IsilonOneFSVersatildeo 810
Guia de Administraccedilatildeo da CLI
Copyright copy 2013-2017 Dell Inc ou suas subsidiaacuterias Todos os direitos reservados
Publicado em Maio 2017
A Dell assegura que as informaccedilotildees apresentadas neste documento estatildeo corretas na data da publicaccedilatildeo As informaccedilotildees estatildeo sujeitas a
alteraccedilotildees sem preacutevio aviso
AS INFORMACcedilOtildeES CONTIDAS NESTA PUBLICACcedilAtildeO SAtildeO FORNECIDAS ldquoNO ESTADO EM QUE SE ENCONTRAMrdquo A DELL NAtildeO GARANTE
NENHUM TIPO DE INFORMACcedilAtildeO CONTIDA NESTA PUBLICACcedilAtildeO ASSIM COMO SE ISENTA DE GARANTIAS DE COMERCIALIZACcedilAtildeO OU
ADEQUACcedilAtildeO DE UM PRODUTO A UM PROPOacuteSITO ESPECIacuteFICO O USO A COacutePIA E A DISTRIBUICcedilAtildeO DE QUALQUER SOFTWARE DA DELL
DESCRITO NESTA PUBLICACcedilAtildeO EXIGE UMA LICENCcedilA DE SOFTWARE
Dell EMC e outras marcas comerciais satildeo marcas comerciais da Dell Inc ou de suas subsidiaacuterias Outras marcas comerciais aqui mencionadas
pertencem a seus respectivos proprietaacuterios Publicado no Brasil
EMC BrasilRua Verbo Divino 1488 ndash 4ordm andar Satildeo Paulo ndash SP ndash 04719-002 0800-553622Tel (11) 5185-8800 Fax (11) 5185-8999wwwDellEMCcompt-brindexhtm
2 OneFS 810 Guia de Administraccedilatildeo da CLI
Introduccedilatildeo a este guia 19Sobre este guia20Visatildeo geral do NAS de scale-out do Isilon 20Visatildeo geral do IsilonSD Edge20Onde obter suporte21
Suporte com autoatendimento 21
NAS de scale-out da Isilon 23Arquitetura de armazenamento do OneFS24Componentes do noacute Isilon24Redes internas e externas 25Cluster Isilon25
Administraccedilatildeo de cluster 26Quoacuterum 26Separaccedilatildeo e mescla 27Pools de armazenamento28
Sistema operacional OneFS28Protocolos de acesso a dados28Gerenciamento de identidade e controle de acesso 29
Estrutura do file system 30Layout de dados 30Gravando arquivos31Lendo arquivos 31Layout de metadados 31Bloqueios e simultaneidade 32Striping32
Visatildeo geral da proteccedilatildeo de dados 32Proteccedilatildeo de dados N+M 34Espelhamento de dados 34Registro do file system 35VHS (Virtual Hot Spare hot spare virtual)35Proteccedilatildeo de balanceamento com espaccedilo de armazenamento35
Integraccedilatildeo com VMware35Moacutedulos de software 35
Introduccedilatildeo agrave interface de linha de comando do OneFS 39Visatildeo geral da interface de linha de comando do OneFS40
Visatildeo geral da interface de linha de comando do IsilonSD Edge 40Diagramas de sintaxe40Opccedilotildees universais 41Privileacutegios da interface de linha de comando 42Permissotildees de comandos de conformidade do SmartLock 42Valores de tempo do OneFS 45
Administraccedilatildeo geral de cluster 47Visatildeo geral da administraccedilatildeo de cluster 48Interfaces do usuaacuterio 48Estabelecendo conexatildeo com o cluster49
Capiacutetulo 1
Capiacutetulo 2
Capiacutetulo 3
Capiacutetulo 4
CONTEUacuteDO
OneFS 810 Guia de Administraccedilatildeo da CLI 3
Fazer log-in na interface Web de administraccedilatildeo 49Abrir uma conexatildeo SSH com um cluster50
Licenciamento 50Licenccedilas de software 51Niacuteveis de hardware51Status da licenccedila 52Adicionando e removendo licenccedilas 52Ativando licenccedilas de versatildeo de avaliaccedilatildeo54
Certificados55Substituir ou renovar o certificado de TLS 55Verificar uma atualizaccedilatildeo do certificado SSL60Exemplo de dados do certificado de TLS 60
Identidade dos clusters 61Definir o nome do cluster 62
Informaccedilotildees de contato do cluster 62Especificar informaccedilotildees de contato 62
Data e hora do cluster 63Configurar a data e a hora do cluster63Especificar um servidor de horaacuterio do NTP64
Configuraccedilotildees de e-mail SMTP 65Definir configuraccedilotildees de e-mail SMTP 65Exibir as configuraccedilotildees de e-mail do SMTP65
Configurando o cluster de associaccedilatildeo de cluster 66Especificar o modo de associaccedilatildeo do cluster 66
Configuraccedilotildees do file system67Especificar a codificaccedilatildeo de caracteres do cluster67Ativar ou desativar o rastreamento do horaacuterio de acesso 68
Reforccedilo da seguranccedila68Perfil de reforccedilo STIG69Aplicar um perfil de reforccedilo de seguranccedila69Inverter um perfil de reforccedilo de seguranccedila71Exibir o status do reforccedilo de seguranccedila 72
Monitoramento dos clusters 72Monitorar o cluster 73Exibir o status do noacute 73
Monitorando o hardware do cluster 73Exibir o status do hardware do noacute 73Estados do chassi e da unidade74Verificar o status da bateria 78Monitoramento do SNMP 78
Alertas e eventos82Visatildeo geral dos eventos 82Visatildeo geral dos grupos de evento 83Alertas - Visatildeo geral83Visatildeo geral de canais83Visualizando e modificando os grupos de eventos83Gerenciando alertas85Gerenciando canais87Manutenccedilatildeo e teste89
Manutenccedilatildeo e clusters91Substituindo componentes do noacute 91Fazendo upgrade de componentes do noacute92ARR para unidades 92Gerenciando o microcoacutedigo dos drives 94Gerenciando noacutes do cluster 99Fazendo upgrade do OneFS101
CONTEUacuteDO
4 OneFS 810 Guia de Administraccedilatildeo da CLI
Suporte remoto102Configurando o suporte do EMC Secure Remote Services103Scripts de suporte remoto106Ativar e configurar o suporte ao ESRS 110Desativar o suporte ao ESRS111Exibir configuraccedilotildees do ESRS 111
Zonas de acesso 113Visatildeo geral das zonas de acesso 114Diretrizes de diretoacuterios base 114Praacuteticas recomendadas para zonas de acesso 115Zonas de acesso de um cluster secundaacuterio do SyncIQ 116Limites de zona de acesso 116Qualidade de serviccedilo 117Gerenciando zonas de acesso 118
Criar uma zona de acesso 118Atribuir um diretoacuterio base sobreposto 118Gerenciar provedores de autenticaccedilatildeo de uma zona de acesso119Associar um pool de endereccedilos IP a uma zona de acesso119Modificar uma zona de acesso 120Excluir uma zona de acesso120Exibir uma lista de zonas de acesso 120
Autenticaccedilatildeo 123Visatildeo geral da autenticaccedilatildeo124Recursos dos provedores de autenticaccedilatildeo 124Visatildeo geral do histoacuterico do identificador de seguranccedila 124Meacutetodos compatiacuteveis de autenticaccedilatildeo 125Active Directory 125LDAP126NIS 127Autenticaccedilatildeo Kerberos 127
Visatildeo geral de Keytabs e SPNs128Suporte a protocolo MIT Kerberos 128
Provedor de arquivos 129Provedor local 129Gerenciando provedores do Active Directory 129
Configurar um provedor do Active Directory 130Modificar um provedor do Active Directory130Excluir um provedor do Active Directory 130
Gerenciando provedores de LDAP 131Configurar um provedor de LDAP 131Modificar um provedor LDAP 132Excluir um provedor LDAP132
Gerenciando provedores de NIS132Configurar um provedor de NIS132Modificar um provedor de NIS133Excluir um provedor de NIS 133
Gerenciando autenticaccedilatildeo do MIT Kerberos133Gerenciando realms MIT Kerberos133Gerenciando provedores do MIT Kerberos 136Gerenciando domiacutenios do MIT Kerberos 138Gerenciando SPNs e chaves 140
Gerenciando provedores de arquivos 143
Capiacutetulo 5
Capiacutetulo 6
CONTEUacuteDO
OneFS 810 Guia de Administraccedilatildeo da CLI 5
Configurar um provedor de arquivos 143Gerar um arquivo de senha 143Modificar um provedor de arquivos 144Excluir um provedor de arquivos144Formato dos arquivos de senha 144Formato dos arquivos de grupo 146Formato dos arquivos de grupos de rede146
Gerenciando usuaacuterios e grupos locais 147Exibir uma lista de usuaacuterios e grupos por provedor 147Criar um usuaacuterio local 147Criar um grupo local 148Regras de nomenclatura para usuaacuterios e grupos locais 148Configurar ou modificar uma poliacutetica local de senha 148Configuraccedilotildees locais da poliacutetica de senhas 149Modificar um usuaacuterio local 151Modificar um grupo local151Excluir um usuaacuterio local151Excluir um grupo local 152
Funccedilotildees e privileacutegios administrativos 153Acesso baseado em funccedilotildees 154Funccedilotildees 154
Funccedilotildees personalizadas 155Funccedilotildees integradas 155
Privileacutegios 158Privileacutegios compatiacuteveis com o OneFS 159Privileacutegios de backup e restauraccedilatildeo de dados162Privileacutegios da interface de linha de comando 163
Gerenciando funccedilotildees 166Exibir funccedilotildees 166Exibir privileacutegios 167Criar e modificar uma funccedilatildeo personalizada 167Excluir uma funccedilatildeo personalizada168
Gerenciamento de identidades 169Visatildeo geral do gerenciamento de identidades 170Tipos de identidade 170Tokens de acesso171Geraccedilatildeo de tokens de acesso 172
Mapeamento de IDs173Mapeamento de usuaacuterios175Identidade em disco 177
Gerenciando mapeamentos de ID 179Criar um mapeamento de identidade 179Modificar um mapeamento de identidade 180Excluir um mapeamento de identidade 180Exibir um mapeamento de identidade181Fazer flush do cache de mapeamento de identidade 181Exibir um token do usuaacuterio 181Definir as configuraccedilotildees do mapeamento de identidade 182Exibir as configuraccedilotildees do mapeamento de identidade182
Gerenciando identidades de usuaacuterios 183Exibir a identidade do usuaacuterio 183Criar uma regra de mapeamento de usuaacuterios 184
Capiacutetulo 7
Capiacutetulo 8
CONTEUacuteDO
6 OneFS 810 Guia de Administraccedilatildeo da CLI
Mesclar tokens do UNIX e do Windows 186Recuperar o grupo principal do LDAP186Opccedilotildees das regras de mapeamento 187Operadoras das regras de mapeamento 188
Diretoacuterios de usuaacuterio 193Visatildeo geral dos diretoacuterios de usuaacuterio 194Permissotildees do diretoacuterio de usuaacuterio194Autenticando os usuaacuterios do SMB 194Criaccedilatildeo de diretoacuterios de usuaacuterio via SMB 194
Criar diretoacuterios de usuaacuterio com variaacuteveis de expansatildeo195Criar diretoacuterios de usuaacuterio com a opccedilatildeo --inheritable-path-acl196Criar diretoacuterios de usuaacuterio especiais com a variaacutevel U decompartilhamento SMB197
Criaccedilatildeo de diretoacuterios de usuaacuterio via SSH e FTP198Definir o shell de log-in SSH ou FTP 198Definir permissotildees de diretoacuterios de usuaacuterio SSHFTP 199Definir opccedilotildees de criaccedilatildeo de diretoacuterios de usuaacuterio SSHFTP200Fornecer diretoacuterios de usuaacuterio com arquivos DOT 201
Criaccedilatildeo de diretoacuterios de usuaacuterio em um ambiente misto 202Interaccedilotildees entre as ACLs e bits de modo202Configuraccedilotildees padratildeo do diretoacuterio de usuaacuterio nos provedores deautenticaccedilatildeo202Variaacuteveis compatiacuteveis de expansatildeo203Variaacuteveis de domiacutenio no provisionamento de diretoacuterio de usuaacuterio 205
Controle do acesso a dados 207Visatildeo geral do controle do acesso a dados208ACLs208Permissotildees do UNIX209Ambientes de permissotildees mistas 209
Acesso a NFS dos arquivos criados pelo Windows209Acesso a SMB dos arquivos criados pelo UNIX210
Gerenciando permissotildees de acesso210Exibir as permissotildees esperadas do usuaacuterio 210Definir as configuraccedilotildees de gerenciamento de acesso212Modificar configuraccedilotildees de poliacutetica de ACL212Executar o trabalho PermissionsRepair 212
Compartilhamento de arquivos 215Visatildeo geral do compartilhamento de arquivos216
Ambientes mistos de protocolos216Armazenamento em cache para gravaccedilatildeo com SmartCache 217
SMB218Compartilhamentos do SMB nas zonas de acesso219SMB Multichannel 220Gerenciamento de compartilhamentos do SMB via MMC221Coacutepia do servidor SMB 222Disponibilidade contiacutenua do SMB 223Filtragem de arquivos do SMB 224Links simboacutelicos e clients do SMB 225Acesso anocircnimo a compartilhamentos SMB 226Gerenciando configuraccedilotildees do SMB226Gerenciando compartilhamentos de SMB229
Capiacutetulo 9
Capiacutetulo 10
Capiacutetulo 11
CONTEUacuteDO
OneFS 810 Guia de Administraccedilatildeo da CLI 7
NFS 236Exportaccedilotildees de NFS 237Aliases de NFS 237Arquivos de registros do NFS 238Gerenciando o serviccedilo NFS 238Gerenciando exportaccedilotildees NFS 239Gerenciando aliases de NFS243
FTP 245Exibir as configuraccedilotildees de FTP245Ativar o compartilhamento de arquivos do FTP 246Configurar o compartilhamento de arquivos do FTP 246
HTTP e HTTPS247Ativar e configurar o HTTP 247Habilitar o HTTPS por meio do serviccedilo Apache247Desabilitar HTTPS por meio do serviccedilo Apache 248
Filtragem de arquivos 249Filtragem de arquivos em uma zona de acesso 250Habilitar e configurar a filtragem de arquivos em uma zona de acesso 250Desativar a filtragem de arquivos em uma zona de acesso 251Exibir configuraccedilotildees de filtragem de arquivos 251
Auditoria e registro 253Visatildeo geral das auditorias 254Syslog 254
Encaminhamento de syslogs255Eventos de auditoria de protocolos 255Ferramentas compatiacuteveis de auditoria 256Entregando eventos de auditoria de protocolos a vaacuterios servidores CEE256Tipos de eventos compatiacuteveis257Amostra de registro de auditoria258Gerenciando as configuraccedilotildees de auditoria 259
Habilitar a auditoria de acesso de protocolo259Encaminhar eventos de acesso a protocolos ao syslog 260Habilitar a auditoria de configuraccedilatildeo do sistema261Configurar o nome de host de auditoria261Configurar zonas auditadas de protocolos 262Encaminhar alteraccedilotildees de configuraccedilatildeo do sistema ao syslog 262Configurar filtros de eventos de protocolo262
Integrando-se ao EMC Common Event Enabler263Instalar o CEE for Windows 263Configurar o CEE para Windows264Configurar os servidores CEE para oferecer eventos de auditoria deprotocolos 265
Rastreando a entrega de eventos de auditoria de protocolos 265Exibir os registros de data e hora da entrega de eventos ao servidorCEE e ao syslog 266Exibir uma visatildeo global da entrega de eventos de auditoria deprotocolo para o servidor do CEE e o syslog266Mover a posiccedilatildeo de registro do encaminhador do CEE 267Exibir a taxa de entrega dos eventos de auditoria de protocolos aoservidor CEE267
Snapshots 269
Capiacutetulo 12
Capiacutetulo 13
Capiacutetulo 14
CONTEUacuteDO
8 OneFS 810 Guia de Administraccedilatildeo da CLI
Visatildeo geral de snapshots 270Proteccedilatildeo de dados com SnapshotIQ270Utilizaccedilatildeo do espaccedilo em disco por snapshots 270Agendamentos de snapshot 271Aliases de snapshots 271Restauraccedilatildeo de arquivos e diretoacuterios271Praacuteticas recomendadas para criar snapshots 272Praacuteticas recomendadas para criar agendamentos de snapshot 273Clones de arquivos274
Consideraccedilotildees sobre aacuterea de armazenamento de sombra 274Bloqueios de snapshot 275Reserva de snapshot 275Funcionalidade da licenccedila do SnapshotIQ 276Criando snapshots com o SnapshotIQ 276
Criar um domiacutenio SnapRevert 277Criar um agendamento de snapshot 277Criar um snapshot277Padrotildees de nomenclatura de snapshots278
Gerenciando snapshots 281Reduzindo o uso de espaccedilo em disco dos snapshots 281Excluir um snapshot 281Modificar os atributos de um snapshot 282Modificar o alias de um snapshot 282Exibir snapshots283Informaccedilotildees do snapshot284
Restaurando dados do snapshot284Reverter um snapshot 284Restaurar um arquivo ou diretoacuterio usando o Windows Explorer 285Restaurar um arquivo ou um diretoacuterio por meio da linha de comandodo UNIX285Clonar um arquivo de um snapshot 286
Gerenciando agendamentos de snapshot 286Modificar um agendamento de snapshots 286Excluir um agendamento de snapshot 287Exibir agendamentos de snapshot 287
Gerenciando aliases de snapshots 288Configurar um alias de snapshot para um agendamento de snapshot 288Atribuir um alias de snapshot a um snapshot 288Reatribuir um alias de snapshot ao file system ativo 288Exibir aliases de snapshots 289Informaccedilotildees de alias de snapshot 289
Gerenciamento com bloqueios de snapshot289Criar um bloqueio de snapshot290Modificar uma data de expiraccedilatildeo de bloqueio de snapshot 290Excluir um bloqueio de snapshot 291Informaccedilotildees de bloqueio do snapshot291
Definir configuraccedilotildees do SnapshotIQ 292Configuraccedilotildees do SnapshotIQ 292
Definir a reserva de snapshots293Gerenciando changelists294
Criar uma changelist 294Excluir uma changelist 294Exibir uma changelist295Informaccedilotildees da changelist 295
CONTEUacuteDO
OneFS 810 Guia de Administraccedilatildeo da CLI 9
Desduplicaccedilatildeo com o SmartDedupe 297Visatildeo geral da desduplicaccedilatildeo 298Trabalhos de desduplicaccedilatildeo298Replicaccedilatildeo de dados e backup com desduplicaccedilatildeo 299Snapshots com desduplicaccedilatildeo300Consideraccedilotildees sobre desduplicaccedilatildeo 300Consideraccedilotildees sobre aacuterea de armazenamento de sombra 301Funcionalidade da licenccedila do SmartDedupe 301Gerenciando a desduplicaccedilatildeo 302
Avaliar a economia de espaccedilo gerada pela desduplicaccedilatildeo 302Especificar configuraccedilotildees de desduplicaccedilatildeo 302Exibir a economia de espaccedilo da desduplicaccedilatildeo 303Exibir um relatoacuterio de desduplicaccedilatildeo 303Informaccedilotildees do relatoacuterio do trabalho de desduplicaccedilatildeo 304Informaccedilotildees de desduplicaccedilatildeo305
Replicaccedilatildeo de dados com o SyncIQ 307Visatildeo geral da replicaccedilatildeo de dados do SyncIQ 308
Acessando o SyncIQ com o IsilonSD Edge 308Poliacuteticas e trabalhos de replicaccedilatildeo308
Poliacuteticas de replicaccedilatildeo automatizadas 309Associaccedilatildeo dos clusters de origem e de destino311Configurando os clusters de origem e de destino do SyncIQ comNAT 311Replicaccedilatildeo completa e diferencial 313Controlando o consumo de recursos de trabalhos de replicaccedilatildeo313Prioridade das poliacuteticas de replicaccedilatildeo 313Relatoacuterios de replicaccedilatildeo 314
Snapshots de replicaccedilatildeo314Snapshots do cluster de origem 314Snapshots do cluster de destino315
Failover e failback de dados com SyncIQ 315Failover de dados 316Failback de dados 317Failback e failover do modo de conformidade do SmartLock 317Limitaccedilotildees de replicaccedilatildeo do SmartLock317
Tempos e objetivos de recuperaccedilatildeo do SyncIQ 319Alertas de RPO319
Prioridade das poliacuteticas de replicaccedilatildeo 320Funcionalidade da licenccedila do SyncIQ 320Criando poliacuteticas de replicaccedilatildeo 320
Excluindo diretoacuterios na replicaccedilatildeo320Excluindo arquivos na replicaccedilatildeo 321Opccedilotildees de criteacuterios de arquivos322Definir as configuraccedilotildees padratildeo das poliacuteticas de replicaccedilatildeo 324Criar uma poliacutetica de replicaccedilatildeo 324Criar um domiacutenio SyncIQ 325Avaliar uma poliacutetica de replicaccedilatildeo 325
Gerenciando a replicaccedilatildeo para clusters remotos326Iniciar um trabalho de replicaccedilatildeo326Pausar um trabalho de replicaccedilatildeo 327Retomar um trabalho de replicaccedilatildeo 327Cancelar um trabalho de replicaccedilatildeo 327Exibir os trabalhos ativos de replicaccedilatildeo 327Informaccedilotildees dos trabalhos de replicaccedilatildeo 328
Capiacutetulo 15
Capiacutetulo 16
CONTEUacuteDO
10 OneFS 810 Guia de Administraccedilatildeo da CLI
Iniciando o failover e o failback de dados com o SyncIQ 328Failover de dados a um cluster secundaacuterio 328Reverter uma operaccedilatildeo de failover 330Efetuar o failback de dados para um cluster primaacuterio 330
Realizando a recuperaccedilatildeo de desastres dos diretoacuterios mais antigos doSmartLock332
Recuperar diretoacuterios de conformidade do SmartLock em um clusterde destino 332Migrar diretoacuterios de conformidade do SmartLock 333
Gerenciando as poliacuteticas de replicaccedilatildeo 334Modificar uma poliacutetica de replicaccedilatildeo 334Excluir uma poliacutetica de replicaccedilatildeo 335Ativar ou desativar uma poliacutetica de replicaccedilatildeo 335Exibir poliacuteticas de replicaccedilatildeo 336Informaccedilotildees das poliacuteticas de replicaccedilatildeo 337
Gerenciando a replicaccedilatildeo ao cluster local 337Cancelar a replicaccedilatildeo ao cluster local 337Remover a associaccedilatildeo de cluster local de destino 338Exibir as poliacuteticas de replicaccedilatildeo destinadas ao cluster local338Informaccedilotildees remotas das poliacuteticas de replicaccedilatildeo 338
Gerenciando regras de desempenho de replicaccedilatildeo 339Criar uma nova regra de traacutefego de rede 339Criar uma regra de operaccedilotildees de arquivos 339Modificar uma regra de desempenho 339Excluir uma regra de desempenho 340Ativar ou desativar uma regra de desempenho 340Exibir regras de desempenho 341
Gerenciando relatoacuterios de replicaccedilatildeo341Definir configuraccedilotildees de relatoacuterio de replicaccedilatildeo padratildeo 341Excluir relatoacuterios de replicaccedilatildeo341Exibir os relatoacuterios de replicaccedilatildeo 342Informaccedilotildees dos relatoacuterios de replicaccedilatildeo 343
Gerenciando trabalhos de replicaccedilatildeo com falha 344Resolver uma poliacutetica de replicaccedilatildeo 344Redefinir uma poliacutetica de replicaccedilatildeo 345Executar uma replicaccedilatildeo completa ou diferencial 345
Layout dos dados com o FlexProtect 347Visatildeo geral do FlexProtect348Particionamento de arquivos 348Proteccedilatildeo de dados solicitada 348Recuperaccedilatildeo de dados do FlexProtect 349
Smartfail349Falhas dos noacutes 350
Solicitando proteccedilatildeo de dados350Configuraccedilotildees da proteccedilatildeo solicitada351Utilizaccedilatildeo do espaccedilo em disco da proteccedilatildeo solicitada352
Backup e recuperaccedilatildeo do NDMP 355Visatildeo geral do backup e recuperaccedilatildeo do protocolo de gerenciamento dedados da rede356
Backup e recuperaccedilatildeo NDMP para IsilonSD Edge356Backup NDMP bidirecional 356Backup NDMP de trecircs vias 357
Capiacutetulo 17
Capiacutetulo 18
CONTEUacuteDO
OneFS 810 Guia de Administraccedilatildeo da CLI 11
Configurando os IPs preferenciais para as operaccedilotildees de trecircs vias do NDMP357Backup e recuperaccedilatildeo multi-stream do NDMP 357Backups incrementais baseados em snapshot 358Suporte ao protocolo NDMP 359DMAs compatiacuteveis360Suporte ao hardware NDMP360Limitaccedilotildees do backup NDMP360Recomendaccedilotildees de desempenho do NDMP 360Excluindo arquivos e diretoacuterios de backups NDMP 362Definindo configuraccedilotildees baacutesicas de backup NDMP 363
Configurar e habilitar o backup NDMP363Desativar o backup NDMP 364Configuraccedilotildees do backup NDMP 364Exibir as configuraccedilotildees do backup NDMP 364
Gerenciando contas de usuaacuterio NDMP 365Criar uma conta de usuaacuterio de NDMP 365Modificar a senha de uma conta de usuaacuterio de NDMP 365Excluir uma conta de usuaacuterio de NDMP 365Exibir contas de usuaacuterio de NDMP 365
Gerenciando dispositivos de backup NDMP366Detectar dispositivos de backup NDMP 366Modificar um nome de entrada de dispositivo de backup NDMP 366Excluir uma entrada de dispositivo para um dispositivo de backupNDMP desconectado366Exibir dispositivos de backup NDMP 367
Gerenciando portas Fibre Channel do NDMP367Modificar configuraccedilotildees de portas de backup NDMP 367Ativar ou desativar uma porta de backup NDMP367Exibir portas de backup NDMP 368Configuraccedilotildees de portas de backup NDMP 368
Gerenciando as configuraccedilotildees preferenciais de IP do NDMP 368Criar uma configuraccedilatildeo de IP preferencial do NDMP369Modificar uma configuraccedilatildeo de IP preferencial do NDMP369Listar as configuraccedilotildees de IP preferencial do NDMP 369Exibir as configuraccedilotildees de IP preferencial do NDMP 370Excluir as configuraccedilotildees de IP preferencial do NDMP 370
Gerenciando sessotildees de NDMP370Concluir uma sessatildeo NDMP 370Exibir sessotildees do NDMP 371Informaccedilotildees de sessatildeo do NDMP 371
Gerenciando backups NDMP com capacidade de reinicializaccedilatildeo 373Configure os backups NDMP com capacidade de reinicializaccedilatildeopara o EMC NetWorker373Exibir os contextos dos backups NDMP com capacidade dereinicializaccedilatildeo 374Excluir um contexto de backup NDMP com capacidade dereinicializaccedilatildeo 374Definir as configuraccedilotildees de backups NDMP com capacidade dereinicializaccedilatildeo 375Exibir as configuraccedilotildees dos backups NDMP com capacidade dereinicializaccedilatildeo 375
Operaccedilotildees de restauraccedilatildeo do NDMP375Operaccedilatildeo de restauraccedilatildeo paralela do NDMP375Operaccedilatildeo de restauraccedilatildeo serial do NDMP 375Especificar uma operaccedilatildeo de restauraccedilatildeo serial do NDMP 376
CONTEUacuteDO
12 OneFS 810 Guia de Administraccedilatildeo da CLI
Gerenciando as variaacuteveis de NDMP padratildeo376Especificar as configuraccedilotildees de variaacuteveis de NDMP padratildeo de umcaminho 376Modificar as configuraccedilotildees de variaacuteveis de NDMP padratildeo de umcaminho 377Exibir as configuraccedilotildees de NDMP padratildeo para um caminho377Variaacuteveis de ambiente NDMP377Configurando variaacuteveis de ambiente para operaccedilotildees de backup erestauraccedilatildeo 385
Gerenciando os backups incrementais baseados em snapshots386Ativar os backups incrementais baseados em snapshots para umdiretoacuterio386Excluir snapshots dos backups incrementais baseados emsnapshots 386Exibir snapshots dos backups incrementais baseados em snapshots 387
Exibir os registros de backup NDMP 387
Retenccedilatildeo de arquivos com o SmartLock 389Visatildeo geral do SmartLock390Modo de conformidade390Modo corporativo390Diretoacuterios do SmartLock 391Acessando o SmartLock com o IsilonSD Edge391Replicaccedilatildeo e backup com o SmartLock 392Funcionalidade da licenccedila do SmartLock 392Consideraccedilotildees sobre o SmartLock 393Definir o reloacutegio de conformidade 393Exibir o reloacutegio de conformidade394Criando um diretoacuterio do SmartLock 394
Periacuteodos de retenccedilatildeo394Confirmar periacuteodos automaticamente394Criar um diretoacuterio corporativo para um diretoacuterio que natildeo estaacute vazio395Criar um diretoacuterio SmartLock 395
Gerenciando os diretoacuterios do SmartLock396Modificar um diretoacuterio do SmartLock 396Exibir configuraccedilotildees de diretoacuterio do SmartLock 396Definiccedilotildees de configuraccedilatildeo do diretoacuterio do SmartLock 397
Gerenciando arquivos em diretoacuterios do SmartLock400Definir um periacuteodo de retenccedilatildeo por meio da linha de comando doUNIX 401Definir um periacuteodo de retenccedilatildeo com o Windows PowerShell 401Confirmar um arquivo para o estado WORM em uma linha decomando do UNIX402Confirmar um arquivo para o estado WORM via Windows Explorer402Sobrepor o periacuteodo de retenccedilatildeo para todos os arquivos em umdiretoacuterio do SmartLock402Excluir um arquivo confirmado para um estado WORM 403Exibir o status WORM de um arquivo 404
Domiacutenios de proteccedilatildeo 405Visatildeo geral dos domiacutenios de proteccedilatildeo406
Capiacutetulo 19
Capiacutetulo 20
CONTEUacuteDO
OneFS 810 Guia de Administraccedilatildeo da CLI 13
Domiacutenios de proteccedilatildeo do IsilonSD Edge406Consideraccedilotildees sobre domiacutenios de proteccedilatildeo406Criar um domiacutenio de proteccedilatildeo 407Excluir um domiacutenio de proteccedilatildeo 407
Criptografia de dados em repouso 409Visatildeo geral da criptografia de dados em repouso410
Criptografia de dados em repouso do IsilonSD Edge 410Unidades com criptografia automaacutetica 410Seguranccedila de dados em SEDs410Migraccedilatildeo de dados a um cluster com SEDs411Estados do chassi e da unidade411Estado REPLACE do drive apoacutes o smartfail415Estado ERASE do drive apoacutes o smartfail 416
SmartQuotas 419Visatildeo geral do SmartQuotas 420Tipos de cota420Tipo de cota padratildeo 421Contabilidade e limites de uso423Caacutelculos de uso do disco425Notificaccedilotildees de cota426Regras de notificaccedilatildeo de cota 426Relatoacuterios de cota427Criando cotas 427
Criar uma cota de documento428Criar uma cota de imposiccedilatildeo428
Gerenciando cotas429Pesquisar cotas 429Gerenciar cotas 429Exportar um arquivo de configuraccedilatildeo de cota430Importar um arquivo de configuraccedilatildeo de cota 431Gerenciando notificaccedilotildees de cota 431Mensagens de notificaccedilatildeo de cota por e-mail 433Gerenciando relatoacuterios de cota 436Configuraccedilotildees baacutesicas de cota 438Configuraccedilotildees de regras de notificaccedilatildeo de cota de limite consultivo 438Configuraccedilotildees de regras de notificaccedilatildeo de cota de limite flexiacutevel 439Configuraccedilotildees de regras de notificaccedilatildeo de cota de limite fixo 441Configuraccedilotildees das notificaccedilotildees de limite 442Configuraccedilotildees do relatoacuterio de cotas 442
Pools de armazenamento 445Visatildeo geral dos pools de armazenamento 446Funccedilotildees do pool de armazenamento446
Funccedilotildees de pool de armazenamento compatiacuteveis com o IsilonSDEdge 448
Provisionamento automaacutetico 449Pools de noacutes 449
Compatibilidades de classe de noacutes450Compatibilidades de SSD 451Pools de noacutes manuais452
Hot spare virtual452
Capiacutetulo 21
Capiacutetulo 22
Capiacutetulo 23
CONTEUacuteDO
14 OneFS 810 Guia de Administraccedilatildeo da CLI
Transbordamento 453Proteccedilatildeo sugerida 453Poliacuteticas de proteccedilatildeo 454SSD strategies 454Outras configuraccedilotildees de espelhamento de SSD 455Global namespace acceleration 456Visatildeo geral do cache L3456
Migraccedilatildeo para o cache L3458Cache L3 em pools de noacutes de classe de arquivamento 458
Niacuteveis 459Poliacuteticas de pool de arquivo 459Gerenciando pools de noacutes por meio da interface de linha de comando460
Criar uma compatibilidade de classe de noacutes 460Mesclar pools de noacutes compatiacuteveis 461Excluir uma compatibilidade de classe de noacutes 462Criar uma compatibilidade de SSD463Excluir uma compatibilidade de SSD 464Criar um pool de noacutes manualmente 465Adicionar um noacute a um pool de noacutes gerenciado manualmente465Alterar o nome ou a poliacutetica de proteccedilatildeo de um pool de noacutes 466Remover um noacute de um pool de noacutes gerenciado manualmente 466Modificar as configuraccedilotildees padratildeo dos pools de armazenamento466Configuraccedilotildees do SmartPools467
Gerenciando o cache L3 na interface de linha de comando 471Configurar o cache L3 como padratildeo para os novos pools de noacutes 471Ativar o cache L3 em um pool de noacutes especiacutefico 471Restaurar os SSDs aos drives de armazenamento de um pool de noacutes471
Gerenciando niacuteveis472Criar um niacutevel472Adicionar ou mover pools de noacutes em um niacutevel 472Renomear um niacutevel 473Excluir um niacutevel473
Criando poliacuteticas de pools de arquivos 473Criar uma poliacutetica de pools de arquivos 474Caracteres-curinga vaacutelidos 475Configuraccedilotildees padratildeo da proteccedilatildeo solicitada dos pools de arquivos475Configuraccedilotildees padratildeo de otimizaccedilatildeo de IO dos pools de arquivos477
Gerenciando as poliacuteticas de pools de arquivos 478Modificar uma poliacutetica de pools de arquivos478Definir as configuraccedilotildees da poliacutetica padratildeo de pools de arquivos 479Priorizar uma poliacutetica de pools de arquivos 480Excluir uma poliacutetica de pools de arquivos 480
Monitorando os pools de armazenamento 481Monitorar os pools de armazenamento481Exibir a integridade dos pools de armazenamento 481Exibir os resultados do trabalho do SmartPools 482
Trabalhos do sistema 483Visatildeo geral dos trabalhos do sistema 484Biblioteca de trabalhos do sistema484Operaccedilatildeo dos trabalhos488
Capiacutetulo 24
CONTEUacuteDO
OneFS 810 Guia de Administraccedilatildeo da CLI 15
Impacto do desempenho dos trabalhos489Prioridades dos trabalhos 490Gerenciando os trabalhos do sistema 490
Iniciar um trabalho 490Pausar um trabalho 491Modificar um trabalho 491Retomar um trabalho 492Cancelar um trabalho492Modificar as configuraccedilotildees de tipo de trabalho 493Exibir os trabalhos ativos 493Exibir histoacuterico de trabalhos494
Gerenciando poliacuteticas de impacto 494Criar uma poliacutetica de impacto 495Exibir as configuraccedilotildees das poliacuteticas de impacto 495Modificar uma poliacutetica de impacto 496Excluir uma poliacutetica de impacto 496
Exibindo relatoacuterios e estatiacutesticas dos trabalhos497Exibir as estatiacutesticas de um trabalho em andamento 497Exibir um relatoacuterio de um trabalho concluiacutedo 498
Sistema de rede 499Visatildeo geral do sistema de rede 500Sobre a rede interna500
Intervalos dos endereccedilos IP internos 500Failover da rede interna501Configurando a rede interna para o IsilonSD Edge501
Sobre a rede externa501Groupnets 502Sub-redes503Pools de endereccedilos IP 504Moacutedulo SmartConnect 504Regras de provisionamento de noacutes 508Opccedilotildees de roteamento 508
Gerenciando as configuraccedilotildees da rede interna 509Adicionar ou remover um intervalo de endereccedilos IP internos509Modificar uma maacutescara de rede da rede interna510Configurar e ativar o failover da rede interna 511Desabilitar o failover de rede interna 512
Gerenciando groupnets512Criar um groupnet 512Modificar um groupnet513Excluir um groupnet 513Exibir groupnets 514
Gerenciando as sub-redes de rede externa 515Criar uma sub-rede 515Modificar uma sub-rede 515Excluir uma sub-rede516Exibir sub-redes 516Configurar um endereccedilo IP do serviccedilo SmartConnect517Habilitar ou desabilitar a marcaccedilatildeo da VLAN 518Adicionar ou remover um endereccedilo DSR 519
Gerenciando os pools de endereccedilos IP519Criar um pool de endereccedilos IP519Modificar um pool de endereccedilos IP520Excluir um pool de endereccedilos IP 520
Capiacutetulo 25
CONTEUacuteDO
16 OneFS 810 Guia de Administraccedilatildeo da CLI
Exibir os pools de endereccedilos IP 521Adicionar ou remover um intervalo de endereccedilos IP 522Configurar a alocaccedilatildeo de endereccedilos IP522
Gerenciando as configuraccedilotildees do SmartConnect 523Configurar uma zona DNS do SmartConnect523Especificar uma sub-rede de serviccedilo do SmartConnect524Suspender ou reiniciar um noacute525Configurar uma poliacutetica de balanceamento de conexotildees525Configurar uma poliacutetica de failover de IP 526
Gerenciando o rebalanceamento de conexatildeo527Configurar uma poliacutetica de rebalanceamento de IP 527Rebalancear endereccedilos IP manualmente527
Gerenciando os membros da interface de rede528Adicionar ou remover uma interface de rede528Especificar um modo de agregaccedilatildeo de links529Exibir as interfaces de rede 530
Gerenciando regras de provisionamento de noacutes 531Criar uma regra de provisionamento de noacutes531Modificar uma regra de provisionamento de noacutes532Excluir uma regra de provisionamento de noacutes 532Exibir regras de provisionamento de noacutes533
Gerenciando opccedilotildees de roteamento 534Ativar ou desativar roteamento baseado em origem 534Adicionar ou remover uma rota estaacutetica534
Gerenciando configuraccedilotildees de cache do DNS 535Configuraccedilotildees do cache de DNS 535
Antiviacuterus 537Visatildeo geral do antiviacuterus538Varredura no acesso538Varredura de poliacutetica antiviacuterus 539Varredura de arquivos individuais 539Arquivos WORM e antiviacuterus539Relatoacuterios de varredura antiviacuterus 540Servidores ICAP 540Respostas a ameaccedilas antiviacuterus 540Definindo configuraccedilotildees globais de antiviacuterus 542
Incluir arquivos especiacuteficos em varreduras antiviacuterus 542Definir configuraccedilotildees de varredura no acesso 542Definir as configuraccedilotildees de resposta a ameaccedilas de viacuterus 542Definir configuraccedilotildees de retenccedilatildeo do relatoacuterio de antiviacuterus 543Habilitar ou desabilitar a varredura antiviacuterus 543
Gerenciando servidores ICAP 543Adicionar e estabelecer conexatildeo com um servidor ICAP 543Desconectar-se temporariamente de um servidor ICAP 544Restabelecer conexatildeo com um servidor ICAP 544Remover um servidor ICAP 544
Criar uma poliacutetica antiviacuterus 544Gerenciando poliacuteticas antiviacuterus545
Modificar uma poliacutetica antiviacuterus 545Excluir uma poliacutetica antiviacuterus 545Habilitar ou desabilitar uma poliacutetica antiviacuterus 545Exibir poliacuteticas antiviacuterus 545
Gerenciando varreduras antiviacuterus 546Examinar um arquivo 546
Capiacutetulo 26
CONTEUacuteDO
OneFS 810 Guia de Administraccedilatildeo da CLI 17
Executar manualmente uma poliacutetica antiviacuterus 546Interromper uma varredura antiviacuterus546
Gerenciando ameaccedilas de viacuterus 546Colocar um arquivo em quarentena manualmente 547Examinar novamente um arquivo 547Remover um arquivo da quarentena 547Truncar um arquivo manualmente547Exibir ameaccedilas 547Informaccedilotildees sobre ameaccedilas de viacuterus 548
Gerenciando relatoacuterios antiviacuterus 548Exibir os relatoacuterios antiviacuterus 548Exibir os eventos de antiviacuterus 548
IsilonSD Edge 551Arquitetura e armazenamento do EMC IsilonSD Edge 552Visatildeo geral do cluster do IsilonSD553Visatildeo geral do licenciamento do EMC IsilonSD Edge 553Visatildeo geral do servidor de gerenciamento do IsilonSD556Configurando os clusters do IsilonSD557Implementando e configurando os clusters do IsilonSD 557Fazendo upgrade do EMC IsilonSD Edge558
Integraccedilatildeo com o VMware 559Visatildeo geral da integraccedilatildeo com VMware560VAAI 560VASA560
Alarmes de VASA do Isilon560Recursos de armazenamento da VASA561
Configurando o suporte ao VASA561Ativar VASA562Download do certificado do provedor de fornecedores do Isilon562Criar um certificado autoassinado 562Adicionar o provedor de fornecedores do Isilon 564
Desativar ou reativar o VASA 565Fazendo a soluccedilatildeo de problemas das falhas de exibiccedilatildeo do armazenamentoVASA565
Capiacutetulo 27
Capiacutetulo 28
CONTEUacuteDO
18 OneFS 810 Guia de Administraccedilatildeo da CLI
CAPIacuteTULO 1
Introduccedilatildeo a este guia
Esta seccedilatildeo conteacutem os seguintes toacutepicos
l Sobre este guia 20l Visatildeo geral do NAS de scale-out do Isilon20l Visatildeo geral do IsilonSD Edge 20l Onde obter suporte21
Introduccedilatildeo a este guia 19
Sobre este guiaEste guia descreve como a interface de linha de comando do Isilon OneFS ofereceacesso agrave funcionalidade de configuraccedilatildeo gerenciamento e monitoramento de clusters
Os comandos do OneFS estendem o conjunto padratildeo de comandos do UNIX Paraobter uma lista alfabeacutetica e uma descriccedilatildeo de todos os comandos do OneFS consulteo documento Referecircncia de Comandos da CLI do OneFS
A maioria das informaccedilotildees deste guia tambeacutem eacute aplicaacutevel ao IsilonSD Edge umaversatildeo do OneFS definida por software em execuccedilatildeo no hipervisor VMware ESXi Asdiferenccedilas se houver seratildeo destacadas nas respectivas seccedilotildees deste guia
Suas sugestotildees nos ajudaratildeo a aprimorar a precisatildeo a organizaccedilatildeo e a qualidade geralda documentaccedilatildeo Envie seus comentaacuterios para httpswwwresearchnetsisi-docfeedback Se natildeo for possiacutevel fazecirc-lo por meio da URL envie uma mensagem de e-mail para docfeedbackisiloncom
Visatildeo geral do NAS de scale-out do IsilonA plataforma de armazenamento de NAS de scale-out do Isilon combina hardwaremodular com software unificado para explorar dados natildeo estruturados Viabilizado pelosistema operacional OneFS um cluster oferece um pool dimensionaacutevel dearmazenamento com um namespace global
A plataforma unificada de software oferece administraccedilatildeo centralizada baseada naWeb e de linha de comando para gerenciar os seguintes recursos
l Um cluster que executa um file system distribuiacutedo
l Noacutes de scale-out que adicionam capacidade e desempenho
l Opccedilotildees de armazenamento que gerenciam arquivos e classificaccedilatildeo por niacuteveis
l Proteccedilatildeo de dados e alta disponibilidade flexiacuteveis
l Moacutedulos de software que controlam custos e otimizam recursos
Visatildeo geral do IsilonSD EdgeO IsilonSD Edge eacute uma versatildeo do OneFS definida por software que eacute executado nohipervisor VMware ESXi e fornece recursos de NAS scale-out em hardware decommodity
Vocecirc pode adicionar noacutes do OneFS como maacutequinas virtuais nos clusters do OneFS quesatildeo implementados em hosts VMware ESXi usando os recursos de hardwaredisponiacuteveis nesses hosts Os clusters e noacutes do OneFS virtual satildeo chamados de clustersIsilonSD e noacutes IsilonSD
O IsilonSD Edge daacute suporte a maioria dos moacutedulos de recursos e software compatiacuteveiscom o OneFS Ele tambeacutem oferece recursos centralizados de administraccedilatildeo de linhade comando e com base na Web semelhantes aos do OneFS para gerenciar as tarefasde gerenciamento dos clusters e dos noacutes Para obter mais informaccedilotildees consulte oGuia de Administraccedilatildeo e Instalaccedilatildeo do IsilonSD Edge com Servidor de Gerenciamento doIsilonSD
Introduccedilatildeo a este guia
20 OneFS 810 Guia de Administraccedilatildeo da CLI
Onde obter suporteSe tiver duacutevidas sobre os produtos Isilon entre em contato com o Suporte teacutecnico doIsilon
Suporte on-line l Bate-papo on-line
l Criar um chamado
Suporte telefocircnico l Estados Unidos 1-800-SVC-4EMC (1-800-782-4362)
l Canadaacute 1-800-543-4782
l Outras localidades 1-508-497-7901
l Para obter os nuacutemeros de telefone locais de um paiacutesespeciacutefico consulte os Centros de atendimento ao clienteEMC
Acesso ou registrode suporte
Se tiver duacutevidas sobre como acessar o Atendimento ao ClienteEMC envie um e-mail para supportEMCcom
Hubs deinformaccedilotildees doIsilon
Para obter a lista de hubs de informaccedilotildees do Isilon consulte apaacutegina Isilon Info Hubs na Isilon Community Network Os hubsde informaccedilotildees do Isilon organizam documentaccedilatildeo viacutedeos blogse toacutepicos de conteuacutedo de contribuiccedilatildeo dos usuaacuterios sobre oIsilon facilitando a localizaccedilatildeo de conteuacutedo sobre assuntos deseu interesse
Suporte a IsilonSD EdgeSe vocecirc estiver executando uma versatildeo gratuita do IsilonSD Edge o suporte estaraacutedisponiacutevel por meio da Isilon Community Network Se vocecirc adquiriu uma ou maislicenccedilas do IsilonSD Edge o suporte estaraacute disponiacutevel por meio do Suporte teacutecnico doIsilon desde que vocecirc tenha um contrato vaacutelido de suporte para o produto
Suporte com autoatendimentoA EMC apresenta o Isilon Advisor (IA) um aplicativo gratuito que permite aos clientesobter suporte automaacutetico aos problemas comuns de Isilon
O Isilon Advisor eacute o mesmo aplicativo que eacute usado por representantes de campo eengenheiros de suporte teacutecnico do EMC Isilon para resolver os chamados Vocecirc podeusaacute-lo a diagnosticar e solucionar problemas Vocecirc tambeacutem pode usaacute-lo para analisar aintegridade atual do cluster e identificar os itens que exigem atenccedilatildeo Isso pode ajudaacute-lo a evitar problemas que possam surgir no futuro
Para obter mais informaccedilotildees sobre o Isilon Advisor e fazer download da versatildeo maisrecente httpshelppsappsemccompagesviewpageactionpageId=2853972
Introduccedilatildeo a este guia
Onde obter suporte 21
Introduccedilatildeo a este guia
22 OneFS 810 Guia de Administraccedilatildeo da CLI
CAPIacuteTULO 2
NAS de scale-out da Isilon
Esta seccedilatildeo conteacutem os seguintes toacutepicos
l Arquitetura de armazenamento do OneFS24l Componentes do noacute Isilon 24l Redes internas e externas 25l Cluster Isilon 25l Sistema operacional OneFS 28l Estrutura do file system 30l Visatildeo geral da proteccedilatildeo de dados 32l Integraccedilatildeo com VMware 35l Moacutedulos de software35
NAS de scale-out da Isilon 23
Arquitetura de armazenamento do OneFSO Isilon adota uma abordagem de scale-out para o armazenamento criando um clusterde noacutes que executa um DFS O OneFS combina as trecircs camadas da arquitetura dearmazenamento (file system gerenciador de volumes e proteccedilatildeo de dados) em umcluster de NAS de scale-out
Cada noacute adiciona recursos ao cluster Como cada noacute conteacutem RAM globalmentecoerente agrave medida que um cluster se torna maior tambeacutem aumenta sua velocidadeEnquanto isso o file system se expande dinamicamente e redistribui o conteuacutedo queelimina o trabalho de particionar discos e criar volumes
Os noacutes funcionam como pares para distribuir dados pelo cluster O processo desegmentaccedilatildeo e distribuiccedilatildeo de dados mdash conhecido como particionamento mdash natildeo soacuteprotege dados mas tambeacutem permite que um usuaacuterio que se conecta a qualquer noacuteaproveite o desempenho de todo o cluster
O OneFS usa um software distribuiacutedo para dimensionar dados no hardware geneacutericoOs dispositivos master natildeo controlam o cluster e os dispositivos auxiliares natildeo acionamdependecircncias Todos os noacutes ajudam a controlar solicitaccedilotildees de dados impulsionar odesempenho e expandir a capacidade do cluster
Componentes do noacute IsilonComo um dispositivo montaacutevel em rack um noacute de armazenamento preacute-Hardware de6ordf geraccedilatildeo inclui os seguintes componentes em um chassi montaacutevel em rack de 2U ou4U com um painel frontal LCD CPUs RAM NVRAM interfaces de rede adaptadoresInfiniBand controladoras de disco e miacutedia de armazenamento Um cluster do Isilon eacutecomposto por 3 ou mais noacutes ateacute 144 O chassi de 4U sempre eacute usado para Hardwarede 6ordf geraccedilatildeo Haacute 4 noacutes no chassi de 4U do Hardware de 6ordf geraccedilatildeo portanto um14 do chassi compotildee 1 noacute
Ao adicionar um noacute a um cluster preacute-Hardware de 6ordf geraccedilatildeo vocecirc aumenta acapacidade agregada de disco cache CPU RAM e rede O OneFS agrupa a RAM emum soacute cache coerente para que uma solicitaccedilatildeo de dados em um noacute se beneficie dosdados armazenados em cache em qualquer lugar A NVRAM eacute agrupada para gravardados com alto throughput e proteger operaccedilotildees de gravaccedilatildeo contra falta de energiaAgrave medida que o cluster cresce os eixos e a CPU se combinam para aumentar othroughput a capacidade e as operaccedilotildees de IOPS (InputOutput per Second) Ocluster miacutenimo do Hardware de 6ordf geraccedilatildeo eacute de quatro noacutes e o Hardware de 6ordfgeraccedilatildeo natildeo usa NVRAM Os registros satildeo armazenados na RAM e o flash 2M eacute usadopara um backup em caso de falha do noacute
Haacute vaacuterios tipos de noacutes e todos eles podem ser adicionados a um cluster para equilibrara capacidade e o desempenho com throughput ou IOPS
Noacute Caso de uso
Hardware F800 de 6ordf geraccedilatildeo Soluccedilatildeo totalmente flash
Hardware seacuterie H de 6ordf geraccedilatildeo l H600 soluccedilatildeo de aumento dodesempenho
l H500 capacidade do desempenho
l H400 capacidade do desempenho
NAS de scale-out da Isilon
24 OneFS 810 Guia de Administraccedilatildeo da CLI
Noacute Caso de uso
Hardware seacuterie A de 6ordf geraccedilatildeo l A200 arquivamento ativo
l A2000 arquivo morto
Seacuterie S Aplicativos com grande nuacutemero de IOPS
Seacuterie X Workflows de alta simultaneidade e orientadospor throughput
Seacuterie NL Faacutecil acesso quase primaacuterio com valorsemelhante agrave fita
Seacuterie HD Capacidade maacutexima
Os seguintes noacutes do EMC Isilon melhoram o desempenho
Noacute Funccedilatildeo
Acelerador de desempenho da seacuterie A Dimensionamento independente para obtermaacuteximo desempenho
Acelerador de backup da seacuterie A Soluccedilatildeo de backup e restauraccedilatildeo de altavelocidade e dimensionaacutevel para unidades defita em conexotildees Fibre Channel
Redes internas e externasUm cluster inclui duas redes uma rede interna para trocar dados entre noacutes e uma redeexterna para lidar com as conexotildees dos clients
Os noacutes trocam dados pela rede interna com um protocolo unicast exclusivo viaInfiniBand Cada noacute conteacutem portas InfiniBand redundantes para que vocecirc possaadicionar uma segunda rede interna caso a primeira falhe
Obs
No caso do IsilonSD Edge os noacutes trocam dados por meio do switch de Ethernet Paraobter mais informaccedilotildees sobre os requisitos de redes internas e externas para IsilonSDEdge consulte o Guia de Instalaccedilatildeo e Administraccedilatildeo do IsilonSD Edge
Os clients acessam o cluster com Ethernet de 1 GigE ou de 10 GigE Jaacute que cada noacuteconteacutem portas Ethernet a largura de banda do cluster eacute dimensionada em termos dedesempenho e de capacidade agrave medida que vocecirc adiciona noacutes
CUIDADO
Somente os noacutes do Isilon devem estar conectados a seu switch InfiniBand Asinformaccedilotildees trocadas na rede de back-end natildeo satildeo criptografadas Conectarqualquer outra coisa que natildeo os noacutes do Isilon ao switch InfiniBand criaraacute um riscode seguranccedila
Cluster IsilonUm cluster do Isilon eacute composto por trecircs ou mais noacutes de hardware ateacute 144 Todos osnoacutes executam o sistema operacional Isilon OneFS o software de file-system
NAS de scale-out da Isilon
Redes internas e externas 25
distribuiacutedo que une os noacutes em um cluster A capacidade de armazenamento de umcluster varia de um miacutenimo de 18 TB a um maacuteximo de 50 PB
Se vocecirc estiver executando o IsilonSD Edge consulte a seccedilatildeo Cluster do IsilonSD desteguia para obter os requisitos de cluster do IsilonSD
Administraccedilatildeo de clusterO OneFS centraliza o gerenciamento de clusters em uma interface Web deadministraccedilatildeo e uma interface de linha de comando Ambas as interfaces oferecemmeacutetodos para ativar licenccedilas verificar o status dos noacutes configurar o cluster fazerupgrade do sistema gerar alertas exibir conexotildees dos clients rastrear o desempenhoe alterar vaacuterias configuraccedilotildees
Aleacutem disso o OneFS simplifica a administraccedilatildeo automatizando a manutenccedilatildeo com ummecanismo de trabalho Vocecirc pode agendar os trabalhos de verificaccedilatildeo de viacuterusinspeccedilatildeo de discos em busca de erros recuperaccedilatildeo de espaccedilo em disco e verificaccedilatildeoda integridade do file system O mecanismo gerencia os trabalhos para minimizar oimpacto sobre o desempenho do cluster
Com versotildees 2c e 3 do SNMP (Simple Network Management Protocol) vocecirc podemonitorar remotamente os componentes de hardware a utilizaccedilatildeo da CPU osswitches e as interfaces de rede O EMC Isilon oferece MIBs (ManagementInformation Bases) e traps para o sistema operacional OneFS
O OneFS tambeacutem inclui uma API (Application Programming Interface) que eacute divididaem duas aacutereas funcionais uma aacuterea ativa a funcionalidade de configuraccedilatildeogerenciamento e monitoramento de clusters e a outra ativa as operaccedilotildees em arquivose diretoacuterios do cluster Vocecirc pode enviar solicitaccedilotildees agrave API do OneFS por meio de umainterface de REST (Representational State Transfer) que eacute acessado por meio dorecurso URIs e meacutetodos padratildeo de HTTP A API integra-se ao RBAC (Role-BasedAccess Control controle de acesso baseado em funccedilotildees) do OneFS para aumentar aseguranccedila Consulte Isilon Platform API Reference
QuoacuterumUm cluster do Isilon deve ter um quoacuterum para funcionar devidamente O quoacuterumimpede os conflitos de dados mdash por exemplo versotildees conflitantes do mesmo arquivomdash caso dois grupos de noacutes tornarem-se natildeo sincronizados Se um cluster perder seuquoacuterum para solicitaccedilotildees de leitura e gravaccedilatildeo vocecirc natildeo poderaacute acessar o file systemdo OneFS
Em um quoacuterum mais da metade dos noacutes deve estar disponiacutevel na rede interna Umcluster de sete noacutes por exemplo requer um quoacuterum de quatro noacutes Jaacute um cluster de10 noacutes requer um quoacuterum de 6 noacutes Se um noacute natildeo puder ser acessado pela redeinterna o OneFS separaraacute o noacute do cluster uma accedilatildeo chamada de separaccedilatildeo Depoisque um cluster eacute separado as operaccedilotildees do cluster continuam enquanto houver noacutessuficientes conectados para que um quoacuterum seja mantido
Em um cluster separado os noacutes que restam no cluster satildeo chamados de grupomajoritaacuterio Os noacutes que satildeo separados do cluster satildeo chamados de grupo minoritaacuterio
Quando os noacutes separados puderem ser reconectados ao cluster e ressincronizadoscom os outros noacutes os noacutes associam-se novamente ao grupo majoritaacuterio do clusteruma accedilatildeo chamada de mescla
Um cluster do OneFS conteacutem duas propriedades de quoacuterum
l read quorum (efsgmphas_quorum)
l write quorum (efsgmphas_super_block_quorum)
NAS de scale-out da Isilon
26 OneFS 810 Guia de Administraccedilatildeo da CLI
Ao conectar-se a um noacute com SSH e executar a ferramenta de linha de comandosysctl como root vocecirc pode exibir o status dos dois tipos de quoacuterum A seguirapresentamos um exemplo de um cluster que tem um quoacuterum para operaccedilotildees deleitura e de gravaccedilatildeo jaacute que o resultado do comando exibe um 1 que significaverdadeiro
sysctl efsgmphas_quorum efsgmphas_quorum 1 sysctl efsgmphas_super_block_quorum efsgmphas_super_block_quorum 1
Os estados degradados dos noacutes mdash como smartfail somente leitura off-line etc mdashafetam o quoacuterum de maneiras diferentes Um noacute no estado smartfail ou somenteleitura afetam somente o quoacuterum de gravaccedilatildeo No entanto um noacute no estado off-lineafeta os quoacuteruns de leitura e de gravaccedilatildeo Em um cluster a combinaccedilatildeo de noacutes emdiferentes estados degradados determina se as solicitaccedilotildees de leitura de gravaccedilatildeo ouambas estatildeo funcionando
Um cluster pode perder o quoacuterum de gravaccedilatildeo mas manter o quoacuterum de leituraConsidere um cluster de quatro noacutes no qual os noacutes 1 e 2 estatildeo funcionandonormalmente O noacute 3 estaacute no estado somente leitura e o noacute 4 estaacute no estado smartfailNesse caso as solicitaccedilotildees de leitura ao cluster satildeo enviadas com sucesso Noentanto as solicitaccedilotildees de gravaccedilatildeo recebem um erro de entrada e saiacuteda porque osestados dos noacutes 3 e 4 interrompem o quoacuterum de gravaccedilatildeo
Um cluster tambeacutem pode perder seu quoacuterum de leitura e de gravaccedilatildeo Se os noacutes 3 e 4de um cluster de quatro noacutes estiverem no estado off-line as solicitaccedilotildees de gravaccedilatildeoe de leitura receberatildeo um erro de entrada e saiacuteda e vocecirc natildeo poderaacute acessar o filesystem Quando o OneFS conseguir se reconectar aos noacutes ele os mesclaraacute de volta aocluster Ao contraacuterio de um sistema RAID (Redundant Array of Independent Disks) umnoacute do Isilon pode reingressar no cluster sem ser reconstruiacutedo e reconfigurado
Separaccedilatildeo e mesclaA separaccedilatildeo e a mescla otimizam o uso de noacutes sem sua intervenccedilatildeo
O OneFS monitora todos os noacutes de um cluster Se um noacute natildeo puder ser acessado pelarede interna o OneFS separaraacute o noacute do cluster uma accedilatildeo chamada de separaccedilatildeoQuando o cluster conseguir se reconectar ao noacute o OneFS adiciona o noacute de volta aocluster uma accedilatildeo chamada de mescla
Quando um noacute eacute separado de um cluster ele continuaraacute capturando as informaccedilotildeessobre eventos localmente Vocecirc pode se conectar a um noacute separado com SSH eexecutar o comando isi event events list para exibir o log de eventos local donoacute O log de eventos local pode ajudaacute-lo a solucionar os problemas de conexatildeoresultantes da separaccedilatildeo Quando o noacute separado reingressa no cluster os eventoslocais coletados durante a separaccedilatildeo satildeo excluiacutedos Vocecirc ainda pode exibir os eventosgerados por um noacute separado no arquivo do log de eventos do noacute localizadoem varlogisi_celog_eventslog
Se um cluster for separado durante uma operaccedilatildeo de gravaccedilatildeo o OneFS poderaacuteprecisar realocar os blocks do arquivo junto com o quoacuterum o que faraacute com que osblocks alocados que ficaram sem um quoacuterum tornem-se oacuterfatildeos Quando os noacutesseparados satildeo reconectados ao cluster o trabalho Collect do sistema OneFS recuperaos blocks oacuterfatildeos
Enquanto isso agrave medida que os noacutes se separam do cluster e mesclam-se a ele otrabalho AutoBalance do OneFS redistribui os dados igualmente entre os noacutes docluster otimizando a proteccedilatildeo e conservando o espaccedilo
NAS de scale-out da Isilon
Separaccedilatildeo e mescla 27
Pools de armazenamentoOs pools de armazenamento segmentam os noacutes e arquivos em divisotildees loacutegicas parasimplificar o gerenciamento e o armazenamento de dados
Um pool de armazenamento eacute composto por pools de noacutes e niacuteveis Os pools de noacutesagrupam os noacutes equivalentes para proteger os dados e garantir a confiabilidade Osniacuteveis combinam os pools de noacutes para otimizar o armazenamento conforme anecessidade como um niacutevel de alta velocidade usado frequentemente ouarquivamento raramente acessado
O moacutedulo SmartPools agrupa os noacutes e os arquivos em pools Se vocecirc natildeo ativar umalicenccedila do SmartPools o moacutedulo faraacute o provisionamento dos pools de noacutes e criaraacute umpool de arquivos Se vocecirc ativar uma licenccedila do SmartPools receberaacute mais recursosVocecirc pode por exemplo criar vaacuterios pools de arquivos e controlaacute-los com poliacuteticas Aspoliacuteticas movem arquivos diretoacuterios bem como pools de arquivos entre pools de noacutesou niacuteveis Vocecirc tambeacutem pode definir como o OneFS lida com operaccedilotildees de gravaccedilatildeoquando um pool de noacutes ou um niacutevel estaacute cheio O SmartPools reserva um hot sparevirtual para proteger os dados novamente se um drive falhar independentemente dalicenccedila do SmartPools estar ou natildeo ativada
Sistema operacional OneFSUm sistema operacional distribuiacutedos com base em FreeBSD o OneFS apresenta umfile system do cluster do Isilon como um soacute compartilhamento ou uma soacute exportaccedilatildeocom um ponto central de administraccedilatildeo
O sistema operacional OneFS faz o seguinte
l Daacute suporte a protocolos comuns de acesso a dados como o SMB e o NFS
l Conecta-se a vaacuterios sistemas de gerenciamento de identidade como o ActiveDirectory e o LDAP
l Autentica usuaacuterios e grupos
l Controla o acesso aos arquivos e diretoacuterios
Protocolos de acesso a dadosCom o sistema operacional OneFS vocecirc pode acessar dados com vaacuterios protocolos detransferecircncia e compartilhamento de arquivos Como resultado os clients MicrosoftWindows UNIX Linux e Mac OS X podem compartilhar os mesmos diretoacuterios earquivos
O OneFS daacute suporte aos seguintes protocolos
SMB
O protocolo SMB (Server Message Block) permite que os usuaacuterios do Windowsacessem o cluster O OneFS trabalha com SMB 1 SMB 2 e SMB 21 bem comoSMB 30 somente para multicanais Com o SMB 21 o OneFS daacute suporte aosbloqueios de oportunidade do client (oplocks) e grandes tamanhos de MTU (1MB) O compartilhamento de arquivos padratildeo eacute ifs
NFS
O protocolo NFS (Network File System sistema de arquivos de rede) permite queos sistemas UNIX Linux e Mac OS X montem remotamente qualquer subdiretoacuterioinclusive os subdiretoacuterios criados por usuaacuterios do Windows O OneFS trabalhacom as versotildees 3 e 4 do NFS A exportaccedilatildeo padratildeo eacute ifs
NAS de scale-out da Isilon
28 OneFS 810 Guia de Administraccedilatildeo da CLI
HDFS
O protocolo HDFS (Hadoop Distributed File System) permite que um clustertrabalhe com Apache Hadoop uma estrutura para aplicativos distribuiacutedos com usointenso de dados A integraccedilatildeo com HDFS exige a ativaccedilatildeo de uma licenccedilaseparada
FTP
O FTP (File Transfer Protocol) permite que os sistemas com um client FTP seconectem ao cluster e troquem arquivos
HTTP e HTTPS
O HTTP e sua variante segura o HTTPS datildeo aos sistemas um acesso baseado emnavegador aos recursos O OneFS inclui suporte limitado a WebDAV
Swift
O Swift permite que vocecirc acesse os dados baseados em file armazenados em seucluster do EMC Isilon como objetos A API do Swift eacute implementada como umconjunto de web services REST (Representational State Transfer) sobre HTTP ouHTTPS (Secure HTTP) O conteuacutedo e os metadados podem ser incluiacutedos comoobjetos e acessados simultaneamente por meio de outros protocolos compatiacuteveiscom o EMC Isilon Para obter mais informaccedilotildees consulte a Nota Teacutecnica do IsilonSwift
Gerenciamento de identidade e controle de acessoO OneFS trabalha com vaacuterios sistemas de gerenciamento de identidade paraautenticar usuaacuterios e controlar o acesso a arquivos Aleacutem disso o OneFS apresentazonas de acesso que permitem que os usuaacuterios de diferentes serviccedilos de diretoacuteriosacessem recursos diferentes com base em seu endereccedilo IP Enquanto isso o RBAC(Role-Based Access Control controle de acesso baseado em funccedilotildees) segmenta oacesso administrativo por funccedilatildeo
O OneFS autentica os usuaacuterios com os seguintes sistemas de gerenciamento deidentidade
l AD (Microsoft Active Directory)
l LDAP (Lightweight Directory Access Protocol)
l NIS (Network Information Service serviccedilo de informaccedilatildeo da rede)
l Usuaacuterios e grupos locais
l Um provedor de arquivos para contas contidas nos arquivos etcspwddbe etcgroup Com o provedor de arquivos vocecirc pode adicionar uma origemautorizada de terceiros para as informaccedilotildees do usuaacuterio e do grupo
Vocecirc pode gerenciar usuaacuterios com sistemas de gerenciamento de identidadesdiferentes O OneFS mapeia as contas para que as identidades Windows e UNIXpossam coexistir Uma conta de usuaacuterio do Windows gerenciada no Active Directorypor exemplo eacute associada a uma conta UNIX correspondente no NIS ou no LDAP
Para controlar o acesso um cluster do Isilon trabalha com as ACLs (Access ControlLists listas de controle de acesso) dos sistemas Windows e com os bits de modoPOSIX dos sistemas Unix Quando o OneFS precisa mudar as permissotildees de umarquivo de ACLs para bits de modo ou de bits de modo para ACLs o OneFS mescla aspermissotildees para manter configuraccedilotildees consistentes de seguranccedila
O OneFS apresenta visualizaccedilotildees das permissotildees especiacuteficas aos protocolos para queas exportaccedilotildees NFS exibam modos de bits e os compartilhamentos do SMB exibamACLs No entanto vocecirc pode gerenciar natildeo apenas os modos de bits mas tambeacutem as
NAS de scale-out da Isilon
Gerenciamento de identidade e controle de acesso 29
ACLs com as ferramentas padratildeo do UNIX como os comandos chmod e chown Aleacutemdisso as poliacuteticas de ACL permitem que vocecirc configure como o OneFS gerencia aspermissotildees para as redes que combinam os sistemas Windows e UNIX
Zonas de acesso
O OneFS inclui um recurso de zonas de acesso As zonas de acesso permitem queos usuaacuterios de diferentes provedores de autenticaccedilatildeo como dois domiacutenios natildeoconfiaacuteveis do Active Directory acessem recursos diferentes do OneFS com baseem um endereccedilo IP recebido Uma zona de acesso pode conter vaacuterios provedoresde autenticaccedilatildeo e namespaces de SMB
RBAC para administraccedilatildeo
O OneFS inclui controle de acesso baseado em funccedilotildees para administraccedilatildeo Emvez de uma conta root ou de administrador o RBAC permite gerenciar o acessoadministrativo por funccedilatildeo Uma funccedilatildeo limita privileacutegios a uma aacuterea deadministraccedilatildeo Por exemplo vocecirc pode criar funccedilotildees de administrador separadaspara seguranccedila auditoria armazenamento e backup
Estrutura do file systemO OneFS apresenta todos os noacutes de um cluster como um namespace global mdash ou sejacomo um compartilhamento de arquivos padratildeo o ifs
No file system os diretoacuterios satildeo links de nuacutemeros inode Um inode conteacutem metadadosde arquivos e um nuacutemero inode que identifica o local de um arquivo O OneFS aloca osinodes dinamicamente e natildeo haacute limite para o nuacutemero de inodes
Para distribuir dados entre os noacutes o OneFS envia mensagens com um endereccedilo deblock globalmente roteaacutevel pela rede interna do cluster O endereccedilo do block identificao noacute e o drive que armazenam o block de dados
Obs
Recomendamos que vocecirc natildeo salve os dados no caminho de arquivo raiz ifs masnos diretoacuterios abaixo de ifs O projeto de sua estrutura de armazenamento de dadosdeve ser planejado com cuidado Um diretoacuterio bem projetado otimiza o desempenho ea administraccedilatildeo do cluster
Layout de dadosO OneFS distribui os dados de modo uniforme entre os noacutes de um cluster comalgoritmos de layout que maximizam a eficiecircncia e o desempenho do armazenamentoO sistema realoca dados continuamente para conservar o espaccedilo
