isilononefs - dell · establecer opciones de creación del directorio principal de protocolo...

IsilonOneFSGuía de administración de la CLI

1 Introducción a esta guía.............................................................................................................. 20Acerca de esta guía.............................................................................................................................................................20Descripción general de NAS de escalamiento horizontal de Isilon................................................................................ 20Dónde recurrir para obtener soporte................................................................................................................................ 20

Remote Support............................................................................................................................................................. 21

2 NAS de escalamiento horizontal de Isilon......................................................................................22Arquitectura de almacenamiento de OneFS.................................................................................................................... 22Componentes de un nodo Isilon.........................................................................................................................................22Redes externas e internas.................................................................................................................................................. 23Clúster Isilon......................................................................................................................................................................... 23

Administración de clústeres..........................................................................................................................................23Quórum........................................................................................................................................................................... 24División y fusión..............................................................................................................................................................24Pools de almacenamiento.............................................................................................................................................25

El sistema operativo OneFS...............................................................................................................................................25Protocolos de acceso a datos......................................................................................................................................25Administración de identidades y control de acceso.................................................................................................. 25

Estructura del sistema de archivos................................................................................................................................... 26Diseño de datos y.......................................................................................................................................................... 26Archivos de escritura.....................................................................................................................................................27Archivos de lectura........................................................................................................................................................ 27Diseño de metadatos.....................................................................................................................................................27Bloqueos y simultaneidad..............................................................................................................................................27Fraccionado.................................................................................................................................................................... 27

Descripción general de la protección de datos................................................................................................................ 28Protección de datos N+M............................................................................................................................................ 28Espejeado de datos....................................................................................................................................................... 29El registro del sistema de archivos.............................................................................................................................. 29Hot spare virtual (VHS)................................................................................................................................................ 29Balanceo de la protección con espacio de almacenamiento.................................................................................... 29

Integración con VMware.................................................................................................................................................... 30Módulos de software.......................................................................................................................................................... 30

3 Introducción a la interfaz de la línea de comandos de OneFS........................................................... 31Descripción general de la interfaz de la línea de comandos de OneFS......................................................................... 31Diagramas de sintaxis...........................................................................................................................................................31Opciones universales...........................................................................................................................................................32Privilegios de la interfaz de la línea de comandos............................................................................................................32Permisos del comando de cumplimiento de normas de SmartLock..............................................................................33Valores de tiempo de OneFS............................................................................................................................................. 34

4 General cluster administration.....................................................................................................36Descripción general de la administración general del clúster.........................................................................................36

Tabla de contenido

2 Tabla de contenido

Interfaces de usuario...........................................................................................................................................................36Conexión con el clúster.......................................................................................................................................................37

Iniciar sesión en la interfaz de administración web....................................................................................................37Abrir una conexión del protocolo SSH con un clúster...............................................................................................37

Licencias............................................................................................................................................................................... 38Licencias de software................................................................................................................................................... 38Niveles de hardware......................................................................................................................................................38Estado de licencia.......................................................................................................................................................... 38Agregar y quitar licencias..............................................................................................................................................39Activación de licencias de prueba................................................................................................................................40

Certificados.......................................................................................................................................................................... 40Reemplazar o renovar el certificado de protocolo TLS............................................................................................. 41Verificar una actualización del certificado SSL.......................................................................................................... 44Ejemplo de datos del certificado de protocolo TLS...................................................................................................44

Identidad del clúster............................................................................................................................................................ 44Establecer el nombre del clúster..................................................................................................................................45

Información de contacto del clúster................................................................................................................................. 45Fecha y hora del clúster......................................................................................................................................................45

Ajustar la fecha y la hora del clúster............................................................................................................................45Especificar un servidor de hora NTP.......................................................................................................................... 46

Ajustes de correo electrónico SMTP................................................................................................................................ 46Configurar ajustes de correo electrónico SMTP....................................................................................................... 46Ver la configuración de correo electrónico de SMTP............................................................................................... 47

Configuración de los límites de los clústeres....................................................................................................................47Especificar el modo de incorporación al clúster.........................................................................................................47

Ajustes del sistema de archivos......................................................................................................................................... 47Especificar la codificación de caracteres del clúster.................................................................................................48Habilitar o deshabilitar el rastreo de la hora de acceso.............................................................................................48

Consolidación de la seguridad............................................................................................................................................ 48Perfil STIG hardening.................................................................................................................................................... 49Aplicar un perfil de reforzamiento de seguridad........................................................................................................ 49Revertir un perfil de reforzamiento de seguridad......................................................................................................50Ver el estado de la consolidación de seguridad......................................................................................................... 50

Monitoreo del clúster...........................................................................................................................................................51Monitorear el clúster......................................................................................................................................................51Ver el estado de un nodo...............................................................................................................................................51

Monitoreo del hardware del clúster.................................................................................................................................. 52Ver el estado del hardware del nodo...........................................................................................................................52Estados del chasis y las unidades................................................................................................................................ 52Comprobar el estado de la batería...............................................................................................................................53Monitoreo del protocolo SNMP...................................................................................................................................54

Eventos y alertas................................................................................................................................................................. 56Descripción general de eventos...................................................................................................................................57Descripción general de las alertas................................................................................................................................57Descripción general de canales.................................................................................................................................... 57Descripción general de grupos de eventos.................................................................................................................57Visualización y modificación de grupos de eventos...................................................................................................57Visualización de un evento........................................................................................................................................... 59Administración de alertas..............................................................................................................................................60Administración de canales............................................................................................................................................. 61

Tabla de contenido 3

Mantenimiento y pruebas............................................................................................................................................. 63Mantenimiento del clúster..................................................................................................................................................64

Sustitución de componentes del nodo........................................................................................................................64Actualización de componentes del nodo.................................................................................................................... 64Reconocimiento automático de reemplazo (ARR) para las unidades.....................................................................65Administración del firmware de una unidad................................................................................................................66Administración de nodos del clúster............................................................................................................................69Actualización de OneFS................................................................................................................................................ 70

Soporte remoto....................................................................................................................................................................70Configuración de la compatibilidad con Secure Remote Services........................................................................... 71Scripts de soporte remoto............................................................................................................................................74Habilitación y configuración de la compatibilidad con Secure Remote Services................................................... 77Deshabilitación de la compatibilidad con (E)SRS.......................................................................................................78Visualización de los ajustes de configuración de (E)SRS......................................................................................... 78

5 Zonas de acceso......................................................................................................................... 79Descripción general de las zonas de acceso.................................................................................................................... 79Reglas del directorio base...................................................................................................................................................79Mejores prácticas de zonas de acceso.............................................................................................................................80Zonas de acceso en un clúster secundario de SyncIQ................................................................................................... 80Límites de zonas de acceso................................................................................................................................................ 81Calidad del servicio...............................................................................................................................................................81Control de acceso basado en funciones y zonas (zRBAC)........................................................................................... 82

Privilegios de zonas de acceso distintas de la zona System.................................................................................... 82Funciones integradas en zonas distintas de la zona System................................................................................... 83

Proveedores de autenticación específicos de la zona.................................................................................................... 83Administración de zonas de acceso.................................................................................................................................. 83

Crear una zona de acceso............................................................................................................................................ 83Asignar un directorio base superpuesto......................................................................................................................84Administrar proveedores de autenticación en una zona de acceso........................................................................84Asociar un pool de direcciones IP con una zona de acceso..................................................................................... 84Modificar una zona de acceso..................................................................................................................................... 85Eliminar una zona de acceso........................................................................................................................................ 85Ver una lista de las zonas de acceso...........................................................................................................................85Creación de una o más zonas de acceso....................................................................................................................86Creación de usuarios locales en una zona de acceso............................................................................................... 86Acceso a los archivos a través del acceso RESTful al espacio de nombres (RAN) en zonas no

pertenecientes al sistema......................................................................................................................................... 87

6 Autenticación.............................................................................................................................88Descripción general de la autenticación........................................................................................................................... 88Funciones de proveedor de autenticación....................................................................................................................... 88Descripción general del historial del identificador de seguridad (SID).......................................................................... 89Proveedores de autenticación compatibles..................................................................................................................... 89Active Directory...................................................................................................................................................................89LDAP..................................................................................................................................................................................... 90NIS.........................................................................................................................................................................................90Autenticación Kerberos...................................................................................................................................................... 90

Descripción general de keytabs y SPN........................................................................................................................91Compatibilidad con protocolo MIT Kerberos.............................................................................................................. 91


Proveedor de archivos.........................................................................................................................................................91Proveedor local.................................................................................................................................................................... 92Autenticación de múltiples factores (MFA)..................................................................................................................... 92Active Directory con múltiples instancias.........................................................................................................................92Claves públicas de LDAP.................................................................................................................................................... 92Administración de proveedores de Active Directory.......................................................................................................93

Configurar un proveedor de Active Directory............................................................................................................93Modificar un proveedor de Active Directory..............................................................................................................93Eliminar un proveedor de Active Directory.................................................................................................................93

Administración de proveedores de LDAP.........................................................................................................................93Configurar un proveedor de LDAP.............................................................................................................................. 94Modificar un proveedor de LDAP................................................................................................................................ 94Eliminar un proveedor de LDAP...................................................................................................................................94

Administración de proveedores de NIS............................................................................................................................ 94Configurar un proveedor de NIS..................................................................................................................................95Modificar un proveedor de NIS....................................................................................................................................95Eliminar un proveedor de NIS.......................................................................................................................................95

Administrar la autenticación MIT Kerberos......................................................................................................................95Administración de realms MIT Kerberos.....................................................................................................................95Administración de proveedores MIT Kerberos...........................................................................................................97Administración de los dominios de MIT Kerberos......................................................................................................98Administración de SPN y claves.................................................................................................................................. 99

Administración de proveedores de archivos................................................................................................................... 101Configurar un proveedor de archivos.........................................................................................................................101Generar un archivo de contraseña............................................................................................................................. 101Modificar un proveedor de archivos...........................................................................................................................101Eliminar un proveedor de archivos............................................................................................................................. 102Formato de archivo de contraseña............................................................................................................................ 102Formato de archivo de grupo..................................................................................................................................... 102Formato de archivo de netgroup............................................................................................................................... 103

Administración de usuarios y grupos locales.................................................................................................................. 103Ver una lista de usuarios y grupos por proveedor....................................................................................................103Crear un usuario local.................................................................................................................................................. 104Crear un grupo local.....................................................................................................................................................104Reglas de asignación de nombres para los grupos y usuarios locales................................................................... 104Configurar o modificar una política de contraseñas local........................................................................................104Configuración de la política de contraseñas local.................................................................................................... 105Modificar un usuario local............................................................................................................................................106Modificar un grupo local..............................................................................................................................................106Eliminar un usuario local.............................................................................................................................................. 106Eliminar un grupo local.................................................................................................................................................106

Autenticación y configuración de SSH............................................................................................................................ 107Requisitos previos para la autenticación de múltiples factores (MFA)................................................................. 107Configuración de SSH con contraseña..................................................................................................................... 107Configuración de SSH con claves públicas...............................................................................................................108

7 Funciones y privilegios administrativos....................................................................................... 109Acceso basado en funciones............................................................................................................................................ 109Funciones............................................................................................................................................................................ 109

Funciones personalizadas............................................................................................................................................109


Funciones incorporadas............................................................................................................................................... 110Privilegios............................................................................................................................................................................. 112

Privilegios de OneFS compatibles...............................................................................................................................113Privilegios de respaldo y restauración de datos........................................................................................................ 115Privilegios de la interfaz de la línea de comandos..................................................................................................... 116

Administración de funciones..............................................................................................................................................118Ver funciones.................................................................................................................................................................119Ver privilegios................................................................................................................................................................ 119Crear y modificar una función personalizada.............................................................................................................119Eliminar una función personalizada............................................................................................................................ 120Agregar un usuario a las funciones integradas......................................................................................................... 120Creación de una nueva función e incorporación de un usuario.............................................................................. 122

8 Administración de identidades....................................................................................................124Descripción general de la administración de VCE.......................................................................................................... 124Tipos de identidad.............................................................................................................................................................. 124Tokens de acceso.............................................................................................................................................................. 125Generación de token de acceso.......................................................................................................................................125

Mapeo de ID..................................................................................................................................................................126Mapeo de usuarios....................................................................................................................................................... 127Identidad en disco........................................................................................................................................................ 128

Administrar mapeos de ID................................................................................................................................................. 129Crear un mapeo de identidad......................................................................................................................................129Modificar un mapeo de identidad...............................................................................................................................130Eliminar un mapeo de identidad..................................................................................................................................130Ver un mapeo de identidad......................................................................................................................................... 130Vaciar la caché de mapeo de identidades.................................................................................................................. 131Ver un token de usuario............................................................................................................................................... 131Configurar los ajustes del mapeo de identidades...................................................................................................... 131Ver la configuración del mapeo de identidades........................................................................................................ 132

Administración de las identidades de usuario................................................................................................................. 132Ver la identidad de usuarios........................................................................................................................................ 132Crear una regla nueva o de prueba............................................................................................................................ 133Fusionar tokens de Windows y UNIX........................................................................................................................ 134Recuperar el grupo primario de LDAP....................................................................................................................... 134Opciones de I/O........................................................................................................................................................... 135Operadores de reglas de mapeo................................................................................................................................ 135

9 Directorios principales...............................................................................................................138Descripción general de los directorios principales..........................................................................................................138Permisos del directorio principal.......................................................................................................................................138Autenticación de usuarios SMB....................................................................................................................................... 138Creación del directorio principal a través de SMB.........................................................................................................139

Crear directorios principales con variables de expansión........................................................................................139Create home directories with the --inheritable-path-acl option............................................................................ 140Crear directorios principales especiales con la variable %U de recursos compartidos de SMB........................ 140

Creación de directorios principales mediante los protocolos SSH y FTP.................................................................... 141Configuración del shell de inicio de sesión de protocolo SSH o FTP .....................................................................141Establecer los permisos del directorio principal de protocolo SSH/FTP...............................................................142


Establecer opciones de creación del directorio principal de protocolo SSH/FTP............................................... 142Provisionar directorios principales con archivos dot................................................................................................143

Creación del directorio principal en un ambiente mixto.................................................................................................143Interacciones entre ACL y bits de modo......................................................................................................................... 144Configuración predeterminada del directorio principal en los proveedores de autenticación.................................. 144Variables de expansión compatibles................................................................................................................................ 145Variables de dominio en el aprovisionamiento de directorios de inicio........................................................................ 146

10 Control de acceso a los datos.................................................................................................... 147Descripción general del control de acceso a datos........................................................................................................147ACL...................................................................................................................................................................................... 147Permisos de UNIX.............................................................................................................................................................. 148Ambientes de permisos mixtos.........................................................................................................................................148

Acceso NFS de archivos creados por Windows...................................................................................................... 148Acceso SMB de archivos creados por UNIX............................................................................................................ 148

Administración de permisos de acceso........................................................................................................................... 148Ver permisos de usuario esperados........................................................................................................................... 149Configurar los ajustes de administración de acceso................................................................................................ 149Modificar los ajustes de políticas de ACL..................................................................................................................150Ejecutar el trabajo PermissionsRepair....................................................................................................................... 150

11 Uso compartido de archivos.......................................................................................................151Descripción general del uso compartido de archivos..................................................................................................... 151

Ambientes de protocolos mixtos.................................................................................................................................151Almacenamiento en caché de escritura con SmartCache...................................................................................... 152

SMB..................................................................................................................................................................................... 153Recursos compartidos de SMB en zonas de acceso.............................................................................................. 153SMB Multichannel........................................................................................................................................................154Administración de recursos compartidos de SMB mediante MMC.......................................................................155Cifrado de SMBv3....................................................................................................................................................... 155Copia del lado del servidor de SMB........................................................................................................................... 156Disponibilidad continua de SMB................................................................................................................................. 157Filtrado de archivos SMB............................................................................................................................................ 157Vínculos simbólicos y clientes SMB........................................................................................................................... 158Acceso anónimo a los recursos compartidos de SMB............................................................................................ 159Administración de ajustes de SMB............................................................................................................................ 159Administración de recursos compartidos de SMB....................................................................................................161

NFS...................................................................................................................................................................................... 166Exportaciones NFS...................................................................................................................................................... 166Alias de NFS..................................................................................................................................................................166Archivos de log de NFS............................................................................................................................................... 167Administración del servicio de NFS............................................................................................................................167Managing NFS exports................................................................................................................................................168Administrar alias de NFS..............................................................................................................................................170

FTP....................................................................................................................................................................................... 171Ver ajustes de FTP........................................................................................................................................................171Habilitar el uso compartido de archivos en FTP....................................................................................................... 172Configurar el uso compartido de archivos por FTP................................................................................................. 172

HTTP y HTTPS...................................................................................................................................................................173


Habilitar y configurar HTTP.........................................................................................................................................173Habilitar el protocolo HTTPS a través del servicio Apache.....................................................................................173Deshabilitar el protocolo HTTPS a través del servicio Apache...............................................................................173

12 Filtrado de archivos..................................................................................................................174Filtrado de archivos en una zona de acceso................................................................................................................... 174Habilitar y configurar el filtrado de archivos en una zona de acceso...........................................................................174Deshabilitar el filtrado de archivos en una zona de acceso.......................................................................................... 175Ver ajustes de filtrado de archivos...................................................................................................................................175

13 Auditoría y registro.................................................................................................................. 176Descripción general de la auditoría...................................................................................................................................176Syslog.................................................................................................................................................................................. 176

Reenvío de syslog......................................................................................................................................................... 177Eventos de auditoría de protocolo................................................................................................................................... 177Herramientas de auditoría compatibles........................................................................................................................... 177Entrega de eventos de auditoría de protocolo a varios servidores CEE..................................................................... 177Tipos de evento compatibles............................................................................................................................................ 178Ejemplo de registro de auditoría....................................................................................................................................... 179Administración de configuraciones de auditoría............................................................................................................. 179

Enable protocol access auditing................................................................................................................................. 179Enviar eventos de acceso de protocolos a syslog .................................................................................................. 180Habilitar auditorías del sistema de configuración..................................................................................................... 180Configurar el nombre de host de auditoría................................................................................................................ 181Configurar las zonas de protocolo auditado.............................................................................................................. 181Reenvío de los cambios en la configuración del sistema a syslog...........................................................................181Configurar filtros de eventos de protocolo................................................................................................................181

Integración de Common Event Enabler.......................................................................................................................... 182Instalar CEE para Windows.........................................................................................................................................182Configurar CEE para Windows...................................................................................................................................182Configurar los servidores CEE para proporcionar eventos de auditoría de protocolo........................................ 183

Seguimiento de la entrega de eventos de auditoría de protocolo................................................................................183Ver las horas de registro de la entrega de eventos al servidor de CEE y syslog..................................................183Ver globalmente la entrega de eventos de auditoría de protocolo en el servidor de CEE y syslog................... 184Mover la posición en el registro del reenviador de CEE.......................................................................................... 184Ver la velocidad de entrega de eventos de auditoría de protocolo en el servidor de CEE................................. 184

14 Snapshots...............................................................................................................................186Descripción general de snapshots................................................................................................................................... 186Protección de datos con SnapshotIQ............................................................................................................................. 186Uso del espacio en disco para snapshots........................................................................................................................187Calendarios de snapshots..................................................................................................................................................187Alias de snapshots..............................................................................................................................................................187Restauración de archivos y directorios............................................................................................................................187Mejores prácticas para crear snapshots......................................................................................................................... 188Mejores prácticas para crear calendarios de instantáneas........................................................................................... 188Clones de archivos.............................................................................................................................................................189

Consideraciones sobre las áreas de almacenamiento ocultas................................................................................ 189Bloqueos de snapshots..................................................................................................................................................... 190


Reserva de snapshots....................................................................................................................................................... 190Funcionalidad de licencia de SnapshotIQ........................................................................................................................190Creación de snapshots con SnapshotIQ.........................................................................................................................190

Crear un dominio SnapRevert..................................................................................................................................... 191Crear un calendario de snapshots...............................................................................................................................191Cree un snapshot..........................................................................................................................................................191Perfiles de asignación de nombres de snapshots..................................................................................................... 191

Administración de snapshots ...........................................................................................................................................193Reducción del uso del espacio en disco para snapshots.........................................................................................194Eliminar un snapshot creado....................................................................................................................................... 194Modificar atributos de snapshots...............................................................................................................................194Modificar un alias de snapshot .................................................................................................................................. 194Ver snapshots...............................................................................................................................................................195Información del snapshot............................................................................................................................................ 195

Restauración de datos de snapshots.............................................................................................................................. 195Revertir un snapshot .................................................................................................................................................. 196Restaurar un archivo o directorio con el Explorador de Windows......................................................................... 196Restaurar un archivo o directorio mediante una línea de comandos de UNIX..................................................... 197Clonar una archivo desde un snapshot......................................................................................................................197

Administración de calendarios de snapshots.................................................................................................................. 197Modificar un calendario de snapshots ...................................................................................................................... 197Eliminar un calendario de snapshots ......................................................................................................................... 197Ver calendarios de instantáneas ................................................................................................................................198

Administración de alias de snapshots.............................................................................................................................. 198Configurar un alias de snapshot para un calendario de snapshots........................................................................ 198Asignar un alias de snapshot a un snapshot............................................................................................................. 198Reasignar un alias de snapshot al sistema de archivos activo................................................................................199Ver recursos compartidos de snapshot.....................................................................................................................199Información del snapshot............................................................................................................................................ 199

Administración con bloqueos de snapshots....................................................................................................................199Crear un bloqueo de snapshot...................................................................................................................................200Modificar una fecha de vencimiento de bloqueo de snapshot.............................................................................. 200Eliminar un bloqueo de snapshot...............................................................................................................................200Información de un bloqueo de snapshot.................................................................................................................. 200

Configuración de ajustes de SnapshotIQ .......................................................................................................................201Configuración SnapshotIQ .........................................................................................................................................201

Establecimiento de una reserva de snapshot................................................................................................................ 202Administración de listas de cambios............................................................................................................................... 202

Crear una lista de cambios......................................................................................................................................... 202Eliminar una lista de cambios..................................................................................................................................... 202Ver una lista de cambios.............................................................................................................................................203Información de listas de cambios...............................................................................................................................203

15 Administración de deduplicación con SmartDedupe....................................................................204Descripción general de la deduplicación.........................................................................................................................204Trabajos de deduplicación................................................................................................................................................ 204Replicación de datos y respaldo con deduplicación......................................................................................................205Snapshots con deduplicación.......................................................................................................................................... 205CUATRO CONSIDERACIONES...................................................................................................................................... 206Consideraciones sobre las áreas de almacenamiento ocultas..................................................................................... 206


Funcionalidad clave de SmartDedupe............................................................................................................................ 206Administración de deduplicación..................................................................................................................................... 207

Evaluar el ahorro de espacio con la deduplicación ................................................................................................. 207Especificar la configuración de la deduplicación .....................................................................................................207Ver el ahorro de espacio con la deduplicación ........................................................................................................ 207Ver un informe de deduplicación .............................................................................................................................. 207Información sobre el informe de trabajo de deduplicación.....................................................................................208Información sobre la deduplicación........................................................................................................................... 208

16 Replicación de datos con SyncIQ...............................................................................................210Descripción general de la replicación de datos de SyncIQ............................................................................................210Políticas y trabajos de replicación.................................................................................................................................... 210

Políticas de replicación automatizada.........................................................................................................................211Asociación de clústeres de origen y destino............................................................................................................. 212Configuración de clústeres de origen y destino de SyncIQ con NAT....................................................................212Replicación completa y diferencial............................................................................................................................. 213Control del uso de recursos de los trabajos de replicación..................................................................................... 214Prioridad de las políticas de replicación..................................................................................................................... 214Informes de replicación................................................................................................................................................214

Snapshots de replicación.................................................................................................................................................. 214Snapshots de clústeres de origen.............................................................................................................................. 214Snapshots de clústeres de destino............................................................................................................................ 215

Conmutación por error y conmutación por recuperación de datos con SyncIQ....................................................... 215Failover de datos.......................................................................................................................................................... 216Failback de datos..........................................................................................................................................................216Conmutaciones por error y por recuperación en el modo de cumplimiento de normas de SmartLock............ 216Limitaciones de la replicación de SmartLock............................................................................................................ 217

Tiempos y objetivos de recuperación de SyncIQ........................................................................................................... 217Alertas de RPO............................................................................................................................................................. 218

Prioridad de las políticas de replicación........................................................................................................................... 218Funcionalidad de licencia de SyncIQ................................................................................................................................218Creación de políticas de replicación.................................................................................................................................218

Exclusión de directorios en la replicación.................................................................................................................. 219Exclusión de archivos en la replicación......................................................................................................................219Opciones de criterios de archivos.............................................................................................................................. 219Configurar los ajustes predeterminados de la política de replicación ................................................................... 221Crear una política de replicación.................................................................................................................................221Crear un dominio de SyncIQ...................................................................................................................................... 222Configuración de la política de replicación .............................................................................................................. 222

Administración de la replicación en clústeres remotos.................................................................................................222Iniciar un trabajo de replicación..................................................................................................................................222Pausar un trabajo de replicación ...............................................................................................................................223Reanudar un trabajo de replicación .......................................................................................................................... 223Cancelar un trabajo de replicación ........................................................................................................................... 223Ver trabajos de replicación activos ...........................................................................................................................223Información sobre el trabajo de replicación .............................................................................................................223

Inicio de failover y failback de datos con SyncIQ.......................................................................................................... 224Realizar failover de los datos a un clúster secundario ........................................................................................... 224Revertir una operación de failover............................................................................................................................ 225Fail back data to a primary cluster ........................................................................................................................... 225


Ejecución del trabajo ComplianceStoreDelete en un dominio en modo de cumplimiento de normas de SmartLock................................................................................................................................................................226

Realizar recuperación ante desastres para directorios de SmartLock más antiguos............................................... 226Recuperar directorios de cumplimiento de normas de SmartLock en un clúster de destino ........................... 226Migrar directorios de cumplimiento de normas de SmartLock .............................................................................227

Administración de políticas de replicación......................................................................................................................228Modificar una política de replicación ........................................................................................................................ 228Eliminar política de autenticación ............................................................................................................................. 228Activar o desactivar frames jumbo: ......................................................................................................................... 229Ver ahora » ................................................................................................................................................................. 229Información de la política de replicación ..................................................................................................................230

Administración de replicación en el clúster local........................................................................................................... 230Cancelar la replicación en el clúster local ................................................................................................................ 230Cancelar la asociación de destino local ....................................................................................................................230Ver las políticas de replicación destinadas al clúster local...................................................................................... 230Información sobre la política de replicación remota ................................................................................................231

Administración de reglas de rendimiento de la replicación............................................................................................231Crear una regla nueva o de prueba ...........................................................................................................................231Crear una regla para las operaciones de archivos ...................................................................................................231Modificar una regla .....................................................................................................................................................232Eliminación de una regla de prueba .......................................................................................................................... 232Habilitar o deshabilitar una regla de rendimiento ....................................................................................................232Ver las reglas de rendimiento ....................................................................................................................................232

Administración de informes de replicación.....................................................................................................................233Configurar ajustes predeterminados de informes de replicación ......................................................................... 233Eliminar informes de replicación................................................................................................................................ 233Ver todos los informes ...............................................................................................................................................233Información de los informes de replicación.............................................................................................................. 234

Administración de trabajos de replicación fallidos......................................................................................................... 235Configuración de la política de replicación .............................................................................................................. 235Configuración de la política de replicación .............................................................................................................. 235Realizar una replicación completa o diferencial....................................................................................................... 235

17 Cifrado de datos con SyncIQ.....................................................................................................237Descripción general del cifrado de datos de SyncIQ.....................................................................................................237Cifrado del tráfico de SyncIQ...........................................................................................................................................237

Configurar certificados............................................................................................................................................... 237Creación de políticas de SyncIQ cifradas................................................................................................................. 238

Descripción general de la regulación por política...........................................................................................................238Creación de una regla de ancho de banda............................................................................................................... 239

