de HDFS........................................................ 604

Antivirus 605Descripción general del antivirus.............................................................. 606Escaneo de acceso................................................................................... 606Escaneo de política antivirus.....................................................................607Escaneo de archivos individuales.............................................................. 607Antivirus y archivos WORM......................................................................607Informes de escaneo antivirus.................................................................. 608Servidores ICAP....................................................................................... 608Respuestas a amenazas antivirus............................................................. 608Configuración de los parámetros globales del antivirus............................. 610

Excluir archivos de los escaneos antivirus.................................... 610Configurar ajustes del escaneo en el acceso................................. 611

Capítulo 27

CONTENIDO


Configurar ajustes de respuesta a amenazas antivirus.................. 611Configurar los ajustes de conservación de informes de antivirus...611Activar o desactivar el escaneo antivirus......................................612

Administración de servidores ICAP............................................................612Falla al conectar con el servidor ICAP.......................................... 612Prueba de conexión a un servidor ICAP........................................ 612Modificar la configuración de conexión ICAP............................... 613Desconectarse temporalmente de un servidor ICAP.....................613Para crear un servidor ICAP:........................................................ 613Eliminar un servidor ICAP............................................................. 613

Crear una política antivirus........................................................................613Administración de las políticas antivirus.................................................... 614

Modificar una política antivirus.....................................................614Eliminar una política antivirus....................................................... 615Activar o desactivar frames jumbo:.............................................. 615Ver políticas antivirus................................................................... 615

Administración de los escaneos antivirus.................................................. 615Escaneo de un archivo................................................................. 615Ejecutar manualmente una política antivirus.................................616Detener un escaneo antivirus en ejecución...................................616

Administración de las amenazas antivirus..................................................616Archivo de intercambio de 4 GB................................................... 616Procesar archivo.......................................................................... 616Eliminar un archivo de la cuarentena............................................ 617Truncado manual de un archivo.................................................... 617Consulte ...................................................................................... 617Información de amenazas antivirus...............................................617

Administración de los informes de antivirus...............................................618Ver todos los informes..................................................................618Ver ahora ».................................................................................. 618

IsilonSD Edge 619Arquitectura y almacenamiento de EMC IsilonSD Edge............................ 620Descripción general del clúster IsilonSD.................................................... 621Descripción general de la licencia de EMC IsilonSD Edge.......................... 621Descripción general de IsilonSD Management Server............................... 624Implementación y configuración de clústeres de IsilonSD.........................625

Integración con VMware 627Descripción general de la integración con VMware...................................628VAAI......................................................................................................... 628VASA........................................................................................................628

Alarmas de Isilon VASA................................................................ 628Funcionalidades del almacenamiento de VASA............................ 629

Configuración de soporte para VASA........................................................629Activar VASA...............................................................................630Descargar el certificado del proveedor de Isilon...........................630Crear un certificado con autofirma.............................................. 630Agregar el proveedor de Isilon..................................................... 632

Deshabilitar o volver a habilitar VASA....................................................... 633Solución de problemas de visibilidad del almacenamiento VASA............... 633

File System Explorer 635Descripción general de File System Explorer............................................ 636

Capítulo 28

Capítulo 29

Capítulo 30

CONTENIDO


Navegar por el sistema de archivos.......................................................... 636Llamadas de creación por segundo........................................................... 636Modificar las propiedades de archivos y directorios..................................637Ver las propiedades de archivos y directorios........................................... 637Propiedades de archivos y directorios...................................................... 637

CONTENIDO


CONTENIDO


CAPÍTULO 1

Introducción a esta guía

Esta sección contiene los siguientes temas:

l Acerca de esta guía............................................................................................ 24l Descripción general de NAS de escalamiento horizontal de Isilon.......................24l Descripción general de IsilonSD Edge.................................................................24l Dónde recurrir para obtener soporte..................................................................25

Introducción a esta guía 23

Acerca de esta guíaEsta guía describe cómo la interfaz de administración web de Isilon OneFS brindaacceso a la funcionalidad de monitoreo, administración y configuración del clúster.

La mayoría de la información presente en esta guía también se puede aplicar a IsilonSDEdge, una versión definida por software de OneFS que se ejecuta en el hipervisor deVMware ESXi. Las diferencias, si existen, se destacan en las seccionescorrespondientes de esta guía.

Sus sugerencias nos ayudan a mejorar la exactitud, organización y calidad general de ladocumentación. Envíe sus comentarios a https://www.research.net/s/isi-docfeedback. Si no puede proporcionar comentarios por medio de la dirección URL,envíe un mensaje de correo electrónico a [email protected].

Descripción general de NAS de escalamiento horizontal deIsilon

La plataforma de almacenamiento NAS de escalamiento horizontal de EMC Isiloncombina un hardware modular con un software unificado para aprovechar datos noestructurados. Con tecnología del sistema operativo OneFS, cada clúster EMC Isilonbrinda un pool escalable de almacenamiento con un espacio de nombres global.

El software unificado de la plataforma brinda administración centralizada basada enweb y mediante línea de comandos para controlar las siguientes funciones:

l Un clúster que ejecuta un sistema de archivos distribuido

l Nodos de escalamiento horizontal que suman capacidad y rendimiento

l Opciones de almacenamiento que administran archivos y el almacenamiento enniveles

l Protección de datos flexible y alta disponibilidad

l Módulos de software que controlan costos y optimizan recursos

Descripción general de IsilonSD EdgeIsilonSD Edge es una versión definida por software de OneFS que se ejecuta en elhipervisor de VMware ESXi y proporciona funcionalidades NAS de escalamientohorizontal en hardware genérico.

Puede crear nodos OneFS como máquinas virtuales dentro de clústeres OneFS que seimplementan en los hosts de VMware ESXi con los recursos de hardware que estándisponibles en esos hosts. Los clústeres y nodos OneFS virtuales se denominanclústeres y nodos IsilonSD.

IsilonSD Edge es compatible con la mayoría de las funciones y módulos de softwareque son compatibles con OneFS. También proporciona la misma administracióncentralizada basada en web y en la línea de comandos de OneFS para administrar lastareas de administración del clúster y del nodo. Para obtener más información,consulte la Guía de instalación y administración de IsilonSD Edge.



https://www.research.net/s/isi-docfeedback

https://www.research.net/s/isi-docfeedback

mailto:[email protected]

Dónde recurrir para obtener soporteSi tiene preguntas acerca de los productos de EMC Isilon, puede comunicarse con elpersonal de soporte técnico de EMC Isilon.

Soporte en línea l Chat en línea

l Crear una solicitud de servicio

Soporte telefónico l Estados Unidos: 1-800-SVC-4EMC (1-800-782-4362)

l Canadá: 1-800-543-4782

l Resto del mundo: 1-508-497-7901

l Para conocer los números telefónicos locales de un paísdeterminado, consulte los Centros de Servicio al Clientede EMC.

Acceso o registro alservicio de soporte

Si tiene preguntas específicas sobre el registro o el accesopara el servicio de soporte en línea de EMC, envíe un correoelectrónico a [email protected].

Concentradores deinformación de Isilon

Para obtener la lista de los concentradores de información deIsilon, consulte la página Concentradores de información deIsilon en EMC Isilon Community Network. Losconcentradores de información de Isilon organizandocumentación, videos, blogs y contenido que aportan losusuarios de Isilon en áreas temáticas, lo cual facilitaencontrar contenido sobre temas que le interesan.

Soporte para IsilonSD EdgeSi está ejecutando una versión gratuita de IsilonSD Edge, puede obtener soporte através de EMC Isilon Community Network. Sin embargo, si compró una o más licenciasde IsilonSD Edge, el soporte está disponible mediante el servicio de soporte técnico deEMC Isilon, siempre que tenga un contrato de soporte válido para el producto.


Dónde recurrir para obtener soporte 25

https://support.emc.com/servicecenter/liveChat/

https://support.emc.com/servicecenter/createSR/

http://www.emc.com/collateral/contact-us/h4165-csc-phonelist-ho.pdf

http://www.emc.com/collateral/contact-us/h4165-csc-phonelist-ho.pdf

mailto:[email protected]

https://community.emc.com/docs/DOC-44304


https://community.emc.com/community/products/isilon

CAPÍTULO 2

NAS de escalamiento horizontal de Isilon


l Arquitectura de almacenamiento de OneFS....................................................... 28l Componentes de un nodo Isilon..........................................................................28l Redes externas e internas.................................................................................. 29l Clúster Isilon...................................................................................................... 29l El sistema operativo OneFS............................................................................... 32l Estructura del sistema de archivos.....................................................................34l Descripción general de la protección de datos................................................... 36l Integración con VMware.................................................................................... 39l Módulos de software..........................................................................................39

NAS de escalamiento horizontal de Isilon 27

Arquitectura de almacenamiento de OneFSEMC Isilon adopta un enfoque de escalamiento horizontal para el almacenamiento, yaque crea un clúster de nodos que contiene un sistema de archivos distribuido. OneFScombina las tres capas de arquitecturas de almacenamiento (sistema de archivos,administrador de volúmenes y protección de datos) en un clúster de NAS deescalamiento horizontal.

Cada nodo agrega recursos al clúster. Dado que cada nodo contiene RAM coherente anivel global, el clúster se vuelve más rápido a medida que se vuelve más grande.Mientras tanto, el sistema de archivos se amplía dinámicamente y redistribuye elcontenido, lo cual elimina el trabajo del particionamiento de discos y la creación devolúmenes.

Los nodos funcionan como pares para diseminar datos en todo el clúster. Lasegmentación y distribución de datos (un proceso que también se conoce comofraccionado) no solo protege los datos, sino que también habilita a un usuario que seconecta a cualquier nodo para aprovechar el rendimiento de todo el clúster.

OneFS utiliza software distribuido para escalar los datos en todo el hardware genérico.Cada nodo ayuda a controlar las solicitudes de datos, aumenta el rendimiento yexpande la capacidad del clúster. No hay un dispositivo maestro que controle el clústerni ningún dispositivo subordinado que invoque dependencias. En lugar de eso, cadanodo ayuda a controlar las solicitudes de datos, aumenta el rendimiento y expande lacapacidad del clúster.

Componentes de un nodo IsilonUn nodo de almacenamiento es un dispositivo de montaje en rack que incluye lossiguientes componentes en un chasis de 2U o 4U de montaje en rack con un panelfrontal de LCD: CPU, RAM, NVRAM, interfaces de red, adaptadores InfiniBand,controladores de disco y medios de almacenamiento. Un clúster Isilon está compuestode tres o más nodos, hasta un máximo de 144.

Cuando se añade un nodo a un clúster, se aumenta la capacidad agregada de disco,caché, CPU, RAM y red. OneFS agrupa la RAM en un solo caché coherente, demanera que una solicitud de datos en un nodo pueda aprovechar datos almacenadosen caché en cualquier ubicación. La NVRAM se agrupa para escribir datos con un altorendimiento y para proteger las operaciones de escritura contra fallas en la energía. Amedida que el clúster se expande, los ejes y el CPU se combinan para aumentar elrendimiento, la capacidad y las operaciones de entrada/salida por segundo (IOPS).

EMC Isilon hace varios tipos de nodos, todos pueden agregarse a un clúster parabalancear la capacidad y el desempeño con el rendimiento o las IOPS:

Nodo Caso de uso

Serie S aplicaciones intensivas de IOPS

Serie X flujos de trabajo de alta simultaneidad eimpulsados por el rendimiento

Serie NL accesibilidad similar a la del almacenamientoprimario con un valor cercano al de las cintas

Serie HD Capacidad máxima

Los siguientes nodos EMC Isilon mejoran el rendimiento:



Nodo Función

Isilon A-Series Performance Accelerator Escalamiento independiente para un altorendimiento

Isilon A-Series Backup Accelerator Solución de respaldo y restauración escalablede alta velocidad para unidades de cinta sobreconexiones de Fibre Channel

Redes externas e internasUn clúster incluye dos redes: una red interna para intercambiar datos entre nodos yuna red externa para manejar las conexiones con clientes.

Los nodos intercambian datos mediante la red interna con un protocolo de unidifusióny de propiedad a través de InfiniBand. Cada nodo incluye puertos InfiniBandredundantes para que pueda agregar otra red interna en caso de que falle la primera.

Nota

En el caso de IsilonSD Edge, los nodos intercambian datos a través del switch deEthernet. Para obtener más información sobre los requisitos de redes internas yexternas para IsilonSD Edge, consulte la Guía de instalación y administración de IsilonSDEdge.

Los clientes llegan al clúster con 1 GigE o 10 GigE Ethernet. Puesto que todos losnodos incluyen puertos Ethernet, el ancho de banda del clúster escala con elrendimiento y la capacidad a medida que agrega nodos.

PRECAUCIÓN

Solo los nodos Isilon deben estar conectados al switch InfiniBand. La informaciónque se intercambia en la red de back-end no se cifra. El hecho de conectarcualquier otra cosa, aparte de nodos Isilon, al switch InfiniBand crea un riesgo deseguridad.

Clúster IsilonUn clúster Isilon se compone de tres o más nodos de hardware, hasta un máximo de144. Cada nodo ejecuta el sistema operativo Isilon OneFS, el software del sistema dearchivos distribuido que reúne los nodos en un clúster. La capacidad dealmacenamiento de un clúster varía de un mínimo de 18 TB a un máximo de 50 PB.

Si está ejecutando IsilonSD Edge, consulte la sección Clúster IsilonSD en esta guía paraobtener información sobre los requisitos de clúster IsilonSD.

Administración de clústeresOneFS centraliza la administración de clústeres mediante una interfaz deadministración web y una interfaz de la línea de comandos. Ambas interfacesproporcionan métodos para activar licencias, comprobar el estado de los nodos,configurar el clúster, actualizar el sistema, generar alertas, ver conexiones de clientes,rastrear el rendimiento y modificar diversas configuraciones.


Redes externas e internas 29

Además, OneFS simplifica la administración mediante la automatización delmantenimiento con un motor de trabajos. Puede calendarizar trabajos que hacen unanálisis en busca de virus, verifican que los discos no presenten errores, recuperanespacio en disco y comprueban la integridad del sistema de archivos. El motoradministra los trabajos para minimizar el impacto en el rendimiento del clúster.

Con las versiones 2c y 3 de SNMP, puede monitorear remotamente los componentesde hardware, el uso del CPU, los switches y las interfaces de red. EMC Isilonsuministra Management Information Bases (MIB) y traps para el sistema operativoOneFS.

Además, OneFS incluye una interfaz de programación de aplicaciones (API) que sedivide en dos áreas funcionales: un área habilita la funcionalidad de configuración,administración y monitoreo del clúster, y la otra área habilita las operaciones en losarchivos y directorios del clúster. Es posible enviar solicitudes a la API de OneFSmediante una interfaz de transferencia de estado representacional (REST), a la cual sepuede acceder por medio de URI de recurso y métodos HTTP estándar. La API seintegra al control de acceso basado en funciones (RBAC) de OneFS para aumentar laseguridad. Consulte Isilon Platform API Reference.

QuórumUn clúster Isilon debe contar con un quórum para funcionar correctamente. Unquórum previene conflictos de datos (por ejemplo, versiones conflictivas del mismoarchivo), en caso de que dos grupos de nodos dejen de estar sincronizados. Si unclúster pierde su quórum para las solicitudes de lectura y escritura, no puede accederal sistema de archivos de OneFS.

Para un quórum, más de la mitad de los nodos deben estar disponibles en la redinterna. Un clúster de siete nodos, por ejemplo, requiere un quórum de cuatro nodos.Un clúster de 10 nodos requiere un quórum de seis nodos. Si no se puede alcanzar unnodo en la red interna, OneFS separa el nodo del clúster, lo cual se denomina división.Una vez que un clúster se haya dividido, las operaciones de este continúan, siempre ycuando suficientes nodos permanezcan conectados para contar con un quórum.

En un clúster dividido, los nodos que permanecen en el clúster se conocen como elgrupo mayoritario. Los nodos que se separan del clúster se conocen como el grupominoritario.

Cuando los nodos divididos pueden reconectarse con el clúster y volver a sincronizarsecon el resto de los nodos, los nodos se reincorporan al grupo mayoritario del clúster, locual se denomina fusión.

Un clúster de OneFS se compone de dos propiedades de quórum:

l quórum de lectura (efs.gmp.has_quorum)

l quórum de escritura (efs.gmp.has_super_block_quorum)

Mediante la conexión a un nodo con el protocolo SSH y la ejecución de la herramientade la línea de comandos sysctl como raíz, es posible ver el estado de ambos tipos dequórum. A continuación se presenta el ejemplo de un clúster que posee un quórumpara operaciones de lectura y escritura; el resultado del comando es 1, el cualcorresponde a un valor verdadero:

sysctl efs.gmp.has_quorum efs.gmp.has_quorum: 1 sysctl efs.gmp.has_super_block_quorum efs.gmp.has_super_block_quorum: 1



Los estados degradados de nodos (como SmartFail, de solo lectura, offline, etc.),afectan al quórum de diferentes maneras. Un nodo en estado de SmartFail o de sololectura afecta únicamente al quórum de escritura. Un nodo en estado offline, sinembargo, afecta tanto al quórum de lectura como al de escritura. En un clúster, lacombinación de nodos en diferentes estados de degradación determina si lassolicitudes de escritura y de lectura funcionan correctamente.

Un clúster puede perder quórum de escritura, pero mantener el de lectura. Considereun clúster de cuatro nodos en los que los nodos 1 y 2 funcionen correctamente. Elnodo 3 se encuentra en estado de solo lectura, y el nodo 4 en SmartFail. En tal caso,las solicitudes de lectura al clúster se desempeñan sin problemas. En cambio, lassolicitudes de escritura generan un error en las operaciones de entrada y salida, ya quelos estados del nodo 3 y el nodo 4 interrumpen el quórum de escritura.

Un clúster también puede perder su quórum de lectura y escritura. Si los nodos 3 y 4en un clúster de cuatro nodos se encuentran offline, ambas solicitudes de lectura yescritura reciben un error en las operaciones de entrada y salida, por lo que no sepodrá acceder al sistema de archivos. Cuando OneFS puede reconectarse con losnodos, OneFS los fusiona nuevamente en el clúster. A diferencia de un sistema RAID,un nodo Isilon puede reintegrarse en el clúster sin necesidad de que se reconstruya nireconfigure.

División y fusiónLa división y fusión optimizan el uso de nodos sin su intervención.

OneFS monitorea cada nodo en un clúster. Si no se puede alcanzar un nodo en la redinterna, OneFS separa el nodo del clúster, lo cual se denomina división. Cuando elclúster se puede reconectar al nodo, OneFS vuelve a colocar el nodo en el clúster,proceso conocido como fusión.

Cuando un nodo se separa de un clúster, seguirá capturando información de eventosde forma local. Puede conectarse a un nodo separado con el protocolo SSH y ejecutarel comando isi event events list para ver el registro de eventos localcorrespondiente al nodo. Gracias al registro de eventos local, puede solucionar losproblemas de conexión causados por la separación. Cuando el nodo separado se vuelvea unir al clúster, los eventos locales recopilados durante la separación se eliminan.Podrá seguir viendo los eventos generados por un nodo separado en el archivo deregistro de eventos del nodo ubicado en /var/log/isi_celog_events.log.

Si un clúster se separa durante una operación de escritura, es posible que OneFSnecesite reasignar bloques para el archivo del lado del quórum, lo cual hace que losbloques asignados del lado sin quórum queden huérfanos. Cuando los nodos separadosse reconectan al clúster, el trabajo del sistema de OneFS Collect reclama los bloqueshuérfanos.

Mientras tanto, a medida que los nodos se separan y se fusionan con el clúster, eltrabajo OneFS AutoBalance redistribuye los datos de forma equitativa entre los nodosdel clúster, lo cual optimiza el espacio de conservación y protección.

Pools de almacenamientoLos pools de almacenamiento segmentan nodos y archivos para formar divisioneslógicas y simplificar la administración y el almacenamiento de los datos.

Un pool de almacenamiento se compone de niveles y pools de nodos. Los pools denodos agrupan nodos equivalentes para proteger los datos y garantizar laconfiabilidad. Los niveles combinan pools de nodos para optimizar el almacenamientosegún sea necesario, como un nivel de alta velocidad usado con frecuencia o unarchivo al que rara vez se accede.


División y fusión 31

El módulo SmartPools agrupa nodos y archivos para formar pools. Si no activa unalicencia de SmartPools, el módulo provisiona pools de nodos y crea un pool dearchivos. Si activa la licencia de SmartPools, recibirá más funciones. Por ejemplo, sepueden crear varios pools de archivos y administrarlos con políticas. Las políticasmueven archivos, directorios y pools de archivos de un pool de nodos a otro o de unnivel a otro. También se puede definir la manera en la que OneFS maneja lasoperaciones de escritura cuando un pool de nodos o un nivel están llenos. SmartPoolsreserva un hot spare virtual para reforzar la protección de los datos en caso de quefalle una unidad, independientemente de si la licencia de SmartPools se encuentraactivada.

El sistema operativo OneFSOneFS, un sistema operativo distribuido basado en FreeBSD, presenta un sistema dearchivos del clúster Isilon como un solo recurso compartido o exportación con unpunto central de administración.

El sistema operativo OneFS realiza lo siguiente:

l Es compatible con protocolos de acceso a datos comunes, como SMB y NFS.

l Se conecta a varios sistemas de administración de identidades, como ActiveDirectory y LDAP.

l Autentica usuarios y grupos.

l Controla el acceso a directorios y archivos.

Protocolos de acceso a datosCon el sistema operativo OneFS, puede acceder a los datos con varios protocolos detransferencia y uso compartido de archivos. Como resultado, los clientes MicrosoftWindows, UNIX, Linux y Mac OS X pueden compartir los mismos directorios yarchivos.

OneFS es compatible con los siguientes protocolos:

SMB

El protocolo de bloque de mensajes del servidor (SMB) permite que los usuariosde Windows accedan al clúster. OneFS funciona con SMB 1, SMB 2 y SMB 2.1, asícomo SMB 3.0 para Multichannel solamente. Con SMB 2.1, OneFS es compatiblecon bloqueos oportunos (oplocks) de clientes y grandes tamaños de MTU (1 MB).El recurso compartido de archivo predeterminado es /ifs.

NFS

El protocolo de sistema de archivos de red (NFS) permite que los sistemas UNIX,Linux y Mac OS X monten remotamente cualquier subdirectorio, incluidos lossubdirectorios creados por los usuarios de Windows. OneFS funciona con lasversiones 3 y 4 de NFS. El puerto predeterminado es /ifs.

HDFS

El protocolo de sistema de archivos distribuido Hadoop (HDFS) permite que unclúster funcione con Apache Hadoop, una plataforma para aplicacionesdistribuidas con un uso intensivo de datos. La integración con HDFS requiere laactivación de una licencia distinta.

FTP

FTP permite que los sistemas con un cliente FTP se conecten al clúster eintercambien archivos.



HTTP y HTTPS

HTTP y su variante segura, HTTPS, brindan a los sistemas acceso a los recursosbasado en navegadores. OneFS incluye soporte limitado para WebDAV.

Swift

Isilon Swift permite acceder a los datos basados en archivos almacenados en suclúster EMC Isilon como objetos. La API de Swift se implementa como unconjunto de servicios web de transferencia de estado representacional (REST)mediante HTTP o HTTP seguro (HTTPS). El contenido y los metadatos se puedenrecopilar como objetos a los que se puede acceder de manera simultáneamediante otros protocolos de EMC Isilon compatibles. Para obtener másinformación, consulte la Nota técnica de Isilon Swift.

Administración de identidades y control de accesoOneFS funciona con varios sistemas de administración de identidades para autenticarusuarios y controlar el acceso a los archivos. Además, OneFS presenta zonas deacceso que les permiten a los usuarios de diferentes servicios de directorio acceder adiversos recursos según su dirección IP. Mientras tanto, el control de acceso basadoen funciones (RBAC) segmenta el acceso administrativo según las funciones.

OneFS autentica a los usuarios con los siguientes sistemas de administración deidentidades:

l Microsoft Active Directory (AD)

l Protocolo LDAP

l Sistema de información de red (NIS)

l Usuarios y grupos locales

l Un proveedor de archivos para las cuentas en los archivos /etc/spwd.dby /etc/group. Con el proveedor de archivos, puede agregar una fuente de otrosfabricantes dominante de información de grupos y de usuarios.

Puede administrar usuarios con distintos sistemas de administración de identidades;OneFS mapea las cuentas de modo que las identidades de Windows y UNIX puedancoexistir. Una cuenta de usuario de Windows administrada en Active Directory, porejemplo, se mapea a una cuenta de UNIX correspondiente en NIS o LDAP.

Para controlar el acceso, un clúster Isilon funciona con las listas de control de acceso(ACL) de los sistemas Windows y los bits de modo de POSIX de los sistemas UNIX.Cuando OneFS debe cambiar los permisos de un archivo de ACL a bits de modo, oviceversa, OneFS fusiona los permisos para mantener una configuración de seguridadcoherente.

OneFS presenta vistas específicas del protocolo de permisos para que lasexportaciones NFS presenten bits de modo y los recursos compartidos SMB muestrenACL. Sin embargo, puede administrar bits de modo y ACL con las herramientas deUNIX estándares, como los comandos chmod y chown. Además, las políticas de ACL lepermiten configurar cómo OneFS administra los permisos para redes que combinansistemas Windows y UNIX.

Zonas de acceso

OneFS incluye una función de zonas de acceso. Con las zonas de acceso, losusuarios de distintos proveedores de autenticación, como dos dominios noconfiables de Active Directory, pueden acceder a diversos recursos de OneFS enfunción de una dirección IP entrante. Una zona de acceso puede obtener variosproveedores de autenticación y espacios de nombres de SMB.


Administración de identidades y control de acceso 33

RBAC para la administración

OneFS incluye el control de acceso basado en funciones para la administración.En lugar de una cuenta de administrador o raíz, el RBAC le permite controlar elacceso de administrador por función. Una función limita los privilegios a un áreade administración. Por ejemplo, puede crear funciones de administradorindependientes para seguridad, auditoría, almacenamiento y respaldo.

Estructura del sistema de archivosOneFS presenta todos los nodos en un clúster como un espacio de nombres global, esdecir, como el recurso compartido de archivos predeterminado, /ifs.

En el sistema de archivos, los directorios son vínculos de número de i-nodo. Un i-nodocontiene metadatos en archivos y un número de i-nodo, el cual identifica la ubicaciónde un archivo. OneFS asigna dinámicamente i-nodos y no hay ningún límite para lacantidad de i-nodos.

Para distribuir datos entre nodos, OneFS envía mensajes con una dirección de bloquesglobalmente enrutable mediante la red interna del clúster. La dirección de bloquesidentifica el nodo y la unidad que almacenan el bloque de datos.

Nota

Se recomienda no guardar datos en la ruta de archivos /ifs raíz, sino en losdirectorios que se encuentran debajo de /ifs. El diseño de la estructura dealmacenamiento de datos se debe planear cuidadosamente. Un directorio biendiseñado optimiza la administración y el rendimiento del clúster.

Diseño de datos yOneFS distribuye de forma equitativa los datos entre los nodos de un clúster conalgoritmos de diseño que maximizan el rendimiento y la eficiencia del almacenamiento.El sistema reasigna continuamente los datos para conservar espacio.

OneFS segmenta los datos en secciones más pequeñas llamadas bloques; acontinuación, el sistema coloca los bloques en una unidad de fracción. Una unidad defracción ayuda a proteger un archivo contra una falla de hardware mediante lareferencia a datos en archivos o códigos de borrado. El tamaño de una unidad defracción depende del tamaño del archivo, la cantidad de nodos y la configuración de laprotección. Después de que OneFS divide los datos en unidades de fracción, OneFSasigna o fracciona las unidades de fracción en todos los nodos del clúster.

Cuando un cliente se conecta a un nodo, las operaciones de lectura y escritura delcliente se llevan a cabo en varios nodos. Por ejemplo, cuando un cliente se conecta aun nodo y solicita un archivo, el nodo recupera los datos de varios nodos y reconstruyeel archivo. Puede optimizar cómo OneFS coloca los datos para que coincidan con supatrón de acceso dominante: concurrent, streaming o random.

Archivos de escrituraEn un nodo, las operaciones de entrada y salida de la pila de software de OneFS seseparan en dos capas funcionales: Una capa superior, o iniciador, y una capa inferior, oparticipante. En operaciones de lectura y escritura, el iniciador y el participantedesempeñan funciones distintas.

Cuando un cliente escribe un archivo en un nodo, el iniciador del nodo administra eldiseño del archivo en el clúster. En primer lugar, el iniciador divide el archivo en



bloques de 8 kB cada uno. En segundo lugar, el iniciador coloca los bloques en una omás unidades de fracción. Con 128 kB, una unidad de fracción se compone de 16bloques. En tercer lugar, el iniciador distribuye las unidades de fracción en todo elclúster hasta que se extiendan a lo ancho de este, lo que crea una fracción. El anchode la fracción depende de la cantidad de nodos y de la configuración de la protección.

Después de dividir un archivo en unidades de fracción, el iniciador escribe los datosprimero a la memoria de acceso aleatorio no volátil (NVRAM) y luego al disco. LaNVRAM conserva la información cuando se suspende la alimentación.

Durante la transacción de escritura, la NVRAM se defiende contra nodos fallidos con elregistro. Si un nodo falla en la mitad de la transacción, esta se reinicia sin el nodofallido. Cuando el nodo regresa, reproduce el registro de la NVRAM para completar latransacción. El nodo también ejecuta el trabajo AutoBalance para comprobar elfraccionado en disco del archivo. Mientras tanto, las escrituras sin confirmar queesperan en la caché se protegen con el espejeado. Como resultado, OneFS eliminavarios puntos de falla.

Archivos de lecturaEn una operación de lectura, un nodo funciona como un gerente que reúne datos deotros nodos y se los presenta al cliente que los solicita.

Puesto que una caché coherente de un clúster Isilon abarca todos los nodos, OneFSpuede almacenar distintos datos en la RAM de cada nodo. Mediante la red InfiniBandinterna, un nodo puede recuperar datos en archivos de la caché de otro nodo másrápido que de su propio disco local. Si una operación de lectura solicita datosalmacenados en la caché de cualquier nodo, OneFS extrae estos datos para que sepuedan facilitar con mayor rapidez.

Además, para archivos con un patrón de acceso concurrent o streaming, OneFSrealiza una búsqueda previa de datos solicitados en una caché local de un nodo deadministración para mejorar aún más el rendimiento de lectura secuencial.

Diseño de metadatosPara proteger los metadatos, OneFS los distribuye en nodos y unidades.

Los metadatos, incluida la información acerca de dónde se encuentra almacenado unarchivo, cómo se protege y quién puede acceder a este, se almacenan en i-nodos y seprotegen con bloqueos en un árbol B+, una estructura estándar para organizar bloquesde datos en un sistema de archivos a fin de proporcionar búsquedas instantáneas.OneFS replica metadatos en archivos a lo largo del clúster para que no haya ningúnpunto único de falla.

Todos los nodos, de manera conjunta, ayudan a administrar el bloqueo de metadatos yel acceso a estos. Si un nodo detecta un error en los metadatos, el nodo los busca enuna ubicación alternativa y, a continuación, corrige el error.

Bloqueos y simultaneidadOneFS incluye un gerente de bloqueos distribuido que coordina los bloqueos de datosen todos los nodos del clúster.

El gerente de bloqueos otorga bloqueos al sistema de archivos, a rangos de bytes y aprotocolos, incluidos los bloqueos de modo de recurso compartido SMB y los bloqueosde advertencia de NFS. OneFS también es compatible con bloqueos oportunos deSMB.


Archivos de lectura 35

Puesto que OneFS distribuye el gerente de bloqueos en todos los nodos, cualquiernodo puede funcionar como un coordinador de bloqueos. Cuando un hilo de ejecuciónde un nodo solicita un bloqueo, el algoritmo de truncamiento del gerente de bloqueos,por lo general, asigna la función de coordinador a un nodo diferente. El coordinadorasigna un bloqueo compartido o un bloqueo exclusivo, según el tipo de solicitud. Unbloqueo compartido permite que los usuarios compartan un archivo de formasimultánea, normalmente para operaciones de lectura. Un bloqueo exclusivo permiteque solo un usuario acceda a un archivo, normalmente para operaciones de escritura.

FraccionadoEn un proceso conocido como fraccionado, OneFS segmenta archivos en unidades dedatos y luego distribuye las unidades en los nodos del clúster. El fraccionado protegesus datos y mejora el rendimiento del clúster.

Para distribuir un archivo, OneFS lo reduce en bloques de datos, organiza los bloquesen unidades de fracción y, a continuación, asigna las unidades a nodos en la redinterna.

Al mismo tiempo, OneFS distribuye códigos de borrado que protegen el archivo. Loscódigos de borrado codifican los datos del archivo en un conjunto de símbolosdistribuido, lo cual agrega una redundancia que ahorra espacio. Con solo una parte delconjunto de símbolos, OneFS puede recuperar los datos en archivos originales.

En conjunto, los datos y su redundancia forman un grupo de protección para unaregión de datos en archivos. OneFS coloca los grupos de protección en diferentesunidades de diferentes nodos, lo cual crea fracciones de datos.

Puesto que OneFS fracciona los datos en nodos que trabajan en conjunto como pares,un usuario que se conecta a cualquier nodo puede aprovechar todo el rendimiento delclúster.

De manera predeterminada, OneFS optimiza el fraccionado para el acceso concurrent.Si su patrón de acceso dominante es streaming, es decir, con una simultaneidadinferior y cargas de trabajo de un solo flujo más altas, como las que cuentan con video,puede cambiar la manera en que OneFS organiza los datos para aumentar elrendimiento de lectura secuencial. Para manejar mejor el acceso streaming, OneFSfracciona los datos en más unidades. Streaming es más eficaz en clústeres o poolssecundarios que almacenan archivos grandes.

Descripción general de la protección de datosUn clúster Isilon está diseñado para encargarse de los datos, incluso cuando fallan loscomponentes. De forma predeterminada, OneFS protege los datos con códigos deborrado, lo que le permite recuperar archivos cuando un nodo o un disco fallan. Comoalternativa a los códigos de borrado, puede proteger los datos con dos a ochoespejeados.

Al crear un clúster con cinco o más nodos, los códigos de borrado entregan hasta un80 % de eficiencia. En clústeres más grandes, los códigos de borrado proporcionan unmáximo de cuatro niveles de redundancia.

Además del espejeado y los códigos de borrado, OneFS incluye las siguientesfunciones que ayudan a proteger la integridad, la disponibilidad y la confidencialidad delos datos:



Característica Descripción

Antivirus OneFS puede enviar archivos a servidores queejecutan el protocolo de adaptación decontenidos de Internet (ICAP) para hacer unanálisis en busca de virus y otras amenazas.

Clones OneFS le permite crear clones que compartanbloques con otros archivos para ahorrarespacio.

Restauración y respaldo de tipo NDMP OneFS puede respaldar los datos en cintas yen otros dispositivos mediante NDMP. Si bienOneFS es compatible con el respaldobidireccional y de tres vías, el respaldobidireccional requiere un nodo acelerador derespaldo Isilon.

Nota

IsilonSD Edge es compatible únicamente conel respaldo de tipo NDMP de tres vías.

Dominios de protección Puede aplicar dominios de protección aarchivos y directorios para evitar que seproduzcan cambios.

Los siguientes módulos de software también ayudan a proteger los datos, perorequieren la activación de una licencia distinta:

Función con licencia Descripción

SyncIQ SyncIQ replica datos en otro clúster Isilon yautomatiza las operaciones de failover yfailback entre clústeres. Si un clúster quedainutilizable, puede hacer un failover a otroclúster Isilon.

SnapshotIQ Puede proteger los datos con un snapshot, esdecir, una copia lógica de datos almacenadosen un clúster.

SmartLock La herramienta SmartLock evita que losusuarios modifiquen y eliminen archivos.Puede confirmar archivos en un estado WriteOnce, Read Many: el archivo no puedemodificarse nunca y no se puede eliminarhasta que transcurra un período de retenciónestablecido. SmartLock lo puede ayudar acumplir con la norma 17a-4 de comisión debolsa y valores.

Protección de datos N+MOneFS utiliza redundancia de datos en todo el clúster para evitar la pérdida de datos acausa de fallas de unidades o nodos. La protección está integrada en la estructura delsistema de archivos y se puede aplicar hasta el nivel de archivos individuales.


Protección de datos N+M 37

La protección de OneFS se basa en el algoritmo Reed-Solomon, que utiliza lacorrección de errores hacia adelante (FEC). Mediante el uso de FEC, OneFS asignadatos en fragmentos de 128 kb. Por cada fragmento de datos N, OneFS escribe Mfragmentos de protección o paridad. Cada fragmento N + M (denominado “grupo deprotección”) se escribe en un disco independiente en un nodo independiente. Esteproceso se conoce como fraccionado de datos. Mediante el fraccionado de datos entodo el clúster, OneFS es capaz de recuperar archivos en caso de que fallen unidadeso nodos.

En OneFS, los conceptos de política de protección y nivel de protección sondiferentes. La política de protección es la configuración de protección que seespecifica para pools de almacenamiento en un clúster. El nivel de protección es laprotección real que OneFS ofrece a los datos, en función de la política de protección yla cantidad real de nodos con capacidad de escritura.

Por ejemplo, si tiene un clúster de tres nodos y especifica una política de protección[+2d:1n], OneFS es capaz de tolerar la falla de dos unidades o un nodo sin pérdida dedatos. Sin embargo, en ese mismo clúster de tres nodos, si especifica una política deprotección [+4d:2n], OneFS no puede lograr un nivel de protección que permita tolerarcuatro fallas de unidad o dos fallas de nodos. Esto es porque N + M debe ser menor oigual a la cantidad de nodos del clúster.

De forma predeterminada, OneFS calcula y establece una política de protecciónrecomendada de acuerdo con la configuración del clúster. La política de protecciónrecomendada logra el equilibrio óptimo entre la eficiencia del almacenamiento y laintegridad de los datos.

Es posible configurar una política de protección que sea superior al valor máximo queadmite el clúster. En un clúster de cuatro nodos, por ejemplo, se puede configurar unapolítica de protección de [5x]. Sin embargo, OneFS protegería los datos solo cuatroveces hasta que agregue un quinto nodo al clúster. Posteriormente, OneFS volvería aaplicar una protección de 5x a los datos de manera automática.

Espejeado de datosPuede proteger datos en disco con el espejeado, que copia datos en variasubicaciones. OneFS admite entre dos y ocho espejeados. Puede utilizar el espejeadoen lugar de los códigos de borrado, o bien, puede combinar códigos de borrado con elespejeado.

El espejeado, sin embargo, utiliza más espacio que los códigos de borrado. Si se realizaun espejeado de los datos tres veces, por ejemplo, se triplican los datos, lo cualrequiere más espacio que los códigos de borrado. Como resultado, el espejeado esideal para transacciones que requieren un alto rendimiento.

También puede combinar códigos de borrado con el espejeado. Durante la operaciónde escritura, OneFS divide los datos en grupos de protección redundantes. Para losarchivos protegidos con códigos de borrado, un grupo de protección se compone debloques de datos y de sus códigos de borrado. Para archivos en espejo, un grupo deprotección contiene todos los espejeados de un conjunto de bloques. OneFS puedecambiar el tipo de grupo de protección a medida que escribe un archivo en el disco. Sicambia dinámicamente el grupo de protección, OneFS puede continuar escribiendodatos a pesar de que ocurra una falla de nodos que impida que el clúster aplique loscódigos de borrado. Una vez restaurado el nodo, OneFS automáticamente conviertelos grupos de protección espejeados en códigos de borrado.



El registro del sistema de archivosUn registro, que registra los cambios en el sistema de archivos en una tarjeta NVRAMcon batería de reserva, recupera el sistema de archivos después de las fallas, comouna pérdida de la alimentación. Cuando se reinicia un nodo, el registro reproduce lastransacciones de archivos para restaurar el sistema de archivos.

Hot spare virtual (VHS)Cuando falla una unidad, OneFS utiliza el espacio reservado en un pool secundario enlugar de una unidad de hot spare. Al espacio reservado se lo conoce como hot sparevirtual.

A diferencia de una unidad de repuesto, un hot spare virtual automáticamentesoluciona las fallas de unidades y continúa escribiendo datos. Si falla una unidad,OneFS migra los datos a un hot spare virtual para volver a protegerlos. Puede reservarun máximo de cuatro unidades de disco como hot spare virtual.

Balanceo de la protección con espacio de almacenamientoPuede establecer niveles de protección para balancear los requisitos de proteccióncon espacio de almacenamiento.

Por lo general, los altos niveles de protección utilizan más espacio que los niveles másbajos, ya que se dedica un porcentaje del espacio en disco al almacenamiento decódigos de borrado. La sobrecarga para los códigos de borrado depende del nivel deprotección, del tamaño del archivo y de la cantidad de nodos en el clúster. Puesto queOneFS fracciona los códigos de borrado y los datos en los nodos, la sobrecargadisminuye a medida que agrega nodos.

Integración con VMwareOneFS se integra con varios productos VMware, incluidos vSphere, vCenter y ESXi.

Por ejemplo, OneFS funciona con VMware vSphere API for Storage Awareness(VASA) para que pueda ver la información sobre un clúster Isilon en vSphere. OneFStambién trabaja con VMware vSphere API for Array Integration (VAAI) para admitir lassiguientes funciones en el almacenamiento de bloques: bloqueo asistido por hardware,copia completa y puesta a cero de bloques. VAAI para NFS requiere un plug-in ESXi.

Con Isilon Storage Replication Adapter, OneFS se integra al VMware vCenter SiteRecovery Manager para recuperar máquinas virtuales que se replican entre clústeresIsilon.

Módulos de softwarePuede acceder a funciones avanzadas mediante la activación de licencias paramódulos de software de EMC Isilon.

Nota

Si está ejecutando IsilonSD Edge, la lista de módulos de software compatibles varíasegún si configuró la versión gratuita o comprada de este producto. Para obtener másinformación sobre los módulos de software disponibles con IsilonSD Edge, consulte lasección IsilonSD Edge licensing overview en esta guía.


El registro del sistema de archivos 39

SmartLock

SmartLock protege los datos importantes contra la eliminación o alteraciónmaliciosa, accidental o prematura para ayudarlo a cumplir con las normativas SEC17a-4. Puede confirmar datos automáticamente en un estado a prueba dealteraciones y luego conservarlos con un reloj de cumplimiento de normas.

HDFS

OneFS funciona con el protocolo de sistema de archivos distribuido Hadoop paraayudar a los clientes que ejecutan Apache Hadoop, una plataforma paraaplicaciones distribuidas con un uso intensivo de datos, a analizar big data.

SyncIQ automated failover and failback

SyncIQ replica datos en otro clúster Isilon y automatiza el failover y el failbackentre clústeres. Si un clúster queda inutilizable, puede hacer un failover a otroclúster Isilon. El failback restaura los datos de fuentes originales después de que elclúster primario recupere su disponibilidad.

Security hardening

La consolidación de la seguridad es el proceso de configuración de su sistemapara reducir o eliminar la mayor cantidad posible de riesgos de seguridad. Puedeaplicar una política de consolidación que proteja la configuración de OneFS segúnlas reglas de políticas.

SnapshotIQ

SnapshotIQ protege los datos con un snapshot, es decir, una copia lógica de losdatos almacenados en un clúster. Un snapshot se puede restaurar a su directoriode nivel superior.

SmartDedupe

Puede reducir la redundancia de un clúster mediante la ejecución deSmartDedupe. La deduplicación crea vínculos que pueden afectar la velocidad delectura y escritura de archivos.

SmartPools

SmartPools le permite crear varios pools de archivos administrados por políticasde pools de archivos. Las políticas transfieren archivos y directorios entre niveleso pools de nodos. También se puede definir la manera en la que OneFS maneja lasoperaciones de escritura cuando un pool de nodos o un nivel están llenos.

CloudPools

CloudPools se basa en el marco de trabajo de políticas de SmartPools y permitearchivar datos en el almacenamiento de nube, definiendo a la nube como otronivel de almacenamiento. CloudPools es compatible con EMC Isilon, EMC ECSAppliance, Virtustream Storage Cloud, Amazon S3 y Microsoft Azure comoproveedores de almacenamiento de nube.

SmartConnect Advanced

Si activa una licencia de SmartConnect Advanced, puede balancear políticas paradistribuir de forma equitativa el uso del CPU, las conexiones del cliente o elrendimiento. También puede definir pools de direcciones IP para admitir variaszonas DNS en una subred. Asimismo, SmartConnect es compatible con el failoverde IP, también denominado failover de NFS.



InsightIQ

El dispositivo virtual InsightIQ monitorea y analiza el rendimiento de su clústerIsilon para ayudarlo a optimizar los recursos de almacenamiento y proyectar lacapacidad.

SmartQuotas

El módulo de SmartQuotas rastrea el uso del disco con informes y obliga a cumplirlos límites de almacenamiento con alertas.

Isilon Swift

Isilon Swift es un gateway de almacenamiento de objetos compatible con la APIde OpenStack Swift 1.0. Con Isilon Swift, puede acceder a los datos basados enarchivos existentes almacenados en su clúster EMC Isilon como objetos. La APIde Swift se implementa como un conjunto de servicios web RESTful medianteHTTP o HTTPS. Dado que la API de Swift se considera un protocolo, el contenidoy los metadatos se pueden recopilar como objetos y acceder a ellos de manerasimultánea mediante otros protocolos de EMC Isilon compatibles.


Módulos de software 41

CAPÍTULO 3

General cluster administration


l Descripción general de la administración general del clúster.............................. 44l Interfaces de usuario..........................................................................................44l Conexión con el clúster...................................................................................... 45l Licencia..............................................................................................................46l Certificados....................................................................................................... 52l Identidad del clúster...........................................................................................54l Fecha y hora del clúster..................................................................................... 56l Ajustes de correo electrónico SMTP.................................................................. 57l Configuración de los límites de los clusters........................................................ 58l Ajustes del sistema de archivos..........................................................................59l Consolidación de la seguridad............................................................................ 60l Monitoreo del clúster......................................................................................... 65l Monitoreo del hardware del clúster.................................................................... 67l Eventos y alertas................................................................................................76l Mantenimiento del clúster..................................................................................86l Soporte remoto..................................................................................................96

General cluster administration 43

Descripción general de la administración general del clústerPuede administrar ajustes generales y licencias de módulo de OneFS para el clústerEMC Isilon.

La administración general del clúster abarca varias áreas. Puede realizar lo siguiente:

l Administrar ajustes generales, como el nombre del clúster, la fecha y la hora, y elcorreo electrónico

l Monitorear el estado y el rendimiento del clúster, incluidos los componentes dehardware

l Configurar el manejo de eventos y notificaciones

l Realizar tareas de mantenimiento en el clúster, como la adición, la eliminación y elreinicio de nodos

La mayoría de las tareas de administración se realizan a través de la interfaz deadministración web y la interfaz de la línea de comandos; no obstante, a veces seencontrará ante una tarea que solo puede administrarse con una o con otra.

Interfaces de usuarioOneFS y IsilonSD Edge ofrecen varias interfaces para administrar los clústeres EMCIsilon y IsilonSD.

Interfaz Descripción Comentario

OneFS web administrationinterface

The browser-based OneFSweb administration interfaceprovides secure access withOneFS-supported browsers.Puede utilizar esta interfazpara ver pantallas demonitoreo gráfico sólidas yrealizar tareas deadministración del clúster.

The OneFS webadministration interface usesport 8080 as its default port.

OneFS command-lineinterface

Ejecute los comandos isi de

OneFS en la interfaz de lalínea de comandos paraconfigurar, monitorear yadministrar el clúster. Accessto the command-line interfaceis through a secure shell(SSH) connection to anynode in the cluster.

The OneFS command-lineinterface provides anextended standard UNIXcommand set for managingthe cluster.

API de OneFS La interfaz de programaciónde aplicaciones (API) deOneFS se divide en dos áreasfuncionales: un área permitela configuración, laadministración y lafuncionalidad de monitoreodel clúster, y la otra áreapermite operaciones en

Debe tener conocimientossólidos sobre HTTP/1.1 yexperiencia en la escritura desoftware cliente basado enHTTP antes de implementar elsoftware basado en cliente através de la API de OneFS.



Interfaz Descripción Comentario

archivos y directorios delclúster. Es posible enviarsolicitudes a la API de OneFSmediante una interfaz detransferencia de estadorepresentacional (REST), a lacual se puede acceder pormedio de URI de recurso ymétodos HTTP estándar.

Node front panel El panel frontal de cada nodo,a excepción de los nodosaceleradores, contiene unapantalla LCD con cincobotones que puede utilizarpara monitorear los detallesdel nodo y del clúster.

Nota

Esta interfaz no correspondea IsilonSD Edge.

El estado del nodo, loseventos, los detalles delclúster, la capacidad, lasdirecciones IP y MAC, elrendimiento y el estado de lasunidades están disponibles através del panel frontal delnodo.

Conexión con el clústerEl acceso al clúster EMC Isilon se proporciona a través de la interfaz de administraciónweb o a través del protocolo SSH. Puede utilizar una conexión en serie para ejecutarlas tareas de administración del clúster mediante la interfaz de la línea de comandos.

También puede acceder al clúster a través del panel frontal del nodo para realizar unsubconjunto de tareas de administración del clúster. Para obtener más informaciónacerca de la conexión con el panel frontal del nodo, consulte la documentación deinstalación de su nodo.

Nota

El panel frontal de nodo no está disponible con IsilonSD Edge.

Iniciar sesión en la interfaz de administración webPuede monitorear y administrar su clúster EMC Isilon desde la interfaz deadministración web basada en el navegador.

Procedimiento

1. Abra una ventana del navegador e ingrese la URL de su clúster en el campo dedirecciones; reemplace <yourNodeIPaddress> con la primera dirección IP queproporcionó cuando configuró ext-1 en uno de los siguientes ejemplos:

IPv4

https://<yourNodeIPaddress>:8080IPv6

https://[<yourNodeIPaddress>]:8080


Conexión con el clúster 45

Nota

Las direcciones IPv6 no son compatibles con IsilonSD Edge.

El sistema muestra un mensaje si sus certificados de seguridad no seconfiguraron. Solucione cualquier problema en la configuración de loscertificados y continúe hacia el sitio web.

2. Inicie sesión en OneFS ingresando sus credenciales de OneFS en los camposUsername y Password.

Una vez que inicie sesión en la interfaz de administración web, contará con untiempo de espera de inicio de sesión de cuatro horas.

Abrir una conexión del protocolo SSH con un clústerPuede utilizar cualquier cliente de protocolo SSH como OpenSSH o PuTTY paraestablecer la conexión con un clúster EMC Isilon.

Antes de comenzar

Debe contar con credenciales válidas de OneFS para iniciar sesión en un clústerdespués de abrir la conexión.

Procedimiento

1. Abra una conexión del protocolo SSH con cualquier nodo del clúster mediante ladirección IP del nodo y el número de puerto 22.

2. Inicie sesión con sus credenciales de OneFS.

En el símbolo de la línea de comandos de OneFS, puede utilizar los comandosisi para monitorear y administrar el clúster.

LicenciaLas funciones avanzadas de clúster están disponibles cuando habilita licencias para módulos de software de OneFS. Cada módulo de software opcional de OneFS requiere que se habilite una licencia independiente.Para obtener más información sobre los siguientes módulos de software opcionales, comuníquese con su gerente de cuentas de EMC Isilon.l CloudPoolsl Security hardeningl HDFSl InsightIQl Isilon Swiftl SmartConnect Advancedl SmartDedupel SmartLockl SmartPoolsl SmartQuotasl SnapshotIQ



l SyncIQ

Nota

Si está ejecutando IsilonSD Edge, CloudPools, SmartLock y SyncIQ están disponiblessolo cuando se compra una licencia de IsilonSD Edge. Los demás módulos opcionalesestán disponibles de forma predeterminada con la licencia gratuita de este producto.

Estado de licenciaEl estado de la licencia de un módulo OneFS indica si la funcionalidad que proporcionóel módulo está disponible en el clúster.

Las licencias existen en uno de los estados siguientes:

Estado Descripción

Inactiva La licencia no se activó en el clúster. Nopuede acceder a las funciones queproporcionó el módulo correspondiente.

Evaluación La licencia estuvo temporalmente activada enel clúster. Puede acceder a las funcionesproporcionadas por el módulo correspondientedurante un plazo limitado. Una vez que expirala licencia, las funciones dejan de estardisponibles, a menos que esta se vuelva aactivar.

Activada La licencia se activó en el clúster. Puedeacceder a las funciones proporcionadas por elmódulo correspondiente.

Vencida La licencia de evaluación expiró en el clúster.Ya no puede tener acceso a las funcionesproporcionadas por el módulocorrespondiente. Las funciones permaneceránsin disponibilidad, a menos que vuelva aactivar la licencia.

Nota

Si está ejecutando IsilonSD Edge, las licencias de los módulos de software dependende si se configuró una licencia de IsilonSD Edge paga o gratuita, así como de losestados de licencia correspondientes.

La siguiente tabla describe qué funcionalidades están disponibles para cada licencia,según el estado de esta:

Licencia Inactiva Evaluación/Activada

Vencida

CloudPools Los clientes nopueden conectarsea la nube nialmacenar archivosen ella.

Los clientes puedenacceder a archivos,almacenarlos ymodificarlos en lanube. Puede

No es posible establecernuevas conexiones con lanube y no se puedenarchivar datos nuevos. Losdatos de nube escritos


Estado de licencia 47


Vencida

accederse a losarchivos en la nubemediante protocoloscomunes como NFSy SMB.

anteriormente aún sepueden recuperar.

Security Hardening Los clientes nopueden aplicar nirevertir elreforzamiento de laseguridad. Losclientes pueden verel estado delreforzamiento.

Los clientes puedenaplicar y revertir elreforzamiento de laseguridad y ver elestado delreforzamiento.

Los clientes no puedenaplicar ni revertir elreforzamiento de laseguridad. Los clientespueden ver el estado delreforzamiento.

HDFS Los clientes nopueden acceder alclúster medianteHDFS.

Puede configurarHDFS y los clientespueden acceder alclúster medianteHDFS.

No se puede establecer laconfiguración de HDFS.Después de que se reiniciael servicio HDFS, losclientes ya no puedenacceder al clúster medianteHDFS.

InsightIQ No puedemonitorear elclúster conInsightIQ.

Puede monitorear elclúster conInsightIQ.

InsightIQ detiene elmonitoreo del clúster. Losdatos recopiladospreviamente por InsightIQaún están disponibles en lainstancia de InsightIQ.

Isilon Swift Los clientes nopueden acceder alclúster medianteSwift.

Los clientes puedenacceder a los datosbasados en archivosexistentesalmacenados en elclúster comoobjetos mediante laaplicación cliente dela API de Swift através de HTTP oHTTPS.

Los clientes ya no puedenacceder al clúster medianteSwift.

SmartConnectAdvanced

Las conexiones declientes sebalancean medianteuna política de tiporound-robin. Laasignación dedirecciones IP esestática. A cadasubred de redexterna se le puedeasignar solamenteun pool dedirecciones IP.

Puede acceder afunciones como lautilización del CPU,el conteo deconexiones y laspolíticas deconexión declientes, además dela política de tiporound-robin.También puedeconfigurar pools dedirecciones para

Ya no puede especificar laconfiguración deSmartConnect Advanced.




Vencida

admitir varias zonasDNS dentro de unasola subred y elfailover de IP.

SmartDedupe No puedededuplicar datoscon SmartDedupe.

Puede deduplicardatos conSmartDedupe.

Ya no puede deduplicardatos. Los datos que sededuplicaron anteriormentepermanecen deduplicados.

SmartLock No puedeimplementar laretención dearchivos conSmartLock.

Puede implementarla retención dearchivos conSmartLock.

No puede crear nuevosdirectorios de SmartLock nimodificar los ajustes deconfiguración dedirectorios de SmartLockpara directorios existentes.Aún puede confirmararchivos en un estadoWrite Once, Read Many(WORM), incluso despuésde que se quite laconfiguración de la licenciade SmartLock, pero nopuede eliminar archivosconfirmados en WORM dedirectorios empresariales.

SmartPools Todos los archivospertenecen al poolde archivospredeterminado yestán regulados porla política de poolsde archivospredeterminada. Laasignación de hotspare virtual, quereserva espaciopara la reparaciónde datos en caso deque falle una unidad,también estádisponible.

Puede crear variospools de archivos ypolíticas de pools dearchivos. Tambiénpuede administrarlos desbordes, locual define cómo semanejan lasoperaciones deescritura cuando nose puede escribir enun pool dealmacenamiento.

Ya no puede administrarpolíticas de pools dearchivos, y el trabajo deSmartPools ya no podráejecutarse. La política depools de archivospredeterminada regularálos archivos recientementeagregados, y el trabajoSetProtectPlus, a la larga,aplicará la política de poolsde archivos predeterminadaa todos los archivos en elclúster.Si el trabajo de SmartPoolsse ejecuta cuando expira lalicencia, el trabajo secompleta antes dedesactivarse.

SmartQuotas No puede crearcuotas conSmartQuotas.

Puede crear cuotascon SmartQuotas.

OneFS desactiva todas lascuotas. Traspasar losumbrales orientativos y deadvertencia nodesencadena eventos. Nose hacen cumplir los


Estado de licencia 49


Vencida

umbrales de advertencia yde límite máximo.

SnapshotIQ Puede ver yadministrarsnapshotsgenerados poraplicaciones deOneFS. Sinembargo, no puedecrear snapshots niconfigurarSnapshotIQ.

Puede crear, ver yadministrarsnapshots. Tambiénpuede configurarsnapshots.

Ya no podrá generarsnapshots. No se eliminanlos calendarios desnapshots existentes; sinembargo, los calendarios nogenerarán snapshots.Aún puede eliminarsnapshots y acceder a losdatos de estos.

SyncIQ No puede replicardatos con SyncIQ.

Puede replicardatos con SyncIQ

Ya no podrá replicar datos aclústeres remotos, y estosno podrán replicar datos alclúster local. Las políticasde replicación aún semostrarán comohabilitadas; sin embargo,los trabajos de replicaciónfuturos que creó la políticafallarán.Si un trabajo de replicaciónse encuentra en cursocuando la licencia expira,este se completa.

Configuración de licenciaEs posible configurar algunas licencias de módulos de OneFS.

Para configurar una licencia, ejecute operaciones específicas mediante el módulocorrespondiente. No todas las acciones que le exigen activar una licencia configuraránla licencia. Además, no se pueden configurar todas las licencias. Si configura unalicencia, no se agrega ni elimina acceso a ninguna función proporcionada por unmódulo.

En la siguiente tabla se describen las acciones que permiten que cada licencia seconfigure:

Licencia Causa de la configuración

CloudPools Crear una política de pools de nube (distintade la política de pools predeterminada).

Hardening No se puede configurar esta licencia.

HDFS No se puede configurar esta licencia.

InsightIQ No se puede configurar esta licencia.

Isilon Swift No se puede configurar esta licencia



Licencia Causa de la configuración

SmartConnect Establecer la configuración de SmartConnectAdvanced para al menos un pool dedirecciones IP.

SmartDedupe No se puede configurar esta licencia.

SmartLock No se puede configurar esta licencia.

SmartPools Crear una política de pools de archivos(además de la política de pools de archivospredeterminada).

SmartQuotas Crear una cuota.

SnapshotIQ Crear un calendario de snapshots.

SyncIQ Crear una política de replicación.

Nota

En el caso de IsilonSD Edge, las licencias de módulo se incluyen con las licenciascompradas y gratuitas de IsilonSD Edge. No es necesario configurarlas por separado.

Habilitar una licenciaPara acceder a un módulo de OneFS, debe habilitar una licencia.

Antes de comenzar

Antes de que pueda habilitar una licencia, debe obtener una clave de licencia válida ydebe tener privilegios de usuario raíz en su clúster. Para obtener una clave de licencia,póngase en contacto con su gerente de cuentas de EMC Isilon.

Nota

Si está ejecutando IsilonSD Edge, puede activar una licencia a través de IsilonSDManagement Server. Para obtener más información, consulte la Guía de instalación yadministración de IsilonSD Edge.

Procedimiento

1. Haga clic en Cluster Management > Licensing.

2. En el área Activate Licenses, ingrese un número de licencia para un módulo.Haga clic en Add Another License Key si planea activar las licencias de variosmódulos.

Ver información de licenciaPuede ver información sobre el estado actual de cualquier módulo de software Isilonopcional instalado en el clúster.

Procedimiento

l Haga clic en Cluster Management > Licensing.

Puede revisar la información acerca de las licencias, incluidos el estado y la fechade vencimiento.


Habilitar una licencia 51

CertificadosPuede renovar el certificado de capa de conexión segura (SSL) para la interfaz deadministración web de Isilon o reemplazarlo con un certificado de SSL de otrosfabricantes.

Toda la comunicación en Platform API, que incluye la comunicación por medio de lainterfaz de administración web, se lleva a cabo mediante SSL. Puede reemplazar orenovar el certificado autofirmado con un certificado que usted genere. Parareemplazar o renovar un certificado de SSL, debe iniciar sesión como usuario raíz.

Sustituir o renovar el certificado SSLPuede reemplazar o renovar el certificado de capa de conexión segura (SSL), el cualse usa para acceder al clúster EMC Isilon mediante un navegador.

Antes de comenzar

Cuando renueva o reemplaza un certificado de SSL autofirmado, debe proporcionarinformación para su organización en el formato descrito en el ejemplo de datos delcertificado de SSL autofirmado.

Las siguientes carpetas son las ubicaciones predeterminadas de los archivosserver.crt y server.key en OneFS 6.0 y versiones posteriores.

l Certificado de SSL: /usr/local/apache2/conf/ssl.crt/server.crtl Clave de certificado de SSL: /usr/local/apache2/conf/ssl.key/

server.keyProcedimiento

1. Establezca una conexión de protocolo SSH con cualquier nodo del clúster.

2. Ejecute el siguiente comando para crear el directorio pertinente:

mkdir /ifs/local/

3. Ejecute el siguiente comando para cambiar el directorio:

cd /ifs/local/

4. Seleccione el tipo de certificado que desea instalar.

Opción Descripción

Certificadoemitido por la CA(público oprivado) deotros fabricantes

a. Para generar una nueva solicitud de firma de certificado(CSR), además de una nueva clave, ejecute el comandoopenssl req. El siguiente comando genera una CSRdonde el nombre de host es isilon.example.com:

openssl req -new -nodes -newkey rsa:1024 -keyout \<common name>.key -out <common-name>.csr




b. Envíe el contenido del archivo <common_name>.csrdel clúster a su autoridad de certificación (CA) para quelo firme. Cuando reciba el certificado firmado (ahora unarchivo .crt) de la CA, copie el certificado en /ifs/local/<common-name>.crt.

Certificadoautofirmadobasado en elarchivo ssl.keyexistente(reservado)

a. En la línea de comandos, ejecute el siguiente comandopara crear un certificado de dos años. Aumente odisminuya el valor de -days a fin de generar uncertificado con una fecha de vencimiento diferente.

cp /usr/local/apache2/conf/ssl.key/server.key ./openssl req -new \/-days 730 -nodes -x509 -key server.key -out server.crt

Se creará un certificado de renovación basado en el archivo ssl.key existente(reservado).

5. (Opcional) Para verificar los atributos de un certificado SSL, ejecute elcomando openssl req.

openssl x509 -text -noout -in <common-name>.crt

6. Ejecute los siguientes comandos para instalar el certificado y la clave:

isi services -a isi_webui disable chmod 640 <common name>.key \isi_for_array -s 'cp /ifs/local/<common-name>.key \ /usr/local/apache2/conf/ssl.key/server.key' \isi_for_array -s 'cp /ifs/local/<common-name>.crt \/usr/local/apache2/conf/ssl.crt/server.crt' isi services -a isi_webui enable

7. Para eliminar archivos, ejecute el comando de rm. Ejecute el siguiente comandopara eliminar los archivos en /ifs/local/folder1:

rm /ifs/local/folder1/*

Verificar una actualización del certificado SSLPuede verificar los detalles almacenados en un certificado de capa de conexión segura(SSL).

Procedimiento

1. Abra una ventana del navegador web.

2. Navegue a https://<common name>:8080, donde <common name> es elnombre del host para la interfaz de administración web de EMC Isilon, como porejemplo, isilon.example.com.


Verificar una actualización del certificado SSL 53

3. En los detalles de seguridad para la página web, verifique que la línea del asuntoy otros detalles que proporcione sean correctos.

Nota

Los pasos para ver los detalles de seguridad varían según el navegador. Porejemplo, en algunos navegadores, puede hacer clic en el ícono de candado de labarra de direcciones para ver los detalles de seguridad para la página web. Sigalos pasos específicos para su navegador.

Ejemplo de datos de certificado SSL autofirmadoEl reemplazo o la renovación del certificado SSL autofirmado requiere que proporcionedeterminados datos, como su nombre de dominio calificado y una dirección de correoelectrónico de contacto.

Cuando renueva o reemplaza un certificado SSL autofirmado, se le solicita queproporcione datos en el formato que se muestra en el siguiente ejemplo. Algunoscampos en el archivo del certificado contienen un valor predeterminado. Si ingresa'.', el campo queda en blanco cuando se genera el certificado.

l Nombre del país (código de dos letras) [XX]:USl Nombre del estado o provincia (nombre completo) [un estado]:Washingtonl Nombre de la localidad (por ejemplo, ciudad) [ciudad predeterminada]:Seattlel Nombre de la organización (por ejemplo, empresa) [Internet Widgits Pty

Ltd]:Isilonl Nombre de la unidad organizacional (por ejemplo, sección) []:Supportl Nombre común (por ejemplo, servidor FQDN o nombre del servidor)

[]:isilon.example.com

l Dirección de correo electrónico []:[email protected]ás, debe agregar los siguientes atributos que se enviarán con su solicitud decertificado:

l Contraseña de comprobación []:Isilon1l Nombre de la empresa opcional []:

Identidad del clústerPuede especificar atributos de identidad para el clúster EMC Isilon.

Nombre del clúster

El nombre del clúster aparece en la página de inicio de sesión y permite que elclúster y sus nodos se reconozcan más fácilmente en su red. Cada nodo delclúster se identifica mediante el nombre del clúster y el número del nodo. Porejemplo, el primer nodo en un clúster denominado Images puede llevar el nombrede Images-1.

Nota

En el caso de IsilonSD Edge, puede asignar un nombre de clúster solo a través delplug-in de administración de IsilonSD. Para obtener más información, consulte laGuía de instalación y administración de IsilonSD Edge.



Descripción del clúster

La descripción del clúster aparece debajo de su nombre en la página de inicio desesión. Esta descripción es útil si su ambiente cuenta con varios clústeres.

Mensaje de inicio de sesión

El mensaje de inicio de sesión aparece como una casilla separada en la página deinicio de sesión de la interfaz de administración web de OneFS, o como una líneade texto debajo del nombre de clúster en la interfaz de la línea de comandos deOneFS. El mensaje de inicio de sesión puede comunicar información sobre elclúster, instrucciones para iniciar sesión o advertencias que debería conocer unusuario antes de iniciar sesión en el clúster. Establezca esta información en lapágina Cluster Identity de la interfaz de administración web de OneFS

Establecer el nombre del clúster y la información de contactoPuede especificar un nombre, una descripción, un mensaje de inicio de sesión einformación de contacto en su clúster EMC Isilon.

Los nombres de clústeres deben comenzar con una letra y solo pueden contenernúmeros, letras y guiones. Si el clúster se incorpora a un dominio de Active Directory,el nombre del clúster debe tener 11 caracteres como máximo.

Procedimiento

1. Haga clic en Cluster Management > General Settings > Cluster Identity.

2. (Opcional) En el área Cluster Identity, ingrese un nombre para el clúster delcampo Cluster Name e ingrese una descripción en el campo ClusterDescription.

Nota

En el caso de IsilonSD Edge, especifique el nombre del clúster mediante el plug-in de administración de IsilonSD dentro de VMware vCenter. Para obtener másinformación, consulte la Guía de instalación y administración de IsilonSD Edge.

3. (Opcional) En el área Login Message, ingrese un título en el campo MessageTitle y un mensaje en el campo Message Body.

4. En el área Contact Information, escriba el nombre y la ubicación de suempresa.

5. En el área Primary Administrator Information, ingrese el nombre, los númerosde teléfono y la dirección de correo electrónico del administrador principal deOneFS para el clúster.

6. En el área Secondary Administrator Information, ingrese el nombre, losnúmeros de teléfono y la dirección de correo electrónico del administradorsecundario de OneFS para el clúster.

7. Haga clic en Save Changes.

Requistos posteriores

Debe agregar el nombre del clúster a los servidores DNS.


Establecer el nombre del clúster y la información de contacto 55

Fecha y hora del clústerEl servicio NTP se puede configurar manualmente, de modo que pueda asegurarse deque todos los nodos de un clúster estén sincronizados con el mismo origen de la hora.

El método NTP sincroniza automáticamente los ajustes de fecha y hora del clúster através de un servidor NTP. De forma alternativa, puede ajustar la fecha y la horaregistradas en el clúster configurando manualmente el servicio.

Los dominios de Windows proporcionan un mecanismo para sincronizar miembros deldominio a un reloj maestro que se ejecuta en los controladores de dominio, de modoque OneFS ajuste la hora del clúster a la de Active Directory con un servicio. Si no hayservidores NTP externos configurados, OneFS usa el controlador de dominio deWindows como el servidor de hora NTP. Cuando la hora del clúster y la del dominio sedesincronizan en más de cuatro minutos, OneFS genera una notificación de eventos.

Nota

Si el clúster y Active Directory se desincronizan en más de cinco minutos, laautenticación no funcionará.

Ajustar la fecha y la hora del clusterPuede ajustar la fecha, la hora y la zona horaria que se utilizan en el clúster EMC Isilon.

Procedimiento

1. Haga clic en Cluster Management > General Settings > Date & Time.

La página Date and Time muestra una lista de la dirección IP y los ajustes defecha y hora de cada nodo.

2. En las listas Date and time, seleccione el mes, el día, el año, las horas y losminutos.

3. En la lista Time zone, seleccione un valor.

Si la zona horaria que desea no aparece en la lista, seleccione Advanced en lalista Time zone y, a continuación, elija la zona horaria en la lista Advanced timezone.

4. Haga clic en Submit.

Especificar un servidor de hora NTPPuede especificar uno o más servidores NTP para sincronizar la hora del sistema en elclúster EMC Isilon. El clúster se comunica periódicamente con los servidores NTP yajusta la fecha y la hora basándose en la información que recibe.

Procedimiento

1. Haga clic en Cluster Management > General Settings > NTP.

2. (Opcional) En el área NTP Servers, escriba la dirección IPv4 o IPv6 de uno omás servidores NTP. Si desea usar un archivo de clave, ingrese los números dela clave en el campo que aparece al lado de la dirección IP del servidor.

Haga clic en Add Another NTP Server si especifica varios servidores.

3. (Opcional) Si está usando un archivo de clave para el servidor NTP, escriba laruta del archivo para ese archivo en el campo Path to Key File.



4. En el área Chimer Settings, especifique la cantidad de nodos repiqueteadoresque se comunican con los servidores NTP (el valor predeterminado es 3).

5. Para excluir un nodo del repiqueteo, ingrese su número de nodos lógicos (LNN)en el campo Nodes Excluded from Chiming.


Ajustes de correo electrónico SMTPSi su ambiente de red requiere el uso de un servidor SMTP o si desea enrutar lasnotificaciones de eventos del clúster EMC Isilon con SMTP a través de un puerto,puede configurar los ajustes de correo electrónico SMTP.

Los ajustes de SMTP incluyen el número de puerto y la dirección de retransmisiónSMTP por los que se enruta el correo electrónico. Puede especificar un correoelectrónico de origen y una línea de asunto para todos los correos electrónicos denotificación de eventos enviados desde el clúster.

Si su servidor SMTP está configurado para admitir la autenticación, puede especificarun nombre de usuario y una contraseña. También puede especificar si desea aplicar elcifrado a la conexión.

Configurar ajustes de correo electrónico SMTPPuede enviar notificaciones de eventos a través de un servidor de correo SMTP.También puede habilitar la autenticación de SMTP si su servidor SMTP estáconfigurado para admitirla.

Procedimiento

1. Haga clic en Cluster Management > General Settings > Email Settings.

2. En el área SMTP Settings, ingrese las direcciones IPv4 o IPv6 o el nombre dedominio calificado de la retransmisión SMTP en el campo SMTP relay address.

3. En el campo SMTP relay port, ingrese el número de puerto.

El número de puerto predeterminado es 25.

4. Haga clic en la casilla de verificación Use SMTP Authentication para exigir laautenticación de SMTP.

Aparecerán los campos en los que puede ingresar el nombre de usuario y lacontraseña de autenticación, así como los botones de opción correspondientesal protocolo TLS. Vaya al paso 7 si no desea usar la autenticación de SMTP.

5. Ingrese el nombre de usuario y la contraseña de autenticación, y confirme lacontraseña.

6. Especifique la seguridad de la conexión. El valor predeterminado no tieneseguridad. Seleccione STARTTLS si desea usar una conexión cifrada de TLS.

7. En el área Event Notification Settings, ingrese la dirección de correoelectrónico de origen que se mostrará en la línea To del correo electrónico en elcampo Send email as.

8. En el campo Subject, ingrese el texto que se mostrará en la línea Subject delcorreo electrónico.

9. Si desea que los correos electrónicos de notificación de eventos se agrupen enlotes, seleccione una opción del menú desplegable Notification Batch Mode. Elvalor predeterminado es No batching.


Ajustes de correo electrónico SMTP 57

10. En el menú desplegable Default Email Template, seleccione si desea usar laplantilla predeterminada que se proporciona con OneFS o una plantillapersonalizada. Si selecciona una plantilla personalizada, aparecerá el campoCustom Template Location. Ingrese un nombre de ruta para la plantilla.


Puede probar su configuración enviando una notificación de eventos de prueba.

Configuración de los límites de los clustersEl modo de incorporación al clúster especifica cómo se agrega un nodo al clúster EMCIsilon y si es necesaria la autenticación. OneFS incluye los modos de incorporaciónmanual y seguro para agregar nodos al clúster EMC Isilon.

Mode Descripción

Manual Permite agregar manualmente un nodo alclúster sin necesidad de una autorización.

Secure Necesita autorización de cada nodo agregadoal clúster. El nodo debe agregarse a través dela interfaz de administración web o medianteel comando isi devices -a add -d<unconfigured_node_serial_no> en la

interfaz de la línea de comandos.

Nota

Si especifica un modo de incorporaciónseguro, no puede incorporar un nodo al clústera través de la opción del asistente de laconsola en serie [2] Join anexisting cluster.

Nota

En el caso de IsilonSD Edge, no puede configurar el modo de incorporación al clúster.Para obtener más información, consulte la Guía de instalación y administración deIsilonSD Edge.

Especificar el modo de incorporación al clústerPuede especificar un modo de incorporación que determine cómo se agregan losnodos al clúster EMC Isilon.

Estas instrucciones no corresponden a IsilonSD Edge.

Procedimiento

1. Haga clic en Cluster Management > General Settings > Join Mode.

2. En el área Settings, seleccione el modo que determinará cómo se puedenagregar nodos al clúster.


Manual Las incorporaciones se pueden iniciar manualmente




Secure Solo el clúster puede iniciar las incorporaciones, las cuales requierenautenticación.


Ajustes del sistema de archivosPuede configurar los ajustes globales del sistema de archivos en un clúster EMC Isilonrelacionados con el rastreo de la hora de acceso y la codificación de caracteres.

Puede habilitar o deshabilitar el rastreo de la hora de acceso, que monitorea la hora deacceso a cada archivo. Si es necesario, también puede modificar la codificación decaracteres predeterminada en el clúster.

Habilitar o deshabilitar el rastreo de la hora de accesoPuede habilitar el rastreo de la hora de acceso para complementar funciones que lonecesiten.

De forma predeterminada, el clúster EMC Isilon no rastrea la hora de registro cuandose accede a los archivos. Puede habilitar esta funcionalidad para dar soporte a lasfunciones de OneFS que la utilizan. Por ejemplo, el rastreo de la hora de acceso debeestar habilitado para configurar los criterios de la política de SyncIQ que coinciden conarchivos basados en la última vez que se accedió a ellos.

Nota

La habilitación del rastreo de la hora de acceso puede afectar el rendimiento delclúster.

Procedimiento

1. Haga clic en File System Management > File System Settings > Access TimeTracking.

2. En el área Access Time Tracking, haga clic en la casilla de verificación Enableaccess time tracking para rastrear los registros de fecha y hora del acceso aarchivos. Esta función está deshabilitada de manera predeterminada.

3. En los campos Precision, especifique la frecuencia de actualización de la horadel último acceso ingresando un valor numérico y seleccionando una unidad demedida, como segundos, minutos, horas, días, semanas, meses o años.

Por ejemplo, si configura la opción Precision en un día, el clúster actualizará lahora del último acceso una vez al día, incluso si se accedió a algunos archivosmás de una vez durante el día.


Especificar la codificación de caracteres del clústerPuede modificar la codificación de caracteres establecida para el clúster EMC Isilondespués de la instalación.

Solo se pueden seleccionar los conjuntos de caracteres compatibles con OneFS.UTF-8 es el conjunto de caracteres predeterminado para los nodos de OneFS.


Ajustes del sistema de archivos 59

Nota

Si la codificación de caracteres del clúster no se define en UTF-8, los nombres derecursos compartidos de SMB distinguirán mayúsculas de minúsculas.

Debe reiniciar el clúster para aplicar los cambios en la codificación de caracteres.

PRECAUCIÓN

La codificación de caracteres suele establecerse durante la instalación delclúster. La modificación del ajuste de codificación de caracteres tras lainstalación puede dejar los archivos ilegibles si no se hace de la forma correcta.Modifique los parámetros solo si es necesario después de consultar con elsoporte técnico de Isilon.

Procedimiento

1. Haga clic en File System Management > File System Settings > CharacterEncoding.

2. (Opcional) En la lista Character encoding, seleccione el conjunto decodificación de caracteres que desea usar.

3. Haga clic en Save Changes y, a continuación, haga clic en Yes para confirmarque el cambio de codificación se vuelva efectivo después de reiniciar el clúster.

4. Reinicie el clúster.

Resultados

Después de reiniciar el clúster, la interfaz de administración web de OneFS reflejará elcambio.

Consolidación de la seguridadEl reforzamiento de la seguridad es el proceso de configuración de un sistema parareducir o eliminar la mayor cantidad posible de riesgos de seguridad.

Al aplicar un perfil de reforzamiento, OneFS lo lee y aplica los requisitos de perfil. Si esnecesario, OneFS identifica los problemas de configuración que impiden elreforzamiento en los nodos. Por ejemplo, los permisos de archivos de un directoriodeterminado pueden no mostrar el valor esperado, o los directorios requeridos puedenfaltar. Cuando se detecta un problema, puede elegir si desea que OneFS lo solucione osi prefiere posponer la resolución y reparar el problema manualmente.

Nota

En este momento, OneFS admite solo el reforzamiento STIG (de la Guía deimplementación técnica de seguridad) de la Agencia de Sistemas de Información deDefensa (DISA). No hay otros perfiles de seguridad disponibles.

Si determina que la configuración del reforzamiento no es la correcta para su sistema,OneFS permite revertir el perfil de reforzamiento de seguridad. Si revierte un perfil dereforzamiento, OneFS volverá a la configuración lograda tras solucionar los problemas,si los hubo, antes del reforzamiento.

Es necesario contar con una licencia de reforzamiento de seguridad activa e iniciarsesión en el clúster EMC Isilon como usuario raíz para aplicar el reforzamiento enOneFS. Para obtener una licencia, póngase en contacto con su gerente de cuentas deEMC Isilon.



Perfil STIG hardeningEl perfil de reforzamiento STIG contiene requisitos de configuración establecidos porel departamento de defensa y está diseñado para los clústeres de Isilon que soncompatibles con cuentas del Gobierno Federal. Un clúster Isilon instalado con un perfilSTIG se basa en que el ecosistema circundante también cumpla las normas de la Guíade Implementación Técnica de Seguridad. Es poco probable que los clientesempresariales de Isilon tengan ecosistemas que cumplan las normas de STIG, y por logeneral, no son candidatos para el perfil STIG.

Para cumplir con los requisitos federales de la lista de productos aprobados (APL), laconfiguración de OneFS debe seguir las guías de implementación de tecnologías deseguridad (STIG) que contienen los requisitos de configuración de hardening. LasSTIG son mantenidas por la Agencia de Sistemas de Información de Defensa (DISA),que produce una STIG para varias tecnologías de procesamiento conocidas comoáreas de evaluación. El perfil STIG hardening contiene los requisitos para todas lasáreas de evaluación que se pueden aplicar a OneFS.

Después de aplicar el perfil STIG hardening, la configuración de OneFS se modificapara cumplir con los requisitos de la STIG. Las siguientes modificaciones son algunosejemplos de los diversos cambios en el sistema:

l Después de iniciar sesión mediante el protocolo SSH o la interfaz web, el sistemamostrará un mensaje en el que se indica que está accediendo a un sistema deinformación del Gobierno de los EE. UU., además de los términos y las condicionesde uso del sistema.

l En cada nodo, el protocolo SSH y la interfaz web escucharán solo las direccionesIP externas del nodo.

l Los requisitos de complejidad de contraseña para las cuentas de usuario localesaumentarán. Las contraseñas deben tener 14 caracteres como mínimo e incluir almenos un carácter de cada uno de los siguientes tipos: numérico, mayúsculas,minúsculas y símbolo.

l El protocolo SSH raíz se deshabilitará. Después de la aplicación de hardening,puede iniciar sesión como raíz solo mediante la interfaz web o por medio de unasesión de consola en serie.

Áreas de evaluación del perfil STIGEl perfil STIG hardening contiene requisitos de configuración para varios aspectos delsistema, los cuales se denominan áreas de evaluación.

La siguiente tabla muestra cada área de evaluación y la Guía de Implementación deTécnicas de Seguridad (STIG) asociada que aplica el perfil de reforzamiento:

Área de evaluación STIG

Sistema operativo UNIX Manual SRG, versión 1, edición 3UNIX Policy Manual SRG, versión 1, edición 2

Servidor web Apache Apache 2.2 STIG UNIX, versión 1, edición 4

Servidor web Web Server SRG, versión 1, edición 1Web Policy Manual STIG, versión 1, edición 1

Desarrollo y seguridad de aplicaciones Application Security and Development STIG,versión 3, edición 8

Servidor de aplicaciones Application Server SRG, versión 1, edición 1


Perfil STIG hardening 61

Área de evaluación STIG

Red Network Devices STIG, versión 8, edición 17

Uso compartido de periféricos en la red Storage Area Network STIG, versión 2, edición2

Base de datos Database SRG, versión 1, edición 1

Enclave Enclave STIG, versión 4, edición 5

Almacenamiento extraíble Removable Storage STIG, versión 1, edición 2

Servidor de acceso remoto RAS Remote Access Server STIG, versión 2,edición 7

Aplicar un perfil de reforzamiento de seguridadPuede aplicar el perfil de reforzamiento STIG al clúster EMC Isilon.

Antes de comenzar

La consolidación de seguridad requiere privilegios de administrador y se puede ejecutarsolo a través de la interfaz de la línea de comandos.

Una vez que se haya aplicado exitosamente la consolidación en el clúster, el protocoloSSH raíz no se permitirá en un clúster de consolidación. Para iniciar sesión como elusuario raíz en un clúster reforzado, debe conectarse mediante la interfaz web o unasesión de consola en serie.

Debe contar con una licencia de reforzamiento de seguridad activa para aplicar el perfilde reforzamiento en OneFS. Para obtener una licencia, póngase en contacto con sugerente de cuentas de EMC Isilon.

Procedimiento

1. Abra una conexión de protocolo SSH a cualquier nodo del clúster e inicie sesióncomo raíz.

2. Ejecute el comando isi hardening apply.

El siguiente comando le indica a OneFS que aplique el perfil de reforzamientoSTIG al clúster Isilon.

isi hardening apply --profile=STIG

OneFS verifica si el sistema presenta algún problema de configuración que debaresolverse antes de la aplicación del reforzamiento.

l Si OneFS no encuentra ningún problema, se aplica el perfil de reforzamiento.

l Si OneFS encuentra problemas, el sistema mostrará una salida similar alsiguiente ejemplo:

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected



permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-21: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:

3. Si hay algún problema de configuración, debe resolverlo. Ante la pregunta Doyou want to resolve the issue(s)?[Y/N], elija una de las siguientesacciones:

l Para permitir que OneFS resuelva todos los problemas, escribaY. OneFSsolucionará los problemas y aplicará el perfil de reforzamiento.

l Para posponer la resolución y reparar manualmente todos los problemasencontrados, escriba N. Después de reparar todos los problemas pospuestos,ejecute nuevamente el comando isi hardening apply.

Nota

Si OneFS encuentra un problema que se considere catastrófico, el sistema lesolicitará que solucione el problema manualmente. OneFS no puede solucionarproblemas catastróficos.

Revertir un perfil de reforzamiento de seguridadEs posible revertir un perfil de reforzamiento aplicado al clúster EMC Isilon.

Antes de comenzar

La reversión de la consolidación de seguridad requiere privilegios de administrador y sepuede realizar solo a través de la interfaz de la línea de comandos. Para iniciar sesióncomo el usuario raíz en un clúster de consolidación, debe conectarse mediante unasesión de consola en serie. El protocolo SSH raíz no se permite en un clústerreforzado.Debe contar con una licencia de reforzamiento de seguridad activa para revertir unperfil de reforzamiento en OneFS. Para obtener una licencia, póngase en contacto consu gerente de cuentas de EMC Isilon.

Procedimiento

1. Abra una sesión de consola en serie en cualquier nodo del clúster e inicie sesióncomo raíz.

2. Ejecute el comando isi hardening revert.

OneFS verifica si el sistema se encuentra en el estado esperado.

l Si OneFS no encuentra ningún problema, se revierte el perfil dereforzamiento.

l Si OneFS encuentra algún problema, el sistema mostrará una salida similar alsiguiente ejemplo:

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected


Revertir un perfil de reforzamiento de seguridad 63

permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-21: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:

3. Si hay algún problema de configuración, debe resolverlo. Ante la pregunta Doyou want to resolve the issue(s)?[Y/N], elija una de las siguientesacciones:

l Para permitir que OneFS resuelva todos los problemas, escriba Y. OneFSestablece las configuraciones afectadas en el estado esperado y revierte elperfil de reforzamiento.

l Para posponer la resolución y reparar manualmente todos los problemasdetectados, escriba N. OneFS detiene el proceso de reversión hasta que sehayan resuelto todos los problemas. Una vez reparados todos los problemaspospuestos, vuelva a ejecutar el comando isi hardening revert.

Nota

Si OneFS encuentra un problema que se considere catastrófico, el sistema lesolicitará solucionar el problema manualmente. OneFS no puede solucionarproblemas catastróficos.

Ver el estado de la consolidación de seguridadPuede ver el estado de consolidación de seguridad del clúster EMC Isilon y de cadanodo del clúster. Un clúster no se considera reforzado sino hasta que todos los nodosestén reforzados. Durante el proceso de reforzamiento, si OneFS encuentra problemasque deban resolverse manualmente, o si usted pospone problemas a fin de resolverlosmanualmente, los nodos con problemas no se reforzarán hasta que se resuelvan losproblemas y el perfil de reforzamiento se haya aplicado correctamente. Si necesitaayuda para resolver estos problemas, póngase en contacto con el servicio de soportetécnico de Isilon.

Antes de comenzar

La visualización del estado de la consolidación de seguridad del clúster requiereprivilegios de administrador y se puede realizar solo a través de la interfaz de la líneade comandos. Para iniciar sesión como el usuario raíz en un clúster de consolidación,debe conectarse mediante una sesión de consola en serie. El protocolo SSH raíz no sepermite en un clúster reforzado.

No necesita una licencia de consolidación de seguridad para ver el estado de laconsolidación del clúster.

Procedimiento

1. Abra una sesión de consola en cualquier nodo del clúster e inicie sesión comoraíz.



2. Ejecute el comando isi hardening status para ver el estado delreforzamiento de seguridad en el clúster Isilon y en cada uno de los nodos.

El sistema muestra un resultado similar al siguiente ejemplo:

Cluster Name: test-clusterHardening Status: Not HardenedProfile: STIGNode status:test-cluster-1: Disabledtest-cluster-2: Enabledtest-cluster-3: Enabled

Monitoreo del clústerPuede monitorear la integridad, el rendimiento y el estado de su clúster EMC Isilon.

Mediante el tablero de OneFS de la interfaz de administración web, puede monitorearel estado y la integridad del sistema OneFS. La información está disponible para cadanodo individual, incluidos el tráfico de red específico de cada nodo, las interfaces dered internas y externas, y los detalles sobre los pools de nodos, niveles e integridadgeneral del clúster. Puede monitorear las siguientes áreas de la integridad y elrendimiento de su clúster EMC Isilon:

Node status

Estadísticas de integridad y rendimiento para cada nodo del clúster, incluido el usode los discos duros (HDD) y los discos de estado sólido (SSD).

Client connections

Cantidad de clientes conectados por nodo.

New events

Lista de notificaciones de eventos generadas por eventos del sistema, incluidos lagravedad, el ID de instancia único, la hora de inicio, el mensaje de alerta, y elalcance del evento.

Cluster size

Vista Current: el espacio en disco duro y disco SSD en uso y disponible, así comoel espacio reservado para el hot spare virtual (VHS).

Vista Historical: el espacio total usado y el tamaño del clúster en el período de unaño.

Cluster throughput (file system)

Vista Current: el volumen de tráfico entrante y saliente promedio que pasó por losnodos del clúster durante la última hora.

Vista Historical: el volumen de tráfico entrante y saliente promedio que pasó porlos nodos del clúster durante las últimas dos semanas.

CPU usage

Vista Current: los porcentajes de CPU promedio del sistema, del usuario y totaldurante la última hora.

Vista Historical: el uso de CPU durante las últimas dos semanas.


Monitoreo del clúster 65

Monitorear el clústerPuede monitorear el estado y el rendimiento de un clúster EMC Isilon con gráficos ytablas que muestran el estado y el rendimiento de nodos, conexiones de clientes,eventos, tamaño del clúster, rendimiento del clúster y uso de CPU.

Procedimiento

1. Haga clic en Dashboard > Cluster Overview > Cluster Status.

2. (Opcional) Ver detalles de solicitud de servicio

l Estado: Para ver los detalles de un nodo, haga clic en el número de ID delnodo.

l Resumen de conexión del cliente: Para ver una lista de las conexionesactuales, haga clic en Dashboard > Cluster Overview > ClientConnections .

l Nuevos eventos: Para ver más información sobre un evento, haga clic enView details en la columna Actions.

l Tamaño del cluster: Para alternar entre las vistas actual e histórica, haga clicen las opciones Historical o Current, situadas al lado del título de la secciónMonitoring. En la vista histórica, haga clic en Used o Cluster size paracambiar la visualización.

l Rendimiento del clúster (sistema de archivos): Para alternar entre las vistasactual e histórica, haga clic en las opciones Historical o Current, situadas allado del título de la sección Monitoring. Para ver las estadísticas derendimiento durante un período específico dentro de las dos últimassemanas, haga clic en Dashboard > Cluster Overview > ThroughputDistribution.

Nota

Puede ocultar o mostrar el rendimiento entrante o saliente haciendo clic enInbound o Outbound en la leyenda del gráfico. Para ver el rendimientomáximo, seleccione la opción Maximum que aparece al lado de la opciónShow.

l CPU usage: Para alternar entre las vistas actual e histórica, haga clic en lasopciones Historical o Current, situadas al lado del título de la secciónMonitoring.

Nota

Puede ocultar o mostrar un trazado haciendo clic en System, User o Totalen la leyenda del gráfico. Para ver el uso máximo, seleccione Maximum allado de Show.

Ver el estado de un nodoPuede ver el estado actual e histórico de un nodo.

Procedimiento


2. (Opcional) En el área Status, haga clic en el número de ID del nodo del quedesea ver el estado.



3. Consulte los detalles del nodo.

l Estado: Para ver los ajustes de las redes de un pool, una subred o unainterfaz de nodo, haga clic en el vínculo del área Status.

l Client connections: Para ver los clientes actuales conectados con este nodo,revise la lista en esta área.

l Chassis and drive status: Para ver el estado de las unidades de este nodo,revise esta área. Para ver los detalles sobre una unidad, haga clic en elvínculo de nombre de la misma; por ejemplo, Bay1.

l Node size: Para alternar entre las vistas actual e histórica, haga clic en lasopciones Historical o Current, situadas al lado del título del áreaMonitoring. En la vista histórica, haga clic en Used o Cluster size paracambiar la visualización según sea necesario.

l Rendimiento del nodo (sistema de archivos): Para alternar entre las vistasactual e histórica, haga clic en las opciones Historical o Current, situadas allado del título del área Monitoring. Para ver las estadísticas de rendimientodurante un período dentro de las dos últimas semanas, haga clic enDashboard > Cluster Overview > Throughput Distribution.

Nota

Puede ocultar o mostrar el rendimiento entrante o saliente haciendo clic enInbound o Outbound en la leyenda del gráfico. Para ver el rendimientomáximo, seleccione la opción Maximum que aparece al lado de la opciónShow.

l CPU usage: Para alternar entre las vistas actual e histórica, haga clic en lasopciones Historical o Current, situadas al lado del título del áreaMonitoring.

Nota

Puede ocultar o mostrar un trazado haciendo clic en System, User o Totalen la leyenda del gráfico. Para ver el uso máximo, seleccione la opciónMaximum que aparece al lado de la opción Show.

Monitoreo del hardware del clústerPuede comprobar manualmente el estado del hardware en el clúster EMC Isilon, asícomo habilitar el protocolo SNMP para monitorear los componentes de maneraremota.

Ver el estado del hardware del nodoEs posible ver el estado del hardware de un nodo.

Procedimiento


2. (Opcional) En el área Status, haga clic en el número de ID de un nodo.

3. En el área Chassis and drive status, haga clic en Platform.


Monitoreo del hardware del clúster 67

Estados del chasis y las unidadesPuede ver detalles sobre el estado de las unidades y del chasis.

En un clúster, la combinación de nodos en diferentes estados de degradacióndetermina si las solicitudes de escritura y de lectura funcionan correctamente. Unclúster puede perder quórum de escritura, pero mantener el de lectura. OneFS brindadetalles sobre el estado del chasis y de las unidades en el clúster. La siguiente tabladescribe todos los estados posibles con los que se puede encontrar en el clúster.

Nota

Si está ejecutando IsilonSD Edge, puede ver y administrar los detalles de estado delchasis y las unidades mediante el plug-in de administración de IsilonSD. Para obtenermás información, consulte la Guía de instalación y administración de IsilonSD Edge.

Condición Descripción Interfaz Estado del error

HEALTHY Todas las unidades delnodo funcionancorrectamente.

Interfaz de la línea decomandos, interfaz deadministración web

L3 Se implementó undisco de estado sólido(SSD) como caché denivel 3 (L3) paraaumentar el tamañode memoria caché ymejorar la velocidaddel rendimiento.

Interfaz de la línea decomandos

SMARTFAIL o

Smartfail orrestripe inprogress

La unidad está siendoeliminada de manerasegura del sistema dearchivos, ya seadebido a un error deI/O o porque elusuario lo solicitó. Losnodos o unidades enestado SmartFail o desolo lectura afectansolamente el quórumde escritura.


NOT AVAILABLE Una unidad no estádisponible pordiversas razones.Puede hacer clic en labahía para verinformación detalladasobre este estado.


X




Nota

En la interfaz deadministración web,este estado incluyelos estados de lainterfaz de la línea decomandos ERASE y

SED_ERROR.

SUSPENDIDO Este estado indicaque la actividad en launidad estátemporalmentesuspendida y esta nose puede utilizar. Elestado se iniciamanualmente y noocurre durante laactividad normal delclúster.


NOT IN USE Un nodo en estadooffline afecta tanto elquórum de lecturacomo el de escritura.


REPLACE Se ejecutó unSmartFailcorrectamente a launidad y ya se puedereemplazar.

Solamente la interfazde la línea decomandos

STALLED La unidad se estancóy está siendoevaluada. Laevaluación deestancamiento es elproceso mediante elcual se revisan lasunidades que sonlentas o presentanotros problemas.Según el resultado dela evaluación, launidad puede retomarsu funcionamientonormal o se le puedeejecutar un SmartFail.Este es un estadotransitorio.


NEW La unidad es nueva yestá vacía. Este es elestado en que se



Estados del chasis y las unidades 69


encuentra una unidadal ejecutar elcomando isi devcon la opción -aadd.

USED La unidad se agregó ycontenía un GUID deIsilon, pero esta no esde este nodo. Esprobable que launidad se formatee enel clúster.


PREPARING La unidad estárealizando unaoperación deformateo. El estadode la unidad cambia aHEALTHY cuando elformateo se realizacorrectamente.


EMPTY No hay ningunaunidad en esta bahía.


WRONG_TYPE El tipo de unidad noes el correcto paraeste nodo. Porejemplo, una unidadque no sea SED en unnodo SED, o un discoSAS en lugar del tipode disco SATAesperado.


BOOT_DRIVE Exclusivo de la unidadA100, que cuenta conunidades deencendido en susbahías.


SED_ERROR El sistema OneFS nopuede reconocer launidad.

Nota

En la interfaz deadministración web,este estado estáincluido en Notavailable.


X




ERASE Ya se puede eliminarla unidad, pero debeprestarle atención alproceso porque losdatos no seeliminaron. Puedeeliminar la unidadmanualmente paragarantizar que losdatos se hayaneliminado.

Nota



INSECURE Personal noautorizado puedeacceder a datos en launidad con cifradoautomático. Lasunidades con cifradoautomático nunca sedeben usar cuando setrata de datos nocifrados.

Nota

En la interfaz deadministración web,este estado estáetiquetado comoUnencryptedSED.


X

UNENCRYPTED SED Personal noautorizado puedeacceder a datos en launidad con cifradoautomático. Lasunidades con cifradoautomático nunca sedeben usar cuando setrata de datos nocifrados.

Solamente la interfazde administración web

X




Nota

En la interfaz de lalínea de comandos,este estado estáetiquetado comoINSECURE.

Comprobar el estado de la bateríaPuede monitorear el estado de las baterías NVRAM y los sistemas de carga. Esta tareasolo se puede ejecutar en la interfaz de la línea de comandos de OneFS en hardwarede nodos compatible con el comando.

Estas instrucciones no corresponden a IsilonSD Edge.

Procedimiento

1. Abra una conexión de protocolo SSH con cualquier nodo del clúster.

2. Ejecute el comando isi batterystatus list para ver el estado de todaslas baterías NVRAM y los sistemas de carga en el nodo.


Lnn Status1 Status2 Result1 Result2----------------------------------------1 Good Good - -2 Good Good - -3 Good Good - -----------------------------------------

Monitoreo del protocolo SNMPPuede usar el protocolo SNMP para monitorear remotamente los componentes dehardware del clúster EMC Isilon, como los ventiladores, los sensores de hardware, lasfuentes de alimentación y los discos. Para este fin se pueden usar las herramientasSNMP predeterminadas de Linux o una herramienta SNMP basada en GUI de supreferencia.

Puede habilitar el monitoreo SNMP en nodos individuales de su clúster y, además,puede monitorear la información del clúster desde cualquier nodo. Las SNMP trapsgeneradas se envían a su red SNMP. Puede configurar una regla de notificación deeventos que especifique la estación de red donde desea enviar SNMP traps paraeventos específicos, de modo que cuando ocurre un evento, el clúster envía la trap aese servidor. OneFS es compatible con SNMP en modo de solo lectura. OneFS escompatible con la versión 2c de SNMP, que corresponde al valor predeterminado, ycon la versión 3 de SNMP.

Nota

OneFS no es compatible con la versión 1 de SNMP. A pesar de que existe una opciónpara --snmp-v1-v2-access en el comando isi snmp settings modify de lainterfaz de la línea de comandos (CLI) de OneFS, si activa esta función, OneFSrealizará el monitoreo solamente por medio de la versión 2c de SNMP.



Puede establecer la configuración de la versión 3 de SNMP solamente o de lasversiones 2c y 3 de SNMP.

Nota

Si configura la versión 3 de SNMP, OneFS requiere que el nivel de seguridadespecífico de SNMP AuthNoPriv sea el valor predeterminado al realizar una consulta alclúster. El nivel de seguridad AuthPriv no es compatible.

Los elementos en una jerarquía de SNMP se organizan en una estructura de árbolsimilar a un árbol de directorios. Con respecto a los directorios, los identificadorespasan de ser generales a específicos a medida que la cadena progresa de izquierda aderecha. Sin embargo, a diferencia de una jerarquía de archivos, cada elemento estáenumerado, además de tener un nombre.

Por ejemplo, la entidadSNMP .iso.org.dod.internet.private.enterprises.isilon.oneFSss.ssLocalNodeId.0 se asigna a .1.3.6.1.4.1.12124.3.2.0. La parte delnombre que corresponde al espacio de nombres del protocolo SNMP de OneFS es elelemento 12124. Todo lo que se encuentra a la derecha de ese número se relacionacon el monitoreo específico de OneFS.

Los documentos Management Information Base (MIB) definen los nombres enlenguaje natural para objetos administrados y especifican sus tipos de datos y otraspropiedades. Puede descargar MIB creados para el monitoreo de SNMP de un clústerIsilon desde la interfaz de administración web de OneFS o administrarlos mediante lainterfaz de la línea de comandos (CLI). Los MIB se almacenan en /usr/share/snmp/mibs/, en un nodo OneFS. Los ISILON-MIB de OneFS cumplen dos propósitos:

l Aumentar la información disponible en MIB estándar

l Proporcionar información específica de OneFS que no se encuentre disponible enMIB estándar

ISILON-MIB es un MIB empresarial registrado. Los clústeres Isilon cuentan con dosMIB distintos:

ISILON-MIB

Define un grupo de agentes SNMP que responden consultas desde un sistema demonitoreo de red (NMS). Estos se denominan agentes OneFS StatisticsSnapshot. Como el nombre lo implica, estos agentes realizan un snapshot delestado del sistema de archivos de OneFS cuando recibe una solicitud y comunicanesta información al NMS.

ISILON-TRAP-MIB

Genera SNMP traps para enviar a una estación de monitoreo SNMP cuando lascircunstancias lo permiten. Estas traps están definidas en las unidades de datosde protocolo (PDU) de trap.

Los archivos MIB de OneFS asignan los ID de objeto específicos de OneFS condescripciones. Descargue o copie los archivos MIB en un directorio en el que suherramienta SNMP pueda encontrarlos, como /usr/share/snmp/mibs/.

Para que las herramientas Net-SNMP lean los archivos MIB y proporcionen mapeoautomático de nombre a OID, agregue -m All al comando, como en el siguienteejemplo:

snmpwalk -v2c -c public -m All <node IP> isilon


Monitoreo del protocolo SNMP 73

Si los archivos MIB no se encuentran en el directorio MIB de Net-SNMPpredeterminado, es probable que tenga que especificar la ruta completa, como en elsiguiente ejemplo. Tenga en cuenta que las tres líneas conforman un solo comando.

snmpwalk -m /usr/local/share/snmp/mibs/ISILON-MIB.txt:/usr \/share/snmp/mibs/ISILON-TRAP-MIB.txt:/usr/share/snmp/mibs \/ONEFS-TRAP-MIB.txt -v2c -C c -c public <node IP> enterprises.onefs

Nota

Los ejemplos anteriores se ejecutan en un clúster por medio del comando snmpwalk.Su versión SNMP puede requerir argumentos diferentes.

Administración de ajustes de SNMPPuede usar SNMP para monitorear la información sobre el sistema y el hardware delclúster. Puede configurar los ajustes mediante la interfaz de administración web o lainterfaz de la línea de comandos.

Puede habilitar el monitoreo de SNMP en nodos individuales del clúster, además demonitorear la información de todo el clúster de cualquier nodo al habilitar SNMP encada nodo. Al utilizar SNMP en un clúster Isilon, debe usar un nombre de usuariogeneral fijo. Se debe configurar una contraseña para el usuario general en la interfazde administración web.

Debe configurar un sistema de monitoreo de red (NMS) para hacer consultas directasa cada nodo por medio de una dirección IPv4 o IPv6 estática. Este enfoque permiteconfirmar que todos los nodos cuenten con direcciones IP externas y, por lo tanto,respondan las consultas de SNMP. Debido a que el servidor proxy de SNMP seencuentra habilitado de forma predeterminada, la implementación de SNMP en cadanodo se configura automáticamente en proxy para el resto de los nodos en el clúster.Esta configuración proxy permite que la Isilon Management Information Base (MIB) ylas MIB estándares se expongan sin problemas gracias al uso de cadenas contextualespara versiones de SNMP compatibles. Después de descargar y guardar las MIBcorrespondientes, puede configurar el monitoreo de SNMP mediante la interfaz deadministración web o la interfaz de la línea de comandos.

Configurar el clúster para el monitoreo del protocolo SNMPPuede configurar su clúster EMC Isilon para monitorear remotamente loscomponentes de hardware mediante SNMP.

Antes de comenzar

Cuando se usa SNMPv3, OneFS requiere que el nivel de seguridad específico deSNMP de AuthNoPriv sea el valor predeterminado al realizar consultas al clúster. Elnivel de seguridad AuthPriv no es compatible.

Puede habilitar o deshabilitar el monitoreo SNMP, permitir el acceso SNMP porversión y establecer otras configuraciones, algunas de las cuales son opcionales. Todoel acceso SNMP es de solo lectura.

Nota

El clúster Isilon no genera SNMP traps a menos que configure una regla denotificación de eventos para enviar eventos.



Procedimiento

1. Haga clic en Cluster Management > General Settings > SNMP Monitoring.

2. En SNMP Service Settings, haga clic en la casilla de verificación EnableSNMP Service. El servicio de SNMP está habilitado de manerapredeterminada.

3. Descargue el archivo MIB que desea usar (base o trap).

Siga el proceso de descarga específico de su navegador.

4. Copie los archivos MIB en un directorio donde su herramienta SNMP puedaencontrarlos, como /usr/share/snmp/mibs/.

Para que las herramientas Net-SNMP lean los archivos MIB y proporcionenmapeo automático de nombre a OID, agregue -m All al comando, como se muestra en el siguiente ejemplo:

snmpwalk -v2c -c public -m All <node IP> isilon

5. Si su protocolo es SNMPv2, asegúrese de que la casilla de verificación AllowSNMPv2 Access se encuentre seleccionada. SNMPv2 está seleccionado demanera predeterminada.

6. En el campo SNMPv2 Read-Only Community Name, ingrese el nombre decomunidad correspondiente. El valor predeterminado es I$ilonpublic.

7. Para habilitar SNMPv3, haga clic en la casilla de verificación Allow SNMPv3Access.

8. Establezca la configuración de SNMPv3:

a. En el campo SNMPv3 Read-Only User Name, escriba el nombre deseguridad de SNMPv3 para cambiar el nombre del usuario con privilegios desolo lectura.

El usuario de solo lectura predeterminado es general.

b. En el campo SNMPv3 Read-Only Password, ingrese la nueva contraseñacorrespondiente al usuario de solo lectura para configurar una nuevacontraseña de autenticación de SNMPv3.

La contraseña predeterminada es password. Recomendamos cambiar lacontraseña para aumentar la seguridad. La contraseña debe contener almenos ocho caracteres sin espacios.

c. Escriba la nueva contraseña en el campo Confirm password paraconfirmarla.

9. En el área SNMP Reporting, ingrese una descripción del clúster en el campoCluster Description.

10. Ingrese la dirección de correo electrónico de contacto en el campo SystemContact Email.


Ver ajustes de SNMPPuede revisar los ajustes de monitoreo de SNMP.


Monitoreo del protocolo SNMP 75

Procedimiento

l Haga clic en Cluster Management > General Settings > SNMP Monitoring.

Eventos y alertasOneFS continuamente monitorea el estado y el rendimiento de su clúster y generaeventos cuando ocurren situaciones que requieran de su atención.

Los eventos pueden tener relación con la integridad del sistema de archivos, lasconexiones de red, trabajos, hardware y otros componentes y operaciones vitales delclúster. Después de que se capturan los eventos, OneFS los analiza. Los eventos concausas raíces similares se organizan en grupos de eventos.

Nota

Para ver descripciones de los tipos de eventos individuales por ID de tipo de evento,consulte la Referencia de eventos de OneFS. Ciertos eventos, como los de hardware, nose aplican a IsilonSD Edge.

Un grupo de eventos es un único punto de administración para una gran cantidad deeventos relacionados con una situación específica. Puede determinar qué grupos deeventos desea monitorear, pasar por alto o resolver.

Una alerta es un mensaje que informa acerca de un cambio en un grupo de eventos.

Puede controlar cómo se distribuyen las alertas relacionadas con un grupo de eventos.Las alertas se distribuyen a través de canales. Puede crear y configurar un canal paraenviar alertas a un público específico, controlar el contenido que el canal distribuye ylimitar la frecuencia de las alertas.

Descripción general de eventosLos eventos son apariciones individuales o condiciones relacionadas con el flujo detrabajo de datos, las operaciones de mantenimiento y los componentes de hardwaredel clúster.

En OneFS existen procesos que monitorean y recopilan constantemente informaciónde las operaciones del clúster.

Cuando cambia el estado de un componente o de una operación, el cambio se capturacomo un evento y se coloca en una línea de espera de prioridad en el nivel del kernel.

Cada evento tiene dos números de ID que ayudan a establecer el contexto del evento:

l El ID de tipo de evento identifica el tipo de evento que se produjo.

l El ID de instancia de evento es un número único específico de una aparición de untipo de evento en especial. Cuando se envía un evento a la línea de espera delkernel, se asigna un ID de instancia de evento. Puede hacer referencia al ID deinstancia para determinar la hora exacta en la que se produjo un evento.

Puede ver los eventos individuales. Sin embargo, es posible administrar los eventos ylas alertas en el nivel de grupo de eventos.

Descripción general de grupos de eventosLos grupos de eventos son recopilaciones de eventos individuales que corresponden asíntomas relacionados de una sola situación en el clúster. Los grupos de eventosproporcionan un único punto de administración de múltiples instancias de evento quese generan en respuesta a una situación en el clúster.



Por ejemplo, si falla un ventilador del chasis en un nodo, OneFS puede capturarmúltiples eventos relacionados con el ventilador fallido propiamente tal y con umbralesde temperatura excedidos dentro del nodo. Todos los eventos relacionados con elventilador se representarán en un solo grupo de eventos. Debido a que existe un únicopunto de contacto, no es necesario administrar los numerosos eventos individuales.Puede manejar la situación como un problema único y uniforme.

Toda la administración de eventos se realiza en el nivel de grupo de eventos. Puedemarcar un grupo de eventos como resuelto o ignorado. También puede configurarcómo y cuándo se distribuyen las alertas para un grupo de eventos.

Descripción general de las alertasUna alerta es un mensaje que describe un cambio que se produjo en un grupo deeventos.

En cualquier momento, puede ver los grupos de eventos para rastrear las situacionesque ocurren en su clúster. Sin embargo, también puede crear alertas que le notificaránproactivamente si hay un cambio en un grupo de eventos.

Por ejemplo, puede generar una alerta cuando se agrega un nuevo evento a un grupode eventos, cuando se resuelve un grupo de eventos o cuando cambia la gravedad deun grupo de eventos.

Puede configurar su clúster para que solo genere alertas relacionadas con grupos deeventos, condiciones o niveles de gravedad específicos, así como durante períodos detiempo limitados.

Las alertas se envían a través de canales. Puede configurar un canal para determinarquién recibirá la alerta y cuándo.

Descripción general de canalesLos canales son rutas mediante las cuales los grupos de eventos envían alertas.

Cuando se genera una alerta, el canal asociado con la alerta determina cómo sedistribuye la alerta y quién la recibe.

Puede configurar un canal para ofrecer alertas con uno de los siguientes mecanismos:SMTP, SNMP o ConnectEMC. También puede especificar la información deenrutamiento y etiquetado de la información que requiere el mecanismo de entrega.

Visualización y modificación de grupos de eventosEs posible ver eventos y modificar el estado de los grupos de eventos.

Ver un grupo de eventosEs posible ver los detalles de un grupo de eventos.

Procedimiento

1. Haga clic en Cluster Management > Events and Alerts.

2. En la columna Actions del grupo de eventos cuyos detalles desea ver, haga clicen View Details.

Cambiar el estado de un grupo de eventosPuede ignorar o resolver un grupo de eventos.


Descripción general de las alertas 77

Después de resolver un grupo de eventos, no puede revertir esa acción. Cualquierevento nuevo que se hubiera agregado al grupo de eventos resuelto se agregará a unnuevo grupo de eventos.

Procedimiento


2. En la columna Actions del grupo de eventos que desea modificar, haga clic enMore.

3. En el menú que aparece, haga clic en Mark Resolved para resolver el grupo deeventos o en Ignore para ignorar el grupo de eventos.

Nota

Puede realizar una acción en varios grupos de eventos seleccionando la casillade verificación junto al ID de grupo de eventos de los eventos que deseamodificar y luego una acción de la lista desplegable Select a bulk action.

4. Haga clic en Mark Resolved o en Ignore para confirmar la acción.

Ver un eventoPuede ver los detalles de un evento específico.

Procedimiento


2. En la columna Actions del grupo de eventos que contiene el evento que deseaver, haga clic en View Details.

3. En el áreaEvent Details de la columna Actions del evento que desea ver, hagaclic en View Details.

Administración de alertasPuede ver, crear, modificar o eliminar alertas a fin de determinar la información queofrece acerca de los grupos de eventos.

Ver una alertaPuede ver los detalles de una alerta específica.

Procedimiento

1. Haga clic en Cluster Management > Events and Alerts > Alerts.

2. En la columna Actions de la alerta que desea ver, haga clic en View / Edit.

Crear una nueva alertaPuede crear nuevas alertas para proporcionar actualizaciones específicas en grupos deeventos.

Procedimiento


2. Haga clic en Create an Alert.

3. Modifique la configuración para la nueva alerta según sea necesario.

a. En el campo Name, ingrese el nombre de la alerta.



b. En el área Alert Channels, haga clic en la casilla de verificación que aparecejunto a cada canal que desea asociar con la alerta.

Para asociar un nuevo canal con la alerta, haga clic en Create an AlertChannel.

c. Haga clic en la casilla de verificación que aparece junto a las categorías degrupos de eventos que desea asociar con la alerta.

d. En el campo Event Group ID, ingrese el ID del grupo de eventos por el quedesea que la alerta genere informes.

Para agregar otro ID de grupo de eventos a la alerta, haga clic en AddAnother Event Group ID.

e. Seleccione la condición de alerta en la lista desplegable Condition.

Nota

Según la condición de alerta seleccionada, aparecerán otros ajustes.

f. Para las condiciones New event groups, New events, Interval,Severity increase, Severity decrease y Resolved eventgroup, ingrese un número y el valor de hora para indicar por cuánto tiempodebe persistir un evento antes de que la alerta informe al respecto.

g. Para la condición New events, edite la cantidad máxima de alertas quepueden enviarse para eventos nuevos en el campo Maximum Alert Limit.

h. Para la condición ONGOING, escriba un número y el valor de hora para elintervalo que desea entre las alertas relacionadas con un evento en curso.

4. Haga clic en Create Alert.

Eliminar una alertaPuede eliminar las alertas que haya creado.

Procedimiento


2. En la columna Actions de la alerta que desea eliminar, haga clic en More.

3. En el menú que aparece, haga clic en Delete.

Nota

Puede eliminar varias alertas seleccionando la casilla de verificación junto a losnombres de las alertas que desea eliminar. Luego, seleccione la opción DeleteSelections de la lista desplegable Select an action.

4. Haga clic en Delete para confirmar la acción.

Modificar una alertaPuede modificar una alerta que haya creado.

Procedimiento


2. En la columna Actions de la alerta que desea modificar, haga clic en View/Edit.


Administración de alertas 79

3. Haga clic en Edit alert.

4. Modifique los ajustes de alerta según sea necesario.

a. En el campo Name, edite el nombre de la alerta.

b. En el área Alert Channels, haga clic en la casilla de verificación que aparecejunto a cada canal que desea asociar con la alerta.

Para asociar un nuevo canal con la alerta, haga clic en Create an AlertChannel.

c. Haga clic en la casilla de verificación que aparece junto a las categorías degrupos de eventos que desea asociar con la alerta.

d. En el campo Event Group ID, ingrese el ID del grupo de eventos por el quedesea que la alerta genere informes.

Para agregar otro ID de grupo de eventos a la alerta, haga clic en AddAnother Event Group ID.

e. Seleccione la condición de alerta en la lista desplegable Condition.

Nota

Según la condición de alerta seleccionada, aparecerán otros ajustes.

f. Para las condiciones New event groups, New events, Interval,Severity increase, Severity decrease y Resolved eventgroup, ingrese un número y el valor de hora para indicar por cuánto tiempodebe persistir un evento antes de que la alerta informe al respecto.

g. Para la condición New events, edite la cantidad máxima de alertas quepueden enviarse para eventos nuevos en el campo Maximum Alert Limit.

h. Para la condición ONGOING, escriba un número y el valor de hora para elintervalo que desea entre las alertas relacionadas con un evento en curso.


Administración de canalesPuede ver, crear, modificar o eliminar canales a fin de determinar la manera en queofrece información acerca de los grupos de eventos.

Ver un canalPuede ver los detalles de un canal específico.

Procedimiento


2. En el área Alert Channels , ubique el canal que desea ver.

3. En la columna Actions del canal que desea ver, haga clic en View / Edit.

Crear un canal nuevoPuede crear y configurar nuevos canales para enviar información de alertas.

Procedimiento




2. En el área Alert Channels , haga clic en Create an Alert Channel.

3. En el campo Name, ingrese el nombre del canal.

4. Haga clic en la casilla de verificación Enable this Channel para habilitar odeshabilitar el canal.

5. Seleccione el mecanismo de entrega del canal desde la lista desplegable Type.

Nota

Según el mecanismo de entrega seleccionado, aparecerán otros ajustes.

6. Si planea crear un canal de SMTP, puede configurar los siguientes ajustes:

a. En el campo Send to, ingrese una dirección de correo electrónico en la quedesee recibir alertas sobre este canal.

Para agregar otra dirección de correo electrónico al canal, haga clic en AddAnother Email Address.

b. En el campo Send from, ingrese la dirección de correo electrónico quedesea que aparezca en el campo de remitente de los correos electrónicos dealerta.

c. En el campo Subject, ingrese el texto que desea que aparezca en la línea deasunto de los correos electrónicos de alerta.

d. En el campo SMTP Host or Relay Address, ingrese su dirección deretransmisión o de host SMTP.

e. En el campo SMTP Relay Port, ingrese el número de su puerto deretransmisión SMTP.

f. Haga clic en la casilla de verificación Use SMTP Authentication paraespecificar un nombre de usuario y una contraseña para su servidor SMTP.

g. Especifique la seguridad de su conexión como NONE o STARTTLS.

h. En la lista desplegable Notification Batch Mode, seleccione si las alertas seagruparán, ya sea por severidad o por categoría.

i. En la lista desplegable Notification Email Template, seleccione si loscorreos electrónicos se crearán a partir de una plantilla de correo electrónicoestándar o personalizada.

Si especifica una plantilla personalizada, ingrese la ubicación de la plantilla enel clúster en el campo Custom Template Location.

j. En el área Master Nodes del campo Allowed Nodes, ingrese el número denodo de un nodo del clúster que tenga permiso para enviar alertas a travésde este canal.

Para agregar otro nodo permitido al canal, haga clic en Add another Node.Si no especifica ningún nodo, todos los nodos del clúster se consideraránnodos permitidos.

k. En el campo Excluded Nodes, ingrese el número de nodo de un nodo delclúster que no tenga permiso para enviar alertas a través de este canal.

Para agregar otro nodo excluido al canal, haga clic en Exclude anotherNode.

7. Si planea crear un canal de ConnectEMC, puede configurar los siguientesajustes:


Administración de canales 81

a. En el área Master Nodes del campo Allowed Nodes, ingrese el número denodo de un nodo del clúster que tenga permiso para enviar alertas a travésde este canal.


b. En el campo Excluded Nodes, ingrese el número de nodo de un nodo delclúster que no tenga permiso para enviar alertas a través de este canal.


8. Si planea crear un canal de SNMP, puede configurar los siguientes ajustes:

a. En el campo Community, ingrese su cadena de comunidad SNMP.

b. En el campo Host, ingrese su dirección o su nombre de host SNMP.

c. En el área Master Nodes del campo Allowed Nodes, ingrese el número denodo de un nodo del clúster que tenga permiso para enviar alertas a travésde este canal.


d. En el campo Excluded Nodes, ingrese el número de nodo de un nodo delclúster que no tenga permiso para enviar alertas a través de este canal.


9. Haga clic en Create Alert Channel.

Modificar un canalPuede modificar un canal que haya creado.

Procedimiento


2. En el área Alert Channels, ubique el canal que desea modificar.

3. En la columna Actions del canal que desea modificar, haga clic en View / Edit.

4. Haga clic en Edit Alert Channel.

5. Haga clic en la casilla de verificación Enable this Channel para habilitar odeshabilitar el canal.

6. Seleccione el mecanismo de entrega del canal desde la lista desplegable Type.

Nota

Según el mecanismo de entrega seleccionado, aparecerán otros ajustes.

7. Si planea modificar un canal de SMTP, puede cambiar los siguientes ajustes:

a. En el campo Send to, ingrese una dirección de correo electrónico en la quedesee recibir alertas sobre este canal.

Para agregar otra dirección de correo electrónico al canal, haga clic en AddAnother Email Address.



b. En el campo Send from, ingrese la dirección de correo electrónico quedesea que aparezca en el campo de remitente de los correos electrónicos dealerta.

c. En el campo Subject, ingrese el texto que desea que aparezca en la línea deasunto de los correos electrónicos de alerta.

d. En el campo SMTP Host or Relay Address, ingrese su dirección deretransmisión o de host SMTP.

e. En el campo SMTP Relay Port, ingrese el número de su puerto deretransmisión SMTP.

f. Haga clic en la casilla de verificación Use SMTP Authentication paraespecificar un nombre de usuario y una contraseña para su servidor SMTP.

g. Especifique la seguridad de su conexión como NONE o STARTTLS.

h. En la lista desplegable Notification Batch Mode, seleccione si las alertas seagruparán, ya sea por severidad o por categoría.

i. En la lista desplegable Notification Email Template, seleccione si loscorreos electrónicos se crearán a partir de una plantilla de correo electrónicoestándar o personalizada.

Si especifica una plantilla personalizada, ingrese la ubicación de la plantilla enel clúster en el campo Custom Template Location.

j. En el área Master Nodes del campo Allowed Nodes, ingrese el número denodo de un nodo del clúster que tenga permiso para enviar alertas a travésde este canal.


k. En el campo Excluded Nodes, ingrese el número de nodo de un nodo delclúster que no tenga permiso para enviar alertas a través de este canal.


8. Si planea modificar un canal de ConnectEMC, puede cambiar los siguientesajustes:

a. En el área Master Nodes del campo Allowed Nodes, ingrese el número denodo de un nodo del clúster que tenga permiso para enviar alertas a travésde este canal.


b. En el campo Excluded Nodes, ingrese el número de nodo de un nodo delclúster que no tenga permiso para enviar alertas a través de este canal.


9. Si planea modificar un canal de SNMP, puede cambiar los siguientes ajustes:

a. En el campo Community, ingrese su cadena de comunidad SNMP.

b. En el campo Host, ingrese su dirección o su nombre de host SNMP.


Administración de canales 83

c. En el área Master Nodes del campo Allowed Nodes, ingrese el número denodo de un nodo del clúster que tenga permiso para enviar alertas a travésde este canal.


d. En el campo Excluded Nodes, ingrese el número de nodo de un nodo delclúster que no tenga permiso para enviar alertas a través de este canal.



Eliminar un canalPuede eliminar los canales que haya creado.

Procedimiento


2. En el área Alert Channels, ubique el canal que desea eliminar.

3. En la columna Actions del canal que desea eliminar, haga clic en Delete.

Nota

Puede eliminar varios canales seleccionando la casilla de verificación junto a losnombres de los canales que desea eliminar. Luego, seleccione la opción DeleteSelections de la lista desplegable Select an action.

4. Haga clic en Delete para confirmar la acción.

Mantenimiento y pruebasPuede modificar la configuración de los eventos para especificar los límites deretención y almacenamiento de los datos de eventos, calendarizar ventanas demantenimiento y enviar eventos de prueba.

Límites de retención y almacenamiento de datos de eventosPuede modificar la configuración para determinar cómo se manejan los datos deeventos en el clúster.

De forma predeterminada, los datos relacionados con los grupos de eventos resueltosse conservan indefinidamente. Puede establecer un límite de retención para hacer queel sistema elimine automáticamente los datos del grupo de eventos resuelto despuésde cierta cantidad de días.

También puede limitar la cantidad de memoria que pueden ocupar los datos de eventosen el clúster. De forma predeterminada, el límite es de 1 MB de memoria por cada TBde memoria total en el clúster. Puede ajustar este límite para que sea entre 1 y 100 MBde memoria. Para los clústeres más pequeños, la cantidad mínima de memoria que seapartará es de 1 GB.

Cuando su clúster alcance un límite de almacenamiento, el sistema comenzará laeliminación de los datos de grupos de eventos más antiguos para admitir nuevos datos.



Ver la configuración de almacenamiento de eventos

Es posible ver la configuración de almacenamiento y mantenimiento.

Procedimiento

1. Haga clic en Cluster Management > Events and Alerts > Settings.

Modificar la configuración de almacenamiento de eventos

Es posible ver la configuración de almacenamiento y mantenimiento.

Procedimiento


2. Ubique el área Event Retention Settings.

3. En el campo Resolved Event Group Data Retention, ingrese la cantidad dedías que desea que se almacenen los grupos de eventos antes de ser eliminados.

4. En el campo Event Log Storage Limit ingrese el límite de cantidad dealmacenamiento que desea reservar para datos de eventos.

El valor en este campo representa la cantidad de megabytes de datos que sepueden almacenar por terabyte de almacenamiento total del clúster.


Ventanas de mantenimientoPuede calendarizar una ventana de mantenimiento mediante la configuración de unahora de inicio del mantenimiento y la duración de este.

Durante una ventana de mantenimiento calendarizada, el sistema continuaráregistrando eventos, pero no se generarán alertas. La calendarización de una ventanade mantenimiento evitará que los canales se llenen de alertas benignas asociadas conlos procedimientos de mantenimiento del clúster.

Los grupos de eventos activos reiniciarán automáticamente la generación de alertascuando finalice el período de mantenimiento calendarizado.

Calendarizar una ventana de mantenimiento

Puede calendarizar una ventana de mantenimiento para interrumpir las alertasmientras realiza mantenimiento en el clúster.

Procedimiento


2. Ubique el área Maintenance Period Settings.

3. En el campo Start Date, ingrese la fecha deseada para que comience la ventanade mantenimiento.

4. En el menú desplegable Start Date, seleccione la hora deseada para quecomience la ventana de mantenimiento.

5. En el campo Duration, ingrese un número y el valor de tiempo para determinarla duración de la ventana de mantenimiento.



Mantenimiento y pruebas 85

Alertas y eventos de pruebaLos eventos de prueba, denominados eventos de latido, se generan automáticamente.También es posible generar manualmente alertas de prueba.

A fin de confirmar que el sistema esté funcionando correctamente, los eventos deprueba se envían automáticamente todos los días a razón de un evento de cada nodoen el clúster. Estos se denominan eventos de latido y se informan a un grupo deeventos denominado Heartbeat Event.

Para probar la configuración de los canales, puede enviar una alerta de prueba a travésdel sistema manualmente.

Enviar una alerta de prueba

Es posible generar manualmente una alerta de prueba.

Procedimiento


2. Ubique el área Send Test Alert.

3. En el campo Text message, ingrese el texto del mensaje que desea enviar.

4. Haga clic en Send Test Alert.

Modificar el evento de latido

Es posible cambiar la frecuencia con la que se genera un evento de latido.

Este procedimiento está disponible solamente a través de la interfaz de la línea decomandos.

Procedimiento

1. Abra una conexión de protocolo SSH a cualquier nodo del clúster e inicie sesión.

2. Para modificar el intervalo del evento de latido, ejecute el comando isi eventsettings modify.

El siguiente comando de ejemplo modifica el evento de latido para que su envíose realice semanalmente:

isi event settings modify --heartbeat-interval weekly

Mantenimiento del clústerEl personal de servicio capacitado puede reemplazar o actualizar componentes ennodos Isilon.

El soporte técnico de Isilon puede ayudarlo a la hora de reemplazar o actualizarcomponentes de nodos a fin de mejorar el rendimiento.

Sustitución de componentes del nodoSi falla un componente de nodo, el soporte técnico de Isilon trabajará junto con ustedpara reemplazar rápidamente el componente y hacer que el nodo se encuentre en buenestado otra vez.

El personal de servicio capacitado puede reemplazar las siguientes unidades dereemplazo en sitio (FRU):



Nota

Estos componentes no corresponden a un nodo IsilonSD.

l batería

l unidad bootflash

l unidad SATA/SAS

l memoria (DIMM)

l ventilador

l panel frontal

l switch de intrusión

l tarjeta de interfaz de red (NIC)

l Tarjeta InfiniBand

l Tarjeta NVRAM

l controlador de SAS

l Fuente de alimentación

Si configura su clúster para enviar alertas a Isilon, el soporte técnico de Isilon secomunicará con usted en caso de que se necesite reemplazar un componente. Si noconfigura su clúster para enviar alertas a Isilon, debe iniciar una solicitud de servicio.

Actualización de componentes del nodoPuede actualizar los componentes de nodo para obtener rendimiento o capacidadadicionales.

El personal de servicio capacitado puede actualizar los siguientes componentes en elcampo:

Nota

Estos componentes de nodos no se aplican a IsilonSD Edge.

l C:

l memoria (DIMM)

l tarjeta de interfaz de red (NIC)

Si desea actualizar los componentes en sus nodos, comuníquese con el soportetécnico de Isilon.

Administración del firmware de una unidadSi el firmware de cualquier unidad del clúster se vuelve obsoleto, el rendimiento delclúster puede verse afectado, así como la confiabilidad del hardware. Para garantizarla integridad general de los datos, puede actualizar el firmware de la unidad a la versiónmás reciente mediante la instalación del paquete de compatibilidad de unidades o elpaquete de firmware de unidades.

Nota

El firmware de unidades y sus funciones y características relacionadas no se aplican aIsilonSD Edge.


Actualización de componentes del nodo 87

Es posible determinar si el firmware de una unidad del clúster corresponde a la versiónmás reciente consultando el estado del firmware de la unidad.

Nota

Se recomienda comunicarse con el soporte técnico de EMC Isilon antes de actualizarel firmware de una unidad.

Descripción general de la actualización de firmware de unidadesPuede actualizar el firmware de las unidades mediante paquetes de compatibilidad deunidades o paquetes de firmware de unidades.

Descargue e instale cualquiera de estos paquetes desde http://support.emc.comsegún la versión de OneFS que se ejecuta en su clúster y el tipo de unidades en losnodos.

Paquete de compatibilidad de unidadesPara los clústeres que ejecutan OneFS 7.1.1 y superior, instale un paquete decompatibilidad de unidades para actualizar el firmware de la unidad. No es necesarioreiniciar los nodos afectados para completar la actualización de firmware. Un paquetede compatibilidad de unidades brinda las siguientes funcionalidades adicionales:

l Actualiza la siguiente información de configuración de unidades:

n Lista de las unidades compatibles

n Metadatos del firmware de las unidades

n Datos de monitoreo del desgaste de discos SSD

n Configuración y atributos de discos SAS y SATA

l Actualiza automáticamente el firmware de unidades nuevas y de reemplazo a larevisión más reciente antes del formateo y la posterior utilización de esas unidadesen un clúster. Esto se aplica solo a los clústeres que ejecutan OneFS 7.2 y superior.

Nota

No se puede actualizar el firmware de unidades en uso de manera automática.

Paquete de firmware de unidadesPara los clústeres que ejecutan versiones de OneFS previas a 7.1.1, o para clústerescon nodos sin bootflash, instale un paquete de firmware de unidades en todo el clústerpara actualizar el firmware de las unidades. Debe reiniciar los nodos afectados paracompletar la actualización de firmware.

Instalar un paquete de compatibilidad de unidadesPara los clústeres que ejecutan OneFS 7.1.1 y superior, instale el paquete decompatibilidad de unidades más reciente para actualizar el firmware de su unidad a laversión compatible más reciente.

Antes de comenzar

Consulte la sección Consideraciones para instalar el paquete de compatibilidad deunidades antes de comenzar la instalación.

Procedimiento

1. Vaya a la página EMC Support que incluye todas las versiones disponibles delpaquete de compatibilidad de unidades.

2. Haga clic en la versión más reciente del paquete de compatibilidad de unidadesy descargue el archivo.



http://support.emc.com/

https://support.emc.com/search/?product_id=15209&resource=DOWN&AlloftheseWrds=drive%20support%20package&SearchWithin=true&adv=y

Nota

Consulte la sección Consideraciones para instalar el paquete de compatibilidadde unidades más reciente a fin de seleccionar la variante adecuada del paquete.Si no puede descargar el paquete, póngase en contacto con el servicio desoporte técnico de EMC Isilon para obtener asistencia.


4. Cree o verifique la disponibilidad de la estructura de directorios /ifs/data/Isilon_Support/dsp.

5. Copie el archivo descargado en el directorio dsp a través de los protocolosSCP, FTP, SMB, NFS o cualquier otro protocolo de acceso de datos compatible.

6. Ejecute el comando tar para desempaquetar el archivo.

Por ejemplo, según la variante seleccionada para el paquete de compatibilidadde unidades, puede desempaquetarlo mediante la ejecución de uno de lossiguientes comandos:

tar -zxvf Drive_Support_<version>.tgztar –zxvf Drive_Support_<version>_No_SSD.tgz

7. Ejecute el comando isi_dsp_install para instalar el paquete.

Por ejemplo, según la variante seleccionada para el paquete de compatibilidadde unidades, instale el paquete mediante la ejecución de uno de los siguientescomandos:

isi_dsp_install Drive_Support_<version>.tarisi_dsp_install Drive_Support_<version>_No_SSD.tar

Nota

l Debe ejecutar el comando isi_dsp_install para instalar el paquete decompatibilidad de unidades. No use el comando isi pkg.

l Ejecute isi_dsp_install para instalar el paquete de compatibilidad deunidades en todo el clúster.

l El proceso de instalación se ocupa de instalar todos los archivos necesariosdel paquete de compatibilidad de unidades y también de desinstalar elpaquete. No es necesario que elimine el paquete después de su instalación niantes de instalar una versión posterior.

Ver el estado del firmware de unidadesPuede ver el estado del firmware de las unidades del clúster para determinar si esnecesario actualizarlo.

Procedimiento


2. Realice una de las siguientes tareas:


Administración del firmware de una unidad 89

l Vea el estado del firmware de las unidades de todos los nodos. Según laversión de OneFS, ejecute uno de los siguientes comandos:

OneFS 8.0 o posterior

isi devices drive firmware list --node-lnn allAnterior a OneFS 8.0

isi drivefirmware status

l Ejecute uno de los siguientes comandos para ver el estado del firmware delas unidades de un nodo específico:

OneFS 8.0 o posterior

isi devices drive firmware list --node-lnn <node-number>

Anterior a OneFS 8.0

isi drivefirmware status -n <node-number>

Si no es necesario realizar una actualización de firmware, la columna DesiredFW se deja en blanco.

Actualizar el firmware de una unidadPuede actualizar el firmware de unidad a la revisión más reciente; esto garantiza laintegridad general de los datos.

Este procedimiento explica cómo actualizar el firmware de unidades en nodos quetienen unidades bootflash después de instalar el paquete de soporte de unidad másreciente. Para obtener una lista de nodos con unidades bootflash, consulte la secciónde requisitos del sistema de Notas de la versión del paquete de compatibilidad deunidades de Isilon.

Para actualizar el firmware de las unidades en nodos sin unidades bootflash, descarguee instale el paquete de firmware más reciente de las unidades. Para obtener másinformación, consulte las notas de la versión del paquete de firmware más reciente delas unidades en https://support.emc.com/.

Nota

Si realiza un ciclo de apagad y encendido en las unidades durante una actualización defirmware, se podrían obtener resultados inesperados. Como mejor práctica, no reinicieni apague los nodos mientras se actualiza el firmware de las unidades en el clúster.

Procedimiento


2. Ejecute el siguiente comando para actualizar el firmware de unidad en todo elclúster:

isi devices drive firmware update start all --node-lnn allPara actualizar únicamente la unidad de firmware de un nodo específico, ejecuteel siguiente comando:

isi devices drive firmware update start all --node-lnn<node-number>



https://support.emc.com/

PRECAUCIÓN

Debe esperar que un nodo finalice su actualización antes de iniciar laactualización en el nodo siguiente. Para confirmar que la actualización deun nodo haya terminado, ejecute el siguiente comando:isi devices drive firmware update listSi una unidad continúa en el proceso de actualización, mostrará el estadoFWUPDATE.

La actualización del firmware de una sola unidad se demora aproximadamente 15segundos, en función del modelo de la unidad. OneFS actualiza las unidadessecuencialmente.

Verificar una actualización del firmware de unidadesDespués de actualizar el firmware de las unidades en un nodo, confirme que elfirmware se haya actualizado correctamente y que las unidades afectadas funcionensin problemas.

Procedimiento

1. Asegúrese de que no haya actualizaciones de firmware de unidades en cursomediante la ejecución del siguiente comando:

isi devices drive firmware update list

Si una unidad se está actualizando, [FW_UPDATE] aparece en la columna deestado.

2. Verifique que todas las unidades se hayan actualizado ejecutando el siguientecomando:

isi devices drive firmware list --node-lnn all

Si todas las unidades se actualizaron, la columna Desired FW se deja enblanco.

3. Verifique que todas las unidades afectadas funcionen correctamente ejecutandoel siguiente comando:

isi devices drive list --node-lnn all

Si una unidad funciona correctamente, [HEALTHY] aparece en la columna deestado.

Información sobre el estado del firmware de la unidadPuede ver información sobre el estado del firmware de una unidad mediante la interfazde la línea de comandos de OneFS.


Administración del firmware de una unidad 91

El siguiente ejemplo muestra el resultado del comando isi devices drivefirmware list:

your-cluster-1# isi devices drive firmware listLnn Location Firmware Desired Model------------------------------------------------------2 Bay 1 A204 - HGST HUSMM1680ASS2002 Bay 2 A204 - HGST HUSMM1680ASS2002 Bay 3 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 4 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 5 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 6 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 7 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 8 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 9 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 10 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 11 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 12 MFAOABW0 MFAOAC50 HGST HUS724040ALA640------------------------------------------------------Total: 12

Donde:

LNN

Muestra el LNN para el nodo que contiene la unidad.

Location

Muestra el número de bahía donde está instalada la unidad.

Firmware

Muestra el número de versión del firmware que se ejecuta en la unidad en esemomento.

Desired

Si el firmware de una unidad necesita actualizarse, muestra el número de laversión del firmware a la que este se debe actualizar.

Model

Muestra el número del modelo de unidad.

Nota

El comando isi devices drive firmware list muestra información sobre elfirmware de las unidades solo en el nodo local. Para ver información del firmware delas unidades de todo el clúster, no solo del clúster local, ejecute el siguiente comando:isi devices drive firmware list --node-lnn all

Actualización automática del firmware de una unidadPara los clústeres que ejecutan OneFS 7.2 o superior, instale el paquete decompatibilidad de unidades más reciente en un nodo para actualizar automáticamenteel firmware de una unidad nueva o de reemplazo.

La información contenida en el paquete de compatibilidad de unidades determina si elfirmware de una unidad se debe actualizar antes de su formateo y posterior uso. Si hayuna actualización disponible, la unidad se actualiza automáticamente al firmware másreciente.



Nota

Las unidades nuevas y de reemplazo agregadas a un clúster se formateanindependientemente del estado de su versión de firmware. Es posible identificar unafalla de actualización de firmware consultando el estado del firmware de las unidadesen un nodo específico. En el caso de observar una falla, ejecute el comando isidevices con la acción fwupdate en el nodo para actualizar el firmwaremanualmente. Por ejemplo, ejecute el siguiente comando para actualizar manualmenteel firmware en el nodo 1:

isi devices -a fwupdate -d 1

Administración de nodos del clústerPuede agregar y eliminar nodos de un clúster. También puede apagar o reiniciar todo elclúster.

Agregar un nodo a un clústerPuede agregar un nuevo nodo a un clúster EMC Isilon existente.

Antes de comenzar

Antes de que agregue un nodo a un clúster, verifique que haya disponible una direcciónIP interna. Agregue las direcciones IP que sean necesarias antes de agregar un nodonuevo.

Si un nodo nuevo tiene una versión de OneFS diferente de la del clúster, el sistemacambia la versión del nodo de OneFS para hacerla coincidir con la del clúster.

Nota

l Para obtener información específica sobre la compatibilidad de versiones entreOneFS y el hardware de EMC Isilon, consulte la guía Isilon Supportability andCompatibility Guide.

l Si está ejecutando IsilonSD Edge, siga las instrucciones en la Guía de instalación yadministración de IsilonSD Edge para agregar un nodo a un clúster IsilonSD.

Procedimiento

1. Haga clic en Cluster Management > Hardware Configuration > Add Nodes.

2. En la tabla Available Nodes, haga clic en Add para el nodo que desea agregar alclúster.

Eliminar un nodo del clústerPuede eliminar un nodo de un clúster EMC Isilon. Cuando elimina un nodo, el sistemaaplica un SmartFail al nodo para garantizar que los datos del nodo se transfieran aotros nodos del clúster.

La eliminación de un nodo de almacenamiento de un clúster elimina los datos de dichonodo. Antes de que el sistema elimine los datos, el trabajo FlexProtect redistribuye deforma segura los datos por los nodos restantes del clúster.


Administración de nodos del clúster 93

Nota

Si está ejecutando IsilonSD Edge, siga las instrucciones en la Guía de instalación yadministración de IsilonSD Edge para eliminar un nodo del clúster.

Procedimiento

1. Navegue a Cluster Management > Hardware Configuration > Remove Nodes.

2. En el área Remove Node, especifique el nodo que desea eliminar.


Si elimina un nodo de almacenamiento, el área Cluster Status muestra elprogreso del SmartFail. Si elimina un nodo acelerador que no sea dealmacenamiento, se eliminará inmediatamente del clúster.

Modificar el LNN de un nodoEs posible modificar el número de nodo lógico (LNN) de un nodo. Este procedimientoestá disponible solo a través de la interfaz de la línea de comandos (CLI).

Los nodos dentro del clúster se pueden volver a nombrar con cualquier nombre/número entero entre 1 y 144. Con el cambio de nombre del nodo, se restablecerá elLNN.

Nota

l Si bien es posible especificar cualquier número entero como LNN, se recomiendano especificar un número entero mayor que 144. Si se especifican LNN mayoresque 144, se puede provocar una degradación considerable del rendimiento.

l Ignore estas instrucciones si está ejecutando IsilonSD Edge, ya que no puedemodificar el LNN de un nodo IsilonSD.

Procedimiento


2. Abra la línea de comandos isi config por medio del siguiente comando:

isi config

3. Ejecute el comando lnnset.

El siguiente comando cambia el LNN de un nodo de 12 a 73:

lnnset 12 73

4. Ingrese commit.

Resultados

Es posible que deba volver a conectarse a la sesión del protocolo SSH antes de que elnuevo nombre del nodo cambie automáticamente.

Apagar o reiniciar un clústerPuede apagar o reiniciar por completo un clúster EMC Isilon.



Procedimiento

1. Haga clic en Cluster Management > Hardware Configuration > Shutdown &Reboot Controls.

2. En el área Shut Down or Reboot This Cluster, especifique una acción:


Apagar Apaga el sistema.

Reiniciar Detiene y, a continuación, reinicia el clúster.


Actualización de OneFSHay dos opciones disponibles para actualizar el sistema operativo OneFS: unaactualización gradual o una actualización simultánea. Antes de actualizar el softwareOneFS, se debe realizar una comprobación.

Una actualización gradual actualiza y reinicia cada nodo de forma individual en elclúster EMC Isilon, uno tras otro. Durante una actualización gradual, el clústerpermanece en línea y continúa atendiendo a los clientes sin que el servicio seinterrumpa, aunque es posible que se necesite restablecer la conexión en algunosclientes SMB. Las actualizaciones graduales se ejecutan de forma secuencial pornúmero de nodo, por lo que este tipo de actualización es más lenta que la simultánea.El nodo final en el proceso de actualización es el nodo que usó para iniciar dichoproceso.

Nota

Las actualizaciones graduales no están disponibles para todos los clústeres. Paraobtener instrucciones sobre cómo planear una actualización, preparar el clúster paraque se actualice y ejecutar una actualización del sistema operativo, consulte lainformación disponible en Actualizaciones de OneFS - Concentrador de información deIsilon

Una actualización simultánea instala el nuevo sistema operativo y reinicia todos losnodos del clúster al mismo tiempo. Las actualizaciones simultáneas son más rápidasque las actualizaciones graduales, pero requieren una interrupción temporal delservicio durante el proceso de actualización. No puede acceder a sus datos durantetodo el proceso de actualización.

Antes de comenzar con una actualización simultánea o gradual, OneFS compara elclúster y el sistema operativo de ese momento con la nueva versión para asegurarsede que el clúster cumpla con ciertos criterios, como la compatibilidad de laconfiguración (SMB, LDAP, SmartPools), la disponibilidad de discos y la ausencia deeventos de clúster clave. Si la actualización pone el clúster en peligro, OneFS le haceuna advertencia, le ofrece información sobre los riesgos y le solicita que confirme sidesea continuar con la actualización.

Si el clúster no cumple con los requisitos previos de la actualización, esta no puedeproceder y se especifican los estados no compatibles.


Actualización de OneFS 95



Nota

El personal de soporte técnico de EMC Isilon le recomienda ejecutar lascomprobaciones opcionales previas a la actualización. Antes de iniciar unaactualización, OneFS comprueba que el clúster esté en buenas condiciones paracompletar el proceso de actualización. Algunas de las comprobaciones previas a laactualización son obligatorias y se realizarán incluso si decide omitir lascomprobaciones opcionales. Todas las comprobaciones previas a la actualizacióncontribuyen a una actualización más segura.

Soporte remotoOneFS permite el soporte remoto mediante el soporte remoto seguro de EMC (ESRS)que monitorea su clúster EMC Isilon y, con su permiso, permite el acceso remoto alpersonal de soporte técnico de Isilon para recopilar datos del clúster y solucionarproblemas.

ESRS es un sistema de soporte de servicio al cliente seguro y basado en IP. Entre lasfunciones de ESRS se incluyen el monitoreo remoto 24x7 y la autenticación seguracon cifrado AES de 256 bits y certificados digitales RSA.

Cuando se configura, ESRS monitorea su clúster Isilon nodo por nodo y envía alertassobre el estado de sus dispositivos. Personal de soporte técnico de Isilon puedeestablecer sesiones remotas a través de SSH o de la interfaz de administración web.Durante las sesiones remotas, el personal de soporte puede ejecutar scripts querecopilan datos de diagnóstico sobre la configuración del clúster y las operaciones, quese envía a un sitio FTP seguro, y solucionar casos de soporte abierto en el clúster.

Si habilita el soporte remoto, también debe compartir las credenciales de inicio desesión del clúster con el personal de soporte técnico de Isilon. El personal de soportetécnico de Isilon solicitará acceso remoto a su clúster solo en el contexto de un casode soporte abierto; usted puede aceptar o rechazar la solicitud de sesión remota.

ESRS se incluye con el sistema operativo OneFS y no necesita que habilite una licenciaseparada. En necesario habilitar y configurar ESRS antes de que este pueda ejecutarscripts para recopilar datos. Es posible que la función se haya habilitado cuando seconfiguró el clúster inicialmente, pero usted puede habilitar o inhabilitar el ESRS encualquier momento.

Para obtener una descripción completa de las funciones y funcionalidades de ESRS,consulte la versión más reciente del documento titulado EMC Secure Remote ServicesTechnical Description. La documentación adicional acerca de ESRS se puede encontraren el sitio del servicio de soporte en línea de EMC.

Configuración de la compatibilidad con ESRSPuede configurar la compatibilidad con los servicios de soporte remoto seguro de EMC(ESRS) en su clúster Isilon.

Antes de configurar ESRS, al menos un servidor del gateway de ESRS debe estarinstalado y configurado. El servidor del gateway actúa como el único punto de entraday salida de notificaciones de monitoreo y actividades de soporte remoto basadas en IP.También puede configurar un servidor de gateway secundario como un failover.

ESRS no es compatible con comunicaciones IPv6. Para admitir las transmisiones deESRS y las conexiones remotas, se debe configurar al menos una subred en el clústerEMC Isilon para las direcciones IPv4. Todos los nodos que desee que ESRS administre



deben tener al menos una interfaz de red que sea miembro de un pool de direccionesIPv4.

Debe designar uno o más pools de direcciones IP que manejarán las conexiones delgateway remoto a través del personal de soporte. El pool de direcciones IP debepertenecer a una subred en groupnet0, que es la groupnet predeterminada del sistemaal que la zona de acceso System hace referencia. Le recomendamos que designe poolscon direcciones IP estáticas que estén dedicados a las conexiones remotas a través deESRS.

Si fallan las transmisiones de ESRS, puede dirigir ESRS para que envíe notificacionesde eventos a una dirección de SMTP de failover. También puede especificar si se debeenviar un correo electrónico tras la falla de transmisión. La dirección de SMTP y ladirección de correo electrónico se especifican en la configuración general del clústerde OneFS.