O OneFS divide os dados em seccedilotildees menores chamadas de blocks e em seguida osistema posiciona os blocks em uma unidade de fraccedilatildeo Ao fazer referecircncia aoscoacutedigos de file data ou de eliminaccedilatildeo uma unidade de fraccedilatildeo ajuda a proteger umarquivo de uma falha de hardware O tamanho de uma unidade de fraccedilatildeo depende dotamanho do arquivo do nuacutemero de noacutes e da configuraccedilatildeo de proteccedilatildeo Depois que oOneFS divide os dados em unidades de fraccedilatildeo ele aloca ou fraciona essas unidadesnos noacutes do cluster
Quando um client se conecta a um noacute suas operaccedilotildees de leitura e gravaccedilatildeo ocorremem vaacuterios noacutes Por exemplo quando um client se conecta a um noacute e solicita umarquivo o noacute recupera os dados de vaacuterios noacutes e reconstroacutei o arquivo Vocecirc podeotimizar o modo como OneFS faz o layout dos dados para corresponder a seu padratildeode acesso dominante mdash simultacircneo contiacutenuo ou aleatoacuterio
NAS de scale-out da Isilon
30 OneFS 810 Guia de Administraccedilatildeo da CLI
Gravando arquivosEm um noacute as operaccedilotildees de IO (InputOutput entrada e saiacuteda) da pilha de softwaredo OneFS se dividem em duas camadas funcionais uma camada superior ou iniciadore uma camada inferior ou participante Nas operaccedilotildees de leitura e gravaccedilatildeo oiniciador e o participante desempenham funccedilotildees diferentes
Quando um client grava um arquivo em um noacute o iniciador do noacute gerencia o layout doarquivo no cluster Primeiro o iniciador divide o arquivo em blocks de 8 KB cadaDepois ele coloca os blocks em uma ou mais unidades de fraccedilatildeo Em 128 KB umaunidade de fraccedilatildeo consiste em 16 blocks Em terceiro lugar o iniciador distribui asunidades de fraccedilatildeo no cluster ateacute que elas abranjam uma largura do cluster criandouma fraccedilatildeo A largura da fraccedilatildeo depende do nuacutemero de noacutes e da configuraccedilatildeo deproteccedilatildeo
Depois de dividir um arquivo em unidades de fraccedilatildeo o iniciador grava os dados naNVRAM (Non-Volatil Random-Access Memory) e depois no disco A NVRAM reteacuteminformaccedilotildees quando a energia estaacute desligada
Durante a transaccedilatildeo de gravaccedilatildeo a NVRAM protege contra noacutes com falha registradosSe um noacute falhar durante a transaccedilatildeo a transaccedilatildeo reiniciaraacute sem o noacute com falhaQuando o noacute retornar ele reproduz o registro da NVRAM para concluir a transaccedilatildeo Onoacute tambeacutem executa o trabalho AutoBalance para verificar o striping de disco doarquivo Enquanto isso as gravaccedilotildees natildeo confirmadas que estatildeo aguardando no cachesatildeo protegidas com o espelhamento Como resultado o OneFS elimina vaacuterios pontosde falha
Lendo arquivosEm uma operaccedilatildeo de leitura um noacute age como um gerenciador para coletar dados deoutros noacutes e apresentaacute-los ao client solicitante
Como o cache coerente de um cluster do Isilon abrange todos os noacutes o OneFS podearmazenar dados diferentes na RAM de cada noacute Usando a rede InfiniBand interna umnoacute pode recuperar file data do cache de outro noacute com mais rapidez que de seu proacutepriodisco local Se uma operaccedilatildeo de leitura solicitar dados que satildeo armazenados em cacheem qualquer noacute o OneFS obteraacute esses dados para apresentaacute-los rapidamente
Aleacutem disso para arquivos com um padratildeo de acesso simultacircneo ou contiacutenuo o OneFSobteacutem previamente os dados solicitados a um cache local para um noacute degerenciamento para melhorar ainda mais o desempenho da leitura sequencial
Layout de metadadosO OneFS protege os metadados espalhando-os entre os noacutes e os drives
Os metadados mdash que incluem informaccedilotildees sobre onde um arquivo eacute armazenadocomo ele eacute protegido e quem pode acessaacute-lo mdash satildeo armazenados em inodes eprotegidos com bloqueios em uma aacutervore B+ uma estrutura padratildeo para a organizaccedilatildeode blocos de dados em um file system para oferecer pesquisas instantacircneas O OneFSreplica os metadados de arquivos no cluster para que natildeo haja um ponto uacutenico defalha
Trabalhando juntos como pares todos os noacutes ajudam a gerenciar o acesso e o bloqueiodos metadados Se um noacute detectar um erro nos metadados ele pesquisaraacute osmetadados em um local alternativo e corrige o erro
NAS de scale-out da Isilon
Gravando arquivos 31
Bloqueios e simultaneidadeO OneFS tem um gerenciador de bloqueio distribuiacutedo que orquestra os bloqueios dedados em todos os noacutes de um cluster
O gerenciador de bloqueio concede bloqueios ao file system aos intervalos de bytes eaos protocolos inclusive bloqueios do modo de compartilhamento do SMB e bloqueiosde consultoria de NFS O OneFS tambeacutem daacute suporte aos bloqueios oportunistas deSMB
Como o OneFS distribui o gerenciador de bloqueio por todos os noacutes qualquer noacute podeatuar como um coordenador de bloqueios Quando um thread de um noacute solicita umbloqueio geralmente o algoritmo de hash do gerenciador de bloqueio atribui a funccedilatildeode coordenador a um noacute diferente O coordenador aloca um bloqueio compartilhado ouum bloqueio exclusivo dependendo do tipo de solicitaccedilatildeo Um bloqueio compartilhadopermite que os usuaacuterios compartilhem um arquivo simultaneamente normalmente paraoperaccedilotildees de leitura Um bloqueio exclusivo permite que apenas um usuaacuterio acesse umarquivo normalmente para as operaccedilotildees de gravaccedilatildeo
StripingEm um processo conhecido como particionamento o OneFS segmenta os arquivos emunidades de dados e depois distribui essas unidades pelos noacutes de um cluster Oparticionamento protege seus dados e melhora o desempenho do cluster
Para distribuir um arquivo o OneFS o reduz a blocos de dados dispotildee os blocos emunidades de fraccedilatildeo e depois aloca as unidades de fraccedilatildeo aos noacutes pela rede interna
Ao mesmo tempo o OneFS distribui os coacutedigos de eliminaccedilatildeo que protegem o arquivoOs coacutedigos de eliminaccedilatildeo codificam os dados do arquivo em um conjunto distribuiacutedo desiacutembolos adicionando redundacircncia com uso eficiente de espaccedilo Com apenas umaparte do conjunto de siacutembolos o OneFS pode recuperar os file data originais
Juntos os dados e sua redundacircncia formam um grupo de proteccedilatildeo para uma regiatildeo defile data O OneFS coloca os grupos de proteccedilatildeo em diferentes drives dos diferentesnoacutes mdash criando fraccedilotildees de dados
Como o OneFS fraciona os dados nos noacutes que trabalham juntos como pares umusuaacuterio que se conecta a qualquer noacute pode aproveitar o desempenho de todo o cluster
De modo padratildeo o OneFS otimiza o particionamento para acesso simultacircneo Se seupadratildeo de acesso principal for do tipo contiacutenuo mdash ou seja as cargas de trabalho commaior single stream e menor simultaneidade como viacutedeo mdash vocecirc poderaacute alterar omodo como o OneFS dispotildee os dados para melhorar o desempenho da leiturasequencial Para melhorar o controle do acesso contiacutenuo o OneFS fraciona os dadospor mais drives O acesso contiacutenuo eacute mais eficaz em clusters ou em subpools queapresentam arquivos grandes
Visatildeo geral da proteccedilatildeo de dadosUm cluster do Isilon eacute projetado para servir dados mesmo quando os componentesfalham De modo padratildeo o OneFS protege os dados com coacutedigos de eliminaccedilatildeopermitindo que vocecirc recupere arquivos quando um noacute ou disco falhar Como umaalternativa aos coacutedigos de eliminaccedilatildeo vocecirc pode proteger os dados com dois a oitoespelhamentos
Ao criar um cluster com cinco noacutes ou mais os coacutedigos de eliminaccedilatildeo ofereceratildeo umaeficiecircncia de ateacute 80 Em clusters maiores os coacutedigos de eliminaccedilatildeo oferecem ateacutequatro niacuteveis de redundacircncia
NAS de scale-out da Isilon
32 OneFS 810 Guia de Administraccedilatildeo da CLI
Aleacutem dos coacutedigos de eliminaccedilatildeo e do espelhamento o OneFS inclui os seguintesrecursos para ajudar a proteger a integridade a disponibilidade e a confidencialidadedos dados
Recurso Descriccedilatildeo
Antiviacuterus O OneFS pode enviar arquivos aos servidoresque executam o ICAP (Internet ContentAdaptation Protocol) para fazer verificaccedilotildeesde viacuterus e outras ameaccedilas
Clones O OneFS permite que vocecirc crie clones quecompartilham blocks com outros aquivos paraeconomizar espaccedilo
Restauraccedilatildeo e backup NDMP O OneFS pode fazer backup de dados em fitae outros dispositivos com o NDMP (NetworkData Management Protocol protocolo degerenciamento de dados da rede) Embora oOneFS decirc suporte ao backup bidirecional etridirecional o backup bidirecional exige umnoacute Backup Accelerator do Isilon
Obs
O IsilonSD Edge somente daacute suporte aobackup NDMP tridirecional
Domiacutenios de proteccedilatildeo Vocecirc pode aplicar domiacutenios de proteccedilatildeo aosarquivos e aos diretoacuterios para impediralteraccedilotildees
Os seguintes moacutedulos de software tambeacutem ajudam a proteger os dados masrequerem que vocecirc ative uma licenccedila separada
Recurso licenciado Descriccedilatildeo
SyncIQ O SyncIQ replica dados em outro cluster doIsilon e automatiza as operaccedilotildees de failover efailback entre clusters Se um cluster setornar inutilizaacutevel vocecirc poderaacute fazer o failoverdele a outro cluster do Isilon
SnapshotIQ Vocecirc pode proteger os dados com umsnapshot mdash uma coacutepia loacutegica dos dadosarmazenados em um cluster
SmartLock A ferramenta SmartLock impede que osusuaacuterios modifiquem e excluam arquivos Vocecircpode confirmar os arquivos a um estadoWORM (Write Once Read Many times) Oarquivo nunca poderaacute ser modificado e natildeopode ser excluiacutedo ateacute depois de um periacuteodo deretenccedilatildeo configurado O SmartLock podeajudaacute-lo a cumprir a regra 17a-4 da SEC(Securities and Exchange Comission)
NAS de scale-out da Isilon
Visatildeo geral da proteccedilatildeo de dados 33
Proteccedilatildeo de dados N+MO OneFS usa a redundacircncia de dados em todo o cluster para impedir a perda de dadosresultante de falhas de unidade ou noacute A proteccedilatildeo eacute integrada agrave estrutura do filesystem e pode ser aplicada ateacute o niacutevel de arquivos individuais
A proteccedilatildeo do OneFS eacute modelada com base no algoritmo Reed-Solomon que usa aFEC (Forward Error Correction) Usando a FEC o OneFS aloca os dados emfragmentos de 128 KB Para cada fragmento de dados N o OneFS grava Mfragmentos de proteccedilatildeo ou paridade Cada fragmento N + M conhecido como umgrupo de proteccedilatildeo eacute gravado em um disco independente de um noacute independente Esseprocesso eacute chamado de particionamento de dados Particionando os dados em todo ocluster o OneFS poderaacute recuperar arquivos quando ocorrerem falhas de unidades ounoacutes
No OneFS os conceitos de poliacutetica de proteccedilatildeo e niacutevel de proteccedilatildeo satildeo diferentes Apoliacutetica de proteccedilatildeo eacute a configuraccedilatildeo de proteccedilatildeo que vocecirc especifica para os pools dearmazenamento de seu cluster O niacutevel de proteccedilatildeo eacute a proteccedilatildeo real que o OneFSoferece aos dados com base na poliacutetica de proteccedilatildeo e no nuacutemero real de noacutesgravaacuteveis
Por exemplo se vocecirc tiver um cluster de trecircs noacutes e especificar uma poliacutetica deproteccedilatildeo de [+2d1n] o OneFS poderaacute tolerar a falha de duas unidades ou de um noacutesem perda de dados No entanto nesse mesmo cluster de trecircs noacutes se vocecirc especificaruma poliacutetica de proteccedilatildeo de [+4d2n] o OneFS natildeo poderaacute atingir um niacutevel deproteccedilatildeo que permitiria falhas de quatro unidades ou de dois noacutes Isso ocorre porque N+M deve ser menor ou igual ao nuacutemero de noacutes do cluster
Por padratildeo o OneFS calcula e define uma poliacutetica de proteccedilatildeo recomendada com basena configuraccedilatildeo de seu cluster A poliacutetica de proteccedilatildeo recomendada atinge o equiliacutebrioideal entre a eficiecircncia de armazenamento e a integridade dos dados
Eacute possiacutevel configurar um niacutevel de proteccedilatildeo que seja mais alto que o niacutevel ao qual ocluster pode dar suporte Em um cluster de quatro noacutes por exemplo vocecirc podeconfigurar o niacutevel de proteccedilatildeo como [5x] No entanto o OneFS protegeria os dadoscom uma proteccedilatildeo de 4x ateacute vocecirc adicionar um 5ordm noacute ao cluster nesse momento oOneFS protegeria os dados novamente com uma proteccedilatildeo de 5x
Espelhamento de dadosVocecirc pode proteger os dados em disco com o espelhamento que copia os dados emvaacuterios locais O OneFS daacute suporte de dois a oito espelhamentos Vocecirc pode usar oespelhamento em vez de coacutedigos de eliminaccedilatildeo ou pode combinar coacutedigos deeliminaccedilatildeo com o espelhamento
No entanto o espelhamento consome mais espaccedilo que os coacutedigos de eliminaccedilatildeo Oespelhamento de dados realizado trecircs vezes por exemplo duplica os dados trecircsvezes o que exige mais espaccedilo que os coacutedigos de eliminaccedilatildeo Como resultado oespelhamento eacute mais adequado para as transaccedilotildees que exigem alto desempenho
Vocecirc tambeacutem pode combinar coacutedigos de eliminaccedilatildeo com o espelhamento Duranteuma operaccedilatildeo de gravaccedilatildeo o OneFS divide os dados em grupos de proteccedilatildeoredundantes Para arquivos protegidos pelos coacutedigos de eliminaccedilatildeo um grupo deproteccedilatildeo consiste em blocos de dados e em seus coacutedigos de eliminaccedilatildeo Para arquivosespelhados um grupo de proteccedilatildeo conteacutem todos os espelhamentos de um conjunto deblocos O OneFS pode alternar o tipo de grupo de proteccedilatildeo agrave medida que grava umarquivo em disco Alterando o grupo de proteccedilatildeo dinamicamente o OneFS podecontinuar gravando dados independentemente de uma falha do noacute que impede que ocluster aplique coacutedigos de eliminaccedilatildeo Depois que o noacute eacute restaurado o OneFS
NAS de scale-out da Isilon
34 OneFS 810 Guia de Administraccedilatildeo da CLI
converte automaticamente os grupos de proteccedilatildeo espelhados em coacutedigos deeliminaccedilatildeo
Registro do file systemUm registro que indica as mudanccedilas do file system em uma placa NVRAM com bateriareserva recupera o file system apoacutes falhas como uma queda de energia Quando umnoacute eacute reiniciado o registro reproduz as transaccedilotildees de arquivos para restaurar o filesystem
VHS (Virtual Hot Spare hot spare virtual)Quando um drive falha o OneFS usa o espaccedilo reservado em um subpool em vez de umdrive de hot spare O espaccedilo reservado eacute conhecido como um hot spare virtual
Em contraste com um drive sobressalente um hot spare virtual resolveautomaticamente as falhas de drive e continua gravando dados Se um drive falhar oOneFS migraraacute os dados ao hot spare virtual para protegecirc-los novamente Vocecirc podereservar ateacute quatro drives de disco como hot spare virtual
Proteccedilatildeo de balanceamento com espaccedilo de armazenamentoVocecirc pode configurar niacuteveis para balancear os requisitos de proteccedilatildeo com o espaccedilo dearmazenamento
Geralmente niacuteveis maiores de proteccedilatildeo consomem mais espaccedilo que niacuteveis inferioresjaacute que vocecirc perder uma quantidade de espaccedilo em disco para armazenar os coacutedigos deeliminaccedilatildeo A sobrecarga dos coacutedigos de eliminaccedilatildeo depende do niacutevel de proteccedilatildeo dotamanho do arquivo e do nuacutemero de noacutes no cluster Jaacute que o OneFS fraciona os dadose coacutedigos de eliminaccedilatildeo nos noacutes a sobrecarga diminui agrave medida que vocecirc adicionarnoacutes
Integraccedilatildeo com VMwareO OneFS integra-se a vaacuterios produtos da VMware inclusive o vSphere o vCenter e oESXi
Por exemplo o OneFS trabalha com o VASA (VMware vSphere API for StorageAwareness) para que vocecirc possa exibir informaccedilotildees sobre um cluster do Isilon novSphere O OneFS tambeacutem trabalha com o VAAI (VMware vSphere API for ArrayIntegration) para dar suporte aos seguintes recursos de armazenamento em blockhardware-assisted locking coacutepia completa e anulaccedilatildeo de block O VAAI para NFSrequer um plug-in do ESXi
Com o Isilon Storage Replication Adapter o OneFS se integra ao VMware vCenterSite Recovery Manager para recuperar as maacutequinas virtuais que satildeo replicadas entreos clusters do Isilon
Moacutedulos de softwareVocecirc pode acessar recursos avanccedilados ativando licenccedilas para os moacutedulos de softwaredo EMC Isilon
NAS de scale-out da Isilon
Registro do file system 35
Obs
Se vocecirc estiver executando o IsilonSD Edge a lista compatiacutevel de moacutedulos desoftware varia dependendo se vocecirc tiver configurado a versatildeo gratuita ou compradadesse produto Para obter mais informaccedilotildees sobre os moacutedulos de software disponiacuteveiscom o IsilonSD Edge consulte a seccedilatildeo Visatildeo geral do licenciamento do IsilonSD Edgedeste guia
SmartLock
O SmartLock protege os dados criacuteticos contra alteraccedilotildees ou exclusotildees mal-intencionadas acidentais ou prematuras para ajudaacute-lo a cumprir as normas 17a-4da SEC (Securities and Exchange Comission) Vocecirc pode confirmar os dadosautomaticamente para um estado agrave prova de adulteraccedilotildees e depois mantecirc-loscom um clock de conformidade
HDFS
O OneFS trabalha com o protocolo Hadoop Distributed File System para ajudar osclients que executam o Apache Hadoop uma estrutura para aplicativosdistribuiacutedos com uso intenso de dados a analisar o big data
Failover e failback automatizados do SyncIQ
O SyncIQ replica dados em outro cluster do Isilon e automatiza o failover e ofailback entre clusters Se um cluster se tornar inutilizaacutevel vocecirc poderaacute fazer ofailover dele a outro cluster do Isilon O failback restaura os dados da origeminicial depois que o cluster primaacuterio fica novamente disponiacutevel
Reforccedilo da seguranccedila
O reforccedilo da seguranccedila eacute o processo de configuraccedilatildeo de seu sistema para reduzirou eliminar o maacuteximo de risco de seguranccedila possiacutevel Vocecirc pode aplicar umapoliacutetica de reforccedilo que proteja a configuraccedilatildeo do OneFS de acordo com asdiretrizes da poliacutetica
SnapshotIQ
O SnapshotIQ protege os dados com um snapshot mdash uma coacutepia loacutegica dos dadosarmazenados em um cluster Um snapshot pode ser restaurado a seu diretoacuterio deniacutevel superior
SmartDedupe
Vocecirc pode restringir a redundacircncia em um cluster executando o SmartDedupe Adesduplicaccedilatildeo cria links que podem afetar a velocidade na qual vocecirc pode ler egravar arquivos
SmartPools
O SmartPools permite que vocecirc crie vaacuterios pools de arquivos regidos por poliacuteticasde pools de arquivos As poliacuteticas movem arquivos e diretoacuterios entre pools de noacutesou niacuteveis Vocecirc tambeacutem pode definir como o OneFS lida com operaccedilotildees degravaccedilatildeo quando um pool de noacutes ou um niacutevel estaacute cheio
CloudPools
Desenvolvido com base no framework de poliacuteticas do SmartPools o CloudPoolspermite o arquivamento de dados no armazenamento em nuvem definindo anuvem efetivamente como outro niacutevel de armazenamento O CloudPools daacutesuporte ao EMC Isilon ao appliance ECS da EMC ao Virtustream Storage Cloudao Amazon S3 e ao Microsoft Azure como provedores de armazenamento emnuvem
NAS de scale-out da Isilon
36 OneFS 810 Guia de Administraccedilatildeo da CLI
SmartConnect Advanced
Se vocecirc ativar uma licenccedila do SmartConnect Advanced seraacute possiacutevel balancearas poliacuteticas para distribuir de maneira uniforme o uso da CPU as conexotildees declient ou o throughput Vocecirc tambeacutem pode configurar pools de endereccedilos IP paradar suporte a vaacuterias zonas de DNS em uma sub-rede Aleacutem disso o SmartConnectdaacute suporte a failover de IP tambeacutem conhecido como failover de NFS
InsightIQ
O dispositivo virtual InsightIQ monitora e analisa o desempenho de seu cluster doIsilon para ajudaacute-lo a otimizar os recursos de armazenamento e prever acapacidade
SmartQuotas
O moacutedulo SmartQuotas rastreia o uso de disco com relatoacuterios e impotildee limites dearmazenamento com alertas
Isilon Swift
O Isilon Swift eacute um gateway de armazenamento em object compatiacutevel com a APIOpenStack Swift 10 Por meio do Isilon Swift eacute possiacutevel acessar os dadosexistentes baseados em file e armazenados em seu cluster do EMC Isilon comoobjetos A API do Swift eacute implementada como um conjunto de web servicesRESTful sobre HTTP ou HTTPS Jaacute que a API do Swift eacute considerada como umprotocolo o conteuacutedo e os metadados podem ser incluiacutedos como objetos eacessados simultaneamente por meio de outros protocolos compatiacuteveis com oEMC Isilon
NAS de scale-out da Isilon
Moacutedulos de software 37
NAS de scale-out da Isilon
38 OneFS 810 Guia de Administraccedilatildeo da CLI
CAPIacuteTULO 3
Introduccedilatildeo agrave interface de linha de comando doOneFS
Esta seccedilatildeo conteacutem os seguintes toacutepicos
l Visatildeo geral da interface de linha de comando do OneFS 40l Diagramas de sintaxe 40l Opccedilotildees universais41l Privileacutegios da interface de linha de comando 42l Permissotildees de comandos de conformidade do SmartLock 42l Valores de tempo do OneFS45
Introduccedilatildeo agrave interface de linha de comando do OneFS 39
Visatildeo geral da interface de linha de comando do OneFSA interface de linha de comando do OneFS amplia o conjunto padratildeo de comandosUNIX para incluir comandos que permitem que vocecirc gerencie um cluster do Isilon forada interface Web de administraccedilatildeo ou do painel LCD Vocecirc pode acessar a interface delinha de comando ao abrir uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacutedo cluster
Vocecirc pode executar os comandos isi para configurar monitorar e gerenciar osclusters do Isilon e os noacutes individuais de um cluster
Esta publicaccedilatildeo apresenta informaccedilotildees conceituais e de tarefas sobre os comandos daCLI Para obter uma lista alfabeacutetica de todos os comandos da CLI consulte odocumento Referecircncia de Comandos da CLI do OneFS
Visatildeo geral da interface de linha de comando do IsilonSD EdgeA interface da linha de comando do IsilonSD Edge aceita a maioria dos comandos doOneFS
Alguns comandos podem natildeo ser aplicaacuteveis ao IsilonSD Edge pois eles natildeo satildeocompatiacuteveis com clusters executados em uma infraestrutura virtual ou porque vocecircnatildeo adquiriu uma licenccedila do IsilonSD Edge Esses comandos satildeo solicitados nasrespectivas seccedilotildees
Diagramas de sintaxeO formato de cada comando eacute descrito em um diagrama de sintaxe
As seguintes convenccedilotildees se aplicam aos diagramas de sintaxe
Elemento Descriccedilatildeo
[ ] Os colchetes indicam um elemento opcionalSe vocecirc omitir o conteuacutedo dos colchetes aoespecificar um comando o comando aindaseraacute executado com sucesso
lt gt Os parecircnteses angulares indicam um valor deespaccedilo reservado Vocecirc deve substituir oconteuacutedo dos parecircnteses angulares com umvalor vaacutelido a natildeo ser que o comandoapresente falha
As chaves indicam um grupo de elementos Seo conteuacutedo das chaves for separado por umabarra vertical o conteuacutedo seraacute mutuamenteexclusivos Se o conteuacutedo das chaves natildeo forseparado por uma barra o conteuacutedo deveraacuteser especificado junto
| As barras verticais separam elementosmutuamente exclusivos entre chaves
As reticecircncias indicam que o elementoanterior pode ser repetido mais de uma vez
Introduccedilatildeo agrave interface de linha de comando do OneFS
40 OneFS 810 Guia de Administraccedilatildeo da CLI
Elemento Descriccedilatildeo
Se as reticecircncias acompanharem uma chaveou colchete os conteuacutedos desses siacutembolospoderatildeo ser repetidos mais de uma vez
Cada comando isi eacute dividido em trecircs partes comando opccedilotildees necessaacuterias e opccedilotildeesfacultativas As opccedilotildees necessaacuterias satildeo posicionais o que significa que vocecirc deveespecificaacute-las na ordem em que aparecem no diagrama de sintaxe No entanto vocecircpode especificar uma opccedilatildeo necessaacuteria em uma ordem alternativa precedendo o textoexibido entre parecircnteses angulares com um hiacutefen duplo Por exemplo considere isisnapshot snapshots create
isi snapshot snapshots create ltnamegt ltpathgt [--expires lttimestampgt] [--alias ltstringgt] [--verbose]
Se as opccedilotildees ltnamegt eltpathgt estiverem prefixadas com hiacutefens duplos as opccedilotildeespoderatildeo ser movimentadas pelo comando Por exemplo o seguinte comando eacute vaacutelido
isi snapshot snapshots create --verbose --path ifsdata --alias newSnap_alias --name newSnap
As versotildees reduzidas de comandos satildeo aceitas desde que o comando natildeo sejaambiacuteguo e natildeo se aplique a vaacuterios comandos Por exemplo o comando isi snapsnap c newSnap ifsdata eacute equivalente a isi snapshot snapshotscreate newSnap ifsdata porque a raiz de cada palavra pertence a umcomando exclusivamente Se uma palavra pertencer a mais de um comando ocomando falharaacute Por exemplo o comando isi sn snap c newSnap ifsdatanatildeo eacute equivalente a isi snapshot snapshots create newSnap ifsdataporque a raiz de isi sn pode pertencer a isi snapshot ou isi snmp
Se vocecirc comeccedilar a digitar uma palavra e pressionar TAB o resto da palavra apareceraacuteautomaticamente desde que ela natildeo seja ambiacutegua e aplique-se somente a umcomando Por exemplo isi snap exibe o complemento isi snapshot pois eacute auacutenica possibilidade vaacutelida No entanto isi sn natildeo tem um complemento jaacute que eacute araiz de isi snapshot e isi snmp
Opccedilotildees universaisAlgumas opccedilotildees satildeo vaacutelidas para todos os comandos
Sintaxe
isi [--timeout ltintegergt] [--debug] ltcommandgt [--help]
--timeout ltnuacutemero inteirogt
Especifica o nuacutemero de segundos antes de ocorrer o time out do comando
--debug
Introduccedilatildeo agrave interface de linha de comando do OneFS
Opccedilotildees universais 41
Exibe todas as chamadas agrave API da plataforma do OneFS Se ocorrer umtraceback exibiraacute o traceback aleacutem da mensagem de erro
--help
Indica uma descriccedilatildeo baacutesica do comando e de todas as opccedilotildees vaacutelidas para ele
ExemplosO seguinte comando faz com que o comando isi sync policies list atinja seutime out apoacutes 30 segundos
isi --timeout 30 sync policies list
O seguinte comando exibe o resultado da ajuda para isi sync policies list
isi sync policies list --help
Privileacutegios da interface de linha de comandoVocecirc pode executar a maioria das tarefas autorizadas por um privileacutegio na CLI(Command-Line Interface interface de linha de comando) Alguns comandos doOneFS exigem acesso root
Permissotildees de comandos de conformidade do SmartLockSe um cluster estiver sendo executado no modo de conformidade do SmartLock oacesso root seraacute desativado no cluster Por isso se um comando requer acesso rootvocecirc somente pode executar o comando no programa Sudo
No modo de conformidade vocecirc pode executar todos os comandos isi que satildeoseguidos por um espaccedilo no Sudo Por exemplo vocecirc pode executar o isi syncpolicies create no Sudo Aleacutem disso vocecirc tambeacutem pode executar os seguintescomandos isi_ no sudo esses comandos satildeo internos e geralmente satildeoexecutados somente pelo Suporte teacutecnico do Isilon
l isi_auth_expert
l isi_bootdisk_finish
l isi_bootdisk_provider_dev
l isi_bootdisk_status
l isi_bootdisk_unlock
l isi_checkjournal
l isi_clean_idmap
l isi_client_stats
l isi_cpr
l isi_cto_update
l isi_disk_firmware_reboot
l isi_dmi_info
l isi_dmilog
Introduccedilatildeo agrave interface de linha de comando do OneFS
42 OneFS 810 Guia de Administraccedilatildeo da CLI
l isi_dongle_sync
l isi_drivenum
l isi_dsp_install
l isi_dumpjournal
l isi_eth_mixer_d
l isi_evaluate_provision_drive
l isi_fcb_vpd_tool
l isi_flexnet_info
l isi_flush
l isi_for_array
l isi_fputil
l isi_gather_info
l isi_gather_auth_info
l isi_gather_cluster_info
l isi_gconfig
l isi_get_itrace
l isi_get_profile
l isi_hangdump
l isi_hw_check
l isi_hw_status
l isi_ib_bug_info
l isi_ib_fw
l isi_ib_info
l isi_ilog
l isi_imdd_status
l isi_inventory_tool
l isi_ipmicmc
l isi_job_d
l isi_kill_busy
l isi_km_diag
l isi_lid_d
l isi_linmap_mod
l isi_logstore
l isi_lsiexputil
l isi_make_abr
l isi_mcp
l isi_mps_fw_status
l isi_netlogger
l isi_nodes
l isi_ntp_config
Introduccedilatildeo agrave interface de linha de comando do OneFS
Permissotildees de comandos de conformidade do SmartLock 43
l isi_ovt_check
l isi_patch_d
l isi_phone_home
l isi_promptsupport
l isi_radish
l isi_rbm_ping
l isi_repstate_mod
l isi_restill
l isi_rnvutil
l isi_sasphymon
l isi_save_itrace
l isi_savecore
l isi_sed
l isi_send_abr
l isi_smbios
l isi_stats_tool
l isi_transform_tool
l isi_ufp
l isi_umount_ifs
l isi_update_cto
l isi_update_serialno
l isi_vitutil
l isi_vol_copy
l isi_vol_copy_vnx
Aleacutem dos comandos isi vocecirc pode executar os seguintes comandos UNIX no Sudo
l data
l gcore
l ifconfig
l kill
l killall
l nfsstat
l ntpdate
l nvmecontrol
l pciconf
l pkill
l ps
l pwd_mkdb
l renice
l shutdown
Introduccedilatildeo agrave interface de linha de comando do OneFS
44 OneFS 810 Guia de Administraccedilatildeo da CLI
l sysctl
l tcpdump
l top
Valores de tempo do OneFSO OneFS usa diferentes valores para o tempo dependendo do aplicativo
Vocecirc pode especificar periacuteodos como um mecircs para vaacuterios aplicativos do OneFSEntretanto jaacute que alguns valores de tempo tecircm mais de um significado o OneFSdefine esses valores com base no aplicativo A seguinte tabela descreve os valores detempo para os aplicativos do OneFS
Moacutedulo Mecircs Ano
SnapshotIQ 30 dias 365 dias (natildeo considera o ano bissexto)
SmartLock 31 dias 365 dias (natildeo considera o ano bissexto)
SyncIQ 30 dias 365 dias (natildeo considera o ano bissexto)
Introduccedilatildeo agrave interface de linha de comando do OneFS
Valores de tempo do OneFS 45
Introduccedilatildeo agrave interface de linha de comando do OneFS
46 OneFS 810 Guia de Administraccedilatildeo da CLI
CAPIacuteTULO 4
Administraccedilatildeo geral de cluster
Esta seccedilatildeo conteacutem os seguintes toacutepicos
l Visatildeo geral da administraccedilatildeo de cluster48l Interfaces do usuaacuterio48l Estabelecendo conexatildeo com o cluster 49l Licenciamento50l Certificados 55l Identidade dos clusters61l Informaccedilotildees de contato do cluster62l Data e hora do cluster 63l Configuraccedilotildees de e-mail SMTP65l Configurando o cluster de associaccedilatildeo de cluster66l Configuraccedilotildees do file system 67l Reforccedilo da seguranccedila 68l Monitoramento dos clusters72l Monitorando o hardware do cluster73l Alertas e eventos 82l Manutenccedilatildeo e clusters91l Suporte remoto 102
Administraccedilatildeo geral de cluster 47
Visatildeo geral da administraccedilatildeo de clusterVocecirc pode gerenciar configuraccedilotildees gerais do OneFS e licenccedilas de moacutedulos para ocluster EMC Isilon
A administraccedilatildeo geral do cluster abrange diversas aacutereas Eacute possiacutevel
l Gerenciar configuraccedilotildees gerais como o nome do cluster a data e a hora e e-mail
l Monitorar o status e o desempenho do cluster inclusive componentes dehardware
l Configurar o modo de tratamento dos eventos e notificaccedilotildees
l Realizar a manutenccedilatildeo do cluster como adiccedilatildeo remoccedilatildeo e reiniacutecio de noacutes
A maioria das tarefas de gerenciamento eacute realizada por meio da interface Web deadministraccedilatildeo ou pela interface de linha de comando entretanto vocecirc encontraraacuteocasionalmente uma tarefa que soacute poderaacute ser gerenciada por uma ou outra
Interfaces do usuaacuterioO OneFS e o IsilonSD Edge oferecem vaacuterias interfaces para gerenciar os clusters doEMC Isilon e do IsilonSD
Interface Descriccedilatildeo Comentaacuterio
Interface Web deadministraccedilatildeo do OneFS
A interface Web deadministraccedilatildeo do OneFSbaseada em navegadoroferece acesso seguro comnavegadores compatiacuteveis como OneFS Use essa interfacepara visualizar soacutelidasexibiccedilotildees de monitoramentograacutefico e para executartarefas de gerenciamento decluster
A interface Web deadministraccedilatildeo do OneFS usa aporta 8080 como a portapadratildeo
Interface de linha de comandodo OneFS
Execute os comandos isi do
OneFS na interface de linhade comando para configurarmonitorar e gerenciar ocluster O acesso agrave interfacede linha de comando eacute pormeio de uma conexatildeo SSH(Secure Shell Protocol) comqualquer noacute do cluster
A interface de linha decomando do OneFS ofereceum conjunto extenso decomandos padratildeo UNIX parao gerenciamento do cluster
API do OneFS A API (ApplicationProgramming Interface) doOneFS eacute dividida em duasaacutereas funcionais uma aacutereaativa a configuraccedilatildeo emcluster o gerenciamento e afuncionalidade demonitoramento e a outra aacutereapermite operaccedilotildees em
Vocecirc deve ter umentendimento soacutelido deHTTP11 e experiecircncia emelaborar software clientbaseado em HTTP paraimplementar o software clientpor meio da API do OneFS
Administraccedilatildeo geral de cluster
48 OneFS 810 Guia de Administraccedilatildeo da CLI
Interface Descriccedilatildeo Comentaacuterio
arquivos e diretoacuterios docluster Vocecirc pode enviarsolicitaccedilotildees agrave API do OneFSpor meio de uma interface deREST (Representational StateTransfer) que eacute acessado pormeio do recurso URIs emeacutetodos padratildeo de HTTP
Painel frontal do noacute Com a exceccedilatildeo dos noacutes doacelerador o painel frontal decada noacute conteacutem uma tela LCDcom cinco bototildees que vocecircpode usar para monitorar osdetalhes do noacute e do cluster
Obs
Essa interface natildeo eacute aplicaacutevelao IsilonSD Edge
O status dos noacutes os eventosos detalhes do cluster acapacidade e os endereccedilos IPe MAC o throughput e ostatus do drive estatildeodisponiacuteveis pelo painel frontaldos noacutes
Estabelecendo conexatildeo com o clusterO acesso ao cluster EMC Isilon eacute fornecido por meio da interface Web deadministraccedilatildeo ou por meio do SSH Vocecirc pode usar uma conexatildeo serial para executartarefas de administraccedilatildeo de cluster por meio da interface de linha de comando
Vocecirc tambeacutem pode acessar o cluster no painel frontal do noacute para executar umsubconjunto de tarefas de gerenciamento de cluster Para obter informaccedilotildees sobrecomo estabelecer conexatildeo com o painel frontal do noacute consulte a documentaccedilatildeo deinstalaccedilatildeo do noacute
Obs
O painel frontal do noacute natildeo estaacute disponiacutevel no IsilonSD Edge
Fazer log-in na interface Web de administraccedilatildeoVocecirc pode monitorar e gerenciar seu cluster do EMC Isilon na interface Web deadministraccedilatildeo baseada em navegador
Procedimento
1 Abra uma janela do navegador e digite a URL de seu cluster no campo deendereccedilo substituindo ltendereccedilo IP de seu noacutegt de um dos seguintes exemplospelo primeiro endereccedilo IP que vocecirc especificou quando configurou ext-1
IPv4
httpsltyourNodeIPaddressgt8080IPv6
https[ltyourNodeIPaddressgt]8080
Administraccedilatildeo geral de cluster
Estabelecendo conexatildeo com o cluster 49
Obs
Os endereccedilos IPv6 natildeo satildeo compatiacuteveis com o IsilonSD Edge
O sistema exibe uma mensagem se seus certificados de seguranccedila natildeo foramconfigurados Resolva todas as configuraccedilotildees de certificado e continue para osite
2 Faccedila log-in no OneFS digitando suas credenciais do OneFS nos camposUsername e Password
Depois de fazer log-in na interface Web de administraccedilatildeo haacute um timeout dolog-in de 4 horas
Abrir uma conexatildeo SSH com um clusterVocecirc pode usar qualquer SSH client como OpenSSH ou PuTTY para conectar-se aum cluster do EMC Isilon
Antes de vocecirc comeccedilar
Vocecirc deve ter credenciais vaacutelidas do OneFS para fazer log-in em um cluster depoisque a conexatildeo eacute aberta
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) segura com qualquer noacute nocluster usando o endereccedilo IP do noacute e o nuacutemero da porta 22
2 Faccedila log-in com suas credenciais do OneFS
No prompt de linha de comando do OneFS eacute possiacutevel usar o comando isipara monitorar e gerenciar seu cluster
LicenciamentoTodos os produtos de hardware e software do EMC Isilon devem ser licenciados pormeio da EMC SLC (Software Licensing Central)
Um registro de suas licenccedilas ativas e do hardware de seu cluster estaacute contido em umarquivo de licenccedila armazenado em dois locais uma coacutepia do arquivo de licenccedila eacutearmazenada no repositoacuterio da SLC e a outra em seu cluster O arquivo de licenccedilaconteacutem um registro dos seguintes tipos de licenccedila
l OneFS
l Moacutedulos adicionais de software
O arquivo de licenccedila em seu cluster e o arquivo de licenccedila no repositoacuterio da SLCdevem corresponder a seu hardware e software instalados Portanto vocecirc deve enviaruma solicitaccedilatildeo para atualizar seu arquivo de licenccedila quando vocecirc
l Fizer upgrade pela primeira vez para o OneFS 81 ou versatildeo posterior
l Adicionar um novo hardware ou fizer upgrade do hardware existente em seucluster
l Exigir a ativaccedilatildeo de um moacutedulo opcional de software
Para solicitar uma alteraccedilatildeo em seu arquivo de licenccedila vocecirc deveraacute criar um arquivoque contenha uma lista atualizada de suas licenccedilas necessaacuterias de software ehardware e enviaacute-la agrave EMC SLC (Software Licensing Central) Vocecirc pode gerar oarquivo conhecido como arquivo de ativaccedilatildeo em sua interface do OneFS
Administraccedilatildeo geral de cluster
50 OneFS 810 Guia de Administraccedilatildeo da CLI
As licenccedilas seratildeo criadas depois que vocecirc gerar um arquivo de ativaccedilatildeo enviar oarquivo agrave EMC SLC (Software Licensing Central) receber um arquivo de licenccedila daSLC e fizer upload do arquivo de licenccedila em seu cluster
Obs
Se vocecirc estiver executando a versatildeo gratuita do IsilonSD Edge teraacute acesso a todos osmoacutedulos opcionais de software exceto SyncIQ SmartLock e Cloudpools Para teracesso a qualquer um desses trecircs moacutedulos vocecirc deveraacute adquirir uma licenccedila doIsilonSD Edge
Licenccedilas de softwareSua licenccedila do OneFS e as licenccedilas dos moacutedulos opcionais de software satildeo incluiacutedasno arquivo de licenccedila de seu cluster e devem corresponder a seu registro de licenccedilasno repositoacuterio da EMC SLC (Software Licensing Central)
Vocecirc deve se certificar de que o arquivo de licenccedila de seu cluster e que seu arquivo delicenccedila no repositoacuterio da SLC correspondam a sua versatildeo submetida a upgrade doOneFS
Os recursos avanccedilados de cluster estatildeo disponiacuteveis quando vocecirc ativa licenccedilas para osseguintes moacutedulos de software do OneFS
l CloudPools
l Reforccedilo da seguranccedila
l HDFS
l Isilon Swift
l SmartConnect Advanced
l SmartDedupe
l SmartLock
l SmartPools
l SmartQuotas
l SnapshotIQ
l SyncIQ
Para obter mais informaccedilotildees sobre os moacutedulos opcionais de software entre emcontato com seu representante de vendas do EMC Isilon
Obs
Se vocecirc estiver executando a versatildeo gratuita do IsilonSD Edge teraacute acesso a todos osmoacutedulos opcionais de software exceto SyncIQ SmartLock e Cloudpools Para teracesso a qualquer um desses trecircs moacutedulos vocecirc deveraacute adquirir uma licenccedila doIsilonSD Edge
Niacuteveis de hardwareSeu arquivo de licenccedila conteacutem informaccedilotildees sobre o hardware do EMC Isilon instaladoem seu cluster
Os noacutes satildeo listados por niacuteveis em seu arquivo de licenccedila Eles satildeo colocados em umniacutevel de acordo com o niacutevel de desempenho de computaccedilatildeo a capacidade e o tipo deunidade
Administraccedilatildeo geral de cluster
Licenccedilas de software 51
Obs
Seu arquivo de licenccedila conteraacute itens de linha para cada noacute de seu cluster No entantoo hardware preacute-6ordf geraccedilatildeo natildeo estaacute incluiacutedo no modelo de licenciamento do OneFS
Status da licenccedilaO status de uma licenccedila do OneFS indica se o arquivo de licenccedila de seu cluster refletesua versatildeo atual do OneFS O status da licenccedila de um moacutedulo do OneFS indica se afuncionalidade oferecida por um moacutedulo estaacute disponiacutevel no cluster
As licenccedilas existem em um dos seguintes estados
Status Descriccedilatildeo
Unsigned A licenccedila natildeo foi atualizada na EMC SLC(Software Licensing Central) Gere e envieum arquivo de ativaccedilatildeo para atualizar seuarquivo de licenccedila com a nova versatildeo doOneFS
Inactive A licenccedila natildeo foi ativada no cluster Vocecirc natildeopoderaacute acessar os recursos oferecidos pelomoacutedulo correspondente
Evaluation A licenccedila foi ativada temporariamente nocluster Vocecirc pode acessar os recursosoferecidos pelo moacutedulo correspondente por90 dias
Activated A licenccedila foi ativada no cluster Vocecirc podeacessar os recursos oferecidos pelo moacutedulocorrespondente
Expired A licenccedila expirou no cluster Depois que alicenccedila expirar gere e envie um arquivo deativaccedilatildeo para atualizar seu arquivo de licenccedila
Exibir informaccedilotildees de licenccedilaVocecirc pode visualizar informaccedilotildees sobre o status atual da licenccedila do OneFS dohardware e dos moacutedulos opcionais de software do Isilon
Procedimento
1 Execute o seguinte comando
isi license list
Adicionando e removendo licenccedilasVocecirc pode atualizar seu arquivo de licenccedila gerando um arquivo de ativaccedilatildeo enviando oarquivo de ativaccedilatildeo agrave EMC SLC (Software Licensing Central) e em seguida fazendoupload de um arquivo de licenccedila atualizado para seu cluster
Vocecirc pode adicionar ou remover licenccedilas de seu arquivo de licenccedila enviando umarquivo de ativaccedilatildeo agrave SLC
Administraccedilatildeo geral de cluster
52 OneFS 810 Guia de Administraccedilatildeo da CLI
Vocecirc deve atualizar seu arquivo de licenccedila depois de
l Adicionar ou remover hardware
l Adicionar ou remover moacutedulos opcionais de software
Gerar um arquivo de ativaccedilatildeo de licenccedilaPara atualizar seu arquivo de licenccedila primeiramente vocecirc deve gerar um arquivo deativaccedilatildeo de licenccedila que contenha as alteraccedilotildees que deseja fazer em seu arquivo delicenccedila
Procedimento
1 Execute o comando isi license generate para adicionar ou removerlicenccedilas de seu arquivo de ativaccedilatildeo e designe um local para salvar seu arquivode ativaccedilatildeo
O seguinte comando adiciona uma licenccedila do OneFS e salva o arquivo deativaccedilatildeo intitulado ltcluster-namegt_activationxml no diretoacuterio ifsde seu cluster
isi license generate--include OneFS --file ifsltcluster-namegt_activationxml
O seguinte comando adiciona licenccedilas do OneFS e do SyncIQ remove sualicenccedila do Cloudpools e salva o novo arquivo de ativaccedilatildeo em ifslocal
isi license generate--include OneFS --include SyncIQ --exclude Cloudpools--file ifslocal
2 Salve o arquivo de ativaccedilatildeo em sua maacutequina local
Depois que vocecirc tiver uma coacutepia do arquivo de ativaccedilatildeo em sua maacutequina localpoderaacute enviar o arquivo agrave EMC SLC (Software Licensing Central)
Enviar um arquivo de ativaccedilatildeo de licenccedila para SLCDepois de gerar um arquivo de ativaccedilatildeo no OneFS envie o arquivo de ativaccedilatildeo agrave EMCSLC (Software Licensing Central) para receber um arquivo de licenccedila assinado paraseu cluster
Antes de vocecirc comeccedilar
Antes de enviar o arquivo de ativaccedilatildeo agrave SLC vocecirc deve gerar o arquivo de ativaccedilatildeopor meio do OneFS e salvar o arquivo em sua maacutequina local
Procedimento
1 Em seu sistema local e conectado agrave internet acesse a EMC SLC (SoftwareLicensing Central)
2 Faccedila log-in no sistema usando suas credenciais da EMC
3 Clique em ACTIVATE na parte superior da paacutegina
Um menu seraacute exibido com duas opccedilotildees Activate e Activate by File
4 Clique em Activate by File
A paacutegina Upload Activation File seraacute exibida
Administraccedilatildeo geral de cluster
Adicionando e removendo licenccedilas 53
5 Confirme se o nome de sua empresa estaacute listado ao lado da opccedilatildeo Company
Se o nome de sua empresa natildeo for exibido clique emSelect a Company epesquise o nome e ID de sua empresa
6 Clique em Fazer upload
7 Localize o arquivo de ativaccedilatildeo em sua maacutequina local e clique em Open
8 Clique no botatildeo Start the Activation Process
A paacutegina Apply License Authorization Code (LAC) seraacute exibida
9 Na tabela Missing Product amp Quantities Summary confirme se haacute uma marcade verificaccedilatildeo verde na coluna agrave extrema direita
Se natildeo houver uma marca de verificaccedilatildeo verde em qualquer linha dessa colunavocecirc poderaacute pesquisar um LAC (License Authorization Code coacutedigo deautorizaccedilatildeo de licenccedila) diferente clicando em Search e selecionando um LACdisponiacutevel diferente
10 Clique no botatildeo Next Review
11 Clique no botatildeo Activate
Quando o arquivo de licenccedila assinado estiver disponiacutevel a SLC o enviaraacute a vocecirccomo um anexo de e-mail
Obs
Seu arquivo de licenccedila assinado pode natildeo ficar disponiacutevel imediatamente
12 Depois que vocecirc receber o arquivo de licenccedila assinado da SLC baixe o arquivode licenccedila assinado em sua maacutequina local
Fazer upload do arquivo de licenccedila atualizadoDepois de receber um arquivo de licenccedila atualizado da EMC SLC (Software LicensingCentral) faccedila upload do arquivo atualizado em seu cluster
Procedimento
1 Execute o comando isi license add
O seguinte comando adiciona o arquivo de licenccedila ifslocal ao cluster
isi license add --path ifslocal
Ativando licenccedilas de versatildeo de avaliaccedilatildeoVocecirc pode ativar uma licenccedila de versatildeo de avaliaccedilatildeo que permite que vocecirc avalie ummoacutedulo opcional de software por 90 dias
Ativar uma licenccedila de versatildeo de avaliaccedilatildeoVocecirc pode ativar uma licenccedila de versatildeo de avaliaccedilatildeo para avaliar um moacutedulo desoftware do OneFS
Procedimento
1 Execute o comando isi license add
Administraccedilatildeo geral de cluster
54 OneFS 810 Guia de Administraccedilatildeo da CLI
O seguinte comando ativa uma licenccedila de versatildeo de avaliaccedilatildeo para os moacutedulosCloudpools e SyncIQ
isi license add --evaluation Cloudpools --evaluation SyncIQ
CertificadosToda a comunicaccedilatildeo de APIs do OneFS que inclui a comunicaccedilatildeo feita pela interfaceWeb de administraccedilatildeo eacute feita pela TLS (Transport Layer Security seguranccedila decamada de transporte) Vocecirc pode renovar o certificado de TLS da interface Web deadministraccedilatildeo do OneFS ou substituiacute-lo por um certificado de TLS de terceiros
Para substituir ou renovar um certificado de TLS vocecirc deve fazer log-in como raiz
Substituir ou renovar o certificado de TLSO certificado de TLS (Transport Layer Security seguranccedila de camada de transporte)eacute usado para acessar o cluster por meio de um navegador Inicialmente o clusterconteacutem um certificado autoassinado para essa finalidade Vocecirc pode continuar usandoo certificado autoassinado existente ou pode substituiacute-lo por um certificado emitidopor uma CA (Certificate Authority autoridade de certificaccedilatildeo) de terceiros
Se vocecirc continuar usando o certificado autoassinado deveraacute substituiacute-lo quando eleexpirar por
l Um certificado emitido por uma CA (puacuteblica ou privada) de terceiros
l Outro certificado autoassinado que eacute gerado no cluster
As pastas a seguir satildeo os locais padratildeo dos arquivos servercrt e serverkey
l Certificado de TLS usrlocalapache2confsslcrtservercrtl Chave do certificado de TLS usrlocalapache2confsslkey
serverkey
Substituir o certificado de TLS por um certificado emitido por uma CA de terceirosEste procedimento descreve como substituir o certificado de TLS existente por umcertificado de TLS emitido por uma CA (Certificate Authority autoridade decertificaccedilatildeo) puacuteblica ou privada de terceiros
Antes de vocecirc comeccedilar
Quando vocecirc solicita um certificado de TLS de uma autoridade de certificaccedilatildeo deveapresentar informaccedilotildees sobre sua organizaccedilatildeo Eacute uma boa ideia determinar essasinformaccedilotildees com antecedecircncia antes de iniciar o processo Consulte a seccedilatildeo Exemplode dados do certificado de TLS deste capiacutetulo para obter detalhes e exemplos dasinformaccedilotildees necessaacuterias
Obs
Este procedimento requer que vocecirc reinicie o serviccedilo isi_webui que reinicia ainterface Web de administraccedilatildeo Portanto recomenda-se que vocecirc siga essas etapasdurante uma janela de manutenccedilatildeo agendada
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in como root
Administraccedilatildeo geral de cluster
Certificados 55
2 Crie um diretoacuterio de backup executando o seguinte comando
mkdir ifsdatabackup
3 Defina as permissotildees do diretoacuterio de backup como 700
chmod 700 ifsdatabackup
4 Faccedila coacutepias de backup dos arquivos servercrt e serverkey existentesexecutando os dois seguintes comandos
cp usrlocalapache2confsslcrtservercrt ifsdatabackupservercrtbak
cp usrlocalapache2confsslkeyserverkey ifsdatabackupservercrtbak
Obs
Se houver arquivos com os mesmos nomes no diretoacuterio de backup sobregraveos arquivos existentes ou para salvar os backups antigos renomeie os novosarquivos com um registro de data e hora ou outro identificador
5 Crie um diretoacuterio de trabalho para armazenar os arquivos enquanto conclui esteprocedimento
mkdir ifslocal
6 Defina as permissotildees do diretoacuterio de trabalho como 700
chmod 700 ifslocal
7 Mude para o diretoacuterio de trabalho
cd ifslocal
8 Gere uma nova CSR (Certificate Signing Request solicitaccedilatildeo de assinatura decertificado) e uma nova chave executando o comando a seguir ondeltcommom-namegt eacute um nome atribuiacutedo por vocecirc Esse nome identifica os novosarquivos key e csr enquanto vocecirc estaacute trabalhando com eles nesseprocedimento Eventualmente vocecirc renomearaacute os arquivos e os copiaraacute devolta no local padratildeo e excluiraacute os arquivos com o ltcommon-namegt Emboravocecirc possa escolher qualquer nome para ltcommon-namegt recomendamos queuse o nome que planeja informar como o nome comum do novo certificado deTLS (por exemplo o FQDN do servidor ou o nome do servidor como
Administraccedilatildeo geral de cluster
56 OneFS 810 Guia de Administraccedilatildeo da CLI
isilonexamplecom) Isso permite que vocecirc diferencie os novos arquivosdos arquivos originais
openssl req -new -nodes -newkey rsa1024 -keyout ltcommon-namegtkey -out ltcommon-namegtcsr
9 Quando solicitado digite as informaccedilotildees que seratildeo incorporadas agrave solicitaccedilatildeo decertificado
Quando terminar de digitar as informaccedilotildees os arquivos ltcommon-namegtcsre ltcommon-namegtkey seratildeo exibidos no diretoacuterio ifslocal
10 Envie o conteuacutedo do arquivo ltcommon-namegtcsr do cluster agrave CA paraassinatura
11 Quando vocecirc receber o certificado assinado (agora um arquivo crt) da CAcopie o certificado em ifslocalltcommon-namegtcrt (ondeltcommon-namegt eacute o nome que vocecirc atribuiu anteriormente)
12 (Opcional) Para verificar os atributos do certificado de TLS execute o seguintecomando onde ltcommon-namegt eacute o nome que vocecirc atribuiu anteriormente
openssl x509 -text -noout -in ltcommon-namegtcrt
13 Execute os cinco comandos a seguir para instalar o certificado e a chave ereinicie o serviccedilo isi_webui Nos comandos substitua ltcommon-namegt pelonome que vocecirc atribuiu anteriormente
isi services -a isi_webui disable
chmod 640 ltcommon namegtkey
isi_for_array -s cp ifslocalltcommon-namegtkey usrlocalapache2confsslkeyserverkey
isi_for_array -s cp ifslocalltcommon-namegtcrt usrlocalapache2confsslcrtservercrt
isi services -a isi_webui enable
14 Verifique se a instalaccedilatildeo foi bem-sucedida Para obter instruccedilotildees consulte aseccedilatildeo Verificar uma atualizaccedilatildeo do certificado de TLS deste guia
15 Exclua os arquivos de trabalho temporaacuterios do diretoacuterio ifslocal
rm ifslocalltcommon-namegtcsr ifslocalltcommon-namegtkey ifslocalltcommon-namegtcrt
Administraccedilatildeo geral de cluster
Substituir ou renovar o certificado de TLS 57
16 (Opcional) Exclua os arquivos de backup do diretoacuterio ifsdatabackup
rm ifsdatabackupservercrtbak ifsdatabackupserverkeybak
Renovar o certificado de TLS autoassinadoEste procedimento descreve como substituir um certificado expirado de TLSautoassinado gerando um novo certificado baseado na chave de servidor (de estoque)existente
Antes de vocecirc comeccedilar
Quando vocecirc gera um certificado autoassinado precisa apresentar informaccedilotildees sobresua organizaccedilatildeo Eacute uma boa ideia determinar essas informaccedilotildees com antecedecircnciaantes de iniciar o processo Consulte a seccedilatildeo Exemplo de dados do certificado de TLSdeste capiacutetulo para obter detalhes e exemplos das informaccedilotildees necessaacuterias
Obs
Este procedimento requer que vocecirc reinicie o serviccedilo isi_webui que reinicia ainterface Web de administraccedilatildeo Portanto recomenda-se que vocecirc siga essas etapasdurante uma janela de manutenccedilatildeo agendada
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in como root
2 Crie um diretoacuterio de backup executando o seguinte comando
mkdir ifsdatabackup
3 Defina as permissotildees do diretoacuterio de backup como 700
chmod 700 ifsdatabackup
4 Faccedila coacutepias de backup dos arquivos servercrt e serverkey existentesexecutando os dois seguintes comandos
cp usrlocalapache2confsslcrtservercrt ifsdatabackupbak
cp usrlocalapache2confsslkeyserverkey ifsdatabackupbak
Obs
Se houver arquivos com os mesmos nomes no diretoacuterio de backup sobregraveos arquivos existentes ou para salvar os backups antigos renomeie os novosarquivos com um registro de data e hora ou outro identificador
Administraccedilatildeo geral de cluster
58 OneFS 810 Guia de Administraccedilatildeo da CLI
5 Crie um diretoacuterio de trabalho para armazenar os arquivos enquanto conclui esteprocedimento
mkdir ifslocal
6 Defina as permissotildees do diretoacuterio de trabalho como 700
chmod 700 ifslocal
7 Mude para o diretoacuterio de trabalho
cd ifslocal
8 No prompt de comando execute os dois comandos a seguir para criar umcertificado que expiraraacute em 2 anos (730 dias) Aumente ou reduza o valor de -days para gerar um certificado com uma data de expiraccedilatildeo diferente
cp usrlocalapache2confsslkeyserverkey
openssl req -new -days 730 -nodes -x509 -key serverkey -out servercrt
9 Quando solicitado digite as informaccedilotildees que seratildeo incorporadas agrave solicitaccedilatildeo decertificado
Quando terminar de apresentar as informaccedilotildees um certificado de renovaccedilatildeoseraacute criado com base na chave do servidor (de estoque) existente O certificadode renovaccedilatildeo seraacute intitulado servercrt e seraacute exibido no diretoacuterio ifslocal
10 (Opcional) Para verificar os atributos do certificado de TLS execute o seguintecomando
openssl x509 -text -noout -in servercrt
Administraccedilatildeo geral de cluster
Substituir ou renovar o certificado de TLS 59
11 Execute os cinco seguintes comandos para instalar o certificado e a chave ereiniciar o serviccedilo isi_webui
isi services -a isi_webui disable
chmod 640 serverkey
isi_for_array -s cp ifslocalserverkey usrlocalapache2confsslkeyserverkey
isi_for_array -s cp ifslocalservercrt usrlocalapache2confsslcrtservercrt
isi services -a isi_webui enable
12 Verifique se a instalaccedilatildeo foi bem-sucedida Para obter instruccedilotildees consulte aseccedilatildeo Verificar uma atualizaccedilatildeo do certificado de TLS deste guia
13 Exclua os arquivos de trabalho temporaacuterios do diretoacuterio ifslocal
rm ifslocalltcommon-namegtcsr ifslocalltcommon-namegtkey ifslocalltcommon-namegtcrt
14 (Opcional) Exclua os arquivos de backup do diretoacuterio ifsdatabackup
rm ifsdatabackupservercrtbak ifsdatabackupserverkeybak
Verificar uma atualizaccedilatildeo do certificado SSLVocecirc pode verificar os detalhes armazenados em um certificado SSL (Secure SocketsLayer)
Procedimento
1 Execute o comando a seguir para abrir e verificar os atributos de um certificadoSSL
echo QUIT | openssl s_client -connect localhost8080
Exemplo de dados do certificado de TLSA renovaccedilatildeo ou substituiccedilatildeo de um certificado de TLS exige que vocecirc apresentedados como o nome do domiacutenio completo e um endereccedilo de e-mail para contato
Administraccedilatildeo geral de cluster
60 OneFS 810 Guia de Administraccedilatildeo da CLI
Ao renovar ou substituir um certificado de TLS vocecirc deveraacute informar dados noformato exibido no seguinte exemplo
You are about to be asked to enter information that will be incorporatedinto your certificate requestWhat you are about to enter is what is called a Distinguished Name or a DNThere are quite a few fields but you can leave some blankFor some fields there will be a default valueIf you enter the field will be left blank-----Country Name (2 letter code) [AU]USState or Province Name (full name) [Some-State]WashingtonLocality Name (eg city) []SeattleOrganization Name (eg company) [Internet Widgits Pty Ltd]CompanyOrganizational Unit Name (eg section) []System AdministrationCommon Name (eg server FQDN or YOUR name) []localhostexampleorgEmail Address []supportexamplecom
Aleacutem disso se vocecirc estiver solicitando um certificado emitido por uma CA deterceiros deveraacute incluir os atributos adicionais que satildeo exibidos no seguinte exemplo
Please enter the following extra attributesto be sent with your certificate requestA challenge password []passwordAn optional company name []Another Name
Identidade dos clustersVocecirc pode especificar os atributos de identidade do cluster do EMC Isilon
Nome do cluster
O nome do cluster eacute exibido na paacutegina de log-in e torna o cluster e seus noacutes maisfacilmente reconheciacuteveis em sua rede Cada noacute do cluster eacute identificado pelonome do cluster e pelo nuacutemero do noacute Por exemplo o primeiro noacute de um clusterchamado Images pode ser chamado de Images-1
Obs
No caso do IsilonSD Edge vocecirc soacute pode atribuir um nome de cluster por meio doplug-in de gerenciamento do IsilonSD Para obter mais informaccedilotildees consulte oGuia de Administraccedilatildeo e Instalaccedilatildeo do IsilonSD Edge
Descriccedilatildeo do cluster
A descriccedilatildeo do cluster eacute exibida abaixo do nome do cluster na paacutegina de log-in Elaeacute uacutetil caso seu ambiente tenha vaacuterios clusters
Mensagem de log-in
A mensagem de log-in eacute exibida como uma caixa separada na paacutegina de log-in dainterface Web de administraccedilatildeo do OneFS ou como uma linha de texto sob onome do cluster na interface de linha de comando do OneFS Ela pode transmitirinformaccedilotildees sobre o cluster instruccedilotildees de log-in ou advertecircncias que um usuaacuteriodeve saber antes de fazer log-in no cluster Defina essas informaccedilotildees na paacuteginaCluster Identity da interface Web de administraccedilatildeo do OneFS
Administraccedilatildeo geral de cluster
Identidade dos clusters 61
Definir o nome do clusterVocecirc pode especificar um nome uma descriccedilatildeo e uma mensagem de log-in para ocluster EMC Isilon
Os nomes dos clusters devem iniciar com uma letra e podem conter somente letrasnuacutemeros e hiacutefens O nome de cluster eacute adicionado ao nuacutemero do noacute para identificarcada noacute do cluster Por exemplo o primeiro noacute de um cluster chamado Images podeser chamado de Images-1
Procedimento
1 Abra o prompt do comando isi config executando o seguinte comando
isi config
2 Execute o comando name
O seguinte comando configura o nome do cluster para NewName
name NewName
3 Salve suas alteraccedilotildees executando o seguinte comando
commit
Informaccedilotildees de contato do clusterA equipe de suporte teacutecnico do Isilon e os destinataacuterios das notificaccedilotildees de eventos secomunicaratildeo com os contatos especificados
Vocecirc pode especificar as seguintes informaccedilotildees de contato para o cluster EMC Isilon
l Nome da empresa e localizaccedilatildeo
l Nomes do contato principal e secundaacuterio
l Nuacutemero de telefone e endereccedilo de e-mail de cada contato
Especificar informaccedilotildees de contatoVocecirc pode especificar informaccedilotildees de contato de modo que a equipe de suporteteacutecnico do Isilon possa entrar em contato com vocecirc
O ESRS eacute o mecanismo de contato e deve ser ativado para especificar as informaccedilotildeesde contato
Procedimento
1 Ative o ESRS executando o seguinte comando
isi_promptesrs -e
O sistema exibiraacute a seguinte mensagem
Would you like to enable ESRS [yes]
Administraccedilatildeo geral de cluster
62 OneFS 810 Guia de Administraccedilatildeo da CLI
2 Digite yes e pressione ENTER
O sistema exibiraacute a seguinte mensagem
Please enter company name3 Digite o nome de sua empresa e pressione ENTER
O sistema exibiraacute a seguinte mensagem
Please enter contact name4 Digite seu nome para contato e pressione ENTER
O sistema exibiraacute a seguinte mensagem
Please enter contact phone5 Digite seu nuacutemero para contato e pressione ENTER
O sistema exibiraacute a seguinte mensagem
Please enter contact email6 Digite seu endereccedilo de e-mail para contato e pressione ENTER
Data e hora do clusterO serviccedilo NTP (Network Time Protocol) pode ser configurado manualmente para quevocecirc possa garantir que todos os noacutes de um cluster sejam sincronizados com a mesmafonte de horaacuterio
O meacutetodo NTP sincroniza automaticamente as configuraccedilotildees de data e hora docluster por meio de um servidor NTP Vocecirc tambeacutem pode definir manualmente a datae a hora informadas pelo cluster configurando o serviccedilo
Os domiacutenios Windows fornecem um mecanismo para sincronizar membros do domiacuteniocom um reloacutegio master em execuccedilatildeo nos controladores de domiacutenio de maneira que oOneFS defina a hora do cluster de acordo com a hora do Active Directory com umserviccedilo Se natildeo houver servidores NTP externos configurados o OneFS usaraacute ocontrolador de domiacutenio do Windows como o servidor de horaacuterio NTP Quando o tempode cluster e domiacutenio ficarem fora de sincronia em mais de 4 minutos o OneFSgerenciaraacute uma notificaccedilatildeo de eventos
Obs
Se o cluster e o Active Directory ficarem fora de sincronizaccedilatildeo em mais de 5 minutosa autenticaccedilatildeo natildeo funcionaraacute
Configurar a data e a hora do clusterVocecirc pode configurar a data a hora e o fuso horaacuterio que satildeo utilizados pelo cluster doEMC Isilon
Procedimento
1 Execute o comando isi config
O prompt de linha de comando muda para indicar que vocecirc estaacute no subsistemaisi config
2 Especifique a data e a hora atuais executando o comando date
Administraccedilatildeo geral de cluster
Data e hora do cluster 63
O seguinte comando configura a hora do cluster para 9h47 de 22 de julho de2015
date 20150722 094700
3 Para verificar sua configuraccedilatildeo de fuso horaacuterio execute o comando timezoneA configuraccedilatildeo atual de fuso horaacuterio seraacute exibida Por exemplo
The current time zone is Pacific Time Zone4 Para exibir uma lista de fusos horaacuterios vaacutelidos execute o comando help
timezone As seguintes opccedilotildees satildeo exibidas
Greenwich Mean TimeEastern Time ZoneCentral Time ZoneMountain Time ZonePacific Time ZoneArizonaAlaskaHawaiiJapanAdvanced
5 Para alterar o fuso horaacuterio execute o comando timezone seguido por uma dasopccedilotildees exibidas
O seguinte comando altera o fuso horaacuterio para Hawaii
timezone Hawaii