Solución de problemas de cifrado de SyncIQ................................................................................................................ 239

18 Disposición de datos con FlexProtect........................................................................................240Descripción general de la FlexProtect............................................................................................................................ 240Fraccionado de archivos...................................................................................................................................................240« Protección de datos...................................................................................................................................................... 240Recuperación de datos de FlexProtect...........................................................................................................................241

SmartFail....................................................................................................................................................................... 241Fallas de nodo............................................................................................................................................................... 241

Solicitar protección de datos........................................................................................................................................... 242


Configuración de la protección requerida...................................................................................................................... 242Uso del espacio en disco para la protección requerida.................................................................................................243

19 Administración de NDMP......................................................................................................... 245Descripción general de la recuperación y del respaldo de tipo NDMP....................................................................... 245Respaldo de tipo NDMP bidireccional............................................................................................................................ 246Respaldo de tipo NDMP de tres vías..............................................................................................................................246Compatibilidad de las sesiones de tipo NDMP en hardware de sexta generación....................................................246Configuración de direcciones IP recomendadas para las operaciones de tipo NDMP de tres vías........................246Recuperación y respaldo multi-stream de tipo NDMP................................................................................................. 247Respaldos incrementales basados en instantáneas...................................................................................................... 247Respaldo y restauración de tipo NDMP para archivos SmartLink.............................................................................. 248Compatibilidad con protocolo NDMP............................................................................................................................. 249DMA compatibles.............................................................................................................................................................. 249Compatibilidad con hardware NDMP............................................................................................................................. 249Limitaciones de respaldo de NDMP................................................................................................................................250Recomendaciones de rendimiento de NDMP................................................................................................................250Exclusión de archivos y directorios de respaldos de tipo NDMP.................................................................................251Configuración de los ajustes básicos de respaldo de tipo NDMP............................................................................... 252

Configurar y habilitar el respaldo de tipo NDMP..................................................................................................... 252Deshabilitar el respaldo de tipo NDMP .................................................................................................................... 252Ajustes de respaldo de tipo NDMP .......................................................................................................................... 252Ver la configuración del respaldo de tipo NDMP ................................................................................................... 252

Administración de cuentas de usuario de NDMP..........................................................................................................253Crear una cuenta de usuario de NDMP ...................................................................................................................253Modificar la contraseña de una cuenta de usuario de NDMP .............................................................................. 253Eliminar una cuenta de usuario de NDMP ...............................................................................................................253Ver las cuentas de usuario de NDMP ...................................................................................................................... 253

Administración de dispositivos de respaldo de tipo NDMP..........................................................................................253Detectar dispositivos de respaldo de tipo NDMP................................................................................................... 254Modificar el nombre de entrada de un dispositivo de respaldo de tipo NDMP................................................... 254Eliminar una entrada de dispositivo para un dispositivo de respaldo de tipo NDMP desconectado.................254Ver dispositivos de respaldo de tipo NDMP ........................................................................................................... 254

Administración de puertos Fibre Channel de tipo NDMP............................................................................................ 254Modificar ajustes de un puerto de respaldo de tipo NDMP ..................................................................................255Habilitar o deshabilitar un puerto de respaldo de tipo NDMP................................................................................255Ver puertos de respaldo de tipo NDMP .................................................................................................................. 255Ajustes de un puerto de respaldo de tipo NDMP....................................................................................................255

Administración de configuraciones de IP recomendadas NDMP................................................................................256Crear una configuración de IP recomendada de NDMP........................................................................................ 256Modificar una configuración de IP recomendada de NDMP................................................................................. 256Ver las configuraciones de IP recomendadas de NDMP........................................................................................256Ver la configuración de IP NDMP recomendada.....................................................................................................256Eliminar la configuración de IP recomendada de NDMP........................................................................................ 257

Administrar sesiones NDMP............................................................................................................................................ 257Finalizar una sesión de NDMP .................................................................................................................................. 257Ver sesiones de NDMP ..............................................................................................................................................257Información de sesión de NDMP............................................................................................................................... 257

Administración de respaldos reiniciables de tipo NDMP.............................................................................................. 258Configuración de respaldos reiniciables de tipo NDMP para NetWorker.............................................................259


Ver contextos de respaldo reiniciable de tipo NDMP............................................................................................. 259Eliminar un contexto de respaldo de tipo NDMP reiniciable.................................................................................. 259Configurar el respaldo reiniciable de tipo NDMP.....................................................................................................260Ver ajustes de respaldo reiniciable de tipo NDMP.................................................................................................. 260

Operaciones de restauración de NDMP.........................................................................................................................260Operación de restauración NDMP paralela..............................................................................................................260Operación de restauración en serie de tipo NDMP................................................................................................ 260Especificar una operación de restauración en serie de tipo NDMP......................................................................260

Administrar variables de tipo NDMP predeterminadas................................................................................................. 261Especificar la configuración de variables de tipo NDMP predeterminada para una ruta....................................261Modificar la configuración de variables de tipo NDMP predeterminada para una ruta.......................................261Ver los ajustes de NDMP predeterminados para una ruta......................................................................................261Variables de ambiente NDMP....................................................................................................................................262Configuración de variables de ambiente para las operaciones de respaldo y restauración................................267

Administración de respaldos incrementales basados en snapshots............................................................................268Habilitar respaldos incrementales basados en instantáneas para un directorio.................................................. 268Eliminar snapshots para respaldos incrementales basados en snapshots............................................................268Ver snapshots para respaldos incrementales basados en snapshots................................................................... 268

Administración del rendimiento del clúster para sesiones de tipo NDMP..................................................................268Habilitación del redirector de NDMP para gestionar el rendimiento del clúster..................................................269

Administración del uso de CPU para sesiones de tipo NDMP.....................................................................................269Habilitación del regulador de NDMP......................................................................................................................... 269

Ver registros de respaldo de tipo NDMP ...................................................................................................................... 270

20 Retención de archivos con SmartLock....................................................................................... 271Descripción general de SmartLock.................................................................................................................................. 271Modo de cumplimiento de normas...................................................................................................................................271Modo empresarial...............................................................................................................................................................271Directorios de SmartLock.................................................................................................................................................272Replicación y respaldo con SmartLock........................................................................................................................... 272Funcionalidad de licencia de SmartLock.........................................................................................................................273Consideraciones de SmartLock....................................................................................................................................... 273Eliminación de dominios y directorios WORM............................................................................................................... 273Establecer el reloj de cumplimiento de normas..............................................................................................................274Ver el reloj de cumplimiento de normas..........................................................................................................................274Creación de un directorio de SmartLock........................................................................................................................274

Periodos de retención................................................................................................................................................. 274Períodos de tiempo de confirmación automática.................................................................................................... 275Crear un directorio empresarial a partir de un directorio que no está vacío........................................................ 275Crear un directorio de SmartLock............................................................................................................................. 275

Administración de directorios SmartLock.......................................................................................................................276Modificar un directorio de SmartLock...................................................................................................................... 276Creación de un directorio de SmartLock..................................................................................................................276Eliminación de un directorio de SmartLock.............................................................................................................. 276Ver los ajustes de directorios SmartLock................................................................................................................. 277Ajustes de configuración de directorios de SmartLock...........................................................................................277

Administración de archivos en directorios de SmartLock............................................................................................ 279Ajustar un período de retención a través de una línea de comandos de UNIX....................................................279Ajustar un período de retención a través de Windows Powershell....................................................................... 279Confirmar un archivo en un estado WORM mediante una línea de comandos de UNIX................................... 280


Asignar un archivo a un estado WORM a través del Explorador de Windows....................................................280Reemplazar el período de retención de todos los archivos de un directorio de SmartLock..............................280Eliminar un archivo confirmado en un estado WORM.............................................................................................281Ver el estado WORM de un archivo.......................................................................................................................... 281

21 Dominios de protección............................................................................................................282Descripción general de los dominios de protección...................................................................................................... 282Consideraciones sobre los dominios de protección...................................................................................................... 282Crear un dominio de protección ..................................................................................................................................... 283Eliminar un dominio de protección ................................................................................................................................. 283

22 Data-at-rest-encryption.......................................................................................................... 284Descripción general del cifrado de datos en reposo..................................................................................................... 284Unidades con cifrado automático....................................................................................................................................284Seguridad de los datos en unidades con cifrado automático...................................................................................... 284Migración de datos a un clúster de unidades con cifrado automático....................................................................... 285Estados del chasis y las unidades....................................................................................................................................285Estado REPLACE de las unidades con SmartFail..........................................................................................................286Estado ERASE de las unidades con SmartFail...............................................................................................................287

23 SmartQuotas..........................................................................................................................288Descripción general de la SmartQuotas......................................................................................................................... 288Tipos de cuota................................................................................................................................................................... 288Tipo de cuota predeterminado........................................................................................................................................ 289Contabilidad y límites de uso.............................................................................................................................................291Cálculos del uso de discos................................................................................................................................................292Notificaciones de cuotas.................................................................................................................................................. 293Reglas de notificación de cuotas.....................................................................................................................................294Informes de cuotas........................................................................................................................................................... 294Creación de cuotas........................................................................................................................................................... 295

Crear una cuota de contabilidad................................................................................................................................295Crear una cuota de imposición.................................................................................................................................. 295

Administración de cuotas................................................................................................................................................. 295Buscar cuotas.............................................................................................................................................................. 296Administrar cuotas...................................................................................................................................................... 296Exportar un archivo de configuración de cuotas.....................................................................................................296Importar un archivo de configuración de cuota.......................................................................................................297Administración de notificaciones de cuotas............................................................................................................. 297Mensajes de notificación de cuotas por correo electrónico.................................................................................. 298Administración de informes de cuotas......................................................................................................................300Configuración básica del usuario................................................................................................................................301Configuración de reglas de notificación de cuotas de límites recomendados..................................................... 302Configuración de reglas de notificación de cuotas de límite mínimo.................................................................... 303Configuración de reglas de notificación de cuotas de límites máximos............................................................... 305Configuración de notificaciones del cliente..............................................................................................................306Ajustes de informes de cuotas...................................................................................................................................306

24 Pools de almacenamiento........................................................................................................ 308Descripción general del pool de almacenamiento..........................................................................................................308


Funciones del pool de almacenamiento..........................................................................................................................309Aprovisionamiento automatizado.....................................................................................................................................310Pools de nodos................................................................................................................................................................... 310

Compatibilidades de clases de nodos......................................................................................................................... 311Compatibilidades de discos SSD................................................................................................................................. 311Pools de nodos manuales............................................................................................................................................ 312

Hot spares virtuales........................................................................................................................................................... 312Spillover............................................................................................................................................................................... 313Protección sugerida........................................................................................................................................................... 313Políticas de protección...................................................................................................................................................... 313Estrategias de discos SSD................................................................................................................................................ 314Otros ajustes de espejeado del disco SSD......................................................................................................................314Aceleración de espacios de nombres globales............................................................................................................... 315Descripción general de la caché L3................................................................................................................................. 315

Migración a caché L3...................................................................................................................................................316Caché L3 en pools de nodos de archivos..................................................................................................................316

Niveles................................................................................................................................................................................. 317Políticas de pools de archivos...........................................................................................................................................317

Trabajo FilePolicy..........................................................................................................................................................317Administración de pools de nodos mediante la interfaz de la línea de comandos......................................................318

Crear una compatibilidad de clase de nodo.............................................................................................................. 318Fusionar los pools de nodos compatibles.................................................................................................................. 319Eliminar una compatibilidad de clases de nodo.........................................................................................................319Crear una compatibilidad de disco SSD....................................................................................................................320Eliminar una compatibilidad de discos SSD.............................................................................................................. 320Crear un pool de nodos manualmente.......................................................................................................................321Agregar un nodo a un pool de nodos administrado manualmente......................................................................... 321Cambiar el nombre o la política de protección de un pool de nodos......................................................................321Eliminar un nodo de un pool de nodos administrado manualmente....................................................................... 321Modificar la configuración predeterminada de pools de almacenamiento........................................................... 322Configuración de SmartPools.................................................................................................................................... 322

Administración de la caché L3 desde la interfaz de la línea de comandos.................................................................325Establecer la caché L3 como la predeterminada para nuevos pools de nodos................................................... 325Habilitar la caché L3 en un pool de nodos específico ............................................................................................ 325Restaurar discos SSD para almacenar unidades para un pool de nodos..............................................................326

Administración de niveles................................................................................................................................................. 326Crear un nivel............................................................................................................................................................... 326Agregar o transferir pools de nodos dentro de un nivel......................................................................................... 326Cambio de nombre de un nivel.................................................................................................................................. 326Eliminar un nivel........................................................................................................................................................... 327

Creación de políticas de pools de archivos.....................................................................................................................327Crear una política de pools de archivos.................................................................................................................... 327Caracteres comodín válidos....................................................................................................................................... 328Configuración predeterminada de protección requerida para pools de archivos................................................328Configuración de optimización de I/O predeterminada de pools de archivos.....................................................330

Administración de políticas de pool de archivos............................................................................................................330Modificar una política de pool de archivos............................................................................................................... 330Establecer la configuración predeterminada de la política de pools de archivos................................................. 331Priorizar una política de pool de archivos..................................................................................................................331Eliminar una política de pool de archivos.................................................................................................................. 332


Monitoreo de pools de almacenamiento.........................................................................................................................332Monitorear los pools de almacenamiento................................................................................................................. 332Ver el estado de los pools de almacenamiento........................................................................................................ 333Ver los resultados de un trabajo SmartPools........................................................................................................... 333

25 Tareas del sistema.................................................................................................................. 334Descripción general de trabajos del sistema.................................................................................................................. 334Biblioteca de trabajos del sistema................................................................................................................................... 334Operación del trabajo........................................................................................................................................................ 337Impacto en el rendimiento del trabajo.............................................................................................................................338Prioridades de trabajos..................................................................................................................................................... 338Administración de trabajos del sistema.......................................................................................................................... 339

Iniciar un trabajo...........................................................................................................................................................339Pausar un trabajo.........................................................................................................................................................339Modificar un trabajo.................................................................................................................................................... 339Reanudación de una tarea..........................................................................................................................................340Cancelación de una tarea........................................................................................................................................... 340Modificar la configuración del tipo de trabajo..........................................................................................................340Ver los trabajos activos............................................................................................................................................... 341Visualizar el historial de trabajos.................................................................................................................................341

Administración de una librería de cintas virtuales.......................................................................................................... 341Creación de una política de grupos............................................................................................................................ 341Ver ajustes de puertos Fibre Channel.......................................................................................................................342Para configurar una política:.......................................................................................................................................342Eliminar una política de impacto.................................................................................................................................343

Visualización de informes y estadísticas de trabajos.....................................................................................................343Ver estadísticas de una tarea en curso.....................................................................................................................343Ver un informe de un trabajo completado................................................................................................................344

26 Eficiencia del almacenamiento de archivos pequeños para cargas de trabajo de archivado.............345Descripción general...........................................................................................................................................................345Requisitos........................................................................................................................................................................... 346Actualizaciones y reversiones..........................................................................................................................................346Interoperabilidad................................................................................................................................................................ 346Administración Small Files Storage Efficiency............................................................................................................... 347

Descripción general de la implementación................................................................................................................347Habilitar Small Files Storage Efficiency.....................................................................................................................348Visualización y configuración de los ajustes globales..............................................................................................348Especificación de los criterios de selección para comprimir los archivos.............................................................349Deshabilitación de la compresión...............................................................................................................................350

Funciones de generación de informes............................................................................................................................350Cálculo del posible ahorro de almacenamiento........................................................................................................350Visualización de la actividad de compresión y descompresión de los trabajos de SmartPools.......................... 351Supervisión de la eficiencia del almacenamiento con FSAnalyze.......................................................................... 352Visualización de la información de ShadowStore.................................................................................................... 353Supervisión de la eficiencia del almacenamiento en un conjunto de datos pequeño..........................................353

Estructura del sistema de archivos.................................................................................................................................353Visualización de los atributos de archivos................................................................................................................ 354

Descripción general del desfragmentador......................................................................................................................354


Administración del desfragmentador..............................................................................................................................355Habilitación del desfragmentador..............................................................................................................................355Configuración del desfragmentador......................................................................................................................... 355Ejecución del desfragmentador................................................................................................................................. 356Visualización del ahorro estimado del almacenamiento antes de la desfragmentación......................................357

Comandos de la CLI para Small Files Storage Efficiency............................................................................................. 357isi_sfse_assess............................................................................................................................................................ 357isi_gconfig -t defrag-config....................................................................................................................................... 360isi_packing.....................................................................................................................................................................361isi_sstore.......................................................................................................................................................................362isi_sstore defrag..........................................................................................................................................................365isi_storage_efficiency.................................................................................................................................................366

Solución de problemas Small Files Storage Efficiency..................................................................................................367Archivos de registro.................................................................................................................................................... 367Problemas de fragmentación.....................................................................................................................................368

27 Redes.................................................................................................................................... 369Descripción general de la red...........................................................................................................................................369Acerca de la red interna................................................................................................................................................... 369

Rangos de direcciones IP internas............................................................................................................................ 369Failover de red interna................................................................................................................................................ 370

Acerca de la red externa...................................................................................................................................................370Groupnets.....................................................................................................................................................................370Subredes........................................................................................................................................................................371Pools de direcciones IP................................................................................................................................................371Módulo de SmartConnect.......................................................................................................................................... 372Reglas de aprovisionamiento de nodos.....................................................................................................................374Opciones de enrutamiento......................................................................................................................................... 375

Administración de la configuración de la red interna.................................................................................................... 375Agregar o eliminar un rango de direcciones IP internas..........................................................................................376Modificar una máscara de red interna...................................................................................................................... 376Configurar y habilitar conmutación por recuperación de red interna....................................................................376Deshabilitar la conmutación por error de la red interna.......................................................................................... 377

Administración de groupnets............................................................................................................................................377Crear una groupnet..................................................................................................................................................... 377Modificar una groupnet...............................................................................................................................................377Eliminación de una groupnet...................................................................................................................................... 378Ver groupnets.............................................................................................................................................................. 378

Administración de subredes de red externa...................................................................................................................379Crear una subred......................................................................................................................................................... 379Modificar una subred.................................................................................................................................................. 379Eliminar una subred..................................................................................................................................................... 380Ver subredes................................................................................................................................................................ 380Configurar una dirección IP del servicio SmartConnect..........................................................................................381Habilitar o deshabilitar el etiquetado de VLAN......................................................................................................... 381Agregar o eliminar una dirección de DSR.................................................................................................................. 381

Administración de pools de direcciones IP..................................................................................................................... 382Crear un pool de direcciones IP................................................................................................................................. 382Modificar un pool de direcciones IP.......................................................................................................................... 382Eliminar un pool de direcciones IP............................................................................................................................. 383


Ver pools de direcciones IP........................................................................................................................................ 383Agregar o eliminar un rango de direcciones IP.........................................................................................................384Configurar la asignación de direcciones IP...............................................................................................................384

Administración de la configuración de SmartConnect................................................................................................. 384Configurar una zona DNS de SmartConnect...........................................................................................................384Especificar una subred del servicio de SmartConnect........................................................................................... 385Suspender o reanudar un nodo..................................................................................................................................385Configurar una política de balanceo de conexiones................................................................................................ 386Configurar una política de failover de IP...................................................................................................................386

Administración del rebalanceo de conexiones............................................................................................................... 387Configurar una política de rebalanceo de direcciones IP........................................................................................ 387Rebalancear manualmente direcciones IP................................................................................................................ 387

Administración de miembros de la interfaz de red........................................................................................................388Agregar o eliminar una interfaz de red......................................................................................................................388Especificar un modo agregación de vínculos........................................................................................................... 388Ver interfaces de red.................................................................................................................................................. 389

Administración de las reglas de aprovisionamiento de nodos......................................................................................390Crear una regla de aprovisionamiento de nodos..................................................................................................... 390Modificar una regla de aprovisionamiento de nodos...............................................................................................390Eliminar una regla de aprovisionamiento de nodos..................................................................................................390Ver reglas de aprovisionamiento de nodos............................................................................................................... 391

Opciones de administración del enrutamiento............................................................................................................... 391Habilitar o deshabilitar el enrutamiento basado en el origen..................................................................................392Agregar o eliminar una ruta estática......................................................................................................................... 392

Administración de la configuración de la caché de DNS.............................................................................................. 392Configuración de la caché de DNS............................................................................................................................392

28 Antivirus................................................................................................................................ 394Descripción general del antivirus..................................................................................................................................... 394Escaneo de acceso........................................................................................................................................................... 394Escaneo de política antivirus............................................................................................................................................395Escaneo de archivos individuales.................................................................................................................................... 395Antivirus y archivos WORM.............................................................................................................................................395Informes de escaneo antivirus.........................................................................................................................................395Servidores ICAP................................................................................................................................................................ 396Respuestas a amenazas antivirus................................................................................................................................... 396Configuración de los parámetros globales del antivirus................................................................................................397

Incluir archivos específicos en los análisis antivirus ................................................................................................397Configurar ajustes del escaneo en el acceso .......................................................................................................... 397Configurar ajustes de respuesta a amenazas antivirus ..........................................................................................397Configurar los ajustes de conservación de informes de antivirus......................................................................... 397Activar o desactivar el escaneo antivirus................................................................................................................. 397

Administración de servidores ICAP.................................................................................................................................398Falla al conectar con el servidor ICAP ..................................................................................................................... 398Desconectarse temporalmente de un servidor ICAP .............................................................................................398Para crear un servidor ICAP: .....................................................................................................................................398Eliminar un servidor ICAP .......................................................................................................................................... 398

Crear una política antivirus ..............................................................................................................................................398Administración de las políticas antivirus......................................................................................................................... 399

Modificar una política antivirus ................................................................................................................................. 399


Eliminar una política antivirus ....................................................................................................................................399Activar o desactivar frames jumbo: ......................................................................................................................... 399Ver políticas antivirus .................................................................................................................................................399

Administración de los escaneos antivirus.......................................................................................................................399Escaneo de un archivo................................................................................................................................................400Ejecutar manualmente una política antivirus............................................................................................................400Detener un escaneo antivirus en ejecución..............................................................................................................400

Administración de las amenazas antivirus......................................................................................................................400Archivo de intercambio de 4 GB .............................................................................................................................. 400Procesar archivo..........................................................................................................................................................400Eliminar un archivo de la cuarentena ....................................................................................................................... 400Truncado manual de un archivo................................................................................................................................. 401Consulte . ..................................................................................................................................................................... 401Información de amenazas antivirus............................................................................................................................401

Administración de los informes de antivirus................................................................................................................... 401Ver todos los informes ................................................................................................................................................401Ver ahora »................................................................................................................................................................... 401

29 Integración con VMware..........................................................................................................403Descripción general de la integración con VMware......................................................................................................403VAAI.................................................................................................................................................................................... 403VASA...................................................................................................................................................................................403

Alarmas de Isilon VASA...............................................................................................................................................404Funcionalidades del almacenamiento de VASA....................................................................................................... 404

Configuración de soporte para VASA.............................................................................................................................404Activar VASA............................................................................................................................................................... 404Descargar el certificado del proveedor de Isilon......................................................................................................405Crear un certificado con autofirma...........................................................................................................................405Agregar el proveedor de Isilon................................................................................................................................... 406

Deshabilitar o volver a habilitar VASA.............................................................................................................................406Solución de problemas de visibilidad del almacenamiento VASA................................................................................ 407


Introducción a esta guíaEsta sección contiene los siguientes temas:

Temas:

• Acerca de esta guía• Descripción general de NAS de escalamiento horizontal de Isilon• Dónde recurrir para obtener soporte

Acerca de esta guíaEsta guía describe cómo la interfaz de la línea de comandos de Isilon OneFS brinda acceso a la funcionalidad de monitoreo, administración y configuración del clúster.

Los comandos de OneFS extienden el conjunto de comandos de UNIX estándar. Para obtener una lista alfabética y una descripción de todos los comandos de OneFS, consulte la Referencia de comandos de la CLI de OneFS.

Sus sugerencias nos ayudan a mejorar la exactitud, organización y calidad general de la documentación. Envíe sus comentarios a https://www.research.net/s/isi-docfeedback. Si no puede proporcionar comentarios por medio de la dirección URL, envíe un mensaje de correo electrónico a [email protected].

Descripción general de NAS de escalamiento horizontal de IsilonLa plataforma de almacenamiento NAS de escalamiento horizontal de Isilon combina un hardware modular con un software unificado para aprovechar datos no estructurados. Con tecnología del sistema operativo OneFS, un clúster brinda un pool escalable de almacenamiento con un espacio de nombres global.

La plataforma de software unificado brinda administración centralizada basada en Web y en la línea de comandos para controlar las siguientes funciones:

• Un clúster que ejecuta un sistema de archivos distribuido• Nodos de escalamiento horizontal que suman capacidad y rendimiento• Opciones de almacenamiento que administran archivos y el almacenamiento en niveles• Protección de datos flexible y alta disponibilidad• Módulos de software que controlan costos y optimizan recursos

Dónde recurrir para obtener soporteEste tema contiene recursos para obtener respuestas a las preguntas sobre los productos de Isilon.

Soporte en línea • Chat en línea• Crear una solicitud de servicio

Si tiene dudas con respecto al acceso al soporte en línea, envíe un correo electrónico a [email protected].

Soporte telefónico • Estados Unidos: 1-800-SVC-4EMC (1-800-782-4362)• Canadá: 1-800-543-4782• En todo el mundo: +1-508-497-7901• Para conocer los números telefónicos locales de un país determinado, consulte los Centros de Servicio al

Cliente de Dell EMC.

1

20 Introducción a esta guía

https://www.research.net/s/isi-docfeedback

https://www.research.net/s/isi-docfeedback

mailto:[email protected]

https://support.emc.com/servicecenter/liveChat/

https://support.emc.com/servicecenter/createSR/

mailto:[email protected]

http://www.emc.com/collateral/contact-us/h4165-csc-phonelist-ho.pdf

http://www.emc.com/collateral/contact-us/h4165-csc-phonelist-ho.pdf

Isilon Community Network

Isilon Community Network lo conecta a una central de información y con expertos que le ayudarán a maximizar la solución de almacenamiento actual. Desde este sitio, puede probar productos de Isilon, plantear dudas, ver videos técnicos y obtener la documentación de productos más reciente de Isilon.

Isilon Concentradores de información

Para obtener la lista de los concentradores de información de Isilon, consulte la página Isilon Info Hubs en Isilon Community Network. Use estos concentradores de información para buscar documentación de productos, guías de solución de problemas, videos, blogs y otros recursos de información acerca de los productos y las funciones de Isilon que le interesan.

Remote SupportPara obtener información acerca del soporte remoto, consulte la Guía de administración web de OneFS 8.2.0.

Introducción a esta guía 21

https://community.emc.com/community/products/isilon

https://community.emc.com/docs/DOC-44304



NAS de escalamiento horizontal de IsilonEsta sección contiene los siguientes temas:

Temas:

• Arquitectura de almacenamiento de OneFS• Componentes de un nodo Isilon• Redes externas e internas• Clúster Isilon• El sistema operativo OneFS• Estructura del sistema de archivos• Descripción general de la protección de datos• Integración con VMware• Módulos de software

Arquitectura de almacenamiento de OneFSIsilon adopta un enfoque de escalamiento horizontal para el almacenamiento mediante la creación de un clúster de nodos que ejecuta un sistema de archivos distribuido (DFS). OneFS combina las tres capas de la arquitectura de almacenamiento —el sistema de archivos, el administrador de volúmenes y la protección de datos— en un clúster de NAS de escalamiento horizontal.

Cada nodo agrega recursos al clúster. Dado que cada nodo contiene RAM coherente a nivel global, el clúster se vuelve más rápido a medida que se vuelve más grande. Mientras tanto, el sistema de archivos se amplía dinámicamente y redistribuye el contenido, lo cual elimina el trabajo del particionamiento de discos y la creación de volúmenes.

Los nodos funcionan como pares para diseminar datos en todo el clúster. La segmentación y distribución de datos (un proceso que también se conoce como fraccionado) no solo protege los datos, sino que también habilita a un usuario que se conecta a cualquier nodo para aprovechar el rendimiento de todo el clúster.