Al habilitar la compatibilidad con ESRS en un clúster, el número de serie y la direcciónIP de cada nodo se envían al servidor del gateway. Una vez que se reciba lainformación del nodo, puede:

l Seleccionar qué nodos desea administrar a través de ESRS con la herramienta deconfiguración de ESRS.

l Crear reglas para las conexiones de soporte remoto a los nodos Isilon con eladministrador de políticas de ESRS.

Consulte la versión más reciente del documento titulado EMC Secure Remote ServicesSite Planning Guide para obtener una descripción completa de los requisitos, lainstalación y la configuración del servidor del gateway.

Consulte la versión más reciente del documento titulado EMC Secure Remote ServicesInstallation and Operations Guide para obtener una descripción completa de laherramienta de configuración de ESRS.

Consulte la versión más reciente del documento titulado EMC Secure Remote ServicesPolicy Manager Operations Guide para obtener una descripción completa deladministrador de políticas de ESRS.

La documentación adicional acerca de ESRS se puede encontrar en el sitio del serviciode soporte en línea de EMC.

Scripts de soporte remotoDespués de habilitar el soporte remoto a través de ESRS, el personal de soportetécnico de Isilon puede solicitar registros mediante scripts que reúnen datos delclúster EMC Isilon y después cargan estos datos.

Los scripts de soporte remoto que se basan en la herramienta de recopilación deregistros isi_gather_info de Isilon se ubican en el directorio /ifs/data/Isilon_Support/ en cada nodo.

Además, isi_phone_home, una herramienta que se centra en los datos específicosde clúster y nodo, se habilita tras habilitar ESRS. Esta herramienta estápreconfigurada para enviar información acerca del clúster al soporte técnico de Isilonsemanalmente. Puede deshabilitar o habilitar isi_phone_home desde la interfaz dela línea de comandos de OneFS.

En la siguiente tabla se enumeran las actividades de recopilación de datos que llevan acabo los scripts del soporte remoto. Estos scripts se pueden ejecutarautomáticamente, a petición de un representante de soporte técnico de Isilon, pararecopilar información sobre los ajustes de configuración y operaciones del clúster. Acontinuación, ESRS carga la información a un sitio FTP seguro de Isilon, de modo queesté disponible para su análisis por parte del personal de soporte técnico de Isilon. Los


Scripts de soporte remoto 97

scripts del soporte remoto no afectan los servicios del clúster ni la disponibilidad desus datos.

Acción Descripción

Clean watch folder Borra el contenido de /var/crash.

Get application data Recopila y carga la información sobre losprogramas de aplicaciones de OneFS.

Generate dashboard file daily Genera diariamente información deltablero.

Generate dashboard file sequence Genera información del tablero en elorden de aparición.

Get ABR data (as built record) Recopila información consolidada sobreel hardware.

Get ATA control and GMirror status Recopila el resultado del sistema einvoca un script cuando recibe unevento que corresponde a un eventidpredeterminado.

Get cluster data Recopila y carga información sobre laconfiguración y las operacionesgenerales del clúster.

Get cluster events Obtiene el resultado de los eventoscríticos existentes y carga lainformación.

Get cluster status Recopila y carga los detalles del estadodel clúster.

Optional contact info Extrae información de contacto y cargaun archivo de texto que lo contiene.

Get contents (var/crash) Carga el contenido de /var/crash.

Get job status Recopila y carga detalles de un trabajoque se está monitoreando.

Get domain data Recopila y carga información sobre lamembresía en dominio de servicios deActive Directory (ADS) del clúster.

Get file system data Recopila y carga información sobre elestado del sistema de archivos de /ifs/ de OneFS.

Get IB data Recopila y carga información sobre laconfiguración y el funcionamiento de lared InfiniBand de back-end.

Get logs data Recopila y carga solo la información deregistro más reciente del clúster.

Get messages Recopila y carga losarchivos /var/log/messages activos.

Get network data Recopila y carga información acerca delos ajustes de configuración y las



Acción Descripción

operaciones de la red específicos delnodo y generales del clúster.

Get NFS clients Ejecuta un comando para comprobar silos nodos se están utilizando comoclientes NFS.

Get node data Recopila y carga información deconfiguración, estado y operacionalespecífica del nodo.

Get protocol data Recopila y carga información de estadoy ajustes de configuración de la red paralos protocolos NFS, SMB, HDFS, FTP yHTTP.

Get Pcap client stats Recopila y carga estadísticas del cliente.

Get readonly status Advierte si el chasis está abierto y cargaun archivo de texto con la informacióndel evento.

Get usage data Recopila y carga información actual ehistórica sobre el uso de los recursos y elrendimiento del nodo.

isi_gather_info Recopila y carga toda la información deregistro reciente del clúster.

isi_gather_info--incremental Recopila y carga los cambios en lainformación de registro del clúster quese han producido desde la operacióncompleta más reciente.

isi_gather_info --incrementalsinglenode

Recopila y carga los cambios en lainformación de registro del clúster quese han producido desde la operacióncompleta más reciente.Le solicita el número de nodo.

isi_gather_infosingle node Recopila y carga detalles de un solonodo.Le solicita el número de nodo.

isi_phone_home--script-file Recopila y carga información recienteespecífica del clúster y de los nodos.

Upload the dashboard file Carga información del tablero al sitioFTP seguro del soporte técnico de Isilon.

Habilitar y configurar ESRSPuede habilitar la compatibilidad con el soporte remoto seguro de EMC (ESRS) en unclúster Isilon.

Antes de comenzar

Debe haber un servidor del gateway de ESRS ya instalado y configurado antes de quepueda habilitar ESRS en un clúster Isilon. Los pools de direcciones IP que manejarán


Habilitar y configurar ESRS 99

las conexiones del gateway ya deben existir en el sistema y deben pertenecer a unasubred en groupnet0, que corresponde a la groupnet predeterminada del sistema.Procedimiento

1. Haga clic en Cluster Management > General Settings > ESRS.

2. Seleccione la casilla de verificación Enable ESRS Gateway Support parahabilitar ESRS.

3. En el campo Primary ESRS Gateway Server, ingrese una dirección IPv4 o elnombre del servidor gateway primario.

4. En el campo Secondary ESRS Gateway Server, ingrese una dirección IPv4 o elnombre del servidor gateway secundario.

5. En la sección Gateway Access Pools, haga clic en las flechas para transferir lospools de direcciones IP entre las listas Available Pools y Selected Pools.

La lista Available Pools mostrará solo los pools de direcciones IP quepertenecen a una subred en groupnet0, que es la groupnet predeterminada delsistema. Solamente debe elegir los pools que contienen los rangos dedirecciones IPv4.

6. Seleccione la casilla de verificación Use SMTP if ESRS transmission fails paraespecificar que se deben enviar las notificaciones de eventos a una dirección deSMTP de failover si falla la transmisión de ESRS.

La dirección de SMTP se configura en Cluster Management > GeneralSettings > Email Settings.

7. Seleccione la casilla de verificación Send email upon transmission failure paraenviar una alerta a una dirección de correo electrónico del cliente si falla latransmisión de ESRS.

La dirección de correo electrónico se configura en Cluster Management >General Settings > Cluster Identity.




CAPÍTULO 4

Zonas de acceso


l Descripción general de las zonas de acceso ..................................................... 102l Reglas de directorios base................................................................................ 102l Mejores prácticas de zonas de acceso.............................................................. 103l Zonas de acceso en un clúster secundario de SyncIQ....................................... 104l Límites de zonas de acceso.............................................................................. 104l Calidad del servicio........................................................................................... 105l Administración de zonas de acceso.................................................................. 106

Zonas de acceso 101

Descripción general de las zonas de accesoAunque la vista predeterminada de un clúster EMC Isilon es la de una máquina física,es posible particionar un clúster en varios contenedores virtuales llamados zonas deacceso. Las zonas de acceso le permiten aislar los datos y controlar quién puedeacceder a ellos en cada zona.

Las zonas de acceso admiten los ajustes de configuración para los servicios deadministración de identidades y autenticación de un clúster, de modo que puedaconfigurar los proveedores de autenticación y provisionar directorios de protocolos,como los recursos compartidos de SMB y las exportaciones de NFS, zona por zona. Alcrear una zona de acceso, se crea automáticamente un proveedor local, lo que lepermite configurar cada zona de acceso con una lista de usuarios y grupos locales.También puede autenticarse a través de un proveedor de autenticación diferente encada zona de acceso.

Para controlar el acceso a los datos, puede asociar la zona de acceso con unagroupnet, que es un contenedor de redes de nivel superior que administra laconfiguración de conexión del cliente DNS y contiene las subredes y los pools dedirecciones IP. Cuando crea una zona de acceso, debe especificar una groupnet. Si nose especifica una groupnet, la zona de acceso hará referencia a la groupnetpredeterminada. Varias zonas de acceso pueden hacer referencia a una sola groupnet.Puede dirigir las conexiones entrantes a la zona de acceso mediante un pool dedirecciones IP específicas en la groupnet. La asociación de una zona de acceso con unpool de direcciones IP restringe la autenticación a la zona de acceso asociada y reducela cantidad de recursos compartidos de SMB y exportaciones de NFS disponibles yaccesibles.

Una ventaja de contar con varias zonas de acceso es la capacidad para configurar elacceso de protocolo de auditoría para las zonas de acceso individuales. Puedemodificar la lista predeterminada de eventos de auditoría de protocolo satisfactorios yfallidos, y generar después informes a través de una herramienta de terceros para unazona de acceso individual.

Un clúster incluye una zona de acceso integrada llamada System, en la que administratodos los aspectos de un clúster y otras zonas de acceso. De forma predeterminada,todas las direcciones IP de clúster están conectadas con la zona System. El accesobasado en funciones, que permite principalmente acciones de configuración, estádisponible solamente a través de la zona System. Todos los administradores, incluidosaquellos con privilegios determinados por una función, deben conectarse a la zonaSystem para configurar un clúster. La zona System se configura automáticamentepara hacer referencia a la groupnet predeterminada en el clúster, que es groupnet0.

La administración de la configuración de una zona de acceso distinta de la zonaSystem no se permite a través del protocolo SSH, la API Platform de OneFS ni lainterfaz de administración web. Sin embargo, puede crear y eliminar recursoscompartidos de SMB en una zona de acceso a través de Microsoft ManagementConsole (MMC).

Reglas de directorios baseUn directorio base define el árbol del sistema de archivos que una zona de accesoexpondrá. La zona de acceso no puede otorgar acceso a los archivos que seencuentran fuera del directorio base. Debe asignar un directorio base a cada zona deacceso.

Zonas de acceso


Los directorios base restringen las opciones de ruta de varias funciones, como losrecursos compartidos de SMB, las exportaciones de NFS, el directorio raíz de HDFS yla plantilla del directorio principal del proveedor local. El directorio base de la zona deacceso System predeterminada es /ifs y no puede modificarse.

Para lograr el aislamiento de datos dentro de una zona de acceso, EMC recomiendacrear una ruta de directorio base única que no sea idéntica ni se superponga a otrodirectorio base, con la excepción de la zona de acceso System. Por ejemplo, noespecifique /ifs/data/hr como el directorio base para las zonas de acceso zone3 yzone2, o si /ifs/data/hr está asignado a zone2, no asigne /ifs/data/hr/personnel a zone3.

OneFS es compatible con la superposición de datos entre zonas de acceso para loscasos donde los flujos de trabajo requieren datos compartidos; sin embargo, estoagrega complejidad a la configuración de zonas de acceso que podría causarproblemas futuros en el acceso de clientes. Para obtener los mejores resultados con lasuperposición de datos entre las zonas de acceso, EMC recomienda que estas tambiéncompartan los mismos proveedores de autenticación. El uso de proveedorescompartidos garantiza que los usuarios tengan información de identidad uniformecuando acceden a los mismos datos a través de zonas de acceso diferentes.

Si no puede configurar los mismos proveedores de autenticación para las zonas deacceso con datos compartidos, EMC recomienda las siguientes mejores prácticas:

l Seleccione Active Directory como el proveedor de autenticación en cada zona deacceso. Esto hace que los archivos almacenen SID únicos globalmente como laidentidad en disco, lo cual evita que usuarios de diferentes zonas obtengan accesoa los datos de otros usuarios.

l Evite seleccionar local, LDAP y NIS como los proveedores de autenticación en laszonas de acceso. Estos proveedores de autenticación usan UID y GID, que no segarantiza que sean globalmente únicas. Esto da como resultado una altaprobabilidad de que los usuarios de diferentes zonas puedan acceder a los datos delos demás.

l Establezca la identidad en disco en nativa o, preferentemente, en SID. Cuandoexisten mapeos de usuario entre los usuarios de Active Directory y UNIX o si estáhabilitada la opción Services for Unix para el proveedor de Active Directory,OneFS almacena SID como la identidad en disco en lugar de UID.

Mejores prácticas de zonas de accesoPuede evitar los problemas de configuración que surgen en el clúster EMC Isiloncuando se crean zonas de acceso siguiendo la guía de mejores prácticas.

Mejor práctica Detalles

Cree directorios base únicos. Para poder aislar los datos, la ruta deldirectorio base de cada zona de acceso debeser única y no se debe superponer ni anidar enel directorio base de otra zona de acceso. Lasuperposición está permitida, pero se debeusar solo si los flujos de trabajo requierendatos compartidos.

Separe la función de la zona System de otraszonas de acceso.

Reserve la zona System para acceder a laconfiguración y cree zonas adicionales paraacceder a los datos. Transfiera los datos

Zonas de acceso

Mejores prácticas de zonas de acceso 103

Mejor práctica Detalles

actuales fuera de la zona System a una nuevazona de acceso.

Cree zonas de acceso para aislar el acceso dediversos clientes o usuarios a los datos.

No cree zonas de acceso si un flujo de trabajorequiere el uso compartido de datos entrevarias clases de clientes o usuarios.

Asigne solamente un proveedor deautenticación de cada tipo para cada zona deacceso.

Una zona de acceso está limitada a un soloproveedor de Active Directory; sin embargo,OneFS permite varios proveedores deautenticación LDAP, NIS y de archivos encada zona de acceso. Se recomienda asignarsolo un tipo de cada proveedor por zona deacceso para simplificar la administración.

Evite la superposición de rangos de UID o GIDpara los proveedores de autenticación en unamisma zona de acceso.

Las probabilidades de que ocurran conflictosen la zona de acceso son escasas, peropueden surgir si existen UID/GIDsuperpuestos en la misma zona de acceso.

Zonas de acceso en un clúster secundario de SyncIQPuede crear zonas de acceso en un clúster secundario de SyncIQ utilizado pararespaldo y recuperación de desastres, con algunas limitaciones.

Si tiene una licencia de SyncIQ activa, puede mantener un clúster Isilon secundariopara fines de respaldo y conmutación por error en caso de que el servidor principalquede offline. Cuando ejecuta un trabajo de replicación en el servidor primario, sereplican los datos en archivos al servidor de respaldo, incluidas las rutas de directorio yotros metadatos asociados con esos archivos.

Sin embargo, los ajustes de configuración del sistema, como las zonas de acceso, nose replican en el servidor secundario. En un escenario de conmutación por error,probablemente sea conveniente que los ajustes de configuración de los clústeresprimario y secundario sean similares o idénticos.

En la mayoría de los casos, incluso en las zonas de acceso, se recomienda queconfigure los ajustes del sistema antes de ejecutar un trabajo de replicación deSyncIQ. El motivo es que un trabajo de replicación coloca los directorios de destino enmodo de solo lectura. Si intenta crear una zona de acceso en la que el directorio baseya está en modo de solo lectura, OneFS impide ejecutar esta acción y genera unmensaje de error.

Límites de zonas de accesoLas reglas de límites de zonas de acceso lo pueden ayudar a dimensionar las cargas detrabajo en el sistema OneFS.

Si configura varias zonas de acceso en un clúster EMC Isilon, se recomienda seguir lasreglas de límites para lograr un rendimiento óptimo del sistema. Los límites que sedescriben en la publicación Guía de especificaciones técnicas de Isilon OneFS serecomiendan para los flujos de trabajo empresariales de gran actividad en un clúster,donde se trata cada zona de acceso como una máquina física por separado.

Zonas de acceso


Calidad del servicioEs posible establecer límites superiores en la calidad del servicio asignando recursosfísicos específicos a cada zona de acceso.

La calidad del servicio aborda las características de rendimiento del hardware físicoque se pueden medir, mejorar y, algunas veces, garantizar. Las características que semiden para la calidad del servicio incluyen, entre otras, la velocidad de rendimiento, eluso del CPU y la capacidad del disco. Cuando se comparte hardware físico en unclúster EMC Isilon entre varias instancias virtuales, se compite por los siguientesservicios:

l CPU

l Memoria

l Ancho de banda de red

l I/O del disco

l Capacidad del disco

Las zonas de acceso no proporcionan garantías de calidad lógica del servicio paraestos recursos, pero los puede particionar entre las zonas de acceso de un soloclúster. La siguiente tabla describe algunas maneras para particionar los recursos conel fin de mejorar la calidad del servicio:

usar Notas

NIC Puede asignar NIC específicas en nodosespecíficos a un pool de direcciones IP queesté asociado con una zona de acceso. Siasigna estas NIC, puede determinar los nodosy las interfaces que están asociadas con unazona de acceso. Esto permite la separación deCPU, memoria y ancho de banda de red.Si está ejecutando IsilonSD Edge, el grupo depuertos administra las NIC en los nodosIsilonSD. Para obtener más información sobrela configuración de grupos de puertos,consulte la Guía de instalación y administraciónde IsilonSD Edge.

SmartPools Los SmartPools están separados en clases deequivalencia de hardware de nodos,generalmente en varios niveles de rendimientoalto, medio y bajo. Los datos que se escribenen un SmartPool se escriben solamente en losdiscos de los nodos de ese pool.Si asocia un pool de direcciones IPúnicamente con los nodos de un soloSmartPool, es posible el particionamiento delos recursos de I/O del disco.

SmartQuotas Con SmartQuotas, puede limitar la capacidaddel disco mediante un usuario o un grupo, obien, en un directorio. Si aplica una cuota aldirectorio base de una zona de acceso, puede

Zonas de acceso

Calidad del servicio 105

usar Notas

limitar la capacidad de disco utilizada en esazona de acceso.

Administración de zonas de accesoPuede crear zonas de acceso en el clúster EMC Isilon, ver y modificar la configuraciónde esas zonas y eliminarlas.

Crear una función de accesoPuede crear una zona de acceso y definir un directorio base y proveedores deautenticación.

Procedimiento

1. Haga clic en Access > Access Zones.

2. Haga clic en Create an access zone.

3. En el campo Zone Name, ingrese un nombre para la zona de acceso.

4. En el campo Zone Base Directory, ingrese o busque la ruta del directorio basepara la zona de acceso.

5. Si el directorio establecido todavía no existe en el sistema, seleccione la casillade verificación Create zone base directory if it does not exist.

6. En la lista Groupnet, seleccione una groupnet para asociar con la zona deacceso. La zona de acceso únicamente puede asociarse con pools dedirecciones IP y proveedores de autenticación que comparten la groupnetseleccionada.

7. (Opcional) Haga clic en Add a Provider para abrir la ventana Add a New AuthProvider y seleccione un proveedor de autenticación para la zona de acceso.

a. En la lista Authentication Provider Type, seleccione un tipo de proveedor.Se enumerará un tipo de proveedor solamente si existe una instancia de esetipo en el sistema.

b. En la lista Authentication Provider, seleccione el proveedor deautenticación.

c. Para cambiar el orden en el que se buscan los proveedores de autenticacióndurante la autenticación y la búsqueda de usuarios, haga clic en la barra detítulo de una instancia de proveedor y arrástrela hasta una nueva posición dela lista.

8. Haga clic en Create Zone.

9. Si el directorio establecido se superpone al directorio base de otra zona deacceso, haga clic en Create en el indicador del sistema para confirmar quedesea permitir el acceso de los usuarios en ambas zonas de acceso.


Antes de que los usuarios puedan conectarse a una zona de acceso, debe asociarla conun pool de direcciones IP.

Zonas de acceso


Asignar un directorio base superpuestoPuede crear directorios base superpuestos entre las zonas de acceso para los casosdonde los flujos de trabajo requieren datos compartidos.

Procedimiento


2. Haga clic en View/Edit junto a la zona de acceso que desea modificar.

El sistema muestra la ventana View Access Zone Details.

3. Haga clic en Edit.

El sistema muestra la ventana Edit Access Zone Details.

4. En el campo Zone Base Directory, ingrese o busque la ruta del directorio basepara la zona de acceso.


El sistema le solicita confirmar que el directorio establecido se superpone con eldirectorio base de otra zona de acceso.

6. Haga clic en Update en el indicador del sistema para confirmar que deseaotorgar a los usuarios acceso en ambas zonas de acceso.

7. Haga clic en Close.



Administrar proveedores de autenticación en una zona de accesoPuede agregar y quitar los proveedores de autenticación en una zona de acceso yadministrar el orden en que los proveedores se comprueban durante el proceso deautenticación.

Procedimiento






4. (Opcional) Haga clic en Add a Provider para abrir la ventana Add a New AuthProvider y seleccione un proveedor de autenticación para la zona de acceso.

a. En la lista Authentication Provider Type, seleccione un tipo de proveedor.Se enumerará un tipo de proveedor solamente si existe una instancia de esetipo en el sistema.

b. En la lista Authentication Provider, seleccione el proveedor deautenticación.

c. Para cambiar el orden en el que se buscan los proveedores de autenticacióndurante la autenticación y la búsqueda de usuarios, haga clic en la barra detítulo de una instancia de proveedor y arrástrela hasta una nueva posición dela lista.

Zonas de acceso

Asignar un directorio base superpuesto 107

5. Haga clic en Create Zone.

6. Si el directorio establecido se superpone al directorio base de otra zona deacceso, haga clic en Create en el indicador del sistema para confirmar quedesea permitir el acceso de los usuarios en ambas zonas de acceso.



Asociar un pool de direcciones IP con una zona de accesoPuede asociar un pool de direcciones IP con una zona de acceso para asegurarse deque los clientes se puedan conectar solamente a la zona de acceso a través de lasdirecciones IP presentes en el pool.

Antes de comenzar

El pool de direcciones IP debe pertenecer a la misma groupnet a la que hace referenciala zona de acceso.Procedimiento

1. Haga clic en Cluster Management > Network Configuration > ExternalNetwork.

2. Haga clic en View/Edit junto al pool de direcciones IP que desee modificar.

El sistema muestra la ventana View Pool Details.


El sistema muestra la ventana Edit Pool Details.

4. En la lista Access Zone, seleccione la zona de acceso que desea asociar con elpool.


Modificar una zona de accesoPuede modificar las propiedades de cualquier zona de acceso con algunasexcepciones: no puede cambiar el nombre de la zona System integrada ni puedemodificar la groupnet seleccionada.

Procedimiento






4. Modifique los ajustes deseados, haga clic en Save Changes y, a continuación,haga clic en Close.

Eliminar una zona de accesoPuede eliminar cualquier zona de acceso, excepto la zona System integrada. Si eliminauna zona de acceso, todos los proveedores de autenticación asociados permanecerándisponibles para otras zonas, pero las direcciones IP no se reasignan a otras zonas. Losrecursos compartidos de SMB, las exportaciones de NFS y las rutas de datos de HDFSse eliminan cuando se borra una zona de acceso; sin embargo, los directorios y los

Zonas de acceso


datos siguen existiendo y se pueden asignar nuevos recursos compartidos,exportaciones o rutas en otra zona de acceso.

Procedimiento


2. En la tabla de zonas de acceso, haga clic en Delete junto a la zona de accesoque desea eliminar.

3. En el cuadro de diálogo Confirm Delete, haga clic en Delete.

Ver una lista de las zonas de accesoPuede ver una lista de todas las zonas de acceso en el clúster.

Procedimiento


2. Haga clic en View/Edit junto a la zona de acceso que desea ver.



Zonas de acceso

Ver una lista de las zonas de acceso 109

Zonas de acceso


CAPÍTULO 5

Autenticación


l Descripción general de la autenticación.............................................................112l Funciones de proveedor de autenticación..........................................................112l Descripción general del historial del identificador de seguridad (SID)................112l Proveedores de autenticación compatibles....................................................... 113l Active Directory................................................................................................ 113l LDAP................................................................................................................. 114l NIS.................................................................................................................... 115l Autenticación Kerberos..................................................................................... 115l Proveedor de archivos.......................................................................................117l Proveedor local..................................................................................................117l Administración de proveedores de Active Directory.......................................... 117l Administración de proveedores de LDAP........................................................... 121l Administración de proveedores de NIS............................................................. 125l Administrar la autenticación MIT Kerberos........................................................127l Administración de proveedores de archivos...................................................... 134l Administración de usuarios y grupos locales..................................................... 138

Autenticación 111

Descripción general de la autenticaciónOneFS es compatible con proveedores de autenticación locales y remotos paraverificar la identidad de los usuarios que intentan acceder a un clúster EMC Isilon. Elacceso anónimo, que no requiere autenticación, es compatible con los protocolos quelo permiten.

OneFS es compatible con varios tipos de proveedores de autenticación simultáneos,que son parecidos a los servicios de directorio. Por ejemplo, OneFS a menudo seconfigura para autenticar clientes de Windows con Active Directory y clientes de UNIXcon LDAP. También puede configurar NIS, diseñado por Sun Microsystems, paraautenticar usuarios y grupos cuando acceden a un clúster.

Nota

OneFS cumple con la norma RFC 2307.

Funciones de proveedor de autenticaciónPuede configurar proveedores de autenticación para su ambiente.

Los proveedores de autenticación son compatibles con una variedad de funcionesdescritas en la siguiente tabla.

Característica Descripción

Autenticación Todos los proveedores de autenticaciónadmiten la autenticación de texto sin formato.Puede configurar algunos proveedores paraque admitan también la autenticación deNTLM o Kerberos.

Usuarios y grupos OneFS ofrece la capacidad de administrarusuarios y grupos directamente en el clúster.

Netgroups Específicos de NFS, los netgroups limitan elacceso a las exportaciones de NFS.

Propiedades de grupos y usuarios centradasen UNIX

Shell de inicio de sesión, directorio de inicio,UID y GID. La información faltante secomplementa con plantillas de configuración oproveedores de autenticación adicionales.

Propiedades de grupos y usuarios centradasen Windows

SID y dominio NetBIOS. La informaciónfaltante se complementa con plantillas deconfiguración.

Descripción general del historial del identificador deseguridad (SID)

El historial del SID conserva la membresía y los derechos de acceso de usuarios ygrupos durante una migración de dominio de Active Directory.

Autenticación


El historial del identificador de seguridad (SID) conserva la membresía y los derechosde acceso de usuarios y grupos durante una migración de dominio de Active Directory.Cuando un objeto se traslada a un dominio nuevo, este genera a un SID nuevo con unprefijo único y registra la información de SID anterior en un campo LDAP. Este procesogarantiza que los usuarios y grupos conserven en el dominio nuevo los mismosprivilegios y derechos de acceso que tenían en el dominio anterior.

Tenga en cuenta lo siguiente cuando trabaje con SID históricos.

l Use los SID históricos solo para mantener los privilegios de acceso y autenticacióna archivos históricos.

l No utilice SID históricos para agregar nuevos usuarios, grupos ni roles.l Utilice siempre el SID actual según lo definido por el dominio para modificar un

usuario o para agregar un usuario a alguna función o algún grupo.

Proveedores de autenticación compatiblesPuede configurar proveedores de autenticación remota y local para autenticar odenegar el acceso de usuarios a un clúster EMC Isilon.

La siguiente tabla compara las funciones disponibles con cada uno de los proveedoresde autenticación compatibles con OneFS. En la siguiente tabla, una x indica que unafunción es completamente compatible con un proveedor; un asterisco (*) indica quese requiere una configuración adicional o soporte de otro proveedor.

Proveedor deautenticación

NTLM Kerberos Administración deusuarios/grupos

Netgroups

Propiedades deUNIX(RFC2307)

Propiedades deWindows

ActiveDirectory

x x * x

LDAP * x x x *

NIS x x

Local x x x x

File x x x

MITKerberos

x * * *

Active DirectoryActive Directory es una implementación de Microsoft de las tecnologías del protocoloLDAP, Kerberos y DNS que puede almacenar información sobre los recursos de red.Active Directory puede desempeñar muchas funciones, pero la razón principal paraunir el clúster a un dominio de Active Directory es ejecutar la autenticación de gruposy de usuarios.

Puede unir el clúster de EMC Isilon a un dominio de Active Directory (AD)especificando el nombre de dominio calificado, que se puede determinar en unadirección IPv4 o IPv6, y un nombre de usuario con permiso para unirse. Cuando elclúster se une a un dominio de AD, se crea una sola cuenta de máquina de AD. Lacuenta de máquina establece una relación de confianza con el dominio y permite que el

Autenticación

Proveedores de autenticación compatibles 113

clúster autentique y autorice a los usuarios en el bosque de Active Directory. Demanera predeterminada, la cuenta de máquina se denomina igual que el clúster. Si elnombre del clúster se compone de más de 15 caracteres, el nombre se trunca y semuestra una vez unido al dominio.

OneFS es compatible con NTLM y Microsoft Kerberos para la autenticación deusuarios del dominio de Active Directory. Las credenciales de cliente NTLM seobtienen del proceso de inicio de sesión y luego se presentan en un formato de reto/respuesta cifrado para la autenticación. Las credenciales de cliente de MicrosoftKerberos se obtienen en un centro de distribución de claves (KDC) y se presentancuando se establecen las conexiones de servidores. Para obtener un mayor grado deseguridad y rendimiento, recomendamos implementar Kerberos, según las reglas deMicrosoft, como el protocolo de autenticación primario para Active Directory.

Cada proveedor de Active Directory debe estar asociado con una groupnet. Lagroupnet es un contenedor de redes de nivel superior que administra la resolución denombres de host según los servidores de nombres DNS y, además, contiene subredesy pools de direcciones IP. La groupnet especifica cuáles son las propiedades de redque utilizará el proveedor de Active Directory para comunicarse con los servidoresexternos. No se puede cambiar la groupnet asociada con el proveedor de ActiveDirectory. En lugar de ello, debe eliminar el proveedor de Active Directory y volver acrearlo con la nueva asociación de groupnet.

Puede agregar un proveedor de Active Directory a una zona de acceso como unmétodo de autenticación para clientes que se conectan a través de la zona de acceso.OneFS es compatible con varias instancias de Active Directory en un clúster Isilon; sinembargo, puede asignar únicamente un proveedor de Active Directory por zona deacceso. La zona de acceso y el proveedor de Active Directory deben hacer referenciaa la misma groupnet. Configure varias instancias de Active Directory únicamente paraotorgar acceso a varios conjuntos de dominios entre los que no existe una relación deconfianza. De lo contrario, configure una sola instancia de Active Directory si todos losdominios cuentan con una relación de confianza. Para interrumpir la autenticación através de un proveedor de Active Directory, elimínelo de las zonas de accesoasociadas.

LDAPEl protocolo ligero de acceso a directorios (LDAP) es un protocolo de red que lepermite definir, consultar y modificar recursos y servicios de directorio.

OneFS puede autenticar usuarios y grupos con un repositorio LDAP a fin de otorgarlesacceso al clúster. OneFS es compatible con la autenticación de Kerberos para unproveedor LDAP.

El servicio LDAP es compatible con las siguientes características:

l Usuarios, grupos y netgroups.

l Esquemas LDAP que se pueden configurar. Por ejemplo, el esquema ldapsamposibilita la autenticación NTLM en el protocolo SMB para usuarios con atributossimilares a los de Windows.

l Autenticación de vínculo simple, con y sin el protocolo SSL.

l Redundancia y balanceo de carga en servidores con datos de directorios idénticos.

l Varias instancias del proveedor LDAP para acceder a servidores con diferentesdatos de usuario.

l Contraseñas cifradas.

l URI de servidor de IPv4 e IPv6.

Autenticación


Cada proveedor LDAP se debe asociar con una groupnet. La groupnet es uncontenedor de redes de nivel superior que administra la resolución de nombres de hostsegún los servidores de nombres DNS y, además, contiene subredes y pools dedirecciones IP. La groupnet especifica qué propiedades de red utilizará el proveedorLDAP al comunicarse con servidores externos. No se puede cambiar la groupnetasociada con el proveedor LDAP. En su lugar, debe eliminar el proveedor LDAP yvolver a crearlo con la nueva asociación de groupnet.

Puede agregar un proveedor de LDAP a una zona de acceso como un método deautenticación para clientes que se conectan a través de la zona de acceso. Una zonade acceso puede incluir un proveedor de LDAP como máximo. La zona de acceso y elproveedor LDAP deben hacer referencia a la misma groupnet. Para interrumpir laautenticación a través de un proveedor de LDAP, elimínelo de las zonas de accesoasociadas.

NISEl sistema de información de red (NIS) proporciona autenticación y uniformidad de laidentidad en redes de área local. OneFS incluye un proveedor de autenticación NISque le permite integrar el clúster con su infraestructura NIS.

NIS, diseñado por Sun Microsystems, puede autenticar usuarios y grupos cuandoacceden al clúster. El proveedor NIS expone la contraseña, el grupo y los mapas denetgroup desde un servidor NIS. Las búsquedas de nombres de host también soncompatibles. Puede especificar varios servidores para obtener redundancia y balanceode carga.

Cada proveedor de NIS debe estar asociado con una groupnet. La groupnet es uncontenedor de redes de nivel superior que administra la resolución de nombres de hostsegún los servidores de nombres DNS y, además, contiene subredes y pools dedirecciones IP. La groupnet especifica qué propiedades de red utilizará el proveedor deNIS al comunicarse con servidores externos. No se puede cambiar la groupnetasociada con el proveedor de NIS. En su lugar, debe eliminar el proveedor de NIS yvolver a crearlo con la nueva asociación de groupnet.

Puede agregar un proveedor de NIS a una zona de acceso como un método deautenticación para clientes que se conectan a través de la zona de acceso. Una zonade acceso puede incluir un proveedor de NIS como máximo. La zona de acceso y elproveedor de NIS deben hacer referencia a la misma groupnet. Para interrumpir laautenticación a través de un proveedor de NIS, elimínelo de las zonas de accesoasociadas.

Nota

NIS difiere de NIS+, el cual no es compatible con OneFS.

Autenticación KerberosKerberos es un proveedor de autenticación de redes que negocia el cifrado de valespara proteger una conexión. OneFS es compatible con los proveedores deautenticación Microsoft Kerberos y MIT Kerberos en un clúster EMC Isilon. Siconfigura un proveedor de Active Directory, la compatibilidad con la autenticación deMicrosoft Kerberos se brinda automáticamente. MIT Kerberos funcionaindependientemente de Active Directory.

Para la autenticación MIT Kerberos, debe definir un dominio administrativo conocidocomo realm. En este realm, un servidor de autenticación tiene la autoridad para

Autenticación

NIS 115

autenticar un usuario, host o servicio; el servidor puede establecer direcciones IPv4 oIPv6. De manera opcional, puede definir un dominio Kerberos para permitir laasociación de extensiones de dominio adicionales con un realm.

El servidor de autenticación en un ambiente Kerberos se denomina centro dedistribución de claves (KDC) y distribuye los vales cifrados. Cuando un usuario seautentica con un proveedor MIT Kerberos en un realm, se crea un vale cifrado con elnombre principal de servicio (SPN) del usuario, el que luego se valida a fin detransmitir de manera segura la identificación del usuario para el servicio solicitado.

Cada proveedor MIT Kerberos se debe asociar con una groupnet. La groupnet es uncontenedor de redes de nivel superior que administra la resolución de nombres de hostsegún los servidores de nombres DNS y, además, contiene subredes y pools dedirecciones IP. La groupnet especifica qué propiedades de red utilizará el proveedorKerberos al comunicarse con servidores externos. No se puede cambiar la groupnetasociada con el proveedor Kerberos. En su lugar, debe eliminar el proveedor Kerberosy volver a crearlo con la nueva asociación de groupnet.

Puede agregar un proveedor de MIT Kerberos a una zona de acceso como un métodode autenticación para clientes que se conectan a través de la zona de acceso. Unazona de acceso puede incluir un proveedor de MIT Kerberos como máximo. La zona deacceso y el proveedor de Kerberos deben hacer referencia a la misma groupnet. Parainterrumpir la autenticación a través de un proveedor de MIT Kerberos, elimínelo de laszonas de acceso asociadas.

Descripción general de keytabs y SPNUn centro de distribución de claves (KDC) es un servidor de autenticación quealmacena cuentas y keytabs para los usuarios que se conectan a un servicio de red enun clúster EMC Isilon. Un keytab es una tabla de claves que almacena claves paravalidar y cifrar los vales de Kerberos.

Uno de los campos en una entrada de keytab es un nombre principal de servicio(SPN). Un SPN identifica una instancia de servicio única en un clúster. Cada SPN estáasociado con una clave específica en el KDC. Los usuarios pueden usar el SPN y susclaves asociadas para obtener vales de Kerberos, lo que permite el acceso a diferentesservicios en el clúster. Un miembro de la función SecurityAdmin puede crear clavesnuevas para los SPN y modificarlas más adelante, según sea necesario. Un SPN de unservicio generalmente aparece como <service>/<fqdn>@<realm>.

Nota

Los SPN deben coincidir con el nombre de zona SmartConnect y el nombre de hostdel nombre de dominio calificado del clúster. Si se modifica la configuración de la zonaSmartConnect, debe actualizar los SPN en el clúster para que coincidan con loscambios.

Compatibilidad con protocolo MIT KerberosMIT Kerberos admite ciertos protocolos de comunicación de red estándares comoHTTP, HDFS y NFS. MIT Kerberos no es compatible con los protocolos SMB, SSH niFTP.

Para la compatibilidad con el protocolo NFS, MIT Kerberos debe estar habilitado parauna exportación y el proveedor Kerberos se debe incluir en la zona de acceso.

Autenticación


Proveedor de archivosUn proveedor de archivos le permite suministrar una fuente de otros fabricantesdominante de información de usuario y de grupo a un clúster EMC Isilon. Una fuentede otros fabricantes es útil en ambientes UNIX y Linux que sincronizanarchivos /etc/passwd, /etc/group y etc/netgroup en varios servidores.

Los archivos de base de datos /etc/spwd.db y /etc/group BSD estándar actúancomo el área de almacenamiento de respaldo de proveedores de archivos en unclúster. Para generar el archivo spwd.db ejecute el comando pwd_mkdb en la interfazde la línea de comandos (CLI) de OneFS. Puede programar actualizaciones en losarchivos de bases de datos.

En un clúster Isilon, un proveedor de archivos aplica algoritmos hash a las contraseñascon libcrypt. Para optimizar la seguridad, se recomienda usar el formato de cifradomodular en el archivo de origen /etc/passwd para determinar el algoritmo de hash.OneFS es compatible con los siguientes algoritmos para el formato de cifrado modular:

l MD5

l NT-Hash

l SHA-256

l SHA-512

Para obtener información sobre otros formatos de contraseña disponibles, ejecute elcomando man 3 crypt en la CLI. Podrá visualizar las páginas de los manuales decifrado.

Nota

El proveedor de archivos del sistema integrado incluye servicios que se debenenumerar, administrar y autenticar según cuentas del sistema, como la cuenta raíz, deadministrador o de nadie. Se recomienda que no modifique el proveedor de archivosdel sistema.

Proveedor localEl proveedor local proporciona funcionalidades de búsqueda y de autenticación paralas cuentas de usuario que agrega un administrador.

La autenticación local es útil cuando los servicios de directorio de Active Directory,LDAP o NIS no están configurados o cuando una aplicación o un usuario específicosnecesitan acceder al clúster. Los grupos locales pueden incluir grupos integrados ygrupos de Active Directory como miembros.

Además de configurar orígenes de autenticación basada en la red, puede administrargrupos y usuarios locales mediante la configuración de una política de contraseñaslocal para cada nodo en el clúster. La configuración de OneFS especifica lacomplejidad, la antigüedad y la reutilización de las contraseñas, además de las políticasde bloqueo por ingreso de contraseñas incorrectas.

Administración de proveedores de Active DirectoryPuede ver, configurar, modificar y eliminar proveedores de Active Directory. OneFSincluye un archivo de configuración de Kerberos para Active Directory, además delarchivo de configuración de Kerberos global. Ambos se pueden configurar mediante la

Autenticación

Proveedor de archivos 117

interfaz de la línea de comandos. Para interrumpir la autenticación en un proveedor deActive Directory, debe eliminarlo de todas las zonas de acceso que lo usan.

Configurar un proveedor de Active DirectoryPuede configurar uno o más proveedores de Active Directory, cada uno de los cualesdebe incorporarse a un dominio de Active Directory separado. De formapredeterminada, al configurar un proveedor de Active Directory, este se agregaautomáticamente a la zona de acceso del sistema.

Nota

Tenga en cuenta la siguiente información cuando configure un proveedor de ActiveDirectory:

l Cuando incorpore Active Directory desde OneFS, la hora del clúster se actualizadesde el servidor Active Directory, siempre que no se haya configurado un servidorNTP para el clúster.

l Si migra usuarios a un dominio de Active Directory nuevo o diferente, debe volver adefinir la información del dominio de ACL una vez que configure el nuevoproveedor. Puede utilizar herramientas de terceros como Microsoft SubInACL.

Procedimiento

1. Haga clic en Access > Authentication Providers > Active Directory.

2. Haga clic Join a domain.

3. En el campo Domain Name, especifique el nombre de dominio calificado deActive Directory, que se puede resolver en una dirección IPv4 o IPv6.

El nombre de dominio también se utilizará como el nombre del proveedor.

4. En el campo User, ingrese el nombre de usuario de una cuenta que estéautorizada para incorporarse al dominio de Active Directory.

5. En el campo Password, ingrese la contraseña de la cuenta de usuario.

6. (Opcional) En el campo Organizational Unit, ingrese el nombre de la unidadorganizacional (OU) con la que se establecerá la conexión en el servidor ActiveDirectory. Especifique la OU en el formato OuName o OuName1/SubName2.

7. (Opcional) En el campo Machine Account, ingrese el nombre de la cuenta demáquina.

Nota

Si especifica una OU a la que conectarse, fallará la incorporación al dominio si lacuenta de máquina no reside en la OU.

8. En la lista Groupnet, seleccione la groupnet a la que hará referencia elproveedor de autenticación.

9. (Opcional) Para habilitar la autenticación de Active Directory para NFS,seleccione Enable Secure NFS.

Nota

Si especifica una OU a la que conectarse, fallará la incorporación al dominio si lacuenta de máquina no reside en la OU.

Autenticación


Si habilita esta opción, OneFS registra los nombres principales de servicio(SPN) de NFS durante la incorporación del dominio.

10. (Opcional) En el área de configuración avanzada de Active Directory, configurelos ajustes avanzados que desea usar. Se recomienda que no cambie los ajustesavanzados si no comprende las posibles consecuencias de hacerlo.

11. Haga clic en Join.

Modificar un proveedor de Active DirectoryPuede modificar los ajustes avanzados de un proveedor de Active Directory.

Procedimiento


2. En la tabla Active Directory Providers, haga clic en View details para elproveedor para el que desea modificar los ajustes.

3. Haga clic en Advanced Active Directory Settings.

4. Por cada ajuste que desee modificar, haga clic en Edit, efectúe los cambiospertinentes y después haga clic en Save.

5. (Opcional) Haga clic en Close.

Eliminar un proveedor de Active DirectoryCuando elimina un proveedor de Active Directory, está desconectando el clúster deldominio de Active Directory que está asociado con el proveedor, lo que interrumpe elservicio para los usuarios que acceden a él. Después de salir de un dominio de ActiveDirectory, los usuarios ya no pueden acceder al dominio desde el clúster.

Procedimiento


2. En la tabla Active Directory Providers, haga clic en Leave para el dominio delque desea salir.

3. En el cuadro de diálogo de confirmación, haga clic en Leave.

Configuración del proveedor de Active DirectoryPuede ver o modificar los ajustes avanzados de un proveedor de Active Directory.

Configuración Descripción

Services For UNIX Especifica si se cumplen los requisitos de lanorma RFC 2307 de controladores dedominio. La norma RFC 2307 es necesariapara las tecnologías UNIX Integration yServices For UNIX de Windows.

Map to primary domain Permite la búsqueda de nombres de usuariono calificados en el dominio primario. Si estaopción no está habilitada, será necesarioespecificar el dominio primario para cadaoperación de autenticación.

Ignore trusted domains Ignora todos los dominios de confianza.

Autenticación

Modificar un proveedor de Active Directory 119


Trusted Domains Permite incluir dominios de confianza si la

opción Ignore Trusted Domains estáhabilitada.

Domains to Ignore Permite ignorar dominios de confianza si la

opción Ignore Trusted Domains estádeshabilitada.

Send notification when domain is unreachable Envía una alerta según se especifica en lasreglas de notificación globales.

Use enhanced privacy and encryption Cifra la comunicación hacia y desde elcontrolador de dominio.

Home Directory Naming Especifica la ruta que se utilizará comoplantilla para nombrar los directoriosprincipales. La ruta debe comenzar con /ifsy puede contener variables, como %U, que seexpanden para generar la ruta del directorioprincipal para el usuario.

Create home directories on first login Crea un directorio principal la primera vez queun usuario inicia sesión si aún no existe undirectorio principal para el usuario.

UNIX Shell Especifica la ruta al shell de inicio de sesiónpara utilizar si el servidor de Active Directoryno proporciona información del shell de iniciode sesión. Este ajuste se aplica solo a usuariosque acceden al sistema de archivos a travésdel protocolo SSH.

Query all other providers for UID Si no hay ningún UID disponible en ActiveDirectory, busca usuarios de Active Directoryen todos los otros proveedores para asignarun UID.

Match users with lowercase Si no hay ningún UID disponible en ActiveDirectory, normaliza los nombres de usuariosde Active Directory a minúsculas antes de labúsqueda.

Auto-assign UIDs Si no hay ningún UID disponible en ActiveDirectory, habilita la asignación de UID paralos usuarios de Active Directory no mapeados.

Query all other providers for GID Si no hay ningún GID disponible en ActiveDirectory, busca grupos de Active Directoryen todos los otros proveedores antes deasignar un GID.

Match groups with lowercase Si no hay ningún GID disponible en ActiveDirectory, normaliza los nombres de grupos deActive Directory a minúsculas antes de labúsqueda.

Auto-assign GIDs Si no hay ningún GID disponible en ActiveDirectory, habilita la asignación de GID paralos grupos de Active Directory no mapeados.

Autenticación



Make UID/GID assignments for users andgroups in these specific domains

Limita las búsquedas de usuarios y grupos alos dominios especificados.

Administración de proveedores de LDAPPuede ver, configurar, modificar y eliminar proveedores LDAP. Para interrumpir laautenticación en un proveedor LDAP, debe eliminarlo de todas las zonas de acceso quelo usan.

Configurar un proveedor de LDAPDe forma predeterminada, al configurar un proveedor de LDAP, este se agregaautomáticamente a la zona de acceso del sistema.

Procedimiento

1. Haga clic en Access > Authentication Providers > LDAP.

2. Haga clic en Add an LDAP Provider.

3. En el campo LDAP provider name, escriba el nombre del proveedor.

4. In the Server URIs field, type one or more valid LDAP server URIs, one per line,in the format ldaps://<server>:<port> (secure LDAP) or ldap://<server>:<port> (non-secure LDAP). Un URI de servidores LDAP se puedeespecificar como una dirección IPv4 o IPv6, o como un nombre de host.

Nota

l Si no especifica el puerto, se usa un puerto predeterminado. El puertopredeterminado para el LDAP no seguro (ldap://) es 389; para el LDAPseguro (ldaps://), es 636. Si especifica un protocolo LDAP no seguro, lacontraseña de vinculación se transmite al servidor en texto no cifrado.

l Si especifica una dirección IPv6, esta debe ir entre corchetes. Por ejemplo,ldap://[2001:DB8:170:7cff::c001] es el formato IPv6 correcto para estecampo.

5. Seleccione la casilla de verificación Connect to a random server on eachrequest para conectarse a un servidor LDAP al azar. Si no se selecciona estaopción, OneFS se conecta a un servidor LDAP en el orden indicado en el campoServer URIs.

6. En el campo Base distinguished name (DN), escriba el nombre distinguido(DN) de la entrada en la que desea comenzar las búsquedas LDAP.

Los DN base pueden incluir cn (nombre común), l (localidad), dc (componentede dominio), ou (unidad organizacional) u otros componentes. Por ejemplo,dc=emc,dc=com es un DN base para emc.com.


8. En el campo Bind DN, escriba el nombre distinguido de la entrada en la que sevinculará con el servidor LDAP.

Autenticación

Administración de proveedores de LDAP 121

9. En el campo Bind DN password, especifique la contraseña que se usará para lavinculación con el servidor LDAP.

Use of this password does not require a secure connection; if the connection isnot using Transport Layer Security (TLS), the password is sent in clear text.

10. (Opcional) Actualice la configuración de las siguientes secciones del formularioAdd an LDAP provider para cumplir con los requisitos de su ambiente:


Default QuerySettings

Modificar la configuración predeterminada de consultade usuarios, grupos y netgroups.

User QuerySettings

Modificar la configuración de las consultas de usuariosy el aprovisionamiento del directorio principal.

Group QuerySettings

Modificar la configuración para las consultas de grupo.

Netgroup QuerySettings

Modificar la configuración para las consultas denetgroup.

Advanced LDAPSettings

Modificar los atributos LDAP predeterminados quecontienen información del usuario o modificar laconfiguración de seguridad de LDAP.

11. Haga clic en Add LDAP Provider.

Modificar un proveedor de LDAPPuede modificar cualquier parámetro de un proveedor de LDAP, excepto su nombre.Debe especificar al menos un servidor para poder habilitar el proveedor.

Procedimiento


2. En la tabla LDAP Providers, haga clic en View details para el proveedor para elque desea modificar los ajustes.


4. (Opcional) Haga clic en Close.

Eliminar un proveedor de LDAPCuando elimina un proveedor de LDAP, se elimina de todas las zonas de acceso. Comoalternativa, puede dejar de usar un proveedor de LDAP eliminándolo de cada zona deacceso que lo contenga, de modo que el proveedor permanezca disponible para sufuturo uso.

Procedimiento


2. En la tabla LDAP Providers, haga clic en Delete para el proveedor que deseaeliminar.

3. En el cuadro de diálogo de confirmación, haga clic en Delete.

Autenticación


Ajustes de consulta de LDAPPuede configurar el punto de entrada y la profundidad con los que se buscaránusuarios, grupos y netgroups de LDAP. También puede configurar los ajustes deaprovisionamiento del directorio principal del usuario.

Nota


Base distinguished name

Especifica el nombre distinguido base (DN base) de la entrada en la que iniciarbúsquedas de LDAP de objetos de netgroup, grupo o usuario. Los DN base puedenincluir cn (nombre común), l (localidad), dc (componente de dominio), ou(unidad organizacional) u otros componentes. Por ejemplo, dc=emc,dc=com esun DN base de emc.com.

Alcance de búsqueda

Especifica la profundidad desde el DN base a la que realizar búsquedas de LDAP.Los siguientes valores son válidos:

Default

Aplica el alcance de búsqueda que se define en la configuraciónpredeterminada de la consulta. Esta opción no está disponible para el alcancede búsqueda de consultas predeterminado.

Base

Busca únicamente en la entrada en el DN base.

One-level

Busca en todas las entradas exactamente un nivel bajo el DN base.

Subtree

Busca en el DN base y en todas las entradas debajo de él.

Children

Busca en todas las entradas bajo el DN base, excluido el propio DN base.

Search timeout

Especifica la cantidad de segundos después de los cuales se deja de reintentaruna búsqueda y se considera fallida. El valor predeterminado es 100. Esteparámetro solo está disponible en los ajustes de consulta predeterminados.

Query filter

Especifica el filtro de LDAP para objetos de netgroup, grupo o usuario. Esteparámetro no está disponible en los ajustes de consulta predeterminados.

Authenticate users from this LDAP provider

Especifica si es necesario permitir que el proveedor responda a las solicitudes deautenticación. Este parámetro está disponible solamente en los ajustes deconsulta predeterminados.

Home directory naming template

Especifica la ruta que se usará como plantilla para la asignación de nombres dedirectorios principales. La ruta debe comenzar con /ifs y puede contener

Autenticación

Ajustes de consulta de LDAP 123

variables, como %U, que se expanden para generar la ruta del directorio principalpara el usuario. Este parámetro está disponible solamente en los ajustes deconsulta predeterminados.

Automatically create user home directories on first login

Especifica si se creará un directorio principal la primera vez que un usuario iniciesesión, en caso de que no exista uno para el usuario. Este parámetro estádisponible solamente en los ajustes de consulta predeterminados.

UNIX shell

Especifica la ruta al shell de inicio de sesión para usuarios que acceden al sistemade archivos a través del protocolo SSH. Este parámetro está disponible solamenteen los ajustes de consulta predeterminados.

Ajustes avanzados de LDAPPuede configurar los ajustes de seguridad de LDAP y especificar los atributos de LDAPque contienen información del usuario.

Nota


Atributo Name

Especifica el atributo de LDAP que contiene UID, los cuales se usan comonombres de inicio de sesión. El valor predeterminado es uid.

Atributo Common name

Especifica el atributo de LDAP que contiene nombres comunes (CN). El valorpredeterminado es cn.

Atributo Email

Especifica el atributo de LDAP que contiene direcciones de correo electrónico. Elvalor predeterminado es mail.

Atributo GECOS field

Especifica el atributo de LDAP que contiene campos GECOS. El valorpredeterminado es gecos.

Atributo UID

Especifica el atributo de LDAP que contiene números de UID. El valorpredeterminado es uidNumber.

Atributo GID

Especifica el atributo de LDAP que contiene GID. El valor predeterminado esgidNumber.

Atributo Home directory

Especifica el atributo de LDAP que contiene directorios principales. El valorpredeterminado es homeDirectory.

Atributo UNIX shell

Especifica el atributo de LDAP que contiene los shells de inicio de sesión de UNIX.El valor predeterminado es loginShell.

Autenticación


Atributo Member of

Configura el atributo que se usará cuando se busquen membresías inversas enLDAP. Este valor de LDAP debe ser un atributo del tipo de usuario posixAccountque describe los grupos en los cuales es miembro el usuario de POSIX. Este es elvalor predeterminado.

Atributo Netgroup members

Especifica el atributo de LDAP que contiene miembros de netgroups. El valorpredeterminado es memberNisNetgroup.

Atributo Netgroup triple

Especifica el atributo de LDAP que contiene triples de netgroups. El valorpredeterminado es nisNetgroupTriple.

Atributo Group members

Especifica el atributo de LDAP que contiene miembros de grupos. El valorpredeterminado es memberUid.

Atributo Unique group members

Especifica el atributo de LDAP que contiene miembros de grupos únicos. Esteatributo se usa para determinar a qué grupos pertenece un usuario si el DN delusuario consulta al servidor LDAP en lugar del nombre del usuario. Este es el valorpredeterminado.

Atributo Alternate security identities

Especifica el nombre que se usará cuando se busquen identidades de seguridadalternativas. Este nombre se usa cuando OneFS intenta resolver la entidad deseguridad de Kerberos de un usuario. Este es el valor predeterminado.

Atributo UNIX password

Especifica el atributo de LDAP que contiene contraseñas de UNIX. Este es el valorpredeterminado.

Atributo Windows password

Especifica el atributo de LDAP que contiene contraseñas de Windows. Un valorque se usa frecuentemente es ntpasswdhash.

Certificate authority file

Especifica la ruta completa al archivo de certificados raíz.

Require secure connection for passwords

Especifica si se necesita una conexión de Transport Layer Security (TLS).

Ignore TLS errors

Mantiene una conexión segura, incluso si las comprobaciones de identidad fallan.

Administración de proveedores de NISPuede ver, configurar y modificar proveedores de NIS o eliminar proveedores que yano sean necesarios. Para interrumpir la autenticación en un proveedor de NIS, debeeliminarlo de todas las zonas de acceso que lo usan.

Autenticación

Administración de proveedores de NIS 125

Configurar un proveedor de NISDe forma predeterminada, cuando configura un proveedor de NIS este se agregaautomáticamente a la zona de acceso del sistema.

Procedimiento

1. Haga clic en Access > Authentication Providers > NIS.

2. Haga clic en Add a NIS provider.

3. En el campo NIS provider name, ingrese un nuevo nombre para el proveedor.

4. En el campo Servers, escriba una o más direcciones IPv4, nombres de host onombres de dominio calificado (FQDN) válidos, separados por comas.

Nota

Si la opción Distribute connections to NIS servers randomly no estáseleccionada, se accede a los servidores en el orden en el que se enumeran.

5. En el campo NIS domain, escriba el nombre del dominio.

6. (Opcional) Configure el ajuste Distribute connections to NIS serversrandomly:

l Para conectarse a un servidor NIS aleatorio, seleccione la casilla deverificación.

l Para conectarse en el orden en que aparecen los servidores NIS en el campoServers, desmarque la casilla de verificación.


8. (Opcional) Especifique los ajustes de Default Query Settings.

a. En el campo Search times out after, se especifica la cantidad de segundosdespués de la cual se debe dejar de reintentar y se debe desistir de unabúsqueda. El valor predeterminado es 20.

b. En el campo Retry search every, especifique el período de tiempo de esperaen segundos después del cual se reintentará una solicitud. El valorpredeterminado es 5.

9. (Opcional) Especifique los ajustes de User query settings.

a. Seleccione la casilla de verificación Authenticate users from this providerpara especificar si desea permitir que el proveedor responda las solicitudesde autenticación.

b. Ingrese una ruta en el campo Path to home directory para usarla comoplantilla para nombrar los directorios principales. La ruta debe comenzarcon /ifs y puede contener variables de expansión, como %U, que seexpanden para generar la ruta del directorio principal para el usuario. Paraobtener más información, consulte la sección Home directories.

c. Select the Create home directories on first login check box to specifywhether to create a home directory the first time a user logs in, if a homedirectory does not already exist for the user.

d. Seleccione una ruta de la lista UNIX Shell para especificar la ruta al shell deinicio de sesión del usuario para los usuarios que accedan al sistema dearchivos mediante el protocolo SSH.

Autenticación


10. (Opcional) En la sección Host name query settings, seleccione Resolve hostsfrom this provider para habilitar la resolución de hosts. Para deshabilitar laresolución de hosts, deseleccione la casilla de verificación.

11. Haga clic en Add NIS provider.

Modificar un proveedor de NISPuede modificar cualquier parámetro de un proveedor de NIS, excepto su nombre.Debe especificar al menos un servidor para poder habilitar el proveedor.

Procedimiento


2. En la tabla NIS Providers, haga clic en View details para el proveedor para elque desea modificar los ajustes.



Eliminar un proveedor de NISCuando elimina un proveedor de NIS, se elimina de todas las zonas de acceso. Comoalternativa, puede dejar de usar un proveedor de NIS eliminándolo de cada zona deacceso que lo contenga, de modo que el proveedor permanezca disponible para sufuturo uso.

Procedimiento


2. En la tabla NIS Providers, haga clic en Delete para el proveedor que deseaeliminar.


Administrar la autenticación MIT KerberosPuede configurar un proveedor MIT Kerberos para la autenticación sin ActiveDirectory. Configurar un proveedor MIT Kerberos involucra la creación de un realmMIT Kerberos, la creación de un proveedor y la unión a un realm predefinido. Demanera opcional, puede configurar un dominio MIT Kerberos para el proveedor.También puede actualizar las claves de cifrado si hay cambios en la configuración delproveedor Kerberos. Puede incluir al proveedor en una o más zonas de acceso.

Administración de realms MIT KerberosUn realm MIT Kerberos es un dominio administrativo que define los límites dentro delos cuales un servidor de autenticación tiene la autoridad de autenticar un usuario oservicio. Puede crear, ver, editar o eliminar un realm. Una mejor práctica consiste enespecificar un nombre de realm con caracteres en mayúscula.

Crear un realm de MIT KerberosUn realm de MIT Kerberos es un dominio administrativo que define los límites dentrode los cuales un servidor de autenticación tiene la autoridad de autenticar un usuario o

Autenticación

Modificar un proveedor de NIS 127

servicio. Para crear un realm, defina un centro de distribución de claves (KDC) y unservidor administrativo.

Procedimiento

1. Haga clic en Access > Authentication Providers > Kerberos Provider.

2. Haga clic en Create a Kerberos Realm.

3. En el campo Realm Name, ingrese un nombre de dominio en mayúsculas. Porejemplo, CLUSTER-NAME.COMPANY.COM.

4. Seleccione la casilla de verificación Set as the default realm para establecer elrealm como predeterminado.

5. En el campo Key Distribution Centers (KDCs), especifique las direccionesIPv4 o IPv6, o el nombre de host de cada servidor para agregar uno o más KDC.

6. (Opcional) En el campo Admin Server, especifique las direcciones IPv4 o IPv6,o el nombre del host del servidor de administración, que cumplirá la función delKDC maestro. Si omite este paso, el primer KDC que agregó antes se usa comoel servidor administrativo predeterminado.

7. (Opcional) En el campo Default Domain, especifique un nombre de dominiopara traducir los nombres principales de servicio.

8. Haga clic en Create Realm.

Modificar un realm de MIT KerberosPuede modificar un realm de MIT Kerberos si modifica el centro de distribución declaves (KDC) y los ajustes del servidor administrativo para ese realm.

Procedimiento


2. En la tabla Kerberos Realms, seleccione un realm y haga clic en View / Edit.

3. En la página View a Kerberos Realm, haga clic en Edit Realm.

4. Seleccione la casilla de verificación Set as the default realm o anule laselección para modificar los ajustes de realm predeterminados.

5. En el campo Key Distribution Centers (KDCs), especifique las direccionesIPv4 o IPv6, o el nombre de host de cada servidor KDC adicional.

6. En el campo Admin Server, especifique las direcciones IPv4 o IPv6, o el nombredel host del servidor de administración, que cumplirá la función del KDCmaestro.

7. En el campo Default Domain, especifique un nombre de dominio alternativopara traducir los nombres principales de servicio (SPN).

8. Haga clic en Save Changes para volver a la página View a Kerberos Realm.


Ver un realm de MIT KerberosPuede ver los detalles relacionados con el nombre, los centros de distribución declaves (KDC) y el servidor administrativo asociado con un realm de MIT Kerberos.

Procedimiento


2. En la tabla Kerberos Realms, seleccione un realm y haga clic en View / Editpara ver la información asociada con el realm.

Autenticación


Eliminar un realm de MIT KerberosPuede eliminar uno o más realms de MIT Kerberos y todos los dominios de MITKerberos asociados. Los proveedores de Kerberos hacen referencia a los realms deKerberos. Por lo tanto, antes de eliminar un realm para el cual haya creado unproveedor, primero debe eliminar ese proveedor.

Procedimiento


2. En la tabla Kerberos Realms, seleccione uno o más realms y luego realice unade las siguientes acciones:

l Para eliminar un solo realm, seleccione el realm y haga clic en More > Deleteen la columna Actions.

l Para eliminar varios realms, seleccione los realms y luego seleccione DeleteSelection en la lista Select a bulk action.


Administración de proveedores MIT KerberosPuede crear, ver, eliminar o modificar un proveedor MIT Kerberos. También puedeconfigurar los ajustes del proveedor Kerberos.

Creación de un proveedor de MIT KerberosPara crear un proveedor de MIT Kerberos, obtenga las credenciales para acceder a unclúster a través del centro de distribución de claves (KDC) del realm de Kerberos. Esteproceso también se conoce como incorporación a un realm. Por lo tanto, cuando creaun proveedor de Kerberos, también se incorpora a un realm que haya creado antes.Debe ser miembro de una función SecurityAdmin para crear un proveedor de MITKerberos.

Mediante la interfaz web, puede realizar las siguientes tareas a través de un solo flujode trabajo o puede ejecutar cada tarea de manera individual antes de crear elproveedor.

l Definición de un realm

l Definición de un dominio

l Administración de un nombre principal de servicio (SPN)

Crear un realm, un dominio y un proveedor de MIT Kerberos

Puede crear un realm, un dominio y un proveedor de MIT Kerberos a través de un soloflujo de trabajo en lugar de configurar cada uno de estos objetos de forma individual.

Procedimiento


2. Haga clic en Get Started.

El sistema muestra la ventana Create a Kerberos Realm and Provider.

3. En la sección Create Realm, escriba un nombre de dominio en el campo RealmName.

Se recomienda que el nombre de dominio tenga el formato de caracteres enmayúscula, como CLUSTER-NAME.COMPANY.COM.

Autenticación

Administración de proveedores MIT Kerberos 129

4. Seleccione la casilla Set as the default realm para establecer el realm comopredeterminado.

5. En el campo Key Distribution Centers (KDCs), especifique las direccionesIPv4 o IPv6, o el nombre de host de cada servidor para agregar uno o más KDC.

6. En el campo Admin Server, especifique las direcciones IPv4 o IPv6, o el nombredel host del servidor de administración, que cumplirá la función del KDCmaestro. Si omite este paso, el primer KDC que agregó antes se usa como elservidor de administración predeterminado.

7. En el campo Default Domain, especifique un nombre de dominio para traducirlos nombres principales de servicio (SPN).

8. (Opcional) En la sección Create Domain(s), especifique uno o más nombres dedominio para asociarlos con el realm en el campo Domain(s).

9. En la sección Authenticate to Realm, escriba el nombre y la contraseña de unusuario que tenga permiso para crear SPN en el realm Kerberos en el campoUser y Password.

10. En la sección Create Provider, seleccione la groupnet a la que hará referenciael proveedor de autenticación en la lista Groupnet.

11. En el área Service Principal Name (SPN) Management, seleccione una de lassiguientes opciones que se utilizará para administrar SPN:

l Usar SPN recomendados

l Asociar SPN manualmenteSi selecciona esta opción, escriba al menos un SPN en el formato service/principal@realm para asociarlo manualmente con el realm.

12. Haga clic en Create Provider and Join Realm.

Crear un proveedor de MIT Kerberos e incorporarle un realm

Cuando se crea un proveedor de MIT Kerberos, se incorpora a un realm de formaautomática. Un realm define un dominio dentro del cual tiene lugar la autenticaciónpara un usuario o servicio específicos.

Antes de comenzar

Debe ser miembro de una función SecurityAdmin para ver el botón Create a KerberosProvider y acceder a él a fin de realizar las tareas descritas en este procedimiento.

Procedimiento


2. Haga clic en Create a Kerberos Provider.

3. En el campo User, ingrese un nombre de usuario que tenga permiso para crearlos nombres principales de servicio (SPN) en el realm de Kerberos.

4. En el campo Password, ingrese una contraseña para el usuario.

5. En la lista Realm, seleccione el realm que desea unir. El realm ya debe estarconfigurado en el sistema.


7. En el área Service Principal Name (SPN) Management, seleccione una de lassiguientes opciones que se utilizará para administrar SPN:

l Usar SPN recomendados

l Asociar SPN manualmente

Autenticación


Si selecciona esta opción, escriba al menos un SPN en el formato service/principal@realm para asociarlo manualmente con el realm.

8. Haga clic en Create Provider and Join Realm.

Modificar un proveedor de MIT KerberosPuede modificar la información de autenticación del realm y el nombre principal deservicio (SPN) para un proveedor de MIT Kerberos.

Antes de comenzar

Debe ser miembro de la función SecurityAdmin para ver el botón View / Edit yacceder a él a fin de modificar un proveedor de MIT Kerberos.

Procedimiento


2. En la tabla Kerberos Provider, seleccione un dominio y haga clic en View /Edit.

3. En la página View a Kerberos Provider, haga clic en Edit Provider.

4. En la sección Realm Authentication Information, especifique las credencialespara un usuario con permisos para crear los SPN en el realm de Kerberos.

5. En la sección Provider Information, seleccione una de las siguientes opcionespara administrar los SPN:

l Use los SPN recomendados.

l Ingrese un SPN en el formato service/principal@realm para asociarlode forma manual con el realm seleccionado. Puede agregar más de un SPNpara su asociación si lo considera necesario.

6. Haga clic en Save Changes para volver a la página View a Kerberos Provider.


Ver un proveedor de MIT KerberosPuede ver información relacionada con los realms de MIT Kerberos y los nombresprincipales de servicio (SPN) asociados con un proveedor de MIT Kerberos.

Procedimiento


2. En la tabla Kerberos Providers, seleccione un proveedor y haga clic en View /Edit para ver la información del proveedor, incluidos el realm, los SPNrecomendados y cualquier otro SPN que se descubra.

Eliminar un proveedor de MIT KerberosPuede eliminar un proveedor de MIT Kerberos y quitarlo de todas las zonas de accesode referencia. Cuando elimina un proveedor, también sale de un realm de MITKerberos.

Antes de comenzar

Debe ser miembro de la función SecurityAdmin para realizar las tareas descritas eneste procedimiento.

Procedimiento


Autenticación

Administración de proveedores MIT Kerberos 131

2. En la tabla Kerberos Providers, seleccione uno o más proveedores y luegorealice una de las siguientes acciones:

l Para eliminar un solo proveedor, seleccione el proveedor y haga clic enMore > Delete en la columna Actions.

l Para eliminar varios proveedores, seleccione los proveedores y luegoseleccione Delete Selection en la lista Select a bulk action.


Configurar los ajustes del proveedor de KerberosPuede configurar los ajustes de un proveedor de Kerberos para permitir que losregistros de DNS ubiquen el centro de distribución de claves (KDC), los realms deKerberos y los servidores de autenticación asociados con un realm de Kerberos. Estosajustes son globales para todos los usuarios de Kerberos en todos los nodos, serviciosy zonas de acceso. Algunos ajustes se aplican solamente al dominio de Kerberos dellado del cliente que sea relevante cuando se incorpora un realm o cuando se establecela comunicación con un KDC de Active Directory. Por lo general, no es necesariocambiar los ajustes después de la configuración inicial.

Procedimiento

1. Haga clic en Access > Authentication Providers > Kerberos Settings.

2. En el campo Default Realm, especifique el realm que desea usar para el nombreprincipal de servicio (SPN). El realm predeterminado es el primer realm quecrea.

3. Seleccione una casilla de verificación para enviar siempre una autenticaciónprevia. Este es un ajuste de configuración del dominio de Kerberos del lado delcliente.

Si selecciona esta casilla de verificación, habilita las solicitudes de vales deKerberos para incluir ENC_TIMESTAMP como los datos de autenticaciónprevia, incluso si el servidor de autenticación no lo solicitó. Esto es útil cuandose trabaja con servidores Active Directory.

4. Seleccione una casilla de verificación para especificar si usar los registros delservidor DNS para ubicar los KDC y otros servidores para un realm, siempre quela información no esté incluida para el realm.

5. Seleccione una casilla de verificación para especificar si desea usar los registrosde texto de DNS para determinar el realm de Kerberos de un host.


Administración de los dominios de MIT KerberosDe manera opcional, puede definir dominios MIT Kerberos para permitir que lasextensiones de dominio adicionales se asocien a un realm MIT Kerberos. Siemprepuede especificar un dominio predeterminado para un realm.

Puede crear, modificar, eliminar y ver un dominio MIT Kerberos. Un nombre dedominio Kerberos es un sufijo de DNS que se suele especificar mediante caracteres enminúscula.

Crear un dominio de MIT KerberosTiene la opción de crear un dominio de MIT Kerberos para permitir la asociación deotras extensiones de dominio con un realm de MIT Kerberos además de los dominiospredeterminados.

Autenticación


Antes de comenzar


Procedimiento


2. Haga clic en Create a Kerberos Domain.

3. En el campo Domain, especifique un nombre de dominio, que, por lo general, esun sufijo DNS en minúscula.

4. En la lista Realm, seleccione un realm que haya configurado previamente.

5. Haga clic en Create Domain.

Modificar un dominio de MIT KerberosPuede modificar un dominio de MIT Kerberos si modifica los ajustes del realm.

Antes de comenzar


Procedimiento


2. En la tabla Kerberos Domains, seleccione un dominio y haga clic en View /Edit.

3. En la página View a Kerberos Domain, haga clic en Edit Domain.

4. En la lista Realm, seleccione un realm alternativo.

5. Haga clic en Save Changes para volver a la página View a Kerberos Domain.


Ver un dominio de MIT KerberosPuede ver las propiedades de un mapeo del dominio de MIT Kerberos.

Procedimiento


2. En la tabla Kerberos Domains, seleccione un dominio y haga clic en View / Editpara ver las propiedades del mapeo de dominio.

Eliminar un dominio de MIT KerberosPuede eliminar uno o más mapeos del dominio de MIT Kerberos.

Antes de comenzar


Procedimiento


2. En el área Kerberos Domains, seleccione uno o más mapeos de dominio y luegorealice una de las siguientes acciones:

l Para eliminar un solo mapeo de dominio, seleccione el mapeo y haga clic enMore > Delete en la columna Actions.

Autenticación

Administración de los dominios de MIT Kerberos 133

l Para eliminar varios mapeos de dominio, seleccione los mapeos y, luego,seleccione Delete Selection en la lista Select a bulk action.

Administración de proveedores de archivosPuede configurar uno o más proveedores de archivos, cada uno con su propiacombinación de archivos de sustitución, para cada zona de acceso. Los archivos debase de datos de contraseña, que también se denominan archivos de base de datos deusuario, deben estar en formato binario.

Cada proveedor de archivos sustrae directamente hasta tres archivos de base dedatos de reemplazo: un archivo de grupo que posea el mismo formato que /etc/group; un archivo netgroup; y un archivo de contraseña binario, spwd.db, queproporciona acceso rápido a los datos de un archivo con el formato /etc/master.passwd. Debe copiar los archivos de reemplazo en el clúster y hacerreferencia a estos mediante su ruta de directorio.

Nota

Si los archivos de reemplazo se ubican fuera del árbol de directorios /ifs, debedistribuirlos manualmente a cada nodo del clúster. Los cambios que se realizan en losarchivos del proveedor del sistema se distribuyen automáticamente en el clúster.

Configurar un proveedor de archivosPuede configurar uno o más proveedores de archivos, cada uno con su propiacombinación de archivos de sustitución, para cada zona de acceso. Puede especificararchivos de sustitución para cualquier combinación de usuarios, grupos o netgroups.

Procedimiento

1. Haga clic en Access > Authentication Providers > File Provider.

2. Haga clic en Add a file provider.

3. En el campo File provider name, ingrese un nombre para el proveedor dearchivos.

4. Para especificar un archivo de sustitución de usuario, en el campo Path tousers file, ingrese la ubicación del archivo spwd.db o navegue a ella.

5. Para especificar un archivo de sustitución de netgroup, en el campo Path tonetgroups file, ingrese la ubicación del archivo netgroup o navegue a ella.

6. Para especificar un archivo de sustitución de grupo, en el campo Path togroups file, ingrese la ubicación del archivo group o navegue a ella.

7. (Opcional) Establezca las siguientes configuraciones:


Authenticate usersfrom this provider

Especifica si es necesario permitir que el proveedorresponda a las solicitudes de autenticación.

Create homedirectories on firstlogin

Especifica si se creará un directorio principal la primeravez que un usuario inicie sesión, en caso de que noexista uno para el usuario.

Path to homedirectory

Especifica la ruta que se usará como plantilla para laasignación de nombres de directorios principales. La rutadebe comenzar con /ifs y puede contener variables de

Autenticación



expansión, como %U, que se expanden para generar laruta del directorio principal para el usuario. Para obtenermás información, consulte la sección Home directories.

UNIX Shell Especifica la ruta al shell de inicio de sesión parausuarios que acceden al sistema de archivos a través delprotocolo SSH.

8. Haga clic en Add File Provider.

Generar un archivo de contraseñaLos archivos de base de datos de contraseña, que también se denominan archivos debase de datos de usuario, deben estar en formato binario.

Este procedimiento debe realizarse a través de la interfaz de la línea de comandos(CLI). Para obtener las reglas de uso de comandos, ejecute el comando manpwd_mkdb.

Procedimiento

1. Establezca una conexión SSH a cualquier nodo del clúster.

2. Ejecute el comando pwd_mkdb<file>, donde <file> corresponde a la ubicacióndel archivo de contraseña de origen.

Nota

De forma predeterminada, el archivo de contraseña binario spwd.db se crea enel directorio /etc. Para reemplazar la ubicación y almacenar el archivospwd.db especifique la opción -d con un directorio de destino diferente.

El siguiente comando genera un archivo spwd.db en el directorio /etc a partirde un archivo de contraseña ubicado en /ifs/test.passwd:

pwd_mkdb /ifs/test.passwd

El siguiente comando genera un archivo spwd.db en el directorio /ifs a partirde un archivo de contraseña ubicado en /ifs/test.passwd:

pwd_mkdb -d /ifs /ifs/test.passwd

Formato de archivo de contraseñaEl proveedor de archivos utiliza un archivo de contraseña binario de la base de datos,spwd.db. Para generar un archivo de contraseña binario a partir de un archivo conformato master.passwd, ejecute el comando pwd_mkdb.

El archivo master.passwd se compone de 10 campos separados por dos puntos,como se puede ver en el siguiente ejemplo:

admin:*:10:10::0:0:Web UI Administrator:/ifs/home/admin:/bin/zsh

Los campos se definen a continuación en el orden en el que aparecen en el archivo.

Autenticación

Generar un archivo de contraseña 135

Nota

Los sistemas de UNIX suelen definir el formato passwd como una subred de estoscampos y omiten los campos Class, Change y Expiry. Para convertir un archivo delformato passwd al formato master.passwd, agregue :0:0: entre los campos GID yGecos.

Username

El nombre de usuario. Este campo distingue entre mayúsculas y minúsculas.OneFS no limita la longitud; sin embargo, muchas aplicaciones truncan el nombrepara que se componga de 16 caracteres.

Password

La contraseña cifrada del usuario. Si no se requiere la autenticación para elusuario, puede reemplazar la contraseña con un asterisco (*). Está garantizadoque el carácter de asterisco no coincidirá con ninguna contraseña.

UID

El identificador de usuario de UNIX. Este valor debe ser un número en el rango de0-4294967294 que no esté reservado ni que ya se haya asignado a un usuario.Los problemas de compatibilidad suceden si este valor entra en conflicto con unUID de cuenta existente.

GID

El ID de grupo del grupo primario del usuario. Todos los usuarios son miembros deal menos un grupo, el cual se utiliza para los controles de acceso y en la creaciónde archivos.

Clase

Este campo no es compatible con OneFS y debería quedar en blanco.

Change

OneFS no es compatible con la modificación de las contraseñas de usuarios en elproveedor de archivos. Este campo se ignora.

Expiry

OneFS no es compatible con el vencimiento de cuentas de usuario en el proveedorde archivos. Este campo se ignora.

Gecos

Este campo puede almacenar información variada, pero generalmente se utilizapara almacenar el nombre completo del usuario.

Home

La ruta absoluta al directorio de inicio del usuario; comienza con /ifs.

Shell

La ruta absoluta al shell del usuario. Si este campo se configura en /sbin/nologin, al usuario se le deniega el acceso a la línea de comandos.

Formato de archivo de grupoEl proveedor de archivos utiliza un archivo de grupo en el formato del archivo /etc/group que existe en la mayoría de los sistemas UNIX.

Autenticación


El archivo group se compone de una o más líneas que contienen cuatro camposseparados por dos puntos, como se muestra en el siguiente ejemplo:

admin:*:10:root,admin

Los campos se definen a continuación en el orden en el que aparecen en el archivo.

Group name

El nombre del grupo. Este campo distingue entre mayúsculas y minúsculas. Si bienOneFS no limita la longitud del nombre del grupo, muchas aplicaciones truncan elnombre para que contenga 16 caracteres.

Password

Este campo no es compatible con OneFS y debería contener un asterisco (*).

GID

El ID de grupo UNIX. Entre los valores válidos, se incluye cualquier número dentrodel rango 0-4294967294 que no esté reservado ni ya asignado a un grupo. Losproblemas de compatibilidad ocurren si este valor entra en conflicto con un GIDde un grupo existente.

Group members

Una lista de nombres de usuario delimitados por comas.

Formato de archivo de netgroupUn archivo de netgroup se compone de uno o más netgroups, y cada uno puedecontener miembros. Los hosts, usuarios o dominios, que son miembros de unnetgroup, se especifican en un trío de miembros. Un netgroup también puede contenerotro netgroup.

Cada entrada en un archivo de netgroup se compone de un nombre de netgroup,seguido de un conjunto de tríos de miembros y nombres de netgroup anidadosdelimitados por un espacio. Si especifica un netgroup anidado, se debe definir en otralínea en el archivo.Un trío de miembros adopta el siguiente formato:

(<host>, <user>, <domain>)

Donde <host> es un marcador de posición correspondiente a un nombre de máquina,<user> es un marcador de posición de un nombre de usuario y <domain> es unmarcador de posición que corresponde a un nombre de dominio. Cualquiercombinación es válida, excepto un trío vacío: (,,).

El siguiente archivo de muestra se compone de dos netgroups. El netgroup rootgrpcuenta con cuatro hosts: dos hosts están definidos en tríos de miembros y dos hostsse encuentran en el netgroup othergrp anidado, definido en la segunda línea.

rootgrp (myserver, root, somedomain.com) (otherserver, root,somedomain.com) othergrpothergrp (other-win,, somedomain.com) (other-linux,, somedomain.com)

Autenticación

Formato de archivo de netgroup 137

Nota

Una nueva línea implica un nuevo netgroup. Para continuar una entrada de netgrouplarga en la siguiente línea, ingrese un carácter de barra invertida (\) en el extremoderecho de la primera línea.

Modificar un proveedor de archivosPuede modificar cualquier ajuste para un proveedor de archivos, excepto que no puedecambiar el nombre del proveedor de archivos del sistema.

Procedimiento


2. En la tabla File Providers, haga clic en View details en el proveedor cuyosajustes desea modificar.



Eliminar un proveedor de archivosPara dejar de utilizar un proveedor de archivos, puede eliminar todos los ajustes de suarchivo de reemplazo o puede eliminar permanentemente el proveedor.

Procedimiento


2. En la tabla File Providers, seleccione el nombre del proveedor.

3. Seleccione Delete de la lista Select an action.


Administración de usuarios y grupos localesCuando crea una zona de acceso, cada zona incluye un proveedor local que le permitecrear y administrar usuarios y grupos locales. Si bien puede ver los usuarios y gruposde cualquier proveedor de autenticación, puede crear, modificar y eliminar usuarios ygrupos solamente en el proveedor local.

Ver una lista de usuarios o grupos por proveedorEs posible ver los usuarios y los grupos de un proveedor de autenticación.

Procedimiento

1. Haga clic en Access > Membership & Roles.

2. Haga clic en una de las siguientes pestañas según lo que desee ver:


Usuarios Seleccione esta pestaña para ver todos los usuarios por proveedor.

Grupos Seleccione esta pestaña para ver todos los grupos por proveedor.

3. En la lista Current Access Zone, seleccione una zona de acceso.

Autenticación


4. Seleccione el proveedor local en la lista Providers.

Crear un usuario localCada zona de acceso incluye un proveedor local que le permite crear y administrarusuarios y grupos locales. Al crear una cuenta de usuario local, puede configurar sunombre, contraseña, directorio principal, identificador de usuario (UID) de UNIX, shellde inicio de sesión de UNIX y membresías al grupo.

Procedimiento

1. Haga clic en Access > Membership & Roles > Users.


3. En la lista Providers, seleccione el proveedor local para la zona.

4. Haga clic en Create User.

5. En el campo User Name, ingrese un nombre de usuario para la cuenta.

6. En el campo Password, ingrese una contraseña para la cuenta.

7. (Opcional) Configure los siguientes ajustes adicionales según sea necesario.


UID Si se deja en blanco este parámetro, el sistema asignaautomáticamente un UID para la cuenta. Esta es laconfiguración recomendada. No puede asignar un UID queesté en uso en otra cuenta de usuario local.

Full Name Ingrese un nombre completo para el usuario.

Email Address Ingrese una dirección de correo electrónico para la cuenta.

Primary Group Haga clic en Select group para especificar el grupo depropietarios mediante el cuadro de diálogo Select a PrimaryGroup.

a. Para ubicar un grupo en el proveedor local seleccionado,escriba un nombre de grupo o haga clic en Search.

b. Seleccione un grupo para volver a la ventana ManageUsers.

AdditionalGroups

Haga clic en Add group para especificar cualquier grupoadicional del cual hacer miembro a este usuario.

Home Ingrese la ruta al directorio principal del usuario. Si noespecifica una ruta, se crea automáticamente un directorioen /ifs/home/<username>.

UNIX Shell Esta configuración se aplica solo a usuarios que acceden alsistema de archivos a través del protocolo SSH. En la lista,seleccione un shell. De forma predeterminada, se seleccionael shell /bin/zsh.

AccountExpiration Date

Haga clic en el ícono de calendario para seleccionar la fechade vencimiento o ingrese la fecha de vencimiento en elcampo y luego escriba la fecha en el formato <mm>/<dd>/<yyyy>.

Autenticación

Crear un usuario local 139


Enable theaccount

Seleccione esta casilla de verificación para permitir al usuarioautenticarse en la base de datos local para los protocolosSSH, FTP, HTTP y CIFS a través de SMB. Esta opción no seutiliza para el uso compartido de archivos en UNIX a travésde NFS.

8. Haga clic en Create.

Crear un grupo localEn el proveedor local de una zona de acceso, puede crear grupos y asignarlesmiembros.

Procedimiento

1. Haga clic en Access > Membership & Roles > Groups.


3. En la lista Providers, seleccione el proveedor local para la zona.

4. Haga clic en Crear grupo.

5. En el campo Group Name, ingrese un nombre para el grupo.

6. (Opcional) Para reemplazar la asignación automática del ID de grupo (GID) deUNIX, ingrese un valor numérico en el campo GID.

Nota

No puede asignar un GID que esté en uso en otro grupo. Se recomienda dejareste campo en blanco para permitir que el sistema genere automáticamente elGID.

7. (Opcional) Por cada miembro que desee agregar al grupo, haga clic en AddMembers y realice las siguientes tareas en el cuadro de diálogo Select a User:

a. Use las opciones de búsqueda Users, Groups o Well-known SIDs.

b. Si selecciona Users o Groups, especifique valores en los siguientes campos:

User Name

Ingrese todo o parte de un nombre de usuario o deje el campo vacío paradevolver todos los usuarios. Se aceptan caracteres de comodín.

Group Name

Ingrese un nombre de grupo completo o parcial, o deje el campo vacíopara ver todos los usuarios. Se aceptan caracteres de comodín.

Provider

Seleccione un proveedor de autenticación.

c. Haga clic en Search.

d. En la tabla Search Results, seleccione un usuario y después haga clic enSelect.

Se cierra el cuadro de diálogo.

8. Haga clic en Crear grupo.

Autenticación


Reglas de asignación de nombres para los grupos y usuarios localesLos nombres de usuarios y grupos locales deben cumplir con las siguientes reglas deasignación para garantizar una autenticación apropiada y el acceso al clúster EMCIsilon.

Se deben seguir las reglas de asignación de nombres que se presentan a continuaciónpara la creación y modificación de usuarios y grupos locales:

l La longitud máxima del nombre es de 104 caracteres. Se recomienda que losnombres no excedan los 64 caracteres.

l Los nombres no pueden incluir los siguientes caracteres no válidos:" / \ [ ] : ; | = , + * ? < >

l Los nombres pueden incluir cualquier carácter especial que no se haya mencionadoen la lista de caracteres no válidos. Se recomienda que los nombres no incluyanespacios.

l Los nombres no distinguen mayúsculas de minúsculas.

Modificar un usuario localPuede modificar cualquier parámetro de una cuenta de usuario local, excepto elnombre de usuario.

Procedimiento



3. En la lista Users, seleccione el proveedor local para la zona de acceso.

4. En la lista de usuarios, ubique el usuario que desea actualizar y haga clic enView/Edit.

Aparecerá el cuadro de diálogo View User Details.

5. Haga clic en Edit User.

Aparecerá el cuadro de diálogo Edit User.

6. Actualice los ajustes que desee configurar.



Modificar un grupo localPuede agregar o eliminar miembros de un grupo local.

Procedimiento



3. En la lista de grupos, ubique el grupo que desea actualizar y haga clic en View/Edit.

Aparecerá el cuadro de diálogo View Group Details.

4. Haga clic en Edit Group.

Aparecerá el cuadro de diálogo Edit Group.

Autenticación

Reglas de asignación de nombres para los grupos y usuarios locales 141

5. En el área Members, haga clic en Add Members para agregar usuarios al grupo;o haga clic en Delete junto a un nombre de usuario para eliminarlo del grupo.



Eliminar un usuario localUn usuario eliminado no puede seguir accediendo al clúster a través de la interfaz de lalínea de comandos, la interfaz de administración web o el protocolo de acceso aarchivos. Cuando elimina una cuenta de usuario local, se conserva su directorioprincipal.

Procedimiento



3. En la lista Providers, seleccione el proveedor local de la zona de acceso.

4. En la lista de usuarios, busque el usuario que desea eliminar y haga clic enMore > Delete.

Aparecerá el cuadro de diálogo Confirm Delete.

5. Haga clic en Delete.

Eliminar un grupo localPuede eliminar un grupo local incluso si tiene miembros asignados; la eliminación de ungrupo no afecta los miembros de ese grupo.

Procedimiento



3. En la lista Providers, seleccione el proveedor local de la zona de acceso.

4. En la lista de grupos, ubique el grupo que desea eliminar y haga clic en More >

Delete.



Autenticación


CAPÍTULO 6

Funciones y privilegios administrativos


l Acceso basado en funciones............................................................................. 144l Roles.................................................................................................................144l Privilegios......................................................................................................... 148l Administración de funciones............................................................................. 157

Funciones y privilegios administrativos 143

Acceso basado en funcionesPuede asignar acceso basado en funciones para delegar tareas administrativas ausuarios específicos.

El control de acceso basado en funciones (RBAC) permite que cualquier usuario quepueda autenticarse en un clúster ejecute ciertas acciones administrativas. A lasfunciones las crea un administrador de seguridad, se les asignan privilegios y luegomiembros. Todos los administradores, incluidos aquellos con privilegios determinadospor una función, deben conectarse a la zona System para configurar el clúster. Cuandoestos miembros inician sesión en el clúster mediante una interfaz de configuración,cuentan con estos privilegios. Todos los administradores pueden establecer laconfiguración para zonas de acceso y controlan permanentemente todas las zonas deacceso en el clúster.

Las funciones también le permiten asignar privilegios a los grupos y usuarios miembro.De forma predeterminada, solamente el usuario raíz y el usuario administrador puedeniniciar sesión en la interfaz de administración web a través del protocolo HTTP o en lainterfaz de la línea de comandos mediante el protocolo SSH. Con las funciones, losusuarios raíz y administrador pueden asignar otros a funciones integradas opersonalizadas que cuenten con privilegios administrativos y de inicio de sesión paraque ejecuten tareas administrativas específicas.

Nota

Como mejor práctica, asigne usuarios a funciones que contengan el conjunto mínimode privilegios necesarios. A todos los efectos, la configuración de la política depermisos, la zona de acceso del sistema y las funciones integradas predeterminadasson suficientes. Puede crear políticas de administración de acceso basado enfunciones según sea necesario para su ambiente en particular.

RolesPuede permitir y limitar el acceso a áreas administrativas de su clúster EMC Isilon,usuario por usuario, mediante las funciones. OneFS incluye diversas funciones deadministrador integradas con conjuntos de privilegios predefinidos que no se puedenmodificar. También puede crear funciones personalizadas y asignar privilegios.

La siguiente lista describe qué puede hacer y qué no por medio de las funciones:

l Puede asignar privilegios a una función.

l Puede crear funciones personalizadas y asignar privilegios a esas funciones.

l Puede copiar una función existente.

l Puede agregar cualquier usuario o grupo de usuarios, incluidos grupos conocidos, auna función siempre y cuando los usuarios puedan autenticarse en el clúster.

l Puede agregar un usuario o un grupo a más de una función.

l No puede asignar privilegios directamente a usuarios o grupos.

Nota

Cuando OneFS se instala por primera vez, únicamente los usuarios con acceso de nivelde administrador o raíz pueden iniciar sesión y asignar usuarios a funciones.



Funciones personalizadasLas funciones personalizadas complementan las funciones integradas.

Puede crear funciones personalizadas y asignar privilegios mapeados a las áreasadministrativas en su ambiente de clústeres EMC Isilon. Por ejemplo, puede creardistintas funciones de administrador para la seguridad, la auditoría, elaprovisionamiento de almacenamiento y el respaldo.

Puede designar ciertos privilegios como de solo lectura o lectura/escritura al agregarel privilegio a una función. Puede modificar esta opción en cualquier momento paraagregar o quitar privilegios a medida que aumenten y cambien las responsabilidades delusuario.

Funciones incorporadasOneFS incluye funciones integradas en las que se configuraron los privilegios queprobablemente necesiten los usuarios para ejecutar funciones administrativascomunes. No se puede modificar la lista de privilegios asignados a cada funciónintegrada; sin embargo, sí pueden asignarse usuarios y grupos a funciones integradas.

Función incorporada SecurityAdminLa función incorporada SecurityAdmin permite la configuración de seguridad en elclúster, incluidos los proveedores de autenticación, los grupos y usuarios locales y lamembresía de la función.

Privilegios Acceso de lectura/escritura

ISI_PRIV_LOGIN_CONSOLE N/D

ISI_PRIV_LOGIN_PAPI N/D

ISI_PRIV_LOGIN_SSH N/D

ISI_PRIV_AUTH Lectura/escritura

ISI_PRIV_ROLE Lectura/escritura

Función incorporada SystemAdminLa función incorporada SystemAdmin permite la administración de toda laconfiguración del clúster que no maneja específicamente la función SecurityAdmin.





ISI_PRIV_SYS_SHUTDOWN N/D

ISI_PRIV_SYS_SUPPORT N/D

ISI_PRIV_SYS_TIME Lectura/escritura

ISI_PRIV_SYS_UPGRADE Lectura/escritura

ISI_PRIV_ANTIVIRUS Lectura/escritura


Funciones personalizadas 145


ISI_PRIV_AUDIT Lectura/escritura

ISI_PRIV_CLOUDPOOLS Lectura/escritura

ISI_PRIV_CLUSTER Lectura/escritura

ISI_PRIV_DEVICES Lectura/escritura

ISI_PRIV_EVENT Lectura/escritura

ISI_PRIV_FILE_FILTER Lectura/escritura

ISI_PRIV_FTP Lectura/escritura

ISI_PRIV_HARDENING Lectura/escritura

ISI_PRIV_HDFS Lectura/escritura

ISI_PRIV_HTTP Lectura/escritura

ISI_PRIV_JOB_ENGINE Lectura/escritura

ISI_PRIV_LICENSE Lectura/escritura

ISI_PRIV_MONITORING Lectura/escritura

ISI_PRIV_NDMP Lectura/escritura

ISI_PRIV_NETWORK Lectura/escritura

ISI_PRIV_NFS Lectura/escritura

ISI_PRIV_NTP Lectura/escritura

ISI_PRIV_QUOTA Lectura/escritura

ISI_PRIV_REMOTE_SUPPORT Lectura/escritura

ISI_PRIV_SMARTPOOLS Lectura/escritura

ISI_PRIV_SMB Lectura/escritura

ISI_PRIV_SNAPSHOT Lectura/escritura

ISI_PRIV_SNMP Lectura/escritura

ISI_PRIV_STATISTICS Lectura/escritura

ISI_PRIV_SWIFT Lectura/escritura

ISI_PRIV_SYNCIQ Lectura/escritura

ISI_PRIV_VCENTER Lectura/escritura

ISI_PRIV_WORM Lectura/escritura

ISI_PRIV_NS_TRAVERSE N/D

ISI_PRIV_NS_IFS_ACCESS N/D

Función AuditAdmin incorporadaLa función AuditAdmin incorporada le permite ver todos los ajustes de configuracióndel sistema.







ISI_PRIV_SYS_TIME Solo lectura

ISI_PRIV_SYS_UPGRADE Solo lectura

ISI_PRIV_ANTIVIRUS Solo lectura

ISI_PRIV_AUDIT Solo lectura

ISI_PRIV_CLOUDPOOLS Solo lectura

ISI_PRIV_CLUSTER Solo lectura

ISI_PRIV_DEVICES Solo lectura

ISI_PRIV_EVENT Solo lectura

ISI_PRIV_FILE_FILTER Solo lectura

ISI_PRIV_FTP Solo lectura

ISI_PRIV_HARDENING Solo lectura

ISI_PRIV_HDFS Solo lectura

ISI_PRIV_HTTP Solo lectura

ISI_PRIV_JOB_ENGINE Solo lectura

ISI_PRIV_LICENSE Solo lectura

ISI_PRIV_MONITORING Solo lectura

SI_PRIV_NDMP Solo lectura

ISI_PRIV_NETWORK Solo lectura

ISI_PRIV_NFS Solo lectura

ISI_PRIV_NTP Solo lectura

ISI_PRIV_QUOTA Solo lectura

ISI_PRIV_REMOTE_SUPPORT Solo lectura

ISI_PRIV_SMARTPOOLS Solo lectura

ISI_PRIV_SMB Solo lectura

ISI_PRIV_SNAPSHOT Solo lectura

ISI_PRIV_SNMP Solo lectura

ISI_PRIV_STATISTICS Solo lectura

ISI_PRIV_SWIFT Solo lectura

ISI_PRIV_SYNCIQ Solo lectura

ISI_PRIV_VCENTER Solo lectura

ISI_PRIV_WORM Solo lectura


Funciones incorporadas 147

Función incorporada BackupAdminLa función incorporada BackupAdmin permite el respaldo y la restauración de archivosde /ifs.


ISI_PRIV_IFS_BACKUP Solo lectura

ISI_PRIV_IFS_RESTORE Lectura/escritura

Función incorporada VMwareAdminLa función incorporada VMwareAdmin hace posible la administración remota delalmacenamiento necesaria para VMware vCenter.



ISI_PRIV_NETWORK Lectura/escritura

ISI_PRIV_SMARTPOOLS Lectura/escritura

ISI_PRIV_SNAPSHOT Lectura/escritura

ISI_PRIV_SYNCIQ Lectura/escritura

ISI_PRIV_VCENTER Lectura/escritura

ISI_PRIV_NS_TRAVERSE N/D

ISI_PRIV_NS_IFS_ACCESS N/D

PrivilegiosLos privilegios permiten a los usuarios completar tareas en un clúster EMC Isilon.

Los privilegios están asociados con un área de administración de clústeres, como elmotor de trabajos, el SMB o las estadísticas.

Los privilegios tienen una de estas dos formas:

Acción

Permite a un usuario realizar una acción específica en un clúster. Por ejemplo, elprivilegio ISI_PRIV_LOGIN_SSH permite al usuario iniciar sesión en un clúster através de un cliente de protocolo SSH.

Lectura/Escritura

Permite al usuario ver o modificar un subsistema de configuración, como lasestadísticas, los snapshots o las cuotas. Por ejemplo, el privilegioISI_PRIV_SNAPSHOT permite a un administrador crear y eliminar snapshots ycalendarios de snapshots. Un privilegio de lectura/escritura puede otorgar accesode solo lectura o de lectura/escritura. El acceso de solo lectura permite a unusuario ver la configuración; el acceso de lectura/escritura permite a un usuariover y modificar la configuración.

Los privilegios se otorgan al usuario cuando inicia sesión en un clúster mediante la APIde OneFS, la interfaz de administración web, el protocolo SSH o una sesión de



consola. Se genera un token para el usuario, que incluye una lista de todos losprivilegios otorgados a dicho usuario. Cada URI, comando y página de interfaz deadministración web requiere un privilegio específico para ver o modificar lainformación disponible mediante cualquiera de estas interfaces.

En algunos casos, no se podrán otorgar privilegios o existen limitaciones de privilegios.

l No se otorgan privilegios a los usuarios que no se conecten a la zona Systemdurante el inicio de sesión, o a los usuarios que se conectan a través del obsoletoservicio de Telnet, aun si son miembros de una función.

l Los privilegios no proporcionan acceso administrativo a rutas de configuraciónfuera de la API de OneFS. Por ejemplo, el privilegio ISI_PRIV_SMB no otorga a unusuario el derecho de configurar recursos compartidos de SMB medianteMicrosoft Management Console (MMC).

l Los privilegios no proporcionan acceso administrativo a todos los archivos deregistro. La mayoría de los archivos de registro requieren acceso raíz.

Privilegios de OneFS compatiblesLos privilegios que OneFS admite se categorizan por el tipo de acción o acceso que seotorga al usuario, como los privilegios de inicio de sesión, seguridad y configuración.

Privilegios de inicio de sesiónLos privilegios de inicio de sesión que se enumeran en la siguiente tabla permiten queel usuario realice acciones específicas u otorgue acceso de lectura o escritura a unárea de administración en el clúster EMC Isilon.

Privilege Descripción Tipo

ISI_PRIV_LOGIN_CONSOLE Permite iniciar sesión desde laconsola.

Acción

ISI_PRIV_LOGIN_PAPI Permite iniciar sesión en laAPI de la plataforma y en lainterfaz de administraciónweb.

Acción

ISI_PRIV_LOGIN_SSH Permite iniciar sesiónmediante el protocolo SSH.

Acción

Privilegios del sistemaLos privilegios de sistema que se enumeran en la siguiente tabla permiten que elusuario realice acciones específicas u otorgue acceso de lectura o de escritura a unárea de administración en el clúster EMC Isilon.


ISI_PRIV_SYS_SHUTDOWN Apague el sistema. Acción

ISI_PRIV_SYS_SUPPORT Permite ejecutar lasherramientas de diagnósticodel clúster.

Acción

ISI_PRIV_SYS_TIME Cambiar la hora del sistema. Lectura/escritura

ISI_PRIV_SYS_UPGRADE Actualiza el sistema OneFS. Lectura/escritura


Privilegios de OneFS compatibles 149

Privilegios de seguridadLos privilegios de seguridad que se enumeran en la siguiente tabla permiten que elusuario ejecute acciones específicas u otorgue acceso de lectura o escritura a un áreade administración en el clúster EMC Isilon.


ISI_PRIV_AUTH Permite configurar losproveedores de autenticaciónexternos.

Lectura/escritura

ISI_PRIV_ROLE Permite crear nuevasfunciones y asignarprivilegios.

Lectura/escritura

Privilegios de configuraciónLos privilegios de configuración que se enumeran en la siguiente tabla permiten que elusuario ejecute acciones específicas u otorgue acceso de lectura o escritura a un áreade administración en el clúster EMC Isilon.


ISI_PRIV_ANTIVIRUS Permite configurar el análisisantivirus.

Lectura/escritura

ISI_PRIV_AUDIT Permite configurar lasfuncionalidades de auditoría.

Lectura/escritura

ISI_PRIV_CLOUDPOOLS Permite configurarCloudPools.

Lectura/escritura

ISI_PRIV_CLUSTER Permite configurar laidentidad del clúster y losajustes generales.

Lectura/escritura

ISI_PRIV_DEVICES Permite crear nuevasfunciones y asignarprivilegios.

Lectura/escritura

ISI_PRIV_EVENT Permite ver y modificar loseventos del sistema.

Lectura/escritura

ISI_PRIV_FILE_FILTER Permite configurar los ajustesde filtrado de archivos.

Lectura/escritura

ISI_PRIV_FTP Permite configurar el servidorFTP.

Lectura/escritura

ISI_PRIV_HDFS Permite configurar el servidorHDFS.

Lectura/escritura

ISI_PRIV_HTTP Permite configurar el servidorHTTP.

Lectura/escritura

ISI_PRIV_JOB_ENGINE Permite calendarizar trabajosen todo el clúster.

Lectura/escritura




ISI_PRIV_LICENSE Permite activar licencias desoftware de OneFS.

Lectura/escritura

ISI_PRIV_MONITORING Permite registrar aplicacionesque monitorean el clúster.

Lectura/escritura

ISI_PRIV_NDMP Permite configurar el servidorNDMP.

Lectura/escritura

ISI_PRIV_NETWORK Permite configurar lasinterfaces de red.

Lectura/escritura

ISI_PRIV_NFS Permite configurar el servidorNFS.

Lectura/escritura

ISI_PRIV_NTP Permite configurar NTP. Lectura/escritura

ISI_PRIV_QUOTA Permite configurar cuotas delsistema de archivos.

Lectura/escritura

ISI_PRIV_REMOTE_SUPPORT

Permite configurar el soporteremoto.

Lectura/escritura

ISI_PRIV_SMARTPOOLS Configurar pools dealmacenamiento.

Lectura/escritura

ISI_PRIV_SMB Permite configurar el servidorSMB.

Lectura/escritura

ISI_PRIV_SNAPSHOT Permite calendarizar, tomar yver snapshots.

Lectura/escritura

ISI_PRIV_SNMP Permite configurar el servidorSNMP.

Lectura/escritura

ISI_PRIV_STATISTICS Permite ver estadísticas derendimiento del sistema dearchivos.

Lectura/escritura

ISI_PRIV_SWIFT Permite configurar Swift. Lectura/escritura

ISI_PRIV_SYNCIQ Permite configurar SyncIQ. Lectura/escritura

ISI_PRIV_VCENTER Permite configurar VMwarefor vCenter.

Lectura/escritura

ISI_PRIV_WORM Permite configurar directoriosde SmartLock.

Lectura/escritura

Privilegios de acceso a archivosLos privilegios de acceso a archivos que se presentan en la tabla siguiente permitenque el usuario realice acciones específicas o garantizan el acceso de lectura o deescritura a un área de administración en el clúster EMC Isilon.

Privilegio Descripción Tipo

ISI_PRIV_IFS_BACKUP Respaldar archivos de /ifs. Acción


Privilegios de OneFS compatibles 151

Privilegio Descripción Tipo

Nota

Este privilegio elude loscontroles de acceso aarchivos tradicionales, comolos bits de modo o ACL deNTFS.

ISI_PRIV_IFS_RESTORE Restaurar archivos de /ifs.

Nota

Este privilegio elude loscontroles de acceso aarchivos tradicionales, comolos bits de modo o ACL deNTFS.

Acción

ISI_PRIV_IFS_WORM_DELETE

Realiza una operación deeliminación con privilegios enlos archivos WORMconfirmados.

Nota

Si no inició sesión a través dela cuenta de usuario raíz,también debe tener elprivilegioISI_PRIV_NS_IFS_ACCESS.

Acción

Privilegios de espacio de nombresLos privilegios de espacio de nombres que se enumeran en la siguiente tabla permitenque el usuario realice acciones específicas u otorgue acceso de lectura o escritura a unárea de administración en el clúster EMC Isilon.


ISI_PRIV_NS_TRAVERSE Permite recorrer y ver losmetadatos del directorio.

Acción

ISI_PRIV_NS_IFS_ACCESS Permite acceder aldirectorio /ifs a través de la

API de OneFS.

Acción

Privilegios de respaldo y restauración de datosPuede asignar privilegios a un usuario dedicados explícitamente a acciones de respaldoy restauración de datos del clúster.

Dos privilegios permiten que un usuario respalde y restaure datos del clúster enprotocolos del lado del cliente compatibles: ISI_PRIV_IFS_BACKUP eISI_PRIV_IFS_RESTORE.



PRECAUCIÓN

Con estos privilegios, se omiten los controles de acceso a archivos tradicionales,como los bits de modo o las ACL de NTFS.

En cierto modo, la mayoría de los privilegios de clúster permiten cambios en laconfiguración de este. Los privilegios de respaldo y restauración permiten el acceso alos datos del clúster desde la zona System, el cruce de todos los directorios y lalectura de todos los metadatos y datos en archivos, independientemente de lospermisos de archivos.

Los usuarios que tienen asignados estos privilegios utilizan el protocolo como unprotocolo de respaldo de otra máquina, sin generar errores de acceso denegado y sinconectarse como el usuario raíz. Estos dos privilegios se admiten en los siguientesprotocolos del lado del cliente:

l SMB

l NFS

l API de OneFS

l FTP

l Protocolo SSH

En SMB, los privilegios ISI_PRIV_IFS_BACKUP e ISI_PRIV_IFS_RESTORE emulan losprivilegios de Windows SE_BACKUP_NAME y SE_RESTORE_NAME. La emulaciónimplica que los procedimientos normales para abrir un archivo están protegidosmediante permisos del sistema de archivos. Para habilitar los privilegios de respaldo yrestauración en el protocolo SMB, debe abrir los archivos con la opciónFILE_OPEN_FOR_BACKUP_INTENT, la cual se ejecuta de forma automáticamediante el software de respaldo de Windows, como Robocopy. La aplicación de laopción no es automática cuando los archivos se abren por medio de un software denavegación de archivos general, como Windows File Explorer.

Los privilegios ISI_PRIV_IFS_BACKUP y ISI_PRIV_IFS_RESTORE son compatiblesprincipalmente con las herramientas de respaldo de Windows, como Robocopy. Unusuario debe ser miembro de la función integrada BackupAdmin para acceder a todaslas funciones de Robocopy, como el copiado de DACL de archivos y metadatos deSACL.

Privilegios de la interfaz de la línea de comandosPuede ejecutar la mayoría de las tareas otorgadas por un privilegio mediante la interfazde la línea de comandos (CLI). Algunos comandos de OneFS requieren acceso de raíz.

Asignación de comando a privilegioCada comando de la CLI está asociado con un privilegio. Algunos comandos requierenacceso raíz.

Comando isi Privilege

isi antivirus ISI_PRIV_ANTIVIRUS

isi audit ISI_PRIV_AUDIT

isi auth, excepto isi auth roles ISI_PRIV_AUTH

isi auth roles ISI_PRIV_ROLE


Privilegios de la interfaz de la línea de comandos 153


isi batterystatus ISI_PRIV_DEVICES

isi cloud ISI_PRIV_CLOUDPOOLS

isi config raíz

isi dedupe, excepto isi dedupe stats ISI_PRIV_JOB_ENGINE

isi dedupe stats ISI_PRIV_STATISTICS

isi devices ISI_PRIV_DEVICES

isi email ISI_PRIV_CLUSTER

isi event ISI_PRIV_EVENT

isi fc ISI_PRIV_NDMP

isi file-filter ISI_PRIV_FILE_FILTER

isi filepool ISI_PRIV_SMARTPOOLS

isi ftp ISI_PRIV_FTP

isi get raíz

isi hardening ISI_PRIV_HARDENING

isi hdfs ISI_PRIV_HDFS

isi http ISI_PRIV_HTTP

isi job ISI_PRIV_JOB_ENGINE

isi license ISI_PRIV_LICENSE

isi ndmp ISI_PRIV_NDMP

isi network ISI_PRIV_NETWORK

isi nfs ISI_PRIV_NFS

ifs ntp ISI_PRIV_NTP

isi quota ISI_PRIV_QUOTA

isi readonly ISI_PRIV_DEVICES

isi remotesupport ISI_PRIV_REMOTE_SUPPORT

isi servicelight ISI_PRIV_DEVICES

isi services raíz

isi set raíz

isi smb ISI_PRIV_SMB

isi snapshot ISI_PRIV_SNAPSHOT

isi snmp ISI_PRIV_SNMP

isi statistics ISI_PRIV_STATISTICS

isi status ISI_PRIV_EVENTISI_PRIV_DEVICES

ISI_PRIV_JOB_ENGINE




ISI_PRIV_NETWORK

ISI_PRIV_SMARTPOOLS

ISI_PRIV_STATISTICS

isi storagepool ISI_PRIV_SMARTPOOLS

isi swift ISI_PRIV_SWIFT

isi sync ISI_PRIV_SYNCIQ

isi tape ISI_PRIV_NDMP

isi time ISI_PRIV_SYS_TIME

isi upgrade ISI_PRIV_SYS_UPGRADE

isi version ISI_PRIV_CLUSTER

isi worm, excepto isi worm files delete ISI_PRIV_WORM

isi worm files delete ISI_PRIV_IFS_WORM_DELETE

isi zone ISI_PRIV_AUTH

Mapeo de privilegios a comandosCada privilegio está asociado a uno o más comandos. Algunos comandos requierenacceso raíz.

Privilege Comandos isi

ISI_PRIV_ANTIVIRUS isi antivirus

ISI_PRIV_AUDIT isi audit

ISI_PRIV_AUTH isi auth - excepto isi auth roleisi zone

ISI_PRIV_CLOUDPOOLS isi cloud

ISI_PRIV_CLUSTER isi emailisi version

ISI_PRIV_DEVICES isi batterystatusisi devices

isi readonly

isi servicelight

isi status

ISI_PRIV_EVENT isi eventisi status

ISI_PRIV_FILE_FILTER isi file-filter

ISI_PRIV_FTP isi ftp

ISI_PRIV_HARDENING isi hardening

ISI_PRIV_HDFS isi hdfs


Privilegios de la interfaz de la línea de comandos 155

Privilege Comandos isi

ISI_PRIV_HTTP isi http

ISI_PRIV_JOB_ENGINE isi jobisi dedupe

isi status

ISI_PRIV_LICENSE isi license

ISI_PRIV_NDMP isi fcisi tape

isi ndmp

ISI_PRIV_NETWORK isi networkisi status

ISI_PRIV_NFS isi nfs

ISI_PRIV_NTP isi ntp

ISI_PRIV_QUOTA isi quota

ISI_PRIV_REMOTE_SUPPORT isi remotesupport

ISI_PRIV_ROLE isi auth role

ISI_PRIV_SMARTPOOLS isi filepoolisi storagepool

isi status

ISI_PRIV_SMB isi smb

ISI_PRIV_SNAPSHOT isi snapshot

ISI_PRIV_SNMP isi snmp

ISI_PRIV_STATISTICS isi statusisi statistics

isi dedupe stats

ISI_PRIV_SWIFT isi swift

ISI_PRIV_SYNCIQ isi sync

ISI_PRIV_SYS_TIME isi time

ISI_PRIV_SYS_UPGRADE isi upgrade

ISI_PRIV_WORM isi worm, excepto isi worm files delete

ISI_PRIV_IFS_WORM_DELETE isi worm files delete

raíz l isi config

l isi get

l isi services

l isi set



Administración de funcionesPuede ver, agregar o eliminar miembros de cualquier función. A excepción de lasfunciones integradas, cuyos privilegios no se pueden modificar, es posible agregar oeliminar privilegios de OneFS en cada función.

Nota

Las funciones adoptan a los usuarios y grupos como miembros. Si se agrega un grupoa una función, a todos los usuarios que son miembros de ese grupo se les asignan losprivilegios relacionados con la función. Asimismo, a los miembros de varias funcionesse les asignan los privilegios combinados de cada función.

Crear una función personalizadaPuede crear una función personalizada y agregarle privilegios y miembros.

Procedimiento

1. Haga clic en Access > Membership & Roles > Roles.

2. Haga clic en Create a Role.

3. En el campo Role Name, especifique un nombre para la función.

El nombre de la función debe seguir las convenciones de nomenclatura POSIX.Por ejemplo, el nombre de la función no debe contener espacios ni guiones.

4. En el campo Description, ingrese una descripción.

5. Haga clic en Add a member to this role para agregarle un miembro a la función.

6. Haga clic en Add a privilege to this role para asignarle derechos de acceso yprivilegios.

7. Haga clic en Create Role.

Modificar una funciónPuede modificar la descripción y el usuario o la membresía al grupo de cualquierfunción, incluidas las funciones integradas. Sin embargo, puede modificar el nombre ylos privilegios solo para las funciones personalizadas.

Procedimiento


2. En el área Roles, seleccione una función y haga clic en View / Edit.

Aparecerá el cuadro de diálogo View Role Details.

3. Haga clic en Edit Role y modifique los ajustes según corresponda en el cuadrode diálogo Edit Role Details.

4. Haga clic en Save Changes para volver al cuadro de diálogo View Role Details.


Copiar una funciónPuede copiar una función existente y agregar o quitar privilegios y miembros para esafunción según sea necesario.


Administración de funciones 157

Procedimiento


2. En el área Roles, seleccione una función y haga clic en More > Copy.

3. Modifique el nombre, la descripción, los miembros y los privilegios de la funciónsegún sea necesario.

4. Haga clic en Copy Role.

Agregar un privilegio a una función personalizadaPuede agregar privilegios a una función personalizada o quitárselos según seanecesario. Puede designar ciertos privilegios como de solo lectura o de lectura/escritura. No puede modificar los privilegios asignados a una función integrada. Repitaeste procedimiento para cada privilegio que desee agregar a una funciónpersonalizada.

Procedimiento

1. Haga clic en Add a privilege to this role en el cuadro de diálogo para crear,copiar o editar una función.

2. En el cuadro de diálogo Add a privilege to this role, seleccione un tipo deacceso para la función.

3. Seleccione un privilegio de la lista.

4. Haga clic en Add Privilege.

Agregar un miembro a una funciónPuede agregar uno o más miembros a una función cuando crea, copia o modifica lafunción. Un usuario o un grupo pueden ser miembros de más de una función. Losprivilegios asociados a una función se otorgan a todos los miembros de esa función.Repita este procedimiento para agregar más miembros a la función.

Procedimiento

1. Haga clic en Add a member to this role en el cuadro de diálogo para crear,copiar o editar una función.

2. En el cuadro de diálogo Select a User, seleccione una de las siguientesopciones:

l Usuarios

l Groups

l Well-known SIDs

3. Si seleccionó Users o Groups, ubique al usuario o grupo a través de uno de lossiguientes métodos:

l Ingrese el nombre de usuario o el nombre de grupo que desea buscar en elcampo de texto.

l Seleccione el proveedor de autenticación que desea buscar en la listaProvider. Aparecen solamente los proveedores que estén actualmenteconfigurados y habilitados en el clúster.

4. Haga clic en Search.

5. Seleccione un nombre de usuario, un nombre de grupo o un SID reconocido delos resultados de búsqueda para agregar como miembros de la función.



6. Haga clic en Select.

Eliminar una función personalizadaLa eliminación de una función personalizada no afecta los privilegios ni los usuarios queestán asignados a ella. No puede eliminar las funciones integradas.

Procedimiento


2. En el área Roles, seleccione una o más funciones y luego realice una de lassiguientes acciones:

l Para eliminar una sola función, haga clic en More > Delete en la columnaActions para la función seleccionada.

l Para eliminar varias funciones, seleccione Delete Selection en la lista Selecta bulk action.


Ver una funciónPuede ver información sobre las funciones integradas y personalizadas.

Procedimiento


2. En el área Roles, seleccione una función y haga clic en View / Edit.

3. En el cuadro de diálogo View Role Details, consulte la información sobre lafunción.

4. Haga clic en Close para volver a la página Membership & Roles.

Ver privilegiosPuede ver los privilegios de usuario.

Este procedimiento debe realizarse a través de la interfaz de la línea de comandos(CLI). Puede ver una lista de sus privilegios o los privilegios de otro usuario a través delos siguientes comandos:

Procedimiento


2. Para ver los privilegios, ejecute uno de los siguientes comandos.

l Para ver una lista de todos los privilegios, ejecute el siguiente comando:

isi auth privileges --verbose

l Para ver una lista de sus privilegios, ejecute el siguiente comando:

isi auth id


Eliminar una función personalizada 159

l Para ver una lista de los privilegios de otro usuario, ejecute el siguientecomando, donde <user> es un marcador de posición para otro usuario con sunombre:

isi auth mapping token <user>



CAPÍTULO 7

Administración de identidades


l Descripción general de la administración de VCE.............................................. 162l Tipos de identidad.............................................................................................162l Tokens de acceso............................................................................................. 163l Generación de token de acceso........................................................................ 164l Administrar mapeos de ID.................................................................................. 171l Administración de las identidades de usuario.................................................... 174

Administración de identidades 161

Descripción general de la administración de VCEEn ambientes con distintos tipos de servicios de directorio, OneFS mapea los usuariosy grupos de los diferentes servicios para proporcionar una sola identidad unificada enun clúster EMC Isilon y control de acceso uniforme a archivos y directorios,independientemente del protocolo entrante. Este proceso se denomina mapeo deidentidad.

Los clústeres Isilon se implementan frecuentemente en ambientes multiprotocolo convarios tipos de servicios de directorio, como Active Directory y LDAP. Cuando unusuario con cuentas en varios servicios de directorio inicia sesión en un clúster, OneFScombina los privilegios e identidades del usuario de todos los servicios de directoriopara formar un token de acceso nativo.

Puede configurar OneFS para que incluya una lista de reglas para la manipulación detokens de acceso a fin de controlar los privilegios e identidad del usuario. Por ejemplo,puede configurar una regla de mapeo de usuario de modo que fusione una identidad deActive Directory y una de LDAP para formar un solo token que se encargue del accesoa los archivos almacenados en SMB y NFS. El token puede incluir grupos de ActiveDirectory y LDAP. Las reglas de mapeo que cree pueden resolver problemas deidentidad mediante la manipulación de tokens de acceso de diversas formas, incluidoslos siguientes ejemplos:

l Autenticar un usuario con Active Directory, pero con una identidad de UNIX.

l Seleccionar un grupo primario entre distintas alternativas en Active Directory oLDAP.

l Anular el inicio de sesión de usuarios que no existen ni en Active Directory ni enLDAP.

Para obtener más información sobre la administración de identidades, consulte elinforme técnico Administración de identidades con el servicio de mapeo de usuarios deOneFS de Isilon en el servicio de soporte en línea de EMC.

Tipos de identidadOneFS es compatible con tres tipos de identidad principales, los cuales se puedenalmacenar directamente en el sistema de archivos. Los tipos de identidad son elidentificador de usuario y de grupo para UNIX y el identificador de seguridad paraWindows.

Cuando inicia sesión en un clúster EMC Isilon, el mapeador de usuarios amplía suidentidad para incluir sus otras identidades de todos los servicios de directorio,incluidos Active Directory, LDAP y NIS. Después de que OneFS mapea sus identidadesa los servicios de directorio, genera un token de acceso que incluye la información deidentidad asociada con sus cuentas. Un token incluye los siguientes identificadores:

l Un identificador de usuario (UID) de UNIX y un identificador de grupo (GID). UnUID o GID es un número de 32 bits con un valor máximo de 4,294,967,295.

l Un identificador de seguridad (SID) para una cuenta de usuario de Windows. UnSID es una serie de autoridades y subautoridades que finalizan con un identificadorrelativo (RID) de 32 bits. La mayoría de los SID tienen la forma S-1-5-21-<A>-<B>-<C>-<RID>, donde <A>, <B> y <C> son específicos de un dominio o de unacomputadora, y <RID> indica el objeto en el dominio.

l Un SID de grupo primario para una cuenta de grupo de Windows.



l Una lista de identidades adicionales, incluidos todos los grupos a los que perteneceel usuario.

El token también contiene privilegios que derivan del control de acceso basado en lafunción administrativa.

En un clúster Isilon, los archivos contienen permisos, los cuales aparecen como unalista de control de acceso (ACL). La ACL controla el acceso a los directorios, a losarchivos y a otros objetos del sistema que se deben proteger.

Cuando un usuario intenta acceder a un archivo, OneFS compara las identidades en eltoken de acceso del usuario con la ACL del archivo. OneFS otorga acceso cuando laACL del archivo incluye una entrada de control de acceso (ACE) que permite que laidentidad del token acceda al archivo y que no incluye una ACE que deniegue el accesode la identidad. OneFS compara el token de acceso de un usuario con la ACL de unarchivo.

Nota

Para obtener más información sobre las listas de control de acceso, incluida unadescripción de los permisos y la manera en que estos corresponden a los bits de modoPOSIX, consulte el informe técnico titulado Acceso multiprotocolo a datos de EMC Isiloncon un modelo de seguridad unificado en el sitio web del servicio de soporte en línea deEMC.

Cuando se proporciona un nombre como identificador, se convierte en el objetocorrespondiente del usuario o del grupo y en el tipo de identidad correcto. Puedeingresar o mostrar un nombre de diferentes maneras:

l UNIX adopta espacios de nombres únicos que distinguen mayúsculas deminúsculas para usuarios y grupos. Por ejemplo, Name y name representan objetosdiferentes.

l Windows proporciona un solo espacio de nombres que distingue mayúsculas deminúsculas para todos los objetos, además de especificar un prefijo destinado a undominio de Active Directory, como domain\name.

l Kerberos y NFSv4 definen entidades de seguridad, las cuales requieren que losnombres presenten el mismo formato que las direcciones de correo electrónico,como [email protected].

Varios nombres pueden hacer referencia al mismo objeto. Por ejemplo, si el nombre essupport y el dominio es example.com, support, EXAMPLE\support [email protected] son todos nombres de un solo objeto en Active Directory.

Tokens de accesoSe crea un token de acceso cuando el usuario solicita acceso por primera vez.

Los tokens de acceso representan la identidad del usuario cuando realiza acciones enel clúster y proporcionan las identidades de grupo y del propietario principal durante lacreación de archivos. Los tokens de acceso también se comparan con la ACL o con losbits de modo durante las comprobaciones de autorización.

Durante la autorización del usuario, OneFS compara el token de acceso que se generadurante la conexión inicial con los datos de autorización en el archivo. Todos losmapeos de usuario e identidad ocurren durante la generación del token; no se realizanmapeos durante la evaluación de los permisos.

Un token de acceso incluye todos los UID, GID y SID para una identidad, además detodos los privilegios de OneFS. OneFS lee la información del token para determinar siun usuario ha accedido a un recurso. Es importante que el token contenga la lista


Tokens de acceso 163

correcta de UID, GID y SID. Un token de acceso se crea a partir de uno de lossiguientes orígenes:

Origen Autenticación

Nombre de usuario l Usuario suplantado por SMB

l NFSv3 kerberizado

l NFSv4 kerberizado

l Mapeo de usuarios de la exportación deNFS

l HTTP

l FTP

l HDFS

Certificado de atributos de privilegios (PAC) l SMB NTLM

l Kerberos de Active Directory

Identificador de usuario (UID) l Mapeo de NFS AUTH_SYS

Generación de token de accesoEn el caso de la mayoría de los protocolos, el token de acceso se genera a partir delnombre de usuario o de los datos de autorización que se recuperan durante laautenticación.

Los siguientes pasos presentan una descripción general simplificada del complejoproceso por medio del cual se genera el token de acceso:

Paso 1: Búsqueda de identidad de usuario

Con la identidad inicial, se busca al usuario en todos los proveedores deautenticación configurados en la zona de acceso, en el orden en que se muestran.La identidad del usuario y la lista de grupos se recuperan del proveedor que realizala autenticación. Posteriormente, se buscan membresías en otros grupos queindican el usuario y el grupo para los demás proveedores de autenticación. Todosestos SID, UID y GID se agregan al token inicial.

Nota

Ocurre una excepción a este comportamiento si el proveedor de Active Directoryestá configurado para llamar a otros proveedores, como LDAP o NIS.

Paso 2: Mapeo de ID

Los identificadores del usuario están asociados en servicios de directorio. Todoslos SID se convierten en su UID/GID equivalente y viceversa. Estos mapeos de IDtambién se añaden al token de acceso.

Paso 3: Mapeo de usuarios

Los tokens de acceso de otros servicios de directorio están combinados. Si elnombre de usuario coincide con alguna de las reglas de mapeo de usuarios, lasreglas se procesan en orden y se actualiza el token correspondiente.



Paso 4: Cálculo de identidad en disco

La identidad en disco predeterminada se calcula con el token final y con laconfiguración global. Estas identidades se utilizan para los archivos creadosrecientemente.

Mapeo de IDEl servicio de mapeo de identidades (ID) mantiene la información de las relacionesentre los identificadores de Windows y UNIX mapeados a fin de brindar un control deacceso uniforme a los protocolos de uso compartido de archivos dentro una zona deacceso.

Nota

El mapeo de ID y el mapeo de usuarios son servicios diferentes, a pesar de la similituden sus nombres.

Durante la autenticación, el demonio de autenticación requiere los mapeos deidentidad del servicio de mapeo de ID para crear tokens de acceso. A pedido, elservicio de mapeo de ID arroja identificadores de Windows mapeados a identificadoresde UNIX o identificadores de UNIX mapeados a identificadores de Windows. Cuandoun usuario se autentica en un clúster mediante NFS con un UID o GID, el servicio demapeo de ID arroja el SID de Windows mapeado, lo cual otorga acceso a los archivosque otro usuario almacenó mediante SMB. Cuando un usuario se autentica en unclúster mediante SMB con un SID, el servicio de mapeo de ID arroja el UID y GID deUNIX mapeado, lo cual otorga acceso a los archivos que un cliente UNIX almacenómediante NFS.

Los mapeos entre UID o GID y SID se almacenan según la zona de acceso en una basede datos distribuida en clústeres denominada mapeo de ID. Cada mapeo del mapeo deID se almacena como una relación unidireccional desde el tipo de identidad de origenhasta el de destino. Los mapeos bidireccionales se almacenan como mapeosunidireccionales complementarios.

Mapeo de ID de Windows a ID de UNIXCuando un usuario de Windows se autentica con un SID, el demonio de autenticaciónbusca en el proveedor Active Directory externo al usuario o grupo asociado con el SID.Si el usuario o grupo solo tiene un SID en Active Directory, el demonio deautenticación solicita un mapeo del servicio de mapeo de ID.

Nota

Es posible que las búsquedas de usuarios o grupos se encuentren deshabilitadas olimitadas, dependiendo de la configuración de Active Directory. Puede habilitar laconfiguración de búsquedas de usuarios y grupos mediante el comando isi authads modify.

Si el servicio de mapeo de ID no ubica ni arroja un mapeo de UID o GID en el mapa deID, el demonio de autenticación busca en otros proveedores de autenticación externosconfigurados en la misma zona de acceso a un usuario que coincida con el nombre delusuario de Active Directory.

Si se encuentra un nombre de usuario coincidente en otro proveedor externo, eldemonio de autenticación agrega el UID o el GID del usuario coincidente al token deacceso del usuario de Active Directory, y el servicio de mapeo de ID crea un mapeo


Mapeo de ID 165

entre el UID o GID y el SID del usuario de Active Directory en el mapa de ID. Esto seconoce como mapeo externo.

Nota

Cuando un mapeo externo se almacena en el mapa de ID, el UID se especifica como laidentidad en disco de ese usuario. Cuando el servicio de mapeo de ID almacena unmapeo generado, el SID se especifica como la identidad en disco.

Si no se encuentra un nombre de usuario coincidente en otro proveedor externo, eldemonio de autenticación asigna un UID o GID del rango de mapeo de ID al SID delusuario de Active Directory, y el servicio de mapeo de ID almacena el mapeo en elmapa de ID. Esto se conoce como mapeo generado. El rango de mapeo de ID es unpool de UID y GID asignado en la configuración del mapeo.

Después de la creación de un mapeo de un usuario, el demonio de autenticaciónrecupera el UID o el GID almacenado en el mapa de ID tras búsquedas subsiguientesdel usuario.

Mapeo de ID de UNIX a ID de WindowsEl servicio de mapeo de ID crea mapeos temporales de UID a SID y de GID a SIDsolamente si no existen mapeos. Los SID de UNIX generados a partir de estos mapeosnunca se almacenan en el disco.

Los UID y GID tienen un conjunto de mapeos predefinidos desde y hacia los SID.

Si se solicita un mapeo de UID a SID o de GID a SID durante la autenticación, elservicio de mapeo de ID genera un SID de UNIX temporal en el formato S-1-22-1-<UID> o S-1-22-2-<GID> mediante la aplicación de las siguientes reglas:

l Para los UID, el servicio de mapeo de ID genera un SID de UNIX con un dominio deS-1-22-1 y un ID de recurso (RID) que coincide con el UID. Por ejemplo, el SID deUNIX para el UID 600 es S-1-22-1-600.

l Para los GID, el servicio de mapeo de ID genera un SID de UNIX con un dominio deS-1-22-2 y un RID que coincide con el GID. Por ejemplo, el SID de UNIX para el GID800 es S-1-22-2-800.

Rangos de mapeo de IDEn las zonas de acceso con varios proveedores de autenticación externos, comoActive Directory y LDAP, es importante que los UID y GID de diferentes proveedoresconfigurados en la misma zona de acceso no se superpongan. La superposición de UIDy GID entre proveedores dentro de una zona de acceso puede provocar que algunosusuarios obtengan acceso a los directorios y archivos de otros usuarios.

El rango de UID y GID que se puede asignar a mapeos generados se puede configuraren cada zona de acceso mediante el comando isi auth settings mappingsmodify. El rango predeterminado de UID y GID es 1000000-2000000 en cada zonade acceso.

No incluya UID y GID que se usen frecuentemente en sus rangos de ID. Por ejemplo,los UID y GID inferiores a 1,000 están reservados para cuentas del sistema y no debenasignarse a usuarios ni a grupos.

Mapeo de usuariosEl mapeo de usuarios ofrece una manera de controlar los permisos especificando losidentificadores de seguridad, los identificadores de usuario y los identificadores de



grupo de un usuario. OneFS usa los identificadores para comprobar la propiedad de losarchivos o grupos.

Con la función de mapeo de usuarios, puede aplicar reglas para modificar la identidadde usuario que usa OneFS, agregar identidades de usuario adicionales y modificar lamembresía de grupo de un usuario. El servicio de mapeo de usuarios combina lasidentidades de un usuario provenientes de diferentes servicios de directorio en un solotoken de acceso y luego lo modifica según las reglas creadas.

Nota

Puede configurar las reglas de mapeo por zona. Las reglas de mapeo se debenconfigurar de forma independiente en cada zona de acceso que las use. OneFS mapeaa los usuarios únicamente durante el acceso por medio del inicio de sesión o a travésde protocolos.

Mapeos de usuarios predeterminadosLos mapeos de usuarios predeterminados determinan el acceso si no se crean reglasexplícitas de mapeo de usuarios.

Si no configura ninguna regla, un usuario que se autentique con un servicio dedirectorio recibe la información de identidad en otros servicios de directorio cuando losnombres de cuentas son los mismos. Por ejemplo, un usuario que se autentique con undominio de Active Directory como Desktop\jane recibirá automáticamente identidadesen el token de acceso final para la cuenta de usuario de UNIX para jane desde LDAP oNIS.

En el escenario más habitual, OneFS está conectado a dos servicios de directorio:Active Directory y LDAP. En tal caso, el mapeo predeterminado proporciona un usuariocon los siguientes atributos de identidad:

l Un UID desde LDAP

l El SID de usuario desde Active Directory

l Un SID desde el grupo predeterminado de Active Directory

Los grupos del usuario provienen de Active Directory y LDAP, con el GID de grupoautogenerado y los grupos de LDAP agregados a la lista. Para extraer los grupos deLDAP, el servicio de mapeo consulta el atributo memberUid. El directorio principal delusuario, GECOS y el shell provienen de Active Directory.

Elementos de las reglas de mapeo de usuariosPuede combinar operadores con nombres de usuarios para crear una regla de mapeode usuarios.

Los siguientes elementos afectan cómo el mapeador de usuarios aplica una regla:

l El operador, que determina la operación que realiza una regla

l Los campos para nombres de usuario

l Opciones

l Parámetro de instancia

l Comodines

Mejores prácticas de mapeo de usuariosPuede seguir las mejores prácticas para simplificar el mapeo de usuarios.


Mapeo de usuarios 167

Use Active Directory con RFC 2307 y Windows Services para UNIX

Use Microsoft Active Directory con Windows Services para UNIX y los atributosde RFC 2307 a fin de administrar los sistemas Linux, UNIX y Windows. Laintegración de los sistemas UNIX y Linux con Active Directory centraliza laadministración de identidades y facilita la interoperabilidad, lo cual reduce lanecesidad de contar con reglas de mapeo de usuarios. Verifique que suscontroladores de dominio ejecuten Windows Server 2003 o versiones posteriores.

Implemente una estrategia de nombre de usuario coherente

Las configuraciones más simples nombran a los usuarios de forma coherente, demodo que cada usuario de UNIX se corresponda con un usuario de Windows conun nombre similar. Esta convención permite que las reglas con caracterescomodín coincidan con los nombres y los asignen sin especificar explícitamentecada par de cuentas.

No utilice rangos de ID que se superpongan

En redes con varios orígenes de identidad, como LDAP y Active Directory con losatributos de RFC 2307, debe verificar que los rangos de UID y GID no sesuperpongan. También es importante que el rango desde el cual OneFSautomáticamente asigna UID y GID no se superponga con cualquier otro rango deID. OneFS automáticamente asigna UID y GID del rango 1,000,000-2,000,000. Silos UID y GID se superponen con varios servicios de directorio, es posible quealgunos usuarios obtengan acceso a los archivos y directorios de otros usuarios.

Evite UID y GID comunes

No incluya UID y GID que se usen frecuentemente en sus rangos de ID. Porejemplo, los UID y GID inferiores a 1,000 están reservados para cuentas desistema; no los asigne a usuarios o grupos.

No use UPN en reglas de mapeo

No puede usar un nombre principal de usuario (UPN) en una regla de mapeo deusuario. Un UPN es un nombre de usuario y dominio de Active Directorycombinados para formar un nombre con el formato de Internet y un símbolo @,como una dirección de correo electrónico: juan@ejemplo. Si incluye un UPN enuna regla, el servicio de mapeo lo ignora y puede generar un error. En su lugar,especifique los nombres en el formato DOMAIN\user.com.

Agrupe las reglas según el tipo y ordénelas

El sistema procesa cada regla de mapeo de forma predeterminada, lo cual puedepresentar problemas al aplicar una regla de denegación total, como por ejemplo,para denegar el acceso a todos los usuarios desconocidos. Además, las reglas dereemplazo pueden interactuar con reglas que contengan caracteres comodín.Para minimizar la complejidad, se recomienda agrupar las reglas según el tipo yorganizarlas en el siguiente orden:

1. Reglas de reemplazo: Primero especifique todas las reglas que reemplazanuna identidad para garantizar que OneFS reemplace todas las instancias de laidentidad.

2. Reglas de unión, adición e inserción: Una vez establecidos los nombresmediante operaciones de reemplazo, especifique las reglas de unión, adición einserción para agregar identificadores adicionales.

3. Reglas de autorización y denegación: Por último, especifique las reglas quepermiten o deniegan el acceso.



Nota

Detenga todo el procesamiento antes de aplicar una regla de denegaciónpredeterminada. Para hacerlo, cree una regla que se corresponda con losusuarios autorizados, pero que no haga nada, como un operador de adición sinopciones de campo, y que cuente con la opción break. Después de enumerarlos usuarios autorizados, puede ejecutar una denegación genérica al final parareemplazar los usuarios sin par con un usuario en blanco.

Para evitar que se omitan reglas explícitas, en cada grupo de reglas, coloque lasreglas explícitas antes de las reglas que contienen caracteres comodín.

Agregue el grupo primario NIS o LDAP a los grupos complementarios

Cuando un clúster Isilon se conecta a Active Directory y LDAP, una de las mejoresprácticas es agregar el grupo primario LDAP a la lista de grupos complementarios.Esto permite que OneFS respete los permisos de grupo en archivos creados enNFS o que hayan migrado de otros sistemas de almacenamiento UNIX. Serecomienda esta misma práctica cuando un clúster Isilon se conecta tanto aActive Directory como a NIS.

Identidad en discoUna vez que el mapeador de usuarios resuelve las identidades de un usuario, OneFS leasigna un identificador dominante, que corresponde a la identidad en discorecomendada.

OneFS almacena identidades UNIX o Windows en metadatos de archivos en el disco.Los tipos de identidad en disco son UNIX, SID y nativa. Las identidades se definencuando se crea un archivo o cuando se modifican los datos de control de acceso de unarchivo. Casi todos los protocolos requieren algún nivel de mapeo para funcionar demanera adecuada, por lo cual es importante elegir la identidad recomendada que sealmacenará en el disco. Puede configurar OneFS para almacenar la identidad de UNIXo de Windows. También puede permitir que OneFS determine la identidad óptima quese almacenará.

Los tipos de identidad en disco son UNIX, SID y nativa. Aunque puede cambiar el tipode identidad en disco, la identidad nativa es la mejor opción para una red con sistemasUNIX y Windows. En el modo de identidad en disco nativa, se puede configurar el UIDcomo la identidad en disco para mejorar el rendimiento de NFS.

Nota

La identidad en disco SID se aplica a una red homogénea de sistemas de Windowsadministrada únicamente por Active Directory. Al realizar una actualización de unaversión anterior a OneFS 6.5, la identidad en disco se establece como UNIX. Al realizaruna actualización de la versión 6.5 o una superior, se conserva la configuración de laidentidad en disco. En las instalaciones nuevas, la identidad en disco se establececomo nativa.

El tipo de identidad en disco nativa permite que el demonio de autenticación de OneFSseleccione la identidad correcta que se almacenará en el disco mediante lacomprobación de los tipos de mapeo de identidades en el siguiente orden:


Identidad en disco 169

Pedido Tipo de mapeo Descripción

1 Mapeo algorítmico Un SID que coincide conS-1-22-1-UID o S-1-22-2-GIDen la base de datos de mapeode ID interna se vuelve aconvertir en la identidad UNIXcorrespondiente, y el UID y elGID se establecen como laidentidad en disco.

2 Mapeo externo Un usuario con un UIDexplícito y un GID definido enun servicio de directorio(como Active Directory conatributos de RFC 2307, LDAP,NIS, el proveedor de archivosOneFS o el proveedor local)tiene la identidad UNIXestablecida como la identidaden disco.

3 Mapeo persistente Los mapeos se almacenancontinuamente en la base dedatos del mapeador deidentidades. Una identidadcon mapeo persistente en labase de datos del mapeadorde identidades usa el destinode ese mapeo como laidentidad en disco, lo queocurre principalmente con losmapeos manuales de ID. Porejemplo, si se mapeara GID:10000 a S-1-5-32-545, unasolicitud de almacenamientoen disco de GID:10000arrojaría S-1-5-32-545.

4 Sin mapeo Si un usuario carece de unUID o un GID incluso despuésde consultar los otrosservicios de directorio y basesde datos de identidades, suSID se establece como laidentidad en disco. Además,para garantizar que un usuariopueda acceder a los archivosa través de NFS, OneFSasigna un UID y un GID de unrango preestablecido de1,000,000 a 2,000,000. En elmodo de identidad en disconativa, los UID o GID quegenera OneFS nunca seestablecen como la identidaden disco.



Nota

Si cambia el tipo de identidad en disco, debería ejecutar el trabajo PermissionRepair enmodo de conversión para asegurarse de que la representación del disco de todos losarchivos sea coherente con la configuración modificada.

Administrar mapeos de IDPuede crear, modificar y eliminar mapeos de identidad y configurar los ajustes delmapeo de ID.

Crear un mapeo de identidadPuede crear un mapeo de identidad manual entre las identidades de origen y dedestino o generar automáticamente un mapeo para una identidad de origen.


Procedimiento


2. Ejecute el comando isi auth mapping create.

El siguiente comando especifica los ID de origen e identidades de destino en lazona de acceso zone3 para crear un mapeo bidireccional entre las identidades:

isi auth mapping create --2way --source-sid=S-1-5-21-12345 \--target-uid=5211 --zone=zone3

Modificar un mapeo de identidadPuede modificar la configuración de un mapeo de identidad.


Procedimiento


2. Ejecute el comando isi auth mapping modify.

El siguiente comando modifica el mapeo del usuario con el UID 4236 en la zonade acceso zone3 para incluir un mapeo bidireccional e inverso entre lasidentidades de origen y de destino:

isi auth mapping modify --source-uid=4236 \--target-sid=S-1-5-21-12345 --zone=zone3 --2way

Eliminar un mapeo de identidadPuede eliminar uno o más mapeos de identidad.



Administrar mapeos de ID 171

Procedimiento


2. Ejecute el comando isi auth mapping delete.

El siguiente comando elimina todos los mapeos de identidad en la zona deacceso zone3:

isi auth mapping delete --all --zone=zone3

El siguiente comando elimina todos los mapeos de identidad en la zona deacceso zone3 que se hayan creado de forma automática y que incluyan un UID oGID de una fuente de autenticación externa:

isi auth mapping delete --all --only-external --zone=zone3

El siguiente comando elimina el mapeo de identidad del usuario con el UID 4236en la zona de acceso zone3:

isi auth mapping delete --source-uid=4236 --zone=zone3

Ver un mapeo de identidadPuede mostrar la información de mapeo de una identidad específica.


Procedimiento


2. Ejecute el comando isi auth mapping view.

El siguiente comando muestra los mapeos de un usuario con el UID 4236 en lazona de acceso zone3:

isi auth mapping view --uid=4236 --zone=zone3


Name: user_36 On-disk: UID: 4236Unix uid: 4236Unix gid: -100000 SMB: S-1-22-1-4236

Vaciar la caché de mapeo de identidadesPuede vaciar la caché de mapeo de ID para eliminar las copias en memoria de todos losmapeos de identidad o de uno específico.

La modificación de los mapeos de ID puede causar la desincronización de la caché y losusuarios podrían experimentar lentitud o estancamientos durante la autenticación. Esposible vaciar la caché para sincronizar las asignaciones.




Procedimiento


2. Ejecute el comando isi auth mapping flush.

El siguiente comando vacía todos los mapeos de identidad del clúster EMCIsilon:

isi auth mapping flush --all

El siguiente comando vacía el mapeo de un usuario con el UID 4236 en la zonade acceso zone3:

isi auth mapping flush --source-uid-4236 --zone=zone3

Ver un token de usuarioPuede ver los contenidos de un token de acceso generado para un usuario durante laautenticación.


Procedimiento


2. Ejecute el comando isi auth mapping token.

El siguiente comando muestra el token de acceso de un usuario con el UID 4236en la zona de acceso zone3:

isi auth mapping token --uid=4236 --zone=zone3


User Name: user_36 UID: 4236 SID: S-1-22-1-4236 On Disk: 4236ZID: 3Zone: zone3Privileges: -Primary Group Name: user_36 GID: 4236 SID: S-1-22-2-4236 On Disk: 4236

Configurar los ajustes del mapeo de identidadesPuede habilitar o deshabilitar la asignación automática de UID y GID y personalizar elrango de los valores de ID en cada zona de acceso. El rango predeterminado es1000000-2000000.



Ver un token de usuario 173

Procedimiento


2. Ejecute el comando isi auth settings mapping modify.

El siguiente comando habilita la asignación automática de UID y GID en la zonade acceso zone3 y establece sus rangos de asignación de 25000 a 50000:

isi auth settings mapping modify --gid-range-enabled=yes \--gid-range-min=25000 --gid-range-max=50000 --uid-range-enabled=yes \--uid-range-min=25000 --uid-range-max=50000 --zone=zone3

Ver la configuración del mapeo de identidadesPuede ver la configuración actual de los ajustes de mapeo de identidades en cadazona.


Procedimiento


2. Ejecute el comando isi auth settings mapping view.

El siguiente comando muestra la configuración actual de la zona de accesozone3:

isi auth settings mapping view --zone=zone3


GID Range Enabled: Yes GID Range Min: 25000 GID Range Max: 50000UID Range Enabled: Yes UID Range Min: 25000 UID Range Max: 50000

Administración de las identidades de usuarioPuede administrar identidades de usuario creando reglas de asignación de usuarios.

Al crear reglas de asignación de usuarios, es importante recordar la siguienteinformación:

l Solo puede crear reglas de asignación de usuarios si está conectado al clústerEMC Isilon a través de la zona System; sin embargo, puede aplicar reglas deasignación de usuarios a zonas de acceso específicas. Si crea una regla deasignación de usuarios para una zona de acceso específica, la regla se aplicasolamente en el contexto de su zona.

l Al cambiar la asignación de usuarios en un nodo, OneFS propaga el cambio a losdemás nodos.

l Después de realizar un cambio en la asignación de usuarios, el servicio deautenticación de OneFS vuelve a cargar la configuración.



Ver la identidad de usuariosPuede ver las identidades y la membresía a grupos que posee un usuario determinadoen los servicios Active Directory y de directorio LDAP, lo que incluye el historial delidentificador de seguridad (SID) del usuario.

Este procedimiento debe realizarse a través de la interfaz de la línea de comandos(CLI).

Nota

El token de acceso del usuario de OneFS contiene una combinación de identidades deActive Directory y LDAP si ambos servicios de directorio están configurados. Puedeejecutar los siguientes comandos para descubrir las identidades que se encuentran encada servicio de directorio específico.

Procedimiento


2. Vea una identidad de usuario de Active Directory simplemente ejecutando elcomando isi auth users view.

El siguiente comando muestra la identidad de un usuario llamado stand en eldominio de Active Directory denominado YORK:

isi auth users view --user=YORK\\stand --show-groups


Name: YORK\stand DN: CN=stand,CN=Users,DC=york,DC=hull,DC=example,DC=com DNS Domain: york.hull.example.com Domain: YORK Provider: lsa-activedirectory-provider:YORK.HULL.EXAMPLE.COMSam Account Name: stand UID: 4326 SID: S-1-5-21-1195855716-1269722693-1240286574-591111 Primary Group ID : GID:1000000 Name : YORK\york_sh_udg Additional Groups: YORK\sd-york space group YORK\york_sh_udg YORK\sd-york-group YORK\sd-group YORK\domain users

3. Para ver una identidad de usuario de LDAP, simplemente ejecute el comandoisi auth users view.

El siguiente comando muestra la identidad de un usuario de LDAP llamadostand:

isi auth user view --user=stand --show-groups


Name: stand DN:


Ver la identidad de usuarios 175

uid=stand,ou=People,dc=colorado4,dc=hull,dc=example,dc=comDNS Domain: - Domain: LDAP_USERS Provider: lsa-ldap-provider:Unix LDAPSam Account Name: stand UID: 4326 SID: S-1-22-1-4326 Primary Group ID : GID:7222 Name : stand Additional Groups: stand sd-group sd-group2

Crear una regla de mapeo de usuariosPuede crear una regla de mapeo de usuarios para administrar identidades de usuarios.

Procedimiento

1. Haga clic en Access > Membership & Roles > User Mapping.

2. En la lista Current Access Zone, seleccione una zona de acceso que contengalas reglas que desea administrar y, a continuación, haga clic en Edit UserMapping Rules.

Aparecerá el cuadro de diálogo Edit User Mapping Rules.

3. Haga clic en Create a User Mapping Rule.

Aparecerá el cuadro de diálogo Create a User Mapping Rule.