Uma mensagem confirmando a nova configuraccedilatildeo de fuso horaacuterio seraacute exibidaSe seu fuso horaacuterio desejado natildeo for exibido ao executar o comando helptimezone especifique timezone Advanced Apoacutes ver uma tela deadvertecircncia vocecirc avanccedilaraacute a uma lista de regiotildees Ao selecionar uma regiatildeouma lista de fusos horaacuterios especiacuteficos dessa regiatildeo seraacute exibida Selecione ofuso horaacuterio desejado (vocecirc pode precisar rolar a tela) e insira OK ou Cancel ateacutevoltar ao prompt isi config
6 Execute o comando commit para salvar suas alteraccedilotildees e saia do isiconfig
Especificar um servidor de horaacuterio do NTPVocecirc pode especificar um ou mais servidores de NTP (Network Time Protocol) parasincronizar o horaacuterio do sistema no cluster do EMC Isilon O cluster entra em contatoperiodicamente com os servidores do NTP e configura a data e a hora com base nasinformaccedilotildees que recebe
Procedimento
1 Execute o comando isi_ntp_config especificando add server seguidopelo nome do host pelo endereccedilo IPv4 ou pelo endereccedilo IPv6 do servidor NTPdesejado
O seguinte comando especifica o ntptimeserver1com
isi_ntp_config add server ntptimeserver1com
Administraccedilatildeo geral de cluster
64 OneFS 810 Guia de Administraccedilatildeo da CLI
Configuraccedilotildees de e-mail SMTPSe o ambiente de rede exigir o uso de um servidor SMTP ou se vocecirc desejar rotear asnotificaccedilotildees de eventos do cluster EMC Isilon com SMTP por meio de uma portapoderaacute definir as configuraccedilotildees de e-mail SMTP
As configuraccedilotildees de SMTP incluem o endereccedilo de SMTP relay e o nuacutemero da portapela qual o e-mail seraacute roteado Vocecirc pode especificar um e-mail de origem e uma linhade assunto para todos os e-mails de notificaccedilatildeo de eventos enviados do cluster
Se seu servidor SMTP estiver configurado para dar suporte agrave autenticaccedilatildeo vocecircpoderaacute especificar um nome de usuaacuterio e uma senha Tambeacutem eacute possiacutevel especificar sedeveraacute ser aplicada criptografia agrave conexatildeo
Definir configuraccedilotildees de e-mail SMTPVocecirc pode enviar notificaccedilotildees de eventos por um servidor de e-mail do SMTPTambeacutem eacute possiacutevel ativar a autenticaccedilatildeo de SMTP se seu servidor SMTP estiverconfigurado para usaacute-la
Vocecirc pode definir as configuraccedilotildees de e-mail do SMTP se seu ambiente de rederequer o uso de um servidor SMTP ou se vocecirc deseja rotear as notificaccedilotildees deeventos do cluster do EMC Isilon com o SMTP por uma porta
Procedimento
1 Execute o comando isi email
O seguinte exemplo define as configuraccedilotildees de e-mail do SMTP
isi email settings modify --mail-relay 10718045 --mail-sender isilon-clustercompanycom --mail-subject Isilon cluster event --use-smtp-auth yes --smtp-auth-username SMTPuser --smtp-auth-passwd Password123 --use-encryption yes
Exibir as configuraccedilotildees de e-mail do SMTPVocecirc pode exibir as configuraccedilotildees de e-mail do SMTP
Procedimento
1 Execute o seguinte comando
isi email settings view
O sistema exibe informaccedilotildees semelhantes agraves do seguinte exemplo
Mail Relay - SMTP Port 25 Mail Sender - Mail Subject - Use SMTP Auth No SMTP Auth Username - Use Encryption No Batch Mode none User Template -
Administraccedilatildeo geral de cluster
Configuraccedilotildees de e-mail SMTP 65
Configurando o cluster de associaccedilatildeo de clusterO modo de associaccedilatildeo ao cluster especifica como um noacute eacute adicionado ao cluster doEMC Isilon e se a autenticaccedilatildeo eacute necessaacuteria O OneFS daacute suporte a modos deassociaccedilatildeo segura e manual para adicionar noacutes ao cluster EMC Isilon
Modo Descriccedilatildeo
Manual Permite adicionar manualmente um noacute aocluster sem necessidade de autorizaccedilatildeo
Seguro Requer a autorizaccedilatildeo de cada noacute adicionadoao cluster e o noacute deve ser adicionado por meioda interface Web de administraccedilatildeo ou pelocomando isi devices -a add -dltunconfigured_node_serial_nogt na
interface de linha de comando
Obs
Se vocecirc especificar um modo de associaccedilatildeosegura natildeo poderaacute associar a um noacute aocluster por meio da opccedilatildeo [2] Join anexisting cluster do assistente do
console serial
Obs
No caso do IsilonSD Edge natildeo eacute possiacutevel configurar o modo de associaccedilatildeo ao clusterPara obter mais informaccedilotildees consulte o Guia de Administraccedilatildeo e Instalaccedilatildeo do IsilonSDEdge
Especificar o modo de associaccedilatildeo do clusterVocecirc pode especificar um modo de associaccedilatildeo que determine como os noacutes seratildeoadicionados ao cluster EMC Isilon
Estas instruccedilotildees natildeo satildeo aplicaacuteveis ao IsilonSD Edge
Procedimento
1 Abra o prompt do comando isi config executando o seguinte comando
isi config
2 Execute o comando joinmode
O seguinte comando impede que os noacutes se associem ao cluster a menos que aassociaccedilatildeo seja iniciada pelo cluster
joinmode secure
Administraccedilatildeo geral de cluster
66 OneFS 810 Guia de Administraccedilatildeo da CLI
3 Salve suas alteraccedilotildees executando o seguinte comando
commit
Configuraccedilotildees do file systemVocecirc pode definir as configuraccedilotildees globais de file system de um cluster do EMC Isilonrelacionadas ao rastreamento do tempo de acesso e agrave codificaccedilatildeo de caracteres
Eacute possiacutevel ativar ou desativar o rastreamento do tempo de acesso que monitora otempo de acesso em cada arquivo Se necessaacuterio tambeacutem eacute possiacutevel alterar acodificaccedilatildeo padratildeo de caracteres do cluster
Especificar a codificaccedilatildeo de caracteres do clusterVocecirc pode modificar o conjunto de codificaccedilatildeo de caracteres do cluster do EMC Isilonapoacutes a instalaccedilatildeo
Somente os conjuntos de caracteres compatiacuteveis com o OneFS estaratildeo disponiacuteveispara seleccedilatildeo O UTF-8 eacute o conjunto padratildeo de caracteres para os noacutes do OneFS
Obs
Se a codificaccedilatildeo de caracteres do cluster natildeo estiver configurada para UTF-8 osnomes de compartilhamentos de SMB diferenciaratildeo letras maiuacutesculas de minuacutesculas
Vocecirc deve reiniciar o cluster para aplicar as alteraccedilotildees de codificaccedilatildeo de caracteres
CUIDADO
Geralmente a codificaccedilatildeo de caracteres eacute estabelecida durante a instalaccedilatildeo docluster Caso seja feita incorretamente a modificaccedilatildeo da configuraccedilatildeo decodificaccedilatildeo de caracteres apoacutes a instalaccedilatildeo pode tornar os arquivos ilegiacuteveisSomente modifique as configuraccedilotildees se necessaacuterio apoacutes consultar o Suporteteacutecnico do Isilon
Procedimento
1 Execute o comando isi config
O prompt de linha de comando muda para indicar que vocecirc estaacute no subsistemaisi config
2 Modifique a codificaccedilatildeo de caracteres executando o comando encoding
O seguinte comando configura a codificaccedilatildeo do cluster para ISO-8859-1
encoding ISO-8859-1
3 Execute o comando commit para salvar suas alteraccedilotildees e sair do subsistemaisi config
4 Reinicie o cluster para aplicar as modificaccedilotildees de codificaccedilatildeo de caracteres
Administraccedilatildeo geral de cluster
Configuraccedilotildees do file system 67
Ativar ou desativar o rastreamento do horaacuterio de acessoVocecirc pode ativar o rastreamento do horaacuterio de acesso para dar suporte a recursos queo exijam
Por padratildeo o cluster EMC Isilon natildeo rastreia o registro de data e hora em que osarquivos satildeo acessados Vocecirc pode ativar esse recurso para dar suporte aos recursosdo OneFS que o utilizam Por exemplo o rastreamento do horaacuterio de acesso deve serhabilitado para configurar os criteacuterios da poliacutetica do SyncIQ que correspondem aosarquivos com base no horaacuterio em que foram acessados pela uacuteltima vez
Obs
A ativaccedilatildeo do rastreamento do horaacuterio de acesso pode afetar o desempenho docluster
Procedimento
1 Ative ou desative o rastreamento do horaacuterio de acesso configurando o controledo sistema atime_enabled
l Para ativar o rastreamento do horaacuterio de acesso execute o seguintecomando
sysctl efsbamatime_enabled=1
l Para desativar o rastreamento do horaacuterio de acesso execute o seguintecomando
sysctl efsbamatime_enabled=0
2 Para especificar a frequecircncia de atualizaccedilatildeo do horaacuterio do uacuteltimo acessoconfigure o controle do sistema atime_grace_period
Especifique o periacuteodo como um nuacutemero de milissegundos
O seguinte comando configura o OneFS para atualizar o horaacuterio do uacuteltimoacesso a cada duas semanas
sysctl efsbamatime_grace_period=1209600000
Reforccedilo da seguranccedilaO reforccedilo da seguranccedila eacute o processo de configurar um sistema para reduzir ou eliminaro maacuteximo possiacutevel de riscos de seguranccedila
Quando vocecirc aplicar um perfil de reforccedilo a um cluster do Isilon o OneFS leraacute o arquivodo perfil de seguranccedila e aplicaraacute a configuraccedilatildeo definida no perfil ao cluster Senecessaacuterio o OneFS identificaraacute problemas de configuraccedilatildeo que impedem o reforccedilodos noacutes Por exemplo as permissotildees de arquivo de um diretoacuterio especiacutefico podem natildeoestar configuradas de acordo com o valor esperado ou os diretoacuterios necessaacuteriospodem estar ausentes Quando um problema for identificado vocecirc poderaacute escolherpermitir que o OneFS resolva o problema ou postergar a resoluccedilatildeo e corrigir oproblema manualmente
Administraccedilatildeo geral de cluster
68 OneFS 810 Guia de Administraccedilatildeo da CLI
Obs
A intenccedilatildeo do perfil de reforccedilo eacute dar suporte aos STIGs (Security TechnicalImplementation Guides guias de implementaccedilatildeo teacutecnica de seguranccedila) definidos pelaDISA (Defense Information Systems Agency) e aplicaacuteveis ao OneFS Atualmente operfil de reforccedilo daacute suporte apenas a um subconjunto dos requisitos definidos pelaDISA nos STIGs O perfil de reforccedilo deve ser usado principalmente nas contasfederais
Se vocecirc determinar que a configuraccedilatildeo de reforccedilo natildeo seja ideal para seu sistema oOneFS permitiraacute a inversatildeo do perfil de reforccedilo de seguranccedila A inversatildeo de um perfilde reforccedilo devolveraacute o OneFS agrave configuraccedilatildeo que foi realizada pela resoluccedilatildeo deproblemas antes do reforccedilo se houver
Vocecirc deve ter uma licenccedila ativa de reforccedilo de seguranccedila e ter feito log-in no clusterdo EMC Isilon como o usuaacuterio root para aplicar o reforccedilo ao OneFS Para obter umalicenccedila entre em contato com um representante de vendas do EMC Isilon
Perfil de reforccedilo STIGO perfil STIG (Security Technical Implementation Guide) do OneFS conteacutem umsubconjunto dos requisitos de configuraccedilatildeo definidos pelo Departamento de Defesa eeacute projetado para clusters do Isilon que datildeo suporte a contas do Governo Federal Umcluster do Isilon instalado com um perfil STIG depende de o ecossistema adjacentetambeacutem estar seguro
Depois que vocecirc aplicar o perfil de STIG (Security Technical Implementation Guide) doOneFS a configuraccedilatildeo do OneFS seraacute modificada para tornar o cluster do Isilon maisseguro e dar suporte a alguns dos controles que satildeo definidos pelos STIGs da DISAAlguns exemplos das vaacuterias alteraccedilotildees do sistema satildeo apresentados a seguir
l Depois que vocecirc fizer log-in por meio do SSH ou da interface Web o sistemaexibiraacute uma mensagem que diz que vocecirc estaacute acessando um Sistema deInformaccedilotildees do Governo dos EUA e exibiraacute os termos e condiccedilotildees do uso dosistema
l Em cada noacute o SSH e a interface Web apenas faratildeo o monitoramento do endereccediloIP externo do noacute
l Os requisitos de complexidade das senhas das contas de usuaacuterios locaisaumentaratildeo As senhas devem ter no miacutenimo 14 caracteres e conter pelo menosum de cada dos seguintes tipos de caracteres numeacuterico letra maiuacutescula letraminuacutescula siacutembolo
l O SSH raiz seraacute desabilitado Vocecirc pode fazer log-in como raiz somente por meioda interface Web ou de uma sessatildeo de console serial
Aplicar um perfil de reforccedilo de seguranccedilaEacute possiacutevel aplicar o perfil de STIG (Security Technical Implementation Guide) doOneFS ao cluster do Isilon
Antes de vocecirc comeccedilar
O reforccedilo de seguranccedila exige privileacutegios root e pode ser realizado somente nainterface de linha de comando
Assim que o reforccedilo for aplicado com sucesso ao cluster o SSH root natildeo eacute permitidoem um cluster reforccedilado Para fazer log-in como o usuaacuterio root em um clusterreforccedilado vocecirc deveraacute se conectar por meio da interface Web ou de uma sessatildeo deconsole serial
Administraccedilatildeo geral de cluster
Perfil de reforccedilo STIG 69
Eacute necessaacuterio ter uma licenccedila ativa de reforccedilo de seguranccedila para aplicar um perfil dereforccedilo ao OneFS Para obter uma licenccedila entre em contato com um representantede vendas do EMC Isilon
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in como root
2 Execute o comando isi hardening apply
O comando a seguir direciona o OneFS a aplicar o perfil de reforccedilo ao cluster doIsilon
isi hardening apply --profile=STIG
O OneFS verificaraacute se o sistema conteacutem algum problema de configuraccedilatildeo quedeva ser resolvido antes de aplicar o reforccedilo
l Se o OneFS natildeo identificar nenhum problema o perfil de reforccedilo seraacuteaplicado
l Se o OneFS identificar problemas o sistema exibiraacute um resultadosemelhante ao do seguinte exemplo
Found the following Issue(s) on the clusterIssue 1 (Isilon Control_idisi_GEN001200_01)Node test-cluster-21 etcsyslogconf Actual permission 0664 Expected permission 0654
Issue 2 (Isilon Control_idisi_GEN001200_02)Node test-cluster-31 usrbinpasswd Actual permission 4555 Expected permission 05552 usrbinyppasswd Actual permission 4555 Expected permission 0555Node test-cluster-21 usrbinpasswd Actual permission 4555 Expected permission 05552 usrbinyppasswd Actual permission 4555 Expected permission 0555
Total 2 issue(s)Do you want to resolve the issue(s)[YN]
3 Resolva todos os problemas de configuraccedilatildeo No prompt Do you want toresolve the issue(s)[YN] escolha uma das seguintes accedilotildees
l Para permitir que o OneFS resolva todos os problemas digite Y O OneFScorrigiraacute os problemas e em seguida aplicaraacute o perfil de reforccedilo
l Para postergar a resoluccedilatildeo e corrigir manualmente todos os problemasencontrados digite N Depois de corrigir todos os problemas postergadosexecute o comando isi hardening apply novamente
Obs
Se o OneFS identificar um problema que seja considerado catastroacutefico osistema solicitaraacute que vocecirc o resolva manualmente O OneFS natildeo pode resolverum problema catastroacutefico
Administraccedilatildeo geral de cluster
70 OneFS 810 Guia de Administraccedilatildeo da CLI
Inverter um perfil de reforccedilo de seguranccedilaEacute possiacutevel inverter um perfil de reforccedilo de seguranccedila que foi aplicado ao cluster doEMC Isilon
Antes de vocecirc comeccedilar
A inversatildeo do reforccedilo de seguranccedila exige privileacutegios root e pode ser realizada somentena interface de linha de comando Para fazer log-in como o usuaacuterio root em um clusterreforccedilado vocecirc deve se conectar por meio de uma sessatildeo de console serial O SSH deroot natildeo eacute permitido em um cluster reforccediladoVocecirc deve ter uma licenccedila ativa de reforccedilo de seguranccedila para inverter um perfil dereforccedilo do OneFS Para obter uma licenccedila entre em contato com um representantede vendas do EMC Isilon
Procedimento
1 Abra uma sessatildeo de console serial em qualquer noacute do cluster e faccedila log-in comoroot
2 Execute o comando isi hardening revert
O OneFS verificaraacute se o sistema estaacute em um estado esperado
l Se o OneFS natildeo identificar nenhum problema o perfil de reforccedilo seraacuteinvertido
l Se o OneFS identificar qualquer problema o sistema exibiraacute um resultadosemelhante ao do seguinte exemplo
Found the following Issue(s) on the clusterIssue 1 (Isilon Control_idisi_GEN001200_01)Node test-cluster-21 etcsyslogconf Actual permission 0664 Expected permission 0654
Issue 2 (Isilon Control_idisi_GEN001200_02)Node test-cluster-31 usrbinpasswd Actual permission 4555 Expected permission 05552 usrbinyppasswd Actual permission 4555 Expected permission 0555Node test-cluster-21 usrbinpasswd Actual permission 4555 Expected permission 05552 usrbinyppasswd Actual permission 4555 Expected permission 0555
Total 2 issue(s)Do you want to resolve the issue(s)[YN]
3 Resolva todos os problemas de configuraccedilatildeo No prompt Do you want toresolve the issue(s)[YN] escolha uma das seguintes accedilotildees
l Para permitir que o OneFS resolva todos os problemas digite Y O OneFSdefiniraacute as configuraccedilotildees afetadas para o estado esperado e em seguidainverteraacute o perfil de reforccedilo
l Para postergar a resoluccedilatildeo e corrigir manualmente todos os problemasencontrados digite N O OneFS interromperaacute o processo de inversatildeo ateacute quetodos os problemas sejam corrigidos Depois de corrigir todos os problemaspostergados execute o comando isi hardening revert novamente
Administraccedilatildeo geral de cluster
Inverter um perfil de reforccedilo de seguranccedila 71
Obs
Se o OneFS identificar um problema que seja considerado catastroacutefico osistema solicitaraacute que vocecirc o resolva manualmente O OneFS natildeo pode resolverum problema catastroacutefico
Exibir o status do reforccedilo de seguranccedilaVocecirc pode exibir o status do reforccedilo de seguranccedila do cluster do EMC Isilon e de cadanoacute de cluster Um cluster natildeo seraacute considerado reforccedilado ateacute que todos os seus noacutessejam reforccedilados Durante o processo de reforccedilo se o OneFS identificar problemasque devam ser resolvidos manualmente ou se vocecirc postergar os problemas pararesolvecirc-los manualmente os noacutes em que os problemas ocorreram natildeo seratildeoreforccedilados ateacute que os problemas sejam resolvidos e que o perfil de reforccedilo sejaaplicado com sucesso Se precisar de ajuda para resolver esses problemas entre emcontato com o suporte teacutecnico do Isilon
Antes de vocecirc comeccedilar
A exibiccedilatildeo do status do reforccedilo de seguranccedila do cluster exige privileacutegios root e podeser realizada somente na interface de linha de comando Para fazer log-in como ousuaacuterio root em um cluster reforccedilado vocecirc deve se conectar por meio de uma sessatildeode console serial O SSH de root natildeo eacute permitido em um cluster reforccedilado
Vocecirc natildeo precisa de uma licenccedila de reforccedilo de seguranccedila para exibir o status doreforccedilo do cluster
Procedimento
1 Abra uma sessatildeo de console em qualquer noacute do cluster e faccedila log-in como root
2 Execute o comando isi hardening status para exibir o status do reforccedilode seguranccedila do cluster do Isilon e de todos os noacutes
O sistema exibe resultados semelhantes aos do seguinte exemplo
Cluster Name test-clusterHardening Status Not HardenedProfile STIGNode statustest-cluster-1 Disabledtest-cluster-2 Enabledtest-cluster-3 Enabled
Monitoramento dos clustersVocecirc pode exibir as informaccedilotildees sobre integridade e status do cluster do EMC Isilon emonitorar o desempenho dos clusters e dos noacutes
Execute o comando isi status para analisar as seguintes informaccedilotildees
l integridade dos clusters dos noacutes e dos drives
l Dados de armazenamento como o tamanho e o volume usados
l Endereccedilos IP
l Throughput
l Eventos criacuteticos
Administraccedilatildeo geral de cluster
72 OneFS 810 Guia de Administraccedilatildeo da CLI
l Status do trabalho
Haacute comandos adicionais disponiacuteveis para analisar as informaccedilotildees de desempenho dasseguintes aacutereas
l Estatiacutesticas gerais do cluster
l Estatiacutesticas por protocolo ou por clients conectados ao cluster
l Dados de desempenho por drive
l Dados histoacutericos de desempenho
O monitoramento avanccedilado do desempenho e a loacutegica analiacutetica estatildeo disponiacuteveis nomoacutedulo InsightIQ o que requer que vocecirc ative uma licenccedila separada Para obter maisinformaccedilotildees sobre os moacutedulos de software opcionais entre em contato com orepresentante de vendas do EMC Isilon
Monitorar o clusterVocecirc pode monitorar a integridade e o desempenho de um cluster com graacuteficos etabelas
Procedimento
1 Execute o seguinte comando
isi status
Exibir o status do noacuteVocecirc pode exibir o status de um noacute
Procedimento
1 (Opcional) Execute o comando isi status
O seguinte comando exibe informaccedilotildees sobre um noacute com o LNN (Logical NodeNumber) 1
isi status -n 1
Monitorando o hardware do clusterVocecirc pode verificar manualmente o status do hardware no cluster EMC Isilon ehabilitar o SNMP para monitorar remotamente os componentes
Exibir o status do hardware do noacuteVocecirc pode visualizar o status do hardware de um noacute
Procedimento
1 Clique em Dashboard gt Cluster Overview gt Cluster Status
2 (Opcional) Na aacuterea Status clique no nuacutemero de ID de um noacute
3 Na aacuterea Chassis and drive status clique em Platform
Administraccedilatildeo geral de cluster
Monitorar o cluster 73
Estados do chassi e da unidadeVocecirc pode exibir os detalhes dos estados do chassi e da unidade
Em um cluster a combinaccedilatildeo de noacutes em diferentes estados degradados determina seas solicitaccedilotildees de leitura de gravaccedilatildeo ou ambas estatildeo funcionando Um cluster podeperder o quoacuterum de gravaccedilatildeo mas manter o quoacuterum de leitura O OneFS apresentadetalhes sobre o status do chassi e das unidades de seu cluster A tabela a seguirdescreve todos os possiacuteveis estados que vocecirc pode encontrar em seu cluster
Obs
Se vocecirc estiver executando o IsilonSD Edge poderaacute visualizar e gerenciar os detalhesde estado do chassi e da unidade por meio do plug-in de gerenciamento do IsilonSDPara obter mais informaccedilotildees consulte o Guia de Instalaccedilatildeo e Administraccedilatildeo do IsilonSDEdge
Estado Descriccedilatildeo Interface Estado de erro
HEALTHY Todas as unidades donoacute estatildeo funcionandocorretamente
Interface de linha decomando interfaceWeb de administraccedilatildeo
L3 Um SSD (Solid StateDrive) foiimplementado comoum cache L3 (Level 3niacutevel 3) paraaumentar o tamanhoda memoacuteria de cachee melhorar asvelocidades dethroughput
Interface de linha decomando
SMARTFAIL ou
Smartfail orrestripe inprogress
A unidade estaacute emprocesso de remoccedilatildeocom seguranccedila do filesystem devido a umerro de IO ou a umasolicitaccedilatildeo do usuaacuterioOs noacutes ou unidadesem um estadosmartfail ou somenteleitura soacute afetam oquoacuterum de gravaccedilatildeo
Interface de linha decomando interfaceWeb de administraccedilatildeo
NOT AVAILABLE Uma unidade estaacuteindisponiacutevel pordiversos motivosVocecirc pode clicar nogabinete para exibirinformaccedilotildeesdetalhadas sobre essacondiccedilatildeo
Interface de linha decomando interfaceWeb de administraccedilatildeo
X
Administraccedilatildeo geral de cluster
74 OneFS 810 Guia de Administraccedilatildeo da CLI
Estado Descriccedilatildeo Interface Estado de erro
Obs
Na interface Web deadministraccedilatildeo esseestado inclui osestados ERASE e
SED_ERROR da
interface de linha decomando
SUSPENDED Este estado indicaque a atividade daunidade estaacutesuspensatemporariamente eque a unidade natildeoestaacute em uso O estadoeacute iniciadomanualmente e natildeoocorre durante aatividade normal docluster
Interface de linha decomando interfaceWeb de administraccedilatildeo
NOT IN USE Um noacute em estado off-line estaacute afetando oquoacuterum de leitura e degravaccedilatildeo
Interface de linha decomando interfaceWeb de administraccedilatildeo
REPLACE A unidade passou porsmartfail com sucessoe estaacute pronta para sersubstituiacuteda
Somente interface delinha de comando
STALLED A unidade foiinterrompida e estaacutepassando por umaavaliaccedilatildeo deinterrupccedilatildeo Aavaliaccedilatildeo deinterrupccedilatildeo eacute oprocesso deverificaccedilatildeo dasunidades que estatildeolentas ou queapresentam outrosproblemasDependendo doresultado daavaliaccedilatildeo a unidadepode voltar ao serviccediloou passar porsmartfail Este eacute umestado temporaacuterio
Somente interface delinha de comando
Administraccedilatildeo geral de cluster
Estados do chassi e da unidade 75
Estado Descriccedilatildeo Interface Estado de erro
NOVIDADE A unidade estaacute nova evazia Este eacute o estadode uma unidadequando vocecirc executao comando isi devcom a opccedilatildeo -aadd
Somente interface delinha de comando
USED A unidade foiadicionada e continhaum GUID do Isilonmas a unidade natildeo eacutedesse noacuteProvavelmente essaunidade seraacuteformatada no cluster
Somente interface delinha de comando
PREPARING A unidade estaacutepassando por umaoperaccedilatildeo deformataccedilatildeo O estadoda unidade muda paraHEALTHY quando aformataccedilatildeo eacuteconcluiacuteda comsucesso
Somente interface delinha de comando
EMPTY Natildeo haacute nenhumaunidade nessegabinete
Somente interface delinha de comando
WRONG_TYPE O tipo de unidade eacuteincorreto para essenoacute Por exemplo umaunidade natildeo SED emum noacute SED ou SASem vez do tipoesperado de unidadeSATA
Somente interface delinha de comando
BOOT_DRIVE Exclusivo agrave unidadeA100 que temunidades deinicializaccedilatildeo em seusgabinetes
Somente interface delinha de comando
SED_ERROR A unidade natildeo podeser reconhecida pelosistema OneFS
Obs
Na interface Web deadministraccedilatildeo esteestado eacute incluso emNot available
Interface de linha decomando interfaceWeb de administraccedilatildeo
X
Administraccedilatildeo geral de cluster
76 OneFS 810 Guia de Administraccedilatildeo da CLI
Estado Descriccedilatildeo Interface Estado de erro
ERASE A unidade estaacute prontapara remoccedilatildeo masprecisa de suaatenccedilatildeo porque osdados natildeo forameliminados Vocecirc podeeliminar a unidademanualmente paragarantir que os dadossejam removidos
Obs
Na interface Web deadministraccedilatildeo esteestado eacute incluso emNot available
Somente interface delinha de comando
INSECURE Os dados do SEDpodem ser acessadospor uma equipe natildeoautorizada Os SEDsnunca devem serutilizados para fins dedados natildeocriptografados
Obs
Na interface Web deadministraccedilatildeo esteestado eacute chamado deUnencryptedSED
Somente interface delinha de comando
X
UNENCRYPTED Os dados do SEDpodem ser acessadospor uma equipe natildeoautorizada Os SEDsnunca devem serutilizados para fins dedados natildeocriptografados
Obs
Na interface de linhade comando esteestado eacute chamado deINSECURE
Somente na interfaceWeb de administraccedilatildeo
X
Administraccedilatildeo geral de cluster
Estados do chassi e da unidade 77
Verificar o status da bateriaVocecirc pode monitorar o status das baterias NVRAM e dos sistemas de carregamentoEssa tarefa soacute pode ser executada na interface de linha de comando do OneFS dohardware de noacute que daacute suporte ao comando
Estas instruccedilotildees natildeo satildeo aplicaacuteveis ao IsilonSD Edge
Procedimento
1 Abra uma conexatildeo SSH com qualquer noacute do cluster
2 Execute o comando isi batterystatus list para exibir o status de todasas baterias NVRAM e dos sistemas de carregamento do noacute
O sistema exibe resultados semelhantes aos do seguinte exemplo
Lnn Status1 Status2 Result1 Result2----------------------------------------1 Good Good - -2 Good Good - -3 Good Good - -----------------------------------------
Monitoramento do SNMPVocecirc pode usar o SNMP (Simple Network Management Protocol) para monitorarremotamente os componentes de hardware do cluster do EMC Isilon comoventiladores sensores de hardware fontes de alimentaccedilatildeo e discos Use asferramentas padratildeo de SNMP do Linux ou uma ferramenta do SNMP baseada em GUIde sua preferecircncia para essa finalidade
Vocecirc pode ativar o monitoramento do SNMP nos noacutes individuais de seu cluster etambeacutem pode monitorar as informaccedilotildees sobre o cluster a partir de qualquer noacute Astraps SNMP geradas satildeo enviadas a sua rede de SNMP Vocecirc pode configurar umaregra de notificaccedilatildeo de eventos que especifica a estaccedilatildeo de rede agrave qual vocecirc desejaenviar traps SNMP para eventos especiacuteficos Assim quando um evento ocorrer ocluster enviaraacute a trap para esse servidor O OneFS daacute suporte a SNMP em modosomente leitura Ele daacute suporte agrave versatildeo 2c do SNMP que eacute a padratildeo e agrave versatildeo 3
Obs
O OneFS natildeo daacute suporte agrave versatildeo 1 do SNMP Embora exista uma opccedilatildeo para --snmp-v1-v2-access no comando isi snmp settings modify da CLI(Command-Line Interface interface de linha de comando) se vocecirc habilitar esserecurso o OneFS somente faraacute o monitoramento por meio da versatildeo 2c do SNMP
Vocecirc pode definir as configuraccedilotildees da versatildeo 3 do SNMP individualmente ou para asversotildees 2c e 3 do SNMP
Obs
Se vocecirc configurar a versatildeo 3 do SNMP o OneFS exigiraacute o niacutevel de seguranccedila deAuthNoPriv especiacutefico do SNMP como o valor padratildeo durante a consulta do cluster Oniacutevel de seguranccedila AuthPriv natildeo eacute compatiacutevel
Os elementos de uma hierarquia de SNMP satildeo dispostos em uma estrutura em aacutervorede modo semelhante a uma aacutervore de diretoacuterio Como nos diretoacuterios os identificadoresmovimentam-se de gerais para especiacuteficos agrave medida que a string avanccedila da esquerda
Administraccedilatildeo geral de cluster
78 OneFS 810 Guia de Administraccedilatildeo da CLI
para a direita No entanto ao contraacuterio de uma hierarquia de arquivos cada elementoeacute nomeado e numerado
Por exemplo a entidade deSNMP isoorgdodinternetprivateenterprisesisilononeFSssssLocalNodeId0 eacute associada a 13614112124320 A parte do nomeque se refere ao namespace de SNMP do OneFS eacute o elemento 12124 Tudo o queestiver agrave direita desse nuacutemero estaacute relacionado ao monitoramento especiacutefico doOneFS
Os documentos da MIB (Management Information Base) definem nomes legiacuteveis pelousuaacuterio para os objetos gerenciados e especificam os tipos de dados e outraspropriedades Vocecirc pode fazer download das MIBs que satildeo criadas para omonitoramento do SNMP de um cluster do Isilon a partir da interface Web deadministraccedilatildeo do OneFS ou gerenciaacute-las usando a interface de linha de comando AsMIBs satildeo armazenadas em usrsharesnmpmibs em um noacute do OneFS AsISILON-MIBs do OneFS servem para duas finalidades
l Aumentar as informaccedilotildees disponiacuteveis nas MIBs padratildeo
l Apresentar informaccedilotildees especiacuteficas do OneFS que natildeo estatildeo disponiacuteveis nas MIBspadratildeo
A ISILON-MIB eacute uma MIB corporativa registrada Os clusters do Isilon tecircm duas MIBsdistintas
ISILON-MIB
Define um grupo de agentes do SNMP que respondem agraves consultas de um NMS(Network Management System sistema de gerenciamento de redes) e que satildeochamados de agentes de snapshots de estatiacutesticas do OneFS (OneFS StatisticsSnapshot) Como o nome sugere esses agentes geram snapshots do estado dofile system do OneFS no momento em que ele recebe uma solicitaccedilatildeo e relatamessas informaccedilotildees de volta ao NMS
ISILON-TRAP-MIB
Gera traps SNMP para enviar uma estaccedilatildeo de monitoramento do SNMP quandoocorrerem as condiccedilotildees que estatildeo definidas nas PDUs (Protocol Data Units) datrap
Os arquivos da MIB do OneFS mapeiam os IDs de objeto especiacuteficos do OneFS agravesdescriccedilotildees Faccedila download ou copie os arquivos da MIB em um diretoacuterio onde suaferramenta do SNMP possa encontraacute-los como usrsharesnmpmibs
Para ativar as ferramentas Net-SNMP para ler as MIBs e oferecer mapeamentoautomaacutetico de nome para OID adicione -m All ao comando como no exemplo aseguir
snmpwalk -v2c -c public -m All ltnode IPgt isilon
Se os arquivos da MIB natildeo estiverem no diretoacuterio padratildeo Net-SNMP da MIB vocecircprecisaraacute especificar o caminho completo como no exemplo a seguir Observe quetodas as trecircs linhas satildeo um soacute comando
snmpwalk -m usrlocalsharesnmpmibsISILON-MIBtxtusr sharesnmpmibsISILON-TRAP-MIBtxtusrsharesnmpmibs ONEFS-TRAP-MIBtxt -v2c -C c -c public ltnode IPgt enterprisesonefs
Administraccedilatildeo geral de cluster
Monitoramento do SNMP 79
Obs
Os exemplos anteriores satildeo executados a partir do comando snmpwalk em umcluster Sua versatildeo do SNMP pode exigir argumentos diferentes
Gerenciando as configuraccedilotildees do SNMPVocecirc pode usar o SNMP para monitorar as informaccedilotildees de hardware e de sistema dosclusters Eacute possiacutevel definir as configuraccedilotildees na interface Web de administraccedilatildeo ou nainterface de linha de comando
Quando o SNMP estaacute ativado em todos os noacutes vocecirc pode ativar o monitoramento doSNMP nos noacutes individuais do cluster e monitorar as informaccedilotildees de todo o cluster apartir de qualquer noacute Ao usar o SNMP em um cluster do Isilon vocecirc deve usar umnome de usuaacuterio fixo geral Uma senha para o usuaacuterio geral pode ser configurada nainterface Web de administraccedilatildeo
Vocecirc deve configurar um NMS (Network Management System sistema degerenciamento de redes) para consultar cada noacute diretamente via um endereccedilo IPv4 ouIPv6 estaacutetico Essa abordagem permite que vocecirc confirme se todos os noacutes tecircmendereccedilos IP externos e responda agraves consultas do SNMP Jaacute que o proxy do SNMP eacuteativado de modo padratildeo a implementaccedilatildeo do SNMP em cada noacute eacute configuradaautomaticamente no proxy de todos os outros noacutes do cluster com exceccedilatildeo delemesmo Essa configuraccedilatildeo de proxy permite que a MIB (Management InformationBase) do Isilon e as MIBs padratildeo sejam expostas perfeitamente pelo uso de stringscontextuais para as versotildees compatiacuteveis do SNMP Depois de fazer download e salvaras MIBs adequadas vocecirc pode configurar o monitoramento do SNMP na interfaceWeb de administraccedilatildeo ou na da interface de linha de comando
Definir configuraccedilotildees do SNMPVocecirc pode definir as configuraccedilotildees do monitoramento do SNMP
Obs
Quando o SNMP v3 eacute usado o OneFS requer o niacutevel de seguranccedila AuthNoPrivespeciacutefico do SNMP como o valor padratildeo ao consultar o cluster do EMC Isilon O niacutevelde seguranccedila AuthPriv natildeo eacute compatiacutevel
Procedimento
l Execute o comando isi snmp settings modify
O seguinte comando ativa o acesso ao SNMP v3
isi snmp settings modify --snmp-v3-access=yes
Configurar o cluster para monitoramento do SNMPVocecirc pode configurar seu cluster do EMC Isilon para monitorar remotamente oscomponentes de hardware usando o SNMP
Antes de vocecirc comeccedilarQuando o SNMPv3 eacute usado o OneFS exige o niacutevel de seguranccedila AuthNoPrivespeciacutefico do SNMP como o valor padratildeo ao consultar o cluster O niacutevel de seguranccedilaAuthPriv natildeo eacute compatiacutevel
Vocecirc pode ativar ou desativar o monitoramento do SNMP permitir o acesso a SNMPpor versatildeo e definir outras configuraccedilotildees das quais algumas satildeo opcionais Todo oacesso a SNMP eacute somente leitura
Administraccedilatildeo geral de cluster
80 OneFS 810 Guia de Administraccedilatildeo da CLI
Obs
O cluster do Isilon natildeo gera traps SNMP a menos que vocecirc configure uma regra denotificaccedilatildeo de eventos para enviar os eventos
Procedimento
1 Clique em Cluster Management gt General Settings gt SNMP Monitoring
2 Em SNMP Service Settings clique na caixa de seleccedilatildeo Enable SNMP ServiceO serviccedilo SNMP eacute ativado de modo padratildeo
3 Baixe o arquivo da MIB que deseja usar (base ou trap)
Siga o processo de download que eacute especiacutefico a seu navegador
4 Copie os arquivos da MIB em um diretoacuterio onde sua ferramenta do SNMP possaencontraacute-los como usrsharesnmpmibs
Para que as ferramentas Net-SNMP leiam as MIBs para oferecer associaccedilatildeoautomaacutetica de nome a OID adicione a opccedilatildeo -m All ao comando como noseguinte exemplo
snmpwalk -v2c -c public -m All ltnode IPgt isilon
5 Se o protocolo for SNMPv2 certifique-se de que a caixa de seleccedilatildeo AllowSNMPv2 Access seja marcada SNMPv2 eacute selecionado por padratildeo
6 No campo SNMPv2 Read-Only Community Name informe o nome adequadoda comunidade O padratildeo eacute I$ilonpublic
7 Para habilitar o SNMPv3 clique na caixa de seleccedilatildeo Allow SNMPv3 Access
8 Defina as configuraccedilotildees do SNMP v3
a No campo SNMPv3 Read-only User Name digite o nome de seguranccedila doSNMPv3 para alterar o nome do usuaacuterio com privileacutegios somente leitura
O usuaacuterio padratildeo somente leitura eacutegeneral
b No campo SNMPv3 Read-Only Password digite a nova senha do usuaacuteriosomente leitura para configurar uma nova senha de autenticaccedilatildeo doSNMPv3
A senha padratildeo eacute password Noacutes recomendamos que vocecirc altere a senhapara aumentar a seguranccedila A senha deve ter no miacutenimo oito caracteres enenhum espaccedilo
c Digite a nova senha no campo Confirm password para confirmaacute-la
9 Na aacuterea SNMP Reporting digite uma descriccedilatildeo de cluster no campo ClusterDescription
10 No campo System Contact Email digite o endereccedilo de e-mail de contato
11 Clique em Save Changes
Exibir configuraccedilotildees do SNMPVocecirc pode analisar as configuraccedilotildees de monitoramento de SNMP
Administraccedilatildeo geral de cluster
Monitoramento do SNMP 81
Procedimento
l Execute o seguinte comando
isi snmp settings view
Este eacute um exemplo do resultado gerado pelo comando
System Location unset System Contact unsetunsetinvalid Snmp V1 V2C Access Yes Read Only Community I$ilonpublic Snmp V3 Access NoSnmp V3 Read Only User general SNMP Service Enabled Yes
Alertas e eventosO OneFS monitora continuamente a integridade e o desempenho de seu cluster e geraeventos quando ocorrem situaccedilotildees que podem exigir sua atenccedilatildeo
Os eventos podem ser relacionados agrave integridade do file system agraves conexotildees de redeaos trabalhos ao hardware e a outras operaccedilotildees e componentes vitais de seu clusterDepois que os eventos forem capturados eles seratildeo analisados pelo OneFS Oseventos com causas raiz semelhantes satildeo organizados em grupos de evento
Obs
Para obter descriccedilotildees dos tipos de eventos individuais por ID do tipo de eventoconsulte a Referecircncia de Eventos do OneFS Certos eventos como eventos dehardware natildeo se aplicam ao IsilonSD Edge
Um grupo de eventos eacute um ponto uacutenico de gerenciamento para vaacuterios eventosrelacionados a uma situaccedilatildeo especiacutefica Vocecirc pode determinar quais grupos deeventos deseja monitorar ignorar ou resolver
Um alerta eacute a mensagem que informa sobre uma alteraccedilatildeo que ocorreu em um grupode eventos
Vocecirc pode controlar como os alertas relacionados a um grupo de evento satildeodistribuiacutedos Os alertas satildeo distribuiacutedos por meio de canais Vocecirc pode criar econfigurar um canal para enviar alertas a um puacuteblico-alvo especiacutefico controlar oconteuacutedo que o canal distribui e limitar a frequecircncia dos alertas
Visatildeo geral dos eventosOs eventos satildeo ocorrecircncias individuais ou condiccedilotildees relacionadas a workflow dedados operaccedilotildees de manutenccedilatildeo e componentes de hardware de seu cluster
Ao longo do OneFS haacute processos que monitoram e coletam constantementeinformaccedilotildees sobre as operaccedilotildees de cluster
Quando o status de um componente ou uma operaccedilatildeo eacute alterado a alteraccedilatildeo eacutecapturada como um evento e colocada em uma fila de prioridade no niacutevel do kernel
Todos os eventos tecircm dois nuacutemeros de ID que ajudam a estabelecer o contexto doevento
l O ID do tipo de evento identifica o tipo de evento que ocorreu
Administraccedilatildeo geral de cluster
82 OneFS 810 Guia de Administraccedilatildeo da CLI
l O ID da instacircncia do evento eacute um nuacutemero exclusivo que eacute especiacutefico a umadeterminada ocorrecircncia de um tipo de evento Quando um evento eacute enviado agrave filade kernel eacute atribuiacutedo um ID da instacircncia do evento Vocecirc pode consultar o ID dainstacircncia para determinar o momento exato que ocorreu um evento
Vocecirc pode visualizar eventos individuais No entanto vocecirc gerencia eventos e alertasno niacutevel do grupo de evento
Visatildeo geral dos grupos de eventoGrupos de evento satildeo conjuntos de eventos individuais relacionados a sintomas deuma soacute situaccedilatildeo em seu cluster Grupos de evento oferecem um soacute ponto degerenciamento para vaacuterias instacircncias do evento que satildeo geradas em resposta a umasituaccedilatildeo de seu cluster
Por exemplo se um ventilador de chassi apresentar falha em um noacute o OneFS podecapturar vaacuterios eventos relacionados tanto para o ventilador com defeito em si quantopara os os limites de temperatura ultrapassados dentro do noacute Todos os eventosrelacionados ao ventilador seratildeo representados em um soacute grupo de evento Como haacuteum soacute ponto de contato vocecirc natildeo precisa gerenciar vaacuterios eventos individuais Vocecircpode manipular a situaccedilatildeo como um soacute problema coerente
Todo o gerenciamento de eventos eacute realizado no niacutevel do grupo de eventos Vocecirc podemarcar um grupo de eventos como resolvido ou ignorado Vocecirc tambeacutem podeconfigurar como e quando os alertas satildeo distribuiacutedos para um grupo de eventos
Alertas - Visatildeo geralUm alerta eacute uma mensagem que descreve uma alteraccedilatildeo que ocorreu em um grupo deeventos
Em qualquer point-in-time vocecirc pode visualizar grupos de eventos para rastrearsituaccedilotildees que ocorrem em seu cluster No entanto vocecirc tambeacutem pode criar alertasque notificaratildeo de forma proativa se houver uma alteraccedilatildeo em um grupo de eventos
Por exemplo vocecirc pode gerar um alerta quando um novo evento for adicionado a umgrupo de eventos quando um grupo de eventos for resolvido ou quando a severidadede um grupo de eventos for alterada
Vocecirc pode configurar seu cluster para gerar alertas somente para condiccedilotildees grupos eseveridade de eventos especiacuteficos ou durante periacuteodos limitados
Alertas satildeo fornecidos por meio de canais Vocecirc pode configurar um canal paradeterminar quem e quando receberaacute o alerta
Visatildeo geral de canaisCanais satildeo caminhos pelos quais os grupos de eventos enviam alertas
Quando um alerta eacute gerado o canal associado a ele determina como o alerta eacutedistribuiacutedo e quem o receberaacute
Vocecirc pode configurar um canal para entregar alertas com um dos seguintesmecanismos SMTP SNMP ou ConnectEMC Vocecirc tambeacutem pode especificarinformaccedilotildees de roteamento e rotulaccedilatildeo exigidas pelo mecanismo de entrega
Visualizando e modificando os grupos de eventosVocecirc pode visualizar eventos e modificar o status dos grupos de eventos
Administraccedilatildeo geral de cluster
Visatildeo geral dos grupos de evento 83
Visualizar um grupo de eventosEacute possiacutevel visualizar os detalhes de um grupo de eventos
Procedimento
1 (Opcional) Para identificar o ID de grupo do grupo de eventos que deseja exibirexecute o seguinte comando
isi event groups list
2 Para exibir os detalhes de um grupo de eventos especiacutefico execute o comandoisi event groups view e especifique o ID do grupo de eventos
O exemplo de comando a seguir exibe os detalhes de um grupo de eventos como ID de grupo de eventos 65686
isi event groups view 65686
O sistema exibe resultados semelhantes aos do seguinte exemplo
ID 65686 Started 0815 0212Causes Long Node 2 offline Last Event 2015-08-15T030117 Ignore NoIgnore Time Never Resolved Yes Ended 0815 0246 Events 6 Severity critical
Alterar o status de um grupo de eventosVocecirc pode ignorar ou resolver um grupo de eventos
Procedimento
1 (Opcional) Para identificar o ID de grupo do grupo de eventos que desejamodificar execute o seguinte comando
isi event groups list
2 Para alterar o status de um grupo de eventos execute o comando isi eventgroups modify Para alterar o status de todos os grupos de eventos aomesmo tempo execute o comando isi event groups bulk
O exemplo de comando a seguir modifica um grupo de eventos com o ID degrupo de eventos 7 para o status ignorado
isi event groups modify 7 --ignored true
Administraccedilatildeo geral de cluster
84 OneFS 810 Guia de Administraccedilatildeo da CLI
O exemplo de comando a seguir altera o status de todos os grupos de eventospara resolvido
isi event groups bulk --resolved true
Visualizar um eventoVocecirc pode exibir os detalhes de um evento especiacutefico
Procedimento
1 (Opcional) Para identificar o ID da instacircncia do evento que deseja exibirexecute o seguinte comando
isi event events list
2 Para exibir os detalhes de um evento especiacutefico execute o comando isievent events view e especifique o ID de instacircncia do evento
O exemplo de comando a seguir exibe os detalhes de um evento com o ID deinstacircncia 3121
isi event events view 3121
O sistema exibe resultados semelhantes aos do seguinte exemplo
ID 3121Eventgroup ID 7 Event Type 200020001 Message Gigabit Ethernet link ext-1 (vmx1) running below capacity Devid 3 Lnn 3 Time 2015-08-04T160210 Severity warning Value 10
Gerenciando alertasVocecirc pode visualizar criar modificar ou excluir alertas para determinar as informaccedilotildeesque vocecirc entrega sobre os grupos de eventos
Visualizar um alertaVocecirc pode visualizar os detalhes de um alerta especiacutefico
Procedimento
1 (Opcional) Para identificar o ID do alerta que deseja exibir execute o seguintecomando
isi event alerts list
2 Para exibir os detalhes de um alerta especiacutefico execute o comando isi eventalerts view e especifique o nome do alerta
Administraccedilatildeo geral de cluster
Gerenciando alertas 85
O exemplo de comando a seguir exibe os detalhes de um evento com o nomeNewExternal
isi event alerts view NewExternal
O nome do alerta distingue maiuacutesculas de minuacutesculas
O sistema exibe resultados semelhantes aos do seguinte exemplo
Name NewExternalEventgroup 3 Category 200000000 700000000 900000000 Channel RemoteSupport Condition NEW
Criar um novo alertaVocecirc pode criar novos alertas para fornecer atualizaccedilotildees especiacuteficas em grupos deevento
Procedimento
1 Execute o comando isi event alerts create
O comando a seguir cria um alerta chamado Hardware configura a condiccedilatildeo doalerta como NEW_EVENTS e configura o canal que difundiraacute o evento comoRemoteSupport
isi event alerts create Hardware NEW-EVENTS --channel RemoteSupport
O seguinte comando cria um alerta chamado ExternalNetwork define acondiccedilatildeo de alerta como NEW define o grupo de eventos de origem como ogrupo de eventos com o ID nuacutemero 3 define o canal que difundiraacute o eventocomo RemoteSupport define o niacutevel de severidade como criacutetico e define olimite maacuteximo do alerta como 10
isi event alerts create ExternalNetwork NEW --eventgroup 3 --channel RemoteSupport --severity critical --limit 10
Modificar um alertaVocecirc pode modificar um alerta que criou
Procedimento
1 (Opcional) Para identificar o nome do alerta que vocecirc deseja modificar executeo seguinte comando
isi event alerts list
2 Modifique um alerta executando o comando isi event alerts modify
O exemplo de comando a seguir modifica o alerta chamado ExternalNetworkalterando o nome do alerta para ExtNetwork adicionando o grupo de eventos
Administraccedilatildeo geral de cluster
86 OneFS 810 Guia de Administraccedilatildeo da CLI
com o ID do grupo de eventos 131091 e filtrando para que os alertas sejamenviados apenas para os grupos de eventos com um valor de severidade criacutetico
isi event alerts modify ExternalNetwork --name ExtNetwork --add-eventgroup 131091 --severity critical
Excluir um alertaVocecirc pode excluir alertas que criou
Procedimento
1 (Opcional) Para identificar o nome do alerta que vocecirc deseja excluir execute oseguinte comando
isi event alerts list
2 Exclua um alerta executando o comando isi event alerts delete
O exemplo de comando a seguir exclui o alerta chamado ExtNetwork
isi event alerts delete ExtNetwork
O nome do alerta distingue maiuacutesculas de minuacutesculas
3 Digite yes para confirmar a exclusatildeo
Gerenciando canaisVocecirc pode visualizar criar modificar ou excluir canais para determinar como vocecircfornece informaccedilotildees sobre os grupos de eventos
Visualizar um canalVocecirc pode visualizar os detalhes de um canal especiacutefico
Procedimento
1 (Opcional) Para identificar o nome do canal que vocecirc deseja exibir execute oseguinte comando
isi event channels list
2 Para exibir os detalhes de um canal execute o comando isi eventchannels view e especifique o nome do canal
O exemplo de comando a seguir exibe os detalhes de um canal com o nomeSupport
isi event channels view Support
O nome do canal distingue maiuacutesculas de minuacutesculas
O sistema exibe resultados semelhantes aos do seguinte exemplo
ID 3 Name Support
Administraccedilatildeo geral de cluster
Gerenciando canais 87
Type smtp Enabled YesExcluded Nodes 2 Address emailsupportcom Send As emailsupport2com Subject Support Request SMTP Host - SMTP Port 25 SMTP Use Auth No SMTP Username - SMTP Password - SMTP Security - Batch NONE Enabled Yes Allowed Nodes 1
Criar um novo canalVocecirc pode criar e configurar novos canais para enviar informaccedilotildees de alerta
Procedimento
1 Execute o comando isi event channels create
O comando a seguir cria um canal chamado Support e configura o tipo comoEMCConnect
isi event channels create Support connectemc
O seguinte comando cria um canal chamado Meeting configura o tipo comoSNMP configura o host SNMP como hostname e a string de comunidadeSNMP como public
isi event channels create Meeting snmp --host hostname --community public
Modificar um canalVocecirc pode modificar um canal que vocecirc criou
Procedimento
1 (Opcional) Para identificar o nome do canal que vocecirc deseja modificar executeo seguinte comando
isi event channels list
2 Modifique um canal executando o comando isi event channels modify
O exemplo de comando a seguir modifica o canal chamado Support alterando oendereccedilo de e-mail do remetente para emailsupport3com
isi event channels modify Support --send-as emailsupport3com
O exemplo de comando a seguir modifica o canal chamado Support alterando onome de usuaacuterio de SMTP para admin e a senha de SMTP para pssword
isi event channels modify Support --smtp-username admin --smtp-password pssword
Administraccedilatildeo geral de cluster
88 OneFS 810 Guia de Administraccedilatildeo da CLI
Excluir um canalVocecirc pode excluir canais que vocecirc criou
Antes de vocecirc comeccedilar
Vocecirc natildeo conseguiraacute excluir um canal que esteja sendo usado no momento por umalerta Remova um canal de um alerta executando o comando isi event alertsmodify
Procedimento
1 (Opcional) Para identificar o nome do canal que vocecirc deseja excluir execute oseguinte comando
isi event channels list
2 Exclua um canal executando o comando isi event channels delete
O exemplo de comando a seguir exclui o alerta chamado Support
isi event channels delete Support
O nome do canal distingue maiuacutesculas de minuacutesculas
3 Digite yes para confirmar a exclusatildeo
Manutenccedilatildeo e testeVocecirc pode modificar as configuraccedilotildees de eventos para especificar limites dearmazenamento e de retenccedilatildeo para dados de eventos agendar janelas de manutenccedilatildeoe enviar eventos de teste
Limites de armazenamento e retenccedilatildeo de dados de eventosVocecirc pode modificar as configuraccedilotildees para determinar como os dados de eventos satildeotratados em seu cluster
Por padratildeo os dados relacionados a grupos de eventos resolvidos satildeo mantidosindefinidamente Vocecirc pode definir um limite de retenccedilatildeo para fazer com que osistema exclua automaticamente os dados do grupo de eventos resolvidos depois deum determinado nuacutemero de dias
Vocecirc tambeacutem pode limitar a quantidade de memoacuteria que dados de eventos podemocupar em seu cluster Por padratildeo o limite eacute de 1 MB de memoacuteria para cada 1 TB dememoacuteria total do cluster Vocecirc pode ajustar esse limite para estar entre 1 e 100 MB dememoacuteria Para clusters menores a quantidade miacutenima de memoacuteria que seraacute separada eacutede 1 GB
Quando o cluster atingir um limite de armazenamento o sistema comeccedilaraacute a exclusatildeodos dados de grupo de eventos mais antigos para acomodar dados novos
Visualizar configuraccedilotildees de armazenamento do evento
Vocecirc pode visualizar as configuraccedilotildees de armazenamento e manutenccedilatildeo
Procedimento
1 Para visualizar execute o comando isi event settings view
Administraccedilatildeo geral de cluster
Manutenccedilatildeo e teste 89
O sistema exibe resultados semelhantes aos do seguinte exemplo
Retention Days 90 Storage Limit 1 Maintenance Start 2015-08-05T080000Maintenance Duration 4H Heartbeat Interval daily
Modificar as configuraccedilotildees de armazenamento do evento
Vocecirc pode modificar as configuraccedilotildees de armazenamento e de manutenccedilatildeo
Procedimento
1 Modifique suas configuraccedilotildees executando o comando isi event settingsmodify
O seguinte exemplo de comando altera o nuacutemero de dias que grupos de eventosresolvidos ficam salvos para 120
isi event settings modify --retention-days 120
O seguinte exemplo de comando altera o limite de armazenamento dos dados deeventos para 5 MB para cada 1 TB do armazenamento total do cluster
isi event settings modify --storage-limit 5
Janelas de manutenccedilatildeoVocecirc pode agendar uma janela de manutenccedilatildeo por meio da configuraccedilatildeo da hora deiniacutecio e da duraccedilatildeo da manutenccedilatildeo
Durante uma janela de manutenccedilatildeo agendada o sistema continuaraacute a registrareventos mas nenhum alerta seraacute gerado Agendar uma janela de manutenccedilatildeo evitaraacuteque os canais sofram flooding de alertas benignos associados a procedimentos demanutenccedilatildeo do cluster
Grupos de eventos ativos retomaratildeo automaticamente a geraccedilatildeo de alertas ao teacuterminodo periacuteodo da manutenccedilatildeo agendada
Agendar uma manutenccedilatildeo do Windows
Eacute possiacutevel agendar uma janela de manutenccedilatildeo para descontinuar alertas enquantovocecirc estiver realizando a manutenccedilatildeo no cluster
Procedimento
1 Agende uma janela de manutenccedilatildeo executando o comando isi eventsettings modify
O seguinte exemplo de comando agenda uma janela de manutenccedilatildeo que comeccedilaem 1ordm de setembro de 2015 agraves 23h e dura dois dias
isi event settings modify --maintenance-start 2015-09-01T230000 --maintenance-duration 2D
Testar eventos e alertasEventos de teste chamados de eventos de heartbeat satildeo gerados automaticamenteVocecirc tambeacutem pode gerar alertas de teste manualmente
Para confirmar que o sistema estaacute em operaccedilatildeo corretamente eventos de teste satildeoenviados automaticamente todos os dias um evento de cada noacute em seu cluster Eles
Administraccedilatildeo geral de cluster
90 OneFS 810 Guia de Administraccedilatildeo da CLI
satildeo chamados de eventos de heartbeat e satildeo reportados a um grupo de eventoschamado Evento de heartbeat
Para testar a configuraccedilatildeo de canais vocecirc pode enviar um alerta de testemanualmente por meio do sistema
Criar um alerta de teste
Vocecirc pode gerar um alerta de teste manualmente
Procedimento
1 Gere manualmente um alerta de teste executando o comando isi eventtest create
O exemplo de comando a seguir cria um alerta de teste com a mensagem Testmessage
isi event test create Test message
Modificar o evento de heartbeat
Vocecirc pode alterar a frequecircncia com que um evento de heartbeat eacute gerado
Este procedimento somente estaacute disponiacutevel pela interface de linha de comando
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Modifique o intervalo de evento de heartbeat executando o comando isievent settings modify
O seguinte exemplo de comando modifica o evento de heartbeat para que eleseja enviado semanalmente
isi event settings modify --heartbeat-interval weekly
Manutenccedilatildeo e clustersA equipe treinada de serviccedilos pode substituir ou fazer upgrade de componentes dosnoacutes do Isilon
O Suporte teacutecnico do Isilon pode ajudaacute-lo a substituir componentes dos noacutes ou a fazerupgrade dos componentes para aumentar o desempenho
Substituindo componentes do noacuteSe o componente de um noacute falhar o Suporte teacutecnico do Isilon trabalharaacute com vocecircpara substituir rapidamente o componente e retornar o noacute a um status iacutentegro
A equipe treinada de serviccedilos pode substituir as seguintes FRUs (Field ReplaceableUnits unidades substituiacuteveis em campo)
Obs
Esses componentes natildeo satildeo aplicaacuteveis a um noacute do IsilonSD
l bateria
Administraccedilatildeo geral de cluster
Manutenccedilatildeo e clusters 91
l drive bootflash
l drive SATASAS
l memoacuteria (DIMM)
l ventilador
l painel frontal
l switch de invasatildeo
l NIC (Network Interface Card placa de interface de rede)
l Placa InfiniBand
l Placa NVRAM
l controlador SAS
l fonte de alimentaccedilatildeo
Se vocecirc configurar o cluster para enviar alertas ao Isilon o Suporte teacutecnico do Isilonentraraacute em contato se um componente precisar ser substituiacutedo Se vocecirc natildeoconfigurar seu cluster para enviar alertas ao Isilon vocecirc deveraacute iniciar um chamado
Fazendo upgrade de componentes do noacuteVocecirc pode fazer upgrade dos componentes dos noacutes para obter capacidade oudesempenho adicionais
A equipe treinada de serviccedilos pode fazer upgrade dos seguintes componentes docampo
Obs
Estes componentes de noacute natildeo satildeo aplicaacuteveis ao IsilonSD Edge
l drive
l memoacuteria (DIMM)
l NIC (Network Interface Card placa de interface de rede)
Se desejar fazer upgrade de componentes de seus noacutes entre em contato com oSuporte teacutecnico do Isilon
ARR para unidadesQuando uma unidade eacute substituiacuteda em um noacute o OneFS formata e adicionaautomaticamente essa unidade ao cluster
Se vocecirc estiver substituindo uma unidade de um noacute seja para fazer upgrade daunidade ou substituir uma unidade com falha vocecirc natildeo precisaraacute realizar accedilotildeesadicionais para incluir a unidade no cluster O OneFS formataraacute e adicionaraacute a unidadeautomaticamente
O ARR (Automatic Replacement Recognition reconhecimento automaacutetico desubstituiccedilotildees) tambeacutem atualizaraacute automaticamente o microcoacutedigo da nova unidadepara corresponder ao pacote atual de suporte de unidade instalado no cluster Omicrocoacutedigo da unidade natildeo seraacute atualizado para todo o cluster somente para a novaunidade
Se vocecirc preferir formatar e adicionar as unidades manualmente poderaacute desabilitar oARR
Administraccedilatildeo geral de cluster
92 OneFS 810 Guia de Administraccedilatildeo da CLI
Exibir o status do ARRVocecirc pode confirmar se o ARR (Automatic Replacement Recognition reconhecimentoautomaacutetico de substituiccedilotildees) estaacute habilitado em seu cluster
Procedimento
1 Para confirmar se o ARR estaacute habilitado em seu cluster execute o seguintecomando
isi devices config view --node-lnn all
O sistema exibiraacute as informaccedilotildees sobre configuraccedilatildeo de cada noacute por LNN(Logical Node Number nuacutemero loacutegico do noacute) Como parte da exibiccedilatildeo daconfiguraccedilatildeo vocecirc veraacute o status do ARR para cada noacute
Automatic Replacement RecognitionEnabled True
2 Para exibir o status de ARR de um noacute especiacutefico execute o comando isidevices config view e especifique o LNN do noacute que deseja visualizar
Se vocecirc natildeo especificar um LNN do noacute as informaccedilotildees sobre configuraccedilatildeo donoacute local por meio do qual vocecirc estaacute se conectando seratildeo exibidas
O seguinte exemplo de comando exibe o status de ARR para o noacute com o LNN 2
isi devices config view --node-lnn 2
Habilitar ou desabilitar o ARRVocecirc pode habilitar ou desabilitar o ARR (Automatic Replacement Recognitionreconhecimento automaacutetico de substituiccedilatildeo) em todo o cluster ou apenas para noacutesespeciacuteficos
Por padratildeo o ARR eacute habilitado em todos os noacutes
Procedimento
1 Para desabilitar o ARR para todo o cluster execute o seguinte comando
isi devices config modify --automatic-replacement-recognition no
2 Para habilitar o ARR para todo o cluster execute o seguinte comando
isi devices config modify --automatic-replacement-recognition yes
3 Para desabilitar o ARR para um noacute especiacutefico execute o comando isidevices config modify com o paracircmetro ARR e especifique o LNN do noacute
Se vocecirc natildeo especificar um LNN do noacute o comando seraacute aplicado a todo ocluster
Administraccedilatildeo geral de cluster
ARR para unidades 93
O seguinte exemplo de comando desabilita o ARR para o noacute com o LNN 2
isi devices config modify --automatic-replacement-recognition no --node-lnn 2
Obs
Recomendamos que vocecirc mantenha suas configuraccedilotildees de ARR consistentesem todos os noacutes Alterar as configuraccedilotildees de ARR em noacutes especiacuteficos podecausar confusatildeo durante a manutenccedilatildeo da unidade
4 Para habilitar o ARR para um noacute especiacutefico execute o comando isi devicesconfig modify com o paracircmetro ARR e especifique o LNN do noacute
Se vocecirc natildeo especificar um LNN do noacute o comando seraacute aplicado a todo ocluster
O seguinte exemplo de comando habilita o ARR para o noacute com o LNN 2
isi devices config modify --automatic-replacement-recognition yes --node-lnn 2
Gerenciando o microcoacutedigo dos drivesSe o microcoacutedigo de qualquer drive em um cluster se tornar obsoleto a confiabilidadedo hardware ou do desempenho do cluster pode ter afetada Para garantir aintegridade geral dos dados vocecirc pode atualizar o microcoacutedigo de drive para a revisatildeomais recente instalando o pacote de suporte de drives ou o pacote de microcoacutedigo dedrive
Obs
O microcoacutedigo do drive e suas funccedilotildees e recursos relacionados natildeo satildeo aplicaacuteveis aoIsilonSD Edge
Eacute possiacutevel determinar se o microcoacutedigo de drive no cluster eacute a revisatildeo mais recenteexibindo o status do microcoacutedigo do drive
Obs
Recomendamos que vocecirc entre em contato com o Suporte teacutecnico do EMC Isilonantes de atualizar o microcoacutedigo do drive
Visatildeo geral da atualizaccedilatildeo do microcoacutedigo do driveVocecirc pode atualizar o microcoacutedigo do drive por meio de pacotes de suporte a drive oude pacotes de microcoacutedigo do drive
Faccedila download e instale qualquer um desses pacotes em httpsupportemccomdependendo da versatildeo do OneFS em execuccedilatildeo no cluster e do tipo de drives nos noacutes
Pacote de suporte a drivesPara os clusters que executam o OneFS 711 e posterior instale um pacote de suportea drives para atualizar o microcoacutedigo do drive Vocecirc natildeo precisa reinicializar os noacutesafetados para concluir a atualizaccedilatildeo de microcoacutedigo Um pacote de suporte a drivesapresenta os seguintes recursos adicionais
Administraccedilatildeo geral de cluster
94 OneFS 810 Guia de Administraccedilatildeo da CLI
l Atualiza as seguintes informaccedilotildees de configuraccedilatildeo de drives
n Lista de drives compatiacuteveis
n Metadados de microcoacutedigo do drive
n Dados de monitoramento de desgaste de SSD
n Configuraccedilotildees e atributos de SAS e SATA
l Atualiza automaticamente o microcoacutedigo do drive para drives novos e desubstituiccedilatildeo para a revisatildeo mais recente antes desses drives serem formatados eusados em um cluster Isso eacute aplicaacutevel apenas a clusters que estatildeo executando oOneFS 72 e posteriores
Obs
O microcoacutedigo dos drives em uso natildeo pode ser atualizado automaticamente
Pacote de microcoacutedigo do drivePara os clusters que executam versotildees do OneFS anteriores agrave versatildeo 711 ou paraclusters com noacutes diferentes de bootflash instale um pacote de microcoacutedigo do driveem todo o cluster para atualizar o microcoacutedigo de drive Eacute necessaacuterio reinicializar osnoacutes afetados para concluir a atualizaccedilatildeo de microcoacutedigo