OneFS utiliza software distribuido para escalar los datos en todo el hardware genérico. Los dispositivos maestros no controlan el clúster y los dispositivos subordinados no invocan las dependencias. Cada nodo ayuda a controlar las solicitudes de datos, aumenta el rendimiento y expande la capacidad del clúster.

Componentes de un nodo IsilonComo un dispositivo de montaje en rack, un nodo de almacenamiento anterior a Generation 6 incluye los siguientes componentes en un chasis de 2U o 4U de montaje en rack con un panel frontal LCD: CPU, RAM, NVRAM, interfaces de red, adaptadores InfiniBand, controladoras de disco y medios de almacenamiento. Un clúster Isilon se compone de tres o más nodos, hasta un máximo de 144. Siempre se utiliza un chasis de 4U para Generation 6. Hay cuatro nodos en un chasis de 4U en Generation 6; por lo tanto, un cuarto del chasis es un nodo.

Cuando agrega un nodo a un clúster anterior a Generation 6, aumenta la capacidad agregada de disco, caché, CPU, RAM y red. OneFS agrupa la RAM en una sola caché coherente, de manera que una solicitud de datos en un nodo pueda aprovechar datos almacenados en caché en cualquier ubicación. La NVRAM se agrupa para escribir datos con un alto rendimiento y para proteger las operaciones de escritura contra fallas en la energía. A medida que el clúster se expande, los ejes y el CPU se combinan para aumentar el rendimiento, la capacidad y las operaciones de entrada/salida por segundo (IOPS). El clúster mínimo para Generation 6 es de cuatro nodos y Generation 6 no utiliza NVRAM. Los registros se almacenan en la memoria RAM y se utiliza flash M.2 para realizar un respaldo en caso de que se produzca una falla en un nodo.

Hay varios tipos de nodos, y todos pueden agregarse a un clúster para balancear la capacidad y el desempeño con el rendimiento o las IOPS:

Nodo Caso de uso

Hardware F800 de sexta generación Solución todo flash

Hardware serie H de sexta generación • H600, una solución que modifica el rendimiento

2

22 NAS de escalamiento horizontal de Isilon

Nodo Caso de uso

• H500, capacidad de rendimiento• H400, rendimiento de su capacidad

Hardware serie A de sexta generación • A200, archivo activo• A2000, archivo profundo

Serie S Aplicaciones intensivas de IOPS

Serie X flujos de trabajo de alta simultaneidad e impulsados por el rendimiento

Serie NL accesibilidad similar a la del almacenamiento primario con un valor cercano al de las cintas

Serie HD Capacidad máxima

Los siguientes nodos Dell EMC Isilon mejoran el rendimiento:

Nodo Función

Isilon A-Series Performance Accelerator Escalamiento independiente para un alto rendimiento

Isilon A-Series Backup Accelerator Solución de respaldo y restauración escalable de alta velocidad para unidades de cinta sobre conexiones de Fibre Channel

Redes externas e internasUn clúster incluye dos redes: una red interna para intercambiar datos entre nodos y una red externa para manejar las conexiones con clientes.

Los nodos intercambian datos mediante la red interna con un protocolo de unidifusión y de propiedad a través de InfiniBand. Cada nodo incluye puertos InfiniBand redundantes para otra red interna en caso de que falle la primera.

Los clientes llegan al clúster con 1 GigE o 10 GigE Ethernet. Puesto que todos los nodos incluyen puertos Ethernet, el ancho de banda del clúster escala con el rendimiento y se agregan nodos de capacidad.

PRECAUCIÓN: Deben conectarse solo nodos Isilon al switch InfiniBand. La información que se intercambia en la red de

back-end no se cifra. La conexión de cualquier otra cosa que no sean nodos Isilon al switch InfiniBand genera un riesgo

de seguridad.

Clúster IsilonUn clúster Isilon consta de tres o más nodos de hardware, hasta 144. Cada nodo ejecuta el sistema operativo Isilon OneFS, el software distribuido del sistema de archivos que unifica los nodos en un clúster. La capacidad de almacenamiento de un clúster varía de un mínimo de 18 TB a un máximo de 50 PB.

Administración de clústeresOneFS centraliza la administración de clústeres mediante una interfaz de administración web y una interfaz de la línea de comandos. Ambas interfaces proporcionan métodos para activar licencias, comprobar el estado de los nodos, configurar el clúster, actualizar el sistema, generar alertas, ver conexiones de clientes, rastrear el rendimiento y modificar diversas configuraciones.

Además, OneFS simplifica la administración mediante la automatización del mantenimiento con un motor de tareas. Puede programar trabajos que hacen un análisis en busca de virus, verifican que los discos no presenten errores, recuperan espacio en disco y comprueban la integridad del sistema de archivos. El motor administra los trabajos para minimizar el impacto en el rendimiento del clúster.

Con las versiones 2c y 3 de SNMP, puede monitorear remotamente los componentes de hardware, el uso del CPU, los switches y las interfaces de red. Dell EMC Isilon suministra bases de información de gestión (MIB, Management Information Bases) y traps para el sistema operativo OneFS.

OneFS también incluye una interfaz de programación de aplicaciones (API) dividida en dos áreas funcionales: un área permite la funcionalidad de configuración, administración y monitoreo del clúster; y la otra habilita las operaciones en archivos y directorios del clúster. Es posible enviar solicitudes a la API de OneFS mediante una interfaz de transferencia de estado representacional (REST), a la cual se

NAS de escalamiento horizontal de Isilon 23

puede acceder por medio de URI de recurso y métodos HTTP estándar. La API se integra en el control de acceso basado en funciones (RBAC) de OneFS para aumentar la seguridad. Consulte Isilon Platform API Reference.

QuórumUn clúster Isilon debe contar con un cuórum para funcionar correctamente. Un quórum previene conflictos de datos (por ejemplo, versiones conflictivas del mismo archivo), en caso de que dos grupos de nodos dejen de estar sincronizados. Si un clúster pierde su cuórum para las solicitudes de lectura y escritura, no podrá acceder al sistema de archivos de OneFS.

Para un quórum, más de la mitad de los nodos deben estar disponibles en la red interna. Un clúster de siete nodos, por ejemplo, requiere un quórum de cuatro nodos. Un clúster de 10 nodos requiere un quórum de seis nodos. Si no se puede alcanzar un nodo en la red interna, OneFS separa el nodo del clúster, lo cual se denomina división. Una vez que un clúster se haya dividido, las operaciones de este continúan, siempre y cuando suficientes nodos permanezcan conectados para contar con un quórum.

En un clúster dividido, los nodos que permanecen en el clúster se conocen como el grupo mayoritario. Los nodos que se separan del clúster se conocen como el grupo minoritario.

Cuando los nodos divididos pueden reconectarse con el clúster y volver a sincronizarse con el resto de los nodos, los nodos se reincorporan al grupo mayoritario del clúster, lo que se denomina fusión.

Un clúster OneFS se compone de dos propiedades de cuórum:

• quórum de lectura (efs.gmp.has_quorum)• quórum de escritura (efs.gmp.has_super_block_quorum)

Mediante la conexión a un nodo con el protocolo SSH y la ejecución de la herramienta de la línea de comandos sysctl como raíz, es posible ver el estado de ambos tipos de cuórum. A continuación, se presenta el ejemplo de un clúster que posee un cuórum para operaciones de lectura y escritura; el resultado del comando es 1, que corresponde a un valor verdadero:

sysctl efs.gmp.has_quorum efs.gmp.has_quorum: 1 sysctl efs.gmp.has_super_block_quorum efs.gmp.has_super_block_quorum: 1

Los estados degradados de nodos (como SmartFail, de solo lectura, offline) afectan al cuórum de diferentes maneras. Un nodo en estado de SmartFail o de solo lectura afecta únicamente al quórum de escritura. Un nodo en estado offline, sin embargo, afecta tanto al quórum de lectura como al de escritura. En un clúster, la combinación de nodos en diferentes estados de degradación determina si las solicitudes de escritura y de lectura funcionan correctamente.

Un clúster puede perder quórum de escritura, pero mantener el de lectura. Considere un clúster de cuatro nodos en los que los nodos 1 y 2 funcionen correctamente. El nodo 3 se encuentra en estado de solo lectura, y el nodo 4 en SmartFail. En tal caso, las solicitudes de lectura al clúster se desempeñan sin problemas. En cambio, las solicitudes de escritura generan un error en las operaciones de entrada y salida, ya que los estados del nodo 3 y el nodo 4 interrumpen el quórum de escritura.

Un clúster también puede perder su quórum de lectura y escritura. Si los nodos 3 y 4 en un clúster de cuatro nodos se encuentran offline, ambas solicitudes de lectura y escritura reciben un error en las operaciones de entrada y salida, por lo que no se podrá acceder al sistema de archivos. Cuando OneFS puede reconectarse con los nodos, OneFS los fusiona nuevamente en el clúster. A diferencia de un sistema RAID, un nodo Isilon puede reintegrarse en el clúster sin necesidad de que se reconstruya ni reconfigure.

División y fusiónLa división y fusión optimizan el uso de nodos sin su intervención.

OneFS monitorea cada nodo en un clúster. Si no se puede alcanzar un nodo en la red interna, OneFS separa el nodo del clúster, lo cual se denomina división. Cuando el clúster se puede reconectar al nodo, OneFS vuelve a colocar el nodo en el clúster, proceso conocido como fusión.

Cuando un nodo se separa de un clúster, seguirá capturando información de eventos de forma local. Puede conectarse a un nodo separado con el protocolo SSH y ejecutar el comando isi event events list para ver el registro de eventos local correspondiente al nodo. Gracias al registro de eventos local, puede solucionar los problemas de conexión causados por la separación. Cuando el nodo separado se vuelve a unir al clúster, los eventos locales recopilados durante la separación se eliminan. Podrá seguir viendo los eventos generados por un nodo separado en el archivo de registro de eventos del nodo ubicado en /var/log/isi_celog_events.log.

Si un clúster se separa durante una operación de escritura, es posible que OneFS necesite reasignar bloques para el archivo del lado del quórum, lo cual hace que los bloques asignados del lado sin quórum queden huérfanos. Cuando los nodos separados se reconectan al clúster, el trabajo del sistema de OneFS Collect reclama los bloques huérfanos.

Mientras tanto, a medida que los nodos se separan y se fusionan con el clúster, el trabajo OneFS AutoBalance redistribuye los datos de forma equitativa entre los nodos del clúster, lo cual optimiza el espacio de conservación y protección.


Pools de almacenamientoLos pools de almacenamiento segmentan nodos y archivos para formar divisiones lógicas y simplificar la administración y el almacenamiento de los datos.

Un pool de almacenamiento se compone de niveles y pools de nodos. Los pools de nodos agrupan nodos equivalentes para proteger los datos y garantizar la confiabilidad. Los niveles combinan pools de nodos para optimizar el almacenamiento según sea necesario, como un nivel de alta velocidad usado con frecuencia o un archivo al que rara vez se accede.

El módulo SmartPools agrupa nodos y archivos para formar pools. Si no activa una licencia de SmartPools, el módulo provisiona pools de nodos y crea un pool de archivos. Si activa la licencia de SmartPools, recibirá más funciones. Por ejemplo, se pueden crear varios pools de archivos y administrarlos con políticas. Las políticas mueven archivos, directorios y pools de archivos de un pool de nodos a otro o de un nivel a otro. También se puede definir la manera en la que OneFS maneja las operaciones de escritura cuando un pool de nodos o un nivel están llenos. SmartPools reserva un hot spare virtual para reforzar la protección de los datos en caso de que falle una unidad, independientemente de si la licencia de SmartPools se encuentra activada.

El sistema operativo OneFSOneFS, un sistema operativo distribuido basado en FreeBSD, presenta un sistema de archivos del clúster Isilon como un solo recurso compartido o exportación con un punto central de administración.

El sistema operativo OneFS realiza lo siguiente:

• Es compatible con protocolos de acceso a datos comunes, como SMB y NFS.• Se conecta a varios sistemas de administración de identidades, como Active Directory y LDAP.• Autentica usuarios y grupos.• Controla el acceso a directorios y archivos.

Protocolos de acceso a datosCon el sistema operativo OneFS, puede acceder a los datos con varios protocolos de transferencia y uso compartido de archivos. Como resultado, los clientes Microsoft Windows, UNIX, Linux y Mac OS X pueden compartir los mismos directorios y archivos.

OneFS es compatible con los siguientes protocolos:

SMB El protocolo de bloque de mensajes del servidor (SMB) permite que los usuarios de Windows accedan al clúster. OneFS funciona con SMB 1, SMB 2 y SMB 2.1, así como SMB 3.0 para Multichannel solamente. Con SMB 2.1, OneFS es compatible con bloqueos oportunos (oplocks) de clientes y grandes tamaños de MTU (1 MB). El recurso compartido del archivo predeterminado es /ifs.

NFS El protocolo de sistema de archivos de red (NFS) permite que los sistemas UNIX, Linux y Mac OS X monten remotamente cualquier subdirectorio, incluidos los subdirectorios creados por los usuarios de Windows. OneFS funciona con las versiones 3 y 4 de NFS. El puerto predeterminado es /ifs.

HDFS El protocolo de sistema de archivos distribuido Hadoop (HDFS) permite que un clúster funcione con Apache Hadoop, una plataforma para aplicaciones distribuidas con un uso intensivo de datos. La integración con HDFS requiere la activación de una licencia distinta.

FTP FTP permite que los sistemas con un cliente FTP se conecten al clúster e intercambien archivos.

HTTP y HTTPS HTTP y su variante segura, HTTPS, brindan a los sistemas acceso a los recursos basado en navegadores. OneFS incluye soporte limitado para WebDAV.

Swift Swift permite acceder a los datos basados en archivos almacenados en su clúster Isilon Dell EMC como objetos. La API de Swift se implementa como un conjunto de servicios web de transferencia de estado representacional (REST) mediante HTTP o HTTP seguro (HTTPS). El contenido y los metadatos se pueden recopilar como objetos a los que se puede acceder de manera simultánea mediante otros protocolos de Isilon de Dell EMC compatibles. Para obtener más información, consulte Nota técnica de Isilon Swift.

Administración de identidades y control de accesoOneFS funciona con varios sistemas de administración de identidades para autenticar usuarios y controlar el acceso a los archivos. Además, OneFS presenta zonas de acceso que les permiten a los usuarios de diferentes servicios de directorio acceder a diversos recursos según su dirección IP. Mientras tanto, el control de acceso basado en funciones (RBAC) segmenta el acceso administrativo según las funciones.


OneFS autentica a los usuarios con los siguientes sistemas de administración de identidades:

• Microsoft Active Directory (AD)• Protocolo LDAP• Sistema de información de red (NIS)• Usuarios y grupos locales• Un proveedor de archivos para las cuentas en los archivos /etc/spwd.db y /etc/group. Con el proveedor de archivos, puede

agregar una fuente de otros fabricantes dominante de información de grupos y de usuarios.

Puede administrar usuarios con distintos sistemas de administración de identidades; OneFS mapea las cuentas de modo que las identidades de Windows y UNIX puedan coexistir. Una cuenta de usuario de Windows administrada en Active Directory, por ejemplo, se mapea a una cuenta de UNIX correspondiente en NIS o LDAP.

Para controlar el acceso, un clúster Isilon funciona con las listas de control de acceso (ACL) de los sistemas Windows y los bits de modo de POSIX de los sistemas UNIX. Cuando OneFS debe cambiar los permisos de un archivo de ACL a bits de modo, o viceversa, OneFS fusiona los permisos para mantener una configuración de seguridad coherente.

OneFS presenta vistas específicas del protocolo de permisos para que las exportaciones NFS presenten bits de modo y los recursos compartidos SMB muestren ACL. Sin embargo, puede administrar bits de modo y ACL con las herramientas de UNIX estándares, como los comandos chmod y chown. Además, las políticas de ACL le permiten configurar cómo OneFS administra los permisos para redes que combinan sistemas Windows y UNIX.

Zonas de acceso OneFS incluye una función de zonas de acceso. Con las zonas de acceso, los usuarios de distintos proveedores de autenticación, como dos dominios no confiables de Active Directory, pueden acceder a diversos recursos de OneFS en función de una dirección IP entrante. Una zona de acceso puede obtener varios proveedores de autenticación y espacios de nombres de SMB.

RBAC para la administración

OneFS incluye el control de acceso basado en funciones para la administración. En lugar de una cuenta de administrador o raíz, el RBAC le permite controlar el acceso de administrador por función. Una función limita los privilegios a un área de administración. Por ejemplo, puede crear funciones de administrador independientes para seguridad, auditoría, almacenamiento y respaldo.

Estructura del sistema de archivosOneFS presenta todos los nodos en un clúster como un espacio de nombres global, es decir, como el recurso compartido de archivos predeterminado, /ifs.

En el sistema de archivos, los directorios son vínculos de número de i-nodo. Un i-nodo contiene metadatos en archivos y un número de i-nodo, el cual identifica la ubicación de un archivo. OneFS asigna dinámicamente i-nodos y no hay ningún límite para la cantidad de i-nodos.

Para distribuir datos entre nodos, OneFS envía mensajes con una dirección de bloques globalmente enrutable mediante la red interna del clúster. La dirección de bloques identifica el nodo y la unidad que almacenan el bloque de datos.

NOTA: Se recomienda no guardar datos en la ruta de archivos /ifs raíz, sino en los directorios que se encuentran

debajo de /ifs. El diseño de la estructura de almacenamiento de datos se debe planear cuidadosamente. Un directorio

bien diseñado optimiza la administración y el rendimiento del clúster.

Diseño de datos yOneFS distribuye de forma equitativa los datos entre los nodos de un clúster con algoritmos de diseño que maximizan el rendimiento y la eficiencia del almacenamiento. El sistema reasigna continuamente los datos para conservar espacio.

OneFS segmenta los datos en secciones más pequeñas llamadas bloques; a continuación, el sistema coloca los bloques en una unidad de fracción. Una unidad de fracción ayuda a proteger un archivo contra una falla de hardware mediante la referencia a datos en archivos o códigos de borrado. El tamaño de una unidad de fracción depende del tamaño del archivo, la cantidad de nodos y la configuración de la protección. Después de que OneFS divide los datos en unidades de fracción, OneFS asigna o fracciona las unidades de fracción en todos los nodos del clúster.

Cuando un cliente se conecta a un nodo, las operaciones de lectura y escritura del cliente se llevan a cabo en varios nodos. Por ejemplo, cuando un cliente se conecta a un nodo y solicita un archivo, el nodo recupera los datos de varios nodos y reconstruye el archivo. Puede optimizar cómo OneFS coloca los datos para que coincidan con su patrón de acceso dominante: concurrent, streaming o random.


Archivos de escrituraEn un nodo, las operaciones de entrada y salida de la pila de software de OneFS se separan en dos capas funcionales: Una capa superior, o iniciador, y una capa inferior, o participante. En operaciones de lectura y escritura, el iniciador y el participante desempeñan funciones distintas.

Cuando un cliente escribe un archivo en un nodo, el iniciador del nodo administra el diseño del archivo en el clúster. En primer lugar, el iniciador divide el archivo en bloques de 8 kB cada uno. En segundo lugar, el iniciador coloca los bloques en una o más unidades de fracción. Con 128 kB, una unidad de fracción se compone de 16 bloques. En tercer lugar, el iniciador distribuye las unidades de fracción en todo el clúster hasta que se extiendan a lo ancho de este, lo que crea una fracción. El ancho de la fracción depende de la cantidad de nodos y de la configuración de la protección.

Después de dividir un archivo en unidades de fracción, el iniciador escribe los datos primero a la memoria de acceso aleatorio no volátil (NVRAM) y luego al disco. La NVRAM conserva la información cuando se suspende la alimentación.

Durante la transacción de escritura, la NVRAM se defiende contra nodos fallidos con el registro. Si un nodo falla en la mitad de la transacción, esta se reinicia sin el nodo fallido. Cuando el nodo regresa, reproduce el registro de la NVRAM para completar la transacción. El nodo también ejecuta el trabajo AutoBalance para comprobar el fraccionado en disco del archivo. Mientras tanto, las escrituras sin confirmar que esperan en la caché se protegen con el espejeado. Como resultado, OneFS elimina varios puntos de falla.

Archivos de lecturaEn una operación de lectura, un nodo funciona como un gerente que reúne datos de otros nodos y se los presenta al cliente que los solicita.

Puesto que una caché coherente de un clúster Isilon abarca todos los nodos, OneFS puede almacenar distintos datos en la RAM de cada nodo. Mediante la red InfiniBand interna, un nodo puede recuperar datos en archivos de la caché de otro nodo más rápido que de su propio disco local. Si una operación de lectura solicita datos almacenados en la caché de cualquier nodo, OneFS extrae estos datos para que se puedan facilitar con mayor rapidez.

Además, para archivos con un patrón de acceso concurrent o streaming, OneFS realiza una búsqueda previa de datos solicitados en una caché local de un nodo de administración para mejorar aún más el rendimiento de lectura secuencial.

Diseño de metadatosPara proteger los metadatos, OneFS los distribuye en nodos y unidades.

Los metadatos, incluida la información acerca de dónde se encuentra almacenado un archivo, cómo se protege y quién puede acceder a este, se almacenan en i-nodos y se protegen con bloqueos en un árbol B+, una estructura estándar para organizar bloques de datos en un sistema de archivos a fin de proporcionar búsquedas instantáneas. OneFS replica metadatos en archivos a lo largo del clúster para que no haya ningún punto único de falla.

Todos los nodos, de manera conjunta, ayudan a administrar el bloqueo de metadatos y el acceso a estos. Si un nodo detecta un error en los metadatos, el nodo los busca en una ubicación alternativa y, a continuación, corrige el error.

Bloqueos y simultaneidadOneFS incluye un gerente de bloqueos distribuido que coordina los bloqueos de datos en todos los nodos del clúster.

El gerente de bloqueos otorga bloqueos al sistema de archivos, a rangos de bytes y a protocolos, incluidos los bloqueos de modo de recurso compartido SMB y los bloqueos de advertencia de NFS. OneFS también es compatible con bloqueos oportunos de SMB.

Puesto que OneFS distribuye el gerente de bloqueos en todos los nodos, cualquier nodo puede funcionar como un coordinador de bloqueos. Cuando un hilo de ejecución de un nodo solicita un bloqueo, el algoritmo de truncamiento del gerente de bloqueos, por lo general, asigna la función de coordinador a un nodo diferente. El coordinador asigna un bloqueo compartido o un bloqueo exclusivo, según el tipo de solicitud. Un bloqueo compartido permite que los usuarios compartan un archivo de forma simultánea, normalmente para operaciones de lectura. Un bloqueo exclusivo permite que solo un usuario acceda a un archivo, normalmente para operaciones de escritura.

FraccionadoEn un proceso conocido como fraccionado, OneFS segmenta archivos en unidades de datos y luego distribuye las unidades en los nodos del clúster. El fraccionado protege sus datos y mejora el rendimiento del clúster.

Para distribuir un archivo, OneFS lo reduce en bloques de datos, organiza los bloques en unidades de fracción y, a continuación, asigna las unidades a nodos en la red interna.


Al mismo tiempo, OneFS distribuye códigos de borrado que protegen el archivo. Los códigos de borrado codifican los datos del archivo en un conjunto de símbolos distribuido, lo cual agrega una redundancia que ahorra espacio. Con solo una parte del conjunto de símbolos, OneFS puede recuperar los datos en archivos originales.

En conjunto, los datos y su redundancia forman un grupo de protección para una región de datos en archivos. OneFS coloca los grupos de protección en diferentes unidades de diferentes nodos, lo cual crea fracciones de datos.

Puesto que OneFS fracciona los datos en nodos que trabajan en conjunto como pares, un usuario que se conecta a cualquier nodo puede aprovechar todo el rendimiento del clúster.

De manera predeterminada, OneFS optimiza el fraccionado para el acceso concurrent. Si su patrón de acceso dominante es streaming, es decir, con una simultaneidad inferior y cargas de trabajo de un solo flujo más altas, como las que cuentan con video, puede cambiar la manera en que OneFS organiza los datos para aumentar el rendimiento de lectura secuencial. Para manejar mejor el acceso streaming, OneFS fracciona los datos en más unidades. Streaming es más eficaz en clústeres o pools secundarios que almacenan archivos grandes.

Descripción general de la protección de datosUn clúster Isilon está diseñado para encargarse de los datos, incluso cuando fallan los componentes. De forma predeterminada, OneFS protege los datos con códigos de borrado, lo que le permite recuperar archivos cuando un nodo o un disco fallan. Como alternativa a los códigos de borrado, puede proteger los datos con dos a ocho espejeados.

Al crear un clúster con cinco o más nodos, los códigos de borrado entregan hasta un 80 % de eficiencia. En clústeres más grandes, los códigos de borrado proporcionan un máximo de cuatro niveles de redundancia.

Además del espejeado y los códigos de borrado, OneFS incluye las siguientes funciones que ayudan a proteger la integridad, la disponibilidad y la confidencialidad de los datos:

Característica Descripción

Antivirus OneFS puede enviar archivos a servidores que ejecutan el protocolo de adaptación de contenidos de Internet (ICAP) para hacer un análisis en busca de virus y otras amenazas.

Clones OneFS le permite crear clones que compartan bloques con otros archivos para ahorrar espacio.

Restauración y respaldo de tipo NDMP OneFS puede respaldar los datos en cintas y en otros dispositivos mediante NDMP. Si bien OneFS es compatible con el respaldo bidireccional y tridireccional, el respaldo bidireccional requiere un nodo acelerador de respaldo Isilon.

Dominios de protección Puede aplicar dominios de protección a archivos y directorios para evitar que se produzcan cambios.

Los siguientes módulos de software también ayudan a proteger los datos, pero requieren la activación de una licencia distinta:

Función con licencia Descripción

SyncIQ SyncIQ replica datos en otro clúster Isilon y automatiza las operaciones de conmutación por error y conmutación por recuperación entre clústeres. Si un clúster queda inutilizable, puede hacer una conmutación por error a otro clúster Isilon.

SnapshotIQ Puede proteger los datos con una instantánea, es decir, una copia lógica de datos almacenados en un clúster.

SmartLock La herramienta SmartLock evita que los usuarios modifiquen y eliminen archivos. Puede confirmar archivos en un estado Write Once Read Many. El archivo no se puede modificar ni eliminar hasta después de un período de retención establecido. SmartLock lo puede ayudar a cumplir con la norma 17a-4 de comisión de bolsa y valores.

Protección de datos N+MOneFS utiliza redundancia de datos en todo el clúster para evitar la pérdida de datos a causa de fallas de unidades o nodos. La protección está integrada en la estructura del sistema de archivos y se puede aplicar hasta el nivel de archivos individuales.


La protección de OneFS se basa en el algoritmo Reed-Solomon, que utiliza la corrección de errores hacia adelante (FEC). Mediante el uso de FEC, OneFS asigna datos en fragmentos de 128 kb. Por cada fragmento de datos N, OneFS escribe M fragmentos de protección o paridad. Cada fragmento N + M (denominado “grupo de protección”) se escribe en un disco independiente en un nodo independiente. Este proceso se conoce como fraccionado de datos. Mediante el fraccionado de datos en todo el clúster, OneFS es capaz de recuperar archivos en caso de que fallen unidades o nodos.

En OneFS, los conceptos de política de protección y nivel de protección son diferentes. La política de protección es la configuración de protección que se especifica para pools de almacenamiento en un clúster. El nivel de protección es la protección real que OneFS ofrece a los datos, en función de la política de protección y la cantidad real de nodos con capacidad de escritura.

Por ejemplo, si tiene un clúster de tres nodos y especifica una política de protección [+2d:1n], OneFS es capaz de tolerar la falla de dos unidades o un nodo sin pérdida de datos. Sin embargo, en ese mismo clúster de tres nodos, si especifica una política de protección [+4d:2n], OneFS no puede lograr un nivel de protección que permita tolerar cuatro fallas de unidad o dos fallas de nodos. Esto es porque N + M debe ser menor o igual a la cantidad de nodos del clúster.