4. En la lista Operation, seleccione una operación.

Según cuál sea su selección, la opción Create a User Mapping Rule puedemostrar campos adicionales.

5. Rellene los campos según sea necesario.

6. Haga clic en Add Rule para guardar la regla y volver al cuadro de diálogo EditUser Mapping Rules.

7. En el área User Mapping Rules, haga clic en la barra de título de una regla yarrástrela a una nueva posición para modificar la posición de una regla en la lista.

Las reglas se aplican en el orden en que aparecen. Para garantizar que cadaregla se procese, indique en primer lugar las reglas de sustitución y, en últimolugar, las reglas de permiso/rechazo.

8. Si el token de acceso no está asociado al usuario de UNIX predeterminado o sieste no tiene un UID o GID principal, seleccione una de las siguientes opcionespara realizar la autenticación:

l Generar un UID o GID principal del rango reservado de UID y GID

l Negar acceso al usuario

l Asignar otro usuario como el usuario de UNIX predeterminado

Nota

Se recomienda que asigne un usuario de una cuenta reconocida que tengaacceso de solo lectura.




Probar una regla de asignación de usuariosDespués de crear una regla de asignación de usuarios, puede probarla para asegurarsede que los resultados del token para un usuario sean los esperados.

Procedimiento


2. En la lista Current Access Zone, seleccione una zona de acceso que contengalas reglas que desea probar.

3. En el área Test User Mapping, en el campo User, Group, or Well-known SID,escriba el nombre de un usuario o grupo, el valor de un SID o haga clic enBrowse para realizar una selección.

4. Haga clic en Test Mapping.

Los resultados del token aparecerán en la sección Results de la siguientemanera:

User Name:krb_user_002 UID:1002 SID:S-1-22-1-1001 On disk:1001 ZID:1 Zone:System Privileges:-

Primary Group Name:krb_user_001 GID:1000 SID:S-1-22-2-1001 On disk:1000

Supplemental Identities Name:Authenticated Users GID: - SID:S-1-5-11

Fusionar tokens de Windows y UNIXPuede utilizar el operador de unión o adición para fusionar tokens de diferentesservicios de directorio en un solo token de usuario de OneFS.

Cuando los nombres de usuario de Windows y Unix no coinciden en los servicios dedirectorio, puede escribir reglas de mapeo de usuarios que utilicen el operador deunión o adición para fusionar dos nombres de usuario en un único token. Por ejemplo,si el nombre de usuario de Windows de un usuario es win_bob y el nombre de usuariode Unix del mismo usuario es UNIX_bob, puede unir o agregar los tokens de usuario delos dos usuarios diferentes.Cuando agrega una cuenta a otra cuenta, el operador de adición agrega la informaciónde una identidad a otra: OneFS agrega los campos que las opciones especifiquendesde la identidad de origen a la identidad de destino. OneFS agrega losidentificadores a la lista de grupos adicional.

Procedimiento


2. Seleccione la opción de Current Access Zone que contenga las reglas quedesea administrar y luego haga clic en Edit User Mapping Rules.


Probar una regla de asignación de usuarios 177




4. En la lista Operation, seleccione una opción:


Join two users together Inserta la nueva identidad en el token.

Append field from a user Modifica el token de acceso agregando campos almismo.

Según la selección, el cuadro de diálogo Create a User Mapping Rule seactualiza para mostrar campos adicionales.

5. Rellene los campos según sea necesario.

6. Haga clic en Add Rule.

Nota

Las reglas se aplican en el orden en que se enumeran. Para garantizar que cadaregla se procesa, indique en primer lugar las reglas de sustitución y, en últimolugar, las reglas de permiso/rechazo. Puede modificar el orden en que seenumera una regla haciendo clic en su barra de título y arrastrándola a unanueva posición.


Recuperar el grupo primario de LDAPPuede crear una regla de asignación de usuarios para insertar información del grupoprimario de LDAP en el token de acceso de un usuario.

De forma predeterminada, el servicio de asignación de usuarios combina informaciónde AD y LDAP, pero otorga prioridad a la información de AD. Puede crear una regla deasignación para controlar la forma en que OneFS combina la información, dandoprioridad a un grupo primario de LDAP en lugar de Active Directory para un usuario.

Procedimiento


2. Seleccione la opción de Current Access Zone que contenga las reglas quedesea administrar y luego haga clic en Edit User Mapping Rules.




4. En la lista Operation, seleccione Insert fields from a user.

El cuadro de diálogo Create a User Mapping Rule se actualiza para mostrarcampos adicionales.

5. Para llenar el campo Insert Fields into this User, realice los siguientes pasos:

a. Haga clic en Browse.

Aparece el cuadro de diálogo Select a User.



b. Seleccione un usuario y un proveedor de autenticación de Active Directory.

c. Haga clic en Search para obtener los resultados de búsqueda.

d. Seleccione un nombre de usuario y haga clic en Select para volver al cuadrode diálogo Create a User Mapping Rule.

El grupo primario del segundo usuario se inserta como el grupo primario delprimer usuario.

6. Seleccione la casilla de verificación Insert primary group SID and GID.

7. Para llenar el campo Insert Fields from this User, realice los siguientes pasos:

a. Haga clic en Browse.

Aparece el cuadro de diálogo Select a User.

b. Seleccione un usuario y un proveedor de autenticación de LDAP.

c. Haga clic en Search para obtener los resultados de búsqueda.

d. Seleccione un nombre de usuario y haga clic en Select para volver al cuadrode diálogo Create a User Mapping Rule.

8. Haga clic en Add Rule.

Nota

Las reglas se aplican en el orden en que se enumeran. Para garantizar que cadaregla se procese, indique en primer lugar las reglas de sustitución y, en últimolugar, las reglas de permiso/rechazo. Puede modificar el orden en que seenumera una regla haciendo clic en su barra de título y arrastrándola a unanueva posición.


Opciones de I/OLas reglas de mapeo pueden contener opciones orientadas a los campos de un tokende acceso.

Un campo representa un aspecto de un token de acceso entre dominios, como el UIDprimario y el SID primario de usuario de un usuario que selecciona. Puede ver algunosde los campos en la interfaz de administración web de OneFS. User en la interfaz deadministración web equivale al nombre de usuario. Además, puede ver campos en untoken de acceso por medio del comando isi auth mapping token.

Cuando crea una regla, puede agregar una opción para manipular cómo OneFScombina los aspectos de dos identidades en un solo token. Por ejemplo, una opciónpuede exigirle a OneFS que anexe los grupos suplementarios a un token.

Un token incluye los siguientes campos que puede manipular según las reglas demapeo de usuario:

l username

l unix_name

l primary_uid

l primary_user_sid

l primary_gid

l primary_group_sid


Opciones de I/O 179

l additional_ids (incluye grupos suplementarios)

Las opciones controlan cómo una regla combina información de identidad en un token.La opción break es la excepción: Evita que OneFS procese reglas adicionales.

Si bien varias opciones se pueden aplicar a una regla, no todas las opciones se aplicana todos los operadores. La siguiente tabla describe el efecto de cada opción y losoperadores involucrados.

Opción Operador Descripción

user insert, append En caso de que existan, copiael UID primario y el SID deusuario primario en el token.

groups insert, append En caso de que existan, copiael GID primario y el SID degrupo primario en el token.

groups insert, append Copia todos losidentificadores adicionales enel token. Los identificadoresadicionales excluyen el UID yel GID primarios, y el SID deusuario y el de grupoprimarios.

default_user todos los operadores, exceptoremove groups

Si el servicio de mapeo nopuede encontrar el segundousuario en una regla, elservicio trata de encontrar elnombre de usuario del usuariopredeterminado. El nombredel usuario predeterminado nopuede incluir comodines.Cuando configura la opcióncorrespondiente al usuariopredeterminado en una reglacon la interfaz de la línea decomandos, debe hacerlo conun guion bajo: default_user.

break todos los operadores Evita que el servicio de mapeoaplique reglas que siguen elpunto de inserción de laopción break. El servicio demapeo genera el token finalen el momento en el que seejecuta esta opción.

Operadores de reglas de mapeoEl operador determina la función de una regla de mapeo.

Puede crear reglas de mapeo de usuario mediante la interfaz de administración web,en la que los operadores están detallados en una lista, o por medio de la interfaz de lalínea de comandos.



Cuando crea una regla de mapeo con la interfaz de la línea de comandos (CLI) deOneFS, debe especificar un operador con un símbolo. El operador afecta la direccióncon la que el servicio de mapeo procesa una regla. Para obtener más informaciónsobre cómo crear una regla de mapeo, consulte el informe técnico Administración deidentidades con el servicio de mapeo de usuarios de OneFS de Isilon. La siguiente tabladescribe los operadores que puede usar en una regla de mapeo.

Una regla de mapeo puede contener solamente un operador.

Operador Interfaz web CLI Dirección Descripción

append Append fieldsfrom a user

++ De izquierda aderecha

Modifica untoken de accesoagregandocampos almismo. Elservicio demapeo anexa loscamposespecificados enla lista deopciones (user,group, groups) ala primeraidentidad en laregla. Loscampos secopian de lasegundaidentidad en laregla. Todos losidentificadoresanexados pasan aser miembros dela lista de gruposadicional. Unaregla de appendsin una opciónejecutaúnicamente unaoperación debúsqueda; debeincluir una opciónpara modificar untoken.

insert Insert fieldsfrom a user

+= De izquierda aderecha

Modifica untoken de accesoexistentemediante laadición decampos. Loscamposespecificados enla lista deopciones (user,group, groups)


Operadores de reglas de mapeo 181


se copian de lanueva identidad yse insertan en laidentidad deltoken. Cuando laregla inserta unusuario primarioo un grupoprimario, seconvierte en losnuevos usuarioprimario y grupoprimario deltoken. El usuarioprimario y grupoprimarioanteriores setransfieren a lalista deidentificadoresadicionales. Lamodificación delusuario primariono cambia elnombre deusuario deltoken. Al insertarlos gruposadicionales deuna identidad, elservicio agregalos gruposnuevos a losgruposexistentes.

replace Replace oneuser with adifferent user

=> De izquierda aderecha

Elimina el token ylo reemplaza conel nuevo tokenidentificado porel segundonombre deusuario. Si elsegundo nombrede usuario estávacío, el serviciode mapeo eliminael primer nombrede usuario deltoken y noquedará ninguno.Si un token nocuenta conningún nombre




de usuario,OneFS deniega elacceso con unerror no suchuser.

remove groups Removesupplementalgroups from auser

-- Unaria Modifica untoken eliminandolos grupossuplementarios.

join Join two userstogether

&= Bidireccional Inserta la nuevaidentidad en eltoken. Si lanueva identidades el segundousuario, elservicio demapeo la insertadespués de laidentidadexistente; de locontrario, elservicio la insertaantes de laidentidadexistente. Laubicación delpunto deinserción esrelevante cuandola identidadexistente yaocupa el primerlugar en la lista,puesto queOneFS usa laprimera identidadpara determinarla propiedad denuevos objetosdel sistema dearchivos.


Operadores de reglas de mapeo 183

CAPÍTULO 8

Directorios principales


l Descripción general de los directorios principales............................................. 186l Permisos del directorio principal....................................................................... 186l Autenticación de usuarios SMB........................................................................ 186l Creación del directorio principal a través de SMB.............................................186l Creación de directorios principales mediante los protocolos SSH y FTP...........190l Creación del directorio principal en un ambiente mixto..................................... 194l Interacciones entre ACL y bits de modo........................................................... 194l Configuración predeterminada del directorio principal en los proveedores de

autenticación.................................................................................................... 194l Variables de expansión compatibles.................................................................. 196l Variables de dominio en el aprovisionamiento de directorios de inicio............... 197

Directorios principales 185

Descripción general de los directorios principalesCuando se crea un usuario local, OneFS crea automáticamente un directorio principalpara ese usuario. OneFS también es compatible con el aprovisionamiento dinámico deldirectorio principal para los usuarios que acceden al clúster mediante una conexión aun recurso compartido de SMB o iniciando sesión a través de FTP o SSH.

Independientemente del método con el que se crea un directorio principal, es posibleconfigurar el acceso a este a través de una combinación de SMB, SSH y FTP.

Permisos del directorio principalPuede configurar el directorio principal de un usuario con una ACL de Windows o conbits de modo POSIX, que luego se convierten en una ACL sintética. El método con elcual se crea un directorio principal determina los permisos iniciales que se establecenen el directorio.

Cuando crea un usuario local, el directorio principal del usuario se crea con bits demodo de manera predeterminada.

Para los usuarios que implementan la autenticación con fuentes externas, puedeespecificar la configuración para crear directorios principales de manera dinámicadurante el inicio de sesión. Si se crea un directorio principal durante el inicio de sesióna través de SSH o FTP, se configura con bits de modo; si se crea un directorioprincipal durante una conexión de SMB, recibe bits de modo o una ACL. Por ejemplo,si un usuario de LDAP primero inicia sesión a través de SSH o FTP, el directorioprincipal del usuario se crea con bits de modo. Si el mismo usuario se conecta primeroa través de un recurso compartido de SMB, el directorio principal se crea con lospermisos indicados en la configuración de SMB. Si se habilita la opción --inheritable-path-acl, se genera una ACL; de lo contrario, se usan los bits demodo.

Autenticación de usuarios SMBPuede autenticar usuarios SMB de proveedores de autenticación que puedan manejarhashes NT.

SMB envía un hash de contraseña NT para autenticar usuarios SMB, de modo queúnicamente usuarios de proveedores de autenticación capaces de manejar hashes NTpuedan iniciar sesión mediante SMB. Los siguientes proveedores de autenticacióncompatibles con OneFS pueden manejar hashes NT:

l Active Directory

l Ubicación

l LDAPSAM (LDAP con extensiones de Samba habilitadas)

Creación del directorio principal a través de SMBPuede crear recursos compartidos de SMB mediante la inclusión de variables deexpansión en la ruta del recurso compartido. Las variables de expansión permiten quelos usuarios se conecten al recurso compartido para acceder a sus directoriosprincipales. También puede habilitar el aprovisionamiento dinámico de directoriosprincipales que no existen durante el tiempo de conexión de SMB.



Nota

Los permisos del recurso compartido se revisan cuando se accede a los archivos, antesde que se revisen los permisos subyacentes del sistema de archivos. Cualquiera deestos permisos puede evitar el acceso al archivo o al directorio.

Crear directorios principales con variables de expansiónPuede configurar parámetros con variables de expansión para crear directoriosprincipales de recursos compartidos de SMB.

Cuando los usuarios acceden al clúster EMC Isilon a través de SMB, el acceso aldirectorio principal se hace mediante los recursos compartidos de SMB. Puedeconfigurar parámetros con una ruta que utilice una sintaxis de expansión variable parapermitir que un usuario se conecte con su recurso compartido de directorio principal.

Nota

Las rutas de los recursos compartidos del directorio principal deben comenzar con /ifs/ y encontrarse en la ruta raíz de la zona de acceso en la que se crea el recursocompartido de SMB del directorio principal.

En los siguientes comandos, la opción --allow-variable-expansion se habilitapara indicar que %U debería expandirse al nombre de usuario, que es user411 en esteejemplo. La opción --auto-create-directory se habilita para crear el directorioen caso de que no exista:

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full isi smb shares view HOMEDIR


Nombre del recurso compartido: HOMEDIR Path: /ifs/home/%U Description: Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...

Cuando user411 se conecta al recurso compartido con el comando net use, eldirectorio principal del usuario se crea en /ifs/home/user411. En el clienteWindows de user411, el comando net usem: conecta /ifs/home/user411 através del recurso compartido HOMEDIR:

net use m: \\cluster.company.com\HOMEDIR /u:user411


Crear directorios principales con variables de expansión 187

Procedimiento

1. Ejecute los siguientes comandos en el clúster con la opción --allow-variable-expansion habilitada. La variable de expansión %U se expande alnombre de usuario y la opción --auto-create-directory se habilita paracrear el directorio, si este no existe:

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full

2. Ejecute el siguiente comando para ver los ajustes del directorio principal:

isi smb shares view HOMEDIR


Nombre del recurso compartido: HOMEDIR Path: /ifs/home/%U Description: Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...

Si user411 se conecta al recurso compartido con el comando net use, eldirectorio principal de user411 se crea en /ifs/home/user411. En el clienteWindows de user411, el comando net usem: se conecta a /ifs/home/user411 a través del recurso compartido HOMEDIR, lo que mapea la conexiónde forma similar al siguiente ejemplo:

net use m: \\cluster.company.com\HOMEDIR /u:user411

Create home directories with the --inheritable-path-acl optionPuede habilitar la opción --inheritable-path-acl en un recurso compartido paraespecificar que se heredará en la ruta del recurso compartido si el directorio principalcuenta con una ACL heredable.

Antes de comenzar

Para realizar la mayoría de las tareas de configuración, debe iniciar sesión comomiembro de la función SecurityAdmin.

De forma predeterminada, se crea una ruta de directorio del recurso compartido deSMB con una ACL sintética basada en bits de modo. Puede habilitar la opción --inheritable-path-acl para utilizar la ACL heredable en todos los directorioscreados, ya sea en el momento de creación del recurso compartido o en aquellos



provisionados dinámicamente al establecerse la conexión con dicho recursocompartido.

Procedimiento

1. Ejecute comandos similares a los siguientes ejemplos para habilitar la opción --inheritable-path-acl en el clúster para provisionar dinámicamente undirectorio principal de usuario en la primera conexión con un recurso compartidodel clúster:

isi smb shares create HOMEDIR_ACL --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes \ --inheritable-path-acl=yes

isi smb shares permission modify HOMEDIR_ACL \ --wellknown Everyone \ --permission-type allow --permission full

2. Ejecute un comando net use similar al del siguiente ejemplo en un clienteWindows para mapear el directorio principal para user411:

net use q: \\cluster.company.com\HOMEDIR_ACL /u:user411

3. Ejecute un comando como el del siguiente ejemplo en el clúster para ver lospermisos de ACL heredada para el recurso compartido user411:

cd /ifs/home/user411ls -lde .


drwx------ + 2 user411 Isilon Users 0 Oct 19 16:23 ./ OWNER: user:user411 GROUP: group:Isilon Users CONTROL:dacl_auto_inherited,dacl_protected 0: user:user411 allow dir_gen_all,object_inherit,container_inherit

Crear directorios principales especiales con la variable %U de recursoscompartidos de SMB

La variable %U en el nombre de recursos compartidos de SMB especiales le permitecrear un recurso compartido de SMB de directorio principal que aparece igual que elnombre de un usuario.

Generalmente, se configura un recurso compartido de SMB %U con una ruta derecurso compartido que incluye la variable de expansión %U. Si un usuario intentaconectarse con un recurso compartido que coincida con el nombre de inicio de sesióny este no existe, el usuario se conectará al recurso compartido %U en su lugar y serádirigido a la ruta expandida para el recurso compartido %U.


Crear directorios principales especiales con la variable %U de recursos compartidos de SMB 189

Nota

Si hay otro recurso compartido de SMB que coincida con el nombre del usuario, elusuario se conectará con el recurso compartido nombrado explícitamente en lugar decon el recurso compartido %U.

Procedimiento

1. Ejecute el siguiente comando para crear un recurso compartido que coincidacon el nombre de inicio de sesión del usuario autenticado cuando el usuario seconecte con el recurso compartido:

isi smb share create %U /ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes \ --zone=System

Después de ejecutar este comando, el usuario Zachary verá un recursocompartido denominado “zachary” en vez de “%U”, y cuando Zachary intenteconectarse al recurso compartido “zachary”, se le redirigirá a /ifs/home/zachary. En un cliente Windows, si Zachary ejecuta los siguientes comandos,verá el contenido de su directorio /ifs/home/zachary:

net use m: \\cluster.ip\zachary /u:zachary cd m:dir

De igual modo, si la usuaria Claudia ejecuta los siguientes comandos en uncliente Windows, verá el contenido del directorio /ifs/home/claudia:

net use m: \\cluster.ip\claudia /u:claudia cd m: dir

Zachary y Claudia no pueden acceder al directorio principal del otro porque elrecurso compartido “zachary” solo existe para Zachary y el recurso compartido“claudia” solo existe para Claudia.

Creación de directorios principales mediante los protocolosSSH y FTP

Es posible configurar la compatibilidad con directorios principales para aquellosusuarios que acceden al clúster mediante el protocolo SSH o FTP a través de lamodificación de la configuración del proveedor de autenticación.

Configuración del shell de inicio de sesión de protocolo SSH o FTPPuede utilizar la opción --login-shell para establecer el shell de inicio de sesiónpredeterminado para el usuario.

De forma predeterminada, la opción --login-shell, si se especifica, reemplazacualquier información de shell de inicio de sesión proporcionada por el proveedor deautenticación, excepto con Active Directory. Si la opción --login-shell se



especifica con Active Directory, representará el shell de inicio de sesiónpredeterminado solamente en caso de que el servidor Active Directory no proporcionela información del shell de inicio de sesión.

Nota

Los siguientes ejemplos hacen referencia a establecer el shell de inicio de sesiónen /bin/bash. También lo puede establecer en /bin/rbash.

Procedimiento

1. Ejecute el siguiente comando para establecer el shell de inicio de sesión paratodos los usuarios locales en /bin/bash:

isi auth local modify System --login-shell /bin/bash

2. Ejecute el siguiente comando para establecer el shell de inicio de sesión paratodos los usuarios de Active Directory de su dominio en /bin/bash:

isi auth ads modify YOUR.DOMAIN.NAME.COM --login-shell /bin/bash

Establecer los permisos del directorio principal de protocolo SSH/FTPPuede especificar permisos para un directorio principal al que se accede medianteprotocolo SSH o FTP con la definición de un valor umask.

Antes de comenzar


Cuando el directorio principal de un usuario se crea durante el inicio de sesiónmediante protocolo SSH o FTP, se genera utilizando bits de modo de POSIX. Elparámetro de permisos del directorio principal de un usuario se establece en 0755 yluego se enmascara de acuerdo con el ajuste de umask de la zona de acceso delusuario para limitar adicionalmente los permisos. Puede modificar el ajuste de umaskde una zona mediante la opción --home-directory-umask, con la que debeespecificar un número octal como valor de umask.

Procedimiento

1. Ejecute el siguiente comando para crear un DAG:

isi zone zones view System


Name: System Path: /ifs Groupnet: groupnet0 Map Untrusted: - Auth Providers: lsa-local-provider:System, lsa-file-provider:System NetBIOS Name: -


Establecer los permisos del directorio principal de protocolo SSH/FTP 191

User Mapping Rules: - Home Directory Umask: 0077 Skeleton Directory: /usr/share/skel Cache Entry Expiry: 4H Negative Cache Entry Expiry: 1m Zone ID: 1

En el resultado del comando, puede ver que el valor predeterminado de HomeDirectory Umask para el directorio principal creado es 0700, lo que equivalea (0755 y ~(077)). Puede modificar los ajustes de Home Directory Umaskde una zona mediante la opción --home-directory-umask, con la que debeespecificar un número octal como valor de umask. Este valor indica que lospermisos se van a deshabilitar, de modo que unos valores de umask máselevados implican menores permisos. Por ejemplo, un valor de umask de 000 o022 brinda los permisos del directorio principal creado de 0755, mientras queun valor de umask de 077 brinda los permisos del directorio principal creado de0700.

2. Ejecute un comando similar al del siguiente ejemplo para permitir que un grupo uotros usuarios tengan un permiso de escritura/ejecución en un directorioprincipal:

isi zone zones modify System --home-directory-umask=022

En este ejemplo, los directorios principales de usuario se crearán con los bits demodo 0755 enmascarados por el campo umask, que está definido en un valor de022. Por lo tanto, los directorios principales de usuario se crearán con los bitsde modo 0755, lo que equivale a (0755 y ~(022)).

Establecer opciones de creación del directorio principal de protocoloSSH/FTP

Puede configurar el soporte de directorio principal para un usuario que accede alclúster mediante protocolo SSH o FTP especificando las opciones del proveedor deautenticación.

Procedimiento

1. Ejecute el siguiente comando para ver los ajustes para un proveedor deautenticación de Active Directory en el clúster:

isi auth ads list


Name Authentication Status DC Name Site ---------------------------------------------------------YOUR.DOMAIN.NAME.COM Yes online - SEA---------------------------------------------------------Total: 1

2. Ejecute el comando isi auth ads modify con las opciones --home-directory-template y--create-home-directory.

isi auth ads modify YOUR.DOMAIN.NAME.COM \--home-directory-template=/ifs/home/ADS/%D/%U \--create-home-directory=yes



3. Ejecute el comando isi auth ads view con la opción --verbose.


Name: YOUR.DOMAIN.NAME.COM NetBIOS Domain: YOUR ... Create Home Directory: Yes Home Directory Template: /ifs/home/ADS/%D/%U Login Shell: /bin/sh

4. Ejecute el comando id.


uid=1000008(<your-domain>\user_100) gid=1000000(<your-domain>\domain users) groups=1000000(<your-domain>\domain users),1000024(<your-domain>\c1t),1545(Users)

5. (Opcional) Para verificar esta información desde un nodo UNIX externo, ejecuteel comando ssh desde un nodo UNIX externo.

Por ejemplo, el siguiente comando crearía /ifs/home/ADS/<your-domain>/user_100 si no existiera previamente:

ssh <your-domain>\\[email protected]

Provisionar directorios principales con archivos dotPuede provisionar directorios principales con archivos dot.

Antes de comenzar


El directorio skeleton, que se ubica en /usr/share/skel de forma predeterminada,contiene un conjunto de archivos que se copian en el directorio principal del usuariocuando se crea un usuario local o cuando el directorio principal de un usuario se creadinámicamente durante el inicio de sesión. Los archivos del directorio skeleton quecomienzan con dot. cambian su nombre para eliminar el prefijo dot cuando se copianen el directorio principal del usuario. Por ejemplo, dot.cshrc se copia en el directorioprincipal del usuario como .cshrc. Este formato permite que los archivos dot deldirectorio skeleton se puedan ver a través de la interfaz de la línea de comandos sinnecesidad del comando ls-a.Para los recursos compartidos de SMB que pudieran utilizar los directorios principalesa los que se provisionaron archivos dot, puede definir una opción para impedir que losusuarios que se conectan al recurso compartido a través de SMB puedan ver losarchivos dot.

Procedimiento

1. Ejecute el siguiente comando para mostrar el directorio skeletonpredeterminado en la zona de acceso del sistema:

isi zone zones view System


Provisionar directorios principales con archivos dot 193


Nombre: System... Skeleton Directory: /usr/share/skel

2. Ejecute el comando isi zone zones modify para modificar el directorioskeleton predeterminado.

El siguiente comando modifica el directorio skeleton predeterminado /usr/share/skel en una zona de acceso, donde System es el valor para la opción<zone> y /usr/share/skel2 es el valor para la opción <path>:

isi zone zones modify System --skeleton-directory=/usr/share/skel2

Creación del directorio principal en un ambiente mixtoSi un usuario inicia sesión a través de SMB y SSH, se recomienda que configure losajustes del directorio principal de forma que la plantilla de ruta sea la misma para elrecurso compartido de SMB y para cada proveedor de autenticación que el usuarioutilice para autenticarse a través de SSH.

Interacciones entre ACL y bits de modoLa configuración del directorio principal se determina mediante varios factores,incluida la forma de autenticación de los usuarios y las opciones que especifican lacreación del directorio principal.

El directorio principal de un usuario puede configurarse con ACL o bits de modo dePOSIX, que se convierten en una ACL sintética. El directorio de un usuario local secrea a la vez que se crea ese usuario local, y el directorio está configurado con bits demodo de POSIX de forma predeterminada. Los directorios se pueden provisionardinámicamente en el inicio de sesión para usuarios que se autentiquen en orígenesexternos y, en algunos casos, para usuarios que se autentiquen en el proveedor dearchivos. En esta situación, el directorio principal del usuario se crea de acuerdo con laforma en que el usuario inicia sesión por primera vez.

Por ejemplo, si un usuario de LDAP inicia sesión por primera vez a través de losprotocolos SSH o FTP y se crea el directorio principal del usuario, se creará con bitsde modo de POSIX. Si ese mismo usuario se conecta por primera vez a través de unrecurso compartido de directorio principal de SMB, el directorio principal se crearásegún se haya especificado en las opciones de SMB. Si la opción --inherited-path-acl está habilitada, se generarán ACL. De lo contrario, se usarán bits de modode POSIX.

Configuración predeterminada del directorio principal en losproveedores de autenticación

La configuración predeterminada que afecta la forma en que se configuran losdirectorios principales varía según el proveedor de autenticación elegido por el usuariopara realizar la autenticación.



Proveedor deautenticación

Directorioprincipal

Creación deldirectorio principal

Shell de inicio desesión de UNIX

Local l --home-directory-template=/ifs/home/%U

l --create-home-directory=yes

l --login-shell=/bin/sh

Activado /bin/sh

File l --home-directory-template=""

l --create-home-directory=no

Desactivado Ninguno

Active Directory l --home-directory-template=/ifs/home/%D/%U


l --login-shell=/bin/sh

Nota

Si la información delproveedor estádisponible, reemplazaa este valor.

Desactivado /bin/sh

LDAP l --home-directory-template=""


Desactivado Ninguno

NIS l --home-directory-template=""


Desactivado Ninguno


Configuración predeterminada del directorio principal en los proveedores de autenticación 195

Variables de expansión compatiblesPuede incluir variables de expansión en una ruta de recursos compartidos de SMB o enla plantilla del directorio principal de un proveedor de autenticación.

OneFS es compatible con las siguientes variables de expansión. Puede mejorar elrendimiento y disminuir la cantidad de recursos compartidos que se administrancuando los configura con variables de expansión. Por ejemplo, puede incluir la variable%U para un recurso compartido en lugar de crear un recurso compartido para cadausuario. Cuando se incluye un %U en el nombre para que cada ruta de usuario seadiferente, la seguridad sigue estando garantizada debido a que cada usuarioúnicamente puede ver su directorio principal y acceder a este.

Nota

Cuando crea un recurso compartido de SMB a través de la interfaz de administraciónweb, debe seleccionar la casilla de verificación Allow Variable Expansion o el sistemainterpretará la cadena literalmente.

Variable Valor Descripción

%U Nombre de usuario (porejemplo, user_001)

Se extiende al nombre deusuario para permitir quediferentes usuarios usendistintos directoriosprincipales. Por lo general,esta variable se incluye al finalde la ruta. Por ejemplo, paraun usuario denominado user1,la ruta /ifs/home/%U se

mapea a /ifs/home/user1.

%D Nombre de dominio NetBIOS(por ejemplo, YORK paraYORK.EAST.EXAMPLE.COM)

Se extiende al nombre dedominio del usuario, según elproveedor de autenticación:

l Para los usuarios deActive Directory, %D seextiende al nombre ActiveDirectory NetBIOS.

l Para los usuarios locales,%D se extiende al nombredel clúster con caracteresen mayúscula. Porejemplo, para un clústerdenominado cluster1, %Dse extiende a CLUSTER1.

l Para los usuarios en elproveedor de archivos delsistema, %D se extiendea UNIX_USERS.

l Para los usuarios en otrosproveedores de archivos,



Variable Valor Descripción

%D se extiende aFILE_USERS.

l Para los usuarios deLDAP, %D se extiende aLDAP_USERS.

l Para los usuarios de NIS,%D se extiende aNIS_USERS.

%Z Nombre de zona (por ejemplo,ZoneABC)

Se extiende al nombre de lazona de acceso. Si hay variaszonas habilitadas, estavariable es útil paradiferenciar a los usuarios enzonas distintas. Por ejemplo,para un usuario denominadouser1 en la zona System, laruta /ifs/home/%Z/%U se

mapea a /ifs/home/System/user1.

%L Nombre de host (nombre dehost del clúster en minúscula)

Se extiende al nombre de hostdel clúster, normalizado aminúscula. Uso limitado.

%0 Primer carácter del nombrede usuario

Se extiende al primer carácterdel nombre de usuario.

%1 Segundo carácter del nombrede usuario

Se extiende al segundocarácter del nombre deusuario.

%2 Tercer carácter del nombrede usuario

Se extiende al tercer carácterdel nombre de usuario.

Nota

Si el nombre de usuario incluye menos de tres caracteres, las variables %0, %1 y %2se ajustan automáticamente. Por ejemplo, para un usuario denominado “ab”, lasvariables se mapean a “a”, “b” y “a”, respectivamente. Para un usuario denominado“a”, las tres variables se mapean a “a”.

Variables de dominio en el aprovisionamiento de directoriosde inicio

Puede usar variables de dominio para especificar proveedores de autenticación alprovisionar directorios de inicio.

Por lo general, la variable de dominio (%D) se utiliza para los usuarios de ActiveDirectory, pero cuenta con un valor establecido que se puede usar para otrosproveedores de autenticación. La expansión de %D está descrita en la siguiente tablapara los diversos proveedores de autenticación.


Variables de dominio en el aprovisionamiento de directorios de inicio 197

Usuarioautenticado

Expansión de %D

Usuario de ActiveDirectory

Nombre de Active Directory NetBIOS; por ejemplo, YORK para elproveedor YORK.EAST.EXAMPLE.COM.

Usuario local El nombre del clúster con todos los caracteres en mayúsculas; porejemplo, si el clúster se denomina MyCluster, %D se expande aMYCLUSTER.

Usuario de archivo l UNIX_USERS (para el proveedor de archivos del sistema)

l FILE_USERS (para los demás proveedores de archivos)

Usuario de LDAP LDAP_USERS (para todos los proveedores de autenticación LDAP)

Usuario de NIS NIS_USERS (para rodos los proveedores de autenticación NIS)



CAPÍTULO 9

Control de acceso a los datos


l Descripción general del control de acceso a datos........................................... 200l ACL..................................................................................................................200l Permisos de UNIX.............................................................................................201l Ambientes de permisos mixtos..........................................................................201l Administración de permisos de acceso............................................................. 202

Control de acceso a los datos 199

Descripción general del control de acceso a datosOneFS admite dos tipos de datos de permisos en archivos y directorios que controlanlos entes que tienen acceso: listas de control de acceso (ACL) de Windows y bits demodo POSIX (permisos UNIX). Es posible configurar políticas globales que le permitenpersonalizar los permisos de ACL y UNIX predeterminados para brindar el mejor apoyoa su ambiente.

El sistema de archivos de OneFS se instala con permisos de UNIX de formapredeterminada. Puede otorgar una ACL a un archivo o directorio mediante el uso delas herramientas administrativas de OneFS o del Explorador de Windows.Comúnmente, los archivos que se crean mediante SMB o en un directorio que tieneuna ACL reciben una ACL. Si un archivo recibe una ACL, OneFS deja de aplicar los bitsde modo del archivo; los bits de modo se proporcionan solo para la compatibilidad deprotocolos, no para el control de acceso.

OneFS admite el acceso multiprotocolo a los datos mediante Network File System(NFS) y el bloque de mensajes del servidor (SMB) con un modelo de seguridadunificado. A un usuario se le otorga o se le niega el mismo acceso a un archivo cuandose usa SMB para el archivo compartido en Windows, tal como sucede con NFS para eluso compartido de archivos en UNIX.

NFS permite que los clientes Linux y UNIX monten de manera remota cualquiersubdirectorio, incluidos los subdirectorios creados por los usuarios de Windows oSMB. Los clientes de Linux y UNIX también pueden montar subdirectorios protegidospor ACL creados por un administrador de OneFS. SMB otorga a los usuarios deWindows acceso a los archivos, directorios y otros recursos del sistema de archivosalmacenados por los sistemas UNIX y Linux. Las ACL pueden afectar tanto a losusuarios de Windows como a los usuarios locales, de NIS y de LDAP.

De forma predeterminada, OneFS mantiene los mismos permisos de archivos sinimportar el sistema operativo del cliente, el sistema de administración de identidadesni el protocolo de uso compartido de archivos. Cuando OneFS debe transformar lospermisos de un archivo de ACL a bits de modo, o viceversa, fusiona los permisos y dalugar a una representación óptima que equilibra excepcionalmente las expectativas delusuario y la seguridad del archivo.

ACLEn ambientes de Windows, los permisos de directorio y archivo, conocidos comoderechos de acceso, se definen en las listas de control de acceso (ACL). Si bien lasACL son más complejas que los bits de modo, pueden expresar conjuntos de reglas deacceso mucho más granulares. OneFS comprueba las reglas de procesamiento de ACLcomúnmente asociadas a las ACL de Windows.

Una ACL de Windows puede incluir o no entradas de control de acceso (ACE); cadauna de estas representa el identificador de seguridad (SID) de un usuario o grupocomo administrador de confianza. En OneFS, una ACL puede contener ACE con unUID, GID, o SID como el administrador de confianza. Cada ACE contiene un conjuntode derechos que permiten o deniegan acceso a un archivo o carpeta. De formaopcional, una ACE puede incluir una marca de herencia para especificar si los archivosy carpetas secundarios deben heredar la ACE.



Nota

En lugar de los tres permisos estándares disponibles para bits de modo, las ACL tienen32 bits de derechos de acceso detallados. De estos, los 16 bits superiores songenerales y se aplican a todos los tipos de objeto. Los 16 bits inferiores varían entrearchivos y directorios, pero se definen de manera tal que la mayoría de las aplicacionespuedan aplicar los mismos bits para archivos y directorios.

Los derechos otorgan o deniegan acceso para un administrador de confianzadeterminado. Puede bloquear el acceso de usuarios explícitamente mediante una ACEde denegación. Para hacerlo implícitamente, verifique que un usuario no aparezca enuna ACE que otorgue el derecho, ya sea directamente o indirectamente por medio deun grupo.

Permisos de UNIXEn un ambiente UNIX, los bits de modo POSIX controlan el acceso a archivos ydirectorios y otorgan permisos de lectura, escritura y ejecución al usuario propietario,al grupo propietario y a cualquier otro.

OneFS admite las herramientas estándar de UNIX para la visualización y lamodificación de permisos: ls, chmody chown. Para obtener más información, ejecutelos comandos man ls, man chmod y man chown.

Todos los archivos contienen 16 bits de permisos, los cuales brindan información sobreel tipo de archivo o directorio y los permisos. Los nueve bits inferiores se agrupan entres conjuntos de tres bits, denominados tríos, que incluyen los permisos de lectura,escritura y ejecución (rwx) para cada clase de usuario: propietario, grupo y otros.Puede configurar marcas de permisos para otorgar permisos a cada una de estasclases.

A menos que el usuario sea raíz, OneFS comprueba la clase para determinar si se debeotorgar o denegar el acceso al archivo. Las clases no son acumulativas: se aplica laprimera clase que coincida. Por lo tanto, es común otorgar permisos en ordendecreciente.

Ambientes de permisos mixtosCuando una operación de archivos solicita datos de autorización de un objeto, porejemplo, con el comando ls-l mediante NFS o con la pestaña Security del cuadro dediálogo Properties en el Explorador de Windows mediante SMB, OneFS trata deproporcionar esos datos en el formato solicitado. En un ambiente que combina lossistemas UNIX y Windows, es posible que se necesite de la traducción al ejecutar lasoperaciones create file, set security, get security o access.

Acceso NFS de archivos creados por WindowsSi un archivo contiene un grupo o usuario propietario que es un SID, el sistema intentamapearlo a un UID o GID correspondiente antes de devolvérselo al llamador.

En UNIX, para recuperar los datos de autorización, se debe llamar a stat(2) en unarchivo y analizar el propietario, el grupo y los bits de modo. En NFSv3, el comandoGETATTR funciona de manera similar. El sistema aproxima los bits de modo y losconfigura en el archivo cada vez que se modifica la ACL. Las aproximaciones de bits demodo se deben recuperar solamente para que se efectúen estas llamadas.


Permisos de UNIX 201

Nota

Los mapeos de SID a UID y de SID a GID se almacenan en caché en el mapeador de IDde OneFS y la caché stat. Si un mapeo cambió recientemente, el archivo podríaproporcionar información incorrecta hasta que se actualice el archivo o se despeje lacaché.

Acceso SMB de archivos creados por UNIXNo se ejecutan mapeos de UID a SID o de GID a SID al crear una ACL para un archivo;todos los UID y GID se convierten en SID o principales cuando se devuelve la ACL.

OneFS inicia un proceso de dos pasos para devolver un descriptor de seguridad, el cualcontiene SID para el grupo primario y propietario de un objeto:

1. El descriptor de seguridad actual se recupera a partir del archivo. Si el archivo noposee una lista de control de acceso discrecional (DACL), se construye una ACLsintética a partir de los nueve bits de modo inferiores del archivo, separados entres conjuntos de tríos de permisos, uno para cada propietario, grupo y para cadauno. Para obtener detalles sobre los bits de modo, consulte el tema permisos deUNIX.

2. Se crean dos entradas de control de acceso (ACE) para cada trío: la ACE deautorización contiene los derechos correspondientes que se otorgan según lospermisos; la ACE de denegación incluye los derechos correspondientes que sedeniegan. En ambos casos, el administrador de confianza de la ACE corresponde alpropietario del archivo, grupo o a todos. Una vez generadas todas las ACE, las queno se necesitan se eliminan antes de que se devuelva la ACL sintética.

Administración de permisos de accesoLa representación interna de identidades y permisos pueden contener información deorígenes de UNIX, de Windows o de ambos. Puesto que los protocolos de accesopueden procesar la información desde solamente uno de estos orígenes, es posible queel sistema necesite realizar estimaciones aproximadas para presentar la información enun formato que el protocolo pueda procesar.

Ver permisos de usuario esperadosPuede ver los permisos esperados para el acceso del usuario a un archivo o directorio.

Este procedimiento debe realizarse a través de la interfaz de la línea de comandos(CLI).

Procedimiento


2. Para ver los permisos de usuario esperados, ejecute el comando isi authaccess.

El siguiente comando muestra los permisos en /ifs/ para el usuario queespecifica en el lugar de <username>:

isi auth access <username> /ifs/




User Name : <username> UID : 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<username> \ allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

3. Para ver los permisos de bits de modo correspondientes a un usuario, ejecute elcomando isi auth access.

El siguiente comando muestra información sobre permisos de archivos en mododetallado en /ifs/ para el usuario que especifique en el lugar de <username>:

isi auth access <username> /ifs/ -v


User Name : <username> UID \: 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<username>allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

4. Para ver los permisos de usuario de la ACL esperados en un archivo para unusuario, ejecute el comando isi auth access.

El siguiente comando muestra los permisos de archivos de la ACL en mododetallado para el archivo file_with_acl.tx en /ifs/data/correspondiente al usuario que especifique en el lugar de <username>:

isi auth access <username> /ifs/data/file_with_acl.tx -v


User Name : <username> \UID : 2097 SID : SID:S-1-7-21-2141457107-1614332578-1691322789-1018 File Owner : user:<username> Group : group:wheel Permissions Expected : user:<username> allow file_gen_read,file_gen_write,std_write_dac Relevant Acl: group:<group-name> Users allow file_gen_read user:<username> allow std_write_dac,file_write,append,file_write_ext_attr,file_write_attr group:wheel allow file_gen_read,file_gen_write

Configurar los ajustes de administración de accesoEntre los ajustes de acceso predeterminados se incluyen la necesidad de envío derespuestas NTLMv2 para conexiones SMB, el tipo de identidad para almacenar en


Configurar los ajustes de administración de acceso 203

disco, el nombre de grupo de trabajo de Windows para ejecutar en modo local y lasustitución de caracteres para los espacios encontrados en los nombres de usuarios ygrupos.

Procedimiento

1. Haga clic en Access > Settings.

2. Establezca las siguientes configuraciones:


Send NTLMv2 Especifica si se deben enviar solo las respuestas NTLMv2 alos clientes SMB con credenciales compatibles con NTLM.

On-DiskIdentity

Controla la identidad recomendada que se almacenará endisco. Si OneFS no puede convertir una identidad al formatorecomendado, esta se almacena tal cual. Este ajuste noafecta entidades que ya están almacenadas en disco.Seleccione una de las siguientes opciones:

native

Permite que OneFS determine la identidad paraalmacenar en disco. Esta es la configuraciónrecomendada.

unix

Siempre almacena identificadores UNIX entrantes (UIDy GID) en disco.

sid

Almacena identificadores de seguridad de Windows(SID) entrantes en disco, a menos que el SID segenerara a partir de un identificador UNIX; en ese caso,lo convierte en identificador UNIX y lo almacena endisco.

Workgroup Especifica el grupo de trabajo de NetBIOS. El valorpredeterminado es WORKGROUP.

SpaceReplacement

Para los clientes que tienen dificultades para analizarespacios en nombres de usuario y de grupo, especifica uncarácter sustituto.

3. Haga clic en Save.


Si cambió la selección de identidad en disco, se recomienda que ejecute el trabajoPermissionRepair con el tipo de reparación Convert para evitar posibles errores depermisos. Para obtener más información, consulte la sección Ejecutar el trabajoPermissionRepair.

Modificar los ajustes de políticas de ACLPuede modificar los ajustes de políticas de ACL, pero los ajustes de políticas de ACLpredeterminados son suficientes para la mayoría de implementaciones de clúster.



PRECAUCIÓN

Debido a que las políticas de ACL cambian el comportamiento de los permisos entodo el sistema, deberían modificarse solo lo necesario por parte deadministradores experimentados con conocimientos avanzados en ACL deWindows. Esto se hace verdaderamente patente con los ajustes avanzados, quese aplican independientemente del ambiente del clúster.

Para ambientes UNIX, Windows o balanceados, la configuración óptima de la políticade permisos está seleccionada y no puede modificarse. No obstante, puede optar porconfigurar manualmente los ajustes predeterminados de permisos del clúster si esnecesario para compatibilizarlos con su ambiente particular.

Procedimiento

1. Haga clic en Access > ACL Policy Settings.

2. En el área Environment, seleccione la opción que mejor describa su ambiente oseleccione Custom environment para configurar políticas de permisosindividuales.

3. Si seleccionó la opción Custom environment, es necesario configurar el áreaGeneral ACL Settings.

4. En el área Advanced ACL Settings, configure los ajustes según sea necesario.

Ajustes de configuración de la política de ACLEs posible configurar una política de lista de control de acceso (ACL) eligiendo entrelas opciones de ajustes disponibles.

AmbienteSegún el ambiente que se elija, el sistema seleccionará automáticamente las opcionesde General ACL Settings y de Advanced ACL Settings que sean óptimas para eseambiente. También puede configurar manualmente la configuración general yavanzada.

Balanced

Habilita que los permisos del clúster Isilon operen en un ambiente mixto de UNIX yWindows. Este ajuste es el recomendado para la mayor parte de lasimplementaciones de clústeres Isilon.

UNIX only

Habilita que los permisos del clúster EMC Isilon operen con semántica de UNIX,en lugar de semántica de Windows. Habilitar esta opción impide la creación deACL en el sistema.

Windows only

Habilita que los permisos del clúster Isilon operen con semántica de Windows, enlugar de semántica de UNIX. Habilitar esta opción hace que el sistema arroje unerror ante solicitudes de tipo chmod de UNIX.

Custom environment

Permite elegir manualmente las opciones de General ACL Settings y AdvancedACL Settings.


Ajustes de configuración de la política de ACL 205

General ACL Settings

ACL Creation Through SMB

Especifica si debe permitirse o denegarse la creación de listas ACL medianteSMB. Seleccione una de las siguientes opciones:

Do not allow ACLs to be created through SMB

Impide la creación de listas ACL en el clúster.

Allow ACLs to be created through SMB

Permite la creación de listas ACL en el clúster.

Nota

Las ACL heredables en el sistema tienen prioridad sobre este ajuste. Si seconfiguran ACL heredables en una carpeta, cualquier archivo o carpeta nuevo quese cree en esa carpeta heredará las ACL de la carpeta. Deshabilitar este ajuste noelimina las listas ACL establecidas actualmente en los archivos. Si desea borraruna ACL existente, ejecute el comando chmod -b <mode><file> para quitar la ACL y configurar los permisos correctos.

Use the chmod Command On Files With Existing ACLs

Especifica cómo se manejan los permisos cuando se inicia una operación de tipochmod en un archivo con una ACL, ya sea a nivel local o mediante NFS. Esteajuste controla cualquier elemento que afecte los permisos de UNIX, incluido FileSystem Explorer. Habilitar este ajuste de políticas no cambia la manera en la quelas operaciones de tipo chmod afectan a los archivos que no tienen ACL.Seleccione una de las siguientes opciones:

Remove the existing ACL and set UNIX permissions instead

Para las operaciones de tipo chmod, elimina cualquier ACL existente y, encambio, establece los permisos de chmod. Seleccione esta opciónúnicamente si no necesita que se establezcan permisos desde Windows.

Remove the existing ACL and create an ACL equivalent to the UNIXpermissions

Almacena los permisos de UNIX en una nueva ACL de Windows. Seleccioneesta opción si desea eliminar permisos de Windows, pero no desea que losarchivos tengan listas ACL sintéticas.

Remove the existing ACL and create an ACL equivalent to the UNIXpermissions, for all users/groups referenced in old ACL

Almacena los permisos de UNIX en una nueva ACL de Windows solo parausuarios y grupos a los que se haga referencia en la ACL antigua. Seleccioneesta opción si desea eliminar permisos de Windows, pero no desea que losarchivos tengan listas ACL sintéticas.

Merge the new permissions with the existing ACL

Fusiona los permisos que se aplican mediante chmod con las ACL existentes.Por cada identidad (propietario, grupo y todo el mundo), se modifica o secrea una ACE, pero todas las entradas ACE restantes permanecen sincambios. Las entradas ACE heredables también permanecen sin cambios parapermitir que los usuarios de Windows continúen heredando los permisoscorrespondientes. Sin embargo, los usuarios de UNIX pueden establecerpermisos específicos para cada una de estas tres identidades estándares.



Deny permission to modify the ACL

Impide que los usuarios realicen operaciones de tipo chmod locales omediante NFS. Habilite este ajuste si no desea que se establezcan permisosmediante NFS.

Ignore operation if file has an existing ACL

Impide que un cliente NFS modifique la ACL. Seleccione esta opción si definióuna ACL heredable en un directorio y desea utilizar esa ACL para lospermisos.

PRECAUCIÓN

Si intenta ejecutar el comando chmod en los mismos permisos que estánestablecidos actualmente en un archivo con una ACL, es posible que laoperación falle en forma silenciosa. La operación parece tener éxito, pero situviera que examinar los permisos en el clúster, podría observar que elcomando chmod no tuvo ningún efecto. Como solución alternativa, puedeejecutar el comando chmod para cambiar los permisos actuales y despuésejecutar otro comando chmod para volver a los permisos originales. Porejemplo, si el archivo muestra 755 permisos de UNIX y usted desea confirmareste número, puede ejecutar chmod 700 file; chmod 755 file.

ACLs Created On Directories By the chmod Command

En sistemas Windows, las ACE para los directorios pueden definir reglas deherencia detalladas. En un sistema UNIX, los bits de modo no se heredan. Hacerheredables las ACL creadas en directorios por el comando chmod es más seguropara los ambientes en los que se aplica un control estricto, pero podría denegar elacceso a algunos usuarios de Windows que normalmente esperarían tener acceso.Seleccione una de las siguientes opciones:

l Make ACLs inheritable

l Do not make ACLs inheritable

Use the chown/chgrp On Files With Existing ACLs

Cambia el usuario o grupo que tiene propiedad de un archivo o carpeta.Seleccione una de las siguientes opciones:

Modify only the owner and/or group

Permite que las operaciones chown o chgrp se ejecuten igual que en UNIX.Habilitar este ajuste modifica cualquier ACE de la ACL asociada con elpropietario o el grupo antiguo y nuevo.

Modify the owner and/or group and ACL permissions

Permite que las operaciones chown o chgrp de NFS funcionen igual que enWindows. Cuando se cambia el propietario de un archivo mediante Windows,no se cambia ningún permiso en la ACL.

Ignore operation if file has an existing ACL

Impide que un cliente de NFS cambie el propietario o el grupo.



Nota

Mediante NFS, las operaciones chown o chgrp cambian los permisos y el usuarioo el grupo propietario. Por ejemplo, considere el caso de un archivo pertenecienteal usuario Joe, con permisos rwx------ (700), lo cual significa que hay permisos detipo rwx para el propietario, pero ningún permiso para otros usuarios. Si ejecuta elcomando chown para cambiar la propiedad del archivo al usuario Bob, lospermisos de propiedad seguirán siendo rwx, pero ahora representarán lospermisos de Bob en lugar de los de Joe, quien habrá perdido todos sus permisos.Este ajuste no afecta las operaciones chown o chgrp de UNIX que se realizan enarchivos con permisos de UNIX ni tampoco afecta las operaciones chown ochgrp de Windows, que no cambian ningún permiso.

Access checks (chmod, chown)

En los ambientes UNIX, solo el propietario de un archivo o un superusuario tienenderecho a ejecutar una operación chmod o chown en un archivo. En los ambientesde Windows, puede implementar este ajuste de política para otorgar a los usuariosel derecho de ejecutar operaciones chmod que cambian permisos o el derecho deejecutar operaciones chown que permiten tomar propiedad pero que no implicanrenunciar a la propiedad. Seleccione una de las siguientes opciones:

Allow only the file owner to change the mode or owner of the file (UNIXmodel)

Habilita que las comprobaciones de acceso chmod y chown funcionen con uncomportamiento similar al de UNIX.

Allow the file owner and users with WRITE_DAC and WRITE_OWNERpermissions to change the mode or owner of the file (Windows model)

Habilita que las comprobaciones de acceso chmod y chown funcionen con uncomportamiento similar al de Windows.

Advanced ACL Settings

Treatment of 'rwx' permissions

En ambientes UNIX, los permisos rwx indican que un usuario o grupo tienepermisos de lectura, escritura y ejecución, y que un usuario o grupo tiene el nivelmáximo posible de permisos.Cuando se asignan permisos de UNIX a un archivo, no se almacena ninguna ACLpara ese archivo. Debido a que un sistema Windows solo procesa listas de controlde acceso, el clúster debe convertir los permisos de UNIX en una ACL cuando lospermisos de un archivo se ven en un sistema Windows. Este tipo de ACL sedenomina ACL sintética. Las listas de control de acceso sintéticas no sealmacenan en ninguna parte, sino que se generan y descartan en forma dinámicacuando es necesario. Si un archivo tiene permisos de UNIX, es posible queobserve las ACL sintéticas cuando ejecute el comando ls para ver las ACL de unarchivo.

Cuando se genera una ACL sintética, el clúster Isilon mapea los permisos de UNIXa derechos de Windows. Windows es compatible con un modelo de permisos másgranular que UNIX y especifica derechos que no pueden mapearse fácilmentepartiendo de permisos de UNIX. Si el clúster Isilon mapea permisos de tipo rwx aderechos de Windows, es necesario habilitar una de las siguientes opciones.



Retain 'rwx' permissions

Genera una ACE que brinda solo permisos de lectura, escritura y ejecución.

Treat 'rwx' permissions as Full Control

Genera una ACE que brinda los permisos más elevados de Windows para unusuario o grupo, ya que agrega el derecho de permisos de cambio, el derechode toma de propiedad y el derecho de eliminación.

Group Owner Inheritance

Los sistemas operativos tienden a trabajar con la propiedad y los permisosgrupales en dos formas diferentes: BSD hereda el propietario grupal de la carpetaprincipal del archivo; Windows y Linux heredan el propietario grupal del grupoprimario del creador del archivo. Si habilita un ajuste que hace que el propietariogrupal se herede del grupo primario del creador, puede reemplazar este ajuste porcarpeta ejecutando el comando chmod para establecer el bit set-gid. Este tipo deherencia se aplica solo cuando se crea un archivo. Para obtener más información,consulte la página del manual del comando chmod.Seleccione una de las siguientes opciones:

When an ACL exists, use Linux and Windows semantics, otherwise use BSDsemantics

Especifica que, si existe una ACL en un archivo, el propietario del grupo sehereda del grupo primario del creador del archivo. Si no hay una ACL, elpropietario del grupo se hereda de la carpeta primaria.

BSD semantics - Inherit group owner from the parent folder

Especifica que el propietario del grupo se hereda de la carpeta primaria delarchivo.

Linux and Windows semantics - Inherit group owner from the creator'sprimary group

Especifica que el propietario del grupo se hereda del grupo primario delcreador del archivo.

chmod (007) On Files With Existing ACLs

Especifica si se deben quitar las ACL cuando se ejecuta el comando chmod(007). Seleccione una de las siguientes opciones.

chmod(007) does not remove existing ACL

Establece los permisos 007 de UNIX sin eliminar una ACL existente.

chmod(007) removes existing ACL and sets 007 UNIX permissions

Elimina las ACL de los archivos en el uso compartido de archivos de UNIX(NFS) y localmente en el clúster mediante el comando chmod (007). Sihabilita este ajuste, asegúrese de ejecutar el comando chmod en el archivoinmediatamente después de utilizar chmod (007) para borrar una ACL. Enla mayoría de los casos, no es deseable dejar los permisos 007 en el archivo.

Approximate Owner Mode Bits When ACL Exists

Las ACL de Windows son más complejas que los permisos de UNIX. Cuando uncliente UNIX solicita permisos de UNIX para un archivo con una ACL medianteNFS, lo que recibe es una versión aproximada e imperfecta de los permisos realesdel archivo. Si se ejecuta el comando ls -l de un cliente UNIX, el resultado esun conjunto de permisos más abierto que el esperado por el usuario. Esta



permisividad compensa por las aplicaciones que inspeccionan incorrectamente lospermisos de UNIX en sí para determinar si se debe intentar una operación en elsistema de archivos. El propósito de este ajuste de política es asegurarse de queestas aplicaciones continúen con la operación para permitir que el sistema dearchivos determine correctamente el acceso del usuario mediante la ACL.Seleccione una de las siguientes opciones:

Approximate owner mode bits using all possible group ACEs in ACL

Hace que los permisos del propietario parezcan más amplios que los permisosreales que constan en el archivo.

Approximate owner mode bits using only the ACE with the owner ID

Hace que los permisos del propietario parezcan más precisos, ya quesolamente se ven los permisos de un usuario específico y no el conjunto máspermisivo. Sin embargo, esto puede ocasionar problemas de denegación deacceso para los clientes UNIX.

Approximate Group Mode Bits When ACL Exists

Seleccione una de las siguientes opciones para los permisos grupales:

Approximate group mode bits using all possible group ACEs in ACL

Hace que los permisos grupales parezcan más permisivos que los permisosreales que constan en el archivo.

Approximate group mode bits using only the ACE with the group ID

Hace que los permisos grupales parezcan más precisos, ya que solamente seven los permisos de un grupo específico y no el conjunto más permisivo. Sinembargo, esto puede ocasionar problemas de denegación de acceso para losclientes UNIX.

Synthetic "deny" ACEs

La interfaz del usuario de ACL de Windows no puede mostrar una ACL si algunaACE de denegación se encuentra fuera del orden canónico de la ACL. Pararepresentar los permisos de UNIX de manera más exacta, es posible que las ACEde denegación se encuentren fuera del orden canónico de la ACL. Seleccione unade las siguientes opciones:

Do not modify synthetic ACLs and mode bit approximations

Impide que se realicen modificaciones en la generación de ACL sintéticas ypermite generar ACE de denegación cuando sea necesario.

PRECAUCIÓN

Esta opción puede ocasionar que se reordenen los permisos, lo cualpodría generar una denegación permanente del acceso si un usuario ouna aplicación de Windows realizan una operación de obtención de ACL,una modificación de ACL y un establecimiento de ACL hacia Windows ydesde este.

Remove “deny” ACEs from ACLs. This setting can cause ACLs to be morepermissive than the equivalent mode bits

No incluye ninguna ACE de denegación cuando se generan listas ACLsintéticas.



Access check (utimes)

Es posible controlar quién puede cambiar los valores utimes, que son los horariosde acceso y modificación de un archivo. Seleccione una de las siguientesopciones:

Allow only owners to change utimes to client-specific times (POSIXcompliant)

Permite solo a los propietarios modificar los utimes, lo que cumple con elestándar POSIX.

Allow owners and users with ‘write’ access to change utimes to client-specific times

Permite a los propietarios y usuarios con acceso de escritura modificar losutimes, lo que es menos restrictivo.

Read-only DOS attribute

Deny permission to modify files with DOS read-only attribute over WindowsFiles Sharing (SMB)

Duplica el comportamiento de los permisos de atributos de DOS solamente enel protocolo SMB, de manera que los archivos utilicen el atributo de sololectura en SMB.

Deny permission to modify files with DOS read-only attribute through NFSand SMB

Duplica el comportamiento de permisos de atributos de DOS tanto en elprotocolo NFS como en el SMB. Por ejemplo, si los permisos son de sololectura en un archivo en SMB, los permisos son de solo lectura en NFS.

Displayed mode bits

Use ACL to approximate mode bits

Muestra la aproximación de los bits de modo NFS que se basan en lospermisos de las ACL.

Always display 777 if ACL exists

Muestra los permisos de archivos de tipo 777. Si los permisos aproximados deNFS son menos permisivos que los de la ACL, podría ser conveniente utilizareste ajuste para que el cliente de NFS no se detenga en la comprobación deacceso antes de realizar su operación. Utilice este ajuste cuando exista laposibilidad de que se bloquee una aplicación de terceros si la ACL noproporciona el acceso adecuado.

Ejecutar el trabajo PermissionRepairPara actualizar la propiedad o los permisos de archivos y directorios, ejecute el trabajoPermissionRepair. Para evitar que se produzcan problemas con los permisos, como losque pueden ocurrir después de cambiar la identidad en disco, ejecute esta tarea con eltrabajo Convert Permissions para asegurarse de que los cambios se propaguencompletamente por todo el clúster.

Procedimiento

1. Haga clic en Cluster Management > Job Operations > Job Types.


Ejecutar el trabajo PermissionRepair 211

2. (Opcional) En la tabla Job Types, haga clic en View/Edit en la filaPermissionRepair.

Aparecerá la ventana View Job Type Details.

3. Haga clic en Edit Job Type.

Aparecerá la ventana Edit Job Type Details.

4. Seleccione Enable this job type.

5. En la lista Default Priority, seleccione un número de prioridad que especifiquela prioridad del trabajo entre todos los trabajos en ejecución. La prioridad deltrabajo se indica con valores de 1 a 10, donde 1 es la prioridad más alta y 10 es lamás baja.

6. (Opcional) En la lista Default Impact Policy, seleccione la política de impactoque debe seguir el trabajo.

7. En el área Schedule, especifique cómo se debe iniciar el trabajo.


Manual Este trabajo se debe iniciar manualmente.

Programado El trabajo está programado para ejecutarse en forma regular.Seleccione la opción de programa en la lista desplegable yespecifique los detalles del programa.

8. Haga clic en Save Changes y, a continuación, en Close.

9. (Opcional) En la tabla Job Types, haga clic en Start Job.

Se abrirá la ventana Start a Job.

10. Seleccione o desmarque la casilla de verificación Allow Duplicate Jobs.

11. (Opcional) En la lista Impact policy, seleccione una política de impacto para eltrabajo siguiente.

12. En el campo Paths, ingrese el directorio de /ifs cuyos permisos desea reparar,o navegue hasta él.

13. (Opcional) Haga clic en Add another directory path y, en el campo agregadoPaths, ingrese un directorio adicional de /ifs cuyos permisos desea reparar, onavegue hasta él.

Puede repetir este paso para agregar rutas de directorio según sea necesario.

14. En la lista Repair Type, seleccione uno de los siguientes métodos paraactualizar permisos:


Clone Aplica los ajustes de permisos del directorio especificado mediante laopción Template File or Directory al directorio que se establece enel campo Paths.

Inherit Aplica en forma recursiva la ACL del directorio especificadomediante la opción Template File or Directory a todos los archivosy subdirectorios indicados en los campos Paths, de acuerdo con lasreglas de herencia estándar.

Convert Para cada archivo y directorio especificado en los campos Paths,convierte el propietario, el grupo y la lista de control de acceso




(ACL) en la identidad en disco de destino según el ajuste MappingType.

Las opciones de configuración restantes varían en función de la tarea dereparación seleccionada.

15. En el campo Template File or Directory, ingrese el directorio de /ifs del quedesea copiar los permisos, o navegue hasta él. Este ajuste se aplica solamente alos tipos de reparación Clone e Inherit.

16. (Opcional) En la lista Mapping Type, seleccione el tipo de identidad en discoque prefiere aplicar. Este ajuste se aplica solamente a la tarea de reparación depermisos Convert.


Global Se aplica a la identidad predeterminada del sistema.

SID (Windows) Se aplica a la identidad de Windows.

UNIX Se aplica a la identidad de UNIX.

Native Si un usuario o grupo no tiene un identificador de UNIX conautoridad (UID o GID), se aplica la identidad de Windows(SID).

17. (Opcional) Haga clic en Start Job.


Ejecutar el trabajo PermissionRepair 213

CAPÍTULO 10

Uso compartido de archivos


l Descripción general del uso compartido de archivos......................................... 216l SMB................................................................................................................. 218l NFS..................................................................................................................237l FTP...................................................................................................................251l HTTP y HTTPS................................................................................................ 252

Uso compartido de archivos 215

Descripción general del uso compartido de archivosLa compatibilidad multiprotocolo de OneFS permite el acceso a los archivos ydirectorios en el clúster Isilon a través de SMB para el uso compartido de archivos enWindows, NFS para el uso compartido de archivos en UNIX, el protocolo SSH, FTP yHTTP. De manera predeterminada, solo se habilitan los protocolos SMB y NFS.

OneFS crea el directorio /ifs, que es el directorio raíz para todos los datos delsistema de archivos en el clúster. De manera predeterminada, el directorio /ifs seconfigura como un recurso compartido SMB y como una exportación de NFS. Puedecrear recursos compartidos y exportaciones adicionales en el árbol de directorios /ifs.

Nota

Se recomienda no guardar datos en la ruta de archivos /ifs raíz, sino en losdirectorios que se encuentran debajo de /ifs. El diseño de la estructura dealmacenamiento de datos se debe planear cuidadosamente. Una estructura dedirectorio bien diseñada optimiza la administración y el rendimiento del clúster.

Puede establecer permisos basados en Windows y en UNIX en los archivos ydirectorios de OneFS. Los usuarios que cuenten con los permisos y privilegiosadministrativos necesarios pueden crear, modificar y leer los datos del clúster a travésde uno o más protocolos compatibles de uso compartido de archivos.

l SMB. Permite a los clientes de Microsoft Windows y Mac OS X acceder a losarchivos que se encuentran almacenados en el clúster.

l NFS. Permite a los clientes Linux y UNIX que cumplen con las especificacionesRFC1813 (NFSv3) y RFC3530 (NFSv4) el acceso a los archivos que se encuentranalmacenados en el clúster.

l HTTP y HTTPS (con DAV opcional). Permite a los clientes acceder a los archivosque se encuentran almacenados en el clúster a través de un navegador web.

l FTP. Permite a cualquier cliente que tenga un programa de cliente FTP acceder alos archivos que se encuentran almacenados en el clúster a través del protocoloFTP.

Ambientes de protocolos mixtosEl directorio /ifs es el directorio raíz para todos los datos del sistema de archivos enel clúster y funciona como un recurso compartido de SMB, una exportación de NFS yun directorio raíz de documentos. Puede crear recursos compartidos y exportacionesadicionales en el árbol de directorios /ifs. Puede configurar su clúster OneFS paraque use tanto SMB como NFS o solo uno de ellos. También puede habilitar losprotocolos HTTP, FTP y SSH.

Los derechos de acceso se implementan de manera coherente en los protocolos deacceso de todos los modelos de seguridad. Al usuario se le otorgan o se le deniegan losmismos derechos a un archivo, utilice SMB o NFS. Los clústeres que ejecutan OneFSadmiten un conjunto de ajustes de políticas globales que le permiten personalizar lalista de control de acceso (ACL) predeterminada y la configuración de permisos deUNIX.

OneFS se configura con permisos estándares de UNIX en el árbol de archivos. A travésdel Explorador de Windows o de las herramientas administrativas de OneFS, puedeotorgar una ACL a cualquier archivo o directorio. Además de los usuarios y grupos deldominio de Windows, las ACL en OneFS pueden incluir usuarios y grupos locales, de



NIS y de LDAP. Después de que se le otorga una ACL a un archivo, se dejan de aplicarlos bits de modos, los cuales existen solo como un estimado de los permisos reales.

Nota

Se recomienda configurar permisos de ACL y UNIX solo si comprende plenamente laforma en que interactúan entre sí.

Almacenamiento en caché de escritura con SmartCacheEl caché de escritura acelera el proceso de escribir datos en el clúster. OneFS incluyeuna función de caché de escritura denominada SmartCache, que está habilitada demanera predeterminada para todos los archivos y directorios.

Si se habilita la caché de escritura, OneFS escribe los datos en una caché conreescritura en lugar de escribir los datos inmediatamente en el disco. OneFS puedeescribir los datos en el disco en un momento más conveniente.

Nota

Se recomienda que mantenga habilitada la caché de escritura. También deberíahabilitar la caché de escritura para todas las políticas de pool de archivos.

OneFS interpreta las escrituras en el clúster como síncronas o asíncronas, según lasespecificaciones del cliente. Los impactos y riesgos de la caché de escritura dependende los protocolos que usan los clientes para realizar escrituras en el clúster y de si lasescrituras se interpretan como síncronas o asíncronas. Si se deshabilita la caché deescritura, se ignoran las especificaciones del cliente y todas las escrituras se realizande manera síncrona.

La siguiente tabla explica cómo se interpretan las especificaciones del cliente, según elprotocolo.

Protocolo Síncrona asíncrona

NFS El campo estable se configuraen data_sync o en

file_sync.

El campo estable se configuraen unstable.

SMB Se aplicó la marca write-through.

No se aplicó la marca write-through.

Almacenamiento en caché de escritura de escrituras asíncronasLa escritura asíncrona en el clúster con la caché de escritura es el método más rápidode escribir datos en su clúster.

La caché de escritura para escrituras asíncronas requiere menos recursos del clústerque la caché de escritura para escrituras síncronas y mejorará el rendimiento generaldel clúster para la mayoría de los flujos de trabajo. Sin embargo, las escriturasasíncronas suponen algunos riesgos de pérdida de datos.

La siguiente tabla describe el riesgo de pérdida de datos de cada protocolo cuando lacaché de escritura para escrituras asíncronas se encuentra habilitada:

Protocolo Riesgo

NFS Si un nodo falla, no se perderán datos,excepto en el caso improbable de que un


Almacenamiento en caché de escritura con SmartCache 217

Protocolo Riesgo

cliente de ese nodo también sufra una fallageneral antes de poder restablecer laconexión al clúster. Ante dicha situación, seperderán las escrituras asíncronas que no sehayan confirmado en el disco.

SMB Si un nodo falla, se perderán las escriturasasíncronas que no se hayan confirmado en eldisco.

Se recomienda no deshabilitar la caché de escritura, independientemente delprotocolo con el cual realice escrituras. Si realiza escrituras asíncronas en el clúster ydecide que los riesgos de pérdida de datos son demasiado grandes, recomendamosconfigurar los clientes para que usen las escrituras síncronas, en vez de deshabilitar lacaché de escritura.

Almacenamiento en caché de escritura de escrituras síncronasLa caché de escritura para escrituras síncronas utiliza recursos del clúster, incluida unacantidad insignificante de espacio de almacenamiento. A pesar de que la caché deescritura con escrituras síncronas no es tan rápida como la de escrituras asíncronas, amenos que los recursos del clúster sean extremadamente limitados, es más rápida quelas escrituras en el clúster sin la caché de escritura.

La caché de escritura no afecta la integridad de las escrituras síncronas; si un clúster onodo falla, no se pierde ningún dato de la caché de reescritura para las escriturassíncronas.

SMBOneFS incluye un servicio de SMB configurable para crear y administrar recursoscompartidos de SMB. Los recursos compartidos de SMB ofrecen a los clientesWindows acceso de red a los recursos del sistema de archivos en el clúster. Puedeotorgar permisos a usuarios y grupos para llevar a cabo operaciones tales comolectura, escritura y configuración de permisos de acceso en los recursos compartidosde SMB.

El directorio /ifs está configurado como un recurso compartido de SMB y estáhabilitado de manera predeterminada. OneFS admite los modos de seguridad deusuario y anónima. Si se habilita el modo de seguridad de usuario, los usuarios que seconecten a un recurso compartido desde un cliente SMB deben proporcionar unnombre de usuario válido con las credenciales adecuadas.

Los recursos compartidos de SMB funcionan como puntos de comprobación y losusuarios deben contar con acceso a un recurso compartido para acceder a los objetosen el sistema de archivos de un recurso compartido. Si a un usuario se le otorgaacceso al sistema de archivos, pero no al recurso compartido en el que reside, eseusuario no podrá acceder al sistema de archivos, independientemente de losprivilegios. Por ejemplo, suponga que un recurso compartido denominado ABCDocscontiene un archivo llamado file1.txt en una ruta como: /ifs/data/ABCDocs/file1.txt. Si el usuario que intenta acceder a file1.txt no tiene privilegios derecurso compartido en ABCDocs, no podrá acceder al archivo, aun si originalmente sele otorgaron privilegios de lectura o escritura para el archivo.

El protocolo SMB usa identificadores de seguridad (SID) para los datos deautorización. Todas las identidades se convierten en SID durante la recuperación y



luego se vuelven a convertir en su representación en disco, antes de almacenarse en elclúster.

Cuando se crea un directorio o un archivo, OneFS verifica la lista de control de acceso(ACL) de su directorio principal. Si la ACL contiene entradas de control de acceso(ACE) heredables, se genera una nueva ACL a partir de esas ACE. De otra manera,OneFS crea una ACL a partir de la combinación de las configuraciones de creación demáscaras y de creación de modos de archivos y directorios.

OneFS admite los siguientes clientes SMB:

Versión de SMB Sistemas operativos admitidos.

3.0, solamente Multichannel Windows 8 o superiorWindows Server 2012 o superior

2.1 Windows 7 o posteriorWindows Server 2008 R2 o superior

2.0 Windows Vista o superiorWindows Server 2008 o posterior

Mac OS X 10.9 o superior

1.0 Windows 2000 o superiorWindows XP o superior

Mac OS X 10.5 o superior

Recursos compartidos de SMB en zonas de accesoPuede crear y administrar recursos compartidos de SMB dentro de zonas de acceso.

Puede crear zonas de acceso que particionen el almacenamiento en el clúster EMCIsilon en varios contenedores virtuales. Las zonas de acceso son compatibles contodos los ajustes de configuración para la autenticación y los servicios deadministración de identidades en el clúster, de modo que pueda configurarproveedores de autenticación y provisionar recursos compartidos de SMB a las zonasde forma individual. Al crear una zona de acceso, un proveedor local se creaautomáticamente, lo que le permite configurar cada zona de acceso con una lista deusuarios y grupos locales. También puede llevar a cabo la autenticación por medio deun proveedor de Active Directory diferente en cada zona de acceso. Para controlar elacceso a los datos, dirija las conexiones entrantes a la zona de acceso desde unadirección IP específica en un pool. La asociación de una zona de acceso con un pool dedirección IP restringe la autenticación a la zona de acceso asociada y reduce el númerode recursos compartidos de SMB disponibles y accesibles.

Estas son algunas maneras de simplificar la administración de SMB con zonas deacceso:

l Migre múltiples servidores SMB, como los servidores de archivos de Windows o losfilers de NetApp, a un solo clúster Isilon y luego configure una zona de accesoindependiente para cada servidor SMB.

l Configure cada zona de acceso con un conjunto único de nombres de recursoscompartidos de SMB que no estén en conflicto con los nombres de recursoscompartidos de otras zonas de acceso, e incorpore cada zona de acceso a undominio de Active Directory diferente.

l Para reducir la cantidad de recursos compartidos disponibles y accesibles que hande administrarse, asocie un pool de direcciones IP con una zona de acceso a fin delimitar la autenticación a la zona.


Recursos compartidos de SMB en zonas de acceso 219

l Establezca la configuración de recursos compartidos de SMB predeterminada quese aplica a todos los recursos compartidos en una zona de acceso.

El clúster Isilon incluye una zona de acceso integrada denominada System, en la queadministra todos los aspectos del clúster y otras zonas de acceso. Si no especifica unazona de acceso al administrar recursos compartidos de SMB, OneFS establecerá lazona System como predeterminada.

SMB MultichannelSMB Multichannel admite el establecimiento de una sola sesión SMB en variasconexiones de red.

SMB Multichannel es una función del protocolo SMB 3.0 que ofrece las siguientesfuncionalidades:

Aumento de rendimiento

OneFS puede transmitir más datos a un cliente mediante varias conexiones pormedio de adaptadores de red de alta velocidad o varios adaptadores de red.

Tolerancia a fallas de conexión

Cuando se establece una sesión SMB Multichannel en varias conexiones de red,no se pierde la sesión si una de las conexiones tiene una falla de red, por lo que elcliente podrá continuar trabajando.

Descubrimiento automático

SMB Multichannel automáticamente descubre configuraciones de hardwarecompatibles en el cliente que contiene varias rutas de red disponibles; luegonegocia y establece una sesión con varias conexiones de red. No es obligatorioinstalar componentes, funciones, servicios de funciones o funcionalidades.

Requisitos de SMB MultichannelDebe cumplir con los requisitos de configuración de la NIC y de software para admitirSMB Multichannel en el clúster EMC Isilon.

OneFS solamente es compatible con SMB Multichannel cuando se cumplen lossiguientes requisitos de software:

l Clientes de Windows Server 2012, 2012 R2 o Windows 8, 8.1

l SMB Multichannel debe estar habilitado tanto en el clúster EMC Isilon como en lacomputadora cliente de Windows. Está habilitado en el clúster Isilon de formapredeterminada.

SMB Multichannel establece una sola sesión SMB en varias conexiones de redúnicamente en configuraciones de la tarjeta de interfaz de red (NIC) compatibles.SMB Multichannel requiere al menos una de las siguientes configuraciones de la NICen la computadora cliente:

l Dos o más tarjetas de interfaz de red.

l Una o más tarjetas de interfaz de red compatibles con Receive Side Scaling (RSS).

l Una o más tarjetas de interfaz de red configuradas con la agregación de vínculos.La agregación de vínculos le permite combinar el ancho de banda de varias NIC enun nodo para formar una sola interfaz lógica.

Configuraciones de NIC del lado del cliente compatibles con SMB MultichannelSMB Multichannel automáticamente descubre configuraciones de hardwarecompatibles en el cliente que cuenten con varias rutas de red disponibles.



Cada nodo en el clúster EMC Isilon presenta al menos una tarjeta de interfaz de red(NIC) que pueda usar el canal de RSS. La configuración de la NIC del lado del clientedetermina cómo SMB Multichannel establece conexiones de red simultáneas porsesión SMB.

Configuración dela NIC del ladodel cliente

Descripción

Una sola NIC quepuede usar el canalde RSS

SMB Multichannel establece un máximo de cuatro conexiones de redcon el clúster Isilon en la NIC. Lo más probable es que las conexiones sedistribuyan en varios cores del CPU, lo cual reduce la posibilidad de quese produzcan cuellos de botella en el rendimiento y permite que sealcance la velocidad máxima de la NIC.

Múltiples NIC Si las NIC pueden utilizar el canal de RSS, SMB Multichannel estableceun máximo de cuatro conexiones de red con el clúster Isilon en cadaNIC. Si las NIC en el cliente no pueden utilizar el canal de RSS, SMBMultichannel establece una sola conexión de red con el clúster Isilon encada NIC. Ambas configuraciones permiten que SMB Multichannelaproveche el ancho de banda combinado de varias NIC y proporcioneuna tolerancia a fallas si una conexión o una NIC fallan.

Nota

SMB Multichannel no puede establecer más de ocho conexiones de redsimultáneas por sesión. En una configuración de NIC múltiples, estopodría limitar la cantidad de conexiones permitidas por NIC. Por ejemplo,si la configuración contiene tres NIC que pueden usar el canal de RSS,SMB Multichannel podría establecer tres conexiones en la primeratarjeta NIC, tres en la segunda tarjeta y dos en la tercera.

NIC agregadas SMB Multichannel establece varias conexiones de red con el clústerIsilon en NIC agregadas, lo que da como resultado conexionesequilibradas en los cores del CPU, un uso eficaz del ancho de bandacombinado y tolerancia a fallas de conexión.

Nota

La configuración de la NIC agregada proporciona inherentementetolerancia a fallas de NIC que no depende del protocolo SMB.

Administración de recursos compartidos de SMB mediante MMCOneFS es compatible con el snap-in de carpetas compartidas para MicrosoftManagement Console (MMC), que permite que los recursos compartidos de SMB enel clúster EMC Isilon se administren con la herramienta MMC.

Por lo general, se conecta a la zona System global mediante la interfaz deadministración web o la interfaz de la línea de comandos para administrar y configurarrecursos compartidos. Si configura zonas de acceso, puede conectarse a una zonamediante el snap-in de carpetas compartidas para MMC a fin de administrardirectamente todos los recursos compartidos en esa zona.

Puede establecer una conexión mediante el snap-in de carpetas compartidas paraMMC a un nodo Isilon y ejecutar las siguientes tareas de administración de recursoscompartidos de SMB:


Administración de recursos compartidos de SMB mediante MMC 221

l Crear y eliminar carpetas compartidas

l Configurar el permiso de acceso a un recurso compartido de SMB

l Ver una lista de sesiones activas de SMB

l Cerrar sesiones de SMB abiertas

l Ver una lista de archivos abiertos

l Cerrar archivos abiertos

Cuando se conecta a una zona mediante el snap-in de carpetas compartidas paraMMC, puede ver y administrar todos los recursos compartidos de SMB asignados aesa zona. Sin embargo, solamente puede ver sesiones activas de SMB y abrir archivosen el nodo específico con el que está conectado en esa zona. Los cambios que realizaen los recursos compartidos mediante el snap-in de carpetas compartidas para MMCse propagan a lo largo del clúster.

Requisitos de conexión con MMCPuede conectarse a un clúster EMC Isilon mediante el snap-in de carpetascompartidas de MMC si cumple con los requisitos de acceso.

Se requieren las siguientes condiciones para establecer una conexión mediante elsnap-in de carpetas compartidas de MMC:

l Debe ejecutar Microsoft Management Console (MMC) desde una estación detrabajo de Windows unida al dominio de un proveedor de Active Directory (AD)configurado en el clúster.

l Debe ser miembro del grupo <cluster>\Administrators local.

Nota

Los privilegios de control de acceso basado en funciones (RBAC) no se aplican aMMC. Una función con privilegios de SMB no es suficiente para obtener acceso.

l Debe iniciar sesión en una estación de trabajo de Windows como un usuario deActive Directory que forme parte del grupo <cluster>\Administrators local.

Copia del lado del servidor de SMBA fin de aumentar el rendimiento del sistema, SMB 2 y los clientes posteriores puedenutilizar la función de copia del lado del servidor en OneFS.

Los clientes de Windows que hacen uso del servicio de soporte de la copia del lado delservidor pueden experimentar mejoras de rendimiento para las operaciones de copiade archivos, puesto que los datos en archivos ya no necesitan atravesar la red. Lafunción de copia del lado del servidor lee y escribe archivos solamente en el servidor,lo que evita el ciclo de ida y vuelta de la red y la duplicación de datos en archivos. Estafunción solo afecta las operaciones de copia de archivos o copia parcial en las que losidentificadores de archivos de origen y de destino están abiertos en el mismo recursocompartido, y no funciona para las operaciones de recurso compartido cruzado.

Esta función está habilitada de manera predeterminada en clústeres de OneFS y solose puede desactivar en todas las zonas del sistema completo. Además, la copia dellado del servidor en OneFS no es compatible con la función de disponibilidad continuade SMB. Si la disponibilidad continua está habilitada para un recurso compartido y elcliente abre un identificador de archivo persistente, la copia del lado del servidor sedesactiva automáticamente para ese archivo.



Nota

Únicamente puede deshabilitar o habilitar la copia del lado del servidor SMB paraOneFS mediante la interfaz de la línea de comandos (CLI).

Habilitar o deshabilitar la copia del lado del servidor de SMBPuede habilitar o deshabilitar la función de copia del lado del servidor de SMB.

La función de copia del lado del servidor de SMB se habilita de forma predeterminadaen OneFS.

Procedimiento

1. Abra una conexión de protocolo SSH a cualquier nodo del clúster EMC Isilon.

2. Ejecute el comando isi smb settings global modify.

3. Modifique la opción --server-side-copy según sea necesario.

Esta función está habilitada de manera predeterminada.

Por ejemplo, el siguiente comando deshabilita la copia del lado del servidor de SMB:

isi smb settings global modify --server-side-copy=no

Disponibilidad continua de SMBSi está ejecutando OneFS en un ambiente SMB 3.0, está permitiendo que ciertosclientes de Windows abran archivos en un servidor con la disponibilidad continuahabilitada.

Si un servidor está usando Windows 8 o Windows Server 2012, los clientes puedencrear identificadores de archivos persistentes que pueden recuperarse después de unainterrupción, como una desconexión relacionada con la red o una falla del servidor.Puede especificar cuánto tiempo se conserva el identificador persistente después deuna falla de servidor o de una desconexión, así como forzar bloqueos estrictos a losusuarios que intenten abrir un archivo que pertenece a otro identificador. Además, através de la interfaz de la línea de comandos (CLI) de OneFS, puede configurar losajustes de la integridad de escritura para controlar la estabilidad de las escrituras en elrecurso compartido.

Si la disponibilidad continua está habilitada para un recurso compartido y el clienteabre un identificador de archivo persistente, la copia del lado del servidor se desactivaautomáticamente para ese archivo.

Nota

Únicamente puede habilitar la disponibilidad continua al crear un recurso compartido,pero puede actualizar la configuración de la integridad de escritura, del tiempo deespera agotado y del bloqueo al crear o modificar un recurso compartido.

Activar la disponibilidad continua de SMBPuede habilitar la disponibilidad continua de SMB 3.0 y configurar los ajustes cuandocrea un recurso compartido.


Disponibilidad continua de SMB 223

También puede actualizar el tiempo de espera de disponibilidad continua, el bloqueo yla configuración de la integridad de escritura cuando se modifica un recursocompartido.

Procedimiento

1. Vaya a Protocols > Windows Sharing (SMB) > SMB Shares.

2. Haga clic en Create an SMB share.

Aparecerá la ventana Create SMB Share.

3. Seleccione Enable continuous availability on the share.

4. (Opcional) Haga clic en Show Advanced Settings.

5. (Opcional) En el campo Continuous Availability Timeout, la cantidad detiempo durante la que desea retener un identificador persistente después de ladesconexión de un cliente o a falla de un servidor. El valor predeterminado es de2 minutos.

6. (Opcional) Para Strict Continuous Availability Lockout, seleccione Yes paraimpedir un cliente abra un archivo si otro cliente tiene un identificadorpersistente abierto pero desconectado para ese archivo. Si se establece en no,OneFS emite identificadores persistentes, pero los descarta si algún clientedistinto del que abrió el archivo primero intenta acceder al archivo. El valorpredeterminado es Yes.

7. Haga clic en Create Share.

8. Para configurar los ajustes de integridad de escritura:

a. Abra una conexión secure shell (SSH) para la interfaz de línea de comandos(CLI) de OneFS.

b. Configure el parámetro --ca-write-integrity en uno de los siguientesvalores:

noneLas escrituras continuamente disponibles no se manejan de maneradiferente que otras escrituras en el clúster. Si especifica none y unnodo falla, puede experimentar pérdida de datos sin notificación. No serecomienda usar esta configuración.

write-read-coherentLas escrituras en el recurso compartido se transfieren a unalmacenamiento persistente antes de que se devuelva un mensaje deéxito para el cliente SMB que envió los datos. Esta es la configuraciónpredeterminada.

fullLas escrituras en el recurso compartido se transfieren a unalmacenamiento persistente antes de que se devuelva un mensaje deéxito para el cliente SMB que envió los datos e impide que OneFSotorgue a los clientes arrendamientos para la caché de escritura y lacaché de manejo.

Filtrado de archivos SMBPuede usar el filtrado de archivos SMB para permitir o denegar las escrituras dearchivos en una zona de acceso o en un recurso compartido.

Esta función le permite denegar ciertos tipos de archivos que podrían causarproblemas de rendimiento, problemas de seguridad, desorden de almacenamiento o



interrupciones en la productividad. Puede restringir las escrituras permitiendo que lasescrituras de ciertos tipos de archivos se efectúen en un recurso compartido.

l Si elige denegar las escrituras de archivos, puede especificar los tipos de archivoscuya escritura no se permite según su extensión. OneFS permite la escritura en elresto de los tipos de archivos del recurso compartido.

l Si elige permitir las escrituras de archivos, puede especificar los tipos de archivospor extensión que se pueden escribir. OneFS deniega la escritura en el resto de lostipos de archivos del recurso compartido.

Puede agregar o eliminar extensiones de archivo si las políticas de restricción cambian.

Habilitar el filtrado de archivos SMBPuede habilitar o deshabilitar el filtrado de archivos SMB para un recurso compartido.

Procedimiento

1. Haga clic en Protocols > Windows Sharing (SMB) > Default Share Settings.

2. Seleccione Enable file filters.

Se muestra la configuración de las extensiones de archivo.

3. En la lista File Extensions, seleccione una de las siguientes opciones:

l Deny writes for list of file extensions. Los tipos de archivo que especifiqueno se podrán escribir en el recurso compartido.

l Allow writes for list of file extensions. Los tipos de archivo queespecifique serán los únicos tipos de archivo que se podrán escribir en elrecurso compartido.

4. Haga clic en Add file extensions.

5. Escriba un tipo de archivo, como .wav o .mpg, en el campo File Extensions.

6. (Opcional) Para especificar más tipos de archivo, haga clic en Add another fileextension.

7. Haga clic en Add Extensions para guardar los cambios.

8. Para eliminar un tipo de archivo de la lista de extensiones, seleccione la casillade verificación correspondiente a la extensión y haga clic en Delete.

Vínculos simbólicos y clientes SMBOneFS permite que los clientes SMB2 accedan a vínculos simbólicos sin ningúninconveniente. Muchos administradores implementan vínculos simbólicos paraprácticamente volver a ordenar las jerarquías del sistema de archivos, en especialcuando los archivos o directorios fundamentales están dispersos en un ambiente.

En un recurso compartido SMB, un vínculo simbólico (también conocido como symlinko vínculo lógico) es un tipo de archivo que contiene una ruta a un directorio o archivode destino. Los vínculos simbólicos son transparentes para las aplicaciones que seejecutan en clientes SMB y actúan como directorios y archivos típicos. El cliente SMBhabilita la compatibilidad para los vínculos relativos y absolutos. La configuraciónespecífica depende de la versión y el tipo de cliente.

Un vínculo simbólico que señala un directorio o archivo de red que no se encuentra enla ruta de la sesión SMB activa se denomina vínculo absoluto (o remoto). Los vínculosabsolutos siempre apuntan a la misma ubicación en un sistema de archivos, sinimportar el directorio de trabajo actual, y generalmente contienen el directorio raízcomo parte de la ruta. Por el contrario, un vínculo relativo es un vínculo simbólico queapunta directamente al directorio de trabajo de un usuario o una aplicación, de modoque no es necesario especificar la ruta absoluta completa en la creación del vínculo.


Vínculos simbólicos y clientes SMB 225

OneFS expone vínculos simbólicos mediante el protocolo SMB2, lo que les permite alos clientes SMB2 resolver los vínculos en lugar de depender de OneFS para que estelos resuelva en nombre de los clientes. Para cambiar un vínculo relativo o absoluto, elcliente SMB debe estar autenticado en los recursos compartidos SMB a través de loscuales se puede seguir el vínculo. Sin embargo, si el cliente SMB no está autorizado aacceder al recurso compartido, se deniega el acceso y Windows no le solicitará alusuario su información de identificación.

Los vínculos SMB2 y NFS son interoperables solo para los vínculos relativos. Paralograr la máxima compatibilidad, cree estos vínculos desde un cliente POSIX.

Nota

Los clientes SMB1 (como Windows XP o 2002) pueden seguir utilizando vínculosrelativos, pero estos se recorren del lado del servidor y se denominan “archivos deacceso directo”. Los vínculos absolutos no funcionan en estos ambientes.

Habilitación de vínculos simbólicosAntes de poder utilizar completamente los vínculos simbólicos en un ambiente SMB, esnecesario habilitarlos.

Para que los clientes Windows SMB recorran cada tipo de vínculo simbólico, debehabilitarlos en el cliente. Windows es compatible con los siguientes tipos de vínculos:

l local a local

l remoto a remoto

l local a remoto

l remoto a local

Debe ejecutar el siguiente comando de Windows para habilitar los cuatro tipos devínculos:

fsutil behavior set SymlinkEvaluation L2L:1 R2R:1 L2R:1 R2L:1

Para los clientes POSIX que utilizan Samba, debe establecer las siguientes opciones enla sección [global] de su archivo de configuración Samba (smb.conf) para que losclientes Samba puedan cambiar vínculos relativos o absolutos:

follow symlinks=yes wide links=yes

En este caso, los “vínculos amplios” en el archivo smb.conf se refieren a vínculosabsolutos. La configuración predeterminada en este archivo es no.

Administración de vínculos simbólicosDespués de habilitar vínculos simbólicos, puede crearlos o eliminarlos desde la línea decomandos de Windows o desde una línea de comandos POSIX.

Cree vínculos simbólicos con el comando de Windows mklink en un cliente SMB2 o elcomando ln desde una interfaz de la línea de comandos POSIX. Por ejemplo, esposible que un administrador desee otorgar a un usuario denominado User1 el acceso a



un archivo llamado File1.doc en el directorio /ifs/data/ sin brindar accesoespecífico a ese directorio mediante la creación de un vínculo denominado Link1:

mklink \ifs\home\users\User1\Link1 \ifs\data\Share1\File1.doc

Cuando crea un vínculo simbólico, se designa como un vínculo de archivo o un vínculode directorio. Una vez establecido el vínculo, no se puede modificar la designación.Puede dar formato a las rutas de vínculos simbólicos para que sean relativas oabsolutas.

Para eliminar vínculos simbólicos, use el comando del en Windows o el comando rmen un ambiente POSIX.

Tenga en cuenta que cuando elimina un vínculo simbólico, el archivo o el directorio dedestino permanece. Sin embargo, cuando elimina un archivo o directorio de destino, elvínculo simbólico no se elimina y sigue enlazando al antiguo destino, convirtiéndose asíen un vínculo roto.

Acceso anónimo a los recursos compartidos de SMBPuede configurar el acceso anónimo a los recursos compartidos de SMB mediante lahabilitación del usuario Invitado local y permitiendo la suplantación del usuario invitado.

Por ejemplo, si almacena archivos como archivos ejecutables del navegador u otrosdatos que sean públicos en Internet, el acceso anónimo permite que cualquier usuarioacceda al recurso compartido de SMB sin autenticación.

Administración de ajustes de SMBPuede habilitar o deshabilitar el servicio SMB, configurar los ajustes globales de eseservicio y configurar los ajustes predeterminados del recurso compartido de SMB queson específicos de cada zona de acceso.

Configurar ajustes de servidores SMBEs posible habilitar o deshabilitar el servidor SMB y configurar los ajustes globales delos recursos compartidos de SMB y los directorios de snapshots.

PRECAUCIÓN

La modificación de los ajustes avanzados podría ocasionar fallas operativas. Tomeen cuenta las posibles consecuencias antes de realizar cambios en estos ajustes.

Procedimiento

1. Haga clic en Protocols > Windows Sharing (SMB) > SMB Server Settings.

2. En el área Service, seleccione Enable SMB Service.

3. En el área Advanced Settings, seleccione el valor predeterminado del sistema ouna configuración personalizada para los siguientes ajustes:

l Visible at root

l Accessible at root

l Visible in subdirectories

l Accessible in subdirectories



Acceso anónimo a los recursos compartidos de SMB 227

Configurar los ajustes predeterminados de recursos compartidos de SMBEs posible configurar los ajustes de recursos compartidos de SMB específicos de cadazona de acceso.

Los ajustes predeterminados se aplican a todos los recursos compartidos nuevos quese agreguen a la zona de acceso.

PRECAUCIÓN

Si modifica los ajustes predeterminados, los cambios se aplican a todos losrecursos compartidos existentes en la zona de acceso, a menos que el ajuste sehaya configurado al nivel del recurso compartido de SMB.

Procedimiento


2. En la lista desplegable Current Access Zones, seleccione la zona de acceso a laque se aplican los ajustes predeterminados.

3. En el área File Filtering, seleccione Enable file filters para habilitar el filtradode archivos.

4. En el área Advanced Settings, seleccione el valor predeterminado del sistema ouna configuración personalizada para los siguientes ajustes:

l Continuous Availability Timeout

l Strict Continuous Availability Lockout

l Create Permission

l Directory Create Mask

l Directory Create Mode

l File Create Mask

l File Create Mode

l Change Notify

l Bloqueos oportunos

l Impersonate Guest

l Impersonate User

l NTFS ACL

l Enumeración basada en acceso

l Host ACL


Habilitar o deshabilitar SMB MultichannelSe requiere SMB Multichannel para varias sesiones SMB simultáneas desde unacomputadora del cliente Windows hasta un nodo en un clúster EMC Isilon. SMBMultichannel está habilitado en el clúster Isilon de forma predeterminada.

Puede habilitar o deshabilitar SMB Multichannel únicamente mediante la interfaz de lalínea de comandos.

Procedimiento




2. Ejecute el comando isi smb settings global modify.

El siguiente comando habilita SMB Multichannel en el clúster EMC Isilon:

isi smb settings global modify –-support-multichannel=yes

El siguiente comando deshabilita SMB Multichannel en el clúster EMC Isilon:

isi smb settings global modify –-support-multichannel=no

Ajustes de directorios de snapshotsEs posible ver y configurar los ajustes que controlan los directorios de snapshots enSMB.

PRECAUCIÓN

Estos ajustes afectan el comportamiento del servicio SMB. Los cambios que seapliquen a esta configuración pueden afectar todos los recursos compartidos deSMB, tanto actuales como futuros.

Configuración Valor del ajuste

Visible at Root Especifica si el directorio .snapshot debe servisible en la raíz del recurso compartido. Elvalor predeterminado es Yes.

Accessible at Root Especifica si el directorio .snapshot debe seraccesible en la raíz del recurso compartido. Elvalor predeterminado es Yes.

Visible in Subdirectories Especifica si el directorio .snapshot debe servisible en los subdirectorios de la raíz delrecurso compartido. El valor predeterminadoes No.

Accessible in Subdirectories Especifica si el directorio .snapshot debe seraccesible en los subdirectorios de la raíz delrecurso compartido. El valor predeterminadoes Yes.

Ajustes de permisos de archivos y directoriosEs posible ver y configurar los permisos predeterminados de origen y crear en UNIXbits de modo/máscara que se aplican cuando se crean un archivo o un directorio en unrecurso compartido de SMB.

Nota

Los cambios realizados directamente en un recurso compartido de SMB reemplazanlos ajustes predeterminados configurados en la pestaña Default SMB Share Settings.

Si los bits de máscara y modo coinciden con los valores predeterminados, apareceráuna marca de verificación de color verde junto a un ajuste, lo cual indica que el permisode lectura (R), escritura (W) o ejecución (X) está habilitado a nivel del usuario, delgrupo o a “otro” nivel. El “otro” nivel incluye a todos los usuarios que no están


Administración de ajustes de SMB 229

enumerados como propietarios del recurso compartido y que no son parte del nivel degrupo al que pertenece el archivo.


Continuous Availability Timeout Especifica la cantidad de tiempo durante laque desea retener un identificador persistentedespués de la desconexión de un cliente o afalla de un servidor El valor predeterminado esde 2 minutos.

Strict Continuous Availability Lockout Impide que un cliente abra un archivo si otrocliente tiene un identificador persistenteabierto pero desconectado para ese archivo.Si se establece no, OneFS emite

identificadores persistentes, pero los descartasi algún cliente distinto del que abrió elarchivo primero intenta abrir el archivo. Elvalor predeterminado es no.

Create Permission Establece los permisos de origenpredeterminados para que se apliquen cuandose crea un archivo o directorio. El valorpredeterminado es Default ACL.

Directory Create Mask Especifica bits de modo de UNIX que seeliminan cuando se crea un directorio, lo cuallimita los permisos. Los bits de máscara seaplican antes de que se apliquen los bits demodo.

Directory Create Mode Especifica bits de modo de UNIX que seagregan cuando se crea un directorio, lo cualhabilita permisos. Los bits de modo se aplicandespués de que se apliquen los bits demáscara.

File Create Mask Especifica bits de modo de UNIX que seeliminan cuando se crea un archivo, lo cuallimita los permisos. Los bits de máscara seaplican antes de que se apliquen los bits demodo.

File Create Mode Especifica bits de modo de UNIX que seagregan cuando se crea un archivo, lo cualhabilita permisos. Los bits de modo se aplicandespués de que se apliquen los bits demáscara.

Ajustes de rendimiento de SMBEs posible ver y configurar los ajustes de notificación de cambios y rendimiento debloqueos oportunos de un recurso compartido de SMB.

Nota





Change Notify Configura la notificación de clientes cuandolos archivos o directorios cambian. Esto ayudaa impedir que los clientes vean contenidoobsoleto, pero requiere recursos del servidor.El valor predeterminado es Norecurse.

Bloqueos oportunos Indica si se permite una solicitud de bloqueooportuno (Oplock). Un bloqueo oportunopermite a los clientes brindar mejoras derendimiento utilizando información guardadaen caché a nivel local. El valor predeterminadoes Yes.

Ajustes de seguridad de SMBEs posible ver y configurar los ajustes de seguridad de un recurso compartido de SMB.

Nota



Impersonate Guest Determina el acceso de los invitados a unrecurso compartido. El valor predeterminadoes Never.

Impersonate User Permite que todo el acceso a archivos serrealice como un usuario específico. Debe serun nombre de usuario completamentecalificado. El valor predeterminado es Novalue.

NTFS ACL Permite que se almacenen listas ACL enclientes de SMB y se editen desde ahí. El valorpredeterminado es Yes.

Enumeración basada en acceso Permite la enumeración basada en acceso soloen los archivos y las carpetas a los cualespuede acceder el usuario que realiza lasolicitud. El valor predeterminado es No.

ACL de HOST La ACL que define el acceso de host. Laopción predeterminada es que no seespecifique ningún valor.

Administración de recursos compartidos de SMBPuede configurar las reglas y otros ajustes que rigen la interacción entre su red deWindows y los recursos compartidos de SMB individuales en el clúster.

OneFS admite la expansión de las variables %U, %D, %Z, %L, %0, %1, %2 y %3 y elaprovisionamiento automático de los directorios principales del usuario.


Administración de recursos compartidos de SMB 231

Puede configurar los usuarios y grupos asociados con un recurso compartido de SMBy ver o modificar sus permisos en el nivel de recurso compartido.

Nota

Se recomienda que configure los ajustes avanzados del recurso compartido de SMBúnicamente si cuenta con un profundo conocimiento del protocolo SMB.

Crear un recurso compartido de SMBCuando crea un recurso compartido de SMB, puede reemplazar los ajustespredeterminados de permisos, rendimiento y acceso. Puede configurar elaprovisionamiento del directorio principal de SMB mediante la inclusión de las variablesde expansión en la ruta del recurso compartido para crear y redirigir automáticamentea los usuarios a sus propios directorios principales.

Antes de comenzar

Es necesario especificar una ruta para utilizar como recurso compartido de SMB ycrear el directorio antes de crear el recurso compartido de SMB. Los recursoscompartidos son específicos de las zonas de acceso, y la ruta del recurso compartidodebe existir bajo la ruta de la zona. Cree las zonas de acceso antes de crear losrecursos compartidos de SMB.Procedimiento

1. Haga clic en Protocols > Windows Sharing (SMB) > SMB Shares.

2. En la lista desplegable Current Access Zone, seleccione la zona de acceso en laque desea crear el recurso compartido.

3. Haga clic en Create an SMB Share.

4. En el campo Name, ingrese el nombre del recurso compartido.

Los nombres de recursos compartidos pueden contener hasta 80 caracteres,excepto los siguientes: " \ / [ ] : |<>+ = ; , * ?Además, si la codificación de caracteres del clúster no se establece en UTF-8,los nombres de los recursos compartidos de SMB distinguen mayúsculas deminúsculas.

5. (Opcional) En el campo Description, ingrese un comentario acerca del recursocompartido.

Incluir una descripción es opcional, pero puede ser útil si está administrandovarios recursos compartidos. Este campo tiene un límite de 255 caracteres.

6. En el campo Path, ingrese la ruta completa del recurso compartido, que debecomenzar con /ifs, o haga clic en Browse para ubicar la ruta del directorio.

Nota

Si desea utilizar alguna de las variables que se presentan en la siguiente tabla alespecificar ruta del directorio, seleccione la casilla de verificación AllowVariable Expansion para que el sistema no interprete la cadena literalmente.

Variable Expansión

%D Nombre de dominio NetBIOS.

%U Nombre de usuario (por ejemplo: user_001).



Variable Expansión

%Z Nombre de zona; por ejemplo: System.

%L Nombre de host del clúster, normalizado aletras minúsculas.

%0 Primer carácter del nombre de usuario.

%1 Segundo carácter del nombre de usuario.

%2 Tercer carácter del nombre de usuario.

Por ejemplo, si un usuario se encuentra en un dominio denominado DOMAIN ytiene el nombre de usuario user_1, la ruta /ifs/home/%D/%U se expandea /ifs/home/DOMAIN/user_1.

7. Seleccione Create SMB share directory if it does not existpara que OneFS cree el directorio del recurso compartido en la rutaespecificada, si esta no existe previamente.

8. Aplique los ajustes iniciales de ACL para el directorio. Estos ajustes puedenmodificarse más tarde.

l Para aplicar una ACL predeterminada al directorio compartido, seleccioneApply Windows default ACLs.

Nota

Si está seleccionada la opción Create SMB share directory if it does notexist, OneFS crea una ACL con el equivalente de los permisos de bits delmodo UNIX 700 para cualquier directorio creado automáticamente.

l Para mantener los permisos existentes en el directorio compartido,seleccione Do not change existing permissions.

9. (Opcional) Configure los ajustes de aprovisionamiento de directoriosprincipales.

l Para expandir variables de ruta, como %U, en la ruta del directoriocompartido, seleccione Allow Variable Expansion.

l Para que se cree un directorio principal automáticamente cuando un usuarioacceda al recurso compartido por primera vez, seleccione Auto-CreateDirectories. Esta opción está disponible únicamente si la opción AllowVariable Expansion está habilitada.

10. Seleccione Enable continuous availability on the share para permitir que losclientes creen identificadores persistentes que se puedan recuperar después deuna interrupción, como una desconexión relacionada con la red o una falla delservidor. Los servidores deben utilizar Windows 8 o Windows 2012 R2 (osuperior).

11. Haga clic en Add User or Group para editar la configuración del usuario y delgrupo.

La configuración de permisos predeterminada tiene acceso de solo lectura parala conocida cuenta Everyone. Modifique la configuración para permitir que losusuarios escriban en el recurso compartido.

12. Seleccione File Filter Extensions para habilitar la compatibilidad con el filtradode archivos. Agregue los tipos de archivos que se aplicarán en el método defiltrado de archivos.



13. (Opcional) Haga clic en Show Advanced Settings para aplicar configuracionesavanzadas de recurso compartido SMB si es necesario.

14. Haga clic en Create Share.

Modificar los permisos, el rendimiento o la seguridad de los recursos compartidos de SMBEs posible modificar los ajustes de permisos, rendimiento y acceso de los recursoscompartidos de SMB.

Puede configurar el aprovisionamiento de directorios principales de SMB utilizandovariables de ruta de directorio o de expansión para que se creen y redirijanautomáticamente usuarios a sus propios directorios principales.

Nota

Cualquier cambio que se haga en estos ajustes afecta únicamente los ajustes de esterecurso compartido. Si necesita modificar los valores predeterminados de recursoscompartidos de SMB, puede hacerlo en la pestaña Default SMB Share Settings.

Procedimiento


2. En la lista desplegable Current Access Zones, seleccione la zona de acceso quecontiene el recurso compartido que desea modificar.

3. En la lista de recursos compartidos de SMB, ubique el recurso compartido quedesea modificar y haga clic en View/Edit.

Aparecerá la configuración del recurso compartido.

4. Haga clic en Edit SMB Share.

5. Modifique los ajustes como desee.

6. (Opcional) Para modificar los ajustes de permisos, rendimiento o seguridad dearchivos y directorios, haga clic en Show Advanced Settings.


Eliminar un recurso compartido de SMBPuede eliminar recursos compartidos de SMB que ya no son necesarios.

Los recursos compartidos de SMB no utilizados no afectan el rendimiento del clúster.Si elimina un recurso compartido de SMB, se elimina la ruta del recurso compartido,pero el directorio al que hacía referencia continúa existiendo. Si crea un nuevo recursocompartido con la misma ruta que el recurso eliminado, se podrá acceder nuevamenteal directorio al que hace referencia el recurso anterior a través del nuevo recurso.

Procedimiento


2. En la lista desplegable Current Access Zone, seleccione la zona de acceso quecontiene el recurso compartido que desea eliminar.

3. En la lista de recursos compartidos de SMB, seleccione el recurso compartidoque desea eliminar.

Nota

Para eliminar varios recursos compartidos en el clúster, seleccione las casillasde verificación junto al nombre del recurso compartido y haga clic en Delete.



4. En el cuadro de diálogo de confirmación, haga clic en Delete para confirmar laeliminación.

Limitar el acceso al recurso compartido /ifs para la cuenta EveryoneDe forma predeterminada, el directorio raíz /ifs está configurado como un recursocompartido de SMB en la zona de acceso System. Es recomendable restringir lacuenta Everyone en este recurso compartido para que tenga acceso de solo lectura.

Procedimiento


2. En la lista desplegable Current Access Zone, seleccione System.

3. Seleccione la casilla de verificación que corresponda al recursocompartido /ifs y haga clic en View/Edit.

Aparecerá el cuadro de diálogo View SMB Share Details.


Aparecerá el cuadro de diálogo Edit SMB Share Details.

5. En el área Users and Groups, seleccione la casilla de verificación quecorresponda a la cuenta Everyone y haga clic en View/Edit.

Aparecerá el cuadro de diálogo Edit Persona.

6. Elija Specify Permission Level y seleccione la casilla de verificación Read.Desmarque las casillas de verificación Full Control y

Read-Write si se seleccionan estas opciones.

7. Haga clic en Aplicar.

Configurar el acceso anónimo para un recurso compartido de SMBPuede configurar el acceso anónimo a los datos almacenados en un solo recursocompartido mediante la suplantación de identidad del usuario Invitado.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso que contiene elrecurso compartido para el cual desea permitir el acceso anónimo.

3. En la lista desplegable Providers, seleccione Local.

a. Haga clic en View/Edit para la cuenta huésped.


b. Haga clic en Edit User.

c. Seleccione Enable the account y haga clic en Save Changes.


5. Haga clic en View/Edit junto al recurso compartido para el cual desea permitirel acceso anónimo.


7. Haga clic en Show Advanced Settings.

8. Busque la configuración Impersonate Guest y haga clic en Use Custom.

Aparecerá la lista desplegable Impersonate Guest.



9. Seleccione Always en la lista Impersonate Guest.


Configurar el acceso anónimo a todos los recursos compartidos de SMB en una zona de accesoPuede configurar el acceso anónimo a los datos almacenados en una zona de accesomediante la suplantación de identidad del usuario Invitado.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso a la cual deseapermitir el acceso anónimo.

3. En la lista desplegable Providers, seleccione Local.

a. Haga clic en View/Edit para la cuenta huésped.


b. Haga clic en Edit User.

c. Seleccione Enable the account y haga clic en Save Changes.


5. En la lista Current Access Zone, seleccione la zona de acceso a la cual deseapermitir el acceso anónimo.

6. Busque la configuración Impersonate Guest y haga clic en Use Custom.

Aparecerá la lista desplegable Impersonate Guest.

7. Seleccione Always en la lista Impersonate Guest.


Agregar un usuario o grupo a un recurso compartido de SMBPor cada recurso compartido de SMB, puede agregar permisos a nivel del recursocompartido para usuarios y grupos específicos.

Procedimiento


2. En la lista desplegable Current Access Zone, seleccione la zona de acceso quecontenga el recurso compartido al que desea agregar un usuario o grupo.

3. En la lista de recursos compartidos de SMB, ubique el recurso compartido quedesea modificar y haga clic en View/Edit.


5. En la sección Users and Groups, haga clic en Add a User or Group.

Aparecerá el cuadro de diálogo Add Persona.

6. Haga clic en Select User.

Aparecerá el cuadro de diálogo Select Persona.

7. Puede ubicar al usuario o al grupo mediante uno de los siguientes métodos:

l Ingrese el nombre de usuario o el nombre de grupo que desea buscar en elcampo de texto y haga clic en Search.

l Seleccione el proveedor de autenticación que desea buscar en el campo detexto y haga clic en Search. Aparecen solamente los proveedores que esténactualmente configurados y habilitados en el clúster.



l Ingrese un nombre de usuario o un nombre de grupo y seleccione unproveedor de autenticación. Después, haga clic en Search.

8. Si seleccionó Well-known SIDs, haga clic en Search.

9. En los resultados de búsqueda, haga clic en el usuario, el grupo o el SID al quedesea agregar el recurso compartido de SMB y haga clic en Select.

10. De manera predeterminada, los derechos de acceso de la cuenta nueva seestablecen en Deny All. Para habilitar un usuario o grupo para que acceda alrecurso compartido, siga estos pasos adicionales:

a. Junto a la cuenta del usuario o del grupo que agregó, haga clic en Edit.

b. Seleccione Run as Root o seleccione Specify Permission Level y despuésseleccione uno o más de los siguientes niveles de permisos: Full Control,Read-Write y Read.

11. Haga clic en Add Persona.


Configurar el acceso al directorio principal multiprotocoloPuede garantizar a los usuarios que accederán a este recurso compartido a través delos protocolos FTP o SSH que su ruta de directorio principal será la misma,independientemente de si se conectan a través de SMB o si inician sesión mediante losprotocolos FTP o SSH. Esta tarea solo se puede realizar desde la interfaz de la línea decomandos de OneFS.

Este comando hace que el recurso compartido de SMB use la plantilla del directorioprincipal que se especifica en el proveedor de autenticación del usuario. Esteprocedimiento está disponible solamente a través de la interfaz de la línea decomandos.

Procedimiento


2. Ejecute el siguiente comando, donde <share> es el nombre del recursocompartido SMB y --path es la ruta del directorio de la plantilla del directoriode inicio especificada por el proveedor de autenticación del usuario:

isi smb shares modify <share> --path=""

NFSOneFS proporciona un servidor NFS para que pueda compartir archivos en el clústercon los clientes NFS que cumplen con las especificaciones RFC1813 (NFSv3) yRFC3530 (NFSv4).

En OneFS, el servidor NFS se optimiza completamente como un servicio multithreadque se ejecuta en el espacio del usuario, en lugar de hacerlo en el kernel. Estaarquitectura realiza un balanceo de carga del servicio NFS en todos los nodos delclúster, lo cual brinda la estabilidad y la escalabilidad necesarias para administrar hastamiles de conexiones en varios clientes NFS.

Los montajes de NFS se ejecutan y se actualizan rápidamente, y el servidor monitoreaconstantemente las fluctuantes exigencias en los servicios de NFS y realiza ajustes entodos los nodos para garantizar un rendimiento continuo y confiable. Mediante el usode un programador de procesos incorporado, OneFS ayuda a garantizar la asignación


NFS 237

justa de los recursos del nodo, de forma que ningún cliente pueda apoderarse de másrecursos que los razonables de los servicios de NFS.

El servidor NFS también es compatible con las zonas de acceso definidas en OneFS,por lo que los clientes pueden acceder solo a las exportaciones que corresponden a suzona. Por ejemplo, si las exportaciones de NFS se especifican para la zona 2, solo losclientes asignados a la zona 2 pueden acceder a estas exportaciones.

Para simplificar las conexiones cliente, en especial para las exportaciones con nombresde ruta extensos, el servidor NFS también es compatible con los alias, que son accesosdirectos a los puntos de montaje que los clientes pueden especificar directamente.

Para un uso compartido de archivos NFS seguro, OneFS es compatible con losproveedores de autenticación NIS y LDAP.

Exportaciones NFSPuede administrar reglas de exportación de NFS individuales que definen los puntos demontaje (rutas) disponibles para los clientes de NFS y la forma en que el servidor sedebe comportar con estos clientes.

En OneFS, puede crear, eliminar, enumerar, ver, modificar y recargar exportaciones deNFS.

Las reglas de exportación de NFS están basadas en zonas. Cada exportación estáasociada a una zona, que solo los clientes de esa zona pueden montarla, y solo puedeexponer rutas bajo la raíz de la zona. De manera predeterminada, cualquier comandode exportación se aplica a la zona actual del cliente.

Cada regla debe tener al menos una ruta (punto de montaje) y puede incluir rutasadicionales. También puede especificar que todos los subdirectorios de la ruta o rutasotorgadas se pueden montar. De otra manera, solo se exportarán las rutasespecificadas y los directorios secundarios no se podrán montar.

Una regla de exportación puede especificar un conjunto especial de clientes, lo que lepermite restringir el acceso a ciertos puntos de montaje o aplicar un conjunto único deopciones para estos clientes. Si la regla no especifica ningún cliente, se aplica a todoslos clientes que se conectan al servidor. Si la regla especifica clientes, entonces seaplica solamente a esos clientes.

Alias de NFSPuede crear y administrar alias como accesos directos para los nombres de rutas dedirectorio en OneFS. Si esos nombres de ruta se definen como exportaciones de NFS,los clientes de NFS pueden especificar los alias como puntos de montaje de NFS.

Los alias de NFS se designan para brindar una paridad funcional con los nombres de losrecursos compartidos de SMB en el contexto de NFS. Cada alias mapea un nombreúnico a una ruta en el sistema de archivos. Luego, los clientes de NFS pueden usar elnombre del alias en lugar de la ruta durante el montaje.

Los alias se deben formar como nombres de ruta de UNIX de nivel superior, con unabarra diagonal seguida por el nombre. Por ejemplo, puede crear un aliasdenominado /q4 que se mapea a /ifs/data/finance/accounting/



winter2015 (una ruta en OneFS). Un cliente de NFS puede montar ese directorio através de:

mount cluster_ip:/q4

mount cluster_ip:/ifs/data/finance/accounting/winter2015

Los alias y las exportaciones son completamente independientes. Puede crear un aliassin asociarlo con una exportación de NFS. De manera similar, una exportación de NFSno requiere un alias.

Cada alias debe apuntar a una ruta válida en el sistema de archivos. Si bien esta ruta esabsoluta, debe apuntar a una ubicación debajo de la raíz de la zona (/ifs en la zonaSystem). Si el alias apunta a una ruta que no existe en el sistema de archivos, el clienteque intente montar el alias no podrá hacerlo, de la misma forma en que no podrámontar un nombre de ruta completo no válido.

Los alias de NFS están basados en zonas. De manera predeterminada, un alias seaplica a la zona de acceso actual del cliente. Para cambiar esto, puede especificar unazona de acceso alternativa como parte de la creación o modificación de un alias.

Solo los clientes de esa zona pueden usar los alias, y estos se pueden aplicar solo a lasrutas bajo la raíz de la zona. Los nombres de los alias son únicos por zona, pero sepuede usar el mismo nombre en zonas diferentes, por ejemplo, /home.

Cuando crea un alias en la interfaz de administración web, la lista de alias muestra elestado del alias. De manera similar, mediante la opción --check del comando isinfs aliases, puede comprobar el estado de un alias de NFS (el estado puede ser:good, illegal path, name conflict, not exported o path not found).

Archivos de log de NFSOneFS escribe mensajes de registro asociados con eventos de NFS en un conjunto dearchivos en /var/log.

Con la opción del nivel de registro, ahora puede especificar el nivel de detalle con quelos mensajes de registro se disponen en los archivos de registro. La siguiente tabladescribe los archivos de registro asociados con NFS.

Archivo de log Descripción

nfs.log Funcionalidad del servidor NFS principal (v3, v4, montaje)

rpc_lockd.log Eventos de bloqueo de NFS v3 a través del protocolo NLM

rpc_statd.log Detección de reinicio de NFS v3 a través del protocolo NSM

isi_netgroup_d.log Solución y almacenamiento en caché de netgroups

Administración del servicio de NFSEs posible habilitar o deshabilitar el servicio de NFS y especificar las versiones de NFScompatibles, entre las que se incluyen NFSv3 y NFSv4. La configuración de NFS seaplica a todos los nodos del clúster.


Archivos de log de NFS 239

Nota

NFSv4 se puede habilitar en forma no disruptiva en un clúster OneFS y se puedeejecutar simultáneamente con NFSv3. Los clientes NFSv3 existentes no se veránafectados por la habilitación de NFSv4.

Configurar el uso compartido de archivos NFSEs posible habilitar o deshabilitar el servicio NFS, establecer el nivel de protección debloqueo y establecer el tipo de seguridad. Esta configuración se aplica en todos losnodos del clúster. Puede cambiar los ajustes para las exportaciones de NFSindividuales que defina.

Procedimiento

1. Haga clic en Protocols > UNIX Sharing (NFS) > Global Settings.

2. Habilite o deshabilite los siguientes ajustes:

l NFS Export Service

l NFSv3

l NFSv4

3. Haga clic en Reload en la sección Cached Export Configuration para volver acargar la configuración de exportación NFS almacenada en caché.

Se volverán a cargar los ajustes de exportaciones de NFS guardados en cachépara garantizar que se apliquen los cambios al DNS y al NIS.


Crear una regla de root squashing para la exportación de NFS predeterminadaPor defecto, el servicio NFS implementa una regla de root squashing para laexportación de NFS predeterminada. Esta regla impide que los usuarios raíz de losclientes NFS ejecuten privilegios de administrador en el servidor NFS.

Procedimiento

1. Haga clic en Protocols > UNIX Sharing (NFS) > NFS Export.

2. Seleccione la exportación predeterminada en la lista de exportaciones de NFS yhaga clic en View/Edit.

3. En el área Root User Mapping, verifique que se hayan seleccionado los ajustespredeterminados. Si es así, no es necesario hacer cambios y se puede ir alpaso 7.

4. Haga clic en Edit Export.

5. Ubique la configuración Root User Mapping y haga clic en Use Default pararestablecer estos valores:

User: Map root users to user nobodyPrimary Group: No primary groupSecondary Groups: No secondary groups





Resultados

Independientemente de las credenciales que tengan en el cliente NFS, con estosajustes, los usuarios no podrán obtener privilegios de administrador en el servidor NFS.

Ajustes globales de NFSLos ajustes globales de NFS determinan cómo funciona el servicio de NFS. Puedemodificar estos ajustes según las necesidades de su organización.

La siguiente tabla describe los ajustes globales de NFS y sus valores predeterminados:


NFS Export Service Habilita o deshabilita el servicio de NFS. Estaconfiguración está activada de manerapredeterminada.

NFSv3 Habilita o deshabilita la compatibilidad conNFSv3. Esta configuración está activada demanera predeterminada.

NFSv4 Habilita o deshabilita la compatibilidad conNFSv4. Este ajuste está deshabilitado deforma predeterminada.

Cached Export Configuration Permite que vuelva a cargar las exportacionesde NFS guardadas en caché para que puedaasegurarse de que cualquier cambio querealice en el dominio o en la red se aplique deinmediato.

Managing NFS exportsPuede crear exportaciones de NFS, ver y modificar la configuración de lasexportaciones y eliminar exportaciones que ya no son necesarias.

El directorio /ifs es el directorio de nivel superior para el almacenamiento de datosen OneFS y, además, es la ruta definida en la exportación predeterminada. De manerapredeterminada, la exportación /ifs anula el acceso raíz, pero otra exportaciónpermite que los clientes de UNIX monten este directorio y cualquier subdirectorio enél.

Nota

Se recomienda que modifique la exportación predeterminada para limitar el accesosolo a los clientes de confianza o para restringir el acceso por completo. Para ayudar agarantizar que los datos confidenciales no se vean comprometidos, otrasexportaciones que cree deben estar en un nivel inferior de la jerarquía de archivos deOneFS, y pueden estar bajo la protección de las zonas de acceso o se pueden limitar aclientes específicos con acceso raíz, de lectura y escritura o de solo lectura, segúncorresponda.

Crear una exportación de NFSPuede crear exportaciones de NFS a los archivos compartidos en OneFS con clientesbasados en UNIX.

El servicio NFS se ejecuta en un espacio de usuario y distribuye la carga entre todoslos nodos del clúster. Esto habilita la alta escalabilidad del servicio y apoya miles de


Managing NFS exports 241

exportaciones. Sin embargo, una mejor práctica consiste en evitar la creación de unaexportación distinta para cada cliente de la red. Es más eficiente crear pocasexportaciones y usar zonas de acceso y mapeos de usuario para controlar el acceso.

Procedimiento

1. Haga clic en Protocols > UNIX Sharing (NFS) > NFS Export.

2. Haga clic en Create Export.

3. Para el ajuste Directory Paths, ingrese el directorio al que desea exportar onavegue a este.

Puede agregar varias rutas de directorio haciendo clic en Add anotherdirectory path para cada ruta adicional.

4. (Opcional) En el campo Description, ingrese un comentario que describa laexportación.

5. (Opcional) Especifique qué clientes NFS pueden acceder a la exportación.

Puede especificar clientes NFS en cualquiera de los campos de clientes, o entodos, tal como se describe en la siguiente tabla. Un cliente se puede identificarpor su nombre de host, las direcciones IPv4 o IPv6, la subred o el netgroup. Lasdirecciones IPv4 asignadas al espacio de la dirección IPv6 se traducen yalmacenan como direcciones IPv4 para eliminar las posibles ambigüedades.Puede especificar varios clientes en cada campo escribiendo una entrada porlínea.

Nota

Si no especifica ningún cliente, todos los clientes de la red pueden acceder a laexportación. Si especifica clientes en alguno de los campos de reglas, comoAlways Read-Only Clients, la regla solo se aplica a esos clientes. Sin embargo,agregar una entrada a Root Clients no impide que otros clientes obtenganacceso a la exportación.Si agrega el mismo cliente a más de una lista y el cliente está ingresado en elmismo formato en cada entrada, el cliente será normalizado a una sola lista en elsiguiente orden de prioridad:

l Root Clients

l Always Read-Write Clients

l Always Read-Only Clients

l Clients


Clients Especifica uno o más clientes a los que se les permiteacceder a la exportación. El nivel de acceso se controlamediante los permisos de exportación.

Always Read-Write Clients

Especifica uno o más clientes a los que se les permitirá elacceso de lectura/escritura a la exportación,independientemente de los ajustes de acceso de laexportación. Esto equivale a agregar a un cliente a la listaClients con el ajuste Restrict access to read-only noseleccionado.




Always Read-Only Clients

Especifica uno o más clientes a los que se les permitirá elacceso de solo lectura a la exportación,independientemente de los ajustes de acceso de laexportación. Esto equivale a agregar un cliente a la listaClients con el ajuste Restrict access to read-onlyseleccionado.

Root Clients Especifica uno o más clientes que se asignarán comoclientes raíz para la exportación. Esta configuración permiteque el siguiente cliente monte la exportación, presente laidentidad de la raíz y sea asignado a la raíz. Agregar a uncliente a esta lista no impide que otros clientes haganmontaje si no están configurados los clientes, clientes desolo lectura y clientes de lectura y escritura.

6. Seleccione la configuración de permisos de exportación que desea utilizar:

l Restringir las acciones a operaciones de solo lectura.

l Habilitar el acceso de montaje a los subdirectorios. Permite montar lossubdirectorios que se encuentran debajo de la o las rutas.

7. Especifique la asignación de usuarios y grupos.

Seleccione la opción Use custom para limitar el acceso asignando a los usuariosraíz o a todos los usuarios a un ID específico de usuario y de grupo. Para rootsquashing, asigne los usuarios raíz al nombre de usuario nobody.

8. Ubique la configuración Security Flavors. Configure el tipo de seguridad quedesea utilizar. UNIX es la configuración predeterminada.

Haga clic en Use custom para seleccionar uno o más de los siguientes tipos deseguridad:

l UNIX (sistema)

l Kerberos5

l Kerberos5 Integrity

l Kerberos5 Privacy



Nota

El tipo de seguridad predeterminado (UNIX) requiere de una red de confianza.Si no confía plenamente en todos los elementos de su red, la mejor práctica eselegir una opción de Kerberos. Si el sistema no es compatible con Kerberos, noestará completamente protegido, ya que NFS sin Kerberos confía en todos loselementos de la red y envía todos los paquetes en texto sin formato. Si nopuede utilizar Kerberos, debe encontrar otra manera de proteger la conexión aInternet. Como mínimo, haga lo siguiente:

l Limite el acceso raíz al clúster a las direcciones IP de hosts de confianza.

l Asegúrese de que todos los dispositivos nuevos que agregue a la red sean deconfianza. Estos son algunos métodos para garantizar la confianza:

n Utilice un túnel IPsec. Esta opción es muy segura, debido a que autenticalos dispositivos mediante claves seguras.

n Configure todos los puertos de switch de modo tal que queden inactivossi se desconectan físicamente. Además, asegúrese de que los puertos delswitch estén limitados por MAC.

9. Para configurar ajustes avanzados de la exportación NFS, haga clic en ShowAdvanced Settings.

No cambie los ajustes avanzados, a menos que esto sea necesario y ustedcomprenda cabalmente las consecuencias de los cambios.


Resultados

Se crea la nueva exportación de NFS y se muestra en la parte superior de la lista NFSExports.

Modificar una exportación NFSEs posible modificar los ajustes para una exportación de NFS existente.

PRECAUCIÓN

Los cambios en la configuración de exportación pueden causar problemas derendimiento. Asegúrese de comprender el impacto potencial de los cambios en laconfiguración antes de guardar los cambios.

Procedimiento

1. Seleccione Protocols > UNIX Sharing (NFS) > NFS Exports.

2. En la lista NFS Exports, seleccione la casilla de verificación que corresponde ala exportación que desea modificar y haga clic en View/Edit.

3. Haga clic en Edit Export.

4. Edite la configuración de exportación como desee.

5. Haga clic en Show Advanced Settings para editar los ajustes avanzados deexportación.

Le recomendamos que no cambie los ajustes avanzados, a menos que seanecesario y comprenda por completo las consecuencias de los ajustes.





Eliminar una exportación de NFSPuede eliminar las exportaciones de NFS innecesarias. Todas las conexiones declientes NFS establecidas actualmente con estas exportaciones dejarán de ser válidas.

Nota

Puede eliminar todas las exportaciones de un clúster a la vez. Haga clic en la casilla deverificación Export ID/Path en la parte superior de la lista NFS Exports y luegoseleccione Delete en la lista desplegable a la derecha.

Procedimiento

1. Seleccione Protocols > UNIX Sharing (NFS) > NFS Exports.

2. En la lista NFS Exports, haga clic en la casilla de verificación que se encuentra ala izquierda de la exportación que desea eliminar.


4. En el cuadro de diálogo de confirmación, haga clic en Delete para confirmar laoperación.

Verificar que las exportaciones NFS no contengan erroresPuede comprobar si hay errores en las exportaciones de NFS, como reglas deexportación en conflicto, rutas no válidas y nombres de hosts y netgroups que no sepueden resolver. Esta tarea solo se puede realizar desde la interfaz de la línea decomandos de OneFS.

Procedimiento


2. Ejecute el comando isi nfs exports check.

En el resultado del siguiente ejemplo, no se encontraron errores:

ID Message--------------------Total: 0

En el resultado del siguiente ejemplo, la exportación 1 contiene una ruta dedirectorio que por el momento no existe:

ID Message-----------------------------------1 '/ifs/test' does not exist-----------------------------------Total: 1

Ver y configurar los ajustes predeterminados de exportaciones de NFSPuede ver y configurar los ajustes predeterminados de exportaciones de NFS. Todaslas exportaciones nuevas y existentes que usen valores predeterminados se venafectadas por los cambios en los ajustes predeterminados.



Nota

Los cambios en los valores predeterminados de las opciones de exportación afectan atodas las exportaciones de NFS actuales y futuras que usen la configuraciónpredeterminada. Si estos ajustes se cambian de manera incorrecta, se podría afectarnegativamente la disponibilidad del servicio de uso compartido de archivos NFS. Serecomienda que no realice cambios en los ajustes predeterminados, en especial en losavanzados, a menos que tenga experiencia de trabajo con NFS. En cambio, debecambiar los ajustes según sea necesario para las exportaciones de NFS individuales amedida que las crea.

Procedimiento

1. Seleccione Protocols > UNIX Sharing (NFS) > Export Settings.

Los ajustes de exportación NFS más comunes aparecen en el área ExportSettings: Root User Mapping, Non-Root User Mapping, Failed UserMapping y Security Flavors. Modifique los ajustes predeterminados que deseeaplicar a las exportaciones de NFS nuevas o a las existentes que usen alguno delos valores predeterminados.

2. En el área Advanced Export Settings, puede editar la configuración avanzada.

Le recomendamos que no cambie los ajustes avanzados, a menos que esto seanecesario y usted comprenda cabalmente las consecuencias de los cambios.


Ajustes de la exportación NFS básicaLos ajustes de la exportación NFS básica son los ajustes globales que se aplicarán a lasexportaciones de NFS nuevas que cree.

Los ajustes de la exportación de NFS básica se describen en la tabla siguiente.

Configuración Valores predeterminados

Mapeo de usuario raíz Usuario: Asigna los usuarios raíz al usuarionobodyPrimary Group: Sin grupo primario

Secondary Groups: Sin grupos secundarios

Nota

Los ajustes predeterminados generan unaregla de root squashing por la cual ningúnusuario en el cliente NFS, ni siquiera unusuario raíz, puede obtener privilegios deadministrador en el servidor NFS.

Mapeo de usuario no raíz El mapeo de usuarios está deshabilitado demanera predeterminada. Se recomienda queespecifique este ajuste cuando correspondasegún la exportación.

Mapeo de usuario fallido El mapeo de usuarios está deshabilitado demanera predeterminada. Se recomienda queespecifique este ajuste cuando correspondasegún la exportación.



Configuración Valores predeterminados

Tipos de seguridad Las opciones disponibles son: UNIX(system), la configuración predeterminada,

Kerberos5, Kerberos5 Integrity y

Kerberos5 Privacy.

Ajustes de rendimiento para exportaciones de NFSPuede especificar ajustes para controlar el rendimiento de las exportaciones de NFS.

La siguiente tabla describe la categoría de rendimiento de los ajustes para lasexportaciones de NFS:


Block Size El tamaño de bloque usado para calcular losconteos de bloques para las solicitudes deNFSv3 FSSTAT y NFSv4 GETATTR. El valor

predeterminado es 8192 bytes.

Commit Asynchronous Si el valor elegido es yes, permite que lasoperaciones de tipo COMMIT de NFSv3 yNFSv4 se realicen en forma asíncrona. El valorpredeterminado es No.

Directory Transfer Size El tamaño de transferencia por operaciónlectura recomendado para el directorio que seinforma a los clientes de NFSv3 y NFSv4. Elvalor predeterminado es 131072 bytes.

Read Transfer Max Size El tamaño de transferencia por operación delectura máximo que se informa a los clientesde NFSv3 y NFSv4. El valor predeterminadoes 1048576 bytes.

Read Transfer Multiple El múltiplo de tamaño de transferencia poroperación de lectura recomendado que seinforma a los clientes de NFSv3 y NFSv4. Elvalor predeterminado es 512 bytes.

Read Transfer Preferred Size El tamaño de transferencia por operación delectura recomendado que se informa a losclientes de NFSv3 y NFSv4. El valorpredeterminado es 131072 bytes.

Setattr Asynchronous Si el valor elegido es Yes, ejecuta las

operaciones de establecimiento de atributosen forma asíncrona. El valor predeterminadoes No.

Write Datasync Action La acción que se realiza para operaciones deescritura de tipo DATASYNC. El valorpredeterminado es DATASYNC.

Write Datasync Reply La respuesta que se envía para operaciones deescritura de tipo DATASYNC. El valorpredeterminado es DATASYNC.




Write Filesync Action La acción que se realiza para operaciones deescritura de tipo FILESYNC. El valorpredeterminado es FILESYNC.

Write Filesync Reply La respuesta que se envía para operaciones deescritura de tipo FILESYNC. El valorpredeterminado es FILESYNC.

Write Transfer Max Size El tamaño de transferencia por operación deescritura máximo que se informa a los clientesde NFSv3 y NFSv4. El valor predeterminadoes 1048576 bytes.

Write Transfer Multiple El tamaño de transferencia por operación deescritura recomendado que se informa a losclientes de NFSv3 y NFSv4. El valorpredeterminado es 512 bytes.

Write Transfer Preferred El tamaño de transferencia por operación deescritura recomendado que se informa a losclientes de NFSv3 y NFSv4. El valorpredeterminado es 524288.

Write Unstable Action La acción que se realiza para operaciones deescritura de tipo UNSTABLE. El valorpredeterminado es UNSTABLE.

Write Unstable Reply La respuesta que se envía para operaciones deescritura de tipo UNSTABLE. El valorpredeterminado es UNSTABLE.

Ajustes de compatibilidad de clientes de exportaciones de NFSLos ajustes de compatibilidad de clientes de exportaciones de NFS afectan lapersonalización de las exportaciones de NFS.

Estos ajustes se describen en la tabla siguiente.


Max File Size Especifica el tamaño máximo de archivo quese permitirá. La naturaleza de este ajuste esde aviso y se devuelve al cliente en respuestaa una solicitud NFSv3 FSINFO o NFSv4GETATTR. El valor predeterminado es9223372036854776000 bytes.

Readdirplus Enable Permite el uso del servicio NFSv3 readdirpluspor medio del cual un cliente puede enviar unasolicitud y la información ampliada que hayarecibido sobre el directorio y los archivos de laexportación. El valor predeterminado es Yes.

Return 32 bit File IDs Especifica los ID de archivo de 32 bits deretorno para el cliente. El valorpredeterminado es No.



Ajustes de comportamiento para exportaciones de NFSEl ajuste de comportamiento de las exportaciones de NFS controla si los clientes NFSpueden ejecutar ciertas funciones en el servidor NFS, como configurar la hora.

Los ajustes de comportamiento de exportación de NFS se describen en la tablasiguiente.


Can Set Time Cuando este ajuste está habilitado, OneFSpermite que el cliente NFS configure variosatributos de hora en el servidor NFS. El valorpredeterminado es Yes.

Codificación Reemplaza los ajustes generales decodificación establecidos en el clúster para laexportación. El valor predeterminado esDEFAULT.

Map Lookup UID Realiza una búsqueda de los identificadores deusuarios entrantes (UID) en la base de datosde autenticación local. El valorpredeterminado es No.

Symlinks Informa al cliente NFS que el sistema dearchivos es compatible con los tipos dearchivos de vínculo simbólicos. El valorpredeterminado es Yes.

Time Delta Establece la granularidad del reloj del servidor.El valor predeterminado es 1e-9 seconds(0.000000001 segundos).

Administrar alias de NFSPuede crear alias de NFS para simplificar las exportaciones a las que se conectan losclientes. Un alias de NFS mapea una ruta de directorio absoluta a una ruta dedirectorio simple.

Por ejemplo, suponga que creó una exportación de NFS en /ifs/data/hq/home/archive/first-quarter/finance. Puede crear el alias /finance1 paramapearlo a esa ruta de directorio.

Los alias de NFS se pueden crear en cualquier zona de acceso, incluida la zonaSystem.

Crear un alias de NFSPuede crear un alias de NFS para asignar una ruta de directorio larga a un nombre deruta simple.

Los alias deben formarse como una ruta simple de directorio al estilo de UNIX, porejemplo, /home.

Procedimiento

1. Seleccione Protocols > UNIX Sharing (NFS) > NFS Aliases.

2. Haga clic en Create Alias.


Administrar alias de NFS 249

3. En el campo Alias Name, ingrese un nombre para el alias.

El nombre del alias debe formarse como una ruta simple al estilo de UNIX con unelemento, por ejemplo, /home.

4. En el campo Path, escriba la ruta completa que se debe asociar con el alias ohaga clic en Browse para buscar la ruta de acceso.

Si configuró zonas de acceso en OneFS, la ruta completa debe comenzar con laraíz de la zona de acceso actual.

5. Haga clic en Create Alias.

Resultados

El nombre, el estado y la ruta del alias nuevo se muestran en la parte superior de lalista NFS Aliases.

Modificar un alias de NFSPuede modificar un alias de NFS.

Procedimiento


2. En la lista NFS Aliases, ubique el alias que desee modificar y haga clic en View/Edit.

3. En el cuadro de diálogo View Alias Details, haga clic en Edit Alias.

4. En el campo Alias Name, ingrese un nombre para el alias.

El nombre del alias debe formarse como una ruta simple al estilo de UNIX con unelemento, por ejemplo, /home.

5. En el campo Path, escriba la ruta completa que se debe asociar con el alias ohaga clic en Browse para buscar la ruta de acceso.

Si configuró zonas de acceso en OneFS, la ruta completa debe comenzar con laraíz de la zona de acceso actual.


Aparecerá el cuadro de diálogo View Alias Details, junto con un mensaje queindica que el cambio se realizó correctamente.


Resultados

El nombre del alias, el estado y la ruta modificados se muestran en la lista NFSAliases.

Eliminar un alias de NFSPuede eliminar un alias de NFS.

Si un alias de NFS se asigna a una exportación de NFS, eliminar el alias puededesconectar a los clientes que usaron el alias para montar la exportación.

Procedimiento


2. Seleccione la casilla de verificación correspondiente al alias que desea eliminar yhaga clic en More.






El alias se elimina de la lista NFS Aliases.

Enumerar los alias de NFSPuede ver una lista de los alias NFS que ya se han definido para una zona determinada.Los alias en la zona del sistema se enumeran de forma predeterminada.

Procedimiento

l Seleccione Protocols > UNIX Sharing (NFS) > NFS Aliases.

Aparece la lista NFS Aliases, que muestra todos los alias para la zona de accesoactual. Se muestran los nombres, estados y rutas para todos los alias.

Ver un alias de NFSPuede ver los ajustes de un alias de NFS.

Procedimiento


2. Seleccione la casilla de verificación correspondiente al alias que desea ver yhaga clic en View/Edit.

El cuadro de diálogo View Alias Details muestra los ajustes asociados con elalias.

3. Cuando termine de ver el alias, haga clic en Close.

FTPOneFS incluye un servicio FTP seguro denominado vsftpd, que significa Very SecureFTP Daemon, y que se puede configurar para las transferencias estándares dearchivos FTP y FTPS.

Habilitar y configurar el uso compartido de archivos vía FTPPuede configurar el servicio FTP para permitir que cualquier nodo del clúster respondaa las solicitudes de FTP mediante una cuenta de usuario estándar.

Puede habilitar la transferencia de archivos entre servidores FTP remotos y habilitar elservicio FTP anónimo en la raíz creando un usuario local denominado “anonymous” o“ftp”.

Al configurar el acceso al FTP, asegúrese de que la raíz especificada del FTP sea eldirectorio principal del usuario que inicia sesión. Por ejemplo, la raíz del FTP para elusuario local jsmith debería ser ifs/home/jsmith.

Procedimiento

1. Haga clic en Protocols > FTP Settings.

2. En el área Service, seleccione Enable FTP service.

3. En el área Settings, seleccione una o más de las siguientes opciones:


FTP 251


Enableanonymousaccess

Permite que usuarios cuyo nombre de usuario sea“anonymous” o “ftp” tengan acceso a archivos ydirectorios sin requerir autenticación. Este ajuste estádeshabilitado de forma predeterminada.

Enable localaccess

Permite que los usuarios locales tengan acceso a archivosy directorios con su nombre de usuario local y sucontraseña, lo cual los habilita para cargar archivosdirectamente a través del sistema de archivos. Estaconfiguración está activada de manera predeterminada.

Enable server-to-server transfers

Permite que se transfieran archivos entre dos servidoresFTP remotos. Este ajuste está deshabilitado de formapredeterminada.


HTTP y HTTPSOneFS incluye un servicio de protocolo de transferencia de hipertexto (HTTP)configurable que se usa para solicitar archivos almacenados en el clúster e interactuarcon la interfaz de administración web.

OneFS admite HTTP y su variante segura, HTTPS. Cada nodo del clúster ejecuta unainstancia del servidor Apache HTTP para brindar acceso HTTP. Puede configurar elservicio HTTP para que se ejecute en diferentes modos.

HTTP y HTTPS son compatibles con la transferencia de archivos, pero solo HTTPS escompatible con las llamadas de Platform API. El requisito exclusivo de HTTPS incluyela interfaz de administración web. Además, OneFS admite una forma del protocoloweb DAV (WebDAV), que permite a los usuarios modificar y administrar los archivosen servidores web remotos. OneFS ejecuta una autoría distribuida, pero no admite lacreación de versiones ni ejecuta verificaciones de seguridad. Puede activar DAV en lainterfaz de administración web.

Habilitar y configurar HTTPPuede configurar HTTP y DAV para permitir que los usuarios editen y administren losarchivos de manera colaborativa entre servidores web remotos. Esta tarea Solo puederealizarse a través de la interfaz de administración web de OneFS.

Procedimiento

1. Haga clic en Protocols > HTTP Settings.

2. En el área Service, seleccione una de las siguientes configuraciones:


Activar HTTP Permite el acceso HTTP para la administración del clúster y para buscarcontenido en este.

Disable HTTP andredirect to theOneFS WebAdministrationinterface

Permite solamente el acceso de administrador a la interfaz deadministración web. Esta es la configuración predeterminada.




Disable HTTP Cierra el puerto HTTP que se usa para el acceso a archivos. Los usuariospueden seguir accediendo a la interfaz de administración webespecificando el número de puerto en la dirección URL. El puertopredeterminado es 8080.

3. En el área Protocol Settings, en el campo Document root directory, escribaun nombre de ruta o haga clic en Browse para navegar a un directorio existenteen /ifs.

Nota

El servidor HTTP se ejecuta como usuario y grupo demonio. Para aplicarcorrectamente los controles de acceso, debe conceder al usuario o grupodemonio acceso de lectura a todos los archivos del documento raíz y permitirque el servidor HTTP lo recorra.

4. En el área Authentication Settings, en la lista HTTP Authentication,seleccione una configuración de autenticación:


Off Deshabilita la autenticación de HTTP.

Basic AuthenticationOnly

Habilita la autenticación de HTTP básica. Los parámetros de conexióndel usuario se envían en texto sin formato.

IntegratedAuthentication Only

Habilita la autenticación de HTTP a través de NTLM, Kerberos oambos.

Integrated and BasicAuthentication

Permite la autenticación integrada y básica.

Basic Authenticationwith Access Controls

Habilita la autenticación básica de HTTP y permite que el servidor webApache ejecute comprobaciones de acceso.

IntegratedAuthentication withAccess Controls

Habilita la autenticación integrada de HTTP a través de NTLM yKerberos y permite que el servidor web Apache ejecutecomprobaciones de acceso.

Integrated and BasicAuthentication withAccess Controls

Habilita la autenticación básica y la autenticación integrada de HTTP, ypermite que el servidor web Apache ejecute comprobaciones deacceso.

5. Si desea permitir que varios usuarios administren y modifiquen los archivos demanera colaborativa entre servidores web remotos, seleccione EnableWebDAV.

6. Seleccione Enable access logging.



Habilitar y configurar HTTP 253

CAPÍTULO 11

Filtrado de archivos


l Filtrado de archivos en una zona de acceso..................................................... 256l Habilitar y configurar el filtrado de archivo en una zona de acceso.................. 256l Modificar la configuración de filtrado de archivos en una zona de acceso........ 257l Ver ajustes de filtrado de archivos....................................................................257

Filtrado de archivos 255

Filtrado de archivos en una zona de accesoEn una zona de acceso, puede usar el filtrado de archivos para permitir o denegar lasescrituras de archivos según el tipo de archivo.

Si algunos tipos de archivos pueden causar problemas de rendimiento, problemas deseguridad, desorden de almacenamiento o interrupciones a la productividad en suclúster EMC Isilon, o si las organizaciones deben cumplir con políticas de archivoespecíficas, puede restringir las escrituras a los tipos de archivos especificados opermitir únicamente las escrituras en una lista de tipos de archivos especificada. Alhabilitar el filtrado de archivos en una zona de acceso, OneFS aplica las reglas defiltrado de archivos solamente en los archivos de esa zona de acceso.

l Si elige denegar las escrituras de archivos, puede especificar los tipos de archivoscuya escritura no se permite según su extensión. OneFS permite la escritura entodos los demás tipos de archivos.

l Si elige permitir las escrituras de archivos, puede especificar los tipos de archivospor extensión que se pueden escribir. OneFS deniega la escritura en todos losdemás tipos de archivos.

OneFS no toma en consideración qué protocolo de uso compartido de archivos seutilizó para conectarse a la zona de acceso al aplicar las reglas de filtrado de archivos;sin embargo, puede aplicar reglas de filtrado de archivos adicionales en el nivel derecurso compartido SMB. Consulte “Filtrado de archivos SMB” en el capítulo Usocompartido de archivos de esta guía.

Habilitar y configurar el filtrado de archivo en una zona deacceso

Puede habilitar el filtrado de archivo por zona de acceso y especificar a qué tipos dearchivos los usuarios pueden obtener acceso de escritura dentro de la zona de acceso.

Procedimiento

1. Haga clic en Access > File Filter.

2. En la lista Current Access Zone, seleccione la zona de acceso en la que deseaaplicar el filtrado de archivo.

3. Seleccione Enable file filters.

4. En la lista File Extensions, seleccione uno de los siguientes métodos de filtrado:

l Deny writes for list of file extensions

l Allow writes for list of file extensions

5. Haga clic en Add file extensions.

Aparecerá el cuadro de diálogo Add File Extensions.

6. En el campo File Extensions, escriba la extensión de nombre de archivo quedesea filtrar.

La extensión debe comenzar con un “.”, como .txt.

7. (Opcional) Haga clic en Add another file extension para ingresar variasextensiones.