Instalar um pacote de suporte a unidadePara os clusters que executam o OneFS 711 e versotildees posteriores instale o pacotede suporte a unidade mais recente para atualizar o microcoacutedigo de sua unidade para aversatildeo compatiacutevel mais recente
Antes de vocecirc comeccedilar
Consulte a seccedilatildeo Consideraccedilotildees para Instalaccedilatildeo do Pacote Mais Recente de Suporte aDrives antes de comeccedilar a instalaccedilatildeo
Procedimento
1 Acesse a paacutegina de Suporte da EMC que relaciona todas as versotildees disponiacuteveisdo pacote de suporte a drives
2 Clique na versatildeo mais recente do pacote de suporte a drives e faccedila download doarquivo
Obs
Consulte a seccedilatildeo Consideraccedilotildees para Instalaccedilatildeo do Pacote Mais Recente deSuporte a Drives para selecionar a variante adequada do pacote Se natildeo forpossiacutevel fazer o download do pacote entre em contato com o suporte teacutecnicodo EMC Isilon para obter assistecircncia
3 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
4 Crie ou verifique a disponibilidade da estrutura de diretoacuterios ifsdataIsilon_Supportdsp
5 Copie o arquivo baixado para o diretoacuterio dsp por meio dos protocolos SCP FTPSMB NFS ou outros protocolos de acesso a dados compatiacuteveis
6 Descompacte o arquivo executando o comando tar
Administraccedilatildeo geral de cluster
Gerenciando o microcoacutedigo dos drives 95
Por exemplo com base na variante selecionada para o pacote de suporte adrives descompacte o pacote executando um dos seguintes comandos
tar -zxvf Drive_Support_ltversiongttgztar ndashzxvf Drive_Support_ltversiongt_No_SSDtgz
7 Instale o pacote executando o comando isi_dsp_install
Por exemplo com base na variante selecionada para o pacote de suporte adrives instale o pacote executando um dos seguintes comandos
isi_dsp_install Drive_Support_ltversiongttarisi_dsp_install Drive_Support_ltversiongt_No_SSDtar
Obs
l Vocecirc deve executar o comando isi_dsp_install para instalar o pacote desuporte a drives Natildeo use o comando isi pkg
l Executar isi_dsp_install instalaraacute o pacote de suporte a unidades emtodo o cluster
l O processo de instalaccedilatildeo lida com a instalaccedilatildeo de todos os arquivosnecessaacuterios do pacote de suporte a drives seguida pela desinstalaccedilatildeo dopacote Natildeo eacute necessaacuterio excluir o pacote apoacutes sua instalaccedilatildeo nem antes dainstalaccedilatildeo de uma versatildeo posterior
Informaccedilotildees de status do microcoacutedigo da unidadeVocecirc pode exibir informaccedilotildees sobre o status do microcoacutedigo de unidade por meio dainterface de linha de comando do OneFS
O seguinte exemplo mostra o resultado do comando isi devices drivefirmware list
your-cluster-1 isi devices drive firmware listLnn Location Firmware Desired Model------------------------------------------------------2 Bay 1 A204 - HGST HUSMM1680ASS2002 Bay 2 A204 - HGST HUSMM1680ASS2002 Bay 3 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 4 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 5 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 6 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 7 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 8 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 9 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 10 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 11 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 12 MFAOABW0 MFAOAC50 HGST HUS724040ALA640------------------------------------------------------Total 12
Em que
LNN
Exibe o LNN do noacute que conteacutem a unidade
Administraccedilatildeo geral de cluster
96 OneFS 810 Guia de Administraccedilatildeo da CLI
Localizaccedilatildeo
Exibe o nuacutemero do gabinete no qual a unidade estaacute instalada
Firmware
Exibe o nuacutemero da versatildeo do microcoacutedigo em execuccedilatildeo atualmente na unidade
Desired
Se o microcoacutedigo da unidade precisar receber upgrade exibiraacute o nuacutemero daversatildeo do microcoacutedigo de unidade para a qual o microcoacutedigo deve ser atualizado
Modelo
Exibe o nuacutemero do modelo da unidade
Obs
O comando isi devices drive firmware list exibe informaccedilotildees somentesobre o microcoacutedigo das unidades do noacute local Vocecirc pode exibir informaccedilotildees sobremicrocoacutedigos de unidade de todo o cluster natildeo apenas do cluster local executando oseguinte comandoisi devices drive firmware list --node-lnn all
Atualizar o microcoacutedigo de unidadeEacute possiacutevel atualizar o microcoacutedigo de unidade para a revisatildeo mais recente issogarantiraacute a integridade geral dos dados
Este procedimento explica como atualizar o microcoacutedigo de unidade nos noacutes que tecircmunidades bootflash depois de ter instalado o pacote mais recente de suporte aunidades Para obter uma lista dos noacutes com unidades bootflash consulte a seccedilatildeoRequisitos do sistema nas Notas da Versatildeo do Pacote de Suporte a Unidade do Isilon
Para atualizar o microcoacutedigo de unidade nos noacutes que natildeo contecircm unidades bootflashfaccedila o download e instale o pacote mais recente de microcoacutedigo de unidade Paraobter mais informaccedilotildees consulte as notas da versatildeo mais recentes do pacote demicrocoacutedigo de unidade disponiacuteveis em httpssupportemccom
Obs
Realizar um ciclo de alimentaccedilatildeo das unidades durante uma atualizaccedilatildeo demicrocoacutedigo pode causar resultados inesperados Como praacutetica recomendada natildeoreinicie nem desligue os noacutes enquanto o microcoacutedigo de unidade estiver sendoatualizado em um cluster
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Execute o seguinte comando para atualizar o microcoacutedigo de unidade de todo ocluster
isi devices drive firmware update start all --node-lnn allPara atualizar o microcoacutedigo de unidade de um noacute especiacutefico execute oseguinte comando
isi devices drive firmware update start all --node-lnnltnode-numbergt
Administraccedilatildeo geral de cluster
Gerenciando o microcoacutedigo dos drives 97
CUIDADO
Vocecirc deve aguardar ateacute que um noacute conclua a atualizaccedilatildeo antes de iniciaruma atualizaccedilatildeo no proacuteximo noacute Para confirmar se um noacute concluiu aatualizaccedilatildeo execute o seguinte comandoisi devices drive firmware update listUma unidade que ainda esteja sendo atualizada exibiraacute o statusFWUPDATE
Atualizar o microcoacutedigo de uma soacute unidade leva cerca de 15 segundosdependendo do modelo da unidade O OneFS atualiza as unidades emsequecircncia
Verificar a atualizaccedilatildeo do microcoacutedigo de uma unidadeDepois de atualizar o microcoacutedigo de unidade de um noacute confirme se ele foi atualizadodevidamente e se as unidades afetadas estatildeo funcionando corretamente
Procedimento
1 Execute o seguinte comando para certificar-se de que nenhuma atualizaccedilatildeo demicrocoacutedigo de unidade esteja em andamento no momento
isi devices drive firmware update list
Se uma unidade estiver sendo atualizada [FW_UPDATE] seraacute exibida na colunaStatus
2 Verifique se todas as unidades foram atualizadas executando o seguintecomando
isi devices drive firmware list --node-lnn all
Se todas as unidades tiverem sido atualizadas a coluna Desired FW ficaraacute embranco
3 Verifique se todas as unidades afetadas estatildeo funcionando em um estadoiacutentegro executando o seguinte comando
isi devices drive list --node-lnn all
Se uma unidade estiver funcionando em um estado iacutentegro [HEALTHY] seraacuteexibido na coluna de status
Atualizar o microcoacutedigo do drive automaticamentePara os clusters que executam o OneFS 72 ou posterior instale o pacote de suporte adrives mais recente em um noacute para atualizar automaticamente o microcoacutedigo para umdrive novo ou de substituiccedilatildeo
As informaccedilotildees no pacote de suporte a drives determinam se o microcoacutedigo do drivedeve ser atualizado antes do drive ser formatado e usado Se uma atualizaccedilatildeo estiverdisponiacutevel o drive eacute atualizado automaticamente com o microcoacutedigo mais recente
Administraccedilatildeo geral de cluster
98 OneFS 810 Guia de Administraccedilatildeo da CLI
Obs
Os drives novos e de substituiccedilatildeo adicionados a um cluster satildeo formatadosindependentemente do status da revisatildeo do microcoacutedigo Vocecirc pode identificar umafalha de atualizaccedilatildeo do microcoacutedigo exibindo o status do microcoacutedigo para os drivesem um noacute especiacutefico Em caso de falha execute o comando isi devices com aaccedilatildeo fwupdate no noacute para atualizar manualmente o microcoacutedigo Por exemploexecute o seguinte comando para atualizar manualmente o microcoacutedigo no noacute 1
isi devices -a fwupdate -d 1
Gerenciando noacutes do clusterVocecirc pode adicionar e remover noacutes de um cluster Tambeacutem eacute possiacutevel desligar oureiniciar todo o cluster
Adicionar um noacute a um clusterVocecirc pode adicionar um novo noacute a um cluster existente do EMC Isilon
Antes de vocecirc comeccedilar
Antes de adicionar um noacute a um cluster verifique se haacute um endereccedilo IP internodisponiacutevel Adicione os endereccedilos IP conforme necessaacuterio antes de adicionar um novonoacute
Se um novo noacute estiver executando uma versatildeo diferente do OneFS que a executadapor um cluster o sistema alteraraacute a versatildeo do noacute do OneFS para corresponder agrave docluster
Obs
l Para obter informaccedilotildees especiacuteficas sobre a compatibilidade de versatildeo entre ohardware do OneFS e do EMC Isilon consulte o Guia de Compatibilidade eCapacidade de Suporte do Isilon
l Se vocecirc estiver executando o IsilonSD Edge siga as instruccedilotildees do Guia deInstalaccedilatildeo e Administraccedilatildeo do IsilonSD Edge para adicionar um noacute ao cluster doIsilonSD atraveacutes do plug-in de gerenciamento do IsilonSD
Procedimento
1 Para identificar o nuacutemero de seacuterie do noacute que seraacute adicionado execute oseguinte comando
isi devices node list
2 Para conectar o noacute ao cluster execute o seguinte comando
isi devices node add ltserial-numbergt
Administraccedilatildeo geral de cluster
Gerenciando noacutes do cluster 99
Por exemplo o comando a seguir conecta um noacute ao cluster com um nuacutemero deseacuterie 43252
isi devices node add 43252
Remover um noacute do clusterVocecirc pode remover um noacute de um cluster Ao remover um noacute o sistema provoca osmartfail do noacute para garantir que os dados no noacute sejam transferidos a outros noacutes docluster
A remoccedilatildeo de um noacute de armazenamento de um cluster exclui os dados desse noacute Antesde excluir os dados do sistema o trabalho FlexProtect redireciona com seguranccedila osdados nos noacutes restantes no cluster
Procedimento
1 Execute o comando isi devices
O seguinte comando elimina um noacute com o LNN (Logical Node Number) 2 docluster
isi devices --action smartfail --device 2
Obs
Se vocecirc estiver executando o IsilonSD Edge siga as instruccedilotildees do Guia deInstalaccedilatildeo e Administraccedilatildeo do IsilonSD Edge para remover um noacute do cluster doIsilonSD
Modificar o LNN de um noacuteVocecirc pode modificar o LNN (Logical Node Number) de um noacute Esse procedimento estaacutedisponiacutevel apenas por meio da CLI (interface de linha de comando)
Os noacutes de seu cluster podem ser renomeados para qualquer nomenuacutemero inteiroentre 1 e 144 Ao alterar o nome de seu noacute vocecirc estaraacute redefinindo o LNN
Obs
l Embora vocecirc possa especificar qualquer nuacutemero inteiro como um LNNrecomendamos que vocecirc natildeo especifique um nuacutemero inteiro maior que 144 Issopode resultar em uma degradaccedilatildeo significativa do desempenho
l Ignore essas instruccedilotildees se vocecirc estiver executando IsilonSD Edge jaacute que natildeo eacutepossiacutevel modificar o LNN de um noacute do IsilonSD
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Abra o prompt do comando isi config executando o seguinte comando
isi config
Administraccedilatildeo geral de cluster
100 OneFS 810 Guia de Administraccedilatildeo da CLI
3 Execute o comando lnnset
O seguinte comando altera o LNN de um noacute de 12 para 73
lnnset 12 73
4 Digite commit
Resultado
Vocecirc pode precisar se reconectar a sua sessatildeo SSH antes que o nome do novo noacute sejaalterado automaticamente
Reiniciar ou desligar o clusterVocecirc pode reiniciar ou desligar o cluster do EMC Isilon
Procedimento
1 Execute o comando isi config
O prompt de linha de comando muda para indicar que vocecirc estaacute no subsistemaisi config
2 Reinicie ou desligue os noacutes do cluster
l Para reiniciar um noacute ou todos os noacutes do cluster execute o comando reboot
O seguinte comando reinicia um uacutenico noacute especificando o LNN (Logical NodeNumber)
reboot 7
l Para desligar um uacutenico noacute ou todos os noacutes do cluster execute o comandoshutdown
O seguinte comando desliga todos os noacutes do cluster
shutdown all
Fazendo upgrade do OneFSHaacute duas opccedilotildees disponiacuteveis para fazer upgrade do sistema operacional OneFS umrolling upgrade ou um upgrade simultacircneo Antes de fazer upgrade do software doOneFS deve ser realizada uma verificaccedilatildeo preacute-upgrade
Um rolling upgrade faz o upgrade e reinicia individualmente cada noacute do cluster do EMCIsilon de modo sequencial Durante um rolling upgrade o cluster permanece on-line econtinua atendendo aos clients sem interrupccedilatildeo no serviccedilo embora algumasredefiniccedilotildees da conexatildeo possam ocorrer nos clients de SMB Os rolling upgrades satildeoexecutados em sequecircncia por nuacutemero de noacutes Assim um rolling upgrade leva maistempo para ser concluiacutedo que um upgrade simultacircneo O noacute final do processo deupgrade eacute o noacute que vocecirc usou para iniciar o processo de upgrade
Obs
Os rolling upgrades natildeo estatildeo disponiacuteveis para todos os clusters Para obter instruccedilotildeessobre como planejar um upgrade preparar o cluster para upgrade e realizar o upgradedo sistema operacional consulte Upgrades do OneFS ndash Hub de informaccedilotildees do Isilon
O upgrade simultacircneo instala o novo sistema operacional e reinicia todos os noacutes docluster ao mesmo tempo Upgrades simultacircneos satildeo mais raacutepidos que rolling upgrades
Administraccedilatildeo geral de cluster
Fazendo upgrade do OneFS 101
mas exigem uma interrupccedilatildeo temporaacuteria do serviccedilo durante o processo de upgradeSeus dados ficaratildeo inacessiacuteveis ateacute a conclusatildeo do processo de upgrade
Antes de iniciar um upgrade simultacircneo ou um rolling upgrade o OneFS compara ocluster e o sistema operacional atuais com a nova versatildeo para garantir que o clusteratenda a certos criteacuterios como a compatibilidade de configuraccedilatildeo (SMB LDAPSmartPools) a disponibilidade do disco e a ausecircncia de eventos criacuteticos do cluster Seo upgrade colocar o cluster em risco o OneFS avisaraacute vocecirc apresentaraacute informaccedilotildeessobre os riscos e solicitaraacute que vocecirc confirme se deseja continuar o upgrade
Se o cluster natildeo atender aos criteacuterios preacute-upgrade o upgrade seraacute interrompido e osstatus natildeo compatiacuteveis seratildeo listados
Obs
Recomendamos que vocecirc execute as verificaccedilotildees opcionais preacute-upgrade Antes deiniciar um upgrade o OneFS verifica se o cluster estaacute suficientemente iacutentegro paraconcluir o processo de upgrade Algumas verificaccedilotildees preacute-upgrade satildeo obrigatoacuterias eseratildeo executadas mesmo se vocecirc optar por ignorar as verificaccedilotildees opcionais Todasas verificaccedilotildees preacute-upgrade contribuem para um upgrade mais seguro
Suporte remotoO OneFS permite o suporte remoto por meio do ESRS (EMC Secure RemoteServices) que monitora o cluster do EMC Isilon e com sua permissatildeo oferece acessoremoto agrave equipe de suporte teacutecnico do Isilon para coletar dados do cluster e solucionarproblemas O ESRS eacute um sistema seguro e baseado em IP de atendimento ao clienteOs recursos do ESRS incluem monitoramento remoto 24 horas por dia 7 dias porsemana e autenticaccedilatildeo segura com criptografia AES de 256 bits e certificados digitaisda RSA
O OneFS 81 e versotildees posteriores natildeo armazenam as credenciais do usuaacuterionecessaacuterias Embora o ESRS natildeo seja um recurso licenciado o OneFS usa o ID dosoftware de licenciamento (SWID) como o ID do cluster portanto um cluster comOneFS 81 e versotildees posteriores deve ser licenciado para usar o ESRS Apoacutes oprovisionamento do cluster uma chave de API do ESRS eacute obtida para comunicaccedilatildeoposterior
Quando configurado o ESRS monitora o cluster do Isilon e envia alertas sobre aintegridade dos dispositivos A equipe de suporte teacutecnico do Isilon pode estabelecersessotildees remotas por meio de SSH ou da interface Web de administraccedilatildeo Durante assessotildees remotas a equipe de suporte pode executar scripts de suporte remoto quecoletam dados de diagnoacutestico sobre as configuraccedilotildees e operaccedilotildees do cluster e que satildeoenviados a um local FTP seguro e solucionar problemas de casos abertos de suportedo cluster
Ao habilitar o suporte remoto vocecirc deve compartilhar as credenciais de log-in docluster com a equipe de suporte teacutecnico do Isilon assim ela teraacute acesso remoto aocluster somente no contexto de um caso aberto de suporte Permita ou negue asolicitaccedilatildeo de sessatildeo remota da equipe de suporte teacutecnico do Isilon
Uma descriccedilatildeo completa dos recursos e das funcionalidades do ESRS estaacute disponiacutevelna versatildeo mais recente do documento Descriccedilatildeo Teacutecnica do EMC Secure RemoteServices Eacute possiacutevel encontrar documentaccedilatildeo adicional sobre o ESRS na paacutegina DellEMC Support by Product
Administraccedilatildeo geral de cluster
102 OneFS 810 Guia de Administraccedilatildeo da CLI
Configurando o suporte do EMC Secure Remote ServicesVocecirc pode configurar o suporte do ESRS (EMC Secure Remote Services) no clusterdo Isilon
Antes de configurar o ESRS pelo menos um servidor de gateway do ESRS deve serinstalado e configurado O servidor do gateway atua como o ponto uacutenico de entrada ede saiacuteda para as atividades de suporte remoto baseado em IP e para as notificaccedilotildees demonitoramento Se necessaacuterio configure um servidor de gateway secundaacuterio comofailover
Tabela 1 Versotildees compatiacuteveis do ESRS Gateway
ESRS OneFS versatildeo 80 eanterior
OneFS versatildeo 81 e posterior
Servidor do ESRSGateway (back-end)
Versatildeo 2 Versatildeo 2 (se configuradoanteriormente) e versatildeo 3(obrigatoacuterio para elementos eaprimoramentos do OneFS ESRS 3)
OneFS ESRS Versatildeo 2 Versatildeo 2 (se configuradoanteriormente) e versatildeo 3(obrigatoacuterio para os novos recursose aprimoramentos)
O ESRS natildeo eacute compatiacutevel com comunicaccedilotildees IPv6 Para dar suporte a transmissotildeesdo ESRS e conexotildees remotas pelo menos uma sub-rede do cluster do EMC Isilondeve ser configurada para endereccedilos IPv4 Todos os noacutes que seratildeo gerenciados peloESRS devem ter no miacutenimo uma interface de rede que seja membro de um pool deendereccedilos IPv4
Designe um ou mais pools de endereccedilos IP que lidaratildeo com as conexotildees de gatewayremoto pela equipe de suporte O pool de endereccedilos IP deve pertencer a uma sub-rede de groupnet0 que eacute o groupnet padratildeo do sistema e mencionado pela zona deacesso do sistema Recomenda-se que vocecirc designe pools com endereccedilos IP estaacuteticosque satildeo especiacuteficos a conexotildees remotas por meio do ESRS
Se as transmissotildees do ESRS falharem vocecirc poderaacute enviar notificaccedilotildees de evento paraum endereccedilo SMTP de failover Aleacutem disso especifique se um e-mail deve ser enviadoem caso de falha da transmissatildeo O endereccedilo SMTP e o endereccedilo de e-mail satildeoespecificados nas configuraccedilotildees gerais do cluster do OneFS
Ao habilitar o suporte para o ESRS em um cluster o nuacutemero de seacuterie e o endereccedilo IPde cada noacute seratildeo enviados ao servidor de gateway Assim que as informaccedilotildees docluster forem recebidas vocecirc poderaacute
l Selecionar o que seraacute gerenciado por meio do ESRS com a ferramenta deconfiguraccedilatildeo do ESRS
l Criar regras para conexotildees de suporte remoto ao cluster do Isilon com o ESRSPolicy Manager
A seguinte documentaccedilatildeo apresenta informaccedilotildees adicionais do ESRS
l A versatildeo mais recente do documento intitulado Guia de Planejamento de Local doEMC Secure Remote Services para obter uma descriccedilatildeo completa dos requisitosda instalaccedilatildeo e da configuraccedilatildeo do servidor de gateway
l A versatildeo mais recente do Guia de Operaccedilotildees e Instalaccedilatildeo do EMC Secure RemoteServices para obter uma descriccedilatildeo completa da ferramenta de configuraccedilatildeo doESRS
Administraccedilatildeo geral de cluster
Configurando o suporte do EMC Secure Remote Services 103
l A versatildeo mais recente do documento intitulado Guia de Operaccedilotildees do EMC SecureRemote Services Policy Manager para obter uma descriccedilatildeo completa do ESRSPolicy Manager
l Suporte da EMC por produto
O OneFS 81 e versotildees posteriores usam a interface REST do ESRS que daacute suporte aogateway do ESRS 3x Virtual Edition Agora todo o cluster eacute provisionado com uma soacuteinscriccedilatildeo e natildeo um noacute por vez como em versotildees anteriores do OneFS
Figura 1 A relaccedilatildeo de cluster do OneFS com o back-end de conectividade do ESRS gateway
A tabela a seguir lista os recursos e aprimoramentos disponiacuteveis com o ESRS paraOneFS 81 Para aproveitar as vantagens dos novos recursos certifique-se de quevocecirc estaacute executando o ESRS Gateway Server (Virtual Edition) versatildeo 3x antes dehabilitar o ESRS no cluster com OneFS 81 e versotildees posteriores
Tabela 2 Recursos e aprimoramentos do ESRS
Recurso Descriccedilatildeo
Consolidaccedilatildeo O ESRS consolida os pontos de acesso parasuporte teacutecnico oferecendo uma arquiteturauniforme e com base em padrotildees para acessoremoto em todas as linhas de produtos daEMC Os benefiacutecios incluem custos reduzidospor meio da eliminaccedilatildeo de modems e linhastelefocircnicas autorizaccedilatildeo controlada do acessopara eventos de serviccedilos remotos e registroconsolidado do acesso remoto para anaacutelise deauditoria
Mais seguranccedila l Seguranccedila digital abrangente aseguranccedila do ESRS inclui criptografia dedados de TLS (Transport Layer Security
Administraccedilatildeo geral de cluster
104 OneFS 810 Guia de Administraccedilatildeo da CLI
Tabela 2 Recursos e aprimoramentos do ESRS (continuaccedilatildeo)
Recurso Descriccedilatildeo
seguranccedila de camada de transporte)encapsulamento de TLS v10 comcriptografia de dados de 256 bits de AES(Advanced Encryption Standard padratildeode criptografia avanccedilada) SHA-1autenticaccedilatildeo de entidades (certificadosdigitais privados) e autenticaccedilatildeo deusuaacuterio de acesso remoto verificado pormeio da seguranccedila de rede da EMC
l Controles de autorizaccedilatildeo os controles depoliacutetica ativam a autorizaccedilatildeopersonalizada para aceitar recusar ouexigir a aprovaccedilatildeo dinacircmica paraconexotildees a sua infraestrutura dedispositivos da EMC no niacutevel dedispositivos e de aplicativos de suportecom o uso do Policy Manager
l Encapsulamento seguro de sessotildees deacesso remoto o ESRS estabelecesessotildees remotas usando a atribuiccedilatildeo deportas seguras de IP e aplicativos entre ospontos de extremidade de origem e dedestino
Transferecircncia de dados de utilizaccedilatildeo delicenciamento
As APIs REST do ESRS VE datildeo suporte agravetransferecircncia para a EMC dos dados deutilizaccedilatildeo de licenciamento de produtos daEMC Esses produtos devem ser gerenciadospelo ESRS VE e devem ser habilitados parainteligecircncia de uso a fim de enviar os dados deutilizaccedilatildeo A EMC processa dados deutilizaccedilatildeo e oferece relatoacuterios de inteligecircnciade uso que satildeo visiacuteveis aos clientes e agrave EMCpara controlar melhor o uso de produtos egerenciar a conformidade
Atualizaccedilotildees automaacuteticas de software O ESRS VE verifica automaticamente se haacuteatualizaccedilotildees de software e notifica osusuaacuterios por e-mail assim que elas se tornamdisponiacuteveis Aleacutem disso o painel de controleda interface do usuaacuterio do ESRS na Web exibeas atualizaccedilotildees mais recentes disponiacuteveisquando elas ficam disponiacuteveis Os usuaacuteriospodem aplicar atualizaccedilotildees conformedesejarem na interface do usuaacuterio do ESRSVE na Web
MFT (Managed File Transfer) MFT eacute um mecanismo de transferecircnciabidirecional de arquivos oferecido como partedo ESRS VE (Virtual Edition) Vocecirc pode usaro MFT para enviar ou receber arquivos
Administraccedilatildeo geral de cluster
Configurando o suporte do EMC Secure Remote Services 105
Tabela 2 Recursos e aprimoramentos do ESRS (continuaccedilatildeo)
Recurso Descriccedilatildeo
grandes como arquivos de log microcoacutedigoscripts ou grandes arquivos de instalaccedilatildeoentre o produto e a EMC Uma distribuiccedilatildeolocker eacute usada para staging bidirecional dearquivos
Scripts de suporte remotoDepois de ativar o suporte remoto por meio do ESRS a equipe de suporte teacutecnico doIsilon pode solicitar registros com scripts que coletam dados do cluster do EMC Isilone em seguida fazer upload desses dados
Os scripts de suporte remoto baseados nas ferramentas isi diagnosticsgather start e isi diagnostics netlogger do Isilon se encontram nodiretoacuterio ifsdataIsilon_Support de cada noacute
Obs
Os comandos isi diagnostics gather e isi diagnostics netloggersubstituem o comando isi gather info
Aleacutem disso a isi_phone_home uma ferramenta que se concentra em dadosespeciacuteficos de cluster e de noacute seraacute ativada assim que o ESRS for habilitado Essaferramenta eacute predefinida para enviar informaccedilotildees sobre um cluster ao suporte teacutecnicodo Isilon semanalmente Vocecirc pode habilitar ou desabilitar a isi_phone_home nainterface de linha de comando do OneFS
A tabela a seguir lista as atividades de coleta de dados realizadas pelos scripts desuporte remoto Mediante a solicitaccedilatildeo de um representante do suporte teacutecnico doIsilon esses scripts podem ser executados automaticamente para coletar informaccedilotildeessobre as definiccedilotildees e operaccedilotildees de configuraccedilatildeo de um cluster O ESRS eacute usado parafazer upload das informaccedilotildees em um local de FTP seguro do Isilon para que elasestejam disponiacuteveis para anaacutelise pela equipe de suporte teacutecnico do Isilon Os scripts desuporte remoto natildeo afetam os serviccedilos de cluster nem a disponibilidade dos dados
Tabela 3 Comandos e subcomandos da isi diagnostics gather
Comando Descriccedilatildeo
isi diagnostics gatherstart Inicia a coleta e faz upload de todas asinformaccedilotildees recentes de registro do cluster
isi diagnostics gatherstop Interrompe a coleta de informaccedilotildees docluster
isi diagnostics gatherstatus Informa o status do cluster
isi diagnostics gatherview Exibe as informaccedilotildees
isi diagnostics gathersettingsmodify--clear ftp host
Limpa o valor do host do FTP ao qual seraacutefeito o upload
isi diagnostics gathersettingsmodify--clear ftp pass
Limpa o valor de senha dos usuaacuterios do FTP
Administraccedilatildeo geral de cluster
106 OneFS 810 Guia de Administraccedilatildeo da CLI
Tabela 3 Comandos e subcomandos da isi diagnostics gather (continuaccedilatildeo)
Comando Descriccedilatildeo
isi diagnostics gathersettingsmodify--clear ftp path
Limpa o valor de caminho do servidor FTPpara upload
isi diagnostics gathersettingsmodify--clear ftp proxy
Limpa o valor de servidor proxy do FTP
isi diagnostics gathersettingsmodify--clear ftp proxyport
Limpa o valor de porta de servidor proxy doFTP
isi diagnostics gathersettingsmodify--clear ftp ftpuser
Limpa o valor do usuaacuterio do FTP
isi diagnostics gathersettingsmodify--clear http host
Limpa o valor do host HTTP ao qual seraacute feitoo upload
isi diagnostics gathersettingsmodify--clear htttp path
Limpa o valor de caminho do upload
isi diagnostics gathersettingsmodify--clear htttp proxy
Limpa o valor de proxy a ser usado paraupload do HTTP
isi diagnostics gathersettingsmodify--clear htttp proxyport
Limpa o valor da porta de proxy a ser usadapara upload do HTTP
isi diagnostics gathersettingsmodify--esrs
Usa o ESRS para coletar o upload
isi diagnostics gathersettingsmodify --ftp-host
Usa o host do FTP ao qual seraacute feito o upload
isi diagnostics gathersettingsmodify --ftp-pass
A senha dos usuaacuterios do FTP
isi diagnostics gathersettingsmodify --ftp-path
O caminho do servidor FTP para upload
isi diagnostics gathersettingsmodify --ftp-proxy
Servidor proxy do FTP
isi diagnostics gathersettingsmodify --ftp-proxy-port
A porta do servidor proxy do FTP
isi diagnostics gathersettingsmodify --ftp-upload
Indica se usaraacute ou natildeo o upload do FTP nacoleta concluiacuteda
isi diagnostics gathersettingsmodify --ftp-user
O usuaacuterio do FTP
isi diagnostics gathersettingsmodify --ftp-gather-mode
Tipo de coleta completa ou incremental
isi diagnostics gathersettingsmodify--help
Exiba a Ajuda para que esse comando
isi diagnostics gathersettingsmodify --http-host
O host HTTP ao qual seraacute feito o upload
Administraccedilatildeo geral de cluster
Scripts de suporte remoto 107
Tabela 3 Comandos e subcomandos da isi diagnostics gather (continuaccedilatildeo)
Comando Descriccedilatildeo
isi diagnostics gathersettingsmodify --http-path
O caminho do upload
isi diagnostics gathersettingsmodify --http-proxy
O proxy a ser usado para upload do HTTP
isi diagnostics gathersettingsmodify --http-proxy-port
A porta de proxy a ser usada para upload doHTTP
isi diagnostics gathersettingsmodify --http-upload
Indica se usaraacute ou natildeo o upload do HTTP nacoleta concluiacuteda
isi diagnostics gathersettingsmodify --upload
Habilitar coleta de upload
Tabela 4 Comandos e subcomandos da isi diagnostics netlogger
Comando Descriccedilatildeo
isi diagnostics netloggerstart Inicia o processo netlogger
isi diagnostics netloggerstop Interrompe o processo netlogger se estiverem execuccedilatildeo
isi diagnostics netloggerstatus Informa o status do netlogger
isi diagnostics netloggerview Exibe os arquivos de captura do netlogger
isi diagnostics netloggersettings modify --clients
Endereccedilo ou endereccedilos IP do cliente queseratildeo filtrados
isi diagnostics netloggersettings modify --count
O nuacutemero de arquivos de captura que seraacutemantido depois de atingir o limite de duraccedilatildeoAssume como padratildeo os trecircs uacuteltimos arquivos
isi diagnostics netloggersettings modify --duration
Por quanto tempo executar a captura antesde fazer rodiacutezio do arquivo de captura Opadratildeo eacute 10 minutos
isi diagnostics netloggersettings modify --help
Exibe a ajuda desse comando
isi diagnostics netloggersettings modify --interfaces
Especifica as interfaces de rede que seratildeocapturadas
isi diagnostics netloggersettings modify --nodelist
Lista de noacutes nos quais executar a captura
isi diagnostics netloggersettings modify --ports
Porta ou portas TCP ou UDP que seratildeofiltradas
isi diagnostics netloggersettings modify --protocols
Protocolos para filtrar TCP UDP IP ARP
isi diagnostics netloggersettings modify --snaplength
Especifique a quantidade do pacote que seraacuteexibida O padratildeo eacute 320 bytes Um valor de 0exibe todo o pacote
Administraccedilatildeo geral de cluster
108 OneFS 810 Guia de Administraccedilatildeo da CLI
Tabela 5 Scripts de informaccedilotildees do cluster
Accedilatildeo Descriccedilatildeo
Limpar a pasta de observaccedilatildeo Limpa o conteuacutedo de varcrash
Obter dados do aplicativo Coleta e faz upload das informaccedilotildeessobre programas de aplicativo doOneFS
Gerar arquivos de painel de controle diariamente Gera informaccedilotildees de painel de controlediariamente
Gerar a sequecircncia de painel de controle Gera informaccedilotildees de painel de controlena sequecircncia em que ocorreram
Obter dados de ABR (como registro integrado) Coleta informaccedilotildees integradas sobre ohardware
Obter controle de ATA e o status de GMirror Coleta resultados do sistema e invocaum script quando recebe um evento quecorresponde a um eventidpredeterminado
Coletar dados do cluster Coleta e faz upload das informaccedilotildeessobre as operaccedilotildees e a configuraccedilatildeogeral do cluster
Exibir eventos de cluster Obteacutem o resultado de eventos criacuteticosexistentes e faz upload das informaccedilotildees
Obter o status do cluster Coleta e faz upload dos detalhes dostatus do cluster
Obter informaccedilotildees de contato Extrai informaccedilotildees de contato e fazupload de um arquivo de texto com asinformaccedilotildees
Obter conteuacutedo (varcrash) Faz upload do conteuacutedo de varcrash
Obter status do trabalho Coleta e faz upload dos detalhes sobreum trabalho que estaacute sendo monitorado
Obter dados do domiacutenio Coleta e faz upload das informaccedilotildeessobre a associaccedilatildeo do domiacutenio do ADS(Active Directory Services) do cluster
Obter dados do file system Coleta e faz upload das informaccedilotildeessobre o estado e a integridade do filesystem ifs do OneFS
Obter dados da IB Coleta e faz upload das informaccedilotildeessobre a configuraccedilatildeo e a operaccedilatildeo darede de back-end InfiniBand
Obter dados de registros Coleta e faz upload apenas dasinformaccedilotildees de registro mais recentesdo cluster
Obter mensagens Coleta e faz upload dearquivosvarlogmessages ativos
Administraccedilatildeo geral de cluster
Scripts de suporte remoto 109
Tabela 5 Scripts de informaccedilotildees do cluster (continuaccedilatildeo)
Accedilatildeo Descriccedilatildeo
Obter dados de rede Coleta e faz upload das informaccedilotildeessobre as definiccedilotildees de configuraccedilatildeo e asoperaccedilotildees da rede especiacutefica dos noacutes ede todo o cluster
Obter clients NFS Executa um comando para verificar seos noacutes estatildeo sendo usados como clientsNFS
Obter dados de noacutes Coleta e faz upload das informaccedilotildeessobre configuraccedilatildeo status einformaccedilotildees operacionais especiacuteficasdos noacutes
Obter dados de protocolo Coleta e faz upload das informaccedilotildees destatus da rede e as definiccedilotildees deconfiguraccedilatildeo dos protocolos NFS SMBHDFS FTP e HTTP
Obter estatiacutesticas de client Pcap Coleta e faz upload de estatiacutesticas doclient
Obter status somente leitura Avisa se o chassi estaacute aberto e fazupload de um arquivo de texto com asinformaccedilotildees do evento
Obter dados de uso Coleta e faz upload das informaccedilotildeesatuais e histoacutericas sobre o desempenhoe a utilizaccedilatildeo de recursos do noacute
Ativar e configurar o suporte ao ESRSVocecirc pode ativar o suporte ao ESRS (EMC Secure Remote Services) em um clusterdo Isilon
Antes de vocecirc comeccedilar
Vocecirc deve instalar e configurar um servidor do gateway do ESRS antes de habilitar oESRS em um cluster do Isilon Os pools de endereccedilos IP que gerenciaratildeo as conexotildeesde gateway jaacute devem existir no sistema e devem pertencer a uma sub-rede dogroupnet0 que eacute o groupnet padratildeo do sistema O ESRS para OneFS 81 e versotildeesposteriores daacute suporte ao ESRS Gateway Server versatildeo 3x Virtual Edition
Obs
Ignore este procedimento se estiver executando o IsilonSD Edge
Se o ESRS jaacute estiver habilitado em seu cluster ele continuaraacute sendo executadoconforme configurado Continue usando o comando isi remotesupportconnectemc --view para a configuraccedilatildeo existente do ESRS Para obter os novosrecursos e a funcionalidade expandida disponiacuteveis no ESRS para OneFS 81 vocecirctambeacutem deveraacute fazer upgrade para o ESRS Gateway Server 3x
Obs o ESRS Virtual Edition natildeo daacute suporte ao software de instalaccedilatildeo que ainda natildeoesteja incluso no dispositivo Embora o cliente tenha acesso completo ao dispositivo o
Administraccedilatildeo geral de cluster
110 OneFS 810 Guia de Administraccedilatildeo da CLI
carregamento de software adicional ou a atualizaccedilatildeo do software jaacute instalado poderaacuteexigir reimplementaccedilatildeo
Procedimento
l Execute o comando isi esrs modify para habilitar e modificar a configuraccedilatildeodo ESRS no OneFS 81 e versotildees posteriores
isi esrs modify --enabled=true --primary-esrs-gateway=ltgateway server namegt --gateway-access-pool=subnet0pool0 --username ltusernamegt --password ltpasswordgt
Obs
Se uma licenccedila assinada natildeo estiver configurada no cluster a seguinte mensagemseraacute exibidaVerify that the cluster is properly licensed
Licensing oferece detalhes completos sobre como ativar uma chave de licenccedilaassinada
Desativar o suporte ao ESRSVocecirc pode desativar o suporte ao ESRS (EMC Secure Remote Services) no cluster doIsilon
Ignore este procedimento se estiver executando o IsilonSD Edge
Procedimento
l Desabilite o ESRS em um cluster do Isilon OneFS 81 e versotildees posterioresexecutando o seguinte comando
isi esrs modify --disable
Exibir configuraccedilotildees do ESRSVocecirc pode exibir as configuraccedilotildees do ESRS (EMC Secure Remote Services)especificadas em um cluster do EMC Isilon
Ignore este procedimento se estiver executando o IsilonSD Edge
Procedimento
l Execute o comando isi remotesupport connectemc view para a versatildeo 2do ESRS no OneFS 80x e versotildees anteriores
O sistema exibe resultados semelhantes aos do seguinte exemplo
Enabled yes Primary Esrs Gateway 1985110012 Secondary Esrs Gateway 1985110014 Use SMTP Failover yesEmail Customer On Failure no Gateway Access Pools subnet0pool2 subnet3pool1
Administraccedilatildeo geral de cluster
Desativar o suporte ao ESRS 111
l Execute o comando isi esrs modify --view para a versatildeo 3 do ESRS noOneFS 81 e versotildees posteriores
Administraccedilatildeo geral de cluster
112 OneFS 810 Guia de Administraccedilatildeo da CLI
CAPIacuteTULO 5
Zonas de acesso
Esta seccedilatildeo conteacutem os seguintes toacutepicos
l Visatildeo geral das zonas de acesso 114l Diretrizes de diretoacuterios base 114l Praacuteticas recomendadas para zonas de acesso 115l Zonas de acesso de um cluster secundaacuterio do SyncIQ116l Limites de zona de acesso 116l Qualidade de serviccedilo117l Gerenciando zonas de acesso118
Zonas de acesso 113
Visatildeo geral das zonas de acessoEmbora a exibiccedilatildeo padratildeo de um cluster EMC Isilon seja a de uma maacutequina fiacutesica vocecircpode dividir um cluster em vaacuterios contecircineres virtuais denominados zonas de acessoAs zonas de acesso permitem que vocecirc isole dados e controle quem pode acessardados em cada zona
As zonas de acesso datildeo suporte agraves definiccedilotildees de configuraccedilatildeo de serviccedilos deautenticaccedilatildeo e gerenciamento de identidade em um cluster para que vocecirc possaconfigurar provedores de autenticaccedilatildeo e fazer o provisionamento de diretoacuterios deprotocolos como compartilhamentos de SMB e exportaccedilotildees NFS com base em zonasAo criar uma zona de acesso um provedor local seraacute criado automaticamente Elepermitiraacute configurar cada zona de acesso com uma lista de usuaacuterios e grupos locaisVocecirc tambeacutem pode efetuar a autenticaccedilatildeo por meio de um provedor diferente deautenticaccedilatildeo em cada zona de acesso
Para controlar o acesso aos dados vocecirc associa a zona de acesso a um groupnet queeacute recipiente de sistema de rede de niacutevel superior que gerencia as configuraccedilotildees deconexatildeo de client DNS e conteacutem as sub-redes e pools de endereccedilos IP Quando vocecirccria uma zona de acesso deve especificar um groupnet Se um groupnet natildeo forespecificado a zona de acesso faraacute referecircncia ao groupnet padratildeo Vaacuterias zonas deacesso podem fazer referecircncia a um soacute groupnet Vocecirc pode direcionar as conexotildeesde entrada para a zona de acesso por meio de um pool especiacutefico de endereccedilos IP dogroupnet Associar uma zona de acesso a um pool de endereccedilos IP restringe aautenticaccedilatildeo agrave zona de acesso associada e reduz o nuacutemero de compartilhamentosSMB e exportaccedilotildees NFS disponiacuteveis e acessiacuteveis
Outra vantagem das vaacuterias zonas de acesso eacute a capacidade de configurar o acesso deprotocolo de auditoria para zonas de acesso individuais Vocecirc pode modificar a listapadratildeo de eventos de auditoria de protocolo bem-sucedidos e com falha e emseguida gerar relatoacuterios com uma ferramenta de terceiros para uma zona de acessoindividual
Um cluster inclui uma zona de acesso integrada chamada sistema na qual satildeogerenciados todos os aspectos de um cluster e de outras zonas de acesso Por padratildeotodos os endereccedilos IP do cluster se conectam agrave zona do sistema O acesso baseadoem funccedilotildees que permite principalmente accedilotildees de configuraccedilatildeo estaacute disponiacutevelsomente pela zona do sistema Todos os administradores inclusive os que tecircmprivileacutegios por uma funccedilatildeo devem se conectar agrave zona do sistema para configurar umcluster A zona sistema eacute configurada automaticamente para fazer referecircncia aogroupnet padratildeo do cluster que eacute groupnet0
O gerenciamento de computaccedilatildeo de uma zona de acesso que natildeo seja do sistema natildeoeacute permitido por meio de SSH (Secure Shell Protocol) da API do OneFS nem dainterface Web de administraccedilatildeo No entanto vocecirc pode criar e excluircompartilhamentos SMB em uma zona de acesso por meio do MMC (MicrosoftManagement Console)
Diretrizes de diretoacuterios baseUm diretoacuterio base define a aacutervore de file system que seraacute exposta por uma zona deacesso A zona de acesso natildeo pode conceder acesso a todos os arquivos fora dodiretoacuterio base Vocecirc deve atribuir um diretoacuterio base para cada zona de acesso
Os diretoacuterios base restringem as opccedilotildees de caminhos de vaacuterios recursos comocompartilhamentos de SMB exportaccedilotildees NFS diretoacuterio raiz do HDFS e o modelo do
Zonas de acesso
114 OneFS 810 Guia de Administraccedilatildeo da CLI
diretoacuterio de usuaacuterio do provedor local O diretoacuterio base da zona de acesso do sistemapadratildeo eacute ifs e natildeo pode ser modificado
Para obter isolamento de dados dentro de uma zona de acesso a EMC recomenda acriaccedilatildeo de um caminho exclusivo de diretoacuterio base que natildeo seja idecircntico a outrodiretoacuterio base nem se sobreponha a ele com exceccedilatildeo da zona de acesso do sistemaPor exemplo natildeo especifique ifsdatahr como o diretoacuterio base para as zonas deacesso zone2 e zone3 ou se ifsdatahr for atribuiacutedo agrave zone2 natildeoatribua ifsdatahrpersonnel agrave zone3
O OneFS daacute suporte agrave sobreposiccedilatildeo de dados entre zonas de acesso para os casos emque seus workflows exigem dados compartilhados no entanto isso aumenta acomplexidade da configuraccedilatildeo de zona de acesso o que pode causar problemasfuturos com o acesso do client Para obter melhores resultados da sobreposiccedilatildeo dedados entre as zonas de acesso a EMC recomenda que as zonas de acesso tambeacutemcompartilhem os mesmos provedores de autenticaccedilatildeo Os provedores compartilhadosgarantem que os usuaacuterios teratildeo informaccedilotildees de identidade consistentes ao acessar osmesmos dados por meio de zonas de acesso diferentes
Se vocecirc natildeo puder configurar os mesmos provedores de autenticaccedilatildeo para zonas deacesso com dados compartilhados a EMC recomenda as seguintes praacuteticasrecomendadas
l Selecione o Active Directory como o provedor de autenticaccedilatildeo em cada zona deacesso Isso faz com que arquivos armazenem identificadores de seguranccedilaglobalmente exclusivos como a identidade em disco eliminando a chance deusuaacuterios de diferentes zonas terem acesso a dados uns do outros
l Evite selecionar local LDAP e NIS como os provedores de autenticaccedilatildeo das zonasde acesso Esses provedores de autenticaccedilatildeo usam IDs exclusivos e IDs de grupoque natildeo podem ser garantidos como globalmente exclusivos Isso resulta em umaalta probabilidade de que os usuaacuterios de diferentes zonas possam acessar dadosuns dos outros
l Defina a identidade em disco para nativa ou preferencialmente para identificadorde seguranccedila Quando existirem mapeamentos de usuaacuterio entre os usuaacuterios doActive Directory e do UNIX ou se a opccedilatildeo Services for Unix estiver habilitadapara o provedor do Active Directory o OneFS armazenaraacute identificadores deseguranccedila como a identidade em disco em vez de IDs exclusivos
Praacuteticas recomendadas para zonas de acessoAo seguir as diretrizes de praacuteticas recomendadas vocecirc pode evitar problemas deconfiguraccedilatildeo no cluster do EMC Isilon ao criar zonas de acesso
Praacutetica recomendada Detalhes
Criar diretoacuterios base exclusivos Para obter o isolamento de dados o caminhodo diretoacuterio base de cada zona de acesso deveser exclusivo e natildeo deve se sobrepor ou seraninhado no diretoacuterio base de outra zona deacesso A sobreposiccedilatildeo eacute permitida mas soacutedeveraacute ser usada se seus workflows exigiremdados compartilhados
Separar a funccedilatildeo da zona do sistema deoutras zonas de acesso
Reserve a zona do sistema para o acesso deconfiguraccedilatildeo e crie zonas adicionais paraacesso aos dados Mova os dados atuais para
Zonas de acesso
Praacuteticas recomendadas para zonas de acesso 115
Praacutetica recomendada Detalhes
fora da zona do sistema e para uma nova zonade acesso
Criar zonas de acesso para isolar o acesso aosdados para os diferentes clients ou usuaacuterios
Natildeo crie zonas de acesso se um workflowexigir o compartilhamento de dados entrediferentes classes de clients ou usuaacuterios
Atribuir somente um provedor deautenticaccedilatildeo de cada tipo para cada zona deacesso
Uma zona de acesso eacute limitada a um soacuteprovedor do Active Directory no entanto oOneFS permite vaacuterios provedores deautenticaccedilatildeo LDAP NIS de file em cada zonade acesso Recomenda-se que vocecirc atribuaapenas um tipo de cada provedor por zona deacesso para simplificar a administraccedilatildeo
Evitar a sobreposiccedilatildeo dos intervalos de UID(Unique Identifier ID exclusivo) ou GID(Group Identifier ID de grupo) paraprovedores de autenticaccedilatildeo na mesma zonade acesso
O potencial de conflitos nas zonas de acesso eacutepequeno mas possiacutevel se houver IDsexclusivosIDs de grupo sobrepostos namesma zona de acesso
Zonas de acesso de um cluster secundaacuterio do SyncIQCom algumas limitaccedilotildees eacute possiacutevel criar zonas de acesso em um cluster secundaacuterio doSyncIQ usado para backup e recuperaccedilatildeo de desastres
Se vocecirc tiver uma licenccedila ativa do SyncIQ poderaacute manter um cluster secundaacuterio doIsilon para fins de backup e failover caso seu servidor primaacuterio fique off-line Quandovocecirc executa um trabalho de replicaccedilatildeo no servidor primaacuterio os file data satildeoreplicados para o servidor de backup inclusive os caminhos de diretoacuterios e outrosmetadados associados a esses arquivos
No entanto as definiccedilotildees de configuraccedilatildeo do sistema como zonas de acesso natildeo satildeoreplicadas para o servidor secundaacuterio Em um cenaacuterio de failover vocecirc provavelmenteprecisaria que as definiccedilotildees de configuraccedilatildeo dos clusters principal e secundaacuteriofossem semelhantes se natildeo idecircnticas
Na maioria dos casos inclusive com zonas de acesso recomendamos que vocecirc definaas configuraccedilotildees do sistema antes de executar um trabalho de replicaccedilatildeo do SyncIQO motivo para isso eacute que um trabalho de replicaccedilatildeo coloca os diretoacuterios de destino emmodo somente leitura Se vocecirc tentar criar uma zona de acesso quando o diretoacuteriobase jaacute estiver em modo somente leitura o OneFS impediraacute isso e geraraacute umamensagem de erro
Limites de zona de acessoVocecirc pode seguir as diretrizes de limites de zona de acesso para ajudar a dimensionaras cargas de trabalho no sistema do OneFS
Se vocecirc configurar vaacuterias zonas de acesso em um cluster do EMC Isilon as diretrizesde limite seratildeo recomendadas para obter o melhor desempenho do sistema Os limitesdescritos em Guia de Especificaccedilotildees Teacutecnicas do EMC Isilon OneFS 800 e doIsilonSD Edge satildeo recomendados para workflows corporativos intensos em um clustertratando cada zona de acesso como uma maacutequina fiacutesica separada
Zonas de acesso
116 OneFS 810 Guia de Administraccedilatildeo da CLI
Qualidade de serviccediloVocecirc pode definir limites superiores da qualidade de serviccedilo atribuindo recursos fiacutesicosespeciacuteficos a cada zona de acesso
A qualidade de serviccedilo aborda as caracteriacutesticas fiacutesicas do desempenho de hardwareque podem ser medidas melhoradas e agraves vezes garantidas As caracteriacutesticasmedidas para a qualidade de serviccedilo incluem sem limitaccedilotildees as taxas de throughputa utilizaccedilatildeo da CPU e a capacidade do disco Ao compartilhar o hardware fiacutesico em umcluster do EMC Isilon em vaacuterias instacircncias virtuais haveraacute concorrecircncia para osseguintes serviccedilos
l CPU
l Memoacuteria
l Largura de banda da rede
l IO de disco
l Capacidade do disco
As zonas de acesso natildeo oferecem garantias loacutegicas de qualidade de serviccedilo a essesrecursos mas vocecirc pode particionaacute-los entre as zonas de acesso em um soacute cluster Aseguinte tabela descreve algumas maneiras de particionar os recursos para melhorar aqualidade de serviccedilo
Uso Observaccedilotildees
NICs Vocecirc pode atribuir NICs (Network InterfaceCards placas de interface da rede)especiacuteficas em noacutes especiacuteficos a um pool deendereccedilos IP que esteja associado a uma zonade acesso Ao atribuir essas NICs vocecirc podedeterminar os noacutes e as interfaces que satildeoassociados a uma zona de acesso Issopermite a separaccedilatildeo da CPU da memoacuteria e dalargura de banda da redeSe vocecirc estiver executando o IsilonSD Edge ogrupo de portas gerencia as NICs dos noacutes doIsilonSD Para obter mais informaccedilotildees sobre aconfiguraccedilatildeo de grupos de portas consulte oGuia de Instalaccedilatildeo e Administraccedilatildeo do IsilonSDEdge
SmartPools Os SmartPools satildeo separados por classes deequivalecircncia de hardware dos noacutes geralmenteem vaacuterios niacuteveis de desempenho alto meacutedio ebaixo Os dados gravados em um SmartPoolsatildeo gravados apenas nos discos dos noacutes dessepoolA associaccedilatildeo de um pool de endereccedilos IPsomente aos noacutes de um soacute SmartPool permiteo particionamento dos recursos de IO dedisco
SmartQuotas Com o SmartQuotas vocecirc pode limitar acapacidade do disco a um usuaacuterio ou umgrupo ou em um diretoacuterio Ao aplicar uma cota
Zonas de acesso
Qualidade de serviccedilo 117
Uso Observaccedilotildees
ao diretoacuterio base de uma zona de acesso vocecircpode limitar a capacidade do disco utilizadanessa zona de acesso
Gerenciando zonas de acessoVocecirc pode criar zonas de acesso no cluster do EMC Isilon exibir e modificar asconfiguraccedilotildees de zona de acesso e excluir as zonas de acesso
Criar uma zona de acessoVocecirc pode criar uma zona de acesso para isolar dados e restringir quais usuaacuteriospodem acessar os dados
Procedimento
1 Execute o comando isi zone zones create
O comando a seguir cria uma zona de acesso chamada zone3 e configura odiretoacuterio base como ifshrdata
isi zone zones create zone3 ifshrdata
O comando a seguir cria uma zona de acesso chamada zone3 configura odiretoacuterio base como ifshrdata e cria o diretoacuterio no cluster do EMC Isiloncaso ele ainda natildeo exista
isi zone zones create zone3 ifshrdata --create-path
O comando a seguir cria uma zona de acesso chamada zone3 configura odiretoacuterio base como ifshrdata e associa a zona de acesso ao groupnet2
isi zone zones create zone3 ifshrdata --groupnet=groupnet2
Atribuir um diretoacuterio base sobrepostoVocecirc pode criar diretoacuterios base sobrepostos entre zonas de acesso para os casos emque seus workflows exigirem dados compartilhados
Procedimento
1 Execute o comando isi zone zones create
O seguinte comando cria uma zona de acesso chamada zone5 e configura odiretoacuterio base como ifshrdata mesmo que o mesmo diretoacuterio base tenhasido configurado para a zone3
isi zone zones create zone5 --path=ifshrdata --force-overlap
Zonas de acesso
118 OneFS 810 Guia de Administraccedilatildeo da CLI
Gerenciar provedores de autenticaccedilatildeo de uma zona de acessoVocecirc pode modificar uma zona de acesso para adicionar e remover provedores deautenticaccedilatildeo Quando vocecirc adiciona um provedor de autenticaccedilatildeo ele deve pertencerao mesmo groupnet referido pela zona de acesso Quando vocecirc remove um provedorde autenticaccedilatildeo de uma zona de acesso o provedor natildeo eacute removido do sistema epermanece disponiacutevel para uso no futuro
A ordem na qual os provedores de autenticaccedilatildeo satildeo adicionados agrave zona de acessodesigna a ordem na qual os provedores satildeo pesquisados durante a autenticaccedilatildeo e apesquisa de usuaacuterioProcedimento
1 Para adicionar um provedor de autenticaccedilatildeo execute o comando isi zonezones modify com a opccedilatildeo --add-auth-providers
Vocecirc deve especificar o nome do provedor de autenticaccedilatildeo no seguinteformato ltprovider-typegtltprovider-namegt
O comando a seguir adiciona um provedor de autenticaccedilatildeo de arquivos chamadoHR-Users agrave zona de acesso zone3
isi zone zones modify zone3 --add-auth-providers=filehr-users
2 Para remover um provedor de autenticaccedilatildeo execute o comando isi zonezones modify com a opccedilatildeo --remove-auth-providers
Vocecirc deve especificar o nome do provedor de autenticaccedilatildeo no seguinteformato ltprovider-typegtltprovider-namegt
O comando a seguir remove o provedor de autenticaccedilatildeo de arquivos chamadoHR-Users da zona de acesso zone3
isi zone zones modify zone3 --remove-auth-providers=filehr-users
O comando a seguir remove todos os provedores de autenticaccedilatildeo da zona deacesso zone3
isi zone zones modify zone3 --clear-auth-providers
Associar um pool de endereccedilos IP a uma zona de acessoVocecirc pode associar um pool de endereccedilos IP a uma zona de acesso para garantir queos clients somente possam se conectar agrave zona de acesso por meio do intervalo deendereccedilos IP atribuiacutedo ao pool
Antes de vocecirc comeccedilarO pool de endereccedilos IP deve pertencer ao mesmo groupnet mencionado pela zona deacessoProcedimento
1 Execute o comando isi network pools modify
Especifique o ID do pool que vocecirc deseja modificar no seguinte formato
ltgroupnet_namegtltsubnet_namegtltpool_namegt
Zonas de acesso
Gerenciar provedores de autenticaccedilatildeo de uma zona de acesso 119
O comando a seguir associa a zone3 ao pool1 que estaacute dentro do groupnet1 e dosubnet1
isi network pools modify groupnet1subnet1pool1 --access-zone=zone3
Modificar uma zona de acessoVocecirc pode modificar as propriedades de qualquer zona de acesso exceto o nome dazona integrada System
Procedimento
1 Execute o comando isi zone zones modify
O seguinte comando renomeia a zona de acesso zone3 para zone5 e removetodos os provedores atuais de autenticaccedilatildeo de zona de acesso
isi zone zones modify zone3 --name=zone5 --clear-auth-providers
Excluir uma zona de acessoVocecirc pode excluir todas as zonas de acesso exceto a zona integrada System Se vocecircexcluir uma zona de acesso todos os provedores de autenticaccedilatildeo associadospermaneceratildeo disponiacuteveis para outras zonas mas os endereccedilos IP natildeo seratildeoreatribuiacutedos a outras zonas de acesso Os compartilhamentos SMB as exportaccedilotildeesNFS e os caminhos de dados de HDFS satildeo excluiacutedos quando vocecirc exclui uma zona deacesso Entretanto os diretoacuterios e os dados ainda existem e vocecirc pode mapearcompartilhamentos exportaccedilotildees ou caminhos novos em outra zona de acesso
Procedimento
1 Execute o comando isi zone zones delete
O seguinte comando exclui a zona de acesso zone3
isi zone zones delete zone3
Exibir uma lista de zonas de acessoVocecirc pode exibir uma lista com todas as zonas de acesso no cluster do EMC Isilon ouexibir detalhes de uma zona de acesso especiacutefica
Procedimento
1 Para exibir uma lista de todas as zonas de acesso do cluster execute ocomando isi zone zones list
O sistema exibe resultados semelhantes aos do seguinte exemplo
Name Path------------------------System ifszone3 ifshrbenefitszone5 ifsmarketingcollateral------------------------
Zonas de acesso
120 OneFS 810 Guia de Administraccedilatildeo da CLI
2 Para exibir os detalhes de uma zona de acesso especiacutefica execute o comandoisi zone zones view e especifique o nome da zona
O comando a seguir exibe os detalhes da configuraccedilatildeo da zone5
isi zone zones view zone5
O sistema exibe resultados semelhantes aos do seguinte exemplo
Name zone5 Path ifsmarketingcollateral Groupnet groupnet0 Map Untrusted - Auth Providers lsa-local-providerzone5 NetBIOS Name - User Mapping Rules -Home Directory Umask 0077 Skeleton Directory usrshareskel Cache Entry Expiry 4H Zone ID 3
Zonas de acesso
Exibir uma lista de zonas de acesso 121
Zonas de acesso
122 OneFS 810 Guia de Administraccedilatildeo da CLI
CAPIacuteTULO 6
Autenticaccedilatildeo
Esta seccedilatildeo conteacutem os seguintes toacutepicos
l Visatildeo geral da autenticaccedilatildeo 124l Recursos dos provedores de autenticaccedilatildeo124l Visatildeo geral do histoacuterico do identificador de seguranccedila124l Meacutetodos compatiacuteveis de autenticaccedilatildeo125l Active Directory125l LDAP 126l NIS127l Autenticaccedilatildeo Kerberos127l Provedor de arquivos129l Provedor local129l Gerenciando provedores do Active Directory129l Gerenciando provedores de LDAP 131l Gerenciando provedores de NIS 132l Gerenciando autenticaccedilatildeo do MIT Kerberos 133l Gerenciando provedores de arquivos 143l Gerenciando usuaacuterios e grupos locais147
Autenticaccedilatildeo 123
Visatildeo geral da autenticaccedilatildeoO OneFS daacute suporte a provedores locais e remotos de autenticaccedilatildeo para verificar seos usuaacuterios que tentam acessar um cluster do EMC Isilon satildeo quem eles dizem ser Oacesso anocircnimo que natildeo exige autenticaccedilatildeo eacute compatiacutevel com os protocolos que opermitem
O OneFS daacute suporte a vaacuterios tipos simultacircneos de provedores de autenticaccedilatildeo quesatildeo anaacutelogos aos serviccedilos de diretoacuterio Por exemplo muitas vezes o OneFS eacuteconfigurado para autenticar os clients do Windows com o Active Directory e paraautenticar os clients do UNIX com o LDAP Vocecirc tambeacutem pode configurar o NISdesenvolvido pela Sun Microsystems para autenticar usuaacuterios e grupos quando elesacessam um cluster
Obs
O OneFS estaacute em conformidade com RFC 2307
Recursos dos provedores de autenticaccedilatildeoVocecirc pode configurar provedores de autenticaccedilatildeo para seu ambiente
Os provedores de autenticaccedilatildeo datildeo suporte a uma combinaccedilatildeo dos recursos descritosna tabela a seguir
Recurso Descriccedilatildeo
Autenticaccedilatildeo Todos os provedores de autenticaccedilatildeo datildeosuporte agrave autenticaccedilatildeo de texto natildeocriptografado Vocecirc tambeacutem pode configuraralguns provedores para dar suporte agraveautenticaccedilatildeo NTLM ou Kerberos
Usuaacuterios e grupos O OneFS oferece a capacidade de gerenciarusuaacuterios e grupos diretamente no cluster
Grupos de rede Especiacutefico para NFS os grupos de rederestringem o acesso agraves exportaccedilotildees NFS
Propriedades de usuaacuterios e grupos centradasem UNIX
Shell de log-in diretoacuterio de usuaacuterio IDexclusivo e ID de grupo As informaccedilotildeesausentes satildeo complementadas pelos modelosde configuraccedilatildeo ou por provedores deautenticaccedilatildeo adicionais
Propriedades de usuaacuterios e grupos centradasem Windows
Identificador de seguranccedila e domiacutenio NetBIOS(Network Basic InputOutput System) Asinformaccedilotildees ausentes satildeo complementadaspelos modelos de configuraccedilatildeo
Visatildeo geral do histoacuterico do identificador de seguranccedilaO histoacuterico do SID (Security Identifier identificador de seguranccedila) preserva os direitosde acesso e associaccedilatildeo dos usuaacuterios e grupos durante uma migraccedilatildeo de domiacutenio doActive Directory
Autenticaccedilatildeo
124 OneFS 810 Guia de Administraccedilatildeo da CLI
O histoacuterico do SID (Security Identifier identificador de seguranccedila) preserva os direitosde acesso e associaccedilatildeo dos usuaacuterios e grupos durante uma migraccedilatildeo de domiacutenio doActive Directory Quando um objeto eacute movido para um novo domiacutenio o novo domiacuteniogera um novo SID com um prefixo exclusivo e registra as informaccedilotildees do SID anteriorem um campo do LDAP (Lightweight Directory Access Protocol) Esse processogarante que no novo domiacutenio os usuaacuterios e grupos detenham os mesmos direitos deacesso e privileacutegios que tinham no domiacutenio anterior
Ao trabalhar com SIDs histoacutericos observe as condiccedilotildees a seguir
l Use SIDs histoacutericos somente para manter o acesso aos arquivos histoacutericos e osprivileacutegios de autenticaccedilatildeo
l Natildeo use SIDs histoacutericos para adicionar novos usuaacuterios grupos ou funccedilotildees
l Sempre use o SID do objeto atual conforme definido pelo domiacutenio para modificarum usuaacuterio ou para adicionar um usuaacuterio a qualquer funccedilatildeo ou grupo
Meacutetodos compatiacuteveis de autenticaccedilatildeoVocecirc pode configurar provedores locais e remotos de autenticaccedilatildeo para autenticar ounegar o acesso de usuaacuterio a um cluster do EMC Isilon
A tabela a seguir compara os recursos que estatildeo disponiacuteveis em cada um dosprovedores de autenticaccedilatildeo compatiacuteveis com o OneFS Na tabela um x indica que orecurso eacute totalmente compatiacutevel com um provedor um asterisco () indica que eacutenecessaacuteria a configuraccedilatildeo ou o suporte adicional de outro provedor
Provedordeautenticaccedilatildeo
NTLM Kerberos Gerenciamento deusuaacuteriosgrupos
Gruposde rede
Propriedades doUNIX(RFC2307)
Propriedades doWindows
ActiveDirectory
x x x
LDAP x x x
NIS x x
Local x x x x
File x x x
MITKerberos
x
Active DirectoryO Active Directory eacute uma implementaccedilatildeo pela Microsoft das tecnologias LDAP(Lightweight Directory Access Protocol) Kerberos e DNS que pode armazenarinformaccedilotildees sobre os recursos de rede O Active Directory pode atender a muitasfunccedilotildees mas a principal razatildeo para associar o cluster a um domiacutenio do AD eacute realizar aautenticaccedilatildeo de usuaacuterios e de grupos
Vocecirc pode associar o cluster do EMC Isilon a um domiacutenio do AD (Active Directory)especificando o nome do domiacutenio completo que pode ser resolvido a um endereccediloIPv4 ou IPv6 e um nome de usuaacuterio com permissatildeo de associaccedilatildeo Quando o clusterse associa a um domiacutenio do AD uma soacute conta de maacutequina do AD eacute criada A conta de
Autenticaccedilatildeo
Meacutetodos compatiacuteveis de autenticaccedilatildeo 125
maacutequina estabelece um relacionamento de confianccedila com o domiacutenio e permite que ocluster autentique e autorize usuaacuterios na floresta do Active Directory De modopadratildeo a conta de maacutequina tem o mesmo nome que o cluster Se o nome do clustertiver mais de 15 caracteres o nome receberaacute a aplicaccedilatildeo de hash e eacute exibido depois dese associar ao domiacutenio
O OneFS daacute suporte a NTLM e Microsoft Kerberos para autenticaccedilatildeo dos usuaacuterios dodomiacutenio do Active Directory As credenciais de client do NTLM satildeo obtidas doprocesso de log-in e depois apresentadas em formato criptografado de desafioresposta para autenticaccedilatildeo As credenciais de client do Microsoft Kerberos satildeoobtidas de um KDC (Key Distribution Center) e depois apresentadas ao estabelecerconexotildees de servidor Para obter mais seguranccedila e desempenho recomendamos quevocecirc implemente o Kerberos de acordo com as diretrizes da Microsoft como oprincipal protocolo de autenticaccedilatildeo do Active Directory