De forma predeterminada, OneFS calcula y establece una política de protección recomendada de acuerdo con la configuración del clúster. La política de protección recomendada logra el equilibrio óptimo entre la eficiencia del almacenamiento y la integridad de los datos.

Es posible configurar una política de protección que sea superior al valor máximo que admite el clúster. En un clúster de cuatro nodos, por ejemplo, se puede configurar una política de protección de [5x]. Sin embargo, OneFS protegería los datos solo cuatro veces hasta que agregue un quinto nodo al clúster. Posteriormente, OneFS volvería a aplicar una protección de 5x a los datos de manera automática.

Espejeado de datosPuede proteger datos en disco con el espejeado, que copia datos en varias ubicaciones. OneFS admite entre dos y ocho espejeados. Puede utilizar el espejeado en lugar de los códigos de borrado, o bien, puede combinar códigos de borrado con el espejeado.

El espejeado, sin embargo, utiliza más espacio que los códigos de borrado. Si se realiza un espejeado de los datos tres veces, por ejemplo, se triplican los datos, lo cual requiere más espacio que los códigos de borrado. Como resultado, el espejeado es ideal para transacciones que requieren un alto rendimiento.

También puede combinar códigos de borrado con el espejeado. Durante la operación de escritura, OneFS divide los datos en grupos de protección redundantes. Para los archivos protegidos con códigos de borrado, un grupo de protección se compone de bloques de datos y de sus códigos de borrado. Para archivos en espejo, un grupo de protección contiene todos los espejeados de un conjunto de bloques. OneFS puede cambiar el tipo de grupo de protección a medida que escribe un archivo en el disco. Si cambia dinámicamente el grupo de protección, OneFS puede continuar escribiendo datos a pesar de que ocurra una falla de nodos que impida que el clúster aplique los códigos de borrado. Una vez restaurado el nodo, OneFS automáticamente convierte los grupos de protección espejeados en códigos de borrado.

El registro del sistema de archivosUn registro, que registra los cambios en el sistema de archivos en una tarjeta NVRAM con batería de reserva, recupera el sistema de archivos después de las fallas, como una pérdida de la alimentación. Cuando se reinicia un nodo, el registro reproduce las transacciones de archivos para restaurar el sistema de archivos.

Hot spare virtual (VHS)Cuando falla una unidad, OneFS utiliza el espacio reservado en un pool secundario en lugar de una unidad de hot spare. Al espacio reservado se lo conoce como hot spare virtual.

A diferencia de una unidad de repuesto, un hot spare virtual automáticamente soluciona las fallas de unidades y continúa escribiendo datos. Si falla una unidad, OneFS migra los datos a un hot spare virtual para volver a protegerlos. Puede reservar un máximo de cuatro unidades de disco como hot spare virtual.

Balanceo de la protección con espacio de almacenamientoPuede establecer niveles de protección para balancear los requisitos de protección con espacio de almacenamiento.

Por lo general, los altos niveles de protección utilizan más espacio que los niveles más bajos, ya que se dedica un porcentaje del espacio en disco al almacenamiento de códigos de borrado. La sobrecarga para los códigos de borrado depende del nivel de protección, del tamaño del archivo y de la cantidad de nodos en el clúster. Puesto que OneFS fracciona los códigos de borrado y los datos en los nodos, la sobrecarga disminuye a medida que agrega nodos.


Integración con VMwareOneFS se integra con varios productos VMware, incluidos vSphere, vCenter y ESXi.

Por ejemplo, OneFS funciona con VMware vSphere API for Storage Awareness (VASA) para que pueda ver la información sobre un clúster Isilon en vSphere. OneFS también trabaja con VMware vSphere API for Array Integration (VAAI) para admitir las siguientes funciones en el almacenamiento de bloques: bloqueo asistido por hardware, copia completa y puesta a cero de bloques. VAAI para NFS requiere un plug-in ESXi.

Con Isilon Storage Replication Adapter, OneFS se integra al VMware vCenter Site Recovery Manager para recuperar máquinas virtuales que se replican entre clústeres Isilon.

Módulos de softwarePuede acceder a funciones avanzadas mediante la activación de licencias para módulos de software de Dell EMC Isilon.

SmartLock SmartLock protege los datos importantes contra la eliminación o alteración maliciosa, accidental o prematura para ayudarlo a cumplir con las normativas SEC 17a-4. Puede confirmar datos automáticamente en un estado a prueba de alteraciones y luego conservarlos con un reloj de cumplimiento de normas.

HDFS OneFS funciona con el protocolo de sistema de archivos distribuido Hadoop para ayudar a los clientes que ejecutan Apache Hadoop, una plataforma para aplicaciones distribuidas con un uso intensivo de datos, a analizar big data.

Conmutación por error y conmutación por recuperación automatizados de SyncIQ

SyncIQ replica datos en otro clúster Isilon y automatiza la conmutación por error y la conmutación por recuperación entre clústeres. Si un clúster queda inutilizable, puede hacer una conmutación por error a otro clúster Isilon. La conmutación por recuperación restaura los datos de fuentes originales después de que el clúster primario recupere su disponibilidad.

Consolidación de la seguridad

La consolidación de la seguridad es el proceso de configuración de su sistema para reducir o eliminar la mayor cantidad posible de riesgos de seguridad. Puede aplicar una política de consolidación que proteja la configuración de OneFS según las reglas de políticas.

SnapshotIQ SnapshotIQ protege los datos con una instantánea, es decir, una copia lógica de los datos almacenados en un clúster. Una instantánea se puede restaurar a su directorio de nivel superior.

SmartDedupe Puede reducir la redundancia de un clúster mediante la ejecución de SmartDedupe. La deduplicación crea vínculos que pueden afectar la velocidad de lectura y escritura de archivos.

SmartPools SmartPools le permite crear varios pools de archivos administrados por políticas de pools de archivos. Las políticas transfieren archivos y directorios entre niveles o pools de nodos. También se puede definir la manera en la que OneFS maneja las operaciones de escritura cuando un pool de nodos o un nivel están llenos.

CloudPools CloudPools se basa en el marco de trabajo de políticas de SmartPools y permite archivar datos en el almacenamiento de nube, definiendo a la nube como otro nivel de almacenamiento. CloudPools es compatible con Dell EMC Isilon, Dell EMC ECS Appliance, Virtustream Storage Cloud, Amazon S3 y Microsoft Azure como proveedores de almacenamiento de nube.

SmartConnect Advanced

Si activa una licencia de SmartConnect Advanced, puede balancear políticas para distribuir de forma equitativa el uso del CPU, las conexiones del cliente o el rendimiento. También puede definir pools de direcciones IP para admitir varias zonas DNS en una subred. Asimismo, SmartConnect es compatible con la conmutación por error de IP, también denominado conmutación por error de NFS.

InsightIQ El dispositivo virtual InsightIQ monitorea y analiza el rendimiento de su clúster Isilon para ayudarlo a optimizar los recursos de almacenamiento y proyectar la capacidad.

SmartQuotas El módulo de SmartQuotas rastrea el uso del disco con informes y obliga a cumplir los límites de almacenamiento con alertas.

Isilon Swift Isilon Swift es un gateway de almacenamiento de objetos compatible con la API de OpenStack Swift 1.0. Con Isilon Swift, puede acceder a los datos basados en archivos existentes almacenados en su clúster Dell EMC Isilon como objetos. La API de Swift se implementa como un conjunto de servicios web RESTful mediante HTTP o HTTPS. Dado que la API de Swift se considera un protocolo, el contenido y los metadatos se pueden recopilar como objetos, y se puede acceder a ellos de manera simultánea mediante otros protocolos de Dell EMC Isilon compatibles.


Introducción a la interfaz de la línea de comandos de OneFS

Esta sección contiene los siguientes temas:

Temas:

• Descripción general de la interfaz de la línea de comandos de OneFS• Diagramas de sintaxis• Opciones universales• Privilegios de la interfaz de la línea de comandos• Permisos del comando de cumplimiento de normas de SmartLock• Valores de tiempo de OneFS

Descripción general de la interfaz de la línea de comandos de OneFSLa interfaz de la línea de comandos de OneFS extiende el conjunto de comandos UNIX estándar para incluir comandos que le permitan administrar un clúster de Isilon desde el exterior de la interfaz de administración web o panel LCD. Para acceder a la interfaz de la línea de comandos, abra una conexión de protocolo SSH hacia cualquier nodo del clúster.

Puede ejecutar los comandos isi para configurar, monitorear y administrar los clústeres Isilon y los nodos individuales de un clúster.

Esta publicación proporciona información de las tareas y conceptual acerca de los comandos de la CLI. Para obtener una lista alfabética de todos los comandos de OneFS, consulte la Referencia de comandos de la CLI de OneFS.

Diagramas de sintaxisEl formato de cada comando se describe en un diagrama de sintaxis.

Las siguientes convenciones se aplican a los diagramas de sintaxis:

Elemento Descripción

[ ] Los corchetes indican un elemento opcional. Si omite los contenidos entre corchetes al especificar un comando, el comando aún se ejecuta correctamente.

< > Los paréntesis angulares indican un valor de marcador de posición. Debe reemplazar los contenidos entre paréntesis angulares con un valor válido; de lo contrario, el comando fallará.

{ } Las llaves indican un grupo de elementos. Si los contenidos entre llaves están separados con una barra vertical, estos son mutuamente excluyentes. Si los contenidos entre llaves no están separados con una barra, estos se deben especificar de manera conjunta.

| Las barras verticales separan elementos mutuamente excluyentes dentro de las llaves.

… Los puntos suspensivos indican que el elemento anterior se puede repetir más de una vez. Si los puntos suspensivos se colocan

3

Introducción a la interfaz de la línea de comandos de OneFS 31

Elemento Descripción

después de una llave o paréntesis, los contenidos entre llaves o paréntesis se pueden repetir más de una vez.

Cada comando isi se divide en tres partes: comando, opciones obligatorias y opciones opcionales. Las opciones obligatorias son posicionales, es decir, debe especificarlas en el orden en que aparecen en el diagrama de sintaxis. Sin embargo, para especificar una opción obligatoria en un orden alternativo, empiece con el texto que se muestra en paréntesis angulares con un guion doble. Por ejemplo, considere la isi snapshot snapshots create.

isi snapshot snapshots create <name> <path> [--expires <timestamp>] [--alias <string>] [--verbose]

Si las opciones <name> y <path> cuentan con un guion doble como prefijo, las opciones se pueden mover en el comando. Por ejemplo, el comando siguiente es válido:

isi snapshot snapshots create --verbose --path /ifs/data --alias newSnap_alias --name newSnap

Las versiones abreviadas de comandos se aceptan siempre y cuando el comando no sea ambiguo y no se aplique a varios comandos. Por ejemplo, isi snap snap c newSnap /ifs/data equivale a isi snapshot snapshots create newSnap /ifs/data porque la raíz de cada palabra pertenece a un comando exclusivamente. Si una palabra pertenece a más de un comando, el comando fallará. Por ejemplo, isi sn snap c newSnap /ifs/data no equivale a isi snapshot snapshots create newSnap /ifs/data porque la raíz de isi sn puede pertenecer a isi snapshot o isi snmp.

Si comienza a escribir una palabra y luego presiona la tecla TAB, el resto de la palabra aparece automáticamente, siempre y cuando la palabra no sea ambigua y se aplique solamente a un comando. Por ejemplo, isi snap se completa para formar isi snapshot porque esa es la única posibilidad válida. Sin embargo, isi sn no puede completarse, ya que constituye la raíz de isi snapshot y de isi snmp.

Opciones universalesAlgunas opciones son válidas para todos los comandos.

Sintaxisisi [--timeout <integer>] [--debug] <command> [--help]

EjemplosEl siguiente comando hace que el comando isi sync policies list agote su tiempo de espera después de 30 segundos:

isi --timeout 30 sync policies list

El siguiente comando muestra el resultado de la ayuda de isi sync policies list:

isi sync policies list --help

Privilegios de la interfaz de la línea de comandosPuede ejecutar la mayoría de las tareas otorgadas por un privilegio mediante la interfaz de la línea de comandos (CLI). Algunos comandos de OneFS requieren acceso de raíz.

32 Introducción a la interfaz de la línea de comandos de OneFS

Permisos del comando de cumplimiento de normas de SmartLockSi un clúster se ejecuta en modo de cumplimiento de normas de SmartLock, se desactiva el acceso raíz en el clúster. Debido a esto, si un comando requiere acceso raíz, puede ejecutar el comando solamente mediante el programa sudo.

En el modo de cumplimiento de normas, es posible ejecutar todos los comandos isi seguidos de un espacio mediante sudo. Por ejemplo, puede ejecutar isi sync policies create mediante sudo. Además, es posible ejecutar los siguientes comandos isi_ mediante sudo; estos comandos son internos y, por lo general, únicamente los ejecuta el soporte técnico de Isilon:

• isi_auth_expert• isi_bootdisk_finish• isi_bootdisk_provider_dev• isi_bootdisk_status• isi_bootdisk_unlock• isi_checkjournal• isi_clean_idmap• isi_client_stats• isi_cpr• isi_cto_update• isi_disk_firmware_reboot• isi_dmi_info• isi_dmilog• isi_dongle_sync• isi_drivenum• isi_dsp_install• isi_dumpjournal• isi_eth_mixer_d• isi_evaluate_provision_drive• isi_fcb_vpd_tool• isi_flexnet_info• isi_flush• isi_for_array• isi_fputil• isi_gather_info• isi_gather_auth_info• isi_gather_cluster_info• isi_gconfig• isi_get_itrace• isi_get_profile• isi_hangdump• isi_hw_check• isi_hw_status• isi_ib_bug_info• isi_ib_fw• isi_ib_info• isi_ilog• isi_imdd_status• isi_inventory_tool• isi_ipmicmc• isi_job_d• isi_kill_busy• isi_km_diag• isi_lid_d• isi_linmap_mod• isi_logstore• isi_lsiexputil


• isi_make_abr• isi_mcp• isi_mps_fw_status• isi_netlogger• isi_nodes• isi_ntp_config• isi_ovt_check• isi_patch_d• isi_phone_home• isi_promptsupport• isi_radish• isi_rbm_ping• isi_repstate_mod• isi_restill• isi_rnvutil• isi_sasphymon• isi_save_itrace• isi_savecore• isi_sed• isi_send_abr• isi_smbios• isi_stats_tool• isi_transform_tool• isi_ufp• isi_umount_ifs• isi_update_cto• isi_update_serialno• isi_vitutil• isi_vol_copy• isi_vol_copy_vnx

Además de los comandos isi, puede ejecutar los siguientes comandos de UNIX mediante sudo:

• fecha• gcore• ifconfig• kill• killall• nfsstat• ntpdate• nvmecontrol• pciconf• pkill• ps• pwd_mkdb• renice• shutdown• sysctl• tcpdump• top

Valores de tiempo de OneFSOneFS usa diferentes valores para el tiempo según la aplicación.

Puede especificar períodos, como un mes, para varias aplicaciones de OneFS. Sin embargo, puesto que algunos valores de tiempo tienen varios significados, OneFS define estos valores según la aplicación. La siguiente tabla describe los valores de tiempo correspondientes a las aplicaciones de OneFS:

34 Introducción a la interfaz de la línea de comandos de OneFS

Módulo Mes Año

SnapshotIQ 30 días 365 días (no da cuenta de año bisiesto)

SmartLock 31 días 365 días (no da cuenta de año bisiesto)

SyncIQ 30 días 365 días (no da cuenta de año bisiesto)


General cluster administrationEsta sección contiene los siguientes temas:

Temas:

• Descripción general de la administración general del clúster• Interfaces de usuario• Conexión con el clúster• Licencias• Certificados• Identidad del clúster• Información de contacto del clúster• Fecha y hora del clúster• Ajustes de correo electrónico SMTP• Configuración de los límites de los clústeres• Ajustes del sistema de archivos• Consolidación de la seguridad• Monitoreo del clúster• Monitoreo del hardware del clúster• Eventos y alertas• Mantenimiento del clúster• Soporte remoto

Descripción general de la administración general del clústerPuede administrar ajustes generales y licencias de módulo de OneFS para el clúster Isilon.

La administración general del clúster abarca varias áreas. Puede:

• Administrar ajustes generales, como el nombre del clúster, la fecha y la hora, y el correo electrónico• Monitorear el estado y el rendimiento del clúster, incluidos los componentes de hardware• Configurar el manejo de eventos y notificaciones• Realizar tareas de mantenimiento en el clúster, como la adición, la eliminación y el reinicio de nodos

La mayoría de las tareas de administración se realizan a través de la interfaz de administración web y la interfaz de la línea de comandos; no obstante, a veces se encontrará ante una tarea que solo puede administrarse con una o con otra.

Interfaces de usuarioOneFS ofrece varias interfaces para administrar clústeres Isilon.

Interfaz Descripción Comentario

OneFS web administration interface The browser-based OneFS web administration interface provides secure access with OneFS-supported browsers. Puede utilizar esta interfaz para ver pantallas de monitoreo gráfico sólidas y realizar tareas de administración del clúster.

The OneFS web administration interface uses port 8080 as its default port.

OneFS command-line interface Puede ejecutar los comandos isi de OneFS en la interfaz de la línea de comandos para configurar, monitorear y

The OneFS command-line interface provides an extended standard UNIX command set for managing the cluster.

4

36 General cluster administration

Interfaz Descripción Comentario

administrar el clúster. Access to the command-line interface is through a secure shell (SSH) connection to any node in the cluster.

API de OneFS La interfaz de programación de aplicaciones (API) de OneFS también incluye una interfaz de programación de aplicaciones (API) dividida en dos áreas funcionales: un área permite la funcionalidad de configuración, administración y monitoreo del clúster; y la otra habilita las operaciones en archivos y directorios del clúster. Es posible enviar solicitudes a la API de OneFS mediante una interfaz de transferencia de estado representacional (REST), a la cual se puede acceder por medio de URI de recurso y métodos HTTP estándar.

Debe tener conocimientos sólidos sobre HTTP/1.1 y experiencia en la escritura de software cliente basado en HTTP antes de implementar el software basado en cliente a través de la API de OneFS.

Panel frontal de nodos El panel frontal de cada nodo, a excepción de los nodos aceleradores, contiene una pantalla LCD con cinco botones que puede utilizar para monitorear los detalles del nodo y del clúster.

El estado del nodo, los eventos, los detalles del clúster, la capacidad, las direcciones IP y MAC, el rendimiento y el estado de las unidades están disponibles a través del panel frontal del nodo.

Conexión con el clústerEl acceso al clúster Isilon se proporciona a través de la interfaz de administración web o a través del protocolo SSH. Puede utilizar una conexión en serie para realizar tareas de administración del clúster mediante la interfaz de la línea de comandos.

También puede acceder al clúster a través del panel frontal del nodo para realizar un subconjunto de tareas de administración del clúster. Para obtener más información acerca de la conexión con el panel frontal del nodo, consulte la documentación de instalación de su nodo.

Iniciar sesión en la interfaz de administración webPuede monitorear y administrar su clúster Isilon desde la interfaz de administración web basada en el navegador.

1. Abra una ventana del navegador e ingrese la URL de su clúster en el campo de direcciones; reemplace <yourNodeIPaddress> con la primera dirección IP que proporcionó cuando configuró ext-1 en uno de los siguientes ejemplos:

IPv4 https://<yourNodeIPaddress>:8080IPv6 https://[<yourNodeIPaddress>]:8080

El sistema muestra un mensaje si sus certificados de seguridad no se configuraron. Solucione cualquier problema en la configuración de los certificados y continúe hacia el sitio web.

2. Inicie sesión en OneFS ingresando sus credenciales de OneFS en los campos Username y Password.

Una vez que inicie sesión en la interfaz de administración web, contará con un tiempo de espera de inicio de sesión de cuatro horas.

Abrir una conexión del protocolo SSH con un clústerPuede utilizar cualquier cliente de protocolo SSH, como OpenSSH o PuTTY, para establecer la conexión con un clúster Isilon.

Debe contar con credenciales válidas de OneFS para iniciar sesión en un clúster después de abrir la conexión.

1. Abra una conexión del protocolo SSH con cualquier nodo del clúster mediante la dirección IP del nodo y el número de puerto 22.

2. Inicie sesión con sus credenciales de OneFS.

En el símbolo de la línea de comandos de OneFS, puede utilizar los comandos isi para monitorear y administrar el clúster.

General cluster administration 37

LicenciasTodo hardware y software de Isilon debe contar con licencia mediante la central de licencias de software (SLC) de Dell EMC.

Se mantiene un registro de sus licencias activas y el hardware del clúster en un archivo de licencia que se almacena en dos ubicaciones: una copia en el repositorio de la SLC y la otra copia en su clúster. El archivo de licencia contiene un registro de los siguientes tipos de licencia:

• OneFS• Módulos de software adicionales

El archivo de licencia en su clúster y el archivo de licencia en el repositorio de la SLC deben coincidir con el hardware y el software que tenga instalados. Por lo tanto, debe enviar una solicitud para actualizar su archivo de licencia cuando:

• Se actualice por primera vez a la versión 8.1 o posterior de OneFSa• Agregue hardware nuevo o actualice el hardware existente en su clúster• Requiera la activación de un módulo de software opcional

Para solicitar un cambio en su archivo de licencia, debe crear un archivo que contenga una lista actualizada de las licencias de hardware y software que necesita, y enviarlo a la central de licencias de software (SLC) de Dell EMC. También puede generar el archivo de activación desde su interfaz de OneFS.

Las licencias se crean después de generar un archivo de activación. Debe enviar el archivo a la central de licencias de software (SLC) de Dell EMC y la SLC le enviará un archivo de licencia que debe cargar en su clúster.

Licencias de softwareLa licencia de OneFS y las licencias para módulos de software opcionales se incluyen en el archivo de licencia en el clúster, y deben coincidir con el registro de licencia del repositorio de la central de licencias de software (SLC) de Dell EMC.

Debe asegurarse de que el archivo de licencia en su clúster y su archivo de licencia en el repositorio de la SLC coincidan con su versión actualizada de OneFS.

Las funciones avanzadas de clúster pasan a estar disponibles cuando activa las licencias para los siguientes módulos de software de OneFS.

• CloudPools• Consolidación de la seguridad• HDFS• Isilon Swift• SmartConnect Advanced• SmartDedupe• SmartLock• SmartPools• SmartQuotas• SnapshotIQ• SyncIQ

Para obtener más información sobre los módulos de software opcionales, comuníquese con su representante de ventas de Isilon.

Niveles de hardwareSu archivo de licencia contiene información acerca del hardware Isilon instalado en el clúster.

Los nodos se enumeran por niveles en su archivo de licencia. Los nodos se ubican en cada nivel según el nivel de rendimiento de procesamiento, la capacidad y el tipo de unidad.

NOTA: Su archivo de licencia contendrá los elementos de línea por cada nodo de su clúster. Sin embargo, el hardware

anterior a la sexta generación no se incluye en el modelo de licencias de OneFS.

Estado de licenciaEl estado de una licencia de OneFS indica si el archivo de licencia en su clúster refleja la versión actual de OneFS. El estado de la licencia de un módulo OneFS indica si la funcionalidad que proporcionó el módulo está disponible en el clúster.


Las licencias existen en uno de los estados siguientes:

Estado Descripción

Sin firma La licencia no se ha actualizado en la central de licencias de software (SLC) de Dell EMC. Debe generar y enviar un archivo de activación para actualizar su archivo de licencia con la nueva versión de OneFS.

Inactivo La licencia no se activó en el clúster. No puede acceder a las funciones que proporcionó el módulo correspondiente.

Evaluación La licencia estuvo temporalmente activada en el clúster. Puede acceder a las funciones proporcionadas por el módulo correspondiente durante 90 días.

Activada La licencia se activó en el clúster. Puede acceder a las funciones proporcionadas por el módulo correspondiente.

Expired La licencia expiró en el clúster. Cuando la licencia expira, debe generar y enviar un archivo de activación para actualizar su archivo de licencia.

Ver información de licenciaPuede ver información sobre el estado actual de la licencia de OneFS, el hardware y los módulos de software opcionales de Isilon.

Ejecute el siguiente comando:

isi license list

Agregar y quitar licenciasPara actualizar el archivo de licencia, debe generar un archivo de activación, enviarlo a la central de licencias de software (SLC) de Dell EMC y cargar un archivo de licencia actualizado al clúster.

Puede agregar o quitar licencias desde su archivo de licencias mediante el envío de un archivo de activación a SLC.

Debe actualizar el archivo de licencia después de hacer lo siguiente:

• Agregar o quitar hardware• Agregar o quitar módulos de software opcionales

Generar un archivo de activación de licenciaPara actualizar su archivo de licencia, primero debe generar un archivo de activación de licencia que contenga los cambios que desea realizar en su archivo de licencia.

1. Ejecute el comando isi license generate para agregar o quitar licencias de su archivo de activación y designe una ubicación para guardar el archivo.El siguiente comando permite agregar una licencia de OneFS y guardar el archivo de activación denominado <cluster-name>_activation.xml en el directorio /ifs en el clúster:

isi license generate--include OneFS --file /ifs/<cluster-name>_activation.xml

El siguiente comando permite agregar las licencias de OneFS y SyncIQ, quitar la licencia de Cloudpools y guardar el nuevo archivo de activación en /ifs/local:

isi license generate--include OneFS --include SyncIQ --exclude Cloudpools--file ifs/local

2. Guarde el archivo de activación en su máquina local.Cuando copie el archivo de activación en su máquina local, podrá enviarlo a la Central de licencias de software (SLC) de Dell EMC.


Enviar un archivo de activación de licencia a la SLCDespués de generar un archivo de activación en OneFS, envíelo a la central de licencias de software (SLC) de Dell EMC para recibir un archivo de licencia firmado para el clúster.

Antes de enviar su archivo de activación a la SLC, debe generarlo mediante OneFS y guardarlo en su máquina local.

1. En su sistema local conectado a Internet, diríjase a la Central de licencias de software (SLC) de Dell EMC.

2. Inicie sesión en el sistema con sus credenciales de Dell EMC.

3. Haga clic en ACTIVATE en la parte superior de la página.Aparecerá un menú con dos opciones: Activate y Activate by File.

4. Haga clic en Activate by File.Aparecerá la página Upload Activation File.

5. Confirme que el nombre de su empresa aparezca junto a Company.

Si su empresa no aparece, haga clic en Select a Company y búsquela por su nombre e ID.

6. Haga clic en Upload.

7. Busque el archivo de activación en su máquina local y haga clic en Open.

8. Haga clic en el botón Start the Activation Process.Aparecerá la página Apply License Authorization Code (LAC).

9. En la tabla Resumen de cantidades y productos faltantes, confirme que haya una marca verde en la columna en el extremo derecho.Si alguna fila no tiene la marca verde en dicha columna, puede buscar otro LAC. Para esto, debe hacer clic en el botón Search y seleccionar otro LAC disponible.

10. Haga clic en el botón Next: Review.

11. Haga clic en el botón Activate.Cuando el archivo de licencia firmado esté disponible, la SLC se lo enviará como un archivo adjunto en un correo electrónico.

NOTA: Es posible que su archivo de licencia firmado no esté disponible inmediatamente.

12. Después de recibir el archivo de licencia firmado de la SLC, descárguelo en su máquina local.

Cargar el archivo de licencia actualizadoDespués de recibir un archivo de licencia actualizado desde la Central de licencias de software (SLC) de Dell EMC, cargue el archivo actualizado a su clúster.

Ejecute el comando isi license add.El siguiente comando agrega el archivo de licencia de /ifs/local al clúster:

isi license add --path /ifs/local

Activación de licencias de pruebaPuede activar una licencia de prueba que le permita evaluar el módulo de software opcional durante 90 días.

Activar una licencia de pruebaPuede activar una licencia de prueba para evaluar el módulo de software de OneFS.