8. Haga clic en Add Extensions.




Modificar la configuración de filtrado de archivos en unazona de acceso

Para modificar la configuración de filtrado de archivos, puede cambiar el método defiltrado o editar las extensiones de archivo.

Procedimiento


2. En la lista desplegable Current Access Zone, seleccione la zona de acceso en laque desea realizar la modificación.

3. Para desactivar el filtrado de archivo en la zona de acceso, deseleccione lacasilla de verificación Enable file filters.

4. Para cambiar el método de filtrado de archivos, seleccione uno de los siguientesmétodos de filtrado en la lista File Extensions:

l Deny writes for list of file extensions

l Allow writes for list of file extensions

5. Para agregar una extensión de nombre de archivo, haga clic en Add fileextensions, escriba la extensión de nombre de archivo y haga clic en AddExtensions.

6. Para quitar una extensión de nombre de archivo, haga clic en el botón RemoveFilter junto a la extensión que desea eliminar.


Ver ajustes de filtrado de archivosPuede ver los ajustes de filtrado de archivos en una zona de acceso.

Procedimiento


2. En la lista desplegable Current Access Zones, seleccione la zona de acceso enla que desea realizar modificaciones.

La configuración de la zona de acceso seleccionada se muestra en la pestañaFile Filter Settings.


Modificar la configuración de filtrado de archivos en una zona de acceso 257

CAPÍTULO 12

Auditoría


l Descripción general de la auditoría...................................................................260l Syslog.............................................................................................................. 260l Eventos de auditoría de protocolo.................................................................... 261l Herramientas de auditoría compatibles............................................................ 262l Entrega de eventos de auditoría de protocolo a varios servidores CEE............ 262l Tipos de evento compatibles............................................................................263l Ejemplo de registro de auditoría....................................................................... 264l Administración de configuraciones de auditoría............................................... 265l Integración con EMC Common Event Enabler..................................................270l Seguimiento de la entrega de eventos de auditoría de protocolo...................... 272

Auditoría 259

Descripción general de la auditoríaPuede auditar los cambios en la configuración del sistema y la actividad del protocoloen un clúster EMC Isilon. Todos los datos de auditoría están almacenados y protegidosen el sistema de archivos del clúster y organizados según temas de auditoría.

Las auditorías pueden detectar muchas fuentes potenciales de pérdida de datos,incluidas actividades fraudulentas, autorizaciones inapropiadas e intentos de accesono autorizado. Los clientes en sectores tales como los servicios financieros, losservicios de salud, las ciencias biológicas y los medios de comunicación yentretenimiento, así como en las dependencias gubernamentales, deben cumplir conestrictos requisitos normativos desarrollados para protegerlos contra estas fuentes depérdida de datos.

La auditoría de la configuración de sistema rastrea y registra todos los eventos deconfiguración manejados por la API de HTTP de OneFS. El proceso implica la auditoríade la interfaz de la línea de comandos (CLI), la interfaz de administración web y las APIde OneFS. Cuando se habilita el proceso de auditoría de la configuración del sistema,no se necesita ninguna configuración adicional. Los eventos de auditoría deconfiguración de sistema se almacenan en los directorios config de temas deauditoría.

La auditoría de protocolos rastrea y almacena la actividad que realiza a través de lasconexiones de protocolo SMB, NFS y HDFS. Puede habilitar y configurar la auditoríade protocolo para una o más zonas de acceso en un clúster. Si habilita la auditoría deprotocolos en una zona de acceso, los eventos de acceso a archivos mediante losprotocolos SMB, NFS y HDFS se registran en los directorios de temas de auditoría deprotocolos. Puede especificar los eventos que desea registrar en cada zona de acceso.Por ejemplo, puede auditar el conjunto predeterminado de eventos protocol en lazona de acceso System, pero solamente los intentos de eliminación de archivos en unazona de acceso diferente que se completaron correctamente.

Los eventos de auditoría se registran en los nodos individuales donde el cliente SMB,NFS o HDFS inició la actividad. Luego, los eventos se almacenan en un archivo binariodentro de /ifs/.ifsvar/audit/logs. Los registros se transfierenautomáticamente a un archivo nuevo cuando alcanzan un tamaño de 1 GB. Acontinuación, los registros se comprimen para reducir el espacio.

Las aplicaciones de auditoría compatibles con EMC Common Event Enabler (CEE)pueden utilizar el archivo de registro de auditoría protocol.

SyslogSyslog es un protocolo que se utiliza para comunicar los mensajes de notificación deeventos. Puede configurar un clúster Isilon para que registre los eventos de auditoría ylos reenvíe a syslog mediante el reenviador de syslog.

De manera predeterminada, todos los eventos de protocolos que ocurren en un nododeterminado se reenvían al archivo /var/log/audit_protocol.log,independientemente de la zona de acceso donde se originó el evento. Todos loseventos de auditoría de configuración se registran en /var/log/audit_config.log de forma predeterminada.

Syslog está configurado con una identidad que depende del tipo de evento de auditoríaque se envía. Utiliza el demonio de la instalación y el nivel de prioridad info. Loseventos de auditoría de protocolo se registran en syslog con la identidad

Auditoría


audit_protocol. Los eventos de auditoría de configuración se registran en syslogcon la identidad audit_config.

Para configurar la auditoría en un clúster Isilon, debe ser un usuario raíz o se debeasignar a una función administrativa que incluya privilegios de auditoría(ISI_PRIV_AUDIT).

Reenvío de syslogEl reenviador de syslog es un demonio que, cuando se encuentra habilitado, recuperacambios en la configuración y eventos de auditoría de protocolos en una zona deacceso y reenvía los eventos al syslog. Solo los eventos de éxito y falla en lasauditorías definidas por el usuario son aptos para su reenvío a syslog.

En cada nodo hay un demonio reenviador de auditorías de syslog en ejecución queregistrará los eventos de auditoría en el demonio de syslog del mismo nodo.

Eventos de auditoría de protocoloDe forma predeterminada, las zonas de acceso auditadas rastrean solo ciertos eventosen el clúster EMC Isilon, incluidos los intentos fallidos y satisfactorios de acceso aarchivos y directorios.

Los eventos rastreados de manera predeterminada son create, close, delete, rename yset_security.

Los nombres de eventos generados están basados a grandes rasgos en el modelo depaquete de solicitudes de I/O (IRP) de Windows, en el cual todas las operacionescomienzan con un evento create para obtener un identificador de archivo. Se requiereun evento de tipo create antes de todas las operaciones de I/O, entre las que seincluyen las siguientes: close, create, delete, get_security, read, rename, set_securityy write. Un evento close determina el momento en el que el cliente ya no necesita elidentificador de archivo generado por un evento create.

Nota

Para los protocolos NFS y HDFS, puede que los eventos rename y delete no seincluyan en los eventos create y close.

Estos eventos almacenados internamente se convierten en eventos que se reenvíanmediante EMC CEE a la aplicación de auditoría. Las funcionalidades de exportación deEMC CEE en OneFS ejecutan este mapeo. EMC CEE se puede usar para conectarse acualquier aplicación de otros fabricantes que admita EMC CEE.

Nota

EMC CEE no es compatible con el reenvío de eventos de protocolo HDFS a unaaplicación de otros fabricantes.

Diversos clientes SMB, NFS y HDFS envían diferentes solicitudes, y una versióndeterminada de una plataforma que utiliza SMB, como Windows o Mac OS X, podríadiferir de otras que utilizan NFS. De manera similar, diferentes versiones de unaaplicación como Microsoft Word o el Explorador de Windows podrían realizardiferentes solicitudes de protocolo. Por ejemplo, es posible que un cliente con unaventana del Explorador de Windows abierta genere muchos eventos si esa ventana seactualiza de forma automática o manual. Las aplicaciones emiten solicitudes con lascredenciales del usuario que ya inició sesión, pero no se debe suponer que todas lassolicitudes corresponden a acciones intencionales del usuario.

Auditoría

Reenvío de syslog 261

Si se habilita esta opción, la auditoría de OneFS hará un seguimiento de todos loscambios realizados en archivos y directorios de recursos compartidos SMB,exportaciones de NFS y datos HDFS.

Herramientas de auditoría compatiblesPuede configurar OneFS para que envíe registros de auditoría de protocolos aservidores compatibles con EMC Common Event Enabler (CEE).

El funcionamiento de CEE se probó y se verificó en varios proveedores de software deotros fabricantes.

Nota

Recomendamos instalar y configurar aplicaciones de auditoría de otros fabricantesantes de habilitar la función de auditoría de OneFS. De lo contrario, todos los eventosque se registran se envían a la aplicación de auditoría y se produce una granacumulación de trabajo por procesar que genera un retraso en la recepción de loseventos más recientes.

Entrega de eventos de auditoría de protocolo a variosservidores CEE

OneFS es compatible con la entrega simultánea de eventos de auditoría de protocolo avarios servidores CEE que ejecutan el servicio EMC CEE.

Puede establecer un máximo de 20 conexiones HTTP 1.1 a través de un subconjunto deservidores CEE. Cada nodo en un clúster EMC Isilon puede seleccionar hasta cincoservidores CEE para la entrega. Los servidores CEE se comparten en unaconfiguración global y se configuran con OneFS agregando el URI de cada servidor a laconfiguración de OneFS.

Después de configurar los servidores CEE, un nodo en un clúster EMC Isilonselecciona automáticamente los servidores CEE en una lista ordenada de URI de CEE.Se seleccionan los servidores a partir del número de nodo lógico del nodo,compensado dentro de la lista ordenada. Cuando un servidor CEE no está disponible,se selecciona el siguiente servidor disponible. Todas las conexiones se distribuyenuniformemente entre los servidores seleccionados. Cuando un nodo se transfieredebido a que un servidor CEE no estaba disponible anteriormente, se realizancomprobaciones cada 15 minutos para determinar si el servidor CEE está disponible. Elnodo se transfiere de vuelta tan pronto como el servidor CEE está disponible.

Siga algunas de estas mejores prácticas antes de configurar los servidores CEE:

l Se recomienda que proporcione un solo servidor CEE por nodo. Puede usarservidores CEE adicionales más allá del tamaño del clúster EMC Isilon solo cuandoel servidor CEE seleccionado queda offline.

Nota

En una configuración global, debe haber un servidor CEE por nodo.

l Configure el servidor CEE y habilite la auditoría de protocolos al mismo tiempo. Delo contrario, es posible que se acumule una lista de eventos pendientes y que estocause una entrega de elementos obsoletos durante un tiempo.

Auditoría


Puede obtener una vista global del progreso del envío de los eventos de auditoría deprotocolo o puede obtener una vista de número de nodo lógico del progreso mediantela ejecución del comando isi audit progress view.

Tipos de evento compatiblesEs posible ver o modificar los tipos de eventos que se auditan en una zona de acceso.

Nombre delevento

Ejemplo deactividad deprotocolo

Auditado demanerapredeterminada

Se puedeexportarmedianteCEE

No se puedeexportarmedianteCEE

create l Creación de unarchivo odirectorio

l Apertura de unarchivo,directorio orecursocompartido

l Montaje de unrecursocompartido

l Eliminar unarchivo

Nota

Si bien elprotocolo SMBpermite prepararun archivo parasu eliminacióncon la operaciónde creación,debe habilitarseel evento deeliminación paraque laherramienta deauditoría registreel evento.

X X

cerrar l Cierre de undirectorio

l Cierre de unarchivomodificado o nomodificado

X X

rename Cambio de nombrede un archivo odirectorio

X X

Auditoría

Tipos de evento compatibles 263

Nombre delevento

Ejemplo deactividad deprotocolo

Auditado demanerapredeterminada

Se puedeexportarmedianteCEE

No se puedeexportarmedianteCEE

eliminación Eliminación de unarchivo o directorio

X X

set_security Intento de modificarpermisos de archivoso directorios

X X

read La primera solicitudde lectura en unidentificador dearchivo abierto

X

escritura La primera solicitudde escritura en unidentificador dearchivo abierto

X

get_security El cliente leeinformación deseguridad de unidentificador dearchivo abierto

X

Iniciar sesión Solicitud de creaciónde sesión de SMBpor parte de uncliente

X

logoff Cierre de sesión deSMB

X

tree_connect Primer intento deSMB de acceder a unrecurso compartido

X

Ejemplo de registro de auditoríaPuede ver los registros de auditoría de configuraciones y protocolos ejecutando elcomando isi_audit_viewer en cualquier nodo del clúster Isilon.

Puede ver registros de auditoría de acceso de protocolo mediante la ejecución deisi_audit_viewer -t protocol. Puede ver registros de configuración delsistema mediante la ejecución de isi_audit_viewer -t config. El siguienteresultado es un ejemplo de un registro de configuración del sistema:

[0: Fri Jan 23 16:17:03 2015] {"id":"524e0928-a35e-11e4-9d0c-005056302134","timestamp":1422058623106323,"payload":"PAPI config logging started."}

[1: Fri Jan 23 16:17:03 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058623112992,"payload":

Auditoría


{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/protocols/smb/shares","method":"POST","args":"","body":{"path": "/ifs/data", "name": "Test"}}}

[2: Fri Jan 23 16:17:05 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058625144567,"payload":{"status":201,"statusmsg":"Created","body":{"id":"Test"}}}

[3: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659345539,"payload":{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/audit/settings","method":"PUT","args":"","body":{"config_syslog_enabled": true}}}

[4: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659387928,"payload":{"status":204,"statusmsg":"No Content","body":{}}}

Los eventos de auditoría de configuraciones se presentan en pares; se registra un preevent antes de ejecutar el comando y se registra un post event después de laactivación del evento. Los eventos de auditoría de protocolo se registran como postevent después de que se realiza una operación. Las auditorías de configuraciones sepueden correlacionar haciendo coincidir el campo id.

El evento previo (pre event) siempre va primero y contiene información sobre el tokendel usuario, la ruta PAPI y los argumentos que se hayan pasado a la llamada PAPI. En elevento 1, se envió una solicitud POST a /1/protocols/smb/shares con losargumentos path=/ifs/data y name=Test. El evento posterior (post event)contiene el estado de retorno de HTTP y cualquier resultado que se haya obtenido delservidor.

Administración de configuraciones de auditoríaEs posible habilitar y deshabilitar la configuración del sistema y de la auditoría deacceso de protocolos, además de configurar la integración con EMC Common EventEnabler.

Enable protocol access auditingEs posible auditar el acceso mediante los protocolos SMB, NFS y HDFS por zona deacceso y, opcionalmente, enviar los eventos generados a Common Event Enabler(CEE) de EMC para exportarlos a productos de terceros.

Nota

Debido a que cada evento auditado consume recursos del sistema, se recomienda queconfigure zonas únicamente para aquellos eventos que necesite su aplicación deauditoría. Además, se recomienda instalar y configurar aplicaciones de auditoría deotros fabricantes antes de habilitar la función de auditoría de OneFS. De lo contrario,la gran cantidad de trabajos pendientes realizados por esta función podría impedir laactualización de los resultados durante un período considerable.

Auditoría

Administración de configuraciones de auditoría 265

Procedimiento

1. Haga clic en Cluster Management > Auditing.

2. En el área Settings, seleccione la casilla de verificación Enable ProtocolAccess Auditing.

3. En el área Audited Zones, haga clic en Add Zones.

4. En el cuadro de diálogo Select Access Zones, seleccione la casilla deverificación de una o más zonas de acceso y haga clic en Add Zones.

5. (Opcional) En el área Event Forwarding, especifique uno o más servidores deCEE a los que se enviarán los eventos registrados.

a. En el campo CEE Server URIs, ingrese el URI de cada servidor con CEE delpool de servidores con CEE.

El servicio de exportación de CEE de OneFS usa balanceo de carga round-robin cuando exporta eventos a varios servidores de CEE. Los URI válidoscomienzan con http:// e incluyen el número de puerto y la ruta al servidorCEE en caso de ser necesario; por ejemplo, http://example.com:12228/cee.

b. En el campo Storage Cluster Name, especifique el nombre del clúster dealmacenamiento que se utilizará para enviar eventos de protocolo.

Por lo general, este valor será el nombre de la zona de SmartConnect, peroen casos en los que no se haya implementado SmartConnect, el valor debecoincidir con el nombre de host del clúster tal como lo reconozca laaplicación de otros fabricantes. Si el campo se deja en blanco, los eventos decada nodo se completan con el nombre de nodo (clustername + lnn). Estaconfiguración solo se requiere si la aplicación de auditoría de otrosfabricantes la necesita.

Nota

Si bien este paso es opcional, debe tener en cuenta que se acumulará unalista de eventos pendientes, sin importar si se configuraron servidores conCEE o no. Cuando se configura esta opción, el envío a CEE comienza por loseventos más antiguos de la lista de eventos pendientes y avanza hacia loseventos más nuevos en una secuencia de primero en entrar, primero en salir.


Resultados

Los siguientes eventos de protocolo se recopilan para las zonas de acceso auditadasde manera predeterminada: create, close, delete, rename y set_security.Puede modificar el conjunto de eventos que se auditan en una zona de acceso. Paraello, ejecute el comando isi audit settings modify en la interfaz de la línea decomandos. Debido a que cada evento auditado consume recursos del sistema, serecomienda que configure zonas únicamente para aquellos eventos que necesite suaplicación de auditoría.


Puede modificar los tipos de eventos de acceso de protocolo que se auditaránmediante el comando isi audit settings modify. También puede habilitar elreenvío de los eventos de acceso de protocolo a syslog mediante el comando isiaudit settings modify con la opción --syslog-forwarding-enabled.

Auditoría


Estos procedimientos están disponible solamente a través de la interfaz de la línea decomandos.

Enviar eventos de acceso de protocolos a syslogPuede habilitar o deshabilitar el envío de eventos de acceso de protocolos auditados asyslog en cada zona de acceso. El envío no se habilita de forma predeterminadacuando se habilita la auditoría de acceso de protocolo. Este procedimiento estádisponible solamente a través de la interfaz de la línea de comandos.

Antes de comenzar

Para habilitar el envío de eventos de acceso de protocolo en una zona de acceso,primero debe habilitar la auditoría de acceso de protocolo en la zona de acceso.

Las opciones --audit-success y --audit-failure definen los tipos de eventosque se auditan, mientras que la opción --syslog-audit-events define los tipos deeventos que se envían a syslog. Solo los tipos de evento auditados son adecuados parasu envío a syslog. Si se habilita el envío a syslog, los eventos de acceso de protocolo seescriben en el archivo /var/log/audit_protocol.log.

Procedimiento


2. Ejecute el comando isi audit settings modify con la opción --syslog-forwarding-enabled para habilitar o deshabilitar el syslog deauditoría.

El siguiente comando habilita el envío de los eventos de acceso de protocolosauditados en la zona de acceso zone3 y especifica que los únicos tipos deeventos que se envían son los eventos close, create y delete:

isi audit settings modify --syslog-forwarding-enabled=yes --syslog-audit-events=close,create,delete --zone=zone3

El siguiente comando deshabilita el envío de eventos de acceso de protocolosauditados de la zona de acceso zone3:

isi audit settings modify --syslog-forwarding-enabled=no --zone=zone3

Habilitar auditorías del sistema de configuraciónOneFS puede auditar eventos de configuración del sistema en su clúster Isilon. Todoslos eventos de configuración manejados por la API de la plataforma, incluidas lasescrituras, modificaciones y eliminaciones, se rastrean y se registran en los directoriosde temas de auditoría de configuraciones. Cuando habilita o deshabilita el proceso deauditoría de la configuración del sistema, no se necesita ninguna configuraciónadicional.

Los eventos de configuración se registran en /var/log/audit_config.log solo sihabilitó el envío a syslog de la auditoría de configuración. Los registros de cambios enla configuración se completan en el tema de configuración del área de almacenamientode back-end de auditoría en /ifs/.ifsvar/audit.

Auditoría

Enviar eventos de acceso de protocolos a syslog 267

Nota

Los eventos de configuración no se envían a Common Event Enabler (CEE).

Procedimiento

1. Haga clic en Cluster Management > Auditing.

2. En el área Settings, seleccione la casilla de verificación Enable ConfigurationChange Auditing.



Puede habilitar el envío de cambios de la configuración del sistema a syslog mediantela ejecución del comando isi audit settings global modify con la opción --config-syslog-enabled. Este procedimiento está disponible solamente a travésde la interfaz de la línea de comandos.

Configurar el nombre de host de auditoríaDe manera opcional, puede establecer el nombre de host de auditoría para algunas delas aplicaciones de auditorías de otros fabricantes que requieren un nombre de hostunificado. Si no configura un nombre de host para estas aplicaciones, cada nodo de unclúster EMC Isilon envía su nombre de host como el nombre del servidor en el servidorCEE. De lo contrario, el nombre de host de auditoría configurado se utiliza comonombre de servidor global.

Procedimiento


2. Ejecute el comando isi audit settings global modify con la opción--hostname para establecer el nombre de host de auditoría.

El siguiente comando establece mycluster como nombre de host de auditoría:

isi audit settings global modify --hostname=mycluster

Configurar las zonas de protocolo auditadoSolo los eventos de auditoría de protocolo dentro de una zona auditada se capturan yse envían al servidor CEE. Por lo tanto, debe configurarse una zona de auditoría deprotocolo para enviar eventos de auditoría.

Procedimiento


2. Ejecute el comando isi audit settings global modify con la opción--audited-zones para configurar las zonas de auditoría de protocolo.

El siguiente comando configura HomeDirectory y Misc como zonas de auditoríade protocolo:

isi audit settings global modify --audited-zones=HomeDirectory,Misc

Auditoría


Reenviar los cambios en la configuración del sistema a syslogPuede habilitar o deshabilitar el reenvío de los cambios en la configuración del sistemadel clúster EMC Isilon a syslog, lo cual queda registrado en /var/log/audit_config.log. Este procedimiento está disponible únicamente mediante lainterfaz de la línea de comandos.

Antes de comenzar

De manera predeterminada, el reenvío no se habilita tras habilitar la auditoría de laconfiguración del sistema. Para habilitar el reenvío de los cambios en la configuracióndel sistema a syslog, primero debe habilitar la auditoría de la configuración del sistemaen el clúster.Procedimiento


2. Ejecute el comando isi audit settings global modify con la opción--config-syslog-enabled para habilitar o deshabilitar el reenvió de loscambios en la configuración del sistema.

El siguiente comando habilita el reenvío de los cambios en la configuración delsistema a syslog:

isi audit settings global modify --config-syslog-enabled=yes

El siguiente comando deshabilita el reenvío de los cambios en la configuracióndel sistema a syslog:

isi audit settings global modify --config-syslog-enabled=no

Configurar filtros de eventos de protocoloPuede filtrar los tipos de eventos de acceso de protocolo que se auditan en una zonade acceso. Puede crear filtros para los eventos exitosos y fallidos. Los siguienteseventos de protocolo se recopilan para las zonas de acceso auditadas de manerapredeterminada: create, delete, rename, close y set_security. Este procedimiento estádisponible solamente a través de la interfaz de la línea de comandos.

Antes de comenzar

Para crear filtros de eventos de protocolo, primero debe habilitar la auditoría deacceso de protocolo en la zona de acceso.Procedimiento


2. Ejecute el comando isi audit settings modifyEl siguiente comando crea un filtro que audita la falla de eventos create, close ydelete en la zona de acceso zone3:

isi audit settings modify --audit-failure=create,close,delete --zone=zone3

Auditoría

Reenviar los cambios en la configuración del sistema a syslog 269

El siguiente comando crea un filtro que audita la realización satisfactoria deeventos create, close y delete en la zona de acceso zone5:

isi audit settings modify --audit-success=create,close,delete --zone=zone5

Integración con EMC Common Event EnablerLa integración de OneFS con EMC Common Event Enabler (CEE) permite queaplicaciones de auditoría de otros fabricantes recopilen y analicen los registros deauditoría de los protocolos.

Para obtener la lista más actualizada de herramientas de auditoría compatibles,consulte la guía Third-Party Software & Hardware Compatibility Guide de Isilon.

OneFS es compatible con el componente agente Event Publishing de Celerra (CEPA)de CEE para Windows. Para la integración con OneFS, debe instalar y configurar CEEpara Windows en un cliente Windows compatible.

Nota

Recomendamos instalar y configurar aplicaciones de auditoría de otros fabricantesantes de habilitar la función de auditoría de OneFS. De lo contrario, la gran cantidad detrabajos pendientes realizados por esta función puede impedir la actualización de losresultados durante un período considerable.

Instalar CEE para WindowsPara integrar CEE con OneFS, primero debe instalar CEE en una computadora queejecute el sistema operativo Windows.

Antes de comenzar

Prepárese para extraer archivos del archivo .iso, como se describe en los pasos acontinuación. Si no está familiarizado con el proceso, considere optar por uno de lossiguientes métodos:

1. Instale WinRAR u otro programa de archiving apropiado que pueda abrirarchivos .iso como un archivo y copie los archivos.

2. Grabe la imagen en un CD-ROM y copie los archivos.

3. Instale SlySoft Virtual CloneDrive, el cual permite montar una imagen ISO comouna unidad desde la que puede copiar archivos.

Nota

Debe instalar un mínimo de dos servidores. Se recomienda instalar CEE 6.6.0 osuperior.

Procedimiento

1. Descargue el software de la plataforma CEE desde el servicio de soporte enlínea de EMC:

a. En un navegador web, vaya a https://support.emc.com/search/.

b. En el campo de búsqueda, ingrese Common Event Enabler for Windows yhaga clic en el ícono Search.

Auditoría


https://support.emc.com/docu45932

https://support.emc.com/search/

c. Haga clic en Common Event Enabler <Version> para Windows, donde<Version> es 6.2 o superior, y siga las instrucciones para abrir o guardar elarchivo .iso.

2. Desde el archivo .iso, extraiga el archivo ejecutable EMC_CEE_Pack de 32 o64 bits que necesita.

Cuando se complete la extracción, se abrirá el asistente de instalación de EMCCommon Event Enabler.

3. Haga clic en Next para ir a la página License Agreement.

4. Seleccione la opción I accept… para aceptar las condiciones del acuerdo delicencia y haga clic en Next.

5. En la página Customer Information, escriba su nombre de usuario yorganización, seleccione la preferencia de instalación y haga clic en Next.

6. En la página Setup Type, seleccione Complete y haga clic en Next.

7. Haga clic en Install para comenzar la instalación.

La página Installing EMC Common Event Enabler muestra el progreso de lainstalación. Cuando se complete la instalación, aparecerá la página InstallShieldWizard Completed.

8. Haga clic en Finish para salir del asistente.

9. Reinicie el sistema.

Configurar CEE para WindowsDespués de instalar CEE para Windows en una computadora cliente, debe configurarajustes adicionales a través del editor del registro de Windows (regedit.exe).

Procedimiento

1. Abra el editor del registro de Windows.

2. Configure las siguientes claves del registro, si son compatibles con su aplicaciónde auditoría:

Configuración

Ubicación del registro Clave Valor

CEE HTTPlisten port

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\Configuration]

HttpPort 12228

Enableauditremoteendpoints

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

Activado 1

Auditremoteendpoints

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

EndPoint <EndPoint>

Auditoría

Configurar CEE para Windows 271

Nota

l El valor de HttpPort debe coincidir con el puerto en los URI de CEE que seespecifican durante la configuración de la auditoría del protocolo de OneFS.

l El valor de EndPoint debe estar en el formato<EndPoint_Name>@<IP_Address>. Puede especificar varios terminales sisepara cada valor con un punto y coma (;).

La siguiente clave especifica un terminal remoto único:[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint = [email protected] siguiente clave especifica varios terminales remotos:[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint [email protected];[email protected]

3. Cierre el editor del registro de Windows.

Configurar los servidores CEE para proporcionar eventos de auditoría deprotocolo

Puede configurar servidores CEE con OneFS para brindar los eventos de auditoría deprotocolo agregando el URI de cada servidor a la configuración de OneFS.

Procedimiento

l Ejecute el comando isi audit settings global modify con la opción --cee-server-uris para agregar los URI de los servidores CEE a la configuraciónde OneFS.

El siguiente comando agrega los URI de tres servidores CEE a la configuración deOneFS:

isi audit settings global modify --cee-server-uris=http://server1.example.com:12228/vee,http://server2.example.com:12228/vee,http://server3.example.com:12228/vee

Seguimiento de la entrega de eventos de auditoría deprotocolo

Los procesos de captura de eventos de auditoría de protocolo y su entrega al servidorCEE no ocurren simultáneamente. Por lo tanto, incluso cuando no hay servidores CEEdisponibles, los eventos de auditoría de protocolo se capturan de todas formas y sealmacenan para entregarlos al servidor CEE en un momento posterior.

Puede ver la hora del último evento de auditoría de protocolo capturado y la hora delevento del último evento que se envió al servidor CEE. También puede mover laposición de registro del reenviador de CEE a un tiempo deseado.

Ver las horas de registro de la entrega de eventos al servidor de CEE y syslogPuede ver las horas de registro de la entrega de eventos al servidor de CEE y syslogen el nodo en el que se ejecuta el comando isi audit progress view.

Auditoría


Esta configuración está disponible solamente a través de la interfaz de la línea decomandos.

Procedimiento

l Ejecute el comando isi audit progress view para ver las horas de registrode la entrega de eventos al servidor de CEE y syslog en el nodo en el que seejecuta el comando.

Este es un ejemplo de la salida del comando isi audit progress view:

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016

Puede ejecutar el comando isi audit progress view con la opción --lnnpara ver las horas de registro de la entrega de los eventos de auditoría en un nodoespecificado a través de su número de nodo lógico.

A través del siguiente comando, se muestra el progreso de entrega de los eventosde auditoría en un nodo con el número de nodo lógico 2:

isi audit progress view --lnn=2

El resultado aparece como se muestra:

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016

Mover la posición en el registro del reenviador de CEEPuede mover manualmente la posición en el registro del reenviador de CEE si la horadel evento que figura en el registro de auditoría tiene un retraso con respecto a la horaactual. A nivel global, esta acción pasa la hora del evento en todos los registros delreenviador de CEE dentro de un clúster EMC Isilon a la hora más cercana.

Nota

Los eventos omitidos no se reenviarán al servidor CEE, a pesar de que aún podríanestar disponibles en el clúster.

Procedimiento

l Ejecute el comando isi audit settings global modify con la opción --cee-log-time para mover la posición en el registro del reenviador de CEE.

El siguiente comando mueve la posición en el registro del reenviador de CEEmanualmente:

isi audit settings global modify --cee-log-time='protocol@2016-01-27 01:03:02'

Ver la velocidad de entrega de eventos de auditoría de protocolo en elservidor de CEE

Puede ver la velocidad de entrega de eventos de auditoría de protocolo en el servidorde CEE.

Auditoría

Mover la posición en el registro del reenviador de CEE 273

Procedimiento

l Ejecute el comando isi statistics query para ver la velocidad actual deentrega de los eventos de auditoría de protocolo al servidor de CEE en un nodoEMC Isilon.

A través del siguiente comando, se muestra la velocidad actual de entrega de loseventos de auditoría de protocolo al servidor de CEE:

isi statistics query current list --keys=node.audit.cee.export.rate

El resultado aparece como se muestra:

Node node.audit.cee.export.rate--------------------------------- 1 3904.600000---------------------------------Total: 1

Auditoría


CAPÍTULO 13

Snapshots


l Descripción general de snapshots.................................................................... 276l Protección de datos con SnapshotIQ............................................................... 276l Uso del espacio en disco para snapshots..........................................................276l Calendarios de snapshots................................................................................. 277l Alias de snapshots............................................................................................ 277l Restauración de archivos y directorios............................................................. 277l Mejores prácticas para crear snapshots........................................................... 278l Mejores prácticas para crear calendarios de snapshots....................................279l Clones de archivos........................................................................................... 280l Bloqueos de snapshots..................................................................................... 281l Reserva de snapshots....................................................................................... 281l Funcionalidad de licencia de SnapshotIQ..........................................................282l Creación de snapshots con SnapshotIQ........................................................... 282l Administración de snapshots ...........................................................................288l Restauración de datos de snapshots.................................................................291l Administración de calendarios de snapshots.................................................... 293l Administración de alias de snapshots............................................................... 294l Administración con bloqueos de snapshots...................................................... 296l Configurar ajustes de SnapshotIQ....................................................................298l Establecimiento de una reserva de snapshot....................................................299l Administración de listas de cambios................................................................. 300

Snapshots 275

Descripción general de snapshotsUn snapshot de OneFS es un indicador lógico de los datos almacenados en un clústeren un momento específico.

Un snapshot hace referencia a un directorio en un clúster, incluidos todos los datosalmacenados en el directorio y sus subdirectorios. Si se modifican los datos a los quehace referencia un snapshot, este almacena una copia física de los datos que semodificaron. Los snapshots se crean según las especificaciones del usuario o segeneran automáticamente por medio de OneFS para facilitar las operaciones delsistema.

Para crear y administrar snapshots, deberá habilitar una licencia de SnapshotIQ en elclúster. Algunas aplicaciones deben generar snapshots para que funcionen, peroexigen la activación de una licencia de SnapshotIQ. De forma predeterminada, estossnapshots se eliminan automáticamente cuando OneFS ya no los necesita. Sinembargo, si activa una licencia de SnapshotIQ, puede conservar estos snapshots.Puede ver snapshots generados por otros módulos sin activar una licencia deSnapshotIQ.

Puede identificar y ubicar snapshots mediante el nombre o el ID. Al nombre de unsnapshot lo especifica un usuario y se asigna al directorio virtual que contiene elsnapshot. Un ID de snapshot es un identificador numérico que OneFS asignaautomáticamente a un snapshot.

Protección de datos con SnapshotIQPuede crear snapshots para proteger los datos con el módulo de softwareSnapShotIQ. Los snapshots protegen los datos frente a la eliminación y la modificaciónaccidentales dándole la posibilidad de restaurar archivos eliminados y modificados.Para poder utilizar SnapshotIQ, debe habilitar una licencia de SnapshotIQ en el clúster.

Los snapshots son menos costosos que los respaldos de sus datos en un dispositivo dealmacenamiento físico separado en términos de tiempo y de consumo dealmacenamiento. El tiempo necesario para transferir datos a otro dispositivo físicodepende de la cantidad de datos que se transfieren, mientras que los snapshotssiempre se crean instantáneamente, independientemente de la cantidad de datos a losque haga referencia el snapshot. Además, debido a que los snapshots estándisponibles a nivel local, los usuarios finales normalmente pueden restaurar sus datossin necesitar la ayuda de un administrador de sistemas. Los snapshots requierenmenos espacio que un respaldo remoto debido a que los datos no alterados sereferencian, y así no tienen que volver a crearse.

Los snapshots no protegen contra los problemas de hardware o del sistema dearchivos. Los snapshots hacen referencia a datos que están almacenados en unclúster, de modo que si los datos del clúster dejan de estar disponibles, los snapshotstampoco lo estarán. Debido a esto, además de crear los snapshots, se recomiendarespaldar los datos en dispositivos físicos separados.

Uso del espacio en disco para snapshotsLa cantidad de espacio en disco que consume un snapshot depende de la cantidad dedatos almacenada mediante el snapshot y la cantidad de datos a la que el snapshothace referencia desde otros snapshots.

Snapshots


Inmediatamente después de que OneFS crea un snapshot, este consume una cantidadinsignificante de espacio en disco. El snapshot no consume espacio adicional en discoa menos que se modifiquen los datos a los que hace referencia dicho snapshot. Si losdatos a los que un snapshot hace referencia se modifican, el snapshot almacena copiasde solo lectura de los datos originales. Un snapshot consume solo el espacio que esnecesario para restaurar el contenido de un directorio al estado en que se encontrabacuando se tomó el snapshot.

Para reducir el uso de espacio en disco, los snapshots que hacen referencia al mismodirectorio se hacen referencia entre sí, de modo que los snapshots más antiguos hacenreferencia a los snapshots más nuevos. Si se elimina un archivo y varios snapshotshacen referencia a ese archivo, un solo snapshot almacena una copia del archivo y losdemás snapshots hacen referencia al archivo desde el snapshot que almacena la copia.El tamaño registrado de un snapshot refleja solamente la cantidad de datosalmacenados por el snapshot y no incluye la cantidad de datos referenciados por elsnapshot.

Debido a que los snapshots no consumen un volumen definido de espacio dealmacenamiento, no hay ningún requisito de espacio disponible para crear un snapshot.El tamaño de un snapshot crece en función de cómo se modifiquen los datosreferenciados por el snapshot. Un clúster no puede contener más de 20,000snapshots.

Calendarios de snapshotsPuede generar automáticamente snapshots de acuerdo con el calendario desnapshots.

Con los calendarios de snapshots, puede generar periódicamente snapshots de undirectorio sin tener que crear manualmente un snapshot en cada ocasión. Tambiénpuede asignar un período de vencimiento para determinar la fecha en que SnapshotIQeliminará automáticamente el snapshot generado.

Alias de snapshotsUn alias de snapshot es un puntero lógico a un snapshot. Si especifica un alias para uncalendario de snapshots, el alias siempre apuntará al snapshot generado másrecientemente mediante ese calendario. La asignación de un alias de snapshot lepermite identificar y acceder rápidamente al snapshot generado más recientemente deacuerdo con un calendario de snapshots.

Si permite que los clientes accedan a snapshots a través de un alias, puede volver aasignar el alias para redirigir los clientes a otros snapshots. Además de asignar alias asnapshots, también puede asignar alias de snapshots a la versión activa del sistema dearchivos. Esto puede resultar útil si los clientes acceden a los snapshots a través de unalias de snapshot y desea redirigir los clientes a la versión activa del sistema dearchivos.

Restauración de archivos y directoriosPuede restaurar los archivos y directorios a los que hace referencia un alias desnapshot mediante la copia de los datos del snapshot, la clonación de un archivo apartir del snapshot o la reversión del snapshot completo.

La copia de un archivo a partir de un snapshot duplica el archivo, lo queaproximadamente duplica la cantidad de espacio de almacenamiento consumido.

Snapshots

Calendarios de snapshots 277

Incluso si elimina el archivo original del directorio ajeno al snapshot, la copia del archivopermanece en el snapshot.

La clonación de un archivo a partir de un snapshot también duplica el archivo. Sinembargo, a diferencia de la copia, que inmediatamente consume espacio adicional en elclúster, un clon no consume ningún espacio adicional en el clúster a menos que semodifiquen el clon o el archivo clonado.

La reversión de un snapshot sustituye el contenido de un directorio por los datosalmacenados en el snapshot. Antes de revertir un snapshot, SnapshotIQ crea unsnapshot del directorio que se está sustituyendo, lo que le permite deshacer lareversión del snapshot más adelante. La reversión de un snapshot puede ser útil sidesea deshacer un gran número de cambios realizados en archivos y directorios. Sidesde que se creó el snapshot de un directorio se han creado nuevos archivos odirectorios en ese directorio, esos archivos y directorios se eliminarán cuando serevierta el snapshot.

Nota

Si transfiere un directorio, no puede revertir los snapshots del directorio que setomaron antes de la transferencia.

Mejores prácticas para crear snapshotsCuando trabaje con una gran cantidad de snapshots, tenga en cuenta las siguientesmejores prácticas de snapshots.

Se recomienda no crear más de 1,000 snapshots de un solo directorio para evitar ladegradación del rendimiento. Si crea un snapshot de un directorio raíz, ese snapshotcuenta para el número total de snapshots de todos los subdirectorios del directorioraíz. Por ejemplo, si crea 500 instantáneas de /ifs/data y 500 instantáneasde /ifs/data/media, habrá creado 1,000 instantáneas de /ifs/data/media.Evite crear instantáneas de directorios a los que ya hacen referencia otrasinstantáneas.

Se recomienda no crear más de 1,000 vínculos físicos por archivo en una instantánea,para evitar la degradación del rendimiento. Intente siempre mantener las rutas dedirectorio con la menor profundidad posible. Cuanto mayor sea la profundidad de losdirectorios referenciados por snapshots, mayor será la degradación del rendimiento.

La creación de snapshots de directorios en un nivel más elevado de un árbol dedirectorios aumentará la cantidad de tiempo que se tarda en modificar los datos a losque hace referencia el snapshot y necesitará más recursos del clúster para administrarel snapshot y el directorio. Sin embargo, la creación de snapshots de directorios en unnivel más bajo de los árboles de directorios necesitará más calendarios de snapshots,lo que puede resultar difícil de administrar. Se recomienda no crear snapshots de /ifsni de /ifs/data.

Puede crear hasta 20,000 snapshots de un clúster en un momento. Si su flujo detrabajo requiere constantemente una gran cantidad de instantáneas, tal vez prefieraadministrar las instantáneas a través de la interfaz de la línea de comandos de OneFSen lugar de usar la interfaz de administración web de OneFS. En la CLI, puede aplicaruna amplia variedad de opciones de clasificación y filtrado, así como redirigir listas aarchivos de texto.

Cuando ya no necesite una o más instantáneas, márquelas para su eliminación yasegúrese de que esté habilitado el trabajo de sistema SnapshotDelete. Si el trabajoSnapshotDelete está inhabilitado, no se puede liberar el espacio en disco no utilizado ytambién es posible que se degrade el rendimiento con el paso del tiempo.

Snapshots


Si el reloj del sistema está establecido en una zona horaria diferente al TiempoUniversal Coordinado (UTC), SnapshotIQ modifica los períodos de duración de lasinstantáneas para que coincidan con el horario de verano (DST). Tras el comienzo delDST, las duraciones de los snapshots aumentan en una hora para adherirse al DST;cuando finaliza el DST, las duraciones de los snapshots disminuyen en una hora paraadherirse a la hora estándar.

Mejores prácticas para crear calendarios de snapshotsLas configuraciones de calendarios de snapshots se pueden categorizar según la formaen que eliminan los snapshots: eliminaciones ordenadas y eliminaciones no ordenadas.

Una eliminación ordenada es aquella eliminación del snapshot más antiguo de undirectorio. Una eliminación no ordenada es aquella eliminación de un snapshot que noes el más antiguo de un directorio. Las eliminaciones no ordenadas tardanaproximadamente el doble de tiempo en completarse y consumen más recursos delclúster que las eliminaciones ordenadas. Sin embargo, las eliminaciones no ordenadaspueden ahorrar espacio gracias a que se conserva un número total de snapshotsinferior.

Las ventajas de las eliminaciones no ordenadas frente a las ordenadas dependen de lafrecuencia con que se modifiquen los datos a los que hacen referencia los snapshots.Si los datos se modifican con frecuencia, las eliminaciones no ordenadas ahorraránespacio. Sin embargo, si los datos permanecen sin modificar, las eliminaciones noordenadas probablemente no ahorrarán espacio, y se recomienda que realiceeliminaciones ordenadas para liberar recursos del clúster.

Para implementar eliminaciones ordenadas, asigne el mismo período de duración paratodos los snapshots de un directorio. Los snapshots se pueden crear mediante uno ovarios calendarios de snapshots. Asegúrese siempre de que no se creen más de 1,000snapshots de un directorio.

Para implementar eliminaciones de snapshots no ordenadas, cree varios calendarios desnapshots para un solo directorio y, a continuación, asigne diferentes períodos deduración de snapshot para cada calendario. Asegúrese de que todos los snapshots secreen al mismo tiempo, si es posible.

La siguiente tabla describe los calendarios de snapshots que siguen las mejoresprácticas de snapshots:

Tabla 1 Configuraciones de calendarios de snapshots

Tipo deeliminación

Frecuencia desnapshots

Tiempo desnapshots

vencimientode snapshots

Máx. desnapshotsconservados

Eliminaciónordenada(paradatosmayormenteestáticos)

Cada hora Inicio a las 00:00 hy fin a las 11:59 h

Un mes 720

Eliminación noordenada

Cada dos horas Inicio a las 00:00 hy término a las23:59 h

1 día 27

Snapshots

Mejores prácticas para crear calendarios de snapshots 279

Tabla 1 Configuraciones de calendarios de snapshots (continuación)

Tipo deeliminación

Frecuencia desnapshots

Tiempo desnapshots

vencimientode snapshots

Máx. desnapshotsconservados

(paradatosmodificadosfrecuentemente)

Todos los días A las 00:00 h 1 semana

Cada semana Sábado a las 00:00h

Un mes

Cada mes El primer sábadodel mes a las 00:00h

3 meses

Clones de archivosSnapshotIQ le permite crear clones de archivos que comparten bloques con archivosexistentes para ahorrar espacio en el clúster. El clon de un archivo normalmenteconsume menos espacio y tarda menos tiempo en crearse que la copia de un archivo.Aunque puede clonar archivos a partir de snapshots, OneFS utiliza los clones, sobretodo, de forma interna.

Los bloques que se comparten entre un clon y un archivo clonado se incluyen en unarchivo oculto llamado área de almacenamiento oculta. Inmediatamente después decrear un clon, todos los datos incluidos originalmente en el archivo clonado setransfieren a un área de almacenamiento oculta. Debido a que ambos archivos hacenreferencia a todos los bloques del área de almacenamiento oculta, los dos archivos noconsumirán más espacio que el archivo original; el clon no consume espacio adicionaldel clúster. Sin embargo, si el archivo clonado o el clon se modifican, el archivo y elclon compartirán únicamente los bloques que son comunes a ambos, y los bloquesmodificados que no comparten ocuparán espacio adicional en el clúster.

En el transcurso del tiempo, los bloques compartidos que están incluidos en el área dealmacenamiento oculta podrían resultar inservibles si ni el archivo ni el clon hacenreferencia a ellos. El clúster elimina de manera rutinaria los bloques que ya no senecesitan. Puede forzar en cualquier momento el clúster para que elimine los bloquesno usados ejecutando el trabajo ShadowStoreDelete.

Los clones no pueden contener flujos de datos alternativos (ADS). Si clona un archivoque contiene flujos de datos alternativos, el clon no contendrá los flujos de datosalternativos.

Consideraciones sobre las áreas de almacenamiento ocultasLas áreas de almacenamiento ocultas son archivos ocultos a los que hacen referenciaarchivos clonados y deduplicados. Los archivos que hacen referencia a áreas dealmacenamiento ocultas se comportan de forma distinta al resto de archivos.

l La lectura de referencias a áreas de almacenamiento ocultas puede resultar máslenta que la lectura directa de los datos. En concreto, la lectura de referencias aáreas de almacenamiento ocultas no almacenadas en caché es más lenta que lalectura de los datos no almacenados en caché. La lectura de referencias a áreas dealmacenamiento ocultas almacenadas en caché no tarda más tiempo que la lecturade datos almacenados en caché.

Snapshots


l Cuando los archivos que hacen referencia a áreas de almacenamiento ocultas sereplican en otro clúster Isilon o se respaldan en un dispositivo de respaldo de tipoNDMP, las áreas de almacenamiento ocultas no se transfieren al clúster Isilon ni aldispositivo de respaldo de destino. Los archivos se transfieren como si contuvieranlos datos a los que hacen referencia desde las áreas de almacenamiento ocultas.En el clúster Isilon o el dispositivo de respaldo de destino, los archivos consumen lamisma cantidad de espacio que si no tuvieran áreas de almacenamiento ocultasreferenciadas.

l Cuando OneFS crea un área de almacenamiento oculta, OneFS asigna el área dealmacenamiento oculta a un pool de almacenamiento de un archivo que hacereferencia al área de almacenamiento oculta. Si elimina el pool de almacenamientoen el que reside el área de almacenamiento oculta, el área de almacenamientooculta se transfiere a un pool ocupado por otro archivo que hace referencia al áreade almacenamiento oculta.

l Después de eliminar la última referencia al bloque, OneFS no elimina ningún bloquede área de almacenamiento oculta inmediatamente. En su lugar, OneFS espera aque se ejecute el trabajo ShadowStoreDelete para eliminar el bloque noreferenciado. Si hay un gran número de bloques no referenciados en el clúster,OneFS puede registrar un ahorro de deduplicación negativo hasta que se ejecute eltrabajo ShadowStoreDelete.

l Las áreas de almacenamiento ocultas están protegidas como mínimo tanto como elarchivo más protegido que haga referencia a ellas. Por ejemplo, si un archivo quehace referencia a un área de almacenamiento oculta reside en un pool dealmacenamiento con +2 de protección y otro archivo que hace referencia a un áreade almacenamiento oculta reside en un pool de almacenamiento con +3 deprotección, el área de almacenamiento oculta está protegida a +3.

l Las cuotas representan archivos que hacen referencia a áreas de almacenamientoocultas como si los archivos contuvieran los datos referenciados desde áreas dealmacenamiento ocultas; desde la perspectiva de una cuota, las referencias a áreasde almacenamiento ocultas no existen. Sin embargo, si una cuota incluyesobrecarga de protección de datos, la cuota no representa la sobrecarga deprotección de datos de las áreas de almacenamiento ocultas.

Bloqueos de snapshotsUn bloqueo de snapshot impide que se elimine un snapshot. Si un snapshot tiene uno omás bloqueos aplicados, el snapshot no puede eliminarse y se denomina snapshotbloqueado. Si expira el período de duración de un snapshot bloqueado, OneFS noeliminará el snapshot hasta que se hayan quitado todos los bloqueos del mismo.

OneFS aplica bloqueos de snapshot para asegurarse de que los snapshots generadospor aplicaciones OneFS no se eliminen de forma prematura. Por este motivo, serecomienda que no elimine los bloqueos de snapshots ni modifique el período deduración de los bloqueos de snapshots.

Es posible aplicar un número limitado de bloqueos a un snapshot en un momento dado.Si crea bloqueos de snapshots, podría alcanzar el límite de un snapshot y podría darseel caso de que OneFS no pudiera aplicar un bloqueo de snapshot cuando fueranecesario. Por este motivo, se recomienda que no cree bloqueos de snapshots.

Reserva de snapshotsLa reserva para snapshots le permite apartar un porcentaje mínimo de capacidad dealmacenamiento del clúster específicamente para los snapshots. Si se especifica, el

Snapshots

Bloqueos de snapshots 281

resto de operaciones de OneFS no podrá acceder al porcentaje de capacidad delclúster que está reservado a los snapshots.

Nota

La reserva para snapshots no limita la cantidad de espacio que los snapshots puedenconsumir en el clúster. Los snapshots pueden consumir un mayor porcentaje decapacidad de almacenamiento especificada por la reserva para snapshots. Serecomienda que no especifique una reserva para snapshots.

Funcionalidad de licencia de SnapshotIQSolamente puede crear snapshots si habilita una licencia de SnapshotIQ en un clúster.Sin embargo, puede ver snapshots y bloqueos de snapshots creados para uso internopor OneFS sin habilitar ninguna licencia de SnapshotIQ.

La siguiente tabla describe qué funcionalidad de snapshot está disponible en funciónde si la licencia de SnapshotIQ está activa:

Funcionalidad Inactivo Activo

Crear snapshots ycalendarios de snapshots

No Sí

Configurar ajustes deSnapshotIQ

No Sí

Ver calendarios desnapshots

Sí Sí

Eliminar un snapshot Sí Sí

Acceder a datos desnapshots

Sí Sí

Ver snapshots Sí Sí

Si una licencia de SnapshotIQ se deshabilita, no podrá crear nuevos snapshots, todoslos calendarios de snapshots se deshabilitarán y no será capaz de modificar lossnapshots ni los ajustes de snapshots. Sin embargo, podrá eliminar los snapshots yacceder a los datos incluidos en los mismos.

Creación de snapshots con SnapshotIQPara crear snapshots, debe configurar la licencia de SnapshotIQ en el clúster. Puedecrear snapshots creando un calendario de snapshots o generando manualmente unsnapshot individual.

Los snapshots manuales son útiles si desea crear un snapshot inmediatamente o en unmomento en que no esté programado en ningún calendario de snapshots. Por ejemplo,si planea realizar cambios en su sistema de archivos, pero no está seguro de lasconsecuencias, puede capturar el estado actual del sistema de archivos en unsnapshot antes de realizar el cambio.

Antes de crear snapshots, tenga en cuenta que para revertir un snapshot es necesarioque exista un dominio de SnapRevert para el directorio que se desea revertir. Siintenta revertir snapshots para un directorio, se recomienda crear dominios de

Snapshots


SnapRevert para esos directorios mientras se encuentran vacíos. Crear un dominiopara un directorio que contiene menos datos lleva menos tiempo.

Crear un dominio SnapRevertAntes de que pueda revertir un snapshot que contiene un directorio, debe crear undominio SnapRevert para el directorio. Se recomienda que cree dominios SnapRevertpara un directorio cuando este último se encuentre vacío.

La ruta raíz del dominio SnapRevert debe ser la misma que la del snapshot. Porejemplo, un dominio con una ruta raíz /ifs/data/media no se puede usar pararevertir un snapshot con una ruta raíz /ifs/data/media/archive. Pararevertir /ifs/data/media/archive, debe crear un dominio SnapRevert con unaruta raíz /ifs/data/media/archive.

Procedimiento


2. En el área Job Types, seleccioneStart Job en la columna Actions de la filaDomainMark.

3. En el campo Domain Root Path, ingrese la ruta del directorio raíz de unsnapshot.

4. En la lista Type of domain, seleccione SnapRevert.

5. Asegúrese de que la casilla de verificación Delete this domain estédesmarcada.

6. Haga clic en Start Job.

Crear un calendario de snapshotsPuede crear un calendario de snapshots para generar continuamente snapshots dedirectorios.

Procedimiento

1. Haga clic en Data Protection > SnapshotIQ > Snapshot Schedules.

2. Haga clic en Create a Schedule.

Aparecerá el cuadro de diálogo Create a Schedule.

3. (Opcional) En el cuadro Schedule Name, escriba un nombre para el programade instantáneas.

4. (Opcional) En el campo Naming pattern for Generated Snapshots, ingrese unpatrón de nombres. Cada instantánea generada según este programa recibe unnombre basado en el patrón.

Por ejemplo, el siguiente patrón de nombres es válido:

WeeklyBackup_%m-%d-%Y_%H:%M

En el ejemplo se generan nombres como los siguientes:

WeeklyBackup_07-13-2014_14:21

5. En el campo Path, especifique el directorio que desea incluir en las instantáneasque se generen de acuerdo con este programa.

Snapshots

Crear un dominio SnapRevert 283

6. En la lista Schedule, seleccione la frecuencia con la que desea que se generenlas instantáneas conforme al programa.


Genere snapshots todos los días u omitala generación de snapshots durante unnúmero determinado de días.

Seleccione Daily y especifique lafrecuencia con la que deseagenerar instantáneas.

Genere snapshots en días específicos dela semana y, opcionalmente, omita lageneración de snapshots durante unnúmero determinado de semanas.

Seleccione Weekly y especifiquela frecuencia con la que deseagenerar instantáneas.

Genere snapshots en días específicos delmes y, opcionalmente, omita lageneración de snapshots durante unnúmero determinado de meses.

Seleccione Monthly y especifiquela frecuencia con la que deseagenerar instantáneas.

Genere snapshots en días concretos delaño.

Seleccione Yearly y especifiquela frecuencia con la que deseagenerar instantáneas.

Nota

Un calendario de snapshots no puede abarcar varios días. Por ejemplo, no puedeespecificar el inicio de la generación de snapshots a las 17:00 h del lunes y el fina las 5:00 h del martes. Para generar continuamente snapshots durante unperíodo superior a un día, debe crear dos calendarios de snapshots. Por ejemplo,para generar instantáneas de las 17:00 h del lunes a las 5:00 h del martes, creeun programa que genere instantáneas desde las 17:00 h hasta las 23:59 h dellunes y otro programa que genere instantáneas desde las 00:00 h hasta las5:00 h del martes.

7. (Opcional) Para asignar un nombre alternativo a la instantánea generada másrecientemente mediante el programa, especifique un alias de instantánea.

a. Al lado de Create an Alias, haga clic en Yes.

b. Para modificar el nombre del alias predeterminado del snapshot, ingrese unnombre alternativo para el snapshot en el campo Alias Name.

8. (Opcional) Para especificar el período durante el que las instantáneas generadasde acuerdo con el programa permanecerán en el clúster antes de que OneFS laselimine, especifique un período de vencimiento.

a. Al lado de Snapshot Expiration, seleccione Snapshots expire.

b. Al lado de Snapshots expire, especifique el período en que desea conservarlas instantáneas generadas según el programa.

9. Haga clic en Create Schedule.

Cree un snapshotEs posible crear calendarios de snapshots adicionales, si es necesario.

Snapshots


Procedimiento

1. Haga clic en Data Protection > SnapshotIQ > Snapshots.

2. Haga clic en Create a Snapshot.

Se abrirá el cuadro de diálogo Create a Snapshot.

3. (Opcional) En el campo Snapshot Name, ingrese un nombre para lainstantánea.

4. En el campo Path, especifique el directorio que desea que esté contenido en lainstantánea.

5. (Opcional) Para crear un nombre alternativo para la instantánea, seleccioneCreate a snapshot alias y escriba el nombre del alias.

6. (Opcional) Para asignar una fecha en la que OneFS eliminará automáticamentela instantánea, especifique un período de vencimiento.

a. Seleccione Snapshot Expires on.

b. En el calendario, especifique el día en que desea que se elimineautomáticamente el snapshot.

7. Haga clic en Create Snapshot.

Perfiles de asignación de nombres de snapshotsSi calendariza los snapshots para que se generen automáticamente, ya sea medianteun calendario de snapshots o una política de replicación, debe establecer un patrón deasignación de nombres de snapshots que determine la manera en que estos senombran. Los patrones de asignación de nombres de snapshots contienen variablesque incluyen información sobre el momento y la manera en que el snapshot se creó.

Las siguientes variables se pueden incluir en un patrón de asignación de nombres:

Variable Descripción

%A El día de la semana.

%a El día de la semana abreviado. Por ejemplo, siel snapshot se generó un domingo (Sunday),%a se reemplaza por Sun.

%B El nombre del mes.

%b El nombre del mes abreviado. Por ejemplo, siel snapshot se generó en septiembre(September), %b se reemplaza por Sep.

%C Las primeras dos cifras del año. Por ejemplo,si el snapshot se creó en 2014, %C sereemplaza por 20.

%c El día y la hora. Esta variable es equivalente aespecificar %a %b %e %T %Y.

%d El día del mes de dos cifras.

%e El día del mes. Si el día tiene una cifra, esta vaprecedida por un espacio en blanco.

%F La fecha. Esta variable es equivalente aespecificar %Y-%m-%d.

Snapshots

Perfiles de asignación de nombres de snapshots 285


%G El año. Esta variable es equivalente aespecificar %Y. Sin embargo, si el snapshot se

crea en una semana con menos de cuatro díasen el año actual, se muestra el año quecontiene la mayoría de días de la semana. Elprimer día de la semana se calcula como lunes.Por ejemplo, si el snapshot se crea el domingo1 de enero de 2017, %G se reemplaza por2016, ya que solo un día de la semana

corresponde a 2017.

%g El año abreviado. Esta variable es equivalentea especificar %y. Sin embargo, si el snapshot

se creó en una semana con menos de cuatrodías en el año actual, se muestra el año quecontiene la mayoría de días de la semana. Elprimer día de la semana se calcula como lunes.Por ejemplo, si el snapshot se crea el domingo1 de enero de 2017, %g se reemplaza por 16,

ya que solo un día de la semana corresponde a2017.

%H La hora. La hora se expresa con el formato de24 horas. Las horas de una cifra vanprecedidas por un cero. Por ejemplo, si unsnapshot se crea a las 13:45 h, %H sereemplaza por 01.

%h El nombre del mes abreviado. Esta variable esequivalente a especificar %b.

%I La hora se expresa con el formato de 12 horas.Las horas de una cifra van precedidas por uncero. Por ejemplo, si un snapshot se crea a las13:45 h, %I se reemplaza por 1.

%j El día numérico del año. Por ejemplo, si unsnapshot se crea el 1 de febrero, %j sereemplaza por 32.

%k La hora se expresa con el formato de 24horas. Las horas de una cifra van precedidaspor un espacio en blanco.

%l La hora se expresa con el formato de 12 horas.Las horas de una cifra van precedidas por unespacio en blanco. Por ejemplo, si un snapshotse crea a las 13:45 h, %I se reemplaza por 1.

%M El minuto de dos cifras.

%m El mes de dos cifras.

%p AM o PM.

%{PolicyName} El nombre de la política de replicación para laque fue creada el snapshot. Esta variable esválida únicamente si especifica un patrón de

Snapshots



asignación de nombres de snapshots para unapolítica de replicación.

%R La hora. Esta variable es equivalente aespecificar %H:%M.

%r La hora. Esta variable es equivalente aespecificar %I:%M:%S %p.

%S El segundo de dos cifras.

%s El segundo representado en tiempo UNIX oPOSIX.

%{SrcCluster} El nombre del clúster de origen de la políticade replicación para la que fue creado elsnapshot. Esta variable es válida únicamentesi especifica un patrón de asignación denombres de snapshots para una política dereplicación.

%T La hora. Esta variable es equivalente aespecificar %H:%M:%S

%U La semana numérica de dos cifras del año.Rango de números de 00 a 53. El primer día

de la semana se calcula como domingo.

%u El día numérico de la semana. Rango denúmeros de 1 a 7. El primer día de la semana

se calcula como lunes. Por ejemplo, si unsnapshot se crea un domingo, %u se

reemplaza por 7.

%V La semana numérica de dos dígitos del año enque se creó el snapshot. Rango de números de01 a 53. El primer día de la semana se calcula

como lunes. Si la semana del 1 de enero tienecuatro o más días, entonces esa semana secalcula como la primera semana del año.

%v El día en que se creó el snapshot. Estavariable es equivalente a especificar %e-%b-%Y.

%W La semana numérica de dos dígitos del año enque se creó el snapshot. Rango de números de00 a 53. El primer día de la semana se calcula

como lunes.

%w El día numérico de la semana en que se creó elsnapshot. Rango de números de 0 a 6. El

primer día de la semana se calcula comodomingo. Por ejemplo, si el snapshot se creóun domingo, %w se reemplaza por 0.

Snapshots

Perfiles de asignación de nombres de snapshots 287


%X La hora en que se creó el snapshot. Estavariable es equivalente a especificar %H:%M:%S.

%Y El año en que se creó el snapshot.

%y Los dos últimos dígitos del año en que se creóel snapshot. Por ejemplo, si el snapshot secreó en 2014, %y se reemplaza por 14.

%Z La zona horaria en que se creó el snapshot.

%z La compensación del Tiempo UniversalCoordinado (UTC) de la zona horaria en quese creó el snapshot. Si está precedido por unsigno más, la zona horaria corresponde al UTCdel este. Si está precedido por un signomenos, la zona horaria corresponde al UTC deloeste.

%+ La fecha y hora en que se creó el snapshot.Esta variable es equivalente a especificar %a%b %e %X %Z %Y.

%% Evita un signo de porcentaje. Por ejemplo,100%% se reemplaza por 100%.

Administración de snapshotsEs posible eliminar y ver snapshots. También puede modificar el nombre, la duración yel alias de un snapshot existente. Sin embargo, no puede modificar los datoscontenidos en un snapshot, ya que estos datos son de solo lectura.

Reducción del uso del espacio en disco para snapshotsSi varios snapshots contienen los mismos directorios, puede que la eliminación de unode los snapshots no libere la cantidad de espacio total que el sistema registra como eltamaño del snapshot. El tamaño de un snapshot es la cantidad máxima de datos quepodrían liberarse si se eliminara el snapshot.

La eliminación de un snapshot libera únicamente el espacio que ocupa exclusivamenteese snapshot. Si dos snapshots hacen referencia a los mismos datos almacenados,esos datos no se liberan hasta que se eliminen ambos snapshots. Recuerde que lossnapshots almacenan datos contenidos en todos los subdirectorios del directorio raíz;si snapshot_one contiene /ifs/data/ y snapshot_two contiene /ifs/data/dir,lo más probable es que los dos snapshots compartan datos.

Si elimina un directorio y luego lo vuelve a crear, un snapshot que contenga eldirectorio almacenará el directorio completo recién vuelto a crear, incluso si losarchivos del directorio no se modifican nunca.

Es más probable que con la eliminación de varios snapshots que contienen los mismosdirectorios se liberen más datos que con la eliminación de varios snapshots quecontienen distintos directorios.

Snapshots


Si varios snapshots contienen los mismos directorios, la eliminación de snapshots másantiguos probablemente liberará más espacio en disco que la eliminación de snapshotsmás recientes.

Los snapshots con fechas de vencimiento asignadas se marcan automáticamente parasu eliminación mediante el demonio de snapshot. Si el demonio se deshabilita, elsistema no eliminará automáticamente los snapshots. Se recomienda que nodeshabilite el demonio de snapshot.

Eliminar un snapshotPuede eliminar una instantánea si ya no desea acceder a los datos que contiene.

Cuando se ejecuta el trabajo SnapshotDelete, OneFS libera el espacio en disco queocupan las instantáneas eliminadas. Además, si elimina un snapshot que contieneclones o archivos clonados, es posible que los archivos en el clúster no haganreferencia a los datos que se encuentran en un área de almacenamiento oculta; OneFSelimina estos datos de un área de almacenamiento oculta cuando se ejecuta el trabajoShadowStoreDelete. OneFS ejecuta de manera rutinaria los trabajosShadowStoreDelete y SnapshotDelete. Sin embargo, puede ejecutar los trabajosmanualmente y en cualquier momento.

Procedimiento


2. En la lista de instantáneas, seleccione la o las instantáneas que desea eliminar.

a. En la lista Select an action, seleccione Delete.

b. En el cuadro de diálogo de confirmación, haga clic en Delete.

3. (Opcional) Para aumentar la velocidad a la que los datos de los snapshotseliminados se liberan en el clúster, ejecute el trabajo SnapshotDelete.

a. Haga clic en Cluster Management > Job Operations > Job Types.

b. En el área Job Types, ubique SnapshotDelete y haga clic en Start Job.

Aparecerá el cuadro de diálogo Start a Job

c. Haga clic en Start Job.

4. (Opcional) Para aumentar la velocidad a la que se liberan en el clúster los datoseliminados compartidos entre los archivos deduplicados y los archivos clonados,ejecute el trabajo ShadowStoreDelete.

Ejecute el trabajo ShadowStoreDelete solamente después de ejecutar el trabajoSnapshotDelete.

a. Haga clic en Cluster Management > Job Operations > Job Types.

b. En el área Job Types, ubique ShadowStoreDelete y haga clic en Start Job.

Aparecerá el cuadro de diálogo Start a Job

c. Haga clic en Start Job.

Modificar atributos de snapshotsPuede modificar el nombre y la fecha de vencimiento de un snapshot.

Procedimiento


Snapshots

Eliminar un snapshot 289

2. En la lista de instantáneas, ubique la que desea modificar y haga clic en View/Edit.

Aparecerá el cuadro de diálogo View Snapshot Details.


Aparece el cuadro de diálogo Edit Snapshot Details.

4. Modifique los atributos que desea cambiar.


Asignar un alias de snapshot a un snapshotPuede asignar un alias de snapshot a un snapshot.

Procedimiento


2. En la tabla Snapshot Aliases, en la fila de un alias, haga clic en View/Edit.

3. En el área Alias Name, haga clic en Edit.

4. En el campo Alias Name, ingrese un nuevo nombre de alias.


Ver snapshotsEs posible ver una lista de las instantáneas.

Procedimiento


Las instantáneas aparecerán en la tabla Snapshots.

Información del snapshotPuede ver información acerca de los snapshots, incluida la cantidad total de espacioconsumido por todos los snapshots.

La siguiente información se muestra en el área Saved Snapshots:

Saved Snapshots

Indica el número total de snapshots que existe en el clúster.

Snapshots Pending Deletion

Indica el número total de snapshots que se eliminó del clúster desde que seejecutó el último trabajo de eliminación de snapshots. El espacio consumido porlas instantáneas eliminadas no se libera hasta que vuelve a ejecutarse el trabajo deeliminación de instantáneas.

Snapshot Aliases

Indica el número total de alias de snapshots que existe en el clúster.

Capacity Used by Snapshots

Indica la cantidad total de espacio consumido por todas las instantáneas.

Snapshots


Restauración de datos de snapshotsPuede restaurar los datos de snapshots mediante varios métodos. Puede revertir unsnapshot o acceder a los datos del mismo a través del directorio de snapshots.

En el directorio de snapshots, puede clonar un archivo o copiar un directorio o unarchivo. Al directorio de snapshots se puede acceder a través del Explorador deWindows o una línea de comandos de UNIX. Puede deshabilitar y habilitar el acceso aldirectorio de snapshots con cualquiera de estos métodos en los ajustes de snapshots.

Revertir un snapshotPuede revertir un directorio al estado en que estaba cuando se tomó un snapshot.Antes de revertir una instantánea, OneFS genera una instantánea del directorio que seva a revertir, de modo que los datos almacenados en el directorio no se pierdan.OneFS no elimina un snapshot después de revertirlo.

Antes de comenzar

l Cree un dominio SnapRevert para el directorio.

l Cree un snapshot de un directorio.

Procedimiento


2. En la tabla Job Types, busque el trabajo SnapRevert y haga clic en Start Job.

Aparecerá el cuadro de diálogo Start a Job.

3. (Opcional) Para especificar una prioridad para el trabajo, seleccione unaprioridad en la lista Priority.

Los valores más bajos indican una prioridad superior. Si no especifica ningunaprioridad, al trabajo se asigna la prioridad de reversión de snapshotpredeterminada.

4. (Opcional) Para especificar la cantidad de recursos del clúster que puedeconsumir el trabajo, seleccione una política de impacto en la lista Impact policy.

Si no especifica ninguna política, al trabajo se asigna la política de reversión desnapshot predeterminada.

5. En el campo Snapshot ID to revert, ingrese el nombre o el ID de la instantáneaque desea revertir y haga clic en Start Job.

Restaurar un archivo o directorio con el Explorador de WindowsSi Microsoft Shadow Copy Client está instalado en su computadora, puede utilizarlopara restaurar archivos y directorios que se encuentran almacenados en snapshots.

Este método de restauración de archivos y directorios no conserva los permisosoriginales. En lugar de eso, este método asigna al archivo o directorio los mismospermisos que el directorio al que se copia dicho archivo o directorio. Para conservarlos permisos mientras los datos se restauran a partir de un snapshot, ejecute elcomando cp con la opción -a en una línea de comandos UNIX.

Snapshots

Restauración de datos de snapshots 291

Nota

You can access up to 64 snapshots of a directory through Windows explorer, startingwith the most recent snapshot. Para acceder a más de 64 snapshots de un directorio,acceda al clúster a través de una línea de comandos de UNIX.

Procedimiento

1. En el Explorador de Windows, navegue al directorio que desea restaurar o aldirectorio que contiene el archivo que desea restaurar.

Si el directorio se eliminó, debe volver a crearlo.

2. Haga clic con el botón secundario en la carpeta y seleccione Properties.

3. En el cuadro de dialogo Propiedades, seleccione la pestaña Versionesanteriores.

4. Seleccione la versión de la carpeta que desea restaurar o la versión de lacarpeta que contiene la versión del archivo que desea restaurar.

5. Restaure la versión del archivo o el directorio.

l Para restaurar todos los archivos del directorio seleccionado, haga clic enRestore.

l Para copiar el directorio seleccionado en otra ubicación, haga clic en Copy yespecifique una ubicación en la que se copiará el directorio.

l Para restaurar un archivo específico, haga clic en Open y copie el archivo enel directorio original para reemplazar la copia existente por la versión desnapshot.

Restaurar un archivo o directorio mediante una línea de comandos de UNIXPuede restaurar un archivo o directorio a partir de un snapshot mediante una línea decomandos de UNIX.

Procedimiento

1. Abra una conexión al clúster a través de una línea de comandos UNIX.

2. (Opcional) Para ver el contenido del snapshot a partir del cual desea restaurarun archivo o directorio, ejecute el comando ls en un directorio dentro deldirectorio raíz de snapshots.

Por ejemplo, el siguiente comando muestra el contenido del directorio /archive dentro de Snapshot2014Jun04:

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. Copie el archivo o directorio mediante el uso del comando cp.

Por ejemplo, el siguiente comando crea una copia del archivo file1:

cp -a /ifs/.snapshot/Snapshot2014Jun04/archive/file1 \ /ifs/archive/file1_copy

Clonar una archivo desde un snapshotPuede clonar un archivo a partir de un snapshot.

Snapshots


Procedimiento


2. Para ver el contenido del snapshot a partir del cual desea restaurar un archivo odirectorio, ejecute el comando ls en un subdirectorio del directorio raíz delsnapshot.

Por ejemplo, el siguiente comando muestra el contenido del directorio /archive dentro de Snapshot2014Jun04:

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. Clone un archivo del snapshot ejecutando el comando cp con la opción -c.

Por ejemplo, el siguiente comando clona test.txt de Snapshot2014Jun04:

cp -c /ifs/.snapshot/Snapshot2014Jun04/archive/test.txt \/ifs/archive/test_clone.text

Administración de calendarios de snapshotsPuede modificar, eliminar y ver calendarios de snapshots.

Modificar un calendario de snapshotsLos cambios realizados a un programa de instantáneas se aplican solo a lasinstantáneas generadas después de las modificaciones. Los cambios en el programa noafectan a las instantáneas existentes.

Si modifica el alias de las instantáneas de un programa de instantáneas, el alias seasigna a la siguiente instantánea generada de acuerdo con el programa. Sin embargo,el alias antiguo no se quita de la última instantánea a la que se asignó. A menos que sequite manualmente el alias antiguo, este permanecerá vinculado a la última instantáneaa la que se asignó.

Procedimiento


2. En la tabla Schedules, ubique el programa de instantáneas que desea modificary haga clic en View/Edit.

Aparecerá el cuadro de diálogo View Snapshot Schedule Details.


Aparecerá el cuadro de diálogo Edit Snapshot Schedule Details.

4. Modifique los atributos del programa de instantáneas que desea cambiar.


Eliminar un calendario de snapshotsPuede eliminar un calendario de snapshots. Cuando se elimina un programa deinstantáneas, no se eliminan las instantáneas generadas de acuerdo con ese programa.

Procedimiento


Snapshots

Administración de calendarios de snapshots 293

2. En la tabla Schedules, busque el programa de instantáneas que desea eliminar yhaga clic en Delete.


3. Haga clic en Eliminar.

Ver calendarios de snapshotsPuede ver calendarios de snapshots.

Procedimiento


2. En la tabla Schedules, ubique el programa de instantáneas que desea ver y hagaclic en View/Edit.

Administración de alias de snapshotsPuede configurar calendarios de snapshots para asignar un alias al snapshot creadomás recientemente mediante un calendario de snapshots. También puede asignarmanualmente alias a snapshots específicos o a la versión activa del sistema dearchivos.

Configurar un alias de snapshot para un calendario de snapshotsPuede configurar un programa de instantáneas para asignar un alias de instantánea ala instantánea más reciente que haya creado el programa.

Procedimiento

1. Haga clic en Data Protection > SnapshotIQ > Snapshot Schedules

2. En la tabla Schedules, ubique el programa de instantáneas que desea configurary haga clic en View/Edit.

Aparecerá el cuadro de diálogo View Snapshot Schedule Details.


Aparecerá el cuadro de diálogo Edit Snapshot Schedule Details.

4. Seleccione Create a snapshot alias.

5. En el campo Snapshot Alias, ingrese el nombre del alias de instantánea.


Asignar un alias de snapshot a un snapshotPuede asignar un alias de snapshot a un snapshot.

Procedimiento


2. En la tabla Snapshot Aliases, en la fila de un alias, haga clic en View/Edit.

3. En el área Alias Name, haga clic en Edit.

4. En el campo Alias Name, ingrese un nuevo nombre de alias.


Snapshots


Reasignar un alias de snapshot al sistema de archivos activoPuede reasignar un alias de snapshot para redirigir clientes desde un snapshot hastaun sistema de archivos activo.

Este procedimiento está disponible solo a través de la interfaz de la línea de comandos(CLI).

Procedimiento


2. Ejecute el comando isi snapshot aliases modify.

El siguiente comando reasigna el alias latestWeekly al sistema de archivosactivo:

isi snapshot aliases modify latestWeekly --target LIVE

Ver recursos compartidos de snapshotPuede ver una lista de inicios de sesión de un usuario.


Procedimiento


2. Para consultar una lista de todos los alias de snapshots, ejecute el siguientecomando:

isi snapshot aliases list

Si un alias de snapshot hace referencia a la versión activa del sistema dearchivos, el valor de Target ID es -1.

3. (Opcional) Vea información sobre un snapshot específico mediante la ejecucióndel comando isi snapshot aliases view.

El siguiente comando muestra información sobre latestWeekly:

isi snapshot aliases view latestWeekly

Información del snapshotEs posible ver información sobre los alias de snapshots en el resultado del comandoisi snapshot aliases view.

ID

El ID numérico del alias de snapshot.

Nombre

Permite escribir el nombre del snapshot.

ID del destino

El ID numérico del snapshot al que hace referencia el alias.

Snapshots

Reasignar un alias de snapshot al sistema de archivos activo 295

Nombre de destino

El nombre del snapshot al que hace referencia el alias.

Created

La fecha y hora en que se creó el snapshot.

Administración con bloqueos de snapshotsPuede eliminar, crear y modificar la fecha de vencimiento de los bloqueos desnapshots.

PRECAUCIÓN

Se recomienda no crear, eliminar ni modificar los bloqueos de snapshots a menosque el servicio de soporte técnico de Isilon se lo solicite.

La eliminación de un bloqueo de snapshot creado por OneFS podría causar una pérdidade datos. Si elimina un bloqueo de snapshot creado mediante OneFS, es posible que elsnapshot correspondiente pueda eliminarse mientras está en uso en OneFS. Si OneFSno puede acceder a un snapshot necesario para una operación, esta se realizará deforma incorrecta y podrían perderse algunos datos. La modificación de la fecha devencimiento de un bloqueo de snapshot creado mediante OneFS también puedecausar la pérdida de datos porque el snapshot correspondiente puede eliminarseprematuramente.

Crear un bloqueo de snapshotPuede crear bloqueos de snapshots para evitar que estos se eliminen.

Aunque puede evitar que un snapshot se elimine automáticamente con la creación deun bloqueo de snapshot, se recomienda no crear estos bloqueos. Para evitar que unsnapshot se elimine automáticamente, se recomienda que amplíe el período deduración de un snapshot.Este procedimiento está disponible solo a través de la interfaz de la línea de comandos(CLI).

Procedimiento


2. Cree un bloqueo de snapshots mediante la ejecución del comando isisnapshot locks create.

Por ejemplo, el siguiente comando aplica un bloqueo de snapshot aSnapshotApril2016, establece el vencimiento del bloqueo en un mes y agregauna descripción de “Maintenance Lock”:

isi snapshot locks create SnapshotApril2016 --expires 1M \--comment "Maintenance Lock"

Modificar una fecha de vencimiento de bloqueo de snapshotPuede modificar la fecha de vencimiento de un bloqueo de snapshot.

Snapshots


PRECAUCIÓN

Se recomienda que no modifique las fechas de vencimiento de los bloqueos desnapshots.


Procedimiento


2. Ejecute el comando isi snapshot locks modify.

El siguiente comando define la fecha de vencimiento dos días a partir de lafecha actual para un bloqueo de snapshot con un ID de 1 que se aplica a unsnapshot llamado SnapshotApril2014:

isi snapshot locks modify SnapshotApril2014 1 --expires 2D

Eliminar un bloqueo de snapshotPuede eliminar un bloqueo de snapshot.

PRECAUCIÓN

Se recomienda que no elimine ningún bloqueo de snapshot.


Procedimiento


2. Elimine un bloqueo de snapshot mediante la ejecución del comando isisnapshot locks delete.

El siguiente comando elimina un bloqueo de snapshot aplicado aSnapshotApril2014 con un ID de bloqueo de 1:

isi snapshot locks delete Snapshot2014Apr16 1

El sistema le solicita que confirme que desea eliminar el bloqueo de snapshot.

3. Ingrese yes y pulse INTRO.

Información de un bloqueo de snapshotPuede ver información sobre los bloqueos de snapshots mediante los comandos isisnapshot locks view y isi snapshot locks list.

ID

Número de identificación del bloqueo de snapshot.

Comentario

Descripción del bloqueo de snapshot. Esto puede ser cualquier cadenaespecificada por un usuario.

Snapshots

Eliminar un bloqueo de snapshot 297

Expira

Fecha en la que OneFS eliminará automáticamente el bloqueo de snapshot.

Conteo

Número de veces que se mantiene el bloqueo de snapshot.La operación de clonación de archivos puede mantener un solo bloqueo desnapshot varias veces. Si se crean a la vez varios clones de archivos, la operaciónde clonación de archivos mantiene el mismo bloqueo varias veces, en lugar decrear varios bloqueos. Si elimina un bloqueo de snapshot que se mantiene más deuna vez, eliminará solo una de las instancias en que se mantiene el bloqueo. A finde eliminar un bloqueo de snapshot que se mantiene varias veces, debe eliminar elbloqueo de snapshot la misma cantidad de veces que se muestra en el campoCount.

Configurar ajustes de SnapshotIQPuede configurar los ajustes de SnapshotIQ que determinan la forma en que se puedencrear snapshots y los métodos mediante los cuales los usuarios pueden acceder a losdatos de los snapshots.

Procedimiento

1. Haga clic en Data Protection > SnapshotIQ > Settings.

2. Modifique los ajustes de SnapshotIQ y haga clic en Save.

Configuración SnapshotIQLa configuración de SnapshotIQ determina cómo se comportan los snapshots y cómose puede acceder a ellos.

Indica si se puede establecer la configuración de SnapshotIQ.

Programación de instantáneas

Determina si se pueden generar snapshots.

Nota

Si se deshabilita la generación de snapshots, algunas operaciones de OneFSpodrían fallar. Se recomienda no deshabilitar esta configuración.

Para crear snapshots:

Determina si los snapshots se generan automáticamente de acuerdo concalendarios de snapshots.

Eliminación automática de snapshots y

Determina si los snapshots se eliminan automáticamente de acuerdo con susfechas de vencimiento.

NFS Visibility & Accessibility

Root Directory Accessible

Determina si se puede acceder a los directorios de snapshots a través deNFS.

Snapshots


Root Directory Visible

Determina si los directorios de snapshots se pueden ver a través de NFS.

Sub-directories Accessible

Determina si se puede acceder a los subdirectorios de snapshots a través deNFS.

SMB Visibility & Accessible


Determina si se puede acceder a los directorios de snapshots a través deSMB.


Determina si los directorios de snapshots se pueden ver a través de SMB.


Determina si se puede acceder a los subdirectorios de snapshots a través deSMB.

Local Visibility & Accessibility


Determina si se puede acceder a los directorios de snapshots a través delsistema de archivos local. Puede acceder al sistema de archivos local a travésde una conexión de protocolo SSH o la consola local.


Determina si se pueden ver los directorios de snapshots a través del sistemade archivos local. Puede acceder al sistema de archivos local a través de unaconexión de protocolo SSH o la consola local.


Determina si se puede acceder a los subdirectorios de snapshots a través delsistema de archivos local. Puede acceder al sistema de archivos local a travésde una conexión de protocolo SSH o la consola local.

Establecimiento de una reserva de snapshotPuede especificar un porcentaje mínimo de la capacidad de almacenamiento en elclúster que desea reservar para snapshots.

La reserva para snapshots no limita la cantidad de espacio que se permite a lossnapshots consumir en el clúster. Los snapshots pueden consumir más que elporcentaje de capacidad especificada por la reserva para snapshots. Se recomiendaque no especifique una reserva para snapshots.


Procedimiento


2. Establezca la reserva para snapshots mediante la ejecución del comando isisnapshot settings modify con la opción --reserve.

Snapshots

Establecimiento de una reserva de snapshot 299

Por ejemplo, el siguiente comando ajusta la reserva para snapshots al 20 %:

isi snapshot settings modify --reserve 20

Administración de listas de cambiosPuede crear y ver listas de cambios que describen las diferencias entre dos snapshots.Puede crear una lista de cambios para cualquier par de snapshots que tengan undirectorio raíz en común.

Las aplicaciones suelen acceder a las listas de cambios a través de la API de laplataforma OneFS. Por ejemplo, una aplicación personalizada pudo compararregularmente los dos snapshots más recientes de una ruta de directorio crítica paradeterminar si se debe respaldar el directorio o para desencadenar otras acciones.

Crear una lista de cambiosEs posible crear una lista de cambios para ver las diferencias entre dos snapshots.

Procedimiento

1. (Opcional) Registre los ID de los snapshots.

a. Haga clic en Data Protection > SnapshotIQ > Snapshots.

b. En la fila de cada snapshot para el que desea crear una lista de cambios,haga clic en View Details y registre el ID del snapshot.


3. En el área Job Types, seleccione Start Job en la columna Actions de la filaChangelistCreate.

4. En el campo Older Snapshot ID, escriba el ID del snapshot más antiguo.

5. En el campo Newer Snapshot ID, escriba el ID del snapshot más nuevo.


Eliminar una lista de cambiosEs posible eliminar una lista de cambios.

Procedimiento

1. Ejecute el comando isi_changelist_mod con la opción -k.

El siguiente comando elimina la lista de cambios 22_24:

isi_changelist_mod -k 22_24

Ver una lista de cambiosEs posible ver una lista de cambios que describe las diferencias entre dos snapshots.Este procedimiento está disponible solo a través de la interfaz de la línea de comandos(CLI).

Snapshots


Procedimiento

1. Vea los ID de listas de cambios mediante la ejecución del siguiente comando:

isi_changelist_mod -l

Los ID de listas de cambios incluyen los ID de ambos snapshots que se usan paracrear la lista de cambios. Si OneFS aún está en el proceso de creación de unalista de cambios, se agrega inprog al ID de la lista de cambios.

2. (Opcional) Vea todo el contenido de una lista de cambios mediante la ejecucióndel comando isi_changelist_mod con la opción -a.

El siguiente comando muestra el contenido de una lista de cambios denominada2_6:

isi_changelist_mod -a 2_6

Información de listas de cambiosPuede ver la información que se incluye en las listas de cambios.

Nota

Las aplicaciones consumen esta información mediante la API de la plataforma OneFS.

La siguiente información se muestra para cada elemento en la lista de cambios cuandose ejecuta el comando isi_changelist_mod:

st_ino

Muestra la cantidad de inodos del elemento especificado.

st_mode

Muestra el tipo de archivo y los permisos para el elemento especificado.

st_size

Muestra el tamaño total del elemento en bytes.

st_atime

Muestra el registro de fecha y hora POSIX del momento en que se accedió porúltima vez al elemento.

st_mtime

Muestra el registro de fecha y hora POSIX del momento en que se modificó porúltima vez el elemento.

st_ctime

Muestra el registro de fecha y hora POSIX del momento en que se cambió porúltima vez el elemento.

cl_flags

Muestra información sobre el elemento y los tipos de cambios que se realizaron eneste.

01

El elemento se agregó o se transfirió al directorio raíz de los snapshots.

Snapshots

Información de listas de cambios 301

02

El elemento se eliminó o transfirió fuera del directorio raíz de los snapshots.

04

Se cambió la ruta del elemento sin eliminarlo del directorio raíz del snapshot.

10

El elemento contiene actualmente o alguna vez contuvo flujos de datosalternativos (ADS).

20

El elemento es un ADS.

40

El elemento tiene vínculos físicos.

Nota

Estos valores se agregan juntos al resultado. Por ejemplo, si se agregó un ADS, elcódigo sería cl_flags=021.

path

La ruta absoluta del directorio o archivo especificado.

Snapshots


CAPÍTULO 14

Administración de deduplicación conSmartDedupe


l Descripción general de la deduplicación........................................................... 304l Trabajos de deduplicación................................................................................ 304l Replicación de datos y respaldo con deduplicación.......................................... 305l Snapshots con deduplicación........................................................................... 306l CUATRO CONSIDERACIONES........................................................................306l Consideraciones sobre las áreas de almacenamiento ocultas............................307l Funcionalidad clave de SmartDedupe............................................................... 307l Administración de deduplicación...................................................................... 308

Administración de deduplicación con SmartDedupe 303

Descripción general de la deduplicaciónSmartDedupe le permite ahorrar espacio de almacenamiento en el clúster mediante lareducción de datos redundantes. La deduplicación maximiza la eficiencia del clúster,ya que disminuye la cantidad necesaria de almacenamiento para varios archivos conbloques idénticos.

Para deduplicar datos, el módulo de software SmartDedupe escanea un clúster Isilonen busca de bloques de datos idénticos. Cada bloque es de 8 kB. Si SmartDedupeencuentra bloques duplicados, mueve una única copia de los bloques a un archivoescondido denominado área de almacenamiento oculta. A continuación, SmartDedupeelimina los bloques duplicados de los archivos originales y reemplaza los bloques conindicadores que apuntan al área de almacenamiento oculta.

La deduplicación se aplica a nivel de directorios y apunta a todos los archivos ydirectorios que se encuentran dentro de uno o más directorios raíz. SmartDedupededuplica no solo los bloques idénticos en distintos archivos, también deduplica losbloques idénticos dentro de un solo archivo.

En primer lugar, puede evaluar un directorio para ver su potencial de deduplicación ydeterminar la cantidad de espacio aproximada que podría ahorrarse. Después, puededecidir si desea deduplicar el directorio. Una vez que comienza la deduplicación de undirectorio, es posible monitorear en tiempo real la cantidad de espacio que ahorra esteproceso.

Para que dos o más archivos se dedupliquen, los archivos deben tener el mismo ID depolítica de pools de discos y la misma política de protección. Si uno o ambos de estosatributos difieren entre dos o más archivos idénticos, o archivos con bloques de 8 Kidénticos, no se deduplicarán los archivos.

Debido a que es posible especificar políticas de protección archivo por archivo odirectorio por directorio, la deduplicación se puede ver afectada aún más. Considere elejemplo de dos archivos, /ifs/data/projects/alpha/logo.jpg y /ifs/data/projects/beta/logo.jpg. Aunque los archivos logo.jpg en ambos directoriosson idénticos, si uno tiene una política de protección diferente de la otra, los dosarchivos no se deduplicarán.

Además, si activó una licencia de SmartPools en su clúster, puede especificar políticasde pools de archivos personalizadas. Estas políticas de pools de archivos podríancausar que archivos idénticos o con bloques de 8 KB idénticos se almacenen en poolsde nodos diferentes. En consecuencia, esos archivos tendrían distintos ID de políticade pools de discos y no se deduplicarían.

SmartDedupe tampoco deduplica archivos de 32 kB o más pequeños, ya que utilizaríamás recursos de clúster y el ahorro de almacenamiento no valdría la pena. El tamañopredeterminado de un área de almacenamiento oculta es de 2 GB. Cada área dealmacenamiento oculta puede contener hasta 256,000 bloques. Cada bloque de unárea de almacenamiento oculta se puede referenciar hasta 32,000 veces.

Trabajos de deduplicaciónLa deduplicación se ejecuta mediante un trabajo de mantenimiento del sistema que seconoce como un trabajo de deduplicación. Puede monitorear y controlar los trabajosde deduplicación como lo haría con cualquier otro trabajo de mantenimiento delclúster. Aunque el impacto de la deduplicación en el rendimiento general es mínimo, eltrabajo de deduplicación consume 400 MB de memoria por nodo.

Administración de deduplicación con SmartDedupe


Cuando un trabajo de deduplicación se ejecuta por primera vez en un clúster,SmartDedupe recopila muestras de bloques de cada archivo y crea entradas de índicepara esos bloques. Si las entradas de índice de dos bloques coinciden, SmartDedupeescanea los bloques adyacentes al par coincidente y, a continuación, deduplica todoslos bloques duplicados. Una vez que un trabajo de deduplicación toma muestras de unarchivo, los trabajos de deduplicación posteriores no volverán a tomar muestras de esearchivo hasta que el archivo se modifique.

El primer trabajo de deduplicación que ejecute podría requerir bastante más tiempoque los trabajos de deduplicación posteriores. El primer trabajo de deduplicación debeescanear todos los archivos de los directorios especificados para generar el índiceinicial. Si los trabajos de deduplicación posteriores tardan mucho tiempo encompletarse, esto indicará probablemente que se está deduplicando una gran cantidadde datos. Sin embargo, también puede indicar que los usuarios están almacenando unagran cantidad de datos nuevos en el clúster. Si un trabajo de deduplicación seinterrumpe durante el proceso de deduplicación, el trabajo reiniciará automáticamenteel proceso de escaneo desde el punto en que se interrumpió el trabajo.

Nota

Debe ejecutar los trabajos de deduplicación cuando los usuarios no estén modificandodatos en el clúster. Si los usuarios están continuamente modificando archivos en elclúster, la cantidad de espacio ahorrado mediante la deduplicación será mínima, ya quelos bloques deduplicados se eliminan constantemente del área de almacenamientooculta.

La frecuencia con la que debe ejecutar un trabajo de deduplicación en el clúster Isilonvaría según el tamaño del conjunto de datos, la tasa de cambios y la oportunidad. Parala mayoría de los clústeres, se recomienda iniciar un trabajo de deduplicación cada 7-10días. Puede iniciar un trabajo de deduplicación manualmente o calendarizar un trabajorecurrente en intervalos específicos. De forma predeterminada, el trabajo dededuplicación está configurado para ejecutarse con baja prioridad. Sin embargo, puedeespecificar los controles de trabajo, como la prioridad y el impacto, de los trabajos dededuplicación que se ejecutan manualmente o según el calendario.

Los permisos necesarios para modificar ajustes de deduplicación no son iguales que losnecesarios para ejecutar un trabajo de deduplicación. Aunque un usuario debe tener elpermiso del trabajo de mantenimiento para ejecutar un trabajo de deduplicación, elusuario debe tener permiso de deduplicación para modificar los ajustes dededuplicación. De forma predeterminada, el usuario raíz y el usuario SystemAdmintienen los permisos necesarios para todas las operaciones de deduplicación.

Replicación de datos y respaldo con deduplicaciónCuando los archivos deduplicados se replican en otro clúster Isilon o se respaldan enun dispositivo de cinta, los archivos deduplicados dejan de compartir bloques en elclúster Isilon o el dispositivo de respaldo de destino. Sin embargo, aunque puedadeduplicar datos en un clúster Isilon de destino, no puede deduplicar datos en undispositivo de respaldo de tipo NDMP.

Las áreas de almacenamiento ocultas no se transfieren a clústeres ni dispositivos derespaldo de destino. Debido a esto, los archivos deduplicados no consumen menosespacio que los archivos no deduplicados cuando se replican o respaldan. Para evitarquedarse sin espacio, debe asegurarse de que los clústeres y dispositivos de cinta dedestino tengan suficiente espacio libre para almacenar datos deduplicados como si losdatos no se hubieran deduplicado. Para reducir la cantidad de espacio dealmacenamiento consumido en un clúster Isilon de destino, puede configurar la


Replicación de datos y respaldo con deduplicación 305

deduplicación para los directorios de destino de sus políticas de replicación. Aunqueesto deduplicará datos en el directorio de destino, no permitirá que SyncIQ transfieraáreas de almacenamiento ocultas. La deduplicación sigue realizándose por medio detrabajos de deduplicación que se ejecutan en el clúster de destino.

La cantidad de recursos del clúster necesaria para respaldar y replicar los datosdeduplicados es la misma que para datos no deduplicados. Puede deduplicar datosmientras se están replicando o respaldando.

Snapshots con deduplicaciónNo es posible deduplicar los datos almacenados en un snapshot. Sin embargo, puedecrear snapshots de datos deduplicados.

Si crea un snapshot para un directorio deduplicado y, a continuación, modifica elcontenido de ese directorio, las referencias a las áreas de almacenamiento ocultas seirán transfiriendo al snapshot en el transcurso del tiempo. Por lo tanto, si habilita ladeduplicación antes de crear snapshots, ahorrará más espacio en el clúster. Siimplementa la deduplicación en un clúster que ya cuenta con una cantidad significativade datos almacenados en snapshots, se demorará un tiempo hasta que los datos delsnapshot se vean afectados por la deduplicación. Los snapshots creadosrecientemente pueden contener datos deduplicados, pero los snapshots creados antesde implementar la deduplicación no pueden.

Si planea revertir un snapshot, se recomienda revertirlo antes de ejecutar un trabajode deduplicación. La restauración de un snapshot puede sobrescribir muchos de losarchivos del clúster. Cualquier archivo deduplicado se revierte a un archivo normal sise sobrescribe mediante la reversión de un snapshot. No obstante, una vez completala reversión del snapshot, podrá deduplicar el directorio y mantener el ahorro deespacio en el clúster.

CUATRO CONSIDERACIONESLa deduplicación puede aumentar notablemente su eficiencia de almacenamiento dedatos. No obstante, el efecto de la deduplicación varía en función del clúster.

Puede reducir la redundancia de un clúster mediante la ejecución de SmartDedupe. Ladeduplicación crea vínculos que pueden afectar la velocidad de lectura y escritura dearchivos. En particular, la lectura secuencial de fragmentos inferiores a 512 KB de unarchivo deduplicado puede resultar considerablemente más lenta que la lectura de losmismos fragmentos pequeños y secuenciales de un archivo no deduplicado. Estadegradación del rendimiento se aplica solamente si está leyendo datos no almacenadosen caché. Para datos almacenados en caché, el rendimiento con archivos deduplicadoses potencialmente mayor que con archivos no deduplicados. Si transmite fragmentossuperiores a 512 KB, la deduplicación no tiene un impacto significativo en elrendimiento de lectura del archivo. Si intenta transmitir 8 KB o menos de cada archivoen un momento determinado y no planea transmitir simultáneamente los archivos, serecomienda que no deduplique los archivos.

La deduplicación es más eficaz cuando se aplica a archivos y directorios estáticos oarchivados. Cuanto menor sea el número de archivos modificados, menos negativoserá el efecto que tendrá la deduplicación en el clúster. Por ejemplo, las máquinasvirtuales suelen contener varias copias de archivos idénticos que rara vez semodifican. La deduplicación de un gran número de máquinas virtuales puede reducirenormemente el espacio de almacenamiento consumido.



Consideraciones sobre las áreas de almacenamiento ocultasLas áreas de almacenamiento ocultas son archivos ocultos a los que hacen referenciaarchivos clonados y deduplicados. Los archivos que hacen referencia a áreas dealmacenamiento ocultas se comportan de forma distinta al resto de archivos.

l La lectura de referencias a áreas de almacenamiento ocultas puede resultar máslenta que la lectura directa de los datos. En concreto, la lectura de referencias aáreas de almacenamiento ocultas no almacenadas en caché es más lenta que lalectura de los datos no almacenados en caché. La lectura de referencias a áreas dealmacenamiento ocultas almacenadas en caché no tarda más tiempo que la lecturade datos almacenados en caché.

l Cuando los archivos que hacen referencia a áreas de almacenamiento ocultas sereplican en otro clúster Isilon o se respaldan en un dispositivo de respaldo de tipoNDMP, las áreas de almacenamiento ocultas no se transfieren al clúster Isilon ni aldispositivo de respaldo de destino. Los archivos se transfieren como si contuvieranlos datos a los que hacen referencia desde las áreas de almacenamiento ocultas.En el clúster Isilon o el dispositivo de respaldo de destino, los archivos consumen lamisma cantidad de espacio que si no tuvieran áreas de almacenamiento ocultasreferenciadas.

l Cuando OneFS crea un área de almacenamiento oculta, OneFS asigna el área dealmacenamiento oculta a un pool de almacenamiento de un archivo que hacereferencia al área de almacenamiento oculta. Si elimina el pool de almacenamientoen el que reside el área de almacenamiento oculta, el área de almacenamientooculta se transfiere a un pool ocupado por otro archivo que hace referencia al áreade almacenamiento oculta.

l Después de eliminar la última referencia al bloque, OneFS no elimina ningún bloquede área de almacenamiento oculta inmediatamente. En su lugar, OneFS espera aque se ejecute el trabajo ShadowStoreDelete para eliminar el bloque noreferenciado. Si hay un gran número de bloques no referenciados en el clúster,OneFS puede registrar un ahorro de deduplicación negativo hasta que se ejecute eltrabajo ShadowStoreDelete.

l Las áreas de almacenamiento ocultas están protegidas como mínimo tanto como elarchivo más protegido que haga referencia a ellas. Por ejemplo, si un archivo quehace referencia a un área de almacenamiento oculta reside en un pool dealmacenamiento con +2 de protección y otro archivo que hace referencia a un áreade almacenamiento oculta reside en un pool de almacenamiento con +3 deprotección, el área de almacenamiento oculta está protegida a +3.

l Las cuotas representan archivos que hacen referencia a áreas de almacenamientoocultas como si los archivos contuvieran los datos referenciados desde áreas dealmacenamiento ocultas; desde la perspectiva de una cuota, las referencias a áreasde almacenamiento ocultas no existen. Sin embargo, si una cuota incluyesobrecarga de protección de datos, la cuota no representa la sobrecarga deprotección de datos de las áreas de almacenamiento ocultas.

Funcionalidad clave de SmartDedupeEs posible deduplicar datos solamente si se habilita una licencia de SmartDedupe en unclúster. Sin embargo, se puede realizar una evaluación de los ahorros de ladeduplicación sin activar una licencia de SmartDedupe.

Si habilita una licencia de SmartDedupe y, a continuación, deduplica datos, el ahorrode espacio no se pierde si la licencia queda deshabilitada. También puede ver el ahorro


Consideraciones sobre las áreas de almacenamiento ocultas 307

de deduplicación mientras la licencia está deshabilitada. No obstante, no podrádeduplicar datos adicionales hasta que vuelva a habilitar la licencia de SmartDedupe.

Administración de deduplicaciónPuede administrar la deduplicación en un clúster evaluando en primer lugar la cantidadde espacio que puede ahorrar deduplicando directorios individuales. Después dedeterminar qué directorios merece la pena deduplicar, puede configurar SmartDedupepara deduplicar esos directorios específicamente. A continuación, puede monitorear lacantidad real de espacio en disco que está ahorrando.

Evaluar el ahorro de espacio con la deduplicaciónPuede evaluar la cantidad de espacio en disco que ahorrará mediante la deduplicaciónde un directorio.

Procedimiento

1. Haga clic en File System > Deduplication > Settings.

2. En el área Assess Deduplication, haga clic en Browse y seleccione el directorioque desee deduplicar.

Si evalúa varios directorios, el ahorro de espacio en disco no se diferencia pordirectorio en el informe de deduplicación.

3. Haga clic en Guardar para guardar la configuración de deduplicación.


5. En la tabla Job Types, busque el trabajo DedupeAssessment y haga clic enStart Job.



7. Haga clic en Cluster Management > Job Operations > Job Summary.

Los trabajos activos aparecen en la lista Active Jobs.

8. Espere hasta que finalicen las tareas.

Cuando el trabajo DedupeAssessment esté completo, desaparecerá de la listaActive Jobs.

9. Haga clic en File System > Deduplication > Summary.

En el área Deduplication Assessment Reports, en la fila del trabajo deevaluación más reciente, haga clic en View Report.

10. Vea la cantidad de espacio en disco que ahorrará si deduplica el directorio.

El número de bloques que se deduplicarán se muestra en el campo Dedupedblocks.

Especificar la configuración de la deduplicaciónPuede especificar los directorios que desea deduplicar.

Procedimiento

1. Haga clic en File System > Deduplication > Settings.

2. En el área Deduplication Settings, haga clic en Browse y seleccione eldirectorio que desee deduplicar.



3. (Opcional) Especifique los directorios adicionales.

a. Haga clic en Add another directory path.

b. Haga clic en Browse y seleccione un directorio que desea deduplicar.


Iniciar o programar un trabajo de deduplicaciónPuede iniciar un trabajo de deduplicación manualmente o especificar un programa derepetición para que el trabajo se ejecute automáticamente.

Se recomienda que ejecute el trabajo de deduplicación una vez cada diez días. Laprimera deduplicación que ejecute en el clúster podría demorarse bastante más tiempoque los trabajos de deduplicación posteriores.

Procedimiento


2. En la lista Job Types, ubique el trabajo Dedupe y haga clic en View/Edit.

Aparecerá el cuadro de diálogo View Job Type Details.

3. Haga clic en Edit Job Type.

Aparecerá el cuadro de diálogo Edit Job Type Details.

4. Especifique los controles del trabajo de la siguiente manera:


Enable thisjob type

Seleccione esta opción para habilitar el tipo de trabajo.

DefaultPriority

Establezca la prioridad del trabajo en comparación con otrostrabajos de mantenimiento del sistema que se ejecuten almismo tiempo. La prioridad del trabajo se indica con valores de1 a 10, donde 1 es la prioridad más alta y 10 es la más baja. Elvalor predeterminado es 4.

DefaultImpactPolicy

Seleccione la cantidad de recursos del sistema que utiliza eltrabajo en comparación con otros trabajos de mantenimientodel sistema que se ejecutan al mismo tiempo. Seleccione unvalor de política, que puede ser HIGH, MEDIUM, LOW o OFF-HOURS. El valor predeterminado es LOW.

Schedule Especifique si el trabajo se debe iniciar manualmente o si seejecuta de manera periódica y programada. Si hace clic enScheduled, podrá especificar un programa diario, semanal,mensual o anual. Para la mayoría de clústeres, se recomiendaejecutar un trabajo de deduplicación cada diez días.


Los nuevos controles de trabajo se guardarán y se cerrará el cuadro de diálogo.


Resultados

El trabajo de deduplicación se ejecuta con los nuevos controles de trabajo.


Iniciar o programar un trabajo de deduplicación 309

Ver el ahorro de espacio con la deduplicaciónEs posible ver la cantidad de espacio en disco que se ahorra actualmente con ladeduplicación.

Procedimiento


2. En el área Deduplication Savings, consulte la cantidad de espacio en discoahorrada.

Ver un informe de deduplicaciónCuando se completa un trabajo de deduplicación, puede ver información sobre eltrabajo en un informe de deduplicación.

Procedimiento


2. En las secciones Deduplication Reports o Deduplication Assessment Reports,ubique el informe que desea ver y haga clic en View Report.

Información sobre el informe de trabajo de deduplicaciónPuede ver la siguiente información específica sobre la deduplicación en los informes detrabajos de deduplicación:

Start time

La hora a la que comenzó el trabajo de deduplicación.

End time

La hora a la que terminó el trabajo de deduplicación.

Iteration Count

La cantidad de veces que SmartDedupe interrumpió el proceso de muestreo. SiSmartDedupe está muestreando una gran cantidad de datos, SmartDedupe podríainterrumpir el muestreo a fin de iniciar la deduplicación de los datos. Después deque SmartDedupe finalice la deduplicación de los datos muestreados,SmartDedupe continuará muestreando los datos restantes.

Scanned blocks

La cantidad total de bloques ubicados debajo de los directorios deduplicadosespecificados.

Sampled blocks

El número de bloques para el que SmartDedupe creó entradas de índice.

Deduped blocks

El número de bloques que se deduplicaron.

Dedupe percent

El porcentaje de bloques escaneados que se deduplicaron.

Created dedupe requests

La cantidad total de solicitudes de deduplicación creadas. Una solicitud dededuplicación se crea por cada par de bloques de datos coincidente. Por ejemplo,si tiene tres bloques de datos que coinciden, SmartDedupe creará dos solicitudes.



Una de las solicitudes podría emparejar file1 y file2, y la otra solicitud podríaemparejar file2 y file3.

Successful dedupe requests

El número de solicitudes de deduplicación que se completó correctamente.

Failed dedupe requests

El número de solicitudes de deduplicación que falló. Si una solicitud dededuplicación falla, no significa que el trabajo también haya fallado. Una solicitudde deduplicación puede fallar por una serie de motivos. Por ejemplo, el archivopodría haberse modificado desde que se muestreó.

Archivos omitidos

La cantidad de archivos que no se escanearon mediante el trabajo dededuplicación. SmartDedupe omite archivos por una serie de motivos. Porejemplo, SmartDedupe omite archivos que ya se han escaneado, pero aún no sehan modificado. SmartDedupe también omite todos los archivos cuyo tamaño esmenor de 4 KB.

Index entries

El número de entradas que existen actualmente en el índice.

Index lookup attempts

El número total de búsquedas que realizaron los trabajos de deduplicaciónanteriores, además del número de búsquedas realizado con este trabajo dededuplicación. Una búsqueda se realiza cuando el trabajo de deduplicación intentahacer coincidir un bloque que se indexó con un bloque se no se ha indexado.

Index lookup hits

El número de bloques con entradas de índice coincidentes.

Información sobre la deduplicaciónYou can view the amount of disk space saved by deduplication in the DeduplicationSavings area:

Ahorros de TI

La cantidad total de espacio en disco físico que se ahorró con la deduplicación,incluidos la sobrecarga de protección y los metadatos. Por ejemplo, si tiene tresarchivos idénticos con un tamaño de 5 GB cada uno, el ahorro físico estimadosería mayor que 10 GB debido a que la deduplicación permitió ahorrar el espacioque habrían ocupado los metadatos de archivos y la sobrecarga de protección.

Datos deduplicados

The amount of space on the cluster occupied by directories that werededuplicated.

Other data

The amount of space on the cluster occupied by directories that were notdeduplicated.


Información sobre la deduplicación 311

CAPÍTULO 15

Replicación de datos con SyncIQ


l Descripción general de la replicación de datos de SyncIQ................................. 314l Políticas y trabajos de replicación..................................................................... 314l Snapshots de replicación................................................................................. 320l Failover y failback de datos con SyncIQ............................................................321l Tiempos y objetivos de recuperación de SyncIQ.............................................. 325l Prioridad de las políticas de replicación............................................................ 326l Funcionalidad de licencia de SyncIQ.................................................................326l Creación de políticas de replicación................................................................. 326l Administración de la replicación en clústeres remotos......................................338l Inicio de failover y failback de datos con SyncIQ..............................................340l Realizar recuperación ante desastres para directorios de SmartLock más

antiguos........................................................................................................... 343l Administración de políticas de replicación........................................................ 346l Administración de replicación en el clúster local............................................... 351l Administración de reglas de rendimiento de la replicación................................353l Administración de informes de replicación....................................................... 355l Administración de trabajos de replicación fallidos.............................................357

Replicación de datos con SyncIQ 313

Descripción general de la replicación de datos de SyncIQCon OneFS, puede replicar datos de un clúster Isilon a otro mediante el módulo desoftware SyncIQ. Debe activar una licencia de SyncIQ en ambos clústeres Isilon antesde poder replicar los datos de uno en otro.

Puede replicar datos a nivel de un directorio y excluir opcionalmente archivos ysubdirectorios específicos para que no se repliquen. SyncIQ crea y consultainstantáneas para replicar una imagen coherente de un momento específico de undirectorio raíz. Los metadatos, tales como las listas de control de acceso (ACL) y losflujos de datos alternativos (ADS), se replican junto con los datos.

SyncIQ permite mantener una réplica coherente de los datos en otro clúster Isilon ycontrolar la frecuencia de la replicación de datos. Por ejemplo, puede configurarSyncIQ para respaldar datos desde su clúster primario a un clúster secundario una vezal día a las 22 h. Según el tamaño de su conjunto de datos, la primera operación dereplicación puede tardar un tiempo considerable. Después de eso, sin embargo, lasoperaciones de replicación suelen completarse más rápidamente.

SyncIQ ofrece funcionalidades automatizadas de conmutación por error yconmutación por recuperación que le permiten continuar las operaciones en otroclúster Isilon si un clúster primario deja de estar disponible.

Acceso a SyncIQ con IsilonSD EdgeEl módulo de software SyncIQ está disponible solo con una licencia adquirida deIsilonSD Edge. No se incluye con la licencia gratuita de este producto. Por lo tanto,debe adquirir una licencia de IsilonSD Edge para acceder a las funciones de respaldo yreplicación de SyncIQ.

Políticas y trabajos de replicaciónLa replicación de datos se coordina según las políticas y los trabajos de replicación. Laspolíticas de replicación especifican cuáles son los datos que se replicarán, dónde y conqué frecuencia. Los trabajos de replicación son las operaciones que replican datos deun clúster Isilon a otro. SyncIQ genera trabajos de replicación según las políticas dereplicación.

Una política de replicación especifica dos clústeres: el de origen y el de destino. Elclúster donde reside la política de replicación es el clúster de origen. El clúster al cualse replican los datos es el clúster de destino. Cuando comienza una política dereplicación, SyncIQ genera un trabajo de replicación para la política. Cuando se ejecutaun trabajo de replicación, los archivos de un directorio en el clúster de origen sereplican en un directorio en el clúster de destino; esos directorios se denominandirectorios de origen y de destino.

Una vez finalizado el primer trabajo de replicación creado por una política dereplicación, el directorio de destino y todos los archivos que este contiene seestablecen en un estado de solo lectura, y solo los trabajos de replicación quepertenecen a la misma política de replicación los pueden modificar. Le sugerimos nocrear más de mil políticas en un clúster.

Nota

Para evitar errores con los permisos, asegúrese de que la configuración de la políticade ACL sea la misma tanto en los clústeres de origen como en los de destino.



Puede crear dos tipos de políticas de replicación: las políticas de sincronización y laspolíticas de copia. Una política de sincronización mantiene una réplica exacta deldirectorio de origen en el clúster de destino. Si se elimina un archivo o un subdirectoriodel directorio de origen, se eliminará del clúster de destino cuando se vuelva a ejecutarla política.

Puede usar las políticas de sincronización para realizar failovers y failbacks de datosentre los clústeres de origen y de destino. Cuando un clúster de origen deja de estardisponible, puede realizar un failover de datos en un clúster de destino y hacer que losdatos estén a disposición de los clientes. Cuando el clúster de origen vuelve a estardisponible, puede realizar un failback de datos al clúster de origen.

Una política de copia mantiene las versiones recientes de los archivos que estánalmacenados en el clúster de origen. Sin embargo, los archivos que se eliminan delclúster de origen no se eliminan del clúster de destino. Las políticas de copia noadmiten el failback. Se usan principalmente para fines de archiving.

Las políticas de copia le permiten eliminar archivos del clúster de origen sin perderlosen el clúster de destino. La eliminación de archivos en el clúster de origen mejora elrendimiento en ese clúster, a la vez que mantiene los archivos eliminados en el clústerde destino. Esto puede ser útil si, por ejemplo, el clúster de origen se utiliza conpropósitos de producción y el clúster de destino únicamente se usa para el archiving.

Después de crear un trabajo para una política de replicación, SyncIQ debe esperarhasta que se complete el trabajo antes de poder crear otro trabajo para la política.Puede existir una cantidad indefinida de trabajos de replicación en un clúster en unmomento determinado, pero solo se pueden ejecutar cincuenta trabajos de replicacióna la vez en un clúster de origen. Si hay más de cincuenta trabajos de replicación en unclúster, los primeros cincuenta trabajos se ejecutan, mientras que el resto queda enlínea de espera para ejecutarse.

No hay ningún límite en la cantidad de trabajos de replicación que un clúster de destinopuede admitir simultáneamente. Sin embargo, debido a que los trabajos de replicaciónutilizan recursos del clúster, la replicación se ralentizará más a medida que se agreganmás trabajos simultáneos.

Cuando se ejecuta un trabajo de replicación, OneFS genera trabajadores en losclústeres de origen y de destino. Los trabajadores del clúster de origen leen y envíandatos, mientras que los trabajadores del clúster de destino reciben y escriben datos.OneFS genera un máximo de ocho trabajadores por nodo para un trabajo dereplicación. Por ejemplo, en un clúster de cinco nodos, OneFS crearía no más decuarenta trabajadores para un trabajo de replicación.

Puede replicar varios archivos y directorios con un solo trabajo de replicación. Puedeimpedir que un trabajo de replicación de gran tamaño sobrecargue el sistema. Paraello, puede limitar la cantidad de recursos de clúster y ancho de banda de red quepuede consumir la sincronización de datos. Dado que cada nodo de un clúster puedeenviar y recibir datos, la velocidad a la que se replican los datos aumenta para losclústeres de mayor tamaño.

Políticas de replicación automatizadaPuede iniciar manualmente una política de replicación en cualquier momento, perotambién puede configurar políticas de replicación para que se inicien de maneraautomática según las modificaciones realizadas en el directorio de origen o de acuerdocon los calendarios.

Es posible configurar una política de replicación para que se ejecute según uncalendario y así poder controlar el momento en que se lleva a cabo la replicación.También puede configurar políticas para replicar los datos capturados en los snapshots


Políticas de replicación automatizada 315

de un directorio. También se puede configurar una política de replicación para que seinicie cuando SyncIQ detecta una modificación en el directorio de origen. Así, SyncIQmantendrá una versión más reciente de los datos en el clúster de destino.

La calendarización de una política puede ser útil bajo las siguientes condiciones:

l Si desea replicar los datos cuando la actividad del usuario sea mínima

l Si puede predecir con exactitud cuándo se realizarán modificaciones en los datos

Si una política está configurada para ejecutarse según un calendario, puedeconfigurarla para que no se ejecute si no se ha modificado el contenido del directoriode origen desde que el trabajo se ejecutó por última vez. Sin embargo, si se realizancambios en el directorio principal del directorio de origen o en un directorio del mismonivel del directorio de origen y, a continuación, se toma un snapshot del directorioprincipal, SyncIQ creará un trabajo para la política, incluso si no se han realizadocambios en el directorio de origen. Además, si monitorea el clúster mediante la funciónFile System Analytics (FSA) de InsightIQ, el trabajo FSA creará snapshots de /ifs, loque probablemente hará que un trabajo de replicación se inicie cada vez que se ejecuteel trabajo FSA.

La replicación de datos contenidos en los snapshots de un directorio puede ser útil enlas siguientes condiciones:

l Si desea replicar datos en función de un calendario y ya está generando lossnapshots del directorio de origen a través de un calendario de snapshots

l Si desea mantener snapshots idénticos en los clústeres de origen y objetivo

l Si desea replicar snapshots existentes en el clúster objetivoPara hacer esto, debe habilitar los snapshots de archiving en el clúster objetivo.Esta configuración solo se puede habilitar cuando se crea la política.

Si una política está configurada para replicar snapshots, puede configurar SyncIQ paraque replique solamente los snapshots que coinciden con un patrón de nomenclaturaespecificado.

La configuración de una política para que se inicie cuando se realizan cambios en eldirectorio de origen puede ser útil bajo las siguientes condiciones:

l Si desea conservar una copia actualizada de sus datos en todo momento

l Si espera muchos cambios a intervalos impredecibles

En cuanto a las políticas que están configuradas para iniciarse en cualquier momentoque se realicen cambios en el directorio de origen, SyncIQ verifica los directorios deorigen cada diez segundos. SyncIQ verifica todos los archivos y directorios debajo deldirectorio de origen, independientemente de si esos archivos o directorios se excluyende la replicación, por lo que de vez en cuando SyncIQ podría ejecutar un trabajo dereplicación innecesariamente. Por ejemplo, suponga que newPolicy replica /ifs/data/media, pero excluye /ifs/data/media/temp. Si se modifica /ifs/data/media/temp/file.txt, SyncIQ ejecutará newPolicy, aunque /ifs/data/media/temp/file.txt no se replique.

Si una política está configurada para iniciarse en cualquier momento que se realicencambios en el directorio de origen, y un trabajo de replicación falla, SyncIQ esperaráun minuto antes de intentar ejecutar la política nuevamente. SyncIQ aumenta estademora exponencialmente para cada falla hasta alcanzar un máximo de ocho horas.Puede reemplazar la demora ejecutando la política de forma manual en cualquiermomento. Después de que un trabajo de la política finaliza correctamente, SyncIQreanudará la verificación del directorio de origen cada diez segundos.

Si una política está configurada para iniciarse cada vez que se realizan cambios en eldirectorio de origen, puede configurar SyncIQ para que espere un período especificado



de tiempo después de la modificación del directorio de origen antes de iniciar untrabajo.

Nota

Para evitar la sincronización frecuente de conjuntos mínimos de cambios y lasobrecarga de los recursos del sistema, recomendamos enfáticamente no configurar lareplicación continua cuando el directorio de origen presenta una actividad alta. Entales casos, suele ser mejor configurar la replicación continua con un retrasoimpulsado por los cambios de varias horas para consolidar los grupos de cambios.

Asociación de clústeres de origen y destinoPara asociar una política de replicación con un clúster de destino, SyncIQ marca esteclúster cuando el trabajo se ejecuta por primera vez. Aun si modifica el nombre o ladirección IP del clúster de destino, la marca persiste. Cuando se ejecuta una política dereplicación, SyncIQ verifica la marca para asegurarse de que los datos se esténreplicando en la ubicación correcta.

En el clúster de destino, puede cancelar manualmente la asociación entre una políticade replicación y el directorio de destino. Romper la asociación entre el clúster deorigen y el clúster de destino provoca la eliminación de la marca del clúster de destino.Es recomendable cancelar manualmente una asociación de destino si se encuentraobsoleta. Si cancela la asociación de una política, esta se deshabilita en el clúster deorigen y no podrá ejecutarla. Si desea volver a ejecutar la política deshabilitada, deberestablecer la política de replicación.

Cancelar la asociación de una política provoca una replicación completa o diferencial lapróxima vez que ejecuta la política de replicación. Durante una replicación completa odiferencial, SyncIQ crea una nueva asociación entre los clústeres de origen y dedestino. Según la cantidad de datos que se repliquen, una replicación completa odiferencial puede tardar bastante.

PRECAUCIÓN

Los cambios en la configuración del clúster de destino fuera de SyncIQ puedenpresentar una condición de error que efectivamente rompe la asociación entre elclúster de origen y el de destino. Por ejemplo, cambiar el registro DNS del clústerde destino podría ocasionar este problema. Si necesita realizar cambios deconfiguración significativos en el clúster de destino fuera de SyncIQ, asegúresede que sus políticas de SyncIQ aún se puedan conectar con el clúster de destino.

Configuración de clústeres de origen y destino de SyncIQ con NATLos clústeres de origen y destino pueden usar NAT (traducción de direcciones de red)para las conmutaciones por error y recuperación de SyncIQ, pero se deben configuraradecuadamente.

En este escenario, los clústeres de origen y destino están, generalmente, en distintasubicaciones físicas, usan un espacio de direcciones privada y no enrutable y no tienenconexiones directas a Internet. Generalmente, cada clúster recibe un rango dedirecciones IP privadas. Por ejemplo, un clúster de 12 nodos podría recibir direccionesIP de 192.168.10.11 a 192.168.10.22.

Para comunicarse a través de la Internet pública, es necesario que un enrutador ofirewall habilitado para NAT traduzcan y redirijan adecuadamente todos los paquetesde datos entrantes y salientes de los clústeres de origen y de destino.


Asociación de clústeres de origen y destino 317

PRECAUCIÓN

Los datos de SyncIQ no se cifran. Si los trabajos de SyncIQ se ejecutan a travésde la Internet pública, no se cuenta con protección contra el robo de datos.

SyncIQ le permite limitar los trabajos de replicación a algunos nodos específicosdentro de su clúster. Por ejemplo, si su clúster consta de 12 nodos, podría limitar lostrabajos de replicación a tres de ellos. Para habilitar la compatibilidad con NAT, sedebe establecer una asociación de uno a uno entre los clústeres de origen y destino. Silimita los trabajos de replicación a tres nodos en su clúster de origen, debe asociar tresnodos en el clúster de destino.

En esta instancia, se debe configurar una NAT estática, a veces denominada mapeoentrante. En los clústeres de origen y destino, para la dirección privada asignada acada nodo, puede asociar una dirección NAT estática. Por ejemplo:

Clúster de origen Clúster de destino

Nombre denodo

Direcciónprivada

DirecciónNAT

Nombre denodo

Direcciónprivada

DirecciónNAT

source-1 192.168.10.11 10.8.8.201 target-1 192.168.55.101

10.1.2.11

source-2 192.168.10.12 10.8.8.202 target-2 192.168.55.102

10.1.2.12

source-3 192.168.10.13 10.8.8.203 target-3 192.168.55.103

10.1.2.13

Para configurar una NAT estática, necesitaría editar el archivo /etc/local/hostsen los seis nodos y asociarlos con sus contrapartes mediante la adición del nombre denodo y dirección NAT correspondientes. Por ejemplo, en el archivo /etc/local/hosts en los tres nodos del clúster de origen, las entradas se verían así:

10.1.2.11 target-1

10.1.2.12 target-2

10.1.2.13 target-3

De manera similar, en los tres nodos del clúster de destino, se editaría elarchivo /etc/local/hosts y se agregaría la dirección NAT y el nombre del nodo delclúster de origen asociado. Por ejemplo, en los tres nodos del clúster de destino, lasentradas se verían así:

10.8.8.201 source-1

10.8.8.202 source-2

10.8.8.203 source-3

Cuando el servidor NAT recibe los paquetes de datos de SyncIQ desde un nodo delclúster de origen, el servidor NAT reemplaza los encabezados del paquete, el númerode puerto y la dirección IP del nodo con el número de puerto y la dirección IP externadel puerto del servidor NAT. A continuación, el servidor NAT en la red de origen envíalos paquetes a través de la Internet a la red de destino, donde otro servidor NAT lleva acabo un proceso similar para transmitir los datos al nodo de destino. Cuando seproduce una conmutación por recuperación, el proceso se revierte.



Con este tipo de configuración, SyncIQ puede determinar las direcciones correctascon las cuales conectarse, para que SyncIQ pueda enviar y recibir datos. En esteescenario, no se requiere ninguna configuración de zona de SmartConnect.

Para obtener información acerca de los puertos utilizados por SyncIQ, consulte la Guíade configuración de seguridad de OneFS para su versión de OneFS.

Replicación completa y diferencialSi una política de replicación encuentra un problema que no se puede solucionar (porejemplo, si se cancela la asociación en el clúster de destino), es posible que tenga querestablecer la política de replicación. Si restablece una política de replicación, SyncIQejecuta una replicación completa o diferencial la próxima vez que se ejecuta esapolítica. Puede especificar el tipo de replicación que realiza SyncIQ.

Durante una replicación completa, SyncIQ transfiere todos los datos desde el clústerde origen, sin importar los datos que existen en el clúster de destino. Una replicacióncompleta utiliza grandes cantidades de ancho de banda de red y puede tardar muchotiempo. Sin embargo, una replicación completa utiliza menos recursos de CPU que unareplicación diferencial.

Durante una replicación diferencial, SyncIQ primero comprueba si ya existe un archivoen el clúster de destino y luego transfiere solamente los datos que no existen en elclúster de destino. Una replicación diferencial utiliza menos ancho de banda de red queuna replicación completa; sin embargo, las replicaciones diferenciales utilizan másrecursos de CPU. La replicación diferencial puede ser mucho más rápida que unareplicación completa si el trabajo de replicación cuenta con una cantidad suficiente derecursos de CPU disponibles para su uso.

Control del uso de recursos de los trabajos de replicaciónPuede crear reglas que limiten el tráfico de red creado por trabajos de replicación, latasa a la que se envían archivos por trabajos de replicación, el porcentaje de CPUutilizado por los trabajos de replicación y la cantidad de trabajadores que se creó paralos trabajos de replicación.

Si limita el porcentaje de trabajadores totales que SyncIQ puede crear, el límite seaplica a la cantidad total de los trabajadores que podría crear SyncIQ, la cual estádeterminada por el hardware del clúster. Los trabajadores del clúster de origen leen yenvían datos, mientras que los trabajadores del clúster de destino reciben y escribendatos.

Nota

Las reglas de operación de archivos podrían no funcionar con precisión para losarchivos que pueden tardar más de un segundo en transferirse, así como para losarchivos cuyos tamaños no sean predeciblemente similares.

Prioridad de las políticas de replicaciónAl crear una política de replicación, puede configurar una política para que tengaprioridad sobre otros trabajos.

Si hay varios trabajos de replicación en línea de espera para ejecutarse, puesto que yase está ejecutando la cantidad máxima de trabajos, los trabajos creados por políticascon prioridad se ejecutarán antes que los trabajos sin prioridades. Por ejemplo,suponga que actualmente se están ejecutando 50 trabajos. Se crea un trabajo sinprioridad y se agrega a la línea de espera para ejecutarse. A continuación, se crea untrabajo con prioridad y se agrega a la línea de espera para ejecutarse. El trabajo con


Replicación completa y diferencial 319

prioridad se ejecutará primero, a pesar de que el trabajo sin prioridad haya estado en lalínea de espera por un período de tiempo mayor.

SyncIQ también pausará los trabajos de replicación sin prioridad para permitir que seejecuten los trabajos con prioridad. Por ejemplo, suponga que ya se están ejecutando50 trabajos, y uno de ellos no tiene prioridad. Si se crea un trabajo de replicación conprioridad, SyncIQ pausa el trabajo de replicación sin prioridad y ejecuta el trabajo conprioridad.

Informes de replicaciónUna vez finalizado un trabajo de replicación, SyncIQ genera un informe de replicaciónque contiene información detallada acerca del trabajo, incluidos el tiempo deejecución, la cantidad de datos transferidos y los errores que se produjeron.

Si se interrumpe un trabajo de replicación, SyncIQ puede generar un subinformerelativo al progreso del trabajo hasta ese momento. Si después se reinicia el trabajo,SyncIQ crea otro subinforme acerca del progreso del trabajo hasta que este finaliza ose interrumpe nuevamente. SyncIQ crea un subinforme cada vez que el trabajo seinterrumpe hasta que finaliza correctamente. Si se crean varios subinformes de untrabajo, SyncIQ combina la información de estos en un solo informe.

SyncIQ elimina periódicamente los informes de replicación. Es posible especificar lacantidad máxima de informes de replicación que SyncIQ puede conservar y el períodode tiempo que los retiene. Si se excede la cantidad máxima de informes de replicaciónen un clúster, SyncIQ elimina el informe más antiguo cada vez que se crea un nuevoinforme.

No se puede personalizar el contenido de un informe de replicación.

Nota

Si se elimina una política de replicación, SyncIQ automáticamente elimina cualquierinforme generado por dicha política.

Snapshots de replicaciónSyncIQ genera snapshots para facilitar la replicación y los procesos de failover yfailback entre clústeres Isilon. Los snapshots que genera SyncIQ también se puedenusar para fines de archiving en el clúster de destino.

Snapshots de clústeres de origenSyncIQ genera snapshots en el clúster de origen para garantizar la replicación de unaimagen coherente de un momento específico y que los datos sin modificaciones no seenvíen al clúster de destino.

Antes de ejecutar un trabajo de replicación, SyncIQ crea un snapshot del directorio deorigen. Luego, SyncIQ replica los datos según el snapshot en lugar de hacerlo según elestado actual del clúster, lo cual permite a los usuarios modificar los archivos deldirectorio de origen y garantizar la replicación de una imagen exacta de un momentoespecífico en el directorio de origen.

Por ejemplo, si un trabajo de replicación de /ifs/data/dir/ se inicia a las 13:00 h yfinaliza a las 13:20 h, y /ifs/data/dir/file se modifica a las 13:10 h, lasmodificaciones no se verán reflejadas en el clúster objetivo, ni siquiera cuando no sereplique /ifs/data/dir/file hasta las 13:15 h.



Puede replicar los datos según el snapshot que se genera con el módulo de softwarede SnapshotIQ. Si replica los datos según un snapshot SnapshotIQ, SyncIQ no generaotro snapshot del directorio de origen. Este método puede resultar útil si deseareplicar copias idénticas de los datos en varios clústeres Isilon.

SyncIQ genera snapshots de origen para garantizar que los trabajos de replicación notransfieran datos sin modificaciones. Cuando se crea un trabajo para una política dereplicación, SyncIQ comprueba si es el primer trabajo creado para la política. Si no loes, SyncIQ compara el snapshot generado para el trabajo anterior con el snapshotgenerado para el trabajo nuevo.

SyncIQ replica únicamente los datos que se han modificado desde la última vez que segeneró un snapshot para la política de replicación. Cuando un trabajo de replicaciónfinaliza, SyncIQ elimina el snapshot anterior del clúster de origen y conserva elsnapshot más reciente hasta que se ejecute el próximo trabajo.

Snapshots de clústeres de destinoCuando se ejecuta un trabajo de replicación, SyncIQ genera un snapshot en el clústerde destino para facilitar las operaciones de failover. Cuando se crea el próximo trabajode replicación para la política de replicación, el trabajo crea un nuevo snapshot yelimina el antiguo.

Si se activó una licencia de SnapshotIQ en el clúster de destino, puede configurar unapolítica de replicación para generar snapshots adicionales que permanezcan en elclúster de destino incluso cuando se ejecuten trabajos de replicación posteriores.

SyncIQ genera snapshots de destino para facilitar el failover en el clúster de destino,independientemente de si se ha configurado o no una licencia de SnapshotIQ en elclúster de destino. Los snapshots de failover se generan cuando se completa untrabajo de replicación. SyncIQ conserva únicamente un snapshot de failover porpolítica de replicación y elimina el snapshot antiguo después de la creación del nuevo.

Si se activó una licencia de SnapshotIQ en el clúster de destino, puede configurarSyncIQ para que genere snapshots de archiving en el clúster de destino que no seeliminen automáticamente cuando se ejecuten los trabajos de replicación posteriores.Los snapshots de archiving contienen los mismos datos que los snapshots que segeneran para fines de failover. Sin embargo, puede configurar la cantidad de tiempodurante la cual se conservarán los snapshots de archiving en el clúster de destino.Puede acceder a los snapshots de archiving de la misma forma en que accede a otrossnapshots generados en un clúster.

Failover y failback de datos con SyncIQSyncIQ le permite realizar operaciones automatizadas de failover y failback de datosentre clústeres Isilon. Si su clúster primario queda offline, puede realizar unaconmutación por error a un clúster secundario Isilon, lo que permite a los clientesseguir teniendo acceso a los datos. Si el clúster primario vuelve a estar disponible,puede realizar una conmutación por recuperación hacia él.

En el contexto de las conmutaciones por error y recuperación en SyncIQ, el clúster alque los clientes accedieron originalmente se denomina clúster primario. El clúster en elque se replicaron los datos del cliente se conoce como clúster secundario.

La conmutación por error es el proceso que permite a los clientes consultar, ver,modificar y eliminar datos en un clúster secundario. La conmutación por recuperaciónes el proceso que permite a los clientes volver a acceder a sus flujos de trabajo en elclúster primario. Durante la conmutación por recuperación, los cambios realizados a


Snapshots de clústeres de destino 321

los datos en el clúster secundario se copian nuevamente al clúster primario por mediode un trabajo de replicación que utiliza una política de espejeado.

Las operaciones de conmutación por error y conmutación por recuperación puedenresultar útiles en escenarios de recuperación ante desastres. Por ejemplo, si un clústerprimario sufre daños debido a un desastre natural, se puede migrar a los clientes a unclúster secundario, donde pueden continuar sus operaciones normales. Cuando elclúster primario se haya reparado y esté nuevamente en línea, las operaciones de losclientes pueden volver a migrar al clúster primario.

También puede realizar conmutaciones por error y recuperación para facilitar elmantenimiento programado de los clústeres. Por ejemplo, si está actualizando elclúster primario, es recomendable migrar los clientes a un clúster secundario hasta quefinalice la actualización y luego migrarlos de regreso al clúster primario.

Nota

Los directorios de cumplimiento de normas de SmartLock son compatibles con lasconmutaciones por error y recuperación. Los directorios de cumplimiento de normasde SmartLock cumplen con la regla 17a-4(f) de la Comisión de Bolsa y Valores deEstados Unidos, según la cual los agentes y corredores bursátiles deben conservar susregistros en un formato que no se pueda borrar ni sobrescribir. SyncIQ cumple con lanormativa 17a-4(f) durante las conmutaciones por error y por recuperación.

Failover de datosLa conmutación por error es el proceso de preparar los datos de un clúster secundarioy pasar al clúster secundario para continuar con las operaciones normales del cliente.Después de realizar una conmutación por error a un clúster secundario, puede redirigira los clientes para que consulten, vean y modifiquen sus datos en el clústersecundario.

Antes de realizar la conmutación por error, es necesario crear y ejecutar una políticade replicación de SyncIQ en el clúster primario. Inicie el proceso de failover en elclúster secundario. Para migrar datos desde un clúster primario repartido en variaspolíticas de replicación, debe iniciar la conmutación por error para cada política dereplicación.

Si la acción de una política de replicación se estableció en copiar, cualquier archivo quese haya eliminado del clúster primario seguirá estando presente en el clústersecundario. Cuando el cliente se conecte al clúster secundario, estarán disponiblestodos los archivos que se eliminaron del clúster primario.

Si inicia el failover de una política de replicación cuando un trabajo de replicaciónasociado se encuentra en ejecución, la operación de failover se completa, pero eltrabajo falla. Dado que es posible que los datos se encuentren en un estadoincoherente, SyncIQ usa el snapshot generado por el último trabajo de replicacióncompletado correctamente para revertir los datos en el clúster secundario al últimopunto de recuperación.

Si ocurre un desastre en el clúster primario, cualquier modificación a los datos que sehaya realizado después del inicio del último trabajo de replicación completadocorrectamente no se verá reflejada en el clúster secundario. Cuando un cliente seconecta al clúster secundario, sus datos aparecen como estaban cuando se inició elúltimo trabajo de replicación completado correctamente.



Failback de datosLa conmutación por recuperación se refiere al proceso de restaurar los clústeresprincipal y secundario de modo que desempeñen las funciones que ocupaban antes dela operación de conmutación por error. Una vez completada la conmutación porrecuperación, el clúster primario contiene el conjunto de datos más reciente y reanudasus operaciones normales, lo que incluye el alojamiento de clientes y la replicación delos datos al clúster secundario mediante las políticas de replicación de SyncIQ queestén vigentes.

El primer paso en el proceso de failback es actualizar el clúster primario con todas lasmodificaciones que se realizaron a los datos en el clúster secundario. El siguiente pasoes preparar el clúster primario para que los clientes accedan a él. El paso final esreanudar la replicación de datos desde el clúster primario al clúster secundario. Alfinalizar el proceso de conmutación por recuperación, puede redireccionar a losusuarios para que reanuden el acceso a datos en el clúster primario.

Para actualizar el clúster primario con las modificaciones que se realizaron en elclúster secundario, SyncIQ debe crear un dominio de SyncIQ para el directorio deorigen.

Puede realizar un failback de los datos mediante cualquier política de replicación quecumpla con los siguientes criterios:

l Se ha realizado failover a la política.

l La política es una política de sincronización (no de copia).

l La política no excluye archivos o directorios de la replicación.

Conmutaciones por error y por recuperación en el modo de cumplimiento denormas de SmartLock

A partir de la versión 8.0.1, OneFS es compatible con la replicación de los dominios demodo de cumplimiento de normas de SmartLock para un clúster de destino. Estacompatibilidad incluye la conmutación por error y la conmutación por recuperación deestos dominios de SmartLock.

Debido a que el modo de cumplimiento de normas de SmartLock cumple la normativa17a-4(f) de la Comisión de Bolsa y Valores de Estados Unidos (SEC), la conmutaciónpor error y la conmutación por recuperación de un dominio WORM en modo decumplimiento de normas requiere planificación y preparación.

Primero y principal, los clústeres primario (de origen) y secundario (de destino) sedeben configurar inicialmente como clústeres en modo de cumplimiento de normas.Este proceso se describe en la Guía de instalación de Isilon correspondiente a sumodelo de nodo (por ejemplo, la Guía de instalación de Isilon S210).

Además, ambos clústeres deben tener directorios definidos como dominios WORMcon el tipo de cumplimiento de normas. Por ejemplo, si almacena sus archivos WORMen el dominio de cumplimiento de normas de SmartLock /ifs/financial-records/locked en el clúster primario, debe tener un dominio de cumplimiento denormas de SmartLock en el clúster de destino hacia el cual realizar una conmutaciónpor error. Si bien los dominios de cumplimiento de normas de SmartLock de origen ydestino pueden tener el mismo nombre de ruta, esto no es necesario.

Además, es necesario iniciar el reloj de cumplimiento de normas en ambos clústeres.


Failback de datos 323

Limitaciones de la replicación de SmartLockTenga en cuenta las limitaciones de la replicación y de la conmutación porrecuperación de los directorios de SmartLock con SyncIQ.

Si el directorio de origen o el directorio de destino de una política SyncIQ es undirectorio de SmartLock, es posible que no se permita la replicación ni la conmutaciónpor recuperación. Para obtener más información, consulte la siguiente tabla:

Tipo dedirectorio deorigen

Tipo de directorio dedestino

Se permite lareplicación

Se permite laconmutación porrecuperación

No es SmartLock No es SmartLock Sí Sí

No es SmartLock empresa de SmartLock Sí Sí, a menos que losarchivos estén en unestado WORM en elclúster de destino

No es SmartLock Cumplimiento de losSmartLock

No No

empresa deSmartLock

No es SmartLock Sí; sin embargo,se perderán lasfechas deretención y elestado deconfirmación dearchivos.

Sí; sin embargo, losarchivos no tendrán elestado WORM

empresa deSmartLock

empresa de SmartLock Sí Sí; se incluirá cualquierarchivo WORMconfirmado recientemente

empresa deSmartLock

Cumplimiento de losSmartLock

No No

Cumplimiento delos SmartLock

No es SmartLock No No


empresa de SmartLock No No


Cumplimiento de losSmartLock

Sí Sí; se incluirá cualquierarchivo WORMconfirmado recientemente

Si está replicando un directorio de SmartLock a otro directorio de SmartLock, debecrear el directorio de destino de SmartLock antes de ejecutar la política de replicación.Si bien OneFS creará un directorio de destino automáticamente si no existe uno,OneFS no creará un directorio de destino SmartLock de manera automática. Si intentareplicar un directorio empresarial antes de la creación del directorio de destino, OneFScreará un directorio de destino no perteneciente a SmartLock y el trabajo dereplicación finalizará correctamente. Si replica un directorio de cumplimiento denormas antes de la creación del directorio de destino, el trabajo de replicación fallará.

Si replica directorios de SmartLock en otro clúster EMC Isilon con SyncIQ, se replicael estado WORM de los archivos. Sin embargo, los ajustes de configuración deldirectorio de SmartLock no se transfieren al directorio de destino.



Por ejemplo, si replica un directorio que contiene un archivo confirmado con fecha devencimiento del 4 de marzo, el archivo seguirá configurado para que expire en esafecha en el clúster de destino. Sin embargo, si el directorio en el clúster de origen seconfigura para que impida que los archivos se confirmen durante más de un año, eldirectorio de destino no se configura automáticamente con la misma restricción.

Tiempos y objetivos de recuperación de SyncIQEl objetivo de punto de recuperación (RPO) y el objetivo de tiempo de recuperación(RTO) son medidas del impacto que un desastre puede tener en las operaciones delnegocio. Puede calcular su RPO y RTO para una recuperación de desastres con laspolíticas de replicación.

RPO es la cantidad máxima de tiempo en que se pierden datos si un clústerrepentinamente deja de estar disponible. Para un clúster Isilon, el RPO es la cantidadde tiempo transcurrido desde que se inició el último trabajo de replicación finalizado. ElRPO nunca es mayor que el tiempo que demoran dos trabajos de replicaciónconsecutivos en ejecutarse y completarse.

Si ocurre un desastre mientras se ejecuta un trabajo de replicación, los datos delclúster secundario se revierten al estado en que estaban cuando finalizó el últimotrabajo de replicación. Por ejemplo, considere un ambiente donde una política dereplicación se calendariza para ejecutarse cada tres horas y los trabajos de replicacióntardan dos horas en finalizar. Si ocurre un desastre transcurrida una hora del inicio deun trabajo de replicación, el RPO es de cuatro horas, puesto que han pasado cuatrohoras desde que un trabajo finalizado comenzó a replicar datos.

RTO es la cantidad de tiempo máxima que se necesita para poner los datos de respaldoa disposición de los clientes tras un desastre. Este RTO siempre es inferior oaproximadamente igual al RPO, según la velocidad a la que se crean trabajos dereplicación para una política determinada.

Si los trabajos de replicación se ejecutan continuamente, lo cual implica la creación deotro trabajo de replicación para la política antes de que el trabajo de replicación previofinalice, el RTO es aproximadamente igual al RPO. Cuando se realiza un failover delclúster secundario, los datos del clúster se restablecen al estado en que estabancuando finalizó el último trabajo. El restablecimiento de los datos tarda un período detiempo proporcional al tiempo que demoran los usuarios en modificar los datos.

Si los trabajos de replicación se ejecutan a intervalos, es decir, con un período detiempo después de la finalización del trabajo de replicación y antes del inicio delpróximo trabajo de replicación de la política, las relaciones entre el RTO y el RPOdependen de si hay trabajos de replicación en ejecución cuando ocurre el desastre. Sihay trabajos en ejecución, el RTO es apenas igual al RPO. Sin embargo, si no haytrabajos en ejecución, el RTO es insignificante, ya que el clúster secundario no semodificó desde la última ejecución del trabajo de replicación y el proceso de failover escasi instantáneo.

Alertas de RPOPuede configurar SyncIQ para crear eventos de OneFS que lo alertarán en el caso deque se supere un objetivo de punto de recuperación (RPO) especificado. Estoseventos se pueden ver a través de la misma interfaz que utilizan otros eventos deOneFS.


Tiempos y objetivos de recuperación de SyncIQ 325

Los eventos tienen un ID de evento de 400040020. El mensaje de evento para estasalertas sigue el siguiente formato:

SW_SIQ_RPO_EXCEEDED: SyncIQ RPO exceeded for policy <replication_policy>

Por ejemplo, supongamos que establece un RPO de cinco horas; un trabajo comienza alas 13:00 h y finaliza a las 15:00 h; un segundo trabajo comienza a las 15:30 h; si esteúltimo no se completa para las 18:00 h, SyncIQ creará un evento de OneFS.

Prioridad de las políticas de replicaciónAl crear una política de replicación, puede configurar una política para que tengaprioridad sobre otros trabajos.

Si hay varios trabajos de replicación en línea de espera para ejecutarse, puesto que yase está ejecutando la cantidad máxima de trabajos, los trabajos creados por políticascon prioridad se ejecutarán antes que los trabajos sin prioridades. Por ejemplo,suponga que actualmente se están ejecutando 50 trabajos. Se crea un trabajo sinprioridad y se agrega a la línea de espera para ejecutarse. A continuación, se crea untrabajo con prioridad y se agrega a la línea de espera para ejecutarse. El trabajo conprioridad se ejecutará primero, a pesar de que el trabajo sin prioridad haya estado en lalínea de espera por un período de tiempo mayor.

SyncIQ también pausará los trabajos de replicación sin prioridad para permitir que seejecuten los trabajos con prioridad. Por ejemplo, suponga que ya se están ejecutando50 trabajos, y uno de ellos no tiene prioridad. Si se crea un trabajo de replicación conprioridad, SyncIQ pausa el trabajo de replicación sin prioridad y ejecuta el trabajo conprioridad.

Funcionalidad de licencia de SyncIQPuede replicar datos a otro clúster Isilon únicamente si activa la licencia de SyncIQ enel clúster local y en el clúster de destino.

Si una licencia de SyncIQ se torna inactiva, no puede crear, ejecutar o administrarpolíticas de replicación. Además, se deshabilitan todas las políticas de replicacióncreadas anteriormente. También se deshabilitan las políticas de replicación que seaplican al clúster local. Sin embargo, los datos que se replicaron anteriormente en elclúster local aún están disponibles.

Creación de políticas de replicaciónEs posible crear políticas de replicación que determinan cuándo los datos se replicancon SyncIQ.

Exclusión de directorios en la replicaciónPuede excluir ciertos directorios para que las políticas de replicación no los repliquen,aun si los directorios se encuentran en el directorio de origen especificado.

Nota

El failback no es compatible con las políticas de replicación que excluyen directorios.



De manera predeterminada, todos los archivos y directorios que se encuentran en eldirectorio de origen de una política de replicación se replican al clúster de destino. Sinembargo, puede evitar la replicación de los directorios que se encuentran en eldirectorio de origen.

Si especifica un directorio que se debe excluir, los archivos y directorios que seencuentran en el directorio excluido no se replicarán al clúster de destino. Si especificaun directorio que se debe incluir, solo los archivos y directorios que se encuentran enel directorio incluido se replican al clúster de destino; se excluye cualquier directorioque no se encuentre en un directorio incluido.

Si incluye y excluye directorios, todos los directorios excluidos se deben encontrar enuno de los directorios incluidos; de manera contraria, la configuración de exclusión dedirectorios no tendrá efecto. Por ejemplo, considere una política con la siguienteconfiguración:

l El directorio raíz es /ifs/datal Los directorios incluidos son /ifs/data/media/music y /ifs/data/media/

moviesl Los directorios excluidos son /ifs/data/archive y /ifs/data/media/

music/workingEn este ejemplo, la configuración que excluye el directorio /ifs/data/archive notiene efecto, ya que el directorio /ifs/data/archive no se encuentra en ningunode los directorios incluidos. El directorio /ifs/data/archive no se replica,independientemente de si el directorio se excluyó explícitamente. Sin embargo, laconfiguración que excluye el directorio /ifs/data/media/music/working sí tieneefecto, ya que el directorio se replicaría si esta no estuviera especificada.

Además, si excluye un directorio que contiene el directorio de origen, la configuraciónde exclusión de directorios no tendrá efecto. Por ejemplo, si el directorio raíz de unapolítica es /ifs/data, la exclusión explícita del directorio /ifs no evita la replicaciónde /ifs/data.

Cualquier directorio incluido o excluido explícitamente se debe encontrar en eldirectorio raíz especificado. Por ejemplo, considere una política en la que el directorioraíz especificado sea /ifs/data. En este ejemplo, puede incluir losdirectorios /ifs/data/media y /ifs/data/users/, ya que se encuentranen /ifs/data.

La exclusión de directorios de una política de sincronización no causa la eliminación delos directorios en el clúster de destino. Por ejemplo, considere una política dereplicación que sincronice /ifs/data en el clúster de origen con /ifs/data en elclúster objetivo. Si la política excluye /ifs/data/media de la replicación y /ifs/data/media/file existe en el clúster objetivo, la ejecución de la política no causa laeliminación de /ifs/data/media/file del clúster objetivo.

Exclusión de archivos en la replicaciónSi no desea que la política de replicación replique ciertos archivos, puede excluirlos delproceso de replicación mediante las declaraciones de criterios de coincidencia dearchivos. Puede configurar declaraciones de criterios de coincidencia de archivosdurante el proceso de creación de la política de replicación.

Nota

No es posible realizar failbacks de las políticas de replicación que excluyan archivos.