Cada provedor do Active Directory deve ser associado um groupnet O groupnet eacute umrecipiente de sistema de rede de niacutevel superior que gerencia a resoluccedilatildeo de nome dehost em relaccedilatildeo aos nameservers DNS e conteacutem as sub-redes e pools de endereccedilosIP O groupnet especifica quais propriedades de sistema de rede o provedor do ActiveDirectory usaraacute ao se comunicar com servidores externos O groupnet associado aoprovedor do Active Directory natildeo pode ser alterado Em vez disso vocecirc deve excluir oprovedor do Active Directory e criaacute-lo novamente com a nova associaccedilatildeo de groupnet
Vocecirc pode adicionar um provedor do Active Directory a uma zona de acesso como ummeacutetodo de autenticaccedilatildeo para os clients que se conectam por meio da zona de acessoO OneFS daacute suporte a vaacuterias instacircncias do Active Directory em um cluster do Isilon noentanto somente eacute possiacutevel atribuir um provedor do Active Directory por zona deacesso A zona de acesso e o provedor do Active Directory devem fazer referecircncia aomesmo groupnet Configure vaacuterias instacircncias do Active Directory para concederacesso aos vaacuterios conjuntos de domiacutenios mutuamente natildeo confiaacuteveis Caso contraacuterioconfigure uma soacute instacircncia do Active Directory se todos os domiacutenios tiverem umrelacionamento de confianccedila Vocecirc tambeacutem pode interromper a autenticaccedilatildeo por meiode um provedor do Active Directory removendo-o de todas as zonas de acessoassociadas
LDAPO LDAP (Lightweight Directory Access Protocol) eacute um protocolo de sistema de redeque permite que vocecirc defina consulte e modifique os serviccedilos e recursos de diretoacuterio
O OneFS pode autenticar usuaacuterios e grupos em um repositoacuterio do LDAP paraconceder-lhes acesso ao cluster O OneFS daacute suporte agrave autenticaccedilatildeo Kerberos paraum provedor LDAP
O serviccedilo LDAP daacute suporte aos seguintes recursos
l Usuaacuterios grupos e grupos de rede
l Esquemas LDAP configuraacuteveis Por exemplo o esquema ldapsam permite aautenticaccedilatildeo de NTLM via protocolo SMB para usuaacuterios com atributossemelhantes aos do Windows
l Autenticaccedilatildeo bind simples com e sem TLS
l Redundacircncia e balanceamento de carga nos servidores com dados idecircnticos dediretoacuterio
l Vaacuterias instacircncias de provedores de LDAP para acesso aos servidores com dados deusuaacuterios diferentes
l Senhas criptografadas
Autenticaccedilatildeo
126 OneFS 810 Guia de Administraccedilatildeo da CLI
l URIs de servidor IPv4 e IPv6
Cada provedor LDAP deve ser associado a um groupnet O groupnet eacute um recipientede sistema de rede de niacutevel superior que gerencia a resoluccedilatildeo de nome de host emrelaccedilatildeo aos nameservers DNS e conteacutem as sub-redes e pools de endereccedilos IP Ogroupnet especifica quais propriedades de sistema de rede o provedor de LDAP usaraacuteao se comunicar com servidores externos O groupnet associado ao provedor LDAPnatildeo pode ser alterado Em vez disso vocecirc deve excluir o provedor LDAP e criaacute-lonovamente com a nova associaccedilatildeo de groupnet
Vocecirc pode adicionar um provedor de LDAP a uma zona de acesso como um meacutetodo deautenticaccedilatildeo para clients que se conectam por meio da zona de acesso Uma zona deacesso pode conter no maacuteximo um provedor LDAP A zona de acesso e o provedorLDAP devem fazer referecircncia ao mesmo groupnet Vocecirc pode interromper aautenticaccedilatildeo por meio de um provedor LDAP removendo o provedor das zonas deacesso associadas
NISO NIS (Network Information Service serviccedilo de informaccedilatildeo da rede) ofereceuniformidade da autenticaccedilatildeo e das identidades nas LANs (Local Area Networks) OOneFS inclui um provedor de autenticaccedilatildeo NIS que permite que vocecirc integre o clustera sua infraestrutura de NIS
O NIS desenvolvido pela Sun Microsystems pode autenticar usuaacuterios e gruposquando eles acessam o cluster O provedor de NIS expotildee os mapeamentos de senhade grupo e de grupo de rede de um servidor de NIS As pesquisas de nome de hosttambeacutem satildeo compatiacuteveis Vocecirc pode especificar vaacuterios servidores para redundacircncia ebalanceamento de carga
Cada provedor de NIS deve ser associado a um groupnet O groupnet eacute um recipientede sistema de rede de niacutevel superior que gerencia a resoluccedilatildeo de nome de host emrelaccedilatildeo aos nameservers DNS e conteacutem as sub-redes e pools de endereccedilos IP Ogroupnet especifica quais propriedades de sistema de rede o provedor de NIS usaraacute aose comunicar com servidores externos O groupnet associado ao provedor de NIS natildeopode ser alterado Em vez disso vocecirc deve excluir o provedor de NIS e criaacute-lonovamente com a nova associaccedilatildeo de groupnet
Vocecirc pode adicionar um provedor de NIS a uma zona de acesso como um meacutetodo deautenticaccedilatildeo para clients que se conectam por meio da zona de acesso Uma zona deacesso pode conter no maacuteximo um provedor de NIS A zona de acesso e o provedor deNIS devem fazer referecircncia ao mesmo groupnet Vocecirc pode interromper aautenticaccedilatildeo por meio de um provedor de NIS removendo o provedor das zonas deacesso associadas
Obs
O NIS eacute diferente do NIS+ ao qual o OneFS natildeo daacute suporte
Autenticaccedilatildeo KerberosO Kerberos eacute um provedor de autenticaccedilatildeo de rede que negocia tiacutequetes decriptografia para proteger uma conexatildeo O OneFS daacute suporte aos provedores deautenticaccedilatildeo Microsoft Kerberos e MIT Kerberos em um cluster do EMC Isilon Sevocecirc configurar um provedor do Active Directory o suporte agrave autenticaccedilatildeo MicrosoftKerberos seraacute oferecido automaticamente O MIT Kerberos funcionaindependentemente do Active Directory
Autenticaccedilatildeo
NIS 127
Para a autenticaccedilatildeo do MIT Kerberos defina um domiacutenio administrativo conhecidocomo realm Nesse realm um servidor de autenticaccedilatildeo tem a autoridade paraautenticar um usuaacuterio um host ou um serviccedilo o servidor pode ser resolvido paraendereccedilos IPv4 ou IPv6 Vocecirc tem a opccedilatildeo de definir um domiacutenio Kerberos parapermitir que as extensotildees adicionais de domiacutenio sejam associadas ao realm
O servidor de autenticaccedilatildeo em um ambiente Kerberos eacute chamado de KDC (KeyDistribution Center) e distribui tiacutequetes criptografados Quando um usuaacuterio eacuteautenticado com um provedor do MIT Kerberos em um realm um tiacutequetecriptografado com o SPN do usuaacuterio eacute criado e validado para aprovar com seguranccedila aidentificaccedilatildeo do usuaacuterio para o serviccedilo solicitado
Cada provedor do MIT Kerberos deve ser associado um groupnet O groupnet eacute umrecipiente de sistema de rede de niacutevel superior que gerencia a resoluccedilatildeo de nome dehost em relaccedilatildeo aos nameservers DNS e conteacutem as sub-redes e pools de endereccedilosIP O groupnet especifica quais propriedades de sistema de rede o provedor doKerberos usaraacute ao se comunicar com servidores externos O groupnet associado com oprovedor do Kerberos natildeo pode ser alterado Em vez disso vocecirc deve excluir oprovedor do Kerberos e criaacute-lo novamente com a nova associaccedilatildeo de groupnet
Vocecirc pode adicionar um provedor do Kerberos a uma zona de acesso como um meacutetodode autenticaccedilatildeo para os clients que se conectam por meio da zona de acesso Umazona de acesso pode conter no maacuteximo um provedor do MIT Kerberos A zona deacesso e o provedor do Kerberos devem fazer referecircncia ao mesmo groupnet Vocecirctambeacutem pode interromper a autenticaccedilatildeo por meio de um provedor do MIT Kerberosremovendo-o de todas as zonas de acesso associadas
Visatildeo geral de Keytabs e SPNsUm KDC (Key Distribution Center) eacute um servidor de autenticaccedilatildeo que armazenacontas e keytabs para os usuaacuterios que se conectam a um serviccedilo de rede dentro de umcluster do EMC Isilon Um keytab eacute uma tabela de chaves que armazena as chavespara validar e criptografar tiacutequetes Kerberos
Um dos campos em uma entrada de keytab eacute um SPN (Sevice Principal Name nomedo principal do serviccedilo) Um SPN identifica uma instacircncia uacutenica de serviccedilo dentro deum cluster Cada SPN eacute associado a uma chave especiacutefica no KDC Os usuaacuterios podemusar o SPN e suas principais associadas para obter os tiacutequetes Kerberos que permitemo acesso a vaacuterios serviccedilos no cluster Um membro da funccedilatildeo SecurityAdmin pode criarnovas chaves para os SPNs e modificaacute-las posteriormente conforme necessaacuterio UmSPN para um serviccedilo normalmente aparece como ltservicegtltfqdngtltrealmgt
Obs
Os SPNs devem corresponder ao nome de zona SmartConnect e o nome do hostFQDN do cluster Se as configuraccedilotildees de zona SmartConnect forem alteradas vocecircdeveraacute atualizar os SPNs no cluster para corresponder agraves mudanccedilas
Suporte a protocolo MIT KerberosO MIT Kerberos daacute suporte a determinados protocolos padratildeo de comunicaccedilatildeo derede como HTTP HDFS e NFS O MIT Kerberos natildeo daacute suporte aos protocolos SMBSSH e FTP
Para o suporte ao protocolo NFS o MIT Kerberos devem ser ativado para umaexportaccedilatildeo e tambeacutem um provedor do Kerberos deve ser incluiacutedo na zona de acesso
Autenticaccedilatildeo
128 OneFS 810 Guia de Administraccedilatildeo da CLI
Provedor de arquivosUm provedor de arquivos permite que vocecirc ofereccedila uma origem autorizada deterceiros para as informaccedilotildees sobre usuaacuterios e grupos a um cluster do EMC IsilonUma origem de terceiros eacute uacutetil nos ambientes UNIX e Linux que sincronizam osarquivos etcpasswd etcgroup e etcnetgroup nos vaacuterios servidores
Os arquivos BSD padratildeo de banco de dados etcspwddb e etcgroup servemcomo o provedor de arquivos que auxilia a aacuterea de armazenamento de um cluster Oarquivo spwddb eacute gerado executando o comando pwd_mkdb na interface de linha decomando do OneFS Vocecirc pode fazer o script das atualizaccedilotildees aos arquivos de bancode dados
Em um cluster do Isilon um provedor de arquivos faz o hash das senhas comlibcrypt Para obter a melhor seguranccedila recomendamos que vocecirc use o ModularCrypt Format no arquivo de origem etcpasswd para determinar o algoritmo dehashing O OneFS daacute suporte aos seguintes algoritmos do Modular Crypt Format
l MD5
l NT-Hash
l SHA-256
l SHA-512
Para obter informaccedilotildees sobre outros formatos disponiacuteveis de senha execute ocomando man 3 crypt na CLI para exibir as paacuteginas de manual (man pages) decriptografia
Obs
O provedor de arquivos integrado do sistema inclui serviccedilos para listar gerenciar eautenticar nas contas do sistema como root admin e nobody Recomendamos quevocecirc natildeo modifique o provedor de arquivos do sistema
Provedor localO provedor local oferece recursos de autenticaccedilatildeo e de pesquisa para as contas deusuaacuterio adicionadas por um administrador
A autenticaccedilatildeo local eacute uacutetil quando os serviccedilos de diretoacuterio do Active Directory doLDAP ou do NIS natildeo estatildeo configurados ou quando um usuaacuterio ou um aplicativoespeciacutefico precisa acessar o cluster Os grupos locais podem incluir grupos integradose grupos do Active Directory como membros
Aleacutem de configurar as origens de autenticaccedilatildeo com base na rede vocecirc pode gerenciaros usuaacuterios e os grupos locais configurando uma poliacutetica local de senha para cada noacutedo cluster As configuraccedilotildees do OneFS especificam a complexidade das senhas otempo de vida e a reutilizaccedilatildeo das senhas e as poliacuteticas de bloqueio de tentativas deentrada de senha
Gerenciando provedores do Active DirectoryVocecirc pode exibir configurar modificar e excluir os provedores do Active Directory OOneFS inclui um arquivo de configuraccedilatildeo do Kerberos para Active Directory aleacutem doarquivo de configuraccedilatildeo global do Kerberos Os dois podem ser configurados nainterface de linha de comando Vocecirc tambeacutem pode interromper a autenticaccedilatildeo via um
Autenticaccedilatildeo
Provedor de arquivos 129
provedor do Active Directory removendo-o de todas as zonas de acesso que o estatildeousando
Configurar um provedor do Active DirectoryVocecirc pode configurar um ou mais provedores do Active Directory e todos eles devemser adicionados a um domiacutenio separado do Active Directory De modo padratildeo quandovocecirc configura um provedor do Active Directory ele eacute adicionado automaticamente agravezona de acesso System
Obs
Considere as seguintes informaccedilotildees ao configurar um provedor do AD (ActiveDirectory)
l Ao ingressar no Active Directory a partir do OneFS o tempo de cluster eacuteatualizado do Active Directory Server desde que um servidor NTP natildeo tenha sidoconfigurado para o cluster
l O provedor do Active Directory deve ser associado a um groupnet
l O domiacutenio do Active Directory pode ser resolvido para um endereccedilo IPv4 ou IPv6
Procedimento
1 Execute o comando isi auth ads create para criar um provedor do ActiveDirectory especificando o nome de domiacutenio do Active Directory Server e o nomede um usuaacuterio do AD que tenha permissatildeo para associar maacutequinas ao domiacutenio doAD
O seguinte comando especifica adservercompanycom como o nome dodomiacutenio completo do Active Directory Server que seraacute criado no sistema eespecifica o administrador como o usuaacuterio do AD que tem permissatildeo paraassociar o cluster ao domiacutenio do AD e associa o provedor ao groupnet3
isi auth ads create --name=adservercompanycom --user=administrator --groupnet=groupnet3
Modificar um provedor do Active DirectoryVocecirc pode modificar as configuraccedilotildees avanccediladas de um provedor do Active Directory
Procedimento
1 Execute o comando a seguir para excluir um provedor do Active Directory ondeltnome-provedorgt eacute um espaccedilo reservado para o nome do provedor que vocecircdeseja modificar
isi auth ads modify ltprovider-namegt
Excluir um provedor do Active DirectoryAo excluir um provedor do Active Directory vocecirc desconectaraacute o cluster do domiacuteniodo Active Directory associado ao provedor interrompendo o serviccedilo para os usuaacuteriosque o acessam Depois que vocecirc sair de um domiacutenio Active Directory os usuaacuterios natildeopodem mais acessar o domiacutenio a partir do cluster
Autenticaccedilatildeo
130 OneFS 810 Guia de Administraccedilatildeo da CLI
Procedimento
1 Execute o comando a seguir para excluir um provedor de Active Directory ondeltnomegt eacute um espaccedilo reservado para o nome do Active Directory que vocecircdeseja excluir
isi auth ads delete ltnamegt
Gerenciando provedores de LDAPVocecirc pode exibir configurar modificar e excluir os provedores de LDAP Aleacutem dissotambeacutem eacute possiacutevel interromper a autenticaccedilatildeo via um provedor de LDAP removendo-ode todas as zonas de acesso que o estatildeo usando
Configurar um provedor de LDAPPor padratildeo quando vocecirc configura um provedor de LDAP ele eacute adicionadoautomaticamente agrave zona de acesso do sistema
Procedimento
1 Execute o comando isi auth ldap create para criar um provedor deLDAP
O seguinte comando cria um provedor de LDAP chamado test-ldap e associaesse provedor ao groupnet3 O comando tambeacutem configura um nome distintoda base que especifica a raiz da aacutervore na qual as identidades devem serpesquisadas e especifica ldap2001DB81707cffc001 como o URI doservidor
isi auth ldap create test-ldap --base-dn=dc=test-ldapdc=exampledc=com --server-uris=ldap[2001DB81707cffc001] --groupnet=groupnet3
Obs
O nome distinto da base eacute especificado como uma sequecircncia de valoresalfabeacuteticos relativos distintos separados por viacutergulas Especifique um nomedistinto da base se o servidor LDAP permitir consultas anocircnimas
O seguinte comando cria um provedor de LDAP chamado test-ldap e associaesse provedor ao groupnet3 Ele tambeacutem especifica um nome distinto devinculaccedilatildeo e uma senha de vinculaccedilatildeo que satildeo usados para associaccedilatildeo aoservidor LDAP e especifica ldaptest-ldapexamplecom como o URI doservidor
isi auth ldap create test-ldap --base-dn=dc=test-ldapdc=exampledc=com --bind-dn=cn=testou=usersdc=test-ldapdc=exampledc=com --bind-password=mypasswd --server-uris=ldaptest-ldapexamplecom --groupnet=groupnet3
Autenticaccedilatildeo
Gerenciando provedores de LDAP 131
Obs
O nome distinto de vinculaccedilatildeo eacute especificado como uma sequecircncia de valoresalfabeacuteticos relativos distintos separados por viacutergulas e deve ter as permissotildeesadequadas para associar o servidor LDAP ao cluster Especifique um nomedistinto de vinculaccedilatildeo se o servidor LDAP natildeo permitir consultas anocircnimas
Modificar um provedor LDAPVocecirc pode alterar qualquer configuraccedilatildeo de um provedor LDAP exceto o nomeEspecifique pelo menos um servidor para que o provedor seja ativado
Procedimento
1 Execute o seguinte comando para modificar um provedor LDAP onde ltnome-provedorgt eacute um espaccedilo reservado para o nome do provedor que vocecirc desejamodificar
isi auth ldap modify ltprovider-namegt
Excluir um provedor LDAPAo excluir um provedor LDAP ele seraacute removido de todas as zonas de acesso Comoalternativa vocecirc pode parar de usar um provedor LDAP removendo-o de cada zona deacesso que o contenha de modo que o provedor permaneccedila disponiacutevel para uso futuro
Para obter informaccedilotildees sobre os paracircmetros e as opccedilotildees disponiacuteveis para esseprocedimento execute o comando isi auth ldap delete --help
Procedimento
1 Execute o comando a seguir para excluir um provedor LDAP onde ltnomegt eacute umespaccedilo reservado para o nome do provedor de LDAP que vocecirc deseja excluir
isi auth ldap delete ltnamegt
Gerenciando provedores de NISVocecirc pode exibir configurar e modificar os provedores de NIS (Network InformationService) ou excluir os provedores que natildeo satildeo mais necessaacuterios Aleacutem disso vocecirctambeacutem pode interromper a autenticaccedilatildeo via um provedor de NIS removendo-o detodas as zonas de acesso que o estatildeo usando
Configurar um provedor de NISVocecirc pode configurar vaacuterios provedores de NIS cada um com suas proacutepriasconfiguraccedilotildees e adicionaacute-los a uma ou mais zonas de acesso
Procedimento
1 Configure um provedor de NIS executando o comando isi auth niscreate
Autenticaccedilatildeo
132 OneFS 810 Guia de Administraccedilatildeo da CLI
O seguinte exemplo cria um provedor de NIS chamado nistest que eacute associadoao groupnet3 especifica nistestcompanycom como o servidor NIS ecompanycom como o domiacutenio
isi auth nis create nistest --groupnet=groupnet3--servers=nistestexamplecom --nis-domain=examplecom
Modificar um provedor de NISVocecirc pode modificar qualquer configuraccedilatildeo de um provedor de NIS exceto o nomeEspecifique pelo menos um servidor para que o provedor seja ativado
Procedimento
1 Execute o comando a seguir para modificar um provedor de NIS onde ltnome-provedorgt eacute um espaccedilo reservado para o provedor que vocecirc deseja modificar
isi auth nis modify ltprovider-namegt
Excluir um provedor de NISAo excluir um provedor de NIS ele seraacute removido de todas as zonas de acesso Comoalternativa vocecirc pode parar de usar um provedor de NIS removendo-o de cada zonade acesso que o contiver para que o provedor permaneccedila disponiacutevel para uso futuro
Procedimento
1 Execute o comando a seguir para excluir um provedor de NIS onde ltnomegt eacuteum espaccedilo reservado para o nome do provedor de NIS que vocecirc deseja excluir
isi auth nis delete ltnamegt
Gerenciando autenticaccedilatildeo do MIT KerberosVocecirc pode configurar um provedor do MIT Kerberos para autenticaccedilatildeo sem o ActiveDirectory A configuraccedilatildeo de um provedor do MIT Kerberos envolve criar um realmMIT Kerberos criando um provedor e associando um realm predefinidoOpcionalmente eacute possiacutevel configurar um domiacutenio MIT Kerberos para o provedor Vocecirctambeacutem pode atualizar as chaves de criptografia se houver alguma alteraccedilatildeo deconfiguraccedilatildeo no provedor do Kerberos Vocecirc pode incluir o provedor em uma ou maiszonas de acesso
Gerenciando realms MIT KerberosUm realm MIT Kerberos eacute um domiacutenio administrativo que define os limites em que umservidor de autenticaccedilatildeo tem autoridade para autenticar um usuaacuterio ou um serviccediloVocecirc pode criar exibir editar ou excluir um realm Como praacutetica recomendadaespecifique um nome de realm usando caracteres maiuacutesculos
Criar um realm MIT KerberosVocecirc pode criar um realm MIT Kerberos definindo um KDC (Key Distribution Center) eum servidor administrativo
Autenticaccedilatildeo
Modificar um provedor de NIS 133
Antes de vocecirc comeccedilar
Vocecirc deve ser membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTH paracriar um realm do MIT KerberosProcedimento
1 Execute o comando isi auth krb5 realm create para criar um realm doMIT Kerberos
O seguinte comando cria um realm do MIT Kerberos chamado deTESTCOMPANYCOM especifica admintestcompanycom como o servidoradministrativo e especifica keystestcompanycom como um Key DistributionCenter
isi auth krb5 realm create --realm=TESTCOMPANYCOM --kdc=keystestcompanycom --admin-server=admintestcompanycom
O nome do realm distingue maiuacutesculas de minuacutesculas e deve ser especificadoem letras maiuacutesculas O servidor administrativo e o Key Distribution Centerpodem ser especificados como um endereccedilo IPv4 um endereccedilo IPv6 ou umnome de host
Modificar um realm MIT KerberosVocecirc pode modificar um realm MIT Kerberos alterando o KDC (Key DistributionCenter) o domiacutenio (opcional) e as configuraccedilotildees do servidor administrativo paraaquele realm
Antes de vocecirc comeccedilar
Vocecirc deve ser um membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTH paraexcluir um provedor do MIT KerberosProcedimento
1 Execute o comando isi auth krb5 realm modify para modificar um realMIT Kerberos
O seguinte comando modifica o real MIT Kerberos chamadoTESTCOMPANYCOM adicionando um KDC especificado como um endereccediloIPv6
isi auth krb5 realm modify --realm=TESTCOMPANYCOM --kdc=2001DB81707cffc001
O nome do realm distingue maiuacutesculas de minuacutesculas e deve ser especificadoem letras maiuacutesculas O Key Distribution Center pode ser especificado como umendereccedilo IPv4 um endereccedilo IPv6 ou um nome do host
Exibir um realm MIT KerberosVocecirc pode exibir os detalhes relacionados ao nome aos KDCs (Key DistributionCenter) e ao servidor administrativo associado a um realm MIT Kerberos
Procedimento
1 Para exibir uma lista de todos os realms do Kerberos configurados no clusterexecute o comando isi auth krb5 realm list
Autenticaccedilatildeo
134 OneFS 810 Guia de Administraccedilatildeo da CLI
O sistema exibe resultados semelhantes aos do seguinte exemplo
Realm---------------TESTCOMPANYCOMENGKERBCOMPANYCOMOPSKERBCOMPANYCOM---------------Total 3
2 Para exibir os detalhes de configuraccedilatildeo de um realm especiacutefico do Kerberosexecute o comando isi auth krb5 realm view seguido pelo nome dorealm
O nome do realm especificado distingue maiuacutesculas de minuacutesculas
O seguinte comando exibe os detalhes de configuraccedilatildeo do realm chamadoTESTCOMPANYCOM
isi auth krb realm view TESTCOMPANYCOM
O sistema exibe resultados semelhantes aos do seguinte exemplo
Realm TESTCOMPANYCOMIs Default Realm Yes KDC 2001DB81707cffc001 keystestcompanycom Admin Server admintestcompanycom
Obs
O KDC e o servidor de administraccedilatildeo podem ser especificados como umendereccedilo IPv4 ou IPv6 ou como um nome de host
Excluir um realm MIT KerberosVocecirc pode excluir um ou mais realms MIT Kerberos e todos os domiacutenios associados doMIT Kerberos
Antes de vocecirc comeccedilar
Os realms Kerberos satildeo referidos por provedores de Kerberos Antes de excluir umrealm para o qual vocecirc criou um provedor exclua primeiro esse provedorVocecirc deve ser um membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTH paraexcluir um realm MIT Kerberos
Procedimento
1 Execute o comando isi auth krb5 realm delete para excluir um realmMIT Kerberos
Por exemplo execute o seguinte comando para excluir um realm
isi auth krb5 realm delete ltrealmgt
Autenticaccedilatildeo
Gerenciando realms MIT Kerberos 135
Gerenciando provedores do MIT KerberosVocecirc pode criar exibir excluir ou modificar um provedor do MIT Kerberos Vocecirctambeacutem pode definir as configuraccedilotildees do provedor Kerberos
Criando um provedor do MIT KerberosVocecirc pode criar um provedor do MIT Kerberos obtendo as credenciais para acessar umcluster pelo KDC (Key Distribution Center) do realm Kerberos Esse processo tambeacutemeacute conhecido como associaccedilatildeo de um realm Quando vocecirc cria um provedor doKerberos tambeacutem associa um realm definido anteriormente
Dependendo do modo como o OneFS gerencia seu ambiente Kerberos vocecirc pode criarum provedor do Kerberos usando um dos seguintes meacutetodos
l Acessando o servidor de administraccedilatildeo do Kerberos e criando chaves para serviccedilosno cluster do OneFS
l Transferindo manualmente as informaccedilotildees de chave do Kerberos na forma dekeytabs
Criar um provedor de MIT Kerberos e associar um realm agravescredenciais do administrador
Vocecirc pode criar um provedor do MIT Kerberos e associar um realm MIT Kerberosusando as credenciais autorizadas para acessar o servidor de administraccedilatildeo KerberosVocecirc pode criar chaves para vaacuterios serviccedilos no cluster do EMC Isilon Esse eacute o meacutetodorecomendado para criar um provedor Kerberos e associar um realm Kerberos
Antes de vocecirc comeccedilar
Vocecirc deve ser um membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTH paraacessar o servidor de administraccedilatildeo KerberosProcedimento
1 Execute o comando isi auth krb5 create para criar um provedor doKerberos e associar um realm do Kerberos onde ltrealmgt eacute o nome do realmdo Kerberos que jaacute existe ou que eacute criado caso um realm natildeo exista
O nome do realm distingue maiuacutesculas de minuacutesculas e deve ser especificadoem letras maiuacutesculas
No exemplo de comando a seguir o realm do Kerberos TESTCOMPANYCOM eacutecriado e associado ao provedor que eacute associado ao groupnet3 O comandotambeacutem especifica admintestcompanycom como o servidor administrativo ekeystestcompanycom como o KDC Aleacutem disso ele especifica um nome deusuaacuterio e senha que satildeo autorizados a acessar o servidor de administraccedilatildeo
isi auth krb5 create --realm=TESTCOMPANYCOM --user=administrator --password=secretcode --kdc=keystestcompanycom --admin-server=admintestcompanycom --groupnet=groupnet3
Obs
O KDC e o servidor de administraccedilatildeo podem ser especificados como umendereccedilo IPv4 ou IPv6 ou como um nome de host
Autenticaccedilatildeo
136 OneFS 810 Guia de Administraccedilatildeo da CLI
Criar um provedor de MIT Kerberos e associar um realm a umarquivo keytab
Vocecirc pode criar um provedor de MIT Kerberos e associar um realm MIT Kerberosatraveacutes de um arquivo keytab Siga este meacutetodo apenas se o seu ambiente Kerberosfor gerenciado por meio da transferecircncia manual das informaccedilotildees da chave doKerberos atraveacutes dos arquivos keytab
Antes de vocecirc comeccedilar
Garanta que os seguintes preacute-requisitos sejam considerados
l O realm do Kerberos jaacute deve existir no cluster
l Um arquivo keytab deve existir no cluster
l Vocecirc deve ser um membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTHpara acessar o servidor de administraccedilatildeo Kerberos
Procedimento
1 Execute o comando isi auth krb5 create
O comando a seguir cria um provedor do Kerberos que eacute associado aogroupnet3 associa o realm do Kerberos chamado cluster-namecompanycom eespecifica um arquivo keytab localizado em tmpkrb5keytab
isi auth krb5 create cluster-namecompanycom --keytab-file=tmpkrb5keytab --groupnet=groupnet3
Exibir um provedor do MIT KerberosVocecirc pode exibir as propriedades de um provedor do MIT Kerberos depois de criaacute-lo
Procedimento
1 Execute o seguinte comando para exibir as propriedades de um provedor doKerberos
isi auth krb5 view ltprovider-namegt
Liste os provedores do MIT KerberosEacute possiacutevel relacionar um ou mais provedores do MIT Kerberos e exibir a lista em umformato especiacutefico Vocecirc tambeacutem pode especificar um limite para o nuacutemero deprovedores a serem listados
Procedimento
1 Execute o comando isi auth krb5 list para listar um ou mais provedoresdo Kerberos
Por exemplo execute o seguinte comando para listar os cinco primeirosprovedores de Kerberos em formato tabular sem cabeccedilalhos nem rodapeacutes
isi auth krb5 list -l 5 --format table --no-header --no-footer
Autenticaccedilatildeo
Gerenciando provedores do MIT Kerberos 137
Excluir um provedor do MIT KerberosVocecirc pode excluir um provedor do MIT Kerberos e removecirc-lo de todas as zonas deacesso referidas Quando vocecirc exclui um provedor vocecirc tambeacutem deixa o realm MITKerberos
Antes de vocecirc comeccedilar
Vocecirc deve ser um membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTH paraexcluir um provedor do Kerberos
Procedimento
1 Execute o comando isi auth krb5 delete como se segue para excluir umprovedor do Kerberos
isi auth krb5 delete ltprovider-namegt
Definir configuraccedilotildees do provedor de MIT KerberosVocecirc pode definir as configuraccedilotildees de um provedor de Kerberos para permitir que osregistros de DNS localizem o KDC (Key Distribution Center) os realms Kerberos e osservidores de autenticaccedilatildeo associados a um realm Kerberos Essas configuraccedilotildees satildeoglobais para todos os usuaacuterios do Kerberos em todos os noacutes serviccedilos e zonasAlgumas configuraccedilotildees satildeo aplicaacuteveis apenas ao Kerberos no lado do client e satildeoindependentes do provedor Kerberos
Antes de vocecirc comeccedilar
Vocecirc precisa ser membro com uma funccedilatildeo que tenha os privileacutegios deISI_PRIV_AUTH para exibir ou modificar as configuraccedilotildees de um provedor Kerberos
Procedimento
1 Execute o comando isi auth settings krb5 com o subcomando view oumodify
2 Especifique as configuraccedilotildees para modificar
Gerenciando domiacutenios do MIT KerberosVocecirc tem a opccedilatildeo de definir domiacutenios do MIT Kerberos para permitir que as extensotildeesadicionais de domiacutenio sejam associadas ao realm MIT Kerberos Vocecirc sempre podeespecificar um domiacutenio padratildeo para um realm
Vocecirc pode criar modificar excluir e exibir um domiacutenio do MIT Kerberos Um nome dedomiacutenio Kerberos eacute um sufixo DNS que vocecirc especifica normalmente usandocaracteres minuacutesculos
Adicionar um domiacutenio do MIT Kerberos a um realmComo opccedilatildeo vocecirc pode adicionar um domiacutenio do MIT Kerberos a um realm MITKerberos para permitir que as extensotildees adicionais de domiacutenio do Kerberos sejamassociadas ao realm Kerberos
Antes de vocecirc comeccedilar
Vocecirc deve ser membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTH associarum domiacutenio do Kerberos a um realm Kerberos
Autenticaccedilatildeo
138 OneFS 810 Guia de Administraccedilatildeo da CLI
Procedimento
1 Adicione um domiacutenio do Kerberos executando o comando isi auth krb5domain create
Por exemplo execute o seguinte comando para adicionar um domiacutenio doKerberos a um realm Kerberos
isi auth krb5 domain create ltdomaingt
Modificar um domiacutenio do MIT KerberosVocecirc pode modificar um domiacutenio do MIT Kerberos alterando as configuraccedilotildees dorealm
Antes de vocecirc comeccedilar
Vocecirc deve ser membro de uma funccedilatildeo que tenha os privileacutegios ISI_PRIV_AUTH paramodificar um domiacutenio MIT Kerberos
Procedimento
1 Execute o comando isi auth krb5 domain modify para modificar odomiacutenio do Kerberos
Por exemplo execute o seguinte comando para modificar um domiacutenio Kerberosespecificando um realm Kerberos alternativo
isi auth krb5 domain modify ltdomaingt --realm ltrealmgt
Exibir um mapeamento de domiacutenio do MIT KerberosVocecirc pode exibir as propriedades de um mapeamento de domiacutenio do MIT Kerberos
Procedimento
1 Execute o comando isi auth krb5 domain view com um valorespecificado para a variaacutevel ltdomaingt para exibir as propriedades de ummapeamento de domiacutenio Kerberos
isi auth krb5 domain view ltdomaingt
Listar domiacutenios do MIT KerberosEacute possiacutevel relacionar um ou mais domiacutenios do MIT Kerberos e exibir a lista em umformato tabular JSON CSV ou lista Vocecirc tambeacutem pode especificar um limite para onuacutemero de domiacutenios que seratildeo listados
Procedimento
1 Execute o comando isi auth krb5 domain list para listar um ou maisdomiacutenios do MIT Kerberos
Autenticaccedilatildeo
Gerenciando domiacutenios do MIT Kerberos 139
Por exemplo execute o comando a seguir para listar os dez primeiros domiacuteniosdo MIT Kerberos em formato tabular sem cabeccedilalhos nem rodapeacutes
isi auth krb5 domain list -l=10 --format=table --no-header --no-footer
Excluir um mapeamento de domiacutenio do MIT KerberosEacute possiacutevel excluir um ou mais mapeamentos de domiacutenio do MIT Kerberos
Antes de vocecirc comeccedilar
Vocecirc deve ser membro de uma funccedilatildeo que tenha os privileacutegios ISI_PRIV_AUTH paraexcluir um mapeamento de domiacutenio do MIT Kerberos
Procedimento
1 Execute o comando isi auth krb5 domain delete para excluir ummapeamento de domiacutenio do MIT Kerberos
Por exemplo execute o seguinte comando para excluir um mapeamento dedomiacutenio
isi auth krb5 domain delete ltdomaingt
Gerenciando SPNs e chavesUm SPN (Service Principal Name nome do principal do serviccedilo) referido por um clientpara identificar uma instacircncia de um serviccedilo em um cluster do EMC Isilon Umprovedor do MIT Kerberos autentica os serviccedilos em um cluster por meio de SPNs
Vocecirc pode realizar as seguintes operaccedilotildees em SPNs em suas chaves associadas
l Atualizar os SPNs se houver alguma alteraccedilatildeo nas configuraccedilotildees de zonaSmartConnect que satildeo baseadas nesses SPNs
l Listar os SPNs registrados para comparaacute-los a uma lista de SPNs detectados
l Atualizar as chaves associadas aos SPNs manual ou automaticamente
l Importar chaves de uma tabela keytab
l Excluir versotildees especiacuteficas da chave ou excluir todas as chaves associadas a umSPN
Exibir SPNs e chavesVocecirc pode exibir SPNs e suas chaves associadas que estatildeo registradas para umprovedor do MIT Kerberos Os clients obtecircm tiacutequetes Kerberos e serviccedilos de acessoem clusters do EMC Isilon por meio de SPNs e suas chaves associadas
Antes de vocecirc comeccedilar
Vocecirc deve ser membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTH paraexibir SPNs e chaves
Procedimento
1 Execute o comando isi auth krb5 spn list para listar um ou mais SPNse suas chaves associadas e os nuacutemeros de versatildeo da chave (Kvnos)
Autenticaccedilatildeo
140 OneFS 810 Guia de Administraccedilatildeo da CLI
Por exemplo execute o seguinte comando para listar os cinco primeiros SPNspara um provedor do MIT Kerberos em formato tabular sem cabeccedilalhos nemrodapeacutes
isi auth krb5 list ltprovider-namegt -l 5 --format table --no-header --no-footer ltspn-listgt
Excluir chavesVocecirc pode excluir versotildees de chaves especiacuteficas ou todas as chaves associadas a umSPN (Service Principal Name nome do principal do serviccedilo)
Antes de vocecirc comeccedilar
Vocecirc deve ser membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTH paraexcluir as chaves
Depois de criar novas chaves por motivo de seguranccedila ou para fazer acorrespondecircncia com as alteraccedilotildees de configuraccedilatildeo siga este procedimento paraexcluir a versatildeo mais antiga das chaves para que a tabela keytab natildeo seja preenchidacom chaves redundantes
Procedimento
1 Execute o comando isi auth krb5 spn delete para excluir uma versatildeoespeciacutefica de uma chave ou todas as chaves para o SPN especificado
Por exemplo execute o seguinte comando para excluir todas as chavesassociadas a um SPN para um provedor do MIT Kerberos
isi auth krb5 spn delete ltprovider-namegt ltspngt --all
O ltprovider-namegt eacute o nome do provedor do MIT Kerberos Vocecirc pode excluiruma versatildeo especiacutefica da chave ao especificar o valor do nuacutemero de versatildeo deuma chave para o argumento kvno e incluir esse valor na sintaxe de comando
Adicionar ou atualizar manualmente uma chave para um SPNVocecirc pode adicionar ou atualizar manualmente as chaves para um SPN Esse processocria uma nova chave para o SPN especificado
Antes de vocecirc comeccedilar
Vocecirc deve ser membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTH paraadicionar ou atualizar uma chave para um SPN
Procedimento
1 Execute o comando isi auth krb5 spn create para adicionar ou atualizaras chaves para o SPN
Por exemplo execute o seguinte comando para adicionar ou atualizar umachave para um SPN especificando os argumentos posicionais ltprovider-namegtltusergt e ltspngt
isi auth krb5 spn create ltprovider-namegt ltusergt ltspngt
Autenticaccedilatildeo
Gerenciando SPNs e chaves 141
Atualizar automaticamente um SPNVocecirc pode atualizar ou adicionar automaticamente um SPN (Service Principal Namenome do principal do serviccedilo) se ele estiver registrado com um provedor do MITKerberos mas natildeo for exibido na lista de SPNs detectados
Antes de vocecirc comeccedilar
Vocecirc deve ser membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTH paraatualizar um SPN automaticamente
Procedimento
1 Execute o comando isi auth krb5 spn check para compara a lista deSPNs registrados na lista de SPNs detectados
Continue na proacutexima etapa se a comparaccedilatildeo natildeo mostrar resultadossemelhantes
2 Execute o comando isi auth krb5 spn fix para corrigir os SPNsausentes
Por exemplo execute o seguinte comando para adicionar SPNs ausentes paraum provedor de serviccedilos do MIT Kerberos
isi auth krb5 spn fix ltprovider-namegt ltusergt
Como opccedilatildeo vocecirc pode especificar uma senha para ltusergt que eacute o espaccediloreservado para um usuaacuterio com permissatildeo para associar clients ao domiacutenioespecificado
Importar um arquivo keytabUm provedor do MIT Kerberos associado por meio de um arquivo keytab legado podenatildeo ter a capacidade de gerenciar chaves por meio das credenciais do administradordo Kerberos Nesse caso importe um novo arquivo keytab e adicione as chaves dearquivo keytab ao provedor
Antes de vocecirc comeccedilar
Verifique se os preacute-requisitos abaixo foram atendidos antes de importar um arquivokeytab
l Vocecirc deve criar e copiar um arquivo keytab para um noacute no cluster em que vocecircexecutaraacute este procedimento
l Vocecirc deve ser membro de uma funccedilatildeo que tenha privileacutegios ISI_PRIV_AUTH paraimportar um arquivo keytab
Procedimento
1 Importe as chaves de um arquivo keytab executando o comando isi authkrb5 spn import
Por exemplo execute o seguinte comando para importar as chaves do ltkeytab-filegt para o provedor referido como ltprovider-namegt
isi auth krb5 spn import ltprovider-namegt ltkeytab-filegt
Autenticaccedilatildeo
142 OneFS 810 Guia de Administraccedilatildeo da CLI
Gerenciando provedores de arquivosVocecirc pode configurar um ou mais provedores de arquivos cada um deles com suaproacutepria combinaccedilatildeo de arquivos de substituiccedilatildeo para cada zona de acesso Osarquivos de banco de dados de senhas que tambeacutem satildeo chamados de arquivos debanco de dados de usuaacuterios devem estar no formato binaacuterio
Cada provedor de arquivos obteacutem diretamente de ateacute trecircs arquivos de banco de dadosde substituiccedilatildeo um arquivo de grupo com o mesmo formato que o arquivo etcgroup um arquivo de grupos de rede e um arquivo binaacuterio de senha spwddb queoferece acesso raacutepido aos dados de um arquivo que tem o formato do etcmasterpasswd Vocecirc deve copiar os arquivos de substituiccedilatildeo no cluster e fazerreferecircncia e eles pelo caminho de seu diretoacuterio
Obs
Se os arquivos de substituiccedilatildeo estiverem localizados fora da aacutervore de diretoacuterios ifs vocecirc deveraacute distribuiacute-los manualmente a cada noacute do cluster As alteraccedilotildees feitasnos arquivos do provedor do sistema satildeo distribuiacutedas automaticamente no cluster
Configurar um provedor de arquivosVocecirc pode especificar arquivos de substituiccedilatildeo para qualquer combinaccedilatildeo de usuaacuteriosgrupos e grupos de rede
Procedimento
1 Execute o comando a seguir para configurar um provedor de arquivos ondeltnomegt eacute o nome do provedor de arquivos
isi auth file create ltnamegt
Gerar um arquivo de senhaOs arquivos de banco de dados de senhas que tambeacutem satildeo chamados de arquivos debanco de dados de usuaacuterios devem estar no formato binaacuterio
Este procedimento deve ser realizado por meio da interface de linha de comando Paraobter diretrizes sobre o uso de comandos execute o comando man pwd_mkdb
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
2 Execute o comando pwd_mkdbltarquivogt onde ltarquivogt eacute o local do arquivode senhas de origem
Obs
De modo padratildeo o arquivo binaacuterio de senha spwddb eacute criado no diretoacuterio etc Vocecirc pode sobrepor o local de armazenamento do arquivo spwddbespecificando a opccedilatildeo -d com um diretoacuterio de destino diferente
Autenticaccedilatildeo
Gerenciando provedores de arquivos 143
O seguinte comando gera um arquivo spwddb no diretoacuterio etc a partir de umarquivo de senha localizado em ifstestpasswd
pwd_mkdb ifstestpasswd
O seguinte comando gera um arquivo spwddb no diretoacuterio ifs a partir de umarquivo de senha localizado em ifstestpasswd
pwd_mkdb -d ifs ifstestpasswd
Modificar um provedor de arquivosVocecirc pode modificar qualquer configuraccedilatildeo de um provedor de arquivos inclusive seunome
Obs
Embora seja possiacutevel renomear um provedor de arquivos haacute duas advertecircncias vocecircpode renomear um provedor de arquivos somente na interface Web de administraccedilatildeoe natildeo eacute possiacutevel renomear o provedor de arquivos do sistema
Procedimento
1 Execute o comando a seguir para modificar um provedor de arquivos ondeltnome-provedorgt eacute um espaccedilo reservado para o nome que vocecirc deu aoprovedor
isi auth file modify ltprovider-namegt
Excluir um provedor de arquivosPara parar de usar um provedor de arquivos limpe todas as suas configuraccedilotildees dearquivos de substituiccedilatildeo ou exclua o provedor de modo permanente
Obs
Natildeo eacute possiacutevel excluir o provedor de arquivos do sistema
Procedimento
1 Execute o comando a seguir para excluir um provedor de arquivos ondeltnomegt eacute um espaccedilo reservado para o nome do provedor que vocecirc desejaexcluir
isi auth file delete ltnamegt
Formato dos arquivos de senhaO provedor de arquivos usa um arquivo binaacuterio de banco de dados de senhas ospwddb Vocecirc pode gerar um arquivo binaacuterio de senhas a partir de um arquivoformatado por masterpasswd executando o comando pwd_mkdb
Autenticaccedilatildeo
144 OneFS 810 Guia de Administraccedilatildeo da CLI
O arquivo masterpasswd conteacutem dez campos separados por dois pontos comoexibido no seguinte exemplo
admin101000Web UI Administratorifshomeadminbinzsh
Os campos satildeo definidos a seguir na ordem em que aparecem no arquivo
Obs
Geralmente os sistemas UNIX definem o formato passwd como um subconjuntodesses campos omitindo os campos Class Change e Expiry Para converter umarquivo do formato passwd ao masterpasswd adicione 00 entre o campo doID de grupo e o campo Gecos
Username
O nome do usuaacuterio Esse campo diferencia maiuacutesculas e minuacutesculas O OneFS natildeolimita o comprimento no entanto muitos aplicativos tecircm seu nome truncado em16 caracteres
Password
A senha criptografada do usuaacuterio Se a autenticaccedilatildeo natildeo for necessaacuteria para ousuaacuterio vocecirc poderaacute substituir um asterisco () por uma senha O caractereasterisco eacute uma garantia de que nenhuma senha corresponderaacute agrave outra
UID
O identificador do usuaacuterio do UNIX Este valor deve ser um nuacutemero dentro dointervalo 0 a 4294967294 que natildeo esteja reservado nem atribuiacutedo a um usuaacuterioOs problemas de compatibilidade ocorrem se esse valor entrar em conflito com oID exclusivo de uma conta existente
GID
O identificador do grupo principal do usuaacuterio Todos os usuaacuterios satildeo membros depelo menos um grupo que eacute usado para verificaccedilotildees de acesso e que tambeacutempode ser usado ao criar arquivos
Class
Este campo natildeo eacute compatiacutevel com o OneFS e deve ser deixado em branco
Change
O OneFS natildeo daacute suporte agrave alteraccedilatildeo de senhas dos usuaacuterios no provedor dearquivos Este campo eacute ignorado
Expiry
O OneFS natildeo daacute suporte agrave expiraccedilatildeo das contas de usuaacuterio no provedor dearquivos Este campo eacute ignorado
Gecos
Este campo pode armazenar uma variedade de informaccedilotildees mas geralmente eacuteusado para armazenar o nome completo do usuaacuterio
Home
O caminho absoluto ao diretoacuterio de usuaacuterio comeccedilando com ifs
Autenticaccedilatildeo
Formato dos arquivos de senha 145
Shell
O caminho absoluto do shell do usuaacuterio Se este campo for configurado como sbinnologin o usuaacuterio natildeo seraacute autorizado a acessar a linha de comando
Formato dos arquivos de grupoO provedor de arquivos usa um arquivo de grupo no formato do arquivo etcgroupque existe na maioria dos sistemas UNIX
O arquivo group consiste em uma ou mais linhas que contecircm quatro camposseparados por dois pontos como exibido no seguinte exemplo
admin10rootadmin
Os campos satildeo definidos a seguir na ordem em que aparecem no arquivo
Group name
O nome do grupo Esse campo diferencia maiuacutesculas e minuacutesculas Embora oOneFS natildeo limite o comprimento do nome do grupo muitos aplicativos tecircm seunome truncado em 16 caracteres
Password
Este campo natildeo eacute compatiacutevel com o OneFS e deve conter um asterisco ()
GID
O identificador do grupo do UNIX Os valores vaacutelidos satildeo qualquer nuacutemero dentrodo intervalo 0 a 4294967294 que natildeo esteja reservado nem atribuiacutedo a um grupoOs problemas de compatibilidade ocorrem se esse valor entrar em conflito comum ID de grupo existente
Group members
Uma lista de nomes de usuaacuterio separados por viacutergulas
Formato dos arquivos de grupos de redeUm arquivo de grupo de rede consiste em um ou mais grupos de rede e cada um delespode conter membros Os hosts usuaacuterios ou domiacutenios que satildeo membros de um grupode rede satildeo especificados em um triplo de membros Um grupo de rede tambeacutem podeconter outro grupo de rede
Cada entrada de um arquivo netgroup consiste no nome do grupo de rede seguidopor um conjunto de triplos de membros separados por espaccedilos e em nomes de gruposde rede aninhados Se vocecirc especificar um grupo de rede aninhado ele deveraacute serdefinido em uma linha separada do arquivoUm triplo de membros assume a seguinte forma
(lthostgt ltusergt ltdomaingt)
Onde lthostgt eacute um espaccedilo reservado para um nome de maacutequina ltusuaacuteriogt eacute umespaccedilo reservado para um nome de usuaacuterio e ltdomiacuteniogt eacute um espaccedilo reservado paraum nome de domiacutenio Qualquer combinaccedilatildeo eacute vaacutelida exceto um triplo vazio ()
O exemplo de arquivo a seguir conteacutem dois grupos de rede O grupo de rede rootgrpconteacutem quatro hosts dois hosts satildeo definidos em triplos de membros e os outros dois
Autenticaccedilatildeo
146 OneFS 810 Guia de Administraccedilatildeo da CLI
hosts satildeo contidos no grupo de rede aninhado othergrp que eacute definido na segundalinha
rootgrp (myserver root somedomaincom) (otherserver root somedomaincom) othergrpothergrp (other-win somedomaincom) (other-linux somedomaincom)
Obs
Uma nova linha significa um novo grupo de rede Vocecirc pode continuar uma longaentrada de grupo de rede na proacutexima linha digitando um caractere de barra invertida() na posiccedilatildeo agrave extrema direita da primeira linha
Gerenciando usuaacuterios e grupos locaisAo criar uma zona de acesso cada zona incluiraacute um provedor local que permitiraacute acriaccedilatildeo e o gerenciamento dos usuaacuterios e grupos locais Embora vocecirc possa exibir osusuaacuterios e os grupos de qualquer provedor de autenticaccedilatildeo somente eacute possiacutevel criarmodificar e excluir usuaacuterios e grupos do provedor local
Exibir uma lista de usuaacuterios e grupos por provedorVocecirc pode exibir os usuaacuterios e grupos por um tipo de provedor
Procedimento
1 Execute o seguinte comando para exibir uma lista de usuaacuterios e grupos para umprovedor especificado onde lttipo-provedorgt eacute um espaccedilo reservado para suastring de tipo de provedor e ltnome-provedorgt eacute um espaccedilo reservado para onome que vocecirc atribuiu ao provedor especiacutefico
isi auth users list --provider=ltprovider-typegtltprovider-namegt
2 Para listar os usuaacuterios e grupos de um tipo de provedor LDAP que eacute chamadoUnix LDAP execute um comando semelhante ao seguinte exemplo
isi auth users list --provider=lsa-ldap-providerUnix LDAP
Criar um usuaacuterio localCada zona de acesso inclui um provedor local que permite que vocecirc crie e gerencieusuaacuterios e grupos locais Ao criar uma conta de usuaacuterios locais vocecirc pode configurarsua senha seu diretoacuterio de usuaacuterio seu ID exclusivo do UNIX seu shell de log-in UNIXe sua lista de membros do grupo
Autenticaccedilatildeo
Gerenciando usuaacuterios e grupos locais 147
Procedimento
1 Execute o comando a seguir para criar um usuaacuterio local onde ltnomegt eacute o nomedo usuaacuterio ltnome-provedorgt especifica o provedor desse usuaacuterio e ltstringgt eacute asenha desse usuaacuterio
isi auth users create ltnamegt --provider=localltprovider-namegt --password=ltstringgt
Obs
Uma conta de usuaacuterio eacute desativada se nenhuma senha for especificada Se vocecircnatildeo criar uma senha ao criar a conta de usuaacuterio seraacute possiacutevel adicionar umasenha posteriormente executando o comando isi auth users modify especificando o usuaacuterio adequado por nome de usuaacuterio ID exclusivo ouidentificador de seguranccedila
Criar um grupo localNo provedor local de uma zona de acesso vocecirc pode criar grupos e atribuir membros aeles
Procedimento
1 Execute o comando a seguir para criar um grupo local onde ltnomegt e ltnome-provedorgt satildeo os valores que vocecirc apresenta para definir o grupo
isi auth groups create ltnamegt --provider localltprovider-namegt
Regras de nomenclatura para usuaacuterios e grupos locaisOs nomes de usuaacuterios e grupos locais devem seguir as regras de nomenclatura paragarantir a autenticaccedilatildeo adequada e o acesso ao cluster do EMC Isilon
Vocecirc deve obedecer agraves seguintes regras de nomenclatura ao criar e modificar usuaacuteriose grupos locais
l O tamanho maacuteximo do nome eacute 104 caracteres Eacute recomendaacutevel que os nomes natildeoexcedam 64 caracteres
l Os nomes natildeo podem conter os seguintes caracteres invaacutelidos [ ] | = + lt gt
l Os nomes podem conter qualquer caractere especial que natildeo estaacute na lista decaracteres invaacutelidos Eacute recomendaacutevel que os nomes natildeo contenham espaccedilos
l Os nomes natildeo diferenciam maiuacutesculas e minuacutesculas
Configurar ou modificar uma poliacutetica local de senhaVocecirc pode configurar e modificar uma poliacutetica local de senha para um provedor local
Este procedimento deve ser realizado na interface de linha de comando
Autenticaccedilatildeo
148 OneFS 810 Guia de Administraccedilatildeo da CLI
Obs
Poliacuteticas de senha separadas satildeo configuradas para cada zona de acesso Cada zonade acesso do cluster conteacutem uma instacircncia separada do provedor local o que permiteque cada zona de acesso tenha sua proacutepria lista de usuaacuterios locais que podem seautenticar A complexidade da senha eacute configurada para cada provedor local e natildeopara cada usuaacuterio
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
2 (Opcional) Execute o seguinte comando para exibir as configuraccedilotildees atuais desenha
isi auth local view system
3 Execute o comando isi auth local modify selecionando os paracircmetrosdescritos nas configuraccedilotildees padratildeo da poliacutetica local de senha
O paracircmetro --password-complexity deve ser especificado para cadaconfiguraccedilatildeo
isi auth local modify system --password-complexity=lowercase --password-complexity=uppercase -ndashpassword-complexity=numeric --password-complexity=symbol
O seguinte comando configura uma poliacutetica local de senha para um provedor local
isi auth local modify ltprovider-namegt --min-password-length=20 --lockout-duration=20m --lockout-window=5m --lockout-threshold=5 --add-password-complexity=uppercase --add-password-complexity=numeric
Configuraccedilotildees locais da poliacutetica de senhasVocecirc pode definir as configuraccedilotildees locais da poliacutetica de senhas e especificar o padratildeopara cada configuraccedilatildeo com o comando isi auth local modify A complexidadedas senhas aumenta o nuacutemero de senhas possiacuteveis que um invasor deve verificar antesde adivinhar a senha correta
Configuraccedilatildeo Descriccedilatildeo Comentaacuterios
min-password-length O tamanho maacuteximo dasenha em caracteres
As senhas longas satildeo as melhores Ocomprimento miacutenimo natildeo deve sertatildeo grande que o usuaacuterio tenhadificuldade para informar a senha oulembrar-se dela
Autenticaccedilatildeo
Configuraccedilotildees locais da poliacutetica de senhas 149
Configuraccedilatildeo Descriccedilatildeo Comentaacuterios
password-complexity Uma lista de ocorrecircnciasque uma nova senha deveconter De modo padratildeo alista eacute exibida em branco
Vocecirc pode especificar ateacute quatroocorrecircncias As seguintesocorrecircncias satildeo vaacutelidas
l uppercase
l lowercase
l numeric
l symbol (com exceccedilatildeo de e )
min-password-age Tempo miacutenimo de vida dasenha Vocecirc podeconfigurar este valorusando caracteres para asunidades por exemplo 4Wpara 4 semanas 2d para 2dias
O tempo miacutenimo de idade de umasenha garante que um usuaacuterio natildeopossa informar uma senhatemporaacuteria e depois alteraacute-laimediatamente para a senhaanterior As tentativas de verificarou configurar uma senha antes daexpiraccedilatildeo do tempo satildeo recusadas
max-password-age Tempo maacuteximo de vida dasenha Vocecirc podeconfigurar este valorusando caracteres para asunidades por exemplo 4Wpara 4 semanas 2d para 2dias
As tentativas de log-in apoacutes aexpiraccedilatildeo de uma senha forccedilam aalteraccedilatildeo da senha Se uma caixa dediaacutelogo de alteraccedilatildeo de senha natildeopuder ser apresentada o usuaacuterionatildeo seraacute autorizado a fazer log-in
password-history-length
O nuacutemero de senhas quedeve ser mantido Asnovas senhas satildeoverificadas em relaccedilatildeo aessa lista e satildeo rejeitadasse a senha jaacute existir nalista O comprimentomaacuteximo do histoacuterico eacute de24 senhas
Para evitar a reciclagem de senhasvocecirc pode especificar o nuacutemero desenhas anteriores que deve serlembrado Se uma nova senhacombinar com uma senha anteriorregistrada ela seraacute rejeitada
lockout-duration O periacuteodo em segundosdurante o qual uma conta eacutebloqueada depois que umnuacutemero configuraacutevel desenhas incorretas forinformado
Depois que uma conta eacute bloqueadaela fica indisponiacutevel a partir de todasas origens ateacute ser desbloqueada OOneFS oferece duas opccedilotildeesconfiguraacuteveis para evitar a interaccedilatildeode administradores para todas ascontas bloqueadas
l Especifica quanto tempo devedecorrer antes que a conta sejadesbloqueada
l Redefine automaticamente ocontador de senhas incorretasapoacutes um periacuteodo especificadoem segundos
lockout-threshold O nuacutemero de tentativas desenha incorreta antes deuma conta ser bloqueada
Depois que uma conta eacute bloqueadaela fica indisponiacutevel a partir de todasas origens ateacute ser desbloqueada
Autenticaccedilatildeo
150 OneFS 810 Guia de Administraccedilatildeo da CLI
Configuraccedilatildeo Descriccedilatildeo Comentaacuterios
Um valor de zero desativao desbloqueio das contas
lockout-window O tempo decorrido antesque o contador detentativas de senhaincorreta seja redefinido
Se o nuacutemero configurado detentativas de senha incorreta foratingido a conta seraacute bloqueada e aduraccedilatildeo do bloqueio determinaraacute operiacuteodo durante o qual a conta ficabloqueada Um valor de zerodesativa a janela
Modificar um usuaacuterio localVocecirc pode modificar qualquer configuraccedilatildeo de uma conta de usuaacuterios locais exceto onome de usuaacuterio
Procedimento
1 Execute o seguinte comando para modificar um grupo local onde ltnomegt ltIDde grupogt ou ltsidgt satildeo espaccedilos reservados para os identificadores do usuaacuterio eltnome-provedorgt eacute um espaccedilo reservado para o nome do provedor localassociado ao usuaacuterio
isi auth users modify (ltnamegt or --gid ltgidgt or --sid ltsidgt) --provider localltprovider-namegt
Modificar um grupo localVocecirc pode adicionar ou remover membros de um grupo local
Procedimento
1 Execute o seguinte comando para modificar um grupo local onde ltnomegt ltIDde grupogt ou ltsidgt satildeo espaccedilos reservados para os identificadores do grupo eltnome-provedorgt eacute um espaccedilo reservado para o nome do provedor localassociado ao grupo
isi auth groups modify (ltnamegt or --gid ltgidgt or --sid ltsidgt) --provider localltprovider-namegt
Excluir um usuaacuterio localUm usuaacuterio excluiacutedo natildeo poderaacute mais acessar o cluster pela interface de linha decomando pela interface Web de administraccedilatildeo nem pelos protocolos de acesso aarquivos Se vocecirc excluir uma conta de usuaacuterio local o diretoacuterio de usuaacuteriopermaneceraacute no lugar
Procedimento
1 Execute o comando a seguir para excluir um usuaacuterio local onde ltID exclusivogt eltsidgt satildeo espaccedilos reservados para o ID exclusivo e o identificador de seguranccedila
Autenticaccedilatildeo
Modificar um usuaacuterio local 151
do usuaacuterio que vocecirc deseja excluir e ltnome-provedorgt eacute um espaccedilo reservadopara o provedor local associado ao usuaacuterio
isi auth users delete ltnamegt --uid ltuidgt --sid ltsidgt --provider localltprovider-namegt
Excluir um grupo localVocecirc pode excluir um grupo local mesmo se houver membros atribuiacutedos a ele Aexclusatildeo de um grupo natildeo afeta os membros desse grupo
Procedimento
1 Execute o seguinte comando para excluir um grupo local onde ltgrupogt eacute umespaccedilo reservado para o nome do grupo que vocecirc deseja excluir
isi auth groups delete ltgroupgt
Obs
Vocecirc pode executar o comando com a opccedilatildeo ltID de grupogt ou ltsidgt em vez deltgrupogt
Autenticaccedilatildeo
152 OneFS 810 Guia de Administraccedilatildeo da CLI
CAPIacuteTULO 7
Funccedilotildees e privileacutegios administrativos
Esta seccedilatildeo conteacutem os seguintes toacutepicos
l Acesso baseado em funccedilotildees 154l Funccedilotildees 154l Privileacutegios 158l Gerenciando funccedilotildees 166
Funccedilotildees e privileacutegios administrativos 153
Acesso baseado em funccedilotildeesVocecirc pode atribuir o acesso baseado em funccedilotildees para delegar tarefas administrativasa usuaacuterios selecionados
O RBAC (Role Based Access Control controle de acesso baseado em funccedilotildees)permite o direito de executar accedilotildees administrativas especiacuteficas que seratildeo concedidas aqualquer usuaacuterio que possa se autenticar em um cluster As funccedilotildees satildeo criadas porum administrador de seguranccedila satildeo atribuiacutedas a privileacutegios e depois atribuiacutedas amembros Todos os administradores inclusive os que recebem privileacutegios de umafunccedilatildeo devem se conectar agrave zona do sistema para configurar o cluster Quando essesmembros fazem log-in no cluster via uma interface de configuraccedilatildeo eles tecircm essesprivileacutegios Todos os administradores podem definir configuraccedilotildees para as zonas deacesso e sempre tecircm controle sobre todas as zonas de acesso do cluster
As funccedilotildees tambeacutem oferecem a vocecirc a capacidade de atribuir privileacutegios aos usuaacuteriose aos grupos que satildeo membros De modo padratildeo somente o usuaacuterio root e o usuaacuterioadmin podem fazer log-in na interface Web de administraccedilatildeo via HTTP ou na interfacede linha de comando via SSH Usando as funccedilotildees os usuaacuterios root e admin podematribuir outras pessoas a funccedilotildees integradas ou personalizadas que tenham privileacutegiosadministrativos e de log-in para executar tarefas administrativas especiacuteficas
Obs
Como praacutetica recomendada atribua usuaacuterios agraves funccedilotildees que contecircm o conjuntomiacutenimo de privileacutegios necessaacuterios Para a maioria das finalidades as configuraccedilotildeespadratildeo das poliacuteticas de permissotildees a zona de acesso do sistema e as funccedilotildeesintegradas satildeo suficientes Vocecirc pode criar poliacuteticas de gerenciamento de acessobaseadas em funccedilotildees conforme necessaacuterio para seu ambiente especiacutefico
FunccedilotildeesVocecirc pode autorizar e limitar o acesso agraves aacutereas administrativas de seu cluster do EMCIsilon por usuaacuterio e com base em funccedilotildees O OneFS inclui vaacuterias funccedilotildees integradas deadministrador com conjuntos predefinidos de privileacutegios que natildeo podem sermodificados Vocecirc tambeacutem pode criar funccedilotildees personalizadas e atribuir privileacutegios
A seguinte lista descreve o que vocecirc pode e natildeo pode fazer com base nas funccedilotildees
l Vocecirc pode atribuir privileacutegios a uma funccedilatildeo
l Vocecirc pode criar funccedilotildees personalizadas e atribuir privileacutegios a elas
l Vocecirc pode copiar uma funccedilatildeo existente
l Vocecirc pode adicionar qualquer usuaacuterio ou grupo de usuaacuterios inclusive gruposconhecidos a uma funccedilatildeo desde que os usuaacuterios possam ser autenticados nocluster
l Vocecirc pode adicionar um usuaacuterio ou grupo a mais de uma funccedilatildeo
l Vocecirc natildeo pode atribuir privileacutegios diretamente aos usuaacuterios nem aos grupos
Obs
Quando o OneFS eacute instalado pela primeira vez somente os usuaacuterios com acesso deniacutevel root ou admin podem fazer log-in e atribuir usuaacuterios agraves funccedilotildees
Funccedilotildees e privileacutegios administrativos
154 OneFS 810 Guia de Administraccedilatildeo da CLI
Funccedilotildees personalizadasAs funccedilotildees personalizadas complementam as funccedilotildees integradas
Vocecirc pode criar funccedilotildees personalizadas e atribuir privileacutegios associados agraves aacutereasadministrativas do ambiente de seu cluster do EMC Isilon Por exemplo vocecirc podecriar funccedilotildees separadas de administrador para seguranccedila auditoria provisionamentopara armazenamento e backup
Vocecirc tambeacutem pode designar determinados privileacutegios como somente leitura ou leituragravaccedilatildeo ao adicionar o privileacutegio a uma funccedilatildeo Vocecirc pode modificar essa opccedilatildeo aqualquer momento para adicionar ou remover privileacutegios agrave medida que asresponsabilidades dos usuaacuterios crescem e mudam
Funccedilotildees integradasAs funccedilotildees integradas estatildeo incluiacutedas no OneFS e foram configuradas com osprivileacutegios mais provavelmente necessaacuterios para executar funccedilotildees administrativascomuns Vocecirc natildeo pode modificar a lista de privileacutegios atribuiacutedos a cada funccedilatildeointegrada no entanto pode atribuir usuaacuterios e grupos agraves funccedilotildees integradas
Funccedilatildeo integrada SecurityAdminA funccedilatildeo integrada SecurityAdmin permite a configuraccedilatildeo de seguranccedila do clusterinclusive os provedores de autenticaccedilatildeo os usuaacuterios e grupos locais e a associaccedilatildeodas funccedilotildees
Privileacutegios Acesso de leituragravaccedilatildeo
ISI_PRIV_LOGIN_CONSOLE ND
ISI_PRIV_LOGIN_PAPI ND
ISI_PRIV_LOGIN_SSH ND
ISI_PRIV_AUTH Leituragravaccedilatildeo
ISI_PRIV_ROLE Leituragravaccedilatildeo