Ejecute el comando isi license add.El siguiente comando activa una licencia de prueba para los módulos Cloudpools y SyncIQ:

isi license add --evaluation Cloudpools --evaluation SyncIQ

CertificadosToda la comunicación en la API de OneFS, incluida la comunicación por medio de la interfaz de administración web, se lleva a cabo mediante la seguridad de capa de transporte (TLS). Puede renovar el certificado del protocolo TLS para la interfaz de administración web de OneFS o reemplazarlo con un certificado de protocolo TLS de otros fabricantes.

Para reemplazar o renovar un certificado de protocolo TLS, debe iniciar sesión como usuario raíz.


https://licensing.emc.com/

NOTA: OneFS se configura de manera predeterminada según la mejor versión compatible de TLS en relación con la

solicitud del cliente.

Reemplazar o renovar el certificado de protocolo TLSEl certificado de Transport Layer Security (TLS) se utiliza para acceder al clúster mediante un navegador. Inicialmente, el clúster contiene un certificado con autofirma para este propósito. Puede continuar utilizando el certificado con autofirma existente o reemplazarlo con un certificado emitido por una autoridad de certificación de otros fabricantes (CA).

Si sigue usando el certificado con autofirma, cuando expire, deberá reemplazarlo con alguno de los siguientes:

• Un certificado emitido por la CA (público o privado) de otros fabricantes• Otro certificado con autofirma que se genere en el clúster

Las siguientes carpetas son las ubicaciones predeterminadas de los archivos server.crt y server.key.

• Certificado de protocolo TLS: /usr/local/apache2/conf/ssl.crt/server.crt• Clave del certificado de protocolo TLS: /usr/local/apache2/conf/ssl.key/server.key

Reemplace el certificado de protocolo TLS con un certificado emitido por la CA de otros fabricantesEste procedimiento describe cómo reemplazar el certificado de protocolo TLS existente con un certificado emitido por la CA (público o privado) de otros fabricantes.

Cuando solicita un certificado de protocolo TLS de una autoridad de certificación, debe proporcionar información acerca de su organización. Se recomienda que determine esta información con anticipación, antes de comenzar el proceso. Consulte la sección Ejemplo de datos del certificado de protocolo TLS de este capítulo para obtener detalles y ejemplos de la información necesaria.

NOTA: Este procedimiento requiere que se reinicie el servicio isi_webui, que reinicia la interfaz de administración web.

Por lo tanto, se recomienda que ejecute estos pasos durante una ventana de mantenimiento programado.

1. Abra una conexión de protocolo SSH a cualquier nodo del clúster e inicie sesión como raíz.

2. Para crear un directorio de respaldo, ejecute el siguiente comando:

mkdir /ifs/data/backup/

3. Establezca los permisos del directorio de respaldo en 700:

chmod 700 /ifs/data/backup

4. Para realizar copias de respaldo de los archivos existentes server.crt y server.key, ejecute los siguientes dos comandos:

cp /usr/local/apache2/conf/ssl.crt/server.crt \/ifs/data/backup/server.crt.bak

cp /usr/local/apache2/conf/ssl.key/server.key \/ifs/data/backup/server.crt.bak

NOTA: Si existen archivos con el mismo nombre en el directorio de respaldo, puede sobrescribir los archivos

existentes, o bien guardar los respaldos antiguos y cambiar el nombre de los archivos nuevos con un registro de

fecha y hora o cualquier otro identificador.

5. Cree un directorio de trabajo para almacenar los archivos mientras completa este procedimiento:

mkdir /ifs/local

6. Establezca los permisos del directorio de trabajo en 700:

chmod 700 /ifs/local

7. Cambie al directorio de trabajo:

cd /ifs/local


8. Para generar una nueva solicitud de firma de certificado (CSR) y una nueva clave, ejecute el siguiente comando, donde <common-name> corresponde al nombre que asigna. Este nombre identifica los nuevos archivos .key y .csr mientras trabaja con ellos en este procedimiento. Para terminar, cambie el nombre de los archivos y vuelva a copiarlos en la ubicación predeterminada, y elimine los archivos con el <common-name>. A pesar de que puede elegir cualquier nombre para <common-name>, le recomendamos que use el que piensa ingresar como nombre común del nuevo certificado de protocolo TLS (por ejemplo, el nombre de dominio calificado del servidor o el nombre del servidor, como isilon.example.com). Esto le permite distinguir los archivos nuevos de los originales.

openssl req -new -nodes -newkey rsa:1024 -keyout \<common-name>.key -out <common-name>.csr

9. Cuando se le indique, escriba la información que incluirá en la solicitud del certificado.Cuando termine de ingresar la información, los archivos <common-name>.csr y <common-name>.key aparecerán en el directorio /ifs/local.

10. Envíe el contenido del archivo <common-name>.csr del clúster a la autoridad de certificación (CA) para que lo firme.

11. Cuando reciba el certificado firmado (ahora un archivo .crt) de la CA, cópielo en /ifs/local/<common-name>.crt (donde <common-name> es el nombre que asignó anteriormente).

12. Opcional: Para verificar los atributos en el certificado de protocolo TLS, ejecute el siguiente comando, donde <common-name> es el nombre que asignó anteriormente:

openssl x509 -text -noout -in <common-name>.crt

13. Ejecute los siguientes cinco comandos para instalar el certificado y la clave y reiniciar el servicio isi_webui. En los comandos, reemplace <common-name> con el nombre que asignó anteriormente.

isi services -a isi_webui disable

chmod 640 <common name>.key

isi_for_array -s 'cp /ifs/local/<common-name>.key \/usr/local/apache2/conf/ssl.key/server.key'

isi_for_array -s 'cp /ifs/local/<common-name>.crt \/usr/local/apache2/conf/ssl.crt/server.crt'

isi services -a isi_webui enable

14. Verifique que la instalación se haya completado correctamente. Para obtener instrucciones, consulte la sección Verificar la actualización de un certificado de protocolo TLS de esta guía.

15. Elimine los archivos temporales de trabajo del directorio /ifs/local:

rm /ifs/local/<common-name>.csr \/ifs/local/<common-name>.key /ifs/local/<common-name>.crt

16. (Opcional) Elimine los archivos de respaldo del directorio /ifs/data/backup:

rm /ifs/data/backup/server.crt.bak \/ifs/data/backup/server.key.bak

Renovar el certificado con autofirma de protocolo TLSEste procedimiento describe cómo reemplazar un certificado con autofirma de protocolo TLS que expiró mediante la generación de un nuevo certificado basado en la clave de servidor existente.

Cuando genere un certificado con autofirma, deberá proporcionar información acerca de su organización. Se recomienda que determine esta información con anticipación, antes de comenzar el proceso. Consulte la sección Ejemplo de datos del certificado de protocolo TLS de este capítulo para obtener detalles y ejemplos de la información necesaria.

NOTA: Este procedimiento requiere que se reinicie el servicio isi_webui, que reinicia la interfaz de administración web.

Por lo tanto, se recomienda que ejecute estos pasos durante una ventana de mantenimiento programado.



2. Para crear un directorio de respaldo, ejecute el siguiente comando:

mkdir /ifs/data/backup/

3. Establezca los permisos del directorio de respaldo en 700:

chmod 700 /ifs/data/backup

4. Para realizar copias de respaldo de los archivos existentes server.crt y server.key, ejecute los siguientes dos comandos:

cp /usr/local/apache2/conf/ssl.crt/server.crt \/ifs/data/backup.bak

cp /usr/local/apache2/conf/ssl.key/server.key \/ifs/data/backup.bak

NOTA: Si existen archivos con el mismo nombre en el directorio de respaldo, puede sobrescribir los archivos

existentes, o bien guardar los respaldos antiguos y cambiar el nombre de los archivos nuevos con un registro de

fecha y hora o cualquier otro identificador.

5. Cree un directorio de trabajo para almacenar los archivos mientras completa este procedimiento:

mkdir /ifs/local/

6. Establezca los permisos del directorio de trabajo en 700:

chmod 700 /ifs/local

7. Cambie al directorio de trabajo:

cd /ifs/local/

8. En el símbolo del sistema, ejecute los siguientes comandos para crear un certificado de dos años de duración (730 días). Aumente o disminuya el valor de -days para generar un certificado con una fecha de vencimiento diferente.

cp /usr/local/apache2/conf/ssl.key/server.key ./

openssl req -new -days 730 -nodes -x509 -key \server.key -out server.crt

NOTA: El valor -x509 es un formato de certificado.

9. Cuando se le indique, escriba la información que incluirá en la solicitud del certificado.Cuando termine de ingresar la información, se creará un certificado de renovación basado en la clave del servidor existente. El certificado de renovación se denomina server.crt y aparecerá en el directorio /ifs/local.

10. Opcional: Para verificar los atributos en el certificado de protocolo TLS, ejecute el siguiente comando:

openssl x509 -text -noout -in server.crt

11. Ejecute los siguientes cinco comandos para instalar el certificado y la clave y reiniciar el servicio isi_webui:

isi services -a isi_webui disable

chmod 640 server.key

isi_for_array -s 'cp /ifs/local/server.key \/usr/local/apache2/conf/ssl.key/server.key'

isi_for_array -s 'cp /ifs/local/server.crt \/usr/local/apache2/conf/ssl.crt/server.crt'

isi services -a isi_webui enable


12. Verifique que la instalación se haya completado correctamente. Para obtener instrucciones, consulte la sección Verificar la actualización de un certificado de protocolo TLS de esta guía.

13. Elimine los archivos temporales de trabajo del directorio /ifs/local:

rm /ifs/local/<common-name>.csr \/ifs/local/<common-name>.key /ifs/local/<common-name>.crt

14. (Opcional) Elimine los archivos de respaldo del directorio /ifs/data/backup:

rm /ifs/data/backup/server.crt.bak \/ifs/data/backup/server.key.bak

Verificar una actualización del certificado SSLPuede verificar los detalles almacenados en un certificado de capa de conexión segura (SSL).

Ejecute el siguiente comando para abrir y verificar los atributos en un certificado SSL:

echo QUIT | openssl s_client -connect localhost:8080

Ejemplo de datos del certificado de protocolo TLSPara reemplazar o renovar el certificado de protocolo TLS, se requiere que proporcione determinados datos, como su nombre de dominio calificado y una dirección de correo electrónico de contacto.

Cuando renueva o reemplaza un certificado de protocolo TLS, se le solicita que proporcione datos en el formato que se muestra en el siguiente ejemplo:

You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:WashingtonLocality Name (eg, city) []:SeattleOrganization Name (eg, company) [Internet Widgits Pty Ltd]:CompanyOrganizational Unit Name (eg, section) []:System AdministrationCommon Name (e.g. server FQDN or YOUR name) []:localhost.example.orgEmail Address []:[email protected]

Además, si solicita un certificado emitido por una CA de otros fabricantes, debe incluir atributos adicionales que se muestran en el siguiente ejemplo:

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:passwordAn optional company name []:Another Name

Identidad del clústerPuede especificar atributos de identidad para el clúster Isilon.

Nombre del clúster

El nombre del clúster aparece en la página de inicio de sesión y permite que el clúster y sus nodos se reconozcan más fácilmente en su red. Cada nodo del clúster se identifica mediante el nombre del clúster y el número del nodo. Por ejemplo, el primer nodo en un clúster denominado Images puede llevar el nombre de Images-1.

Descripción del clúster

La descripción del clúster aparece debajo de su nombre en la página de inicio de sesión. Esta descripción es útil si su ambiente cuenta con varios clústeres.

Mensaje de inicio de sesión

El mensaje de inicio de sesión aparece como una casilla separada en la página de inicio de sesión de la interfaz de administración web de OneFS, o como una línea de texto debajo del nombre de clúster en la interfaz de la línea de


comandos de OneFS. El mensaje de inicio de sesión puede comunicar información sobre el clúster, instrucciones para iniciar sesión o advertencias que debería conocer un usuario antes de iniciar sesión en el clúster. Establezca esta información en la página Cluster Identity de la interfaz de administración web de OneFS

Establecer el nombre del clústerPuede especificar un nombre, una descripción y un mensaje de inicio de sesión en el clúster Isilon.

Los nombres de clústeres deben comenzar con una letra y solo pueden contener números, letras y guiones. El nombre del clúster se agrega al número del nodo para identificar cada nodo en el clúster. Por ejemplo, el primer nodo en un clúster denominado Images puede llevar el nombre de Images-1.

1. Abra la línea de comandos isi config por medio del siguiente comando:

isi config

2. Ejecute el comando name.El siguiente comando configura el nombre del clúster en NewName:

name NewName

3. Ejecute el siguiente comando para guardar los cambios:

commit

Información de contacto del clústerEl personal de soporte técnico de Isilon y los destinatarios de notificación de eventos se comunicarán con los contactos especificados.

Puede especificar la siguiente información de contacto para su clúster Isilon:

• Nombre de compañía y ubicación• Nombres de contacto principal y secundarios• Número de teléfono y dirección de correo electrónico de cada contacto

Fecha y hora del clústerEl servicio NTP se puede configurar manualmente, de modo que pueda asegurarse de que todos los nodos de un clúster estén sincronizados con el mismo origen de la hora.

El método NTP sincroniza automáticamente los ajustes de fecha y hora del clúster a través de un servidor NTP. De forma alternativa, puede ajustar la fecha y la hora registradas en el clúster configurando manualmente el servicio.

Los dominios de Windows proporcionan un mecanismo para sincronizar miembros del dominio a un reloj maestro que se ejecuta en los controladores de dominio, de modo que OneFS ajuste la hora del clúster a la de Active Directory con un servicio. Si no hay servidores NTP externos configurados, OneFS usa el controlador de dominio de Windows como el servidor de hora NTP. Cuando la hora del clúster y la del dominio se desincronizan en más de cuatro minutos, OneFS genera una notificación de eventos.

NOTA: Si el clúster y Active Directory se desincronizan en más de cinco minutos, la autenticación no funcionará.

Ajustar la fecha y la hora del clústerPuede definir la fecha, la hora y la zona horaria para el clúster Isilon.

1. Ejecute el comando isi config.El símbolo de la línea de comandos cambia para indicar que se encuentra en el subsistema isi config.

2. Especifique la fecha y hora actuales ejecutando el comando date.El siguiente comando establece la hora del clúster en 9:47 h del 22 de julio de 2015:

date 2015/07/22 09:47:00

3. Para verificar el ajuste de la zona horaria, ejecute el comando timezone. Se mostrará la configuración de la zona horaria actual. Por ejemplo:


The current time zone is: Pacific Time Zone4. Para ver una lista de las zonas horarias válidas, ejecute el comando help timezone. Aparecerán las siguientes opciones:

Greenwich Mean TimeEastern Time ZoneCentral Time ZoneMountain Time ZonePacific Time ZoneArizonaAlaskaHawaiiJapanAdvanced

5. Para cambiar la zona horaria, ingrese el comando timezone seguido de una de las opciones mostradas.El comando siguiente cambia la zona horaria a Hawaii:

timezone Hawaii

Se mostrará un mensaje que confirma la nueva configuración de zona horaria. Si la zona horaria de su preferencia no se mostró al ejecutar el comando help timezone, ingrese timezone Advanced. Aparecerá una pantalla de advertencia, seguida de una lista de regiones. Al seleccionar una región, aparecerá una lista de zonas horarias específicas para esa región. Seleccione la zona horaria de su preferencia (es probable que deba desplazarse), y luego ingrese OK o Cancel hasta volver al indicador isi config.

6. Ejecute el comando commit para guardar los cambios y salir de isi config.

Especificar un servidor de hora NTPPuede especificar uno o más servidores Network Time Protocol (NTP) para sincronizar la hora del sistema en el clúster Isilon. El clúster se comunica periódicamente con los servidores NTP y ajusta la fecha y la hora basándose en la información que recibe.

Ejecute el comando isi_ntp_config y especifique add server, seguido del nombre del host y la dirección IPv4 o IPv6 para el servidor NTP de su preferencia.El siguiente comando especifica ntp.time.server1.com:

isi_ntp_config add server ntp.time.server1.com

Ajustes de correo electrónico SMTPSi su ambiente de red requiere el uso de un servidor SMTP o si desea enrutar las notificaciones de eventos del clúster Isilon con SMTP a través de un puerto, puede configurar los ajustes de correo electrónico SMTP.

Los ajustes de SMTP incluyen el número de puerto y la dirección de retransmisión SMTP por los que se enruta el correo electrónico. Puede especificar un correo electrónico de origen y una línea de asunto para todos los correos electrónicos de notificación de eventos enviados desde el clúster.

Si su servidor SMTP está configurado para admitir la autenticación, puede especificar un nombre de usuario y una contraseña. También puede especificar si desea aplicar el cifrado a la conexión.

Configurar ajustes de correo electrónico SMTPPuede enviar notificaciones de eventos mediante el servidor de correo de SMTP. Además, puede habilitar la autenticación de SMTP si su servidor SMTP está configurado para usarla.

Puede configurar los ajustes de correo electrónico de SMTP si su ambiente de red requiere el uso de un servidor SMTP, o bien si desea enrutar las notificaciones de eventos del clúster Isilon con SMTP a través de un puerto.

Ejecute el comando isi email.El siguiente ejemplo establece la configuración de correo electrónico de SMTP:

isi email settings modify --mail-relay 10.7.180.45 \--mail-sender [email protected] \--mail-subject "Isilon cluster event" --use-smtp-auth yes \--smtp-auth-username SMTPuser --smtp-auth-passwd Password123 \--use-encryption yes


Ver la configuración de correo electrónico de SMTPPuede ver la configuración de correo electrónico de SMTP.


isi email settings view

El sistema muestra información similar a la del siguiente ejemplo:

Mail Relay: - SMTP Port: 25 Mail Sender: - Mail Subject: - Use SMTP Auth: No SMTP Auth Username: - Use Encryption: No Batch Mode: none User Template: -

Configuración de los límites de los clústeresEl modo de incorporación de clúster especifica cómo se puede agregar un nodo al clúster Isilon y si es necesaria la autenticación. OneFS incluye los modos de incorporación manual y seguro para agregar nodos al clúster.

Mode Descripción

Manual Permite agregar manualmente un nodo al clúster sin necesidad de una autorización.

Segura Necesita autorización de cada nodo agregado al clúster. El nodo se debe agregar a través de la interfaz de administración web o con el comando isi devices -a add -d <unconfigured_node_serial_no> en la interfaz de la línea de comandos.

NOTA: Si especifica un modo de incorporación seguro, no podrá incorporar un nodo al clúster a través de la opción del asistente de la consola en serie [2] Join an existing cluster.

Especificar el modo de incorporación al clústerPuede especificar un modo de incorporación que determine cómo se agregan los nodos al clúster Isilon.

1. Abra el símbolo del sistema isi config con el siguiente comando:

isi config

2. Ejecute el comando joinmode.El siguiente comando evita que los nodos se unan al clúster, a menos que este inicie la unión:

joinmode secure

3. Ejecute el siguiente comando para guardar los cambios:

commit

Ajustes del sistema de archivosPuede configurar los ajustes globales del sistema de archivos en un clúster Isilon para el rastreo de la hora de acceso y la codificación de caracteres.

Puede habilitar o deshabilitar el rastreo de la hora de acceso, que monitorea la hora de acceso a cada archivo. Si es necesario, también puede modificar la codificación de caracteres predeterminada en el clúster.


Especificar la codificación de caracteres del clústerPuede modificar la codificación de caracteres establecida para el clúster Isilon después de la instalación.

Solo se pueden seleccionar los conjuntos de caracteres compatibles con OneFS. UTF-8 es el conjunto de caracteres predeterminado para los nodos de OneFS.

NOTA: Si la codificación de caracteres del clúster no se establece en UTF-8, los nombres de los recursos compartidos de

SMB distinguen mayúsculas de minúsculas.

Debe reiniciar el clúster para aplicar los cambios en la codificación de caracteres.

PRECAUCIÓN: La codificación de caracteres se suele establecer durante la instalación del clúster. La modificación del

ajuste de codificación de caracteres tras la instalación puede dejar los archivos ilegibles si no se hace de la forma

correcta. Modifique los parámetros solo si es necesario después de consultar con el soporte técnico de Isilon

1. Ejecute el comando isi config.

El símbolo de la línea de comandos cambia para indicar que se encuentra en el subsistema isi config.

2. Modifique la codificación de caracteres ejecutando el comando encoding.El siguiente comando configura la codificación del clúster en ISO-8859-1:

encoding ISO-8859-1

3. Ejecute el comando commit para guardar los cambios y salir del subsistema isi config.

4. Reinicie el clúster para aplicar las modificaciones de codificación de caracteres.

Habilitar o deshabilitar el rastreo de la hora de accesoPuede habilitar el rastreo de la hora de acceso para complementar funciones que lo necesiten.

De forma predeterminada, un clúster Isilon no realiza el seguimiento de la hora de registro cuando se accede a los archivos. Puede habilitar esta funcionalidad para dar soporte a las funciones de OneFS que la utilizan. Por ejemplo, el rastreo de la hora de acceso debe estar habilitado para configurar los criterios de la política de SyncIQ que coinciden con archivos basados en la última vez que se accedió a ellos.

NOTA: La habilitación del rastreo de la hora de acceso puede afectar el rendimiento del clúster.

1. Para habilitar o deshabilitar el rastreo de la hora de acceso, configure el control del sistema atime_enabled.

• Para habilitar el rastreo de la hora de acceso, ejecute el siguiente comando:

sysctl efs.bam.atime_enabled=1• Para deshabilitar el rastreo de la hora de acceso, ejecute el siguiente comando:

sysctl efs.bam.atime_enabled=0

2. Para especificar la frecuencia con la que se debe actualizar la fecha y hora del último acceso, configure el control del sistema atime_grace_period system.

Especifique la cantidad de tiempo como cantidad de milisegundos.

El siguiente comando configura OneFS para actualizar la fecha y hora del último acceso cada dos semanas:

sysctl efs.bam.atime_grace_period=1209600000

Consolidación de la seguridadEl reforzamiento de la seguridad es el proceso de configuración de un sistema para reducir o eliminar la mayor cantidad posible de riesgos de seguridad.

Cuando aplica un perfil de consolidación en un clúster de Isilon, OneFS lee el archivo del perfil de seguridad y aplica la configuración definida en el perfil al clúster. Si es necesario, OneFS identifica los problemas de configuración que impiden el reforzamiento en los nodos. Por ejemplo, los permisos de archivos de un directorio determinado pueden no mostrar el valor esperado, o los directorios requeridos pueden faltar. Cuando se detecta un problema, puede elegir si desea que OneFS lo solucione o si prefiere posponer la resolución y reparar el problema manualmente.


NOTA: La intención del perfil de consolidación es prestar soporte a las guías de implementación técnica de seguridad

(STIG) que define la Agencia de sistemas de información de defensa (DISA) y son relevantes para OneFS. Hoy en día, el

perfil de consolidación únicamente es compatible con un subconjunto de los requisitos que la DISA definió en las STIG. El

perfil de consolidación está concebido para utilizarse principalmente en las cuentas federales.

Si determina que la configuración del reforzamiento no es la correcta para su sistema, OneFS permite revertir el perfil de reforzamiento de seguridad. Si revierte un perfil de reforzamiento, OneFS volverá a la configuración lograda tras solucionar los problemas, si los hubo, antes del reforzamiento.

Es necesario contar con una licencia de reforzamiento de seguridad activa e iniciar sesión en el clúster Isilon como usuario raíz para aplicar el reforzamiento en OneFS. Para obtener una licencia, comuníquese con su representante de ventas de Isilon.

Perfil STIG hardeningEl perfil de reforzamiento STIG de OneFS contiene un subconjunto de requisitos de configuración establecidos por el departamento de defensa y está diseñado para los clústeres de Isilon que son compatibles con cuentas del Gobierno Federal. Un clúster Isilon instalado con un perfil STIG depende de que el ecosistema circundante también sea seguro.

Después de aplicar el perfil de reforzamiento STIG de OneFS, la configuración de OneFS se modifica para que el clúster de Isilon sea más seguro y admita algunos de los controles que se definen en las STIG de DISA. Algunos ejemplos de los diversos cambios en el sistema son los siguientes:

• Después de iniciar sesión mediante el protocolo SSH o la interfaz web, el sistema muestra un mensaje en el que se indica que está accediendo a un sistema de información del Gobierno de los EE. UU., además de los términos y condiciones de uso del sistema.

• En cada nodo, el protocolo SSH y la interfaz web escucha solo las direcciones IP externas del nodo.• Los requisitos de complejidad de la contraseña son más exigentes para las cuentas de usuario locales. Las contraseñas deben tener

14 caracteres como mínimo e incluir al menos un carácter de cada uno de los siguientes tipos: numérico, mayúsculas, minúsculas y símbolo.

• El protocolo SSH raíz está deshabilitado. Puede iniciar sesión como raíz únicamente mediante la interfaz web o una sesión de consola en serie.

Aplicar un perfil de reforzamiento de seguridadPuede aplicar el perfil de reforzamiento STIG de OneFS al clúster de Isilon.

La consolidación de seguridad requiere privilegios de administrador y se puede ejecutar solo a través de la interfaz de la línea de comandos.

Una vez que se haya aplicado exitosamente la consolidación en el clúster, el protocolo SSH raíz no se permitirá en un clúster de consolidación. Para iniciar sesión como el usuario raíz en un clúster reforzado, debe conectarse mediante la interfaz web o una sesión de consola en serie.

Debe contar con una licencia de reforzamiento de seguridad activa para aplicar el perfil de reforzamiento en OneFS. Para obtener una licencia, comuníquese con su representante de ventas de Isilon.


2. Ejecute el comando isi hardening apply.El siguiente comando le indica a OneFS que aplique el perfil de reforzamiento al clúster de Isilon.

isi hardening apply --profile=STIG

NOTA: STIG es una etiqueta, no un archivo.

OneFS verifica si el sistema presenta algún problema de configuración que deba resolverse antes de la aplicación del reforzamiento.

• Si OneFS no encuentra ningún problema, se aplica el perfil de reforzamiento.• Si OneFS encuentra problemas, el sistema mostrará una salida similar al siguiente ejemplo:

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-2


1: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:

3. Si hay algún problema de configuración, debe resolverlo. Ante la pregunta Do you want to resolve the issue(s)?[Y/N], elija una de las siguientes acciones:

• Para permitir que OneFS resuelva todos los problemas, escriba Y. OneFS soluciona los problemas y, a continuación, aplica el perfil de reforzamiento.

• Para posponer la resolución y solucionar todos los problemas encontrados manualmente, escriba N. Después de solucionar todos los problemas pospuestos, vuelva a ejecutar el comando isi hardening apply.

NOTA: Si OneFS encuentra un problema que se considere catastrófico, el sistema le solicitará que solucione el

problema manualmente. OneFS no puede solucionar problemas catastróficos.

Revertir un perfil de reforzamiento de seguridadEs posible revertir un perfil de reforzamiento aplicado al clúster Isilon.

La reversión de la consolidación de seguridad requiere privilegios de administrador y se puede realizar solo a través de la interfaz de la línea de comandos. Para iniciar sesión como el usuario raíz en un clúster de consolidación, debe conectarse mediante una sesión de consola en serie. El protocolo SSH raíz no se permite en un clúster reforzado.

Debe contar con una licencia de reforzamiento de seguridad activa para revertir un perfil de reforzamiento en OneFS. Para obtener una licencia, comuníquese con su representante de ventas de Isilon.