Exclusión de archivos en la replicación 327

Una declaración de criterios de archivos puede incluir uno o más elementos. Cadadeclaración de criterios de archivos contiene un atributo de archivo, un operador decomparación y un valor de comparación. Puede combinar varios elementos de criteriosen una declaración de criterios con los operadores booleanos “AND” y “OR”. Puedeconfigurar una cantidad ilimitada de definiciones de criterios de archivos.

La configuración de declaraciones de criterios de archivos puede provocar laralentización de los trabajos asociados. Se recomienda especificar las declaraciones decriterios de archivos en una política de replicación, solo si es necesario.

La modificación de una declaración de criterios de archivos puede ocasionar unareplicación completa la próxima vez que se inicia una política de replicación. Según lacantidad de datos que se replican, una replicación completa puede tardar muchotiempo.

En cuanto a las políticas de sincronización, si se modifican los operadores o los valoresde comparación de un atributo de archivo, y un archivo ya no coincide con el criteriode coincidencia de archivos especificado, el archivo se elimina del destino la próximavez que se ejecuta el trabajo. Esta regla no se aplica a las políticas de copia.

Opciones de criterios de archivosPuede configurar una política de replicación para excluir los archivos que cumplan o nocon los criterios específicos.

Puede especificar criterios de archivos según los siguientes atributos de archivos:

Fecha de creación

Incluye o excluye archivos según el momento en que fueron creados. Esta opciónestá disponible solo para las políticas de copia.Puede especificar una fecha y hora relativas, como “hace dos semanas”, o unafecha y hora específicas, como “1 de enero de 2012”. Los ajustes de hora se basanen un formato de 24 horas.

Fecha de acceso

Incluye o excluye archivos según el momento en que se accedió a ellos por últimavez. Esta opción está disponible solo para las políticas de copia y solo si estáhabilitada la opción de rastreo global del momento de acceso del clúster.Puede especificar una fecha y hora relativas, como “hace dos semanas”, o unafecha y hora específicas, como “1 de enero de 2012”. Los ajustes de hora se basanen un formato de 24 horas.

Fecha de modificación

Incluye o excluye archivos según el momento en que se modificaron por últimavez. Esta opción está disponible solo para las políticas de copia.Puede especificar una fecha y hora relativas, como “hace dos semanas”, o unafecha y hora específicas, como “1 de enero de 2012”. Los ajustes de hora se basanen un formato de 24 horas.

Nombre de archivo

Incluye o excluye archivos según su nombre. Puede especificar si desea incluir oexcluir nombres completos o parciales que contengan un texto específico.Se aceptan los siguientes caracteres comodín:



Nota

Alternativamente, puede filtrar los nombres de archivos con expresiones regulares(regex) de POSIX. Los clústeres Isilon admiten las expresiones regulares IEEE Std1003.2 (POSIX.2). Para obtener más información sobre las expresiones regularesde POSIX, consulte las páginas de los manuales BSD.

Tabla 2 Comodines de coincidencia de archivos de replicación

Carácter comodín Descripción

* Hace coincidir cualquier cadena en lugar delasterisco.Por ejemplo, m* coincide con movies y

m123.

[ ] Hace coincidir cualquier carácter entreparéntesis o rango de caracteres separadospor un guion.Por ejemplo, b[aei]t coincide con bat,

bet y bit.

Por ejemplo, 1[4-7]2 coincide con 142,

152, 162 y 172.

Puede excluir los caracteres entre paréntesisinsertando un signo de exclamación despuésdel primer paréntesis.

Por ejemplo, b[!ie] coincide con bat, pero

no con bit ni bet.

Puede hacer coincidir un paréntesis dentro deotro paréntesis si se trata del primer o últimocarácter.

Por ejemplo, [[c]at coincide con cat y

[at.

Puede hacer coincidir un guion dentro de unparéntesis si se trata del primer o últimocarácter.

Por ejemplo, car[-s] coincide con cars y

car-.

? Hace coincidir cualquier carácter en lugar delsigno de interrogación.Por ejemplo, t?p coincide con tap, tip y

top.

Ruta

Incluye o excluye archivos según la ruta de archivo. Esta opción está disponiblesolo para las políticas de copia.


Opciones de criterios de archivos 329

Puede especificar si desea incluir o excluir rutas completas o parciales quecontengan un texto específico. También puede incluir los caracteres comodín *, ?y [ ].

Tamaño

Incluye o excluye archivos según su tamaño.

Nota

Los tamaños de los archivos se representan en múltiplos de 1,024, no de 1,000.

Tipo

Incluye o excluye archivos según uno de los siguientes tipos de objetos delsistema de archivos:

l Vínculo simbólico

l Archivo regular

l Directorio

Configurar los ajustes predeterminados de la política de replicaciónPuede configurar los ajustes predeterminados de las políticas de replicación. Si nomodifica estos ajustes al crear una política de replicación, se aplicará la configuraciónpredeterminada especificada.

Procedimiento

1. Haga clic en Data Protection > SyncIQ > Settings.

2. En la sección Default Policy Settings, si desea que las políticas solo seconecten a los nodos en una zona de SmartConnect específica, seleccioneConnect only to the nodes within the target cluster SmartConnect zone.

Nota

Esta opción afectará únicamente a las políticas que especifiquen el clústerobjetivo como una zona de SmartConnect.

3. Especifique los nodos con los cuales desea que se conecten las políticas dereplicación cuando se ejecuta una política.


Para conectar las políticas contodos los nodos de un clúster deorigen:

Haga clic en Run the policy on all nodesin this cluster.

Para conectar las políticassolamente con los nodoscontenidos dentro de una subred yun pool especificados:

a. Haga clic en Run the policy only onnodes in the specified subnet andpool.

b. En la lista Subnet and pool,seleccione la subred y el pool.



Nota

SyncIQ no es compatible con la asignación dinámica de pools de direcciones IP.Si un trabajo de replicación se conecta a una dirección IP asignadadinámicamente, es posible que SmartConnect reasigne la dirección durante laejecución de un trabajo de replicación, lo cual desconectaría el trabajo yprovocaría su falla.


Crear una política de replicaciónCon SyncIQ, puede crear una política de replicación que defina cómo y cuándo sereplican los datos en otro clúster Isilon. La configuración de una política de replicaciónes un proceso de cinco pasos.

Configure cuidadosamente las políticas de replicación. Si modifica alguno de lossiguientes ajustes de configuración después de ejecutar la política, OneFS realiza unareplicación completa o diferencial la próxima vez que se ejecute la política:

l Directorio de origen

l Directorios incluidos o excluidos

l Declaración de los criterios de archivos

l Nombre o dirección del clúster de destino

Esto se aplica solamente si tiene como objetivo un clúster diferente. Si modifica laIP o el nombre de dominio de un clúster de destino y luego modifica la política dereplicación en el clúster de origen para que se corresponda con la nueva IP o elnombre de dominio, no se podrá realizar la replicación completa.

l Directorio de destino

Nota

Si crea una política de replicación para un directorio de cumplimiento de normas deSmartLock, se deben configurar los dominios de cumplimiento de normas de SyncIQ ySmartLock en el mismo nivel de raíz. Un dominio de cumplimiento de normas deSmartLock no se puede anidar dentro de un dominio de SyncIQ.

Configurar ajustes básicos de políticasEs necesario configurar los ajustes básicos de una política de replicación.

Procedimiento

1. Haga clic en Data Protection > SyncIQ > Policies.

2. Haga clic en Create a SyncIQ policy.

3. En el área Settings, ingrese un nombre para la política de replicación en elcampo Policy name.

4. (Opcional) En el campo Description, ingrese una descripción para la política dereplicación.

5. En el ajuste Action, especifique el tipo de política de replicación.

l Para copiar todos los archivos del directorio fuente al directorio de destino,haga clic en Copy.


Crear una política de replicación 331

Nota

Las políticas de copia no admiten la conmutación por recuperación.

l Para copiar todos los archivos del directorio de origen al directorio dedestino y eliminar cualquier archivo del directorio de destino que no seencuentre en el directorio de origen, haga clic en Synchronize.

6. En el ajuste Run Job, especifique si se ejecutarán trabajos de replicación.


Ejecutar tareassolamente cuando lasinicie manualmente unusuario.

Haga clic en Manually.

Ejecutar tareasautomáticamenteconforme a uncalendario.

a. Haga clic en On a schedule.

b. Especifique un calendario.Si configura una política de replicación para quese ejecute más de una vez por día, no podráconfigurar el intervalo para que comprenda dosdías naturales. Por ejemplo, no se puedeconfigurar una política de replicación para que seejecute a cada hora entre las 19:00 y la 1:00 de lamadrugada.

c. Para evitar que la política se ejecute cuando nose haya modificado el contenido del directorio deorigen, haga clic en Only run if source directorycontents are modified.

d. Para que se creen eventos de OneFS si se superaun RPO especificado, haga clic en Send RPOalerts after… y especifique un RPO.Por ejemplo, supongamos que establece un RPOde 5 hours; un trabajo comienza a las 13:00 h yfinaliza a las 15:00 h; un segundo trabajo se iniciaa las 15:30 h; si este segundo trabajo no secompleta a las 18:00 h, SyncIQ creará un eventode OneFS.

Nota

Esta opción es válida únicamente si las alertas deRPO se habilitaron globalmente a través de laconfiguración de SyncIQ. Los eventos tienen unID de evento de 400040020.

Ejecutar trabajosautomáticamente cadavez que se realice uncambio en el directoriode origen.

a. Haga clic en Whenever the source is modified.

b. Para configurar SyncIQ de modo tal que seespere una cantidad de tiempo específica antesde iniciar un trabajo de replicación cuando semodifica el directorio de origen, haga clic enChange-Triggered Sync Job Delay yespecifique una tiempo de espera.




Ejecutar trabajosautomáticamente cadavez que se toma unainstantánea deldirectorio de origen.

a. Haga clic en Whenever a snapshot of thesource directory is taken.

b. Si solo desea replicar los datos contenidos en lasinstantáneas que sigan un patrón denomenclatura específico, escriba un patrón denomenclatura en el cuadro Run job if snapshotname matches the following pattern.

c. Para replicar los datos contenidos en todas lasinstantáneas del directorio de origen tomadasantes de la creación de la política, haga clic enSync existing snapshots before policy creationtime.


El paso siguiente del proceso de creación de una política de replicación consiste enespecificar los directorios y archivos de origen.

Especificar directorios y archivos de origenEs necesario especificar los directorios y archivos que desea replicar.

PRECAUCIÓN

En una política de replicación de SyncIQ, OneFS le permite especificar undirectorio de origen que sea un directorio de destino o se encuentre dentro de undirectorio de destino de otra política de replicación. Este caso de uso sedenomina replicación en cascada y es específicamente para fines de respaldo; sedebe usar con cuidado. OneFS no admite el failback en estos casos.

Procedimiento

1. En el campo Source Root Directory del área Source Cluster, ingrese la rutacompleta del directorio de origen que desea replicar en el clúster de destino.

Debe especificar un directorio contenido en /ifs. No puede especificar eldirectorio /ifs/.snapshot ni un subdirectorio de él.

2. (Opcional) Impedir la replicación de subdirectorios específicos del directorio deorigen.

l Para incluir un directorio, haga clic en Add a directory path en el áreaIncluded Directories.

l Para excluir un directorio, haga clic en Add a directory path en el áreaExcluded Directories.

3. (Opcional) Impedir la replicación de archivos específicos mediante laespecificación de criterios de coincidencia de archivo.

a. En el área File Matching Criteria, seleccione un tipo de filtro.

b. Seleccione un operador.

c. Ingrese un valor.

Los archivos que no cumplen los requisitos especificados no se replicarán en elclúster de destino. Por ejemplo, si especifica File Type doesn'tmatch .txt, SyncIQ no replicará ningún archivo con la extensión de



archivo .txt. Si especifica Created after 08/14/2013, SyncIQ no replicaráningún archivo creado antes del 14 de agosto de 2013.Si desea especificar más de un criterio de coincidencia de archivo, puedecontrolar cómo se relacionan entre sí los criterios haciendo clic en Add an "Or"condition o en Add an "And" condition.

4. Especifique cuáles son los nodos con los que desea que se conecte la política dereplicación cuando esta se ejecute.


Conectar la política con todos losnodos del clúster de origen.

Haga clic en Run the policy on all nodesin this cluster.

Conectar la política solamente conlos nodos contenidos dentro deuna subred y un poolespecificados.

a. Haga clic en Run the policy only onnodes in the specified subnet andpool.

b. En la lista Subnet and pool, seleccionela subred y el pool.

Nota



El paso siguiente del proceso de creación de una política de replicación consiste enespecificar el directorio de destino.

Especificar el directorio de destino de la políticaDebe especificar un clúster de destino y un directorio en el que se replicarán los datos.

Procedimiento

1. En el área Target Cluster, en el campo Target Host, ingrese una de lassiguientes opciones:

l El nombre de dominio calificado (FQDN) de cualquier nodo en el clúster dedestino.

l El nombre de host de cualquier nodo en el clúster de destino.

l El nombre de una zona SmartConnect en el clúster de destino.

l La dirección IPv4 o IPv6 de cualquier nodo del clúster de destino.

l localhostEsto replicará los datos a otro directorio del clúster local.



Nota


2. En el campo Target Directory, ingrese la ruta absoluta del directorio del clústerde destino en el que desea replicar datos.

PRECAUCIÓN

Si especifica un directorio existente del clúster objetivo, asegúrese de queel directorio no sea el destino de otra política de replicación. Si se trata deuna política de sincronización, asegúrese de que el directorio esté vacío.Todos los archivos se eliminan del destino de una política de sincronizaciónla primera vez que esta se ejecuta.

Si el directorio de destino especificado no existe desde antes en el clúster dedestino, el directorio se crea la primera vez que se ejecuta el trabajo. Serecomienda que no especifique el directorio /ifs. En caso de especificarse eldirectorio /ifs, todo el clúster de destino quedará en un estado de solo lectura,lo cual le impedirá almacenar más datos en el clúster.

Si se trata de una política de copia y los archivos del directorio de destino tienenlos mismos nombres que los archivos del directorio de origen, los archivos deldirectorio de destino serán sobrescritos cuando se ejecute la tarea.

3. Si desea que las tareas de replicación se conecten únicamente con los nodos dela zona de SmartConnect especificada en el clúster de destino, haga clic enConnect only to the nodes within the target cluster SmartConnect Zone.


El paso siguiente del proceso de creación de una política de replicación consiste enespecificar los ajustes de snapshots de destino de la política.

Configurar ajustes de snapshots de destino de políticasDe forma opcional, puede especificar cómo los snapshots de archiving se generarán enel clúster de destino. Puede acceder a los snapshots de archiving de la misma maneraen que accede a los snapshots de SnapshotIQ.

SyncIQ siempre conserva un snapshot en el clúster de destino para facilitar el failover,independientemente de estos ajustes.

Procedimiento

1. Para crear instantáneas de archiving en el clúster de destino, en el área TargetSnapshots, seleccione Enable capture of snapshots on the target cluster.

2. (Opcional) Para modificar el alias predeterminado de la última instantáneacreada de acuerdo con la política de replicación, ingrese un nuevo alias en elcampo Snapshot Alias Name.

Puede especificar el nombre del alias como un patrón de nombres de snapshot.Por ejemplo, el siguiente patrón de nombres es válido:

%{PolicyName}-on-%{SrcCluster}-latest



En el ejemplo anterior se generan nombres como los siguientes:

newPolicy-on-Cluster1-latest

3. (Opcional) Para modificar el patrón de nombres de las instantáneas creadas deacuerdo con la política de replicación, ingrese un patrón de nombres en elcampo Snapshot Alias Name. Cada instantánea generada según esta políticade replicación recibe un nombre basado en este patrón.

Por ejemplo, el siguiente patrón de nombres es válido:

%{PolicyName}-from-%{SrcCluster}-at-%H:%M-on-%m-%d-%Y

En el ejemplo se generan nombres como los siguientes:

newPolicy-from-Cluster1-at-10:30-on-7-12-2012

4. Seleccione una de las siguientes opciones para definir cómo deben expirar lasinstantáneas:

l Haga clic en Snapshots do not expire.

l Haga clic en Snapshots expire after… y especifique un período devencimiento.


El siguiente paso del proceso de creación de una política de replicación es configurarlos ajustes avanzados de la política.

Configurar ajustes avanzados de políticasDe manera opcional, se pueden configurar ajustes avanzados para una política dereplicación.

Procedimiento

1. (Opcional) En el campo Priority, especifique si la política tiene prioridad.

Si selecciona Normal, los trabajos creados por la política no tendrán prioridad.Si selecciona High, les dará prioridad a los trabajos creados por la política dereplicación.

2. (Opcional) En la lista Log Level, seleccione el nivel de registro que desea querealice SyncIQ para las tareas de replicación.

Los siguientes niveles de registro son válidos, enumerados del menos detalladoal más detallado:

l Grave

l Error

l Aviso

l Información

l Copia

l Depurar

l Seguimiento

Los registros de replicación suelen usarse para fines de depuración. Si esnecesario, puede iniciar sesión en un nodo a través de la interfaz de la línea de



comandos y ver el contenido del archivo /var/log/isi_migrate.log en elnodo.

Nota

El nivel de registro predeterminado es Notice.

3. (Opcional) Si desea que SyncIQ realice una suma de verificación por cadapaquete de datos de archivo afectado por una política de replicación, seleccionela casilla de verificación Validate File Integrity.

Si habilita esta opción y los valores de la suma de verificación de un paquete dedatos de archivo no coinciden, SyncIQ vuelve a transmitir el paquete afectado.

4. (Opcional) Para aumentar la velocidad de failback para la política, haga clic enPrepare policy for accelerated failback performance.

Si selecciona esta opción, SyncIQ realizará las tareas de configuración defailback la próxima vez que se ejecute un trabajo, en lugar de esperar a ejecutaresas tareas durante el proceso de failback. Esto reducirá la cantidad de tiemponecesario para realizar operaciones de failback cuando se inicia el failback.

5. (Opcional) Para modificar el período durante el cual SyncIQ conserva losinformes de replicación de la política, especifique un período en el área KeepReports For.

Una vez transcurrido el período de vencimiento especificado para un informe,SyncIQ lo elimina en forma automática.

Algunas unidades de tiempo se muestran en forma diferente cuando se visualizaun informe en comparación con el momento en el que se ingresaronoriginalmente. Si ingresa una cantidad de días igual a un valor correspondienteen semanas, meses o años, se mostrará la unidad de tiempo más grande. Porejemplo, si ingresa un valor de 7 days, aparecerá una semana en el informedespués de su creación. Este cambio ocurre porque SyncIQ registrainternamente los tiempos de retención de informes en segundos y después losconvierte en días, semanas, meses o años.

6. (Opcional) Seleccione una de las siguientes opciones para especificar si debenregistrarse datos acerca de los archivos eliminados por tareas de replicación:

l Haga clic en Record when a synchronization deletes files or directories.

l Haga clic en Do not record when a synchronization deletes files ordirectories.

Esta opción se aplica únicamente a las políticas de sincronización.

7. Especifique cómo la política replica los archivos de SmartLink de CloudPools.

Si configura Deny, SyncIQ replica todos los archivos de SmartLink deCloudPools al clúster objetivo como archivos de SmartLink; si el clúster objetivono es compatible con CloudPools, el trabajo fallará. Si configura Force, SyncIQreplica todos los archivos de SmartLink en el clúster objetivo como archivosregulares. Si configura Allow, SyncIQ intentará replicar los archivos deSmartLink en el clúster objetivo como archivos de SmartLink; si el clústerobjetivo no es compatible con CloudPools, SyncIQ replicará los archivos deSmartLink como archivos regulares.




El paso siguiente del proceso de creación de una política de replicación consiste enguardar los ajustes de la política de replicación.

Guardar los ajustes de una política de replicaciónSyncIQ no crea tareas de replicación para una política de replicación hasta que no sehaya guardado la política.

Antes de comenzar

Revise los ajustes actuales de la política de replicación. En caso de ser necesario,modifique los ajustes de la política.Procedimiento

1. En el cuadro de diálogo Create SyncIQ Policy, después de que todas lasconfiguraciones de políticas se encuentren según lo esperado, haga clicenCreate Policy.

Configuración de la política de replicaciónAntes de ejecutar una política de replicación por primera vez, puede ver lasestadísticas de los archivos que se verán afectados por la replicación sin transferirningún archivo. Esto puede ser útil si desea obtener una vista previa del tamaño delconjunto de datos que se transferirá si ejecuta la política.

Nota

Puede evaluar únicamente las políticas de replicación que no se han ejecutado nunca.

Procedimiento


2. En la fila correspondiente a una política de replicación de la tabla SyncIQPolicies, seleccione Assess Sync en la columna Actions.

3. Haga clic en Data Protection > SyncIQ > Summary.

4. Una vez que se haya completado la tarea, haga clic en View Details en la filacorrespondiente a la tarea de replicación de la tabla SyncIQ Recent Reports.

El informe muestra la cantidad total de datos que se habrían transferido en elcampo Total Data.

Administración de la replicación en clústeres remotosPuede ejecutar, ver, evaluar, pausar, reanudar, cancelar, resolver y restablecermanualmente los trabajos de replicación que se aplican a otros clústeres.

Después del inicio de un trabajo de política, puede pausarlo para suspender lasactividades de replicación. Luego, puede reanudar el trabajo y continuar la replicacióndesde el punto en que se interrumpió el trabajo. También puede cancelar un trabajo dereplicación en ejecución o pausado si desea liberar los recursos de clúster asignados altrabajo. Un trabajo pausado reserva recursos de clúster independientemente de siestos están o no en uso. Un trabajo cancelado libera sus recursos de clúster y permiteque otro trabajo de replicación los utilice. No pueden existir más de cinco trabajos dereplicación en ejecución y pausados en un clúster a la vez. Sin embargo, en un clústerpuede existir una cantidad ilimitada de trabajos de replicación cancelados. Si un trabajo



de replicación se mantiene pausado por más de una semana, SyncIQ lo cancelaautomáticamente.

Iniciar un trabajo de replicaciónPuede iniciar manualmente un trabajo de replicación para una política de replicación encualquier momento.

Si desea replicar los datos de acuerdo con un snapshot existente, ejecute el comandoisi sync jobs start en la línea de comandos de OneFS con la opción --source-snapshot. No es posible replicar datos de acuerdo con snapshotsgenerados por SyncIQ.

Procedimiento


2. En la tabla SyncIQ Policies, en la columna Actions correspondiente a unatarea, seleccione Start Job.

Pausar un trabajo de replicaciónPuede pausar un trabajo de replicación en ejecución y luego reanudarlo más adelante.Pausar una tarea de replicación suspende temporalmente la replicación de los datos,pero no libera los recursos del clúster que está replicando los datos.

Procedimiento


2. En la tabla Active Jobs, en la columna Actions correspondiente a una tarea,haga clic en Pause Running Job.

Reanudar un trabajo de replicaciónPuede intentar reanudar una sesión de replicación en pausa.

Procedimiento


2. En la tabla Currently Running, en la columna Actions de un trabajo, haga clicen Resume Running Job.

Cancelar un trabajo de replicaciónPuede cancelar un trabajo de replicación que se encuentra en ejecución o pausado. Lacancelación de un trabajo de replicación detiene la replicación de datos y libera losrecursos del clúster que replicaban los datos. No es posible reanudar una tarea dereplicación cancelada. Para reiniciar la replicación, deberá volver a iniciar la política dereplicación.

Procedimiento


2. En la tabla Active Jobs, en la columna Actions correspondiente a una tarea,haga clic en Cancel Running Job.

Ver trabajos de replicación activosPuede ver la información relacionada con los trabajos de replicación que se estánejecutando en ese momento o que se encuentran pausados.


Iniciar un trabajo de replicación 339

Procedimiento


2. En la tabla Active Jobs, revise la información acerca de las tareas de replicaciónactivas.

Información sobre el trabajo de replicaciónEs posible ver información acerca de las tareas de replicación mediante la tabla ActiveJobs.

Status

El estado de la tarea. Una tarea puede tener los siguientes estados:

Running

La tarea se está ejecutando actualmente sin errores.

En pausa

La tarea fue puesta en pausa temporalmente.

Nombre de la política

El nombre de la política de replicación asociada.

Started

La hora a la que se inició la tarea.

Elapsed

El tiempo transcurrido desde que se inició la tarea.

Transferred

La cantidad de archivos que se han transferido y el tamaño total de todos losarchivos transferidos.

Source Directory

La ruta del directorio de origen en el clúster de origen.

Target Host

El directorio de destino en el clúster de destino.

Acciones

Muestra cualquier acción relacionada con la tarea que pueda realizar el usuario.

Inicio de failover y failback de datos con SyncIQPuede realizar una conmutación por error desde un clúster Isilon a otro si, por ejemplo,el clúster principal deja de estar disponible. Puede realizar una conmutación porrecuperación cuando el clúster primario vuelve a estar disponible. Puede revertir unfailover si decide que era innecesario o si realizó un failover con fines de prueba.



Nota

Ahora, las conmutaciones por error y por recuperación son compatibles con losdirectorios de cumplimiento de normas y los directorios empresariales de SmartLock.Los directorios de cumplimiento de normas de SmartLock pueden crearse solo en losclústeres que se han configurado como clústeres de modo de cumplimiento de normasdurante la configuración inicial.

Realizar failover de los datos a un clúster secundarioPuede realizar una conmutación por error a un clúster Isilon secundario si el clústerprincipal deja de estar disponible.

Antes de comenzar

Debe haber creado y ejecutado correctamente una política de replicación en el clústerprimario. Esta acción replica datos en el clúster secundario.

Nota

Los directorios empresariales y de cumplimiento de normas de SmartLock soncompatibles con la conmutación por error de datos. Un directorio de cumplimiento denormas de SmartLock requiere su propia política de replicación independiente.

Complete el siguiente procedimiento para cada política de replicación a la cual deseerealizarle un failover.

Procedimiento

1. Si su clúster primario aún está en línea, siga estos pasos:

a. Detenga todas las operaciones de escritura en la ruta de la política dereplicación, incluso la actividad local y de cliente.

Esta acción garantiza que no se escriban nuevos datos en la ruta de lapolítica durante la preparación para la conmutación por error al clústersecundario.

b. Modifique la política de replicación para que se ejecute solo manualmente.

Esta acción impedirá que la política del clúster primario ejecute un trabajo dereplicación de forma automática. Si la política del clúster primario ejecuta untrabajo de replicación mientras se permiten las escrituras en el directorioobjetivo, el trabajo fallará y la política de replicación quedará desactivada. Siocurre esto, modifique la política para que se ejecute solo de manera manual,resuelva la política y complete el proceso de conmutación por recuperación.Tras completar el proceso de failback, puede modificar la política para que seejecute nuevamente según un calendario.

2. En el clúster secundario, haga clic en Data Protection > SyncIQ > LocalTargets.

3. En la tabla SyncIQ Local Targets, para una política de replicación, seleccioneMore > Allow Writes.

4. Vuelva a habilitar el acceso de clientes y dirija a los usuarios para que puedanacceder a sus datos en el clúster secundario.

Revertir una operación de failoverLa reversión de una operación de failover en un clúster secundario le permite volver areplicar los datos del clúster primario en el clúster secundario. La reversión de failover


Realizar failover de los datos a un clúster secundario 341

es útil cuando el clúster primario queda disponible antes de que se modifiquen losdatos en el clúster secundario, o si realizó un failover a un clúster secundario con finesde prueba.

Antes de comenzar

Realice un failover por medio de una política de replicación.

La reversión de una operación de failover no migra los datos modificados de regreso alclúster primario. Para migrar los datos que han modificado los clientes en el clústersecundario, debe realizar un failback al clúster primario.

Complete los siguientes procedimientos por cada política de replicación para la quedesee realizar un failover:

Procedimiento

1. Haga clic en Data Protection > SyncIQ > Local Targets.

2. En la fila correspondiente a una política de replicación de la tabla SyncIQ LocalTargets, seleccione Disallow Writes en la columna Actions.

Fail back data to a primary clusterDespués de realizar un failover a un clúster secundario, puede realizar un failback alclúster primario.

Antes de comenzar

Antes de realizar una conmutación por recuperación al clúster primario, debe haberrealizado una conmutación por error al clúster secundario. Además, debe asegurarsede que el clúster primario esté nuevamente en línea.

Nota

Los directorios de cumplimiento de normas y empresariales de SmartLock soncompatibles con la conmutación por recuperación de datos. Si los clientes confirmaronnuevos archivos de SmartLock mientras el clúster secundario estaba enfuncionamiento, estos archivos de SmartLock se replican en el clúster primariodurante la conmutación por recuperación.

Procedimiento

1. En el clúster primario, haga clic en Data Protection > SyncIQ > Policies.

2. En la lista SyncIQ Policies, para una política de replicación, haga clic en More >Resync-prep.

Esta acción causa que SyncIQ cree una política en espejo para la política dereplicación del clúster secundario. La política en espejo se coloca en DataProtection > SyncIQ > Local Targets en el clúster secundario.

SyncIQ nombra las políticas de espejeado según el siguiente patrón:

<nombre-de-política-de-replicación>_mirror3. Antes de comenzar el proceso de conmutación por recuperación, impida que los

clientes accedan al clúster secundario.

Esta acción garantiza que SyncIQ realice una conmutación por recuperación conel conjunto de datos más reciente, donde se incluyen todos los cambiosrealizados por los usuarios a los datos en el clúster secundario mientras elclúster primario estaba fuera de servicio. Le recomendamos que espere hastaque la actividad de los clientes sea baja antes de evitar el acceso al clústersecundario.



4. En el clúster secundario, haga clic en Data Protection > SyncIQ > Policies.

5. En la lista SyncIQ Policies, para la política en espejo, haga clic en More > StartJob.

Como alternativa, puede editar la política en espejo en el clúster secundario yespecificar un programa para ejecutar la política.

6. En el clúster primario, haga clic en Data Protection > SyncIQ > Local Targets.

7. En el clúster principal, en la lista SyncIQ Local Targets, para la política enespejo, seleccione More > Allow Writes.

8. En el clúster secundario, haga clic en Data Protection > SyncIQ > Policies.

9. En el clúster secundario, en la lista SyncIQ Policies, haga clic en More >Resync-prep para la política en espejo.

Esto regresa el clúster secundario al modo de solo lectura y garantiza lacoherencia de los conjuntos de datos que se encuentran en los clústeresprimario y secundario.


Redirija a los clientes para que comiencen a acceder a sus datos en el clúster primario.A pesar de que no es necesario, es seguro quitar una política de espejeado después deque el failback se complete correctamente.

Realizar recuperación ante desastres para directorios deSmartLock más antiguos

Si replicó un directorio de cumplimiento de normas de SmartLock en un clústersecundario en el que se ejecuta OneFS 7.2.1 u otra versión anterior, no puede realizaruna conmutación por recuperación del directorio de cumplimiento de normas deSmartLock a un clúster primario en el que se ejecuta OneFS 8.0.1. Sin embargo, puederecuperar el directorio de cumplimiento de normas de SmartLock almacenado en elclúster secundario y migrarlo de vuelta al clúster primario.

Nota

Los directorios empresariales de SmartLock son compatibles con las conmutacionespor error y recuperación de los datos con versiones anteriores de OneFS.

Recuperar directorios de cumplimiento de normas de SmartLock en unclúster de destino

Puede recuperar los directorios de cumplimiento de normas de SmartLock que hayareplicado en un clúster secundario en el que se ejecuta OneFS 7.2.1 o alguna versiónanterior.

Complete el siguiente procedimiento para cada directorio de cumplimiento de normasde SmartLock que desee recuperar.

Procedimiento

1. En el clúster secundario, haga clic en Data Protection > SyncIQ > LocalTargets.

2. En la tabla SyncIQ Local Targets, para la política de replicación, habilite lasoperaciones de escritura en el directorio objetivo de la política.


Realizar recuperación ante desastres para directorios de SmartLock más antiguos 343

l Si la última tarea de replicación se completó correctamente y no hay unatarea de replicación en curso actualmente, seleccione Allow Writes.

l Si hay una tarea de replicación en curso actualmente, espere a que secomplete y seleccione Allow Writes.

l Si el clúster primario dejó de estar disponible mientras se ejecutaba una tareade replicación, seleccione Break Association. Tenga en cuenta que debecancelar la asociación solo si el clúster primario se ha desconectadopermanentemente.

3. Si hizo clic en Break Association, recupere cualquier archivo que haya quedadoen un estado incoherente.

a. Elimine todos los archivos que no estén confirmados en un estado WORMdel directorio de destino.

b. Copie todos los archivos del snapshot de failover en el directorio de destino.

Los snapshots de failover se nombran según el siguiente patrón deasignación de nombres:

SIQ-Failover-<policy-name>-<año>-<mes>-<día>_<hora>-<minuto>-<segundo>

Los snapshots se almacenan en el directorio /ifs/.snapshot.

4. Si se especificó algún ajuste de configuración de los directorios SmartLock parael directorio de origen de la política de replicación, como un período de tiempode confirmación automática, aplique dichos ajustes al directorio de destino.

Dado que la información de confirmación automática no se transfiere al clústerde destino, los archivos programados para confirmarse en un estado WORM enel clúster de origen no programarán para confirmarse al mismo tiempo en elclúster de destino. Para asegurarse de que todos los archivos se conserven porel período de tiempo correcto, puede confirmar todos los archivos de losdirectorios de SmartLock de destino en un estado WORM.

Por ejemplo, el siguiente comando confirma automáticamente todos losarchivos en /ifs/data/smartlock en un estado WORM después de unminuto:

isi worm domains modify /ifs/data/smartlock --autocommit-offset 1m


Redirija a los clientes para que comiencen a acceder al clúster objetivo.

Migrar directorios de cumplimiento de normas de SmartLockPuede migrar directorios de cumplimiento de normas de SmartLock de un clúster derecuperación, ya sea mediante la replicación de los directorios de vuelta al clúster deorigen original o a un clúster nuevo. La migración es necesaria solamente si el clústerde recuperación ejecuta OneFS 7.2.1 o una versión anterior. Estas versiones de OneFSno son compatibles con las conmutaciones por error o por recuperación de losdirectorios de cumplimiento de normas de SmartLock.



Procedimiento

1. En el clúster de recuperación, cree una política de replicación para cadadirectorio de cumplimiento de normas de SmartLock que desee migrar a otroclúster (el clúster primario original o un nuevo clúster).

Las políticas deben cumplir con los siguientes requisitos:

l El directorio de origen en el clúster de recuperación es el directorio decumplimiento de normas de SmartLock que está migrando.

l El directorio de destino es un directorio de cumplimiento de normas deSmartLock vacío en el clúster al que se migrarán los datos. Los directorios deorigen y destino deben ser directorios de cumplimiento de normas deSmartLock.

2. Para replicar los datos de recuperación al directorio de destino, ejecute laspolíticas que creó.

Puede replicar los datos ya sea iniciando manualmente las políticas oespecificando un programa.

3. (Opcional) Para garantizar que la protección de SmartLock se aplique a todoslos archivos, confirme todos los archivos migrados en el directorio deSmartLock de destino en un estado WORM.

Debido a que la información de confirmación automática no se transfiere desdeel clúster de recuperación, confirme todos los archivos migrados en losdirectorios de SmartLock de destino en un estado WORM.

Por ejemplo, el siguiente comando confirma automáticamente todos losarchivos en /ifs/data/smartlock en un estado WORM después de unminuto:

isi worm domains modify /ifs/data/smartlock --autocommit-offset 1m

Este paso no es necesario si configuró un período de confirmación automáticapara los directorios de SmartLock que se migrarán.

4. En el clúster con datos migrados, haga clic en Data Protection > SyncIQ >Local Targets.

5. En la tabla SyncIQ Local Targets, para cada política de replicación, seleccioneMore > Allow Writes.

6. (Opcional) Si se especificó algún ajuste de configuración de directorios deSmartLock para los directorios de origen de las políticas de replicación (p. ej., unperíodo de confirmación automática), aplique dichos ajustes a los directorios dedestino que ahora contienen los datos migrados.

7. (Opcional) Elimine la copia de los datos de SmartLock en el clúster derecuperación.

No se puede recuperar el espacio consumido por los directorios de SmartLockde origen hasta que todos los archivos abandonen el estado WORM. Si desealiberar el espacio antes de que los archivos abandonen el estado WORM,comuníquese con el soporte técnico de Isilon para obtener información acercadel cambio de formato de su clúster de recuperación.


Migrar directorios de cumplimiento de normas de SmartLock 345

Administración de políticas de replicaciónEs posible modificar, ver, habilitar y deshabilitar políticas de replicación.

Modificar una política de replicaciónPuede modificar la configuración de una política de replicación.

Si se modifica cualquiera de los siguientes ajustes de una política después de que estase ejecute, OneFS ejecuta una replicación completa o diferencial la siguiente vez quese ejecute la política:

l Directorio de origen

l Directorios incluidos o excluidos

l Declaración de los criterios de archivos

l Clúster de destinoEsto se aplica solamente si tiene como objetivo un clúster diferente. Si modifica laIP o el nombre de dominio de un clúster de destino y luego modifica la política dereplicación en el clúster de origen para que se corresponda con la nueva IP o elnombre de dominio, no se podrá realizar la replicación completa.

l Directorio de destino

Procedimiento


2. En la fila correspondiente a una política de la tabla SyncIQ Policies, haga clic enView/Edit.

3. En el cuadro de diálogo View SyncIQ Policy Details, haga clic en Edit Policy.

4. Modifique los ajustes de la política de replicación y haga clic en Save Changes.

Eliminar política de autenticaciónPuede eliminar una política de replicación. Cuando se elimina una política, SyncIQ dejade crear trabajos de replicación para la política. Cuando se elimina una política dereplicación, se cancela la asociación de destino en el clúster de destino y se permitenescrituras en el directorio de destino.

Si desea evitar temporalmente que una política de replicación cree trabajos dereplicación, puede deshabilitarla y luego volver a habilitarla.

Procedimiento


2. En la fila correspondiente a una política de la tabla SyncIQ Policies, seleccioneDelete Policy.




Nota

La operación no tendrá éxito hasta que SyncIQ pueda comunicarse con elclúster objetivo; hasta ese momento, la política no se quitará de la tabla SyncIQPolicies. Después de restablecer la conexión entre el clúster de origen y elclúster objetivo, SyncIQ eliminará la política la próxima vez que el trabajo estéprogramado para ejecutarse; si la política está configurada para ejecutarse solode forma manual, debe volver a ejecutarla de forma manual. Si SyncIQ sigue sinpoder comunicarse con el clúster objetivo, ejecute el comando isi syncpolicies delete con la opción --local-only. Esto eliminará la políticadel clúster local únicamente y no romperá la asociación de destino en el clústerobjetivo. Para obtener más información, consulte la Guía de administración de laCLI de OneFS.

Activar o desactivar frames jumbo:Puede suspender temporalmente una política de replicación para evitar que creetrabajos de replicación y luego volver a habilitarla más adelante.

Nota

Si deshabilita una política de replicación mientras se está ejecutando una tarea dereplicación asociada, la tarea en curso no se interrumpirá. Sin embargo, la política nocreará otro trabajo hasta que se habilite la política.

Procedimiento


2. En la fila correspondiente a una política de replicación de la tabla SyncIQPolicies, seleccione Enable Policy o Disable Policy.

Si no aparece Enable Policy ni Disable Policy, verifique que no haya una tareade replicación en curso para la política. Si no se está ejecutando una tarea dereplicación asociada, asegúrese de que la licencia de SyncIQ esté activa en elclúster.

Ver políticas de replicaciónPuede ver información sobre las políticas de replicación.

Procedimiento


2. En la tabla SyncIQ Policies, revise la información acerca de las políticas deinformación.

Información de la política de replicaciónEs posible ver información acerca de las políticas de replicación mediante la tablaSyncIQ Policies.


El nombre de la política.

Condición

Si la política está habilitada o deshabilitada.


Activar o desactivar frames jumbo: 347

Last Known Good

Cuándo se ejecutó la última tarea exitosa.

Calendario

Cuándo está calendarizado que se ejecute la tarea. Si el valor es Manual, estoindica que la tarea solamente puede ejecutarse en forma manual. Si el valor esWhen source is modified, esto indica que la tarea se ejecutará siempre que sehagan cambios en el directorio de origen.

Source Directory


Target Host: Directorio

La dirección IP o el nombre de dominio calificado del clúster de destino y la rutacompleta del directorio de destino.

Acciones

Cualquier acción relacionada con una política que pueda realizarse.

Configuración de políticas de replicaciónConfigure las políticas de replicación para ejecutarse de acuerdo con los ajustes depolíticas de replicación.

Policy name

El nombre de la política.

Descripción

Describe la política. Por ejemplo, la descripción podría incluir la finalidad o lafunción de la política.

Activado

Determina si la política está habilitada.

Acción

Determina la forma en que la política replica los datos. Todas las políticas copianarchivos del directorio de origen al directorio de destino y actualizan los archivosen este último para hacerlos coincidir con los del directorio de origen. La accióndetermina la manera en que un archivo del directorio de origen afecta al dedestino. Los siguientes valores son válidos:

Copiar

Si se elimina un archivo del directorio de origen, el archivo no se elimina deldirectorio de destino.

Synchronize

Elimina archivos del directorio de destino si ya no se encuentran en eldirectorio de origen. Esto garantiza que una réplica exacta del directorio deorigen se mantenga en el clúster de destino.

Run job

Determina si los trabajos se ejecutan automáticamente de acuerdo con uncalendario o solamente cuando el usuario los ejecuta manualmente.



Last Successful Run

Muestra la última vez que un trabajo de replicación de la política se completócorrectamente.

Último inicio

Muestra la última vez que se ejecutó la política.

Source Root Directory

La ruta completa del directorio de origen. Los datos se replican del directorio deorigen al directorio de destino.

Included Directories

Determina qué directorios se incluyen en la replicación. Si en este ajuste seespecifican uno o más directorios, no se replicará ningún directorio que no estéespecificado.

Excluded Directories

Determina qué directorios se excluyen de la replicación. No se replica ningúndirectorio especificado en este ajuste.

File Matching Criteria

Determina qué archivos se excluyen de la replicación. No se replicará ningúnarchivo que no coincida con los criterios especificados.

Restrict Source Nodes

Determina si la política se puede ejecutar en todos los nodos del clúster de origeno solo en los nodos específicos.

Target Host

La dirección IP o el nombre de dominio calificado del clúster de destino.

Target Directory

La ruta completa del directorio de destino. Los datos se replican en el directoriode destino desde el directorio de origen.

Restrict Target Nodes

Determina si la política se puede conectar con todos los nodos del clúster dedestino o solo con nodos específicos.

Capture Snapshots

Determina si los snapshots de archiving se generan en el clúster de destino.

Snapshot Alias Name

Especifica un alias para el último snapshot de archiving tomado en el clústerobjetivo.

Snapshot Naming Pattern

Especifica la forma en que los snapshots de archiving se nombran en el clúster dedestino.

Snapshot Expiration

Especifica el período de conservación de los snapshots de archiving en el clústerde destino antes de que el sistema los elimine automáticamente.


Configuración de políticas de replicación 349

Workers Threads Per Node

Especifica el número de trabajadores por nodo que se genera mediante OneFSpara realizar cada trabajo de replicación de la política.

Log Level

Especifica la cantidad de información que se registra para los trabajos dereplicación.Las opciones más detalladas incluyen toda la información de las opciones menosdetalladas. La siguiente lista describe los niveles de registro de menor a mayordetalle:

l Grave

l Error

l Aviso

l Información

l Copiar

l Depurar

l Seguimiento

Los registros de replicación suelen usarse para fines de depuración. Si esnecesario, puede iniciar sesión en un nodo a través de la interfaz de la línea decomandos y ver el contenido del archivo /var/log/isi_migrate.log en elnodo.

Nota

Notice es el nivel de registro recomendado.

Validate File Integrity

Determina si OneFS realiza una suma de verificación en cada paquete de datos enarchivos que se ve afectado por un trabajo de replicación. Si un valor de la sumade verificación no coincide, OneFS retransmite el paquete de datos en archivosafectado.

Keep Reports For

Especifica el período de conservación de los informes de replicación antes de queOneFS los elimine automáticamente.

Log Deletions on Synchronization

Determina si OneFS registra cuándo un trabajo de sincronización elimina archivoso directorios en el clúster de destino.

Los siguientes campos de política de replicación están disponibles solamente a travésde la interfaz de la línea de comandos de OneFS.

Source Subnet

Especifica si los trabajos de replicación se conectan con cualquier nodo del clústero si los trabajos pueden conectarse solamente con nodos en una subredespecificada.

Source Pool

Especifica si los trabajos de replicación se conectan con cualquier nodo del clústero si los trabajos pueden conectarse solamente con nodos en un pool especificado.



Password Set

Especifica una contraseña para acceder al clúster de destino.

Report Max Count

Especifica el número máximo de informes de replicación que se conservan paraesta política.

Target Compare Initial Sync

Determina si se llevan a cabo replicaciones completas o diferenciales para estapolítica. Las replicaciones completas o diferenciales se realizan la primera vez quese ejecuta una política o después de restablecer una política.

Source Snapshot Archive

Determina si los snapshots generados para la política de replicación en el clústerde origen se eliminan al ejecutar la siguiente política de replicación. Para lahabilitación de snapshots de origen de archiving no es necesario que habilite lalicencia de SnapshotIQ en el clúster.

Source Snapshot Pattern

Si los snapshots generados para la política de replicación en el clúster de origen seconservan, se cambia el nombre de los snapshots de acuerdo con el patrón denombres especificado.

Source Snapshot Expiration

Si los snapshots generados para la política de replicación en el clúster de origen seconservan, se especifica un período de vencimiento para los snapshots.

Restrict Target Network

Determina si los trabajos de replicación se conectan solamente con los nodos enuna zona SmartConnect determinada. Este ajuste se aplica solamente si el host dedestino se especifica como zona SmartConnect.

Target Detect Modifications

Determina si SyncIQ comprueba el directorio de destino en busca demodificaciones antes de replicar archivos. De forma predeterminada, SyncIQsiempre comprueba si hay modificaciones.

Nota

Si deshabilita esta opción, se podrían perder datos. Se recomienda consultar alsoporte técnico de Isilon antes de deshabilitar esta opción.

Resolve

Determina si puede resolver manualmente la política si un trabajo de replicaciónencuentra un error.

Administración de replicación en el clúster localPuede interrumpir trabajos de replicación destinados al clúster local.

Puede cancelar un trabajo en ejecución destinado al clúster local o puede cancelar laasociación entre una política y su destino especificado. Cancelar la asociación entre unclúster de origen y otro de destino hace que SyncIQ realice una replicación completa lapróxima vez que se ejecuta la política.


Administración de replicación en el clúster local 351

Cancelar la replicación en el clúster localPuede cancelar un trabajo de replicación destinado a los clústeres locales.

Procedimiento


2. En la tabla SyncIQ Local Targets, especifique si desea cancelar una tarea dereplicación específica o todas las tareas de replicación que tienen como destinoel clúster local.

l Para cancelar una tarea específica, seleccione Cancel Running Job en la filacorrespondiente a una tarea de replicación.

l Para cancelar todas las tareas que tienen como destino el clúster local,seleccione la casilla de verificación que aparece a la izquierda de PolicyName y seleccione Cancel Selection en la lista Select a bulk action.

Cancelar la asociación de destino localPuede cancelar la asociación entre una política de replicación y el clúster local. Laruptura de la asociación de destino permite realizar operaciones de escritura en eldirectorio objetivo, pero también requiere que se restablezca la política de replicaciónantes de poder ejecutar la política nuevamente.

PRECAUCIÓN

Después de restablecer la política de replicación, SyncIQ realiza una replicacióncompleta o diferencial la próxima vez que se ejecuta esa política. Según lacantidad de datos que se replican, una replicación completa o diferencial puedetardar mucho tiempo.

Procedimiento


2. En la fila correspondiente a una política de replicación de la tabla SyncIQ LocalTargets, seleccione Break Association.

3. En el cuadro de diálogo Confirm, haga clic en Yes.

Ver las políticas de replicación destinadas al clúster localEs posible ver información sobre las políticas de replicación que replican actualmentedatos en el clúster local.

Procedimiento


2. En la tabla SyncIQ Local Targets, revise la información acerca de las políticasde replicación.

Información sobre la política de replicación remotaPuede ver información acerca de las políticas de replicación que se aplican en estemomento al clúster local.

La siguiente información se muestra en la tabla SyncIQ Local Targets:

ID

El ID de la política de replicación.




El nombre de la política de replicación.

Host de origen

El nombre del clúster de origen.

Source Cluster GUID

El GUID del clúster de origen.

Coordinator IP

La dirección IP del nodo del clúster de origen que actúa como coordinador deltrabajo.

Fragmento C

La hora a la que los datos sobre la política o el trabajo se recopilaron por últimavez desde el clúster de origen.

Target Path

La ruta del directorio de destino en el clúster de destino.

Status

El estado actual del trabajo de replicación

Acciones

Muestra cualquier acción relacionada con la tarea que pueda realizar el usuario.

Administración de reglas de rendimiento de la replicaciónPuede administrar el impacto de la replicación en el rendimiento del clúster mediante lacreación de reglas que limiten el tráfico de red creado y la velocidad a la que se envíanarchivos mediante los trabajos de replicación.

Crear una regla nueva o de pruebaPuede crear una regla de tráfico de red que limite la cantidad de tráfico de red que sepermite generar a las políticas de replicación durante un período especificado.

Procedimiento

1. Haga clic en Data Protection > SyncIQ > Performance Rules.

2. Haga clic en Create a SyncIQ Performance Rule.

3. En la lista Rule Type, seleccione Bandwidth.

4. En el campo Limit, especifique la cantidad máxima de kilobites por segundo quese permitirá que envíen las políticas de replicación.

5. En el área Schedule, especifique la hora y los días de la semana en los quedesea que se aplique la regla.

6. Haga clic en Create Performance Rule.

Crear una regla para las operaciones de archivosPuede crear una regla para las operaciones de archivos que limite la cantidad dearchivos que los trabajos de replicación pueden enviar por segundo.


Administración de reglas de rendimiento de la replicación 353

Procedimiento


2. Haga clic en Create a SyncIQ Performance Rule.

3. En la lista Rule Type, seleccione Bandwidth.

4. En el campo Limit, especifique la cantidad máxima de archivos por segundo quese permitirá que envíen las políticas de replicación.

5. En el área Schedule, especifique la hora y los días de la semana en los quedesea que se aplique la regla.

6. Haga clic en Create Performance Rule.

Modificar una regla de rendimientoPuede modificar una regla de rendimiento.

Procedimiento


2. En la tabla SyncIQ Performance Rules, en la fila correspondiente a la regla quedesea modificar, haga clic en View/Edit.

3. Haga clic en Edit Performance Rule.

4. Modifique los ajustes de las reglas y haga clic en Save Changes.

Eliminar una regla de rendimientoPuede eliminar una regla de rendimiento.

Procedimiento


2. En la tabla SyncIQ Performance Rules, en la fila correspondiente a la regla quedesea eliminar, seleccione Delete Rule.


Habilitar o deshabilitar una regla de rendimientoPuede deshabilitar una regla de rendimiento para evitar su aplicación temporalmente.También puede habilitar una regla de rendimiento después de su deshabilitación.

Procedimiento


2. En la tabla SyncIQ Performance Rules, en la fila de la regla que desea habilitaro deshabilitar, seleccione Enable Rule o Disable Rule.

Ver las reglas de rendimientoEs posible ver información acerca de las reglas de rendimiento de replicación.

Procedimiento


2. En la tabla SyncIQ Performance Rules, revise la información acerca de lasreglas de rendimiento.



Administración de informes de replicaciónAdemás de ver los informes de replicación, puede configurar el tiempo durante el cualse conservan los informes en el clúster. También puede eliminar cualquier informe quehaya sobrepasado el período de vencimiento.

Configurar ajustes predeterminados de informes de replicaciónPuede configurar la cantidad predeterminada de tiempo durante el cual SyncIQconserva informes de replicación. También puede configurar la cantidad máxima deinformes que SyncIQ conserva para cada política de replicación.

Procedimiento

1. Haga clic en Data Protection > SyncIQ > Settings.

2. En el área Report Settings, dentro del área Keep Reports For, especifiquecuánto tiempo desea que se conserven los informes de replicación.

Una vez transcurrido el período de vencimiento especificado para un informe,SyncIQ lo elimina en forma automática.

Algunas unidades de tiempo se muestran en forma diferente cuando se visualizaun informe en comparación con la manera en las que se ingresaronoriginalmente. Si ingresa una cantidad de días igual a un valor correspondienteen semanas, meses o años, se mostrará la unidad de tiempo más grande. Porejemplo, si ingresa un valor de 7 días, aparecerá 1 semana en el informe despuésde su creación. Este cambio ocurre porque SyncIQ registra internamente lostiempos de retención de informes en segundos y después los convierte en días,semanas, meses o años para mostrarlos.

3. En el campo Number of Reports to Keep Per Policy, ingrese la cantidadmáxima de informes que desea conservar simultáneamente para una política dereplicación.


Eliminar informes de replicaciónSyncIQ elimina los informes de replicación de manera rutinaria una vez expirados.SyncIQ también elimina informes cuando se excede la cantidad límite de informesespecificada. SyncIQ elimina periódicamente los informes sobrantes; sin embargo,puede eliminar manualmente todos los informes de replicación sobrantes en cualquiermomento. Este procedimiento está disponible solo a través de la interfaz de la línea decomandos (CLI).

Procedimiento


2. Elimine los informes de replicación sobrantes por medio del siguiente comando:

isi sync reports rotate

Ver todos los informesPuede ver informes y subinformes de replicación.


Administración de informes de replicación 355

Procedimiento

1. Haga clic en Data Protection > SyncIQ > Reports.

2. En la fila correspondiente a un informe de la tabla SyncIQ Reports, haga clic enView Details.

Si el informe está compuesto de subinformes, aparecerá como una carpeta. Lossubinformes aparecen como archivos dentro de las carpetas de un informe.

Información de los informes de replicaciónPuede ver información sobre los trabajos de replicación mediante la tabla Reports.


El nombre de la política asociada para el trabajo. Puede ver o editar laconfiguración de la política con un clic en el nombre de la política.

Status

Muestra el estado del trabajo. Una tarea puede tener los siguientes estados:

Running

La tarea se está ejecutando actualmente sin errores.

En pausa

La tarea fue puesta en pausa temporalmente.

Completado

El trabajo se completó correctamente.

Falla

El trabajo no se pudo completar.

Started

Indica cuándo se inició el trabajo.

Listo

Indica cuándo finalizó el trabajo.

Duración

Indica la cantidad de tiempo que se requirió para completar el trabajo.

Transferred

La cantidad total de archivos que se transfirieron durante la ejecución del trabajoy el tamaño total de todos los archivos transferidos. Para las políticas evaluadas,aparece Assessment.

Source Directory


Target Host

La dirección IP o el nombre de dominio calificado del clúster de destino.

Acción

Muestra cualquier acción relacionada con el informe que se pueda realizar.



Administración de trabajos de replicación fallidosSi un trabajo de replicación falla debido a un error, SyncIQ podría deshabilitar lapolítica de replicación correspondiente. Por ejemplo, SyncIQ podría deshabilitar unapolítica de replicación si se modifica la IP o el nombre de host del clúster de destino. Sise deshabilita una política de replicación, esta no se podrá ejecutar.

Para reanudar la replicación de una política deshabilitada, debe reparar el error quedeshabilitó la política o restablecer la política de replicación. Se recomienda queintente reparar el problema, en lugar de restablecer la política. Si piensa que hacorregido el error, puede hacer que la política de replicación regrese a un estadohabilitado mediante su resolución. Luego, puede volver a ejecutar la política paracomprobar si se reparó el problema. Si no consigue reparar el problema, puederestablecer la política de replicación. Sin embargo, el restablecimiento de la políticaprovoca una replicación completa o diferencial la próxima vez que se ejecuta.

Nota

Según la cantidad de datos que se sincronizan o se copian, la replicación completa y ladiferencial podrían tardar mucho tiempo.

Configuración de la política de replicaciónSi SyncIQ deshabilita una política de replicación debido a un error de replicación y secorrige el problema que causó el error, es posible resolver la política de replicación.Resolver una política de replicación le permite ejecutar la política nuevamente. Si nopuede resolver el problema que ocasionó el error, puede restablecer la política dereplicación.

Procedimiento


2. Seleccione Resolve en la fila correspondiente a una política de la tabla Policies.

Restablecer una política de replicaciónSi en un trabajo de replicación se encuentra un error que no se puede resolver, puederestablecer la política de replicación correspondiente. El restablecimiento de unapolítica hace que OneFS realice una replicación completa o diferencial en la siguienteejecución de la política. Restablecer una política de replicación elimina el últimosnapshot generado para la política en el clúster de origen.

PRECAUCIÓN

Según la cantidad de datos que se repliquen, la realización de una replicacióncompleta o diferencial puede llevar un tiempo muy prolongado. Restablezca unapolítica de replicación solo si no puede corregir el problema que causó el error enla replicación. Si corrige el problema que causó el error, resuelva la política enlugar de restablecerla.

Procedimiento


2. En la fila correspondiente a una política de la tabla SyncIQ Policies, seleccioneReset Sync State.


Administración de trabajos de replicación fallidos 357

Realizar una replicación completa o diferencialDespués de restablecer una política de replicación, se debe realizar una replicacióncompleta o diferencial. Esto solo puede hacerse desde la CLI.

Antes de comenzar

Restablecer una política de replicación.Procedimiento

1. Abra una conexión Secure Shell (SSH) a cualquier nodo del clúster e iniciesesión a través de la cuenta raíz o la cuenta de administrador de cumplimientode normas.

2. Especifique el tipo de replicación que desea realizar ejecutando el comando isisync policies modify.

l Para realizar una replicación completa, deshabilite la opción --target-compare-initial-sync.Por ejemplo, el siguiente comando deshabilita la sincronización diferencialpara newPolicy:

isi sync policies modify newPolicy \--target-compare-initial-sync off

l Para realizar una replicación diferencial, habilite la opción --target-compare-initial-sync.Por ejemplo, el siguiente comando habilita la sincronización diferencial paranewPolicy:

isi sync policies modify newPolicy \--target-compare-initial-sync on

3. Ejecute la política mediante la ejecución del comando isi sync jobsstart.

Por ejemplo, el siguiente comando ejecuta newPolicy:

isi sync jobs start newPolicy



CAPÍTULO 16

Disposición de datos con FlexProtect


l Descripción general de la FlexProtect.............................................................. 360l Fraccionado de archivos.................................................................................. 360l « Protección de datos..................................................................................... 360l Recuperación de datos de FlexProtect............................................................. 361l Solicitar protección de datos............................................................................362l Configuración de la protección requerida......................................................... 363l Uso del espacio en disco para la protección requerida......................................364

Disposición de datos con FlexProtect 359

Descripción general de la FlexProtectUn clúster Isilon está diseñado para suministrar datos continuamente, incluso cuandouno o varios componentes fallan a la vez. OneFS garantiza la disponibilidad de losdatos mediante el fraccionado o el espejeado en todo el clúster. Si un componente delclúster falla, los datos almacenados en el componente fallido están disponibles en otrocomponente. Después de la falla de un componente, el sistema FlexProtect depropiedad restaura los datos perdidos en componentes que funcionen correctamente.

La protección de datos se especifica en el nivel de archivos, no de bloques, lo quepermite que el sistema recupere los datos rápidamente. Puesto que todos los datos,metadatos e información de paridad se distribuyen en todos los nodos, el clúster norequiere una unidad o nodo de paridad exclusivos. Esto garantiza que ningún nodolimite la velocidad del proceso de reconstrucción.

Fraccionado de archivosOneFS utiliza la red interna de un clúster Isilon para distribuir datos automáticamenteentre los nodos individuales y los discos del clúster. OneFS protege los archivosmientras se escriben los datos. No se necesita realizar otra operación para protegerlos datos.

Antes de escribir los archivos en el almacenamiento, OneFS segmenta los archivos enfragmentos lógicos más pequeños denominados fracciones. El tamaño de cadafragmento de archivo se conoce como el tamaño de unidad de fracción. Cada bloquede OneFS se compone de 8 kB, y la unidad de fracción cuenta con 16 bloques, lo quesuma un total de 128 kB por unidad de fracción. Durante una operación de escritura,OneFS segmenta los datos en fracciones y los coloca lógicamente en una unidad defracción. A medida que OneFS escribe los datos en el clúster, OneFS rellena la unidadde fracción y protege los datos según la cantidad de nodos en los que se puedeescribir y la política de protección especificada.

OneFS puede reasignar datos continuamente y hacer que el espacio dealmacenamiento sea más útil y eficaz. A medida que aumenta el tamaño del clúster,OneFS almacena grandes archivos con mayor eficiencia.

Para proteger los archivos de 128 kb o menos, OneFS no los segmenta en fragmentoslógicos más pequeños. En lugar de ello, utiliza espejeado con corrección de erroreshacia adelante (FEC). Con el espejeado, OneFS crea copias de los datos de cadaarchivo pequeño (N), agrega un fragmento de paridad FEC (M) y distribuye variasinstancias de la unidad de protección completa (N + M) en el clúster.

« Protección de datosLa protección de datos requerida determina la cantidad de datos redundantes creadosen el clúster para garantizar que los datos estén protegidos contra fallas en loscomponentes. Con OneFS, podrá modificar la protección requerida en tiempo realmientras los clientes leen y escriben datos en el clúster.

OneFS proporciona varias configuraciones de protección de datos. Puede modificaresta configuración de datos en cualquier momento sin reiniciar ni desconectar elclúster o el sistema de archivos. Cuando planee su solución de almacenamiento, tengaen cuenta que si aumenta la protección requerida, se reduce el rendimiento deescritura y se necesita espacio de almacenamiento adicional para admitir una cantidadde nodos mayor.



OneFS usa el algoritmo Reed Solomon para la protección N+M. En el modelo deprotección de datos N+M, N representa la cantidad de unidades de fracción de datos yM representa la cantidad de fallas de nodos o de unidades simultáneas (o unacombinación de fallas de unidades y de nodos) que el clúster puede resistir sin que sepierdan datos. N debe ser mayor que M.

Además de la protección de datos N+M, OneFS también es compatible con elespejeado de datos de dos a ocho veces, el cual permite entre dos y ocho espejeadosde datos. En cuanto al rendimiento del clúster y al uso de recursos generales, laprotección N+M es a menudo más eficaz que el espejeado. Sin embargo, puesto que elrendimiento de lectura y escritura se reduce para la protección N+M, el espejeado dedatos puede ser más rápido con datos que se actualizan con frecuencia y que ocupanpoco espacio. El espejeado de datos requiere una sobrecarga significativa y es posibleque no siempre sea el mejor método de protección de datos. Por ejemplo, si habilita elespejeado de tres veces, el contenido especificado se duplica tres veces en el clúster;según la cantidad de contenido en espejo, este puede utilizar una cantidad importantede espacio de almacenamiento.

Recuperación de datos de FlexProtectOneFS utiliza el sistema de propiedad FlexProtect para detectar y reparar archivos ydirectorios que se encuentran en un estado degradado debido a fallas de unidad o denodos.

OneFS protege los datos en el clúster según la política de protección configurada.OneFS reconstruye discos fallidos, utiliza espacio libre de almacenamiento en todo elclúster para prevenir aún más la pérdida de datos, monitorea los datos y migra a otrositio los datos en componentes que corren riesgos.

OneFS distribuye todos los datos y la información de corrección de errores en todo elclúster y garantiza que todos los datos permanezcan intactos y accesibles, incluso encaso de que se produzcan fallas de componentes simultáneas. En condicionesnormales de funcionamiento, todos los datos en el clúster están protegidos contra unao más fallas de un nodo o unidad. Sin embargo, si falla un nodo o una unidad, seconsidera que el estado de protección del clúster está degradado hasta que OneFSvuelva a proteger los datos. OneFS vuelve a proteger los datos mediante lareconstrucción de datos en el espacio libre del clúster. Mientras el estado deprotección se encuentra en estado degradado, los datos son más vulnerables a lapérdida de datos.

Puesto que los datos se reconstruyen en el espacio libre del clúster, este no requiereuna unidad o nodo de hot-spare exclusivo a fin de recuperarse después de una falla enun componente. Debido a que se requiere una cierta cantidad de espacio libre parareconstruir datos, se recomienda reservar el espacio libre adecuado mediante lafunción de hot spare virtual.

A medida que agrega más nodos, el clúster obtiene más CPU, memoria y discos parautilizar durante las operaciones de recuperación. Cuando un clúster se agranda, lasoperaciones de refraccionado de datos se agilizan.

SmartFailOneFS protege los datos almacenados en unidades o nodos fallidos gracias al procesode SmartFail.

Durante este proceso, OneFS pone un dispositivo en cuarentena. Los datosalmacenados en dispositivos en cuarentena son de solo lectura. Mientras undispositivo se encuentra en cuarentena, OneFS distribuye los datos en el dispositivo a


Recuperación de datos de FlexProtect 361

otros dispositivos para reforzar su protección. Una vez completada la migración detodos los datos, OneFS elimina lógicamente el dispositivo del clúster, el clúster cambialógicamente su ancho según la nueva configuración y el nodo o unidad se puedenreemplazar físicamente.

Únicamente como último recurso, OneFS ejecuta un SmartFail en los dispositivos. Sibien puede ejecutar un SmartFail en los nodos y unidades de forma manual, serecomienda consultar primero con el soporte técnico de Isilon.

En ocasiones, un dispositivo puede fallar antes de que OneFS detecte un problema. Siuna unidad falla sin haber recibido un SmartFail, OneFS automáticamente inicia lareconstrucción de los datos en el espacio libre del clúster. Sin embargo, si un nodofalla, OneFS no inicia la reconstrucción de los datos a menos que el nodo se eliminelógicamente del clúster. Esto se debe a que un nodo puede recuperarse de una falla.

Fallas de nodoPuesto que la pérdida de un nodo es, por lo general, un problema temporal, OneFS noinicia automáticamente un refuerzo en la protección de datos cuando un nodo falla ose desconecta. Si un nodo se reinicia, no es necesario reconstruir el sistema dearchivos, ya que permanece intacto durante la falla temporal.

Si configura la protección de datos N+1 en un clúster y falla un nodo, aún se puedeacceder a todos los datos desde cualquier otro nodo del clúster. Si el nodo vuelve aconectarse, se une nuevamente al clúster de forma automática sin requerir unareconstrucción total.

Para garantizar que los datos permanezcan protegidos, si elimina físicamente un nododel clúster, debe eliminarlo también lógicamente. Después de eliminarlo lógicamente, elnodo automáticamente vuelve a formatear sus propias unidades y se restablece a símismo con la configuración predeterminada de fábrica. El restablecimiento ocurresolamente después de que OneFS haya confirmado que todos los datos cuenten conun refuerzo en la protección. Puede eliminar un nodo lógicamente mediante el procesode SmartFail. Es importante que le realice un SmartFail a los nodos únicamente cuandodesee eliminar un nodo de forma permanente del clúster.

Si elimina un nodo fallido antes de agregar uno nuevo, los datos almacenados en elnodo fallido se deben reconstruir en el espacio libre del clúster. Una vez agregado elnuevo nodo, OneFS distribuye los datos al nuevo nodo. Es más eficaz agregar un nodode reemplazo al clúster antes de que falle el nodo antiguo, ya que OneFS podrá utilizarinmediatamente el nodo de reemplazo para reconstruir los datos almacenados en elnodo fallido.

Solicitar protección de datosPara especificar la protección de un archivo o directorio, debe configurar la protecciónrequerida. Esta flexibilidad le permite proteger distintos conjuntos de datos en nivelessuperiores a los predeterminados.

OneFS calcula la protección de datos solicitada y la establece automáticamente en lospools de almacenamiento dentro de su clúster. La configuración predeterminada seconoce como "protección sugerida" y proporciona el equilibrio óptimo entreprotección de datos y eficiencia del almacenamiento. Por ejemplo, una protecciónsugerida de N+2:1 significa que pueden fallar dos unidades o un nodo sin causar lapérdida de datos.

Para obtener mejores resultados, se recomienda aceptar, como mínimo, la protecciónsugerida de datos en su clúster. Siempre puede especificar un nivel de protección



mayor que la protección sugerida en los directorios, pools de nodos o archivosimprescindibles.

Con OneFS, puede solicitar una protección que el clúster no pueda igualar en esemomento. Si solicita una protección inigualable, el clúster seguirá intentando igualar laprotección solicitada hasta que consiga un equivalente. Por ejemplo, en un clúster decuatro nodos, puede solicitar una protección en espejo de cinco veces. En esteejemplo, OneFS espejearía los datos cuatro veces hasta que se agregue un quintonodo al clúster y, en ese punto, OneFS volvería a aplicar una protección de cincoveces.

Si configura la protección solicitada a un nivel inferior a la protección sugerida, OneFSle advertirá al respecto.

Nota

Para los nodos de la serie NL y la serie X Isilon IQ 4U, y las plataformas de combinaciónIQ 12000X/EX 12000, el tamaño de clúster mínimo de tres nodos requiere unaprotección mínima de N+2:1.

Configuración de la protección requeridaLa configuración de la protección requerida determina el nivel de falla de hardware delque se puede recuperar un clúster sin incurrir en la pérdida de datos.

Configuración de laprotección requerida

Cantidad mínima denodos requeridos

Definición

[+1n] 3 El clúster puede recuperarse de unafalla de nodo o de unidad sin incurriren la pérdida de datos.

[+2d:1n] 3 El clúster se puede recuperar dedos fallas de unidad simultáneas ouna falla de nodo sin incurrir en lapérdida de datos.

[+2n] 4 El clúster se puede recuperar dedos fallas de unidad o de nodosimultáneas sin incurrir en lapérdida de datos.

[+3d:1n] 3 El clúster puede recuperarse de tresfallas de unidad simultáneas o unafalla de nodo sin incurrir en lapérdida de datos.

[+3d:1n1d] 3 El clúster puede recuperarse de tresfallas de unidad simultáneas o fallassimultáneas de un nodo y unaunidad sin incurrir en la pérdida dedatos.

[+3n] 6 El clúster se puede recuperar detres fallas de nodo o de unidadsimultáneas sin incurrir en lapérdida de datos.


Configuración de la protección requerida 363

Configuración de laprotección requerida

Cantidad mínima denodos requeridos

Definición

[+4d:1n] 3 El clúster puede recuperarse decuatro fallas de unidad simultáneaso una falla de nodo sin incurrir en lapérdida de datos.

[+4d:2n] 4 El clúster se puede recuperar decuatro fallas de unidad o dos fallasde nodo simultáneas sin incurrir enla pérdida de datos.

[+4n] 8 El clúster se puede recuperar decuatro fallas de nodo o de unidadsimultáneas sin incurrir en lapérdida de datos.

Nx (espejeado de datos) NPor ejemplo, 5x requiereun mínimo de cinconodos.

El clúster puede recuperarse defallas de unidad o nodo N-1 sinincurrir en un pérdida de datos. Porejemplo, la protección 5x implicaque el clúster puede recuperarse decuatro fallas de unidad o nodo.

Uso del espacio en disco para la protección requeridaSi aumenta la protección de datos requerida, también aumenta la cantidad de espacioutilizado por los datos en el clúster.

La sobrecarga de paridad para la protección N + M depende del tamaño del archivo yde la cantidad de nodos en el clúster. El porcentaje de sobrecarga de paridaddisminuye a medida que se agranda el clúster.

En la siguiente tabla se describe la cantidad estimada de sobrecarga, según laprotección requerida y el tamaño del clúster o el pool de nodos. Esta tabla no muestralos niveles de protección recomendados basados en el tamaño del clúster.

Cantidadde nodos

[+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]

3 2 + 1(33 %)

4 + 2(33 %)

— 6 + 3(33 %)

3 + 3 (50 %) — 8 + 4(33 %)

— —

4 3 + 1(25 %)

6 + 2(25 %)

2 + 2(50 %)

9 + 3(25 %)

5 + 3 (38 %) — 12 + 4(25 %)

4 + 4(50 %)

—

5 4 + 1(20 %)

8 + 2(20 %)

3 + 2(40 %)

12 + 3(20 %)

7 + 3 (30 %) — 16 + 4(20 %)

6 + 4(40 %)

—

6 5 + 1(17 %)

10 + 2(17 %)

4 + 2(33 %)

15 + 3(17 %)

9 + 3 (25 %) 3 + 3(50 %)

16 + 4(20 %)

8 + 4(33 %)

—

7 6 + 1(14 %)

12 + 2(14 %)

5 + 2(29 %)

15 + 3(17 %)

11 + 3 (21 %) 4 + 3(43 %)

16 + 4(20 %)

10 + 4(29 %)

—

8 7 + 1(13 %)

14 + 2(12.5 %)

6 + 2(25 %)

15 + 3(17 %)

13 + 3 (19 %) 5 + 3(38 %)

16 + 4(20 %)

12 + 4(25 %)

4 + 4(50 %)



Cantidadde nodos

[+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]

9 8 + 1(11 %)

16 + 2(11 %)

7 + 2(22 %)

15 + 3(17 %)

15 + 3 (17 %) 6 + 3(33 %)

16 + 4(20 %)

14 + 4(22 %)

5 + 4(44 %)

10 9 + 1(10 %)

16 + 2(11 %)

8 + 2(20 %)

15 + 3(17 %)

15 + 3 (17 %) 7 + 3(30 %)

16 + 4(20 %)

16 + 4(20 %)

6 + 4(40 %)

12 11 + 1(8 %)

16 + 2(11 %)

10 + 2(17 %)

15 + 3(17 %)

15 + 3 (17 %) 9 + 3(25 %)

16 + 4(20 %)

16 + 4(20 %)

8 + 4(33 %)

14 13 + 1(7 %)

16 + 2(11 %)

12 + 2(14 %)

15 + 3(17 %)

15 + 3 (17 %) 11 + 3(21 %)

16 + 4(20 %)

16 + 4(20 %)

10 + 4(29 %)

16 15 + 1(6 %)

16 + 2(11 %)

14 + 2(13 %)

15 + 3(17 %)

15 + 3 (17 %) 13 + 3(19 %)

16 + 4(20 %)

16 + 4(20 %)

12 + 4(25 %)

18 16 + 1(6 %)

16 + 2(11 %)

16 + 2(11 %)

15 + 3(17 %)

15 + 3 (17 %) 15 + 3(17 %)

16 + 4(20 %)

16 + 4(20 %)

14 + 4(22 %)

20 16 + 1(6 %)

16 + 2(11 %)

16 + 2(11 %)

16 + 3(16 %)

16 + 3 (16 %) 16 + 3(16 %)

16 + 4(20 %)

16 + 4(20 %)

16 + 4(20 %)

30 16 + 1(6 %)

16 + 2(11 %)

16 + 2(11 %)

16 + 3(16 %)

16 + 3 (16 %) 16 + 3(16 %)

16 + 4(20 %)

16 + 4(20 %)

16 + 4(20 %)

La sobrecarga de paridad para la protección de datos en espejo no se ve afectada porla cantidad de nodos en el clúster. La siguiente tabla describe la sobrecarga de paridadpara la protección en espejo solicitada.

2 veces 3 veces 4 veces 5 veces 6 veces 7 veces 8 veces

50 % 67 % 75 % 80 % 83 % 86 % 88 %


Uso del espacio en disco para la protección requerida 365

CAPÍTULO 17

Descripción general de la recuperación y delrespaldo de tipo NDMP


l Descripción general de respaldo y restauración de NDMP............................... 368l Respaldo de tipo NDMP bidireccional.............................................................. 368l Respaldo de tipo NDMP de tres vías................................................................ 369l Configuración de direcciones IP recomendadas para las operaciones de tipo

NDMP de tres vías........................................................................................... 369l Recuperación y respaldo multi-stream de tipo NDMP...................................... 369l Respaldos incrementales basados en snapshots...............................................370l Compatibilidad con protocolo NDMP................................................................ 371l DMA compatibles..............................................................................................371l Compatibilidad con hardware NDMP................................................................372l Limitaciones de respaldo de NDMP.................................................................. 372l Recomendaciones de rendimiento de NDMP....................................................372l Exclusión de archivos y directorios de respaldos de tipo NDMP....................... 374l Configuración de los ajustes básicos de respaldo de tipo NDMP...................... 375l Administración de cuentas de usuario de NDMP...............................................377l Descripción general de las variables de ambiente NDMP..................................378l Administración de contextos NDMP................................................................ 390l Administrar sesiones NDMP............................................................................. 391l Administración de puertos Fibre Channel NDMP..............................................394l Administración de configuraciones de IP recomendadas NDMP.......................396l Administración de dispositivos de respaldo de tipo NDMP............................... 398l Descripción general de los archivos dumpdate de NDMP................................. 401l Operaciones de restauración de NDMP............................................................402l Uso compartido de unidades de cinta entre clústeres...................................... 403l Administración de respaldos incrementales basados en snapshots...................403

Descripción general de la recuperación y del respaldo de tipo NDMP 367

Descripción general de respaldo y restauración de NDMPEn OneFS, puede respaldar y restaurar datos del sistema de archivos a través delprotocolo de administración de datos de red (NDMP). Desde un servidor de respaldo,puede dirigir los procesos de respaldo y restauración entre un clúster EMC Isilon y losdispositivos de respaldo, como dispositivos de cinta, servidores de medios ybibliotecas de cintas virtuales (VTL).

A continuación, se describen algunas de las funciones de NDMP:

l NDMP admite modelos de respaldo bidireccionales y de tres vías.

l Con ciertas aplicaciones de administración de datos, NDMP es compatible con laextensión reiniciable de respaldo (BRE). La BRE de NDMP permite reanudar untrabajo de respaldo fallido desde el último punto de control que se capturó antesde que se produjera la falla. El trabajo fallido se reinicia inmediatamente y no sepuede programar ni iniciar manualmente.

l No necesita activar una licencia de SnapshotIQ en el clúster para realizar respaldosde tipo NDMP. Si activó una licencia de SnapshotIQ en el clúster, puede generarun snapshot a través de la herramienta SnapshotIQ y luego respaldar el mismosnapshot. Si respalda un snapshot SnapshotIQ, OneFS no crea otro snapshot parael respaldo.

l Los dominios WORM se pueden respaldar por medio de NDMP.

Recuperación y respaldo de tipo NDMP de IsilonSD EdgeIsilonSD Edge es compatible solamente con el modelo de respaldo de tipo NDMP detres vías. Los respaldos de tipo NDMP bidireccionales requieren un nodo acelerador derespaldo en el clúster IsilonSD que no es compatible.

Respaldo de tipo NDMP bidireccionalEl respaldo de tipo NDMP bidireccional también se conoce como el respaldo de tipoNDMP local o directo. Para realizar respaldos de tipo NDMP bidireccionales, debeconectar su clúster EMC Isilon a un nodo acelerador de respaldo y conectar undispositivo de cinta con el nodo acelerador de respaldo. A continuación, debe utilizarOneFS para detectar el dispositivo de cinta antes de poder realizar respaldos en esedispositivo.

Puede conectar dispositivos de cinta compatibles directamente con los puertos FibreChannel de un nodo de Backup Accelerator. De forma alternativa, puede conectarswitches Fibre Channel con los puertos Fibre Channel del nodo del acelerador derespaldo y conectar dispositivos de cinta y cambiador de medios con los switchesFibre Channel. Para obtener más información, consulte la documentación de su switchFibre Channel sobre la zonificación del switch para permitir la comunicación entre elnodo del acelerador de respaldo y los dispositivos de cinta y cargador de medios.

Si conecta dispositivos de cinta con un nodo del acelerador de respaldo, el clústerdetecta los dispositivos al iniciar o reiniciar el nodo o cuando vuelve a escanear lospuertos Fibre Channel para descubrir los dispositivos. Si un clúster detectadispositivos de cinta, este crea una entrada para la ruta a cada dispositivo detectado.

Si conecta un dispositivo a través de un switch Fibre Channel, pueden existir variasrutas para un solo dispositivo. Por ejemplo, si conecta un dispositivo de cinta con unswitch Fibre Channel y después conecta el switch Fibre Channel con dos puertos FibreChannel, OneFS crea dos entradas para el dispositivo, una para cada ruta.

Descripción general de la recuperación y del respaldo de tipo NDMP


Nota

El respaldo de tipo NDMP bidireccional no es compatible con IsilonSD Edge.

Respaldo de tipo NDMP de tres víasEl respaldo de tipo NDMP de tres vías también se conoce como respaldo de tipoNDMP remoto.

Durante una operación de respaldo de tipo NDMP de tres vías, una aplicación deadministración de datos (DMA) en el servidor de respaldo indica al clúster que inicie elrespaldo de los datos en un servidor de medios de cinta que está conectado a la LAN oconectado directamente a la DMA. El servicio NDMP se ejecuta en un servidor NDMPy el servicio de cintas NDMP se ejecuta en un servidor diferente. Ambos servidoresestán conectados entre sí a través del límite de la red.

Configuración de direcciones IP recomendadas para lasoperaciones de tipo NDMP de tres vías

Si utiliza Avamar como su aplicación de administración de datos (DMA) para unaoperación de tipo NDMP de tres vías en un ambiente con varias interfaces de red,puede aplicar una configuración de IP recomendada en todo un clúster EMC Isilon o auna o varias subredes definidas en OneFS. Una configuración de IP recomendada esuna lista de direcciones IP con prioridad a las que un servidor de datos o un servidor decintas se conecta durante una operación de tres vías de tipo NDMP.

La dirección IP en el servidor NDMP que recibe la solicitud entrante de la DMAdetermina el alcance y la prioridad para la configuración de la preferencia. Si ladirección IP entrante se encuentra dentro de un alcance de subred que tiene unarecomendación, se aplica la configuración recomendada. Si no existe unarecomendación de subred específica, pero sí existe una recomendación de todo elclúster, se aplica la configuración recomendada de todo el clúster. La recomendaciónde subred específica siempre toma precedencia por sobre la de todo el clúster. Si noexisten recomendaciones de todo el clúster ni de la subred, las direcciones IP dentrode la subred de la dirección IP que recibe las solicitudes entrantes desde el DMA seutilizan como direcciones IP recomendadas.

Puede tener una configuración de IP recomendada por clúster o por subred.

Puede especificar una lista de direcciones IP recomendadas de tipo NDMP a través delcomando isi ndmp settings preferred-ips.

Recuperación y respaldo multi-stream de tipo NDMPPuede usar la función de respaldo multi-stream de tipo NDMP, junto con ciertasaplicaciones de administración de datos (DMA), para acelerar los respaldos.

Con el respaldo multi-stream, puede usar su DMA para especificar múltiples flujos dedatos para respaldar simultáneamente. OneFS considera que todos los flujos en unaoperación de respaldo multi-stream específica forman parte del mismo contexto derespaldo. Si una sesión de respaldo multi-stream se realiza correctamente, se eliminael contexto de respaldo multi-stream. Si se produce un error en un flujo específico, elcontexto de respaldo se conserva durante cinco minutos después de que finaliza laoperación de respaldo y se puede reintentar la secuencia fallida dentro de ese periodode tiempo.


Respaldo de tipo NDMP de tres vías 369

Si usó la función de respaldo multi-stream de tipo NDMP para respaldar datos enunidades de cinta, también puede recuperar esos datos en múltiples flujos, según laDMA. En OneFS 8.0.0, los respaldos multi-stream son compatibles con CommVaultSimpana versión 11.0 Service Pack 3 y EMC NetWorker versión 9.0.1. Si respaldadatos mediante CommVault Simpana, se crea un contexto multi-stream, pero los datosse recuperan de un flujo a la vez.

Nota

Los respaldos de multi-stream OneFS no son compatibles con la función de respaldode NDMP reiniciable.

Respaldos incrementales basados en snapshotsPuede implementar respaldos incrementales basados en snapshots para aumentar lavelocidad a la que se llevan a cabo estos respaldos.

Durante un respaldo incremental basado en snapshots, OneFS comprueba el snapshottomado de la operación anterior de respaldo de tipo NDMP y lo compara con un nuevosnapshot. Después, OneFS respalda todos los archivos que se modificaron desde quese realizó el último snapshot.

Si el respaldo incremental no implica tomar snapshots, OneFS debe escanear eldirectorio para descubrir qué archivos se modificaron. OneFS puede ejecutarrespaldos incrementales significativamente más rápido si la tasa de cambio es baja.

Puede efectuar respaldos incrementales sin habilitar una licencia de SnapshotIQ en elclúster. Aunque SnapshotIQ ofrece una serie de funciones útiles, no mejora lasfuncionalidades de snapshot en el respaldo de tipo NDMP ni en la recuperación.

Establezca la variable BACKUP_MODE del ambiente en SNAPSHOT para habilitar losrespaldos incrementales basados en snapshots. Si habilita los respaldos incrementalesbasados en snapshots, OneFS conserva cada snapshot tomado para los respaldos detipo NDMP hasta que se realice un nuevo respaldo del mismo nivel o uno inferior. Sinembargo, si no habilita respaldos incrementales basados en snapshots, OneFSeliminará automáticamente cada snapshot generado después de que el respaldocorrespondiente se complete o se cancele.

Después de establecer la variable BACKUP_MODE del ambiente, los respaldosincrementales basados en snapshots funcionan con ciertas aplicaciones deadministración de datos (DMA), como se muestra en la siguiente tabla.

Tabla 3 Compatibilidad de DMA con los respaldos incrementales basados en snapshots

DMA Soportado

Symantec NetBackup No.

Nota

Puede habilitar los respaldos incrementalesbasados en instantáneas mediante unavariable de ambiente.

EMC NetWorker Sí

EMC Avamar Sí

CommVault Simpana Sí



Tabla 3 Compatibilidad de DMA con los respaldos incrementales basados en snapshots (continuación)

DMA Soportado

IBM Tivoli Storage Manager No

Symantec Backup Exec No

Dell NetVault No

ASG-Time Navigator No

Compatibilidad con protocolo NDMPPuede respaldar los datos del clúster EMC Isilon mediante la versión 3 o 4 delprotocolo NDMP.

OneFS es compatible con las siguientes funciones de las versiones 3 y 4 de NDMP:

l Respaldos de tipo NDMP completos (nivel 0)

l Respaldos de tipo NDMP incrementales (niveles 1 a 10) e incrementales parasiempre (nivel 10)

Nota

En un respaldo de tipo NDMP de nivel 10, solo se copian los datos modificadosdesde el respaldo incremental (niveles 1 a 9) más reciente o el último respaldo denivel 10. Mediante la repetición de respaldos de nivel 10, puede asegurarse de tenerrespaldadas las versiones más recientes de los archivos de su conjunto de datos sintener que realizar un respaldo completo.

l Respaldos de tipo NDMP basados en tokens

l Respaldo de tipo NDMP mediante TAR

l Tipo de respaldo de volcado

l Formato del historial de archivos de dir/node y basado en rutas

l Restauración de acceso directo (DAR)

l DAR de directorio (DDAR)

l Inclusión y exclusión de archivos y directorios específicos del respaldo

l Respaldo de atributos de archivos

l Respaldo de listas de control de acceso (ACL)

l Respaldo de flujos de datos alternativos (ADS)

l Extensión reiniciable de respaldo (BRE)

OneFS admite la conexión con los clústeres a través de IPv4 o IPv6.

DMA compatiblesLos respaldos de tipo NDMP se coordinan mediante una aplicación de administraciónde datos (DMA) que se ejecuta en un servidor de respaldo.

OneFS es compatible con todas las DMA que se enumeran en la Guía de compatibilidadde hardware y software de otros fabricantes de Isilon.


Compatibilidad con protocolo NDMP 371

https://support.emc.com/docu45932_Isilon-Third-Party-Software-and-Hardware-Compatibility-Guide-.pdf?language=en_US

https://support.emc.com/docu45932_Isilon-Third-Party-Software-and-Hardware-Compatibility-Guide-.pdf?language=en_US

Nota

Todas las DMA compatibles se pueden conectar a un clúster EMC Isilon mediante elprotocolo IPv4. Sin embargo, solo algunas DMA son compatibles con el protocolo IPv6para conectarse a un clúster EMC Isilon.

Compatibilidad con hardware NDMPOneFS puede respaldar datos en dispositivos de cinta y librerías de cintas virtuales(VTL), así como recuperar datos de ellos.

Dispositivos de cinta compatibles

Consulte la sección Compatibilidad de hardware de OneFS y NDMP en la Guía decompatibilidad de hardware y software de otros fabricantes de Isilon para obteneruna lista de dispositivos de cinta compatibles con respaldos de tipo NDMPbidireccionales. Para los respaldos de tipo NDMP de tres vías, la aplicación deadministración de datos (DMA) determina los dispositivos de cintas compatibles.

Librerías de cintas compatibles

Para los respaldos de tipo NDMP bidireccionales y de tres vías, OneFS escompatible con todas las librerías de cintas compatibles con la DMA.

Librerías de cintas virtuales compatibles

Consulte la sección Compatibilidad de hardware de OneFS y NDMP en la Guía decompatibilidad de hardware y software de otros fabricantes de Isilon para obteneruna lista de librerías de cintas virtuales compatibles. Para los respaldos de tipoNDMP de tres vías, la DMA determina las librerías de cintas virtuales compatibles.

Limitaciones de respaldo de NDMPLos respaldos de tipo NDMP tienen las siguientes limitaciones:

l No admite una longitud de ruta superior a 4 kB.

l No respalda los datos de configuración del sistema de archivos, como pueden serlas cuotas y las políticas de nivel de protección de archivos.

l No respalda bloques de cinta con un tamaño superior a 256 kb.

l No es compatible con la recuperación de datos desde un sistema de archivos queno sea OneFS. Sin embargo, puede migrar datos mediante el protocolo NDMPdesde un sistema de almacenamiento NetApp o EMC VNX a OneFS a través de lasherramientas isi_vol_copy. Para obtener más información sobre estasherramientas, consulte la Guía de las herramientas de migración de OneFS.

l Los nodos del acelerador de respaldo no pueden interactuar con más de4096 rutas de cinta.

Recomendaciones de rendimiento de NDMPA la hora de optimizar los respaldos de tipo NDMP de OneFS, tenga en cuenta lassiguientes recomendaciones.

Recomendaciones de rendimiento

l Instale los parches más recientes para OneFS y su aplicación de administración dedatos (DMA).







l Ejecute un máximo de ocho sesiones simultáneas de NDMP en cada nodoacelerador de respaldo A100 y cuatro sesiones simultáneas de NDMP en cada nodoacelerador de respaldo Isilon IQ a fin de obtener un rendimiento óptimo por sesión.

l Los respaldos de tipo NDMP generan objetivos de punto de recuperación (RPO) yobjetivos de tiempo de recuperación (RTO) muy altos. Puede reducir los RPO yRTO si conecta uno o más nodos aceleradores de respaldo al clúster y, luego,ejecuta respaldos de tipo NDMP bidireccionales.

l El rendimiento de un clúster Isilon durante las operaciones de respaldo yrecuperación depende del conjunto de datos y se reduce considerablemente en losarchivos pequeños.

l Si respalda una gran cantidad de archivos pequeños, configure un calendarioindependiente para cada directorio.

l Si va a realizar respaldos de tipo NDMP de tres vías, ejecute varias sesiones deNDMP en varios nodos del clúster Isilon.

l Recupere archivos mediante Direct Access Restore (DAR), especialmente sirecupera archivos con frecuencia. No obstante, se recomienda que no use DARpara recuperar un respaldo completo o un gran número de archivos, ya que DARfunciona mejor con la restauración de menores volúmenes de archivos.

l Recupere archivos mediante Directory DAR (DDAR) si suele recuperar grandescantidades de archivos.

l Para aumentar el rendimiento, utilice el tamaño máximo de grabación en cintasdisponible para su versión de OneFS.

l Si es posible, no incluya ni excluya archivos del respaldo. La inclusión o exclusiónde archivos pueden afectar el rendimiento, debido a la sobrecarga de filtrado.

l Limite la profundidad de los subdirectorios anidados en su sistema de archivos.

l Limite la cantidad de consolas activas a 10. Distribuya los archivos en variosdirectorios en lugar de incluir un gran número de archivos en un solo directorio.

Recomendaciones sobre las SmartConnect

l Una sesión de respaldo de tipo NDMP bidireccional con SmartConnect requiereaceleradores de respaldo para las operaciones de respaldo y recuperación. Sinembargo, una sesión de NDMP de tres vías con SmartConnect no requiereaceleradores de respaldo para estas operaciones.

l Para una sesión de respaldo de tipo NDMP bidireccional con SmartConnect,conéctese a una sesión de NDMP a través de una zona de SmartConnect exclusivaconformada por un pool de tarjetas de interfaz de red (NIC) en los nodosaceleradores de respaldo.

l Para una sesión de respaldo de tipo NDMP bidireccional sin SmartConnect, iniciela sesión de respaldo a través de una dirección IP estática o de un nombre dedominio calificado del nodo acelerador de respaldo.

l Para una operación de respaldo de tipo NDMP de tres vías, se usa la red Ethernetde front-end o las interfaces de los nodos para manejar el tráfico de respaldo. Porlo tanto, se recomienda que configure una DMA para iniciar una sesión de NDMPúnicamente mediante los nodos que todavía no estén sobrecargados con otrascargas de trabajo o conexiones.

l Para una operación de respaldo de tipo NDMP de tres vías con o sinSmartConnect, inicie la sesión de respaldo mediante las direcciones IP de losnodos que se identificaron para ejecutar las sesiones NDMP.


Recomendaciones de rendimiento de NDMP 373

Recomendaciones del acelerador de respaldo

l Asigne direcciones IP estáticas a los nodos del acelerador de respaldo.

l Conecte más nodos del acelerador de respaldo a clústeres más grandes. El númerorecomendado de nodos del acelerador de respaldo se enumera en la siguientetabla.

Tabla 4 Nodos por nodo del acelerador de respaldo

Tipo de nodo Número recomendado de nodos pornodo del acelerador de respaldo

Serie X 3

Serie NL 3

Serie S 3

Serie HD 3

l Conecte más nodos del acelerador de respaldo si va a respaldar a más dispositivosde cinta.

Recomendaciones sobre las DMA-specific

l Permita un paralelismo para la DMA si admite esta opción. Eso permitirá queOneFS respalde datos en varios dispositivos de cinta al mismo tiempo.

Exclusión de archivos y directorios de respaldos de tipoNDMP

Puede excluir archivos y directorios de las operaciones de respaldo de tipo NDMPespecificando las variables de ambiente de NDMP a través de una aplicación deadministración de datos (DMA). Si incluye un archivo o directorio, los demás archivosy directorios se excluyen automáticamente de las operaciones de respaldo. Si excluyeun archivo o directorio, se respaldan todos los archivos y directorios excepto elexcluido.

Puede incluir o excluir archivos y directorios especificando los siguientes patrones decaracteres. Los ejemplos proporcionados en la tabla son válidos solo si la ruta derespaldo es /ifs/data.

Tabla 5 Comodines para archivos y directorios NDMP

Carácter Descripción Ejemplo Incluye o excluye los siguientesdirectorios

* Ocupa el lugar decualquier caráctero conjunto decaracteres

Archivado archive1src/archive42_a/media

[] Ocupa el lugar deun rango de letraso números

data_store_[a-f]data_store_[0-9]

/ifs/data/data_store_a/ifs/data/data_store_c/ifs/data/data_store_8



Tabla 5 Comodines para archivos y directorios NDMP (continuación)

Carácter Descripción Ejemplo Incluye o excluye los siguientesdirectorios

? Ocupa el lugar decualquier carácterindividual

user_? /ifs/data/user_1/ifs/data/user_2

\ Incluye un espacioen blanco

guía del usuario /ifs/data/user 1

// Ocupa el lugar deuna barra diagonal(/)

ifs//data//archive /ifs/data/archive

*** Ocupa el lugar deun asterisco (*)

.. Ignora el patrón sise encuentra alprincipio de la ruta

../home/john home/john

Nota

Se requieren comillas (“ ”) para Symantec NetBackup cuando se especifican variospatrones. Los patrones no se limitan a los directorios.

Los patrones no anclados, como home o user1, se aplican a una cadena de texto quepodría pertenecer a muchos archivos o directorios. Si un patrón contiene “/”, es unpatrón anclado. Siempre hay coincidencias con un patrón anclado desde el comienzode una ruta. No hay coincidencias con un patrón en el medio de una ruta. Los patronesanclados se aplican a nombres de ruta de archivos específicos, como ifs/data/home. Es posible incluir o excluir ambos tipos de patrones.

Si especifica los patrones de inclusión y exclusión, primero se procesa el patrón deinclusión y luego el de exclusión.

Si especifica los patrones de inclusión y exclusión, no se respaldará ningún archivo nidirectorio excluidos de los directorios incluidos. Si los directorios excluidos no seencuentran en ninguno de los directorios incluidos, la especificación de exclusiónquedará sin efecto.

Nota

La especificación de patrones no anclados puede degradar el rendimiento de respaldo.Siempre que sea posible, se recomienda evitar los patrones no anclados.

Configuración de los ajustes básicos de respaldo de tipoNDMP

Es posible configurar los ajustes del respaldo de tipo NDMP para controlar cómo seejecutan estos respaldos en el clúster EMC Isilon. También es posible configurarOneFS para que interactúe con una aplicación de administración de datos (DMA)específica para los respaldos de tipo NDMP.


Configuración de los ajustes básicos de respaldo de tipo NDMP 375

Configurar y habilitar el respaldo de tipo NDMPDe forma predeterminada, OneFS impide los respaldos de tipo NDMP. Antes de quepueda ejecutar respaldos de tipo NDMP, debe habilitarlos y configurar los ajustes deNDMP.

Procedimiento

1. Haga clic en Data Protection > NDMP > NDMP Settings.

2. En el área Service, haga clic en Enable NDMP Service.

3. En el campo Port number, especifique un número de puerto a través del cualuna aplicación de administración de datos (DMA) puede conectarse al clústerEMC Isilon. El número de puerto predeterminado es 10000.

4. (Opcional) En la lista DMA vendor, seleccione el nombre del proveedor de DMAque administrará las operaciones de respaldo. Si su proveedor de DMA no estáincluido en la lista, seleccione generic. Sin embargo, debe tener en cuenta quecualquier proveedor no incluido en la lista no es oficialmente compatible y esposible que no funcione según lo esperado.

5. En el área NDMP Administrators, haga clic en Add an NDMP Administratorpara agregar un administrador nuevo.

Aparecerá el diálogo Add NDMP Administrator.

6. Ingrese un nombre de administrador y la contraseña, confirme la contraseña yhaga clic en Add NDMP Administrator.

7. Haga clic en Save Changes para guardar la configuración. Como alternativa,haga clic en Revert Changes para deshacer los cambios y volver a laconfiguración anterior.

Ver la configuración del respaldo de tipo NDMPEs posible ver los ajustes actuales de respaldo de tipo NDMP. Estos ajustes definen siel respaldo de tipo NDMP está habilitado, el puerto a través del cual se conecta suaplicación de administración de datos (DMA) al clúster EMC Isilon y el proveedor deDMA con el cual OneFS está configurado para interactuar.

Procedimiento

1. Haga clic en Data Protection > NDMP > NDMP Settings y consulte laconfiguración de respaldo de tipo NDMP.

2. En el área Settings, revise los ajustes de respaldo de tipo NDMP.

Deshabilitar el respaldo de tipo NDMPSi ya no desea utilizar este método de respaldo, puede deshabilitar el respaldo de tipoNDMP.

Procedimiento


2. En el área Service, desmarque la casilla de verificación Enable NDMP servicepara deshabilitar el respaldo NDMP.



Administración de cuentas de usuario de NDMPEs posible crear, eliminar y modificar las contraseñas de cuentas de usuario de NDMP.

Crear una cuenta de administrador de NDMPAntes de que pueda realizar respaldos de tipo NDMP, deberá crear una cuenta deadministrador de NDMP mediante la cual su aplicación de administración de datos(DMA) pueda acceder al clúster EMC Isilon.

Procedimiento


2. En el área NDMP Administrators, haga clic en Add NDMP Administrator.

Aparecerá el diálogo Add NDMP Administrator.

3. En el cuadro de diálogo Add NDMP Administrator, ingrese un nombre para lacuenta en el campo Name.

Nota

El administrador NDMP que cree en este paso es aplicable únicamente para lasoperaciones de NDMP. No se puede vincular este administrador de NDMP conningún otro usuario, grupo o identidad en el clúster.

4. En los campos Password y Confirm password, ingrese la contraseña de lacuenta.

Nota

No hay requisitos de política especiales para las contraseñas de unadministrador de NDMP.

5. Haga clic en Add NDMP Administrator.

Ver las cuentas de usuario de NDMPEs posible ver información acerca de las cuentas de usuario de NDMP.

Procedimiento


2. En el área NDMP Administrators, revise la información acerca de unadministrador NDMP seleccionando la casilla de verificación correspondiente aun administrador y haciendo clic en View/Edit.

Modificar la contraseña de una cuenta de administrador de NDMPPuede modificar la contraseña de una cuenta de administrador de NDMP.

Procedimiento


2. En el área NDMP Administrators, seleccione la casilla de verificación junto alnombre del administrador deseado y haga clic en View/Edit.


Administración de cuentas de usuario de NDMP 377

Aparecerá el cuadro de diálogo View NDMP Administrator Details.


Aparecerá el cuadro de diálogo Edit NDMP Administrator Details.

4. Escriba una nueva contraseña, confírmela y, a continuación, haga clic en SaveChanges.

Eliminar una cuenta de administrador de NDMPPuede eliminar una cuenta de administrador de NDMP.

Procedimiento


2. En el área NDMP Administrators, seleccione la casilla de verificación junto alnombre del administrador deseado y haga clic en Delete.

El nombre del administrador se elimina de la lista de administradores de NDMP.

Descripción general de las variables de ambiente NDMPLas variables de ambiente NDMP se asocian con rutas. Cuando la ruta de una variablede ambiente coincide con la ruta de una operación de respaldo o de recuperación, lavariable de ambiente se aplica a esa operación.

Todas las variables de ambiente residen en el directorio /ifs. Existen dos otras rutasvirtuales, a saber, /BACKUP y /RESTORE que contienen variables del ambiente. Lasvariables de ambiente bajo esta ruta se pueden aplicar de manera global. Las variablesde ambiente bajo /BACKUP se aplican a todas las operaciones de respaldo. Lasvariables de ambiente bajo /RESTORE se aplican a todas las operaciones derecuperación. Las variables de ambiente globales se aplican solo después de que seaplican las variables de ambiente específicas de la ruta. Por lo tanto, las variablesespecíficas de la ruta tienen prioridad sobre las variables globales.

Administrar variables de ambiente NDMPEn OneFS, puede administrar las operaciones de recuperación y respaldo de tipoNDMP mediante la especificación de las variables del ambiente NDMPpredeterminadas. También puede reemplazar las variables del ambiente NDMPpredeterminadas a través de su aplicación de administración de datos (DMA).

Puede agregar, ver, editar y eliminar variables del ambiente. Las variables del ambientese pueden administrar para cada ruta de respaldo. Se agregan a las variables deambiente transmitidas desde un DMA en una sesión de respaldo o recuperación.

La siguiente tabla enumera las DMA que le permiten establecer directamente variablesdel ambiente:

Tabla 6 Compatibilidad de DMA para la configuración de variables de ambiente

DMA Compatibledirectamente con elDMA

Compatible por medio de lainterfaz de la línea de comandosOneFS

Symantec NetBackup Sí Sí

EMC NetWorker Sí Sí



Tabla 6 Compatibilidad de DMA para la configuración de variables de ambiente (continuación)

DMA Compatibledirectamente con elDMA

Compatible por medio de lainterfaz de la línea de comandosOneFS

EMC Avamar No Sí

CommVault Simpana No Sí

IBM Tivoli StorageManager

No Sí

Symantec Backup Exec No Sí

Dell NetVault No Sí

ASG-Time Navigator No Sí

Si no puede establecer una variable de ambiente directamente en una DMA para suoperación de respaldo o recuperación de tipo NDMP, inicie sesión en un clúster EMCIsilon a través de un cliente SSH y establezca la variable de ambiente en el clúster através del comando isi ndmp settings variables set.

Configuración de variables de ambiente NDMPPuede ver la configuración de variables de ambiente NDMP y administrarla según seanecesario.

Las siguientes opciones de configuración aparecerán en la tabla Variables:


Add Variables Agregar nuevas variables de ambiente de rutade acceso, junto con sus valores.

Path La ruta de acceso en el directorio /ifs para

almacenar nuevas variables de ambiente. Si laruta es “/BACKUP”, la variable de ambiente se

aplica a todas las operaciones de respaldo. Sila ruta es “/RESTORE”, la variable de

ambiente se aplica a todas las operaciones derestauración.

Add Name/Value Agregar un nombre y valor para la nuevavariable de ambiente.

Name Nombre de la variable de ambiente.

Value Valor de la variable de ambiente.

Action Editar, ver o eliminar una variable de ambienteen una ruta especificada.

Agregar una variable de ambiente NDMPPuede agregar variables de ambiente en una ruta especificada que se puede aplicar porruta de respaldo o de manera global.


Configuración de variables de ambiente NDMP 379

Procedimiento

1. Haga clic en Data Protection > NDMP > Environment Settings.

2. Haga clic en Add Variables para abrir el cuadro de diálogo Add Path Variables.

3. En el área Variable Settings, especifique los siguientes parámetros:

a. Especifique una ruta bajo /ifs o navegue hasta esta para almacenar lavariable de ambiente.

Nota

l Para establecer una variable de ambiente global para las operaciones derespaldo y recuperación, especifique la ruta /BACKUP para una operaciónde respaldo y la ruta /RESTORE para una operación de recuperación.

l La ruta de respaldo debe incluir .snapshot/<snapshot name>cuando ejecuta un respaldo de un snapshot creado por el usuario.

b. Haga clic en Add Name/Value, especifique un nombre de variable deambiente y un valor y, a continuación, haga clic en Create Variable.

Ver las variables del ambiente NDMPPuede ver los detalles acerca de las variables del ambiente NDMP

Procedimiento


2. En la tabla Variables, haga clic en la casilla de verificación correspondiente auna variable del ambiente y, a continuación, haga clic en View/Edit.

3. En el cuadro de diálogo Display Path Variables, revise los detalles.

Editar una variable del ambiente NDMPPuede editar una variable del ambiente NDMP.

Procedimiento


2. En la tabla Variables, haga clic en la casilla de verificación correspondiente auna variable del ambiente y, a continuación, haga clic en View/Edit.

3. En el cuadro de diálogo Display Path Variables, haga clic en Edit PathVariables.

4. En el cuadro de diálogo Edit Variables, haga clic en Add Name/Value yespecifique un nuevo nombre y valor para la variable del ambiente.

Eliminar una variable del ambiente NDMPPuede eliminar una variable del ambiente NDMP.

Procedimiento


2. En la tabla Variables, haga clic en la casilla de verificación correspondiente auna variable del ambiente y, a continuación, haga clic en Delete.




Resultados

También puede eliminar una variable del ambiente NDMP por medio del cuadro dediálogo Edit Variables que aparece al hacer clic en View/Edit y, a continuación, hagaclic en Edit Path Variables.

Variables de ambiente NDMPPuede especificar la configuración predeterminada de las operaciones de recuperacióny respaldo de tipo NDMP mediante las variables del ambiente NDMP. Además, puedeespecificar estas variables a través de su aplicación de administración de datos(DMA).

Symantec NetBackup y EMC NetWorker son las únicas DMA que le permitenestablecer directamente las variables del ambiente y propagarlas a OneFS.

Tabla 7 Variables de ambiente NDMP

Variable de ambiente Valores válidos Valorpredeterminado

Descripción

BACKUP_FILE_LIST <file-path> None Activa un respaldo de lalista de archivos.Actualmente, únicamenteEMC NetWorker ySymantec NetBackuppueden transmitirvariables del ambiente aOneFS.

BACKUP_MODE TIMESTAMPSNAPSHOT

TIMESTAMP Habilita o deshabilita losrespaldos incrementalesbasados en instantáneas.Para habilitar respaldosincrementales basados eninstantáneas, especifiqueSNAPSHOT.

BACKUP_OPTIONS 0x000001000x000002000x000004000x000000010x000000020x00000004

0 Esta variable de ambientees exclusiva de losconjuntos de datos quecontienen los archivosSmartLink de CloudPools.Controla elcomportamiento delrespaldo.

0

Respalda los datosmodificados de lacaché.


Variables de ambiente NDMP 381

Tabla 7 Variables de ambiente NDMP (continuación)


Descripción

0x00000100Lee datos enarchivos SmartLinkdesde la nube yrespalda los archivosSmartLink comoarchivos normales.

0x00000200 -

Respalda todos losdatos almacenadosen la caché que sealmacenan en losarchivos SmartLink.

0x00000400Recupera y respaldalos datosalmacenados enarchivos SmartLink.

0x00000001Siempre agregaDUMP_DATE a lalista de variables deambiente al final deuna operación derespaldo. El valorDUMP_DATE es lahora en la que secapturó lainstantánea derespaldo. Una DMApuede usar el valorDUMP_DATE paraestablecer laBASE_DATE de lasiguiente operaciónde respaldo.

0x00000002Conserva lainstantánea derespaldo de unrespaldo basado entokens en el archivodumpdates. Como

una copia de





Descripción

seguridad basada entokens no tiene unvalor de LEVEL, sunivel predeterminadoes 10. La instantáneapermite realizar unrespaldo incrementalmás rápido cuando serealice el siguienterespaldo incrementaldespués de realizar elrespaldo basado entokens.

0x00000004Conserva lainstantánea anterior.Después de unrespaldo incrementalmás rápido, lainstantánea anteriorse guarda en elnivel 10. Para evitartener dosinstantáneas en elmismo nivel, lainstantánea anteriorse mantiene en unnivel inferior en elarchivo dumpdates.

Esto permite que lasconfiguracionesBASE_DATE y

BACKUP_MODE=snapshotdesencadenen unrespaldo incrementalmás rápido en lugarde una copia deseguridad basada entokens. Laconfiguración devariables de ambientehace que el servidorNDMP compare elvalor BASE_DATEcon la hora deregistro del archivo





Descripción

dumpdates para

buscar el respaldoanterior. Aunque elDMA falle el respaldoincremental másrápido más reciente,OneFS conserva lainstantánea anterior.El DMA puede volvera intentar el respaldoincremental másrápido en el siguienteciclo de respaldoutilizando el valorBASE_DATE de la

copia de seguridadanterior.

BASE_DATE Permite realizar unrespaldo incrementalbasado en tokens. En estecaso, el archivodumpdates no se

actualizará.

DIRECT YN

N Habilita o deshabilitaDirect Access Restore(DAR) y el directorio DAR(DDAR). Los siguientesvalores son válidos:

YHabilita DAR y DDAR.

NDeshabilita DAR yDDAR.

EXCLUDE <file-matching-pattern>

Ninguno Si especifica esta opción,OneFS no respaldaráarchivos y directorios querespeten el patrónespecificado. Separevarios patrones con unespacio.

FILES <file-matching-pattern>

Ninguno Si especifica esta opción,OneFS respalda solamentearchivos y directorios querespetan el patrón





Descripción

especificado. Separevarios patrones con unespacio.

Nota

Como regla, los archivosse asocian primero y, acontinuación, se aplica elpatrón EXCLUDE.

HIST <file-history-format>

Y Especifica el formato delhistorial de archivos.Los siguientes valores sonválidos:

DEspecifica el historialde archivos dedirectorios o nodos.

FEspecifica el historialde archivos basadoen rutas.

YEspecifica el formatodel historial dearchivospredeterminado quedefinió suconfiguración derespaldo de tipoNDMP.

NDeshabilita elhistorial de archivos.

LEVEL <integer> 0 Especifica el nivel delrespaldo de tipo NDMPque se ejecutará. Lossiguientes valores sonválidos:

0Ejecuta un respaldode tipo NDMPcompleto.





Descripción

1 - 9Ejecuta un respaldoincremental en elnivel especificado.

10Realiza respaldosincrementaleseternos.

MSB_RETENTION_PERIOD Número entero 300 s Especifica el período deretención del contexto derespaldo.

MSR_RETENTION_PERIOD De 0 a 60*60*24 600 s Especifica el período deretención de contexto derecuperación dentro delcual se puede volver aintentar una sesión derecuperación.

RECURSIVE YN

Y Especifica que la sesión derespaldo es recursiva.

RESTORE_BIRTHTIME YN

N Especifica si se deberecuperar el tiempo decreación de una sesión derecuperación.

RESTORE_HARDLINK_BY_TABLE

YN

N Para una sesión derestauración de un solohilo de ejecución,determina si OneFSrecupera vínculos físicosmediante la creación deuna tabla de vínculosfísicos durante lasoperaciones derecuperación. Especifiqueesta opción si los vínculosfísicos se respaldaron deforma incorrecta y lasoperaciones derecuperación estánfallando.Si una operación derecuperación falla debidoal respaldo incorrecto delos vínculos físicos,aparecerá el siguiente





Descripción

mensaje en los registrosde respaldo de tipoNDMP:

Bad hardlink path for <path>

Nota

Esta variable no es eficazpara una operación derestauración paralela.

RESTORE_OPTIONS 010x000000020x00000004

0 De forma predeterminada,la operación derestauración cuenta con lafunción multithread paramejorar el rendimiento.Para cambiar la operaciónde restauración de modoque cuente con un solohilo de ejecución,especifiqueRESTORE_OPTIONS=1.

Las siguientes opcionescorresponden únicamentea la restauración paralela:

0

La operación derestauración nosobrescribe lospermisos de losdirectoriosexistentes.

0x00000002Fuerza la operaciónde restauración parasobrescribir lospermisos dedirectorios existentesutilizando lainformación del flujode restauración. Estaopción correspondeúnicamente adirectorios en nlist.





Descripción

0x00000004En versionesanteriores deOneFS 8.0.0, losdirectoriosintermedios creadosdurante unaoperación derestauración tienensu conjunto depermisospredeterminadosestablecidos. EnOneFS 8.0.0 yversionesposteriores, lospermisos de undirectorio intermedioson los mismos queposee el primerarchivo restauradodentro de esedirectorio.0x00000004 vuelve

al método anterior derestauración yestablece lospermisos de losdirectoriosintermedios en 0700y los UID/GID en 0.

UPDATE YN

Y Determina si OneFSactualiza el archivodumpdates.

YOneFS actualiza elarchivo dumpdates.

NOneFS no actualiza elarchivo dumpdates.



Configuración de variables de ambiente para las operaciones de respaldo yrestauración

Puede establecer variables de ambiente para admitir las operaciones de respaldo yrestauración de su sesión NDMP.

Puede establecer variables de ambiente a través de una aplicación de administraciónde datos (DMA) o de la interfaz de la línea de comandos. Como alternativa, puedeestablecer variables de ambiente globales. La prioridad para aplicar sus opciones enuna operación de respaldo o restauración es la siguiente:

l Las variables de ambiente especificadas a través de una DMA tienen la prioridadmás alta.

l Las variables del ambiente específicas de la ruta que se indican en isi ndmpsettings variables tienen el siguiente nivel de prioridad.

l La configuración de variables de ambiente globales de "/BACKUP" o "/RESTORE"tienen la prioridad más baja.

Puede establecer variables de ambiente para admitir diferentes tipos de operacionesde respaldo, tal como se describe en los siguientes escenarios:

l Si la variable de ambiente BASE_DATE se establece en cualquier valor y siestablece la variable de ambiente BACKUP_MODE en SNAPSHOT, la variable deambiente LEVEL se establece automáticamente en 10 y se realiza un respaldoeterno incremental.

l Si la variable de ambiente BASE_DATE se establece en 0, se realiza un respaldocompleto.

l Si la variable de ambiente BACKUP_MODE se establece en snapshot y la variablede ambiente BASE_DATE no se configura en 0, las entradas del archivodumpdates se leen y comparan con la variable de ambiente BASE_DATE. Si seencuentran una entrada y una instantánea anterior válida, se realiza un respaldoincremental con mayor rapidez.

l Si la variable de ambiente BACKUP_MODE se establece en snapshot, la variablede ambiente BASE_DATE no es 0, no hay entradas en el archivo dumpdates y nose encuentran instantáneas válidas anteriores, se realiza una copia de seguridadbasada en token utilizando el valor de la variable de ambiente BASE_DATE.

l Si se establece la variable de ambiente BASE_DATE, la variable de ambienteBACKUP_OPTIONS se establece en 0x00000001 de forma predeterminada.

l Si la variable de ambiente BACKUP_MODE se establece en snapshot, la variablede ambiente BACKUP_OPTIONS se establece en 0x00000002 de formapredeterminada.

l Si la variable de ambiente BACKUP_OPTIONS se establece en 0x00000004, lainstantánea se guarda y se mantiene en la aplicación que se utiliza para el procesode respaldo.

l A fin de ejecutar un respaldo eterno incremental con respaldos incrementales másrápidos, es necesario establecer las siguientes variables de ambiente:

n BASE_DATE=<time>

n BACKUP_MODE=snapshot


Configuración de variables de ambiente para las operaciones de respaldo y restauración 389

n BACKUP_OPTIONS=7

Administración de contextos NDMPCada proceso de respaldo, restauración, respaldo reiniciable y respaldo multi-streamde tipo NDMP crea un contexto. El servidor NDMP almacena los archivos de trabajocorrespondientes en el contexto. Puede ver o eliminar un contexto.

Nota

Si elimina un contexto de respaldo reiniciable, no puede reiniciar la sesión de respaldocorrespondiente.

Configuración de contextos de NDMPPuede ver los detalles de los contextos NDMP y administrar esos contextos.

La siguiente configuración aparece en la tabla Contexts:


Tipo El tipo de contexto. Puede ser uno derespaldo, de respaldo reiniciable o derestauración.

ID Un identificador para un trabajo de respaldo orestauración. Un trabajo de respaldo orestauración consta de uno o más flujos quese identifican mediante este identificador. Eldemonio de respaldo de NDMP genera esteidentificador.

Hora de inicio El momento en el que el contexto se inicia enel formato mes fecha hora año.

Acciones Permite ver o eliminar un contextoseleccionado.

Status Estado del contexto. El estado se muestracomo activo si un trabajo de respaldo orestauración se inicia y permanece activohasta que haya finalizado el flujo de respaldo oeste se encuentre libre de errores.

Ruta La ruta donde se almacenan todos losarchivos de trabajo para el contextoseleccionado.

MultiStream Especifica si está habilitado el proceso derespaldo de multi-stream.

Lead Session ID El identificador de la primera sesión derespaldo o restauración correspondiente a unaoperación de respaldo o restauración.

Sessions Una tabla con una lista de todas las sesionesque están asociadas con el contextoseleccionado.



Ver contextos NDMPPuede ver información sobre el respaldo de tipo NDMP, respaldo reiniciable ycontextos de recuperación.

Procedimiento

1. Haga clic en Data Protection > NDMP > Contexts.

2. En la tabla Contexts, haga clic en la casilla de verificación correspondiente a uncontexto que desea revisar y haga clic en View Details.

3. Revise la información acerca del contexto en el cuadro de diálogo DisplayBackup Context.

Eliminar un contexto de NDMPPuede eliminar un contexto de NDMP.

Los contextos de respaldo y restauración tienen períodos de retención más allá de loscuales los contextos se eliminan automáticamente. Sin embargo, puede eliminar uncontexto antes de su período de retención para liberar recursos. No es posible eliminarcontextos con sesiones activas. Además, no se pueden eliminar los contextos derespaldo con contextos BRE activos. Los contextos BRE pueden eliminarse solo si noson parte de las sesiones activas.

Procedimiento

1. Haga clic en Data Protection > NDMP > Contexts.

2. En la tabla Contexts, seleccione un contexto y haga clic en Delete.


Administrar sesiones NDMPPuede ver el estado de las sesiones NDMP o finalizar una sesión en curso.

Información de sesión de NDMPLas aplicaciones de administración de datos (DMA) establecen sesiones con eldemonio NDMP que se ejecuta en el nodo del acelerador de respaldo. La comunicacióndesde el DMA con el demonio NDMP se administra en el contexto de una sesión.

Los siguientes elementos aparecen en la tabla Sessions:

Elemento Descripción

Sesión Especifica el número de identificación único que OneFS asignó ala sesión.

Elapsed Especifica el tiempo que transcurrió desde que inició la sesión.

Transferred Especifica la cantidad de datos que se transfirieron durante lasesión.

Rendimiento Especifica el rendimiento promedio de la sesión durante losúltimos cinco minutos.

Client/Remote Especifica la dirección IP del servidor de respaldo en el que seestá ejecutando la aplicación de administración de datos (DMA).


Ver contextos NDMP 391


Si actualmente se está ejecutando una operación de respaldo detipo NDMP o restauración de tipo NDMP de tres vías, tambiénaparece la dirección IP del servidor de medios de cinta remoto.

Mover/Data Especifica el estado actual del administrador de transferencia dedatos y del servidor de datos. La primera palabra describe laactividad del administrador de transferencia de datos. La segundapalabra describe la actividad del servidor de datos.El administrador de transferencia de datos y el servidor de datosse envían datos entre sí durante las operaciones de respaldo yrestauración. El administrador de transferencia de datos es uncomponente del servidor de respaldo que recibe datos durante lasoperaciones de respaldo y envía datos durante las operaciones derestauración. El servidor de datos es un componente de OneFSque envía datos durante las operaciones de respaldo y recibeinformación durante las operaciones de restauración.

Pueden aparecer los siguientes estados:

Activo

El administrador de transferencia de datos o el servidor dedatos están enviando o recibiendo datos actualmente.

En pausa

El administrador de transferencia de datos es temporalmenteincapaz de recibir datos. Mientras el administrador detransferencia de datos está pausado, el servidor no puedeenviar datos al administrador de transferencia de datos. Elservidor de datos no puede ponerse en pausa.

Inactivo

El administrador de transferencia de datos o el servidor dedatos no están enviando ni recibiendo datos.

En espera

El administrador de transferencia de datos o el servidor dedatos están esperando para conectarse con el otrodispositivo.

Operation Especifica el tipo de operación (respaldo o restauración) en cursoactualmente. Si no hay ninguna operación en curso, este campoestará en blanco.

B ({M} {F} [L[0-10] | T0 | Ti | S[0-10]] {r | R})

Donde:

[ a ]: a es obligatorio

{ a }: a es opcional

a | b: a o b, pero no al mismo tiempo

M: respaldo multi-stream

F: lista de archivos

L: basado en el nivel

T: basado en tokens




S: modo de snapshot

s: modo de Snapshot y un respaldo completo (cuando eldirectorio raíz es nuevo)

r: respaldo reiniciable

R: respaldo reiniciado

0 a 10: nivel de volcado

R ({M|s}[F | D | S]{h})

Donde:

M: restauración multi-stream

s: restauración de un solo hilo de ejecución (cuandoRESTORE_OPTIONS = 1)

F: restauración completa

D: DAR

S: restauración selectiva

h: restaurar vínculos permanentes por tabla

Source/Destination Si hay una operación en curso, especifica los directorios /ifsafectados por la operación. Si hay una operación de respaldo encurso, muestra la ruta del directorio de origen que se estárespaldando. Si hay una operación de restauración en curso,muestra la ruta del directorio que se está restaurando junto con eldirectorio de destino al cual está restaurando los datos el servidorde medios de cinta. Si está restaurando datos a la mismaubicación de la que se respaldaron los datos, aparecerá la mismaruta dos veces.

Device Especifica el nombre del dispositivo de cinta o cambiador demedios que se está comunicando con el clúster.

Mode Especifica el modo de interacción entre OneFS y los datos delservidor de medios de respaldo a través de las siguientesopciones:

Lectura/Escritura

OneFS está leyendo y escribiendo datos durante unaoperación de respaldo.

Lectura

OneFS está leyendo datos durante una operación derestauración.

Raw

La DMA tiene acceso a unidades de cinta, pero las unidadescon contienen medios de cinta con capacidad de escritura.

Acciones Permite sondear o eliminar una sesión.


Información de sesión de NDMP 393

Ejemplo 1 Operaciones de respaldo y restauración de tipo NDMP.

Los ejemplos de sesiones de respaldo de tipo NDMP se indican a través del campoOperation que se describe en la tabla anterior, como aparece a continuación:

B(T0): Token based full backup B(Ti): Token based incremental backup B(L0): Level based full backup B(L5): Level 5 incremental backup B(S0): Snapshot based full backup B(S3): Snapshot based level 3 backup B(FT0): Token based full filelist backup B(FL4): Level 4 incremental filelist backup B(L0r): Restartable level based full backup B(S4r): Restartable snapshot based level 4 incremental backup B(L7R): Restarted level 7 backup B(FT1R): Restarted token based incremental filelist backup B(ML0): Multi-stream full backup

Los ejemplos de sesiones de restauración de tipo NDMP se indican a través del campoOperation que se describe en la tabla anterior, como aparece a continuación:

R(F): Full restoreR(D): DARR(S): Selective restoreR(MF): Multi-stream full restoreR(sFh): single threaded full restore with restore hardlinks by table option

Ver sesiones de NDMPEs posible ver información acerca de las sesiones de NDMP activas.

Procedimiento

1. Haga clic en Data Protection > NDMP > Sessions.

2. En la tabla Sessions, revise la información acerca de las sesiones de NDMP.

Anular una sesión de NDMPEs posible anular una sesión de respaldo o restauración de tipo NDMP en cualquiermomento.

Procedimiento

1. Haga clic en Data Protection > NDMP > Sessions.

2. En la tabla Sessions, haga clic en la casilla de verificación correspondiente a lasesión que desea anular y haga clic en Delete.


Administración de puertos Fibre Channel NDMPEs posible administrar los puertos Fibre Channel que conectan dispositivos de cinta ycambiadores de medios con un nodo acelerador de respaldo. También es posible



habilitar, deshabilitar o modificar la configuración de un puerto Fibre Channel de tipoNDMP.

Ajustes de un puerto de respaldo de tipo NDMPOneFS asigna ajustes predeterminados a cada puerto Fibre Channel del nodoacelerador de respaldo conectado al clúster EMC Isilon. Estos ajustes identifican alpuerto y determinan cómo interactúa con los dispositivos de respaldo de tipo NDMP.

Los ajustes que aparecen en la tabla Ports son los siguientes:


LNN Especifica la cantidad de nodos lógicos del nodo acelerador de respaldo.

Puerto Especifica el nombre del nodo acelerador de respaldo y su número depuerto.

Topology Especifica el tipo de topología Fibre Channel con la que el puerto escompatible. Las opciones son:

Punto a punto

Un único dispositivo de respaldo o switch Fibre Channel conectadodirectamente al puerto.

Loop

Varios dispositivos de respaldo conectados a un único puerto enformación circular.

Automático

Detecta automáticamente la topología del dispositivo conectado.Esta es la configuración recomendada y es obligatoria si se usa unatopología switched fabric.

WWNN Especifica el World Wide Node Name (WWNN) del puerto. Este nombrees el mismo para todos los puertos de un nodo determinado.

WWPN Especifica el World Wide Port Name (WWPN) del puerto. Este nombrepertenece al puerto de manera única.

Tasa Especifica la velocidad con la que se envían datos a través del puerto. Lavelocidad se puede establecer en 1 Gb/s, 2 Gb/s, 4 Gb/s, 8 Gb/s, y

Auto. 8 Gb/s solo está disponible para los nodos A100. Si se establece

en Auto, el chip de Fibre Channel negocia con el switch de Fibre Channel

conectado o con los dispositivos Fibre Channel para determinar lavelocidad. Autoes la configuración recomendada.

State Especifica si un puerto está habilitado o deshabilitado.

Acciones Permite ver y editar la configuración del puerto.

Habilitar o deshabilitar un puerto de respaldo de tipo NDMPLos puertos de respaldo de tipo NDMP pueden habilitarse o deshabilitarse.

Procedimiento

1. Haga clic en Data Protection > NDMP > Ports.


Ajustes de un puerto de respaldo de tipo NDMP 395

2. En la fila de un puerto, haga clic en View / Edit.

Aparecerá el cuadro de diálogo View Port.

3. Haga clic en el botón Edit Port.

Aparecerá el cuadro de diálogo Edit Port.

4. En la lista desplegable State, seleccione Enable o Disable.

5. Haga clic en el botón Save Changes.

Ver puertos de respaldo de tipo NDMPEs posible ver información acerca de los puertos Fibre Channel de los nodosaceleradores de respaldo conectados al clúster EMC Isilon.

Procedimiento


2. En la tabla Ports, revise la información acerca de los puertos de respaldo detipo NDMP. Para obtener más información acerca de un puerto específico, hagaclic en el botón View/Edit correspondiente a ese puerto.

Modificar ajustes de un puerto de respaldo de tipo NDMPEs posible modificar los ajustes de un puerto de respaldo de tipo NDMP.

Procedimiento


2. Haga clic en el botón View/Edit correspondiente al puerto que desea modificar.

Aparecerá el cuadro de diálogo View Port.

3. Haga clic en el botón Edit Port.

Aparecerá el cuadro de diálogo Edit Port.

4. Edite la configuración en el cuadro de diálogo Edit Port y haga clic en SaveChanges al finalizar.

Administración de configuraciones de IP recomendadasNDMP

Si va a realizar operaciones de NDMP de tres vías mediante EMC Avamar en unambiente con varias interfaces de red, puede crear, modificar, eliminar, enumerar y verconfiguraciones de IP recomendadas de NDMP de todo el clúster o específicas desubredes.

Puede administrar las configuraciones IP recomendadas NDMP solo a través de lainterfaz de la línea de comandos de OneFS.

Crear una configuración de IP recomendada de NDMPSi está realizando una operación de respaldo o restauración de tres vías de tipo NDMPusando EMC Avamar, puede crear una configuración de IP recomendada para unasubred o un clúster.

Procedimiento

l Puede crear una configuración de IP recomendada de NDMP mediante el comandoisi ndmp settings preferred-ips create.



Por ejemplo, ejecute el siguiente comando para aplicar una configuración de IPNDMP recomendada para un clúster:

isi ndmp settings preferred-ips create cluster groupnet0.subnet0,10gnet.subnet0

Ejecute el comando tal como se muestra en el siguiente ejemplo para aplicar unaconfiguración de IP recomendada para un grupo de subred:

isi ndmp settings preferred-ips create 10gnet.subnet0 10gnet.subnet0,groupnet0.subnet0

Modificar una configuración de IP recomendada de NDMPSi está realizando una operación de respaldo o restauración de tres vías de tipo NDMPusando EMC Avamar, puede modificar una configuración de IP recomendadaagregando o eliminando un grupo de subred.

Procedimiento

l Para eliminar la configuración de IP recomendada de NDMP, ejecute el comandoisi ndmp settings preferred-ips modify.

Por ejemplo, ejecute los siguientes comandos para modificar la configuración de IPNDMP recomendada para un clúster:

isi ndmp settings preferred-ips modify 10gnet.subnet0 --add 10gnet.subnet0,groupnet0.subnet0

Ejecute el comando tal como aparece en el siguiente ejemplo para modificar laconfiguración de IP NDMP recomendada para una subred:

isi ndmp settings preferred-ips modify 10gnet.subnet0 --remove groupnet0.subnet0

Ver las configuraciones de IP recomendadas de NDMPSi está realizando una operación de respaldo o restauración de tres vías de tipo NDMPusando EMC Avamar, puede ver todas las configuraciones de IP recomendadas deNDMP.

Procedimiento

l Para ver la configuración de IP recomendada de NDMP, ejecute el comando isindmp settings preferred-ips list.

Por ejemplo, ejecute el siguiente comando para ver las configuraciones de IPrecomendada de NDMP:

isi ndmp settings preferred-ips list


Modificar una configuración de IP recomendada de NDMP 397

Ver la configuración de IP NDMP recomendadaSi está realizando una operación de respaldo o restauración de tres vías de tipo NDMPusando EMC Avamar, puede ver la configuración de IP recomendada para una subredo un clúster.

Procedimiento

l Para ver la configuración de IP recomendada NDMP, puede ejecutar el comandoisi ndmp settings preferred-ips view.

Por ejemplo, ejecute el siguiente comando para ver la configuración de IPrecomendada NDMP para una subred:

isi ndmp settings preferred-ips view 10gnet.subnet0

Eliminar la configuración de IP recomendada de NDMPSi está realizando una operación de respaldo o restauración de tres vías de tipo NDMPusando EMC Avamar, puede eliminar una configuración de IP recomendada para unasubred o un clúster.

Procedimiento

l Para eliminar la configuración de IP recomendada de NDMP, ejecute el comandoisi ndmp settings preferred-ips delete.

Por ejemplo, ejecute el siguiente comando para eliminar la configuración de IPrecomendada para una subred:

isi ndmp settings preferred-ips delete 10gnet.subnet0

Administración de dispositivos de respaldo de tipo NDMPCuando se conecta un dispositivo de cintas o cambiador de medios a un nodoacelerador de respaldo, es necesario configurar OneFS para que detecte el dispositivoy establezca una conexión. Una vez establecida la conexión entre el clúster y eldispositivo de respaldo, puede modificar el nombre que asigna el clúster al dispositivoo desconectar el dispositivo del clúster.

En caso de que el dispositivo tenga varios LUN, debe configurar LUN0 de modo quetodos los LUN se detecten correctamente.

Ajustes del dispositivo de respaldo de tipo NDMPOneFS crea una entrada de dispositivo por cada dispositivo que se conecte al clústermediante un nodo acelerador de respaldo.

En la siguiente tabla se describen los ajustes que se pueden revisar para un dispositivode cambiador de medios o de cinta en la tabla Devices y a través del cuadro de diálogoView Tape Devices que aparece cuando se selecciona un dispositivo y se hace clic enView/Edit:


Name Especifica un nombre de dispositivo asignado por OneFS.




State Indica si el dispositivo se encuentra en uso. Si actualmente se estánrespaldando datos en el dispositivo o se están restaurando datoscontenidos en este, aparecerá el estado Read/Write. Si el dispositivo

no se encuentra en uso, aparecerá Closed.

WWNN Especifica el nombre World Wide Node Name (WWNN) del dispositivo.

Product(Vendor/Model/Revision)

Especifica el nombre del proveedor del dispositivo y el nombre o númerode modelo del dispositivo.

Serial Number Especifica el número de serie del dispositivo.

Actions Permite ver, editar o eliminar un dispositivo.

Path Especifica el nombre del nodo acelerador de respaldo conectado aldispositivo y el o los números de puerto a los que está conectado eldispositivo.

LUN Especifica el número de unidad lógica (LUN) del dispositivo.

State Especifica si el dispositivo está activo o inactivo.

WWPN Especifica el nombre World Wide Port Name (WWPN) del puerto en eldispositivo de cinta o cambiador de medios.

Port ID Especifica el ID de puerto del dispositivo que vincula el dispositivo lógicocon el dispositivo físico.

Open Count Un contador de las conexiones activas y abiertas del dispositivo.

Device Name Especifica el nombre del dispositivo normal que aparece en el sistemaoperativo FreeBSD.

Pass Name Especifica el nombre del dispositivo de paso que aparece en el sistemaoperativo FreeBSD.

Detectar dispositivos de respaldo de tipo NDMPSi conecta un dispositivo de cinta o un cambiador de medios a un nodo acelerador derespaldo, debe configurar OneFS para que detecte el dispositivo. De lo contrario,OneFS no podrá respaldar datos al dispositivo ni restaurar datos de este. En OneFS,puede escanear un nodo EMC Isilon específico, un puerto específico o todos lospuertos de todos los nodos.

Procedimiento

1. Haga clic en Data Protection > NDMP > Devices.

2. Haga clic en el vínculo Discover Devices.

Aparecerá el cuadro de diálogo Discover Devices.

3. (Opcional) Si desea escanear solamente un nodo específico para detectardispositivos NDMP, seleccione un nodo en la lista Node.

4. (Opcional) Si desea escanear solamente un puerto específico para detectardispositivos NDMP, seleccione un puerto en la lista Ports.


Detectar dispositivos de respaldo de tipo NDMP 399

Si especifica un puerto y un nodo, se escaneará solamente el puertoespecificado del nodo. Sin embargo, si especifica solamente un puerto, seescaneará el puerto especificado en todos los nodos.

5. (Opcional) Para eliminar entradas de dispositivos o rutas que se han vueltoinaccesibles, seleccione la casilla de verificación Delete inaccessible paths ordevices.


Resultados

Por cada dispositivo que se detecte, se agregará una entrada en las tablas TapeDevices o Media Changers.

Ver dispositivos de respaldo de tipo NDMPEs posible ver información acerca de los dispositivos de cinta y cambiadores de mediosque se encuentran conectados actualmente al clúster EMC Isilon.

Procedimiento


2. En las tablas Tape Devices y Media Changer Devices, consulte la informaciónacerca de los dispositivos de respaldo de tipo NDMP.

Modificar el nombre de un dispositivo de respaldo de tipo NDMPEs posible modificar el nombre de un dispositivo de respaldo de tipo NDMP en OneFS.

Procedimiento


2. En la tabla Tape Devices o Media Changer Devices, haga clic en la casilla deverificación correspondiente al nombre de una entrada del dispositivo derespaldo.

3. Haga clic en View/Edit.

Aparecerá el cuadro de diálogo View Tape Devices o View Media Changers.

4. Haga clic en Edit Tape Device.

Aparecerá el cuadro de diálogo Edit Tape Devices o Edit Media Changers.

5. Edite el nombre del dispositivo.


Eliminar una entrada de un dispositivo de respaldo de tipo NDMPSi extrae físicamente un dispositivo NDMP de un clúster EMC Isilon, OneFS conservala entrada correspondiente a ese dispositivo. Es posible eliminar la entradacorrespondiente a un dispositivo retirado. También es posible eliminar la entradacorrespondiente a un dispositivo que todavía está físicamente conectado al clúster;esto hace que OneFS se desconecte del dispositivo.

Si elimina la entrada correspondiente a un dispositivo que está conectado al clúster yno desconecta físicamente el dispositivo, OneFS detectará el dispositivo la próximavez que escanee los puertos. No es posible eliminar la entrada correspondiente a undispositivo que está actualmente en uso.



Procedimiento


2. En las tablas Tape Devices o Media Changer Devices, haga clic en la casilla deverificación correspondiente al dispositivo que desea eliminar.



Descripción general de los archivos dumpdate de NDMPCuando se configura la variable de ambiente UPDATE en Y, el demonio NDMPmantiene un archivo dumpdates para registrar todas las sesiones de respaldo,excepto aquellas basadas en tokens. La fecha y hora dentro del archivo dumpdatesayudan a identificar los archivos modificados para el próximo respaldo basado enniveles. Las entradas dentro del archivo dumpdates también proporcionaninformación sobre la última sesión de respaldo en una ruta determinada y el tipo desesión de respaldo, que puede ser completo, incremental basado en niveles o basadoen instantáneas. Esta información determina el tipo de respaldo incremental que sedebe ejecutar posteriormente. Las entradas dentro del archivo dumpdates puedenquedar obsoletas si se elimina la ruta del respaldo. En tal caso, se pueden quitar todaslas entradas obsoletas del archivo dumpdates.

Administrar el archivo dumpdates de NDMPPuede ver o eliminar entradas en el archivo dumpdates de NDMP.

Configuración de archivo dumpdates de NDMPPuede ver detalles acerca de las entradas en el archivo dumpdates de NDMPeliminarlos si es necesario.

Los ajustes que aparecen en la tabla Dumpdates son los siguientes:


Date Especifica la fecha en la que se agregó unaentrada al archivo dumpdates.

ID El identificador de una entrada en el archivodumpdates.

Level Especifica el nivel de respaldo.

Path Especifica la ruta donde se guarda el archivodumpdates.

Snapshot ID Identifica los archivos modificados para elsiguiente nivel de respaldo. Este ID esaplicable solo para los respaldos basados eninstantáneas. En todos los demás casos, elvalor es 0.

Actions Elimina una entrada del archivo dumpdates.


Descripción general de los archivos dumpdate de NDMP 401

Ver las entradas en el archivo dumpdates de NDMPEs posible ver todas las entradas en el archivo dumpdates de NDMP.

Procedimiento


2. En la tabla Dumpdates, vea la información acerca de las entradas en el archivodumpdates de NDMP.

Eliminar entradas del archivo dumpdates de NDMPEs posible eliminar las entradas del archivo dumpdates de NDMP.

Procedimiento


2. En la tabla Dumpdates, haga clic en Delete junto a la entrada que deseaeliminar.


Operaciones de restauración de NDMPNDMP admite los siguientes tipos de operaciones de restauración:

l Restauración NDMP paralela (proceso multithread)

l Restauración NDMP en serie (proceso con un solo hilo de ejecución)

Operación de restauración NDMP paralelaLa restauración paralela (multithread) permite operaciones de restauración completaso parciales más rápidas, ya que escribe datos al clúster con la misma velocidad con laque se leen desde las cintas. En OneFS, la restauración paralela es el mecanismopredeterminado de restauración.

El mecanismo de restauración paralela permite restaurar varios archivos en formasimultánea.

Operación de restauración en serie de tipo NDMPPara la solución de problemas u otros fines, puede realizar una operación derestauración en serie, que usa menos recursos del sistema. La operación derestauración en serie se ejecuta como un proceso de un solo hilo de ejecución yrestaura un archivo a la vez en la ruta especificada.

Especificar una operación de restauración en serie de tipo NDMPPuede usar la variable del ambiente RESTORE_OPTIONS para especificar unaoperación de restauración en serie (con un solo hijo de ejecución).

Procedimiento

1. En su aplicación de administración de datos, configure una operación derestauración como lo haría habitualmente.

2. Asegúrese de que la variable del ambiente RESTORE_OPTIONS esté establecidaen 1 en su aplicación de administración de datos.



Si la variable del ambiente RESTORE_OPTIONS aún no está establecida en 1,especifique el comando isi ndmp settings variables modify desde lalínea de comandos de OneFS. El siguiente comando especifica la restauraciónen serie del directorio /ifs/data/projects:

isi ndmp settings variables modify /ifs/data/projects RESTORE_OPTIONS 1

El valor de la opción path debe coincidir con la variable del ambienteFILESYSTEM establecida durante la operación de respaldo. El valor que seespecifica para la opción name distingue mayúsculas de minúsculas.

3. Inicie la operación de restauración.

Uso compartido de unidades de cinta entre clústeresEs posible configurar varios clústeres Isilon, o un clúster EMC Isilon y un sistema NASde otros fabricantes, para que compartan una sola unidad de cinta. Esto permite quese maximice el uso de la infraestructura de cintas en su centro de datos.

En su aplicación de administración de datos (DMA), debe configurar NDMP paracontrolar la unidad de cinta y garantizar que se comparta correctamente. Lassiguientes configuraciones son compatibles:

Versiones deOneFS

DMA compatibles Configuraciones probadas

l 7.1.1

l 7.1.0.1 (yversionesposteriores)*

l 8.0.0

l 8.0.1

l EMC NetWorker 8.0 yversiones posteriores

l Symantec NetBackup 7.5 yversiones posteriores

l Nodo acelerador de respaldo deIsilon con un segundo aceleradorde respaldo

l Nodo acelerador de respaldo deIsilon con un sistema dealmacenamiento NetApp

*La función de uso compartido de unidades de cinta no es compatible en la versiónOneFS 7.0.1.

EMC NetWorker se refiere a la funcionalidad de uso compartido de unidades de cintacomo DDS (Dynamic Drive Sharing). Symantec NetBackup utiliza el término SSO(opción de almacenamiento compartido). Consulte la documentación del proveedor deDMA para obtener instrucciones de configuración.

Administración de respaldos incrementales basados ensnapshots

Después de habilitar respaldos incrementales basados en snapshots, puede ver yeliminar los snapshots creados para estos respaldos.


Uso compartido de unidades de cinta entre clústeres 403

Habilitar respaldos incrementales basados en snapshots para un directorioDe forma predeterminada, puede configurar OneFS para que ejecute respaldosincrementales basados en snapshots para un directorio. También puede reemplazar laconfiguración predeterminada en su aplicación de administración de datos (DMA).

Procedimiento

l Ejecute el comando isi ndmp settings variable create.

El siguiente comando habilita los respaldos incrementales basados en snapshotpara /ifs/data/media:

isi ndmp settings variables create /ifs/data/media BACKUP_MODE SNAPSHOT

Ver snapshots para respaldos incrementales basados en snapshotsPuede ver snapshots generados para respaldos incrementales basados en snapshots.

Procedimiento


2. En la tabla Dumpdates, puede ver la información sobre los respaldosincrementales basados en instantáneas.

Eliminar snapshots para respaldos incrementales basados en snapshotsPuede eliminar snapshots creados para respaldos incrementales basados ensnapshots.

Nota

Se recomienda no eliminar snapshots creados para respaldos incrementales basadosen snapshots. Si se eliminan todas las instantáneas de una ruta, el siguiente respaldoejecutado para esa ruta será un respaldo completo.

Procedimiento


2. En la tabla Dumpdates, haga clic en Delete junto a la entrada que deseaeliminar.




CAPÍTULO 18

Retención de archivos con SmartLock


l Descripción general de SmartLock...................................................................406l Modo de cumplimiento de normas....................................................................406l Modo empresarial............................................................................................ 406l Directorios de SmartLock.................................................................................407l Acceso a SmartLock con IsilonSD Edge........................................................... 407l Replicación y respaldo con SmartLock.............................................................408l Funcionalidad de licencia de SmartLock...........................................................408l Consideraciones de SmartLock........................................................................ 409l Establecer el reloj de cumplimiento de normas.................................................409l Ver el reloj de cumplimiento de normas.............................................................410l Creación de un directorio de SmartLock...........................................................410l Administración de directorios SmartLock..........................................................412l Administración de archivos en directorios de SmartLock.................................. 414

Retención de archivos con SmartLock 405

Descripción general de SmartLockCon el módulo de software SmartLock, puede proteger los archivos de un clúster EMCIsilon para impedir que se modifiquen, sobrescriban o eliminen. Para proteger losarchivos de esta manera, se debe activar una licencia de SmartLock.

Con SmartLock, es posible identificar un directorio en OneFS como un dominioWORM. WORM significa Write Once, Read Many, lo cual implica que los archivosadmiten una sola operación de escritura y múltiples operaciones de lectura. Todos losarchivos dentro del dominio WORM pueden asignarse a un estado WORM, lo quesignifica que esos archivos no se pueden sobrescribir, modificar ni eliminar.

El archivo se puede eliminar después de liberarlo del estado WORM. Sin embargo, nopodrá modificar un archivo que se haya confirmado en un estado WORM, inclusodespués de haberlo liberado de ese estado.

En OneFS, SmartLock puede implementarse en uno de estos dos modos: modo decumplimiento de normas o modo empresarial.

Modo de cumplimiento de normasEl modo SmartLock Compliance le permite proteger sus datos en cumplimiento de lasnormas definidas por la regla 17a-4 de la Comisión de Bolsa y Valores de los EstadosUnidos. Esta normativa, destinada a los agentes y corredores bursátiles, especifica quelos registros de todas las transacciones de la bolsa deben archivarse sin que seaposible sobrescribirlas ni borrarlas.

Nota

Un clúster EMC Isilon puede configurarse para el modo de cumplimiento de normas deSmartLock únicamente durante el proceso de configuración inicial del clúster, antes deactivar una licencia de SmartLock. No se puede convertir un clúster al modo decumplimiento de normas de SmartLock después de configurar y poner en producciónel clúster.

Si configura un clúster para el modo de cumplimiento de normas de SmartLock, elusuario raíz estará deshabilitado y no podrá iniciar sesión en ese clúster mediante lacuenta de usuario raíz. En lugar de ello, puede iniciar sesión en el clúster con la cuentade administrador de cumplimiento de normas que se establece durante laconfiguración inicial del modo de cumplimiento de normas de SmartLock.

Tras iniciar sesión con la cuenta de administrador de cumplimiento de normas en elclúster en el modo de cumplimiento de normas, puede realizar tareas administrativasmediante el comando sudo.

Modo empresarialPuede crear dominios de SmartLock y aplicar el estado WORM a los archivos mediantela activación de una licencia de SmartLock en un clúster en la configuración estándar.Esto se conoce como el modo empresarial de SmartLock.

El modo empresarial de SmartLock no cumple con las normativas de la SEC, peropermite crear directorios de SmartLock y aplicar controles de SmartLock paraproteger los archivos, de modo que no se puedan sobrescribir ni borrar. Además, lacuenta de usuario raíz permanece en su sistema.



Directorios de SmartLockEn un directorio de SmartLock, puede confirmar un archivo en un estado WORMmanualmente o configurar SmartLock para que confirme el archivo automáticamente.Antes de poder crear directorios de SmartLock, debe activar una licencia deSmartLock en el clúster.

Puede crear dos tipos de directorios de SmartLock: empresarial y de cumplimiento denormas. Sin embargo, puede crear directorios de cumplimiento de normas únicamentesi el clúster EMC Isilon se configuró en el modo de cumplimiento de normas deSmartLock durante la configuración inicial.

Los directorios empresariales permiten proteger los datos sin que el clúster debacumplir con las normativas definidas en la regla 17a-4 de la Comisión de Bolsa yValores de Estados Unidos. Si confirma un archivo en un estado WORM dentro undirectorio empresarial, el archivo no se podrá modificar ni eliminar hasta que pase elperíodo de retención.

Sin embargo, si posee un archivo y recibió el privilegioISI_PRIV_IFS_WORM_DELETE, o si inició sesión con la cuenta de usuario raíz, puedeeliminar el archivo mediante la funcionalidad de eliminación antes de que finalice elperíodo de retención. La función de eliminación con privilegios no está disponible paralos directorios de cumplimiento de normas. Los directorios empresariales hacenreferencia al reloj del sistema para facilitar las operaciones dependientes del tiempo,incluida la retención de archivos.

Los directorios de cumplimiento de normas permiten proteger los datos encumplimiento de las normativas definidas por la regla 17a-4 de la Comisión de Bolsa yValores de los Estados Unidos. Si confirma un archivo en un estado WORM dentro undirectorio de cumplimiento de normas, el archivo no se podrá modificar ni eliminarhasta que pase el período de retención especificado. No se pueden eliminar losarchivos confirmados, aun si inició sesión en la cuenta de administrador decumplimiento de normas. Los directorios de cumplimiento de normas hacen referenciaal reloj de cumplimiento de normas para facilitar las operaciones dependientes deltiempo, como la retención de archivos.