Funccedilatildeo integrada SystemAdminA funccedilatildeo integrada SystemAdmin permite a administraccedilatildeo de toda a configuraccedilatildeo emcluster que natildeo seja tratada especificamente pela funccedilatildeo SecurityAdmin
Privileacutegios Acesso de leituragravaccedilatildeo
ISI_PRIV_LOGIN_CONSOLE ND
ISI_PRIV_LOGIN_PAPI ND
ISI_PRIV_LOGIN_SSH ND
ISI_PRIV_SYS_SHUTDOWN ND
ISI_PRIV_SYS_SUPPORT ND
ISI_PRIV_SYS_TIME Leituragravaccedilatildeo
ISI_PRIV_SYS_UPGRADE Leituragravaccedilatildeo
ISI_PRIV_ANTIVIRUS Leituragravaccedilatildeo
Funccedilotildees e privileacutegios administrativos
Funccedilotildees personalizadas 155
Privileacutegios Acesso de leituragravaccedilatildeo
ISI_PRIV_AUDIT Leituragravaccedilatildeo
ISI_PRIV_CLOUDPOOLS Leituragravaccedilatildeo
ISI_PRIV_CLUSTER Leituragravaccedilatildeo
ISI_PRIV_DEVICES Leituragravaccedilatildeo
ISI_PRIV_EVENT Leituragravaccedilatildeo
ISI_PRIV_FILE_FILTER Leituragravaccedilatildeo
ISI_PRIV_FTP Leituragravaccedilatildeo
ISI_PRIV_HARDENING Leituragravaccedilatildeo
ISI_PRIV_HDFS Leituragravaccedilatildeo
ISI_PRIV_HTTP Leituragravaccedilatildeo
ISI_PRIV_JOB_ENGINE Leituragravaccedilatildeo
ISI_PRIV_LICENSE Leituragravaccedilatildeo
ISI_PRIV_MONITORING Leituragravaccedilatildeo
ISI_PRIV_NDMP Leituragravaccedilatildeo
ISI_PRIV_NETWORK Leituragravaccedilatildeo
ISI_PRIV_NFS Leituragravaccedilatildeo
ISI_PRIV_NTP Leituragravaccedilatildeo
ISI_PRIV_QUOTA Leituragravaccedilatildeo
ISI_PRIV_REMOTE_SUPPORT Leituragravaccedilatildeo
ISI_PRIV_SMARTPOOLS Leituragravaccedilatildeo
ISI_PRIV_SMB Leituragravaccedilatildeo
ISI_PRIV_SNAPSHOT Leituragravaccedilatildeo
ISI_PRIV_SNMP Leituragravaccedilatildeo
ISI_PRIV_STATISTICS Leituragravaccedilatildeo
ISI_PRIV_SWIFT Leituragravaccedilatildeo
ISI_PRIV_SYNCIQ Leituragravaccedilatildeo
ISI_PRIV_VCENTER Leituragravaccedilatildeo
ISI_PRIV_WORM Leituragravaccedilatildeo
ISI_PRIV_NS_TRAVERSE ND
ISI_PRIV_NS_IFS_ACCESS ND
Funccedilatildeo integrada AuditAdminA funccedilatildeo integrada AuditAdmin permite que vocecirc visualize todas as definiccedilotildees deconfiguraccedilatildeo do sistema
Funccedilotildees e privileacutegios administrativos
156 OneFS 810 Guia de Administraccedilatildeo da CLI
Privileacutegios Acesso de leituragravaccedilatildeo
ISI_PRIV_LOGIN_CONSOLE ND
ISI_PRIV_LOGIN_PAPI ND
ISI_PRIV_LOGIN_SSH ND
ISI_PRIV_SYS_TIME Somente leitura
ISI_PRIV_SYS_UPGRADE Somente leitura
ISI_PRIV_ANTIVIRUS Somente leitura
ISI_PRIV_AUDIT Somente leitura
ISI_PRIV_CLOUDPOOLS Somente leitura
ISI_PRIV_CLUSTER Somente leitura
ISI_PRIV_DEVICES Somente leitura
ISI_PRIV_EVENT Somente leitura
ISI_PRIV_FILE_FILTER Somente leitura
ISI_PRIV_FTP Somente leitura
ISI_PRIV_HARDENING Somente leitura
ISI_PRIV_HDFS Somente leitura
ISI_PRIV_HTTP Somente leitura
ISI_PRIV_JOB_ENGINE Somente leitura
ISI_PRIV_LICENSE Somente leitura
ISI_PRIV_MONITORING Somente leitura
SI_PRIV_NDMP Somente leitura
ISI_PRIV_NETWORK Somente leitura
ISI_PRIV_NFS Somente leitura
ISI_PRIV_NTP Somente leitura
ISI_PRIV_QUOTA Somente leitura
ISI_PRIV_REMOTE_SUPPORT Somente leitura
ISI_PRIV_SMARTPOOLS Somente leitura
ISI_PRIV_SMB Somente leitura
ISI_PRIV_SNAPSHOT Somente leitura
ISI_PRIV_SNMP Somente leitura
ISI_PRIV_STATISTICS Somente leitura
ISI_PRIV_SWIFT Somente leitura
ISI_PRIV_SYNCIQ Somente leitura
ISI_PRIV_VCENTER Somente leitura
ISI_PRIV_WORM Somente leitura
Funccedilotildees e privileacutegios administrativos
Funccedilotildees integradas 157
Funccedilatildeo integrada BackupAdminA funccedilatildeo integrada BackupAdmin permite o backup e a restauraccedilatildeo de arquivos de ifs
Privileacutegios Acesso de leituragravaccedilatildeo
ISI_PRIV_IFS_BACKUP Somente leitura
ISI_PRIV_IFS_RESTORE Leituragravaccedilatildeo
Funccedilatildeo integrada VMwareAdminA funccedilatildeo integrada VMwareAdmin permite a administraccedilatildeo remota do armazenamentonecessaacuterio ao VMware vCenter
Privileacutegios Acesso de leituragravaccedilatildeo
ISI_PRIV_LOGIN_PAPI ND
ISI_PRIV_NETWORK Leituragravaccedilatildeo
ISI_PRIV_SMARTPOOLS Leituragravaccedilatildeo
ISI_PRIV_SNAPSHOT Leituragravaccedilatildeo
ISI_PRIV_SYNCIQ Leituragravaccedilatildeo
ISI_PRIV_VCENTER Leituragravaccedilatildeo
ISI_PRIV_NS_TRAVERSE ND
ISI_PRIV_NS_IFS_ACCESS ND
PrivileacutegiosOs privileacutegios permitem que os usuaacuterios realizem tarefas em um cluster do EMC Isilon
Os privileacutegios satildeo associados a uma aacuterea de administraccedilatildeo de clusters como oMecanismo de trabalho o SMB ou as estatiacutesticas
Os privileacutegios tecircm uma de duas formas
Accedilatildeo
Permite que o usuaacuterio execute uma accedilatildeo especiacutefica em um cluster Por exemplo oprivileacutegio ISI_PRIV_LOGIN_SSH permite que um usuaacuterio faccedila log-in em umcluster por um client SSH
Leituragravaccedilatildeo
Permite que um usuaacuterio exiba ou modifique um subsistema de configuraccedilatildeo comoestatiacutesticas snapshots ou cotas Por exemplo o privileacutegio ISI_PRIV_SNAPSHOTpermite que um administrador crie e exclua snapshots e agendamentos desnapshots Um privileacutegio de leituragravaccedilatildeo pode conceder acesso somenteleitura ou acesso de leituragravaccedilatildeo O acesso somente leitura permite que umusuaacuterio exiba as definiccedilotildees de configuraccedilatildeo o acesso de leituragravaccedilatildeo permiteque um usuaacuterio exiba e modifique as definiccedilotildees de configuraccedilatildeo
Os privileacutegios satildeo concedidos ao usuaacuterio quando ele faz log-in em um cluster via APIdo OneFS via interface de administraccedilatildeo da Web via SSH ou via uma sessatildeo deconsole Eacute gerado um token para o usuaacuterio que inclui uma lista de todos os privileacutegios
Funccedilotildees e privileacutegios administrativos
158 OneFS 810 Guia de Administraccedilatildeo da CLI
concedidos a ele Cada URI cada paacutegina da interface de administraccedilatildeo da Web e cadacomando requer um privileacutegio especiacutefico para exibir ou modificar as informaccedilotildeesdisponiacuteveis em qualquer uma dessas interfaces
Em alguns casos os privileacutegios natildeo podem ser concedidos ou existem limitaccedilotildees dosprivileacutegios
l Os privileacutegios natildeo satildeo concedidos aos usuaacuterios que natildeo se conectam agrave zona dosistema durante o log-in ou aos usuaacuterios se conectam via o serviccedilo obsoleto deTelnet mesmo que eles sejam membros de uma funccedilatildeo
l Os privileacutegios natildeo fornecem acesso administrativo aos caminhos de configuraccedilatildeoexternos agrave API do OneFS Por exemplo o privileacutegio ISI_PRIV_SMB natildeo concede aum usuaacuterio o direito de configurar os compartilhamentos de SMB usando o MMC(Microsoft Management Console)
l Os privileacutegios natildeo fornecem acesso administrativo a todos os arquivos de registroA maioria dos arquivos de registro exige acesso root
Privileacutegios compatiacuteveis com o OneFSOs privileacutegios compatiacuteveis com o OneFS satildeo categorizados pelo tipo de accedilatildeo ou peloacesso concedido ao usuaacuterio mdash por exemplo privileacutegios de log-in seguranccedila econfiguraccedilatildeo
Privileacutegios de log-inOs privileacutegios de log-in listados na tabela a seguir permitem que o usuaacuterio executeaccedilotildees especiacuteficas ou conceda acesso de leitura ou gravaccedilatildeo a uma aacuterea deadministraccedilatildeo no cluster do EMC Isilon
Privileacutegio Descriccedilatildeo Tipo
ISI_PRIV_LOGIN_CONSOLE Fazer log-in a partir doconsole
Accedilatildeo
ISI_PRIV_LOGIN_PAPI Fazer log-in na API daplataforma e na interface Webde administraccedilatildeo
Accedilatildeo
ISI_PRIV_LOGIN_SSH Fazer log-in via SSH Accedilatildeo
Privileacutegios do sistemaOs privileacutegios de sistema listados na tabela a seguir permitem que o usuaacuterio executeaccedilotildees especiacuteficas ou conceda acesso de leitura ou gravaccedilatildeo a uma aacuterea deadministraccedilatildeo no cluster do EMC Isilon
Privileacutegio Descriccedilatildeo Tipo
ISI_PRIV_SYS_SHUTDOWN Desligar sistema Accedilatildeo
ISI_PRIV_SYS_SUPPORT Executar ferramentas dediagnoacutestico de cluster
Accedilatildeo
ISI_PRIV_SYS_TIME Altera o horaacuterio do sistema Leituragravaccedilatildeo
ISI_PRIV_SYS_UPGRADE Faz upgrades do sistemaOneFS
Leituragravaccedilatildeo
Funccedilotildees e privileacutegios administrativos
Privileacutegios compatiacuteveis com o OneFS 159
Privileacutegios de seguranccedilaOs privileacutegios de seguranccedila listados na tabela a seguir permitem que o usuaacuterio executeaccedilotildees especiacuteficas ou conceda acesso de leitura ou gravaccedilatildeo a uma aacuterea deadministraccedilatildeo no cluster do EMC Isilon
Privileacutegio Descriccedilatildeo Tipo
ISI_PRIV_AUTH Configurar provedoresexternos de autenticaccedilatildeo
Leituragravaccedilatildeo
ISI_PRIV_ROLE Criar novas funccedilotildees e atribuirprivileacutegios
Leituragravaccedilatildeo
Privileacutegios de configuraccedilatildeoOs privileacutegios de configuraccedilatildeo listados na tabela a seguir permitem que o usuaacuterioexecute accedilotildees especiacuteficas ou conceda acesso de leitura ou gravaccedilatildeo a uma aacuterea deadministraccedilatildeo no cluster do EMC Isilon
Privileacutegio Descriccedilatildeo Tipo
ISI_PRIV_ANTIVIRUS Configurar a verificaccedilatildeoantiviacuterus
Leituragravaccedilatildeo
ISI_PRIV_AUDIT Configurar recursos deauditoria
Leituragravaccedilatildeo
ISI_PRIV_CLOUDPOOLS Configurar o CloudPools Leituragravaccedilatildeo
ISI_PRIV_CLUSTER Definir as configuraccedilotildeesgerais e de identidade docluster
Leituragravaccedilatildeo
ISI_PRIV_DEVICES Criar novas funccedilotildees e atribuirprivileacutegios
Leituragravaccedilatildeo
ISI_PRIV_EVENT Exibir e modificar os eventosdo sistema
Leituragravaccedilatildeo
ISI_PRIV_FILE_FILTER Definir as configuraccedilotildees defiltragem de arquivos
Leituragravaccedilatildeo
ISI_PRIV_FTP Configurar o servidor FTP Leituragravaccedilatildeo
ISI_PRIV_HDFS Configurar o servidor HDFS Leituragravaccedilatildeo
ISI_PRIV_HTTP Configurar o servidor HTTP Leituragravaccedilatildeo
ISI_PRIV_JOB_ENGINE Agendar trabalhos para todo ocluster
Leituragravaccedilatildeo
ISI_PRIV_LICENSE Ativar licenccedilas de software doOneFS
Leituragravaccedilatildeo
ISI_PRIV_MONITORING Registrar os aplicativos quemonitoram o cluster
Leituragravaccedilatildeo
ISI_PRIV_NDMP Configurar o servidor NDMP Leituragravaccedilatildeo
ISI_PRIV_NETWORK Configurar interfaces de rede Leituragravaccedilatildeo
ISI_PRIV_NFS Configurar o servidor NFS Leituragravaccedilatildeo
Funccedilotildees e privileacutegios administrativos
160 OneFS 810 Guia de Administraccedilatildeo da CLI
Privileacutegio Descriccedilatildeo Tipo
ISI_PRIV_NTP Configurar o NTP Leituragravaccedilatildeo
ISI_PRIV_QUOTA Configurar as cotas do filesystem
Leituragravaccedilatildeo
ISI_PRIV_REMOTE_SUPPOR T
Configurar o suporte remoto Leituragravaccedilatildeo
ISI_PRIV_SMARTPOOLS Configure pools dearmazenamento
Leituragravaccedilatildeo
ISI_PRIV_SMB Configurar o servidor SMB Leituragravaccedilatildeo
ISI_PRIV_SNAPSHOT Agendar criar e exibirsnapshots
Leituragravaccedilatildeo
ISI_PRIV_SNMP Configurar o servidor SNMP Leituragravaccedilatildeo
ISI_PRIV_STATISTICS Exibir as estatiacutesticas dedesempenho do file system
Leituragravaccedilatildeo
ISI_PRIV_SWIFT Configurar o Swift Leituragravaccedilatildeo
ISI_PRIV_SYNCIQ Configurar o SyncIQ Leituragravaccedilatildeo
ISI_PRIV_VCENTER Configurar o VMware forvCenter
Leituragravaccedilatildeo
ISI_PRIV_WORM Configurar os diretoacuterios doSmartLock
Leituragravaccedilatildeo
Privileacutegios de acesso a arquivosOs privileacutegios de acesso a arquivos listados na tabela a seguir permitem que o usuaacuterioexecute accedilotildees especiacuteficas ou conceda acesso de leitura ou gravaccedilatildeo a uma aacuterea deadministraccedilatildeo no cluster do EMC Isilon
Privilege Descriccedilatildeo Tipo
ISI_PRIV_IFS_BACKUP Faz backup de arquivos de ifs
Obs
Este privileacutegio contornaasverificaccedilotildees tradicionais deacesso a arquivos como bitsde modo ou ACLs NTFS
Accedilatildeo
ISI_PRIV_IFS_RESTORE Restaura arquivos de ifs
Obs
Este privileacutegio contorna asverificaccedilotildees tradicionais deacesso a arquivos como bitsde modo ou ACLs NTFS
Accedilatildeo
ISI_PRIV_IFS_WORM_DELETE
Realiza uma operaccedilatildeo deexclusatildeo privilegiada nos
Accedilatildeo
Funccedilotildees e privileacutegios administrativos
Privileacutegios compatiacuteveis com o OneFS 161
Privilege Descriccedilatildeo Tipo
arquivos confirmados paraWORM
Obs
Se vocecirc natildeo estiverconectado com a conta deusuaacuterio root vocecirc tambeacutemprecisa ter o privileacutegioISI_PRIV_NS_IFS_ACCESS
Privileacutegios de namespaceOs privileacutegios de namespace listados na tabela a seguir permitem que o usuaacuterioexecute accedilotildees especiacuteficas ou conceda acesso de leitura ou gravaccedilatildeo a uma aacuterea deadministraccedilatildeo no cluster do EMC Isilon
Privileacutegio Descriccedilatildeo Tipo
ISI_PRIV_NS_TRAVERSE Atravessar e visualizar osmetadados de diretoacuterio
Accedilatildeo
ISI_PRIV_NS_IFS_ACCESS Acesso ao diretoacuterio ifs por
meio da API do OneFS
Accedilatildeo
Privileacutegios de backup e restauraccedilatildeo de dadosVocecirc pode atribuir privileacutegios a um usuaacuterio que servem explicitamente para accedilotildees debackup e restauraccedilatildeo de dados do cluster
Dois privileacutegios permitem que um usuaacuterio faccedila backup e restaure os dados de clustercom protocolos compatiacuteveis do niacutevel de client ISI_PRIV_IFS_BACKUP eISI_PRIV_IFS_RESTORE
CUIDADO
Esses privileacutegios contornam as verificaccedilotildees tradicionais de acesso a arquivoscomo bits de modo ou listas de controle de acesso do NTFS
A maioria dos privileacutegios dos clusters permitem certas alteraccedilotildees agrave configuraccedilatildeo docluster Os privileacutegios de backup e restauraccedilatildeo permitem o acesso aos dados docluster a partir da zona do sistema o atravessamento de todos os diretoacuterios e a leiturade todos os file data e os metadados independentemente das permissotildees dosarquivos
Os usuaacuterios atribuiacutedos a esses privileacutegios usam o protocolo como um protocolo debackup para outra maacutequina sem gerar erros de acesso negado e sem conectar-secomo usuaacuterio root Estes dois privileacutegios satildeo compatiacuteveis com os seguintes protocolosde niacutevel de client
l SMB
l NFS
l API do OneFS
l FTP
l SSH
Funccedilotildees e privileacutegios administrativos
162 OneFS 810 Guia de Administraccedilatildeo da CLI
Via SMB os privileacutegios de ISI_PRIV_IFS_BACKUP e ISI_PRIV_IFS_RESTORE emulamos privileacutegios SE_BACKUP_NAME e SE_RESTORE_NAME do Windows A emulaccedilatildeosignifica que os procedimentos normais de abertura de arquivos estatildeo protegidos pelaspermissotildees do file system Para ativar os privileacutegios de backup e restauraccedilatildeo viaprotocolo SMB vocecirc deve abrir os arquivos com a opccedilatildeoFILE_OPEN_FOR_BACKUP_INTENT que ocorre automaticamente pelo softwarepara backup do Windows como o Robocopy A aplicaccedilatildeo da opccedilatildeo natildeo eacute automaacuteticaquando os arquivos satildeo abertos pelo software geral de pesquisa de arquivos como oWindows File Explorer
Os privileacutegios ISI_PRIV_IFS_BACKUP e ISI_PRIV_IFS_RESTORE datildeo suporteprincipalmente agraves ferramentas de backup Windows como o Robocopy Um usuaacuteriodeve ser membro da funccedilatildeo integrada BackupAdmin para acessar todos os recursos doRobocopy que incluem a coacutepia dos metadados de DACL e de SACL dos arquivos
Privileacutegios da interface de linha de comandoVocecirc pode executar a maioria das tarefas autorizadas por um privileacutegio na CLI(Command-Line Interface interface de linha de comando) Alguns comandos doOneFS exigem acesso root
Mapeamento de comandos a privileacutegiosCada comando da CLI eacute associado a um privileacutegio Alguns comandos exigem acessoroot
Comando isi Privileacutegio
isi antivirus ISI_PRIV_ANTIVIRUS
isi audit ISI_PRIV_AUDIT
isi auth excluding isi auth roles ISI_PRIV_AUTH
isi auth roles ISI_PRIV_ROLE
isi batterystatus ISI_PRIV_DEVICES
isi cloud ISI_PRIV_CLOUDPOOLS
isi config root
isi dedupe com exceccedilatildeo de isi dedupe stats ISI_PRIV_JOB_ENGINE
isi dedupe stats ISI_PRIV_STATISTICS
isi devices ISI_PRIV_DEVICES
isi email ISI_PRIV_CLUSTER
isi event ISI_PRIV_EVENT
isi fc ISI_PRIV_NDMP
isi file-filter ISI_PRIV_FILE_FILTER
isi filepool ISI_PRIV_SMARTPOOLS
isi ftp ISI_PRIV_FTP
isi get root
isi hardening ISI_PRIV_HARDENING
isi hdfs ISI_PRIV_HDFS
Funccedilotildees e privileacutegios administrativos
Privileacutegios da interface de linha de comando 163
Comando isi Privileacutegio
isi http ISI_PRIV_HTTP
isi job ISI_PRIV_JOB_ENGINE
isi license ISI_PRIV_LICENSE
isi ndmp ISI_PRIV_NDMP
isi network ISI_PRIV_NETWORK
isi nfs ISI_PRIV_NFS
ifs ntp ISI_PRIV_NTP
isi quota ISI_PRIV_QUOTA
isi readonly ISI_PRIV_DEVICES
isi remotesupport ISI_PRIV_REMOTE_SUPPORT
isi servicelight ISI_PRIV_DEVICES
isi services root
isi set root
isi smb ISI_PRIV_SMB
isi snapshot ISI_PRIV_SNAPSHOT
isi snmp ISI_PRIV_SNMP
isi statistics ISI_PRIV_STATISTICS
isi status ISI_PRIV_EVENTISI_PRIV_DEVICES
ISI_PRIV_JOB_ENGINE
ISI_PRIV_NETWORK
ISI_PRIV_SMARTPOOLS
ISI_PRIV_STATISTICS
isi storagepool ISI_PRIV_SMARTPOOLS
isi swift ISI_PRIV_SWIFT
isi sync ISI_PRIV_SYNCIQ
isi tape ISI_PRIV_NDMP
isi time ISI_PRIV_SYS_TIME
isi upgrade ISI_PRIV_SYS_UPGRADE
isi version ISI_PRIV_CLUSTER
isi worm com exceccedilatildeo de isi worm filesdelete
ISI_PRIV_WORM
isi worm files delete ISI_PRIV_IFS_WORM_DELETE
isi zone ISI_PRIV_AUTH
Funccedilotildees e privileacutegios administrativos
164 OneFS 810 Guia de Administraccedilatildeo da CLI
Mapeamento de privileacutegios a comandosCada privileacutegio eacute associado a um ou mais comandos Alguns comandos exigem acessoroot
Privileacutegio Comandos isi
ISI_PRIV_ANTIVIRUS isi antivirus
ISI_PRIV_AUDIT isi audit
ISI_PRIV_AUTH isi auth - com exceccedilatildeo de isi auth roleisi zone
ISI_PRIV_CLOUDPOOLS isi cloud
ISI_PRIV_CLUSTER isi emailisi version
ISI_PRIV_DEVICES isi batterystatusisi devices
isi readonly
isi servicelight
isi status
ISI_PRIV_EVENT isi eventisi status
ISI_PRIV_FILE_FILTER isi file-filter
ISI_PRIV_FTP isi ftp
ISI_PRIV_HARDENING isi hardening
ISI_PRIV_HDFS isi hdfs
ISI_PRIV_HTTP isi http
ISI_PRIV_JOB_ENGINE isi jobisi dedupe
isi status
ISI_PRIV_LICENSE isi license
ISI_PRIV_NDMP isi fcisi tape
isi ndmp
ISI_PRIV_NETWORK isi networkisi status
ISI_PRIV_NFS isi nfs
ISI_PRIV_NTP isi ntp
ISI_PRIV_QUOTA isi quota
ISI_PRIV_REMOTE_SUPPORT isi remotesupport
ISI_PRIV_ROLE isi auth role
Funccedilotildees e privileacutegios administrativos
Privileacutegios da interface de linha de comando 165
Privileacutegio Comandos isi
ISI_PRIV_SMARTPOOLS isi filepoolisi storagepool
isi status
ISI_PRIV_SMB isi smb
ISI_PRIV_SNAPSHOT isi snapshot
ISI_PRIV_SNMP isi snmp
ISI_PRIV_STATISTICS isi statusisi statistics
isi dedupe stats
ISI_PRIV_SWIFT isi swift
ISI_PRIV_SYNCIQ isi sync
ISI_PRIV_SYS_TIME isi time
ISI_PRIV_SYS_UPGRADE isi upgrade
ISI_PRIV_WORM isi worm com exceccedilatildeo de isi worm files delete
ISI_PRIV_IFS_WORM_DELETE isi worm files delete
root l isi config
l isi get
l isi services
l isi set
Gerenciando funccedilotildeesVocecirc pode exibir adicionar ou remover membros de qualquer funccedilatildeo Com exceccedilatildeodas funccedilotildees integradas cujos privileacutegios vocecirc natildeo pode modificar eacute possiacutevel adicionarou remover privileacutegios do OneFS com base em cada funccedilatildeo
Obs
As funccedilotildees adotam os usuaacuterios e grupos como membros Se um grupo for adicionado auma funccedilatildeo todos os usuaacuterios que satildeo membros desse grupo seratildeo atribuiacutedos aosprivileacutegios associados agrave funccedilatildeo Da mesma forma os membros de vaacuterias funccedilotildees seratildeoatribuiacutedos aos privileacutegios combinados de cada funccedilatildeo
Exibir funccedilotildeesVocecirc pode exibir informaccedilotildees sobre funccedilotildees integradas e personalizadas
Procedimento
1 Execute um dos comandos a seguir para exibir as funccedilotildees
Funccedilotildees e privileacutegios administrativos
166 OneFS 810 Guia de Administraccedilatildeo da CLI
l Para exibir uma lista baacutesica de todas as funccedilotildees do cluster execute oseguinte comando
isi auth roles list
l Para exibir informaccedilotildees detalhadas sobre cada funccedilatildeo do cluster inclusivelistas de membros e de privileacutegios execute o seguinte comando
isi auth roles list --verbose
l Para exibir informaccedilotildees detalhadas sobre uma soacute funccedilatildeo execute o seguintecomando onde ltfunccedilatildeogt eacute o nome da funccedilatildeo
isi auth roles view ltrolegt
Exibir privileacutegiosVocecirc pode exibir os privileacutegios de usuaacuterio
Este procedimento deve ser realizado na interface de linha de comando Vocecirc podeexibir uma lista de seus privileacutegios ou dos privileacutegios de outro usuaacuterio usando osseguintes comandos
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
2 Para exibir os privileacutegios execute um dos comandos a seguir
l Para exibir uma lista de todos os privileacutegios execute o seguinte comando
isi auth privileges --verbose
l Para exibir uma lista de seus privileacutegios execute o seguinte comando
isi auth id
l Para exibir uma lista dos privileacutegios de outro usuaacuterio execute o seguintecomando onde ltusuaacuteriogt eacute um espaccedilo reservado para outro usuaacuterio pornome
isi auth mapping token ltusergt
Criar e modificar uma funccedilatildeo personalizadaVocecirc pode criar uma funccedilatildeo personalizada em branco e depois adicionar usuaacuterios eprivileacutegios a ela
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
2 Execute o seguinte comando para criar uma funccedilatildeo onde ltnomegt eacute o nome quevocecirc deseja atribuir agrave funccedilatildeo e ltstringgt especifica uma descriccedilatildeo opcional
isi auth roles create ltnamegt [--description ltstringgt]
Funccedilotildees e privileacutegios administrativos
Exibir privileacutegios 167
3 Execute o seguinte comando para adicionar um usuaacuterio agrave funccedilatildeo ondeltfunccedilatildeogt eacute o nome da funccedilatildeo e ltstringgt eacute o nome do usuaacuterio
isi auth roles modify ltrolegt [--add-user ltstringgt]
Obs
Vocecirc tambeacutem pode modificar a lista de usuaacuterios atribuiacutedos a uma funccedilatildeointegrada
4 Execute o seguinte comando para adicionar um privileacutegio com acesso de leituragravaccedilatildeo agrave funccedilatildeo onde ltfunccedilatildeogt eacute o nome da funccedilatildeo e ltstringgt eacute o nome doprivileacutegio
isi auth roles modify ltrolegt [--add-priv ltstringgt]
5 Execute o seguinte comando para adicionar um privileacutegio com acesso somenteleitura agrave funccedilatildeo onde ltfunccedilatildeogt eacute o nome da funccedilatildeo e ltstringgt eacute o nome doprivileacutegio
isi auth roles modify ltrolegt [--add-priv-ro ltstringgt]
Excluir uma funccedilatildeo personalizadaA exclusatildeo de uma funccedilatildeo natildeo afeta os privileacutegios nem os usuaacuterios que foramatribuiacutedos a ela As funccedilotildees integradas natildeo podem ser excluiacutedas
Procedimento
1 Execute o seguinte comando para excluir uma funccedilatildeo personalizada ondeltnomegt eacute o nome da funccedilatildeo que vocecirc deseja excluir
isi auth roles delete ltnamegt
Funccedilotildees e privileacutegios administrativos
168 OneFS 810 Guia de Administraccedilatildeo da CLI
CAPIacuteTULO 8
Gerenciamento de identidades
Esta seccedilatildeo conteacutem os seguintes toacutepicos
l Visatildeo geral do gerenciamento de identidades170l Tipos de identidade170l Tokens de acesso 171l Geraccedilatildeo de tokens de acesso172l Gerenciando mapeamentos de ID179l Gerenciando identidades de usuaacuterios 183
Gerenciamento de identidades 169
Visatildeo geral do gerenciamento de identidadesEm ambientes com vaacuterios tipos diferentes de serviccedilos de diretoacuterio o OneFS mapeia osusuaacuterios e os grupos dos diferentes serviccedilos para oferecer uma soacute identidade unificadaem um cluster do EMC Isilon e um controle de acesso uniforme aos arquivos ediretoacuterios independentemente do protocolo de entrada Esse processo eacute chamado demapeamento de identidade
Com frequecircncia os clusters do Isilon satildeo implementados em ambientes com vaacuteriostipos de serviccedilos de diretoacuterio como Active Directory e LDAP Quando um usuaacuterio comcontas em vaacuterios serviccedilos de diretoacuterio faz log-in em um cluster o OneFS combina asidentidades e os privileacutegios do usuaacuterio a partir de todos os serviccedilos de diretoacuterio em umtoken nativo de acesso
Vocecirc pode definir as configuraccedilotildees do OneFS para incluir uma lista de regras paramanipulaccedilatildeo dos tokens de acesso e controlar a identidade e os privileacutegios do usuaacuterioPor exemplo vocecirc pode configurar uma regra de mapeamento de usuaacuterios paramesclar uma identidade do Active Directory e uma identidade do LDAP em um soacutetoken que funciona para o acesso aos arquivos armazenados via SMB e NFS O tokenpode incluir grupos do Active Directory e do LDAP As regras de mapeamento quevocecirc criar podem resolver problemas de identidade manipulando os tokens de acessode vaacuterias maneiras que incluem os seguintes exemplos
l Autenticar um usuaacuterio com o Active Directory mas oferecer a ele uma identidadedo UNIX
l Selecionar um grupo principal de opccedilotildees concorrentes do Active Directory ou doLDAP
l Impedir o log-in dos usuaacuterios que natildeo existem no Active Directory e no LDAP
Para obter mais informaccedilotildees sobre o gerenciamento de identidades consulte o whitepaper Gerenciando Identidades com o Serviccedilo de Mapeamento de Usuaacuterios do IsilonOneFS no Suporte on-line da EMC
Tipos de identidadeO OneFS daacute suporte a trecircs tipos principais de identidades e vocecirc armazenar cada umadelas diretamente no file system Os tipos de identidades satildeo identificadores deusuaacuterio e de grupo do UNIX e identificadores de seguranccedila do Windows
Ao fazer log-on em um cluster do EMC Isilon o mapeador de usuaacuterios expandiraacute suaidentidade para incluir suas outras identidades de todos os serviccedilos de diretoacuterioinclusive Active Directory LDAP e NIS Depois que o OneFS mapeia suas identidadesaos serviccedilos de diretoacuterio ele gera um token de acesso que inclui as informaccedilotildees deidentidade associadas a suas contas Um token inclui os seguintes identificadores
l Um ID exclusivo e um ID de grupo do UNIX Um ID exclusivo ou um ID de grupo eacuteum nuacutemero de 32 bits com um valor maacuteximo de 4294967295
l Um identificador de seguranccedila para uma conta de usuaacuterio do Windows Umidentificador de seguranccedila eacute uma seacuterie de autoridades e subautoridades queterminam com um RID (Relative Identifier identificador relativo) de 32 bits Amaioria dos identificadores de seguranccedila tecircm o formato S-1-5-21-ltAgt-ltBgt-ltCgt-ltRIDgt onde ltAgt ltBgt e ltCgt satildeo especiacuteficos a um domiacutenio ou computador eltRIDgt denota o objeto do domiacutenio
l Um identificador de seguranccedila principal de grupo para uma conta de grupo doWindows
Gerenciamento de identidades
170 OneFS 810 Guia de Administraccedilatildeo da CLI
l Uma lista de identidades adicionais inclusive todos os grupos dos quais o usuaacuterio eacutemembro
O token tambeacutem conteacutem os privileacutegios resultantes do controle de acesso baseado emfunccedilotildees administrativas
Em um cluster do Isilon um arquivo conteacutem as permissotildees que satildeo exibidas como umaACL A ACL controla o acesso aos diretoacuterios arquivos e outros objetos do sistema queprecisam de proteccedilatildeo
Quando um usuaacuterio tenta acessar um arquivo o OneFS compara as identidades dotoken de acesso do usuaacuterio com a ACL do arquivo O OneFS concede o acesso quandoa ACL do arquivo conteacutem uma ACE (Access Control Entry entrada de controle deacesso) que permite que a identidade do token acesse o arquivo e que natildeo inclui umaACE que nega o acesso da identidade O OneFS compara o token de acesso de umusuaacuterio com a ACL de um arquivo
Obs
Para obter mais informaccedilotildees sobre listas de controle de acesso inclusive umadescriccedilatildeo das permissotildees e de como elas correspondem aos bits de modo POSIXconsulte o white paper intitulado Acesso a Dados Multiprotocolos do EMC Isilon com umModelo Unificado de Seguranccedila no site de Suporte on-line da EMC
Quando um nome eacute apresentado como um identificador ele eacute convertido ao objetocorrespondente de usuaacuterio ou de grupo e ao tipo correto de identidade Vocecirc podedigitar ou exibir um nome de vaacuterias maneiras
l O UNIX supotildee namespaces exclusivos que diferenciam letras maiuacutesculas deminuacutesculas para usuaacuterios e grupos Por exemplo Name e name representamobjetos diferentes
l O Windows oferece um namespace exclusivo e que natildeo diferencia letrasmaiuacutesculas de minuacutesculas para todos os objetos e tambeacutem especifica um prefixopara definir um domiacutenio do Active Directory como destino por exemplo domainnome
l O Kerberos e o NFSv4 definem os principais o que requer que os nomes sejamformatados da mesma forma que os endereccedilos de e-mail por exemplonamedomaincom
Vaacuterios nomes podem se referir ao mesmo objeto Por exemplo considerando-se onome support e o domiacutenio examplecom os nomes support EXAMPLEsupport esupportexamplecom satildeo todos os nomes para um soacute objeto do Active Directory
Tokens de acessoUm token de acesso eacute criado quando o usuaacuterio faz sua primeira solicitaccedilatildeo de acesso
Os tokens de acesso representam quem eacute um usuaacuterio ao realizar accedilotildees no cluster eoferecem as identidades de proprietaacuterio principal e de grupo durante a criaccedilatildeo dearquivos Os tokens de acesso satildeo comparados aos bits de modo ou de ACL durante asverificaccedilotildees de autorizaccedilatildeo
Durante a autorizaccedilatildeo de usuaacuterios o OneFS compara o token de acesso que eacute geradodurante a conexatildeo inicial com os dados de autorizaccedilatildeo do arquivo Todo omapeamento de usuaacuterio e identidades ocorre durante a geraccedilatildeo de tokens nenhummapeamento ocorre durante a avaliaccedilatildeo de permissotildees
Um token de acesso inclui todos os IDs exclusivos IDs de grupo e identificadores deseguranccedila de uma identidade aleacutem de todos os privileacutegios do OneFS O OneFS lecirc asinformaccedilotildees do token para determinar se um usuaacuterio tem acesso a um recurso Eacute
Gerenciamento de identidades
Tokens de acesso 171
importante que o token contenha a lista correta de IDs exclusivos IDs de grupo eidentificadores de seguranccedila Um token de acesso eacute criado a partir de uma dasseguintes origens
Origem Autenticaccedilatildeo
Nome de usuaacuterio l SMB impersonate user
l Kerberized NFSv3
l Kerberized NFSv4
l Mapeamento de usuaacuterios da exportaccedilatildeoNFS
l HTTP
l FTP
l HDFS
PAC (Privilege Attribute Certificate) l SMB NTLM
l Active Directory Kerberos
UID (User identifier) l NFS AUTH_SYS mapping
Geraccedilatildeo de tokens de acessoPara a maioria de protocolos o token de acesso eacute gerado a partir do nome de usuaacuterioou dos dados de autorizaccedilatildeo que satildeo recuperados durante a autenticaccedilatildeo
As seguintes etapas apresentam uma visatildeo geral simplificada do processo complexopelo qual um token de acesso eacute gerado
Etapa 1 Pesquisa de identidade do usuaacuterio
Usando a identidade inicial o usuaacuterio seraacute pesquisado em todos os provedores deautenticaccedilatildeo configurados na zona de acesso na ordem em que estiveremlistados A lista de identidades e grupos de usuaacuterios eacute recuperada do provedor deautenticaccedilatildeo Em seguida as listas adicionais de membros do grupo associadas agravelista de usuaacuterios e grupos satildeo pesquisadas para todos os outros provedores deautenticaccedilatildeo Todos esses identificadores de seguranccedila IDs exclusivos ou IDs degrupo satildeo adicionados ao token inicial
Obs
Uma exceccedilatildeo a esse comportamento ocorre se o provedor do Active Directory forconfigurado para chamar outros provedores como LDAP ou NIS
Etapa 2 Mapeamento de IDs
Os identificadores do usuaacuterio satildeo associados nos serviccedilos de diretoacuterios Todos osidentificadores de seguranccedila satildeo convertidos a seu ID exclusivoID de grupoequivalente e vice-versa Esses mapeamentos de IDs tambeacutem satildeo adicionados aotoken de acesso
Gerenciamento de identidades
172 OneFS 810 Guia de Administraccedilatildeo da CLI
Etapa 3 Mapeamento de usuaacuterios
Os tokens de acesso dos outros serviccedilos de diretoacuterios satildeo combinados Se o nomede usuaacuterio corresponder a quaisquer regras de mapeamento de usuaacuterios as regrassatildeo processadas em ordem e o token eacute atualizado de modo adequado
Etapa 4 Caacutelculo da identidade em disco
A identidade em disco padratildeo eacute calculada a partir do token final e da configuraccedilatildeoglobal Essas identidades satildeo usadas para os arquivos receacutem-criados
Mapeamento de IDsO serviccedilo de mapeamento de identidade (ID) manteacutem as informaccedilotildees da relaccedilatildeo entreos identificadores mapeados Windows e UNIX para fornecer controle de acessoconsistente nos protocolos de compartilhamento de arquivos dentro de uma zona deacesso
Obs
O mapeamento de IDs e o mapeamento de usuaacuterios satildeo serviccedilos diferentes apesar dasemelhanccedila entre os nomes
Durante a autenticaccedilatildeo o daemon de autenticaccedilatildeo solicita mapeamentos deidentidade do serviccedilo de mapeamento de IDs para criar tokens de acesso Mediantesolicitaccedilatildeo o serviccedilo de mapeamento de IDs retorna identificadores do Windowsassociados aos identificadores do UNIX ou identificadores do UNIX associados aidentificadores do Windows Quando um usuaacuterio eacute autenticado em um cluster via NFScom um ID exclusivo ou um ID de grupo o serviccedilo de mapeamento de IDs retorna oSID do Windows associado permitindo o acesso a arquivos que outros usuaacuteriosarmazenaram via SMB Quando um usuaacuterio eacute autenticado em um cluster via SMB comum SID o serviccedilo de mapeamento de IDs retorna o ID exclusivo e o ID de grupo doUNIX associado permitindo o acesso a arquivos que um client UNIX armazenou viaNFS
Os mapeamentos entre IDs exclusivos e IDs de grupo e SIDs satildeo armazenados deacordo com as zonas de acesso em um banco de dados distribuiacutedo do cluster chamadomapa de ID Cada mapeamento no mapa de ID eacute armazenado como uma relaccedilatildeounidirecional do tipo de identidade de origem ao de destino Os mapeamentosbidirecionais satildeo armazenados como mapeamentos unidirecionais complementares
Associando os IDs Windows aos IDs UNIXQuando um usuaacuterio do Windows faz a autenticaccedilatildeo com um SID o daemon deautenticaccedilatildeo pesquisa o provedor externo do Active Directory para procurar o usuaacuterioou grupo associado ao SID Se o usuaacuterio ou grupo tiver apenas um SID no ActiveDirectory o daemon de autenticaccedilatildeo solicitaraacute um mapeamento do serviccedilo demapeamento de ID
Obs
As pesquisas de usuaacuterios e grupos podem ser desativadas ou limitadas nasconfiguraccedilotildees do Active Directory Vocecirc ativa as configuraccedilotildees de pesquisa deusuaacuterios e grupos com o comando isi auth ads modify
Se o serviccedilo de mapeamento de ID natildeo encontrar e retornar um ID exclusivo ou ID degrupo mapeado no mapa de ID o daemon de autenticaccedilatildeo pesquisa outros provedoresexternos de autenticaccedilatildeo configurados na mesma zona de acesso de um usuaacuterio quecombina o mesmo nome do usuaacuterio do Active Directory
Gerenciamento de identidades
Mapeamento de IDs 173
Se um nome de usuaacuterio de correspondecircncia for encontrado em outro provedorexterno o daemon de autenticaccedilatildeo adiciona o ID exclusivo do usuaacuterio ou o ID de grupocorrespondentes ao token de acesso para o usuaacuterio do Active Directory e o serviccedilo demapeamento de ID cria um mapeamento entre o ID exclusivo ou o ID de grupo e o SIDde usuaacuterio do Active Directory no mapa de ID Isso eacute chamado de mapeamentoexterno
Obs
Quando um mapeamento externo eacute armazenado no mapa de ID o ID exclusivo eacuteespecificado como a identidade no disco para esse usuaacuterio Quando o serviccedilo demapeamento de ID armazena um mapeamento gerado o SID eacute especificado como aidentidade no disco
Se um nome de usuaacuterio correspondente natildeo for encontrado em outro provedorexterno o daemon de autenticaccedilatildeo atribui um ID exclusivo ou um ID de grupo dointervalo de mapeamento ID para o SID de usuaacuterio do Active Directory e os serviccedilosde mapeamento de ID armazenam o mapeamento no mapa de ID Isso eacute chamado demapeamento gerado O intervalo de mapeamento de ID eacute um pool de IDs exclusivos eIDs de grupo alocados nas configuraccedilotildees de mapeamento
Depois da criaccedilatildeo de um mapeamento para um usuaacuterio o daemon de autenticaccedilatildeorecupera o ID exclusivo ou ID de grupo armazenado no mapa de ID nas pesquisassubsequentes para o usuaacuterio
Associando os IDs do UNIX aos IDs do WindowsO serviccedilo de mapeamento de ID cria mapeamentos temporaacuterios de ID exclusivo paraSID e de ID de grupo para SID somente se um mapeamento ainda natildeo existir Osidentificadores de seguranccedila do UNIX que resultam desses mapeamentos nunca satildeoarmazenados em disco
Os IDs exclusivos e os IDs de grupo tecircm um conjunto de mapeamentos predefinidospara e de SIDs
Se um mapeamento de ID exclusivo para SID ou de ID de grupo para SID for solicitadodurante a autenticaccedilatildeo o serviccedilo de mapeamento de ID gerar um identificador deseguranccedila do UNIX temporaacuterio no formato S-1-22-1-ltUIDgt ou S-1-22-2-ltGIDgtaplicando as seguintes regras
l Para IDs exclusivos o serviccedilo de mapeamento de ID gera um identificador deseguranccedila do UNIX com um domiacutenio de S-1-22-1 e um ID de recurso quecorresponda ao ID exclusivo Por exemplo o identificador de seguranccedila do UNIXpara o ID exclusivo 600 eacute S-1-22-1-600
l Para IDs de grupo o serviccedilo de mapeamento de ID gera um identificador deseguranccedila do UNIX com um domiacutenio de S-1-22-2 e um ID de recurso quecorresponda ao ID exclusivo Por exemplo o identificador de seguranccedila do UNIXpara o ID de grupo 800 eacute S-1-22-2-800
Intervalos de mapeamento de IDNas zonas de acesso com os vaacuterios provedores externos de autenticaccedilatildeo como ActiveDirectory e LDAP eacute importante que os IDs exclusivos e IDs de grupo de diferentesfornecedores configurados na mesma zona de acesso natildeo se sobreponham Asobreposiccedilatildeo de IDs exclusivos e IDs de grupo entre provedores em uma zona deacesso pode resultar em alguns usuaacuterios obtendo acesso a diretoacuterios e arquivos deoutros usuaacuterios
O intervalo de IDs exclusivos e IDs de grupo que pode ser alocado para o mapeamentogerado eacute configuraacutevel em cada zona de acesso com o comando isi auth
Gerenciamento de identidades
174 OneFS 810 Guia de Administraccedilatildeo da CLI
settings mappings modify O intervalo padratildeo para IDs exclusivos e IDs degrupo eacute 1000000-2000000 em cada zona de acesso
Natildeo inclua os IDs exclusivos e IDs de grupo utilizados geralmente em seus intervalosde IDs Por exemplo os IDs exclusivos e os IDs de grupo abaixo de 1000 satildeoreservados para contas do sistema e natildeo devem ser atribuiacutedos a usuaacuterios nem agrupos
Mapeamento de usuaacuteriosO mapeamento de usuaacuterios representa um modo de controlar as permissotildeesespecificando os identificadores de seguranccedila de um usuaacuterio os identificadores dousuaacuterio e os identificadores do grupo O OneFS usa os identificadores para verificar apropriedade dos arquivos ou dos grupos
Com o recurso de mapeamento de usuaacuterios vocecirc pode aplicar regras para modificar aidentidade de usuaacuterio usada pelo OneFS adicionar identidades complementares dousuaacuterio e modificar a lista de membros do grupo de um usuaacuterio O serviccedilo demapeamento de usuaacuterios combina as identidades de um usuaacuterio obtidas de diferentesserviccedilos de diretoacuterios em um soacute token de acesso e depois as modifica de acordo comas regras que vocecirc cria
Obs
Vocecirc pode configurar as regras de mapeamento por zona As regras de mapeamentodevem ser configuradas separadamente em cada zona de acesso que as usa O OneFSsomente mapeia usuaacuterios somente durante o log-in ou o acesso a protocolos
Mapeamentos de usuaacuterios padratildeoOs mapeamentos de usuaacuterios padratildeo determinaratildeo o acesso se regras expliacutecitas demapeamento de usuaacuterios natildeo forem criadas
Se vocecirc natildeo configurar regras um usuaacuterio que fizer a autenticaccedilatildeo com um serviccedilo dediretoacuterios receberaacute as informaccedilotildees de identidade em outros serviccedilos de diretoacuteriosquando os nomes das contas forem os mesmos Por exemplo um usuaacuterio que fizer aautenticaccedilatildeo com um domiacutenio do Active Directory como Desktopjane receberaacuteautomaticamente as identidades no token de acesso final para a conta de usuaacuterioUNIX correspondente para jane no LDAP ou no NIS
No cenaacuterio mais comum o OneFS eacute conectado a dois serviccedilos de diretoacuterios o ActiveDirectory e o LDAP Nesse caso o mapeamento padratildeo fornece ao usuaacuterio osseguintes atributos de identidade
l Um ID exclusivo do LDAP
l O SID do usuaacuterio do Active Directory
l Um SID do grupo padratildeo no Active Directory
Os grupos do usuaacuterio se originaratildeo do Active Directory e do LDAP com os gruposLDAP e o ID de grupo gerado automaticamente adicionado agrave lista Para extrair gruposdo LDAP o serviccedilo de mapeamento consulta o atributo memberUid O diretoacuterio deusuaacuterio os gecos e o shell do usuaacuterio se originam do Active Directory
Elementos de regras de mapeamento de usuaacuteriosCombine operadores com nomes de usuaacuterios para criar uma regra de mapeamento deusuaacuterios
Os seguintes elementos afetam como o mapeador do usuaacuterio aplica uma regra
Gerenciamento de identidades
Mapeamento de usuaacuterios 175
l O operador que determina a operaccedilatildeo executada por uma regra
l Campos para nomes de usuaacuterio
l Opccedilotildees
l Um paracircmetro
l Caracteres-curinga
Praacuteticas recomendadas de mapeamento de usuaacuteriosVocecirc pode seguir as praacuteticas recomendadas para simplificar o mapeamento deusuaacuterios
Use o Active Directory com RFC 2307 e Windows Services for UNIX
Use o Microsoft Active Directory com Windows Services for UNIX e atributosRFC 2307 para gerenciar os sistemas Linux UNIX e Windows A integraccedilatildeo dossistemas UNIX e Linux ao Active Directory centraliza o gerenciamento deidentidades e facilita a interoperabilidade reduzindo a necessidade de regras demapeamento de usuaacuterios Certifique-se de que seus controladores de domiacutenioestejam executando o Windows Server 2003 ou posterior
Aplique uma estrateacutegia consistente de nome de usuaacuterio
As configuraccedilotildees mais simples nomeiam os usuaacuterios de modo consistente paraque cada usuaacuterio UNIX corresponda a um usuaacuterio do Windows com um nomesemelhante Essa convenccedilatildeo permite que as regras com caracteres-curingafaccedilam a correspondecircncia a nomes e os mapeiem sem especificar explicitamentecada par de contas
Natildeo use intervalos sobrepostos de IDs
Nas redes com vaacuterias origens de identidade como LDAP e Active Directory comatributos RFC 2307 vocecirc deve garantir que os intervalos de IDs exclusivos ou deIDs de grupo natildeo se sobreponham Tambeacutem eacute importante que o intervalo a partirdo qual o OneFS aloca automaticamente os IDs exclusivos e IDs de grupo natildeo sesobreponha a nenhum outro intervalo de IDs O OneFS aloca automaticamente osIDs exclusivos e IDs de grupo a partir do intervalo 1000000 a 2000000 Se osIDs exclusivos e IDs de grupo se sobrepuserem a vaacuterios serviccedilos de diretoacuterioalguns usuaacuterios poderatildeo ter acesso aos diretoacuterios e arquivos de outros usuaacuterios
Evite IDs de usuaacuterios exclusivos e IDs de grupo comuns
Natildeo inclua os IDs exclusivos e IDs de grupo utilizados geralmente em seusintervalos de IDs Por exemplo os IDs exclusivos e os IDs de grupo abaixo de 1000satildeo reservados para contas do sistema natildeo os atribua a usuaacuterios nem grupos
Natildeo use UPNs nas regras de mapeamento
Vocecirc natildeo pode usar um UPN (User Principal Name) em uma regra demapeamento de usuaacuterios Um UPN eacute um domiacutenio e um nome de usuaacuterio do ActiveDirectory que satildeo combinados em um nome de estilo Internet com um siacutembolo como um endereccedilo de e-mail janeexample Se vocecirc incluir o UPN em umaregra o serviccedilo de mapeamento vai ignoraacute-lo e poderaacute exibir um erro Em vezdisso especifique nomes no formato DOMAINusercom
Agrupe as regras por tipo e coloque-as em ordem
O sistema processa todas as regras de mapeamento de modo padratildeo o que podeapresentar problemas quando vocecirc aplicar uma regra deny-all mdash por exemplopara negar o acesso a todos os usuaacuterios desconhecidos Aleacutem disso as regrasreplacement (substituiccedilatildeo) podem interagir com as regras que contecircmcaracteres-curinga Para minimizar a complexidade recomenda-se que vocecircagrupe as regras por tipo e coloque-as na seguinte ordem
Gerenciamento de identidades
176 OneFS 810 Guia de Administraccedilatildeo da CLI
1 Regras replacement primeiro especifique todas as regras que substituemuma identidade para garantir que o OneFS substitua todas as instacircncias daidentidade
2 Regras join add e insert depois que os nomes forem configurados pelasoperaccedilotildees replacement especifique as regras join (associaccedilatildeo) add (adiccedilatildeo)e insert (inserccedilatildeo) para adicionar identificadores adicionais
3 Regras allow e deny por uacuteltimo especifique as regras que autorizam ounegam o acesso
Obs
Interrompa todo o processamento antes de aplicar uma regra deny padratildeoPara fazer isso crie uma regra que corresponda aos usuaacuterios autorizados masque natildeo faccedila nada como um operador add sem opccedilotildees de campo e que tenhaa opccedilatildeo break Depois de enumerar os usuaacuterios autorizados vocecirc podeinformar uma regra catchall deny ao final para substituir qualquer usuaacuterio natildeocorrespondido por um usuaacuterio em branco
Para impedir que as regras expliacutecitas sejam ignoradas em cada grupo de regrasordene as regras expliacutecitas antes das regras que contecircm caracteres-curinga
Adicione o grupo principal de LDAP ou de NIS aos grupos complementares
Quando um cluster do Isilon eacute conectado ao Active Directory e ao LDAP a praacuteticarecomendada eacute adicionar o grupo principal do LDAP agrave lista de gruposcomplementares Isso permite que o OneFS honre as permissotildees de grupo dosarquivos criados via NFS ou migrados de outros sistemas de armazenamentoUNIX A mesma praacutetica eacute recomendada quando um cluster do Isilon eacute conectadoao Active Directory e ao NIS
Identidade em discoDepois que o mapeador de usuaacuterios resolver as identidades de um usuaacuterio o OneFSdetermina um identificador de autoria para ele que eacute a identidade preferencial emdisco
O OneFS armazena as identidades do UNIX ou do Windows em metadados de arquivosno disco Os tipos de identidade em disco satildeo UNIX identificador de seguranccedila enativa As identidades satildeo configuradas quando um arquivo eacute criado ou quando osdados de controle de acesso de um arquivo satildeo modificados Quase todos osprotocolos requerem algum niacutevel de mapeamento para operar corretamente portantoeacute muito importante escolher a identidade preferencial para armazenar no disco Vocecircpode configurar o OneFS para armazenar a identidade do UNIX ou do Windows ouvocecirc pode permitir que o OneFS determine a identidade ideal que seraacute armazenada
Os tipos de identidade em disco satildeo UNIX identificador de seguranccedila e nativaEmbora vocecirc possa alterar o tipo de identidade em disco a identidade nativa eacute amelhor para uma rede com sistemas UNIX e Windows No modo de identidade nativaem disco configurar o ID exclusivo como a identidade em disco melhora odesempenho do NFS
Gerenciamento de identidades
Identidade em disco 177
Obs
A identidade de identificador de seguranccedila em disco serve para uma rede homogecircneade sistemas Windows gerenciados somente com o Active Directory Ao fazer upgradede uma versatildeo anterior a OneFS 65 a identidade em disco seraacute configurada comoUNIX Ao fazer upgrade do OneFS 65 ou posterior a configuraccedilatildeo da identidade emdisco seraacute preservada Nas novas instalaccedilotildees a identidade em disco eacute configuradacomo nativa
O tipo de identidade nativa permite que o daemon de autenticaccedilatildeo do OneFS selecionea identidade correta que seraacute armazenada em disco verificando os tipos demapeamento de identidade na seguinte ordem
Order Tipo de mapeamento Descriccedilatildeo
1 Mapeamento algoriacutetmico Um identificador deseguranccedila que faz acorrespondecircncia comS-1-22-1-UID ou comS-1-22-2-GID no banco dedados interno de mapeamentode IDs eacute convertido de volta agraveidentidade correspondente doUNIX e o ID exclusivo e o IDde grupo satildeo configuradoscomo a identidade em disco
2 Mapeamento externo Um usuaacuterio com um IDexclusivo ou um ID de grupoexpliacutecito em um serviccedilo dediretoacuterio (como o ActiveDirectory com atributos deRFC 2307 o LDAP o NIS oprovedor de arquivos doOneFS ou o provedor local)tem a identidade do UNIXconfigurada como aidentidade em disco
3 Mapeamento persistente Os mapeamentos satildeoarmazenados de modopersistente no banco dedados do mapeador deidentidades Uma identidadecom um mapeamentopersistente no banco dedados do mapeador deidentidades usa o destinodesse mapeamento como aidentidade em disco queocorre principalmente commapeamentos manuais de IDsPor exemplo se houver ummapeamento de IDs do GID10000 a S-1-5-32-545 umasolicitaccedilatildeo do armazenamento
Gerenciamento de identidades
178 OneFS 810 Guia de Administraccedilatildeo da CLI
Order Tipo de mapeamento Descriccedilatildeo
em disco do GID10000 exibiraacuteS-1-5-32-545
4 Nenhum mapeamento Se um usuaacuterio natildeo tem um IDexclusivo ou um ID de grupomesmo depois de consultar osoutros serviccedilos de diretoacuterios ebancos de dados deidentidades o identificador deseguranccedila eacute configuradocomo a identidade em discoAleacutem disso para garantir queum usuaacuterio possa acessararquivos via NFS o OneFSaloca um ID exclusivo e um IDde grupo em uma faixapredefinida de 1000000 a2000000 No modo deidentidade nativa em discoum ID exclusivo ou um ID degrupo gerado pelo OneFSnunca eacute definido como aidentidade em disco
Obs
Se vocecirc alterar o tipo de identidade em disco seraacute necessaacuterio executar o trabalhoPermissionRepair com o tipo de reparo Convert selecionado para garantir que arepresentaccedilatildeo de disco de todos os arquivos seja consistente com a configuraccedilatildeoalterada Para obter mais informaccedilotildees consulte a seccedilatildeo Executar o trabalhoPermissionRepair
Gerenciando mapeamentos de IDVocecirc pode criar modificar excluir mapeamentos de identidade e definir asconfiguraccedilotildees de mapeamento de ID
Criar um mapeamento de identidadeVocecirc pode criar um mapeamento manual de identidade entre as identidades de origeme de destino ou gerar automaticamente um mapeamento para uma identidade daorigem
Este procedimento somente estaacute disponiacutevel pela interface de linha de comando
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Execute o comando isi auth mapping create
Gerenciamento de identidades
Gerenciando mapeamentos de ID 179
O seguinte comando especifica IDs de identidades de origem e de destino nazona de acesso zone3 para criar um mapeamento bidirecional entre asidentidades
isi auth mapping create --2way --source-sid=S-1-5-21-12345 --target-uid=5211 --zone=zone3
Modificar um mapeamento de identidadeVocecirc pode modificar as configuraccedilotildees de um mapeamento de identidade
Este procedimento somente estaacute disponiacutevel pela interface de linha de comando
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Execute o comando isi auth mapping modify
O seguinte comando modifica o mapeamento do usuaacuterio com ID exclusivo 4236na zona de acesso zone3 para incluir um mapeamento bidirecional inverso entreas identidades de origem e de destino
isi auth mapping modify --source-uid=4236 --target-sid=S-1-5-21-12345 --zone=zone3 --2way
Excluir um mapeamento de identidadeVocecirc pode excluir um ou vaacuterios mapeamentos de identidade
Este procedimento somente estaacute disponiacutevel pela interface de linha de comando
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Execute o comando isi auth mapping delete
O seguinte comando exclui todos os mapeamentos de identidade na zona deacesso zone3
isi auth mapping delete --all --zone=zone3
O seguinte comando exclui todos os mapeamentos de identidade na zona deacesso zone3 que foram criados automaticamente e incluem um ID exclusivo ouum ID de grupo de uma origem externa de autenticaccedilatildeo
isi auth mapping delete --all --only-external --zone=zone3
O seguinte comando exclui o mapeamento de identidade do usuaacuterio com IDexclusivo 4236 na zona de acesso zone3
isi auth mapping delete --source-uid=4236 --zone=zone3
Gerenciamento de identidades
180 OneFS 810 Guia de Administraccedilatildeo da CLI
Exibir um mapeamento de identidadeVocecirc pode exibir informaccedilotildees de mapeamento para uma identidade especiacutefica
Este procedimento somente estaacute disponiacutevel pela interface de linha de comando
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Execute o comando isi auth mapping view
O seguinte comando exibe mapeamentos para o usuaacuterio com ID exclusivo 4236na zona de acesso zone3
isi auth mapping view --uid=4236 --zone=zone3
O sistema exibe resultados semelhantes aos do seguinte exemplo
Name user_36 On-disk UID 4236Unix uid 4236Unix gid -100000 SMB S-1-22-1-4236
Fazer flush do cache de mapeamento de identidadeVocecirc pode fazer flush do cache de mapeamento de ID para remover coacutepias emmemoacuteria de mapeamentos de identidade especiacuteficos ou de todos os mapeamentos deidentidade
As modificaccedilotildees nos mapeamentos de ID podem fazer com que o cache fique fora desincronia e os usuaacuterios possam experimentar lentidatildeo ou paralisaccedilotildees durante aautenticaccedilatildeo Vocecirc pode fazer flush do cache para sincronizar os mapeamentos
Este procedimento somente estaacute disponiacutevel pela interface de linha de comando
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Execute o comando isi auth mapping flush
O seguinte comando faz flush de todos os mapeamentos de identidade nocluster do EMC Isilon
isi auth mapping flush --all
O seguinte comando faz flush do mapeamento do usuaacuterio com ID exclusivo4236 na zona de acesso zone3
isi auth mapping flush --source-uid-4236 --zone=zone3
Exibir um token do usuaacuterioVocecirc pode exibir o conteuacutedo de um token de acesso gerado para um usuaacuterio durante aautenticaccedilatildeo
Gerenciamento de identidades
Exibir um mapeamento de identidade 181
Este procedimento somente estaacute disponiacutevel pela interface de linha de comando
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Execute o comando isi auth mapping token
O seguinte comando exibe o token de acesso de um usuaacuterio a um ID exclusivo4236 na zona de acesso zone3
isi auth mapping token --uid=4236 --zone=zone3
O sistema exibe um resultado semelhante ao do seguinte exemplo
User Name user_36 UID 4236 SID S-1-22-1-4236 On Disk 4236ZID 3Zone zone3Privileges -Primary Group Name user_36 GID 4236 SID S-1-22-2-4236 On Disk 4236
Definir as configuraccedilotildees do mapeamento de identidadeVocecirc pode habilitar ou desabilitar a alocaccedilatildeo automaacutetica de IDs exclusivos e de IDs degrupo e personalizar o intervalo de valores de ID em cada zona de acesso O intervalopadratildeo eacute 1000000ndash2000000
Este procedimento somente estaacute disponiacutevel pela interface de linha de comando
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Execute o comando isi auth settings mapping modify
O seguinte comando permite a alocaccedilatildeo automaacutetica de IDs exclusivos e IDs degrupo na zona de acesso zone3 e define os intervalos de alocaccedilatildeo para25000-50000
isi auth settings mapping modify --gid-range-enabled=yes --gid-range-min=25000 --gid-range-max=50000 --uid-range-enabled=yes --uid-range-min=25000 --uid-range-max=50000 --zone=zone3
Exibir as configuraccedilotildees do mapeamento de identidadeVocecirc pode exibir a definiccedilatildeo atual de configuraccedilotildees do mapeamento de identidade emcada zona
Este procedimento somente estaacute disponiacutevel pela interface de linha de comando
Gerenciamento de identidades
182 OneFS 810 Guia de Administraccedilatildeo da CLI
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Execute o comando isi auth settings mapping view
O seguinte comando exibe as configuraccedilotildees atuais da zona de acesso zone3
isi auth settings mapping view --zone=zone3
O sistema exibe um resultado semelhante ao do seguinte exemplo
GID Range Enabled Yes GID Range Min 25000 GID Range Max 50000UID Range Enabled Yes UID Range Min 25000 UID Range Max 50000
Gerenciando identidades de usuaacuteriosVocecirc pode gerenciar identidades de usuaacuterios criando regras de mapeamento deusuaacuterios
Ao criar regras de mapeamento de usuaacuterios eacute importante lembrar as seguintesinformaccedilotildees
l Vocecirc soacute pode criar regras de mapeamento de usuaacuterios se estiver conectado a umcluster EMC Isilon por meio da zona do sistema entretanto vocecirc pode aplicarregras de mapeamento de usuaacuterios a zonas de acesso especiacuteficas Se vocecirc criaruma regra de mapeamento de usuaacuterios para uma zona de acesso especiacutefica aregra seraacute aplicada somente no contexto da zona
l Ao alterar o mapeamento de usuaacuterios em um noacute o OneFS propaga as alteraccedilotildeesnos outros noacutes
l Feita uma alteraccedilatildeo em um mapeamento de usuaacuterios o serviccedilo de autenticaccedilatildeo doOneFS recarrega a configuraccedilatildeo
Exibir a identidade do usuaacuterioVocecirc pode exibir as identidades e a lista de membros do grupo que um usuaacuterioespecificado tem no Active Directory e nos serviccedilos de diretoacuterio do LDAP inclusive ohistoacuterico de SIDs (Security Identifiers identificadores de seguranccedila)
Este procedimento deve ser realizado por meio da interface de linha de comando
Obs
O token de acesso do usuaacuterio do OneFS conteraacute uma combinaccedilatildeo de identidades doActive Directory e do LDAP se os dois serviccedilos de diretoacuterio estiverem configuradosVocecirc pode executar os comandos a seguir para detectar as identidades incluiacutedas emcada serviccedilo de diretoacuterio especiacutefico
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
2 Visualize uma identidade de usuaacuterio do Active Directory somente pela execuccedilatildeodo comando isi auth users view
Gerenciamento de identidades
Gerenciando identidades de usuaacuterios 183
O seguinte comando exibe a identidade de um usuaacuterio denominado stand nodomiacutenio do Active Directory chamado YORK
isi auth users view --user=YORKstand --show-groups
O sistema exibe resultados semelhantes aos do seguinte exemplo
Name YORKstand DN CN=standCN=UsersDC=yorkDC=hullDC=exampleDC=com DNS Domain yorkhullexamplecom Domain YORK Provider lsa-activedirectory-providerYORKHULLEXAMPLECOMSam Account Name stand UID 4326 SID S-1-5-21-1195855716-1269722693-1240286574-591111 Primary Group ID GID1000000 Name YORKyork_sh_udg Additional Groups YORKsd-york space group YORKyork_sh_udg YORKsd-york-group YORKsd-group YORKdomain users
3 Visualize uma identidade de usuaacuterio do LDAP somente pela execuccedilatildeo docomando isi auth users view
O seguinte comando exibe a identidade de um usuaacuterio do LDAP denominadostand
isi auth user view --user=stand --show-groups
O sistema exibe resultados semelhantes aos do seguinte exemplo
Name stand DN uid=standou=Peopledc=colorado4dc=hulldc=exampledc=comDNS Domain - Domain LDAP_USERS Provider lsa-ldap-providerUnix LDAPSam Account Name stand UID 4326 SID S-1-22-1-4326 Primary Group ID GID7222 Name stand Additional Groups stand sd-group sd-group2
Criar uma regra de mapeamento de usuaacuteriosVocecirc pode criar regras de mapeamento de usuaacuterios para gerenciar as identidades deusuaacuterios do cluster
A primeira regra de mapeamento pode ser criada com a opccedilatildeo --user-mapping-rules para o comando isi zone zones modify System No entanto se vocecirctentar adicionar uma segunda regra com o comando acima ele substitui a regraexistente em vez de adicionar a nova regra agrave lista Para adicionar mais regras agrave lista
Gerenciamento de identidades
184 OneFS 810 Guia de Administraccedilatildeo da CLI
vocecirc deve usar a opccedilatildeo --add-user-mapping-rules com o comando isi zonezones modify System
Obs
Se vocecirc natildeo especificar uma zona de acesso as regras de mapeamento de usuaacuteriosseratildeo criadas na zona do sistema
Procedimento
1 Para criar uma regra e mesclar o usuaacuterio do Active Directory a um usuaacuterio doLDAP execute o seguinte comando onde ltusuaacuterio-agt e ltusuaacuterio-bgt satildeoespaccedilos reservados para as identidades que seratildeo mescladas por exemplouser_9440 e lduser_010 respectivamente
isi zone zones modify System --add-user-mapping-rules ltDOMAINgt ltuser-agt amp= ltuser-bgt
Execute o seguinte comando para exibir a regra
isi zone zones view System
Se o comando for executado com sucesso o sistema exibiraacute a regra demapeamento que eacute visiacutevel na linha User Mapping Rules do resultado
Name System Cache Size 477M Map Untrusted SMB Shares - Auth Providers - Local Provider Yes NetBIOS Name All SMB Shares Yes All Auth Providers Yes User Mapping Rules ltDOMIacuteNIOgtltusuaacuterio_agt amp= ltusuaacuterio_bgtHome Directory Umask 0077 Skeleton Directory usrshareskel Zone ID 1
2 Para verificar as alteraccedilotildees no token execute um comando semelhante ao doseguinte exemplo
isi auth mapping token ltDOMAINgtltuser-agt
Se o comando for executado com sucesso o sistema exibiraacute um resultadosemelhante ao do seguinte exemplo
User Name ltDOMIacuteNIOgtltusuaacuterio-agt UID 1000201 SID S-1-5-21-1195855716-1269722693-1240286574-11547 ZID 1 Zone System Privileges -Primary Group Name ltDOMIacuteNIOgtdomain users GID 1000000
Gerenciamento de identidades
Criar uma regra de mapeamento de usuaacuterios 185
SID S-1-5-21-1195855716-1269722693-1240286574-513Supplemental Identities Name Users GID 1545 SID S-1-5-32-545
Name lduser_010 UID 10010 SID S-1-22-1-10010
Name example GID 10000 SID S-1-22-2-10000
Name ldgroup_20user GID 10026 SID S-1-22-2-10026
Mesclar tokens do UNIX e do WindowsVocecirc pode usar o operador de associaccedilatildeo (join) ou de acreacutescimo (append) paramesclar dois nomes de usuaacuterio em um soacute token
Quando os nomes de usuaacuterios do Windows e do UNIX natildeo forem correspondidos nosserviccedilos de diretoacuterio vocecirc pode gravar regras de mapeamento de usuaacuterios que usem ooperador de associaccedilatildeo ou de acreacutescimo para mesclar dois nomes de usuaacuterio em um soacutetoken Por exemplo se um nome de usuaacuterio do Windows for win_bob e o nome dosusuaacuterios do UNIX for UNIX_bob vocecirc pode associaacute-los ou acrescentaacute-losAo acrescentar uma conta agrave outra o operador de acreacutescimo adicionaraacute informaccedilotildees deuma identidade na outra O OneFS acrescenta os campos que as opccedilotildees especificamda identidade da origem agrave identidade de destino Ele acrescenta os identificadores agravelista de grupos adicionais
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
2 Grave uma regra semelhante agrave do seguinte exemplo para associar os nomes deusuaacuterio do Windows e do UNIX onde ltnome de usuaacuterio wingt e ltnome deusuaacuterio UNIXgt satildeo espaccedilos reservados para as contas de usuaacuterio do Windows edo UNIX
MYDOMAINltwin-usernamegt amp= ltUNIX-usernamegt []
3 Grave uma regra semelhante agrave do seguinte exemplo para acrescentar a conta doUNIX agrave conta do Windows com a opccedilatildeo de grupos
MYDOMAINltwin-usernamegt ++ ltUNIX-usernamegt [groups]
Recuperar o grupo principal do LDAPVocecirc pode criar uma regra de mapeamento de usuaacuterios para inserir ou acrescentarinformaccedilotildees sobre o grupo principal do LDAP no token de acesso de um usuaacuterio
De modo padratildeo o serviccedilo de mapeamento de usuaacuterios combina as informaccedilotildees do ADe do LDAP mas daacute preferecircncia agraves informaccedilotildees do AD As regras de mapeamentocontrolam o modo como o OneFS combina as informaccedilotildees Vocecirc pode recuperar asinformaccedilotildees do grupo principal do LDAP e natildeo do AD