1. Abra una sesión de consola en serie en cualquier nodo del clúster e inicie sesión como raíz.

2. Ejecute el comando isi hardening revert.OneFS verifica si el sistema se encuentra en el estado esperado.

• Si OneFS no encuentra ningún problema, se revierte el perfil de reforzamiento.• Si OneFS encuentra algún problema, el sistema mostrará una salida similar al siguiente ejemplo:

Found the following Issue(s) on the cluster:Issue #1 (Isilon Control_id:isi_GEN001200_01)Node: test-cluster-21: /etc/syslog.conf: Actual permission 0664; Expected permission 0654

Issue #2 (Isilon Control_id:isi_GEN001200_02)Node: test-cluster-31: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555Node: test-cluster-21: /usr/bin/passwd: Actual permission 4555; Expected permission 05552: /usr/bin/yppasswd: Actual permission 4555; Expected permission 0555

Total: 2 issue(s)Do you want to resolve the issue(s)?[Y/N]:

3. Si hay algún problema de configuración, debe resolverlo. Ante la pregunta Do you want to resolve the issue(s)?[Y/N], elija una de las siguientes acciones:

• Para permitir que OneFS resuelva todos los problemas, escriba Y. OneFS ajusta las configuraciones afectadas en el estado esperado y, a continuación, revierte el perfil de reforzamiento.

• Para posponer la resolución y solucionar todos los problemas encontrados manualmente, escriba N. OneFS detiene el proceso de reversión hasta que se corrijan todos los problemas. Después de solucionar todos los problemas pospuestos, vuelva a ejecutar el comando isi hardening revert.

NOTA: Si OneFS encuentra un problema que se considere catastrófico, el sistema le solicitará solucionar el problema

manualmente. OneFS no puede solucionar problemas catastróficos.

Ver el estado de la consolidación de seguridadPuede ver el estado de consolidación de seguridad del clúster Isilon y de cada nodo del clúster. Un clúster no se considera reforzado sino hasta que todos los nodos estén reforzados. Durante el proceso de reforzamiento, si OneFS encuentra problemas que deban resolverse manualmente, o si usted pospone problemas a fin de resolverlos manualmente, los nodos con problemas no se reforzarán hasta que se


resuelvan los problemas y el perfil de reforzamiento se haya aplicado correctamente. Si necesita ayuda para resolver estos problemas, póngase en contacto con el servicio de soporte técnico de Isilon.

La visualización del estado de la consolidación de seguridad del clúster requiere privilegios de administrador y se puede realizar solo a través de la interfaz de la línea de comandos. Para iniciar sesión como el usuario raíz en un clúster de consolidación, debe conectarse mediante una sesión de consola en serie. El protocolo SSH raíz no se permite en un clúster reforzado.

No necesita una licencia de consolidación de seguridad para ver el estado de la consolidación del clúster.

1. Abra una sesión de consola en cualquier nodo del clúster e inicie sesión como raíz.

2. Ejecute el comando isi hardening status para ver el estado del reforzamiento de seguridad en el clúster Isilon y en cada uno de los nodos.

El sistema muestra un resultado similar al siguiente ejemplo:

Cluster Name: test-clusterHardening Status: Not HardenedProfile: STIGNode status:test-cluster-1: Disabledtest-cluster-2: Enabledtest-cluster-3: Enabled

Monitoreo del clústerPuede ver información sobre el estado del clúster Isilon y supervisar el rendimiento del nodo y del clúster.

Ejecute el comando isi status para analizar la siguiente información:

• Estado del clúster, del nodo y de la unidad• Datos de almacenamiento, como tamaño y cantidad utilizada• Direcciones IP• Rendimiento• Eventos críticos• Estado de trabajos

Están disponibles comandos adicionales para analizar la información de rendimiento para las siguientes áreas:

• Estadísticas generales del clúster• Estadísticas por protocolo o clientes conectados al clúster• Datos de rendimiento por unidad• Datos de rendimiento históricos

La analítica y el monitoreo del rendimiento avanzados están disponibles por medio del módulo InsightIQ, el cual requiere que active una licencia distinta. Para obtener más información sobre los módulos de software opcionales, comuníquese con su representante de ventas de Isilon.

Monitorear el clústerPuede monitorear el estado y el rendimiento de un clúster mediante gráficos y tablas.


isi status

Ver el estado de un nodoPuede ver el estado de un nodo.

Opcional: Ejecute el comando isi status:El siguiente comando muestra información sobre un nodo con el número de nodo lógico (LNN) 1:

isi status -n 1


Monitoreo del hardware del clústerPuede comprobar manualmente el estado del hardware en el clúster Isilon, así como habilitar el protocolo SNMP para monitorear los componentes de manera remota.

Ver el estado del hardware del nodoEs posible ver el estado del hardware de un nodo.

1. Haga clic en Dashboard > Cluster Overview > Cluster Status.

2. Opcional: En el área Status, haga clic en el número de ID de un nodo.

3. En el área Chassis and drive status, haga clic en Platform.

Estados del chasis y las unidadesPuede ver detalles sobre el estado de las unidades y del chasis.

En un clúster, la combinación de nodos en diferentes estados de degradación determina si las solicitudes de escritura y de lectura funcionan correctamente. Un clúster puede perder quórum de escritura, pero mantener el de lectura. OneFS brinda detalles sobre el estado del chasis y de las unidades en el clúster. La siguiente tabla describe todos los estados posibles con los que se puede encontrar en el clúster.

Estado Descripción Interfaz Estado del error

HEALTHY Todas las unidades del nodo funcionan correctamente.

Interfaz de la línea de comandos, interfaz de administración web

L3 Se implementó un disco de estado sólido (SSD) como caché de nivel 3 (L3) para aumentar el tamaño de memoria caché y mejorar la velocidad del rendimiento.

Interfaz de la línea de comandos

SMARTFAIL o Smartfail or restripe in progress

La unidad está siendo eliminada de manera segura del sistema de archivos, ya sea debido a un error de I/O o porque el usuario lo solicitó. Los nodos o unidades en estado SmartFail o de solo lectura afectan solamente el quórum de escritura.


NOT AVAILABLE Una unidad no está disponible por diversas razones. Puede hacer clic en la bahía para ver información detallada sobre este estado.

NOTA: En la interfaz de administración web, este estado incluye los estados de la interfaz de la línea de comandos ERASE y

SED_ERROR.


X

SUSPENDED Este estado indica que la actividad en la unidad está temporalmente suspendida y esta no se puede utilizar. El estado se inicia manualmente y no ocurre durante la actividad normal del clúster.


NOT IN USE Un nodo en estado offline afecta tanto el quórum de lectura como el de escritura.


REPLACE Se ejecutó un SmartFail correctamente a la unidad y ya se puede reemplazar.

Solamente la interfaz de la línea de comandos

STALLED La unidad se estancó y está siendo evaluada. La evaluación de estancamiento es el proceso mediante el cual se revisan las unidades que son lentas o presentan otros problemas. Según el resultado de la evaluación, la unidad puede retomar su




funcionamiento normal o se le puede ejecutar un SmartFail. Este es un estado transitorio.

NEW La unidad es nueva y está vacía. Este es el estado en que se encuentra una unidad al ejecutar el comando isi dev con la opción -aadd.


USED La unidad se agregó y contenía un GUID de Isilon, pero esta no es de este nodo. Es probable que la unidad se formatee en el clúster.


PREPARING La unidad está realizando una operación de formateo. El estado de la unidad cambia a HEALTHY cuando el formateo se realiza correctamente.


EMPTY No hay ninguna unidad en esta bahía. Solamente la interfaz de la línea de comandos

WRONG_TYPE El tipo de unidad no es el correcto para este nodo. Por ejemplo, una unidad que no sea SED en un nodo SED, o un disco SAS en lugar del tipo de disco SATA esperado.


BOOT_DRIVE Exclusivo de la unidad A100, que cuenta con unidades de encendido en sus bahías.


SED_ERROR El sistema OneFS no puede reconocer la unidad.NOTA: En la interfaz de administración web, este estado está incluido en Not available.


X

ERASE Ya se puede eliminar la unidad, pero debe prestarle atención al proceso porque los datos no se eliminaron. Puede eliminar la unidad manualmente para garantizar que los datos se hayan eliminado.

NOTA: En la interfaz de administración web, este estado está incluido en Not available.


INSECURE Personal no autorizado puede acceder a datos en la unidad con cifrado automático. Las unidades con cifrado automático nunca se deben usar cuando se trata de datos no cifrados.

NOTA: En la interfaz de administración web, este estado está etiquetado como Unencrypted SED.


X

UNENCRYPTED Personal no autorizado puede acceder a datos en la unidad con cifrado automático. Las unidades con cifrado automático nunca se deben usar cuando se trata de datos no cifrados.

NOTA: En la interfaz de la línea de comandos, este estado está etiquetado como INSECURE.

Solamente la interfaz de administración web

X

Comprobar el estado de la bateríaPuede monitorear el estado de las baterías NVRAM y los sistemas de carga. Esta tarea solo se puede realizar en la interfaz de la línea de comandos de OneFS en el hardware del nodo que admite el comando.

1. Establezca una conexión de protocolo SSH en cualquier nodo del clúster.

2. Ejecute el comando isi batterystatus list para ver el estado de todas las baterías NVRAM y los sistemas de carga en el nodo.



Lnn Status1 Status2 Result1 Result2----------------------------------------1 Good Good - -2 Good Good - -3 Good Good - -----------------------------------------

Monitoreo del protocolo SNMPPuede usar el protocolo SNMP para monitorear remotamente los componentes de hardware del clúster Isilon, como los ventiladores, los sensores de hardware, las fuentes de alimentación y los discos. Use las herramientas predeterminadas de Linux SNMP o una herramienta SNMP basada en GUI de su preferencia para este fin.

El protocolo SNMP está habilitado o deshabilitado en todo el clúster; los nodos no se configuran de manera individual. Puede monitorear la información del clúster a partir de cualquier nodo del clúster. Los SNMP traps generados corresponden a los eventos de CELOG. También se pueden enviar notificaciones de SNMP mediante el uso de isi event channels create snmpchannel snmp --use-snmp-trap false.

Puede configurar una regla de notificación de eventos que especifique la estación de red a la que desea enviar SNMP traps para eventos específicos. Cuando ocurre el evento específico, el clúster envía el mensaje trap a ese servidor. OneFS es compatible con SNMP versión 2c (valor predeterminado) y SNMP versión 3 en modo de solo lectura.

OneFS no es compatible con SNMP versión 1. A pesar de que existe una opción para --snmp-v1-v2-access en el comando isi snmp settings modifyde la interfaz de línea de comandos (CLI) de OneFS, si activa esta función, OneFS solo se monitoreará a través de SNMP versión 2c.

Puede establecer los ajustes de SNMP versión 3 solamente o de SNMP versión 2c y versión 3.

NOTA: Todos los niveles de seguridad de SNMP v3 son configurables: noAuthNoPriv, authNoPriv, authPriv.

Los elementos en una jerarquía de SNMP se organizan en una estructura de árbol similar a un árbol de directorios. Con respecto a los directorios, los identificadores pasan de ser generales a específicos a medida que la cadena progresa de izquierda a derecha. Sin embargo, a diferencia de una jerarquía de archivos, cada elemento está enumerado, además de tener un nombre.

Por ejemplo, la entidad de SNMP iso.org.dod.internet.private.enterprises.isilon.cluster.clusterStatus.clusterName.0 se asigna a .1.3.6.1.4.1.12124.1.1.1.0. La parte del nombre que hace referencia al espacio de nombres de SNMP en OneFS es el elemento 12124. Todo lo que se encuentra a la derecha de ese número se relaciona con el monitoreo específico de OneFS.

Los documentos Management Information Base (MIB) definen los nombres en lenguaje natural para objetos administrados y especifican sus tipos de datos y otras propiedades. Puede descargar MIB creados para el monitoreo SNMP de un clúster Isilon desde la interfaz de administración web de OneFS o administrarlos mediante la interfaz de la línea de comandos. Los MIB se almacenan en /usr/share/snmp/mibs/ en un nodo OneFS. Los ISILON-MIB de OneFS cumplen dos propósitos:

• Aumentar la información disponible en MIB estándar• Proporcionar información específica de OneFS que no se encuentre disponible en MIB estándar

ISILON-MIB es un MIB empresarial registrado. Los clústeres Isilon cuentan con dos MIB distintos:

ISILON-MIB Define un grupo de agentes SNMP que responden consultas desde un sistema de monitoreo de red (NMS). Estos se denominan agentes OneFS Statistics Snapshot. Como el nombre lo implica, estos agentes realizan una instantánea del estado del sistema de archivos de OneFS cuando recibe una solicitud y comunican esta información al NMS.

ISILON-TRAP-MIB Genera SNMP traps para enviar a una estación de monitoreo SNMP cuando las circunstancias lo permiten. Estas traps están definidas en las unidades de datos de protocolo (PDU) de trap.

Los archivos MIB de OneFS asignan los ID de objeto específicos de OneFS con descripciones. Descargue o copie los archivos MIB en un directorio en el que la herramienta SNMP pueda encontrarlos, como /usr/share/snmp/mibs/.

Para que las herramientas Net-SNMP lean los archivos MIB y proporcionen mapeo automático de nombre a OID, agregue -m All al comando, como en el siguiente ejemplo:

snmpwalk -v2c I$ilonpublic -m All <node IP> isilon


Durante la configuración de SNMP, se recomienda cambiar la asignación por algo similar a lo que se muestra a continuación:

isi snmp settings modify -c <newcommunitystring>

Si los archivos MIB no se encuentran en el directorio MIB de Net-SNMP predeterminado, es probable que tenga que especificar la ruta completa, como en el siguiente ejemplo. Las tres líneas conforman un solo comando.

snmpwalk -m /usr/local/share/snmp/mibs/ISILON-MIB.txt:/usr \/share/snmp/mibs/ISILON-TRAP-MIB.txt:/usr/share/snmp/mibs \/ONEFS-TRAP-MIB.txt -v2c -C c -c public isilon

NOTA: Los ejemplos anteriores se ejecutan en un clúster por medio del comando snmpwalk. Su versión SNMP puede

requerir argumentos diferentes.

Administración de ajustes de SNMPCon SNMP, puede monitorear la información sobre el sistema y el hardware del clúster. Puede configurar los ajustes mediante la interfaz de administración web o la interfaz de la línea de comandos.

El nombre de usuario predeterminado (general) y la contraseña de SNMP v3 se pueden cambiar en la CLI o la interfaz de usuario web. El nombre de usuario es necesario solo cuando SNMP v3 está habilitado y si realiza consultas de SNMP v3.

Configure un sistema de monitoreo de red (NMS) para hacer consultas directas a cada nodo por medio de una dirección IPv4 estática. Si un nodo está configurado para IPv6, puede comunicarse con SNMP mediante IPv6.

El servidor proxy de SNMP está habilitado de forma predeterminada y la implementación de SNMP en cada nodo se configura automáticamente en proxy para el resto de los nodos en el clúster. Esta configuración proxy permite que la Isilon Management Information Base (MIB) y las MIB estándares se expongan sin problemas gracias al uso de cadenas contextuales para versiones de SNMP compatibles. Este enfoque permite hacer consultas a un nodo a través de otro nodo agregando _node_<node number> a la cadena de comunidad de la consulta. Por ejemplo, snmpwalk -m /usr/share/snmp/mibs/ISILON-MIB.txt -v 2c -c 'I$ilonpublic_node_1' localhost <nodename>.

Configuración de ajustes de SNMPPuede establecer las configuraciones de monitoreo de SNMP.

NOTA: Cuando se utiliza SNMP v3, OneFS requiere que el nivel de seguridad específico de SNMP de AuthNoPriv sea el

predeterminado cuando se realicen consultas al clúster Isilon. El nivel de seguridad AuthPriv no es compatible.

• El siguiente comando isi snmp settings modify permite habilitar el servicio SNMP v3:

isi snmp settings modify --snmp-v3-access=yes• El siguiente comando isi snmp settings modify permite configurar el nivel de seguridad, la contraseña y el protocolo de

autenticación, y la contraseña y el protocolo de privacidad:

isi snmp settings modify --help ... [--snmp-v3-access ][{--snmp-v3-read-only-user | -u} ] [--snmp-v3-auth-protocol (SHA |MD5)] [--snmp-v3-priv-protocol (AES | DES)][--snmp-v3-security-level (noAuthNoPriv | authNoPriv | authPriv)][{--snmp-v3-password | -p} ] [--snmp-v3-priv-password ][--set-snmp-v3-password] [--set-snmp-v3-priv-password]

Configurar el clúster para el monitoreo del protocolo SNMPPuede configurar su clúster Isilon para monitorear remotamente los componentes de hardware mediante SNMP.

1. Haga clic en Cluster Management > General Settings > SNMP Monitoring.

2. En SNMP Service Settings, haga clic en la casilla de verificación Enable SNMP Service. El servicio SNMP está habilitado de manera predeterminada.

3. Descargue el archivo MIB que desea utilizar (base o trap).Siga el proceso de descarga específico de su navegador.

4. Copie los archivos MIB en un directorio en el que la herramienta SNMP pueda encontrarlos, como /usr/share/snmp/mibs/.


Para que las herramientas Net-SNMP lean los archivos MIB y proporcionen mapeo automático de nombre a OID, agregue -m All al comando, como se muestra en el siguiente ejemplo:

snmpwalk -v2c -c public -m All <node IP> isilon

5. Si el protocolo es SNMPv2, asegúrese de que la casilla de verificación Allow SNMPv2 Access esté seleccionada. La opción SNMPv2 está seleccionada de manera predeterminada.

6. En el campo SNMPv2 Read-Only Community Name, ingrese el nombre de comunidad adecuado. El valor predeterminado es I$ilonpublic.

7. Para habilitar SNMPv3, haga clic en la casilla de verificación Allow SNMPv3 Access.

8. Establezca los ajustes de SNMP v3:

a) En el campo SNMPv3 Read-Only User Name, escriba el nombre de seguridad de SNMPv3 para cambiar el nombre del usuario con privilegios de solo lectura.

El usuario de solo lectura predeterminado es general.b) En el campo SNMPv3 Read-Only Password, ingrese la nueva contraseña correspondiente al usuario de solo lectura para

configurar una contraseña de autenticación de SNMPv3 nueva.

La contraseña predeterminada es password. Se recomienda cambiar la contraseña para aumentar la seguridad. La contraseña debe contener al menos ocho caracteres sin espacios.

c) Escriba la nueva contraseña en el campo Confirm password para confirmarla.

9. En el área SNMP Reporting, ingrese una descripción del clúster en el campo Cluster Description.

10. En el campo System Contact Email, ingrese la dirección de correo electrónico de contacto.

11. Haga clic en Save Changes.

Ver ajustes de SNMPPuede revisar los ajustes de monitoreo de SNMP.

• Ejecute el siguiente comando:

isi snmp settings view

Este es un ejemplo de la salida generada por el comando:

$ isi snmp settings view System Location: unset System Contact: [email protected] SNMP V1 V2C Access: Yes Read Only Community: I$ilonpublic SNMP V3 Access: NoSNMP V3 Read Only User: general SNMP V3 Auth Protocol: MD5 SNMP V3 Priv Protocol: AESSNMP V3 Security Level: authNoPriv SNMP Service Enabled: Yes

Eventos y alertasOneFS continuamente monitorea el estado y el rendimiento de su clúster y genera eventos cuando ocurren situaciones que requieran de su atención.

Los eventos pueden tener relación con la integridad del sistema de archivos, las conexiones de red, trabajos, hardware y otros componentes y operaciones vitales del clúster. Después de que se capturan los eventos, OneFS los analiza. Los eventos con causas raíces similares se organizan en grupos de eventos.

Un grupo de eventos es un único punto de administración para una gran cantidad de eventos relacionados con una situación específica. Puede determinar qué grupos de eventos desea monitorear, pasar por alto o resolver.

Una alerta es un mensaje que informa acerca de un cambio en un grupo de eventos.

Puede controlar cómo se distribuyen las alertas relacionadas con un grupo de eventos. Las alertas se distribuyen a través de canales. Puede crear y configurar un canal para enviar alertas a un público específico, controlar el contenido que el canal distribuye y limitar la frecuencia de las alertas.


Descripción general de eventosLos eventos son apariciones individuales o condiciones relacionadas con el flujo de trabajo de datos, las operaciones de mantenimiento y los componentes de hardware del clúster.

En OneFS existen procesos que monitorean y recopilan constantemente información de las operaciones del clúster.

Cuando cambia el estado de un componente o de una operación, el cambio se captura como un evento y se coloca en una línea de espera de prioridad en el nivel del kernel.

Cada evento tiene dos números de ID que ayudan a establecer el contexto del evento:

• El ID de tipo de evento identifica el tipo de evento que se produjo.• El ID de instancia de evento es un número único específico de una aparición de un tipo de evento en especial. Cuando se envía un

evento a la línea de espera del kernel, se asigna un ID de instancia de evento. Puede hacer referencia al ID de instancia para determinar la hora exacta en la que se produjo un evento.

Puede ver los eventos individuales. Sin embargo, es posible administrar los eventos y las alertas en el nivel de grupo de eventos.

Descripción general de las alertasUna alerta es un mensaje que describe un cambio que se produjo en un grupo de eventos.

En cualquier momento, puede ver los grupos de eventos para rastrear las situaciones que ocurren en su clúster. Sin embargo, también puede crear alertas que le notificarán proactivamente si hay un cambio en un grupo de eventos.

Por ejemplo, puede generar una alerta cuando se agrega un nuevo evento a un grupo de eventos, cuando se resuelve un grupo de eventos o cuando cambia la gravedad de un grupo de eventos.

Puede configurar su clúster para que solo genere alertas relacionadas con grupos de eventos, condiciones o niveles de gravedad específicos, así como durante períodos de tiempo limitados.

Las alertas se envían a través de canales. Puede configurar un canal para determinar quién recibirá la alerta y cuándo.

Descripción general de canalesLos canales son rutas por las cuales los grupos de eventos envían alertas.

Cuando se genera una alerta, el canal que está asociado a ella determina cómo se distribuye la alerta y quién la recibe.

Puede configurar un canal para que envíe alertas con uno de los siguientes mecanismos: SMTP, SNMP o Connect Home. También puede especificar la información necesaria de enrutamiento y etiquetado para el mecanismo de entrega.

Descripción general de grupos de eventosLos grupos de eventos son recopilaciones de eventos individuales que corresponden a síntomas relacionados de una sola situación en el clúster. Los grupos de eventos proporcionan un único punto de administración de múltiples instancias de evento que se generan en respuesta a una situación en el clúster.

Por ejemplo, si falla un ventilador del chasis en un nodo, OneFS puede capturar múltiples eventos relacionados con el ventilador fallido propiamente tal y con umbrales de temperatura excedidos dentro del nodo. Todos los eventos relacionados con el ventilador se representarán en un solo grupo de eventos. Debido a que existe un único punto de contacto, no es necesario administrar los numerosos eventos individuales. Puede manejar la situación como un problema único y uniforme.

Toda la administración de eventos se realiza en el nivel de grupo de eventos. Puede marcar un grupo de eventos como resuelto o ignorado. También puede configurar cómo y cuándo se distribuyen las alertas para un grupo de eventos.

Visualización y modificación de grupos de eventosPuede ver el evento y modificar el estado de los grupos de eventos.

Visualización de un grupo de eventosUtilice el comando isi event groups list para ver los grupos de eventos.


1. Opcional: Para identificar el ID de grupo de eventos que desea ver, ejecute el siguiente comando:

isi event groups list

2. Para ver los detalles de un grupo de eventos específico, ejecute el comando isi event groups view y especifique su ID de instancia.El siguiente comando de ejemplo muestra los detalles correspondientes a un grupo de eventos con el ID de 65686:

isi event groups view 65686


ID: 65686 Started: 08/15 02:12Causes Long: Node 2 offline Last Event: 2015-08-15T03:01:17 Ignore: NoIgnore Time: Never Resolved: Yes Ended: 08/15 02:46 Events: 6 Severity: critical

Detención de alertas para un único grupo de eventosPuede detener las alertas de un único grupo de eventos ejecutando un script para OneFS 8.0.0.4 y versiones anteriores.

En este procedimiento, se proporciona un ejemplo para excluir el evento 400160001 en específico.

1. Opcional: Cree un script con el nombre de archivo eventgroups.py:

#!/usr/bin/pythonimport json

efile="/etc/celog/events.json"egfile="/etc/celog/eventgroups.json"

with open(efile, "r") as ef: e = json.loads(ef.read())with open(egfile, "r") as egf: eg = json.loads(egf.read())

out = []symptoms = []for eg,v in eg.iteritems(): if eg != v["name"]: print "warning.. name not same %s" % eg out += [eg] for s in v["symptoms"]: symptoms += [s]

for e,v in e.iteritems(): if e not in symptoms: out += [e]

print ",".join(out)

2. Para detener las alertas de un único grupo de eventos, escriba 400160001 (SW_AUDIT_CEE_UNREACHABLE):

a) Configure las alertas de correo electrónico para todos los grupos de eventos, excepto 400160001:

isi event channels create mychannel smtp --address [email protected] --smtp_host smtp.isilon.comisi event alert create myalert NEW mychannel --eventgroup `./eventgroups.py | sed 's/,400160001//'

b) Ver la configuración de alertas:

csmithhart-rt4x-1# isi event alert view myalert Name: myalertEventgroup: synciq, storage_transport, hwmon, windows_auth, overheating, physmem, reboot, powersupply, reboot-fail, avscan, filesystem, windows_idmap, external_network,


toocold, windows_networking, 400050001, 400050002, 400050003, 400050004, 400110001, 900150001, 500010005, 500010004, 900130014, 500010001, 500010003, 500010002, 400140002, 900010012, 800010009, 400040012, 400140001, 600010003, 900130005, 600010001, 400060004, 900100009, 900100008, 200010002, 200010003, 600010004, 200010001, 200010006, 900100002, 900100001, 200010005, 900060033, 900060032, 900130011, 900130010, 400130001, 900100005, 900130015, 400040020, 910100007, 400210002, 900060030, 900010013, 600010005, 900060037, 910100006, 900060035, 400150003, 400150002, 400150001, 900060034, 900140001, 400150005, 400150004, 1100000008, 900100011, 900080033, 900100013, 900100016, 900100017, 900100018, 1100000001, 1100000002, 1100000003, 1100000004, 1100000005, 1100000006, 1100000007, 900130008, 900130009, 700100001, 900130004, 900100007, 900130006, 900130007, 100010009, 900040055, 400210001, 100010001, 900090023, 100010003, 100010002, 900020033, 400070004, 900100006, 400070005, 900110004, 400030002, 400120001, 400030001, 400130002, 100010018, 800010006, 100010012, 100010013, 100010010, 100010011, 600010002, 100010017, 100010014, 100010015, 900100004, 900140005, 200020003, 920100002, 400100004, 400100005, 400100002, 400100003, 400100001, 900100003, 400080001, 900010008, 920100005, 900090046, 100010029, 100010028, 100010027, 100010026, 100010025, 100010024, 100010023, 900100010, 700020003, 900060038, 700030005, 900060031, 900060036, 900100021, 900100020, 900100015, 900110005, 800010008, 100010030, 100010031, 900010003, 900010002, 900010005, 900010004, 900010007, 900010006, 900010009, 400100011, 700010005, 920100009, 400090001, 400090002, 400090003, 900060027, 900100026, 900040033, 100010045, 100010044, 900010010, 900010011, 100010041, 100010040, 100010043, 100010042, 900120005, 900120004, 900100012, 900100014, 400020002, 400020001, 900060029, 700040001, 900100022, 900100027, 700050001, 920100008, 900100019, 920100001, 920100000, 920100003, 920100004, 920100007, 920100006 Category: - Sev: * Channel: mychannelCondition: NEW

c) Verificar que la alerta 400160001 no envíe lo siguiente:

/usr/bin/isi_celog/celog_send_events.py -o 400160001d) Verificar que otras alertas envíen lo siguiente:

/usr/bin/isi_celog/celog_send_events.py -o 400050001

Cambiar el estado de un grupo de eventosPuede ignorar o resolver un grupo de eventos.

1. Opcional: Para identificar el ID de grupo del grupo de eventos que desea modificar, ejecute el siguiente comando:

isi event groups list

2. Para cambiar el estado de un grupo de eventos, ejecute el comando isi event groups modify. Para cambiar el estado de todos los grupos de eventos a la vez, ejecute el comando isi event groups bulk.El siguiente comando de ejemplo cambia el estado de un grupo de eventos con el ID de 7 a ignorado:

isi event groups modify 7 --ignored true

El siguiente comando de ejemplo cambia el estado de todos los grupos de eventos a resuelto:

isi event groups bulk --resolved true

Visualización de un eventoPuede ver los detalles de un evento específico.