Debe configurar el reloj de cumplimiento de normas antes de crear los directorios decumplimiento de normas. Después de configurar el reloj de cumplimiento de normaspor primera vez, la hora no puede modificarse. El tiempo de retención de los archivosconfirmados en WORM puede aumentarse en forma individual, si así lo desea, pero nose puede reducir.

El demonio de reloj de cumplimiento de normas controla el reloj. Los usuarios raíz yadministrador de cumplimiento de normas pueden deshabilitar el demonio del reloj decumplimiento de normas, lo cual aumentaría el período de retención para todos losarchivos confirmados en estado WORM. Sin embargo, no se recomienda hacer esto.

Acceso a SmartLock con IsilonSD EdgeSi utiliza IsilonSD Edge, el módulo de software de SmartLock está disponible solo sicompró una licencia. No se incluye con la licencia gratuita de IsilonSD Edge.

Tome en cuenta las siguientes consideraciones antes de usar SmartLock con IsilonSDEdge:


Directorios de SmartLock 407

l A pesar de que IsilonSD Edge es compatible con la funcionalidad de SmartLock enlos modos empresarial y de cumplimiento de normas, es probable que un clúster deIsilonSD no cumpla con las normativas definidas por la regla 17a-4 de la Comisiónde Bolsa y Valores de los Estados Unidos. Esto se debe a que el software devirtualización en el que se ejecuta el clúster IsilonSD mantiene un usuario raíz que,en teoría, podría alterar la configuración de discos del clúster virtual y, por lo tanto,los datos que residen en ella.

l Si un clúster IsilonSD se ejecuta en modo de cumplimiento de normas, no sepueden agregar nodos nuevos al clúster. Por lo tanto, debe agregar tantos nodoscomo sea necesario antes de colocar el clúster en el modo de cumplimiento denormas de SmartLock.

Replicación y respaldo con SmartLockOneFS permite que los directorios empresariales y de cumplimiento de normas deSmartLock se repliquen o respalden en un clúster de destino.

Si está replicando directorios de SmartLock con SyncIQ, se recomienda que configuretodos los nodos de los clústeres de origen y de destino en el modo par de NTP paraasegurarse de que los relojes de los nodos estén sincronizados. En el caso de losclústeres de cumplimiento de normas, se recomienda que configure todos los nodos delos clústeres de origen y de destino en el modo par de NTP antes de configurar losrelojes de cumplimiento de normas. De esta manera, los clústeres de origen y dedestino se establecen inicialmente con la misma hora, lo cual ayuda a garantizar elcumplimiento de la regla 17a-4 de la Comisión de Bolsa y Valores de Estados Unidos.

Nota

Si replica los datos a un directorio SmartLock, no configure los ajustes de SmartLockde ese directorio hasta que deje de replicar datos en él. La configuración de un períodode tiempo de confirmación automática de un directorio de SmartLock de destino, porejemplo, puede hacer que fallen los trabajos de replicación. Si el directorio de destinoconfirma un archivo en un estado WORM y luego este se modifica en el clúster deorigen, el siguiente trabajo de replicación fallará, ya que no podrá sobrescribir elarchivo confirmado.

Si respalda datos en un dispositivo NDMP, todos los metadatos de SmartLockrelacionados con la fecha de retención y el estado de confirmación se transfieren aldispositivo NDMP. Si recupera datos en un directorio de SmartLock del clúster, losmetadatos seguirán estando en el clúster. Sin embargo, si el directorio donde recuperalos datos no es un directorio de SmartLock, se pierden los metadatos. Puederecuperar datos en un directorio de SmartLock únicamente si este se encuentra vacío.

Funcionalidad de licencia de SmartLockDebe activar una licencia de SmartLock en un clúster EMC Isilon antes de poder creardirectorios de SmartLock y confirmar archivos en un estado WORM.

Si una licencia de SmartLock se vuelve inactiva, no podrá crear nuevos directorios deSmartLock en el clúster, modificar los ajustes de configuración del directorio deSmartLock ni eliminar archivos que se hayan confirmado en un estado WORM en losdirectorios empresariales antes de las fechas de vencimiento. Sin embargo, aún puedeconfirmar los archivos de los directorios de SmartLock existentes en un estadoWORM.



Si una licencia de SmartLock se vuelve inactiva en un clúster que se ejecuta en elmodo de cumplimiento de normas de SmartLock, no se restaurará el acceso raíz alclúster.

Consideraciones de SmartLockl Si un archivo es propiedad exclusiva de un usuario raíz y se encuentra en un clúster

EMC Isilon que está en el modo de cumplimiento de normas de SmartLock, no sepodrá acceder a ese archivo, ya que la cuenta de usuario raíz está deshabilitada enel modo de cumplimiento de normas. Por ejemplo, esto puede suceder si a unarchivo se le asigna propiedad de raíz en un clúster que no se ha configurado en elmodo de cumplimiento de normas, y luego el archivo se replica en un clúster en elmodo de cumplimiento de normas. Esto también puede ocurrir si se restaura unarchivo con propiedad de raíz en un clúster de cumplimiento de normas desde unacopia de respaldo.

l Se recomienda que cree archivos fuera de los directorios de SmartLock y queluego los transfiera a un directorio de SmartLock después de que haya terminadode trabajar con ellos. Si se encuentra cargando archivos a un clúster, serecomienda que los cargue a un directorio que no sea de SmartLock y que luegolos transfiera a un directorio de SmartLock. Si se confirma un archivo en un estadoWORM mientras se carga, ese archivo queda atrapado en un estado incoherente.

l Los archivos puede asignarse a un estado WORM mientras estén abiertos. Si seespecifica un tiempo de asignación automatizada en un directorio, el período deasignación automatizada se calcula sobre la base del tiempo transcurrido desde laúltima vez que se modificó el archivo, no desde la última vez que se cerró elarchivo. Si se retrasa la escritura a un archivo abierto por un plazo superior alperíodo de confirmación automática, se confirma automáticamente en un estadoWORM y ya no se puede escribir en el archivo.

l En un ambiente de Microsoft Windows, si se asigna un archivo a un estado WORM,ya no será posible modificar los atributos Oculto u Archivo. Cualquier intento demodificar los atributos Oculto o Archivo de un archivo asignado a un estadoWORM genera un error. Esto puede impedir que aplicaciones de tercerosmodifiquen los atributos Oculto o Archivo.

Establecer el reloj de cumplimiento de normasAntes de crear directorios de cumplimiento de normas de SmartLock, es necesarioestablecer el reloj de cumplimiento de normas.

El establecimiento del reloj de cumplimiento de normas configura el reloj para quetenga la misma hora que el reloj del sistema del clúster EMC Isilon. Antes de establecerel reloj de cumplimiento de normas, asegúrese de que el reloj del sistema tenga la horacorrecta. Si más adelante el reloj de cumplimiento de normas deja de estarsincronizado con el reloj del sistema, se corregirá lentamente para coincidir con esteúltimo. El reloj de cumplimiento de normas se corrige a una velocidad deaproximadamente una semana por año.

Procedimiento

1. Haga clic en File System > SmartLock > WORM.

2. Haga clic en Start Compliance Clock.


Consideraciones de SmartLock 409

Ver el reloj de cumplimiento de normasPuede ver la hora actual en el reloj de cumplimiento de normas.

Procedimiento


2. En el área Compliance Clock, vea el reloj de cumplimiento de normas.

Creación de un directorio de SmartLockPuede crear un directorio de SmartLock y establecer los ajustes de configuración quecontrolan cuánto tiempo se conservan los archivos en un estado WORM y cuándo seconfirman automáticamente en un estado WORM. No puede mover ni cambiar elnombre de un directorio que contenga un directorio de SmartLock.

Periodos de retenciónUn período de retención es la cantidad de tiempo que un archivo permanece en unestado WORM antes de abandonar ese estado. Puede configurar los ajustes deldirectorio de SmartLock para aplicar períodos de retención predeterminados, máximosy mínimos correspondientes al directorio.

Si confirma un archivo manualmente, puede especificar de manera opcional la fecha enla que este abandonará el estado WORM. Puede configurar un período de retenciónmínimo y uno máximo para un directorio de SmartLock a fin de evitar que los archivosse conserven por un plazo demasiado largo o demasiado corto. Se recomiendaespecificar un período mínimo de retención para todos los directorios de SmartLock.

Por ejemplo, digamos que tiene un directorio de SmartLock con un período deretención mínimo de dos días. El lunes a las 13:00 h confirma un archivo en un estadoWORM y especifica que debe abandonar dicho estado el martes a las 15:00 h. Elarchivo abandonará el estado WORM dos días después, el miércoles a las 13:00 h, yaque retirarlo antes implicaría una infracción del período mínimo de retención.

También puede configurar un período de retención predeterminado que se asignacuando confirma un archivo sin especificar la fecha en que este abandonará el estadoWORM.

Períodos de tiempo de confirmación automáticaPuede configurar un período de tiempo de confirmación automática para losdirectorios de SmartLock. Un período de tiempo de confirmación automática provocala confirmación automática en un estado WORM de los archivos que han estado en undirectorio de SmartLock por un plazo determinado sin sufrir modificaciones.

Si modifica el período de tiempo de confirmación automática de un directorio deSmartLock que contiene archivos no confirmados, el nuevo período de tiempo deconfirmación automática se aplica inmediatamente a los archivos que existían antes dela modificación. Por ejemplo, considere un directorio de SmartLock con un período detiempo de confirmación automática de dos horas. Si modifica un archivo del directoriode SmartLock a las 13:00 h, y acorta el período de tiempo de confirmación automáticaa una hora a las 14:15 h, el archivo se confirma instantáneamente en un estado WORM.

Si un archivo se confirma manualmente en un estado WORM, se modifican lospermisos de lectura y escritura del archivo. Sin embargo, si un archivo se confirma



automáticamente en un estado WORM, los permisos de lectura y escritura del archivono se modifican.

Crear un directorio empresarial a partir de un directorio que no está vacíoPuede convertir un directorio no vacío en un directorio empresarial de SmartLock.Este procedimiento está disponible solo a través de la interfaz de la línea de comandos(CLI).

Antes de crear un directorio de SmartLock, considere las siguientes condiciones yrequisitos:

l No puede crear un directorio de SmartLock como un subdirectorio de un directoriode SmartLock existente.

l Los vínculos físicos no pueden cruzar los límites del directorio de SmartLock.

l La creación de un directorio de SmartLock provoca la creación de un dominio deSmartLock correspondiente para ese directorio.

Procedimiento

1. Ejecute el comando isi job jobs start.

El siguiente comando crea un dominio empresarial de SmartLock para /ifs/data/smartlock:

isi job jobs start DomainMark --root /ifs/data/smartlock --dm-type Worm

Crear un directorio de SmartLockPuede crear un directorio de SmartLock y confirmar los archivos de ese directorio enun estado WORM.

Antes de crear un directorio de SmartLock, considere las siguientes condiciones yrequisitos:

l No puede crear un directorio de SmartLock como un subdirectorio de un directoriode SmartLock existente.

l Los vínculos físicos no pueden cruzar los límites del directorio de SmartLock.

l La creación de un directorio de SmartLock provoca la creación de un dominio deSmartLock correspondiente para ese directorio.

Procedimiento



3. En la lista Type, especifique si el directorio es un directorio empresarial o undirectorio de cumplimiento de normas.

Los directorios de cumplimiento de normas permiten proteger los datos encumplimiento de las normativas definidas por la regla 17a-4 de la Comisión deBolsa y Valores de los Estados Unidos. Los directorios empresariales permitenproteger los datos sin atenerse a esas restricciones.Esta opción solo está disponible si el clúster se encuentra en el modo decumplimiento de normas de SmartLock. Si el clúster no está en modo decumplimiento de normas, todos los directorios de SmartLock son directoriosempresariales.


Crear un directorio empresarial a partir de un directorio que no está vacío 411

4. En la lista Privileged Delete, especifique si desea que el usuario raíz puedaeliminar los archivos que actualmente están confirmados en un estado WORM.

Nota

Esta funcionalidad está disponible solo para los directorios empresariales deSmartLock.

5. En el campo Path, escriba la ruta completa del directorio que desea transformaren un directorio de SmartLock.

La ruta especificada debe pertenecer a un directorio vacío en el clúster.

6. (Opcional) Para especificar un período de retención predeterminado para eldirectorio, haga clic enApply a default retention span y especifique un período.

Si se confirma un archivo en estado WORM sin especificar un día para liberar elarchivo de ese estado, se asignará el período de retención predeterminado.

7. (Opcional) Para especificar un período de retención mínimo para el directorio,haga clic en Apply a minimum retention span y especifique un período.

El período mínimo de retención garantiza que los archivos se conserven en unestado WORM durante, al menos, el período de tiempo especificado.

8. (Opcional) Para especificar un período de retención máximo para el directorio,haga clic enApply a maximum retention span y especifique un período.

El período máximo de retención garantiza que los archivos no continúen enestado WORM más allá del período especificado.


10. Haga clic en Create.

Administración de directorios SmartLockPuede modificar la configuración del directorio de SmartLock, incluido el período deretención predeterminado, mínimo y máximo, además del período de tiempo deconfirmación automática.

Se le puede cambiar el nombre a un directorio SmartLock solamente si este seencuentra vacío.

Modificar un directorio de SmartLockPuede modificar los ajustes de configuración de SmartLock para un directorio deSmartLock.

Procedimiento


2. En la tabla Write Once, Read Many (WORM) Domains, en la fila de undirectorio de SmartLock, haga clic en View / Edit.

3. Haga clic en Edit Domain.

4. Modifique la configuración y haga clic en Save Changes.



Ver los ajustes de directorios SmartLockPuede ver la configuración de directorios de SmartLock.

Procedimiento



3. En el cuadro de diálogo View WORM Domain Details, vea la configuración deldirectorio de SmartLock.

Ajustes de configuración de directorios de SmartLockEs posible configurar los ajustes de directorios de SmartLock que determinan cuándolos archivos se confirman en un estado WORM y por cuánto tiempo se conservan endicho estado.

Ruta

La ruta del directorio.

Root Logical Inode (LIN)

El LIN del directorio.

ID

El ID numérico del dominio de SmartLock correspondiente.

Tipo

El tipo de directorio de SmartLock.

Enterprise

Los directorios empresariales le permiten proteger sus datos sin limitar alclúster para cumplir con las normativas definidas por la regla 17a-4 de lacomisión de bolsa y valores de EE. UU.

Cumplimiento de normas

Los directorios de cumplimiento de normas le permiten proteger sus datosconforme a las normas definidas por la regla 17a-4 de la comisión de bolsa yvalores de EE. UU.

Eliminación con privilegios

Indica si los archivos del directorio confirmados en un estado WORM se puedeneliminar a través de la funcionalidad de eliminación con privilegios. Para acceder ala funcionalidad de eliminación con privilegios, debe tener asignado el privilegioISI_PRIV_IFS_WORM_DELETE y poseer el archivo que va a eliminar. Tambiénpuede acceder a la funcionalidad de eliminación de privilegios para cualquierarchivo si inició sesión a través de la cuenta de usuario raíz o compadmin.

on

Los archivos confirmados en un estado WORM se pueden eliminar con elcomando isi worm files delete.

off

Los archivos confirmados en un estado WORM no se pueden eliminar, nisiquiera mediante el comando isi worm files delete.


Ver los ajustes de directorios SmartLock 413

disabled

Los archivos confirmados en un estado WORM no se pueden eliminar, nisiquiera mediante el comando isi worm files delete. Después deaplicar esta configuración, no se puede modificar.

Apply a default retention span

El período de retención predeterminado del directorio. Si un usuario no especificauna fecha para liberar un archivo de un estado WORM, se asigna el período deretención predeterminado.

Enforce a minimum retention time span

El período de retención mínimo del directorio. Los archivos se conservan en unestado WORM por al menos la cantidad de tiempo especificada, aun cuando unusuario especifica una fecha de vencimiento que conlleva un período de retenciónmás breve.

Enforce a maximum retention time span

El período de retención máximo del directorio. Los archivos no se puedenconservar en un estado WORM por más tiempo que el período especificado,incluso si un usuario especifica una fecha de vencimiento que da lugar a unperíodo de retención más prolongado.

Automatically commit files after a specific period of time

El período de tiempo de confirmación automática del directorio. Cuando unarchivo de este directorio de SmartLock no sufre modificaciones durante elperíodo de tiempo especificado, se confirma automáticamente en un estadoWORM.

Override retention periods and protect all files until a specific date

La fecha de reemplazo de retenciones del directorio. Los archivos que seconfirman en un estado WORM no se liberan de este estado hasta después de lafecha especificada, sin importar el período de retención máximo para el directorioo si un usuario especifica una fecha anterior para liberar un archivo de un estadoWORM.

Administración de archivos en directorios de SmartLockPuede confirmar archivos en directorios de SmartLock en un estado WORM mediantela eliminación de los privilegios de lectura y escritura del archivo. También puedeestablecer una fecha específica de vencimiento del período de retención del archivo.Una vez que un archivo se confirma en un estado WORM, se puede aumentar elperíodo de retención del archivo, pero no puede acortar dicho período. No se puedemover un archivo que se ha confirmado en un estado WORM, aun cuando hayavencido el período de retención del archivo.

La fecha de vencimiento del período de retención se establece a través de lamodificación del tiempo de acceso de un archivo. En una línea de comandos de UNIX,el tiempo de acceso se puede modificar con el comando touch. Aunque no existe unmétodo para modificar el tiempo de acceso a través del Explorador de Windows, puedemodificarlo mediante Windows PowerShell. El acceso a un archivo no establece lafecha de vencimiento del período de retención.

Si ejecuta el comando touch en un archivo de un directorio de SmartLock sinespecificar una fecha para liberar el archivo de un estado de SmartLock y lo confirma,el período de retención se establece automáticamente en el período predeterminado



especificado para el directorio de SmartLock. Si no ha especificado un período deretención predeterminado para el directorio de SmartLock, se asigna al archivo unperíodo de retención de cero segundos. Se recomienda especificar un período mínimode retención para todos los directorios de SmartLock.

Configurar un período de retención mediante una línea de comandos UNIXPuede especificar el momento en que un archivo abandona un estado WORMmediante una línea de comandos UNIX.

Procedimiento

1. Abra una conexión a cualquier nodo del clúster EMC Isilon mediante una línea decomandos UNIX e inicie sesión.

2. Configure el período de retención modificando el tiempo de acceso al archivomediante el comando touch.

El siguiente comando establece como fecha de vencimiento el 1 de junio de 2015para /ifs/data/test.txt:

touch -at 201506010000 /ifs/data/test.txt

Establecer un período de retención a través de Windows PowerShellPuede especificar el momento en que un archivo abandona un estado WORMmediante Microsoft Windows PowerShell.

Procedimiento

1. Abra la línea de comandos de Windows PowerShell.

2. (Opcional) Establezca una conexión al clúster EMC Isilon ejecutando elcomando net use.

El siguiente comando establece una conexión al directorio /ifs encluster.ip.address.com:

net use "\\cluster.ip.address.com\ifs" /user:root password

3. Especifique el nombre del archivo para el cual desea establecer un período deretención con la creación de un objeto.

El archivo debe existir en un directorio de SmartLock.

El siguiente comando crea un objeto para /smartlock/file.txt:

$file = Get-Item "\\cluster.ip.address.com\ifs\smartlock\file.txt"

4. Para especificar el período de retención, configure la hora del último accesocorrespondiente al archivo.

El siguiente comando establece como fecha de vencimiento el 1 de julio de 2015a las 13:00 h:

$file.LastAccessTime = Get-Date "2015/7/1 1:00 pm"


Configurar un período de retención mediante una línea de comandos UNIX 415

Confirmar un archivo en un estado WORM mediante una línea de comandosde UNIX

Puede confirmar un archivo en un estado WORM mediante una línea de comandos deUNIX.

Para confirmar un archivo en un estado WORM, debe quitar todos los privilegios deescritura del archivo. Si el archivo ya está configurado en un estado de solo lectura,primero debe agregar los privilegios de escritura al archivo y luego volver a ponerlo endicho estado.

Procedimiento

1. Abra una conexión al clúster EMC Isilon mediante una interfaz de la línea decomandos de UNIX e inicie sesión.

2. Quite los privilegios de escritura de un archivo ejecutando el comando chmod.

El siguiente comando quita los privilegios de escritura de /ifs/data/smartlock/file.txt:

chmod ugo-w /ifs/data/smartlock/file.txt

Asignar un archivo a un estado WORM a través del Explorador de WindowsEs posible asignar un archivo a un estado WORM a través del Explorador de Windows.Este procedimiento describe cómo asignar un archivo mediante Windows 7.

Para asignar un archivo a un estado WORM, debe aplicar la configuración de sololectura. Si un archivo ya está configurado en un estado de solo lectura, primero debequitar el estado de solo lectura del archivo y después volver a aplicárselo.

Procedimiento

1. En el Explorador de Windows, navegue al archivo que desea asignar a un estadoWORM.

2. Haga clic con el botón secundario en la carpeta y, a continuación, haga clic enProperties.

3. En la ventana Properties, haga clic en la pestaña General.

4. Seleccione la casilla de verificación Read-only y haga clic en OK.

Reemplazar el período de retención de todos los archivos de un directorio deSmartLock

Puede reemplazar el período de retención de los archivos que se encuentran en undirectorio de SmartLock. Todos los archivos que se confirmen en un estado WORMdentro de un directorio permanecerán en ese estado hasta después del díaespecificado.

Si los archivos se confirman en un estado WORM después de reemplazar el período deretención, la fecha de reemplazo se considera la fecha mínima de retención. Todos losarchivos que se hayan confirmado en un estado WORM no vencerán hasta el díadeterminado, sin importar las especificaciones del usuario.

Procedimiento





3. Haga clic en Edit Domain.

4. Haga clic en Override retention periods and protect all files until a specificdate y especifique una fecha.


Eliminar un archivo confirmado en un estado WORMPuede eliminar un archivo WORM confirmado antes de la fecha de vencimiento através de la funcionalidad de eliminar con privilegios. Este procedimiento estádisponible solo a través de la interfaz de la línea de comandos (CLI).

Antes de comenzar

l La funcionalidad de eliminación con privilegios no se debe desactivarpermanentemente para el directorio SmartLock que contiene el archivo.

l Debe ser el propietario del archivo y tener los privilegiosISI_PRIV_IFS_WORM_DELETE y ISI_PRIV_NS_IFS_ACCESS o haber iniciadosesión a través de la cuenta de usuario raíz.

Procedimiento

1. Abra una conexión al clúster EMC Isilon mediante una línea de comandos deUNIX e inicie sesión.

2. Si se desactivó la funcionalidad de eliminación con privilegios para el directorioSmartLock, modifique el directorio ejecutando el comando isi wormdomains modify con la opción --privileged-delete.

El siguiente comando habilita la eliminación con privilegios para /ifs/data/SmartLock/directory1:

isi worm domains modify /ifs/data/SmartLock/directory1 \--privileged-delete true

3. Elimine el archivo confirmado en estado WORM ejecutando el comando isiworm files delete.

El siguiente comando elimina /ifs/data/SmartLock/directory1/file:

isi worm files delete /ifs/data/SmartLock/directory1/file

El sistema muestra un resultado similar al siguiente:

Are you sure? (yes, [no]):4. Ingrese yes y presione INTRO.

Ver el estado WORM de un archivoPuede ver el estado WORM de un archivo individual. Este procedimiento estádisponible solo a través de la interfaz de la línea de comandos (CLI).

Procedimiento

1. Abra una conexión al clúster EMC Isilon a través de una línea de comandosUNIX.


Eliminar un archivo confirmado en un estado WORM 417

2. Vea el estado WORM de un archivo ejecutando el comando isi worm filesview.

Por ejemplo, el siguiente comando muestra el estado WORM de un archivo:

isi worm files view /ifs/data/SmartLock/directory1/file

El sistema muestra un resultado similar al siguiente:

WORM DomainsID Root Path------------------------------------65539 /ifs/data/SmartLock/directory1

WORM State: COMMITTED Expires: 2015-06-01T00:00:00



CAPÍTULO 19

Dominios de protección


l Descripción general de los dominios de protección.......................................... 420l Consideraciones sobre los dominios de protección...........................................420l Crear un dominio de protección........................................................................ 421l Eliminar un dominio de protección.................................................................... 421

Dominios de protección 419

Descripción general de los dominios de protecciónLos dominios de protección son indicadores que impiden la modificación de archivos ydirectorios. Si un dominio se aplica a un directorio, también se aplicará a todos losarchivos y subdirectorios de ese directorio. Puede especificar dominios manualmente;sin embargo, OneFS normalmente crea dominios de manera automática.

Existen tres tipos de dominios: Dominios de SyncIQ, dominios de SmartLock ydominios de SnapRevert. Los dominios SyncIQ pueden asignarse a directorios deorigen y destino de las políticas de replicación. OneFS crea automáticamente undominio SyncIQ para el directorio de destino de una política de replicación la primeravez que se ejecuta la política. OneFS también crea automáticamente un dominioSyncIQ para el directorio de origen de una política de replicación durante el proceso defailback. Puede crear manualmente un dominio de SyncIQ para un directorio de origenantes de iniciar el proceso de failback mediante la configuración de la política para elfailback acelerado, pero no puede eliminar un dominio de SyncIQ que indique eldirectorio objetivo de una política de replicación.

Los dominios SmartLock se asignan a directorios SmartLock para evitar que losarchivos asignados se modifiquen o eliminen. OneFS crea automáticamente un dominiode SmartLock cada vez que se genera un directorio SmartLock. No puede eliminar undominio de SmartLock. Sin embargo, si elimina un directorio SmartLock, OneFS borraautomáticamente el dominio de SmartLock asociado con el directorio.

Los dominios SnapRevert se asignan a directorios que están incluidos en snapshotspara evitar que los archivos y directorios se modifiquen mientras se revierte unsnapshot. OneFS no crea automáticamente dominios SnapRevert. No puede revertirun snapshot hasta que cree un dominio SnapRevert para el directorio que el snapshotcontiene. Puede crear dominios SnapRevert para subdirectorios de directorios que yacuentan con dominios SnapRevert. Por ejemplo, puede crear dominios de SnapRevertpara /ifs/data y /ifs/data/archive. Puede eliminar un dominio de SnapRevertsi ya no desea revertir los snapshots de un directorio.

Dominios de protección para IsilonSD EdgeCon una licencia adquirida de IsilonSD Edge, puede acceder a los dominios deprotección de SyncIQ y SmartLock.

Consideraciones sobre los dominios de protecciónPuede crear manualmente dominios de protección antes de que OneFS los necesitepara realizar determinadas acciones. Sin embargo, la creación manual de los dominiosde protección puede limitar su capacidad para interaccionar con los datos marcadospor el dominio.

l La copia de un gran número de archivos en un dominio de protección podríademorarse mucho tiempo porque cada archivo debe marcarse por separado comoperteneciente al dominio de protección.

l No puede transferir directorios a o fuera de los dominios de protección. Noobstante, puede transferir un directorio contenido en un dominio de protección aotra ubicación dentro del mismo dominio de protección.

l La creación de un dominio de protección para un directorio que contiene un grannúmero de archivos tomará más tiempo que la creación de un dominio deprotección con menos archivos. Debido a esto, se recomienda crear dominios de



protección para directorios mientras estos están vacíos y, una vez creados,agregar archivos al directorio.

l Si un dominio está impidiendo la modificación o eliminación de un archivo, no podrácrear un dominio de protección para ningún directorio que contenga ese archivo.Por ejemplo, si un dominio de SmartLock establece /ifs/data/smartlock/file.txt en un estado WORM, no puede crear un dominio de SnapRevertpara /ifs/data/.

Nota

Si usa SyncIQ para crear una política de replicación para un directorio de cumplimientode normas de SmartLock, los dominios de cumplimiento de normas de SyncIQ ySmartLock deben configurarse en el mismo nivel de directorio raíz. Un dominio decumplimiento de normas de SmartLock no se puede anidar dentro de un dominio deSyncIQ.

Crear un dominio de protecciónEs posible crear dominios de SyncIQ o de SnapRevert para facilitar las operaciones defailover y reversión de snapshots. No es posible crear un dominio de SmartLock.OneFS crea automáticamente un dominio de SmartLock cuando se crea un directoriode SmartLock.

Procedimiento



3. En el campo Domain Root Path, ingrese la ruta del directorio para el que deseacrear un dominio de protección.

4. En la lista Type of domain, especifique el tipo de dominio que desea crear.

5. Asegúrese de que la casilla de verificación Delete this domain estédesmarcada.


Eliminar un dominio de protecciónPuede eliminar dominios de SyncIQ o de SnapRevert si desea sacar directorios deldominio. No es posible eliminar los dominios y . OneFS elimina automáticamente undominio de SmartLock cuando se elimina un directorio de SmartLock.

Procedimiento



3. En el campo Domain Root Path, ingrese la ruta del directorio del que deseaeliminar un dominio de protección.

4. En la lista Type of domain, especifique el tipo de dominio que desea eliminar.

5. Seleccione Delete this domain.



Crear un dominio de protección 421

CAPÍTULO 20

Data-at-rest-encryption


l Descripción general del cifrado de datos en reposo..........................................424l Unidades con cifrado automático..................................................................... 424l Seguridad de datos en unidades con autocifrado............................................. 424l Migración de datos a un clúster de unidades con cifrado automático............... 425l Estados del chasis y las unidades..................................................................... 425l Estado REPLACE de las unidades con SmartFail..............................................429l Estado ERASE de las unidades con SmartFail................................................... 431

Data-at-rest-encryption 423

Descripción general del cifrado de datos en reposoEs posible mejorar la seguridad de los datos con un clúster EMC Isilon que contengasolamente nodos de unidades con autocifrado, lo que proporciona protección de datosen reposo.

El sistema OneFS está disponible como un clúster formado por nodos de Isilon OneFSque únicamente contienen unidades con autocifrado (SED). Los requisitos del sistemay la administración de datos en reposo de los nodos con autocifrado son idénticos a losde los nodos que no contienen unidades con autocifrado. Los clústeres de tipos denodos mixtos no son compatibles.

Cifrado de datos en reposo para IsilonSD EdgeIsilonSD Edge no es compatible con el cifrado de datos en reposo debido a que losnodos de IsilonSD no son compatibles con el tipo de unidad de autocifrado.

Unidades con cifrado automáticoLas unidades con autocifrado almacenan datos en un clúster EMC Isilon que estáespecialmente diseñado para el cifrado de datos en reposo.

El cifrado de datos en reposo de las unidades con autocifrado tiene lugar cuando losdatos que están almacenados en un dispositivo se cifran con el fin de impedir el accesono autorizado a los datos. Todos los datos escritos en el dispositivo dealmacenamiento se cifran cuando se almacenan, y todos los datos que se leen desde eldispositivo de almacenamiento se descifran durante la lectura. Los datos almacenadosse cifran con una clave de cifrado AES de 256 bits y se descifran de la misma manera.OneFS controla el acceso a los datos con la combinación de la clave de autenticaciónde la unidad con las claves de cifrado de datos en disco.

Nota

Todos los nodos de un clúster deben ser del tipo de unidad con autocifrado. Los nodosmixtos no son compatibles.

Seguridad de datos en unidades con autocifradoLa aplicación de un SmartFail a unidades con autocifrado garantiza la seguridad de losdatos después de la eliminación.

Los datos de las unidades con autocifrado se protegen del acceso no autorizadomediante la autenticación de las claves de cifrado. Las claves de cifrado nunca salende la unidad. Cuando una unidad está bloqueada, la correcta autenticación desbloqueala unidad para el acceso a los datos.

No se podrá acceder a los datos de unidades con autocifrado en las siguientescondiciones:

l Cuando se aplica un SmartFail a una unidad con autocifrado, las claves deautenticación de la unidad se eliminan del nodo. Los datos de la unidad no puedendescifrarse y, por tanto, tampoco se pueden leer, lo que protege la unidad.

l Cuando se aplica un SmartFail a una unidad y se elimina de un nodo, la clave decifrado de la unidad se elimina. Debido a que la clave de cifrado para leer datos dela unidad debe ser la misma clave que se utiliza cuando los datos se escribieron, es



imposible descifrar datos que se escribieron previamente en la unidad. Cuandoaplica un SmartFail a una unidad y luego la elimina, esta se borracriptográficamente.

Nota

La aplicación de un SmartFail a una unidad es el método recomendado paraeliminar una unidad con autocifrado. Quitar un nodo al que se le aplicó SmartFailgarantiza que no se pueda acceder a los datos.

l Cuando una unidad con autocifrado pierde alimentación, la unidad se bloquea paraevitar el acceso no autorizado. Cuando se restaura la alimentación, los datosvolverán estar accesibles si se proporciona la clave de autenticación de la unidad.

l Cuando se aplica un SmartFail a una unidad con autocifrado, las claves deautenticación de la unidad se eliminan del nodo. Los datos de la unidad no puedendescifrarse y, por tanto, tampoco se pueden leer, lo que protege la unidad.

l Cuando se aplica un SmartFail a una unidad y se elimina de un nodo, la clave decifrado de la unidad se elimina. Debido a que la clave de cifrado para leer datos dela unidad debe ser la misma clave que se utiliza cuando los datos se escribieron, esimposible descifrar datos que se escribieron previamente en la unidad. Cuandoaplica un SmartFail a una unidad y luego la elimina, esta se borracriptográficamente.

Nota

La aplicación de un SmartFail a una unidad es el método recomendado paraeliminar una unidad con autocifrado. Quitar un nodo al que se le aplicó SmartFailgarantiza que no se pueda acceder a los datos.

l Cuando una unidad con autocifrado pierde alimentación, la unidad se bloquea paraevitar el acceso no autorizado. Cuando se restaura la alimentación, los datosvolverán estar accesibles si se proporciona la clave de autenticación de la unidad.

Migración de datos a un clúster de unidades con cifradoautomático

Puede migrar datos desde su clúster existente a un clúster de nodos de unidades decifrado automático (SED). Como resultado, se cifrarán todos los datos migrados yfuturos en el nuevo clúster.

Nota

La migración de datos a un clúster con SED deben realizarla los servicios profesionalesde Isilon. Para obtener más información, póngase en contacto con el representante deIsilon.

Estados del chasis y las unidadesPuede ver detalles sobre el estado de las unidades y del chasis.

En un clúster, la combinación de nodos en diferentes estados de degradacióndetermina si las solicitudes de escritura y de lectura funcionan correctamente. Unclúster puede perder quórum de escritura, pero mantener el de lectura. OneFS brindadetalles sobre el estado del chasis y de las unidades en el clúster. La siguiente tabladescribe todos los estados posibles con los que se puede encontrar en el clúster.


Migración de datos a un clúster de unidades con cifrado automático 425

Nota

Si está ejecutando IsilonSD Edge, puede ver y administrar los detalles de estado delchasis y las unidades mediante el plug-in de administración de IsilonSD. Para obtenermás información, consulte la Guía de instalación y administración de IsilonSD Edge.


HEALTHY Todas las unidades delnodo funcionancorrectamente.


L3 Se implementó undisco de estado sólido(SSD) como caché denivel 3 (L3) paraaumentar el tamañode memoria caché ymejorar la velocidaddel rendimiento.

Interfaz de la línea decomandos

SMARTFAIL o

Smartfail orrestripe inprogress

La unidad está siendoeliminada de manerasegura del sistema dearchivos, ya seadebido a un error deI/O o porque elusuario lo solicitó. Losnodos o unidades enestado SmartFail o desolo lectura afectansolamente el quórumde escritura.


NOT AVAILABLE Una unidad no estádisponible pordiversas razones.Puede hacer clic en labahía para verinformación detalladasobre este estado.

Nota

En la interfaz deadministración web,este estado incluyelos estados de lainterfaz de la línea decomandos ERASE y

SED_ERROR.


X

SUSPENDIDO Este estado indicaque la actividad en launidad estátemporalmentesuspendida y esta no





se puede utilizar. Elestado se iniciamanualmente y noocurre durante laactividad normal delclúster.

NOT IN USE Un nodo en estadooffline afecta tanto elquórum de lecturacomo el de escritura.


REPLACE Se ejecutó unSmartFailcorrectamente a launidad y ya se puedereemplazar.


STALLED La unidad se estancóy está siendoevaluada. Laevaluación deestancamiento es elproceso mediante elcual se revisan lasunidades que sonlentas o presentanotros problemas.Según el resultado dela evaluación, launidad puede retomarsu funcionamientonormal o se le puedeejecutar un SmartFail.Este es un estadotransitorio.


NOVEDAD La unidad es nueva yestá vacía. Este es elestado en que seencuentra una unidadal ejecutar elcomando isi devcon la opción -aadd.


USED La unidad se agregó ycontenía un GUID deIsilon, pero esta no esde este nodo. Esprobable que launidad se formatee enel clúster.


PREPARING La unidad estárealizando unaoperación de





formateo. El estadode la unidad cambia aHEALTHY cuando elformateo se realizacorrectamente.

VACÍO No hay ningunaunidad en esta bahía.


WRONG_TYPE El tipo de unidad noes el correcto paraeste nodo. Porejemplo, una unidadque no sea SED en unnodo SED, o un discoSAS en lugar del tipode disco SATAesperado.


BOOT_DRIVE Exclusivo de la unidadA100, que cuenta conunidades deencendido en susbahías.


SED_ERROR El sistema OneFS nopuede reconocer launidad.

Nota



X

ERASE Ya se puede eliminarla unidad, pero debeprestarle atención alproceso porque losdatos no seeliminaron. Puedeeliminar la unidadmanualmente paragarantizar que losdatos se hayaneliminado.





Nota


INSECURE Personal noautorizado puedeacceder a datos en launidad con cifradoautomático. Lasunidades con cifradoautomático nunca sedeben usar cuando setrata de datos nocifrados.

Nota

En la interfaz deadministración web,este estado estáetiquetado comoUnencryptedSED.


X

UNENCRYPTED SED

Personal noautorizado puedeacceder a datos en launidad con cifradoautomático. Lasunidades con cifradoautomático nunca sedeben usar cuando setrata de datos nocifrados.

Nota

En la interfaz de lalínea de comandos,este estado estáetiquetado comoINSECURE.

Solamente la interfazde administración web

X

Estado REPLACE de las unidades con SmartFailPuede ver los diferentes estados de las unidades durante el proceso de SmartFail.


Estado REPLACE de las unidades con SmartFail 429

Si ejecuta el comando isi dev mientras se aplica un SmartFail a la unidad de la bahía1, el sistema muestra un resultado similar al siguiente ejemplo:

Node 1, [ATTN] Bay 1 Lnum 11 [SMARTFAIL] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4 00009330EYE03 /dev/da3 Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12

Si ejecuta el comando isi dev tras la correcta finalización de SmartFail, el sistemamuestra un resultado similar al siguiente ejemplo, donde se indica que el estado de launidad es REPLACE:

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4 00009330EYE03 /dev/da3 Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12

Si ejecuta el comando isi dev mientras se aplica un SmartFail a la unidad de la bahía3, el sistema muestra un resultado similar al siguiente ejemplo:

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5



00009330EYE03 /dev/da2 Bay 3 Lnum 9 [SMARTFAIL] SN:Z296LBP4 00009330EYE03 N/A Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12

Estado ERASE de las unidades con SmartFailAl final de un proceso de SmartFail, OneFS intenta eliminar la clave de autenticaciónde una unidad si no puede restablecer la clave.

Nota

l Para eliminar la clave de autenticación de una unidad de manera segura, realice unSmartFail en la unidad.

l Para eliminar la clave de autenticación de un nodo de manera segura, realice unSmartFail en el nodo.

l Para eliminar las claves de autenticación de todo un clúster de manera segura,realice un SmartFail en cada nodo y ejecute el comando isi_reformat_node enel último nodo.

Tras ejecutar el comando isi dev, el sistema muestra un resultado similar alsiguiente ejemplo, donde se indica que el estado de la unidad es ERASE:

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [ERASE] SN:Z296LBP4 00009330EYE03 /dev/da3

Las unidades que muestran el estado ERASE se pueden retirar, reutilizar o devolver demanera segura.

Cualquier acceso posterior a una unidad que presenta el estado ERASE requiere que laclave de autenticación de la unidad se establezca a su ID de seguridad de fabricación(MSID) predeterminado. Esta acción borra la clave de cifrado de datos (DEK) de launidad y provoca que cualquier dato existente en la unidad permanezca ilegible.


Estado ERASE de las unidades con SmartFail 431

CAPÍTULO 21

SmartQuotas


l Descripción general de la SmartQuotas............................................................434l Tipos de cuota..................................................................................................434l Tipo de cuota predeterminado......................................................................... 435l Contabilidad y límites de uso............................................................................ 437l Cálculos del uso de discos................................................................................ 439l Notificaciones de cuotas..................................................................................440l Reglas de notificación de cuotas...................................................................... 440l Informes de cuotas........................................................................................... 441l Creación de cuotas...........................................................................................442l Administración de cuotas................................................................................. 444l Administración de notificaciones de cuotas......................................................446l Mensajes de notificación de cuotas por correo electrónico.............................. 449l Administración de informes de cuotas.............................................................. 451l Configuración básica del usuario...................................................................... 453l Configuración de reglas de notificación de cuotas de límites recomendados....454l Configuración de reglas de notificación de cuotas de límite mínimo................. 455l Configuración de reglas de notificación de cuotas de límites máximos............. 456l Configuración de notificaciones del cliente...................................................... 457l Ajustes de informes de cuotas..........................................................................458

SmartQuotas 433

Descripción general de la SmartQuotasEl módulo SmartQuotas es una herramienta de administración de cuotas opcional quemonitorea e impone límites de almacenamiento definidos por el administrador.Mediante límites de cuotas de contabilidad e imposición, funcionalidades de creaciónde informes y notificaciones automatizadas, SmartQuotas administra el uso dealmacenamiento, monitorea el almacenamiento en disco y envía alertas cuando sesuperan los límites de almacenamiento en disco.

Las cuotas le ayudan a administrar el uso de almacenamiento de acuerdo con loscriterios que defina. Las cuotas se utilizan para el rastreo (y a veces para la limitación)de la cantidad de almacenamiento que un usuario, grupo o proyecto consume. Lascuotas ayudan a garantizar que un usuario o departamento no invada elalmacenamiento que se asigna a otros usuarios o departamentos. En algunasimplementaciones de cuotas, se rechazan las escrituras que sobrepasen el espaciodefinido; en otros casos, se envía una notificación simple.

Nota

No aplique cuotas a /ifs/.ifsvar/ ni a sus subdirectorios. Si limita el tamaño deldirectorio /ifs/.ifsvar/ mediante una cuota, y el directorio alcanza dicho límite,los trabajos tales como la analítica del sistema de archivos fallarán. Una cuota bloqueala eliminación de los informes de trabajos antiguos de los subdirectorios /ifs/.ifsvar/ a fin liberar espacio para nuevos informes.

El módulo SmartQuotas necesita una licencia independiente. Para obtener másinformación acerca del módulo SmartQuotas o para habilitar el módulo, póngase encontacto con su gerente de cuentas de EMC Isilon.

Tipos de cuotaOneFS utiliza el concepto de tipos de cuota como la unidad organizacionalfundamental de las cuotas de almacenamiento. Las cuotas de almacenamiento constande un conjunto de recursos y un conteo de cada tipo de recursos para dicho conjunto.Las cuotas de almacenamiento también se conocen como dominios dealmacenamiento.

Para la creación de cuotas de almacenamiento se necesitan tres identificadores:

l El directorio que se monitoreará

l Si los snapshots se rastrean según el límite de cuota

l El tipo de cuota (directorio, usuario o grupo)

Nota

No debe crear cuotas de ningún tipo en la raíz de OneFS (/ifs). Una cuota a nivel deraíz puede degradar notablemente el rendimiento.

Puede elegir un tipo de cuota entre las siguientes entidades:

Directorio

Un directorio específico y sus subdirectorios.

SmartQuotas


Usuario

Un usuario específico o uno predeterminado (cualquier usuario). Las cuotas deusuarios específicos que configure adquieren prioridad sobre las cuotas deusuarios predeterminados.

Grupo

Todos los miembros de un grupo específico o todos los miembros de un grupopredeterminado (cualquier grupo). Cualquier cuota de grupo específico queconfigure adquiere prioridad sobre una cuota de grupo predeterminado. Laasociación de una cuota de grupo con una cuota de grupo predeterminado creauna cuota vinculada.

Puede crear varios tipos de cuota en el mismo directorio, pero deben ser de distintotipo o tener una opción de snapshot diferente. Puede especificar tipos de cuota paracualquier directorio de OneFS y anidarlos entre sí para crear una jerarquía de políticasde uso de almacenamiento complejas.

Las cuotas de almacenamiento anidadas se pueden solapar. Por ejemplo, los siguientesajustes de cuota garantizan que el directorio finance nunca sobrepase los 5 TB, a lavez que limitan a los usuarios del departamento de financiamiento a 1 TB cada uno:

l Establezca una cuota máxima de 5 TB en /ifs/data/finance.

l Ajuste de cuotas mínimas de 1 TB en cada usuario del departamento definanciamiento.

Tipo de cuota predeterminadoLas cuotas predeterminadas crean automáticamente otras cuotas para usuarios ogrupos de un directorio especificado.

Una cuota predeterminada especifica una política para nuevas entidades que coincidencon un activador. El default-user@/ifs/cs se convierte en specific-user@/ifs/cs porcada usuario específico que no se defina de ninguna otra forma.

Por ejemplo, puede crear una cuota de usuario predeterminado en el directorio /ifs/dir-1, el cual pertenece al usuario raíz. El tipo de usuario predeterminado creaautomáticamente un dominio en ese directorio para la raíz y agrega el uso:

my-OneFS-1# mkdir /ifs/dir-1my-OneFS-1# isi quota quotas create /ifs/dir-1 default-usermy-OneFS-1# isi quota quotas ls --path=/ifs/dir-1 Type AppliesTo Path Snap Hard Soft Adv Used---------------------------------------------------------------default-user DEFAULT /ifs/dir-1 No - - - 0buser root /ifs/dir-1 No - - - 0b---------------------------------------------------------------

Ahora, agregue un archivo cuyo propietario sea un usuario diferente (admin):

my-OneFS-1# touch /ifs/dir-1/somefilemy-OneFS-1# chown admin /ifs/dir-1/somefilemy-OneFS-1# isi quota quotas ls --path=/ifs/dir-1Type AppliesTo Path Snap Hard Soft Adv Used---------------------------------------------------------------default-user DEFAULT /ifs/dir-1 No - - - 0buser root /ifs/dir-1 No - - - 26buser admin /ifs/dir-1 No - - - 0b

SmartQuotas

Tipo de cuota predeterminado 435

---------------------------------------------------------------Total: 3

En este ejemplo, el tipo de usuario predeterminado creó automáticamente un tipo deusuario específico (user:admin) y le agregó el nuevo uso. El usuario predeterminado notiene ningún uso porque solo se utiliza para generar nuevas cuotas automáticamente.La imposición del usuario predeterminado se copia a un usuario específico(user:admin) y la cuota heredada se denomina cuota vinculada. De esta forma, cadacuenta de usuario obtiene su propia contabilidad de uso.

Los usuarios predeterminados se pueden solapar. Por ejemplo, pueden estar definidostanto default-user@/ifs/dir-1 como default-user@/ifs/cs. Si la imposiciónpredeterminada cambia, las cuotas de almacenamiento de OneFS propagan loscambios a las cuotas vinculadas de manera asíncrona. Debido a que la actualización esasíncrona, existe cierto retardo antes de que las actualizaciones se hagan efectivas. Sise elimina un tipo predeterminado, como todos los usuarios o todos los grupos, OneFSeliminará todos los secundarios que estén marcados como heredados. De formaopcional, puede eliminar el predeterminado sin eliminar el secundario, pero esimportante tener en cuenta que esta acción interrumpe la herencia de todos lossecundarios heredados.

Siguiendo con el ejemplo, agregue otro archivo cuyo propietario sea el usuario raíz.Debido a que el tipo raíz existe, el nuevo uso se agrega a él.

my-OneFS-1# touch /ifs/dir-1/anotherfilemy-OneFS-1# isi quota ls -v --path=/ifs/dir-1 --format=list Type: default-user AppliesTo: DEFAULT Path: /ifs/dir-1 Snap: NoThresholds Hard : - Soft : - Adv : - Grace : - Usage Files : 0 With Overhead : 0.00b W/O Overhead : 0.00b Over: - Enforced: No Container: No Linked: ----------------------------------------------------------------------- Type: user AppliesTo: root Path: /ifs/dir-1 Snap: NoThresholds Hard : - Soft : - Adv : - Grace : - Usage Files : 2 With Overhead : 3.50K W/O Overhead : 55.00b Over: - Enforced: No Container: No Linked: Yes

SmartQuotas


----------------------------------------------------------------------- Type: user AppliesTo: admin Path: /ifs/dir-1 Snap: NoThresholds Hard : - Soft : - Adv : - Grace : - Usage Files : 1 With Overhead : 1.50K W/O Overhead : 0.00b Over: - Enforced: No Container: No Linked: Yes

La imposición del usuario predeterminado se copia en el usuario específico cuando esteúltimo se asigna dentro del tipo, y el nuevo tipo de cuota heredado es también unacuota vinculada.

Nota

Los cambios en la configuración de cuotas vinculadas deben realizarse en la cuotaprincipal de la que las cuotas vinculadas la heredan. Los cambios en la cuota principalse propagan a todas las cuotas secundarias. Para reemplazar la configuración de lacuota principal, primero desvincule la cuota.

Contabilidad y límites de usoLas cuotas de almacenamiento son compatibles con dos tipos de uso que puede crearpara administrar el espacio de almacenamiento: contabilidad del uso y límites deaplicación.

Puede configurar cuotas de OneFS por tipo de uso para rastrear o limitar el uso dealmacenamiento. La opción de contabilidad, que monitorea el uso de almacenamientoen disco, es útil para auditoría, planificación y facturación. Los límites de cumplimientoestablecen los límites de almacenamiento para usuarios, grupos o directorios.

Realizar un seguimiento de los límites del almacenamiento sin especificar un límite dealmacenamiento

La opción de contabilidad rastrea, pero no limita el uso de almacenamiento endisco. Mediante la opción de contabilidad para una cuota, puede monitorear elconteo de inodos y los recursos de espacio físico y lógico. "Espacio físico" hacereferencia a todo el espacio usado para almacenar archivos y directorios, incluidoslos datos y metadatos del dominio. El espacio lógico hace referencia a la suma detamaños de todos los archivos, sin incluir los metadatos de archivos ni las regionesdispersas. El almacenamiento de datos de usuario se rastrea usando cálculos deespacio lógico, que no incluyen la sobrecarga de protección. A modo de ejemplo,al usar la opción de contabilidad, puede hacer lo siguiente:

l Hacer un seguimiento de la cantidad de espacio en disco que usan diversosusuarios o grupos para facturar a cada usuario, grupo o directorio únicamentepor el espacio en disco utilizado.

l Revisar y analizar informes que le ayuden a identificar patrones de uso dealmacenamiento y definir políticas de almacenamiento.

SmartQuotas

Contabilidad y límites de uso 437

l Planear la capacidad y otras necesidades de almacenamiento.

Especifique los límites del almacenamiento

Los límites de cumplimiento incluyen todas las funciones de la opción decontabilidad, además de la capacidad para limitar el almacenamiento en disco yenviar notificaciones. Mediante límites de cumplimiento, puede realizar lapartición lógica de un clúster para controlar o restringir la cantidad dealmacenamiento que un usuario, grupo o directorio pueden utilizar. Por ejemplo,puede establecer límites máximos o mínimos de capacidad para garantizar quesiempre haya disponible un espacio adecuado para proyectos clave y aplicacionescríticas, así como para asegurar que los usuarios del clúster no excedan sucapacidad de almacenamiento asignada. De manera opcional, puede enviarnotificaciones de cuotas por correo electrónico en tiempo real a usuarios,gerentes de grupos o administradores cuando se estén acercando a un límite decuota o lo hayan superado.

Nota

Si un tipo de cuota utiliza la opción de solo contabilidad, los límites de cumplimiento nose pueden utilizar para esa cuota.

Las acciones de un administrador que haya iniciado sesión como raíz pueden provocarque un dominio supere un umbral de cuota. Por ejemplo, cambiar el nivel de proteccióno tomar un snapshot conllevan la posibilidad de exceder los parámetros de cuota. Lasacciones del sistema, como las reparaciones, también pueden hacer que un dominio decuota supere el límite.

El sistema proporciona tres tipos de umbrales de cumplimiento definidos por eladministrador.

Tipo de umbral Descripción

Rígido Limita el uso de los discos a un tamaño que nose pueda superar. Si una operación, como laescritura de archivos, hace que el destino deuna cuota supere la cuota máxima, seproducirán los siguientes eventos:

l La operación no puede completarse.

l Se registra una alerta en el clúster.

l Se envía una notificación a losdestinatarios especificados.

La escritura se reanuda cuando el uso sereduce por debajo del umbral.

Suave Permite un límite con un período de gracia quepuede excederse hasta que venza dichoperíodo. Cuando se excede una cuota mínima,se registra una alerta en el clúster y se envíauna notificación a los destinatariosespecificados; sin embargo, la escritura dedatos se permite durante el período de gracia.

Si el umbral mínimo se sigue superando unavez vencido el período de gracia, la escritura

SmartQuotas


Tipo de umbral Descripción

de datos falla y se envía una notificación delímite máximo a los destinatarios que se hayanespecificado.

La escritura se reanuda cuando el uso sereduce por debajo del umbral.

Asesoría Un límite informativo que puede superarse.Cuando se supera un umbral de cuotarecomendado, se registra una alerta en elclúster y se envía una notificación a losdestinatarios especificados. Los umbralesrecomendados no impiden la escritura dedatos.

Cálculos del uso de discosPara cada cuota que configure, puede especificar si la sobrecarga de protección dedatos se incluye en los cálculos futuros de uso del disco.

La mayoría de las configuraciones de cuotas no necesitan incluir cálculos desobrecarga. Si no incluye la sobrecarga de protección de datos en los cálculos de usode una cuota, los futuros cálculos de uso de disco para la cuota incluirán solamente elespacio que sea necesario para almacenar archivos y directorios. El espacio necesariopara la configuración de protección de datos del clúster no se incluye.

Considere al usuario del mismo ejemplo, que ahora está limitado por una cuota de40 GB que no incluye la sobrecarga de protección de datos en sus cálculos de uso deldisco. Si su clúster está configurado con un nivel de protección de datos de dos vecesy el usuario escribe un archivo de 10 GB en el clúster, ese archivo consume 20 GB deespacio, pero los 10 GB para la sobrecarga de protección de datos no se cuentan en elcálculo de la cuota. En este ejemplo, el usuario ha alcanzado el 25 % de la cuota de40 GB escribiendo un archivo de 10 GB en el clúster. Este método de cálculo de usodel disco se recomienda para la mayoría de las configuraciones de cuotas.

Si incluye la sobrecarga de protección de datos en los cálculos de uso de una cuota,los cálculos futuros de uso del disco de la cuota incluirán la cantidad total de espacionecesario para almacenar los archivos y directorios, además de cualquier espaciorequerido para alojar la configuración de protección de datos, como la paridad o elespejeado. Por ejemplo, considere a un usuario que está limitado por una cuota de40 GB que incluye la sobrecarga de protección de datos en sus cálculos de uso deldisco. Si el clúster está configurado con un nivel de protección de datos de dos veces(espejeado) y el usuario escribe un archivo de 10 GB en el clúster, ese archivorealmente consumirá 20 GB de espacio: 10 GB para el archivo y 10 GB para lasobrecarga de protección de datos. En este ejemplo, el usuario ha alcanzado el 50 %de la cuota de 40 GB escribiendo un archivo de 10 GB en el clúster.

Nota

Las cuotas tratan los archivos clonados y deduplicados como archivos comunes. Si lacuota incluye la sobrecarga de protección de datos, esta sobrecarga para los datoscompartidos no se incluye en el cálculo de uso.

SmartQuotas

Cálculos del uso de discos 439

Puede configurar cuotas para incluir el espacio que consumen los snapshots. Una solaruta puede tener dos cuotas aplicadas: una sin el uso de snapshots, que es el valorpredeterminado, y otra con el uso de snapshots. Si incluye snapshots en la cuota, seincluirán más archivos en el cálculo de los que están en el directorio actual. El uso deldisco real es la suma del directorio actual y cualquier snapshot de ese directorio.Puede ver qué snapshots se incluyen en el cálculo examinando eldirectorio .snapshot para la ruta de la cuota.

Nota

En el cálculo solo se incluyen los snapshots creados después de que haya terminado eltrabajo QuotaScan.

Notificaciones de cuotasLas notificaciones de cuotas se generan para las cuotas de imposición y ofrecen a losusuarios información cuando se produce una infracción de una cuota. Periódicamentese envían recordatorios mientras persiste la condición.

Cada regla de notificación define la condición que se impondrá y la acción que seejecutará cuando la condición sea verdadera. Una cuota de imposición puede definirvarias reglas de notificación. Cuando se sobrepasan los umbrales, se pueden enviarnotificaciones automáticas por correo electrónico a usuarios específicos, o bien, puedemonitorear las notificaciones como alertas del sistema o recibir correos electrónicospor esos eventos.

Las notificaciones se pueden configurar globalmente para aplicarse a todos losdominios de cuotas o se pueden configurar para dominios de cuotas específicos.

Las cuotas de imposición admiten los siguientes ajustes de notificación. Una cuotadeterminada puede utilizar solamente uno de estos ajustes.

Configuración de notificaciones delcliente

Descripción

Turn Off Notifications for this Quota Deshabilita todas las notificaciones de lacuota.

Use Default Notification Rules Utiliza la notificación predeterminada globalpara el tipo específico de cuota.

Use Custom Notification Rules Permite la creación de notificacionesavanzadas y personalizadas que se aplican a lacuota específica. Las notificacionespersonalizadas se pueden configurar paracualquiera o todos los tipos de umbral(máximo, mínimo o recomendado) para lacuota especificada.

Reglas de notificación de cuotasPuede escribir reglas de notificación de cuotas para generar alertas que se activanmediante umbrales de eventos.

SmartQuotas


Cuando se produce un evento, se activa una notificación de acuerdo con su regla denotificación. Por ejemplo, puede crear una regla de notificación que envíe un correoelectrónico cuando un grupo sobrepase el umbral de asignación de espacio en disco.

Puede configurar reglas de notificación para activar una acción de acuerdo con losumbrales de eventos (una condición de notificación). Una regla puede especificar uncalendario, tal como “todos los días a la 1:00 h”, para ejecutar una acción onotificación inmediata de determinadas transiciones de estado. Cuando se produce unevento, la activación de una notificación puede ejecutar una o más acciones, comoenviar un correo electrónico o enviar una alerta del clúster a la interfaz. Los siguientesejemplos demuestran los tipos de criterios que puede utilizar para configurar reglas denotificación.

l Notificar cuando se supere un umbral, como máximo, una vez cada cinco minutos

l Notificar cuando se rechaza una asignación, como máximo, una vez cada hora

l Notificar siempre que el umbral se haya superado, todos los días a las 2:00 h

l Notificar siempre que el período de gracia esté vencido semanalmente, todos losdías domingo a las 2:00 h

Las notificaciones se activan por eventos agrupados en las siguientes categorías:

Notificaciones de eventos

Incluye la notificación de rechazo de escritura, que se activa cuando un umbralmáximo rechaza una escritura, y la notificación por superación del umbral, que seactiva en el momento en que se supera un umbral máximo, mínimo orecomendado. Estas son notificaciones individuales porque representan un eventoseparado en el tiempo.

Activación de notificaciones

Se generan de forma calendarizada para indicar una condición persistente, comocuando un umbral máximo, mínimo o recomendado se encuentra por encima de unlímite o si el período de gracia de un umbral mínimo queda vencido durante unintervalo de tiempo prolongado.

Informes de cuotasEl módulo SmartQuotas de OneFS ofrece opciones de creación de informes quepermiten a los administradores administrar recursos del clúster y analizar estadísticasde uso.

Los informes de cuotas de almacenamiento ofrecen una vista resumida del estadopasado o presente de los dominios de cuotas. Después de que OneFS recopile losdatos crudos de informes, puede producir resúmenes de datos usando un conjunto deparámetros de filtrado y tipos de clasificación. Los informes de cuotas dealmacenamiento incluyen información sobre los infractores, agrupados por tipos deumbral. Puede generar informes a partir de una muestra de datos históricos o de datosactuales. En cualquier caso, los informes son visualizaciones de datos de uso en unmomento determinado. OneFS no proporciona informes sobre datos agregados en eltranscurso del tiempo, como los informes de tendencias, pero puede utilizar los datoscrudos para analizar tendencias. No existe ningún límite de configuración en el númerode informes aparte del espacio necesario para almacenarlos.

OneFS ofrece los siguientes métodos de recopilación de datos y creación de informes:

l Los informes calendarizados se generan y guardan en un intervalo regular.

l Los informes ad hoc se generan y guardan a petición del usuario.

SmartQuotas

Informes de cuotas 441

l Los informes en vivo se generan para su visualización inmediata y temporal.

Los informes calendarizados se colocan de forma predeterminada en el directorio /ifs/.isilon/smartquotas/reports, pero la ubicación se puede establecer encualquier directorio debajo de /ifs. Cada informe generado incluye la definición deldominio de cuota, el estado, el uso y los ajustes de configuración globales. De formapredeterminada, se mantienen diez informes simultáneamente y los informes másantiguos se purgan. Puede crear informes ad hoc en cualquier momento para ver elestado actual del sistema de cuotas de almacenamiento. Estos informes en vivo sepueden guardar manualmente. Los informes ad hoc se guardan en una ubicación queestá separada de los informes calendarizados para evitar dividir los conjuntos deinformes temporizados.

Creación de cuotasPuede crear dos tipos de cuotas de almacenamiento para monitorear los datos: cuotasde contabilidad y cuotas de imposición. Los límites y las restricciones de las cuotas dealmacenamiento se pueden aplicar a usuarios, grupos o directorios específicos.

El tipo de cuota que cree depende de su objetivo.

l Las cuotas de imposición monitorean y limitan el uso de los discos. Puede crearcuotas de imposición para usar cualquier combinación de límites mínimos, máximosy recomendados.

Nota

Las cuotas de imposición no se recomiendan para los dominios de cuotas derastreo de snapshots.

l Las cuotas de contabilidad monitorean, pero no limitan, el uso de los discos.

Nota

Antes de usar los datos de cuotas para análisis u otros propósitos, verifique que nohaya trabajos de QuotaScan en ejecución.

Crear una cuota de contabilidadPuede crear una cuota de contabilidad para monitorear, pero no limitar, el uso deldisco.

Como opción, puede incluir datos de instantáneas, la sobrecarga de protección dedatos o ambos en la cuota de contabilidad.

Procedimiento

1. Haga clic en File System > SmartQuotas > Quotas & Usage.

2. Haga clic en Create a Quota.

Aparecerá el cuadro de diálogo Create a Quota.

3. En la lista Quota Type, seleccione el destino de esta cuota.

l Directory quota

l User quota

l Group quota

4. En función del destino seleccionado, elija la entidad a la que desea aplicar lacuota. Por ejemplo, si selecciona User quota en la lista Quota Type, puedeestablecer como destino a todos los usuarios o a un usuario específico.

SmartQuotas


5. En el campo Path, ingrese la ruta de la cuota o haga clic en Browse y despuésseleccione un directorio.

6. (Opcional) En el área Quota Accounting, seleccione las opciones que deseausar.

l Para incluir datos de las instantáneas en la cuota de contabilidad, seleccioneInclude Snapshot Data.

l Para incluir la sobrecarga de protección de datos en la cuota de contabilidad,seleccione Include Data-Protection Overhead.

7. En el área Quota Limits, seleccione Track storage without specifying astorage limit.

8. Haga clic en Create Quota.


Antes de usar los datos de cuota para fines de análisis u otros, verifique que no hayaningún trabajo de QuotaScan jobs en curso. Para ello seleccione ClusterManagement > Job Operations > Job Summary.

Crear una cuota de imposiciónPuede crear una cuota de imposición para monitorear y limitar el uso del disco.

Puede crear cuotas de imposición que establezcan límites máximos, de advertencia yde aviso.

Procedimiento


2. Haga clic en Create a Quota.

Aparecerá el cuadro de diálogo Create a Quota.

3. En la lista Quota Type, seleccione el destino de esta cuota.

l Directory quota

l User quota

l Group quota

4. En función del destino seleccionado, elija la entidad a la que desea aplicar lacuota. Por ejemplo, si selecciona User quota en la lista Quota Type, puedeestablecer como destino a todos los usuarios o a un usuario específico.

5. En el campo Path, ingrese la ruta de la cuota o haga clic en Browse y despuésseleccione un directorio.

6. (Opcional) En el área Quota Accounting, seleccione las opciones que deseausar.

l Para incluir datos de las instantáneas en la cuota de contabilidad, seleccioneInclude Snapshot Data.

l Para incluir la sobrecarga de protección de datos en la cuota de contabilidad,seleccione Include Data-Protection Overhead.

7. En el área Quota Limits, seleccione Specify storage limits.

8. Seleccione la casilla de verificación junto a cada límite que desee activar.

9. Ingrese números en los campos y seleccione de las listas los valores que deseautilizar para la cuota.

10. En el área Quota Notifications, seleccione la opción de notificación que deseaaplicar a la cuota.

SmartQuotas

Crear una cuota de imposición 443

11. (Opcional) Si selecciona la opción para usar reglas de notificaciónpersonalizadas, haga clic en el vínculo para ampliar el tipo de notificaciónpersonalizado que se aplica a las selecciones de límite de uso.

12. Haga clic en Create Quota.



Administración de cuotasPuede modificar los valores configurados de una cuota de almacenamiento y puedehabilitar o deshabilitar una cuota. También puede crear límites y restricciones de cuotapara aplicarlos a usuarios, grupos o directorios específicos.

La administración de cuotas en OneFS se simplifica gracias a la función de búsquedade cuotas, que ayuda a localizar una o varias cuotas utilizando filtros. Puededesvincular cuotas que estén asociadas con una cuota principal y configurarnotificaciones personalizadas de cuotas. También puede deshabilitar una cuotatemporalmente y habilitarla cuando sea necesario.

Nota

No se admite la transferencia de directorios de cuotas entre dominios de cuotas.

Buscar cuotasPuede buscar una cuota mediante diversos criterios de búsqueda.

De forma predeterminada, todas las cuotas de almacenamiento y opciones devisualización aparecen en esta página antes de aplicar cualquier filtro de búsqueda oinforme. Si la sección Quotas & Storage se contrae, haga clic en Define quotadisplay.

Procedimiento


2. En la barra de filtro, seleccione las opciones según las que desea filtrar.

l En la lista Type, seleccione el tipo de cuota que desea encontrar.

l Para buscar cuotas que están por encima del límite, seleccione Over limit enla lista Exceeded.

l En el campo Path, ingrese una ruta completa o parcial. Puede utilizar elcarácter de comodín (*) en el campo Path.

l Para buscar en subdirectorios, seleccione Include children en la listaRecursive.

Las cuotas que coinciden con los criterios de búsqueda aparecen en la tablaQuotas & Usage.

Resultados

Una cuota de contabilidad o imposición con un valor de umbral de cero se indicamediante un guion (–). Puede hacer clic en los títulos de las columnas para ordenar elconjunto de resultados.

SmartQuotas


Nota

Para borrar el conjunto de resultados y mostrar todas las cuotas de almacenamiento,haga clic en Reset.

Administrar cuotasLas cuotas le ayudan a monitorear y analizar el uso actual o histórico delalmacenamiento en disco. Puede buscar, así como ver, modificar, eliminar ydesvincular una cuota.

Debe ejecutar un trabajo de QuotaScan inicial para las cuotas predeterminadas oprogramadas; de lo contrario, los datos mostrados podrían estar incompletos.

Antes de modificar una cuota, considere la manera en que los cambios afectarán alsistema de archivos y a los usuarios finales.

Nota

l Las opciones para editar o eliminar una cuota solo aparecen cuando esta no estávinculada a una cuota predeterminada.

l La opción para desvincular una cuota solo está disponible cuando esta estávinculada a una cuota predeterminada.

Procedimiento


2. (Opcional) En la barra de filtro, seleccione las opciones según las que deseafiltrar.

l En la lista Type, seleccione el tipo de cuota que desea encontrar.

l Para buscar cuotas que están por encima del límite, seleccione Over limit enla lista Exceeded.

l En el campo Path, ingrese una ruta completa o parcial. Puede utilizar elcarácter de comodín (*) en el campo Path.

l Para buscar en subdirectorios, seleccione Include children en la listaRecursive.

Las cuotas que coinciden con los criterios de búsqueda aparecen en la tablaQuotas & Usage.

3. (Opcional) Ubique la cuota que desea administrar. Es posible realizar lassiguientes acciones:

l Para revisar o editar esta cuota, haga clic en View details.

l Haga clic en Delete para eliminar la cuota.

l Para desvincular una cuota vinculada, haga clic en Unlink.

Nota

Los cambios en la configuración de las cuotas vinculadas se deben realizar enla cuota principal (opción predeterminada) de la cual se hereda la cuotavinculada. Los cambios en la cuota principal se propagan a todas las cuotassecundarias. Si desea reemplazar la configuración de la cuota principal,primero debe desvincular la cuota.

SmartQuotas

Administrar cuotas 445

Exportar un archivo de configuración de cuotasPuede exportar los ajustes de cuotas como un archivo de configuración, que se puedeimportar para reutilizarlo en otro clúster Isilon. También puede almacenar lasconfiguraciones de cuotas exportadas en una ubicación externa al clúster. Esta tareasolo se puede realizar desde la interfaz de la línea de comandos de OneFS.

Puede canalizar el informe XML a un archivo o directorio. A continuación, el archivopuede importarse en otro clúster.

Procedimiento


2. En la línea de comandos, ejecute el siguiente comando:

isi_classic quota list --export

El archivo de configuración de cuotas se muestra en un formato XML crudo.

Importar un archivo de configuración de cuotaPuede importar ajustes de cuota en forma de archivo de configuración que se exportódesde otro clúster Isilon. Esta tarea solo se puede realizar desde la interfaz de la líneade comandos de OneFS.

Procedimiento


2. Navegue a la ubicación del archivo de configuración de cuota exportado.

3. En la línea de comandos, ejecute el siguiente comando, donde <filename> es elnombre de un archivo de configuración exportado:

isi_classic quota import --from-file=<filename>

El sistema analiza el archivo e importa los ajustes de cuota desde el archivo deconfiguración. Los ajustes de cuota configurados antes de la importación delarchivo de configuración de cuota se conservan, y los ajustes de cuotaimportados entran en vigencia de inmediato.

Administración de notificaciones de cuotasLas notificaciones de cuotas pueden habilitarse o deshabilitarse, modificarse yeliminarse.

De forma predeterminada, ya hay configurada una notificación de cuotas globales y seaplica a todas las cuotas. Puede continuar usando los ajustes de notificación de cuotasglobales, modificarlos o deshabilitarlos, así como definir una notificación personalizadade una cuota.

Las cuotas de imposición son compatibles con cuatro tipos de notificaciones yrecordatorios:

l Umbral excedido

SmartQuotas


l Recordatorio por exceso de cuota

l Período de gracia caducado

l Solo acceso de escritura

Si se utiliza un servicio de directorio para autenticar usuarios, puede configurar losmapeos de notificaciones que controlan cómo se resuelven las direcciones de correoelectrónico cuando el clúster envía una notificación de cuota. Si es necesario, puedevolver a mapear el dominio que se utiliza para las notificaciones de cuotas por correoelectrónico, así como volver a mapear los dominios de Active Directory, los dominioslocales de UNIX o ambos.

Configurar ajustes de notificación de cuota predeterminadosPuede configurar ajustes de notificación de cuota globales predeterminados que seaplican a todas las cuotas de un tipo de umbral especificado.

Los ajustes de notificación personalizados que configura para una cuota tienenprioridad sobre los ajustes de notificación globales predeterminados.

Procedimiento

1. Haga clic en File System > SmartQuotas > Settings.

2. En el área Scheduled Reporting, puede configurar las siguientes opciones:

l En el campo Archive Directory, escriba o navegue hasta el directorio dondedesea archivar los informes de cuotas programados.

l En el campo Number of Scheduled Reports Retained, escriba la cantidadde informes que desea archivar.

l Seleccione las opciones de programación de informes que desea y haga clicen

l Seleccione Scheduled para habilitar la creación de informes programados oseleccione Manual para deshabilitar la creación de informes programados.

3. En el área Manual Reporting, puede configurar las siguientes opciones decreación de informes:

l En el campo Archive Directory, escriba o navegue hasta el directorio dondedesea archivar los informes de cuota generados manualmente.

l En el campo Number of Live Reports Retained, escriba el número deinformes que desea archivar.

4. En el área Email Mapping, defina la regla (o las reglas) de mapeo que deseausar. Para agregar una regla de asignación de correo electrónico, haga clic enAdd a Mapping Rule y especifique las opciones para la regla.

5. En el área Notification Rules, defina las reglas de notificación predeterminadaspara cada tipo de regla.

a. Haga clic en Add a Notification Rule.

Se abrirá el cuadro de diálogo Create a Notification Rule.

b. En la lista Rule type, seleccione el tipo de regla que desea usar.

c. En el área Rule Settings, seleccione la opción de notificación que deseausar.

6. Haga clic en Create Rule.


SmartQuotas

Configurar ajustes de notificación de cuota predeterminados 447



Configurar reglas de notificación de cuota personalizadasPuede configurar reglas personalizadas de notificación de cuotas para aplicarlas solo auna cuota especificada.

Antes de comenzar

Para configurar una regla de notificación personalizada, debe haber una cuota deimposición creada o en proceso de creación. Para configurar notificaciones para unacuota de imposición existente, siga el procedimiento en el cual se modifica una cuota ydespués use estos pasos para establecer las reglas de notificación de cuotas.

Debe haber reglas personalizadas de notificación configuradas para esa cuotaespecífica. Si no hay reglas de notificación configuradas para una cuota, se utilizará laconfiguración de notificación de eventos. Para obtener más información sobre laconfiguración de reglas de notificación predeterminadas, consulte Creación de unaregla de notificación de eventos.

Procedimiento

1. En el cuadro de diálogo Edit Quota Details, seleccione Create customnotification rules.

2. Para agregar una regla de notificación, haga clic en Create a notification rule yseleccione los valores que desea usar para la notificación.

3. Haga clic en Create Rule cuando haya completado la configuración de losajustes para esta regla de notificación.




Asignar una regla de notificación por correo electrónico a una cuotaLas reglas de mapeo de notificación por correo electrónico controlan cómo seresuelven las direcciones de correo electrónico cuando el clúster envía una notificaciónde cuotas.

Si es necesario, puede volver a mapear el dominio usado para las notificaciones porcorreo electrónico de SmartQuotas. Puede volver a mapear dominios de WindowsActive Directory, dominios locales de UNIX o dominios de NIS.

Nota

Para ello, debe iniciar sesión en la interfaz de administración web.

Procedimiento


2. (Opcional) En el área Email Mapping, haga clic en Add a Mapping Rule.

3. En la lista Type, seleccione el tipo de proveedor de autenticación para esta reglade notificación. El valor predeterminado es Local. Para determinar cuáles son

SmartQuotas


los proveedores de autenticación disponibles en el clúster, vaya a Access >Authentication Providers.

4. En la lista Current Domain, seleccione el dominio que desea usar para la reglade mapeo. Si la lista está en blanco, navegue a Cluster Management >Network Configuration y especifique los dominios que desea usar para elmapeo.

5. En el campo Map to domain, ingrese el nombre del dominio en el que deseamapear notificaciones por correo electrónico. Este puede ser el mismo nombrede dominio que seleccionó en la lista Current Domain. Para especificar variosdominios, separe los nombres de dominios con comas.

6. Haga clic en Create Rule.

Mensajes de notificación de cuotas por correo electrónicoSi se encuentran habilitadas las notificaciones por correo electrónico cuando sesuperan las cuotas, puede personalizar las plantillas de Isilon para las notificaciones porcorreo electrónico o puede crear su propia plantilla.

OneFS ofrece tres plantillas de notificación por correo electrónico. Las plantillas seubican en /etc/ifs y se describen en la siguiente tabla:

Plantilla Descripción

quota_email_template.txt Una notificación que indica la superación de lacuota de disco.

quota_email_grace_template.txt Una notificación que indica la superación de lacuota de disco (también incluye un parámetropara definir un período de gracia en cantidadde días).

quota_email_test_template.txt Un mensaje de notificación de prueba quepuede usar para verificar si el usuario recibelas notificaciones por correo electrónico.

Si las plantillas de notificación por correo electrónico predeterminadas no satisfacensus necesidades, puede configurar sus propias plantillas de notificación por correoelectrónico personalizadas mediante una combinación de texto y variables deSmartQuotas. Si elige crear sus propias plantillas o modificar las existentes, asegúresede que la primera línea del archivo de plantilla sea la línea Subject: Por ejemplo:

Subject: Disk quota exceeded

Si desea incluir información sobre el remitente del mensaje, incluya la línea From:inmediatamente debajo de la línea del asunto. Si usa una dirección de correoelectrónico, incluya el nombre de dominio completo para la dirección. Por ejemplo:

From: [email protected]

En este ejemplo del archivo quota_email_template.txt, se incluye una líneaFrom:. Además, el texto predeterminado “Contact your system administrator fordetails” al final de la plantilla se cambia por el nombre del administrador:

Subject: Disk quota exceededFrom: [email protected]

SmartQuotas

Mensajes de notificación de cuotas por correo electrónico 449

The <ISI_QUOTA_TYPE> disk quota on directory <ISI_QUOTA_PATH> owned by <ISI_QUOTA_OWNER> on <ISI_QUOTA_NODE> was exceeded.

The quota limit is <ISI_QUOTA_THRESHOLD>, and <ISI_QUOTA_USAGE>is currently in use. You may be able to free some disk space by deleting unnecessary files. If your quota includes snapshot usage, your administrator may be able to free some disk space by deleting one or more snapshots. Contact Jane Anderson ([email protected]) for details.

Este un ejemplo de lo que verá un usuario en una notificación por correo electrónico(tenga en cuenta que las variables de SmartQuotas están resueltas):

Subject: Disk quota exceededFrom: [email protected]

The advisory disk quota on directory /ifs/data/sales_tools/collateralowned by jsmith on production-Boris was exceeded.

The quota limit is 10 GB, and 11 GB is in use. You may be able to free some disk space by deleting unnecessary files. If your quota includes snapshot usage, your administrator may be able to free some disk space by deleting one or more snapshots. Contact Jane Anderson ([email protected]) for details.

Descripciones de las variables de plantillas de notificación por correoelectrónico personalizadas

Una plantilla de correo electrónico contiene texto y, de forma opcional, variables querepresentan valores. Puede utilizar cualquiera de las variables de SmartQuotas en lasplantillas.

Variable Descripción Ejemplo

ISI_QUOTA_PATH Para eliminar un dominio: /ifs/data

ISI_QUOTA_THRESHOLD Valor de umbral 20 GB

ISI_QUOTA_USAGE Espacio de disco SSD en uso 10.5 GB

ISI_QUOTA_OWNER Nombre del propietario deldominio de cuota

jsmith

ISI_QUOTA_TYPE Tipo de umbral Asesoría

ISI_QUOTA_GRACE Período de gracia, en días Cinco días

ISI_QUOTA_EXPIRATION Fecha de vencimiento delperíodo de gracia

Viernes 22 de mayo de 2015 alas 14:23:19 h PST

ISI_QUOTA_NODE Nombre de host del nodo enel que se produce el evento dela cuota

someHost-prod-wf-1

Personalizar plantillas de notificación de cuotas por correo electrónicoPuede personalizar plantillas de Isilon para las notificaciones por correo electrónico. Lapersonalización de plantillas solo se puede realizar desde la interfaz de la línea decomandos de OneFS.

SmartQuotas


Este procedimiento supone el uso de las plantillas de Isilon, que se ubican en eldirectorio /etc/ifs.

Nota

Se recomienda no editar las plantillas directamente. En lugar de ello, cópielas a otrodirectorio para editarlas e implementarlas.

Procedimiento


2. Copie una de las plantillas predeterminadas en un directorio donde pueda editarel archivo y al que luego se accederá a través de la interfaz de administraciónweb de OneFS. Por ejemplo:

cp /etc/ifs/quota_email_template.txt /ifs/data/quotanotifiers/quota_email_template_copy.txt

3. Abra el archivo de plantilla en un editor de texto. Por ejemplo:

edit /ifs/data/quotanotifiers/quota_email_template_copy.txt

La plantilla aparece en el editor.

4. Edite la plantilla. Si usa o crea una plantilla personalizada, asegúrese de quetenga una línea de Subject:.

5. Guarde los cambios. Los archivos de plantilla deben guardarse comoarchivos .txt.

6. En la interfaz de administración web, vaya a File System > SmartQuotas >Settings.

7. En el área Notification Rules, haga clic en Add a Notification Rule.

Aparecerá el cuadro de diálogo Create a Notification Rule.

8. En la lista Rule type, seleccione el tipo de regla de notificación que desea usarcon la plantilla.

9. En el área Rule Settings, seleccione una opción de tipo de notificación.

10. Según el tipo de regla que se haya seleccionado, es posible que aparezca unformulario de programación. Seleccione las opciones de programación deinformes que desee usar.

11. En el campo Message template, escriba la ruta de la plantilla de mensajes ohaga clic en Browse para ubicarla.

12. (Opcional) Haga clic en Create Rule

Administración de informes de cuotasPuede configurar y calendarizar informes para facilitar el monitoreo, el rastreo y elanálisis del uso de almacenamiento en un clúster Isilon.

Puede ver y calendarizar informes y personalizar la configuración de informes pararastrear, monitorear y analizar el uso de almacenamiento en disco. Los informes decuotas se administran mediante la configuración de parámetros que le proporcionancontrol sobre cuándo calendarizar informes, cómo generarlos, dónde y cuántos sealmacenan, y cómo verlos. El número máximo de informes calendarizados disponibles

SmartQuotas

Administración de informes de cuotas 451

para su visualización en la interfaz de administración web se puede configurar paracada tipo de informe. Cuando se llega al número máximo de informes almacenados, elsistema va eliminando los informes más antiguos con el fin de hacer espacio paranuevos informes a medida que se generan.

Crear un calendario de informes de cuotasPuede configurar los informes de cuotas con el fin de generar estos informes según uncalendario especificado.

Estos ajustes determinan si se generarán o no informes calendarizados y cuándo, asícomo dónde y cómo se almacenarán los informes. Si deshabilita un informecalendarizado, puede ejecutar informes no calendarizados en cualquier momento.

Procedimiento


2. (Opcional) En la página Quota Settings, en el área Scheduled Reporting,seleccione Scheduled.

Se abrirá el panel de la programación.

3. En el panel de programación, seleccione la frecuencia de informe y las opcionesde creación de informes que desee configurar.


Resultados

Los informes se crean de acuerdo con los criterios de programación; para verlos, sedebe hacer clic en File System > SmartQuotas > Generated Reports Archive.

Generar un informe de cuotasAdemás de los informes de cuotas calendarizados, puede generar un informe paraobtener estadísticas de uso en un momento específico.

Antes de comenzar

Para poder generar un informe de cuotas, primero estas deben existir y no puedehaber ningún trabajo de QuotaScan en ejecución.

Procedimiento

1. Haga clic en File System > SmartQuotas > Generated Reports Archive.

2. Haga clic en Create a Manual Report.

Resultados

El nuevo informe aparece en la lista Quota Reports.

Localizar un informe de cuotasPuede localizar informes de cuotas, que se almacenan como archivos XML, y utilizarsus propias herramientas y transformaciones para ver los informes. Esta tarea solo sepuede realizar desde la interfaz de la línea de comandos de OneFS.

Procedimiento


2. Navegue al directorio donde se almacenan los informes de cuotas. La siguienteruta es la ubicación predeterminada de los informes de cuotas:

/ifs/.isilon/smartquotas/reports

SmartQuotas


Nota

Si los informes de cuotas no están en el directorio predeterminado, puedeejecutar el comando isi quota settings para buscar el directorio donde sealmacenan.

3. En la línea de comandos, ejecute el comando ls.

l Para ver una lista de todos los informes de cuotas del directorio, ejecute elsiguiente comando:

ls -a *.xml

l Para ver un determinado informe de cuotas en el directorio, ejecute elsiguiente comando:

ls <filename>.xml

Configuración básica del usuarioAl crear una cuota de almacenamiento, se deben definir, como mínimo, los siguientesatributos. Cuando se especifican límites de uso, aparecen opciones adicionales paradefinir la cuota.


Path El directorio en el que se encuentra la cuota.

Directory Quota Establece límites de almacenamiento en undirectorio.

User Quota Crea una cuota para todos los usuariosactuales o futuros que almacenen datos en eldirectorio especificado.

Group Quota Crea una cuota para todos los gruposactuales o futuros que almacenen datos en eldirectorio especificado.

Include snapshots in the storage quota Cuenta todos los datos de instantáneas enlos límites de uso. Esta opción no se puedecambiar una vez creada la cuota.

Include data-protection overhead in the storagequota

Cuenta la sobrecarga de protección en loslímites de uso.

Track storage without specifying a storage limit Cuenta solamente el uso.

Specify storage limits Impone límites recomendados, mínimos oabsolutos.

SmartQuotas

Configuración básica del usuario 453

Configuración de reglas de notificación de cuotas de límitesrecomendados

Puede configurar reglas personalizadas de notificación de cuotas para los límitesrecomendados de una cuota. Cuando selecciona la opción para utilizar reglas denotificación personalizadas, aparecen las siguientes opciones.

Opción Descripción Excedido Permanece excedido

Notify owner Seleccione esta opción paraenviar una notificación porcorreo electrónico alpropietario de la entidad.

Sí Sí

Notify another contact Seleccione esta opción paraenviar una notificación porcorreo electrónico a otrodestinatario e ingresar ladirección de correoelectrónico de ese otrodestinatario.

Nota

Puede agregar solo unadirección de correoelectrónico. Si desea notificara más de una persona,considere la posibilidad decrear una lista de distribucióny usarla como la dirección decorreo electrónico.

Sí Sí

Message template Escriba la ruta de acceso de laplantilla personalizada o haga

clic en Browse para buscarla.Deje el campo en blanco parausar la plantillapredeterminada.

Sí Sí

Create cluster event Seleccione esta opción paragenerar una notificación deeventos para la cuota cuandoesta se sobrepase.

Sí Sí

Notification delay Especifique el período quedebe esperarse (en horas,días o semanas) antes de quese genere una notificación.

Sí No

Schedule Especifique la frecuencia delas notificaciones y alertas:diaria, semanal, mensual oanual. En función de laselección, especifiqueintervalos, días de envío, hora

No Sí

SmartQuotas


Opción Descripción Excedido Permanece excedido

del día y varios correoselectrónicos por regla.

Configuración de reglas de notificación de cuotas de límitemínimo

Puede configurar reglas personalizadas de notificación del límite mínimo de una cuota.Cuando selecciona la opción para utilizar reglas de notificación personalizadas,aparecen las siguientes opciones.

Opción Descripción Excedido Permaneceexcedido

Período degracia caducado

Solo acceso deescritura

Notify owner Seleccione estaopción para enviaruna notificaciónpor correoelectrónico alpropietario de laentidad.

Sí Sí Sí Sí

Notify anothercontact

Seleccione estaopción para enviaruna notificaciónpor correoelectrónico a otrodestinatario eingresar ladirección de correoelectrónico de eseotro destinatario.

Nota

Solo puedeingresarse unadirección de correoelectrónico. Sidesea notificar amás de unapersona, considerela posibilidad decrear una lista dedistribución yusarla comodirección de correoelectrónico.

Sí Sí Sí Sí

Message template Escriba la ruta deacceso de laplantillapersonalizada o

Sí Sí Sí Sí

SmartQuotas

Configuración de reglas de notificación de cuotas de límite mínimo 455

Opción Descripción Excedido Permaneceexcedido

Período degracia caducado

Solo acceso deescritura

haga clic en

Browse parabuscarla.Deje el campo enblanco para usar laplantillapredeterminada.

Create clusterevent

Seleccione estaopción paragenerar unanotificación deeventos para lacuota.

Sí Sí Sí Sí

Notification delay Especifique elperíodo de espera(horas, días,semanas) antes degenerar unanotificación.

Sí No No Sí

Schedule Especifique lafrecuencia de lasalertas ynotificaciones:diaria, semanal,mensual, anual.Según la selección,especifiqueintervalos, días deenvío, horarios yvarios correoselectrónicos porregla.

No Sí Sí No

Configuración de reglas de notificación de cuotas de límitesmáximos

Puede configurar reglas personalizadas de notificación de cuotas para los límitesmáximos de una cuota. Cuando selecciona la opción para utilizar reglas de notificaciónpersonalizadas, aparecen las siguientes opciones.

Opción Descripción Solo acceso de escritura Excedido

Notify owner Seleccione esta opción paraenviar una notificación porcorreo electrónico alpropietario de la entidad.

Sí Sí

Notify another contact Seleccione esta opción paraenviar una notificación por

Sí Sí

SmartQuotas


Opción Descripción Solo acceso de escritura Excedido

correo electrónico a otrodestinatario e ingresar ladirección de correoelectrónico de ese otrodestinatario.

Nota

Puede agregar solo unadirección de correoelectrónico. Si desea notificara más de una persona,considere la posibilidad decrear una lista de distribucióny usarla como la dirección decorreo electrónico.

Message template Escriba la ruta de acceso de laplantilla personalizada o haga

clic en Browse para buscarla.Deje el campo en blanco parausar la plantillapredeterminada.

Sí Sí

Create cluster event Seleccione esta opción paragenerar una notificación deeventos para la cuota.

Sí Sí

Notification delay Especifique el período quedebe esperarse (en horas,días o semanas) antes de quese genere una notificación.

Sí No

Schedule Especifique la frecuencia delas notificaciones y alertas:diaria, semanal, mensual oanual. En función de laselección, especifiqueintervalos, días de envío, horadel día y varios correoselectrónicos por regla.

No Sí

Configuración de notificaciones del clienteLas cuotas de imposición son compatibles con los siguientes ajustes de notificaciónpara cada tipo de umbral. Una cuota puede utilizar solamente uno de estos ajustes.

Configuración de notificaciones Descripción

Disable quota notifications Deshabilitar todas las notificaciones de lacuota.

SmartQuotas

Configuración de notificaciones del cliente 457

Configuración de notificaciones Descripción

Use the system settings for quotanotifications

Usar las reglas de notificaciónpredeterminadas que haya configurado para eltipo de umbral especificado.

Create custom notification rules Incluir parámetros para crear notificacionespersonalizadas básicas que se apliquensolamente a esta cuota.

Ajustes de informes de cuotasPuede configurar los ajustes de informes de cuotas para rastrear el uso de los discos.Estos ajustes determinan si se generarán o no informes calendarizados y cuándo, asícomo dónde y cómo se almacenarán dichos informes. Cuando se llega al númeromáximo de informes almacenados, el sistema va eliminando los informes más antiguoscon el fin de hacer espacio para nuevos informes a medida que se generan.


Scheduled reporting Habilita o deshabilita la función de creación de informescalendarizados.

l Off. Los informes generados manualmente segúndemanda se pueden ejecutar en cualquier momento.

l On. Los informes se ejecutan automáticamente deacuerdo con el calendario que especifique.

Report frequency Especifica el intervalo de ejecución de este informe: diario,semanal, mensual o anual. Puede utilizar las siguientesopciones para refinar aún más el calendario de informes.

Generate report every. Especifique un valor numérico paradeterminar la frecuencia de generación de informes; porejemplo, cada dos meses.

Generate reports on. Seleccione el día o varios días paragenerar informes.

Select report day by. Especifique la fecha o el día de lasemana para generar el informe.

Generate one report per specified by. Defina la hora deldía para generar este informe.

Generate multiple reports per specified day.Establezca los intervalos y las horas del día para generar elinforme durante ese día.

Scheduled report archiving Permite determinar el número máximo de informescalendarizados que están disponibles para su visualización en

la página Reports de SmartQuotas.

Limit archive size para informes calendarizados permitelimitar el tamaño de archiving a un número concreto deinformes. Ingrese un número entero para especificar lacantidad máxima de informes que desea conservar.

SmartQuotas



Archive Directory. Navegue al directorio en el que deseaalmacenar informes de cuotas para archiving.

Manual report archiving Permite determinar el número máximo de informes generadosmanualmente (según demanda) que están disponibles para su

visualización en la página Reports de SmartQuotas.

Limit archive size para informes en vivo permite limitar eltamaño de archiving a un número concreto de informes.Ingrese un número entero para especificar la cantidad máximade informes que desea conservar.

Archive Directory. Navegue al directorio en el que deseaalmacenar informes de cuotas para archiving.

SmartQuotas

Ajustes de informes de cuotas 459

SmartQuotas


CAPÍTULO 22

Pools de almacenamiento


l Descripción general del pool de almacenamiento..............................................462l Funciones del pool de almacenamiento............................................................ 463l Aprovisionamiento automatizado..................................................................... 465l Pools de nodos.................................................................................................465l Hot spares virtuales......................................................................................... 468l Spillover........................................................................................................... 469l Protección sugerida......................................................................................... 469l Políticas de protección.....................................................................................470l Estrategias de discos SSD................................................................................ 471l Aceleración de espacios de nombres globales...................................................472l Descripción general de la caché L3...................................................................472l Niveles............................................................................................................. 474l Políticas de pools de archivos...........................................................................475l Administración de los pools de nodos en la interfaz de administración web...... 476l Administración de la caché L3 desde la interfaz de administración web............ 481l Administración de niveles................................................................................. 483l Creación de políticas de pools de archivos....................................................... 484l Administración de políticas de pools de archivos.............................................. 492l Monitoreo de pools de almacenamiento........................................................... 497

Pools de almacenamiento 461

Descripción general del pool de almacenamientoOneFS organiza los diferentes tipos de nodos en pools de nodos independientes.Además, puede organizar estos pools de nodos en niveles lógicos de almacenamiento.Mediante la activación de una licencia de SmartPools, puede crear políticas de poolsde archivos que almacenan archivos en estos niveles de forma automática basadas encriterios de coincidencia de archivos que debe especificar.

Sin una licencia de SmartPools activa, OneFS administra todos los pools de nodoscomo un solo pool de almacenamiento. Los metadatos y datos en archivos sefraccionan en todo el clúster para proteger los datos y otorgarles disponibilidadinmediata. Todos los archivos pertenecen al pool de archivos predeterminado y estánregulados por la política de pools de archivos predeterminada. En este modo, OneFSofrece funciones tales como aprovisionamiento automático, compatibilidades, hotspare virtual (VHS), estrategias de discos SSD, aceleración de espacios de nombresglobales (GNA), caché L3 y niveles de almacenamiento.

Tras activar una licencia de SmartPools, se pondrán a disposición funcionesadicionales, incluidas las políticas de pools de archivos personalizadas y laadministración de la propagación. Con una licencia de SmartPools, puede administrarsu conjunto de datos con más granularidad para mejorar el rendimiento del clúster.

En la siguiente tabla se resumen las funciones del pool de almacenamiento según elestado de la licencia de SmartPools.

Función Licencia de SmartPoolsinactiva

Licencia de SmartPoolsactiva

Aprovisionamientoautomatizado del nivel dealmacenamiento

Sí Sí

Compatibilidades de clases denodos (equivalencia denodos)

Sí Sí

Compatibilidades de lascapacidades de discos SSD

Sí Sí

Compatibilidades de conteode discos SSD

Sí Sí

Hot spares virtuales Sí Sí

Estrategias de discos SSD Sí Sí

Caché L3 Sí Sí

Niveles Sí Sí

GNA Sí Sí

Políticas de pools de archivos No Sí

Administración de lapropagación

No Sí



Funciones del pool de almacenamientoCuando se instala un clúster y cada vez que se agregan nodos al clúster, OneFSagrupa automáticamente los nodos en pools de nodos. El autoaprovisionamiento denodos en pools de nodos permite que OneFS optimice el rendimiento, la confiabilidad yla protección de datos del clúster.

Sin una licencia de SmartPools activa, OneFS aplica una política de pool de archivospredeterminada para organizar todos los datos en un solo pool de archivos. Con estapolítica, OneFS distribuye los datos en todo el clúster para protegerlos y dejarlosaccesibles. Al activar una licencia de SmartPools, se pondrán a disposición lasfunciones adicionales.

OneFS ofrece las siguientes funciones, con o sin una licencia de SmartPools activa:

Autoaprovisionamiento de pools de nodos

Agrupamiento automático de nodos de clase equivalente en pools de nodos paraotorgar eficiencia y protección óptimas al almacenamiento. Se requieren al menostres nodos de una clase equivalente para que funcione el autoaprovisionamiento.

Compatibilidades de clases de nodos (equivalencia de nodos)

Permite la unión de ciertos nodos cuyas clases no son equivalentes a pools denodos. OneFS admite compatibilidades de clases de nodos entre los nodos IsilonS200 y S210, X200 y X210, X400 y X410, y NL400 y NL410. La caché L3 debeencontrarse habilitada en los pools de nodos para que funcione la compatibilidadde clases de nodos.

Compatibilidades de las capacidades de discos SSD

Permite que los nodos con diferentes capacidades de discos SSD se provisionenen un pool de nodos compatible existente. De lo contrario, los nodos compatiblescon diferentes capacidades de discos SSD no pueden unirse al mismo pool denodos. Si tiene menos de tres nodos con una capacidad de discos SSD diferente,estos nodos aún quedarán por provisionarse y, por lo tanto, no se encontraránoperativos. La caché L3 debe estar habilitada en los pools de nodos para quefuncione la compatibilidad de capacidad de disco SSD.

Compatibilidades de conteo de discos SSD

Permite que los nodos con distintas cantidades de discos SSD se provisionen almismo pool de nodos. De lo contrario, los nodos compatibles con diferentesconteos de discos SSD no pueden unirse al mismo pool de nodos. Si tiene menosde tres nodos con un conteo de discos SSD en especial, estos nodos aúnquedarán por provisionarse y, por lo tanto, no estarán operativos hasta que creeuna compatibilidad de conteo de discos SSD. La caché L3 debe estar habilitada enlos pools de nodos para que funcione la compatibilidad de conteos de discos SSD.

Niveles

Agrupa los pools de nodos en niveles lógicos de almacenamiento. Si activa unalicencia de SmartPools para esta función, puede crear políticas de pool dearchivos personalizadas y dirigir diferentes pools de archivos a niveles dealmacenamiento apropiados.

Política de pool de archivos predeterminada

Administra todos los tipos de archivos y puede almacenar los archivos encualquier lugar del clúster. Las políticas de pool de archivos personalizadas, que


Funciones del pool de almacenamiento 463

requieren una licencia de SmartPools, tienen prioridad sobre las políticas de poolde archivo predeterminadas.

Protección requerida

Especifica una configuración de protección requerida para el pool de archivospredeterminado, para cada pool de nodos o incluso para archivos individuales.Puede conservar la configuración predeterminada o elegir la protección sugeridaque OneFS calcula para una protección de datos óptima.

Hot spares virtuales

Reserva una parte del espacio de almacenamiento disponible para la reparación dedatos en caso de una falla de discos.

Estrategias de discos SSD

Define el tipo de datos almacenados en discos SSD en el clúster. Por ejemplo, losmetadatos de almacenamiento para la aceleración de lectura/escritura.

Caché L3

Especifica que los discos SSD en los nodos se utilizan para aumentar la memoriacaché y para acelerar el rendimiento del sistema de archivos en los conjuntos dearchivos de trabajo más grandes.

Aceleración de espacios de nombres globales

Activa la aceleración de espacios de nombres globales (GNA), la cual permite quelos datos que se almacenan en pools de nodos sin discos SSD accedan a estosdiscos en cualquier otra parte del clúster a fin de almacenar espejeados demetadatos adicionales. Los espejeados de metadatos adicionales aceleran lasoperaciones de lectura de metadatos.

Si se activa una licencia de SmartPools, OneFS brindará las siguientes funcionesadicionales:

Políticas de pool de archivos personalizadas

Crea políticas de pool de archivos personalizadas para identificar las diferentesclases de archivos y almacena estos pools de archivos en niveles dealmacenamiento lógicos. Por ejemplo, puede definir un nivel de alto rendimientopara los pools de nodos de la serie S de Isilon y un nivel de archiving de altacapacidad para los pools de nodos Isilon NL400 y HD400. Luego, con las políticasde pool de archivos personalizadas, puede identificar los pools de archivos conbase en los criterios de coincidencia y definir las acciones que se realizarán enestos pools. Por ejemplo, una política de pool de archivos puede identificar todoslos archivos JPEG con una antigüedad superior a un año y almacenarlos en unnivel de archiving. Otra política puede transferir todos los archivos creados omodificados durante los últimos tres meses a un nivel de rendimiento.

Propagación de pools de almacenamiento

Habilita la administración automatizada del desbordamiento de capacidad en lospools de almacenamiento. La propagación define la forma en que se manejan lasoperaciones de escritura cuando un pool de almacenamiento no presentacapacidad de escritura. Si se habilita la propagación, los datos se redireccionan aun pool de almacenamiento especificado. Si se deshabilita la propagación, lasescrituras de nuevos datos fallan y se envía un mensaje de error al cliente queintenta realizar la operación de escritura.



Funciones de pools de almacenamiento compatibles con IsilonSD EdgeIsilonSD Edge es compatible solamente con la política predeterminada de pools dearchivos, la protección solicitada y las funciones de pool de almacenamiento de hotspare virtual.

Tome nota de las siguientes consideraciones antes de usar pools de almacenamientocon IsilonSD Edge:

l IsilonSD Edge debe reconocer siempre las unidades en los nodos IsilonSD comodiscos duros, independientemente del pool de almacenamiento que las aloje.

l No puede crear nodos heterogéneos dentro del mismo clúster IsilonSD.

Aprovisionamiento automatizadoAl agregar un nodo a un clúster Isilon, OneFS intenta asignar el nodo a un pool denodos. Este proceso se conoce como autoaprovisionamiento, que ayuda a OneFS abrindar un rendimiento óptimo, balanceo de cargas e integridad del sistema dearchivos en todo el clúster.

Para que un nodo se autoprovisione a un pool de nodos y obtenga capacidad deescritura, es necesario agregar al clúster al menos tres nodos de la misma clase deequivalencia. Si agregó únicamente dos nodos de una clase equivalente, no sealmacenarán datos en los nodos hasta que agregue un tercer nodo de la misma clasede equivalencia.

De manera similar, si un nodo se deshabilita o se extrae del clúster y quedan menos detres nodos de la misma clase de equivalencia, el pool de nodos pierde suaprovisionamiento. En este caso, los dos nodos restantes mantienen su capacidad deescritura. Sin embargo, si queda un solo nodo de una clase equivalente, este nodo noposeerá capacidad de escritura, pero mantendrá su capacidad de lectura.

Con el tiempo, a medida que agrega nuevos nodos Isilon al clúster, los nuevos nodosprobablemente serán diferentes de los nodos anteriores en ciertas maneras. Porejemplo, los nuevos nodos pueden ser de una generación diferente o tener diferentesconfiguraciones de unidades. A menos que agregue tres nuevos nodos de la mismaclase de equivalencia cada vez que actualiza su clúster, los nuevos nodos no seprovisionarán automáticamente.

Para resolver esas restricciones, OneFS le permite crear tres tipos decompatibilidades: clase de nodo, capacidad de disco SSD y conteo de discos SSD. Conel uso de las compatibilidades adecuadas, se pueden provisionar nuevos tipos de nodospara los pools de nodos existentes. Puede agregar nodos al clúster (uno a la vez) y losnodos nuevos pueden convertirse en pares totalmente operativos dentro de pools denodos existentes.

Por ejemplo, suponga que un clúster tenía un pool de nodos conformado por tresnodos S200 y adquiere un nodo S210. Además de ser una generación de nododiferente, el nodo S210 podría tener una cantidad y capacidad diferentes de discosSSD. Con las compatibilidades correspondientes, se puede provisionar el nuevo nodoS210 al pool de nodos S200.

Pools de nodosUn pool de nodos es un grupo de tres o más nodos Isilon que forma un solo pool dealmacenamiento. A medida que se agregan nodos al clúster Isilon, OneFS trata deprovisionar automáticamente los nodos nuevos en pools de nodos.


Funciones de pools de almacenamiento compatibles con IsilonSD Edge 465

Para provisionar un nodo automáticamente, OneFS requiere que el nuevo nodo poseala misma clase de equivalencia que los otros nodos del pool. OneFS usa los siguientescriterios para determinar si el nuevo nodo posee la misma clase de equivalencia:

l Código de familia

l Código de chasis

l Código de generación

l Configuración de unidades

l Capacidad de RAM

Si el nodo nuevo coincide con todos los criterios, OneFS lo provisiona en el pool denodos. Todos los nodos en un pool de nodos son pares y los datos se distribuyen entodos los nodos del pool. Cada nodo provisionado aumenta la capacidad agregada dedisco, caché, CPU y red del clúster.

Se recomienda enfáticamente dejar que OneFS maneje el aprovisionamiento de losnodos. Sin embargo, si tiene algún requisito o caso de uso especial, puede transferirlos nodos de un pool de nodos autoprovisionado a un pool definido manualmente. Lacapacidad para crear pools de nodos definidos manualmente se encuentra disponiblesolo a través de la interfaz de la línea de comandos de OneFS, y su implementaciónsolo debe realizarse tras consultar al servicio al cliente de EMC Isilon.

Si intenta eliminar un nodo de un pool de nodos para agregarlo a un pool de nodosmanual, lo cual dejaría menos de tres nodos en el pool de nodos original, la eliminaciónfallará. Al eliminar un nodo de un pool de nodos definido manualmente, OneFS intentaautoprovisionar el nodo en un pool de nodos de la misma clase de equivalencia.

Si agrega menos de tres nodos de una clase equivalente al clúster, OneFS no podráautoprovisionar estos nodos. En estos casos, puede crear a menudo una o máscompatibilidades para permitir que OneFS provisione los nodos recientementeagregados a un pool de nodos compatible.

Los tipos de compatibilidades incluyen la clase de nodo, la capacidad de disco SSD y elconteo de discos SSD.

Compatibilidades de clases de nodosPara su autoaprovisionamiento, el nodo debe poseer la misma clase de equivalenciaque los otros nodos del pool. Si un nodo nuevo no posee la misma clase deequivalencia, por lo general, es posible permitir que el nodo se provisione en un pool denodos existente mediante la definición de una compatibilidad de clases de nodos.

Si cuenta con pools de nodos S200, X200, X400 o NL400 y agrega menos de tresnodos Isilon S210, X210, X410 o NL410, puede crear compatibilidades de clases denodos para provisionar los nuevos nodos y ponerlos en funcionamiento dentro declúster. Solo los nodos S210, X210, X410 y NL410 son actualmente idóneos para lacompatibilidad de clases de nodos con generaciones de nodos más antiguas.

Para provisionarse, los nodos nuevos deben tener la misma configuración de unidadesque sus contrapartes de generaciones anteriores y deben contar con cantidades deRAM compatibles, como se muestra en la siguiente tabla:



CompatibilidadS200/S210

CompatibilidadX200/X210

CompatibilidadX400/X410

CompatibilidadNL400/NL410

RAM deS200

RAM deS210

RAM deX200

RAM deX210

RAM deX400

RAM deX410

RAM deNL400

RAM deNL410

24 GB 32 GB 6 GB Funcionalidad nodisponible

24 GB 32 GB 12 GB Funcionalidad nodisponible

48 GB 64 GB 12 GB 48 GB 64 GB 24 GB 24 GB

96 GB 128 GB 24 GB 24 GB 96 GB 128 GB 48 GB 48 GB

256 GB 48 GB 48 GB 192 GB 256 GB – –

Si los nuevos nodos tienen configuraciones de unidades diferentes gracias a quecuentan con discos SSD de diversas capacidades o conteos, debe crearcompatibilidades de capacidad o conteo de discos SSD, además de compatibilidadesde clases de nodos.

Nota

Después de agregar tres o más nodos de generaciones más recientes de una clase deequivalencia particular al clúster, recomendamos eliminar las compatibilidades declases de nodos que haya creado. Este paso permite que OneFS autoprovisione nodosS210, X210, X410 o NL410 nuevos en sus propios pools de nodos, además deaprovechar las especificaciones de mayor rendimiento de los tipos de nodos nuevos.Sin embargo, debido a que los pools de nodos más grandes almacenan datos demanera más eficiente, la eliminación de compatibilidades también puede reducir lacantidad de almacenamiento disponible en el clúster. Si no está seguro de si deseaeliminar las compatibilidades, recomendamos que primero consulte a su representantede EMC Isilon.

Compatibilidades de discos SSDPara que el autoaprovisionamiento funcione, OneFS requiere que todos los nodos deun pool de nodos tengan los mismos diseños de disco duro y disco SSD. OneFS nopuede provisionar automáticamente nodos nuevos si tienen discos SSD concapacidades o conteos distintos de los de los nodos del pool de nodos existente. Parapermitir que los nodos nuevos con capacidades o conteos de discos SSD diferentes seunan a un pool de nodos compatible, puede crear compatibilidades de discos SSD.

Por ejemplo, si su clúster ya tiene un pool de nodos S200 y se agrega un nodo S200nuevo, OneFS intentará provisionar automáticamente el nuevo nodo en el pool denodos S200. Sin embargo, si el nodo S200 nuevo tiene una cantidad diferente dediscos SSD o una capacidad de discos SSD mayor que la de los nodos S200 antiguos,OneFS no puede provisionar automáticamente el nodo nuevo. Para permitir elaprovisionamiento automático del nodo nuevo, puede crear compatibilidades de discosSSD para el tipo de nodo S200.

Tal como las compatibilidades de clases de nodos, las compatibilidades de discos SSDrequieren la compatibilidad entre los nodos, como se muestra en la siguiente tabla:

Pool de nodos existente Compatibilidades de discos SSD que se pueden crear

S200 S200 S210*


Compatibilidades de discos SSD 467

Pool de nodos existente Compatibilidades de discos SSD que se pueden crear

X200 X200 X210*

X400 X400 X410*

NL400 NL400 NL410*

S210 S210 S200*

X210 X210 X200*

X410 X410 X400*

NL410 NL410 NL400*

* También requiere una compatibilidad de clases de nodos con la clase de pool de nodosexistente.

Nota

Para crear las compatibilidades de discos SSD, todos los nodos deben tener habilitadala caché L3. Si intenta crear una compatibilidad de clase de nodo y compatibilidades dediscos SSD pertinentes, y el proceso falla con un mensaje de error, asegúrese de queel pool de nodos existente tenga habilitada la caché L3. Luego, intente crear lacompatibilidad nuevamente. La caché L3 solo puede habilitarse en los nodos quetengan menos de 16 discos SSD.

Pools de nodos manualesSi los pools de nodos provisionados automáticamente por OneFS no satisfacen susnecesidades, puede configurarlos manualmente. Puede hacerlo mediante latransferencia de nodos desde un pool de nodos existente hasta el pool de nodosmanual.

Esta capacidad le permite almacenar datos en nodos específicos según sus propósitos,y se encuentra disponible solo mediante la interfaz de la línea de comandos de OneFS.

PRECAUCIÓN

Se recomienda habilitar OneFS para provisionar los nodos automáticamente. Esposible que los pools de nodos creados manualmente no ofrezcan el mismorendimiento y eficiencia que los pools de nodos administrados automáticamente,en especial si los cambios dan como resultado menos de 20 nodos en el pool denodos manual.

Hot spares virtualesLa configuración de hot spare virtual (VHS) le permite reservar espacio en disco parareconstruir los datos si falla una unidad.

Puede especificar una cantidad de unidades virtuales para reservar y un porcentaje delespacio de almacenamiento total. Por ejemplo, si especifica dos unidades virtuales yun 15 %, cada pool de nodos reservará un espacio de unidad virtual que equivale a dosunidades o al 15 % de su capacidad total (lo que sea mayor).

Puede reservar espacio en los pools de nodos de todo el clúster para este propósitomediante la especificación de las siguientes opciones:



l Al menos entre una y cuatro unidades virtuales.

l Al menos entre un 0 % y un 20 % de almacenamiento total.

OneFS calcula el número mayor de los dos factores para determinar el espacioasignado. Al configurar los ajustes de VHS, asegúrese de considerar la siguienteinformación:

l Si deselecciona la opción Ignore reserved space when calculating available freespace (predeterminada), los cálculos de espacio libre incluirán el espacioreservado para VHS.

l Si deselecciona la opción Deny data writes to reserved disk space(predeterminada), OneFS puede usar VHS para escrituras normales de datos. Serecomienda dejar esta opción seleccionada; de lo contrario, la reparación de datosse verá comprometida.

l Si se habilita la opción Ignore reserved space when calculating available freespace mientras Deny data writes to reserved disk space se encuentradeshabilitada, es posible que el sistema de archivos informe una utilización de másdel 100 %.

Nota

Los ajustes de VHS afectan la propagación. Si se habilita la opción Deny data writesto reserved disk space de VHS mientras Ignore reserved space when calculatingavailable free space se encuentra deshabilitada, la propagación ocurre antes de que elsistema de archivos informe una utilización del 100 %.

SpilloverAl activar una licencia de SmartPools, puede designar un pool de nodos o un nivel paraque reciba los datos propagados cuando el hardware especificado por una política depool de archivos esté lleno o no tenga capacidad de escritura.

Si no desea que los datos se propaguen a una ubicación diferente porque el nivel o elpool de nodos especificado está completo o no tiene capacidad de escritura, puededeshabilitar esta función.

Nota

Las reservas de hot spare virtual afectan la propagación. Si se encuentra habilitado elajuste de configuración Deny data writes to reserved disk space y el ajuste Ignorereserved space when calculating available free space está deshabilitado, lapropagación ocurre después de que el sistema de archivos informe una utilización del100 %.

Protección sugeridaSegún la configuración de su clúster Isilon, OneFS calcula automáticamente lacantidad de protección recomendada para mantener los estrictos requisitos deprotección de datos de EMC Isilon.

OneFS incluye una función para calcular la protección sugerida de datos a fin demantener un tiempo promedio de pérdida de datos (MTTDL) teórico de 5,000 años. Laprotección sugerida brinda el equilibrio óptimo entre protección de datos y eficienciadel almacenamiento en su clúster.


Spillover 469

Mediante la configuración de políticas de pool de archivos, puede especificar uno delos múltiples ajustes de protección requeridos para un solo archivo, para subconjuntosde archivos denominados pools de archivos o para todos los archivos del clúster.

Se recomienda no especificar una configuración inferior a la protección sugerida.OneFS verifica periódicamente el nivel de protección del clúster y envía alertas si laprotección de datos recomendada disminuye.

Políticas de protecciónOneFS ofrece una variedad de políticas de protección para elegir con el fin de protegerun archivo o especificar una política de pools de archivos.

Cuanto mayor sea la cantidad de nodos en el clúster (hasta 20 nodos), más eficaz seráel almacenamiento y la protección de datos de OneFS y mayores serán los niveles deprotección requeridos que puede lograr el sistema operativo. Según la configuraciónde su clúster y la cantidad de datos almacenados, es posible que OneFS no logre elnivel de protección deseado. Por ejemplo, si tiene un clúster de tres nodos que estácerca del límite de capacidad, y se solicita la protección +2n, puede que OneFS no seacapaz de brindar la protección requerida.

La siguiente tabla describe las políticas de protección disponibles en OneFS.

Política deprotección

Resumen

+1n Tolera la falla de 1 unidad o la falla de 1 nodo

+2d:1n Tolera la falla de 2 unidades o la falla de 1 nodo

+2n Tolera la falla de 2 unidades o la falla de 2 nodos


+3d:1n1d Tolera la falla de 3 unidades o la falla de 1 nodo y 1 unidad



+4d:2n Tolera la falla de 4 unidades o la falla de 2 nodos


Espejeados:2 veces

3 veces

4 veces

5 veces

6 veces

7 veces

8 veces

Duplica o espejea datos en la cantidad especificada de nodos. Porejemplo, 2x genera dos copias de cada bloque de datos.

Nota

Los espejeados pueden usar más datos que las otras políticas dereplicación, pero pueden constituir una manera eficaz de protegerlos archivos escritos de manera no secuencial o para brindar unacceso más rápido a archivos importantes.



Estrategias de discos SSDLos clústeres OneFS pueden contener nodos que incluyen discos de estado sólido(discos SSD). OneFS autoprovisiona los nodos de clase equivalente con discos SSD enuno o más pools de nodos. La estrategia de discos SSD definida en la política de poolde archivos predeterminada determina la manera en que los discos SSD se utilizan enel clúster, y se puede configurar para que aumente el rendimiento en una ampliavariedad de flujos de trabajo.

Puede configurar las políticas de pool de archivos para aplicar estrategias de SSDespecíficas, según sea necesario. Al seleccionar las opciones de discos SSD durante lacreación de una política de pool de archivos, puede identificar los archivos del clústerOneFS que necesitan un rendimiento más rápido o más lento. Cuando se ejecuta eltrabajo de SmartPools, OneFS utiliza las políticas de pool de archivos para transferirestos datos al pool de almacenamiento y al tipo de unidad pertinentes.

Las siguientes opciones de estrategias de discos SSD que puede establecer en unapolítica de pool de archivos se enumeran en orden ascendente según la velocidad delas opciones:

Avoid SSDs

Escribe todos los metadatos y datos en archivos asociados solamente en discosduros.

PRECAUCIÓN

Use esta opción para liberar espacio en discos SSD únicamente después deconsultar esta operación con el personal del soporte técnico de Isilon. Usaresta estrategia puede tener un impacto negativo en el rendimiento.

Metadata read acceleration

Escribe tanto metadatos como datos en archivos en los discos duros. Esta es laconfiguración predeterminada. Si es posible, se escribe un espejeado adicional delos metadatos de archivos en los discos SSD. El espejeado adicional de discosSSD se incluye en la cantidad de espejeados, si los hay, que son necesarios paralograr la protección solicitada.

Metadata read/write acceleration

Escribe datos en archivos en discos duros y metadatos en discos SSD, de estardisponibles. Esta estrategia acelera la escritura de metadatos, además de laslecturas, pero requiere cerca de cuatro a cinco veces más almacenamiento enSSD que la configuración Metadata read acceleration. La habilitación de GNA noafecta la aceleración de lectura/escritura.

Datos en discos SSDs

Usa los pools de nodos de SSD tanto para los datos como para los metadatos,independientemente de si está habilitada o no la aceleración de espacios denombres globales. Esta estrategia de SSD no crea más espejeados adicionales quelos necesarios para la protección común solicitada, pero tiene requisitos dealmacenamiento considerablemente mayores en comparación con las otrasopciones de estrategia de SSD.


Estrategias de discos SSD 471

Aceleración de espacios de nombres globalesLa aceleración de espacios de nombres globales (GNA) permite que los datos en poolsde nodos sin discos SSD cuenten con espejeados de metadatos adicionales en discosSSD en otra parte del clúster. Los espejeados de metadatos en discos SSD puedenmejorar el rendimiento del sistema de archivos mediante la aceleración de lasoperaciones de lectura de metadatos.

Puede habilitar la GNA únicamente si el 20 % o más de los nodos del clúster contienenal menos un disco SSD y si el 1.5 % o más del almacenamiento total del clúster estábasado en discos SSD. Para obtener mejores resultados, antes de habilitar la GNA,asegúrese de que al menos el 2.0 % del almacenamiento total del clúster esté basadoen discos SSD.

Incluso tras su habilitación, la GNA se torna inactiva si la relación de discos SSD y HDDdisminuye bajo el umbral del 1.5 %, o si el porcentaje de nodos que contiene al menosun disco SSD disminuye a menos del 20 %. La GNA se vuelve a activar cuando secumplen dichos requisitos. En estos casos, mientras la GNA está inactiva, losespejeados existentes de discos SSD tienen capacidad de lectura, pero los metadatosescritos recientemente no incluyen el espejeado de discos SSD adicional.

Nota

Los pools de nodos con la caché L3 habilitada son invisibles para fines de GNA. Todoslos cálculos de tasas para GNA se realizan exclusivamente para los pools de nodos sinla caché L3 habilitada. Por ejemplo, si hay seis pools de nodos en el clúster, y tres deellos tienen la caché L3 habilitada, la GNA se aplica solo a los tres pools de nodosrestantes sin la caché L3 habilitada. En los pools de nodos con la caché L3 habilitada,los metadatos no necesitan un espejeado adicional de la GNA, ya que la caché L3 yaaceleró el acceso a los metadatos.

Descripción general de la caché L3Puede configurar nodos con discos de estado sólido (discos SSD) para aumentar lamemoria de la caché y agilizar el rendimiento del sistema de archivos en conjuntos dearchivos de trabajo más grandes.

OneFS almacena en caché los metadatos y datos en archivos en varios niveles. Lasiguiente tabla describe los tipos de caché del sistema de archivos disponibles en unclúster Isilon.

Nombre Tipo Perfil Alcance Descripción

Caché L1 RAM Volátil Nodolocal

También conocida como caché de front-end,retiene copias de datos y metadatos delsistema de archivos solicitados por la red defront-end mediante NFS, SMB, HTTP, etc.

Caché L2 RAM Volátil Global También conocida como caché de back-end,retiene copias de datos y metadatos delsistema de archivos en el nodo al cualpertenecen los datos.

SmartCache Variable Novolátil

Nodolocal

Retiene cualquier cambio pendiente enarchivos de front-end que esperan serescritos en el almacenamiento. Este tipo de



Nombre Tipo Perfil Alcance Descripción

caché protege los datos de reescrituramediante una combinación de RAM yalmacenamiento estable.

Caché L3 Disco SSD Novolátil

Global Retiene metadatos y datos en archivosliberados de la caché L2, lo cual aumentaeficazmente la capacidad de la caché L2.

OneFS almacena en caché los archivos y metadatos a los que se accedefrecuentemente en la memoria de acceso aleatorio (RAM) disponible. Elalmacenamiento en caché permite que OneFS optimice la protección de datos y elrendimiento del sistema de archivos. Cuando se utiliza toda la capacidad de la cachéen RAM, OneFS normalmente desecha los datos almacenados en caché más antiguosy procesa nuevas solicitudes de datos mediante el acceso a las unidades dealmacenamiento. Este ciclo se repite cada vez que la caché en RAM se completa.

Puede implementar discos SSD como caché L3 para reducir el problema del ciclo de lacaché y mejorar aún más el rendimiento del sistema de archivos. La caché L3contribuye significativamente a la memoria caché disponible y proporciona un accesomás rápido a los datos que los discos duros (HDD).

A medida que la caché L2 alcanza su límite de capacidad, OneFS evalúa los datos quese liberarán y, según su flujo de trabajo, transfiere los datos a la caché L3. De estaforma, se retienen muchos más datos a los que se accede con frecuencia en la caché yse mejora el rendimiento del sistema de archivos general.

Por ejemplo, considere un clúster con 128 GB de RAM. Por lo general, la cantidad deRAM disponible para la caché varía según otros procesos activos. Si el 50 % de laRAM está disponible para la caché, el tamaño de esta sería aproximadamente de64 GB. Si este mismo clúster contara con tres nodos, cada uno con dos discos SSD de200 GB, la cantidad de la caché L3 sería de 1.2 TB, aproximadamente 18 veces lacantidad de la caché L2 disponible.

La caché L3 está habilitada de forma predeterminada para nuevos pools de nodos. Unpool de nodos es una recopilación de nodos que pertenecen a la misma clase deequivalencia o para los que se crearon compatibilidades. La caché L3 se aplicasolamente a los nodos donde residen los discos SSD. Para el nodo HD400, que se usaprincipalmente para fines de archiving, la caché L3 se encuentra habilitada de manerapredeterminada y no se puede deshabilitar. En el nodo HD400, la caché L3 se usaúnicamente para los metadatos.

Si habilita la caché L3 en un pool de nodos, OneFS administra todos los niveles de lacaché para proporcionar una protección de datos, disponibilidad y rendimientoóptimos. Además, en caso de que ocurra una falla en la energía, los datos en la cachéL3 se conservan y continúan disponibles una vez solucionada la falla.

Nota

Aunque se obtienen algunos beneficios de la caché L3 en flujos de trabajo con accesoa archivos de streaming y concurrent, la caché L3 proporciona los máximos beneficiosen flujos de trabajo que conllevan acceso a archivos random.

Migración a caché L3La caché L3 está habilitada de forma predeterminada en los nodos nuevos. Si actualizasu clúster a partir de una versión más antigua (previa a OneFS 7.1.1), debe habilitar lacaché L3 manualmente en los pools de nodos que poseen discos SSD. Cuando se


Migración a caché L3 473

habilita la caché L3, OneFS activa un proceso que migra los discos SSD de discos dealmacenamiento a la caché. Los datos en archivos que actualmente se encuentren endiscos SSD se mueven a otra parte del clúster.

Puede habilitar la caché L3 como opción predeterminada para todos los pools de nodosnuevos, o bien, de manera manual para un pool de nodos específico, ya sea mediante lalínea de comandos o desde la interfaz de administración web. Puede habilitar la cachéL3 solo en pools de nodos que posean discos SSD.

Según la cantidad de datos almacenados en los discos SSD, el proceso de migraciónpuede llevar algún tiempo. OneFS muestra un mensaje que le informa que la migraciónestá por comenzar:

WARNING: Changes to L3 cache configuration can have a long completion time. If this is a concern, please contact EMC Isilon Support for more information.

Debe confirmar si desea que OneFS continúe con el proceso de migración. Después deesto, OneFS maneja la migración en forma inteligente como un proceso en segundoplano. Durante la migración, es posible continuar con la administración del clúster.

Si opta por deshabilitar la caché L3 en un pool de nodos, el proceso de migración esmuy rápido.

Caché L3 en pools de nodos serie NL y serie HDLos nodos serie HD y serie NL son unidades de alta capacidad diseñadasprincipalmente para flujos de trabajo de archiving. Los flujos de trabajo de archivingincluyen un mayor porcentaje de escrituras de datos en comparación con las lecturasde datos, y la memoria caché L3 con discos SSD puede mejorar significativamente lavelocidad de las actividades de cruce del sistema de archivos tales como la búsquedade directorios.

La caché L3 está activada de forma predeterminada en los pools de nodos serie HD yserie NL.

Para los nodos serie NL con unidades de disco duro (HDD) de capacidad menor que4 TB, la caché L3 almacena datos y metadatos en discos SSD de formapredeterminada. Puede apagar la caché L3 en los nodos serie NL con discos duros de4 TB o más pequeños. Sin embargo, recomendamos que deje habilitada la caché L3, yaque los nodos serie NL generalmente no tienen grandes cantidades de discos SSD.Desde una perspectiva de rendimiento, los beneficios de la caché L3 superan losbeneficios de usar discos SSD como unidades de almacenamiento en estos nodos.

Para los nodos serie NL con más de 4 TB de capacidad de HDD y para todos los nodosserie HD, la caché L3 almacena metadatos solo en discos SSD y no se puedeinhabilitar. La caché L3 con metadatos almacenada solo en discos SSD proporciona elmejor rendimiento para el archiving de datos en estos nodos de alta capacidad.

NivelesUn nivel es una recopilación de pools de nodos definida por el usuario que se puedeespecificar como un pool de almacenamiento para los archivos. Un pool de nodospuede pertenecer a un solo nivel.

Puede crear niveles para asignar sus datos a cualquiera de los pools de nodos en elnivel. Por ejemplo, puede asignar una recopilación de pools de nodos a un nivel creadoespecíficamente para almacenar los datos que requieren una alta disponibilidad yacceso rápido. En un sistema de tres niveles, esta clasificación puede ser Nivel 1.Puede clasificar los datos que se usan con menos frecuencia o a los que menos



acceden los usuarios como datos de Nivel 2. El Nivel 3 suele incluir datos raramenteutilizados que se pueden archivar para fines históricos o normativos.

Políticas de pools de archivosLas políticas de pools de archivos definen los conjuntos de archivos (pool de archivos)y dónde y cuándo se almacenan en su clúster. Puede configurar varias políticas depools de archivos con reglas de filtrado que identifican los pools de archivosespecíficos y los ajustes de la protección requerida y de la optimización de I/O deestos pools de archivos. La creación de políticas de pools de archivos personalizadasrequiere una licencia de SmartPools activa.

La instalación inicial de OneFS ubica todos los archivos en un solo pool de archivossujeto a la política de pool de archivos predeterminada. Sin una licencia de SmartPoolsactiva, solo puede configurar la política de pools de archivos predeterminada, quecontrola todos los archivos y los almacena en algún lugar del clúster.

Con una licencia de SmartPools activa, OneFS aumenta las funciones dealmacenamiento básicas, lo cual le permite crear políticas de pools de archivospersonalizadas que identifican, protegen y controlan varios pools de archivos. Porejemplo, con una política de pools de archivos personalizada, es posible definir yalmacenar un pool de archivos en un nivel o pool de nodos específico para obtener unacceso rápido o con fines de archiving.

Al crear una política de pools de archivos, los criterios de filtrado flexibles le permitenespecificar los atributos basados en el tiempo correspondientes a las fechas en que semodificaron o se crearon los archivos, o en las que se accedió a ellos por última vez.También puede definir atributos de tiempo relativo, como 30 días antes de la fechaactual. Otros criterios de filtrado incluyen el tipo, el nombre, el tamaño y los atributospersonalizados de los archivos. Los siguientes ejemplos demuestran algunas manerasen las que puede configurar las políticas de pool de archivos:

l Una política de pools de archivos para establecer una mayor protección en unconjunto específico de archivos importantes.

l Una política de pools de archivos para almacenar archivos a los que se accedefrecuentemente en un pool de nodos que proporcione las lecturas o lecturas/escrituras más rápidas.

l Una política de pools de archivos para evaluar la última vez que se accedió a losarchivos, de manera que los archivos más antiguos se almacenen en un pool denodos más idóneo para los propósitos de archiving normativo.

Cuando se ejecuta el trabajo de SmartPools, generalmente una vez al día, este procesapolíticas de pool de archivos en orden de prioridad. Puede editar, reorganizar oeliminar políticas de pools de archivos personalizadas en cualquier momento. Sinembargo, la política de pools de archivos predeterminada siempre tiene la prioridadmás baja. Si bien puede editar la política de pools de archivos predeterminada, nopuede reorganizarla ni eliminarla. Cuando se establecen las políticas de pools dearchivos personalizadas, los ajustes de la política de pools de archivos predeterminadase aplican solo a los archivos que no están cubiertos por otra política de pools dearchivos.

Cuando se crea un nuevo archivo, OneFS elige un pool de almacenamiento basado enla política de pools de archivos predeterminada o, si existe, una política de pools dearchivos personalizada de mayor prioridad que coincida con el archivo. Si un nuevoarchivo coincidió originalmente con la política de pools de archivos predeterminada yusted crea después una política de pools de archivos personalizada que coincida con elarchivo, este quedará bajo el control de la nueva política personalizada. Como


Políticas de pools de archivos 475

resultado, el archivo se podría ubicar en otro pool de almacenamiento la próxima vezque se ejecute el trabajo de SmartPools.

Administración de los pools de nodos en la interfaz deadministración web

Puede administrar los pools de nodos a través de la interfaz de administración web deOneFS. Debe tener un privilegio administrativo de SmartPools o superior.

Agregar pools de nodos a un nivelPuede agrupar los pools de nodos disponibles en niveles.

Un pool de nodos solamente puede agregarse a un nivel por vez. Si no aparece ningúnpool de nodos como disponible, significa que ya pertenecen a otros niveles.

Procedimiento

1. Haga clic en File System > Storage Pools > SmartPools.

La página SmartPools muestra dos grupos: Tiers & Node Pools yCompatibilities

2. En el área Tiers & Node Pools, haga clic en View/Edit, junto al nivel.

3. En la página View Tier Details, haga clic en Edit Tier.

Aparece la página Edit Tier Details.

4. En la lista Available Node Pools, seleccione un pool de nodos y haga clic enAdd.

El pool de nodos se transfiere a la lista Selected Node Pools for this Tier.

5. Repita el paso 4 con cada pool de nodos que pretenda agregar. Cuando todoslos pools de nodos se hayan agregado, haga clic en Save Changes.

Un mensaje le informa de que la operación se realizó correctamente. La páginaView Tier Details permanece abierta.


El grupo Tiers & Node Pools ahora muestra que los pools de nodos formanparte del nivel.

Cambiar el nombre o la protección requerida de un pool de nodosPuede cambiar el nombre o la protección requerida de un pool de nodos.

Procedimiento


2. En el grupo Tiers & Node Pools, en la fila del pool de nodos que deseamodificar, haga clic en View/Edit.

Aparece la página View Node Pools Details.


Aparece la página Edit Node Pools Details.

4. Ingrese un nuevo nombre para el pool de nodos, especifique un nuevo nivel deprotección requerido en la lista o ambas opciones.



El nombre de un pool de nodos puede empezar solo con una letra o un guionbajo y puede contener solo letras, números, guiones, guiones bajos o puntos.

5. Haga clic en Save Changes en la página Edit Node Pools Details.

6. Haga clic en Close en la página View Node Pools Details.

Crear una compatibilidad de clases de nodoOneFS agrega de manera automática un nuevo nodo de la misma clase de equivalenciaa un pool de nodos existente. En los nodos nuevos que no sean de clase deequivalencia, puede crear una compatibilidad de clase de nodo para agregarlos a unpool de nodos existente.

Actualmente, se admiten las siguientes compatibilidades: S200/S210, X200/X210,X400/X410 y NL400/NL410. Por ejemplo, si tiene un pool de nodos conformado portres o más nodos S200, puede crear una compatibilidad de manera que los nodos S210nuevos se agreguen automáticamente al pool de nodos S200.

Nota

Los nodos nuevos deben tener una RAM compatible y las mismas configuraciones deunidades que sus contrapartes anteriores para que se provisionen en pools de nodosexistentes. Si las configuraciones de unidades no son las mismas debido a diferenciasde conteo o capacidad de discos SSD, también puede crear compatibilidades de discosSSD.

Procedimiento

1. Seleccione File System > Storage Pools > SmartPools.

La pestaña SmartPools muestra dos listas: Tiers & Node Pools yCompatibilities.

2. Haga clic en Create a compatibility.

El cuadro de diálogo Create a Compatibility muestra una lista desplegable detipos de compatibilidad.

3. En la lista Compatibility Type, seleccione Node Class.

Se agregan dos listas desplegables adicionales, First Node Class y SecondNode Class.

4. En la lista First Node Class, acepte la selección actual o elija una nueva.

5. En la lista Second Node Class, acepte la selección actual o elija una nueva.

6. Haga clic en Create Compatibility.

Aparecerá el cuadro de diálogo Confirm Create Compatibility con una o máscasillas de verificación que deberá seleccionar antes de continuar. Las casillasde verificación describen el resultado de la operación.

7. Seleccione todas las casillas de verificación y luego haga clic en Confirm.

Resultados

Se crea la compatibilidad de clase de nodo, que también se describe en la listaCompatibilities. Por ejemplo, se muestra un mensaje que indica que la clase de nodoS200 ahora se considera compatible con la clase de nodo S210. El resultado de lacompatibilidad nueva aparece en la lista Tiers & Node Pools. Si los nodos nuevos soncompatibles con la clase de nodo, pero siguen siendo no provisionados, todavía deberácrear una compatibilidad de discos SSD para los nodos nuevos. Si la caché L3 está


Crear una compatibilidad de clases de nodo 477

deshabilitada en el pool de nodos de destino, los nodos nuevos seguirán siendo noprovisionados y se generará un mensaje de error.

Fusionar los pools de nodos compatiblesPuede crear una compatibilidad de clase de nodo para fusionar varios pools de nodoscompatibles. Los pools de nodos más grandes, de hasta 20 nodos, permiten queOneFS proteja los datos de manera más eficiente y, por lo tanto, proporcionan másespacio de almacenamiento para los datos nuevos.

Por ejemplo, si tiene seis nodos S200 en un pool de nodos y tres nodos S210 en otropool de nodos, puede crear una compatibilidad para fusionar los dos pools de nodos enuno de nueve nodos.

Nota

Los tipos de nodos más nuevos, por lo general, tienen mejores especificaciones derendimiento que los más antiguos, por lo que fusionar los nuevos con los antiguospuede reducir el rendimiento general. Además, cuando se fusionan dos pools de nodos,OneFS vuelve a fraccionar los datos, lo cual puede tardar bastante tiempo según eltamaño del conjunto de datos.

Procedimiento





3. En la lista Compatibility Type, seleccione Node Class.

Se agregan dos listas desplegables adicionales, First Node Class y SecondNode Class.

4. En la lista First Node Class, acepte la selección actual o elija una nueva.

5. En la lista Second Node Class, acepte la selección actual o elija una nueva.




Resultados

Se crea la compatibilidad de clase de nodo, que también se describe en la listaCompatibilities. Por ejemplo, se muestra un mensaje que indica que la clase de nodoS200 ahora se considera compatible con la clase de nodo S210. El resultado de lacompatibilidad nueva aparece en la lista Tiers & Node Pools. Si la creación decompatibilidad se realiza correctamente, pero no se fusionan los pools de nodos,probablemente deba crear una compatibilidad SSD entre los dos pools de nodos. Sifalla la creación de compatibilidad con un mensaje de error, la caché L3 estádesactivada en uno o dos de los pools de nodos.



Eliminar una compatibilidad de clases de nodoPuede eliminar una compatibilidad de clase de nodo. Como resultado, los nodos que seprovisionaron a un pool de nodos por esta compatibilidad se eliminarán del pool.

PRECAUCIÓN

Eliminar una compatibilidad de clase de nodo podría tener consecuencias nodeseadas. Por ejemplo, si elimina una compatibilidad y, como resultado, seeliminan menos de tres nodos compatibles del pool de nodos, estos nodos seeliminarán del pool de almacenamiento disponible del clúster. La próxima vez quese ejecute el trabajo SmartPools, los datos de esos nodos se volverán a fraccionaren otro lugar en el clúster, lo cual podría ser un proceso muy largo. Si se eliminantres o más nodos compatibles del pool de nodos, estos nodos formarán su propiopool de nodos, pero los datos se volverán a fraccionar. Cualquier política de poolsde archivos que haga referencia al pool de nodos original ahora hará referencia alnivel del pool de nodos (si ya existe uno) o, de otra manera, a un nuevo nivelcreado por OneFS.

Procedimiento



2. En la lista Compatibilities, junto a la compatibilidad que desea eliminar, hagaclic en Delete.

Aparecerá el cuadro de diálogo Confirm Delete Compatibility con una o máscasillas de verificación que deberá seleccionar antes de continuar.

3. Seleccione todas las casillas de verificación del cuadro de diálogo y haga clic enConfirm.

Resultados

Se elimina la compatibilidad y el nuevo estado de los nodos afectados aparece en lalista Tiers & Node Pools.

Crear una compatibilidad de discos SSDPuede crear compatibilidades de discos SSD en cuanto a capacidad y conteo a fin depermitir que nuevos nodos se provisionen a pools de nodos con diferentesespecificaciones de discos SSD. Las compatibilidades de discos SSD se pueden crearpara los siguientes tipos de nodo: S200, S210, X200, X210, X400, X410, NL400 yNL410.

Por ejemplo, si tiene un pool de nodos compuesto de tres nodos S200 con discos SSDde 100 GB e instala un nodo S200 con la misma cantidad de discos SSD de 200 GB, elnuevo nodo S200 no se provisiona automáticamente al pool de nodos S200 hasta quecrea una compatibilidad de discos SSD. Si los nodos del pool S200 tienen seis discosSSD cada uno, y el nuevo nodo S200 tiene ocho discos SSD, también debe crear unacompatibilidad de conteo de discos SSD para permitir que el nuevo nodo S200 seprovisione al pool de nodos S200.De igual manera, si tiene nodos de diferentes generaciones con compatibilidad declase, como los nodos S200 y S210, puede crear compatibilidades de discos SSD entreesos tipos de nodos.


Eliminar una compatibilidad de clases de nodo 479

Procedimiento

1. Seleccione File System > Storage Pools > SmartPools.




3. En la lista Compatibility Type, seleccione SSD.

Se agrega una lista desplegable adicional denominada Node Class.

4. En la lista Node Class, acepte la selección actual o elija una nueva, segúncorresponda.

5. Si corresponde, seleccione también la casilla de verificación SSD CountCompatibility.




Resultados

Se crea la compatibilidad de disco SSD, que también se describe en la listaCompatibilities. Por ejemplo, se muestra un mensaje que indica que los nodos S200 yS210 tienen una compatibilidad de disco SSD. El resultado de la compatibilidad dedisco SSD también aparece en la lista Tiers & Node Pools. Si la caché L3 se desactivaen alguno de los pools de nodos que se verían afectados por la compatibilidad de discoSSD, esta no se crea y se genera un mensaje de error. Para corregir la situación, activela caché L3 para esos pools de nodos.

Eliminar una compatibilidad de discos SSDPuede eliminar una compatibilidad de discos SSD. Si decide hacerlo, todos los nodosque son parte del pool de nodos gracias a esta compatibilidad se eliminarán del pool denodos.

PRECAUCIÓN

La eliminación de una compatibilidad de discos SSD puede dar lugar aconsecuencias no deseadas. Por ejemplo, si elimina una compatibilidad de discosSSD, y como resultado se eliminan menos de tres nodos compatibles de un poolde nodos, esos nodos se eliminarán del pool de almacenamiento disponible. Lapróxima vez que se ejecute el trabajo de SmartPools, los datos en esos nodos sevolverán a fraccionar en cualquier otra parte del clúster, lo que puede implicar unproceso lento. Si se eliminan tres o más nodos compatibles del pool de nodos,estos nodos formarán su propio pool de nodos, pero los datos se volverán afraccionar. Cualquier política de pools de archivos que haga referencia al pool denodos original ahora hará referencia al nivel del pool de nodos (si ya existe uno) o,de otra manera, a un nuevo nivel creado por OneFS.

Procedimiento





2. En la lista Compatibilities, junto a la compatibilidad de disco SSD que deseaeliminar, haga clic en Delete.

Aparecerá el cuadro de diálogo Confirm Delete Compatibility con una o máscasillas de verificación que deberá seleccionar antes de continuar. Las casillasde verificación describen el resultado de la operación.

3. Seleccione todas las casillas de verificación del cuadro de diálogo y haga clic enConfirm.

Resultados

Se elimina la compatibilidad de disco SSD y el nuevo estado de los nodos afectadosaparece en la lista Tiers & Node Pools. Por ejemplo, un nodo previamenteprovisionado ahora se encuentra sin provisionar.

Administración de la caché L3 desde la interfaz deadministración web

Puede administrar la caché L3 de forma global en pools de nodos específicos desde lainterfaz de administración web. Debe tener un privilegio administrativo de SmartPoolso superior. En los nodos HD400, la caché L3 está activa de forma predeterminada y nose puede desactivar.

Establecer la caché L3 como la opción predeterminada para los pools denodos

Puede configurar la caché L3 como la opción predeterminada, de modo que cuando secreen pools de nodos nuevos, la caché L3 se habilite automáticamente.

Antes de comenzar

La caché L3 solo es eficaz en nodos que incluyen discos SSD. Si ninguno de losclústeres tienen almacenamiento en discos SSD, no hay necesidad de habilitar la cachéL3 como opción predeterminada.

Procedimiento

1. Haga clic en File System > Storage Pools > SmartPools Settings.

Aparece la página Edit SmartPools Settings.

2. En Local Storage Settings, haga clic en Use SSDs as L3 Cache by default fornew node pools.


Resultados

A medida que agrega nuevos nodos con discos SSD a su clúster y OneFS designapools de nodos nuevos, estos pools de nodos automáticamente tienen habilitada lacaché L3. Los pools de nodos nuevos sin discos SSD no tienen la caché L3 habilitadade forma predeterminada.

Establecer la caché L3 en un pool de nodos específicoPuede habilitar la caché L3 para un pool de nodos específico.


Administración de la caché L3 desde la interfaz de administración web 481

Procedimiento


Aparece la página SmartPools, en la que se muestra una lista de niveles y poolsde nodos.

2. En la lista Tiers & Node Pools, haga clic en View/Edit junto al pool de nodos dedestino.

Aparece el cuadro de diálogo View Node Pool Details, en el que se muestranlos ajustes actuales del pool de nodos.


Aparece el cuadro de diálogo Edit Node Pool Details.

4. Haga clic en la casilla de verificación Enable L3 cache.

La casilla de verificación aparece atenuada para los pools de nodos que notienen discos SSD o para aquellos para los que no se puede cambiar el ajuste.


Aparece el cuadro de mensaje Confirm Change to L3 Cache Setting.

6. Haga clic en el botón Continue.

Se inicia el proceso de migración a la caché L3, el cual puede llevar un tiemposegún la cantidad y el tamaño de los discos SSD del pool de nodos. Cuando elproceso de migración esté completo, aparecerá el cuadro de diálogo View NodePool Details.


Restaurar discos SSD para almacenar unidades para un pool de nodosPuede deshabilitar la caché L3 para discos SSD de un pool de nodos y restaurar estosdiscos SSD para almacenar unidades.

Nota

En los pools de nodos HD400, los discos SSD solo se usan para la caché L3, que estáactiva de forma predeterminada y no se puede desactivar. Todos los otros pools denodos con discos SSD para la caché L3 pueden migrar sus discos SSD de vuelta a lasunidades de almacenamiento.

Procedimiento


2. En el área Tiers & Node Pools de la pestaña SmartPools, seleccione View/Edit junto al pool de nodos de destino.

Aparece el cuadro de diálogo View Node Pool Details, en el que se muestranlos ajustes actuales del pool de nodos.


Aparece el cuadro de diálogo Edit Node Pool Details.

4. Deseleccione la casilla de verificación Enable L3 cache.

Esta opción aparece atenuada para los pools de nodos sin discos SSD, o paraaquellos para los que no se puede cambiar el ajuste.




Aparece el cuadro de mensaje Confirm Change to L3 Cache Setting.

6. Haga clic en Continue.

Se inicia el proceso de migración para deshabilitar la caché L3, el cual puededemorarse un tiempo en función del número y el tamaño de los discos SSD delpool de nodos. Cuando el proceso de migración esté completo, aparecerá elcuadro de diálogo View Node Pool Details.


Administración de nivelesPuede transferir pools de nodos entre niveles para optimizar la administración dealmacenamiento y de archivos. Para administrar los niveles, se necesita un privilegioadministrativo de SmartPools o superior.

Crear un nivelPuede crear un nivel que contenga uno o más pools de nodos. You can use the tier tostore specific categories of files.

Procedimiento


La pestaña SmartPools aparece con dos secciones: Tiers & Node Pools yCompatibilities.

2. En la sección Tiers & Node Pools, haga clic en Create a Tier.

3. En la página Create a Tier que aparece, ingrese un nombre para el nivel.

4. Para cada pool de nodos que desea agregar al nivel, seleccione un pool de nodosen la lista Available Node Pools y haga clic en Add.

El pool de nodos se transfiere a la lista Selected Node Pools for this Tier.

5. Haga clic en Create Tier.

La página Create a Tier se cierra y el nuevo nivel se agrega al área Tiers &Node Pools. Los pools de nodos que agregue irán apareciendo debajo delnombre del nivel.

Editar un nivelPuede modificar el nombre y cambiar los pools de nodos que se asignan a un nivel.

El nombre de un nivel puede contener caracteres alfanuméricos y guiones bajos, perono puede comenzar con un número.

Procedimiento


La pestaña SmartPools muestra dos grupos: Tiers & Node Pools yCompatibilities.

2. En el área Tiers & Node Pools, junto al nivel que desea editar, haga clic enView/Edit.

3. En el cuadro de diálogo View Tier Details, haga clic en Edit Tier.

4. En el cuadro de diálogo Edit Initiator, modifique lo siguiente según seanecesario:


Administración de niveles 483


Tier Name Para cambiar el nombre del nivel, seleccione e ingreseel nombre existente.

Node PoolSelection

Para cambiar la selección del pool de nodos, seleccioneun pool de nodos y haga clic en Add o Remove.

5. Cuando haya terminado de editar los parámetros de nivel, haga clic en SaveChanges.

6. En el cuadro de diálogo View Tier Details, haga clic en Close.

Eliminar un nivelPuede eliminar un nivel que no tenga asignado ningún pool de nodos.

Antes de comenzar

Si desea eliminar un nivel que tenga asignados pools de nodos, primero debe eliminarlos pools de nodos del nivel.

Procedimiento



2. En la lista Tiers & Node Pools, junto al nivel que desea eliminar, haga clic enMore > Delete Tier.

Un cuadro de mensaje le pedirá que confirme o cancele la operación.

3. Haga clic en Delete Tier para confirmar la operación.

Resultados

Se elimina el nivel de la lista Tiers & Node Pools.

Creación de políticas de pools de archivosPuede configurar las políticas de pool de archivos para identificar grupos lógicos dearchivos denominados pools de archivos. También puede especificar las operacionesde almacenamiento de estos archivos.

Antes de poder crear políticas de pool de archivos, debe activar una licencia deSmartPools y contar con el privilegio SmartPools o un privilegio administrativosuperior.

Las políticas de pool de archivos tienen dos partes: los criterios de coincidencia dearchivos que definen un pool de archivos y las acciones que se aplicarán al pool dearchivos. Puede definir pools de archivos según características tales como el tipo, eltamaño, la ruta, la creación y los cambios del archivo, además del registro de fecha yhora de acceso a este. Luego, puede combinar estos criterios con operadoresbooleanos (AND, OR).

Además de los criterios de coincidencia de archivos, puede identificar una variedad deacciones que se pueden aplicar al pool de archivos. Estas acciones incluyen lassiguientes medidas:

l Configurar la protección requerida y los parámetros de optimización del acceso alos datos



l Identificar los datos y los destinos de almacenamiento de snapshotsl Definir las estrategias del disco SSD para datos y snapshotsl Habilitar o deshabilitar SmartCache

Por ejemplo, para liberar espacio en disco en su nivel de rendimiento (pools de nodosde la serie S), puede crear una política de pool de archivos para coordinar con todoslos archivos que tengan un tamaño superior a 25 MB, que no hayan sido modificados ya los que no se haya accedido durante más de un mes, y transferirlos a su nivel dearchivo (pools de nodos de la serie NL).