Gerenciamento de identidades
186 OneFS 810 Guia de Administraccedilatildeo da CLI
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
2 Grave uma regra semelhante agrave do seguinte exemplo para inserir informaccedilotildees doLDAP no token de acesso de um usuaacuterio
+= [group]
3 Grave uma regra semelhante agrave do seguinte exemplo para acrescentar outrasinformaccedilotildees do LDAP no token de acesso de um usuaacuterio
++ [usergroups]
Opccedilotildees das regras de mapeamentoAs regras de mapeamento podem conter opccedilotildees que se destinam aos campos de umtoken de acesso
Um campo representa um aspecto de um token de acesso pertencente a vaacuteriosdomiacutenios como o ID exclusivo principal e o identificador de seguranccedila principal de umusuaacuterio que vocecirc selecionar Vocecirc pode ver alguns dos campos na interface Web deadministraccedilatildeo do OneFS User na interface Web de administraccedilatildeo eacute o mesmo quenome de usuaacuterio Vocecirc tambeacutem pode ver os campos de um token de acessoexecutando o comando isi auth mapping token
Ao criar uma regra vocecirc pode adicionar uma opccedilatildeo para manipular o modo como oOneFS combina aspectos das duas identidades em um soacute token Por exemplo umaopccedilatildeo pode forccedilar o OneFS a acrescentar grupos complementares a um token
Um token inclui os seguintes campos que vocecirc pode manipular com regras demapeamento de usuaacuterios
l username
l unix_name
l primary_uid
l primary_user_sid
l primary_gid
l primary_group_sid
l additional_ids (inclui grupos complementares)
As opccedilotildees controlam o modo como uma regra combina as informaccedilotildees de identidadeem um token A opccedilatildeo de interrupccedilatildeo (break) eacute a exceccedilatildeo ela impede que o OneFSprocesse regras adicionais
Embora vaacuterias opccedilotildees possam se aplicar a uma regra nem todas as opccedilotildees aplicam-sea todos os operadores A tabela a seguir descreve o efeito de cada opccedilatildeo e osoperadores com os quais elas trabalham
Opccedilatildeo Operador Descriccedilatildeo
user insert append Copia o ID exclusivo principale o identificador de seguranccedilaprincipal do usuaacuterio se elesexistirem no token
Gerenciamento de identidades
Opccedilotildees das regras de mapeamento 187
Opccedilatildeo Operador Descriccedilatildeo
groups insert append Copia o ID de grupo principale o identificador de seguranccedilaprincipal do grupo se elesexistirem no token
groups insert append Copia todos os identificadoresadicionais no token Osidentificadores adicionaisexcluem o ID exclusivoprincipal o ID de grupoprincipal o identificador deseguranccedila principal do usuaacuterioe o identificador de seguranccedilaprincipal do grupo
default_user todos os operadores excetoremove groups
Se o serviccedilo de mapeamentonatildeo localizar o segundousuaacuterio de uma regra oserviccedilo tentaraacute localizar onome de usuaacuterio do usuaacuteriopadratildeo O nome do usuaacuteriopadratildeo natildeo pode incluircaracteres-curinga Aoconfigurar a opccedilatildeo do usuaacuteriopadratildeo em uma regra com ainterface de linha decomando vocecirc deveconfiguraacute-la com umsublinhado default_user
break todos os operadores Impede que o serviccedilo demapeamento aplique regrasque seguem o ponto deinserccedilatildeo da opccedilatildeo break Oserviccedilo de mapeamento gerao token final no ponto deinterrupccedilatildeo
Operadoras das regras de mapeamentoO operador determina o que uma regra de mapeamento faz
Vocecirc pode criar regras de mapeamento de usuaacuterios pela interface Web deadministraccedilatildeo onde os operadores satildeo relacionados em uma lista ou pela interface delinha de comando
Ao criar uma regra de mapeamento com a interface de linha de comando do OneFSvocecirc deve especificar um operador com um siacutembolo O operador afeta a direccedilatildeo naqual o serviccedilo de mapeamento processa uma regra Para obter mais informaccedilotildees sobrea criaccedilatildeo de uma regra de mapeamento consulte o white paper GerenciandoIdentidades com o Serviccedilo de Mapeamento de Usuaacuterios do Isilon OneFS A tabela a seguirdescreve os operadores que vocecirc pode usar em uma regra de mapeamento
Uma regra de mapeamento pode conter apenas um operador
Gerenciamento de identidades
188 OneFS 810 Guia de Administraccedilatildeo da CLI
Operador Interface Web CLI Direccedilatildeo Descriccedilatildeo
append Append fieldsfrom a user
++ Da esquerda paraa direita
Modifica umtoken de acessoadicionandocampos a ele Oserviccedilo demapeamentoacrescenta oscampos que satildeoespecificados nalista de opccedilotildees(user groupgroups) agraveprimeiraidentidade daregra Oscampos satildeocopiados a partirda segundaidentidade daregra Todos osidentificadoresadicionadostornam-semembros da listade gruposadicionais Umaregra appendsem uma opccedilatildeosoacute executa umaoperaccedilatildeo depesquisa vocecircdeve incluir umaopccedilatildeo paraalterar um token
insert Insert fieldsfrom a user
+= Da esquerda paraa direita
Modifica umtoken de acessoexistenteadicionandocampos a ele Oscamposespecificados nalista de opccedilotildees(user groupgroups) satildeocopiados da novaidentidade einseridos naidentidade dotoken Quando aregra insere umusuaacuterio ou umgrupo principaleles tornam-se o
Gerenciamento de identidades
Operadoras das regras de mapeamento 189
Operador Interface Web CLI Direccedilatildeo Descriccedilatildeo
usuaacuterio e o grupoprincipais dotoken O usuaacuterioprincipal e ogrupo principalanteriores satildeomovidos agrave listadeidentificadoresadicionaisAlterar o usuaacuterioprincipal deixa onome de usuaacuteriodo tokeninalterado Aoinserir gruposadicionais apartir de umaidentidade oserviccedilo adicionaos novos gruposaos gruposexistentes
substituiccedilatildeo Replace oneuser with adifferent user
=gt Da esquerda paraa direita
Remove o tokene o substitui pelonovo token que eacuteidentificado pelosegundo nomede usuaacuterio Se osegundo nomedo usuaacuterioestiver embranco o serviccedilode mapeamentoremoveraacute oprimeiro nome deusuaacuterio do tokennatildeo deixandonenhum nome deusuaacuterio Se otoken natildeocontiver umnome de usuaacuterioo OneFS negaraacuteo acesso com umerro no suchuser
remove groups Removesupplementalgroups from auser
-- Unidirecional Altera um tokenpela remoccedilatildeo dosgruposcomplementares
Gerenciamento de identidades
190 OneFS 810 Guia de Administraccedilatildeo da CLI
Operador Interface Web CLI Direccedilatildeo Descriccedilatildeo
join Join two userstogether
amp= Bidirecional Insere a novaidentidade notoken Se a novaidentidade for osegundo usuaacuterioo serviccedilo demapeamento faraacutesua inserccedilatildeodepois daidentidadeexistente casocontraacuterio oserviccedilo faraacute ainserccedilatildeo antes daidentidadeexistente O localdo ponto deinserccedilatildeo eacutepertinentequando aidentidadeexistente jaacute eacute aprimeira da listajaacute que o OneFSusa a primeiraidentidade paradeterminar apropriedade dosnovos objetos dofile system
Gerenciamento de identidades
Operadoras das regras de mapeamento 191
Gerenciamento de identidades
192 OneFS 810 Guia de Administraccedilatildeo da CLI
CAPIacuteTULO 9
Diretoacuterios de usuaacuterio
Esta seccedilatildeo conteacutem os seguintes toacutepicos
l Visatildeo geral dos diretoacuterios de usuaacuterio 194l Permissotildees do diretoacuterio de usuaacuterio 194l Autenticando os usuaacuterios do SMB 194l Criaccedilatildeo de diretoacuterios de usuaacuterio via SMB194l Criaccedilatildeo de diretoacuterios de usuaacuterio via SSH e FTP 198l Criaccedilatildeo de diretoacuterios de usuaacuterio em um ambiente misto202l Interaccedilotildees entre as ACLs e bits de modo 202l Configuraccedilotildees padratildeo do diretoacuterio de usuaacuterio nos provedores de autenticaccedilatildeo
202l Variaacuteveis compatiacuteveis de expansatildeo203l Variaacuteveis de domiacutenio no provisionamento de diretoacuterio de usuaacuterio 205
Diretoacuterios de usuaacuterio 193
Visatildeo geral dos diretoacuterios de usuaacuterioAo criar um usuaacuterio local o OneFS criaraacute automaticamente um diretoacuterio de usuaacuterio OOneFS tambeacutem daacute suporte ao provisionamento dinacircmico de diretoacuterios de usuaacuterio paraos usuaacuterios que acessam o cluster conectando-se a um compartilhamento de SMB oufazendo log-in via FTP ou SSH
Independentemente do meacutetodo de criaccedilatildeo de um diretoacuterio de usuaacuterio vocecirc podeconfigurar o acesso a ele com uma combinaccedilatildeo de SMB SSH e FTP
Permissotildees do diretoacuterio de usuaacuterioVocecirc pode configurar o diretoacuterio de um usuaacuterio com uma ACL do Windows ou com bitsde modo POSIX que em seguida satildeo convertidos em uma ACL sinteacutetica O meacutetodopelo qual um diretoacuterio de usuaacuterio eacute criado determina as permissotildees iniciaisconfiguradas no diretoacuterio de usuaacuterio
De modo padratildeo ao criar um usuaacuterio local o diretoacuterio de usuaacuterio seraacute criado com bitsde modo
Para usuaacuterios que se autenticam por fontes externas vocecirc pode especificarconfiguraccedilotildees para criar diretoacuterios de usuaacuterio dinamicamente no momento do log-inSe um diretoacuterio de usuaacuterio for criado durante um log-in via SSH ou FTP ele eacuteconfigurado com bits de modo se um diretoacuterio de usuaacuterio for criado durante umaconexatildeo com SMB ele recebe bits de modo ou uma ACL Por exemplo se um usuaacuteriodo LDAP fizer log-in primeiro via SSH ou FTP o diretoacuterio do usuaacuterio eacute criado com bitsde modo Se o mesmo usuaacuterio se conectar primeiro via um compartilhamento de SMBo diretoacuterio de usuaacuterio eacute criado com as permissotildees indicadas pelas definiccedilotildeesconfiguradas do SMB Se a opccedilatildeo --inheritable-path-acl estiver ativada eacutegerada uma ACL caso contraacuterio seratildeo usados os bits de modo
Autenticando os usuaacuterios do SMBVocecirc pode autenticar os usuaacuterios de SMB dos provedores de autenticaccedilatildeo que podemmanipular os hashes NT
O SMB envia um hash de senha NT para autenticar os usuaacuterios do SMB Portantosomente usuaacuterios dos provedores de autenticaccedilatildeo que podem manipular hashes NTpodem fazer log-in via SMB Os seguintes provedores de autenticaccedilatildeo compatiacuteveiscom o OneFS podem manipular hashes NT
l Active Directory
l Local
l LDAPSAM (LDAP com extensotildees do Samba ativadas)
Criaccedilatildeo de diretoacuterios de usuaacuterio via SMBVocecirc pode criar compartilhamentos de SMB incluindo variaacuteveis de expansatildeo nocaminho do compartilhamento As variaacuteveis de expansatildeo permitem que os usuaacuteriosacessem seus diretoacuterios de usuaacuterio conectando-se ao compartilhamento Vocecirctambeacutem pode ativar o provisionamento dinacircmico dos diretoacuterios de usuaacuterio que natildeoexistem no momento da conexatildeo com o SMB
Diretoacuterios de usuaacuterio
194 OneFS 810 Guia de Administraccedilatildeo da CLI
Obs
As permissotildees de compartilhamento satildeo verificadas quando os arquivos satildeoacessados antes que as permissotildees subjacentes do file system sejam verificadasQualquer uma dessas permissotildees pode impedir o acesso ao arquivo ou ao diretoacuterio
Criar diretoacuterios de usuaacuterio com variaacuteveis de expansatildeoVocecirc pode definir as configuraccedilotildees com variaacuteveis de expansatildeo para criar diretoacuterios deusuaacuterio de compartilhamento de SMB
Quando os usuaacuterios acessam o cluster EMC Isilon pelo SMB o acesso ao diretoacuterio deusuaacuterio eacute feito pelos compartilhamentos SMB Vocecirc pode definir as configuraccedilotildees comum caminho que use uma sintaxe de expansatildeo variaacutevel permitindo que um usuaacuterio seconecte ao compartilhamento do diretoacuterio de usuaacuterio
Obs
Os caminhos de compartilhamento de diretoacuterio de usuaacuterio devem comeccedilar com ifse devem estar no caminho root da zona de acesso na qual o compartilhamento de SMBde diretoacuterio de usuaacuterio foi criado
Nos comandos a seguir a opccedilatildeo --allow-variable-expansion estaacute habilitadapara indicar que U deve ser estendida para o nome do usuaacuterio que eacute user411 nesteexemplo A opccedilatildeo --auto-create-directory estaacute habilitada para criar o diretoacuteriose ele natildeo existir
isi smb shares create HOMEDIR --path=ifshomeU --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone --permission-type allow --permission full isi smb shares view HOMEDIR
O sistema exibe um resultado semelhante ao do seguinte exemplo
Share Name HOMEDIR Path ifshomeU Description Client-side Caching Policy manualAutomatically expand user names or domain names TrueAutomatically create home directories for users True Browsable TruePermissionsAccount Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total 1
Quando user411 se conectar ao compartilhamento com o comando net use odiretoacuterio do usuaacuterio seraacute criado em ifshomeuser411 No client do Windows douser411 o comando net usem conecta o ifshomeuser411 pelocompartilhamento HOMEDIR
net use m clustercompanycomHOMEDIR uuser411
Diretoacuterios de usuaacuterio
Criar diretoacuterios de usuaacuterio com variaacuteveis de expansatildeo 195
Procedimento
1 Execute os comandos a seguir no cluster com a opccedilatildeo --allow-variable-expansion ativada A variaacutevel de expansatildeo U expande-se para o nome dousuaacuterio e a opccedilatildeo --auto-create-directory estaacute habilitada para criar odiretoacuterio se ele natildeo existir
isi smb shares create HOMEDIR --path=ifshomeU --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone --permission-type allow --permission full
2 Execute o seguinte comando para exibir as configuraccedilotildees do diretoacuterio deusuaacuterio
isi smb shares view HOMEDIR
O sistema exibe um resultado semelhante ao do seguinte exemplo
Share Name HOMEDIR Path ifshomeU Description Client-side Caching Policy manualAutomatically expand user names or domain names TrueAutomatically create home directories for users True Browsable TruePermissionsAccount Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total 1
Se user411 se conectar ao compartilhamento com o comando net use odiretoacuterio de usuaacuterio do user411 seraacute criado em ifshomeuser411 No clientdo Windows do user411 o comando net usem conecta o ifshomeuser411 pelo compartilhamento HOMEDIR mapeando a conexatildeo de maneirasemelhante ao seguinte exemplo
net use m clustercompanycomHOMEDIR uuser411
Criar diretoacuterios de usuaacuterio com a opccedilatildeo --inheritable-path-aclVocecirc pode habilitar a opccedilatildeo --inheritable-path-acl em um compartilhamentopara especificar que ela deveraacute ser herdada no caminho do compartilhamento se odiretoacuterio pai tiver uma ACL hereditaacuteria
Antes de vocecirc comeccedilar
Para executar a maioria das tarefas de configuraccedilatildeo vocecirc deve fazer log-on comomembro da funccedilatildeo SecurityAdmin
Por padratildeo o caminho do diretoacuterio de um compartilhamento SMB eacute criado com umaACL sinteacutetica baseada em bits de modo Vocecirc pode habilitar a opccedilatildeo --inheritable-path-acl para usar a ACL hereditaacuteria em todos os diretoacuterios que
Diretoacuterios de usuaacuterio
196 OneFS 810 Guia de Administraccedilatildeo da CLI
forem criados no momento da criaccedilatildeo do compartilhamento ou para os provisionadosdinamicamente durante a conexatildeo com o compartilhamento em questatildeo
Procedimento
1 Execute comandos semelhantes aos seguintes exemplos para permitir que aopccedilatildeo --inheritable-path-acl provisione dinamicamente um diretoacuterio deusuaacuterio na primeira conexatildeo com um compartilhamento no cluster
isi smb shares create HOMEDIR_ACL --path=ifshomeU --allow-variable-expansion=yes --auto-create-directory=yes --inheritable-path-acl=yes
isi smb shares permission modify HOMEDIR_ACL --wellknown Everyone --permission-type allow --permission full
2 Execute um comando net use semelhante ao seguinte exemplo em um clientWindows para mapear o diretoacuterio de usuaacuterio para user411
net use q clustercompanycomHOMEDIR_ACL uuser411
3 Execute um comando semelhante ao seguinte exemplo no cluster para exibir aspermissotildees de ACL herdadas para o compartilhamento user411
cd ifshomeuser411ls -lde
O sistema exibe um resultado semelhante ao do seguinte exemplo
drwx------ + 2 user411 Isilon Users 0 Oct 19 1623 OWNER useruser411 GROUP groupIsilon Users CONTROLdacl_auto_inheriteddacl_protected 0 useruser411 allow dir_gen_allobject_inheritcontainer_inherit
Criar diretoacuterios de usuaacuterio especiais com a variaacutevel U de compartilhamentoSMB
O nome U de compartilhamento SMB especial permite criar um compartilhamentoSMB de diretoacuterio de usuaacuterio que pareccedila o mesmo que o nome de um usuaacuterio
Geralmente vocecirc configura um compartilhamento SMB U com um caminho decompartilhamento que inclua a variaacutevel de expansatildeo U Se um usuaacuterio tentar seconectar a um compartilhamento correspondente ao nome de log-in e ele natildeo existir ousuaacuterio se conectaraacute ao compartilhamento U e seraacute direcionado para o caminhoexpandido do compartilhamento U
Obs
Se existir outro compartilhamento SMB que corresponda ao nome do usuaacuterio ousuaacuterio se conectaraacute explicitamente ao compartilhamento nomeado e natildeo aocompartilhamento U
Diretoacuterios de usuaacuterio
Criar diretoacuterios de usuaacuterio especiais com a variaacutevel U de compartilhamento SMB 197
Procedimento
1 Execute o seguinte comando para criar um compartilhamento que correspondaao nome de log-in autenticado quando o usuaacuterio se conectar aocompartilhamento
isi smb share create U ifshomeU --allow-variable-expansion=yes --auto-create-directory=yes --zone=System
Depois de executar este comando o usuaacuterio Zachary veraacute um compartilhamentochamado zachary em vez de U e quando tentar se conectar aocompartilhamento chamado zachary ele seraacute direcionado para ifshomezachary Em um client Windows se o Zachary executar os seguintescomandos ele veraacute o conteuacutedo deste diretoacuterio ifshomezachary
net use m clusteripzachary uzachary cd mdir
Da mesma forma se o usuaacuterio Claudia executar os seguintes comandos em umclient Windows ela veraacute o conteuacutedo do diretoacuterio ifshomeclaudia
net use m clusteripclaudia uclaudia cd m dir
Zachary e Claudia natildeo podem acessar o diretoacuterio de usuaacuterio um do outro porqueexiste somente o compartilhamento zachary para o Zachary e somente ocompartilhamento claudia existe para a Claudia
Criaccedilatildeo de diretoacuterios de usuaacuterio via SSH e FTPVocecirc pode configurar o suporte de diretoacuterios de usuaacuterio para os usuaacuterios que acessamo cluster via SSH ou FTP modificando as configuraccedilotildees do provedor de autenticaccedilatildeo
Definir o shell de log-in SSH ou FTPVocecirc pode usar a opccedilatildeo --login-shell para definir o shell de log-in o padratildeo para ousuaacuterio
Por padratildeo a opccedilatildeo --login-shell se especificada sobrepotildee todas asinformaccedilotildees de shell de log-in especificadas pelo provedor de autenticaccedilatildeo excetocom o Active Directory Se a opccedilatildeo --login-shell for especificada com o ActiveDirectory ela representaraacute simplesmente o shell de log-in padratildeo se o Active DirectoryServer natildeo especificar informaccedilotildees de shell de log-in
Obs
Os exemplos a seguir referem-se agrave configuraccedilatildeo do shell de log-in como binbashVocecirc tambeacutem pode configurar o shell como binrbash
Diretoacuterios de usuaacuterio
198 OneFS 810 Guia de Administraccedilatildeo da CLI
Procedimento
1 Execute o seguinte comando para definir o shell de log-in para todos os usuaacuterioslocais como binbash
isi auth local modify System --login-shell binbash
2 Execute o seguinte comando para definir o shell de log-in padratildeo para todos osusuaacuterios do Active Directory no domiacutenio como binbash
isi auth ads modify YOURDOMAINNAMECOM --login-shell binbash
Definir permissotildees de diretoacuterios de usuaacuterio SSHFTPVocecirc pode especificar permissotildees para um diretoacuterio de usuaacuterio que eacute acessado pormeio do SSH ou FTP definindo um valor de umask
Antes de vocecirc comeccedilar
Para executar a maioria das tarefas de configuraccedilatildeo vocecirc deve fazer log-on comomembro da funccedilatildeo SecurityAdmin
Quando o diretoacuterio de usuaacuterio eacute criado no log-in por SSH ou FTP ele eacute criado usandobits no modo POSIX As permissotildees em um diretoacuterio de usuaacuterio satildeo definidas como0755 e em seguida satildeo mascaradas de acordo com a configuraccedilatildeo umask da zona deacesso do usuaacuterio para limitar ainda mais as permissotildees Vocecirc pode modificar aconfiguraccedilatildeo umask para uma zona com a opccedilatildeo --home-directory-umaskespecificando um nuacutemero octal como o valor de umask
Procedimento
1 Execute o seguinte comando para visualizar a configuraccedilatildeo umask
isi zone zones view System
O sistema exibe resultados semelhantes aos do seguinte exemplo
Name System Path ifs Groupnet groupnet0 Map Untrusted - Auth Providers lsa-local-providerSystem lsa-file-providerSystem NetBIOS Name - User Mapping Rules - Home Directory Umask 0077 Skeleton Directory usrshareskel Cache Entry Expiry 4H Negative Cache Entry Expiry 1m Zone ID 1
No resultado do comando vocecirc pode ver que a configuraccedilatildeo padratildeo para HomeDirectory Umask do diretoacuterio de usuaacuterio criado eacute 0700 que eacute equivalente a(0755 e ~ (077)) Vocecirc pode modificar a configuraccedilatildeo Home DirectoryUmask para uma zona com a opccedilatildeo --home-directory-umaskespecificando um nuacutemero octal como o valor de umask Esse valor indica as
Diretoacuterios de usuaacuterio
Definir permissotildees de diretoacuterios de usuaacuterio SSHFTP 199
permissotildees que devem ser desabilitadas para que os valores de maacutescaramaiores indiquem menos permissotildees Por exemplo um valor de umask de 000ou 022 produz permissotildees de diretoacuterio de usuaacuterio criado de 0755 enquanto umvalor de umask de 077 produz permissotildees de diretoacuterio de usuaacuterio criado de0700
2 Execute um comando semelhante ao seguinte exemplo para permitir que umgrupooutros gravemexecutem a permissatildeo em um diretoacuterio de usuaacuterio
isi zone zones modify System --home-directory-umask=022
Neste exemplo os diretoacuterios de usuaacuterio seratildeo criados com os bits de modo0755 mascarados pelo campo umask definido como o valor de 022 Portantoos diretoacuterios de usuaacuterio seratildeo criados com os bits de modo 0755 o que eacuteequivalente a (0755 e ~ (022))
Definir opccedilotildees de criaccedilatildeo de diretoacuterios de usuaacuterio SSHFTPVocecirc pode configurar o suporte a diretoacuterios de um usuaacuterio que acessa o cluster pormeio de SSH ou FTP especificando opccedilotildees de provedor de autenticaccedilatildeo
Procedimento
1 Execute o seguinte comando para exibir as configuraccedilotildees de um provedor deautenticaccedilatildeo do Active Directory no cluster
isi auth ads list
O sistema exibe um resultado semelhante ao do seguinte exemplo
Name Authentication Status DC Name Site ---------------------------------------------------------YOURDOMAINNAMECOM Yes online - SEA---------------------------------------------------------Total 1
2 Execute o comando isi auth ads modify com as opccedilotildees --home-directory-template e --create-home-directory
isi auth ads modify YOURDOMAINNAMECOM --home-directory-template=ifshomeADSDU --create-home-directory=yes
3 Execute o comando isi auth ads view com a opccedilatildeo --verbose
O sistema exibe um resultado semelhante ao do seguinte exemplo
Name YOURDOMAINNAMECOM NetBIOS Domain YOUR Create Home Directory Yes Home Directory Template ifshomeADSDU Login Shell binsh
4 Execute o comando id
O sistema exibe um resultado semelhante ao do seguinte exemplo
uid=1000008(ltyour-domaingtuser_100) gid=1000000(ltyour-domaingtdomain users)
Diretoacuterios de usuaacuterio
200 OneFS 810 Guia de Administraccedilatildeo da CLI
groups=1000000(ltyour-domaingtdomain users)1000024(ltyour-domaingtc1t)1545(Users)
5 (Opcional) Para verificar essas informaccedilotildees de um noacute externo do UNIX executeo comando ssh de um noacute externo do UNIX
Por exemplo o seguinte comando criaraacute ifshomeADSltyour-domaingtuser_100 se natildeo existir
ssh ltyour-domaingtuser_100clusterisiloncom
Fornecer diretoacuterios de usuaacuterio com arquivos DOTVocecirc pode fornecer diretoacuterio de usuaacuterio com arquivos DOT
Antes de vocecirc comeccedilar
Para executar a maioria das tarefas de configuraccedilatildeo vocecirc deve fazer log-on comomembro da funccedilatildeo SecurityAdmin
O diretoacuterio de esqueleto que estaacute localizado em usrshareskel por padratildeoconteacutem um conjunto de arquivos que satildeo copiados no diretoacuterio de usuaacuterio quando umusuaacuterio local eacute criado ou quando um diretoacuterio de usuaacuterio eacute criado dinamicamentedurante o log-in Os arquivos contidos no diretoacuterio esqueleto que comeccedilam com dotsatildeo renomeados para remover o prefixo dot quando satildeo copiados no diretoacuterio deusuaacuterio Por exemplo dotcshrc eacute copiado no diretoacuterio de usuaacuterio como cshrcEsse formato permite que os arquivos DOT contidos no diretoacuterio esqueleto sejamvisualizados por meio da interface de linha de comando sem a necessidade de executaro comando ls-aPara os compartilhamentos SMB que podem usar diretoacuterios de usuaacuterio fornecidos comarquivos DOT vocecirc pode definir uma opccedilatildeo para impedir que os usuaacuterios que seconectam ao compartilhamento por meio de SMB visualizem os arquivos DOT
Procedimento
1 Execute o seguinte comando para exibir o diretoacuterio esqueleto padratildeo na zona deacesso do sistema
isi zone zones view System
O sistema exibe um resultado semelhante ao do seguinte exemplo
Name System Skeleton Directory usrshareskel
2 Execute o comando isi zone zones modify para modificar o diretoacuterioesqueleto padratildeo
O seguinte comando modifica o diretoacuterio esqueleto padratildeo usrshareskelem uma zona de acesso na qual o sistema eacute o valor da opccedilatildeo ltzonagt e usrshareskel2 eacute o valor da opccedilatildeo ltcaminhogt
isi zone zones modify System --skeleton-directory=usrshareskel2
Diretoacuterios de usuaacuterio
Fornecer diretoacuterios de usuaacuterio com arquivos DOT 201
Criaccedilatildeo de diretoacuterios de usuaacuterio em um ambiente mistoSe um usuaacuterio fizer log-in via SMB e SSH recomenda-se que vocecirc defina asconfiguraccedilotildees de diretoacuterio de usuaacuterio para que o modelo dos caminhos seja o mesmopara o compartilhamento de SMB e para cada provedor de autenticaccedilatildeo com o qual ousuaacuterio esteja se autenticando via SSH
Interaccedilotildees entre as ACLs e bits de modoA configuraccedilatildeo de diretoacuterios de usuaacuterio eacute determinada por vaacuterios fatores inclusivecomo os usuaacuterios satildeo autenticados e as opccedilotildees que especificam a criaccedilatildeo de diretoacuteriosde usuaacuterio
Um diretoacuterio de usuaacuterio pode ser configurado com ACLs ou bits de modo POSIX quesatildeo convertidos em uma ACL sinteacutetica O diretoacuterio de um usuaacuterio local e o usuaacuterio localsatildeo criados juntos e o diretoacuterio eacute configurado por padratildeo com bits de modo POSIXOs diretoacuterios podem ser provisionados dinamicamente no log-in para usuaacuterios que satildeoautenticados em relaccedilatildeo a fontes externas e em alguns casos para usuaacuterios que satildeoautenticados em relaccedilatildeo ao provedor de arquivos Nesse caso o diretoacuterio de usuaacuterio eacutecriado de acordo com a maneira como o usuaacuterio faz seu primeiro log-in
Por exemplo se um usuaacuterio LDAP fizer o primeiro log-in por meio de SSH ou FTP e odiretoacuterio de usuaacuterio for criado ele seraacute criado com bits de modo POSIX Se o mesmousuaacuterio fizer o primeiro log-in por meio de um compartilhamento de diretoacuterio deusuaacuterio SMB o diretoacuterio de usuaacuterio seraacute criado conforme especificado pelasconfiguraccedilotildees da opccedilatildeo SMB Se a opccedilatildeo --inherited-path-acl estiverhabilitada as ACLs seratildeo geradas Caso contraacuterio os bits de modo POSIX seratildeousados
Configuraccedilotildees padratildeo do diretoacuterio de usuaacuterio nosprovedores de autenticaccedilatildeo
As configuraccedilotildees padratildeo que afetam o modo como os diretoacuterios de usuaacuterio satildeoconfigurados variam com base no provedor de autenticaccedilatildeo com o qual o usuaacuterio seautentica
Provedor deautenticaccedilatildeo
Diretoacuterio deusuaacuterio
Criaccedilatildeo dodiretoacuterio deusuaacuterio
Shell de log-inUNIX
Local l --home-directory-template=ifshomeU
l --create-home-directory=yes
l --login-shell=binsh
Habilitado binsh
Diretoacuterios de usuaacuterio
202 OneFS 810 Guia de Administraccedilatildeo da CLI
Provedor deautenticaccedilatildeo
Diretoacuterio deusuaacuterio
Criaccedilatildeo dodiretoacuterio deusuaacuterio
Shell de log-inUNIX
File l --home-directory-template=
l --create-home-directory=no
Desabilitado Nenhum
Active Directory l --home-directory-template=ifshomeDU
l --create-home-directory=no
l --login-shell=binsh
Obs
Se estiveremdisponiacuteveis asinformaccedilotildees doprovedor sesobrepotildeem a essevalor
Desabilitado binsh
LDAP l --home-directory-template=
l --create-home-directory=no
Desabilitado Nenhum
NIS l --home-directory-template=
l --create-home-directory=no
Desabilitado Nenhum
Variaacuteveis compatiacuteveis de expansatildeoVocecirc pode incluir variaacuteveis de expansatildeo em um caminho de compartilhamento de SMBou no modelo de diretoacuterio de usuaacuterio de um provedor de autenticaccedilatildeo
O OneFS daacute suporte agraves variaacuteveis de expansatildeo a seguir Vocecirc pode melhorar odesempenho e reduzir o nuacutemero de compartilhamentos que seratildeo gerenciados aoconfiguraacute-los com variaacuteveis de expansatildeo Por exemplo vocecirc pode incluir a variaacutevel U
Diretoacuterios de usuaacuterio
Variaacuteveis compatiacuteveis de expansatildeo 203
para um compartilhamento em vez de criar um compartilhamento para cada usuaacuterioQuando uma variaacutevel U eacute incluiacuteda no nome e o caminho de cada usuaacuterio eacute diferentea seguranccedila ainda eacute garantida jaacute que cada usuaacuterio pode exibir e acessar apenas seuproacuteprio diretoacuterio de usuaacuterio
Obs
Ao criar um compartilhamento de SMB na interface de administraccedilatildeo da Web seraacutenecessaacuterio selecionar a caixa de seleccedilatildeo Allow Variable Expansion ou a string seraacuteinterpretada literalmente pelo sistema
Variaacutevel Valor Descriccedilatildeo
U Nome de usuaacuterio (porexemplo user_001)
Eacute expandida ateacute o nome deusuaacuterio para permitir quediferentes usuaacuterios usemdiferentes diretoacuterios deusuaacuterio Geralmente estavariaacutevel eacute incluiacuteda ao final docaminho Por exemplo paraum usuaacuterio chamado user1 ocaminho ifshomeU eacute
associado a ifshomeuser1
D Nome de domiacutenio do NetBIOS(por exemplo YORK paraYORKEASTEXAMPLECOM)
Eacute expandida ao nome dedomiacutenio do usuaacuterio com baseno provedor de autenticaccedilatildeo
l Para usuaacuterios do ActiveDirectory D expande-se para o nome NetBIOSdo Active Directory
l Para usuaacuterios locais Dexpande-se ao nome decluster em caracteresmaiuacutesculos Por exemplopara um cluster chamadocluster1 D expande-separa CLUSTER1
l Para usuaacuterios do provedorde arquivos do sistemaD expande-se paraUNIX_USERS
l Para usuaacuterios de outrosprovedores de arquivosD expande-se paraFILE_USERS
l Para usuaacuterios do LDAPD expande-se paraLDAP_USERS
l Para usuaacuterios do NIS Dexpande-se paraNIS_USERS
Diretoacuterios de usuaacuterio
204 OneFS 810 Guia de Administraccedilatildeo da CLI
Variaacutevel Valor Descriccedilatildeo
Z Nome da zona (por exemploZoneABC)
Eacute expandida para o nome dazona de acesso Se vaacuteriaszonas forem ativadas estavariaacutevel eacute uacutetil para diferenciarusuaacuterios de zonas separadasPor exemplo para um usuaacuteriochamado user1 na zona dosistema o caminho ifshomeZU eacute associado
a ifshomeSystemuser1
L Nome de host (nome de hostdo cluster em letrasminuacutesculas)
Eacute expandida ao nome de hostdo cluster normalizado emletras minuacutesculas Usolimitado
0 Primeiro caractere do nomede usuaacuterio
Eacute expandida ao primeirocaractere do nome do usuaacuterio
1 Segundo caractere do nomede usuaacuterio
Eacute expandida ao segundocaractere do nome do usuaacuterio
2 Terceiro caractere do nomede usuaacuterio
Eacute expandida ao terceirocaractere do nome do usuaacuterio
Obs
Se o nome de usuaacuterio incluir menos de trecircs caracteres as variaacuteveis 0 1 e 2abrangem apenas esses caracteres Por exemplo para um usuaacuterio chamado ab asvariaacuteveis satildeo associadas a a b e a respectivamente Para um usuaacuterio chamado atodas as trecircs variaacuteveis satildeo associadas a a
Variaacuteveis de domiacutenio no provisionamento de diretoacuterio deusuaacuterio
Vocecirc pode usar variaacuteveis de domiacutenio para especificar provedores de autenticaccedilatildeo aoprovisionar diretoacuterios de usuaacuterio
Geralmente a variaacutevel de domiacutenio (D) eacute usada para os usuaacuterios do Active Directorymas tem um valor definido que pode ser usado para outros provedores deautenticaccedilatildeo D expande-se conforme descrito na tabela a seguir para os vaacuteriosprovedores de autenticaccedilatildeo
Usuaacuterioautenticado
Expansatildeo da D
Usuaacuterio do ActiveDirectory
Nome do NetBIOS do Active Directory mdash por exemplo YORK para oprovedor YORKEASTEXAMPLECOM
Usuaacuterio local O nome de cluster em caracteres totalmente em letras maiuacutesculas mdashpor exemplo se o cluster eacute chamado MyCluster D expande-se paraMYCLUSTER
Diretoacuterios de usuaacuterio
Variaacuteveis de domiacutenio no provisionamento de diretoacuterio de usuaacuterio 205
Usuaacuterioautenticado
Expansatildeo da D
Usuaacuterio de arquivos l UNIX_USERS (para o provedor de arquivos System)
l FILE_USERS (para todos os outros provedores de arquivo)
Usuaacuterio do LDAP LDAP_USERS (para todos os provedores de autenticaccedilatildeo LDAP)
Usuaacuterio do NIS NIS_USERS (para todos os provedores de autenticaccedilatildeo do NIS)
Diretoacuterios de usuaacuterio
206 OneFS 810 Guia de Administraccedilatildeo da CLI
CAPIacuteTULO 10
Controle do acesso a dados
Esta seccedilatildeo conteacutem os seguintes toacutepicos
l Visatildeo geral do controle do acesso a dados 208l ACLs 208l Permissotildees do UNIX 209l Ambientes de permissotildees mistas209l Gerenciando permissotildees de acesso 210
Controle do acesso a dados 207
Visatildeo geral do controle do acesso a dadosO OneFS daacute suporte a dois tipos de dados de permissotildees nos arquivos e diretoacuterios quecontrolam quem tem acesso a listas de controle de acesso do Windows e bits demodo POSIX (permissotildees do UNIX) Vocecirc pode definir configuraccedilotildees globais depoliacuteticas que permitem que vocecirc personalize as permissotildees padratildeo de ACL e UNIXpara dar um melhor suporte a seu ambiente
O file system do OneFS eacute instalado com as permissotildees do UNIX de modo padratildeo Eacutepossiacutevel atribuir uma ACL a um arquivo ou diretoacuterio usando o Windows Explorer ou asferramentas administrativas do OneFS Geralmente os arquivos criados no SMB ouem um diretoacuterio que tem uma ACL recebem uma ACL Se um arquivo receber umaACL o OneFS deixaraacute de impor os bits de modo do arquivo os bits de modo satildeofornecidos somente para compatibilidade de protocolos e natildeo para controle deacesso
O OneFS daacute suporte ao acesso a dados com vaacuterios protocolos via SMB (ServerMessage Block) e NFS (Network File System sistema de arquivos de rede) com ummodelo unificado de seguranccedila Um usuaacuterio recebe ou eacute negado o mesmo acesso a umarquivo ao usar o SMB para o compartilhamento de arquivos do Windows e ao usar oNFS para compartilhamento de arquivos do UNIX
O NFS permite que os clients do Linux e do UNIX montem remotamente qualquersubdiretoacuterio inclusive os subdiretoacuterios criados por usuaacuterios do Windows ou do SMBOs clients do Linux e do UNIX tambeacutem podem montar subdiretoacuterios protegidos porlistas de controle de acesso criados por um administrador do OneFS O SMB ofereceaos usuaacuterios do Windows o acesso aos arquivos diretoacuterios e outros recursos de filesystem armazenados pelos sistemas UNIX e Linux Aleacutem dos usuaacuterios do Windows asACLs podem afetar os usuaacuterios locais de NIS e de LDAP
De modo padratildeo o OneFS manteacutem as mesmas permissotildees de arquivosindependentemente do sistema operacional do client do sistema de gerenciamento deidentidades do usuaacuterio ou do protocolo de compartilhamento de arquivos Quando oOneFS deve transformar as permissotildees de um arquivo de ACLs para bits de modo ouvice-versa ele mescla as permissotildees em uma representaccedilatildeo ideal que balanceiaexclusivamente as expectativas do usuaacuterio e a seguranccedila dos arquivos
ACLsNos ambientes Windows as permissotildees de arquivos e de diretoacuterios chamados dedireitos de acesso satildeo definidas nas ACLs (Access Control Lists listas de controle deacesso) Embora as ACLs sejam mais complexas que os bits de modo elas podemexpressar conjuntos muito mais granulares de regras de acesso O OneFS verifica asregras de processamento de ACL que satildeo geralmente associadas agraves ACLs doWindows
Uma ACL do Windows conteacutem zero ou mais ACEs (Access Control Entries entradasde controle de acesso) e cada uma delas representa o identificador de seguranccedila deum usuaacuterio ou de um grupo como um depositaacuterio No OneFS uma ACL pode conterACEs com um ID exclusivo um ID de grupo ou um identificador de seguranccedila comodepositaacuterio Cada ACE conteacutem um conjunto de direitos que permitem ou negam oacesso a um arquivo ou a uma pasta De modo opcional uma ACE pode conter umindicador de heranccedila para especificar se ACE deve ser herdada pelas pastas e arquivosfilhos
Controle do acesso a dados
208 OneFS 810 Guia de Administraccedilatildeo da CLI
Obs
Em vez das trecircs permissotildees padratildeo disponiacuteveis para bits de modo as ACLs tecircm 32 bitsde direitos de acesso com alta granularidade Desses 32 bits 16 satildeo gerais e aplicam-se a todos os tipos de objetos Os 16 bits inferiores variam entre arquivos e diretoacuteriosmas satildeo definidos de modo a permitir que a maioria dos aplicativos aplique os mesmosbits para arquivos e diretoacuterios
Os direitos concedem ou negam acesso a determinado depositaacuterio Vocecirc podebloquear o acesso do usuaacuterio explicitamente via uma ACE de negaccedilatildeo ouimplicitamente garantindo que um usuaacuterio natildeo seja exibido direta nem indiretamentepor um grupo em uma ACE que concede o direito
Permissotildees do UNIXEm um ambiente UNIX o acesso a arquivos e diretoacuterios eacute controlado pelos bits demodo POSIX que concedem permissotildees de leitura gravaccedilatildeo ou execuccedilatildeo ao usuaacuterioproprietaacuterio ao grupo proprietaacuterio e a todos os outros
O OneFS daacute suporte agraves ferramentas padratildeo do UNIX ls chmod e chown paraexibiccedilatildeo e alteraccedilatildeo das permissotildees Para obter mais informaccedilotildees execute oscomandos man ls man chmod e man chown
Todos os arquivos contecircm 16 bits de permissatildeo que apresentam informaccedilotildees sobre otipo de arquivo ou de diretoacuterio e sobre as permissotildees Os 9 bits inferiores satildeoagrupados como conjuntos de 3 bits chamados de triplos que contecircm as permissotildeesde leitura gravaccedilatildeo e execuccedilatildeo (rwx) para cada classe de usuaacuterios mdash proprietaacuteriogrupo e outros Vocecirc pode configurar os indicadores de permissotildees para concederpermissotildees a cada uma dessas trecircs classes
A menos que o usuaacuterio seja root o OneFS verifica a classe para determinar seconcederaacute ou negaraacute o acesso ao arquivo As classes natildeo satildeo cumulativas a primeiraclasse correspondida eacute aplicada Portanto eacute comum conceder permissotildees em ordemdecrescente
Ambientes de permissotildees mistasQuando uma operaccedilatildeo de arquivos solicita dados de autorizaccedilatildeo de um objeto porexemplo com o comando ls-l via NFS ou com a guia Security da caixa de diaacutelogoProperties do Windows Explorer via SMB o OneFS tenta oferecer esses dados noformato solicitado Em um ambiente que combina os sistemas UNIX e Windows podeser necessaacuterio fazer conversotildees ao realizar as operaccedilotildees de criaccedilatildeo de arquivos(create file) configuraccedilatildeo de seguranccedila (set security) obtenccedilatildeo de seguranccedila (getsecurity) ou acesso (access)
Acesso a NFS dos arquivos criados pelo WindowsSe um arquivo contiver um usuaacuterio ou um grupo proprietaacuterio que eacute um identificador deseguranccedila o sistema tentaraacute associaacute-lo a um ID exclusivo ou ID de grupocorrespondente antes de exibi-lo ao chamador
No UNIX os dados de autorizaccedilatildeo satildeo recuperados chamando stat(2) em umarquivo e examinando o proprietaacuterio o grupo e os bits de modo No NFSv3 o comandoGETATTR funciona de maneira semelhante O sistema aproxima os bits de modo e os
Controle do acesso a dados
Permissotildees do UNIX 209
configura no arquivo sempre que a sua ACL muda As aproximaccedilotildees dos bits de modosomente precisam ser recuperadas para atender a essas chamadas
Obs
Os mapeamentos de identificador de seguranccedila a ID exclusivo e de identificador deseguranccedila a ID de grupo satildeo armazenados em cache no mapeador de IDs do OneFS eno cache stat Se um mapeamento mudou recentemente o arquivo pode relatarinformaccedilotildees imprecisas ateacute que ele seja atualizado ou ateacute que o cache passe por flush
Acesso a SMB dos arquivos criados pelo UNIXNenhuma associaccedilatildeo de ID exclusivo a identificador de seguranccedila ou de ID de grupo aidentificador de seguranccedila seraacute realizado ao criar uma ACL para um arquivo todos osIDs exclusivos e IDs de grupo seratildeo convertidos em identificadores de seguranccedila ouem principais quando a ACL for exibida
O OneFS inicia um processo de duas etapas para exibir um descritor de seguranccedila queconteacutem identificadores de seguranccedila para o proprietaacuterio e o grupo principal de umobjeto
1 O descritor de seguranccedila atual eacute recuperado do arquivo Se o arquivo natildeo tiveruma DACL (Discretionary Access Control List lista de controle de acessodiscricionaacuterio) uma ACL sintaacutetica seraacute construiacuteda a partir dos 9 bits de modoinferiores do arquivo que satildeo separados em trecircs conjuntos de triplos de permissatildeomdash cada um deles para proprietaacuterios grupos e todos os outros Para obter detalhessobre bits de modo consulte o toacutepico de permissotildees do UNIX
2 Duas ACEs (Access Control Entries entradas de controle de acesso) satildeo criadaspara cada triplo a ACE de concessatildeo (allow) conteacutem os direitos correspondentesque satildeo concedidos de acordo com as permissotildees a ACE de negaccedilatildeo (deny)conteacutem os direitos correspondentes que satildeo negados Em ambos os casos odepositaacuterio da ACE corresponde ao proprietaacuterio do arquivo ao grupo ou a todos osoutros Apoacutes a geraccedilatildeo de todas as ACEs todas as que natildeo forem necessaacuterias satildeoremovidas antes da exibiccedilatildeo da ACL sinteacutetica
Gerenciando permissotildees de acessoA representaccedilatildeo interna das identidades e permissotildees pode conter informaccedilotildees dasorigens UNIX das origens Windows ou de ambas Como os protocolos de acessopodem processar as informaccedilotildees de apenas uma dessas origens o sistema podeprecisar fazer aproximaccedilotildees para apresentar as informaccedilotildees em um formato que oprotocolo possa processar
Exibir as permissotildees esperadas do usuaacuterioVocecirc pode exibir as permissotildees esperadas para o acesso do usuaacuterio a um arquivo ouum diretoacuterio
Este procedimento deve ser realizado na interface de linha de comando
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
2 Exiba as permissotildees esperadas do usuaacuterio executando o comando isi authaccess
Controle do acesso a dados
210 OneFS 810 Guia de Administraccedilatildeo da CLI
O seguinte comando exibe permissotildees de ifs para o usuaacuterio especificado nolugar de ltnome de usuaacuteriogt
isi auth access ltusernamegt ifs
O sistema exibe resultados semelhantes aos do seguinte exemplo
User Name ltnome de usuaacuteriogt UID 2018 SID SIDS-1-5-21-2141457107-1514332578-1691322784-1018 File Owner userroot Group groupwheel Mode drwxrwxrwx Relevant Mode d---rwx--- Permissions Expected userltnome de usuaacuteriogt allow dir_gen_readdir_gen_writedir_gen_executedelete_child
3 Exiba as permissotildees de bits de modo de um usuaacuterio executando o comando isiauth access
O seguinte comando exibe as informaccedilotildees sobre as permissotildees dos arquivos domodo detalhado (verbose) do diretoacuterio ifs para o usuaacuterio especificado nolugar de ltnome de usuaacuteriogt
isi auth access ltusernamegt ifs -v
O sistema exibe resultados semelhantes aos do seguinte exemplo
User Name ltnome de usuaacuteriogt UID 2018 SID SIDS-1-5-21-2141457107-1514332578-1691322784-1018 File Owner userroot Group groupwheel Mode drwxrwxrwx Relevant Mode d---rwx--- Permissions Expected userltusernamegtallow dir_gen_readdir_gen_writedir_gen_executedelete_child
4 Exiba as permissotildees esperadas de usuaacuterios de ACL de um arquivo para umusuaacuterio executando o comando isi auth access
O seguinte comando exibe informaccedilotildees sobre as permissotildees de arquivos de ACLdo modo detalhado do arquivo file_with_acltx do diretoacuterio ifsdatapara o usuaacuterio especificado no lugar de ltnome de usuaacuteriogt
isi auth access ltusernamegt ifsdatafile_with_acltx -v
O sistema exibe resultados semelhantes aos do seguinte exemplo
User Name ltnome de usuaacuteriogt UID 2097 SID SIDS-1-7-21-2141457107-1614332578-1691322789-1018 File Owner userltnome de usuaacuteriogt Group groupwheel Permissions Expected userltnome de usuaacuteriogt allow file_gen_readfile_gen_writestd_write_dac Relevant Acl groupltnome-grupogt Users allow file_gen_read
Controle do acesso a dados
Exibir as permissotildees esperadas do usuaacuterio 211
userltnome de usuaacuteriogt allow std_write_dacfile_writeappendfile_write_ext_attrfile_write_attr groupwheel allow file_gen_readfile_gen_write
Definir as configuraccedilotildees de gerenciamento de acessoAs configuraccedilotildees padratildeo de acesso incluem o envio das respostas NTLMv2 para asconexotildees de SMB o tipo de identidade que seraacute armazenado em disco o nome dogrupo de trabalho do Windows para execuccedilatildeo no modo local e a substituiccedilatildeo doscaracteres para os espaccedilos encontrados nos nomes de usuaacuterio e de grupo
Procedimento
1 Defina as configuraccedilotildees de gerenciamento de acesso executando o comandoisi auth settings global modify
O seguinte comando modifica as configuraccedilotildees globais de um grupo detrabalho
isi auth settings global modify --send-ntlmv2=false --on-disk-identity=native --space-replacement=_ --workgroup=WORKGROUP
Modificar configuraccedilotildees de poliacutetica de ACLVocecirc pode modificar as configuraccedilotildees da poliacutetica de lista de controle de acesso masas configuraccedilotildees padratildeo da poliacutetica de ACL satildeo suficientes para a maioria dasimplementaccedilotildees de cluster
CUIDADO
Como as poliacuteticas de ACL alteram o comportamento das permissotildees em todo osistema devem ser modificadas somente conforme necessaacuterio poradministradores experientes com conhecimento avanccedilado de ACLs do WindowsIsso eacute vaacutelido especialmente para as configuraccedilotildees avanccediladas que satildeo aplicadasindependentemente do ambiente do cluster
Para UNIX Windows ou ambientes balanceados as configuraccedilotildees ideais de poliacuteticasde permissatildeo satildeo selecionadas e natildeo podem ser modificadas No entanto se fornecessaacuterio vocecirc pode escolher configurar manualmente as configuraccedilotildees padratildeo depermissatildeo do cluster para dar suporte a seu ambiente especiacutefico
Procedimento
1 Execute o comando a seguir para modificar configuraccedilotildees da poliacutetica de ACL
isi auth settings acls modify
Executar o trabalho PermissionsRepairVocecirc pode atualizar as permissotildees ou a propriedade dos arquivos e diretoacuteriosexecutando o trabalho Repair Permissions Para evitar problemas de permissotildees quepossam ocorrer depois de alterar a identidade do disco execute esses trabalhos com otrabalho Permissotildees de conversatildeo para garantir que as alteraccedilotildees sejam propagadastotalmente em todo o cluster
Controle do acesso a dados
212 OneFS 810 Guia de Administraccedilatildeo da CLI
Para evitar problemas de permissotildees que podem ocorrer depois de alterar a identidadeem disco execute esse trabalho de autenticaccedilatildeo e de controle de acesso com o modoconvert especificado para garantir que as alteraccedilotildees sejam propagadas totalmenteem todo o cluster
Procedimento
1 Atualize as permissotildees do cluster executando o comando isi job jobsstart com a sintaxe a seguir
O seguinte comando atualiza as permissotildees do cluster ondepermissionrepair especifica o tipo de trabalho e as variaacuteveis entreparecircnteses angulares satildeo espaccedilos reservados para os valores especiacuteficos de seuambiente
isi job start permissionrepair --priority lt1-10gt --policy ltpolicygt --mode ltclone | inherit | convert gt --mapping-type=ltsystem | sid | unix | nativegt --zone ltzone-namegt
Obs
Natildeo eacute possiacutevel combinar o paracircmetro --template com a opccedilatildeo de modoconvert mas vocecirc pode combinar o paracircmetro com as opccedilotildees de modoclone e inherit Por outro lado vocecirc natildeo pode combinar os paracircmetros --mapping-type e --zone com as opccedilotildees de modo clone e inherit maspode combinar os paracircmetros com a opccedilatildeo de modo convert
Exemplo 1 Exemplos
O seguinte exemplo atualiza as permissotildees do cluster onde permissionrepairespecifica o tipo de trabalho a prioridade eacute 3 o modo escolhido eacute convert e o tipo demapeamento eacute unix
isi job jobs start permissionrepair --priority=3 --policy myPolicy --mode=convert --mapping-type=unix --template ltisi pathgt --path ltifs directorygt --zone zone2
Controle do acesso a dados
Executar o trabalho PermissionsRepair 213
Controle do acesso a dados
214 OneFS 810 Guia de Administraccedilatildeo da CLI
CAPIacuteTULO 11
Compartilhamento de arquivos
Esta seccedilatildeo conteacutem os seguintes toacutepicos
l Visatildeo geral do compartilhamento de arquivos 216l SMB 218l NFS236l FTP 245l HTTP e HTTPS 247
Compartilhamento de arquivos 215
Visatildeo geral do compartilhamento de arquivosO suporte a multiprotocolo no OneFS permite que arquivos e diretoacuterios no cluster doIsilon sejam acessados via SMB para compartilhamento de arquivos do Windows NFSpara compartilhamento de arquivos do UNIX SSH (Secure Shell Protocol) FTP eHTTP De modo padratildeo apenas os protocolos SMB e NFS satildeo ativados
O OneFS cria o diretoacuterio ifs que eacute o diretoacuterio raiz de todos os dados do file systemdo cluster De modo padratildeo o diretoacuterio ifs eacute configurado como umcompartilhamento de SMB e uma exportaccedilatildeo NFS Vocecirc pode criarcompartilhamentos e exportaccedilotildees adicionais na aacutervore de diretoacuterios ifs
Obs
Recomendamos que vocecirc natildeo salve os dados no caminho de arquivo raiz ifs masnos diretoacuterios abaixo de ifs O projeto de sua estrutura de armazenamento de dadosdeve ser planejado com cuidado Uma estrutura de diretoacuterio bem projetada otimiza odesempenho e a administraccedilatildeo do cluster
Vocecirc pode configurar permissotildees baseadas em Windows e UNIX nos arquivos ediretoacuterios do OneFS Os usuaacuterios que tecircm as permissotildees e privileacutegios administrativosnecessaacuterios podem criar modificar e ler dados do cluster via um ou mais dosprotocolos compatiacuteveis de compartilhamento de arquivos
l SMB Permite que os clients do Microsoft Windows e do sistema operacional Macacessem os arquivos que estatildeo armazenados no cluster
l NFS Permite que os clients Linux e UNIX que seguem as especificaccedilotildees RFC1813(NFSv3) e RFC3530 (NFSv4) para acessar arquivos que satildeo armazenados nocluster
l HTTP e HTTPS (com DAV opcional) Permite que os clients acessem os arquivosque estatildeo armazenados no cluster por um navegador da Web
l FTP Permite que qualquer client equipado com um programa de client de FTPacesse os arquivos armazenados no cluster via protocolo FTP
Ambientes mistos de protocolosO diretoacuterio ifs eacute o diretoacuterio raiz de todos os dados do file system do cluster queserve como um compartilhamento de SMB uma exportaccedilatildeo NFS e um diretoacuterio raiz dedocumentos Vocecirc pode criar compartilhamentos e exportaccedilotildees adicionais na aacutervorede diretoacuterios ifs Vocecirc pode configurar seu cluster do OneFS para usar o SMB ouNFS exclusivamente ou ambos Vocecirc tambeacutem pode ativar HTTP FTP e SSH
Os direitos de acesso satildeo impostos de modo consistente via protocolos de acesso emtodos os modelos de seguranccedila Os direitos a um arquivo satildeo concedidos ou recusadosa um usuaacuterio independentemente do uso de SMB ou NFS Os clusters que executam oOneFS datildeo suporte a um conjunto de configuraccedilotildees globais de poliacuteticas que permitema personalizaccedilatildeo da ACL (Access Control List lista de controle de acesso) padratildeo edas configuraccedilotildees de permissotildees do UNIX
O OneFS eacute configurado com permissotildees padratildeo do UNIX na aacutervore de arquivos Nasferramentas administrativas do Windows Explorer ou do OneFS vocecirc pode ofereceruma ACL a qualquer arquivo ou diretoacuterio Aleacutem dos usuaacuterios e grupos do domiacutenio doWindows as ACLs do OneFS podem incluir o local o NIS (Network InformationService) e os usuaacuterios e grupos do LDAP (Lightweight Directory Access Protocol)Depois que um arquivo recebe uma ACL os bits de modo natildeo satildeo mais impostos eexistem apenas como uma estimativa das permissotildees efetivas
Compartilhamento de arquivos
216 OneFS 810 Guia de Administraccedilatildeo da CLI
Obs
Recomendamos que vocecirc somente configure as permissotildees da ACL e do UNIX seentende totalmente como elas interagem entre si
Armazenamento em cache para gravaccedilatildeo com SmartCacheO armazenamento em cache para gravaccedilatildeo acelera o processo de gravaccedilatildeo de dadosao cluster O OneFS inclui um recurso de armazenamento em cache para gravaccedilatildeochamado SmartCache que eacute ativado de modo padratildeo para todos os arquivos ediretoacuterios
Se o armazenamento em cache para gravaccedilatildeo estiver ativado o OneFS grava dadosem um cache de write-back em vez de gravar imediatamente os dados no disco OOneFS pode gravar os dados no disco em um momento mais conveniente
Obs
Recomendamos que vocecirc mantenha o armazenamento em cache para gravaccedilatildeoativado Vocecirc tambeacutem deve ativar o armazenamento em cache para gravaccedilatildeo paratodas as poliacuteticas de pools de arquivos
O OneFS interpreta as gravaccedilotildees ao cluster como siacutencronas ou assiacutencronasdependendo das especificaccedilotildees de um client Os impactos e riscos do armazenamentoem cache para gravaccedilatildeo dependem dos protocolos usados pelos clients para fazer asgravaccedilotildees no cluster e do fato de as gravaccedilotildees serem interpretadas como siacutencronasou assiacutencronas Se vocecirc desativar o armazenamento em cache para gravaccedilatildeo asespecificaccedilotildees dos clients satildeo ignoradas e todas as gravaccedilotildees satildeo executadas demodo siacutencrono
A tabela a seguir explica como as especificaccedilotildees dos clients satildeo interpretadas deacordo com o protocolo
Protocolo Siacutencrono Assiacutencrono
NFS O campo estaacutevel eacuteconfigurado comodata_sync ou file_sync
O campo estaacutevel eacuteconfigurado como unstable
SMB O indicador write-throughfoi aplicado
O indicador write-throughnatildeo foi aplicado
Armazenamento em cache para gravaccedilotildees assiacutencronasAs gravaccedilotildees assiacutencronas em cache com o armazenamento em cache para gravaccedilotildeeseacute o meacutetodo mais raacutepido de gravar dados a seu cluster
O armazenamento em cache para gravaccedilotildees assiacutencronas requer menos recursos decluster que o armazenamento em cache para gravaccedilotildees siacutencronas e melhoraraacute odesempenho geral do cluster para a maioria dos workflows Entretanto existem algunsriscos de perda de dados com as gravaccedilotildees assiacutencronas
A seguinte tabela descreve o risco de perda de dados para cada protocolo quando oarmazenamento em cache para gravaccedilotildees assiacutencronas eacute ativado
Protocolo Risco
NFS Se um noacute falhar natildeo haveraacute perda de dadosexceto no caso improvaacutevel de que um client
Compartilhamento de arquivos
Armazenamento em cache para gravaccedilatildeo com SmartCache 217
Protocolo Risco
desse noacute tambeacutem apresente falha antes de sereconectar ao cluster Nessa situaccedilatildeo asgravaccedilotildees assiacutencronas que natildeo foramconfirmadas no disco seratildeo perdidas
SMB Se um noacute falhar as gravaccedilotildees assiacutencronas quenatildeo foram confirmadas no disco seratildeoperdidas
Recomendamos que vocecirc natildeo desative o armazenamento em cacheindependentemente do protocolo com o qual estiver gravando Se estiver fazendogravaccedilotildees assiacutencronas no cluster e decidir que o risco de perda de dados eacute muitogrande recomendamos que vocecirc configure seus clients para usar gravaccedilotildeessiacutencronas em vez de desativar o armazenamento em cache
Armazenamento em cache para gravaccedilotildees siacutencronasO armazenamento em cache para gravaccedilotildees siacutencronas requer recursos de clusterinclusive um tamanho insignificante de espaccedilo de armazenamento Embora ele natildeoseja tatildeo raacutepido quanto o armazenamento em cache para gravaccedilotildees assiacutencronas amenos que os recursos de cluster sejam extremamente limitados o armazenamentoem cache para gravaccedilotildees siacutencronas eacute mais raacutepido que gravar em um cluster semarmazenamento em cache para gravaccedilatildeo
O armazenamento em cache para gravaccedilatildeo natildeo afeta a integridade das gravaccedilotildeessiacutencronas se um cluster ou noacute falhar natildeo haveraacute perda de nenhum dos dados docache de write-back para gravaccedilotildees siacutencronas
SMBO OneFS inclui um serviccedilo configuraacutevel de SMB para criar e gerenciarcompartilhamentos de SMB Os compartilhamentos de SMB oferecem agrave rede declients do Windows o acesso aos recursos de file system do cluster Vocecirc podeconceder permissotildees aos usuaacuterios e aos grupos para que eles realizem operaccedilotildeescomo leitura gravaccedilatildeo e configuraccedilatildeo de permissotildees de acesso noscompartilhamentos de SMB
O diretoacuterio ifs eacute configurado como um compartilhamento de SMB e ativado demodo padratildeo O OneFS daacute suporte aos modos de seguranccedila anocircnimos e de usuaacuterio Seo modo de seguranccedila do usuaacuterio estiver ativado os usuaacuterios que se conectam a umcompartilhamento de um client de SMB devem apresentar um nome de usuaacuterio vaacutelidocom credenciais adequadas
Os compartilhamentos SMB agem como checkpoints e os usuaacuterios devem ter acessoa um compartilhamento para acessar os objetos de um file system de umcompartilhamento Se um usuaacuterio receber acesso a um file system mas natildeo aocompartilhamento no qual ele reside esse usuaacuterio natildeo poderaacute acessar o file systemindependentemente de seus privileacutegios Por exemplo suponha que umcompartilhamento chamado ABCDocs contenha um arquivo chamado file1txt emum caminho como ifsdataABCDocsfile1txt Se um usuaacuterio que tentaracessar file1txt natildeo tiver privileacutegios de compartilhamento em ABCDocs ele natildeopoderaacute acessar o arquivo mesmo se tiver recebido privileacutegios de leitura eou gravaccedilatildeoao arquivo
O protocolo SMB usa SIDs (Security Identifiers identificadores de seguranccedila) para osdados de autorizaccedilatildeo Todas as identidades satildeo convertidas em identificadores de
Compartilhamento de arquivos
218 OneFS 810 Guia de Administraccedilatildeo da CLI
seguranccedila durante a recuperaccedilatildeo e convertidas de volta a sua representaccedilatildeo em discoantes de serem armazenadas no cluster
Quando um arquivo ou diretoacuterio eacute criado o OneFS verifica a ACL de seu diretoacuterioprincipal Se a ACL contiver ACEs (Access Control Entries entradas de controle deacesso) hereditaacuterias ela eacute gerada a partir dessas ACEs Caso contraacuterio o OneFS criauma ACL a partir das configuraccedilotildees combinadas create mask e create mode dearquivos e diretoacuterios
O OneFS daacute suporte aos seguintes clients de SMB
Versatildeo do SMB Sistemas operacionais compatiacuteveis
30 ndash somente multicanais Windows 8 ou posteriorWindows Server 2012 ou posterior
21 Windows 7 ou posteriorWindows Server 2008 R2 ou posterior
20 Windows Vista ou posteriorWindows Server 2008 ou posterior
Mac OS X 109 ou posterior
10 Windows 2000 ou posteriorWindows XP ou posterior
Mac OS X 105 ou posterior
Compartilhamentos do SMB nas zonas de acessoVocecirc pode criar e gerenciar compartilhamentos do SMB nas zonas de acesso
Vocecirc pode criar zonas de acesso que particionam o armazenamento do cluster doEMC Isilon em vaacuterios contecircineres virtuais As zonas de acesso datildeo suporte a todas asconfiguraccedilotildees dos serviccedilos de gerenciamento de autenticaccedilatildeo e de identidade docluster para que vocecirc possa configurar provedores de autenticaccedilatildeo e provisionarcompartilhamentos do SMB com base em zonas Ao criar uma zona de acesso umprovedor local seraacute criado automaticamente Ele permitiraacute configurar cada zona deacesso com uma lista de usuaacuterios e grupos locais Vocecirc tambeacutem pode se autenticar emum provedor diferente do Active Directory em cada zona de acesso e pode controlar oacesso a dados direcionando as conexotildees recebidas da zona de acesso a partir de umendereccedilo IP especiacutefico de um pool A associaccedilatildeo de uma zona de acesso a um pool deendereccedilos IP restringe a autenticaccedilatildeo agrave zona de acesso associada e reduz o nuacutemerode compartilhamentos do SMB disponiacuteveis e acessiacuteveis
Estas satildeo algumas maneiras de simplificar o gerenciamento do SMB com zonas deacesso
l Faccedila a migraccedilatildeo de vaacuterios servidores SMB como servidores de arquivos doWindows ou do NetApp a um soacute cluster do Isilon Depois configure uma zona deacesso separada para cada servidor SMB
l Configure cada zona de acesso com um conjunto exclusivo de nomes decompartilhamento SMB que natildeo entrem em conflito com os nomes decompartilhamento de outras zonas de acesso e em seguida associe cada zona deacesso a um domiacutenio diferente do Active Directory
l Reduza o nuacutemero de compartilhamentos disponiacuteveis e acessiacuteveis paragerenciamento associando um pool de endereccedilos IP a uma zona de acesso pararestringir a autenticaccedilatildeo agrave zona
Compartilhamento de arquivos
Compartilhamentos do SMB nas zonas de acesso 219
l Defina as configuraccedilotildees padratildeo dos compartilhamentos SMB que se aplicam atodos os compartilhamentos de uma zona de acesso
O cluster do Isilon inclui uma zona de acesso integrada chamada System onde vocecircgerencia todos os aspectos do cluster e das outras zonas de acesso Se vocecirc natildeoespecificar uma zona de acesso ao gerenciar compartilhamentos do SMB o OneFSatribuiraacute a zona System como padratildeo
SMB MultichannelO SMB Multichannel daacute suporte ao estabelecimento de uma soacute sessatildeo do SMB viavaacuterias conexotildees de rede
O SMB Multichannel eacute um recurso do protocolo SMB 30 que oferece os seguintesrecursos
Aumento do throughput
O OneFS pode transmitir mais dados a um client por meio de vaacuterias conexotildees comadaptadores de rede de alta velocidade ou de vaacuterios adaptadores de rede
Toleracircncia a falha de conexatildeo
Quando uma sessatildeo do SMB Multichannel eacute estabelecida em vaacuterias conexotildees derede a sessatildeo natildeo eacute perdida se uma das conexotildees apresentar falha de rede o quepermite que o client continue trabalhando