1. Opcional: Para identificar el ID de instancia del evento que desea ver, ejecute el siguiente comando:

isi event events list


2. Para ver los detalles de un evento específico, ejecute el comando isi event events view y especifique su ID de instancia.El siguiente comando de ejemplo muestra los detalles correspondientes a un evento con el ID de instancia de 3.121:

isi event events view 3.121


ID: 3.121Eventgroup ID: 7 Event Type: 200020001 Message: Gigabit Ethernet link ext-1 (vmx1) running below capacity Devid: 3 Lnn: 3 Time: 2015-08-04T16:02:10 Severity: warning Value: 1.0

Administración de alertasPuede ver, crear, modificar o eliminar alertas a fin de determinar la información que ofrece acerca de los grupos de eventos.

Ver una alertaPuede ver los detalles de una alerta específica.

1. Opcional: Para identificar el ID de la alerta que desea ver, ejecute el siguiente comando:

isi event alerts list

2. Para ver los detalles de una alerta específica, ejecute el comando isi event alerts view y especifique el nombre de la alerta.El siguiente comando de ejemplo muestra los detalles correspondientes a una alerta denominada NewExternal:

isi event alerts view NewExternal

El nombre de la alerta distingue mayúsculas de minúsculas.


Name: NewExternalEventgroup: 3 Category: 200000000, 700000000, 900000000 Channel: RemoteSupport Condition: NEW

Crear una nueva alertaPuede crear nuevas alertas para proporcionar actualizaciones específicas en grupos de eventos.

Ejecute el comando isi event alerts create.El siguiente comando crea una alerta llamada "Hardware", establece la condición de alerta "NEW_EVENTS" y define el canal que difundirá el evento como "RemoteSupport":

isi event alerts create Hardware NEW-EVENTS --channel RemoteSupport

El siguiente comando crea una alerta llamada "ExternalNetwork", establece la condición de alerta "NEW", configura el grupo de eventos de origen con el número de ID 3, define el canal que difundirá el evento como "RemoteSupport", fija el nivel de severidad en "crítico" y establece el límite máximo de alertas en "10":

isi event alerts create ExternalNetwork NEW --eventgroup 3 --channel RemoteSupport --severity critical --limit 10

Modificar una alertaEs posible modificar una alerta después de crearla.


1. Opcional: Para identificar el nombre de la alerta que desea modificar, ejecute el siguiente comando:


2. Para modificar una alerta, ejecute el comando isi event alerts modify.El siguiente comando de ejemplo modifica la alerta denominada "ExternalNetwork" de la siguiente manera: cambia el nombre a ExtNetwork, agrega el grupo de eventos con el número de ID de grupo de eventos 131091 y agrega un filtro para que solo se envíen alertas sobre grupos de eventos con un valor de severidad crítica:

isi event alerts modify ExternalNetwork --name ExtNetwork --add-eventgroup 131091 --severity critical

Eliminar una alertaPuede eliminar las alertas que haya creado.

1. Opcional: Para identificar el nombre de la alerta que desea eliminar, ejecute el siguiente comando:


2. Elimine una alerta mediante la ejecución del comando isi event alerts delete.El siguiente comando de ejemplo elimina la alerta denominada ExtNetwork:

isi event alerts delete ExtNetwork

El nombre de la alerta distingue mayúsculas de minúsculas.

3. Ingrese yes para confirmar la eliminación.

Administración de canalesPuede ver, crear, modificar o eliminar canales a fin de determinar la manera en que ofrece información acerca de los grupos de eventos.

Ver un canalPuede ver los detalles de un canal específico.

1. Opcional: Para identificar el nombre del canal que desea ver, ejecute el siguiente comando:

isi event channels list

2. Para ver los detalles de un canal, ejecute el comando isi event channels view y especifique el nombre del canal.El siguiente comando de ejemplo muestra los detalles correspondientes a un canal denominado Support:

isi event channels view Support

El nombre del canal distingue mayúsculas de minúsculas.


ID: 3 Name: Support Type: smtp Enabled: YesExcluded Nodes: 2 Address: [email protected] Send As: [email protected] Subject: Support Request SMTP Host: - SMTP Port: 25 SMTP Use Auth: No SMTP Username: - SMTP Password: - SMTP Security: - Batch: NONE Enabled: Yes Allowed Nodes: 1


Creación de un canalPuede crear y configurar nuevos canales para enviar información de alertas.

Puede configurar un canal para que envíe alertas con uno de los siguientes mecanismos:

• SMTP• SNMP• Connect Home

Ejecute el comando isi event channels create para crear un canal de eventos. El protocolo de autenticación puede ser SHA o MD5, y el protocolo privado puede ser AES o DES.

El comando debe incluir la siguiente información:

$ isi event channels create snmpchannel snmp --host <snmptrap daemon ip address>$ isi event channels modify snmpchannel --use-snmp-trap True --snmp-use-v3 True$ isi event channels modify snmpchannel --snmp-auth-protocol SHA --snmp-auth-password mypassword1$ isi event channels modify snmpchannel --snmp-priv-protocol AES --snmp-priv-password mypassword2$ isi event channels modify snmpchannel --snmp-engine-id 0x80002F5C809104C90F67E95B4C$ isi event channels modify snmpchannel --snmp-security-level authPriv --snmp-security-namev3user

Modificar un canalPuede modificar un canal que haya creado.

1. Opcional: Para identificar el nombre del canal que desea modificar, ejecute el siguiente comando:


2. Modifique un canal mediante la ejecución del comando isi event channels modify.El siguiente comando de ejemplo modifica el canal denominado Support mediante el cambio de la dirección de correo electrónico de envío por [email protected]:

isi event channels modify Support --send-as [email protected]

El siguiente comando de ejemplo modifica el canal denominado Support cambiando el nombre de usuario de SMTP a admin y la contraseña de SMTP a p@ssword:

isi event channels modify Support --smtp-username admin --smtp-password p@ssword

Eliminar un canalPuede eliminar los canales que haya creado.

No podrá eliminar un canal que actualmente use una alerta. Elimine el canal de una alerta mediante la ejecución del comando isi event alerts modify.

1. Opcional: Para identificar el nombre del canal que desea eliminar, ejecute el siguiente comando:


2. Elimine un canal mediante la ejecución del comando isi event channels delete.El siguiente comando de ejemplo elimina el canal denominado Support:

isi event channels delete Support

El nombre del canal distingue mayúsculas de minúsculas.

3. Ingrese yes para confirmar la eliminación.


Mantenimiento y pruebasPuede modificar la configuración de los eventos para especificar los límites de retención y almacenamiento de los datos de eventos, calendarizar ventanas de mantenimiento y enviar eventos de prueba.

Límites de retención y almacenamiento de datos de eventosPuede modificar la configuración para determinar cómo se manejan los datos de eventos en el clúster.

De forma predeterminada, los datos relacionados con los grupos de eventos resueltos se conservan indefinidamente. Puede establecer un límite de retención para hacer que el sistema elimine automáticamente los datos del grupo de eventos resuelto después de cierta cantidad de días.

También puede limitar la cantidad de memoria que pueden ocupar los datos de eventos en el clúster. De forma predeterminada, el límite es de 1 MB de memoria por cada TB de memoria total en el clúster. Puede ajustar este límite para que sea entre 1 y 100 MB de memoria. Para los clústeres más pequeños, la cantidad mínima de memoria que se apartará es de 1 GB.

Cuando su clúster alcance un límite de almacenamiento, el sistema comenzará la eliminación de los datos de grupos de eventos más antiguos para admitir nuevos datos.

Ver la configuración de almacenamiento de eventosEs posible ver la configuración de almacenamiento y mantenimiento.

Para verla, ejecute el comando isi event settings view.El sistema muestra un resultado similar al siguiente ejemplo:

Retention Days: 90 Storage Limit: 1 Maintenance Start: 2015-08-05T08:00:00Maintenance Duration: 4H Heartbeat Interval: daily

Modificar la configuración de almacenamiento de eventosEs posible modificar la configuración de almacenamiento y mantenimiento.

Modifique la configuración mediante la ejecución del comando isi event settings modify.El siguiente comando de ejemplo cambia la cantidad de días durante la cual se guardan los grupos de eventos resueltos a 120:

isi event settings modify --retention-days 120

El siguiente comando de ejemplo cambia el límite de almacenamiento de datos de eventos a 5 MB por cada 1 TB de almacenamiento total del clúster:

isi event settings modify --storage-limit 5

Ventanas de mantenimientoPuede calendarizar una ventana de mantenimiento mediante la configuración de una hora de inicio del mantenimiento y la duración de este.

Durante una ventana de mantenimiento calendarizada, el sistema continuará registrando eventos, pero no se generarán alertas. La calendarización de una ventana de mantenimiento evitará que los canales se llenen de alertas benignas asociadas con los procedimientos de mantenimiento del clúster.

Los grupos de eventos activos reiniciarán automáticamente la generación de alertas cuando finalice el período de mantenimiento calendarizado.

Calendarizar una ventana de mantenimientoPuede calendarizar una ventana de mantenimiento para interrumpir las alertas mientras realiza mantenimiento en el clúster.

Calendarice una ventana de mantenimiento mediante la ejecución del comando isi event settings modify.El siguiente comando de ejemplo calendariza una ventana de mantenimiento que comienza el 1 de septiembre de 2015 a las 11:00 h y dura por dos días:

isi event settings modify --maintenance-start 2015-09-01T23:00:00 --maintenance-duration 2D


Alertas y eventos de pruebaLos eventos de prueba, denominados eventos de latido, se generan automáticamente. También es posible generar manualmente alertas de prueba.

A fin de confirmar que el sistema esté funcionando correctamente, los eventos de prueba se envían automáticamente todos los días a razón de un evento de cada nodo en el clúster. Estos se denominan eventos de latido y se informan a un grupo de eventos denominado Heartbeat Event.

Para probar la configuración de los canales, puede enviar una alerta de prueba a través del sistema manualmente.

Crear una alerta de pruebaEs posible generar manualmente una alerta de prueba.

Genere manualmente una alerta de prueba mediante la ejecución del comando isi event test create.El siguiente comando de ejemplo crea una alerta de prueba con el mensaje Test message:

isi event test create "Test message"

Modificar el evento de latidoEs posible cambiar la frecuencia con la que se genera un evento de latido.

Este procedimiento está disponible solamente a través de la interfaz de la línea de comandos.

1. Abra una conexión de protocolo SSH a cualquier nodo del clúster e inicie sesión.

2. Para modificar el intervalo del evento de latido, ejecute el comando isi event settings modify.El siguiente comando de ejemplo modifica el evento de latido para que su envío se realice semanalmente:

isi event settings modify --heartbeat-interval weekly

Mantenimiento del clústerEl personal de servicio capacitado puede reemplazar o actualizar componentes en nodos Isilon.

El soporte técnico de Isilon puede ayudarlo a la hora de reemplazar o actualizar componentes de nodos a fin de mejorar el rendimiento.

Sustitución de componentes del nodoSi falla un componente de nodo, el soporte técnico de Isilon trabajará junto con usted para reemplazar rápidamente el componente y hacer que el nodo se encuentre en buen estado otra vez.

El personal de servicio capacitado puede reemplazar las siguientes unidades de reemplazo en sitio (FRU):

• batería• unidad bootflash• unidad SATA/SAS• memoria (DIMM)• ventilador• panel frontal• switch de intrusión• tarjeta de interfaz de red (NIC)• Tarjeta InfiniBand• Tarjeta NVRAM• controladora de SAS• Fuente de alimentación

Si configura su clúster para enviar alertas a Isilon, el soporte técnico de Isilon se comunicará con usted en caso de que se necesite reemplazar un componente. Si no configura su clúster para enviar alertas a Isilon, debe iniciar una solicitud de servicio.

Actualización de componentes del nodoPuede actualizar los componentes de nodo para obtener rendimiento o capacidad adicionales.


El personal de servicio capacitado puede actualizar los siguientes componentes en el campo:

• C:• memoria (DIMM)• tarjeta de interfaz de red (NIC)

Si desea actualizar los componentes en sus nodos, comuníquese con el soporte técnico de Isilon.

Reconocimiento automático de reemplazo (ARR) para las unidadesCuando se reemplaza una unidad en un nodo, OneFS se formatea automáticamente y agrega la unidad al clúster.

Si va a reemplazar una unidad en un nodo, ya sea para actualizarla o para reemplazar una unidad fallida, no necesita tomar medidas adicionales para agregarla al clúster. OneFS formateará y agregará la unidad automáticamente.

ARR también actualizará automáticamente el firmware de la nueva unidad para que coincida con el paquete de soporte de unidades actual instalado en el clúster. El firmware de la unidad no se actualizará en todo el clúster, sino que únicamente para la unidad nueva.

Si prefiere formatear y agregar las unidades manualmente, puede deshabilitar ARR.

Ver el estado del reconocimiento automático de reemplazo (ARR)Puede confirmar si el ARR se encuentra habilitado en su clúster.

1. Para confirmar si el ARR está habilitado en su clúster, ejecute el siguiente comando:

isi devices config view --node-lnn all

El sistema muestra la información de la configuración de cada nodo según su número de nodo lógico (LNN). Como parte de la visualización de la configuración, verá el estado del ARR para cada nodo:

Automatic Replacement Recognition:Enabled : True

2. Para ver el estado del ARR de un nodo específico, ejecute el comando isi devices config view y especifique el LNN de los nodos que desea ver.

Si no especifica el LNN de un nodo, se mostrará la información de la configuración del nodo local que está conectando.

El siguiente comando de ejemplo muestra el estado del ARR para el nodo con el LNN de 2:

isi devices config view --node-lnn 2

Habilitar o deshabilitar el reconocimiento automático de reemplazo (ARR)Puede habilitar o deshabilitar el ARR de su clúster completo o solo de nodos específicos.

De forma predeterminada, el ARR está habilitado en todos los nodos.

1. Para deshabilitar el ARR para todo el clúster, ejecute el siguiente comando:

isi devices config modify --automatic-replacement-recognition no

2. Para habilitar el ARR para todo el clúster, ejecute el siguiente comando:

isi devices config modify --automatic-replacement-recognition yes

3. Para deshabilitar el ARR para un nodo específico, ejecute el comando isi devices config modify con el parámetro ARR y especifique el LNN del nodo.

Si no especifica el LNN de un nodo, el comando se aplicará a todo el clúster.

El siguiente comando deshabilita el ARR para el nodo con el LNN de 2:

isi devices config modify --automatic-replacement-recognition no --node-lnn 2


NOTA: Se recomienda que mantenga su configuración de ARR coherente en todos los nodos. Cambiar la

configuración de ARR en nodos específicos puede generar confusión durante el mantenimiento de la unidad.

4. Para habilitar el ARR para un nodo específico, ejecute el comando isi devices config modify con el parámetro ARR y especifique el LNN del nodo.

Si no especifica el LNN de un nodo, el comando se aplicará a todo el clúster.

El siguiente comando de ejemplo habilita el ARR para el nodo con el LNN de 2:

isi devices config modify --automatic-replacement-recognition yes --node-lnn 2

Administración del firmware de una unidadSi el firmware de cualquier unidad del clúster se vuelve obsoleto, el rendimiento del clúster puede verse afectado, así como la confiabilidad del hardware. Para garantizar la integridad general de los datos, puede actualizar el firmware de la unidad a la versión más reciente mediante la instalación del paquete de compatibilidad de unidades o el paquete de firmware de unidades.

Es posible determinar si el firmware de una unidad del clúster corresponde a la versión más reciente consultando el estado del firmware de la unidad.

NOTA: Se recomienda comunicarse con el soporte técnico de Isilon antes de actualizar el firmware de una unidad.

Descripción general de la actualización de firmware de unidadesPuede actualizar el firmware de las unidades mediante paquetes de compatibilidad de unidades o paquetes de firmware de unidades.

Descargue e instale cualquiera de estos paquetes desde Online Support según la versión de OneFS que se ejecuta en el clúster y el tipo de unidades en los nodos.

Paquete de compatibilidad de unidades

Para los clústeres que ejecutan OneFS 7.1.1 y superior, instale un paquete de compatibilidad de unidades para actualizar el firmware de la unidad. No es necesario reiniciar los nodos afectados para completar la actualización de firmware. Un paquete de compatibilidad de unidades brinda las siguientes funcionalidades adicionales:

• Actualiza la siguiente información de configuración de unidades:

• Lista de las unidades compatibles• Metadatos del firmware de las unidades• Datos de monitoreo del desgaste de discos SSD• Configuración y atributos de discos SAS y SATA

• Actualiza automáticamente el firmware de unidades nuevas y de reemplazo a la revisión más reciente antes del formateo y la posterior utilización de esas unidades en un clúster. Esto se aplica solo a los clústeres que ejecutan OneFS 7.2 y superior.

NOTA: No se puede actualizar el firmware de unidades en uso de manera automática.

Paquete de firmware de unidades

Para los clústeres que ejecutan versiones de OneFS previas a 7.1.1, o para clústeres con nodos sin bootflash, instale un paquete de firmware de unidades en todo el clúster para actualizar el firmware de las unidades. Debe reiniciar los nodos afectados para completar la actualización de firmware.

Instalar un paquete de compatibilidad de unidadesLas siguientes instrucciones son para realizar una actualización de firmware no disruptiva (NDFU) con un paquete de compatibilidad de unidades (DSP).

PRECAUCIÓN: Consulte la tabla de la sección System requirements anterior para confirmar que está realizando el

procedimiento correcto de acuerdo con el tipo de nodo y la versión de OneFS.

1. Vaya a la página Support , que incluye todas las versiones disponibles del paquete de compatibilidad de unidades.

2. Haga clic en la versión más reciente del paquete de compatibilidad de unidades y descargue el archivo.

NOTA: Si no puede descargar el paquete, comuníquese con Isilon Technical Support para obtener ayuda.



https://support.emc.com

https://support.emc.com/search/?product_id=15209&resource=DOWN&AlloftheseWrds=drive%20support%20package&SearchWithin=true&adv=y

4. Cree o verifique la disponibilidad de la estructura de directorios /ifs/data/Isilon_Support/dsp.

5. Copie el archivo descargado en el directorio dsp a través de los protocolos SCP, FTP, SMB, NFS o cualquier otro protocolo de acceso de datos compatible.

6. Ejecute el siguiente comando para descomprimir el archivo.

tar -zxvf Drive_Support_<version>.tgz7. Ejecute el siguiente comando para instalar el paquete:

isi_dsp_install Drive_Support_<version>.tarNOTA:

• Debe ejecutar el comando isi_dsp_install para instalar el paquete de compatibilidad de unidades. No use el

comando isi pkg.

• Ejecute isi_dsp_install para instalar el paquete de compatibilidad de unidades en todo el clúster.

• El proceso de instalación se ocupa de instalar todos los archivos necesarios del paquete de compatibilidad de

unidades y también de desinstalar el paquete. No es necesario que elimine el paquete después de su instalación ni

antes de instalar una versión posterior.

Información sobre el estado del firmware de la unidadPuede ver información sobre el estado del firmware de una unidad mediante la interfaz de la línea de comandos de OneFS.

El siguiente ejemplo muestra el resultado del comando isi devices drive firmware list:

your-cluster-1# isi devices drive firmware listLnn Location Firmware Desired Model------------------------------------------------------2 Bay 1 A204 - HGST HUSMM1680ASS2002 Bay 2 A204 - HGST HUSMM1680ASS2002 Bay 3 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 4 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 5 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 6 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 7 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 8 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 9 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 10 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 11 MFAOABW0 MFAOAC50 HGST HUS724040ALA6402 Bay 12 MFAOABW0 MFAOAC50 HGST HUS724040ALA640------------------------------------------------------Total: 12Donde:

LNN Muestra el LNN para el nodo que contiene la unidad.

Location Muestra el número de bahía donde está instalada la unidad.

Firmware Muestra el número de versión del firmware que se ejecuta en la unidad en ese momento.

Desired Si el firmware de una unidad necesita actualizarse, muestra el número de la versión del firmware a la que este se debe actualizar.

Model Muestra el número del modelo de unidad.

NOTA: El comando isi devices drive firmware list muestra información sobre el firmware de las unidades solo

en el nodo local. Para ver información del firmware de las unidades de todo el clúster, no solo del clúster local, ejecute el

siguiente comando:

isi devices drive firmware list --node-lnn all

Actualizar el firmware de una unidadPuede actualizar el firmware de unidad a la revisión más reciente; esto garantiza la integridad general de los datos.

Este procedimiento explica cómo actualizar el firmware de unidades en nodos que tienen unidades bootflash después de instalar el paquete de soporte de unidad más reciente. Para obtener una lista de nodos con unidades bootflash, consulte la sección de requisitos del sistema de Notas de la versión del paquete de compatibilidad de unidades de Isilon.


Para actualizar el firmware de las unidades en nodos sin unidades bootflash, descargue e instale el paquete de firmware más reciente de las unidades. Para obtener más información, consulte las notas de la versión del paquete de firmware más reciente de las unidades en Online Support.

NOTA: Si realiza un ciclo de apagad y encendido en las unidades durante una actualización de firmware, se podrían

obtener resultados inesperados. Como mejor práctica, no reinicie ni apague los nodos mientras se actualiza el firmware

de las unidades en el clúster.


2. Ejecute el siguiente comando para actualizar el firmware de unidad en todo el clúster:

isi devices drive firmware update start all --node-lnn allPara actualizar únicamente la unidad de firmware de un nodo específico, ejecute el siguiente comando:

isi devices drive firmware update start all --node-lnn <node-number>

PRECAUCIÓN: Debe esperar que un nodo finalice su actualización antes de iniciar la actualización en el nodo

siguiente. Para confirmar que la actualización de un nodo haya terminado, ejecute el siguiente comando:

isi devices drive firmware update list

Si una unidad continúa en el proceso de actualización, mostrará el estado FWUPDATE.

La actualización del firmware de una sola unidad se demora aproximadamente 15 segundos, en función del modelo de la unidad. OneFS actualiza las unidades secuencialmente.

Verificar una actualización del firmware de unidadesDespués de actualizar el firmware de las unidades en un nodo, confirme que el firmware se haya actualizado correctamente y que las unidades afectadas funcionen sin problemas.

1. Asegúrese de que no haya actualizaciones de firmware de unidades en curso mediante la ejecución del siguiente comando:

isi devices drive firmware update list

Si una unidad se está actualizando, [FW_UPDATE] aparece en la columna de estado.

2. Verifique que todas las unidades se hayan actualizado ejecutando el siguiente comando:

isi devices drive firmware list --node-lnn all

Si todas las unidades se actualizaron, la columna Desired FW se deja en blanco.

3. Verifique que todas las unidades afectadas funcionen correctamente ejecutando el siguiente comando:

isi devices drive list --node-lnn all

Si una unidad funciona correctamente, [HEALTHY] aparece en la columna de estado.

Actualización automática del firmware de una unidadPara los clústeres que ejecutan OneFS 7.2 o superior, instale el paquete de compatibilidad de unidades más reciente en un nodo para actualizar automáticamente el firmware de una unidad nueva o de reemplazo.

La información contenida en el paquete de compatibilidad de unidades determina si el firmware de una unidad se debe actualizar antes de su formateo y posterior uso. Si hay una actualización disponible, la unidad se actualiza automáticamente al firmware más reciente.

NOTA: Las unidades nuevas y de reemplazo agregadas a un clúster se formatean independientemente del estado de su

versión de firmware. Es posible identificar una falla de actualización de firmware consultando el estado del firmware de

las unidades en un nodo específico. En el caso de observar una falla, ejecute el comando isi devices con la acción

fwupdate en el nodo para actualizar el firmware manualmente. Por ejemplo, ejecute el siguiente comando para actualizar

manualmente el firmware en el nodo 1:

isi devices -a fwupdate -d 1


https://support.emc.com/


Administración de nodos del clústerPuede agregar y eliminar nodos de un clúster. También puede apagar o reiniciar todo el clúster.

Agregar un nodo a un clústerPuede agregar un nuevo nodo a un clúster Isilon existente.

Antes de que agregue un nodo a un clúster, verifique que haya disponible una dirección IP interna. Agregue las direcciones IP que sean necesarias antes de agregar un nodo nuevo.

Si un nuevo nodo tiene una versión de OneFS diferente de la de un clúster, el sistema cambia la versión de OneFS del nodo para hacerla coincidir con la del clúster.

NOTA: Para obtener información específica sobre la compatibilidad de versiones entre el hardware de OneFS e Isilon,

consulte Isilon Supportability and Compatibility Guide.

1. Para identificar el número de serie del nodo que se debe agregar, ejecute el siguiente comando:

isi devices node list

2. Para unir el nodo con el clúster, ejecute el siguiente comando:

isi devices node add <serial-number>

Por ejemplo, el siguiente comando une un nodo con el clúster con un número de serie de 43252:

isi devices node add 43252

Eliminar un nodo del clústerPuede eliminar un nodo de un clúster. Cuando elimina un nodo, el sistema aplica un SmartFail al nodo para garantizar que los datos del nodo se transfieran a otros nodos del clúster.

La eliminación de un nodo de almacenamiento de un clúster elimina los datos de dicho nodo. Antes de que el sistema elimine los datos, el trabajo FlexProtect redistribuye de forma segura los datos por los nodos restantes del clúster.

Ejecute el comando isi devices.El siguiente comando elimina un nodo del clúster con el número de nodo lógico (LNN) 2:

isi devices --action smartfail --device 2

Modificar el LNN de un nodoEs posible modificar el número de nodo lógico (LNN) de un nodo. Este procedimiento está disponible solo a través de la interfaz de la línea de comandos (CLI).

El nombre de los nodos dentro del clúster se puede cambiar a cualquier nombre o número entero entre 1 y 144. Si cambia el nombre del nodo, se restablecerá el LNN.

NOTA: Aunque puede especificar cualquier número entero como LNN, se recomienda no especificar un número entero

mayor que 144. Especificar los LNN con un número mayor que 144 puede degradar el rendimiento de manera

considerable.


2. Abra la línea de comandos isi config por medio del siguiente comando:

isi config

3. Ejecute el comando lnnset .El siguiente comando cambia el LNN de un nodo de 12 a 73:

lnnset 12 73

4. Ingrese commit .

Es posible que deba volver a conectarse a la sesión del protocolo SSH antes de que el nuevo nombre del nodo cambie automáticamente.


Reiniciar o apagar el clústerEs posible reiniciar o apagar el clúster Isilon.

1. Ejecute el comando isi config.El símbolo de la línea de comandos cambia para indicar que se encuentra en el subsistema isi config

2. Reinicie o apague los nodos del clúster.

• Para reiniciar un solo nodo o todos los nodos en el clúster, ejecute el comando reboot.

El siguiente comando reinicia un solo nodo mediante la especificación del LNN (número de nodo lógico):

reboot 7• Para apagar un solo nodo o todos los nodos en el clúster, ejecute el comando shutdown.

El siguiente comando apaga todos los nodos en el clúster:

shutdown all

Actualización de OneFSHay dos opciones disponibles para actualizar el sistema operativo OneFS: una actualización gradual o una actualización simultánea. Antes de actualizar el software OneFS, se debe realizar una comprobación.

Una actualización gradual actualiza y reinicia cada nodo de forma individual en el clúster Isilon, uno tras otro. Durante una actualización gradual, el clúster permanece en línea y continúa atendiendo a los clientes sin que el servicio se interrumpa, aunque es posible que se necesite restablecer la conexión en algunos clientes SMB. Las actualizaciones graduales se ejecutan de forma secuencial por número de nodo, por lo que este tipo de actualización es más lenta que la simultánea. El nodo final en el proceso de actualización es el nodo que usó para iniciar dicho proceso.