Puede configurar y priorizar varias políticas de pool de archivos a fin de optimizar elalmacenamiento de archivos para sus flujos de trabajo y su configuración de clúster enespecial. Cuando el trabajo SmartPools se ejecuta una vez al día de manerapredeterminada, aplica políticas de pool de archivos en orden de prioridad. Cuando unpool de archivos coincide con los criterios definidos en una política, se aplican lasacciones de dicha política y se ignoran las políticas personalizadas de menor prioridaden el pool de archivos.

Tras recorrer una lista de políticas de pool de archivos personalizadas, si ninguna de lasacciones se aplica a un archivo, se aplican las acciones de la política de pool dearchivos predeterminada. De esta manera, la política de pool de archivospredeterminada garantiza que todas las acciones se apliquen a todos los archivos.

Nota

Puede volver a ordenar la lista de políticas de pool de archivos en cualquier momento,pero la política de pool de archivos predeterminada siempre es la última de la lista.

OneFS también ofrece políticas con plantillas personalizables que puede copiar paracrear sus propias políticas. Sin embargo, estas plantillas están únicamente disponiblesen la interfaz de administración web de OneFS.

Crear una política de pools de archivosPuede crear una política de pools de archivos para definir un conjunto específico dearchivos y especificar acciones de SmartPools para aplicar a los archivos coincidentes.Estas acciones de SmartPools incluyen la transferencia de archivos a determinadosniveles o pools de nodos, el cambio de los niveles de protección solicitados y laoptimización del rendimiento de escritura y del acceso a los datos.

PRECAUCIÓN

Si las políticas de pools de archivos existentes dirigen los datos a un pool dealmacenamiento específico, no configure otras políticas de pools de archivos conanywhere para la opción Data storage target. Debido a que el pool dealmacenamiento especificado se incluye al usar anywhere, dirija los pools dealmacenamiento específicos a fin de evitar resultados imprevistos.

Procedimiento

1. Haga clic en File System > Storage Pools > File Pool Policies.

2. Haga clic en Create a File Pool Policy.

3. En el cuadro de diálogo Create a File Pool Policy, ingrese un nombre de políticay, de forma opcional, una descripción.

4. Especifique que los archivos se administren según la política de pools dearchivos.Para definir el pool de archivos, puede especificar los criterios de coincidenciade archivos combinando las condiciones IF, AND y OR. Puede definir estas


Crear una política de pools de archivos 485

condiciones con una serie de atributos de archivo como el nombre, la ruta, eltipo, el tamaño y la información de la hora de registro.

5. Especifique las acciones de SmartPools que se aplicarán al pool de archivosseleccionado.

Puede especificar los ajustes de almacenamiento y optimización de I/O quedesee aplicar.

6. Haga clic en Create Policy.

Resultados

La política de pools de archivos se crea y se aplica cuando se ejecuta el siguientetrabajo del sistema de SmartPools calendarizado. De forma predeterminada, estetrabajo se ejecuta una vez al día, pero también tiene la opción de iniciar el trabajoinmediatamente.

Opciones de coincidencia de archivos para las políticas de pool de archivosPuede configurar una política de pool de archivos para los archivos que coincidan concriterios específicos.

Las siguientes opciones de coincidencia de archivos se pueden especificar al crear oeditar una política de pool de archivos.

Nota

OneFS admite la coincidencia de patrones del tipo shell (glob) de UNIX para losatributos y las rutas de nombres de archivo.

La siguiente tabla enumera los atributos de archivo que puede usar para definir unapolítica de pool de archivos.

Atributo del archivo Especifica

Nombre Incluye o excluye archivos según su nombre.

Puede especificar si desea incluir o excluir nombrescompletos o parciales que contengan un texto específico.Se permiten caracteres comodín.

Ruta Incluye o excluye archivos según la ruta de archivo.

Puede especificar si desea incluir o excluir rutas completaso parciales que contengan un texto específico. También

puede incluir los caracteres comodín *, ? y [ ].

Tipo de archivo Incluye o excluye archivos según uno de los siguientes tiposde objetos del sistema de archivos:

l Archivo

l Directorio

l Otros

Tamaño Incluye o excluye archivos según su tamaño.

Nota

Los tamaños de los archivos se representan en múltiplos de1,024, no de 1,000.



Atributo del archivo Especifica

Modificada Incluye o excluye archivos según el momento en que semodificaron por última vez.

En la interfaz de administración web, puede especificar unafecha y hora relativas, como “hace dos semanas”, o unafecha y hora específicas, como “antes del 1 de enero de2012”. Los ajustes de hora se basan en un formato de 24horas.

Created Incluye o excluye archivos según el momento en que fueroncreados.


Metadata changed Incluye o excluye archivos según el momento en que semodificaron por última vez los metadatos de archivos. Estaopción está disponible solo si está habilitada la opción derastreo global del momento de acceso en el clúster.


Con acceso Incluye o excluye archivos según el momento en que seaccedió a ellos por última vez y de acuerdo con lassiguientes unidades de tiempo:


Nota

Dado que afecta el rendimiento, el rastreo del momento deacceso como un criterio de la política de pool de archivosestá deshabilitado de manera predeterminada.

Atributo del archivo Incluye o excluye archivos según un atributo personalizadodefinido por el usuario.

Caracteres comodín válidosPuede combinar caracteres comodín con opciones de coincidencia de archivos paradefinir una política de pool de archivos.

OneFS admite la coincidencia de patrones del tipo shell (glob) de UNIX para losatributos y las rutas de nombres de archivo.


Caracteres comodín válidos 487

La siguiente tabla muestra los caracteres de comodín válidos que puede combinar conlas opciones de coincidencia de archivos para definir una política de pool de archivos.

Comodín Descripción

* Hace coincidir cualquier cadena en lugar del asterisco.Por ejemplo, m* coincide con movies y m123.

[a-z] Hace coincidir cualquier carácter contenido entre paréntesis o unrango de caracteres separados por un guion. Por ejemplo, b[aei]tcoincide con bat, bet y bit, y 1[4-7]2 coincide con 142, 152,

162 y 172.

Puede excluir los caracteres entre paréntesis insertando un signo deexclamación después del primer paréntesis. Por ejemplo, b[!ie]coincide con bat, pero no con bit ni bet.

Puede hacer coincidir un paréntesis dentro de otro paréntesis si setrata del primer o último carácter. Por ejemplo, [[c]at coincide

con cat y [at.

Puede hacer coincidir un guion dentro de un paréntesis si se trata delprimer o último carácter. Por ejemplo, car[-s] coincide con carsy car-.

? Hace coincidir cualquier carácter en lugar del signo de interrogación.Por ejemplo, t?p coincide con tap, tip y top.

Configuración de SmartPoolsLa configuración de SmartPools incluye la protección de directorios, la aceleración delespacio de nombres global, la caché L3, el hot spare virtual, la propagación, laadministración de la protección requerida y la administración de la optimización de I/O.

Configuración en eladministrador web

Configuración en laCLI

Descripción Notas

Increase directoryprotection to a higherlevel than its contents

--protect-directories-one-level-higher

Aumenta la cantidad deprotección para directorios a unnivel más alto que el de losdirectorios y archivos quecontienen, de modo que aún sepueda acceder a los datos que nose perdieron.Cuando las fallas de undispositivo causan la pérdida dedatos (por ejemplo, tres unidadeso dos nodos en una política de+2:1), la habilitación de estaconfiguración garantiza que aúnse pueda acceder a los datosintactos.

Esta configuración debería estaractivada (de manerapredeterminada).Cuando esta está desactivada, eldirectorio que contiene un poolde archivos está protegido segúnsu configuración del nivel deprotección, pero es posible quelos dispositivos utilizados paraalmacenar el directorio y elarchivo no sean los mismos.Existe la posibilidad de que sepierdan nodos con datos enarchivos intactos y de que no sepueda acceder a los datos debidoa que esos nodos contenían eldirectorio.

Como ejemplo, considere unclúster que cuente con una





Descripción Notas

configuración de protección delpool de archivos predeterminada+2 y que no posea políticas depools de archivos adicionales. Losdirectorios de OneFS siempre seencuentran en espejo y estánalmacenados en tres veces, loque equivale al valor de espejeadopredeterminado +2.

Esta configuración puedesoportar una falla en dos nodosantes de que se produzca lapérdida de datos o que se impidael acceso a estos. Si se habilitaesta configuración, todos losdirectorios recibirán unaprotección de cuatro veces. Si elclúster experimenta tres fallas denodos, no se podrá acceder aarchivos individuales, pero elárbol de directorios estarádisponible y proporcionará accesoa archivos a los que aún se puedeacceder.

Además, si otra política de poolsde archivos protege algunosarchivos a un nivel superior,también se podrá acceder a estosen caso de que se produzca unafalla en tres nodos.

Enable globalnamespaceacceleration

--global-namespace-acceleration-enabled

Especifica si se debe permitir quelos metadatos por archivo utilicendiscos SSD en el pool de nodos.

l Cuando se desactiva, serestringen los metadatos porarchivo a la política de poolsde almacenamiento delarchivo, excepto en el casode que ocurra unapropagación. Esta es laconfiguraciónpredeterminada.

l Cuando se habilita, permiteque los metadatos porarchivo utilicen los discosSSD en cualquier pool denodos.

Esta configuración estádisponible solamente si el 20 % omás de los nodos en el clústercontienen discos SSD y si almenos el 1.5 % delalmacenamiento total del clústerse basa en discos SSD.Esta configuración nocorresponde a IsilonSD Edge.

Si se agregan nodos a un clústero se eliminan de este, y losumbrales de disco SSD ya no serespetan, la GNA se tornainactiva. La GNA permaneceactivada, de modo que cuando losumbrales de disco SSD serespetan nuevamente, se reactivala GNA.


Configuración de SmartPools 489



Descripción Notas

Nota

Los pools de nodos con la cachéL3 habilitada son, de hecho,invisibles para fines de GNA.Todos los cálculos de relacionespara la GNA se realizanexclusivamente para los pools denodos sin la caché L3 habilitada.

Use SSDs as L3 Cacheby default for newnode pools

--ssd-l3-cache-default-enabled

Para los pools de nodos queincluyen discos de estado sólido,implemente los discos SSD comocaché L3. La caché L3 amplía lacaché L2 y agiliza el rendimientodel sistema de archivos enconjuntos de archivos de trabajomás grandes.

La caché L3 está habilitada deforma predeterminada en nuevospools de nodos. Cuando habilita lacaché L3 en un pool de nodosexistente, OneFS ejecuta unamigración y transfiere todos losdatos existentes de los discosSSD a otras ubicaciones en elclúster.Esta configuración nocorresponde a IsilonSD Edge.

OneFS administra todos losniveles de la caché para ofrecerniveles de protección de datos,de disponibilidad y de rendimientoóptimos. En caso de que ocurrauna falla en la energía, los datosen la caché L3 se conservan yseguirán estando disponibles unavez restaurada la energía.

Virtual Hot Spare --virtual-hot-spare-deny-writes--virtual-hot-spare-hide-spare

--virtual-hot-spare-limit-drives

--virtual-hot-spare-limit-percent

Reserva una cantidad mínima deespacio en el pool de nodos quese puede utilizar para reparardatos en caso de que ocurra unafalla en la unidad.

Para reservar espacio en disco afin de utilizarlo como hot sparevirtual, seleccione una de lassiguientes opciones:

l Ignore reserved diskspace when calculatingavailable free space.Sustrae el espacio reservadopara el hot spare virtual alcalcular el espacio libredisponible.

l Deny data writes toreserved disk space.Evita que las operaciones de

Si configura la cantidad mínimade unidades virtuales y unporcentaje mínimo de espaciototal en disco al configurar elespacio VHS reservado, el valormínimo exigido cumple con ambosrequisitos.

Si se habilita esta configuración y

Deny new data writes sedeshabilita, es posible que seinforme un uso de más del 100 %del sistema de archivos.





Descripción Notas

escritura utilicen el espacioen disco reservado.

l VHS Space Reserved.Puede reservar una cantidadmínima de unidades virtuales(1 a 4), así como unporcentaje mínimo deespacio total en disco (del0 % al 20 %).

Enable global spillover --no-spillover Especifica cómo manejar lasoperaciones de escritura en unpool de nodos sin capacidad deescritura.

l Cuando se habilita, redirigelas operaciones de escriturade un pool de nodos sincapacidad de escritura a otropool de nodos o a cualquierlugar del clúster(predeterminado).

l Cuando se deshabilita,devuelve un error de espacioen disco para las operacionesde escritura a un pool denodos sin capacidad deescritura.

Spillover Data Target --spillover-target--spillover-anywhere

Especifica otro pool dealmacenamiento de destinocuando un pool dealmacenamiento no poseecapacidad de escritura.

Cuando se habilita lapropagación, es importante quelas escrituras de datos no fallen,por lo que debe seleccionar

anywhere para la configuración

Spillover Data Target, inclusosi las políticas de pool de archivosenvían datos a pools específicos.

Manage protectionsettings

--automatically-manage-protection

Cuando se habilita estaconfiguración, SmartPoolsadministra los niveles deprotección solicitados de maneraautomática.

Cuando Apply to files withmanually-managedprotection está habilitada,sobrescribe cualquierconfiguración de protecciónestablecida mediante File SystemExplorer o la interfaz de la líneade comandos.

Manage I/Ooptimization settings

--automatically-manage-io-optimization

Cuando está habilitada, utiliza latecnología de SmartPools paraadministrar la optimización deI/O.

Cuando la configuración Applyto files with manually-managed I/O optimizationsettings está habilitada,sobrescribe cualquierconfiguración de optimización deI/O establecida mediante FileSystem Explorer o la interfaz dela línea de comandos


Configuración de SmartPools 491

Administración de políticas de pools de archivosPuede modificar, reordenar, copiar y eliminar políticas de pools de archivospersonalizadas. Puede modificar la política de pools de archivos predeterminada, perono puede reordenarla ni quitarla.

Para administrar las políticas del pool de archivos, puede realizar las siguientes tareas:

l Modificar las políticas de pools de archivos

l Modificar la política predeterminada de pools de archivos

l Copiar políticas de pools de archivos

l Usar una plantilla para políticas de pools de archivos

l Reordenar políticas de pools de archivos

l Eliminar políticas de pools de archivos

Configurar los ajustes de protección de pools de archivos predeterminadosPuede configurar las opciones de protección de pools de archivos predeterminadas.Las opciones predeterminadas se aplican a cualquier archivo que no esté cubierto porotra política de pools de archivos.

PRECAUCIÓN

Si las políticas de pools de archivos existentes dirigen los datos a un pool dealmacenamiento específico, no agregue ni modifique ninguna política de pools dearchivos a la opción anywhere para la opción Data storage target. En lugar deello, use como objetivo un pool de archivos específico.

Procedimiento


2. En la pestaña File Pool Policies, al lado de Default Policy en la lista, haga clic enView/Edit.

Aparece el cuadro de diálogo View Default Policy Details.

3. Haga clic en Edit Policy.

Aparece el cuadro de diálogo Edit Default Policy Details.

4. En la sección Apply SmartPools Actions to Selected Files, elija los ajustes dealmacenamiento que desee aplicar como opción predeterminada para StorageTarget, Snapshot Storage Target y Requested Protection Level.


Resultados

La próxima vez que se ejecute el trabajo SmartPools, los ajustes que seleccione seaplicarán a cualquier archivo que no esté cubierto por ninguna otra política de pools dearchivos.

Configuración predeterminada de protección requerida para pools dearchivos

La configuración de protección predeterminada incluye la especificación del destino dealmacenamiento de datos, el destino de almacenamiento de snapshots, la protección



requerida y la estrategia de discos SSD para archivos que se filtran mediante la políticade pools de archivos predeterminada.

Configuración(administradorweb)

Configuración(CLI)

Descripción Notas

Destino dealmacenamiento

--data-storage-target--data-ssd-strategy

Especifica el pool de almacenamiento (nivel o poolde nodos) al que desea aplicar esta política de poolsde archivos.

PRECAUCIÓN

Si las políticas de pools de archivos existentesdirigen los datos a un pool de almacenamientoespecífico, no configure otras políticas de pools

de archivos con anywhere para la opción Datastorage target. Debido a que el pool dealmacenamiento especificado se incluye al usaranywhere, dirija los pools de almacenamiento

específicos a fin de evitar ubicaciones dealmacenamiento de archivos no deseadas.

Seleccione una de las siguientes opciones paradefinir su estrategia de discos SSD:

Use SSDs for metadata read acceleration

Opción predeterminada. Escribe metadatos ydatos en archivos en discos duros ymetadatos en discos SSD. Acelera solamentelas lecturas de metadatos. Utiliza menosespacio en disco SSD que la configuración

Metadata read/write acceleration.

Use SSDs for metadata read/writeacceleration

Escribe metadatos en pools de discos SSD.Ocupa mucho más espacio en disco SSD que

la opción Metadata read acceleration,pero acelera las lecturas y escrituras demetadatos.

Use SSDs for data & metadata

Usa discos SSD para datos y metadatos.Independientemente de si la aceleración delespacio de nombres global está habilitada ono, cualquier bloque de disco SSD reside en eldestino de almacenamiento si este cuenta conespacio disponible.

Avoid SSDs

Escribe todos los metadatos y datos enarchivos asociados solamente en discos duros.

Nota

Si la GNA no está habilitaday el pool de almacenamientoen el cual decida enfocarseno contiene discos SSD, nopuede definir una estrategiade discos SSD.

Use SSDs for metadataread acceleration escribemetadatos y datos enarchivos en pools dealmacenamiento con discosduros, pero agrega unespejeado de disco SSDadicional para acelerar elrendimiento de lectura, si esposible. Usa discos durospara ofrecer confiabilidad yun espejeado de metadatosadicional a discos SSD, siestá disponible, paramejorar el rendimiento delectura. Se recomienda parala mayoría de los usos.

Cuando selecciona UseSSDs for metadataread/writeacceleration , laestrategia utiliza discosSSD, si están disponibles enel destino dealmacenamiento, paramejorar el rendimiento y laconfiabilidad. El espejeadoadicional puede ser de unpool de almacenamientodiferente que cuenta con laGNA habilitada o del mismopool de nodos.

Ni la estrategia Use SSDsfor data & metadata ni

la estrategia Use SSDsfor metadata read/write accelerationprovocan la creación de


Configuración predeterminada de protección requerida para pools de archivos 493


Configuración(CLI)

Descripción Notas

PRECAUCIÓN

Utilice este espacio libre en disco SSDúnicamente después de consultarlo con elpersonal del soporte técnico de Isilon, yaque esta configuración puede afectarnegativamente el rendimiento.

espejeados adicionales másallá de la protección normalsolicitada. Los metadatos ydatos en archivos sealmacenan en discos SSD, siestán disponibles, según lapolítica de pools dearchivos. Esta opciónrequiere una gran cantidadde almacenamiento en discoSSD.

Destino dealmacenamiento desnapshots

--snapshot-storage-target--snapshot-ssd-strategy

Especifica el pool de almacenamiento en el quedesea enfocarse para el almacenamiento desnapshots con esta política de pools de archivos. Laconfiguración es igual a la del destino dealmacenamiento de datos, pero corresponde a losdatos de snapshots.

Las notas sobre el destinode almacenamiento dedatos se aplican al destinode almacenamiento desnapshots

Protecciónrequerida

--set-requested-protection

Default of storage pool. Asigna la protecciónrequerida predeterminada del pool dealmacenamiento a los archivos filtrados.

Specific level. Asigna una protección requeridaespecificada a los archivos filtrados.

Para cambiar la protecciónrequerida, seleccione unnuevo valor de la lista.

Configuración de los ajustes de optimización de I/O predeterminadosPuede configurar los ajustes de optimización de I/O predeterminados

Procedimiento


2. En la pestaña File Pool Policies, al lado de Default Policy en la lista, haga clic enView/Edit.

Aparece el cuadro de diálogo View Default Policy Details.


Aparece el cuadro de diálogo Edit Default Policy Details.

4. En la sección Apply SmartPools Actions to Selected Files, en I/OOptimization Settings, elija los ajustes que desea aplicar como predeterminadospara Write Performance y Data Access Pattern.


Resultados

La próxima vez que se ejecute el trabajo SmartPools, los ajustes que seleccione seaplicarán a cualquier archivo que no esté cubierto por ninguna otra política de pools dearchivos.



Configuración de optimización de I/O predeterminada de pools de archivosPuede administrar la configuración de optimización de I/O usada en la política de poolde archivos predeterminada, que puede incluir los archivos con atributosadministrados manualmente.

Para permitir que SmartPools sobrescriba la configuración de optimización medianteFile System Explorer o el comando isi set, seleccione la opción Including files withmanually-managed I/O optimization settings en el grupo Default ProtectionSettings. En la CLI, use la opción --automatically-manage-io-optimizationcon el comando isi storagepool settings modify.


Configuración(CLI)

Descripción Notas

Rendimiento deescritura

--enable-coalescer Habilita o deshabilitaSmartCache (tambiéndenominado comofusionador).

Enable SmartCache es la configuraciónrecomendada para obtener un rendimiento óptimo deescritura. Con escrituras asíncronas, el servidor Isiloncoloca las escrituras en memoria en el búfer . Sinembargo, si desea deshabilitar esta colocación en elbúfer, le recomendamos configurar sus aplicaciones demodo que utilicen escrituras síncronas. De no serposible, deshabilite SmartCache.

Patrón de acceso alos datos

--data-access-pattern

Define la configuración deoptimización para accedera tipos de datossimultáneos, detransmisión o aleatorios.

De forma predeterminada, los archivos y directoriosutilizan un patrón de acceso simultáneo. Para optimizarel rendimiento, seleccione el patrón que determinó suflujo de trabajo. Por ejemplo, un flujo de trabajo conmucha exigencia en la edición de videos se debería

establecer como Optimize for streaming access.Ese flujo de trabajo se verá afectado si el patrón de

acceso a los datos se estableció en Optimize forrandom access.

Modificar una política de pool de archivosPuede modificar una política de pools de archivos.

PRECAUCIÓN

Si las políticas de pools de archivos existentes dirigen los datos a un pool dealmacenamiento específico, no configure otras políticas de pools de archivos conanywhere para la opción Data storage target. Debido a que el pool dealmacenamiento especificado se incluye al usar anywhere, dirija los pools dealmacenamiento específicos a fin de evitar ubicaciones de almacenamiento dearchivos no deseadas.

Procedimiento


2. En la lista File Pool Policies, al lado de la política que desea modificar, haga clicen View/Edit.

Aparece el cuadro de diálogo View File Pool Policy Details.


Configuración de optimización de I/O predeterminada de pools de archivos 495


Aparece el cuadro de diálogo Edit File Pool Policy Details.

4. Modifique los parámetros de la política y haga clic en Save Changes.

5. Haga clic en Close en el cuadro de diálogo View File Pool Policy Details.

Resultados

Los cambios en la política de pools de archivos se aplican cuando se ejecuta elsiguiente trabajo SmartPools. También puede iniciar el trabajo SmartPoolsmanualmente para ejecutar la política de inmediato.

Priorizar una política de pool de archivosPuede modificar la prioridad de las políticas de pools de archivos personalizadas. Laspolíticas de pool de archivos se evalúan en orden descendente según su posición en lalista de políticas de pool de archivos.

De forma predeterminada, las nuevas políticas se introducen inmediatamente encimade la política de pools de archivos predeterminada, que siempre es la última en la listay, por tanto, tiene la mínima prioridad. Puede otorgar a una política personalizada unamayor o menor prioridad moviéndola hacia arriba o hacia abajo en la lista.

Procedimiento


La pestaña File Pool Policies muestra dos listas: File Pool Policies and PolicyTemplates.

2. En la lista File Pool Policies, en la columna Order, haga clic en el ícono deflecha situado junto a una política para moverla hacia arriba o abajo en el ordende prioridades.

3. Repita el paso anterior con cada política para la cual desee cambiar la prioridad.

Resultados

Cuando se ejecuta el trabajo del sistema de SmartPools, se procesan las políticas depools de archivos en orden de prioridades. La política de pools de archivospredeterminada se aplica a todos los archivos que no coinciden con ninguna otrapolítica de pools de archivos.

Create a file pool policy from a templatePuede crear una nueva política de pools de archivos a partir de una plantilla depolíticas. Las plantillas están preconfiguradas para los flujos de trabajo más comunes,como el archiving de archivos antiguos o la administración de máquinas virtuales(archivos .vmdk).

Procedimiento


La pestaña File Pool Policies ofrece dos listas: File Pool Policies y PolicyTemplates.

2. En la lista Policy Templates, al lado del nombre de la plantilla que desea usar,haga clic en View/Use Template.

Se abre el cuadro de diálogo View File Pool Policy Template Details.

3. Haga clic en New Template.

Se abre el cuadro de diálogo Create a File Pool Policy.



4. (Obligatorio) Especifique un nombre y una descripción de la política y modifiquecualquiera de sus parámetros.


Resultados

La nueva política personalizada se agrega a la lista File Pool Policies directamentearriba de la política predeterminada.

Eliminar una política de pool de archivosPuede eliminar cualquier política de pools de archivos, excepto la políticapredeterminada.

Cuando elimina una política de pools de archivos, la próxima vez que ejecute el trabajode SmartPools, otra política del pool de archivos o la política predeterminadacontrolarán el pool de archivos.

Procedimiento


La pestaña File Pool Policies muestra dos listas: File Pool Policies and PolicyTemplates.

2. En la lista File Pool Policies, al lado de la política que desea eliminar, haga clicen Delete.


Resultados

La política de pools de archivos se elimina de la lista File Pool Policies.

Monitoreo de pools de almacenamientoPuede acceder a la información sobre el uso y el estado del pool de almacenamiento.

Está disponible la siguiente información:

l Estado de la política de pools de archivos

l Estado de SmartPools, incluidos los niveles, pools de nodos y pools secundarios

l El porcentaje de uso del espacio en disco de los discos duros (HDD) y los discos deestado sólido (SSD) de cada pool de almacenamiento

l Estado del trabajo de SmartPools

Monitorear los pools de almacenamientoPuede ver el estado de las políticas de pools de archivos, SmartPools y los ajustes.

Procedimiento

1. Haga clic en File System > Storage Pools > Summary.

La pestaña Summary muestra dos áreas: la lista Status y el gráfico LocalStorage Usage.

2. En la lista Status, compruebe el estado de las políticas, los SmartPools y losajustes de SmartPools.

3. (Opcional) Si el estado de un elemento es distinto de Good, puede hacer clic enView Details para ver y corregir cualquier problema.


Eliminar una política de pool de archivos 497

4. En el área Local Storage Usage, consulte las estadísticas asociadas con cadapool de nodos.

Si, por ejemplo, el uso de pools de nodos no está equilibrado, se recomiendaplantearse si desea modificar sus políticas de pools de archivos.

Visualización del estado de los subpoolsOneFS expone los subpools que están en mal estado en una lista para que puedacorregir cualquier error.

Un subpool se conoce también como pool de discos y es un conjunto de discos queforma parte de un pool de nodos.

Procedimiento


La pestaña SmartPools muestra tres agrupaciones: Tiers & Node Pools,Compatibilities y Subpools Health.

2. En el área Subpools Health, revise los detalles de cualquier subpool en malestado y rectifíquelo.

Ver los resultados de un trabajo SmartPoolsPuede revisar los resultados detallados desde la última vez que se ejecutó el trabajoSmartPools.

Procedimiento

1. Haga clic en Cluster Management > Job Operations > Job Reports.

La pestaña Jobs Reports muestra una lista de informes de trabajo.

2. En la lista Job Reports, en la columna Type, encuentre el trabajo deSmartPools más reciente y haga clic en View Details.

Se abre el cuadro de diálogo View Job Report Details para mostrar el informede trabajo.

3. Desplácese por el informe para ver los resultados de cada política de pools dearchivos.

4. Haga clic en Close en el cuadro de diálogo View Job Report Details cuandotermine.



CAPÍTULO 23

CloudPools


l Descripción general de CloudPools.................................................................. 500l Proveedores de nube compatibles.................................................................... 501l Conceptos de CloudPools................................................................................ 503l Procesamiento de archivos de CloudPools.......................................................505l Archiving de archivos con las políticas de pools de archivos.............................506l Recuperación de datos en archivos desde la nube............................................ 514l Interoperabilidad de CloudPools con otras funciones de OneFS....................... 515l Mejores prácticas de CloudPools..................................................................... 522l Solución de problemas de CloudPools.............................................................. 523l Servidores proxy de red con CloudPools..........................................................526l Administración de las cuentas de almacenamiento de nube..............................529l Administración de CloudPools...........................................................................531l Administración de políticas de nube................................................................. 532

CloudPools 499

Descripción general de CloudPoolsCloudPools extiende las funcionalidades de OneFS, ya que permite especificar losdatos que se transferirán al almacenamiento de nube de menor costo. CloudPoolspuede conectarse sin inconvenientes a sistemas de almacenamiento de nube basadosen EMC y a los proveedores de otros fabricantes populares, como Amazon S3 yMicrosoft Azure.

CloudPools es un módulo con licencia basado en el marco de trabajo de políticas depools de archivos de SmartPools, lo que proporciona un control granular delalmacenamiento de archivos en el clúster. CloudPools extiende este control delalmacenamiento de archivos a uno o más repositorios de nube, que actúan comoniveles adicionales de almacenamiento de OneFS.

Antes de la introducción de CloudPools, SmartPools permitía la agrupación de nodosen pools de almacenamiento, denominados pools de nodos, y la clasificación de poolsde nodos como diferentes niveles de almacenamiento. SmartPools incluye un marco detrabajo de políticas que le permite separar los archivos en grupos lógicos, denominadospools de archivos, y almacenar esos pools de archivos en niveles de almacenamientoespecíficos.

CloudPools expande el marco de trabajo de SmartPools, ya que utiliza un repositoriode nube como un nivel de almacenamiento adicional. Esto le permite transferir datosantiguos o de poco uso al almacenamiento de nube y liberar espacio en el clúster.

Al igual que con SmartPools, puede definir los archivos que se almacenarán en la nubemediante la creación de políticas de pools de archivos. Estas políticas utilizan criteriosde coincidencia de archivos para determinar qué pools de archivos se transferirán a lanube.

Las políticas de pools de archivos se aplican cuando se ejecuta el trabajo del sistemade SmartPools, lo que ocurre todos los días de manera predeterminada. Para cadapolítica, se manejan todos los archivos coincidentes en el clúster de acuerdo con lasespecificaciones de las políticas.

Cuando los archivos coinciden con una política de pools de archivos que contieneacciones de CloudPools, OneFS transfiere los datos en archivos de los archivoscoincidentes a la nube. En el clúster únicamente permanecen los metadatos y unarchivo proxy, lo que libera espacio de almacenamiento.

A pesar de que los datos en archivos se transfieren al almacenamiento remoto, losarchivos permanecen visibles en el sistema de archivos OneFS. CloudPools logra estomediante la retención de un archivo de SmartLink local, que es un puntero hacia laubicación de los datos en la nube. Puede leer, escribir, archivar y recuperar archivosdesde la nube según sea necesario.

Cuando un usuario accede a un clúster y ve el sistema de archivos de OneFS a travésde un protocolo compatible (SMB, NFS, Swift o HDFS), los archivos de SmartLink seven como los archivos originales. Cuando el usuario abre un archivo de SmartLink,OneFS automáticamente recupera y almacena en caché tantos datos como seanecesario desde la nube. Esta operación se denomina acceso en línea. Cualquiermodificación que el usuario haga a un archivo durante el acceso en línea se actualizaen los datos en archivos almacenados en la nube.

Además del acceso en línea, CloudPools también proporciona un comando de la CLIpara permitir una recuperación completa de los archivos de la nube. En este caso, losarchivos reales reemplazan a los archivos de SmartLink.

CloudPools


Acceso a CloudPools con IsilonSD EdgeEl módulo de software CloudPools está disponible solamente con una licencia adquiridade IsilonSD Edge. No se incluye con la licencia gratuita de este producto.

Proveedores de nube compatiblesCon CloudPools, OneFS es compatible con estos proveedores de nube: EMC Isilon,EMC ECS Appliance, Virtustream Storage Cloud, Amazon S3 y Microsoft WindowsAzure.

EMC IsilonCloudPools permite que un clúster EMC Isilon funcione como un proveedor dealmacenamiento de nube.

En este escenario, un clúster secundario de EMC Isilon proporciona una solución denube privada. El clúster secundario archiva documentos desde su clúster primario y seadministra en su centro de datos corporativo.

Para actuar como un proveedor de almacenamiento de nube, un clúster de EMC Isilonutiliza un conjunto de API que incluyen las funcionalidades para configurar las políticasde CloudPools, definir cuentas de almacenamiento de nube y recuperar informes deuso de almacenamiento de nube. Estas API se conocen colectivamente como la API deplataforma de Isilon y se describen en el documento OneFS 8.0 API Reference.

El clúster secundario debe ejecutar la misma versión de OneFS que el clúster primarioy debe contar con licencias activas de SmartPools y CloudPools.

Para configurar un clúster EMC Isilon secundario como repositorio de almacenamientode nube, se deben completar varias tareas:

l En el clúster secundario, inicie sesión con privilegios de administrador del sistema ycree un nuevo usuario.

l En el clúster secundario, crear una función con acceso a los privilegios Console,Platform API, HTTP, Licence, Namespace Traverse y Namespace Access.Despues, haga que el usuario nuevo sea miembro de esta función.

l En el clúster secundario, inicie sesión como el nuevo usuario y cree el directoriodonde se deben almacenar datos de nube. Por ejemplo: /ifs/data/HQ-Archive.

l En el clúster primario, configure la cuenta de almacenamiento de nube de EMCIsilon, especifique las nuevas credenciales del usuario y el URI adecuado para elclúster secundario. Debido a que el clúster secundario se encuentra dentro de sured corporativa, el URI tendría un aspecto similar al siguiente ejemplo:

https://10.1.210.310:8080/namespace/ifs/data/HQ-Archive

l En el clúster primario, cree un CloudPool que contenga la cuenta dealmacenamiento de nube de EMC Isilon.

Dispositivo EMC ECSCloudPools es compatible con el dispositivo EMC ECS (Elastic Cloud Service) comoun proveedor de nube.

CloudPools

Acceso a CloudPools con IsilonSD Edge 501

ECS es una plataforma de almacenamiento de nube definido por software completaimplementada en un dispositivo listo para usar de EMC. Permite almacenar, manipulary analizar datos no estructurados en escala masiva.

El dispositivo ECS está diseñado específicamente para ser compatible con aplicacionesde última generación, móviles, de nube y de big data. Como dispositivo, es fácil deinstalar e implementar, posee soporte para acceso de multiusuario, autoservicio,medición de uso, almacenamiento como servicio en la nube según demanda yaprovisionamiento dinámico de aplicaciones.

Virtustream Storage CloudCloudPools es compatible con Virtustream Storage Cloud como proveedor de nube.

Virtustream Storage Cloud (VSC) es un servicio de cómputo en la nube administradode EMC que ofrece beneficios asociados con una nube privada dedicada y una nubepública multiusuario.

VSC permite a las empresas ejecutar aplicaciones de misión crítica complejas con todala automatización, economía y agilidad de la nube, y lograr acuerdos de nivel deservicio de clase empresarial para la disponibilidad y el rendimiento de las aplicaciones.Además, Virtustream proporciona una base para satisfacer los requisitos nacionales ydel sector en cuanto a seguridad, cumplimiento de normas y auditorías.

Virtustream Storage Cloud se puede administrar en su propio centro de datos o sepuede proporcionar como una solución de otros fabricantes.

Amazon S3CloudPools se puede configurar para almacenar datos en Amazon S3 (sistema dealmacenamiento simple), un proveedor de nube pública.

Cuando configura CloudPools con el fin de utilizar Amazon S3 para el almacenamientode nube, además del URI, del nombre de usuario y de la clave de paso, debe especificarlos siguientes atributos adicionales.

l S3 Account ID (ID de cuenta de S3)

l S3 Telemetry Reporting Bucket (Depósito de creación de informes de telemetríaS3)

l S3 Storage Region (Región del almacenamiento S3)

Cuando establece una cuenta con Amazon S3 por primera vez, el proveedor de nube lebrinda un ID de cuenta y le permite elegir una región de almacenamiento. Amazon S3ofrece varias regiones de almacenamiento en los Estados Unidos y en otras regionesdel mundo.

Nota

CloudPools es compatible con Amazon Web Services Signature V2 para autenticar lasconsultas a su almacenamiento de nube. CloudPools no es compatible con SignatureV4.

Para trabajar con CloudPools, también debe identificar un depósito de creación deinformes de telemetría S3. Aquí es donde se almacenan los informes de facturación enAmazon S3. CloudPools debe tener acceso a este depósito.

Para configurar un depósito de creación de informes de telemetría de S3, navegue alas preferencias de Billing & Cost Management en la consola de S3. Allí puede indicarque desea recibir informes de facturación y especificar el depósito donde se debenguardar estos informes. Utilice este nombre de depósito como el depósito de creación

CloudPools


de informes de telemetría durante la configuración de una cuenta de almacenamientode nube de S3 en CloudPools.

Microsoft AzurePuede configurar CloudPools para almacenar datos en Microsoft Azure, un proveedorde nube pública.

Cuando establece una cuenta con Microsoft Azure por primera vez, crea un nombre deusuario y Microsoft le proporciona un URI y una clave de paso. Cuando configuraCloudPools para usar Azure, debe especificar los mismos URI, nombre de usuario yclave de paso.

Conceptos de CloudPoolsCloudPools es un módulo con licencia que permite transferir datos en archivos de suclúster Isilon a la nube y acceder a estos archivos o recuperarlos cuando sea necesario.Para aprovechar CloudPools, es necesario configurar cuentas de almacenamiento denube y políticas de pools de archivos que especifiquen los destinos del almacenamientode nube.

Puede configurar CloudPools para transferir archivos a la nube automáticamente,según las políticas de pool de archivos. También puede usar un comando de OneFSpara archivar elementos individuales en la nube o para recuperarlos de esta.

CloudPools utiliza un flujo de trabajo similar al de OneFS SmartPools. Para almacenararchivos en la nube, debe tener al menos una cuenta con un proveedor dealmacenamiento de nube. Además, debe configurar OneFS para el almacenamiento denube y crear políticas de pool de archivos que identifiquen y muevan archivos a lanube.

Cuando se ejecuta el trabajo de SmartPools (por lo general, una vez por día), seejecutan las políticas de pool de archivos y los archivos coincidentes se envían aldestino de almacenamiento de nube. Para obtener acceso a los datos en archivosalmacenados en la nube, puede abrir su archivo SmartLink relacionado mediantecualquier protocolo compatible (SMB, NFS, Swift o HDFS). Esto se conoce comoacceso en línea. Para recuperar completamente un archivo desde la nube, puede emitirun comando isi cloud recall desde la interfaz de la línea de comandos deOneFS.

A continuación, se describen los conceptos clave de CloudPools:

Archivo

El proceso de CloudPools de transferencia de datos en archivos a la nube. Esteproceso implica la extracción de datos desde el archivo y su colocación en uno omás objetos de nube. A continuación, CloudPools transfiere estos objetos alalmacenamiento de nube y deja en su lugar en el clúster local un archivorepresentativo (conocido como SmartLink).

Recuperación

El proceso de CloudPools para revertir el proceso de archiving. Cuando serecupera un archivo desde la nube, CloudPools reemplaza el archivo SmartLinkmediante la restauración de los datos de archivo original en OneFS y la eliminaciónde los objetos de nube del almacenamiento de nube.

CloudPools

Microsoft Azure 503

Archivo SmartLink

Por cada archivo que se guarda en la nube, OneFS mantiene un archivo SmartLinkasociado en el clúster. Un archivo SmartLink contiene información de metadatos yde mapeo, de modo que sea posible acceder a los datos que se encuentran en lanube o recuperarlos por completo. Si lo permite la política de archiving de unarchivo SmartLink, al acceder al archivo SmartLink en el clúster,automáticamente se recuperan y almacenan en caché los datos de la nube. Aligual que otros archivos, los archivos SmartLink se pueden respaldar a través deNDMP o sincronizar a otros clústeres con SyncIQ. Cuando los archivos SmartLinkse recuperan desde una operación de respaldo o SyncIQ, CloudPools mantienesus vínculos a los datos en archivos relacionados en la nube.

Políticas de pools de archivos

Las políticas de pool de archivos son el mecanismo esencial de control deinformación tanto para SmartPools como CloudPools. OneFS ejecuta todas laspolíticas de pool de archivos de manera periódica. Cada política de pools dearchivos especifica los archivos que se deben administrar, las acciones que serealizarán en los archivos, los niveles de protección y los ajustes de optimizaciónde I/O.

Si se habilitó CloudPools, cada política de pools de archivos también puedecontener los parámetros específicos de la nube que especifican la cuenta de nuberemota en la cual se deben archivar los documentos y cómo manejar losdocumentos antes de archivarlos. Además, una política también puede especificarlos destinos de SmartPools que especifican dónde desea almacenar los archivosSmartLink que se conservan localmente y que se relacionan con los datosalmacenados de nube.

Cuentas de proveedor de nube

Para utilizar el almacenamiento de nube, se deben configurar una o más cuentascon un proveedor de nube. Los tipos de almacenamiento de nube que se admitenactualmente son EMC Isilon, EMC ECS Appliance, Virtustream Storage Cloud,Amazon S3 y Microsoft Azure. La información de cuenta del proveedor de nubedebe coincidir con la información que se utiliza al configurar las cuentas de la nubeen el clúster Isilon.

Cuentas de almacenamiento de nube

Una cuenta de almacenamiento de nube es una entidad de OneFS que define elacceso a una cuenta específica del proveedor de nube. La configuración de lacuenta de almacenamiento de nube debe coincidir con las credenciales de cuentaproporcionadas por el proveedor de nube.

CloudPool

Un CloudPool es una entidad de OneFS que contiene una cuenta dealmacenamiento de nube única y que proporciona un conducto entre OneFS y elrepositorio de almacenamiento de nube. Para crear un CloudPool debe haber almenos una cuenta de almacenamiento de nube disponible. La cuenta dealmacenamiento de nube debe ser del mismo tipo que el CloudPool.

Acceso en línea

CloudPools permite que los usuarios conectados a un clúster a través deprotocolos compatibles obtengan acceso a datos en la nube abriendo archivosSmartLink asociados. Este proceso se conoce como acceso en línea. Para elusuario que se conecta a OneFS a través de un protocolo compatible, un archivoSmartLink parece ser el archivo original. Cuando el usuario abre un archivo

CloudPools


SmartLink, CloudPools recupera y almacena localmente en caché los datos en lanube. El usuario puede ver y editar el archivo normalmente. CloudPools recuperay envía automáticamente todos los cambios de los datos en archivos a la nube, demodo que la nube siempre contenga la versión más reciente.

Nota

CloudPools ofrece acceso en línea como una comodidad para el usuario. Sinembargo, CloudPools está diseñado principalmente como una solución dearchiving y no está pensado para almacenar datos que se actualizan confrecuencia. Estos datos se deben dejar en el clúster local hasta que se estabiliceny estén listos para archivarse.

Procesamiento de archivos de CloudPoolsCloudPools archiva datos en archivos en la nube y le permite acceder a estos datos orecuperarlos por completo siempre que sea necesario.

Puede crear políticas de pools de archivos que identifiquen los archivos que searchivarán en la nube. Cuando se ejecuta una política de pools de archivos quecontiene las acciones de nube, CloudPools mueve datos en archivos a la nube y losalmacena en objetos de datos de nube especializados, denominados colectivamentedatos de nube. Los datos en archivos se pueden cifrar y comprimir antes de que searchiven en la nube.

En lugar de cada archivo almacenado, CloudPools conserva un proxy local denominadoarchivo de SmartLink. Los archivos de SmartLink incluyen metadatos especiales ymapeos a los datos en archivos reales en la nube.

Cuando un usuario navega por OneFS, usualmente a través de una conexión SMB ouna exportación NFS, los archivos de SmartLink aparecen en vez de los archivos a losque vinculan. Cuando un usuario abre un archivo de SmartLink, un proceso conocidocomo acceso en línea, CloudPools recupera los datos en archivos desde la nube y losalmacena en caché de manera local.

El usuario puede ver el archivo y CloudPools sigue almacenando en caché la cantidadde datos que necesite la aplicación. Si el usuario modifica y guarda el archivo, loscambios también se almacenarán en la caché. Periódicamente, CloudPools escanea losarchivos de SmartLink en busca de cambios y escrituras de datos pendientes y losescribe en los objetos correspondientes en la nube. De esta manera, los datosarchivados se mantienen actualizados.

También puede recuperar los archivos archivados desde la nube. Al hacerlo, losarchivos recuperados reemplazan completamente a los archivos de SmartLink.

Al igual que cualquier archivo en OneFS, los archivos de SmartLink se controlanmediante la política de pools de archivos predeterminada o por los parámetrosincluidos en una política de pools de archivos personalizada. Si configura políticas depools de archivos adicionales, estas tienen prioridad sobre la política de pools dearchivos predeterminada.

Las políticas de pools de archivos contienen las instrucciones que determinan cómoOneFS administra los archivos en un clúster y en la nube.

Debido a que los archivos de SmartLink producidos por CloudPools se conservan en elclúster, OneFS también les aplica las políticas de pools de archivos.

Cuando se ejecutan las políticas de pools de archivos, el sistema compara cada archivoen el sistema con cada política de pools de archivos. Un archivo puede coincidir con

CloudPools

Procesamiento de archivos de CloudPools 505

solo algunos aspectos de una política de pools de archivos personalizada (por ejemplo,la configuración de snapshots y la estrategia de discos SSD). En este caso, esosaspectos del manejo de archivos se rigen mediante la política de pools de archivospersonalizada, mientras que todos los demás aspectos se rigen a través de la políticade pools de archivos predeterminada.

Consulte el capítulo SmartPools para obtener información completa sobre las políticasde pools de archivos.

Archiving de archivos con las políticas de pools de archivosPuede configurar una política de pools de archivos para identificar los archivos quedesea archivar en la nube y las acciones de CloudPools que se aplican a estos archivos.

Si especifica una política de pools de archivos, puede archivar archivos mediante lainterfaz de administración web de OneFS o la interfaz de la línea de comandos. Unapolítica de pools de archivos que archiva los archivos en la nube debe especificar lasiguiente información:

l Archivos por administrar: Estos pueden ser archivos de un tipo determinado,archivos en una ruta especificada o archivos que coincidan con criteriosespecíficos, como tamaño, fecha de creación o fecha de última modificación.

l Acciones de CloudPools: El pool de almacenamiento de nube al cual se envían losdatos en archivos y si los datos deben estar comprimidos o cifrados.

Políticas de muestra con acciones de CloudPoolsCada política de pools de archivos identifica un conjunto de archivos y las acciones deCloudPools que se aplicarán al pool de archivos. Puede identificar los archivos que seguardarán en función de múltiples criterios que incluyen tipo de archivo, tamaño, rutade directorio, hora de creación del archivo, hora del último acceso al archivo y hora dela última modificación del archivo.

Los criterios de coincidencia de archivos en una política de pools de archivos lepermiten definir un grupo lógico de archivos que se conoce como un pool de archivos.Después de definir un pool de archivos, debe especificar las acciones de CloudPoolsque se ejecutarán en los archivos, incluidos el objetivo de almacenamiento de nube, lacompresión y el cifrado.

Por ejemplo, podría definir políticas de pools de archivos que especifican los archivosque se archivarán en función de criterios similares al siguiente:

l Archivos de <tipo>, accedidos por última vez antes del <fecha>

l Archivos creados antes del <fecha>, accedidos por última vez antes del <fecha> yde <tipo>

l Archivos en <directorio> creados antes del <fecha>

l Los archivos se marcan con <atributo personalizado>, creados antes del <fecha>

Puede especificar los criterios de coincidencia de archivos en cada política. Cadapolítica de pools de archivos le permite combinar varios criterios mediante lasdeclaraciones Y y O, lo que proporciona funcionalidades de flexibilidad y controlimportantes para el flujo de trabajo.

Acerca del orden de la política de pools de archivosOneFS compara todos los archivos con las políticas de pools de archivos en orden. Laprimera política personalizada que coincida con un archivo controla cómo se manejaese archivo. Se ignoran todas las otras políticas de pools de archivos personalizadas de

CloudPools


la lista ordenada. Para cualquiera de los atributos que no especifica la políticapersonalizada coincidente, se aplica el valor de la política predeterminada.

Esto hace que el orden de las políticas de pools de archivos sea importante. Si dos omás políticas de pools de archivos coinciden con el mismo archivo, debe asegurarse deque el orden de las políticas ofrezca las instrucciones de manejo de archivosrecomendadas.

Una vez que un archivo coincide con una política de pools de archivos, el sistemautiliza la configuración en la política coincidente para almacenar y proteger el archivo.Sin embargo, es posible que una política coincidente no especifique todas lasconfiguraciones para el archivo correspondiente. En este caso, se utiliza la políticapredeterminada para la configuración que no se especifica en la política personalizada.Para cada archivo almacenado en el clúster de OneFS, el sistema necesita determinarlo siguiente:

l El nivel de protección solicitada

l El destino de almacenamiento de datos para la caché de datos local

l La estrategia de discos SSD para metadatos y datos

l El nivel de protección para la caché de datos local

l La configuración de los snapshots

l La configuración de SmartCache

l La configuración de la caché L3

l Data access pattern

l Las acciones de CloudPools (si corresponde)

Si ninguna política personalizada coincide con un archivo, la política predeterminadaespecifica todos los ajustes de almacenamiento para el archivo. La políticapredeterminada, en efecto, coincide con todos los archivos que no coinciden conninguna otra política de SmartPools. Por este motivo, la política predeterminada es laúltima en la lista de políticas de pools de archivos y siempre es la última política queaplica el sistema.

Los archivos que se archivaron en la nube siempre se rigen por la política original.

Parámetros de políticas de pool de archivos para archiving en la nubeCloudPools proporciona un conjunto específico de parámetros de pool de archivos queson compatibles con el archiving de elementos en la nube. En la tabla siguiente seenumeran y se describen estos parámetros.

Parámetro deadministrador web

Parámetro de la CLI Descripción Notas sobre eluso

CloudPool Storage Target cloud-pool Un contenedoradministrativode Isilon parauna cuenta dealmacenamiento de nube.

Cada CloudPoolpuede contener solouna cuenta dealmacenamiento denube con unproveedor de nube.Es necesario crearuna cuenta dealmacenamiento denube antes de creary configurar un

CloudPools

Parámetros de políticas de pool de archivos para archiving en la nube 507



CloudPool. ElCloudPool y lacuenta dealmacenamiento denube deben ser delmismo tipo: EMCIsilon, EMC ECSAppliance,Virtustream StorageCloud, Amazon S3 oMicrosoft Azure.

Encrypt data beforetransfer

cloud-encryption-enabled

Especifica siCloudPoolscifra los datosantes delarchiving.

El valorpredeterminadoes disabled

Especifica si losdatos se cifran antesdel archiving en lanube. Los datos denube se descifrandurante el acceso ola recuperación.

Compress data beforetransfer

cloud-compression-enabled

Especifica siCloudPoolscomprime losdatos antes delarchiving.

El valorpredeterminadoes disabled

Especifica si losdatos se comprimenantes del archivingen la nube. Losdatos de nube sedescomprimendurante el acceso ola recuperación.

Cloud Data RetentionPeriod

cloud-data-retention El tiempo por elcual seconservan losarchivos en lanube una vezque los archivosse hanrecuperadocompletamente.

El valorpredeterminadoes 1 week.

Especifica porcuánto tiempo seconservan losobjetos de nubedespués de que unarchivo SmartLink seha reemplazado porel archivorecuperado. Cuandoesto sucede,CloudPools limpia losrecursos localesasignados para losarchivos SmartLink ytambién elimina losobjetos de nubeasociados. Estatarea se realizasemanalmentemediante el trabajode recolección de

CloudPools




elementos deobjetos de nube.

Nota

En esta operación derecolección deelementos noutilizados, el sistemaquita objetos denube cuando se haneliminado susarchivos SmartLink ytodas las referenciaslocales a ellos. Si serespaldó un archivoSmartLink y despuésse elimina la copiaoriginal, los objetosde nube asociadosse eliminan solodespués de que hayacaducado el tiempode retención delarchivo SmartLinkrespaldado.

Incremental BackupRetention Period forNDMP IncrementalBackup and SyncIQ

cloud-incremental-backup-retention

Especifica lacantidad detiempo durantela que OneFSconserva losdatos de nube alos que se hacereferencia enun archivoSmartLinkreplicado porSyncIQ o unrespaldoincremental detipo NDMP.

El valorpredeterminadoes 5 years.

Si se respaldó unarchivo SmartLink ydespués se elimina lacopia original, losobjetos de nubeasociados seeliminan solodespués de que hayacaducado el tiempode retención delarchivo SmartLinkrespaldado.

Full Backup RetentionPeriod for NDMP Only

cloud-full-backup-retention

Especifica lacantidad detiempodurantela que OneFSconserva losdatos de nube a

Si se respaldó unarchivo SmartLink ydespués se elimina lacopia original, losobjetos de nubeasociados seeliminan solo

CloudPools




los que se hacereferencia enun archivoSmartLinkreplicadomediante unrespaldocompleto detipo NDMP.

El valorpredeterminadoes 5 years.

después de que hayatranscurrido eltiempo de retenciónoriginal o un períodomás largo deretención derespaldo completo oincremental.

Writeback Frequency cloud-writeback-frequency

Especifica elintervalo queusa el sistemapara escribir losdatosalmacenados enla caché dearchivosSmartLink de lanube.

El valorpredeterminadoes9 hours

Especifica lafrecuencia con laque los archivosSmartLinkmodificados en elclúster se escribenen los objetos dedatos de nubeasociados.

Accessibility cloud-accessibility Especificacómo sealmacenan encaché los datosen archivosSmartLinkcuando unaaplicación o unusuarioacceden a unarchivoSmartLink en elclúster. Losvalores posiblesson cached yno-cache.

El valorpredeterminadoes cached

Determina si sealmacenan en cachélos datos de nubecuando se accede aun archivo en elclúster local.

cached

Cuando seseleccionacached, los

datos de lanube a los quese accedió sealmacenan encaché en elarchivoSmartLinkcuando seaccede parauna operaciónde lectura oescritura.

CloudPools




no-cache

Cuando seselecciona no-cache, el

sistema noalmacena encaché los datosen los archivosSmartLinkcuando seaccede paraoperaciones delectura, sinoque los pasa ala aplicaciónque accede demanera local. Siescribe en losdatos a los quese accediócuando seaplica estaconfiguración,el sistemaalmacena encaché loscambios.Seleccione no-cache si desea

limitar el uso derecursos delclúster.

Cache Read Ahead cloud-readahead Especifica laestrategia delecturaanticipada decaché para losarchivos de lanube (completao parcial).

El valorpredeterminadoes partial

Especifica si losdatos de nube serecuperan total oparcialmente cuandose obtiene acceso aun archivoSmartLink en elclúster. Si seespecifica partial,

el sistema solorecupera los bloquesde archivos que senecesitan cuando seaccede a un archivoSmartLink. Si seespecifica full,

todos los datos denube se almacenan

CloudPools




en caché cuando seaccede a un archivoSmartLink.

Cache Expiration cloud-cache-expiration Especifica lacantidad dedías hasta queel sistemadepura lainformaciónque expiró en lacaché de losarchivosSmartLink.

El valorpredeterminadoes 1 day.

Especifica porcuánto tiempo elsistema conserva losdatos de nube quese recuperaron en lacaché de losarchivos SmartLinkasociados. Elsistema depura lacaché de archivosSmartLink de losdatos a los que no seha accedido durantela cantidad de díasespecificada.

Archive Files withSnapshots

cloud-archive-snapshot-files

Especifica si lapolítica deberarchivararchivos coninstantáneas. Elvalorpredeterminadoes on(habilitado).

Las instantáneascapturan archivos enun momentodeterminado. Si unapolítica coincide conun archivo que seincluye en unainstantánea, elarchivo se puede serarchivar o no segúneste ajuste.

Opciones de coincidencia de archivos para las políticas de archiving de nubeCada política de pools de archivos debe proporcionar los criterios de coincidencia paraidentificar los archivos que se archivarán y el destino de nube donde se debenalmacenar los archivos.

La siguiente tabla describe los criterios de coincidencia que se usan al crear políticasde pools de archivos.

Criterios de coincidencia Descripción

Interfaz deadministración web

Interfaz de lalínea decomandos

Nombre delarchivo

--name Incluye o excluye archivos según su nombre.Puede especificar si desea incluir o excluir nombrescompletos o parciales que contengan un textoespecífico. Se permiten caracteres comodín.

Ruta --path Incluye o excluye archivos según la ruta de archivo.

CloudPools





Puede especificar si desea incluir o excluir rutascompletas o parciales que contengan un textoespecífico. También puede incluir los caracteres

comodín *, ? y [ ].

Tipo de archivo --file-type Incluye o excluye archivos según uno de los siguientestipos de objetos del sistema de archivos:

l Archivo regular

l Directorio

l Otros

File Attribute --custom-attribute

Incluye o excluye archivos según un atributopersonalizado definido por el usuario.

Modificada --changed-time Incluye o excluye archivos según el momento en que semodificaron por última vez.Puede especificar una fecha y hora relativas, como“hace dos semanas”, o una fecha y hora específicas,como “antes del 1 de enero de 2012”. Los ajustes dehora se basan en un formato de 24 horas.

Con acceso --accessed-time Incluye o excluye archivos según el momento en que seaccedió a ellos por última vez.Puede especificar una fecha y hora relativas, como“hace dos semanas”, o una fecha y hora específicas,como “antes del 1 de enero de 2012”. Los ajustes dehora se basan en un formato de 24 horas.

Nota

Dado que afecta el rendimiento, el rastreo delmomento de acceso como un criterio de la política depool de archivos está deshabilitado de manerapredeterminada.

MetadataChanged

--metadata-changed-time

Incluye o excluye archivos según el momento en que semodificaron por última vez los metadatos de archivos.Esta opción está disponible solo si está habilitada laopción de rastreo global del momento de acceso en elclúster.Puede especificar una fecha y hora relativas, como“hace dos semanas”, o una fecha y hora específicas,como “antes del 1 de enero de 2012”. Los ajustes dehora se basan en un formato de 24 horas.

Created --birth-time Incluye o excluye archivos según el momento en quefueron creados.Puede especificar una fecha y hora relativas, como“hace dos semanas”, o una fecha y hora específicas,

CloudPools

Opciones de coincidencia de archivos para las políticas de archiving de nube 513




como “antes del 1 de enero de 2012”. Los ajustes dehora se basan en un formato de 24 horas.

Tamaño --size Incluye o excluye archivos según su tamaño.

Nota

Los tamaños de los archivos se representan enmúltiplos de 1,024, no de 1,000.

Combinación de acciones de políticas de almacenamiento local y de nubePuede especificar acciones de almacenamiento local y de nube en la misma política depools de archivos. Las acciones de nube se aplican a los datos de archivoscoincidentes, mientras que las acciones locales se aplican a los archivos de SmartLinkque se crean en su lugar.

La configuración de SmartPools puede determinar el pool o el nivel de almacenamientode destino, el nivel de protección de los archivos, la optimización de I/O y laoptimización del acceso a los datos. Los archivos de SmartLink se procesan según losparámetros de SmartPools especificados. Si algunos ajustes no se especifican en lapolítica de pools de archivos personalizada, se aplica la configuración predeterminadade las políticas del pool de archivos a los archivos de SmartLink.

Recuperación de datos en archivos desde la nubePuede recuperar datos en archivos desde la nube mediante el acceso en línea a travésde un protocolo compatible (SMB, NFS, Swift o HDFS) o mediante la recopilacióncompleta de los archivos.

Acceso en línea de datos de nubeLos usuarios pueden recuperar los datos en archivos que se encuentran en la nubemediante el acceso a un archivo de SmartLink en el clúster local a través de unprotocolo compatible. Este método se conoce como acceso en línea.

Cuando el usuario abre un archivo de SmartLink, por ejemplo, mediante un recursocompartido SMB, CloudPools recupera y almacena en caché local los datos enarchivos desde la nube. La cantidad de datos que se almacena en caché se determinamediante la configuración Cache Read Ahead de CloudPools.

Si el usuario modifica el archivo, CloudPools mantiene esos cambios en la caché yactualiza periódicamente los datos en archivos en la nube, de modo que siempre searchive la versión más reciente.

Recuperar archivos desde la nubePuede recuperar completamente un archivo desde el almacenamiento de nube. Eneste caso, CloudPools restaura el archivo completo al clúster y sobrescribe los

CloudPools


archivos de SmartLink asociados. Como parte de una rutina de mantenimiento diaria,CloudPools también elimina completamente los datos en archivos recuperados de lanube.

Puede recuperar archivos desde el almacenamiento de nube solo con el comando CLIisi cloud recall. Puede recuperar archivos de manera individual por su nombre omediante la especificación de una ruta de un directorio completamente recursivo.

Nota

Cuando usa el comando isi cloud recall para recuperar un archivo desde elalmacenamiento de nube, el archivo completo se restaura a su directorio original. Si lapolítica de pools de archivos que archivó originalmente el archivo a la nube aún está enefecto, la próxima vez que el trabajo de SmartPools se ejecute, el archivo recuperadose archivará en la nube nuevamente. Si no desea que el archivo que recuperó se vuelvaa archivar, puede transferir el archivo a un directorio diferente que no se vea afectadopor la política de pools de archivos, o puede modificar o eliminar la política.

Interoperabilidad de CloudPools con otras funciones deOneFS

CloudPools está diseñado para trabajar sin problemas con otras funciones de OneFS,que incluyen cifrado y compresión de datos, compatibilidad con SMB y NFS, SyncIQ,snapshots y respaldo y recuperación de tipo NDMP.

Compresión y cifrado de datos en la nubePuede especificar la compresión y el cifrado de datos que se transfieren a la nube.

Con CloudPools, puede habilitar la compresión y el cifrado en política individuales. Elcifrado y la compresión están deshabilitados de forma predeterminada.

Cuando se almacenan en la nube, los archivos comprimidos o cifrados se descifran ydescomprimen automáticamente cuando los datos se almacenan en caché (acceso enlínea) o cuando el archivo se recupera desde la nube al almacenamiento local.

CloudPools utiliza una clave de cifrado maestra para cifrar las claves de cifrado dedatos. El cifrado se aplica a los archivos SmartLink y a los datos en archivos que sealmacenan en la nube. Tanto los archivos SmartLink como los datos archivadosincluyen copias cifradas de las claves de cifrado de los datos. Una vez cifrado unarchivo, solo es posible descifrarlo mediante su recuperación.

CloudPools hace un seguimiento del estado de cifrado de archivos SmartLink en lasinstantáneas y los datos a los que se hace referencia en la nube. Si los archivosSmartLink en las instantáneas no están cifradas y hacen referencia a objetos de nubesin cifrar, los archivos SmartLink en las instantáneas permanecen sin cifrar incluso sicrea una nueva política de CloudPools que cifre la versión más reciente del archivo.

OneFS almacena la clave de cifrado maestra en el sistema local de administración declaves. Si sospecha que la clave puede haber quedado expuesta a usuarios noautorizados, es posible generar una nueva versión. Si la vuelve a generar, la nuevaclave maestra protege los datos nuevos que se escriban en la nube. Los datos escritosanteriormente están protegidos mediante las claves de cifrado de datos antiguas, queresiden en los archivos SmartLink locales.

CloudPools

Interoperabilidad de CloudPools con otras funciones de OneFS 515

Nota

CloudPools funciona sin inconvenientes con los nodos que están equipados conunidades de cifrado automático (SED). CloudPools puede aplicar el cifrado a losdocumentos que se archivan en el almacenamiento de nube. De manera similar, losarchivos SmartLink que quedan en SED se manejan como cualquier otro archivo.

Acceso en línea de NFSCloudPools permite el acceso de los archivos de SmartLink a partir de lasexportaciones de NFS.

Cuando un usuario se conecta a un clúster a través de una exportación NFS y navegaen el sistema de archivos, los archivos de SmartLink se ven como los archivosoriginales. Cuando el usuario abre un archivo de SmartLink, CloudPools recupera yalmacena en caché los datos en archivos originales desde la nube. Se almacena encaché una porción de los datos en archivos o el archivo completo en función de laconfiguración Cache Read Ahead.

Si el usuario modifica el archivo, CloudPools almacena los cambios en la caché yescribe periódicamente los cambios en la nube. De esta manera, los datos de nube semantienen completamente actualizados.

Acceso en línea de SMBCloudPools permite el acceso de los archivos de SmartLink desde los recursoscompartidos de SMB.

Cuando un usuario se conecta a un clúster a través de un recurso compartido de SMBy navega en el sistema de archivos, los archivos de SmartLink se ven como losarchivos originales. Cuando el usuario abre un archivo de SmartLink, CloudPoolsrecupera y almacena en caché los datos en archivos originales desde la nube. Sealmacena en caché una porción de los datos en archivos o el archivo completo enfunción de la configuración Cache Read Ahead.

Si el usuario modifica el archivo, CloudPools almacena los cambios en la caché yescribe periódicamente los cambios en la nube. De esta manera, los datos de nube semantienen completamente actualizados.

Otros protocolos compatibles con el acceso en líneaEs posible acceder a los datos de nube de manera programática por medio de Swift yHDFS mediante el acceso a los archivos de SmartLink asociados.

Recomendamos consultar con su representante de Isilon para obtener másinformación sobre estos casos de uso.

Interoperabilidad de SyncIQSyncIQ le permite sincronizar datos desde su clúster Isilon primario (origen) a unclúster secundario (objetivo). Si su clúster primario deja de estar disponible, ustedpuede realizar un failover al clúster secundario y los usuarios pueden seguiraccediendo a los datos, incluidos los datos almacenados en la nube.

Durante la replicación de SyncIQ, se copian todos los archivos del clúster de origen alclúster objetivo, incluidos los archivos de SmartLink. Los usuarios que tienen acceso alclúster objetivo a través de protocolos compatibles pueden recuperar datos de nube orecuperar completamente los archivos de la nube. En estos casos, CloudPools

CloudPools


recupera los datos y los almacena en caché (acceso en línea) o recupera el archivocompleto exactamente como lo haría desde el clúster de origen original.

A menos que otorgue acceso de escritura en la nube al clúster secundarioespecíficamente, CloudPools almacena todos los cambios en los archivos de SmartLinken la caché local, que está limitada solo por el espacio disponible en el clúster.

Políticas de SyncIQCloudPools es compatible con la replicación de SyncIQ de archivos de SmartLink a unoo más clústeres objetivo. SyncIQ también puede usarse para restaurar archivos deSmartLink respaldados en su clúster (de origen) original.

Los dos tipos de políticas de SyncIQ son: políticas de sincronización y políticas decopia. Estas políticas se pueden ejecutar manualmente o configurarse para suejecución automática según la configuración de la política.

CloudPools es compatible con ambos tipos de políticas de SyncIQ. Cuando SyncIQreplica archivos de SmartLink en un clúster objetivo, la información secundariaasociada con un archivo de SmartLink, como el estado de la caché local y los datos decaché no sincronizados, también se replica.

Si su clúster de origen (primario) queda inactivo o no está disponible por algún motivo,y realiza un failover de su clúster secundario, los usuarios pueden seguir accediendo alos archivos de SmartLink y, por lo tanto, a los datos de nube, tal como lo haríannormalmente.

Si el failover es temporal y usted planea restaurar el clúster de origen a sufuncionamiento completo, no es necesario habilitar el acceso de escritura de nube enel clúster secundario. Los cambios que realizan los usuarios a los archivos deSmartLink se almacenan en la caché local, que está limitada solo por la cantidad deespacio libre en el clúster.

Cuando haga un failback al clúster de origen y restaure los archivos de SmartLinkactualizados, solo entonces CloudPools escribirá las modificaciones en cachénuevamente en la nube.

PRECAUCIÓN

Si su failover es a largo plazo o permanente, puede otorgar acceso de escritura denube al clúster secundario mediante el uso del comando isi cloud accessadd en la CLI. Sin embargo, debe permitir el acceso de escritura en la nube a unsolo clúster a la vez. De lo contrario, los datos de nube pueden dañarse.

Tiempo de retención de datos de nube de CloudPoolsEn CloudPools, los datos de nube se rigen por un concepto denominado retención. Eltiempo de retención define un tiempo absoluto para que los datos de nubepermanezcan en el almacenamiento de nube después de la eliminación del archivo deSmartLink específicamente relacionado.

Cuando utiliza CloudPools para almacenar un archivo del clúster al almacenamiento denube, se crea un archivo de SmartLink en el clúster Isilon en lugar del archivoalmacenado. Mientras los datos de un archivo permanezcan en la nube, el archivo deSmartLink se mantendrá en el lugar para representar y apuntar a los datos de nube.

Dado que un archivo de SmartLink se puede respaldar en cintas mediante NDMP yreplicar a otro clúster Isilon a través de SyncIQ, más de un archivo de SmartLink puedeapuntar a los mismos datos de nube al mismo tiempo.

Sin embargo, cabe destacar que los datos de nube pueden eliminarse incluso si hay unarchivo de SmartLink relacionado en otro clúster restaurado por un proceso de SyncIQ

CloudPools

Interoperabilidad de SyncIQ 517

o NDMP. Los datos de nube se mantienen hasta que haya vencido la duración mínimade sus tiempos de retención en todos los clústeres.

El tiempo de retención se ve afectado por los siguientes períodos de retención depolíticas de archiving:

l Cloud Data Retention Period especifica el tiempo de retención de los datos denube más allá de la hora en que se elimina un archivo de SmartLink local asociado.La configuración predeterminada es una semana.

l Backup Retention Period for NDMP Incremental Backup and SyncIQ especificael tiempo de retención de los datos de nube cuyo archivo de SmartLink se respaldómediante un respaldo de tipo NDMP incremental o se replicó a través de unaoperación de SyncIQ. Si se elimina un archivo local SmartLink, se puede restaurarla copia del archivo y los datos de nube permanecen accesibles. La configuraciónpredeterminada es cinco años.

l Full Backup Retention Period for NDMP Only es el tiempo de retención de losdatos de nube cuyo archivo de SmartLink se respaldó solamente por un respaldocompleto de tipo NDMP. Si se elimina un archivo local SmartLink, se puederestaurar la copia del archivo y los datos de nube permanecen accesibles. Laconfiguración predeterminada es cinco años.

Administración de archivos de SmartLink replicadosSi modifica o elimina un archivo de SmartLink que se replicó en una operación deSyncIQ, CloudPools puede modificar o eliminar sus objetos de nube asociados.

Si modifica un archivo de SmartLink en el clúster primario, los cambios se almacenanen caché y, según la configuración Writeback Frequency, se vuelven a escribir en lanube periódicamente. De esta manera, los datos de nube siempre se mantienenactualizados.

Si modifica un archivo de SmartLink en un clúster secundario debido a que el clústerprimario no está disponible temporalmente, los cambios permanecerán en la caché.Cuando se realiza un failback en el clúster primario, solo entonces los cambios sepueden escribir nuevamente en la nube de acuerdo con la configuración WritebackFrequency.

De manera similar, cuando se elimina un archivo de SmartLink que se replica en unaoperación de SyncIQ, CloudPools administra adecuadamente los datos de nubeasociados. Existen dos períodos de retención que pueden afectar los objetos de nubeasociados con un archivo de SmartLink replicado: Cloud Data Retention Period yIncremental Backup Retention Period for NDMP Incremental Backup and SyncIQ.

Cuando un archivo de SmartLink se replica a un clúster secundario y se elimina delclúster primario, CloudPools utiliza las configuraciones Cloud Data Retention Periode Incremental Backup Retention Period for NDMP Incremental Backup andSyncIQ para determinar cuándo se deben eliminar los objetos de nube asociados.CloudPools utiliza la más extensa de las dos duraciones para determinar cuándo sedeben eliminar los datos de nube.

Por ejemplo, si el período de retención más largo de los dos es la configuraciónIncremental Backup Retention Period for NDMP Incremental Backup and SyncIQ,CloudPools utiliza esa configuración para determinar cuándo se deben eliminar losdatos de nube una vez que se elimina su archivo de SmartLink asociado.

Si elimina un archivo de SmartLink en un clúster secundario debido a que el clústerprimario no está disponible temporalmente, el estado de eliminación se mantendrá enla caché. Cuando realiza un failback del clúster primario, CloudPools elimina el archivode SmartLink y utiliza la configuración de retención para determinar cuándo se debeneliminar los datos de nube asociados.

CloudPools


Copia en profundidad de SyncIQCuando se copian datos del clúster primario (origen) a un clúster secundario(objetivo), es posible crear una política de SyncIQ que restaura archivos completos enlugar de archivos de SmartLink.

Cuando crea una política de SyncIQ, puede modificar la configuración Deep Copy forCloudPools. La configuración predeterminada es Deny, lo que significa que, duranteuna operación de SyncIQ, los archivos de SmartLink se replican en el clúster objetivo.

De forma alternativa, puede seleccionar la opción Allow o Force para una copia enprofundidad. Cuando selecciona Allow, SyncIQ continúa replicando archivos deSmartLink en el clúster objetivo, a menos que haya una discrepancia con la versión deSmartLink, en cuyo caso los datos en archivos completos se recuperan de la nube y sereplican.

Cuando especifica Force para una copia en profundidad, CloudPools recupera y copialos datos en archivos completos de la nube para todos los archivos de SmartLink quese vean afectados por la política de SyncIQ y replica los archivos completos en elclúster objetivo.

Nota

Una operación de SyncIQ que impone una copia en profundidad puede tardar muchomás y consumir más recursos del sistema. Recomendamos que no especifique unacopia en profundidad a menos que tenga una razón específica para hacerlo. Porejemplo, si está respaldando datos del clúster primario a uno secundario que estáejecutando una versión anterior de OneFS (previa a la 8.0), debe usar la copia enprofundidad. Si no está seguro de si se debe usar la copia en profundidad, póngase encontacto con su representante de EMC Isilon para obtener orientación.

Respaldo y restauración de tipo NDMP para datos en la nubePuede realizar operaciones de respaldo y restauración de tipo NDMP con datosarchivados en la nube.

Las funcionalidades de respaldo y restauración con datos de CloudPools incluyen losiguiente:

l Archivar documentos SmartLink cuando se respalda desde un clúster

l Restaurar datos, incluidos los archivos SmartLink, al mismo clúster

l Restaurar datos, incluidos los archivos SmartLink, a otro clúster

Con el respaldo de tipo NDMP, de forma predeterminada, CloudPools solo escompatible con el respaldo de archivos SmartLink. No se incluyen datos de la nube enel respaldo. También se respalda información secundaria, como la información decuenta, el estado de la caché local y los datos de la caché sin sincronizar asociadoscon el archivo SmartLink.

Sin embargo, puede forzar el respaldo de tipo NDMP para que se almacene una copiacompleta de los datos en archivos en lugar de los archivos SmartLink. En ocasiones,esto se denomina opción de copia profunda. Para especificar que debe realizarse unacopia profunda, la configuración de la variable de ambiente BACKUP_OPTIONS debeser 0x00000100.

En la configuración de CloudPools, puede establecer tres períodos de retención queafectan los archivos SmartLink respaldados y sus datos de nube asociados:

CloudPools

Respaldo y restauración de tipo NDMP para datos en la nube 519

l El período de retención de respaldo completo para NDMP comienza cuando serespalda el archivo SmartLink como parte de un respaldo completo. El valorpredeterminado es cinco años.

l El período de retención de respaldo incremental para el respaldo de tipo NDMPincremental y SyncIQ comienza cuando se respalda un archivo SmartLink comoparte de un respaldo incremental. El valor predeterminado es cinco años.

l El período de retención de datos de nube define el tiempo que los datos en la nubese conservan cuando se elimina su archivo SmartLink relacionado. El valorpredeterminado es una semana.

CloudPools garantiza la validez de un archivo SmartLink respaldado dentro del períodode retención de datos de nube. Es importante que los períodos de retención seconfiguren correctamente, para asegurarse de que cuando se restaure el archivoSmartLink desde la cinta, este siga siendo válido. CloudPools no permite larestauración de archivos SmartLink no válidos.

Para comprobar si un archivo SmartLink respaldado aún es válido, CloudPoolscomprueba los períodos de retención del archivo que se almacenan en cinta. Si eltiempo de retención es superior al tiempo de ejecución de restauración, CloudPoolsimpide que NDMP restaure el archivo SmartLink.

CloudPools también se asegura de que la cuenta en la que se crearon originalmente losarchivos SmartLink no se haya eliminado. Si se eliminó, la restauración y el respaldo detipo NDMP de archivos SmartLink fallará.

Comportamiento de CloudPools con instantáneasLas funciones de SnapshotIQ, SyncIQ, FSAnalyze y respaldo de tipo NDMP creaninstantáneas de punto en el tiempo de directorios en OneFS. Incluso cuando semodifican los archivos, se conservan las versiones de las instantáneas. ConCloudPools, puede controlar si los archivos que tienen versiones de instantáneas searchivan en la nube.

Como parte de la coincidencia de archivos, CloudPools puede incluir archivos quetienen versiones de instantáneas. CloudPools archiva las últimas versiones de esoselementos en la nube y crea archivos SmartLink locales en lugar de los documentosarchivados. Sin embargo, mientras existan las instantáneas OneFS también mantendráversiones con todos los datos de estos archivos en las instantáneas. La configuraciónpredeterminada de CloudPools es permitir que los elementos con versiones deinstantáneas se archiven, pero es posible cambiar la configuración predeterminada.

Nota

Permitir el archiving de elementos que tienen versiones de instantáneas no genera unahorro de espacio en el clúster local, a menos que se eliminen las instantáneas.Algunas funciones, como FSAnalyze, SyncIQ y respaldo de tipo NDMP, eliminanautomáticamente las instantáneas cuando ya no se necesitan. Sin embargo, lasinstantáneas creadas con SnapshotIQ no se eliminan automáticamente. Para liberarespacio en su clúster, se recomienda eliminar periódicamente las instantáneas másantiguas que ya no necesite.

CloudPools también es compatible con SnapRevert para los archivos SmartLink. Porejemplo, suponga que CloudPools archiva un directorio denominado /ifs/data/images en la nube. Los archivos en el directorio images se reemplazarían conarchivos SmartLink.

Si crea un dominio SnapRevert para el directorio y ejecuta el trabajo SnapRevert, seinvierte el proceso de archiving de CloudPools y se restauran los archivos originales en

CloudPools


el directorio. CloudPools elimina cualquier dato de nube que se haya creado comoparte del proceso de archiving original.

CloudPools con SmartLockCloudPools archiva elementos en un repositorio de almacenamiento de nube y dejaarchivos SmartLink en su lugar en el almacenamiento local. CloudPools no estádiseñado para usarse con dominios de SmartLock, donde los archivos se confirmancon un estado WORM (write-once, read many).

Cuando se crean políticas de pool de archivos para almacenar ciertos archivos en unalmacenamiento de nube, es importante asegurarse de que estas políticas eviten losdominios de SmartLock y los archivos WORM que allí se incluyen.

Si accidentalmente intenta almacenar archivos WORM en la nube, CloudPoolsgenerará un error de “sistema de archivos de solo lectura”. Aunque es posiblealmacenar un archivo en la nube y después agregar el archivo SmartLink en un dominioWORM, con o sin asignarlo a un estado WORM, no se recomienda hacerlo.

CloudPools y SmartQuotasEl administrador puede imponer límites de almacenamiento para los usuarios conSmartQuotas. En este caso, los usuarios deben tener en cuenta que recuperar datosdesde la nube podría causar que excedan esos límites.

Cuando CloudPools archiva documentos en el almacenamiento de nube, crea archivosSmartLink en el almacenamiento local en lugar de los elementos archivados.Generalmente, los archivos SmartLink ocupan mucho menos espacio dealmacenamiento que los elementos archivados que reemplazan.

Cuando los usuarios recuperan elementos archivados de la nube, los archivoscompletos reemplazan los archivos SmartLink en el almacenamiento local. Esto podríacausar que los usuarios superen sus cuotas. Por ejemplo, supongamos que la cuota deun usuario es de 500 MB y que los archivos con una antigüedad superior a seis mesesse archivan en la nube. Esto permite al usuario ahorrar 250 MB de espacio, ya que losarchivos SmartLink ocupan relativamente poco espacio de almacenamiento local.Mientras tanto, el usuario agregó más archivos y ahora tiene 400 MB de datos en elalmacenamiento local. Si el usuario recuperara archivos de la nube que requieran másde 100 MB de almacenamiento, superará su cuota.

Como administrador de almacenamiento, debe informar a los usuarios sobre estaposibilidad y sobre cómo manejar esta situación.

CloudPools y SmartDedupeSmartDedupe escanea el sistema de archivos de OneFS para buscar archivos quecontengan bloques de datos idénticos. Si SmartDedupe encuentra bloques duplicados,mueve una única copia de los bloques a un archivo escondido denominado área dealmacenamiento oculta. A continuación, SmartDedupe elimina los bloques duplicadosde los archivos originales y reemplaza los bloques con indicadores que apuntan al áreade almacenamiento oculta.

CloudPools interactúa con SmartDedupe de la siguiente manera:

l Si una política de pools de archivos especifica que los archivos deduplicados debenarchivarse en el almacenamiento de nube, CloudPools archiva esos archivosdeduplicados y deja los archivos SmartLink en su lugar en el almacenamiento local.

CloudPools

CloudPools con SmartLock 521

l Cuando un documento archivado que se había deduplicado se recupera desde lanube, se reemplaza el archivo SmartLink y el archivo recuperado vuelve acolocarse en el almacenamiento local, donde ya no se deduplica.

l SmartDedupe no deduplica archivos SmartLink

Mejores prácticas de CloudPoolsSiga estas mejores prácticas para obtener los mejores resultados con el uso deCloudPools.

Uso de registros de fecha y hora para la recuperación y el archiving de datosen la nube

Utilice patrones de coincidencia temporal (creación, modificación, último acceso)cuando archive y recupere datos en y desde la nube. Esto permite operaciones dearchiving y recuperación más eficaces y, por lo tanto, un mejor rendimiento.

Cuando crea una política de pools de archivos para el archiving de datos en la nube,varios de los criterios de coincidencia de archivos implican tiempo:

l Createdl Con accesol Modificada

Por lo tanto, puede especificar criterios de coincidencia de archivos que especifiquensu fecha de creación, su fecha de último acceso o su fecha de última modificación.

CloudPools también puede recuperar archivos con mayor eficiencia en función de losregistros de fecha y hora.

Archiving y tamaño de los archivos de CloudPoolsPuede obtener el máximo beneficio de CloudPools, en términos de liberar espacio dealmacenamiento en su clúster, mediante el archiving de archivos grandes. El archivingde archivos pequeños proporciona menos beneficios, si los hubiera.

Uno de los beneficios del archiving de archivos en la nube con CloudPools es la rapidezcon la que puede recuperar estos archivos cuando sea necesario.

Para habilitar la recuperación rápida, CloudPools crea un archivo de SmartLink paracada archivo cuyos datos se archivan en la nube. Todos los archivos de SmartLinkcontienen un mapa de los datos en la nube, los metadatos y el espacio de la caché. Losarchivos de SmartLink son, por lo general, de tamaño pequeño, pero pueden crecer silos datos se almacenen en caché por medio del acceso en línea.

Por lo tanto, si archiva archivos pequeños en la nube, los archivos de SmartLink sedejan en su lugar en el clúster y podrían acercarse al tamaño del archivo original oincluso superarlo.

Creación de cuentas exclusivas para fines de CloudPoolsDebe crear una cuenta con su proveedor de nube que sea para uso exclusivo deCloudPools. Esto evita conflictos que podrían ocasionar pérdidas o daños en los datos.

Si su organización accede a las cuentas del proveedor de nube fuera de la operaciónde OneFS CloudPools, los usuarios deben tener cuidado de no acceder a los datosarchivados por CloudPools ni de modificarlos. Cualquier acceso o modificación a estosdatos probablemente los dañaría y pondría en riesgo la recuperación de datos desdeCloudPools.

CloudPools


Para evitar esto, cree una cuenta en CloudPools que sea de uso exclusivo deCloudPools. Utilice cuentas completamente independientes para otras aplicaciones denube con su proveedor de nube.

Solución de problemas de CloudPoolsSi encuentra problemas usando CloudPools, consulte la información proporcionada enesta sección antes de ponerse en contacto con el servicio al cliente de Isilon.

Comportamiento esperado de CloudPoolsDurante el funcionamiento normal de CloudPools, debe tener en cuenta las siguienteslimitaciones y comportamientos esperados.

Actualización gradual antes del uso de CloudPools

Si está realizando una actualización gradual a la nueva versión de OneFS,asegúrese de que la actualización esté totalmente completa antes de activarCloudPools.

Eliminación de cuentas de almacenamiento de nube

Advertencia: No elimine una cuenta de almacenamiento de nube que esté siendoutilizada por los archivos archivados. Esto puede ocasionar una pérdida de datos osu inaccesibilidad para los archivos archivados que usan esa cuenta. Cualquierintento de abrir archivos de SmartLink asociados con una cuenta eliminada fallarácon mensajes de error de I/O. Además, la restauración y el respaldo de tipoNDMP, así como el failover y el failback de SyncIQ, fallarán si se eliminó unacuenta de almacenamiento de nube. Si un usuario NFS o SMB intenta abrir unarchivo de SmartLink por medio del acceso en línea y recibe un error de I/O, estopuede significar que se eliminó la cuenta de almacenamiento de nube relacionada.Recomendamos que intente acceder en línea a otros archivos de SmartLink en elmismo CloudPool. Si se genera el mismo error para esos archivos, se eliminó lacuenta de almacenamiento de nube y los datos se perdieron. Si se puede accedera los otros archivos de SmartLink, es posible que el archivo de SmartLink quegeneró el error esté dañado. De cualquier manera, debe comunicarse con elservicio de soporte de EMC Isilon para obtener ayuda.

Acceso a archivos de SmartLink

Puede ver y modificar los datos de nube mediante el acceso a los archivos deSmartLink por medio de los protocolos compatibles (NFS, SMB, Swift y HDFS).Si intenta acceder a un archivo de SmartLink directamente en el clúster medianteun comando que se ejecuta en el clúster o a través de un protocolo no compatible,se generará un error de I/O. El acceso local para archivos de SmartLink estábloqueado para estos comandos: tar, gzip, scp, AVscan y los trabajos delmotor de trabajos. También se impide la clonación de un archivo de SmartLink yse mostrará un error EINVAL.

Los registros de fecha y hora del archivo de SmartLink se pueden modificar.

La apertura de un archivo de SmartLink por medio de un protocolo compatiblepuede cambiar el registro de fecha y hora. Cuando un archivo se archiva porprimera vez y se crea el archivo de SmartLink en su lugar, el registro de fecha yhora de ctime se mantiene igual al registro de fecha y hora del archivo original. Sinembargo, la primera vez que el archivo de SmartLink se abre (acceso en línea), elregistro de fecha y hora de ctime cambia a medida que un componente de lacaché se agrega al archivo. Además, si un archivo archivado se recupera porcompleto, el registro de fecha y hora de ctime y mtime se modifican.

CloudPools

Solución de problemas de CloudPools 523

El acceso en línea puede dar la impresión de que convierte un archivo de SmartLinken un archivo regular

Cuando un usuario accede a un archivo de SmartLink en el clúster Isilon desde unprotocolo compatible, se abre el archivo en una aplicación en la computadoracliente. Durante este proceso, denominado acceso en línea, la mayoría de lasaplicaciones son compatibles con la creación de una caché de CloudPools desde lacual los usuarios pueden ver y, si lo desean, modificar los datos archivados. Con elacceso en línea, el archivo de SmartLink permanece intacto en el clúster, y todaslas modificaciones que el usuario efectúe en los datos en archivos se almacenanen la caché y se actualizan en la nube.Sin embargo, algunas aplicaciones no son compatibles con el acceso en línea. Encambio, estas aplicaciones crean una nueva copia del archivo original, aparte delarchivo de SmartLink. El nuevo archivo, que contiene todos los datos en archivosoriginales, recibe un nuevo número de inodo lógico (LIN) y registros de fecha yhora que difieren del archivo que se archivó originalmente. Este comportamientose ha observado en solo unos pocos programas, incluidas las aplicaciones deMicrosoft Office. En estos casos, dado que se crea un archivo completamentenuevo, el archivo de SmartLink original y sus datos asociados en la nube seetiquetan para su eliminación (recolección de elementos no utilizados).

Si el nuevo archivo cumple con los criterios de la política de pool de archivos quearchivó el archivo original en la nube, el nuevo archivo se archiva en la nube lapróxima vez que se ejecuta el trabajo de SmartPools y en su lugar se crea unnuevo archivo de SmartLink en el clúster local. Si el nuevo archivo no cumple conlos criterios de la política, el archivo completo permanece en el clúster.

Para obtener mejores resultados con CloudPools, recomendamos evitar elarchiving de los archivos que los usuarios están modificando activamente.

La copia de un archivo de SmartLink de un clúster a otro puede dar lugar a un archivode SmartLink dañado

Si usa scp (copia segura) u otros comandos de copia para copiar un archivo deSmartLink de un clúster a otro, el archivo de SmartLink resultante estará dañado.

La ejecución de antivirus en los archivos de SmartLink genera errores

Le recomendamos que evite crear políticas que ejecuten antivirus en directoriosque contienen archivos de SmartLink. La ejecución de antivirus en los archivos deSmartLink genera mensajes de error. Si ejecuta un antivirus en estos directorios,puede ignorar con tranquilidad estos mensajes.

Otros problemas de acceso a archivos de SmartLink

Si el nodo no tiene quórum, o el sistema de archivos es de solo lectura o /ifs noestá disponible, es posible que posteriormente experimente problemas de accesoa los archivos de SmartLink.

Herramientas basadas en clientes y archivos de SmartLink

Si ejecuta una herramienta SMB o NFS basada en el cliente como AVScan(análisis antivirus) o una aplicación de respaldo, los datos en archivos en la nubese vuelven a almacenar completamente en la caché de los archivos de SmartLink.Esto puede dar como resultado un uso intenso de la red y un aumento en loscostos del proveedor de servicios. También podría impedir el ahorro de espacio enel clúster.

Archivos SmartLink vencidos

Los archivos de SmartLink vencidos no se restauran mediante NDMP y no sesincronizan nuevamente con SyncIQ. Un archivo de SmartLink en un respaldo de

CloudPools


tipo NDMP o en un clúster secundario (objetivo) de SyncIQ expira cuando elarchivo de SmartLink original se eliminó del clúster primario (origen), o cuando losdatos en archivos originales en la nube se recuperaron por completo.

La recuperación se puede interrumpir.

Cuando una operación de almacenamiento completo en caché está en curso (esdecir, una persona realizó un acceso en línea de un archivo de SmartLink desde unrecurso compartido SMB o una exportación de NFS), la recuperación del mismoarchivo puede fallar. Cuando esto sucede, la operación de almacenamientocompleto en caché puede ser la primera en completarse, y el usuario debereintentar la recuperación después de que se complete el almacenamiento encaché.

Archivos ADS

CloudPools no archiva ni recupera los archivos ADS (flujo de datos alternativos).

Bloqueo oportuno de SMB

El bloqueo oportuno de SMB (arrendamiento/notificación) no funciona en loscasos donde crea un archivo con la marca SUPERCEDE y este archivo ya existe yestá archivado.

Registros de CloudPoolsPuede acceder a los registros de CloudPools para ver la actividad y solucionarproblemas.

Los siguientes registros están disponibles en OneFS para la operación de CloudPools.

Tipo Nombre Ruta

Registros del ladodel clúster delcliente

Demonio de cpool /var/log/isi_cpool_d.log

Motor de trabajo /var/log/isi_job_d.log

I/O de NFS y SMB /var/log/isi_cpool_io_d.log y /var/log/lwiod.log

Aprovisionamiento /var/log/isi_papi_d.log

NDMP /var/log/isi_ndmp_d.log

SyncIQ /var/log/isi_migrate.log

Mensajes /var/log/messages

Registros del ladode la nube dePlatform API

Platform API (RAN) /var/log/isi_object_d.log

HTTPd apache /var/log/apache2/webui_httpd_error.logy/var/log/apache2/webui_httpd_access.log

Autenticación desesiones

Mensajes /var/log/messages

CloudPools

Registros de CloudPools 525

Nota

Asegúrese de que la hora del lado del clúster coincida en un rango de 15 minutos con ladel proveedor de nube.

Solución de problemas de CloudPoolsEsta sección describe otros elementos de solución de problemas para la administracióny operación de CloudPools.

La cuenta de almacenamiento de nube no se puede conectar a la nube

En OneFS, si una cuenta de almacenamiento de nube se muestra en la interfaz deadministración web con un ícono de Needs Attention rojo, o en la interfaz dela CLI con un estado Unreachable, esto generalmente indica que el clústerperdió la conexión a Internet o la instalación de almacenamiento de nube delproveedor de servicios está offline. Asegúrese de que el clúster tenga conexión aInternet. De ser así, póngase en contacto con su proveedor de servicios.

Determinación de si un archivo es un archivo de SmartLink

Para determinar si un archivo se archivó en la nube, puede comprobar si la versiónlocal en el clúster corresponde a un archivo de SmartLink. Ejecute el comandoisi get -D como en el siguiente ejemplo:

isi get -D koala.jpg | grep Stubbed:

El resultado debería ser el siguiente si el archivo especificado fuese un archivo deSmartLink (stub):

* Stubbed: True

Si el archivo no es un archivo de SmartLink, el resultado sería False.

Servidores proxy de red con CloudPoolsPuede configurar CloudPools de modo que los datos archivados en un proveedor denube pública (o recuperados a partir de él) se enruten a través de un servidor proxy.

De forma predeterminada, CloudPools se comunica directamente con el proveedor denube designado. Si el proveedor de nube es privado, por ejemplo, otro clúster Isilon oun dispositivo EMC ECS que se ejecuta en la misma red corporativa, el protocolo decomunicación predeterminado puede ser aceptable.

Sin embargo, si CloudPools archiva los datos en un proveedor de nube pública, comoAmazon S3 o Microsoft Azure, la comunicación directa a través de la Internet públicapuede infringir las políticas de seguridad establecidas por algunas organizaciones.

En una configuración típica, el clúster Isilon se instala en un centro de datos detrás deuno o más firewalls. Generalmente, los puertos que permiten la comunicación conInternet pública se encuentran cerrados. A fin de que CloudPools pueda archivar datosen un proveedor de nube pública, es posible configurarlo para que funcione con unservidor proxy.

CloudPools funciona con servidores proxy que usan los siguientes protocolos:

l SOCKS v4

l SOCKS v5

CloudPools


l HTTP

La configuración en el lado de CloudPools incluye crear el proxy de red y conectarlo auna cuenta de almacenamiento de nube. Tanto SOCKS v5 como HTTP se puedenconfigurar con o sin autenticación. SOCKS v4 no es compatible con la autenticación.

Desde OneFS, también puede enumerar proxies de red, ver las propiedades del proxyde red, modificar la configuración de proxy y eliminar servidores proxy. Salvo paraconectar el proxy de red a una cuenta de almacenamiento de nube, es necesario usarla CLI para ejecutar todos los otros comandos del servidor proxy.

Crear un proxy de redPuede crear un proxy de red para redirigir el tráfico de CloudPools hacia un proveedorde nube pública y desde este. CloudPools es compatible con los servidores proxy queejecutan los protocolos SOCKS v4, SOCKS v5 y HTTP.

Antes de comenzar

El servidor proxy debe estar en línea y listo para aceptar una conexión desde un clústerIsilon.

Procedimiento

1. Ejecute el comando isi cloud proxies create.

El siguiente comando crea un objeto de proxy denominado myproxy1 y lovincula con una dirección URL del servidor proxy, un tipo de proxy y un puertoespecíficos:

isi cloud proxies create myproxy1 10.99.58.250 socks_5 1080

Resultados

Cuando cree o modifique una cuenta de almacenamiento de nube posteriormente, elproxy de red myproxy1 estará disponible. En ese momento, cuando seleccione elproxy y guarde los cambios, CloudPools verificará que se pueda realizar la conexión delservidor proxy.

Ver una lista de proxies de redEs posible ver una lista de proxies de red existentes en CloudPools.

Antes de comenzar

Usted o alguien de su organización deben haber creado los proxies de red antesmediante el comando isi cloud proxies create.

Procedimiento

1. Ejecute el comando isi cloud proxies list.

El comando muestra una salida similar a la siguiente:

Name Host Type------------------------------------------myproxy2 myproxy1.example.com socks_5 myproxy2 myproxy2.example.com httpmyproxy3 myproxy3.example.com socks_4

CloudPools

Crear un proxy de red 527

------------------------------------------Total: 3

Ver las propiedades del proxy de redPuede ver las propiedades de un proxy de red.

Antes de comenzar

Usted o alguien en su organización debe haber creado un proxy de red mediante elcomando isi cloud proxies create.

Procedimiento

1. Ejecute el comando isi cloud proxies view.

El siguiente comando muestra las propiedades de un proxy denominadomyproxy1:

isi cloud proxies view myproxy1

La salida del comando será similar a lo siguiente:

ID: 00505690602b8805a1570221dced3a85 Name: myproxy1 Host: 10.99.58.244 Type: socks_5 Port: 1080

Modificar un proxy de redEs posible modificar las propiedades de un proxy de red existente en CloudPools.

Antes de comenzar

Usted o alguien de su organización debe haber creado el proxy de red mediante elcomando isi cloud proxies create.

Procedimiento

1. Ejecute el comando isi cloud proxies modify.

El siguiente comando agrega un nombre de usuario y una contraseña paraconectarse a un proxy de red:

isi cloud proxies modify myproxy1 --username cloud1 --password @xy16+RZ20

Resultados

Ahora puede agregar el proxy de red a una cuenta de almacenamiento de nube.

Eliminar un proxy de redPuede eliminar un proxy de red existente en CloudPools. Sin embargo, si el proxy estáconectado a una cuenta de almacenamiento de nube, no es posible eliminar el proxy.

CloudPools


Antes de comenzar

Usted o alguien en su organización deben haber creado el proxy de red mediante elcomando isi cloud proxies create.

Procedimiento

1. Ejecute el comando isi cloud proxies delete.

El siguiente comando elimina el proxy llamado myproxy1:

isi cloud proxies delete myproxy1

OneFS le solicita confirmar la eliminación:

Are you sure? (yes/no):

2. Escriba yes y luego presione INTRO.

Resultados

Si el proxy ya está conectado a una cuenta de almacenamiento de nube en CloudPools,OneFS evita que se elimine el proxy. De lo contrario, se elimina el proxy.

Administración de las cuentas de almacenamiento de nubeUna cuenta de almacenamiento de nube proporciona a OneFS la información quenecesita para conectarse al proveedor remoto de almacenamiento de nube.

Puede crear y editar una o más cuentas de almacenamiento de nube en OneFS.

Crear cuentas de almacenamiento de nubeLas cuentas de almacenamiento de nube se definen en su clúster OneFS como unaparte esencial de la configuración de CloudPools. Es necesario indicar el nombre decuenta de usuario, la contraseña y el URI que utilizó para crear una cuenta con suproveedor de nube. También puede especificar un servidor proxy para redirigir eltráfico de archiving y recuperación de CloudPools hacia un proveedor de nube públicay desde este.

Procedimiento

1. Haga clic en File System > Storage Pools > CloudPools.

2. Haga clic en + Create a Cloud Storage Account.

3. En el cuadro de diálogo Create a Cloud Storage Account, realice estasacciones:

a. En el campo Name or Alias, escriba un nombre para la cuenta.

b. En el menú desplegable Type, seleccione un tipo de cuenta de nube. Lasopciones son: EMC Isilon, EMC ECS Appliance, VirtustreamStorage Cloud, Microsoft Azure y Amazon S3.

c. En el campo URI, ingrese un URI completamente calificado para la cuenta. ElURI debe utilizar el protocolo HTTPS y debe coincidir con el URI que seutilizó para configurar la cuenta con su proveedor de nube.

d. En el campo User Name, ingrese el nombre de usuario de la cuenta, quedebe coincidir con el nombre de usuario proporcionado al proveedor de nube(o por este).

CloudPools

Administración de las cuentas de almacenamiento de nube 529

e. En el campo Key, ingrese la contraseña de la cuenta. La contraseña debe serla misma que le proporcionó al proveedor de nube o la clave que el proveedorde nube emitió para usted.

f. Si ya definió uno o más proxies de red y desea usar uno para esta cuenta dela nube, seleccione el nombre en la lista desplegable Proxy.

g. Si está creando una cuenta de Amazon S3, también debe especificar un S3Account ID, S3 Telemetry Reporting Bucket y un S3 StorageRegion.

4. Haga clic en el botón Connect Account.

Se cerrará el cuadro de diálogo Create a Cloud Storage Account y la nuevacuenta de nube aparecerá en la lista Cloud Storage Accounts. Una cuenta denube se representa con un icono de usuario de color naranja. Se muestran elnombre, tipo, estado, nombre de usuario y el URI asociado con la cuenta.

Editar una cuenta de almacenamiento de nubePuede editar algunos de los ajustes de una cuenta existente de almacenamiento denube.

Procedimiento


2. En la lista Cloud Storage Accounts, haga clic en el botón View/Edit a laderecha de la cuenta que desea editar.

3. En el cuadro de diálogo View Cloud Storage Account Details, haga clic en elbotón Edit Account.

4. En el cuadro de diálogo Edit Cloud Storage Account Details realice alguna deestas acciones:

a. En el campo Name or Alias, escriba un nombre nuevo para la cuenta. No sepuede cambiar el tipo de cuenta.

b. En el campo URI, ingrese un URI completamente calificado para la cuenta. ElURI debe utilizar el protocolo HTTPS y debe coincidir con el URI que seutilizó para configurar la cuenta con su proveedor de nube.

c. En el campo Username, ingrese el nombre de usuario de la cuenta, que debecoincidir con el nombre de usuario proporcionado al proveedor de nube.

d. En el campo Key, ingrese la contraseña de la cuenta. La contraseña debe serla misma que le proporcionó al proveedor de nube o la clave que el proveedorde nube emitió para usted.

e. Si desea utilizar un servidor proxy diferente para esta cuenta de la nube,seleccione el nombre del nuevo proxy en la lista desplegable Proxy.

f. Si va a editar una cuenta de Amazon S3, también puede especificar valoresnuevos para S3 Account ID y S3 Telemetry Reporting Bucket. Elvalor de S3 Storage Region no puede cambiarse.


CloudPools valida que los datos de nube aún sean accesibles. Si no lo son, elsistema le avisará y los cambios no se guardarán.

CloudPools


Administración de CloudPoolsUn CloudPool contiene una o más cuentas de almacenamiento de nube y permite queOneFS utilice el almacenamiento de nube como otro nivel de almacenamientodisponible para el clúster.

Puede crear, ver, editar y monitorear CloudPools.

Crear un CloudPoolPuede crear un CloudPool como contenedor para una o más cuentas dealmacenamiento de nube. Una política de pools de archivos puede tener a CloudPoolcomo destino donde se almacenan los datos en la nube.

Procedimiento


2. Haga clic en el botón + Create a CloudPool.

3. En el cuadro de diálogo Create a CloudPool, en el campo Name, ingrese unnombre para el CloudPool. El nombre debe ser único en su clúster.

4. Desde el menú desplegable Type, seleccione un tipo de cuenta de la nube, quepuede ser EMC Isilon, EMC ECS Appliance, Virtustream StorageCloud, Microsoft Azure o Amazon S3.

5. Ingrese un proveedor y una descripción para el CloudPool.

6. Desde la lista Account in CloudPool, seleccione la cuenta de almacenamientode nube que debe contener este CloudPool. La lista está vacía hasta queseleccione un valor en la lista Type. Posteriormente, la lista Account inCloudPool mostrará únicamente las cuentas de almacenamiento de nube quecoincidan con ese tipo (por ejemplo, Azure).

7. Haga clic en Create a CloudPool.

El cuadro de diálogo se cerrará y, en la lista CloudPools, aparecerá el nuevoCloudPool junto con su tipo, estado, proveedor y descripción.

Ver información sobre un CloudPoolPuede ver la información relacionada con un CloudPool.

Procedimiento


En la lista CloudPools, cada CloudPool se representa con una nube azul. Lascuentas de nube asociadas se enumeran debajo de cada CloudPoolrepresentado por un icono de usuario de color naranja. Se muestra el tipo, elproveedor y la descripción asociada con cada CloudPool.

2. Para ver la configuración de un CloudPool con más detalle, haga clic en View/Edit a la derecha del CloudPool.

El cuadro de diálogo View Cloud Storage Pool Details muestra informaciónsobre el CloudPool.

3. Haga clic en Cerrar para cerrar el cuadro de diálogo.

CloudPools

Administración de CloudPools 531

Editar un CloudPoolPuede modificar algunos de los ajustes asociados con un CloudPool.

Procedimiento


En la lista CloudPools, cada CloudPool se representa con un ícono de nube azul.La cuenta de nube asociada con cada CloudPool se muestra y está representadapor un ícono de usuario de color naranja. También se muestran el tipo, elproveedor y la descripción.

2. Haga clic en View/Edit a la derecha del CloudPool que desea modificar.

Aparecerá el cuadro de diálogo View Cloud Storage Pool Details.

3. Haga clic en el botón Edit CloudPool.

Aparecerá el cuadro de diálogo Edit CloudPool Details.

4. Modifique los campos de nombre, proveedor o descripción según lo previsto.

5. En la lista desplegable Account in CloudPool, seleccione una cuenta diferentedel mismo tipo.


7. En el cuadro de diálogo View Cloud Storage Pool Details, haga clic en Close.

Resultados

Cualquier cambio que haya realizado al CloudPool se refleja en la lista CloudPools.

Monitorear CloudPoolsPuede monitorear el estado de CloudPools configurado en su clúster.

Procedimiento

1. Haga clic en File System > Storage Pools > Summary.

2. En la lista Status, verifique el estado de CloudPools.

Las condiciones de estado de CloudPools son Good o Needs Attention. Elestado Necesita atención aparece cuando no se puede conectar unCloudPool al proveedor de nube remoto. Esto podría indicar problemas con laconexión a Internet o con el proveedor de nube. Si confirma que la conexión aInternet es buena, póngase en contacto con su proveedor de nube para obtenerayuda.

Administración de políticas de nubeCloudPools aprovecha la infraestructura de SmartPools y aplica las políticas de poolsde archivos para determinar cuáles son los archivos que se archivarán en la nube.

Por lo tanto, debe activar las licencias de SmartPools y de CloudPools para almacenardatos en la nube.

Mediante la definición de políticas de pools de archivos, puede hacer que OneFSarchive automáticamente los archivos en la nube cuando coincidan con determinadascaracterísticas, como antigüedad, tamaño, tipo o ubicación.

CloudPools


Ver o editar la configuración predeterminada de pools de archivosPuede ver y editar la configuración predeterminada de los pools de archivos, que seaplica a todos los archivos que no coinciden con otra política.

Procedimiento


La política predeterminada es la última política que se enumera en la lista FilePool Policies .

2. Haga clic en View/Edit junto a la política predeterminada.

Aparecerá el cuadro de diálogo View Default Policy Details y podrádesplazarse hacia abajo para ver todas las políticas predeterminadas. La políticapredeterminada no contiene ninguna acción CloudPools, pero controla todas lasconfiguraciones de políticas de archivos, incluidos los archivos SmartLink, queno se especifican en una política de pools de archivos personalizada.

3. Para editar la configuración de la política predeterminada, haga clic en EditPolicy.

Aparecerá el cuadro de diálogo Edit Default Policy Details.

4. Realice los cambios necesarios.


Resultados

Los cambios realizados a la política de archivos predeterminada se activan la próximavez que se ejecuta el trabajo de SmartPools. Los archivos que no son controlados poruna política personalizada siguen la configuración de la política de pools de archivospredeterminada.

Crear una política de pools de archivos para el almacenamiento de nubePuede crear políticas de pools de archivos para especificar las acciones de CloudPoolsque se aplicarán a los archivos seleccionados.

Las políticas de pools de archivos se destinan a los propósitos de SmartPools yCloudPools. Una política de pools de archivos puede especificar un destino dealmacenamiento local, un destino de almacenamiento de nube o ambos. Si crea unapolítica que especifica tanto destinos locales como en la nube, la política transfiere losdatos de archivos a la nube y aplica la configuración local a los archivos de SmartLinkque se conservan en el clúster local. Si el propósito de una política de pools dearchivos es transferir archivos a un nivel o pool de nodos locales, no configure undestino en la nube. Por el contrario, si el propósito de una política es archivar archivosen la nube, no es necesario configurar un destino local, aunque puede hacerlo. En estecaso, el sistema utiliza la configuración de la política de pools de archivospredeterminada para almacenar los archivos de SmartLink locales.

Procedimiento


2. Haga clic en el botón + Create a File Pool Policy.

Se mostrará el cuadro de diálogo Create a File Pool Policy.

3. Escriba un nombre para la política y, opcionalmente, una descripción.

4. En el área Select Files to Manage, use los menús desplegables para especificarlos criterios de selección de archivos para el almacenamiento de nube. OneFS

CloudPools

Ver o editar la configuración predeterminada de pools de archivos 533

utiliza los criterios especificados para determinar los archivos que se archivarán.Los criterios especificados para la selección de archivos pueden incluir lossiguientes atributos, en combinación con los operadores booleanos:

l Nombre del archivo

l Ruta

l Tipo de archivo

l File Attribute

l Modificada

l Con acceso

l Metadata Changed

l Created

l Tamaño

5. En el área Apply CloudPools Actions to Selected Files, seleccione Move tocloud storage.

6. En el menú desplegable CloudPool Storage Target, seleccione un CloudPoolexistente y especifique si desea cifrar y comprimir los datos antes de que searchiven en la nube.

7. Haga clic en Show Advanced CloudPool Settings para especificar opciones dealmacenamiento de nube adicionales, como se describe en la tabla siguiente:


Configuraciónde retención dedatos

l Cloud Data Retention Period: especifica la cantidad detiempo durante el cual los objetos de nube se conservandespués de la eliminación de un archivo de SmartLink.Cuando se elimina un archivo de SmartLink en el clústerlocal, CloudPools limpia los recursos locales asignadospara los archivos de SmartLink y también elimina losobjetos de nube asociados. El recolector de elementos noutilizados de objetos de nube ejecuta esta tareasemanalmente.

l Incremental Backup Retention Period for NDMPIncremental Backup and SyncIQ: especifica el períodode retención de respaldos para los archivos de SmartLinkcreados con una política de respaldo de tipo NDMPincremental o una política de SyncIQ. Este valor solo espertinente para los respaldos incrementales de tipoNDMP y la replicación de SyncIQ.

l Full Backup Retention Period for NDMP Only:especifica el período de retención de respaldos para losarchivos de SmartLink creados con una política derespaldo de tipo NDMP completa. Este valor solo espertinente para los respaldos de tipo NDMP completos.

Accesibilidad yconfiguraciónde la caché

l Writeback Frequency: especifica la frecuencia con laque los archivos de SmartLink editados en el clúster Isilonse escriben en sus objetos de datos de nube asociados.

l Accessibility: especifica si se almacenan o no en cachélos datos archivados localmente. El almacenamiento en

CloudPools



caché local permite un acceso más rápido de los datos denube, pero reduce el ahorro de espacio en el clúster.

l Cache Read Ahead: especifica si los datos de nube sealmacenan en caché de manera completa o parcialcuando se accede a un archivo de SmartLink en elsistema de archivos local. Si la política especificaalmacenamiento en caché parcial, el sistema únicamentealmacena en caché los bloques necesarios cuando seaccede a un archivo. Si la política especificaalmacenamiento en caché completo, los datos de nube sealmacenan completamente en caché cuando se accede alarchivo de SmartLink.

l Cache Expiration: especifica la cantidad de datos denube de tiempo que se han almacenado en caché que seconservan en la caché local de archivos de SmartLinkasociados. El sistema depura la caché de SmartLink delos datos a los que no se ha accedido durante la cantidadde días especificada.

Archive fileswith snapshots

Especifica que CloudPools archivará los archivos que tienenuna o más versiones de snapshots. Las versiones másrecientes de dichos archivos se archivan, y los archivos deSmartLink se dejan en su lugar en el clúster local. Debido ase conservan las versiones completas de snapshots en elclúster, el archiving de estos archivos no ahorra espacio enel clúster.


La política de pools de archivos aparece bajo File Pool Policies en la ventana FilePool Policies.

Resultados

La próxima vez que se ejecuta el trabajo del sistema SmartPools, la política de pools dearchivos ejecuta las acciones especificadas.

Modificar los atributos de nube en una política de pool de archivosPuede modificar todos los aspectos de una política de pool de archivos, incluidas lasacciones de nube. La modificación de las acciones de nube en la política no afecta losdatos que ya se archivaron en la nube. En este caso, la política ya no podría ejecutarlas acciones de nube originalmente especificadas.

Procedimiento


Aparecerá la página File Pool Policies.

2. En la lista File Pool Policies, junto a la política de pool de archivos que deseamodificar, haga clic en View/Edit.

Aparecerá el cuadro de diálogo View File Pool Policy Details.


Aparecerá el cuadro de diálogo Edit File Pool Policy Details.

CloudPools

Modificar los atributos de nube en una política de pool de archivos 535

4. Realice los cambios en las áreas pertinentes y haga clic en Save Changes.

Resultados

Los cambios en la política de pool de archivos se aplican la próxima vez que se ejecutael trabajo del sistema de SmartPools.

CloudPools


CAPÍTULO 24

Tareas del sistema


l Descripción general de trabajos del sistema..................................................... 538l Biblioteca de trabajos del sistema.................................................................... 538l Operación del trabajo....................................................................................... 542l Impacto en el rendimiento del trabajo...............................................................543l Prioridades de trabajos.....................................................................................544l Administración de trabajos del sistema.............................................................544l Administración de una librería de cintas virtuales............................................. 547l Visualización de informes y estadísticas de trabajos.........................................550

Tareas del sistema 537

Descripción general de trabajos del sistemaLa función más importante de OneFS es mantener la integridad de los datos en elclúster Isilon. Entre otras funciones de mantenimiento importantes del sistema seincluyen el monitoreo y la optimización del rendimiento, la detección y migración defallas en unidades y nodos, y la liberación de espacio disponible.

Debido a que las funciones de mantenimiento emplean recursos del sistema y puedentardar horas en finalizar, OneFS las lleva a cabo en forma de trabajos que se ejecutanen segundo plano a través de un servicio llamado motor de tareas. El tiempo necesariopara completar un trabajo puede variar significativamente en función de una serie defactores. Entre estos, se incluyen otros trabajos del sistema que se ejecutan al mismotiempo; otros procesos que consuman CPU y ciclos de I/O durante la ejecución deltrabajo; la configuración de su clúster; el tamaño de su conjunto de datos; y el tiempotranscurrido desde que se ejecutó la última iteración del trabajo.

Es posible ejecutar hasta tres trabajos simultáneamente. Para garantizar que lostrabajos de mantenimiento no dificulten su productividad ni entren en conflicto entresí, el motor de tareas los categoriza, los ejecuta con diferentes prioridades y niveles deimpacto, y puede suspenderlos temporalmente (sin pérdida de progreso) para permitirque avancen los trabajos con mayor prioridad y las tareas del administrador.

En el caso de una falla en la energía, el motor de tareas utiliza un sistema de puntos decontrol para reanudar los trabajos lo más próximo posible al punto en el que seinterrumpieron. El sistema de puntos de control ayuda al motor de tareas a mantenerel seguimiento de las fases de los trabajos y las tareas que se han completado. Cuandoel clúster se respalda y está en ejecución, el motor de tareas reinicia el trabajo alcomienzo de la fase o la tarea en las que se encontraba cuando se produjo la falla en laenergía.

Como administrador de sistemas, mediante el servicio del motor de tareas puedemonitorear, calendarizar, ejecutar, finalizar y aplicar otros controles a los trabajos demantenimiento del sistema. El motor de tareas ofrece estadísticas y herramientas decreación de informes que puede utilizar para determinar el tiempo que tardan enejecutarse los diferentes trabajos del sistema en su ambiente de OneFS.

Nota

Para iniciar cualquier tarea del motor de tareas, debe tener la función de SystemAdminen el sistema OneFS.

Biblioteca de trabajos del sistemaOneFS contiene una biblioteca de trabajos de sistema que se ejecuta en segundo planopara ayudar a mantener su clúster Isilon. De forma predeterminada, los trabajos delsistema se categorizan como manuales o programados. Sin embargo, puede ejecutarcualquier trabajo manualmente o programar cualquier trabajo para que se ejecuteperiódicamente según su flujo de trabajo. Además, OneFS inicia algunos trabajosautomáticamente cuando surgen condiciones particulares del sistema, por ejemplo,FlexProtect y FlexProtectLin, que se inician cuando se realiza el smartfail de unaunidad.

Tareas del sistema


Nombre de tarea Descripción ExclusionSet

Políticadeimpacto

Priority Operation

AutoBalance Equilibra el espacio libre en un clúster y esmás eficaz en clústeres que contienen solodiscos duros (HDD). Se ejecuta como partede MultiScan, o bien lo ejecuta el sistema deforma automática cuando un dispositivo seincorpora a (o se reincorpora) al clúster.

Refraccionado

Baja 4 Manual

AutoBalanceLin Equilibra el espacio libre en un clúster y esmás eficaz en clústeres cuando losmetadatos del sistema de archivos sealmacenan en discos de estado sólido(SSD). Se ejecuta como parte de MultiScan,o bien lo ejecuta el sistema de formaautomática cuando un dispositivo seincorpora a (o se reincorpora) al clúster.

Refraccionado

Baja 4 Manual

AVScan Ejecuta un escaneo antivirus en todos losarchivos.

Ninguno Baja 6 Manual

ChangelistCreate Crea una lista de los cambios entre dosinstantáneas con rutas raíz coincidentes.Puede especificar estas instantáneas desdela CLI.


Recopilar Recupera espacio libre que antes no sepodía liberar, ya que el nodo o la unidad noestaba disponible. Se ejecuta como parte deMultiScan, o bien lo ejecuta el sistema deforma automática cuando un dispositivo seincorpora a (o se reincorpora) al clúster.

Marcar Baja 4 Manual

Dedupe* Escanea un directorio en busca de bloquesde datos redundantes y deduplica todos losdatos redundantes que se hayan almacenadoen el directorio. Está disponible solo si activauna licencia de SmartDedupe.


DedupeAssessment Analiza un directorio en busca de bloques dedatos redundantes e informa un estimado dela cantidad de espacio que se podría ahorrarcon la deduplicación del directorio.


DomainMark Asocia una ruta y sus contenidos con undominio.


FlexProtect Analiza el sistema de archivos después de lafalla de un dispositivo para garantizar quetodos los archivos permanezcan protegidos.FlexProtect tiene su máxima eficiencia enclústeres que solo contienen discos duros.Mientras haya una falla en un dispositivo enun clúster, solo el trabajo de FlexProtect (oFlexProtectLin) se podrá ejecutar. Según eltamaño de su conjunto de datos, esteproceso puede durar bastante tiempo. Se

Refraccionado

Mediana 1 Manual

Tareas del sistema

Biblioteca de trabajos del sistema 539


Políticadeimpacto

Priority Operation

dice que el clúster está en un “estadodegradado” hasta que termine el trabajo deFlexProtect (o FlexProtectLin). Si observaque otros trabajos del sistema no se puedeniniciar o están en pausa, puede usar elcomando isi job status --verbosepara ver si aparece un mensaje “Cluster IsDegraded”.

Nota

A diferencia de los discos duros y los discosSSD que se usan para el almacenamiento,cuando falla un disco SSD que se utiliza parael almacenamiento en caché L3, el estado dela unidad debería cambiar inmediatamente aREPLACE sin un trabajo FlexProtect enejecución. Un disco SSD que se utiliza parael almacenamiento en caché L3 contienesolamente datos de la caché que nonecesitan la protección de FlexProtect.Después de que el estado de la unidadcambia a REPLACE, puede retirar yreemplazar el disco SSD fallido.

FlexProtectLin Analiza el sistema de archivos después de lafalla de un dispositivo para garantizar quetodos los archivos permanezcan protegidos.El comando es más eficiente cuando losmetadatos del sistema de archivos sealmacenan en discos SSD. En ese caso,ejecute FlexProtectLin en lugar deFlexProtect.

Refraccionado

Mediana 1 Manual

FSAnalyze Recopila y registra información sobre todoslos archivos y directorios bajo la ruta /ifs.

Este trabajo requiere que active una licenciade InsightIQ. Los usuarios de InsightIQ usanlos informes de este trabajo en análisis delsistema. Para obtener más información,consulte la Guía del usuario de Isilon InsightIQ.

Ninguno Baja 1 Programado

IntegrityScan Verifica la integridad del sistema dearchivos.

Marcar Mediana 1 Manual

MediaScan Ubica y borra los errores a nivel de mediosde los discos para garantizar que todos losdatos permanezcan protegidos.

Refraccionado

Baja 8 Programado

MultiScan Realiza los trabajos AutoBalance y Collectsimultáneamente.

RefraccionadoMarcar

Baja 4 Manual

Tareas del sistema



Políticadeimpacto

Priority Operation

PermissionRepair Utiliza un archivo de plantilla o un directoriocomo la base para los permisos que seestablecen en un archivo o directorio dedestino. El directorio de destino siempredebe estar subordinado a la ruta /ifs. Este

trabajo se debe iniciar manualmente.


QuotaScan* Actualiza la contabilidad de las cuotas paralos dominios que se crean en un árbol dearchivos existente. Está disponibleúnicamente si activa una licencia deSmartQuotas. Este trabajo se debe ejecutarmanualmente después del horario de trabajoy de configurar todas las cuotas, y cada vezque se configuren nuevas cuotas.


SetProtectPlus Aplica una política de archivospredeterminada en el clúster. Se ejecutaúnicamente si la licencia de SmartPools noestá activa.

Refraccionado

Baja 6 Manual

ShadowStoreDelete Libera el espacio asociado a las áreas dealmacenamiento ocultas. Las áreas dealmacenamiento ocultas son archivosocultos a los que hacen referencia archivosclonados y deduplicados.


ShadowStoreProtect Protege las áreas de almacenamientoocultas a las que hace referencia un nodo ilógico (LIN) con un nivel mayor deprotección.


SmartPools* Aplica las políticas de pools de archivos deSmartPools. Está disponible únicamente siactiva una licencia de SmartPools. Estetrabajo se ejecuta de manera periódica yprogramada, y también lo puede iniciar elsistema cuando se realiza un cambio (porejemplo, crear una compatibilidad quefusiona pools de nodos).

Refraccionado

Baja 6 Programado

SnapRevert Revierte toda una instantánea al cabezal. Ninguno Baja 5 Manual

SnapshotDelete Crea espacio libre asociado con lasinstantáneas eliminadas. Activado por elsistema cuando el usuario marcainstantáneas para la eliminación.

Ninguno Mediana 2 Manual

TreeDelete Elimina una ruta de archivos especificada enel directorio /ifs.

Ninguno Mediana 4 Manual

Actualización Actualiza el sistema de archivos tras laactualización de una versión de software.

Refraccionado

Mediana 3 Manual

Tareas del sistema

Biblioteca de trabajos del sistema 541


Políticadeimpacto

Priority Operation

Nota

El trabajo de actualización se debe ejecutarsolamente a la hora de actualizar el clúster auna versión superior de software. Paraobtener la información completa, consulte laguía Isilon OneFS Upgrade Planning andProcess Guide.

WormQueue Procesa la línea de espera WORM, querastrea los tiempos de confirmación dearchivos WORM. Después de confirmar unarchivo en el estado WORM, se quita de lalínea de espera.


*Disponible únicamente si activa una licencia adicional

Operación del trabajoOneFS incluye trabajos de mantenimiento del sistema que se ejecutan para garantizarque su clúster Isilon funcione en un estado óptimo. A través del motor de trabajos,OneFS ejecuta un subconjunto de estos trabajos automáticamente, según seanecesario, para garantizar la integridad de los archivos y de los datos, comprobar ymitigar fallas de la unidad y del nodo y optimizar el espacio libre. Para otros trabajos,como la deduplicación, puede usar el motor de trabajos para iniciarlos manualmente ocalendarizarlos para que se ejecuten de manera automática a intervalos regulares.

El motor de trabajos ejecuta trabajos de mantenimiento del sistema en segundo planoy evita que los trabajos con la misma clasificación (conjunto de exclusiones) seejecuten de manera simultánea. Se aplican dos conjuntos de exclusión: refraccionado ymarca.

Los tipos de trabajo de refraccionado son los siguientes:

l AutoBalance

l AutoBalanceLin

l FlexProtect

l FlexProtectLin

l MediaScan

l MultiScan

l SetProtectPlus

l SmartPools

Los tipos de trabajo de marca son los siguientes:

l Recopilar

l IntegrityScan

l MultiScan

Tareas del sistema


Tenga en cuenta que MultiScan es miembro de ambos conjuntos de exclusiones, esdecir, de refraccionado y marca. No puede cambiar el parámetro del conjunto deexclusiones para un tipo de trabajo.

El motor de trabajos también es susceptible a la prioridad del trabajo y puede ejecutarhasta tres trabajos simultáneamente, cualquiera sea su prioridad. La prioridad deltrabajo se indica con valores de 1 a 10, donde 1 es la prioridad más alta y 10 es la másbaja. El sistema usa la prioridad del trabajo cuando surge un conflicto entre trabajos enejecución o en la línea de espera. Por ejemplo, si inicia manualmente un trabajo quetiene una prioridad más alta que otros tres trabajos que ya esté ejecutando, el motorde trabajos pausa el trabajo activo con la prioridad más baja, ejecuta el nuevo trabajo yluego reinicia el trabajo antiguo desde el punto en que se pausó. De manera similar, siinicia un trabajo en el conjunto de exclusiones de refraccionado y ya se estáejecutando otro trabajo de refraccionado, el sistema usa la prioridad para determinarcuál se debería ejecutar (o continuar ejecutándose) y cuál se debería pausar (opermanecer pausado).

Otros parámetros de trabajo determinan si los trabajos están habilitados, su impactoen el rendimiento y el calendario. Como administrador del sistema, puede aceptar losvalores predeterminados del trabajo o ajustar estos parámetros (excepto el conjuntode exclusiones) según sus requisitos.

Cuando se inicia un trabajo, el motor de trabajos distribuye los segmentos del trabajo(fases y tareas) entre los nodos de su clúster. Un nodo actúa como coordinador deltrabajo y funciona continuamente con los otros nodos para lograr el balanceo de cargadel trabajo. De esta manera, no se sobrecargan los nodos y los recursos del sistemapermanecen disponibles para otro administrador y para otras actividades de I/O delsistema que no se originaron en el motor de trabajos.

Después de completar una tarea, cada nodo informa el estado de la tarea alcoordinador del trabajo. El nodo que funciona como coordinador del trabajo guardaesta información sobre el estado de la tarea en un archivo de punto de comprobación.Por lo tanto, en el caso de una interrupción en la alimentación o una pausa, un trabajosiempre se puede volver a iniciar desde el punto en el que se interrumpió. Esto esimportante, ya que algunos trabajos tardan horas en ejecutarse y pueden usar unacantidad considerable de recursos del sistema.

Impacto en el rendimiento del trabajoEl servicio del motor de trabajos monitorea el rendimiento del sistema para asegurarsede que los trabajos de mantenimiento no interfieran de manera significativa con laactividad de I/O regular del clúster ni con otras tareas administrativas del sistema. Elmotor de trabajos usa políticas de impacto que se pueden administrar para controlar elmomento en el que un trabajo puede ejecutarse y los recursos del sistema que utiliza.

El motor de trabajos tiene cuatro políticas de impacto predeterminadas que puedeusar, pero no modificar. Las políticas de impacto predeterminadas son:

Política de impacto Permiso de ejecución Uso de recursos

LOW En cualquier momentodel día.

Baja

MEDIUM En cualquier momentodel día.

Mediano

ALTOS En cualquier momentodel día.

Alto

Tareas del sistema

Impacto en el rendimiento del trabajo 543

Política de impacto Permiso de ejecución Uso de recursos

OFF_HOURS Fuera del horario laboral.El horario laboralcomprende el períododesde las 9:00 h a las17:00 h, de lunes aviernes. OFF_HOURSestá en pausa durante elhorario laboral.

Baja

Si desea especificar una política de impacto diferente de la predeterminada para untrabajo, puede crear una política personalizada con una configuración nueva.

Los trabajos que tienen una política de impacto bajo son los que menos afectan losrecursos disponibles de I/O del CPU y del disco. Los trabajos con una política deimpacto alto tienen un impacto considerablemente mayor. Sin embargo, el motor detrabajos usa los algoritmos de regulación del CPU y del disco en todos los casos paragarantizar que las tareas que se inician manualmente (además de otras tareas de I/Oque no están relacionadas con el motor de trabajos) reciban una prioridad más alta.

Prioridades de trabajosDeterminan el trabajo prevaleciente cuando hay más de tres trabajos de diferentesconjuntos de exclusión que intentan ejecutarse de manera simultánea. El motor detrabajos asigna un valor de prioridad entre 1 y 10 a cada trabajo, donde 1 es lo másimportante y 10 lo menos importante.

Como máximo, se pueden ejecutar tres trabajos de manera simultánea. Si se inicia uncuarto trabajo con una prioridad más alta, ya sea de forma manual o a través de unevento del sistema, el motor de trabajos pausa uno de los trabajos en ejecución demenor prioridad. El motor de trabajos coloca al trabajo pausado en una línea de esperade prioridad y lo reanuda automáticamente cuando se completa uno de los otrostrabajos.

Si dos trabajos con el mismo nivel de prioridad están programados para ejecutarsesimultáneamente, y hay otros dos trabajos de prioridad más alta ejecutándose en esemomento, el trabajo que primero se coloque en la línea de espera se ejecutará primero.

Administración de trabajos del sistemaEl motor de trabajos le permite controlar tareas periódicas de mantenimiento delsistema para garantizar la estabilidad y la integridad del sistema de archivos OneFS.Cuando se ejecutan los trabajos de mantenimiento, el motor de trabajos monitorea ymitiga constantemente los impactos que podrían tener en el rendimiento general delclúster.

Como administrador del sistema, puede adaptar estos trabajos a un flujo de trabajoespecífico en su clúster Isilon. Puede ver trabajos activos y el historial de trabajos,modificar la configuración de los trabajos e iniciar, pausar, reanudar, cancelar yactualizar instancias de trabajo.

Tareas del sistema


Ver los trabajos activosSi observa que la respuesta del sistema es más lenta mientras se realizan tareasadministrativas, puede ver las tareas que se están ejecutando actualmente en elclúster Isilon.

Procedimiento


2. En la tabla Active Jobs, puede ver información de estado acerca de todas lastareas actualmente en curso, los ajustes de las tareas y los detalles delprogreso.

a. Para realizar acciones masivas que afecten a las tareas activas, seleccione lacasilla de verificación Status y después seleccione una acción de la listadesplegable Select a bulk action.

Ver el historial de tareasSi desea ver cuándo fue la última vez que se ejecutó un trabajo crítico, puede ver laactividad reciente de un trabajo específico o de todos los trabajos.

Procedimiento


La tabla Job Reports muestra una lista cronológica de los eventos de trabajosocurridos en el clúster. La información de los eventos incluye la hora a la que seprodujo el evento, el trabajo responsable del evento y los resultados del evento.

2. Para filtrar los informes según el tipo de trabajo, seleccione una opción en lalista desplegable Filter by Job Type.

3. Haga clic en View Details junto al nombre de un trabajo para ver los eventosrecientes relacionados únicamente con ese trabajo.

Los eventos recientes relacionados con el trabajo aparecen en la ventana ViewJob Report Details e incluyen información tal como la hora de inicio, la duracióny si el trabajo se realizó satisfactoriamente.

Iniciar un trabajoDe forma predeterminada, solo algunas tareas de mantenimiento del sistema estáncalendarizadas para ejecutarse de manera automática. Sin embargo, cualquier tareapuede iniciarse manualmente.

Procedimiento


2. En la lista Job Types, ubique el trabajo que desea iniciar y haga clic en StartJob.


3. Proporcione los detalles del trabajo y haga clic en Start Job.

Pausar un trabajoEs posible pausar una tarea para liberar recursos del sistema temporalmente.

Tareas del sistema

Ver los trabajos activos 545

Procedimiento


2. En la tabla Active Jobs, haga clic en More junto a la tarea que desea pausar.

3. Haga clic en Pause Running Job en el menú que aparece.

La tarea permanecerá en pausa hasta que decida reanudarla.

Reanudación de una tareaEs posible reanudar una tarea pausada.

Procedimiento


2. En la tabla Active Jobs, haga clic en More junto a la tarea que desea pausar.

3. Haga clic en Resume Running Job en el menú que aparece.

Resultados

La tarea se reanuda desde la fase o subtarea en la estaba cuando se puso en pausa.

Cancelación de una tareaEs posible discontinuar en forma permanente una tarea en curso, pausada o en esperasi desea liberar recursos del sistema o si necesita hacerlo por cualquier otro motivo.

Procedimiento


2. En la tabla Active Jobs, haga clic en More junto a la tarea que desea cancelar.

3. Haga clic en Cancel Running Job en el menú que aparece.

Actualizar un informeEs posible cambiar la prioridad y la política de impacto de tareas en curso, en espera oen pausa.

Cuando se actualiza una tarea, solamente la instancia actual de la misma se ejecutacon los ajustes actualizados. La siguiente instancia de la tarea volverá a los ajustespredeterminados para esa tarea.

Nota

Para cambiar los ajustes de una tarea en forma permanente, consulte “Modificar losajustes de tipos de tareas”.

Procedimiento


2. En la tabla Active Jobs, haga clic en View/Edit junto a la tarea que deseaactualizar.

3. (Obligatorio) En la ventana View Active Job Details, haga clic en Edit Job.

a. Seleccione un nuevo nivel de prioridad de la lista desplegable Priority.

b. Seleccione un nivel de política de impacto de la lista desplegable ImpactPolicy.

Tareas del sistema



Cuando se actualiza una tarea en curso, esta se reanuda automáticamente.Cuando se actualiza una tarea pausada o inactiva, esta permanece en eseestado hasta que usted la reinicie.

Modificar la configuración del tipo de trabajoPuede personalizar los trabajos de mantenimiento del sistema para su flujo de trabajoadministrativo con la modificación del nivel de prioridad, el nivel de impacto y elcalendario predeterminados para un tipo de trabajo.

Procedimiento


2. En la tabla Job Types, ubique la fila de la política que desea modificar y hagaclic en View / Edit.

Aparecerá la ventana View Job Type Details, que muestra los ajustespredeterminados actuales, el calendario, el estado actual y la actividad reciente.

3. Haga clic en Edit Job Type. Aparecerá la ventana Edit Job Type Details.

4. Modifique los detalles que desea cambiar. Puede modificar la prioridadpredeterminada, la política de impacto predeterminada, si la tarea estáhabilitada y si la tarea se ejecuta en forma manual o según un calendario.

5. Haga clic en Scheduled para modificar un calendario de tareas y despuésseleccione la opción de calendario en la lista desplegable.


Las modificaciones se guardan y se aplican a todas las instancias de ese tipo detarea. Los resultados se muestran en la ventana View Job Type Details.


Administración de una librería de cintas virtualesPara los trabajos de mantenimiento del sistema que se ejecutan a través del serviciodel motor de trabajos, puede crear y asignar políticas que lo ayuden a controlar laforma en que los trabajos afectan el rendimiento del sistema.

Como administrador del sistema puede crear, copiar, modificar y eliminar políticas deimpacto, además de ver su configuración.

Creación de una política de gruposEl motor de tareas incluye cuatro políticas de impacto que no pueden modificarse nieliminarse. Sin embargo, es posible crear y configurar nuevas políticas de impacto.

Procedimiento

1. Haga clic en Cluster Management > Job Operations > Impact Policies.

2. Haga clic en Add an Impact Policy.

Aparecerá la ventana Create Impact Policy.

3. En el campo de texto Name, ingrese el nombre de una política. Este campo esobligatorio.

4. (Obligatorio) En el campo de texto Description, ingrese un comentario acercade la política de impacto.

Tareas del sistema

Modificar la configuración del tipo de trabajo 547

Incluya información específica de la política de impacto, tal como los parámetrosde calendario únicos o los requisitos logísticos que hacen necesaria la política deimpacto.

5. Haga clic en Add an Impact Policy Interval.

a. En la ventana Add an Impact Policy Interval, seleccione el nivel de impactoy las horas de inicio y final en las listas desplegables.

b. Haga clic en Add Impact Policy Interval.

La ventana Add an Impact Policy Interval desaparecerá y los ajustesseleccionados aparecerán en la tabla Impact Schedule.

6. Haga clic en Create Impact Policy.

Su copia de la política de impacto quedará guardada y aparecerá en ordenalfabético en la tabla Impact Policies.

Copiar una política de impactoPuede utilizar una política de impacto predeterminada como plantilla para una nuevapolítica haciendo una copia y modificándola.

Procedimiento


2. En la tabla Impact Policies, ubique la fila correspondiente a la política quedesea copiar y haga clic en More > Copy Impact Policy. Aparecerá la ventanaCopy Impact Policy.

3. En el campo Name, ingrese un nombre para la nueva política.

4. En el campo de texto Description, escriba una descripción para la nuevapolítica.

Incluya información específica de la política de impacto, tal como los parámetrosde calendario únicos o los requisitos logísticos que hacen necesaria la política deimpacto.

5. Haga clic en Add an Impact Policy Interval.

a. En la ventana Add an Impact Policy Interval, seleccione el nivel de impactoy las horas de inicio y final en las listas desplegables.

b. Haga clic en Add Impact Policy Interval.

La ventana Add an Impact Policy Interval se cerrará y los ajustesseleccionados aparecerán en la tabla Impact Schedule.

6. Haga clic en Copy Impact Policy.

La copia de la política de impacto quedará guardada y aparecerá en ordenalfabético en la tabla Impact Policies.

Para configurar una política:Es posible cambiar el nombre, la descripción y los intervalos de impacto de una políticade impacto personalizada.

Antes de comenzar

No es posible modificar las políticas de impacto predeterminadas, HIGH, MEDIUM,LOW ni OFF_HOURS. Si desea modificar una política, cree y modifique una copia deuna política predeterminada.

Tareas del sistema


Procedimiento

1. Navegue a Cluster Management > Job Operations > Impact Policies.

2. En la tabla Impact Policies, haga clic en View / Edit junto a la política quedesea modificar.

Aparecerá la ventana Edit Impact Policy.

3. Haga clic en Edit Impact Policy y modifique una o todas las siguientesopciones:


Policydescription

a. En el campo Description, ingrese una nueva descripcióngeneral de la política de impacto.

b. Haga clic en Submit.

Impact schedule a. En el área Impact Schedule, modifique el calendario dela política de impacto agregando, editando o eliminandointervalos de impacto.

b. Haga clic en Save Changes.

La política de impacto modificada se guarda y aparece en orden alfabético en latabla Impact Policies.

Eliminar una política de impactoEs posible eliminar políticas de impacto que haya creado.

No es posible eliminar las políticas de impacto predeterminadas HIGH, MEDIUM, LOW yOFF_HOURS.

Procedimiento


2. En la tabla Impact Policies, ubique la política de impacto personalizada quedesea eliminar y haga clic en More > Delete.



Ver ajustes de puertos Fibre ChannelEs posible ver los ajustes de políticas de impacto de cualquier tarea.

Procedimiento


Aparecerá la tabla Job Types.

2. En caso de ser necesario, desplácese por la tabla Job Types para encontrar unatarea específica.

Los ajustes de políticas de impacto de la tarea se muestran en la tabla JobTypes.

Tareas del sistema

Eliminar una política de impacto 549

Visualización de informes y estadísticas de trabajosPuede generar informes para trabajos del sistema y ver estadísticas para determinarmejor la cantidad de recursos del sistema en uso.

La mayoría de los trabajos del sistema controlados por el motor de tareas se ejecutancon una prioridad baja y una política de impacto bajo; por lo general, no tienen unimpacto notable en el rendimiento del clúster.

Algunos trabajos, debido a las funciones clave que desempeñan, se ejecutan con unaprioridad superior y con una política de impacto medio. Estos trabajos incluyenFlexProtect y FlexProtect Lin, FSAnalyze, SnapshotDelete y TreeDelete.

Como administrador del sistema, si le preocupa cómo un trabajo del sistema puedeafectar el rendimiento de un clúster, puede ver informes y estadísticas de trabajos.Estas herramientas le permiten ver información detallada sobre la carga de trabajo,como el uso del CPU y de la memoria, y las operaciones de I/O.

Ver estadísticas de una tarea en cursoEs posible ver estadísticas de una tarea en curso.

Procedimiento


Es posible ver las tareas en ejecución en el área Active Jobs.

2. Haga clic en la opción View/Edit que aparece a la derecha de la entrada detarea.

Resultados

Se abrirá la pantalla View Active Jobs Details, en la que puede ver estadísticas talescomo los datos procesados, el tiempo transcurrido, la fase y el progreso, además de uncálculo aproximado del tiempo restante para que se complete la tarea.

Ver un informe de un trabajo completadoDespués de que se completa un trabajo, puede ver un informe sobre este.

Antes de comenzar

Los informes sobre tareas no están disponibles sino hasta después de que la tarea secompleta.

Procedimiento


Aparecerá la página Job Reports.

2. Ubique la tarea acerca de la cual desea ver un informe.

3. Haga clic en View Details.

Aparecerá la pantalla View Job Report Details, que presenta estadísticas sobrela tarea tales como el tiempo transcurrido, el uso del CPU y la memoria y el totalde operaciones de I/O.

4. Cuando termine de ver el informe, haga clic en Close.

Tareas del sistema


CAPÍTULO 25

Redes


l Descripción general de la red........................................................................... 552l Acerca de la red interna................................................................................... 552l Acerca de la red externa.................................................................................. 553l Configuración de la red interna.........................................................................561l Administración de groupnets............................................................................564l Administración de subredes de red externa......................................................567l Administración de pools de direcciones IP........................................................ 571l Administración de la configuración de SmartConnect...................................... 573l Administración de miembros de la interfaz de red............................................ 579l Administración de las reglas de aprovisionamiento de nodos............................ 581l Opciones de administración del enrutamiento.................................................. 583l Administración de la configuración de la caché de DNS................................... 584l Administración de puertos TCP........................................................................585

Redes 551

Descripción general de la redDespués de determinar la topología de la red, puede configurar y administrar sus redesinternas y externas.

Hay dos tipos de redes en el clúster EMC Isilon:

Interno

Los nodos se comunican entre sí mediante una red InfiniBand de alta velocidad ybaja latencia. Opcionalmente, puede configurar una segunda red InfiniBand parahabilitar el failover y así obtener redundancia.

Externo

Los clientes se conectan al clúster mediante una red externa con Ethernet. Elclúster Isilon es compatible con protocolos de comunicación de red estándares,incluidos NFS, SMB, HDFS, HTTP y FTP. El clúster incluye varias conexionesEthernet externas, lo cual aporta flexibilidad para una amplia variedad deconfiguraciones de red.

Acerca de la red internaEl clúster EMC Isilon debe conectarse con al menos un switch InfiniBand de bajalatencia y de alta velocidad para establecer comunicaciones internas y transferir datos.A la conexión con el switch InfiniBand también se la conoce como una red interna. Lared interna es distinta de la red externa (Ethernet) por la que los usuarios acceden alclúster.

Cuando se realiza la configuración inicial del clúster, OneFS crea una red interna inicialpara el switch InfiniBand. La interfaz correspondiente a la red interna predeterminadaes int-a. Se puede agregar una red interna para un segundo switch InfiniBand para quehaya redundancia y failover. El failover permite una conectividad continua durante lasfallas de la ruta. La interfaz correspondiente a la red interna secundaria es la int-b,conocida como int-b/failover en la interfaz de administración web.

PRECAUCIÓN

Deben conectarse solo nodos Isilon al switch InfiniBand. La información que seintercambia en la red de back-end no se cifra. El hecho de conectar cualquier otracosa, aparte de nodos Isilon, al switch InfiniBand crea un riesgo de seguridad.

Rangos de direcciones IP internasLa cantidad de direcciones IP asignadas a la red interna determina cuántos nodos sepueden unir al clúster EMC Isilon.

Cuando configura el clúster por primera vez, debe especificar uno o más rangos dedirecciones IP para el switch InfiniBand primario. Los nodos utilizan este rango dedirecciones para comunicarse entre ellos. Se recomienda crear un rango dedirecciones lo suficientemente amplio para que admita la adición de nodos al clúster.

Si bien todos los clústeres tendrán como mínimo una red InfiniBand interna (int-a), esposible habilitar una segunda red interna para admitir otro switch InfiniBand confailover de red (int-b/failover). Debe asignar al menos un rango de direcciones IP parala red secundaria y un rango para el failover.

Redes


Si cualquier rango de direcciones IP definido durante la configuración inicial esdemasiado restrictivo para el tamaño de la red interna, puede agregar rangos a lasredes int-a o int-b/failover, lo que podría requerir el reinicio del clúster. Para realizarotros cambios en la configuración, como eliminar una dirección IP asignada a un nodo,es posible que también sea necesario reiniciar el clúster.

Failover de red internaPuede configurar un switch interno como una red de failover para proporcionarredundancia a comunicaciones entre clústeres.

A fin de admitir una red interna de failover, el puerto int-a en cada nodo del clústerdebe estar conectado físicamente a uno de los switches InfiniBand, y el puerto int-b encada nodo debe estar conectado al otro switch InfiniBand.

Una vez que los puertos estén conectados, debe configurar dos rangos de direccionesIP; un rango de direcciones para admitir las interfaces internas int-b y un rango dedirecciones para admitir un failover. Las direcciones de failover permiten un failoverimpecable en caso de que los switches int-a o int-b fallen.

Configuración de la red interna para IsilonSD EdgeEn el caso de IsilonSD Edge, las comunicaciones internas y la transferencia de datosentre los nodos de IsilonSD se llevan a cabo por medio del switch Ethernet.

Debe aislar la red de interna e, idealmente, enrutarla a través de una VLAN exclusiva oun switch físico. Puede configurar el LACP o un grupo de canales de puerto paramejorar la confiabilidad de la red y aumentar el rendimiento del tráfico entre clústeres.

Para el rango de direcciones IP internas, debe especificar una dirección IP por nodoIsilonSD. Las direcciones IP que configuró para los nodos deben ser contiguas.

Para el failover de la red interna, IsilonSD Edge depende del failover de red y de laspolíticas de balanceo de carga que son compatibles con VMware vSphere. No esnecesario configurar la red de int-b/failover.

Para obtener más información sobre los requisitos de red, consulte la Guía deinstalación y administración de IsilonSD Edge.

Acerca de la red externaSe conecta una computadora cliente al clúster EMC Isilon mediante la red externa. Laconfiguración de red externa está compuesta por groupnets, subredes, pools dedirecciones IP y presenta reglas de aprovisionamiento de nodos.

Las groupnets son el nivel de configuración para administrar múltiples grupos deusuarios en su red externa. La configuración de DNS del cliente, como los servidoresde nombres y una lista de búsqueda de DNS, son las propiedades de la groupnet. Lasgroupnets residen en el nivel superior de la jerarquía de la red. Puede crear una o mássubredes dentro de una groupnet.

Las subredes simplifican la administración de redes externas (front-end) yproporcionan flexibilidad en la implementación y el mantenimiento de la red del clúster.Puede crear pools de direcciones IP dentro de subredes para particionar sus interfacesde red según el flujo de trabajo o tipo de nodo.

El pool de direcciones IP de una subred se compone de uno o más rangos dedirecciones IP. Los pools de direcciones IP se pueden asociar con interfaces de red enlos nodos del clúster. La configuración de conexión del cliente se establece en el nivelde pool de direcciones IP.

Redes

Failover de red interna 553

Durante la configuración de EMC Isilon, se crea una subred inicial de la red externa conla siguiente configuración:

l Una groupnet inicial denominada groupnet0 con la configuración de DNS saliente yglobal en la lista de servidores de nombre de dominio y en la lista de búsqueda deDNS, en caso de que se proporcione.

l Una subred inicial denominada subnet0, con la máscara de red, el gateway y ladirección del servicio de SmartConnect especificados.

l Un pool de direcciones IP inicial denominado pool0 con el rango de direcciones IPespecificado, el nombre de la zona SmartConnect y la interfaz de red del primernodo en el clúster como el único miembro del pool.

l Una regla de aprovisionamiento de nodo inicial denominada rule0, la cual asignaautomáticamente la primera interfaz de red para todos los nodos agregadosrecientemente al pool0.

l Agrega subnet0 a groupnet0.

l Agrega el pool0 a la subnet0 y configura el pool0 de modo que utilice la IP virtualde la subnet0 como su dirección de servicio de SmartConnect.

GroupnetsLas groupnets residen en el nivel superior de la jerarquía de redes y son el nivel deconfiguración para administrar varios grupos de usuarios en su red externa. Laconfiguración de DNS del cliente, como los servidores de nombres y una lista debúsqueda de DNS, son las propiedades de la groupnet. Puede crear una groupnetindependiente para cada espacio de nombres DNS que desea usar para permitir quepartes del clúster Isilon tengan distintas propiedades de red para la resolución denombres. Cada groupnet mantiene su propia caché DNS, que está habilitada demanera predeterminada.

Una groupnet es un contenedor que incluye subredes, pools de direcciones IP y reglasde aprovisionamiento. Los groupnets pueden contener una o más subredes, y cadasubred se asigna a una sola groupnet. Cada clúster EMC Isilon contiene una groupnetpredeterminada denominada groupnet0 que contiene una subred inicial llamadasubnet0, un pool de direcciones IP inicial con el nombre pool0 y una regla deaprovisionamiento inicial denominada rule0.