Detecccedilatildeo automaacutetica
O SMB Multichannel detecta automaticamente as configuraccedilotildees de hardwarecompatiacutevel do client que tecircm vaacuterios caminhos de rede e depois negocia eestabelece uma sessatildeo por vaacuterias conexotildees de rede Vocecirc natildeo precisa instalarcomponentes funccedilotildees serviccedilos das funccedilotildees nem recursos
Requisitos do SMB MultichannelVocecirc deve atender aos requisitos de configuraccedilatildeo de software e de NICs (NetworkInterface Cards placas de interface da rede) para dar suporte ao SMB Multichannelno cluster do EMC Isilon
O OneFS somente pode dar suporte ao SMB Multichannel quando os seguintesrequisitos de software forem atendidos
l Clients do Windows Server 2012 e 2012 R2 ou Windows 8 e 81
l O SMB Multichannel deve estar ativado no cluster do EMC Isilon e no computadorclient do Windows Ele eacute ativado no cluster do Isilon de modo padratildeo
O SMB Multichannel somente estabelece uma sessatildeo do SMB em vaacuterias conexotildees derede nas configuraccedilotildees compatiacuteveis de NIC Ele requer pelo menos uma das seguintesconfiguraccedilotildees de NIC no computador client
l Duas ou mais placas de interface de rede
l Uma ou mais placas de interface de rede que datildeo suporte a RSS (Receive SideScaling)
l Uma ou mais placas de interface de rede configuradas com agregaccedilatildeo de links Aagregaccedilatildeo de links permite que vocecirc combine a largura de banda das vaacuterias NICsde um noacute em uma soacute uacutenica interface loacutegica
Configuraccedilotildees das NICs do client compatiacuteveis com o SMB MultichannelO SMB Multichannel detecta automaticamente as configuraccedilotildees de hardwarecompatiacutevel do client que tecircm vaacuterios caminhos de rede disponiacuteveis
Compartilhamento de arquivos
220 OneFS 810 Guia de Administraccedilatildeo da CLI
Cada noacute do cluster do EMC Isilon tem pelo menos uma NIC (Network Interface Cardplaca de interface da rede) habilitada para RSS A configuraccedilatildeo das NICs no niacutevel doclient determina como o SMB Multichannel estabelece conexotildees de rede simultacircneaspor sessatildeo do SMB
Configuraccedilatildeodas NICs no niacuteveldo client
Descriccedilatildeo
NIC habilitada paraum soacute RSS
O SMB Multichannel estabelece um maacuteximo de quatro conexotildees de redeao cluster do Isilon pela NIC As conexotildees tendem a ser distribuiacutedas porvaacuterios nuacutecleos de CPU o que reduz a probabilidade de problemas degargalo de desempenho e garante o recurso de velocidade maacutexima daNIC
Vaacuterias NICs Se as NICs forem compatiacuteveis com RSS o SMB Multichannelestabeleceraacute um maacuteximo de quatro conexotildees de rede ao cluster do Isilonpor cada NIC Se as NICs do client natildeo forem compatiacuteveis com RSS oSMB Multichannel estabeleceraacute uma soacute conexatildeo de rede ao cluster doIsilon por cada NIC As duas configuraccedilotildees permitem que o SMBMultichannel aproveite a largura de banda combinada das vaacuterias NICs eofereccedila toleracircncia a falhas de conexatildeo em caso de falha de uma conexatildeoou de uma NIC
Obs
O SMB Multichannel natildeo pode estabelecer mais de oito conexotildees derede simultacircneas por sessatildeo Em uma configuraccedilatildeo de vaacuterias NIC issopode limitar o nuacutemero de conexotildees permitidas por NIC Por exemplo sea configuraccedilatildeo contiver trecircs NICs habilitadas para RSS o SMBMultichannel pode estabelecer trecircs conexotildees pela primeira NIC trecircsconexotildees pela segunda e duas conexotildees pela terceira
NICs agregadas O SMB Multichannel estabelece vaacuterias conexotildees de rede ao cluster doIsilon pelas NICs agregadas o que resulta em conexotildees balanceadas nosnuacutecleos da CPU consumo eficiente da largura de banda combinada etoleracircncia a falhas de conexatildeo
Obs
A configuraccedilatildeo de NICs agregadas oferece uma toleracircncia inerente agravefalha de NICs que natildeo depende do SMB
Gerenciamento de compartilhamentos do SMB via MMCO OneFS daacute suporte ao snap-in Shared Folders do MMC (Microsoft ManagementConsole) que permite que os compartilhamentos de SMB do cluster do EMC Isilonsejam gerenciados usando a ferramenta MMC
Normalmente vocecirc se conecta agrave zona global do sistema pela interface Web deadministraccedilatildeo ou pela interface de linha de comando para gerenciar e configurar oscompartilhamentos Se vocecirc configurar as zonas de acesso seraacute possiacutevel se conectara uma zona pelo snap-in Shared Folders do MMC e gerenciar diretamente todos oscompartilhamentos dessa zona
Vocecirc pode estabelecer uma conexatildeo a um noacute do Isilon pelo snap-in Shared Folders doMMC e executar as seguintes tarefas de gerenciamento dos compartilhamentos doSMB
Compartilhamento de arquivos
Gerenciamento de compartilhamentos do SMB via MMC 221
l Criar e excluir as pastas compartilhadas
l Configurar a permissatildeo de acesso a um compartilhamento do SMB
l Exibir uma lista das sessotildees ativas do SMB
l Fechar as sessotildees abertas do SMB
l Exibir uma lista dos arquivos abertos
l Fechar os arquivos abertos
Ao se conectar a uma zona pelo snap-in Shared Folders do MMC seraacute possiacutevel exibir egerenciar todos os compartilhamentos do SMB atribuiacutedos a ela entretanto vocecirc soacutepoderaacute exibir as sessotildees ativas e os arquivos abertos do SMB no noacute especiacutefico peloqual vocecirc estaacute conectado agrave zona As alteraccedilotildees feitas nos compartilhamentos por meiodo snap-in Shared Folders do MMC satildeo propagadas no cluster
Requisitos de conexatildeo do MMCVocecirc pode se conectar a um cluster do EMC Isilon pelo snap-in Shared Folders doMMC se atender aos requisitos de acesso
As seguintes condiccedilotildees satildeo necessaacuterias para estabelecer uma conexatildeo pelo snap-inShared Folders do MMC
l Vocecirc deve executar o MMC (Microsoft Management Consol) a partir de umaestaccedilatildeo de trabalho do Windows que esteja associada ao domiacutenio de um provedordo AD (Active Directory) configurado no cluster
l Vocecirc deve ser membro do grupo local ltclustergtAdministrators
Obs
Os privileacutegios de RBAC (Role Based Access Control controle de acesso baseadoem funccedilotildees) natildeo se aplicam ao MMC Uma funccedilatildeo com privileacutegios de SMB natildeo eacutesuficiente para obter acesso
l Vocecirc deve fazer log-in em uma estaccedilatildeo de trabalho do Windows como um usuaacuteriodo Active Directory que eacute membro do grupo local ltclustergtAdministrators
Coacutepia do servidor SMBPara aumentar o desempenho do sistema o SMB 2 e os clientes posteriores podemutilizar o recurso de coacutepia do servidor do OneFS
Os clients do Windows que usam o suporte de coacutepia do servidor podem observarmelhorias de desempenho das operaccedilotildees de coacutepia de arquivos jaacute que os file data natildeoprecisam mais atravessar a rede O recurso de coacutepia do servidor lecirc e grava arquivosapenas no servidor evitando o ciclo de ida e volta da rede e a duplicaccedilatildeo dos file dataEsse recurso soacute afeta as operaccedilotildees de coacutepia parcial ou de arquivos nas quais osidentificadores de arquivos de origem e de destino estatildeo abertos no mesmocompartilhamento e natildeo funciona para operaccedilotildees de compartilhamento cruzado
O recurso eacute habilitado por padratildeo nos clusters do OneFS e soacute pode ser desabilitado emtodo o sistema em todas as zonas Aleacutem disso coacutepia do servidor do OneFS eacutecompatiacutevel com o recurso de disponibilidade contiacutenua do SMB Se a disponibilidadecontiacutenua estiver habilitada para um compartilhamento e o client abrir um identificadorde arquivo persistente a coacutepia do servidor seraacute automaticamente desabilitada paraesse arquivo
Compartilhamento de arquivos
222 OneFS 810 Guia de Administraccedilatildeo da CLI
Obs
Vocecirc soacute pode desabilitar ou habilitar a coacutepia do servidor SMB do OneFS usando a CLI(Command Line Interface interface de linha de comando)
Habilitar ou desabilitar a coacutepia do servidor do SMBVocecirc pode habilitar ou desabilitar o recurso de coacutepia do servidor do SMB
Esse recurso eacute habilitado no OneFS por padratildeo
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com o cluster do EMC Isilon
2 Execute o comando isi smb settings global modify
3 Modifique a opccedilatildeo --server-side-copy conforme necessaacuterio
Esse recurso eacute habilitado por padratildeo
Por exemplo o seguinte comando desativa a coacutepia do servidor do SMB
isi smb settings global modify --server-side-copy=no
Disponibilidade contiacutenua do SMBSe vocecirc estiver executando o OneFS em um ambiente de SMB 30 alguns clients doWindows seratildeo autorizados a abrir arquivos em um servidor com a disponibilidadecontiacutenua habilitada
Se um servidor estiver usando o Windows 8 ou o Windows Server 2012 os clientspoderatildeo criar identificadores de arquivo persistente podem ser recuperados apoacutes umaparalisaccedilatildeo como uma desconexatildeo relacionada agrave rede ou uma falha no servidor Vocecircpode especificar por quanto tempo o identificador persistente eacute mantido apoacutes umadesconexatildeo ou falha do servidor e tambeacutem forccedilar rigorosos bloqueios sobre osusuaacuterios que estejam tentando abrir um arquivo pertencente a outro identificadorAleacutem disso por meio da CLI (Command Line Interface interface de linha de comando)do OneFS vocecirc pode definir as configuraccedilotildees de integridade de gravaccedilatildeo paracontrolar a estabilidade das gravaccedilotildees feitas no compartilhamento
Se a disponibilidade contiacutenua estiver habilitada para um compartilhamento e o clientabrir um identificador de arquivo persistente a coacutepia do servidor seraacuteautomaticamente desabilitada para esse arquivo
Obs
Vocecirc soacute pode habilitar a disponibilidade contiacutenua ao criar um compartilhamento maspode atualizar as configuraccedilotildees de timeout bloqueio e integridade das gravaccedilotildees aocriar ou modificar um compartilhamento
Ativar a disponibilidade contiacutenua do SMBVocecirc pode ativar a disponibilidade contiacutenua do SMB 30 e definir as configuraccedilotildees aocriar um compartilhamento
Vocecirc tambeacutem pode atualizar o timeout de disponibilidade contiacutenua fazer o bloqueio egravar as configuraccedilotildees de integridade ao modificar um compartilhamento
Compartilhamento de arquivos
Disponibilidade contiacutenua do SMB 223
Procedimento
l Execute isi smb shares create para ativar esse recurso e definirconfiguraccedilotildees e isi smb shares modify ou isi smb settings sharesmodify para alterar configuraccedilotildees
O comando a seguir ativa a disponibilidade contiacutenua em um novocompartilhamento chamado Share4 configura o timeout do identificador para trecircsminutos (180 segundos) impotildee um bloqueio rigoroso e altera a configuraccedilatildeo daintegridade da gravaccedilatildeo para full
isi smb shares create --name=Share4 --path=ifsdataShare4 --continuously-available=yes --ca-timeout=180 --strict-ca-lockout=yes --ca-write-integrity=full
Filtragem de arquivos do SMBVocecirc pode usar a filtragem de arquivos do SMB para permitir ou negar gravaccedilotildees emum compartilhamento ou uma zona de acesso
Esse recurso permite que vocecirc negue certos tipos de arquivos que podem causarproblemas de throughput problemas de seguranccedila desorganizaccedilatildeo doarmazenamento ou interrupccedilotildees da produtividade Vocecirc pode restringir as gravaccedilotildeespermitindo as gravaccedilotildees de determinados tipos de arquivos em um compartilhamento
l Se vocecirc optar por recusar gravaccedilotildees de arquivos poderaacute especificar os tipos dearquivo que natildeo podem ser gravados por extensatildeo O OneFS permite que todos osoutros tipos de arquivo sejam gravados no compartilhamento
l Se vocecirc optar por permitir gravaccedilotildees de arquivos poderaacute especificar os tipos dearquivo que podem ser gravados por extensatildeo O OneFS nega a gravaccedilatildeo de todosos outros tipos de arquivo no compartilhamento
Vocecirc pode adicionar ou remover extensotildees de arquivos se suas poliacuteticas de restriccedilatildeomudarem
Habilitar a filtragem de arquivos do SMBVocecirc pode habilitar ou desabilitar a filtragem de arquivos do SMB quando criar oumodificar um compartilhamento
Procedimento
l Execute isi smb shares create ou isi smb shares modify
O comando a seguir habilita a filtragem de arquivos em um compartilhamentochamado Share2 e nega gravaccedilotildees pelos tipos de arquivo wav e mpg
isi smb shares modify Share2 --file-filtering-enabled=yes file-filter-extensions=wavmpg
O comando a seguir habilita a filtragem de arquivos em um compartilhamentochamado Share3 especifica o tipo de arquivo xml e especifica que gravaccedilotildeespara esse tipo de arquivo satildeo permitidas
isi smb shares modify Share3 --file-filtering-enabled=yes file-filter-extensions=xml --file-filter-type=allow
Compartilhamento de arquivos
224 OneFS 810 Guia de Administraccedilatildeo da CLI
Links simboacutelicos e clients do SMBO OneFS permite que os clients do SMB2 acessem os links simboacutelicos de maneiraperfeita Muitos administradores implementam links simboacutelicos para reorganizarvirtualmente as hierarquias de file system principalmente quando arquivos oudiretoacuterios essenciais estiverem espalhados em um ambiente
Em um compartilhamento do SMB um link simboacutelico (tambeacutem conhecido comosymlink) eacute um tipo de arquivo que conteacutem um caminho para um arquivo ou umdiretoacuterio de destino Os links simboacutelicos satildeo transparentes aos aplicativos executadosnos clients do SMB e funcionam como arquivos e diretoacuterios tiacutepicos O suporte aos linksrelativos e absolutos eacute ativado pelo client do SMB A configuraccedilatildeo especiacutefica dependedo tipo e da versatildeo do client
Um link simboacutelico que aponta para um arquivo ou um diretoacuterio de rede e que natildeo estejano caminho da sessatildeo ativa do SMB eacute referido como um link absoluto (ou remoto) Oslinks absolutos sempre apontam para o mesmo local de um file systemindependentemente do diretoacuterio funcional presente e geralmente contecircm o diretoacuterioraiz como parte do caminho Por outro lado um link relativo eacute um link simboacutelico queaponta diretamente para o diretoacuterio funcional do aplicativo ou de um usuaacuterio portantonatildeo eacute necessaacuterio especificar o caminho absoluto completo ao criar o link
O OneFS expotildee os links simboacutelicos por meio do protocolo SMB2 permitindo que osclients do SMB2 resolvam os links em vez de depender do OneFS para resolvecirc-los emnome dos clients Para atravessar um link relativo ou absoluto o client do SMB deveestar autenticado para os compartilhamentos do SMB pelos quais o link pode serseguido Entretanto se o client do SMB natildeo tiver permissatildeo para acessar ocompartilhamento o acesso ao destino seraacute negado e o Windows natildeo solicitaraacute ascredenciais ao usuaacuterio
Os links do SMB2 e do NFS satildeo interoperaacuteveis somente para links relativos Para obtero maacuteximo de compatibilidade crie esses links a partir de um client POSIX
Obs
Os clients do SMB1 (como Windows XP ou 2002) ainda podem usar links relativosmas eles satildeo atravessados no servidor e chamados de arquivos de atalho Os linksabsolutos natildeo funcionam nesses ambientes
Ativando os links simboacutelicosAntes de poder usar links simboacutelicos totalmente em um ambiente SMB vocecirc deveraacuteativaacute-los
Para que os clients do SMB do Windows atravessem todos os tipos de linkssimboacutelicos vocecirc deveraacute ativaacute-los no client O Windows daacute suporte aos seguintes tiposde link
l local a local
l remoto a remoto
l local a remoto
l remoto a local
Vocecirc deve executar o seguinte comando do Windows para ativar todos os quatro tiposde links
fsutil behavior set SymlinkEvaluation L2L1 R2R1 L2R1 R2L1
Compartilhamento de arquivos
Links simboacutelicos e clients do SMB 225
Para clients POSIX que usam o Samba vocecirc deve configurar as seguintes opccedilotildees naseccedilatildeo [global] de seu arquivo de configuraccedilatildeo do Samba (smbconf) para permitirque os clients do Samba atravessem os links relativos e absolutos
follow symlinks=yes wide links=yes
Nesse caso os links extensos do arquivo smbconf referem-se a links absolutos Aconfiguraccedilatildeo padratildeo desse arquivo eacute no
Gerenciando links simboacutelicosDepois de ativar os links simboacutelicos vocecirc pode criaacute-los ou excluiacute-los no prompt decomando do Windows ou em uma linha de comando POSIX
Crie links simboacutelicos usando o comando mklink do Windows em um client SMB2 ou ocomando ln de uma interface de linha de comando POSIX Por exemplo umadministrador pode querer dar a um usuaacuterio chamado User1 o acesso a um arquivochamado File1doc do diretoacuterio ifsdata sem oferecer acesso especiacutefico aesse diretoacuterio criando um link chamado Link1
mklink ifshomeusersUser1Link1 ifsdataShare1File1doc
Quando vocecirc cria um link simboacutelico ele eacute designado como um link de arquivos ou dediretoacuterios Assim que o link eacute configurado sua designaccedilatildeo natildeo pode ser alterada Vocecircpode formatar os caminhos dos links simboacutelicos como relativos ou absolutos
Para excluir os links simboacutelicos use o comando del do Windows ou o comando rm emum ambiente POSIX
Lembre-se de que ao excluir um link simboacutelico o arquivo ou diretoacuterio de destino aindaexistiraacute No entanto ao excluir um arquivo ou diretoacuterio de destino um link simboacutelicoexistiraacute e ainda apontaraacute para o destino antigo tornando-se um link quebrado
Acesso anocircnimo a compartilhamentos SMBVocecirc pode configurar o acesso anocircnimo aos compartilhamentos SMB ativando ousuaacuterio guest local e permitindo a imitaccedilatildeo do usuaacuterio guest
Por exemplo se vocecirc armazenar arquivos como executaacuteveis do navegador ou outrosdados que seratildeo puacuteblicos na Internet o acesso anocircnimo permitiraacute que o usuaacuterio acesseo compartilhamento SMB sem autenticaccedilatildeo
Gerenciando configuraccedilotildees do SMBVocecirc pode ativar ou desativar o serviccedilo SMB definir as configuraccedilotildees globais doserviccedilo SMB e definir as configuraccedilotildees padratildeo dos compartilhamentos de SMB quesatildeo especiacuteficas a cada zona de acesso
Exibir configuraccedilotildees globais do SMBVocecirc pode exibir as configuraccedilotildees globais do SMB (Server Message Block)que satildeoaplicadas a todos os noacutes do cluster do EMC Isilon Essa tarefa soacute pode ser realizada nainterface de linha de comando do OneFS
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
Compartilhamento de arquivos
226 OneFS 810 Guia de Administraccedilatildeo da CLI
2 Execute o comando isi smb settings global view
O sistema exibe resultados semelhantes aos do seguinte exemplo
Access Based Share Enum No Dot Snap Accessible Child Yes Dot Snap Accessible Root Yes Dot Snap Visible Child No Dot Snap Visible Root Yes Enable Security Signatures No Guest User nobody Ignore Eas No Onefs Cpu Multiplier 4 Onefs Num Workers 0Require Security Signatures No Server Side Copy Yes Server String Isilon Server Srv Cpu Multiplier 4 Srv Num Workers 0 Support Multichannel Yes Support NetBIOS No Support Smb2 Yes
Definir configuraccedilotildees globais do SMBVocecirc pode definir as configuraccedilotildees globais do compartilhamento de arquivos do SMBEssa tarefa soacute pode ser realizada na interface de linha de comando do OneFS
CUIDADO
Modificar as configuraccedilotildees globais de compartilhamento de arquivos do SMBpode resultar em falhas operacionais Esteja ciente das possiacuteveis consequecircnciasantes de modificar essas configuraccedilotildees
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
2 Execute o comando isi smb settings global modify
O exemplo de comando a seguir desativa a coacutepia do servidor do SMB
isi smb settings global modify --server-side-copy=no
Ativar ou desativar o serviccedilo SMBO serviccedilo SMB eacute ativado de modo padratildeo
Obs
Vocecirc pode determinar se o serviccedilo eacute ativado ou desativado executando o comandoisi services -l
Procedimento
l Execute o comando isi services
O seguinte comando desativa o serviccedilo SMB
isi services smb disable
Compartilhamento de arquivos
Gerenciando configuraccedilotildees do SMB 227
O seguinte comando ativa o serviccedilo SMB
isi services smb enable
Ativar ou desativar o SMB MultichannelO SMB Multichannel eacute necessaacuterio para vaacuterias sessotildees simultacircneas do SMB entre umcomputador client do Windows e um noacute de um cluster do EMC Isilon O SMBMultichannel eacute ativado no cluster do Isilon de modo padratildeo
Vocecirc somente pode ativar ou desativar o SMB Multichannel pela interface de linha decomando
Procedimento
1 Abra uma conexatildeo SSH (Secure Shell Protocol) com qualquer noacute do cluster efaccedila log-in
2 Execute o comando isi smb settings global modify
O seguinte comando ativa o SMB Multichannel no cluster do EMC Isilon
isi smb settings global modify ndash-support-multichannel=yes
O seguinte comando desativa o SMB Multichannel no cluster do EMC Isilon
isi smb settings global modify ndash-support-multichannel=no
Exibir as configuraccedilotildees padratildeo dos compartilhamentos do SMBVocecirc pode exibir as configuraccedilotildees padratildeo dos compartilhamentos do SMB especiacuteficasa uma zona de acesso
Procedimento
l Execute o comando isi smb settings shares view
O seguinte exemplo de comando exibe as configuraccedilotildees padratildeo doscompartilhamentos do SMB definidas para a zone5
isi smb settings shares view --zone=zone5
O sistema exibe resultados semelhantes aos do seguinte exemplo
Access Based Enumeration NoAccess Based Enumeration Root Only No Allow Delete Readonly No Allow Execute Always No Ca Timeout 120 Strict Ca Lockout No Change Notify norecurse Create Permissions default acl Directory Create Mask 0700 Directory Create Mode 0000 File Create Mask 0700 File Create Mode 0100 File Filtering Enabled Yes File Filter Extensions wav File Filter Type deny
Compartilhamento de arquivos
228 OneFS 810 Guia de Administraccedilatildeo da CLI
Hide Dot Files No Host ACL - Impersonate Guest never Impersonate User - Mangle Byte Start 0XED00 Mangle Map 0x01-0x1F-1 0x22-1 0x2A-1 0x3A-1 0x3C-1 0x3E-1 0x3F-1 0x5C-1 Ntfs ACL Support Yes Oplocks Yes Strict Flush Yes Strict Locking No
Definir as configuraccedilotildees padratildeo dos compartilhamentos do SMBVocecirc pode definir as configuraccedilotildees dos compartilhamentos do SMB especiacuteficas a cadazona de acesso
As configuraccedilotildees padratildeo satildeo aplicadas a todos os novos compartilhamentos que satildeoadicionados agrave zona de acesso
CUIDADO
Se vocecirc modificar as configuraccedilotildees padratildeo as alteraccedilotildees seratildeo aplicadas a todosos compartilhamentos existentes da zona de acesso
Procedimento
1 Execute o comando isi smb settings shares modify
O seguinte comando especifica que os guests nunca satildeo autorizados a acessaros compartilhamentos da zone5
isi smb settings global modify --zone=zone5 --impersonate-guest=never
Gerenciando compartilhamentos de SMBVocecirc pode configurar as regras e outras configuraccedilotildees que controlam a interaccedilatildeoentre sua rede Windows e os compartilhamentos individuais de SMB do cluster
O OneFS daacute suporte agraves expansotildees variaacuteveis U D Z L 0 1 2 e 3 e aoprovisionamento automaacutetico de diretoacuterios de usuaacuterio
Vocecirc pode configurar os usuaacuterios e os grupos que satildeo associados a umcompartilhamento de SMB e exibir ou modificar suas permissotildees de niacutevel decompartilhamento
Obs
Recomendamos que vocecirc somente defina as configuraccedilotildees avanccediladas decompartilhamentos de SMB se tiver um entendimento soacutelido sobre o protocolo SMB
Criar um compartilhamento de SMBAo criar um compartilhamento de SMB vocecirc pode sobrepor as permissotildees padratildeo asconfiguraccedilotildees de desempenho e acesso Vocecirc pode configurar o provisionamento dodiretoacuterio de usuaacuterio do SMB incluindo variaacuteveis de expansatildeo no caminho docompartilhamento a fim de criar e redirecionar os usuaacuterios automaticamente a seusproacuteprios diretoacuterios de usuaacuterio
Compartilhamento de arquivos
Gerenciando compartilhamentos de SMB 229
Antes de vocecirc comeccedilar
Vocecirc deve especificar um caminho que seraacute usado como o compartilhamento de SMBOs compartilhamentos satildeo especiacuteficos agraves zonas de acesso e o caminho docompartilhamento deve existir no caminho da zona Vocecirc pode especificar um caminhoexistente ou criar o caminho no momento de criaccedilatildeo do compartilhamento Crie zonasde acesso antes de criar compartilhamentos de SMB
Vocecirc pode especificar uma ou mais variaacuteveis de expansatildeo no caminho do diretoacuteriomas deve configurar os indicadores como true para os paracircmetros --allow-variable-expansion e --auto-create-directory Se vocecirc natildeo especificaressas configuraccedilotildees a string da variaacutevel de expansatildeo eacute interpretada literalmente pelosistema
Procedimento
1 Execute o comando isi smb shares create
O seguinte comando cria um diretoacuterio em ifszone5datashare1 criaum compartilhamento chamado share1 usando esse caminho e adiciona ocompartilhamento agrave zona de acesso existente chamada zone5
mkdir ifsdatashare1 isi smb shares create --name=share1 --path=ifsdatashare1 --zone=zone5 --browsable=true --description=Example Share 1
Obs
Os nomes dos compartilhamentos podem conter ateacute 80 caracteres exceto osseguintes [ ] |lt gt + = Aleacutem disso se a codificaccedilatildeo de caracteres do cluster natildeo estiver configuradacomo UTF-8 os nomes de compartilhamentos de SMB diferenciam letrasmaiuacutesculas de minuacutesculas
O seguinte comando cria um diretoacuterio em ifsdatashare2 converte-o emum compartilhamento de SMB e adiciona o compartilhamento agrave zona padratildeo dosistema porque nenhuma zona foi especificada
isi smb shares create share2 --path=ifsdatashare2 --create-path --browsable=true --description=Example Share 2
O comando a seguir cria um diretoacuterio em ifsdatashare3 e o converte emum compartilhamento de SMB O comando tambeacutem aplica uma ACL aocompartilhamento
isi smb shares create share3 --path=ifsdatashare3 --create-path --browsable=true --description=Example Share 3 --inheritable-path-acl=true --create-permissions=default acl
Obs
Se nenhuma ACL padratildeo for configurada e o diretoacuterio principal natildeo tiver umaACL herdada eacute criada uma ACL para o compartilhamento com as configuraccedilotildeesdirectory-create-mask e directory-create-mode
Compartilhamento de arquivos
230 OneFS 810 Guia de Administraccedilatildeo da CLI
O comando a seguir cria o diretoacuterio ifsdatashare4 e o converte em umcompartilhamento de SMB natildeo pesquisaacutevel O comando tambeacutem configura ouso de bits de modo para o controle de permissotildees
isi smb shares create --name=share4 --path=ifsdatashare4 --create-path --browsable=false --description=Example Share 4 --inheritable-path-acl=true --create-permissions=use create mask and mode
2 O comando a seguir cria diretoacuterios de usuaacuterio para cada usuaacuterio que se conectaao compartilhamento com base no domiacutenio NetBIOS e no nome do usuaacuterio
Neste exemplo se um usuaacuterio estiver em um domiacutenio denominado DOMAIN etiver um nome de usuaacuterio user_1 o caminho ifshomeDU se expandiraacutepara ifshomeDOMAINuser_1
isi smb shares modify HOMEDIR --path=ifshomeDU --allow-variable-expansion=yes --auto-create-directory=yes
O seguinte comando cria um compartilhamento chamado HOMEDIR com ocaminho ifssharehome existente
isi smb shares create HOMEDIR ifssharehome
3 Execute o comando isi smb shares permission modify para permitir oacesso ao compartilhamento
O seguinte comando oferece permissotildees completas ao usuaacuterio wellknownEveryone para o compartilhamento HOMEDIR
isi smb shares permission modify HOMEDIR --wellknown Everyone --permission-type allow --permission full
Modificar um compartilhamento de SMBVocecirc pode modificar as configuraccedilotildees dos compartilhamentos individuais de SMB
Antes de vocecirc comeccedilar
Os compartilhamentos de SMB satildeo especiacuteficos agraves zonas Ao modificar umcompartilhamento identifique a zona de acesso agrave qual o compartilhamento pertenceSe vocecirc natildeo identificar a zona de acesso o OneFS atribui a zona do sistema comopadratildeo Se o compartilhamento que vocecirc deseja modificar tem o mesmo nome de umcompartilhamento da zona do sistema o compartilhamento da zona do sistema eacutemodificadoProcedimento
1 Execute o comando isi smb shares modify
No exemplo a seguir o caminho de arquivo do compartilhamento share1 dazone5 aponta para ifszone5data O seguinte comando modifica ocaminho de arquivo do compartilhamento share1 para ifszone5etc queeacute outro diretoacuterio do caminho da zone5
isi smb shares modify share1 --zone=zone5 --path=ifszone5etc
Compartilhamento de arquivos
Gerenciando compartilhamentos de SMB 231
Obs
Se a codificaccedilatildeo de caracteres do cluster natildeo estiver configurada para UTF-8os nomes de compartilhamentos de SMB diferenciam letras maiuacutesculas deminuacutesculas
Excluir um compartilhamento de SMBVocecirc pode excluir os compartilhamentos de SMB que natildeo satildeo mais necessaacuterios
Antes de vocecirc comeccedilar
Os compartilhamentos de SMB satildeo especiacuteficos agraves zonas Ao excluir umcompartilhamento identifique a zona de acesso agrave qual o compartilhamento pertenceSe vocecirc natildeo identificar a zona de acesso o OneFS atribui a zona do sistema comopadratildeo Se o compartilhamento que vocecirc deseja excluir tem o mesmo nome de umcompartilhamento da zona do sistema o compartilhamento da zona do sistema eacuteexcluiacutedo
Se vocecirc excluir um compartilhamento de SMB o caminho do compartilhamento eacuteexcluiacutedo mas o diretoacuterio ao qual ele faz referecircncia ainda existe Se vocecirc criar um novocompartilhamento com o mesmo caminho do compartilhamento que foi excluiacutedo odiretoacuterio ao qual o compartilhamento anterior fazia referecircncia estaraacute acessiacutevelnovamente no novo compartilhamento
Procedimento
1 Execute o comando isi smb shares delete
O seguinte comando exclui um compartilhamento chamado Share1 da zona deacesso chamada zone-5
isi smb shares delete Share1 --zone=zone-5
2 Digite yes no prompt de confirmaccedilatildeo
Limitar o acesso ao compartilhamento ifs da conta EveryoneDe modo padratildeo o diretoacuterio raiz ifs eacute configurado como um compartilhamento doSMB na zona de acesso System Recomenda-se que vocecirc restrinja a conta Everyonedesse compartilhamento ao acesso somente leitura
Procedimento
1 Execute o comando isi smb shares permission modify
O seguinte exemplo altera as permissotildees da conta Everyone para somenteleitura do compartilhamento do SMB configurado para o diretoacuterio ifs
isi smb shares permission modify ifs --wellknown=Everyone -d allow -p read
2 (Opcional) Verifique a alteraccedilatildeo executando o seguinte comando para listar aspermissotildees do compartilhamento
isi smb shares permission list ifs
Compartilhamento de arquivos
232 OneFS 810 Guia de Administraccedilatildeo da CLI
Configurar acesso anocircnimo a um soacute compartilhamento SMBVocecirc pode configurar o acesso anocircnimo aos dados armazenados em um soacutecompartilhamento com a imitaccedilatildeo de usuaacuterio guest
Procedimento
1 Ative a conta de usuaacuterio guest na zona de acesso que conteacutem ocompartilhamento desejado executando o comando isi auth usersmodify
O seguinte comando ativa o usuaacuterio guest na zona de acesso chamada zone3
isi auth users modify Guest --enabled=yes --zone=zone3
2 Defina a imitaccedilatildeo do guest no compartilhamento ao qual deseja permitir oacesso anocircnimo executando o comando isi smb share modify
O seguinte comando configura a imitaccedilatildeo do guest em um compartilhamentochamado share1 na zone3
isi smb share modify share1 --zone=zone3 --impersonate-guest=always
3 Verifique se a conta de usuaacuterio guest tem permissatildeo para acessar ocompartilhamento executando o comando isi smb share permissionlist
O seguinte comando lista as permissotildees para share1 na zone3
isi smb share permission list share1 --zone=zone3
O sistema exibe um resultado semelhante ao do seguinte exemplo
Account Account Type Run as Root Permission Type Permission----------------------------------------------------------------Everyone wellknown False allow readGuest user False allow full----------------------------------------------------------------
Configurar o acesso anocircnimo a todos os compartilhamentos SMB em uma zona de acessoVocecirc pode configurar o acesso anocircnimo aos dados armazenados em uma zona deacesso com a imitaccedilatildeo de usuaacuterio guest
Procedimento
1 Ative a conta de usuaacuterio guest na zona de acesso que conteacutem ocompartilhamento desejado executando o comando isi auth usersmodify
O seguinte comando ativa o usuaacuterio guest na zona de acesso chamada zone3
isi auth users modify Guest --enabled=yes --zone=zone3
2 Defina a imitaccedilatildeo do guest como o valor padratildeo para todos oscompartilhamentos na zona de acesso executando o comando isi smbsettings share modify
Compartilhamento de arquivos
Gerenciando compartilhamentos de SMB 233
O seguinte comando configura a imitaccedilatildeo de guest para todos oscompartilhamentos em zone3
isi smb settings share modify --zone=zone3 --impersonate-guest=always
3 Verifique se a conta de usuaacuterio guest tem permissatildeo para cadacompartilhamento na zona de acesso executando o comando isi smb sharepermission list
O seguinte comando lista as permissotildees para share1 na zone3
isi smb share permission list share1 --zone=zone3
O sistema exibe um resultado semelhante ao do seguinte exemplo
Account Account Type Run as Root Permission Type Permission----------------------------------------------------------------Everyone wellknown False allow readGuest user False allow full----------------------------------------------------------------
Configurar o acesso multiprotocolo ao diretoacuterio de usuaacuterioPara os usuaacuterios que acessaratildeo esse compartilhamento via FTP ou SSH vocecirc podegarantir que o caminho de seu diretoacuterio de usuaacuterio seja o mesmo independentementede eles se conectarem via SMB ou se fizerem log-in por FTP ou SSH Essa tarefa soacutepode ser realizada na interface de linha de comando do OneFS
Este comando direciona o compartilhamento de SMB a usar o modelo de diretoacuterio deusuaacuterio especificado no provedor de autenticaccedilatildeo do usuaacuterio Este procedimentosomente estaacute disponiacutevel pela interface de linha de comando
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
2 Execute o seguinte comando onde ltcompartilhamentogt eacute o nome docompartilhamento do SMB e --path eacute o caminho de diretoacuterio do modelo dediretoacuterio de usuaacuterio especificado pelo provedor de autenticaccedilatildeo do usuaacuterio
isi smb shares modify ltcompartilhamentogt --path=
Variaacuteveis compatiacuteveis de expansatildeoVocecirc pode incluir variaacuteveis de expansatildeo em um caminho de compartilhamento de SMBou no modelo de diretoacuterio de usuaacuterio de um provedor de autenticaccedilatildeo
O OneFS daacute suporte agraves variaacuteveis de expansatildeo a seguir Vocecirc pode melhorar odesempenho e reduzir o nuacutemero de compartilhamentos que seratildeo gerenciados aoconfiguraacute-los com variaacuteveis de expansatildeo Por exemplo vocecirc pode incluir a variaacutevel Upara um compartilhamento em vez de criar um compartilhamento para cada usuaacuterioQuando uma variaacutevel U eacute incluiacuteda no nome e o caminho de cada usuaacuterio eacute diferentea seguranccedila ainda eacute garantida jaacute que cada usuaacuterio pode exibir e acessar apenas seuproacuteprio diretoacuterio de usuaacuterio
Compartilhamento de arquivos
234 OneFS 810 Guia de Administraccedilatildeo da CLI
Obs
Ao criar um compartilhamento de SMB na interface de administraccedilatildeo da Web seraacutenecessaacuterio selecionar a caixa de seleccedilatildeo Allow Variable Expansion ou a string seraacuteinterpretada literalmente pelo sistema
Variaacutevel Valor Descriccedilatildeo
U Nome de usuaacuterio (porexemplo user_001)
Eacute expandida ateacute o nome deusuaacuterio para permitir quediferentes usuaacuterios usemdiferentes diretoacuterios deusuaacuterio Geralmente estavariaacutevel eacute incluiacuteda ao final docaminho Por exemplo paraum usuaacuterio chamado user1 ocaminho ifshomeU eacute
associado a ifshomeuser1
D Nome de domiacutenio do NetBIOS(por exemplo YORK paraYORKEASTEXAMPLECOM)
Eacute expandida ao nome dedomiacutenio do usuaacuterio com baseno provedor de autenticaccedilatildeo
l Para usuaacuterios do ActiveDirectory D expande-se para o nome NetBIOSdo Active Directory
l Para usuaacuterios locais Dexpande-se ao nome decluster em caracteresmaiuacutesculos Por exemplopara um cluster chamadocluster1 D expande-separa CLUSTER1
l Para usuaacuterios do provedorde arquivos do sistemaD expande-se paraUNIX_USERS
l Para usuaacuterios de outrosprovedores de arquivosD expande-se paraFILE_USERS
l Para usuaacuterios do LDAPD expande-se paraLDAP_USERS
l Para usuaacuterios do NIS Dexpande-se paraNIS_USERS
Z Nome da zona (por exemploZoneABC)
Eacute expandida para o nome dazona de acesso Se vaacuteriaszonas forem ativadas estavariaacutevel eacute uacutetil para diferenciar
Compartilhamento de arquivos
Gerenciando compartilhamentos de SMB 235
Variaacutevel Valor Descriccedilatildeo
usuaacuterios de zonas separadasPor exemplo para um usuaacuteriochamado user1 na zona dosistema o caminho ifshomeZU eacute associado
a ifshomeSystemuser1
L Nome de host (nome de hostdo cluster em letrasminuacutesculas)
Eacute expandida ao nome de hostdo cluster normalizado emletras minuacutesculas Usolimitado
0 Primeiro caractere do nomede usuaacuterio
Eacute expandida ao primeirocaractere do nome do usuaacuterio
1 Segundo caractere do nomede usuaacuterio
Eacute expandida ao segundocaractere do nome do usuaacuterio
2 Terceiro caractere do nomede usuaacuterio
Eacute expandida ao terceirocaractere do nome do usuaacuterio
Obs
Se o nome de usuaacuterio incluir menos de trecircs caracteres as variaacuteveis 0 1 e 2abrangem apenas esses caracteres Por exemplo para um usuaacuterio chamado ab asvariaacuteveis satildeo associadas a a b e a respectivamente Para um usuaacuterio chamado atodas as trecircs variaacuteveis satildeo associadas a a
NFSO OneFS fornece um servidor NFS para o compartilhamento de arquivos no clustercom os clients NFS que seguem as especificaccedilotildees RFC1813 (NFSv3) e RFC3530(NFSv4)
No OneFS o servidor NFS eacute totalmente otimizado como um serviccedilo com multi-threadem execuccedilatildeo no espaccedilo do usuaacuterio em vez do kernel Essa arquitetura faz obalanceamento de carga do serviccedilo NFS em todos os noacutes de cluster fornecendo aestabilidade e a escalabilidade necessaacuterias para gerenciar ateacute milhares de conexotildeesentre vaacuterios clients NFS
As montagens NFS satildeo executadas e atualizadas rapidamente e o servidor monitoraconstantemente as demandas de flutuaccedilatildeo em serviccedilos NFS e faz ajustes em todos osnoacutes para garantir o desempenho contiacutenuo confiaacutevel Usando um agendador integradode processos o OneFS ajuda a garantir uma alocaccedilatildeo justa dos recursos de noacutes paraque nenhum client possa transferir mais do que seu compartilhamento justo dosserviccedilos do NFS
O servidor NFS tambeacutem aceita as zonas de acesso definidas no OneFS de modo queos clients possam acessar somente as exportaccedilotildees apropriadas em sua zona Porexemplo se as exportaccedilotildees NFS satildeo especificadas para Zone 2 somente os clientsatribuiacutedos agrave Zone 2 podem acessar essas exportaccedilotildees
Para simplificar as conexotildees dos clients principalmente para as exportaccedilotildees comgrandes nomes de caminho o servidor NFS tambeacutem daacute suporte a alias que satildeoatalhos aos pontos de montagem que os clients podem especificar diretamente
Compartilhamento de arquivos
236 OneFS 810 Guia de Administraccedilatildeo da CLI
Para proteger o compartilhamento de arquivo NFS o OneFS daacute suporte aosprovedores de autenticaccedilatildeo NIS do OneFS e LDAP
Exportaccedilotildees de NFSVocecirc pode gerenciar as regras individuais de exportaccedilatildeo NFS que definem pontos demontagem (caminhos) disponiacuteveis para clients do NFS e como deve ser o desempenhodo servidor com esses clients
No OneFS vocecirc pode criar excluir listar visualizar modificar e recarregar asexportaccedilotildees NFS
As regras de exportaccedilatildeo NFS tecircm reconhecimento de zona Cada exportaccedilatildeo eacuteassociada a uma zona pode ser montada somente por clients dessa zona e somentepode expor caminhos abaixo da raiz da zona Por padratildeo qualquer comando deexportaccedilatildeo se aplica agrave zona atual do client
Cada regra deve ter pelo menos um caminho (ponto de montagem) e pode incluircaminhos adicionais Vocecirc tambeacutem pode especificar que todos os subdiretoacuterios dedeterminado(s) caminho(s) podem ser montados Caso contraacuterio somente oscaminhos especificados seratildeo exportados e os diretoacuterios secundaacuterios natildeo poderatildeo sermontados
Uma regra de exportaccedilatildeo pode especificar um conjunto especiacutefico de clientspermitindo que vocecirc restrinja o acesso a certos pontos de montagem ou aplique umconjunto exclusivo de opccedilotildees para esses clients Se a regra natildeo especificar nenhumclient a regra se aplicaraacute a todos os clients que se conectam ao servidor Se a regraespecificar clients essa regra seraacute aplicada somente a esses clients
Aliases de NFSVocecirc pode criar e gerenciar alias como atalhos dos nomes de caminho de diretoacuterios doOneFS Se esses nomes de caminhos forem definidos como exportaccedilotildees NFS osclients de NFS podem especificar os alias como pontos de montagem do NFS
Os alias do NFS satildeo projetadas para dar a paridade funcional com nomes decompartilhamento SMB no contexto do NFS Cada alias associa um nome exclusivo aum caminho no file system Os clients NFS podem usar o nome do alias no lugar docaminho durante a montagem
Os alias devem ser formados como nomes de caminho Unix de niacutevel superior com umabarra uacutenica seguida pelo nome Por exemplo vocecirc pode criar um alias chamado q4que faccedila o mapeamento a ifsdatafinanceaccountingwinter2015 (umcaminho do OneFS) Um client NFS pode montar o diretoacuterio por meio de
mount cluster_ipq4
mount cluster_ipifsdatafinanceaccountingwinter2015
Os alias e as exportaccedilotildees satildeo completamente independentes Vocecirc pode criar um aliassem associaacute-lo a uma exportaccedilatildeo NFS Da mesma forma uma exportaccedilatildeo NFS natildeorequer um alias
Cada alias deve apontar para um caminho vaacutelido no file system Embora esse caminhoseja absoluto ele deve apontar para um local abaixo da zona root (ifs na zona dosistema) Se os pontos de alias para um caminho que natildeo existe no file systemqualquer client que tentar montar os alias teria sua solicitaccedilatildeo recusada da mesmamaneira ao tentar montar um nome de caminho completo invaacutelido
Compartilhamento de arquivos
Exportaccedilotildees de NFS 237
Os aliases do NFS tecircm reconhecimento de zona Por padratildeo um alias aplica-se agrave zonade acesso atual do client Para alterar isso vocecirc pode especificar uma zona de acessoalternativa como parte da criaccedilatildeo ou da modificaccedilatildeo de um alias
Cada alias soacute pode ser usado pelos clients naquela zona e soacute pode ser aplicado aoscaminhos abaixo da zona root Os nomes dos alias satildeo exclusivos por zona mas omesmo nome pode ser usado em zonas diferentes mdash por exemplo home
Quando vocecirc cria um alias na interface Web de administraccedilatildeo a lista de alias exibe ostatus do alias Da mesma forma usando a opccedilatildeo --check do comando isi nfsaliases vocecirc pode verificar o status de um alias do NFS (o status pode ser bomcaminho ilegal conflito de nome natildeo exportado ou caminho natildeo encontrado)
Arquivos de registros do NFSO OneFS grava mensagens de registro associadas a eventos do NFS em um conjuntode arquivos de varlog
Com a opccedilatildeo de niacutevel de registro vocecirc pode especificar os detalhes com base nosquais as mensagens de registro satildeo colocadas nos arquivos de registros A tabela aseguir descreve os arquivos de registros associados ao NFS
Arquivo deregistros
Descriccedilatildeo
nfslog Principal funcionalidade do servidor NFS (v3 v4 e montagem)
rpc_lockdlog Eventos de bloqueio do NFS v3 por meio do protocolo NLM
rpc_statdlog Detecccedilatildeo de reinicializaccedilatildeo do NFS v3 por meio do protocolo NSM
isi_netgroup_dlog Resoluccedilatildeo e armazenamento em cache de netgroup
Gerenciando o serviccedilo NFSVocecirc pode ativar ou desativar o serviccedilo NFS e especificar as versotildees do NFS queseratildeo compatiacuteveis inclusive NFSv3 e NFSv4 As configuraccedilotildees do NFS satildeo aplicadasem todos os noacutes do cluster
Obs
O NFSv4 pode ser ativado de modo natildeo disruptivo em um cluster do OneFS e seraacuteexecutado simultaneamente com o NFSv3 Os clients NFSv3 existentes natildeo seratildeoafetados com a ativaccedilatildeo do NFSv4
Exibir as configuraccedilotildees do NFSVocecirc pode exibir as configuraccedilotildees globais do NFS que satildeo aplicadas a todos os noacutes docluster
Procedimento
l Execute o comando isi nfs settings global view
O sistema exibe resultados semelhantes aos do seguinte exemplo
NFSv3 Enabled Yes NFSv4 Enabled No NFS Service Enabled Yes
Compartilhamento de arquivos
238 OneFS 810 Guia de Administraccedilatildeo da CLI
Configurar o compartilhamento de arquivos do NFSVocecirc pode ativar ou desativar o serviccedilo NFS definir o niacutevel de proteccedilatildeo de bloqueios eo tipo de seguranccedila Essas configuraccedilotildees satildeo aplicadas em todos os noacutes do clusterVocecirc pode alterar as configuraccedilotildees das exportaccedilotildees NFS individuais
Procedimento
l Execute o comando isi nfs settings global modify
O seguinte comando ativa o suporte a NFSv4
isi nfs settings global modify --nfsv4-enabled=yes
Ativar ou desativar o serviccedilo NFSNo OneFS o serviccedilo NFSv3 eacute ativado de modo padratildeo Vocecirc tambeacutem pode ativar oNFSv4
Obs
Vocecirc pode determinar se os serviccedilos NFS satildeo ativados ou desativados executando ocomando isi nfs settings global view
Procedimento
l Execute o comando isi nfs settings global modify
O seguinte comando desativa o serviccedilo NFSv3
isi nfs settings global modify --nfsv3-enabled=no
O seguinte comando ativa o serviccedilo NFSv4
isi nfs settings global modify --nfsv4-enabled=yes
Gerenciando exportaccedilotildees NFSVocecirc pode criar exportaccedilotildees NFS exibir e modificar configuraccedilotildees de exportaccedilatildeo eexcluir as exportaccedilotildees que natildeo satildeo mais necessaacuterias
O ifs eacute o diretoacuterio de niacutevel superior para armazenamento de dados no OneFS etambeacutem eacute o caminho definido na exportaccedilatildeo padratildeo Por padratildeo a exportaccedilatildeo ifsnatildeo permite o acesso raiz mas permite que outros clients do UNIX montem essediretoacuterio e todos os subdiretoacuterios abaixo dele
Obs
Recomendamos que vocecirc modifique a exportaccedilatildeo padratildeo para limitar o acessosomente aos clients confiaacuteveis ou para restringir o acesso completamente Paraajudar a garantir que os dados confidenciais natildeo sejam comprometidos as outrasexportaccedilotildees que vocecirc criar devem estar mais abaixo na hierarquia de arquivos doOneFS e podem ser protegidas pelas zonas de acesso ou limitadas a clients especiacuteficoscom acesso root leituragravaccedilatildeo ou somente leitura conforme adequado
Compartilhamento de arquivos
Gerenciando exportaccedilotildees NFS 239
Definir as configuraccedilotildees padratildeo de exportaccedilotildees NFSAs configuraccedilotildees padratildeo das exportaccedilotildees NFS satildeo aplicadas agraves novas exportaccedilotildeesNFS Vocecirc pode sobrepor essas configuraccedilotildees ao criar ou modificar uma exportaccedilatildeo
Vocecirc pode exibir as configuraccedilotildees atuais da exportaccedilatildeo padratildeo executando ocomando isi nfs settings export view
CUIDADO
Recomendamos que vocecirc natildeo modifique as configuraccedilotildees padratildeo de exportaccedilatildeoa menos que tenha certeza do resultado
Procedimento
l Execute o comando isi nfs settings export modify
O seguinte comando especifica o tamanho maacuteximo do arquivo de exportaccedilatildeo deum terabyte
isi nfs settings export modify --max-file-size 1099511627776
O seguinte comando restaura o tamanho maacuteximo do arquivo de exportaccedilatildeo para opadratildeo do sistema
isi nfs settings export modify --revert-max-file-size
Criar uma regra de root-squashing (recolhimento raiz) para uma exportaccedilatildeoPor padratildeo o serviccedilo NFS implementa uma regra de root-squashing para a exportaccedilatildeoNFS padratildeo Isso impede que os usuaacuterios root em clients NFS utilizem os privileacutegiosroot no servidor NFS
No OneFS a exportaccedilatildeo NFS padratildeo eacute ifs o diretoacuterio de niacutevel superior onde osdados do cluster satildeo armazenados
Procedimento
1 Use o comando isi nfs exports view para ver as configuraccedilotildees atuais daexportaccedilatildeo padratildeo
O comando a seguir exibe as configuraccedilotildees da exportaccedilatildeo padratildeo
isi nfs exports view 1
2 Confirme os valores padratildeo a seguir para essas configuraccedilotildees que mostram quea raiz eacute associada a ningueacutem restringindo assim o acesso agrave raiz
Map Root Enabled True User Nobody Primary Group -Secondary Groups -
Compartilhamento de arquivos
240 OneFS 810 Guia de Administraccedilatildeo da CLI
3
isi nfs exports modify 1 --map-root-enabled true --map-rootnobody
Resultado
Com essas configuraccedilotildees independentemente das credenciais dos usuaacuterios no clientNFS eles natildeo poderiam obter privileacutegios root no servidor NFS
Criar uma exportaccedilatildeo NFSVocecirc pode criar exportaccedilotildees NFS para compartilhar arquivos no OneFS com os clientsbaseados no UNIX
Antes de vocecirc comeccedilar
Cada caminho de diretoacuterio que vocecirc atribui a uma exportaccedilatildeo jaacute deve existir na aacutervorede diretoacuterio ifs Um caminho de diretoacuterio pode ser usado por mais de umaexportaccedilatildeo desde que essas exportaccedilotildees natildeo tenham nenhum dos mesmos clientsexpliacutecitos
O serviccedilo NFS eacute executado no espaccedilo do usuaacuterio e distribui a carga em todos os noacutesdo cluster Isso permite que o serviccedilo seja altamente dimensionaacutevel e decirc suporte amilhares de exportaccedilotildees Como praacutetica recomendada no entanto vocecirc deve evitarcriar uma exportaccedilatildeo separada para cada client em sua rede Eacute mais eficiente criarmenos exportaccedilotildees e usar zonas de acesso e mapeamento de usuaacuterio para controlar oacesso
Procedimento
1 Execute o comando isi nfs exports create
O comando a seguir cria uma exportaccedilatildeo que permite o acesso do cliente acaminhos muacuteltiplos e aos subdiretoacuterios deles
isi nfs exports create ifsdataprojectsifshome --all-dirs=yes
2 (Opcional) Para exibir o ID da exportaccedilatildeo que eacute necessaacuterio para modificaacute-la ouexcluiacute-la execute o comando isi nfs exports list
Verificar as exportaccedilotildees NFS em busca de errosVocecirc pode verificar se haacute erros nas exportaccedilotildees NFS como regras de exportaccedilatildeoconflitantes caminhos invaacutelidos e nomes de host e netgroups natildeo solucionados Essatarefa soacute pode ser realizada na interface de linha de comando do OneFS
Procedimento
1 Estabeleccedila uma conexatildeo SSH com qualquer noacute do cluster
2 Execute o comando isi nfs exports check
No seguinte exemplo de resultado nenhum erro foi encontrado
ID Message--------------------Total 0
Compartilhamento de arquivos
Gerenciando exportaccedilotildees NFS 241
Se a regra de root-squashing (recolhimento raiz) por algum motivo natildeo estiver em vigor vocecirc pode implementaacute-la para a exportaccedilatildeo NFS padratildeo executando ocomando isi nfs export modify da seguinte maneira
No seguinte exemplo de resultado a exportaccedilatildeo 1 conteacutem um caminho dediretoacuterio que natildeo existe no momento
ID Message-----------------------------------1 ifstest does not exist-----------------------------------Total 1
Modificar uma exportaccedilatildeo NFSVocecirc pode modificar as configuraccedilotildees das exportaccedilotildees NFS existentes
CUIDADO
Alterar as configuraccedilotildees de exportaccedilotildees pode causar problemas de desempenhoCertifique-se de que vocecirc compreende o possiacutevel impacto de todas as alteraccedilotildeesde configuraccedilotildees antes de confirmaacute-las
Procedimento
1 Execute o comando isi nfs exports modify
Por exemplo o comando a seguir adiciona um client com acesso de leitura egravaccedilatildeo agrave exportaccedilatildeo NFS 2
isi nfs exports modify 2 --add-read-write-clients 101249137
Esse comando faria a sobreposiccedilatildeo da configuraccedilatildeo de restriccedilatildeo do acesso agraveexportaccedilatildeo se houvesse um conflito Por exemplo se a exportaccedilatildeo fosse criadacom o acesso de leitura e gravaccedilatildeo desativado o client 101249137 ainda teriapermissotildees de leitura e gravaccedilatildeo referentes agrave exportaccedilatildeo
Excluir uma exportaccedilatildeo NFSEacute possiacutevel excluir as exportaccedilotildees NFS desnecessaacuterias Todas as conexotildees atuais doclient NFS com essas exportaccedilotildees tornam-se invaacutelidas
Antes de vocecirc comeccedilar
Vocecirc precisa do ID da exportaccedilatildeo para excluir a exportaccedilatildeo Execute o comando isinfs exports list para exibir uma lista de exportaccedilotildees e seus IDs
Procedimento
1 Execute o comando isi nfs exports delete
No exemplo a seguir o comando exclui uma exportaccedilatildeo cujo ID eacute 2
isi nfs exports delete 2
No exemplo a seguir isi nfs exports delete exclui uma exportaccedilatildeo cujoID eacute 3 sem exibir um prompt de confirmaccedilatildeo Tome cuidado ao usar a opccedilatildeo --force
isi nfs exports delete 3 --force
2 Se vocecirc natildeo especificou a opccedilatildeo --force digite yes no prompt de comando
Compartilhamento de arquivos
242 OneFS 810 Guia de Administraccedilatildeo da CLI
Gerenciando aliases de NFSVocecirc pode criar alias de NFS para simplificar as exportaccedilotildees a que os clients seconectam Um alias de NFS associa um caminho de diretoacuterio absoluto a um caminhode diretoacuterio simples
Por exemplo suponha que vocecirc criou uma exportaccedilatildeo NFS para ifsdatahqhomearchivefirst-quarterfinance Vocecirc pode criar o alias finance1para fazer o mapeamento a esse caminho de diretoacuterio
Os alias do NFS podem ser criados em qualquer zona de acesso inclusive na zonaSystem
Criar um alias de NFSVocecirc pode criar um alias de NFS para associar um caminho de diretoacuterio longo a umnome de caminho simples
Os aliases devem ser formados por um caminho de diretoacuterio simples de estilo do Unixpor exemplo home
Procedimento
1 Execute o comando isi nfs aliases create
O seguinte comando cria um alias de um nome de caminho completo no OneFSem uma zona de acesso chamada hq-home
isi nfs aliases create home ifsdataofficeshqhome --zone hq-home
Quando vocecirc cria um alias de NFS o OneFS executa uma verificaccedilatildeo deintegridade Se por exemplo o caminho completo especificado natildeo for umcaminho vaacutelido o OneFS emitiraacute uma advertecircncia
Warning health check on alias home returned path not found
Contudo o alias eacute criado e vocecirc pode criar o diretoacuterio para o qual o aliasapontaraacute posteriormente
Modificar um alias de NFSVocecirc pode modificar um alias de NFS por exemplo se um caminho de diretoacuterio daexportaccedilatildeo foi alterado
Os aliases devem ser formados por um caminho de diretoacuterio simples de estilo do Unixpor exemplo home
Procedimento
1 Execute o comando isi nfs aliases modify
O seguinte comando altera o nome de um alias na zona de acesso hq-home
isi nfs aliases modify home --zone hq-home --name home1
Compartilhamento de arquivos
Gerenciando aliases de NFS 243
Quando vocecirc modifica um alias de NFS o OneFS executa uma verificaccedilatildeo deintegridade Se por exemplo o caminho para o alias eacute invaacutelido o OneFS emiteuma advertecircncia
Warning health check on alias home returned not exported
Contudo o alias eacute modificado e vocecirc pode criar a exportaccedilatildeo posteriormente
Excluir um alias NFSVocecirc pode excluir um alias de NFS
Se um alias de NFS estiver associado a uma exportaccedilatildeo NFS a exclusatildeo do aliaspoderaacute desconectar os clients que usaram o alias para se conectarem agrave exportaccedilatildeo
Procedimento
1 Execute o comando isi nfs aliases delete
O seguinte comando exclui os alias home em uma zona de acesso chamada hq-home
isi nfs aliases delete home --zone hq-home
Quando vocecirc exclui um alias de NFS o OneFS solicita que vocecirc confirme aoperaccedilatildeo
Are you sure you want to delete NFS alias home (yes[no])
2 Digite yes e pressione ENTER
Os alias satildeo excluiacutedas a menos que uma condiccedilatildeo de erro seja encontrada porexemplo se vocecirc digitou o nome do alias incorretamente
Listar aliases NFSVocecirc pode visualizar uma lista de aliases NFS que jaacute foram definidos para uma zonaespeciacutefica Os aliases da zona do sistema satildeo listados por padratildeo
Procedimento
1 Execute o comando isi nfs aliases list
No exemplo a seguir o comando lista aliases que foram criados na zona dosistema (o padratildeo)
isi nfs aliases list
No exemplo a seguir isi nfs aliases list lista aliases que foram criadosem uma zona de aceso chamada hq-home
isi nfs aliases list --zone hq-home
O resultado de isi nfs aliases list eacute semelhante ao seguinte exemplo
Zone Name Path -------------------------------------------------hq-home home ifsdataofficesnewyork
Compartilhamento de arquivos
244 OneFS 810 Guia de Administraccedilatildeo da CLI
hq-home root_alias ifsdataofficeshq-home project ifsdataofficesproject-------------------------------------------------Total 3
Exibir um alias de NFSVocecirc pode exibir as configuraccedilotildees de um alias de NFS na zona de acesso especificada
Procedimento
1 Execute o comando isi nfs aliases view
O seguinte comando especifica informaccedilotildees sobre um alias na zona de acessohq-home inclusive a integridade de alias
isi nfs aliases view projects --zone hq-home --check
O resultado do comando eacute semelhante ao seguinte exemplo
Zone Name Path Health--------------------------------------------------------hq-home projects ifsdataofficesproject good--------------------------------------------------------Total 1
FTPO OneFS inclui um serviccedilo seguro de FTP chamado vsftpd que significa Very SecureFTP Daemon e pode ser configurado para transferecircncias padratildeo de arquivos FTP eFTPS
Exibir as configuraccedilotildees de FTPVocecirc pode exibir uma lista das definiccedilotildees atuais das configuraccedilotildees do FTP
Procedimento
l Execute o comando isi ftp settings view
O sistema exibe resultados semelhantes aos do seguinte exemplo
Accept Timeout 1m Allow Anon Access No Allow Anon Upload Yes Allow Dirlists Yes Allow Downloads Yes Allow Local Access Yes Allow Writes Yes Always Chdir Homedir Yes Anon Chown Username root Anon Password List - Anon Root Path ifshomeftp Anon Umask 0077 Ascii Mode offChroot Exception List - Chroot Local Mode none Connect Timeout 1m Data Timeout 5m Denied User List - Dirlist Localtime No Dirlist Names hide File Create Perm 0666
Compartilhamento de arquivos
FTP 245
Limit Anon Passwords Yes Local Root Path - Local Umask 0077 Server To Server No Session Support Yes Session Timeout 5m User Config Dir - FTP Service Enabled Yes
Ativar o compartilhamento de arquivos do FTPO serviccedilo FTP vsftp eacute desativado de modo padratildeo
Obs
Vocecirc pode determinar se o serviccedilo eacute ativado ou desativado executando o comandoisi services -l
Procedimento
1 Execute o seguinte comando
isi services vsftpd enable
O sistema exibe a seguinte mensagem de confirmaccedilatildeo
O serviccedilo vsftpd foi ativado
Depois que vocecirc terminar
Vocecirc pode definir as configuraccedilotildees do FTP executando o comando isi ftp
Configurar o compartilhamento de arquivos do FTPVocecirc pode configurar o serviccedilo FTP para permitir que qualquer noacute do cluster respondaagraves solicitaccedilotildees de FTP via uma conta padratildeo de usuaacuterio
Antes de vocecirc comeccedilar
O serviccedilo FTP deve ser ativado para que vocecirc possa usaacute-lo
Eacute possiacutevel habilitar a transferecircncia de arquivos entre servidores remotos de FTP epermitir o serviccedilo de FTP anocircnimo no root criando um usuaacuterio local denominadoanocircnimo ou ftp
Ao configurar o acesso ao FTP certifique-se de que o root de FTP especificado seja odiretoacuterio de usuaacuterio do usuaacuterio que fizer log-in Por exemplo o root do FTP para ousuaacuterio local jsmith deve ser ifshomejsmith
Procedimento
l Execute o comando isi ftp settings modify
Vocecirc deve executar esse comando separadamente para cada accedilatildeo
O seguinte comando ativa as transferecircncias entre servidores
isi ftp settings modify --server-to-server=yes
Compartilhamento de arquivos
246 OneFS 810 Guia de Administraccedilatildeo da CLI
O seguinte comando desativa os uploads anocircnimos
isi ftp settings modify --allow-anon-upload=no
Vocecirc deve executar esse comando separadamente para cada accedilatildeo
HTTP e HTTPSO OneFS inclui um serviccedilo configuraacutevel de HTTP (Hypertext Transfer Protocol) que eacuteusado para solicitar os arquivos que satildeo armazenados no cluster e para interagir com ainterface Web de administraccedilatildeo
O OneFS daacute suporte a HTTP e a sua variante segura HTTPS Cada noacute no clusterexecuta uma instacircncia do servidor Apache HTTP para oferecer acesso HTTP Vocecircpode configurar o serviccedilo HTTP para ser executado de modos diferentes
O HTTP e o HTTPS satildeo compatiacuteveis com a transferecircncia de arquivos mas apenas oHTTPS eacute compatiacutevel com as chamadas API O requisito somente HTTPS inclui umainterface de administraccedilatildeo da Web Aleacutem disso o OneFS daacute suporte a um tipo deprotocolo WebDAV (Web Based DAV) que permite que os usuaacuterios modifiquem egerenciem arquivos nos servidores remotos da Web O OneFS realiza apresentaccedilotildeesmultimiacutedia distribuiacutedas mas natildeo daacute suporte agrave atribuiccedilatildeo de versotildees e natildeo executaverificaccedilotildees de seguranccedila Vocecirc pode ativar o DAV na interface de administraccedilatildeo daWeb
Ativar e configurar o HTTPVocecirc pode configurar o HTTP e o WebDAV para permitir que os usuaacuterios editem egerenciem arquivos de modo colaborativo nos servidores remotos da Web
Vocecirc pode usar o comando isi http settings modify para definirconfiguraccedilotildees relacionadas a HTTP
Procedimento
l Execute o comando isi http settings modify
O seguinte comando ativa o serviccedilo de HTTP o WebDAV e a autenticaccedilatildeo baacutesica
isi http settings modify --service=enabled --dav=yes basic-authentication=yes
Habilitar o HTTPS por meio do serviccedilo ApacheVocecirc pode acessar um cluster do Isilon por meio do serviccedilo Apache em HTTPS
Procedimento
l Para habilitar o HTTPS execute o seguinte comando
isi_gconfig -t http-config https_enabled=true
Resultado
O serviccedilo HTTPS estaacute habilitado
Compartilhamento de arquivos
HTTP e HTTPS 247
Obs
Pode levar ateacute 10 segundos para que a alteraccedilatildeo de configuraccedilatildeo entre em vigorComo resultado as transferecircncias de dados que estatildeo em andamento em HTTPpodem ser interrompidas
Desabilitar HTTPS por meio do serviccedilo ApacheVocecirc pode desabilitar o acesso a um cluster do Isilon por meio do serviccedilo Apache emHTTPS
Procedimento
l Para desabilitar o HTTPS execute o seguinte comando
isi_gconfig -t http-config https_enabled=false
Resultado
O serviccedilo HTTPS eacute desabilitado
Obs
Pode levar ateacute 10 segundos para que a alteraccedilatildeo de configuraccedilatildeo entre em vigorComo resultado as transferecircncias de dados que estatildeo em andamento em HTTPpodem ser interrompidas
Compartilhamento de arquivos
248 OneFS 810 Guia de Administraccedilatildeo da CLI