Una o más zonas de acceso hacen referencia a cada groupnet. Cuando crea una zonade acceso, puede especificar una groupnet. Si no se especifica una groupnet, la zonade acceso hará referencia a la groupnet predeterminada. La zona de acceso Systempredeterminada se asocia automáticamente con la groupnet predeterminada. Losproveedores de autenticación que se comunican con un servidor externo, como ActiveDirectory y LDAP, también deben hacer referencia a una groupnet. Puede especificarel proveedor de autenticación con una groupnet específica; de lo contrario, elproveedor hará referencia a la groupnet predeterminada. Únicamente puede agregarun proveedor de autenticación a una zona de acceso si ambos están asociados a lamisma groupnet. Los protocolos de cliente, como SMB, NFS, HDFS y Swift, soncompatibles con groupnets a través de sus zonas de acceso asociadas.

Resolución de nombre DNSPuede designar hasta tres servidores de DNS por groupnet para manejar la resoluciónde nombres DNS.

Los servidores DNS deben configurarse como una dirección IPv4 o IPv6. Puedeespecificar un máximo de seis sufijos de búsqueda de DNS por groupnet; laconfiguración de sufijos se anexa a nombres de dominio que no están completamentecalificados.

Redes


La configuración adicional del servidor de DNS en el nivel de groupnet incluye lahabilitación de la caché de DNS, de la búsqueda del lado del servidor y de la resoluciónde DNS de manera rotativa.

SubredesLas subredes son contenedores de red que le permiten subdividir la red en redes IPlógicas más pequeñas.

En un clúster EMC Isilon, las subredes se crean dentro de una groupnet y cada subredcontiene uno o más pools de direcciones IP. OneFS es compatible con direccionesIPv4 e IPv6; sin embargo, una subred no puede contener una combinación de ambas.Cuando crea una subred, debe especificar si es compatible con direcciones IPv4 oIPv6.

Puede configurar las siguientes opciones cuando crea una subred:

l Servidores de gateway que enrutan paquetes salientes y la prioridad de gateway.l La unidad de trasmisión máxima (MTU) que utilizarán las interfaces de red en la

subred para las comunicaciones de red.l Dirección de servicio de SmartConnect, que es la dirección IP en que el módulo de

SmartConnect escucha las solicitudes de DNS en esta subred.l Etiquetado de VLAN, que permite que un clúster participe en varias redes

virtuales.l Dirección de retorno de servidor directo (DSR), si el clúster contiene un switch de

balanceo de carga de hardware externo que utiliza DSR.

La configuración de las subredes de red externa dependerá de su topología de red. Porejemplo, en una topología de red básica donde toda la comunicación entre el cliente yel nodo se produce mediante conexiones directas, se necesita una sola subred externa.En otro ejemplo, si desea que los clientes se conecten a través de direcciones IPv4 eIPv6, debe configurar varias subredes.

Soporte para IPv6OneFS admite los formatos de direcciones IPv4 e IPv6 en un clúster de EMC Isilon.

IPv6 es la próxima generación de direcciones de protocolos de Internet, diseñada pararesponder a la creciente demanda de direcciones IP. La siguiente tabla describe lasdiferencias entre IPv4 e IPv6.

IPv4 IPv6

Direcciones de 32 bits Direcciones de 128 bits

Protocolo de resolución de direcciones (ARP) Protocolo de descubrimiento de vecinos(NDP)

Puede configurar el clúster Isilon para direcciones IPv4, IPv6 o ambas (dos pilas) enOneFS. Establezca la familia de IP al crear una subred; todos los pools de direccionesIP asignados a esa subred deben utilizar el formato seleccionado.

VLANEl etiquetado de la red de área local virtual (VLAN) es una configuración opcional quepermite que un clúster EMC Isilon participe en varias redes virtuales.

Puede particionar una red física en varios dominios de difusión o redes de área localvirtuales (VLAN). Puede habilitar a un clúster para que participe en una VLAN queadmita una subred de varios clústeres sin switches de red múltiples; un switch físicohabilita varias subredes virtuales.

Redes

Subredes 555

El etiquetado de VLAN inserta un ID en encabezados de paquetes. El switch hacereferencia al ID para identificar la VLAN de la que surgió el paquete y la interfaz de reda la que se debería enviar un paquete.

Los pools de direcciones IPLos pools de direcciones IP se asignan a una subred y se componen de uno o másrangos de direcciones IP. Puede particionar nodos e interfaces de red en pools dedirecciones IP lógicos. Los pools de direcciones IP también se utilizan cuando seconfiguran las zonas DNS SmartConnect y la administración de la conexión declientes.

Cada pool de direcciones IP pertenece a una sola subred. Estarán disponibles variospools para una sola subred si habilita una licencia de SmartConnect Advanced.

Los rangos de direcciones IP asignados a un pool deben ser únicos y pertenecer a lafamilia de direcciones IP (IPv4 o IPv6) especificada por la subred que contiene el pool.

Puede agregar interfaces de red a los pools de direcciones IP para asociar los rangosde direcciones con un nodo o un grupo de nodos. Por ejemplo, de acuerdo con eltráfico de red esperado, le conviene establecer un pool de direcciones IP para losnodos de almacenamiento y otro para los nodos aceleradores.

La configuración de SmartConnect que administra las conexiones del cliente y lasrespuestas de consultas DNS se establece en el nivel del pool de direcciones IP.

Nota

IsilonSD Edge no es compatible con direcciones IPv6 para conectarse a los clústeresIsilonSD.

Agregación de enlacesLa agregación de vínculos, también conocida como la agregación de tarjetas deinterfaz de red (NIC), combina las interfaces de red de un nodo físico en una solaconexión lógica para brindar un mejor rendimiento de red.

Puede agregar interfaces de red a un pool de direcciones IP individualmente o como unagregado. El modo de agregación de vínculos se selecciona según el pool y se aplica atodas las interfaces de red agregadas al pool de direcciones IP. El modo de agregaciónde vínculos determina la manera en que se balancea y se enruta el tráfico entre lasinterfaces de red agregadas.

Módulo de SmartConnectSmartConnect es un módulo que especifica la manera en que el servidor DNS en elclúster EMC Isilon maneja las solicitudes de conexión de clientes y las políticas usadaspara asignar direcciones IP a las interfaces de red, que incluyen failover y rebalanceo.

Las configuraciones y políticas establecidas para SmartConnect se aplican según elpool de direcciones IP. Puede establecer configuraciones de SmartConnect básicas yavanzadas.

SmartConnect BasicSmartConnect Basic está incluido con OneFS como una función estándar y norequiere una licencia. SmartConnect Basic es compatible con las siguientesconfiguraciones:

l Especificación de la zona DNS

l Solo el método de balanceo de conexiones round-robin

Redes


l Subred de servicio para responder las solicitudes DNS

SmartConnect Basic presenta las siguientes limitaciones en la configuración del poolde direcciones IP:

l Puede especificar solamente una política de asignación de direcciones IP estáticas.

l No puede especificar una política de failover de direcciones IP.

l No puede especificar una política de rebalanceo de direcciones IP.

l Únicamente puede asignar un pool de direcciones IP por subred de red externa.

SmartConnect AdvancedSmartConnect Advanced extiende la configuración disponible de SmartConnect Basic.Requiere una licencia activa. SmartConnect Advanced es compatible con la siguienteconfiguración:

l Métodos de balanceo del rendimiento, round-robin, uso del CPU y conteo deconexiones.

l Asignación de direcciones IP dinámicas y estáticas.

Con SmartConnect Advanced, podrá especificar las siguientes opciones deconfiguración del pool de direcciones IP:

l Puede definir una política de failover de direcciones IP para el pool de direccionesIP.

l Puede definir una política de rebalanceo de direcciones IP para el pool dedirecciones IP.

l SmartConnect Advanced es compatible con varios pools de direcciones IP porsubred externa para permitir que haya varias zonas DNS dentro de una solasubred.

Alias y zonas SmartConnectLos clientes pueden conectarse al clúster EMC Isilon a través de una dirección IPespecífica o mediante un dominio que represente un pool de direcciones IP.

Puede configurar un nombre de zona DNS SmartConnect para cada pool dedirecciones IP. El nombre de zona debe ser un nombre de dominio calificado.SmartConnect requiere la adición de un nuevo registro de servidor de nombres (NS)que haga referencia a la dirección IP del servicio de SmartConnect en la zona DNAdominante existente que contiene el clúster. También debe proporcionar unadelegación de zona al nombre de dominio calificado (FQDN) de la zona SmartConnecten su infraestructura DNS.

Si tiene una licencia de SmartConnect Advanced, también puede especificar una listade nombres de zonas DNS SmartConnect alternativos para el pool de direcciones IP.

Cuando un cliente se conecta al clúster a través de una zona DNS SmartConnect,SmartConnect maneja las solicitudes DNS entrantes en nombre del pool dedirecciones IP, y la subred del servicio distribuye las solicitudes de DNS entrantes deacuerdo con la política de balanceo de conexiones del pool.

Manejo de solicitudes de DNSSmartConnect maneja todas las solicitudes de DNS entrantes en nombre de un pool dedirecciones IP si una subred del servicio de SmartConnect se asoció con el pool.

La subred del servicio de SmartConnect es una configuración del pool de direccionesIP. Puede especificar cualquier subred que se haya configurado con una dirección IPdel servicio de SmartConnect y que haga referencia a la misma groupnet que el pool.Como mínimo, debe contar con una subred configurada con una dirección IP del

Redes

Módulo de SmartConnect 557

servicio SmartConnect a fin de manejar las solicitudes DNS del cliente. Puedeconfigurar solo una dirección IP del servicio por subred.

Una dirección IP de servicio de SmartConnect debe utilizarse exclusivamente pararesponder solicitudes de DNS y no puede ser una dirección IP que se encuentre en elrango de direcciones IP de cualquier pool. Las conexiones de clientes a través de ladirección IP del servicio SmartConnect provocan un comportamiento inesperado o unadesconexión.

Una vez que una subred del servicio SmartConnect se asoció con un pool dedirecciones IP, la subred del servicio distribuye las solicitudes de DNS entrantes segúnla política de balanceo de conexiones del pool. Si un pool no tiene una subred delservicio designada, la subred que contiene el pool responde las solicitudes DNSentrantes, siempre y cuando la subred esté configurada con una dirección IP delservicio SmartConnect. De lo contrario, se excluyen las solicitudes DNS.

Nota

SmartConnect requiere la adición de un nuevo registro de servidor de nombres (NS)que haga referencia a la dirección IP del servicio de SmartConnect en la zona DNAdominante existente que contiene el clúster. También debe proporcionar unadelegación de zona en el nombre de dominio calificado (FQDN) de la zonaSmartConnect.

Asignación de direcciones IPLa política de asignación de direcciones IP especifica la manera en que las direccionesIP en el pool se asignan a una interfaz de red disponible.

Puede especificar si desea usar la asignación estática o dinámica.

Estático

Asigna una dirección IP a cada interfaz de red agregada al pool de direcciones IP,pero no garantiza la asignación de todas las direcciones IP.

Una vez asignada, la interfaz de red mantiene la dirección IP indefinidamente,incluso si la interfaz de red deja de estar disponible. Para liberar la dirección IP,elimine la interfaz de red del pool o retírela del nodo.

Sin una licencia de SmartConnect Advanced, la asignación estática es el únicométodo disponible para la asignación de direcciones IP.

Dinámico

Asigna direcciones IP a cada interfaz de red agregada al pool de direcciones IPhasta que se asignen todas. Esto garantiza una respuesta cuando los clientes seconectan a cualquier dirección IP del pool.

Si una interfaz de red deja de estar disponible, sus direcciones IP se transfierenautomáticamente a las otras interfaces de red disponibles en el pool, según lodeterminado por la política de failover de direcciones IP.

Este método está disponible solamente con una licencia de SmartConnectAdvanced.

Failover de direcciones IPSi una interfaz de red deja de estar disponible, la política de failover de direcciones IPespecifica la manera en que se manejan las direcciones IP asignadas a la interfaz dered.

Redes


Para definir una política de failover de direcciones IP, debe contar con una licencia deSmartConnect Advanced, y la política de asignación de direcciones IP debeconfigurarse para que sea dinámica. La asignación de direcciones IP dinámicasgarantiza que se asignen todas las direcciones IP en el pool a interfaces de reddisponibles.

De acuerdo con la política de failover de direcciones IP, cuando una interfaz de reddeja de estar disponible, las direcciones IP que se le habían asignado se redistribuyen ainterfaces de red disponibles. Las conexiones del cliente subsiguientes se dirigen a lasnuevas interfaces de red.

Puede seleccionar uno de los siguientes métodos de balanceo de conexiones paradeterminar la manera en que la política de failover de direcciones IP selecciona lainterfaz de red que recibirá una dirección IP redistribuida:

l Round-robin

l Conteo de conexión

l Rendimiento de la red

l Uso del CPU

Balanceo de conexionesLa política de balanceo de conexiones determina cómo el servidor DNS maneja lasconexiones de clientes con el clúster EMC Isilon.

Puede especificar uno de los siguientes métodos de balanceo:

Round-robin

Selecciona la próxima interfaz de red disponible de forma rotativa. Este es elmétodo predeterminado. Sin una licencia de SmartConnect para unaconfiguración avanzada, este es el único método disponible para el balanceo decarga.

Conteo de conexión

Determina la cantidad de conexiones TCP abiertas en cada interfaz de reddisponible y selecciona la interfaz de red que cuenta con menos conexiones declientes.

Rendimiento de la red

Determina el rendimiento promedio en cada interfaz de red disponible y seleccionala que cuente con la carga mínima de interfaz de red.

CPU usage

Determina el uso de CPU promedio en cada interfaz de red disponible y seleccionala interfaz de red con el menor uso de procesador.

Rebalanceo de direcciones IPLa política de rebalanceo de direcciones IP especifica cuándo se deben redistribuirdirecciones IP si una o más interfaces de red que anteriormente no estaban disponiblesvuelven a estarlo.

Para definir una política de rebalanceo de direcciones IP, debe contar con una licenciapara SmartConnect Advanced y la política de asignación de direcciones IP debeconfigurarse en modo dinámico. La asignación de direcciones IP dinámica garantizaque todas las direcciones IP del pool estén asignadas a interfaces de red disponibles.

Puede configurar el rebalanceo para que tenga lugar de forma manual o automática:

Redes

Módulo de SmartConnect 559

Manual

No redistribuye las direcciones IP hasta que inicie manualmente el proceso derebalanceo.

Después del rebalanceo, las direcciones IP se redistribuirán según el método debalanceo de conexión especificado por la política de failover de direcciones IPdefinida para el pool de direcciones IP.

Automatización

Redistribuye automáticamente las direcciones IP según el método de balanceo deconexión especificado por la política de failover de direcciones IP definida para elpool de direcciones IP.

El rebalanceo automático también puede activarse debido a cambios en los nodosdel clúster, en las interfaces de red o en la configuración de la red externa.

Nota

El rebalanceo puede interrumpir las conexiones con clientes. Verifique que el flujode trabajo del cliente en el pool de direcciones IP sea el adecuado para elrebalanceo automático.

Reglas de aprovisionamiento de nodosLas reglas de aprovisionamiento de nodos especifican la forma en la que se configuranlos nuevos nodos cuando se agregan a un clúster EMC Isilon.

Si el tipo del nuevo nodo coincide con el tipo especificado en una regla, se agregaránlas interfaces de red del nodo a la subred y al pool de direcciones IP especificado en laregla.

Por ejemplo, puede crear una regla de aprovisionamiento de nodos que configure losnodos de almacenamiento Isilon nuevos y otra regla que configure los nodosaceleradores nuevos.

Cuando se agregan reglas nuevas, OneFS comprueba automáticamente la existenciade varias reglas de aprovisionamiento para asegurarse de que no haya conflictos.

Opciones de enrutamientoOneFS admite el enrutamiento basado en el origen y las rutas estáticas; estasopciones permiten un control más granular de la dirección del tráfico saliente declientes en el clúster EMC Isilon.

De manera predeterminada, si no se definen opciones de enrutamiento, el tráficosaliente de clientes en el clúster se enruta a través del gateway predeterminado, quees el gateway con la configuración de prioridad más baja en el nodo. Si el tráfico seenruta a una subred local y no es necesario enrutarlo a través de un gateway, el tráficosaldrá directamente mediante una interfaz en esa subred.

Enrutamiento basado en el origenEl enrutamiento basado en el origen selecciona el gateway que dirigirá el tráficosaliente del cliente según la dirección IP de origen en el encabezado de cada paquete.

Cuando se habilita, el enrutamiento basado en el origen escanea automáticamente laconfiguración de su red para crear reglas de tráfico de clientes. Si realizamodificaciones en la configuración de red, como cambios en la dirección IP de unservidor de gateway, el enrutamiento basado en el origen se ciñe a las reglas. El

Redes


enrutamiento basado en el origen se aplica a todo el clúster EMC Isilon y no escompatible con el protocolo IPv6.

En el siguiente ejemplo, se habilitó el enrutamiento basado en origen en un clústerIsilon que está conectado a SubnetA y SubnetB. Cada subred está configurada conuna zona SmartConnect y un gateway, y etiquetada con las letras A y B. Cuando uncliente en la SubnetA realiza una solicitud a la ZoneB de SmartConnect, la respuestase origina en la ZoneB. Esto establece la dirección de la ZoneB como la dirección IP deorigen en el encabezado del paquete, y la respuesta se enruta mediante el GatewayB.Sin el enrutamiento basado en el origen, la ruta predeterminada se basa en el destino,por lo que la respuesta se enruta mediante el GatewayA.

En otro ejemplo, un cliente en la SubnetC, que no está conectada al clúster Isilon,realiza una solicitud a la ZoneA y ZoneB de SmartConnect. La respuesta de la ZoneAse enruta mediante el GatewayA y la respuesta de la ZoneB se enruta mediante elGatewayB. En otras palabras, el tráfico se divide entre los gateways. Sin elenrutamiento basado en el origen, ambas respuestas se enrutan mediante el mismogateway.

El enrutamiento basado en el origen está deshabilitado de manera predeterminada. Lahabilitación o deshabilitación del enrutamiento basado en el origen se hace efectivainmediatamente. Los paquetes en tránsito continúan sus cursos originales, y el tráficosubsecuente se enruta según el cambio de estado. Las transacciones compuestas devarios paquetes pueden verse interrumpidas o retrasadas si el estado del enrutamientobasado en el origen cambia durante la transmisión.

El enrutamiento basado en el origen puede tener conflictos con las rutas estáticas. Siocurre un conflicto de enrutamiento, las reglas de enrutamiento basado en el origen sepriorizan sobre la ruta estática.

Puede habilitar el enrutamiento basado en el origen si posee una red de grandesdimensiones con una topología compleja. Por ejemplo, si su red es un ambientemultiusuario con varios gateways, el tráfico se distribuye de manera más eficiente conel enrutamiento basado en el origen.

Enrutamiento estáticoUna ruta estática dirige el tráfico de clientes saliente a un gateway especificado enfunción de la dirección IP de conexión del cliente.

Puede configurar rutas estáticas según el pool de direcciones IP. Cada ruta se aplica atodos los nodos que tengan interfaces de red como miembros del pool de direccionesIP.

Puede configurar el enrutamiento estático para conectarse a las redes que no esténdisponibles a través de las rutas predeterminadas o si tiene una red pequeña quenecesite solamente una o dos rutas.

Nota

Si realizó la actualización a partir de una versión anterior a OneFS 7.0.0, las rutasestáticas existentes que se agregaron a través de los scripts de rc no funcionarán ydeberán crearse nuevamente.

Configuración de la red internaEs posible modificar los ajustes de la red interna del clúster EMC Isilon.

Se encuentran disponibles las siguientes acciones:

Redes

Configuración de la red interna 561

l Modificar los rangos de direcciones IP de la red interna y de la red int-b o defailover

l Modificar la máscara de red de la red interna

l Configurar y habilitar una red de failover interna

l Deshabilitar el failover de la red interna

Puede configurar la red int-b o de failover para que brinde respaldo en caso de que seproduzca una falla de la red int-a. La configuración implica la especificación de unamáscara de red y un rango de direcciones IP válidos para la red de failover.

Modificar el rango de direcciones IP internasCada red InfiniBand interna requiere un rango de direcciones IP. Los rangos debenincluir una cantidad de direcciones IP suficiente para las condiciones operativasactuales, así como para futuras expansiones y adiciones de nodos. Se pueden agregar,eliminar o migrar direcciones IP, tanto en la red interna inicial (int-a) como en la redinterna secundaria (int-b/failover).

Procedimiento

1. Haga clic en Cluster Management > Network Configuration > InternalNetwork.

2. En el área Internal Networks Settings, seleccione la red para la cual deseaagregar direcciones IP.

l Para seleccionar la red int-a, haga clic en int-a.

l Para seleccionar la red int-b o de failover, haga clic en int-b/Failover.

Nota

Si está configurando los ajustes de red interna de IsilonSD Edge, omita estepaso.

3. En el área IP Ranges, puede agregar, eliminar o migrar los rangos dedirecciones IP.

Lo ideal es que el nuevo rango sea contiguo con el rango anterior. Por ejemplo,si su rango de direcciones IP actual es de 192.168.160.60 a 92.168.160.162, elnuevo rango debería comenzar con 192.168.160.163.


5. Reinicie el clúster si es necesario.

l Si elimina cualquier dirección IP que esté actualmente en uso, debe reiniciarel clúster.

l Si agrega direcciones IP a la máscara de red de la red interna, no esnecesario reiniciar el clúster.

l Si modifica la máscara de red de la red interna, debe reiniciar el clúster.

l Si migra el rango de direcciones IP, deberá reiniciar el clúster.

Modificar la máscara de red de la red internaEs posible modificar el valor de la máscara de red de la red interna.

Si la máscara de red es demasiado restrictiva para el tamaño de la red interna, deberámodificar los ajustes de la máscara de red. Es recomendable que especifique unamáscara de red de clase C, como 255.255.255.0, para la máscara de red interna. Estamáscara de red es lo suficientemente grande para recibir nodos futuros.

Redes


Nota

Para que los cambios en la máscara de red se apliquen, deberá reiniciar el clúster.

Procedimiento


2. En el área Internal Network Settings, seleccione la red para la cual deseaconfigurar la máscara de red.

l Para seleccionar la red int-a, haga clic en int-a.

l Para seleccionar la red int-b o de failover, haga clic en int-b/Failover.

Nota

Si está configurando la máscara de red para IsilonSD Edge, omita este paso.

Se recomienda que especifique los mismos valores de máscara de red para int-ae int-b/failover. Si modifica el valor de la máscara de red de una interfaz, debemodificar también el valor de la otra.

3. En el campo Netmask, ingrese un valor de máscara de red.

No es posible modificar el valor de máscara de red si el cambio invalida ladirección de uno o más nodos.


Un cuadro de diálogo le indicará que reinicie el clúster.

5. Especifique cuándo desea reiniciar el clúster.

l Para reiniciar el clúster inmediatamente, haga clic en Yes. Cuando el clústertermine de reiniciarse, aparecerá la página de inicio de sesión.

l Haga clic en No para regresar a la página Edit Internal Network sinmodificar los ajustes ni reiniciar el clúster.

Configurar y habilitar el failover internoEs posible habilitar un failover interno en el clúster EMC Isilon.

El failover interno en un clúster de IsilonSD se habilita a través de la política de failovercompatible con VMware vSphere. Por lo tanto, este procedimiento no corresponde aIsilonSD Edge.

Procedimiento


2. En el área Internal Network Settings, haga clic en int-b/Failover.

3. En el área IP Ranges de la red int-b, haga clic en Add range.

4. En el cuadro de diálogo Add IP Range, ingrese la dirección IP del extremoinferior del rango en el primer campo de IP range.

5. En el segundo campo de IP range, ingrese la dirección IP del extremo superiordel rango.

Asegúrese de que no haya ninguna superposición entre las direcciones IP de losrangos de las redes int-a e int-b/red de failover. Por ejemplo, si el rango de

Redes

Configurar y habilitar el failover interno 563

direcciones IP de la red int-a es de 192.168.1.1 a 192.168.1.100, especifique unrango de 192.168.2.1 a 192.168.2.100 para la red int-b.


7. En el área IP Ranges de la red de Failover, haga clic en Add range.

Agregue un rango de direcciones IP para la red de failover, asegurándose de queno haya ninguna superposición con la red int-a ni con la red int-b.

Aparecerá la página Edit Internal Network y el nuevo rango de direcciones IPaparecerá en la lista IP Ranges.

8. En el área Settings, especifique una máscara de red válida. Asegúrese de queno haya ninguna superposición con el rango de direcciones IP de la red int-B nicon el rango de la red de failover.

Se recomienda que especifique los mismos valores de máscara de red para int-ae int-b/failover.

9. En el área Settings, en State, haga clic en Enable para habilitar la red int-b y lared de failover.


Aparecerá el cuadro de diálogo Confirm Cluster Reboot.

11. Haga clic en Yes para reiniciar el clúster.

Deshabilitar el failover de la red internaEs posible deshabilitar las redes internas int-b y de failover.

Ignore estos pasos si está ejecutando IsilonSD Edge.

Procedimiento


2. En el área Internal Network Settings, haga clic en int-b/Failover.

3. En el área State, haga clic en Disable.


Aparecerá el cuadro de diálogo Confirm Cluster Reboot.

5. Haga clic en Yes para reiniciar el clúster.

Administración de groupnetsPuede crear y administrar groupnets en el clúster EMC Isilon.

Crear una groupnetPuede crear una groupnet y establecer la configuración del cliente DNS.

Procedimiento

1. Haga clic en Cluster Management > Networking Configuration > ExternalNetwork.

2. Haga clic en Add a groupnet.

Se abrirá la ventana Create Groupnet.

Redes


3. En el campo Name, escriba un nombre para la groupnet que sea único en elsistema.

El nombre puede contener un máximo de 32 caracteres alfanuméricos y puedeincluir guiones y guiones bajos, pero no espacios ni otros signos de puntuación.

4. (Opcional) En el campo Description, ingrese un comentario descriptivo acercade la groupnet.

La descripción no puede tener más de 128 caracteres.

5. En el área DNS Settings, configure los siguientes ajustes de DNS que deseaaplicar a la groupnet:

l Servidores DNS

l DNS Search Suffixes

l DNS Resolver Rotate

l Server-side DNS Search

l DNS Cache

6. Haga clic en Add Groupnet.

Configuración de DNSPuede asignar servidores DNS a una groupnet y modificar la configuración de DNS queespecifica el comportamiento del servidor DNS.


Servidores DNS Configura una lista de direcciones IP de DNS.Los nodos emiten solicitudes de DNS a estasdirecciones IP.No puede especificar más de tres servidoresDNS.

DNS Search Suffixes Configura la lista de sufijos de búsqueda deDNS. Los sufijos se agregan a nombres dedominio no calificados.No puede especificar más de seis sufijos.

Enable DNS resolver rotate Establece el solucionador DNS para rotar orealizar round-robin en los servidores DNS.

Enable DNS server-side search Especifica si la búsqueda de DNS del lado delservidor está habilitada, lo que agrega listasde búsqueda DNS a las consultas DNS declientes manejadas por una dirección IP delservicio de SmartConnect.

Enable DNS cache Especifica si el almacenamiento en caché deDNS de la groupnet está habilitado.

Modificar una groupnetPuede modificar los atributos de groupnets, incluidos el nombre, los servidores DNScompatibles y los ajustes de configuración de DNS.

Redes

Modificar una groupnet 565

Procedimiento


2. Haga clic en el botón View/Edit correspondiente a la fila de la groupnet quedesea modificar.

3. En la ventana View Groupnet Details, haga clic en Edit.

4. En la ventana Edit Groupnet Details, modifique los ajustes de groupnet segúnsea necesario.

5. Haga clic en Save changes.

Eliminar una groupnetEs posible eliminar una groupnet del sistema, a menos que esté asociada con una zonade acceso o un proveedor de autenticación, o corresponda a la groupnetpredeterminada. La eliminación de la groupnet del sistema puede afectar otras áreasde OneFS y se debe llevar a cabo con cuidado.

Antes de comenzar

En varios casos, la asociación entre una groupnet y otro componente de OneFS, comozonas de acceso o proveedores de autenticación, es absoluta. No puede modificarestos componentes para que se asocien con otra groupnet.En caso de que necesite eliminar una groupnet, EMC recomienda que complete estastareas en el siguiente orden:

1. Eliminar pools de direcciones IP en subredes asociadas con la groupnet.

2. Eliminar subredes asociadas con la groupnet.

3. Eliminar proveedores de autenticación asociados con la groupnet.

4. Eliminar zonas de acceso asociadas con la groupnet.

Procedimiento


2. Haga clic en el botón More en la fila de la groupnet que desea eliminar y, acontinuación, haga clic en Delete Groupnet.


Si no eliminó primero las zonas de acceso asociadas con la groupnet, laeliminación fallará y el sistema mostrará un error.

Ver groupnetsPuede ver una lista de todas las groupnets del sistema y ver los detalles de unagroupnet específica.

Procedimiento


La tabla External Network muestra todas las groupnets en el sistema y lossiguientes atributos:

l Nombre de groupnet

l Servidores DNS asignados a la groupnet

Redes


l El tipo de groupnet

l Descripción de la groupnet

2. Haga clic en el botón View/Edit de una fila para ver la configuración actual deesa groupnet.

El cuadro de diálogo View Groupnet Details se abre y muestra los siguientesajustes:

l Nombre de groupnet

l Descripción de la groupnet

l Servidores DNS asignados a la groupnet

l Sufijos de búsqueda DNS

l Si está habilitado el solucionador de DNS

l Si está habilitada la búsqueda de DNS

l Si está habilitado el almacenamiento en caché de DNS

3. Haga clic en la flecha de árbol junto a un nombre de groupnet para ver lassubredes asignadas a la groupnet.

La tabla muestra cada subred en una nueva fila dentro del árbol de groupnets.

4. Cuando haya terminado de ver los detalles de la groupnet, haga clic en Close.

Administración de subredes de red externaPuede crear y administrar subredes en el clúster EMC Isilon.

Crear una subredPuede agregar una subred a la red externa. Las subredes se crean en una groupnet.

Procedimiento


2. Haga clic en More > Add Subnet al lado de la groupnet que contendrá la nuevasubred.

El sistema mostrará la ventana Create Subnet.

3. En el campo Name, especifique el nombre de la subred nueva.


4. (Opcional) En el campo Description, ingrese un comentario descriptivo acercade la subred.

El comentario no puede tener más de 128 caracteres.

5. En el área IP family, seleccione uno de los siguientes formatos de dirección IPpara la subred:

l IPv4

l IPv6

Redes

Administración de subredes de red externa 567

Nota

El formato de dirección IPv6 no es compatible con IsilonSD Edge.

Todos los ajustes de subred y pools de direcciones IP que se agregan a la subreddeben utilizar el formato de dirección especificada. La familia de direcciones nopuede modificarse después de crear la subred.

6. En el campo Netmask, especifique una longitud de prefijo o máscara de subred,según la familia de IP que seleccionó.

l Para una subred IPv4, ingrese un octeto decimal puntuado (x.x.x.x) querepresente la máscara de subred.

l Para una subred IPv6, escriba un número entero (entre 1 y 128) querepresente la longitud del prefijo de red.

7. En el campo Gateway Address, ingrese la dirección IP del gateway mediante elcual el clúster enruta las comunicaciones con sistemas que se encuentran fuerade la subred.

8. En el campo Gateway Priority, escriba la prioridad (un número entero) quedetermina qué gateway de subred se instalará como gateway predeterminadoen los nodos que tengan más de una subred.

El valor 1 representa la prioridad más alta.

9. En la lista MTU, ingrese o seleccione el tamaño de las unidades de transmisiónmáximas que el clúster utiliza en la comunicación de red. Se permite utilizarcualquier valor numérico, siempre y cuando sea compatible con la red y con laconfiguración de todos los dispositivos de la ruta de red. Los ajustes comunesson 1500 (frames estándares) y 9000 (frames jumbo).

Aunque OneFS es compatible con MTU de 1500 y 9000, el uso de un tamaño detrama mayor para el tráfico de red permite una comunicación más eficiente en lared externa entre clientes y nodos del clúster. Por ejemplo, si una subred estáconectada a través de una interfaz de 10 GbE y la agregación de NIC estáconfigurada para pools de direcciones IP en la subred, se recomienda configurarla MTU en 9,000. Para aprovechar las tramas jumbo, su uso debe configurarseen todos los dispositivos de la ruta de red.

10. Si tiene previsto utilizar SmartConnect para el balanceo de conexiones, ingreseen el campo SmartConnect Service IP la dirección IP que recibirá todas lassolicitudes de DNS entrantes para cada pool de direcciones IP según la políticade conexiones de clientes. Debe tener, por lo menos, una subred configuradacon un servicio IP SmartConnect para utilizar el balanceo de conexiones.

11. En el campo SmartConnect Service Name, especifique el nombre del servicioSmartConnect.

12. En la sección Advanced Settings, puede habilitar el etiquetado de VLAN sidesea habilitar el clúster para participar en redes virtuales.

Nota

Configurar una red VLAN requiere un conocimiento avanzado de los switches dered. Consulte la documentación de su switch de red antes de configurar elclúster para una red VLAN.

13. Si habilitó el etiquetado de VLAN, especifique el número de ID de la red VLANconfigurada en el switch, con un valor de entre 2 y 4,094.

Redes


14. En el campo Hardware Load Balancing IPs, ingrese la dirección IP de un switchde balanceo de carga de hardware que utilice Direct Server Return (DSR). Estoenruta todo el tráfico de clientes al clúster a través del switch. El switchdetermina qué nodo maneja el tráfico para el cliente y pasa el tráfico a ese nodo.

15. Haga clic en Remove IP para quitar una IP de balanceo de carga de hardware.

16. Haga clic en Add Subnet.

Modificar una subredPuede modificar una subred en la red externa.

Procedimiento


2. Haga clic en View/Edit junto a la subred que desea modificar.

El sistema muestra la ventana View Subnet Details.


El sistema muestra la ventana Edit Subnet Details.

4. Modifique los ajustes de la subred y haga clic en Save Changes.

Eliminar una subredPuede eliminar una subred de la red externa.

La eliminación de una subred en uso puede evitar el acceso al clúster EMC Isilon. Secerrarán las conexiones cliente al clúster a través de cualquier pool de direcciones IPque pertenezca a la subred eliminada.

Procedimiento


2. Haga clic en More > Delete Subnet junto a la subred que desea eliminar.

3. En el indicador de confirmación, haga clic en Delete.

Ver la configuración de subredPuede ver los detalles de configuración de una subred específica.

Procedimiento


2. Haga clic en View/Edit junto a la subred que desee ver.


3. Haga clic en Close para cerrar la ventana.

Configurar una dirección IP del servicio SmartConnectPuede establecer una dirección IP del servicio de SmartConnect en una subred querecibirá todas las solicitudes DNS entrantes para cada pool de direcciones IPconfigurado para usar esta subred como una subred del servicio de SmartConnect.

Redes

Modificar una subred 569

Procedimiento





El sistema muestra la ventana Edit Subnet Details.

4. En el campo SmartConnect Service IP, ingrese la dirección IP.



Si desea que un pool de direcciones IP use la dirección IP del servicio deSmartConnect configurada para responder las solicitudes DNS, modifique laconfiguración del pool para especificar esta subred como la subred del servicio deSmartConnect.

Habilitar o deshabilitar el etiquetado de VLANUn clúster puede configurarse para participar en varias redes privadas virtuales,también denominadas redes de área local virtuales o redes VLAN.

Procedimiento



El sistema mostrará la ventana View Subnet Details.


El sistema mostrará la ventana Edit Subnet Details.

4. Seleccione la casilla de verificación Allow VLAN Tagging para habilitar odeshabilitar el etiquetado de VLAN.

5. Si habilita el etiquetado de VLAN, escriba un número entre 2 y 4,094 en elcampo VLAN ID. El número debe corresponder al número de VLAN IDestablecido en el switch.


Agregar o eliminar una dirección de DSRSi su red contiene un switch de balanceo de carga de hardware que usa Direct ServerReturn (DSR), debe configurar una dirección DSR para cada subred.

La dirección DSR enruta todo el tráfico de clientes al clúster EMC Isilon a través delswitch. El switch determina qué nodo maneja el tráfico para el cliente y pasa el tráficoa ese nodo.

Procedimiento



El sistema mostrará la ventana View Subnet Details.

Redes



El sistema mostrará la ventana Edit Subnet Details.

4. En el campo Hardware Load Balancing IPs escriba la dirección DSR.


Administración de pools de direcciones IPPuede crear y administrar los pools de direcciones IP en el clúster EMC Isilon.

Crear un pool de direcciones IPPuede agregar un pool de direcciones IP a la red externa. Los pools se crean bajo unasubred.

Procedimiento


2. Haga clic en More > Add Pool junto a la subred que contendrá el nuevo pool dedirecciones IP.

El sistema muestra la ventana Create Pool.

3. En el campo Name, especifique el nombre del nuevo pool de direcciones IP.


4. (Opcional) En el campo Description, ingrese un comentario descriptivo acercadel pool de direcciones IP.


5. En la lista Access Zone, seleccione la zona de acceso que desee asociar con elpool de direcciones IP.

Los clientes que se conectan a través de direcciones IP en este pool puedenacceder a los datos solo en la zona de acceso asociada.

6. En el área IP range, ingrese un rango de direcciones IP que desee asignar alpool de direcciones IP en los campos proporcionados.

Especifique el rango en el siguiente formato: <lower_ip_address>–<higher_ip_address>.

7. Haga clic en Add Pool.

Modificar un pool de direcciones IPPuede modificar todos los pools de direcciones IP en la red externa.

Procedimiento






Redes

Administración de pools de direcciones IP 571

4. Modifique los ajustes del pool de direcciones IP y haga clic en Save Changes.

Eliminar un pool de direcciones IPEs posible utilizar la interfaz web para eliminar los ajustes de pools de direcciones IP.

La eliminación de un pool de direcciones IP en uso puede evitar el acceso al clústerEMC Isilon. Se cerrarán las conexiones cliente al clúster a través de cualquier direcciónIP en el pool.

Procedimiento


2. Haga clic en More > Delete Pool junto al pool de direcciones IP que deseeeliminar.


Ver la configuración del pool de direcciones IPPuede ver los detalles de configuración de un pool de direcciones IP específico.

Procedimiento


2. Haga clic en View/Edit junto al pool de direcciones IP que desee ver.



Agregar o eliminar un rango de direcciones IPPuede agregar o eliminar un rango de direcciones IP dentro de la configuración delpool de direcciones IP.

Procedimiento


2. Haga clic en View/Edit junto al pool de direcciones IP que desea modificar.

El sistema mostrará la ventana View Pool Details.


El sistema mostrará la ventana Edit Pool Details.

4. Para agregar un rango, en el área IP range, escriba un rango de direcciones IPque desea asignar al pool de direcciones IP en los campos proporcionados.

Especifique el rango de direcciones IP en el siguiente formato: dirección IP baja- dirección IP alta

5. Para agregar un rango adicional, haga clic en Add an IP range.

El sistema proporciona campos en los cuales puede ingresar las direcciones IPbajas y altas del rango adicional.

6. Para eliminar un rango de direcciones IP, haga clic en Remove IP range junto alrango que desea eliminar.

Redes



Administración de la configuración de SmartConnectPuede configurar los ajustes de SmartConnect dentro de cada pool de direcciones IPen el clúster EMC Isilon.

Modificar una zona DNS SmartConnectPuede especificar una zona DSN SmartConnect y alternar alias de zonas DNS quemanejarán las solicitudes de DNS para un pool de direcciones IP.

Procedimiento






4. En el área SmartConnect Basic, especifique la zona DNS SmartConnect en elcampo Zone name.

La zona DNS SmartConnect debería ser un nombre de dominio calificado(FQDN).

5. (Opcional) En el área SmartConnect Advanced, especifique los aliascorrespondientes a la zona DNS SmartConnect en el campo SmartConnectZone Aliases.

Se requiere una licencia de SmartConnect Advanced para especificar los aliasde la zona.



Para usar la zona SmartConnect, necesita configurar su infraestructura de DNS a finde delegar la zona DNS. Agregue un nuevo registro de servidor de nombres (NS) queapunte a la dirección IP del servicio de SmartConnect y luego agregue una delegaciónde zona al nuevo servidor de nombre para el nombre de dominio calificado del nombrede la zona SmartConnect.

Especificar una subred del servicio de SmartConnectPuede designar una subred como la subred del servicio de SmartConnect para un poolde direcciones IP. La subred de servicio responde a todas las solicitudes de DNS ennombre de la zona DNS de SmartConnect del pool.

Antes de comenzar

La subred que se designa como la subred del servicio de SmartConnect debe tener unadirección IP del servicio de SmartConnect configurada y la subred debe estar en lamisma groupnet que el pool de direcciones IP. Por ejemplo, a pesar de que un poolpuede pertenecer a subnet3, puede designar subnet5 como la subred del servicio deSmartConnect siempre y cuando ambas subredes estén bajo la misma groupnet.

Si un pool no tiene una subred de servicio designada, las solicitudes de DNS entrantesson respondidas por la subred que contiene el pool, siempre que la subred esté

Redes

Administración de la configuración de SmartConnect 573

configurada con una dirección IP del servicio de SmartConnect. De lo contrario, seexcluyen las solicitudes de DNS.

Procedimiento






4. En el área SmartConnect Basic, seleccione una subred de la listaSmartConnect Service Subnet.


Suspender o reanudar un nodoPuede suspender y reanudar las respuestas de DNS de SmartConnect de un nodo.

Procedimiento






4. Para suspender un nodo, realice estos pasos:

a. En el área SmartConnect Suspended Nodes, haga clic en Suspend Nodes.

El sistema mostrará la ventana Suspend Nodes.

b. Seleccione un número de nodos lógicos (LNN) en la tabla Available y hagaclic en Add.

c. Haga clic en Suspend Nodes.

d. En la ventana de confirmación, haga clic en Confirm.

5. Para reanudar un nodo, siga estos pasos:

a. En la tabla SmartConnect Suspended Nodes, haga clic en el botónResume junto al número del nodo que desee reanudar.

b. En la ventana de confirmación, haga clic en Confirm.


Configurar la asignación de direcciones IPPuede especificar si las direcciones IP de un pool de direcciones IP se asignan a lasinterfaces de red de forma estática o dinámica.

Antes de comenzar

Para configurar una asignación de direcciones IP dinámica, debe activar una licenciaSmartConnect Advanced.

Redes


Procedimiento


2. Haga clic en View/Edit junto al pool de direcciones IP que desea modificar.

El sistema mostrará la ventana View Pool Details.


El sistema mostrará la ventana Edit Pool Details.

4. Desde la lista Allocation Method, en el área SmartConnect AdvancedSettings, seleccione uno de los siguientes métodos de asignación:

l Estático

l Dinámico


Métodos de asignación de IP compatiblesLa política de asignación de direcciones IP especifica la manera en que las direccionesIP del pool se asignan a una interfaz de red disponible.

Puede especificar si desea usar la asignación estática o dinámica.

Estático

Asigna una dirección IP a cada interfaz de red agregada al pool de direcciones IP,pero no garantiza la asignación de todas las direcciones IP.

Una vez asignada, la interfaz de red mantiene la dirección IP indefinidamente,incluso si la interfaz de red deja de estar disponible. Para liberar la dirección IP,elimine la interfaz de red del pool o retírela del clúster.

Sin una licencia de SmartConnect Advanced, la asignación estática es el únicométodo disponible para la asignación de direcciones IP.

Dinámico

Asigna direcciones IP a cada interfaz de red agregada al pool de direcciones IPhasta que se asignen todas. Esto garantiza una respuesta cuando los clientes seconectan a cualquier dirección IP del pool.

Si una interfaz de red deja de estar disponible, sus direcciones IP se transfierenautomáticamente a las otras interfaces de red disponibles en el pool, según lodeterminado por la política de failover de direcciones IP.

Este método está disponible solamente con una licencia de SmartConnectAdvanced.

Recomendaciones de asignación basadas en protocolos de uso compartido de archivosSe recomienda seleccionar un método de asignación estática si sus clientes seconectan mediante protocolos con estado y un método de asignación dinámica conprotocolos sin estado.

La siguiente tabla muestra varios protocolos comunes y el método de asignaciónrecomendado:

Redes

Configurar la asignación de direcciones IP 575

Protocolo de uso compartido dearchivos

Método de asignación recomendado

l SMB

l HTTP

l FTP

l sFTP

l FTPS

l SyncIQ

l Swift

Estático

l NFSv3

l NFSv4

l HDFS

Dinámico

Configurar una política de balanceo de conexionesPuede especificar una política de balanceo de conexiones para un pool de direccionesIP.

Procedimiento






4. En el área SmartConnect Advanced, seleccione uno de los siguientes métodosde balanceo en la lista Client Connection Balancing Policy:

l Round-robin

Nota

Round-robin es la configuración predeterminada y el único método debalanceo que no requiere la activación de una licencia de SmartConnectAdvanced.

l Connection countl Throughputl CPU usage


Métodos de balanceo de conexiones compatiblesLa política de balanceo de conexiones determina cómo el servidor DNS maneja lasconexiones de clientes con el clúster EMC Isilon.

Puede especificar uno de los siguientes métodos de balanceo:

Redes


Round-robin

Selecciona el próximo nodo disponible de forma rotativa. Este es el métodopredeterminado. Sin una licencia de SmartConnect para una configuraciónavanzada, este es el único método disponible para el balanceo de carga.

Conteo de conexión

Determina la cantidad de conexiones TCP abiertas en cada nodo disponible yselecciona el nodo que cuenta con menos conexiones de clientes.

Rendimiento de la red

Determina el rendimiento promedio en cada nodo disponible y selecciona el nodocon la carga mínima de interfaz de red.

CPU usage

Determina el uso de CPU promedio en cada nodo disponible y selecciona el nodocon el menor uso de procesador.

Configurar una política de failover de IPPuede definir una política de failover de IP para un pool de direcciones IP.

Antes de comenzar

Para configurar una política de failover de IP, debe activar una licencia deSmartConnect Advanced.Procedimiento






4. En el área SmartConnect Advanced, seleccione uno de los siguientes métodosde failover en la lista IP Failover Policy:

l Round-robinl Connection countl Throughputl CPU usage


Configurar una política de rebalanceo de direcciones IPPuede configurar una política de rebalanceo manual o automática para un pool dedirecciones IP.

Antes de comenzar

Para configurar una política de rebalanceo de un pool de direcciones IP, debe activaruna licencia de SmartConnect Advanced y establecer el método de asignación endynamic.Procedimiento


Redes

Configurar una política de failover de IP 577





4. En el área SmartConnect Advanced, seleccione uno de los siguientes métodosde rebalanceo en la lista Rebalance Policy:

l Automaticl Manual


Métodos de rebalanceo compatiblesLa política de rebalanceo de direcciones IP especifica cuándo se deben redistribuirdirecciones IP si una o más interfaces de red que anteriormente no estaban disponiblesvuelven a estarlo.

Puede configurar el rebalanceo para que tenga lugar de forma manual o automática:

Manual

No redistribuye las direcciones IP hasta que el usuario emita manualmente uncomando de rebalanceo mediante la interfaz de la línea de comandos.

Después del rebalanceo, las direcciones IP se redistribuirán según el método debalanceo de conexión especificado por la política de failover de direcciones IPdefinida para el pool de direcciones IP.

Automatización

Redistribuye automáticamente las direcciones IP según el método de balanceo deconexión especificado por la política de failover de direcciones IP definida para elpool de direcciones IP.

El rebalanceo automático también puede activarse debido a los cambios en losnodos del clúster, las interfaces de red o la configuración de la red externa.

Nota

El rebalanceo puede interrumpir las conexiones con clientes. Verifique que el flujode trabajo del cliente en el pool de direcciones IP sea el adecuado para elrebalanceo automático.

Rebalancear manualmente direcciones IPSe puede rebalancear manualmente un pool de direcciones IP específico o todos lospools en la red externa.

Antes de comenzar

Debe activar una licencia de SmartConnect Advanced.Procedimiento

1. Para rebalancear manualmente las direcciones IP en un pool, siga estos pasos:

a. Haga clic en Cluster Management > Network Configuration > ExternalNetwork.

b. Haga clic en View/Edit junto al pool de direcciones IP que desee modificar.


Redes


c. Haga clic en Edit.


d. En el área Advanced Settings, haga clic en Rebalance Pool IPs.

e. En la ventana de confirmación, haga clic en Confirm.

f. Haga clic en Cancel para cerrar la ventana Edit Pool Details.

2. Para rebalancear manualmente todos los pools de direcciones IP, siga estospasos:

a. Haga clic en Cluster Management > Network Configuration > Settings.

b. Haga clic en Rebalance All IPs.

c. En la ventana de confirmación, haga clic en Confirm.

Administración de miembros de la interfaz de redEs posible agregar y quitar interfaces de red a pools de direcciones IP.

Agregar o eliminar una interfaz de redPuede configurar las interfaces de red que desea asignar a un pool de direcciones IP.

Procedimiento






4. Para agregar una interfaz de red al pool de direcciones IP, siga estos pasos:

a. En el área Pool Interface Members, seleccione la interfaz deseada desde latabla Available y haga clic en Add.

Si agrega una interfaz agregada al pool, no puede agregar individualmenteninguna interfaz que forme parte de la interfaz agregada.

b. Haga clic en Add.

5. Para eliminar una interfaz de red del pool de direcciones IP, siga estos pasos:

a. En el área Pool Interface Members, seleccione la interfaz deseada desde latabla In Pool.

b. Haga clic en Remove.


Configurar agregación de enlacesPuede combinar varias interfaces físicas de red externa en un nodo para formar unaúnica interfaz lógica mediante la agregación de vínculos.

Procedimiento


Redes

Administración de miembros de la interfaz de red 579





4. En el área Pool Interface Members, seleccione la interfaz agregada preferidaen la tabla Available y haga clic en Add.

5. En el área Advanced Settings, seleccione uno de los siguientes métodos deagregación de vínculos en la lista Aggregation Mode:

l Round-robinl Failoverl LACPl FEC


Modos de agregación de vínculosEl modo de agregación de vínculos determina la manera en que se balancea y se enrutael tráfico entre las interfaces de red agregadas. El modo de agregación se seleccionasegún el pool y se aplica a todas las interfaces de red agregadas en el pool dedirecciones IP.

OneFS es compatible con modos de agregación dinámicos y estáticos. Un modo deagregación dinámico permite que los nodos con interfaces agregadas se comuniquencon el switch para que este pueda usar un modo de agregación análogo. Los modosestáticos no facilitan la comunicación entre los nodos y el switch.

OneFS es compatible con los siguientes métodos de agregación de vínculos:

Protocolo de control de agregación de enlaces (LACP)

Modo de agregación dinámico compatible con el protocolo de control deagregación de vínculos (LACP) IEEE 802.3ad. Puede configurar LACP en el nivelde switch, lo cual permite que el nodo negocie la agregación de interfaces con elswitch. LACP balancea el tráfico saliente en las interfaces basado en lainformación del encabezado del protocolo con hash que incluye las direcciones deorigen y de destino y la etiqueta VLAN, si se encuentra disponible. Esta opción esel modo de agregación predeterminado.

Loadbalance (FEC)

Método de agregación estático que acepta todo el tráfico entrante y balancea eltráfico saliente mediante interfaces agregadas según la información delencabezado del protocolo con hash que incluye las direcciones de origen y dedestino.

Failover activo/pasivo

Modo de agregación estático que cambia a la próxima interfaz habilitada si lainterfaz primaria se deshabilita. La interfaz primaria maneja el tráfico hasta que seproduce una interrupción en la comunicación. En ese momento, una de lasinterfaces secundarias se hará cargo del trabajo de la primaria.

Round-robin

Modo de agregación estático que rota las conexiones entre los nodos medianteuna secuencia del tipo primero en entrar, primero en salir, con lo cual manejatodos los procesos sin prioridad. Balancea el tráfico saliente entre todos los

Redes


puertos activos del vínculo agregado y acepta tráfico entrante en cualquierpuerto.

Nota

Este método no se recomienda si su clúster EMC Isilon está usando las cargas detrabajo de TCP/IP.

Mapeo de agregación de vínculosLas interfaces de red que pueden agregarse a un pool de direcciones IP como unainterfaz agregada se incluyen al ver una lista de interfaces de red en un nodo. Lasiguiente tabla muestra ejemplos de cómo las interfaces agregadas se mapean a lasinterfaces no agregadas.

Interfaz de red lógica(LNI)

LNI agregado

ext-1ext-2

ext-agg = ext-1 + ext-2

ext-1ext-2

ext-3

ext-4

ext-agg = ext-1 + ext-2ext-agg-2 = ext-3 + ext-4

ext-agg-3 = ext-3 + ext-4 + ext-1 + ext-2

ext-1ext-2

10gige-1

10gige-2

ext-agg = ext-1 + ext-210gige-agg-1 = 10gige-1 + 10gige-2

Administración de las reglas de aprovisionamiento de nodosPuede crear y administrar reglas de aprovisionamiento de nodos que automaticen laconfiguración de nuevas interfaces de red.

Crear una regla de aprovisionamiento de nodosPuede crear una regla de aprovisionamiento de nodos para especificar la manera enque se configuran las interfaces de los nuevos nodos cuando los nodos se agregan alclúster EMC Isilon. Las reglas de aprovisionamiento de nodos se crean en un pool dedirecciones IP.

Procedimiento


2. Haga clic en More > Add Rule al lado del pool de direcciones IP que contendrála nueva regla de aprovisionamiento de nodos.

El sistema muestra la ventana Create Rule.

3. En el campo Name, especifique el nombre de la nueva regla deaprovisionamiento de nodos.

Redes

Administración de las reglas de aprovisionamiento de nodos 581

4. (Opcional) En el campo Description, ingrese un comentario descriptivo acercade la regla.


5. En la lista Interface Type, seleccione el tipo de interfaz de red que se agregaráal pool cuando se agrega el nuevo nodo al clúster.

6. En la lista Node Type, seleccione uno de los siguientes tipos de nodos:

l Anyl Storagel Acceleratorl Backup acceleratorLa regla se aplica cuando se agrega un nodo que coincide con el tiposeleccionado al clúster.

Nota

En el caso de IsilonSD Edge, el tipo de nodo tiene que ser el mismo en un clústerIsilonSD determinado. Por lo tanto, la opción Node Type no corresponde aIsilonSD Edge.

7. Haga clic en Add rule.

Modificar una regla de aprovisionamiento de nodosEs posible modificar los ajustes de las reglas de aprovisionamiento de nodos.

Procedimiento


2. Haga clic en View/Edit junto a la regla de aprovisionamiento de nodos quedesea modificar.

El sistema muestra la ventana View Rule Details.


El sistema muestra la ventana Edit Rule Details.

4. Modifique la configuración de las reglas de aprovisionamiento de nodos y hagaclic en Save Changes.

Eliminar una regla de aprovisionamiento de nodosEs posible eliminar una regla de aprovisionamiento de nodos que ya no se necesita.

Procedimiento


2. Haga clic en More > Delete Rule junto a la regla de aprovisionamiento de nodosque desea eliminar.


Redes


Ver la configuración de la regla de aprovisionamiento de nodosPuede ver los detalles de configuración de una regla de aprovisionamiento de nodosespecífica.

Procedimiento


2. Haga clic en View/Edit junto a la regla de aprovisionamiento de nodos quedesee ver.

El sistema muestra la ventana View Rule Details.


Opciones de administración del enrutamientoPuede proporcionar un control adicional de la dirección del tráfico saliente del clientemediante el enrutamiento basado en el origen o la configuración de rutas estáticas.

Si se configuran el enrutamiento basado en el origen y las rutas estáticas, estastendrán prioridad para el tráfico que coincida con las rutas estáticas.

Habilitar o deshabilitar el enrutamiento basado en el origenPuede habilitar o deshabilitar de manera global el enrutamiento basado en el origen enel clúster EMC Isilon.

Procedimiento

1. Haga clic en Cluster Management > Network Configuration > Settings.

2. Seleccione o anule la selección de la casilla de verificación Enable source basedrouting.


Agregar o eliminar una ruta estáticaPuede configurar rutas estáticas para dirigir el tráfico saliente a destinos específicosmediante un gateway específico. Las rutas estáticas se configuran en el nivel de poolde direcciones IP.

Antes de comenzar

Las rutas estáticas deben coincidir con la familia de direcciones IP (IPv4 o IPv6) delpool de direcciones IP donde están configuradas.Procedimiento






4. Para agregar una ruta estática, realice lo siguiente:

Redes

Ver la configuración de la regla de aprovisionamiento de nodos 583

a. En el área Static Routes, haga clic en Add static route.

El sistema muestra la ventana Create Static Route.

b. En el campo Subnet, especifique la dirección IPv4 o IPv6 de la subred por laque se enrutará el tráfico.

c. En el campo Netmask o Prefixlen, especifique la máscara de red (IPv4) o lalongitud del prefijo (IPv6) de la subred que proporcionó.

d. En el campo Gateway, especifique la dirección IPv4 o IPv6 del gateway porel que se enrutará el tráfico.

e. Haga clic en Add Static Route.

5. Para eliminar una ruta estática, en la tabla Static Routes, haga clic en el botónRemove junto a la ruta que desea eliminar.


Administración de la configuración de la caché de DNSEs posible establecer la configuración de la caché de DNS para la red externa.

Vaciar la caché de DNSDe manera simultánea, puede vaciar la caché de DNS de cada groupnet que habilitó elalmacenamiento en caché de DNS.

Procedimiento

1. Haga clic en Cluster Management > Network Configuration > DNS Cache.

2. En el área Actions, haga clic en Flush DNS Cache.

3. En la ventana de confirmación, haga clic en Confirm.

Modificar la configuración de la caché de DNSPuede modificar los ajustes globales que se aplican a la caché de DNS de cadagroupnet que habilitó el almacenamiento en caché de DNS.

Procedimiento

1. Haga clic en Cluster Management > Network Configuration > DNS Cache.

2. Modifique los ajustes de la caché de DNS y haga clic en Save Changes.

Configuración de la caché de DNSEs posible configurar los ajustes para la caché de DNS.


TTL No Error Minimum Especifica el límite inferior del período de vidade los aciertos de caché.El valor predeterminado es de 30 segundos.

TTL No Error Maximum Especifica el límite superior del período devida de los aciertos de caché.El valor predeterminado es de 3,600segundos.

Redes



TTL Non-existent Domain Minimum Especifica el límite inferior del período de vidade nxdomain.El valor predeterminado es de 15 segundos.

TTL Non-existent Domain Maximum Especifica el límite superior del período devida de nxdomain.El valor predeterminado es de 3,600segundos.

TTL Other Failures Minimum Especifica el límite inferior del período de vidade las fallas no relacionadas con nxdomain.El valor predeterminado es 0 segundos.

TTL Other Failures Maximum Especifica el límite superior del período devida de las fallas no relacionadas connxdomain.El valor predeterminado es de 60 segundos.

TTL Lower Limit For Server Failures Especifica el límite inferior del período de vidade las fallas del servidor DNS.El valor predeterminado es de 300 segundos.

TTL Upper Limit For Server Failures Especifica el límite superior del período devida de las fallas del servidor DNS.El valor predeterminado es de 3,600segundos.

Eager Refresh Especifica el plazo para actualizar las entradasde la caché cuyo vencimiento se aproxima.El valor predeterminado es 0 segundos.

Cache Entry Limit Especifica la cantidad máxima de entradasque puede contener la caché de DNS.El valor predeterminado es de 65,536entradas.

Test Ping Delta Especifica el delta para comprobar el estadodel clúster de cbind.El valor predeterminado es de 30 segundos.

Administración de puertos TCPPuede modificar la lista de puertos TCP de clientes disponibles para la red externa.

Agregar o eliminar puertos TCPPuede agregar y eliminar puertos TCP de la lista de puertos disponibles para la redexterna.

Procedimiento

1. Haga clic en Cluster Management > Network Configuration > Settings.

2. Para agregar un puerto TCP, siga estos pasos:

Redes

Administración de puertos TCP 585

a. En el área TCP Ports, haga clic en Add TCP Ports.

El sistema muestra la ventana Add TCP Ports.

b. En el campo TCP Ports, ingrese un número de puerto.

c. (Opcional) Haga clic en Add another port para especificar números depuerto adicionales.

d. Haga clic en Add Ports.

3. Para eliminar un puerto TCP, en la tabla TCP Ports, haga clic en el botónRemove junto al puerto que desea eliminar.


Redes


CAPÍTULO 26

Hadoop


l Descripción general de Hadoop........................................................................588l Dirección IP de Hadoop....................................................................................588l Cómo se implementa Hadoop en OneFS.......................................................... 589l Hadoop distributions supported by OneFS.......................................................589l Archivos y directorios HDFS............................................................................ 589l Cuentas de grupos y usuarios de Hadoop.........................................................590l Métodos de autenticación de HDFS.................................................................590l HDFS SmartConnect....................................................................................... 590l WebHDFS.........................................................................................................591l Suplantación de identidad segura..................................................................... 591l Agente Ambari................................................................................................. 592l Cifrado por cable HDFS................................................................................... 592l Compatibilidad con Apache Ranger..................................................................593l IP de Virtual HDFS........................................................................................... 593l Implementación de Hadoop con OneFS............................................................594l Administración del servicio de HDFS................................................................594l Configurar el directorio raíz de HDFS...............................................................596l Configuración de los métodos de autenticación de HDFS................................ 597l Crear un usuario local de Hadoop.....................................................................598l Habilitar o inhabilitar WebHDFS.......................................................................599l Configuración de suplantación de identidad segura..........................................599l Configurar ajustes del agente Ambari............................................................... 601l Editar la configuración del plug-in Ranger........................................................ 601l Configurar el cifrado de cable HDFS................................................................ 602l Administración de racks virtuales de HDFS...................................................... 602

Hadoop 587

Descripción general de HadoopHadoop es una plataforma de código abierto que realiza análisis de grandes conjuntosde datos en un sistema de archivos distribuido.

En una implementación de Hadoop en un clúster EMC Isilon, OneFS actúa como elsistema de archivos distribuido y HDFS es compatible como un protocolo nativo. Losclientes de un clúster Hadoop se conectan al clúster Isilon a través del protocolo deHDFS para administrar y procesar los datos.

Para que el clúster sea compatible con Hadoop, debe activar una licencia de HDFS.Para obtener una licencia, póngase en contacto con su gerente de cuentas de EMCIsilon.

Dirección IP de HadoopHadoop se compone de una capa de procesamiento y de una capa de almacenamiento.

En una implementación típica de Hadoop, ambas capas existen en el mismo clúster.

Capa de cómputoYARN es el motor de procesamiento de tareas de la capa de procesamiento deHadoop.

YARN ejecuta diversos trabajos (también conocidos como aplicaciones) o consultas engrandes conjuntos de datos y extrae información. YARN se basa en los siguienteselementos clave:

ResourceManager

Autoridad global que asigna recursos (como CPU, memoria, disco, red) aNodeManagers y calendariza trabajos con base en los recursos requeridos.

NodeManager

Componente de cada nodo que inicia trabajos y monitorea el uso de recursos deltrabajo.

Capa de almacenamientoLa capa de almacenamiento se conoce como el sistema de archivos distribuido Hadoop(HDFS).

La capa de almacenamiento contiene los datos a los que accede la capa deprocesamiento para procesarlos. HDFS consta de dos componentes clave:

NameNode

Nodo que almacena los mapas en memoria de cada archivo, incluida la informaciónsobre el DataNode en que reside el archivo y la ubicación del archivo en elDataNode.

DataNode

Nodo que almacena los datos y atiende solicitudes de lectura y escritura según lodicta el componente NameNode.

Una implementación típica de Hadoop contiene un NameNode que actúa comomaestro y que enruta las solicitudes de acceso a datos al DataNode adecuado.

Hadoop


Cómo se implementa Hadoop en OneFSEn una implementación de Hadoop en el clúster EMC Isilon, los datos se almacenan enOneFS. HDFS se admite como un protocolo que los clientes de procesamiento Hadooputilizan para acceder a los datos.

Una implementación de Hadoop con OneFS difiere de una implementación típica deHadoop de las siguientes maneras:

l Las capas de procesamiento y almacenamiento se encuentran en clústeresseparados y no en el mismo clúster.

l En vez de almacenar datos en un sistema de archivos distribuido Hadoop, OneFSaporta la funcionalidad de la capa de almacenamiento en un clúster EMC Isilon. Losnodos del clúster Isilon funcionan como un NameNode y un DataNode.

l La capa de procesamiento se establece en un clúster de procesamiento Hadoopindependiente del clúster Isilon. MapReduce y sus componentes se instalan en elclúster de procesamiento Hadoop solamente.

l HDFS se implementa en OneFS como un protocolo ligero y nativo entre el clústerIsilon y el clúster de procesamiento Hadoop, no como una capa dealmacenamiento. Los clientes del clúster de procesamiento Hadoop se conectanmediante HDFS para acceder a los datos del clúster Isilon.

l Además de HDFS, los clientes del clúster de procesamiento Hadoop se puedenconectar al clúster Isilon mediante cualquier protocolo que sea compatible conOneFS, como NFS, SMB, FTP y HTTP.

l Los clientes de procesamiento Hadoop se pueden conectar a cualquier nodo delclúster Isilon que funcione como un NameNode, en vez de que un solo NameNodelos enrute.

Hadoop distributions supported by OneFSPueden ejecutar la mayoría de las distribuciones de Hadoop con el clúster EMC Isilon.

OneFS es compatible con varias distribuciones del sistema de archivos distribuidoHadoop (HDFS). Estas distribuciones se actualizan de forma independiente a OneFS ysegún sus propios calendarios.

Para obtener la información más reciente sobre las distribuciones de Hadoopcompatibles con OneFS, consulte la página de productos y distribuciones Hadoopcompatibles en EMC Community Network (ECN).

Archivos y directorios HDFSAntes de implementar Hadoop, asegúrese de que los directorios que necesitará esténconfigurados en el clúster EMC Isilon.

Configure un directorio raíz HDFS en cada zona de acceso que contendrá datosaccesibles para los clientes de procesamiento Hadoop. Cuando un cliente deprocesamiento Hadoop se conecta al clúster, el usuario puede acceder a todos losarchivos y subdirectorios del directorio raíz especificado. El directorio HDFSpredeterminado es /ifs.

Cada pool de direcciones IP en el clúster debe estar asociado con una zona de acceso.Cuando los clientes de procesamiento Hadoop se conectan al clúster por medio de undeterminado pool de direcciones IP, los clientes pueden acceder solamente a los datos

Hadoop

Cómo se implementa Hadoop en OneFS 589




de HDFS en la zona de acceso asociada. Esta configuración aísla los datos en las zonasde acceso y le permite restringir el acceso de cliente a los datos.

A diferencia de los montajes de NFS o de los recursos compartidos SMB, los clientesque se conectan al clúster a través de HDFS no pueden acceder a las carpetasindividuales en el directorio raíz. Si tiene varios flujos de trabajo de Hadoop querequieren distintos conjuntos de datos, puede crear múltiples zonas de acceso yconfigurar un directorio raíz de HDFS único para cada zona.

Cuando configure directorios y archivos en el directorio raíz, asegúrese de que tenganlos permisos correctos para que los clientes y las aplicaciones Hadoop puedan accedera ellos. Los directorios y los permisos variarán según la distribución, el ambiente, losrequisitos y las políticas de seguridad de Hadoop.

Cuentas de grupos y usuarios de HadoopAntes de implementar Hadoop, asegúrese de que las cuentas de grupos y usuarios quenecesitará para conectarse mediante HDFS estén configuradas en el clúster EMCIsilon.

También debe garantizar que las cuentas de usuario que requiere su distribución deHadoop estén configuradas en cada zona del clúster Isilon. Las cuentas de seguridadque necesita y la configuración asociada de propietarios y grupos varían según ladistribución, los requisitos y las políticas de seguridad. Los perfiles de las cuentas en elclúster Isilon, incluidos los UID y GID, deben coincidir con los que se encuentran en lascuentas de sus clientes de procesamiento Hadoop.

OneFS debe ser capaz de buscar a un usuario o a un grupo local de Hadoop por sunombre. Si no hay servicios de directorio (como Active Directory o LDAP) que puedanejecutar una búsqueda de usuarios, debe crear un usuario o grupo local de Hadoop. Silos servicios de directorio están disponibles, no se necesita una cuenta de usuario ni ungrupo de usuarios local.

Métodos de autenticación de HDFSPuede configurar un método de autenticación de HDFS en cada zona de acceso.

Cuando un cliente de procesamiento Hadoop se conecta al clúster EMC Isilon a travésde una zona de acceso, el cliente debe realizar la autenticación con el métodoespecificado para esa zona de acceso. HDFS admite la autenticación simple, laautenticación de Kerberos o ambas. De manera predeterminada, HDFS acepta laautenticación simple y la de Kerberos.

HDFS SmartConnectPuede configurar una zona de DNS de SmartConnect para administrar las conexionesde los clientes de procesamiento de Hadoop.

SmartConnect es un módulo que especifica la forma en que el servidor DNS del clústerEMC Isilon maneja las solicitudes de conexión de los clientes. Para cada pool dedirecciones IP en su clúster Isilon, puede configurar una zona DNS SmartConnect, quees un nombre de dominio calificado (FQDN). Los clientes de procesamiento Hadooppueden conectarse al clúster mediante el nombre de zona DNS SmartConnect, ySmartConnect distribuye uniformemente las solicitudes de NameNode a direcciones IPy a nodos en el pool.

Hadoop


Cuando un cliente de procesamiento Hadoop realiza una solicitud inicial de DNS paraconectarse a la zona SmartConnect, el cliente Hadoop se enruta a la dirección IP de unnodo Isilon que funciona como un NameNode. Las solicitudes posteriores del cliente deprocesamiento Hadoop se dirigen al mismo nodo. Cuando un segundo cliente Hadooprealiza una solicitud de DNS para la zona SmartConnect, SmartConnect balancea eltráfico y enruta la conexión del cliente a un nodo distinto del que utilizó el cliente deprocesamiento Hadoop anterior.

Si especifica una zona DNS SmartConnect mediante la cual los clientes deprocesamiento Hadoop deben conectarse, debe agregar un nuevo registro del servidorde nombres (NS) como dominio delegado a la zona DNS dominante que contenga elclúster Isilon. En el clúster de procesamiento de Hadoop, debe establecer el valor de lapropiedad s.defaultFS en el nombre de zona DNS SmartConnect en el archivocore-site.xml.

SmartConnect se analiza en más detalle en la sección Redes de esta guía.

WebHDFSOneFS admite el acceso a los datos de HDFS a través de las aplicaciones clienteWebHDFS.

WebHDFS es una interfaz de programación RESTful basada en operaciones de HTTP,como GET, PUT, POST y DELETE, que está disponible para crear aplicaciones cliente.Las aplicaciones cliente de WebHDFS le permiten acceder a los datos de HDFS yrealizar operaciones de HDFS mediante HTTP y HTTPS.

WebHDFS es compatible con OneFS según la zona de acceso y está habilitado demanera predeterminada.

WebHDFS es compatible con la autenticación simple o la de Kerberos. Si el método deautenticación de HDFS para una zona de acceso se establece en All, OneFS usa laautenticación simple para WebHDFS.

Nota

Para evitar el acceso de clientes no autorizados a través de la autenticación simple,deshabilite WebHDFS en todas las zonas de acceso donde no se debería admitir.

Suplantación de identidad seguraLa suplantación de identidad segura le permite crear usuarios proxy que puedensuplantar la identidad de otros usuarios para ejecutar trabajos de Hadoop.

Puede configurar suplantaciones de identidad seguras si usa aplicaciones tales comoApache Oozie para calendarizar, administrar y ejecutar trabajos de Hadoop de maneraautomática. Por ejemplo, puede crear un usuario proxy de Oozie que suplante laidentidad de manera segura de un usuario denominado HadoopAdmin, lo cual permiteque el usuario de Oozie solicite que los trabajos de Hadoop los realice el usuarioHadoopAdmin.

Puede configurar la suplantación de identidad segura de usuarios proxy en cada zona,y los usuarios o grupos de usuarios que usted asigne como miembros del usuario proxydeben pertenecer a la misma zona de acceso. Un miembro puede tener uno o más delos siguientes tipos de identidad:

l Usuario especificado por el nombre de usuario o UID

l Grupo de usuarios especificado por el nombre de grupo o GID

Hadoop

WebHDFS 591

l Usuario, grupo, máquina o cuenta especificados por el SID

l Usuario conocido especificado por el nombre

Si el usuario proxy no presenta credenciales válidas o si un miembro del usuario proxyno existe en el clúster, se deniega el acceso. El usuario proxy solo puede acceder a losarchivos y subdirectorios ubicados en el directorio raíz de HDFS de la zona de acceso.Se recomienda limitar los miembros que el usuario proxy puede suplantar a aquellosusuarios que tengan acceso únicamente a los datos que el usuario proxy necesita.

Agente AmbariEl marco de trabajo del cliente/servidor Ambari es una herramienta de otrosfabricantes que le permite configurar, administrar y monitorear un clúster Hadoopmediante una interfaz basada en navegador.

El agente OneFS Ambari se configura por zona de acceso. Es posible configurar elagente OneFS Ambari en cualquier zona de acceso que contenga datos HDFS. Parainiciar el agente OneFS Ambari en una zona de acceso, debe especificar la direcciónIPv4 del servidor Ambari externo y la dirección de un NameNode. El NameNode actúacomo punto de contacto para la zona de acceso.

El servidor Ambari externo recibe las comunicaciones del agente OneFS Ambari. Unavez que el agente OneFS Ambari se asigna a la zona de acceso, se registra en elservidor de Ambari. El agente, a continuación, proporciona un estado de los latidos alservidor. El servidor Ambari externo debe corresponder a un nombre de host, unnombre de dominio calificado o una dirección IPv4 que se pueda resolver, y se debeasignar a una zona de acceso.

El NameNode es el punto de contacto designado en una zona de acceso que losservicios Hadoop administran mediante la interfaz de Ambari. Por ejemplo, siadministra servicios como Oozie o YARN mediante el agente Ambari, los servicios seconectarán a la zona de acceso mediante el NameNode especificado. El agente Ambaricomunica la ubicación del NameNode designado al servidor Ambari y al agente Ambari.Si cambia la dirección designada del NameNode, el agente Ambari actualiza el servidorAmbari. El NameNode debe ser un nombre de zona SmartConnect válido o unadirección IP del pool de direcciones IP asociada a la zona de acceso.

Nota

El valor de NameNode especificado se mapea al NameNode, al NameNode secundarioy a los componentes de DataNode en el agente OneFS Ambari.

El agente OneFS Ambari se basa en el marco de trabajo de Apache Ambari y escompatible con varias versiones de servidor Ambari. Para obtener una lista completade las versiones compatibles, consulte la página Supported Hadoop Distributions andProducts en EMC Community Network (ECN).

Cifrado por cable HDFSEl cifrado por cable HDFS permite la transmisión de datos cifrados mediante elprotocolo HDFS entre los clientes OneFS y HDFS.

El cifrado por cable HDFS permite que OneFS cifre los datos que se transmiten entreOneFS y HDFS para cumplir con los requisitos normativos. El cifrado por cable utilizaAdvanced Encryption Standard (AES) para cifrar los datos. Pueden usarse claves de128, 192 y 256 bits.

Hadoop





Nota

Cuando se activa el cifrado por cable HDFS, se produce un impacto significativo en elrendimiento del protocolo HDFS y en el rendimiento de I/O.

Compatibilidad con Apache RangerOneFS es compatible con Apache Ranger como parte de una implementación deHadoop con un clúster Isilon.

La consola de Apache Ranger ofrece un marco de trabajo de seguridad centralizadopara administrar el control de acceso a través de componentes de acceso a datos deHadoop, como Apache Hive y Apache HBase. Estas políticas pueden establecerse parausuarios individuales o grupos, para así aplicarlas de manera coherente en bases dedatos, carpetas y archivos.

OneFS admite la administración de Ranger de los siguientes componentes HDP.

l Apache Hadoop HDFSOneFS solo es compatible con las políticas de autorización de HDFS de Ranger concondiciones "Deny". La documentación de Apache JIRA RANGER-606 describecómo usar las condiciones "Deny", que se agregaron en Ranger 0.6.0.

l Apache Hadoop YARN

l Apache Hive

l Apache HBase

l Apache Kafka

l Apache Knox

l Apache Solr

l Apache Storm

Se admite la autenticación local, de AD y de Kerberos.

Actualmente, no es compatible la auditoría de Ranger sobre el acceso HDFS.

Las políticas de etiquetado no son compatibles actualmente.

IP de Virtual HDFSPuede crear un rack virtual de HDFS de nodos en el clúster EMC Isilon para optimizarel rendimiento y reducir la latencia cuando se accede a los datos de HDFS.

OneFS le permite especificar un grupo de nodos de HDFS recomendados en el clústerEMC Isilon y especificar un grupo asociado de clientes de procesamiento Hadoopcomo un rack virtual de HDFS. Los racks virtuales de HDFS le permiten ajustar laconectividad del cliente, ya que dirigen a los clientes de procesamiento Hadoop paraque pasen por switches más rápidos y menos ocupados o por nodos más rápidos,según la topología de su red.

Cuando un cliente de procesamiento Hadoop del grupo especificado se conecta alclúster, OneFS arroja al menos dos direcciones IP del grupo de nodos de HDFSrecomendados. Especifique los nodos HDFS recomendados por pool de direcciones IP.Los pools de direcciones IP de la familia IPv6 no son compatibles con racks virtualesde HDFS.

Hadoop

Compatibilidad con Apache Ranger 593

Implementación de Hadoop con OneFSPara admitir Hadoop en un clúster EMC Isilon, debe configurar HDFS en el clústerIsilon para comunicarse con un clúster Hadoop.

El proceso para configurar HDFS en el clúster Isilon se resume en la siguiente lista:

l Activar una licencia para HDFS. Al activar una licencia, el servicio de HDFS sehabilita de manera predeterminada.

l Crear directorios en el clúster, los que se establecerán como directorios raíz deHDFS.

l Crear una zona SmartConnect para balancear las conexiones de los clientes deprocesamiento Hadoop.

l Crear usuarios locales de Hadoop en zonas de acceso que no tienen servicios dedirectorio, como Active Directory o LDAP.

l Establecer el directorio raíz de HDFS en cada zona de acceso que sea compatiblecon conexiones de HDFS.

l Habilitar o deshabilitar WebHDFS en cada zona de acceso.

l Configurar un método de autenticación en todas las zonas de acceso compatiblescon conexiones de HDFS.

l Configurar los ajustes del servicio de HDFS en el clúster.

l Configurar usuarios proxy para la suplantación de identidad segura.

l Configurar los racks virtuales de HDFS.

Administración del servicio de HDFSPuede configurar los ajustes del servicio de HDFS en el clúster EMC Isilon paramejorar el rendimiento de los flujos de trabajo de HDFS.

Activar o desactivar el dominio HDFSEs posible habilitar o deshabilitar el servicio de HDFS según la zona de acceso.

Procedimiento

1. Haga clic en Protocols > Hadoop (HDFS) > Settings.

2. En la lista Current Access Zone, seleccione la zona de acceso en la que deseahabilitar o deshabilitar el servicio de HDFS.

3. En el área HDFS Service Settings, seleccione o deseleccione el cuadro EnableHDFS service.


Configurar ajustes de servidores HDFSPuede configurar los ajustes del servicio de HDFS en cada zona de acceso paramejorar el rendimiento de los flujos de trabajo de HDFS.

Procedimiento


Hadoop


2. En la lista Current Access Zone, seleccione la zona de acceso en la que deseaconfigurar los ajustes del servicio.

3. En el área HDFS Service Settings, seleccione el tamaño de bloque de HDFSdeseado en la lista Default Block Size.

El tamaño de bloque de HDFS determina la forma en que el servicio de HDFSarroja datos tras las solicitudes de lectura del cliente de procesamiento Hadoop.

4. Seleccione el tipo de suma de verificación en la lista Default Checksum Type.

El servicio de HDFS no envía ningún dato de suma de verificación,independientemente del tipo de suma de verificación.


Ajustes de servicios de HDFSLa configuración del servicio de HDFS afecta el rendimiento de los flujos de trabajo deHDFS.

Puede configurar los siguientes ajustes del servicio de HDFS:

Configuración

Descripción

Block size La configuración del tamaño de bloque de HDFS en el clúster EMC determinala manera en que el servicio de HDFS arroja datos tras recibir las solicitudesde lectura del cliente de procesamiento Hadoop.Puede modificar el tamaño de bloque de HDFS en el clúster para aumentarlode 4 kB a 1 GB. El valor predeterminado es 128 MB. El aumento del tamañode bloque permite que los nodos del clúster Isilon lean y escriban datos deHDFS en bloques más grandes y optimicen el rendimiento para la mayoría delos casos de uso.

El clúster Hadoop mantiene un tamaño de bloque diferente que determina laforma en que un cliente de procesamiento Hadoop escribe un bloque dedatos en archivos en el clúster Isilon. El tamaño de bloque óptimo depende desus datos, de la forma en que los procese y de otros factores. Puedeconfigurar el tamaño de bloque del clúster Hadoop en la propiedaddfs.block.size del archivo de configuración hdfs-site.xml.

Checksumtype

El servicio de HDFS envía el tipo de suma de verificación a los clientes deprocesamiento Hadoop, pero no envía los datos de suma de verificación,independientemente del tipo de suma de verificación. El tipo de suma deverificación predeterminado se establece en None. Si su distribución de

Hadoop requiere enviar un tipo de suma de verificación distinto de None al

cliente, puede establecer el tipo de suma de verificación en CRC32 o en

CRC32C.

Ver la configuración de HDFSPuede ver la configuración de HDFS en una zona de acceso.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso en la que deseaver la configuración de HDFS.

Hadoop

Ajustes de servicios de HDFS 595

La pestaña Settings muestra las opciones de HDFS actuales de las siguientesáreas:

l Configuración del servicio HDFS

l Configuración del protocolo HDFS

l Configuración del servidor Ambari

Modificar los niveles de registro de HDFSPuede establecer el nivel de registro predeterminado de los servicios de HDFS paracualquier nodo en el clúster EMC Isilon.

Este procedimiento está disponible solamente a través de la interfaz de la línea decomandos

Procedimiento

1. Abra una conexión de protocolo SSH a un nodo del clúster e inicie sesión.

2. Ejecute el comando isi hdfs log-level modify.

El siguiente comando establece el nivel de registro de HDFS para rastrear elnodo:

isi hdfs log-level modify --set=trace

Ver los niveles de registro de HDFSPuede ver el nivel de registro predeterminado de los eventos del servicio HDFS paracualquier nodo en el clúster EMC Isilon.

Este procedimiento está disponible solamente a través de la interfaz de la línea decomandos

Procedimiento

1. Abra una conexión de protocolo SSH a un nodo del clúster e inicie sesión.

2. Ejecute el comando isi hdfs log-level view.


Current HDFS service log-level at the node is: trace

Configurar el directorio raíz de HDFSEs posible especificar un directorio raíz de HDFS en cada zona de acceso. Los clientesde procesamiento Hadoop conectados a la zona de acceso pueden acceder a todos losarchivos y subdirectorios del directorio raíz especificado.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso en la que deseaespecificar el directorio raíz.

3. En el área HDFS Protocol Settings, ingrese el directorio que desea incluir en elcampo HDFS Root Directory o navegue hacia este.

Hadoop


La ruta del directorio debe estar dentro de /ifs.


Configuración de los métodos de autenticación de HDFSPuede configurar un método de autenticación de HDFS en cada zona de acceso.

Si desea que los clientes de procesamiento de Hadoop que ejecutan Hadoop 2.2 yversiones posteriores se conecten a una zona de acceso mediante Kerberos, debeconfigurar las propiedades de autenticación de HDFS en el cliente de Hadoop.

Configurar el método de autenticación de HDFSPuede especificar el método de HDFS utilizado para autenticar las conexiones de losclientes de procesamiento Hadoop en una zona de acceso.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso en la que deseaespecificar el método de autenticación.

3. En el área HDFS Protocol Settings, seleccione uno de los siguientes métodosde autenticación de la lista Authentication Type:

l Autenticación simple y Kerberos

l Autenticación simple

l Autenticación Kerberos


Configurar las propiedades de autenticación de HDFS en el cliente HadoopSi desea que los clientes de procesamiento Hadoop que ejecutan Hadoop 2.2 yversiones posteriores se conecten a una zona de acceso mediante Kerberos, deberealizar algunas modificaciones en los archivos core-site.xml y hdfs-site.xmlde los clientes Hadoop.

Antes de comenzar

Se debe establecer Kerberos como el método de autenticación de HDFS en la zona deacceso y se debe configurar un proveedor de autenticación Kerberos en el clúster yasignarlo a este.Procedimiento

1. Vaya al directorio $HADOOP_CONF de su cliente Hadoop.

2. Abra el archivo core-site.xml en un editor de texto.

3. Establezca el valor de la propiedad hadoop.security.token.service.use_ip enfalse, como se muestra en el siguiente ejemplo:

<property> <name>hadoop.security.token.service.use_ip</name> <value>false</value> </property>

4. Guarde y cierre el archivo core-site.xml.

5. Abra el archivo hdfs-site.xml en un editor de texto.

Hadoop

Configuración de los métodos de autenticación de HDFS 597

6. Establezca el valor de la propiedad dfs.namenode.kerberos.principal.pattern enel realm Kerberos configurado en el proveedor de autenticación Kerberos, comose muestra en el siguiente ejemplo:

<property> <name>dfs.namenode.kerberos.principal.pattern</name> <value>hdfs/*@storage.company.com</value> </property>

7. Guarde y cierre el archivo hdfs-site.xml.

Métodos de autenticación de HDFS compatiblesEl método de autenticación determina cuáles son las credenciales que requiere OneFSpara establecer una conexión de cliente de procesamiento Hadoop.

Se especifica un método de autenticación de HDFS para cada zona de acceso. OneFSes compatible con los siguientes métodos de autenticación de HDFS:

Método deautenticación

Descripción

Simple only Requiere únicamente un nombre de usuario para establecer las conexionesde clientes.

Solo Kerberos Requiere credenciales de Kerberos para establecer las conexiones declientes.

Nota

Debe configurar Kerberos como un proveedor de autenticación en el clústerEMC Isilon y modificar el archivo core-site.xml en clientes que ejecutan

Hadoop 2.2 o superior.

All (valorpredeterminado)

Acepta la autenticación simple y las credenciales de Kerberos. Si no secompletan la configuración de Kerberos ni las modificaciones de archivos,las conexiones cliente volverán a la autenticación simple predeterminada.

PRECAUCIÓN

Para evitar el acceso no deseado a través de la autenticación simple,establezca el método de autenticación en Kerberos only para

imponer el acceso de clientes mediante Kerberos.

Crear un usuario local de HadoopOneFS debe ser capaz de buscar a un usuario local de Hadoop por nombre. Si unazona de acceso no cuenta con servicios de directorio que puedan realizar la búsquedade un usuario, debe crear un usuario local de Hadoop que realice el mapeo a un usuariodel cliente de procesamiento Hadoop para esa zona de acceso. Si los servicios dedirectorio están disponibles, no se necesita una cuenta de usuario local.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso en la que deseacrear un usuario local de Hadoop.

Hadoop


3. En la lista Providers, seleccione LOCAL.

4. Haga clic en Create User y escriba el nombre de usuario de Hadoop en elcampo Username.

5. Haga clic en Create User.

Habilitar o inhabilitar WebHDFSPuede especificar si se admite el acceso a datos HDFS a través de las aplicacionescliente WebHDFS en cada zona de acceso.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso en la cual deseahabilitar o deshabilitar WebHDFS.

3. En el área HDFS Protocol Settings, seleccione o deseleccione el cuadroEnable WebHDFS.


Configuración de suplantación de identidad seguraConfigure y administre usuarios proxy que puedan suplantar la identidad de otrosusuarios y grupos de manera segura.

Nota

Los nombres no pueden incluir los siguientes caracteres no válidos:" / \ [ ] : ; | = , + * ? < >

Crear un usuario proxyPuede crear un usuario proxy mediante la designación de un usuario existente para quepueda suplantar en forma segura la identidad de otro usuario o de un grupo deusuarios.

Antes de comenzar

Agregue los usuarios que desea designar como usuarios proxy o miembros del clústerEMC Isilon. El usuario proxy y sus miembros deben pertenecer a la misma zona deacceso.Procedimiento

1. Haga clic en Protocols > Hadoop (HDFS) > Proxy Users.

2. En la lista Current Access Zone, seleccione la zona de acceso a la cual deseaagregar un usuario proxy.

3. Haga clic en Create a Proxy User.

4. En el campo Name, escriba o busque el usuario que desea designar como nuevousuario proxy.

Si navega para buscar un usuario, puede buscar dentro de cada proveedor deautenticación asignado a la zona de acceso actual en el cuadro de diálogoSelect a User.

5. Haga clic en Add a Member. Aparecerá el cuadro de diálogo Select a User,Group, or Well-known SID.

Hadoop

Habilitar o inhabilitar WebHDFS 599

6. En el área Search for, seleccione el tipo de miembro que desea buscar.

Los miembros pueden ser usuarios individuales o grupos. Puede buscar unusuario o grupo por nombre o SID conocido.

7. (Opcional) Haga clic en Search para ver los resultados en función de loscriterios de búsqueda.

8. Seleccione el miembro que desee en la lista Search Results y haga clic enSelect.

Se cerrará el cuadro de diálogo Select a User, Group, or Well-known SID.

9. Haga clic en Create a Proxy User.

Modificar un usuario proxyPuede modificar la lista de miembros que un usuario proxy suplanta de manera segura.

No puede cambiar el usuario que se designa como el usuario proxy.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso en la que deseamodificar un usuario proxy.

3. En la lista Proxy Users, seleccione la casilla de verificación junto al usuarioproxy que desea modificar y, a continuación, haga clic en View/Edit.

4. En el cuadro de diálogo View Proxy User Details, haga clic en Edit Proxy User.

5. Agregue o quite miembros y haga clic en Save Changes.

Eliminar un usuario proxyPuede eliminar un usuario proxy que suplanta la identidad de otro usuario de manerasegura.

La eliminación de un usuario proxy elimina al usuario de la lista de usuarios que puedenrealizar la suplantación de identidad segura; no se elimina al usuario del sistema.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso de la que deseaeliminar a un usuario proxy.

3. En la lista Proxy Users, seleccione la casilla de verificación junto al usuarioproxy que desea eliminar y, a continuación, haga clic en Delete.


Ver un usuario proxyPuede ver una lista de todos los usuarios proxy en una zona de acceso y ver losdetalles de cada usuario proxy individual.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso en la que deseaver un usuario proxy.

Hadoop


La lista Proxy Users muestra todos los usuarios proxy configurados en la zonade acceso.

3. En la lista Proxy Users, seleccione la casilla de verificación junto al usuarioproxy que desea ver y, a continuación, haga clic en View/Edit.

Aparecerá el cuadro de diálogo View Proxy User Details.

4. Haga clic en Close cuando termine de ver los detalles del usuario proxy.

Configurar ajustes del agente AmbariEs posible configurar la compatibilidad del agente Ambari en cada zona de acceso quecontenga datos de HDFS.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso en la cual deseahabilitar la configuración del servidor Ambari.

3. En el área Ambari Server Settings, en el campo Ambari Server, escriba elnombre del servidor Ambari externo que recibirá la comunicación del agenteAmbari.

El valor debe ser un nombre de host, un nombre de dominio calificado o unadirección IPv4 o IPv6 que se puedan resolver.

4. En el campo Ambari NameNode, designe la dirección IP o el nombre de dominiocalificado de SmartConnect de la zona de acceso en la que residen los datosHDFS en el clúster.

La dirección IP debe pertenecer a un pool de direcciones IP que comparte lamisma zona de acceso. Las direcciones IPv6 no son compatibles.

5. En el campo ODP Version, especifique la versión del repositorio de pila deplataforma de datos abiertos (ODP), que incluye el número de compilación siexiste alguno, instalado por el servidor de Ambari.

La versión de ODP es obligatoria para admitir las actualizaciones ODP en otrossistemas que forman parte del clúster de Hadoop.

6. En el campo Ambari Metrics Collector, especifique el nombre del host Ambariexterno en el que está instalado el componente recopilador de métricas deAmbari.

El valor debe ser un nombre de host, un nombre de dominio calificado o unadirección IPv4 o IPv6 que se puedan resolver.


Editar la configuración del plug-in RangerHabilite el plug-in HDFS Ranger para permitir la supervisión adicional de laautenticación del protocolo de HDFS a través de Apache Ranger.

Cuando se habilita el plug-in de Apache Ranger, se habilitan las políticas deautorización definidas en la instancia del servicio de Ranger HDFS (tambiéndenominada repositorio antes de Apache Ranger 0.6.0). Las políticas deben permitirprimero que a los usuarios o grupos accedan a los recursos y después deben denegarel acceso a usuarios o grupos específicos. Si un usuario no está incluido en la lista deusuarios autorizados, se le niega el acceso de manera predeterminada.

Hadoop

Configurar ajustes del agente Ambari 601

Nota

Una política mal formada puede tener un efecto no deseado, como bloquear el acceso.

El nombre del repositorio es una configuración en Apache Ranger. La versión másantigua compatible de Apache Ranger es 0.6.0. En la versión 0.6.0, Apache Rangercambió el nombre de esta función a “instancia del servicio”. La instancia de servicio esel nombre de la instancia del servicio HDFS dentro de la interfaz de usuario de ApacheRanger Admin que se utiliza como nombre del repositorio.

La URL del administrador de políticas se encuentra en el servidor Ambari, en Ambari >Ranger > Configs como policymgr_external_url. Esta dirección URL se creamediante la combinación de http://, seguido del nombre de host donde estáinstalado Ranger Admin, seguido del valor de ranger.service.http.port, quesuele ser 6080, seguido por /Procedimiento

1. Haga clic en Protocols > Hadoop (HDFS) > Ranger Plugin Settings.

2. En el área Ranger Plugin settings, seleccione Enable Ranger Plugin.

3. En el campo Policy manager URL, escriba la URL en la que se ubica eladministrador de políticas.

4. En el campo Repository name, escriba el nombre del repositorio HDFS.


Configurar el cifrado de cable HDFSConfigure el cifrado de cable HDFS mediante el protocolo HDFS entre los clientesOneFS y HDFS.

Procedimiento


2. En el cuadro Data Transfer Cipher, seleccione una de estas opciones.


Para habilitar el cifrado decable HDFS

Seleccione uno de los cifrados del estándaravanzado de cifrado (AES): AES/CTR/NoPadding with 128 bit key, AES/CTR/NoPadding with 192 bit key o AES/CTR/NoPadding with 256 bit key.

Para deshabilitar el cifradode cable HDFS

Seleccione Do not encrypt data.

3. Haga clic en Save Settings.

Administración de racks virtuales de HDFSPuede administrar los racks virtuales de HDFS de los nodos del clúster EMC Isilon.

Un rack virtual de HDFS es un pool de nodos del clúster Isilon asociado con un pool declientes de procesamiento Hadoop. Es posible crear, modificar, eliminar y ver los racksvirtuales.

Hadoop


Cree dos adaptadores virtuales de HDFS.Puede crear un rack virtual de HDFS de nodos en el clúster EMC Isilon para optimizarel rendimiento y reducir la latencia cuando se accede a los datos de HDFS.

Procedimiento

1. Haga clic en Protocols > Hadoop (HDFS) > Virtual Racks.

2. En la lista Current Access Zone, seleccione la zona de acceso a la que deseaagregar un rack virtual de HDFS.

3. Haga clic en Create a Virtual Rack.

4. En el campo Name, ingrese un nombre para el nuevo rack virtual.

El nombre de rack debe comenzar con una barra diagonal, por ejemplo, /hdfs-rack2.

5. En el campo Client IP Ranges, especifique el rango de direcciones IP de losclientes de procesamiento Hadoop que se asociarán con el rack virtual de HDFS.

Puede asociar múltiples rangos IP.

6. En el área IP Pools, seleccione el pool de direcciones IP deseado en la tablaAvailable Pools y haga clic en Add.

7. Haga clic en Create Virtual Rack.

Modificar un rack virtual HDFSEs posible modificar la configuración de un rack virtual HDFS.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso en la que deseamodificar un rack virtual de HDFS.

3. En la lista Virtual Racks, seleccione la casilla de verificación junto al rack virtualde HDFS que desea modificar y, a continuación, haga clic en View/Edit.

4. En el cuadro de diálogo View Virtual Rack Settings, haga clic en Edit VirtualRack.

5. Modifique los ajustes del rack virtual y haga clic en Save Changes.

Eliminar un rack virtual de HDFSPuede eliminar un rack virtual de HDFS de un clúster EMC Isilon.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso de la que deseaeliminar un rack virtual de HDFS.

3. En la lista Virtual Racks, seleccione la casilla de verificación junto al rack virtualde HDFS que desea eliminar y, a continuación, haga clic en Delete.


Hadoop

Cree dos adaptadores virtuales de HDFS. 603

Ver racks virtuales de HDFSPuede ver una lista de todos los racks virtuales de HDFS en una zona de acceso y verlos detalles de cada rack virtual individual.

Procedimiento


2. En la lista Current Access Zone, seleccione la zona de acceso en la que deseaver un rack virtual de HDFS.

La lista Virtual Racks muestra todos los racks virtuales de HDFS configuradosen la zona de acceso.

3. En la lista Virtual Racks, seleccione la casilla de verificación junto al rack virtualde HDFS que desea ver y, a continuación, haga clic en View/Edit.

Aparecerá el cuadro de diálogo View Virtual Rack Settings .

4. Haga clic en Close cuando termine de ver los detalles del rack virtual de HDFS.

Hadoop


CAPÍTULO 27

Antivirus


l Descripción general del antivirus......................................................................606l Escaneo de acceso...........................................................................................606l Escaneo de política antivirus............................................................................ 607l Escaneo de archivos individuales......................................................................607l Antivirus y archivos WORM..............................................................................607l Informes de escaneo antivirus..........................................................................608l Servidores ICAP...............................................................................................608l Respuestas a amenazas antivirus..................................................................... 608l Configuración de los parámetros globales del antivirus.....................................610l Administración de servidores ICAP................................................................... 612l Crear una política antivirus............................................................................... 613l Administración de las políticas antivirus............................................................614l Administración de los escaneos antivirus.......................................................... 615l Administración de las amenazas antivirus......................................................... 616l Administración de los informes de antivirus...................................................... 618

Antivirus 605

Descripción general del antivirusPuede escanear los archivos almacenados en un clúster Isilon para buscar virus y otrasamenazas de seguridad mediante la integración de servicios de escaneo de otrosfabricantes a través del Protocolo de Adaptación de Contenidos de Internet (ICAP).

OneFS envía los archivos a través de ICAP a un servidor que ejecuta software antivirusde otros fabricantes para realizar escaneos. Estos servidores se denominan servidoresICAP. Los servidores ICAP escanean los archivos en busca de virus.

Después de que un servidor ICAP escanea un archivo, informa a OneFS si es unaamenaza o no. Si se detecta una amenaza, OneFS la informa a los administradores delsistema mediante la creación de un evento, donde se muestra la información resumidacasi en tiempo real, y mediante la documentación de la amenaza en un informe deescaneo antivirus. OneFS puede configurarse para solicitar que los servidores ICAPintenten reparar los archivos infectados. También puede configurar OneFS paraproteger a los usuarios contra archivos potencialmente peligrosos truncando losarchivos infectados o poniéndolos en cuarentena.

Antes de que OneFS envíe un archivo para su escaneo, se asegura de que el análisis nosea redundante. Si un archivo ya se escaneó y no sufrió modificaciones, OneFS no loenviará para su escaneo a menos que la base de datos de virus en el servidor ICAP sehaya actualizado desde el último escaneo.

Nota

El escaneo antivirus está disponible únicamente si todos los nodos del clúster estánconectados a la red externa.

Escaneo de accesoPuede configurar OneFS para enviar archivos para su escaneo antes de que se abran,después de cerrarse o en ambos casos. El envío de archivos para su escaneo despuésde cerrarse es más rápido, pero menos seguro. El envío de archivos para su escaneoantes de que se abran es más lento, pero más seguro.

Si OneFS está configurado para garantizar que los archivos se escaneen después decerrarse, cuando un usuario crea o modifica un archivo en el clúster, OneFS pone estearchivo en la línea de espera para su escaneo. A continuación, OneFS envía el archivo aun servidor ICAP para su escaneo cuando proceda. En esta configuración, los usuariossiempre pueden acceder a los archivos sin ningún retardo. Sin embargo, es posible quedespués de que un usuario modifique o cree un archivo, un segundo usuario podríaacceder al mismo antes de que se escanee. Si un virus se introduce en el archivo delprimer usuario, el segundo usuario podrá acceder al archivo infectado. Además, si unservidor ICAP no es capaz de escanear un archivo, este seguirá estando accesible a losusuarios.

Si OneFS garantiza que los archivos se escaneen antes de abrirse, cuando un usuariointenta descargar un archivo del clúster, OneFS primero envía el archivo a un servidorICAP para su escaneo. El archivo no se envía al usuario hasta que el escaneo secomplete. El escaneo de archivos antes de que se abran es más seguro que el escaneode archivos después de cerrarse, debido a que los usuarios solo pueden acceder a losarchivos escaneados. Sin embargo, el escaneo de archivos antes de abrirse requiereque los usuarios esperen a que los archivos se escaneen. También puede configurarOneFS para que rechace el acceso a los archivos que un servidor ICAP no puedeescanear, lo que puede aumentar el retardo. Por ejemplo, si no hay ningún servidor

Antivirus


ICAP disponible, los usuarios no podrán acceder a ningún archivo hasta que losservidores ICAP vuelvan a estar disponibles.

Si configura OneFS para garantizar que los archivos se escaneen antes de abrirse, serecomienda que configure también OneFS para asegurar el escaneo de los archivosdespués de cerrarse. El escaneo de archivos cuando se abren y también cuando secierran no necesariamente mejora la seguridad, pero normalmente mejora ladisponibilidad de datos en comparación con el escaneo de archivos únicamente cuandose abren. Si un usuario desea acceder a un archivo, es posible que este ya se hayaescaneado después de su última modificación y no necesitará volver a escanearse si labase de datos del servidor ICAP no se ha actualizado desde el último escaneo.

Escaneo de política antivirusPuede crear políticas de escaneo de antivirus para enviar archivos desde un directorioespecificado para su escaneo. Las políticas de antivirus se pueden ejecutarmanualmente en cualquier momento o se pueden configurar para ejecutarse deacuerdo con un calendario.

Las políticas de antivirus se dirigen a un directorio específico en el clúster. Puedeevitar que una política de antivirus envíe determinados archivos dentro del directorioraíz especificado en función del tamaño, el nombre o la extensión de los archivos. Laspolíticas de antivirus no se dirigen a snapshots. Solamente los escaneos durante elacceso incluyen a los snapshots. El motor de trabajos de OneFS maneja los análisisantivirus, los que funcionan igual que cualquier trabajo del sistema.

Escaneo de archivos individualesPuede enviar un archivo específico a un servidor ICAP para su escaneo en cualquiermomento.

Si se detecta un virus en un archivo, pero el servidor ICAP no es capaz de repararlo,puede enviar el archivo al servidor ICAP después de actualizar la base de datos devirus para ver si el servidor ICAP es capaz de reparar el archivo. También puedeescanear archivos individuales para comprobar la conexión entre el clúster y losservidores ICAP.

Antivirus y archivos WORMEl software antivirus puede analizar y poner en cuarentena los archivos WORM (write-once, read many), pero no puede repararlos ni eliminarlos hasta que transcurra elperíodo de retención.

El módulo de software SmartLock permite identificar un directorio en OneFS como undominio WORM. Todos los archivos dentro del dominio WORM se asignarán a unestado WORM, lo que significa que esos archivos no se pueden sobrescribir, modificarni eliminar.

Al igual que con otros archivos en OneFS, los archivos WORM se pueden escanear enbusca de virus y otras amenazas de seguridad. Sin embargo, debido a su naturalezaprotegida de solo lectura, los archivos WORM no se pueden reparar ni eliminar duranteun análisis antivirus. Si se descubre que un archivo WORM es una amenaza, el archivoqueda en cuarentena.

Cuando sea conveniente, puede iniciar un análisis antivirus de los archivos antes deque se confirmen en un estado WORM.

Antivirus

Escaneo de política antivirus 607

Informes de escaneo antivirusOneFS genera informes sobre escaneos antivirus. Cada vez que se ejecuta una políticade antivirus, OneFS genera un informe para dicha política. OneFS también genera uninforme cada 24 horas que incluye todos los escaneos durante el acceso que se hayanrealizado durante el día.

Los informes de escaneos de antivirus contienen la siguiente información:

l La hora a la que el escaneo comenzó.

l La hora a la que el escaneo terminó.

l La cantidad total de archivos escaneados.

l El tamaño total de archivos escaneados.

l El tráfico de red total enviado.

l El rendimiento de red que se consumió mediante el escaneo de virus.

l Si el escaneo se realizó correctamente.

l La cantidad total de archivos infectados detectados.

l Los nombres de los archivos infectados.

l Las amenazas asociadas con los archivos infectados.

l Cómo respondió OneFS a las amenazas detectadas.

Servidores ICAPLa cantidad de servidores ICAP necesarios para brindar soporte a un clúster Isilondepende de cómo esté configurado el escaneo de virus, de la cantidad de datos queprocese el clúster y de la capacidad de procesamiento de los servidores ICAP.

Si tiene previsto escanear archivos exclusivamente mediante políticas de escaneoantivirus, se recomienda que tenga un mínimo de dos servidores ICAP por cadaclúster. Si tiene previsto escanear archivos cuando se accede a ellos, se recomiendaque tenga, por lo menos, un servidor ICAP por cada nodo del clúster.

Si configura más de un servidor ICAP para un clúster, es importante que se asegure deque la capacidad de procesamiento de los servidores ICAP sea relativamente igual.OneFS distribuye archivos a los servidores ICAP en forma rotativa,independientemente de su capacidad de procesamiento. Si uno de los servidores tieneuna capacidad significativamente superior a otro, OneFS no envía más archivos alservidor con más capacidad.

Respuestas a amenazas antivirusPuede configurar el sistema para reparar, poner en cuarentena o truncar cualquierarchivo en el que el servidor ICAP detecte virus.

OneFS y los servidores ICAP reaccionan de una o varias de las siguientes manerascuando se detectan amenazas:

Alerta

Todas las amenazas que se detectan hacen que se genere un evento en OneFS anivel de advertencia, independientemente de la configuración de la respuesta anteamenazas.

Antivirus


Reparación

El servidor ICAP intenta reparar el archivo infectado antes de devolver el archivoa OneFS.

Poner en cuarentena

OneFS pone el archivo infectado en cuarentena. Ningún usuario puede acceder aun archivo en cuarentena. No obstante, el usuario raíz puede quitar un archivo dela cuarentena si se conecta al clúster a través del protocolo SSH. Si respalda suclúster mediante un respaldo de tipo NDMP, los archivos en cuarentenapermanecerán en cuarentena cuando se restauren los archivos. Si replica losarchivos en cuarentena en otro clúster Isilon, los archivos en cuarentenacontinuarán en cuarentena en el clúster de destino. Las cuarentenas funcionan deforma independiente de las listas de control de acceso (ACL).

Truncar

OneFS trunca el archivo infectado. Cuando un archivo se trunca, OneFS reduce eltamaño del archivo a cero bytes para inocular el archivo.

Puede configurar OneFS y los servidores ICAP para que reaccionen de una de lassiguientes maneras cuando detecten amenazas:

Reparación o cuarentena

Intenta reparar los archivos infectados. Si un servidor ICAP no repara un archivo,OneFS pone el archivo en cuarentena. Si el servidor ICAP repara el archivocorrectamente, OneFS envía el archivo al usuario. La reparación o la cuarentenapueden resultar útiles si desea proteger a los usuarios del acceso a los archivosinfectados, a la vez que conserva todos los datos en un clúster.

Reparación o truncado

Intenta reparar los archivos infectados. Si un servidor ICAP no repara un archivo,OneFS trunca el archivo. Si el servidor ICAP repara el archivo correctamente,OneFS envía el archivo al usuario. La reparación o el truncado pueden resultarútiles si no le importa no conservar todos los datos en su clúster y desea liberarespacio de almacenamiento. No obstante, los datos de los archivos infectados seperderán.

Solo alerta

Solo genera un evento por cada archivo infectado. Se recomienda no aplicar esteajuste.

Solo reparación

Intenta reparar los archivos infectados. Posteriormente, OneFS envía los archivosal usuario, independientemente de si el servidor ICAP reparó los archivoscorrectamente. Se recomienda no aplicar este ajuste. Si solo intenta reparar losarchivos, los usuarios podrán seguir accediendo a los archivos infectados que nopuedan repararse.

Poner en cuarentena

Pone todos los archivos infectados en cuarentena. Se recomienda no aplicar esteajuste. Si pone los archivos en cuarentena sin intentar repararlos, podría denegarel acceso a algunos archivos infectados que podrían repararse.

Truncar

Trunca todos los archivos infectados. Se recomienda no aplicar este ajuste. Sitrunca los archivos sin intentar repararlos, podría eliminar datosinnecesariamente.

Antivirus

Respuestas a amenazas antivirus 609

Configuración de los parámetros globales del antivirusPuede configurar los ajustes de antivirus globales que se aplican a todos los escaneosantivirus de forma predeterminada.

Excluir archivos de los escaneos antivirusPuede impedir que los escáneres antivirus examinen archivos. Esta configuración seaplica a todos los análisis antivirus.

Procedimiento

1. Haga clic en Data Protection > Antivirus > Settings.

2. (Opcional) Para excluir archivos según el tamaño, en el área Maximum FileScan Size, especifique el tamaño de archivo más grande que desea escanear.

3. Para excluir archivos según el nombre, ejecute los siguientes pasos:

a. Seleccione Enable filters.

b. En el área Filter Matching, especifique si desea analizar todos los archivosque coinciden con un filtro específico o todos los archivos que no coincidencon ninguno en particular.

c. Especifique uno o más filtros.

a. Haga clic en Add Filters.

b. Especifique el filtro.Puede incluir los siguientes caracteres comodín:


* Hace coincidir cualquier cadena en lugardel asterisco. Por ejemplo, especificar m*haría coincidir movies y m123.

[ ] Hace coincidir cualquier carácter entreparéntesis o rango de caracteresseparados por un guion.Por ejemplo, especificar b[aei]t haría

coincidir bat, bet y bit.

Por ejemplo, especificar 1[4-7]2 haría

coincidir 142, 152, 162 y 172.

Puede excluir los caracteres entreparéntesis insertando un signo deexclamación después del primerparéntesis.

Por ejemplo, especificar b[!ie] haría

coincidir bat, pero no bit ni bet.

Puede hacer coincidir un paréntesis dentrode otro paréntesis si se trata del primer oúltimo carácter.

Por ejemplo, especificar [[c]at haría

coincidir cat y [at.

Antivirus



Puede hacer coincidir un guion dentro deun paréntesis si se trata del primer oúltimo carácter.

Por ejemplo, especificar car[-s] haría

coincidir cars y car-.

? Hace coincidir cualquier carácter en lugardel signo de interrogación.

Por ejemplo, especificar t?p haría

coincidir tap, tip y top.

c. Haga clic en Add Filters.


Configurar ajustes del escaneo en el accesoPuede configurar OneFS para que escanee automáticamente los archivos a medidaque los usuarios acceden a ellos. Los escaneos en el acceso funcionan de maneraindependiente de las políticas antivirus.

Procedimiento


2. En el área On-Access Scans, especifique si desea que los archivos se escaneena medida que se accede a ellos.

l Para configurar el escaneo de todos los archivos antes de que los abra unusuario, seleccione Enable scan of files on open y especifique si deseapermitir el acceso a archivos que no se pueden escanear mediante laselección o anulación de selección de la opción Enable file access whenscanning fails.

l Para escanear archivos después de cerrarlos, seleccione Enable scan offiles on close.

3. En el área All Scans, en el campo Path Prefixes, especifique los directorios alos que desea aplicar los ajustes en acceso.


Configurar ajustes de respuesta a amenazas antivirusPuede configurar la forma en que OneFS responde a las amenazas detectadas.

Procedimiento


2. En el área Action On Detection, especifique cómo desea que OneFS reaccionea posibles archivos infectados.

Configurar los ajustes de conservación de informes de antivirusPuede configurar el tiempo durante el cual OneFS debe conservar informes deantivirus antes de eliminarlos automáticamente.

Antivirus

Configurar ajustes del escaneo en el acceso 611

Procedimiento


2. En el área Reports, especifique el período en que desea que OneFS mantengalos informes.

Activar o desactivar el escaneo antivirusPuede habilitar o deshabilitar todos los escaneos antivirus.

Este procedimiento únicamente está disponible a través de la interfaz deadministración web.

Procedimiento

1. Haga clic en Data Protection > Antivirus > Summary.

2. En el área Service, seleccione o deseleccione Enable Antivirus service.

Administración de servidores ICAPAntes de poder enviar archivos para su escaneo en un servidor ICAP, debe configurarOneFS para conectarse al servidor. Puede probar, modificar y eliminar una conexióncon el servidor ICAP. También puede cancelar temporalmente la conexión y volver aestablecerla con un servidor ICAP.

Falla al conectar con el servidor ICAPPuede agregar un servidor ICAP y conectarse a él. Después de la adición de unservidor, OneFS puede enviarle archivos que se escanearán en busca de virus.

Procedimiento

1. Haga clic en Data Protection > Antivirus > ICAP Servers.

2. En el área ICAP Servers, haga clic en Add an ICAP Server.

3. (Opcional) Para habilitar el servidor ICAP, haga clic en Enable ICAP Server.

4. En el cuadro de diálogo Create ICAP Server, en el campo ICAP Server URL,ingrese la dirección IPv4 o IPv6 de un servidor ICAP.

5. (Opcional) Para agregar una descripción del servidor, ingrese el texto en elcampo Description.

6. Haga clic en Add Server.

Prueba de conexión a un servidor ICAPPuede probar la conexión entre OneFS y un servidor ICAP. Este procedimientoúnicamente está disponible a través de la interfaz de administración web.

Procedimiento


2. En la tabla ICAP Servers, en la fila del servidor ICAP, haga clic en View / Edit.

Si el clúster está conectado al servidor ICAP, en el área Details, apareceráactive en el campo Status.

Antivirus


Modificar la configuración de conexión ICAPPuede modificar la dirección IP y la descripción opcional de las conexiones deservidores ICAP.

Procedimiento


2. En la tabla ICAP Servers, en la fila de un servidor ICAP, haga clic en View /Edit.


4. Modifique los ajustes y haga clic en Save Changes.

Desconectarse temporalmente de un servidor ICAPSi desea impedir que OneFS envíe archivos a un servidor ICAP, pero desea conservarla configuración de conexión de este servidor, puede desconectarse temporalmentedel servidor ICAP.

Procedimiento




4. Desmarque la casilla Enable ICAP Server y haga clic en Save Changes.

Para crear un servidor ICAP:Puede volver a conectarse a un servidor ICAP del cual se desconectó temporalmente.

Procedimiento




4. Seleccione Enable ICAP Server y haga clic en Save Changes.

Eliminar un servidor ICAPPuede desconectarse permanentemente de un servidor ICAP.

Procedimiento


2. En la tabla ICAP Servers, en la fila para un servidor ICAP, haga clic en Delete.

Crear una política antivirusPuede crear una política antivirus que activa el escaneo de archivos específicos enbusca de virus cada vez que se ejecuta.

Antivirus

Modificar la configuración de conexión ICAP 613

Procedimiento

1. Haga clic en Data Protection > Antivirus > Policies.

2. Haga clic en Create an Antivirus Policy.

3. (Opcional) Para habilitar la política, haga clic en Enable antivirus policy.

4. En el campo Policy Name, escriba un nombre para la política de antivirus.

5. (Opcional) Si desea agregar una descripción a la política, escríbala en el campoDescription.

6. En el campo Paths, especifique el directorio que desee analizar.

También puede hacer clic en Add another directory path para especificardirectorios adicionales.

7. En el área Recursion Depth, especifique la profundidad con la que deseaanalizar los directorios especificados.

l Para analizar todos los subdirectorios de los directorios especificados, hagaclic en Full recursion.

l Para analizar una cantidad limitada de subdirectorios de los directoriosespecificados, haga clic en Limit depth y especifique cuántos subdirectoriosdesea analizar.

8. (Opcional) Para analizar todos los archivos, sin importar si OneFS ha marcadoarchivos como analizados o si existen ajustes globales que especifiquen queciertos archivos no se deben analizar, seleccione Enable force run of policyregardless of impact policy.

9. (Opcional) Para modificar la política de impacto predeterminada de los análisisantivirus, seleccione una nueva política de impacto en la lista Impact Policy.

10. En el área Schedule, especifique si desea ejecutar la política de acuerdo con unprograma o de forma manual.

Las políticas calendarizadas también se pueden ejecutar manualmente encualquier momento.


Run the policy only manually. Haga clic en Manual

Run the policy according to aschedule.

a. Haga clic en Scheduled.

b. Especifique la frecuencia con la que deseaejecutar la política.


Administración de las políticas antivirusPuede modificar y eliminar las políticas de antivirus. También puede deshabilitartemporalmente las políticas antivirus si desea conservar la política, pero no quiereescanear archivos.

Modificar una política antivirusPuede modificar una política antivirus.

Antivirus


Procedimiento


2. En la tabla Antivirus Policies, en la fila de la política antivirus que deseamodificar, haga clic en View / Edit.

3. En el cuadro de diálogo View Antivirus Policy Details, haga clic en Edit.

4. Modifique los ajustes y haga clic en Save Changes.

Eliminar una política antivirusPuede eliminar una política antivirus.

Procedimiento


2. En la tabla Antivirus Policies, en la fila de la política antivirus que deseaeliminar, haga clic en More > Delete.

Activar o desactivar frames jumbo:Puede deshabilitar temporalmente las políticas antivirus si desea conservar la política,pero no desea escanear archivos.

Procedimiento


2. En la tabla Antivirus Policies, en la fila de las políticas antivirus que deseahabilitar o inhabilitar, haga clic en More > Enable Policy o More > DisablePolicy según corresponda.

Ver políticas antivirusPuede ver políticas antivirus.

Procedimiento


2. En la tabla Antivirus Policies, verá las políticas de antivirus.

Administración de los escaneos antivirusPuede escanear varios archivos en busca de virus ejecutando manualmente unapolítica de antivirus, o bien, escanear un archivo individual sin una política de antivirus.También puede detener los escaneos antivirus.

Escaneo de un archivoPuede escanear manualmente un archivo individual en busca de virus.


Procedimiento


2. Ejecute el comando isi antivirus scan.

Antivirus

Eliminar una política antivirus 615

El siguiente comando escanea el archivo /ifs/data/virus_file en buscade virus:

isi antivirus scan /ifs/data/virus_file

Ejecutar manualmente una política antivirusPuede ejecutar manualmente una política de antivirus en cualquier momento.

Este procedimiento únicamente está disponible a través de la interfaz deadministración web.

Procedimiento


2. En la tabla Antivirus Policies, en la fila de una política, haga clic en More > RunPolicy.

Detener un escaneo antivirus en ejecuciónPuede detener un escaneo de antivirus en ejecución. Este procedimiento únicamenteestá disponible a través de la interfaz de administración web.

Procedimiento


2. En la tabla Active Jobs, en la fila con el texto AVScan, haga clic en More >

Cancel Running Job.

Administración de las amenazas antivirusPuede reparar, poner en cuarentena o truncar archivos en los que se hayan detectadoamenazas. Si cree que un archivo en cuarentena ya no supone una amenaza, puedevolver a escanear el archivo o sacarlo de cuarentena.

Archivo de intercambio de 4 GBPuede poner un archivo en cuarentena para impedir que los usuarios accedan a él.

Procedimiento

1. Haga clic en Data Protection > Antivirus > Detected Threats.

2. En la tabla Antivirus Threat Reports, en la fila de un archivo, haga clic enMore > Quarantine File.

Procesar archivoPuede reexaminar un archivo en busca de virus si, por ejemplo, cree que un archivo yano es una amenaza.


Procedimiento


2. Ejecute el comando isi antivirus scan.

Antivirus


Por ejemplo, el siguiente comando escanea /ifs/data/virus_file:

isi antivirus scan /ifs/data/virus_file

Eliminar un archivo de la cuarentenaPuede eliminar un archivo de la cuarentena si, por ejemplo, cree que ya no constituyeuna amenaza.

Procedimiento


2. En la tabla Antivirus Threat Reports, en la fila de un archivo, haga clic enMore > Restore File.

Truncado manual de un archivoSi se detecta una amenaza en un archivo, y ese archivo es irreparable y ya no senecesita, puede truncarlo manualmente.


Procedimiento


2. Ejecute el comando rm en un archivo.

El siguiente comando trunca el archivo /ifs/data/virus_file:

rm /ifs/data/virus_file

Consulte .Puede ver los archivos que un servidor ICAP identificó como amenazas.

Procedimiento


2. En la tabla Antivirus Threat Reports, consulte los posibles archivos infectados.

Información de amenazas antivirusPuede ver la información sobre amenazas antivirus que proporciona un servidor ICAP.

Nombre

Muestra el nombre de la amenaza detectada tal como la reconoce el servidorICAP.

Ruta

Muestra la ruta del archivo posiblemente infectado.

Medidas correctivas

Indica la forma en que OneFS respondió al archivo cuando se detectó la amenaza.

Política

Muestra el ID de la política antivirus que provocó la detección de la amenaza.

Antivirus

Eliminar un archivo de la cuarentena 617

Detected

Muestra la hora a la que se detectó la amenaza.

Acciones

Muestra las acciones que se pueden ejecutar en el archivo.

Administración de los informes de antivirusPuede ver los informes de antivirus a través de la interfaz de administración web.También puede ver eventos que están relacionados con la actividad antivirus.

Ver todos los informesPuede ver informes de antivirus.

Procedimiento

1. Haga clic en Data Protection > Antivirus > Reports.

2. En la tabla Antivirus Scan Reports, en la fila de un informe, haga clic en ViewDetails.

Ver ahora »Puede ver eventos relacionados con la actividad antivirus.

Procedimiento

1. Haga clic en Cluster Management > Events and Alerts > Events.

2. En la tabla Event History podrá ver todos los eventos.

Todos los eventos relacionados con los escaneos antivirus se clasifican comoadvertencias. Los siguientes eventos se relacionan con actividades antivirus:

AVScan Infected File Found

Un escaneo antivirus detectó una amenaza. Estos eventos se refieren ainformes específicos en la página Antivirus Reports, pero no proporcionandetalles sobre la amenaza.

No ICAP Servers available

OneFS no puede comunicarse con ningún servidor ICAP.

Servidor ICAP configurado erróneamente, inaccesible o sin respuesta

OneFS no puede comunicarse con un servidor ICAP.

Antivirus


CAPÍTULO 28

IsilonSD Edge


l Arquitectura y almacenamiento de EMC IsilonSD Edge....................................620l Descripción general del clúster IsilonSD............................................................621l Descripción general de la licencia de EMC IsilonSD Edge..................................621l Descripción general de IsilonSD Management Server.......................................624l Implementación y configuración de clústeres de IsilonSD................................ 625

IsilonSD Edge 619

Arquitectura y almacenamiento de EMC IsilonSD EdgeEMC IsilonSD Edge crea clústeres virtuales OneFS a través de los recursos disponiblesen los hosts VMware ESXi. Los clústeres OneFS se implementan como máquinasvirtuales (VM) y las unidades se alojan en discos de datos.

Los componentes de IsilonSD Edge incluyen IsilonSD Management Server, el plug-inde administración de IsilonSD y los archivos de la máquina virtual OneFS. El plug-in deadministración se incluye con el servidor de administración y se instalaautomáticamente cuando se implementa el servidor de administración en un host ESXiy se registra un servidor de VMware vCenter.

El plug-in de administración le permite crear un clúster de IsilonSD si selecciona hostsESXi y unidades en esos hosts. Se puede agregar a un clúster un máximo de seisnodos, que son en realidad máquinas virtuales OneFS. A fin de mantener el mismomodelo de protección que siguen los clústeres físicos de EMC Isilon, se mantiene unacorrespondencia uno a uno entre un host ESXi y un nodo. De manera similar, semantiene una correspondencia uno a uno entre una unidad accesible a un nodo y unaunidad física. Todas estas verificaciones las ejecuta el servidor de administración.

Cuando el servidor de administración implementa nodos, evita que dos o más nodosdel mismo clúster compartan el mismo host ESXi. Cuando selecciona las unidadesfísicas para un nodo, el servidor de administración evita que cualquier unidad individualaloje más de un disco virtual.

Consideraciones de red de EMC IsilonSD EdgeLa ruta de datos de OneFS requiere un mínimo de dos NIC para proporcionarconectividad para las redes de back-end y front-end, respectivamente. En unaimplementación de EMC IsilonSD Edge, un nodo tiene asignados NIC virtuales que seconectan a switches virtuales. Le recomendamos que conecte las redes Ethernet defront-end y back-end a dos subredes diferentes. La subred de Ethernet de front-endes para el acceso del cliente y la administración, y debe ser accesible en todomomento. Se debe asignar una dirección IP de administración o de servicio al clústeren la misma subred que el rango de direcciones IP de front-end. El servidor deadministración interactúa con el clúster a través de esta dirección IP. Lerecomendamos crear un clúster con el rango máximo posible de direcciones IPteniendo en cuenta los requisitos futuros. Una consideración de compatibilidad paralos nodos es que su dispositivo de puerto en serie debe ser accesible a través de la red.Esto se logra a través de un concentrador virtual de puertos en serie (vSPC) que seejecuta en el servidor de administración. El host ESXi de un nodo debe ser capaz deestablecer una conexión TCP con el número de puerto 8080 en el servidor deadministración. Asegúrese de que exista una ruta adecuada y de que no se hayaconfigurado un firewall entre los hosts y vCenter.

Consideraciones de almacenamiento de EMC IsilonSD EdgeEn EMC IsilonSD Edge, el disco de encendido y el disco de registro de un nodo tienenrespaldo en dispositivos de almacenamiento. Estos dispositivos determinan laconfiabilidad de un nodo. El rendimiento y la latencia del disco de registro determinanel rendimiento de escritura y la latencia del nodo. Por lo tanto, le recomendamos quealoje un disco de registro a través de un dispositivo de almacenamiento con respaldoen flash. En resumen, cada nodo requiere tantos dispositivos de almacenamientoúnicos como la cantidad de discos de datos que necesita un nodo. El dispositivo dealmacenamiento en un host determinado no se puede compartir entre los discos dedatos del mismo nodo.

IsilonSD Edge


Nota

IsilonSD Edge admite solo discos con conexión directa y áreas de almacenamiento dedatos de VMFS-5 (discos de datos) que se crean desde los discos de conexión directa.Las unidades Fibre Channel de SAN y iSCSI o las áreas de almacenamiento de datos deVMFS-5 que se crean mediante las unidades no son compatibles.

En la siguiente figura se muestra la arquitectura de un clúster de tres nodos:

Descripción general del clúster IsilonSDUn clúster IsilonSD se compone de tres a seis nodos virtuales alojados en VMwareESXi. Cada nodo virtual ejecuta el sistema operativo Isilon OneFS, el software delsistema de archivos distribuido que reúne los nodos en un clúster.

La capacidad de almacenamiento del clúster varía según los siguientes factores:

l Tipo de licencia de IsilonSD

l Tamaño mínimo del disco de datos

l Cantidad mínima de discos de datos por nodo

l Cantidad de nodos en el clúster

Para obtener más información sobre la capacidad del clúster, consulte la Guía deinstalación y administración de IsilonSD Edge.

Descripción general de la licencia de EMC IsilonSD EdgeIsilonSD Edge le permite configurar una licencia por clúster para administrar susrequisitos de almacenamiento. Esta licencia contiene una licencia de clúster y unalicencia de funciones OneFS. Estas dos licencias determinan la cantidad máxima denodos, capacidad, memoria, vCPU, discos y funciones de clúster IsilonSD que estándisponibles para usted.

Puede instalar IsilonSD Edge mediante la configuración de la licencia gratuita que seincluye en el paquete de instalación. Sin embargo, esta licencia no es compatible contodas las funciones de clúster. Para acceder a funciones de clúster avanzadas, debecomprar una licencia que sea compatible con estas funciones. Después de obtener lasclaves de licencia, puede activar las licencias a través de IsilonSD Management Server.

IsilonSD Edge

Descripción general del clúster IsilonSD 621

Si tiene preguntas relacionadas con la compatibilidad de licencias, comuníquese con elequipo de eLicensing de EMC. Para obtener más información sobre la compra delicencias, comuníquese con su gerente de cuentas de EMC Isilon.

Nota

Si implementó un clúster IsilonSD mediante la configuración de la licencia gratuita, notiene derecho a ningún tipo de soporte por parte de EMC Isilon para preguntasrelacionadas con el producto. Puede publicar sus preguntas en https://community.emc.com/community/products/isilon para obtener ayuda.

La siguiente tabla resume la disponibilidad de las funciones de clúster según el tipo delicencias que haya configurado para su instalación.

Característica

Función Licencia gratuita Licencia paga

CloudPools Crea políticas depools de archivosque almacenan losarchivos en la nube

No yes

NFS, SMB,HTTP, FTP,HDFS

Protocolos detransferencia y usocompartido dearchivos

yes yes

InsightIQ Monitorea y analizael rendimiento de unclúster paraayudarlo a optimizarlos recursos dealmacenamiento yproyectar lacapacidad

yes yes

SyncIQ Realiza unareplicaciónasíncrona de losdatos en otroclúster y escompatible confailover y failbackentre clústeres

No yes

SmartLock Impide que sealteren o eliminendatos importantesen formamalintencionada,accidental oprematura.

No Sí

IsilonSD Edge




Característica


Nota

IsilonSD Edge escompatible con elmódulo de softwareSmartLock en losmodos empresarial y decumplimiento denormas. Sin embargo,si el clúster se ejecutaen modo decumplimiento denormas, no puedeagregar nodos nuevosal clúster. Además, esposible que el clústerIsilonSD no cumpla lasnormativas SEC.

SmartConnectAdvanced

Administra elbalanceo delrendimiento,conexiones round-robin, uso del CPU yconteo deconexiones.

yes yes

SmartPools Grupos de nodos yarchivos en pools

yes yes

SmartDedupe Ahorra espacio dealmacenamiento enun clúster mediantela reducción dedatos redundantes

yes yes

SmartQuota Monitorea y aplicalímites dealmacenamientodefinidos por eladministrador

yes yes

SnapShotIQ Crea snapshots paraproteger los datoscontra la eliminacióny la modificaciónaccidentales, yrestaura datoseliminados ymodificados.

yes yes

Isilon Swift Proporcionafuncionalidades dealmacenamientobasadas en objetos.

yes yes

IsilonSD Edge

Descripción general de la licencia de EMC IsilonSD Edge 623

Característica


Respaldo detipo NDMPbidireccional

Un protocolo deadministración dedatos de red(NDMP) en el queuna aplicación deadministración dedatos (DMA) de unservidor de respaldole indica a un nododel acelerador derespaldo en elclúster que respaldedatos en un servidorde medios de cintaconectado al nododel acelerador derespaldo

No No

Respaldo detipo NDMP detres vías

Un protocolo deadministración dedatos de red(NDMP) en el queuna aplicación deadministración dedatos (DMA) en unservidor de respaldole indica al clústerque respalde losdatos en un servidorde medios de cintaconectado a la LANo directamente a laDMA.

yes yes

Descripción general de IsilonSD Management ServerIsilonSD Management Server actúa como un gateway para la implementación declústeres de OneFS en VMware ESXi. Debe implementar y configurar el servidor deadministración correctamente para implementar los clústeres de OneFS.

El servidor de administración administra las licencias de IsilonSD que, a la vez,determinan los módulos de software que están disponibles con el fin de acceder a lasfuncionalidades avanzadas del clúster. Para obtener información sobre cómoimplementar y configurar IsilonSD Management Server, consulte la Guía de instalacióny administración de IsilonSD Edge.

Después de implementar y configurar el servidor de administración, IsilonSDManagement Plug-in se registra dentro de VMware vCenter. Puede acceder a esteplug-in para ejecutar las siguientes tareas:

l Implementar un clúster

l Eliminar un clúster

IsilonSD Edge


l Configurar licencias de IsilonSD

l Actualizar licencias de IsilonSD

l Agregar nodos a un clúster

l Eliminar nodos de un clúster

l Agregar unidades

l Eliminar unidades

l Realizar un SmartFail a los nodos

l Realizar un SmartFail a las unidades

Nota

No puede realizar las tareas mencionadas a través de la interfaz de administraciónweb.

Para obtener información sobre estas tareas, consulte la Guía de instalación yadministración de IsilonSD Edge.

Implementación y configuración de clústeres de IsilonSDPuede usar el plug-in de administración de IsilonSD para implementar y configurar losclústeres de IsilonSD. Después de registrar correctamente un servidor VMwarevCenter a través de la interfaz del usuario para IsilonSD Management Server, el plug-in de administración se instala dentro de esa instancia del servidor de vCenter.

El plug-in de administración también le permite escalar los clústeres mediante laadición de nodos. La cantidad de nodos que pueden agregarse al clúster depende de lacantidad de licencias que posea y de la infraestructura de virtualización subyacente.

También puede usar el plug-in de administración para configurar el almacenamientopara los clústeres, siempre y cuando configure el almacenamiento de conexión directaa través de RAID, LUN o discos crudos y que estos estén disponibles para el host ESXi.A partir de ese momento, el plug-in de administración crea discos virtuales, formatealos discos y los pone a disposición de los clústeres.

IsilonSD Edge

Implementación y configuración de clústeres de IsilonSD 625

IsilonSD Edge


CAPÍTULO 29

Integración con VMware


l Descripción general de la integración con VMware.......................................... 628l VAAI.................................................................................................................628l VASA............................................................................................................... 628l Configuración de soporte para VASA............................................................... 629l Deshabilitar o volver a habilitar VASA...............................................................633l Solución de problemas de visibilidad del almacenamiento VASA.......................633

Integración con VMware 627

Descripción general de la integración con VMwareOneFS se integra con las infraestructuras de VMware, como vSphere, vCenter y ESXi.La integración con VMware le permite ver información sobre clústeres Isilon einteractuar con estos mediante las aplicaciones de VMware.

OneFS interactúa con las infraestructuras de VMware mediante VMware vSphere APIfor Storage Awareness (VASA) y VMware vSphere API for Array Integration (VAAI).Para obtener más información sobre VAAI consulte Isilon VAAI NAS Plug-in for IsilonRelease Notes.

OneFS se integra con VMware vCenter Site Recovery Manager (SRM) a través deIsilon Storage Replication Adapter (SRA). VMware SRM facilita la migración yrecuperación de desastres de máquinas virtuales almacenadas en clústeres de Isilon.Isilon SRA permite que VMware vCenter SRM administre automáticamente laconfiguración, las pruebas y los componentes de la conmutación por error de losprocesos de recuperación de desastres para los clústeres Isilon. Para obtenerinformación acerca de Isilon SRA para VMware SRM, consulte Isilon SRA for VMwareSRM Release Notes.

VAAIOneFS usa VMware vSphere API for Array Integration (VAAI) para admitir la descargade operaciones de administración y de almacenamiento de máquina virtual específicasdesde hipervisores VMware ESXi a un clúster Isilon.

Con el soporte VAAI, podrá acelerar el proceso de creación de máquinas y discosvirtuales. Para que OneFS interactúe con su ambiente vSphere a través de VAAI, suambiente VMware debe incluir ESXi 5.0 o hipervisores posteriores.

Si habilita funcionalidades VAAI para un clúster Isilon, cuando clona una máquinavirtual que reside en el clúster mediante VMware, OneFS clona los archivosrelacionados con esa máquina virtual.

Para permitir que OneFS use VMware vSphere API for Array Integration (VAAI), debeinstalar el plug-in VAAI NAS para Isilon en el servidor ESXi. Para obtener másinformación sobre el plug-in VAAI NAS para Isilon, consulte VAAI NAS plug-in for IsilonRelease Notes.

VASAOneFS se comunica con VMware vSphere mediante VMware vSphere API for StorageAwareness (VASA).

El soporte de VASA le permite ver información acerca de los clústeres Isilon mediantevSphere, incluidas las alarmas específicas de Isilon en vCenter. También le permiteintegrarse con el almacenamiento dirigido por perfiles de VMware, ya que proporcionafuncionalidades de almacenamiento para los clústeres Isilon en vCenter. Para queOneFS se comunique con vSphere a través de VASA, su ambiente de VMware debeincluir hipervisores ESXi 5.0 o versiones posteriores.

Alarmas de Isilon VASASi el servicio VASA está habilitado en un clúster Isilon y este se agrega como unproveedor de VMware vSphere API for Storage Awareness (VASA) en vCenter,OneFS genera alarmas en vSphere.



https://support.emc.com/docu71154_VAAI_NAS_Plug-In_for_Isilon_1.2.2_Release_Notes.pdf

https://support.emc.com/docu71154_VAAI_NAS_Plug-In_for_Isilon_1.2.2_Release_Notes.pdf



La siguiente tabla describe la alarma que genera OneFS:

Nombre de la alarma Descripción

Thin-provisioned LUN capacity exceeded No hay espacio disponible suficiente en elclúster para asignar espacio para escribirdatos en LUN con aprovisionamiento delgado.Si este estado continúa, no podrá escribir enla máquina virtual en este clúster. Parasolucionar este problema, debe liberar espaciode almacenamiento en el clúster.

Funcionalidades del almacenamiento de VASAOneFS se integra a VMware vCenter mediante VMware vSphere API for StorageAwareness (VASA) para mostrar las funcionalidades de almacenamiento de losclústeres Isilon en vCenter.

Las siguientes funcionalidades de almacenamiento se muestran mediante vCenter:

Archivo

El clúster Isilon se compone de nodos de la serie NL de Isilon. El clúster estáconfigurado para tener una capacidad máxima.

Rendimiento

El clúster Isilon se compone de nodos de las series I, X o S de Isilon. El clúster estáconfigurado para tener un máximo rendimiento.

Nota

Si un tipo de nodo admite discos SSD, pero no hay ninguno instalado, el clúster sereconoce como un clúster de capacidad.

Capacidad

El clúster Isilon se compone de nodos de la serie X de Isilon que no contienendiscos SSD. El clúster está configurado para que haya equilibrio entre elrendimiento y la capacidad.

Hybrid

El clúster Isilon se compone de nodos asociados con dos o más funcionalidades dealmacenamiento. Por ejemplo, si el clúster incluía tanto nodos de la serie S comode la serie NL, la funcionalidad de almacenamiento del clúster aparece comoHybrid.

Configuración de soporte para VASAPara habilitar el soporte de VMware vSphere API for Storage Awareness (VASA) paraun clúster, es necesario habilitar el demonio VASA en el clúster y agregar el certificadode proveedor de Isilon en vCenter.


Funcionalidades del almacenamiento de VASA 629

Nota

Si está ejecutando vCenter 6.0, debe crear un certificado autofirmado como sedescribe en la sección Crear un certificado autofirmado antes de agregar el certificadode proveedor de Isilon y de registrar el proveedor de VASA a través de vCenter.

Activar VASAPara habilitar un clúster Isilon y comunicarse con VMware vSphere API for StorageAwareness (VASA), habilite el demonio VASA.

Procedimiento


2. Ejecute el siguiente comando para habilitar VASA:

isi services isi_vasa_d enable

Descargar el certificado del proveedor de IsilonPara agregar un proveedor de VASA del clúster Isilon en VMware vCenter, debeutilizar un certificado del proveedor.

Procedimiento

1. En un navegador web compatible, conéctese a un clúster Isilon en https://<IPAddress>, donde <IPAddress> corresponde a la dirección IP del clústerIsilon.

2. Agregue una excepción de seguridad y vea el certificado de seguridad paraasegurarse de que esté vigente.

3. Descargue el certificado de seguridad y guárdelo en alguna ubicación de sumáquina.

Para obtener más información acerca de la exportación de un certificado deseguridad, consulte la documentación de su navegador.

Nota

Registre la ubicación donde guardó el certificado. Necesitará esta ruta dearchivo cuando agregue el proveedor en vCenter.


Si está ejecutando vCenter 6.0, siga las instrucciones de la sección Create a self-signedcertificate. Si está ejecutando alguna de las versiones anteriores de vCenter, omita lasección siguiente y siga las instrucciones de la sección Add the Isilon vendor provider.

Crear un certificado con autofirmaSi está ejecutando VMware vCenter 6.0, debe crear un nuevo certificado autofirmadoantes de agregar y registrar un proveedor de VASA a través de vCenter.

Para crear un certificado autofirmado, abra una conexión secure shell (SSH) a un nododel clúster EMC Isilon que se usará como proveedor de VASA. Como alternativa,después de crear un certificado con autofirma en un nodo, puede copiar el certificadoa cualquier otro nodo del clúster y registrar ese nodo como un proveedor de VASA envCenter.



Procedimiento

1. Ejecute el siguiente comando para crear una clave RSA:

openssl genrsa -aes128 -out vp.key 1024

2. Ejecute los siguientes comandos en forma secuencial para quitar la frase decontraseña:

cp vp.key vp.key.withpassphraseopenssl rsa -in vp.key.withpassphrase -out vp.key

3. Cree una solicitud de firma de certificado mediante la ejecución del siguientecomando:

openssl req -new -key vp.key -out vp.csr

4. Genere un certificado autofirmado sin capacidad de firma de CA mediante laejecución de los siguientes comandos de forma secuencial:

echo "basicConstraints=CA:FALSE" > vp.extopenssl x509 -req -days 365 -in vp.csr -sha256 -signkey vp.key -extfile vp.ext -out vp.crt:

Nota

Con un período de validez de 365 días, puede cambiar el certificado autofirmadosi fuera necesario.

5. Para ver el nuevo certificado con la información de las extensiones para laverificación, ejecute el siguiente comando:

openssl x509 -text -noout -purpose -in vp.crt

6. Cree un respaldo del server.key original mediante el siguiente comando:

cp /usr/local/apache2/conf/ssl.key/server.key /usr/local/apache2/conf/ssl.key/server.key.bkp

7. Reemplace la clave anterior del servidor con la nueva clave de servidor medianteel siguiente comando:

cp vp.key /usr/local/apache2/conf/ssl.key/server.key

Donde vp.key es la nueva clave de servidor.


Crear un certificado con autofirma 631

8. Cree una copia de seguridad del certificado original mediante el siguientecomando:

cp /usr/local/apache2/conf/ssl.crt/server.crt /usr/local/apache2/conf/ssl.crt/server.crt.bkp

Dondeserver.crt es el certificado original.

9. Reemplace el certificado original en el servidor con el nuevo certificadomediante el siguiente comando:

cp vp.crt /usr/local/apache2/conf/ssl.crt/server.crt

Donde vp.crt es el certificado nuevo.

10. Ejecute los siguientes dos comandos en forma secuencial para detener yreiniciar el servicio de apache httpd en /usr/local/apache2/bin/después de que el certificado se reemplace:

killall httpd/usr/local/apache2/bin/httpd -k start

Agregar el proveedor de IsilonDebe agregar un clúster EMC Isilon como proveedor en VMware vCenter antes de quepueda ver la información sobre las funcionalidades de almacenamiento del clúster através de vCenter.

Antes de comenzar

Descargue un certificado del proveedor. Cree un certificado autofirmado si estáejecutando la versión 6.0 de vCenter.

Procedimiento

1. En vCenter, navegue a la ventana Add Vendor Provider.

2. Complete los siguientes campos en la ventana Add Vendor Provider:

Nombre

Escriba un nombre para este proveedor VASA. Especifíquelo como si fuesecualquier cadena. Por ejemplo, escriba EMC Isilon Systems.

Dirección URL

Escriba https://<IPAddress>:8081/vasaprovider, donde <IPAddress>corresponde a la dirección IP de un nodo en el clúster de Isilon.

Inicio de sesión

Escriba root.

Contraseña

Escriba la contraseña del usuario raíz.



Certificate location

Escriba la ruta de archivos del certificado del proveedor correspondiente aeste clúster.

3. Seleccione el cuadro Use Vendor Provider Certificate.

4. Haga clic en OK.

Deshabilitar o volver a habilitar VASAPuede deshabilitar o volver a habilitar un clúster Isilon para comunicarse con VMwarevSphere mediante VMware vSphere API for Storage Awareness (VASA).

Para deshabilitar el soporte para VASA, debe desactivar el demonio VASA y la interfazde administración web de Isilon. No podrá administrar el clúster mediante unnavegador de Internet mientras la interfaz web esté desactivada. Para volver ahabilitar el soporte para VASA, debe habilitar el demonio VASA y la interfaz web.

Procedimiento


2. Para deshabilitar o habilitar la interfaz web, ejecute uno de los siguientescomandos:

l isi services apache2 disablel isi services apache2 enable

3. Para deshabilitar o habilitar el demonio VASA, ejecute uno de los siguientescomandos:

l isi services isi_vasa_d disablel isi services isi_vasa_d enable

Solución de problemas de visibilidad del almacenamientoVASA

Si no puede ver información sobre los clústeres Isilon mediante vSphere, siga losconsejos que se muestran a continuación para solucionar el problema.

l Verifique que el certificado del proveedor se encuentre vigente y no vencido.

l Verifique que el clúster Isilon pueda comunicarse con VASA mediante el demoniode VASA. Si el demonio de VASA está deshabilitado, ejecute el siguiente comandopara habilitarlo:

isi services isi_vasa_d enable

l Verifique que la fecha y la hora del clúster estén establecidas correctamente.

l Verifique que los datos se haya sincronizado correctamente desde vCenter.


Deshabilitar o volver a habilitar VASA 633

CAPÍTULO 30

File System Explorer


l Descripción general de File System Explorer....................................................636l Navegar por el sistema de archivos..................................................................636l Llamadas de creación por segundo...................................................................636l Modificar las propiedades de archivos y directorios......................................... 637l Ver las propiedades de archivos y directorios...................................................637l Propiedades de archivos y directorios.............................................................. 637

File System Explorer 635

Descripción general de File System ExplorerFile System Explorer es una interfaz web que le permite administrar el contenidoalmacenado en el clúster EMC Isilon. Puede utilizar File System Explorer para navegarpor el sistema de archivos de Isilon (/ifs), agregar directorios y administrarpropiedades de archivos y directorios, incluidos la protección de datos, la optimizaciónde I/O y los permisos de UNIX.

Los permisos del directorio del sistema de archivos de Isilon están ajustados en unprincipio para permitir pleno acceso a todos los usuarios. Cualquier usuario puedeeliminar cualquier archivo, independientemente de los permisos del archivo individual.Según el ambiente, debe establecer las restricciones de permisos correspondientesmediante File System Explorer.

File System Explorer es compatible con las zonas de acceso. De formapredeterminada, el usuario raíz y sysadmin tienen acceso a la zona de acceso de nivelsuperior, System (/ifs). Otros usuarios puede restringirse a zonas de accesoespecíficas, por ejemplo, /ifs/home.

Puede ver y configurar las propiedades de archivos y directorios desde cualquiercliente Windows que esté conectado al clúster. Sin embargo, debido a que lospermisos de Windows y UNIX varían de uno a otro, debe tener cuidado de no realizarningún cambio no deseado que afecte el acceso a los archivos y directorios.

Navegar por el sistema de archivosPuede navegar por el sistema de archivos de Isilon, /ifs, mediante File SystemExplorer.

Procedimiento

1. Haga clic en File System > File System Explorer.

2. Ver archivos y directorios.

Puede hacer clic en un directorio para ver su contenido.

Llamadas de creación por segundoPuede crear un directorio en el árbol de directorios /ifs mediante File SystemExplorer.

Procedimiento

1. Haga clic en File System > File System Explorer.

2. Navegue al directorio en el que desea agregar el directorio.

3. Haga clic en Create Directory.

4. En el cuadro de diálogo Create a Directory, en el campo Directory Name,ingrese un nombre para el directorio.

5. En el área Permissions, asigne permisos al directorio.

6. Haga clic en Create Directory.



Modificar las propiedades de archivos y directoriosPuede modificar las propiedades de archivos y directorios mediante File SystemExplorer.

Procedimiento

1. Haga clic en File System Management > File System Explorer.

2. Navegue al archivo o directorio que desea modificar.

3. En la fila del archivo o directorio, haga clic en View / Edit.

4. Haga clic en Edit Properties.

5. Modifique las propiedades de archivo o directorio y, a continuación, haga clic enSave Changes.

Ver las propiedades de archivos y directoriosPuede ver las propiedades de archivos y directorios mediante File System Explorer.

Procedimiento

1. Haga clic en File System Management > File System Explorer.

2. Navegue al archivo o directorio que desea ver.

3. En la fila del archivo o directorio, haga clic en View / Edit.

Propiedades de archivos y directoriosLas siguientes propiedades de archivos y directorios se muestran en File SystemExplorer:

Properties

Ruta

Muestra la ruta absoluta del archivo o directorio.

File Size

Muestra el tamaño lógico del archivo o directorio.

Space Used

Muestra el tamaño físico del archivo o directorio.

Last Modified

Muestra la hora en que se modificó por última vez el archivo o directorio.

Last Accessed

Muestra la hora en que se accedió por última vez al archivo o directorio.

Permisos de UNIX

Usuario

Muestra los permisos asignados al propietario del archivo o directorio.

Grupo

Muestra los permisos asignados al grupo del archivo o directorio.


Modificar las propiedades de archivos y directorios 637

Otros

Muestra los permisos asignados a otros usuarios para el archivo o directorio.



Guía de administración web de OneFS 8.0...Reglas de asignación de nombres para los grupos y...

Documents

Transcript of Guía de administración web de OneFS 8.0...Reglas de asignación de nombres para los grupos y...