NOTA: Las actualizaciones graduales no están disponibles para todos los clústeres. Para obtener instrucciones sobre

cómo planear una actualización, preparar el clúster para que se actualice y ejecutar una actualización del sistema

operativo, consulte la información disponible en Actualizaciones de OneFS - Concentrador de información de Isilon

Una actualización simultánea instala el nuevo sistema operativo y reinicia todos los nodos del clúster al mismo tiempo. Las actualizaciones simultáneas son más rápidas que las actualizaciones graduales, pero requieren una interrupción temporal del servicio durante el proceso de actualización. No puede acceder a sus datos durante todo el proceso de actualización.

Antes de comenzar con una actualización simultánea o gradual, OneFS compara el clúster y el sistema operativo de ese momento con la nueva versión para asegurarse de que el clúster cumpla con ciertos criterios, como la compatibilidad de la configuración (SMB, LDAP, SmartPools), la disponibilidad de discos y la ausencia de eventos de clúster clave. Si la actualización pone el clúster en peligro, OneFS le hace una advertencia, le ofrece información sobre los riesgos y le solicita que confirme si desea continuar con la actualización.

Si el clúster no cumple con los requisitos previos de la actualización, esta no puede proceder y se especifican los estados no compatibles.

NOTA: Se recomienda que ejecute las comprobaciones opcionales previas a la actualización. Antes de iniciar una

actualización, OneFS comprueba que el clúster esté en buenas condiciones para completar el proceso de actualización.

Algunas de las comprobaciones previas a la actualización son obligatorias y se realizarán incluso si decide omitir las

comprobaciones opcionales. Todas las comprobaciones previas a la actualización contribuyen a una actualización más

segura.

Soporte remotoOneFS permite el soporte remoto mediante Secure Remote Services ((E)SRS) que monitorea el clúster y, con permiso, proporciona acceso remoto al personal de soporte técnico de Isilon para recopilar datos del clúster y solucionar problemas. (E)SRS es un sistema seguro de servicio al cliente que incluye el monitoreo remoto 24x7 y la autenticación segura con cifrado AES de 256 bits, y certificados digitales RSA.

A pesar de que (E)SRS no es una función con licencia, el clúster OneFS debe tener licencia para habilitar (E)SRS.

Cuando se configura, (E)SRS monitorea el clúster Isilon y envía alertas acerca del estado de los dispositivos. El personal de soporte técnico de Isilon puede establecer sesiones remotas a través de SSH o de la interfaz de back-end de Dell EMC. Durante las sesiones remotas, el personal de soporte puede ejecutar scripts de soporte remoto que recopilan datos de diagnóstico sobre los ajustes y las operaciones del clúster. Los datos de diagnóstico se envían a través de la conexión segura de (E)SRS a Dell EMC (E)SRS.



Si habilita el soporte remoto, el personal de soporte técnico de Isilon puede establecer una sesión de SSH segura con el clúster a través de la conexión de (E)SRS. El acceso remoto al clúster solo se encuentra en el contexto de un caso de soporte abierto. Puede permitir o negar la solicitud de sesión remota del personal de soporte técnico de Isilon.

NOTA: Las credenciales de usuario de soporte remoto son necesarias para acceder al clúster, no las del usuario general

del clúster ni las del administrador del sistema. OneFS no almacena las credenciales de usuario requeridas.

Para obtener una descripción completa de las funciones y funcionalidades de (E)SRS, consulte la versión más reciente de Descripción técnica de EMC Secure Remote Services. La documentación adicional de (E)SRS está disponible en Dell EMC Support by Product.

Configuración de la compatibilidad con Secure Remote ServicesPuede configurar la compatibilidad con Secure Remote Services ((E)SRS) en el clúster Isilon. (E)SRS ahora está configurado para todo el clúster con un solo registro, en lugar de un nodo a la vez como en versiones anteriores de OneFS.

Antes de configurar (E)SRS en OneFS, se debe instalar y configurar al menos un servidor Virtual Edition Gateway (servidor ESRS v3) (E)SRS. El servidor ESRS v3 funciona como el único punto de entrada y salida para las notificaciones de monitoreo y las actividades de soporte remoto. Si es necesario, configure un servidor (E)SRS v3 secundario como una conmutación por error.

(E)SRS no es compatible con las comunicaciones mediante IPv6. Para admitir las transmisiones de (E)SRS y las conexiones remotas, se debe configurar al menos una subred en el clúster Isilon para las direcciones IPv4. Todos los nodos que se administrarán mediante (E)SRS deben tener al menos una interfaz de red que pertenezca a un grupo de direcciones IPv4.

Cuando se habilita la compatibilidad con (E)SRS en un clúster, puede crear, de manera opcional, reglas para las conexiones de soporte remoto al clúster Isilon con el administrador de políticas de (E)SRS. El administrador de políticas configurado es independiente del sistema ESRS v3.

Los detalles acerca del administrador de políticas están disponibles en la Guía de instalación de EMC Secure Remote Services más reciente.

En la siguiente tabla, se muestran las funciones y las mejoras disponibles con (E)SRS para OneFS 8.1 y versiones posteriores.

Tabla 1. (E)SRS funciones y mejoras


Consolidación (E)SRS consolida los puntos de acceso para el servicio de soporte técnico mediante una arquitectura uniforme y basada en estándares para el acceso remoto en las líneas de productos Dell EMC. Los beneficios incluyen la reducción de los costos mediante la eliminación de módems y de líneas telefónicas, la autorización controlada del acceso para los eventos de servicios remotos y el registro consolidado del acceso remoto para el análisis de auditoría.

Seguridad mejorada • Seguridad digital integral: la seguridad de (E)SRS incluye cifrado de datos de seguridad de capa de transporte (TLS), tunelización v1.2 de TLS con cifrado de datos de 256 bits Advanced Encryption Standard (AES) SHA-2, autenticación de entidad (certificados digitales privados) y autenticación del usuario de acceso remoto verificada mediante la seguridad de red de Dell EMC.

• Controles de autorización: los controles de las políticas permiten que el proceso de autorización personalizada acepte, rechace o requiera aprobación dinámica para las conexiones a la infraestructura del dispositivo Dell EMC en el nivel del dispositivo y de la aplicación de soporte, con el uso del administrador de políticas.

• Túneles de acceso remoto seguro a la sesión: (E)SRS establece las sesiones remotas mediante una IP segura, y la asignación de puertos de aplicaciones entre los terminales de origen y de destino.

Transferencia de datos de uso de la licencia (E)SRS v3 es compatible con la transferencia de datos de uso de licencias a Dell EMC de productos Dell EMC. Estos productos se deben administrar mediante (E)SRS v3 y habilitar para que la


https://support.emc.com/products/31755_EMC-Secure-Remote-Services/Documentation


https://support.emc.com/products



inteligencia de uso envíe datos de uso. Dell EMC procesa datos de uso y proporciona informes de la inteligencia de uso que son visibles para los clientes y Dell EMC, a fin de rastrear el uso del producto y administrar el cumplimiento de normas de mejor manera.

Actualizaciones automáticas de software (software de gateway) (E)SRS v3 comprueba automáticamente si hay actualizaciones de software de gateway de Dell EMC (E)SRS VE y notifica a los usuarios por correo electrónico en cuanto están disponibles. Además, en el tablero de la interfaz del usuario web de (E)SRS v3, se muestran las últimas actualizaciones cuando están disponibles. Los usuarios pueden aplicar las actualizaciones cuando prefieran desde la interfaz del usuario web de (E)SRS v3.

Administración de transferencias de archivos (MFT) MFT es un mecanismo bidireccional de transferencia de archivos que se proporciona como parte de (E)SRS v3. Puede usar MFT para enviar o recibir archivos grandes, como archivos de registro, microcódigo, firmware, scripts o archivos de instalación de gran tamaño entre los productos y Dell EMC. Se utiliza un almacén de distribución para el almacenamiento provisional bidireccional de los archivos.

Soporte de transferencia de archivos administrados de Isilon (E)SRSEl soporte de la administración de transferencias de archivos (MFT) para OneFS permite a los clientes descargar archivos y actualizaciones sugeridos directamente desde Dell EMC Isilon mediante (E)SRS.

MFT no es una función con licencia de OneFS, pero requiere que (E)SRS esté habilitado.

En la actualidad, MFT solo está disponible en la CLI y se integra en el motor de trabajos de OneFS. No se descarga más de un archivo a la vez en el clúster. Los archivos pueden incluir paquetes, parches y scripts.

Puede utilizar el comando isi_job para ver los detalles del trabajo. Los datos de solución de problemas se escriben en los archivos de registro /var/log/isi_job_d.log y /var/log/isi_esrs_d.log. Utilice el comando isi esrs modify para ajustar las opciones de MFT que se enumeran en la siguiente tabla.

NOTA: Es posible que no sea necesario ajustar los valores predeterminados de los ajustes de descarga de MFT para las

opciones enumeradas en la siguiente tabla.

Tabla 2. Opciones de MFT que se pueden configurar

Opción de MFT Descripción

Descarga habilitada Se debe habilitar la descarga para utilizar MFT.

Período de tiempo de espera agotado de la descarga de archivos ESRS

Especifique la cantidad de segundos para que se complete la descarga de cada fragmento de archivo.

Reintentos de error de descarga de archivos ESRS Especifique la cantidad de reintentos antes de que se genere un error en el trabajo.

Tamaño del fragmento de descarga de archivos ESRS Configure el tamaño en KB para cada fragmento de archivo.

Límite del sistema de archivos para descargar ESRS Configure el límite del sistema de archivos (porcentaje) en el que MFT no enviará más archivos.

Utilice el comando isi esrs view para verificar que las opciones de MFT estén ajustadas correctamente. En la siguiente imagen, se muestra un ejemplo de la salida del comando:


Ilustración 1. La salida del comando isi esrs view

Utilice el comando isi esrs download start/ifs/<destination_location> para comenzar a descargar el archivo desde el almacén seguro. En la siguiente imagen, se muestra un ejemplo de la salida del comando:

NOTA: Un almacén seguro es un directorio específico del cliente que se encuentra en la infraestructura de back-end de

Dell EMC. Solo se otorga acceso a los usuarios que tienen asignados permisos para hacerlo.

Ilustración 2. La salida del comando isi esrs download start

Utilice el comando isi esrs download list para ver la lista de archivos que se descargarán. En la siguiente imagen, aparece un ejemplo de la salida del comando.

Utilice el comando isi job view para ver los detalles del trabajo. Se utiliza una suma de comprobación para verificar el contenido y la integridad del archivo después de descargarlo. Si la suma de comprobación falla, el archivo se coloca en cuarentena. En la siguiente imagen, se muestra un ejemplo de la salida del comando:


Ilustración 3. salida del comando isi job view

Utilice el comando isi job reports view para ver el estado del trabajo.

Ilustración 4. La salida del comando isi job reports view

Scripts de soporte remotoDespués de habilitar el soporte remoto a través de (E)SRS, el personal de soporte técnico de Isilon puede solicitar registros mediante scripts que permiten reunir datos del clúster y, a continuación, cargar estos datos.

Los scripts de soporte remoto que se basan en las herramientas de isi diagnostics gather start y isi diagnostics netlogger se ubican en el directorio de /ifs/data/Isilon_Support/ en cada nodo.

NOTA: Los comandos isi diagnostics gather y isi diagnostics netlogger reemplazan al comando

isi_gather_info.

Además, si (E)SRS se habilita, también se habilita isi_phone_home, una herramienta que se centra en los datos específicos de clúster y nodo. Esta herramienta está preconfigurada para enviar información acerca del clúster al soporte técnico de Isilon de forma semanal. Puede deshabilitar o habilitar isi_phone_home desde la interfaz de la línea de comandos de OneFS.

En las siguientes tablas se enumeran las actividades de recopilación de datos que ejecutan los scripts del soporte remoto. Estos scripts se pueden ejecutar automáticamente, a petición de un representante de soporte técnico de Isilon, para recopilar información acerca de los ajustes de configuración y de las operaciones del clúster. La información se envía a (E)SRS a través de la conexión segura de (E)SRS, de forma que esté disponible para que el personal de soporte técnico de Isilon la analice. Los scripts del soporte remoto no afectan los servicios del clúster ni la disponibilidad de datos.


Tabla 3. Los comandos y subcomandos para isi diagnostics gather

Comando Descripción

isi diagnostics gatherstart Comienza la recopilación y carga toda la información de registro reciente del clúster.

isi diagnostics gatherstop Detiene la recopilación de información del clúster.

isi diagnostics gatherstatus Proporciona el estado del clúster.

isi diagnostics gatherview Permite ver la información.

isi diagnostics gather settingsmodify --clear ftp host Borra el valor del host FTP donde realizará la carga.

isi diagnostics gather settingsmodify --clear ftp pass Borra el valor de contraseña de los usuarios del FTP.

isi diagnostics gather settingsmodify --clear ftp path Borra el valor de ruta en el servidor FTP para la carga.

isi diagnostics gather settingsmodify --clear ftp proxy

Borra el valor del servidor proxy del FTP.

isi diagnostics gather settingsmodify --clear ftp proxy port

Borra el valor del puerto del servidor proxy del FTP.

isi diagnostics gather settingsmodify --clear ftp ftp user

Borra el valor de los usuarios del FTP.

isi diagnostics gather settingsmodify --clear http host

Borra el valor del host HTTP en el que se realizará la carga.

isi diagnostics gather settingsmodify --clear htttp path

Borra el valor de la ruta para la carga.

isi diagnostics gather settingsmodify --clear htttp proxy

Borra el valor del proxy que se utilizará para la carga en HTTP.

isi diagnostics gather settingsmodify --clear htttp proxy port

Borra el valor del puerto de proxy que se utilizará para la carga en HTTP.

isi diagnostics gather settingsmodify --esrs Usa ESRS para la carga de recopilación.

isi diagnostics gather settingsmodify --ftp-host Utiliza el host FTP en el que se realizará la carga.

isi diagnostics gather settingsmodify --ftp-pass La contraseña de los usuarios del FTP.

isi diagnostics gather settingsmodify --ftp-path La ruta del servidor FTP para la carga.

isi diagnostics gather settingsmodify --ftp-proxy Servidor proxy para el FTP.

isi diagnostics gather settingsmodify --ftp-proxy-port

El puerto para el servidor proxy para el FTP.

isi diagnostics gather settingsmodify --ftp-upload Si desea usar la carga de FTP cuando se complete la recopilación.

isi diagnostics gather settingsmodify --ftp-user El usuario del FTP.

isi diagnostics gather settingsmodify --ftp-gather-mode

Tipo de recopilación: incremental o completa.

isi diagnostics gather settingsmodify --help Muestra la ayuda de este comando.

isi diagnostics gather settingsmodify --http-host El host de HTTP donde se realizará la carga.

isi diagnostics gather settingsmodify --http-path La ruta de la carga.

isi diagnostics gather settingsmodify --http-proxy El servidor proxy que se usará para la carga en HTTP.

isi diagnostics gather settingsmodify --http-proxy-port

El puerto proxy que se usará para la carga en HTTP.

isi diagnostics gather settingsmodify --http-upload Si desea usar la carga de HTTP cuando se complete la recopilación.

isi diagnostics gather settingsmodify --upload Habilita la recopilación de carga.


Tabla 4. Los comandos y subcomandos para isi diagnostics netlogger

Comando Descripción

isi diagnostics netloggerstart Comienza el proceso de netlogger.

isi diagnostics netloggerstop Detiene el proceso de netlogger.

isi diagnostics netloggerstatus Informa el estado de netlogger.

isi diagnostics netloggerview Permite ver los archivos de captura de netlogger.

isi diagnostics netlogger settings modify --clients

La dirección o las direcciones IP del cliente para las que se debe aplicar el filtro.

isi diagnostics netlogger settings modify --count

La cantidad de archivos de captura que se mantendrán cuando se alcance el límite de duración. El valor predeterminado para los tres últimos archivos.

isi diagnostics netlogger settings modify --duration

Cuánto tiempo se debe ejecutar la captura antes de rotar el archivo de captura. El valor predeterminado es de 10 minutos.

isi diagnostics netlogger settings modify --help Muestra la ayuda para este comando.

isi diagnostics netlogger settings modify --interfaces

Especifica las interfaces de red donde desea realizar las capturas.

isi diagnostics netlogger settings modify --nodelist

Lista de nodos donde se ejecuta la captura.

isi diagnostics netlogger settings modify --ports El puerto o los puertos de TCP o UDP a los que se debe aplicar el filtro.

isi diagnostics netlogger settings modify --protocols

Protocolos que se deben filtrar: TCP, UDP, IP y ARP.

isi diagnostics netlogger settings modify --snaplength

Especifique cuánto mostrar de la capacidad del paquete. El valor predeterminado es de 320 bytes, un valor de 0 muestra el paquete completo.

Tabla 5. Scripts de información del clúster

Acción Descripción

Clean watch folder Borra el contenido de /var/crash.

Get application data Recopila y carga la información sobre los programas de aplicaciones de OneFS.

Generate dashboard file daily Genera diariamente información del tablero.

Generate dashboard file sequence Genera información del tablero en el orden de aparición.

Get ABR data (as built record) Recopila información consolidada sobre el hardware.

Get ATA control and GMirror status Recopila el resultado del sistema e invoca un script cuando recibe un evento que corresponde a un eventid predeterminado.

Get cluster data Recopila y carga información sobre la configuración y las operaciones generales del clúster.

Get cluster events Obtiene el resultado de los eventos críticos existentes y carga la información.

Get cluster status Recopila y carga los detalles del estado del clúster.

Optional contact info Extrae información de contacto y carga un archivo de texto que lo contiene.

Get contents (var/crash) Carga el contenido de /var/crash.

Get job status Recopila y carga detalles de un trabajo que se está monitoreando.


Acción Descripción

Get domain data Recopila y carga información sobre la membresía en dominio de servicios de Active Directory (ADS) del clúster.

Get file system data Recopila y carga información sobre el estado del sistema de archivos de /ifs/ de OneFS.

Get IB data Recopila y carga información sobre la configuración y el funcionamiento de la red InfiniBand de back-end.

Get logs data Recopila y carga solo la información de registro más reciente del clúster.

Get messages Recopila y carga los archivos /var/log/messages activos.

Get network data Recopila y carga información acerca de los ajustes de configuración y las operaciones de la red específicos del nodo y generales del clúster.

Get NFS clients Ejecuta un comando para comprobar si los nodos se están utilizando como clientes NFS.

Get node data Recopila y carga información de configuración, estado y operacional específica del nodo.

Get protocol data Recopila y carga información de estado y ajustes de configuración de la red para los protocolos NFS, SMB, HDFS, FTP y HTTP.

Get Pcap client stats Recopila y carga estadísticas del cliente.

Get readonly status Advierte si el chasis está abierto y carga un archivo de texto con la información del evento.

Get usage data Recopila y carga información actual e histórica sobre el uso de los recursos y el rendimiento del nodo.

Habilitación y configuración de la compatibilidad con Secure Remote ServicesPuede habilitar la compatibilidad con Secure Remote Services ((E)SRS) en un clúster Isilon.

Instale y configure un servidor (E)SRS v3 para poder habilitar (E)SRS en un clúster Isilon. Para obtener información detallada sobre la instalación y actualización de (E)SRS v3, consulte la documentación de EMC Secure Remote Services. Los pools de la dirección IP que manejan las conexiones de gateway deben existir en el sistema y deben pertenecer a una subred en groupnet0, la groupnet predeterminada del sistema.

Si (E)SRS ya está habilitado en el clúster, seguirá en ejecución según su configuración. Sin embargo, para aprovechar las nuevas funciones y la funcionalidad ampliada disponible en (E)SRS para OneFS 8,1 y versiones posteriores, debe habilitar y configurar (E)SRS con los comandos isi esrs.

También es necesario que haya una licencia firmada en el clúster OneFS.

NOTA: El gateway de (E)SRS Virtual Edition ((E)SRS v3) no admite la instalación de software que no se haya incluido en

el dispositivo. Mientras el cliente tenga acceso completo al dispositivo, la carga de software adicional o la actualización

del software ya instalado puede requerir una reimplementación.

• Ejecute el comando isi esrs modify para habilitar y modificar la configuración de (E)SRS en el clúster OneFS:isi esrs modify --enabled=true --primary-esrs-gateway=<gateway server name> --gateway-access-pool=subnet0:pool0 --username <username> --password <password> Si el nombre de usuario o la contraseña son incorrectos o si el usuario no está registrado en Dell EMC, aparecerá un mensaje de error:

NOTA: Busque específicamente la sección u 'message': en la salida.

u'message': u'invalid username and password'



Ilustración 5. Error de nombre de usuario y contraseña no válidos• Si un archivo de licencia firmado no está activado en el clúster, siga las instrucciones que aparecen en Licensing. Aparece el siguiente

mensaje:

Your OneFS license is unsigned. To enable ESRS, you must first have a signed OneFS license.Siga las instrucciones que se proporcionan en la sección Licensing de esta guía para obtener una licencia firmada de OneFS y habilitar (E)SRS en el clúster OneFS.

• Cuando configure (E)SRS, se le solicitará el nombre de usuario y la contraseña.

Deshabilitación de la compatibilidad con (E)SRSPuede deshabilitar la compatibilidad con (E)SRS en el clúster Isilon.

Deshabilite (E)SRS en un clúster Isilon OneFS con el siguiente comando:

isi esrs modify -enabled=false

Visualización de los ajustes de configuración de (E)SRSPuede ver los ajustes de (E)SRS que se especifican en un clúster Isilon.

En la salida de los siguientes comandos, se incluyen los detalles de las puertas de enlace primarias y secundarias de (E)SRS ((E)SRS v3), el estado de SMTP (habilitado o deshabilitado) si la notificación por correo electrónico está habilitada para la conmutación por error, y los pools de acceso a la puerta de enlace.

Ejecute el comando isi esrs view para ver los detalles de la configuración de (E)SRS.


Zonas de accesoEsta sección contiene los siguientes temas:

Temas:

• Descripción general de las zonas de acceso• Reglas del directorio base• Mejores prácticas de zonas de acceso• Zonas de acceso en un clúster secundario de SyncIQ• Límites de zonas de acceso• Calidad del servicio• Control de acceso basado en funciones y zonas (zRBAC)• Proveedores de autenticación específicos de la zona• Administración de zonas de acceso

Descripción general de las zonas de accesoAunque la vista predeterminada de un clúster Isilon es la de una máquina física, es posible particionar un clúster en varios contenedores virtuales llamados zonas de acceso. Las zonas de acceso le permiten aislar los datos y controlar quién puede acceder a ellos en cada zona.

Las zonas de acceso admiten los ajustes de configuración para los servicios de administración de identidades y de autenticación de un clúster, de modo que pueda configurar los proveedores de autenticación y aprovisionar directorios de protocolos como los recursos compartidos de SMB y las exportaciones de NFS zona por zona. Al crear una zona de acceso, un proveedor local se crea automáticamente, lo que le permite configurar cada zona de acceso con una lista de usuarios y grupos locales. También puede autenticarse a través de un proveedor de autenticación diferente en cada zona de acceso.

Para controlar el acceso a los datos, se asocia la zona de acceso a un groupnet, que es un contenedor de redes de nivel superior que administra la configuración de conexión del cliente DNS y contiene las subredes y los pools de las direcciones IP. Cuando crea una zona de acceso, debe especificar una groupnet. Si no se especifica una groupnet, la zona de acceso hará referencia a la groupnet predeterminada. Varias zonas de acceso pueden hacer referencia a solo una groupnet. Puede dirigir las conexiones entrantes a la zona de acceso mediante un pool de direcciones IP específicas de la groupnet. La asociación de una zona de acceso con un pool de direcciones IP restringe la autenticación a la zona de acceso asociada y reduce la cantidad de recursos compartidos de SMB y exportaciones de NFS disponibles y accesibles.

Una ventaja de contar con varias zonas de acceso es la capacidad para configurar el acceso de protocolo de auditoría para las zonas de acceso individuales. Puede modificar la lista predeterminada de eventos de auditoría de protocolo satisfactorios y fallidos, y generar después informes a través de una herramienta de terceros para una zona de acceso individual.

Un clúster incluye una zona de acceso integrada llamada System, en la que administra todos los aspectos de un clúster y otras zonas de acceso. De forma predeterminada, todas las direcciones IP de clúster están conectadas con la zona System. El acceso basado en funciones, que permite principalmente acciones de configuración, está disponible solamente a través de la zona System. Todos los administradores, incluidos aquellos con privilegios determinados por una función, deben conectarse a la zona System para configurar un clúster. La zona System se configura automáticamente para hacer referencia a la groupnet predeterminada del clúster, que es groupnet0.

La administración de la configuración de una zona de acceso distinta de la zona System no se permite a través del protocolo SSH, la API de OneFS ni la interfaz de administración web. Sin embargo, puede crear y eliminar recursos compartidos de SMB en una zona de acceso a través de Microsoft Management Console (MMC).

Reglas del directorio baseUn directorio base define el árbol del sistema de archivos que una zona de acceso expondrá. La zona de acceso no puede otorgar acceso a ningún archivo fuera del directorio base. Debe asignar un directorio base a cada zona de acceso.

Los directorios base restringen las opciones de ruta de varias funciones, como los recursos compartidos de SMB, las exportaciones de NFS, el directorio raíz de HDFS y la plantilla del directorio principal del proveedor local. El directorio base de la zona de acceso System predeterminada es /ifs y no se puede modificar.

5

Zonas de acceso 79

Para lograr el aislamiento de datos dentro de una zona de acceso, se recomienda crear una ruta de directorio base única que no sea idéntica o que no se superponga con otro directorio base, a excepción de la zona de acceso System. Por ejemplo, no especifique /ifs/data/hr como el directorio base para las zonas de acceso zone2 y zone3; o, si /ifs/data/hr está asignado a zone2, no asigne /ifs/data/hr/personnel a zone3.

OneFS admite los datos superpuestos entre las zonas de acceso para los casos en los que los flujos de trabajo requieren datos compartidos; sin embargo, esto agrega complejidad a la configuración de la zona de acceso, lo que podría ocasionar problemas futuros con el acceso del cliente. Para obtener los mejores resultados de la superposición de datos entre zonas de acceso, recomendamos que las zonas de acceso también compartan los mismos proveedores de autenticación. Los proveedores compartidos garantizan que los usuarios tengan información de identidad coherente cuando accedan a los mismos datos a través de diferentes zonas de acceso.

Si no puede configurar los mismos proveedores de autenticación para las zonas de acceso con datos compartidos, se recomiendan las siguientes mejores prácticas:

• Seleccione Active Directory como el proveedor de autenticación en cada zona de acceso. Esto hace que los archivos almacenen SID únicos globalmente como la identidad en disco, lo que evita que los usuarios de diferentes zonas obtengan acceso a los datos de cada uno.

• Evite seleccionar local, LDAP y NIS como los proveedores de autenticación en las zonas de acceso. Estos proveedores de autenticación utilizan UID y GID, los que no tienen garantía de ser únicos en todo el mundo. Esto da como resultado una alta probabilidad de que los usuarios de diferentes zonas puedan acceder a los datos de los demás.

• Configure la identidad en disco en nativo o en SID preferentemente. Cuando existen mapeos de usuarios entre los usuarios de Active Directory y UNIX, o si la opción Services for Unix está habilitada para el proveedor de Active Directory, OneFS almacena los SID como la identidad en disco en lugar de UID.

Mejores prácticas de zonas de accesoPuede evitar los problemas de configuración que surgen en el clúster Isilon cuando se crean zonas de acceso siguiendo la guía de mejores prácticas.

Mejor práctica Detalles

Cree directorios base únicos. Para aislar los datos, la ruta del directorio base de cada zona de acceso debe ser única y no se debe superponer ni anidar en el directorio base de otra zona de acceso. La superposición se debe usar solo si los flujos de trabajo requieren datos compartidos.

Separe la función de la zona System de otras zonas de acceso. Reserve la zona System para acceder a la configuración y cree zonas adicionales para acceder a los datos. Transfiera los datos actuales fuera de la zona System a una nueva zona de acceso.

Cree zonas de acceso para aislar el acceso de diversos clientes o usuarios a los datos.

No cree zonas de acceso si un flujo de trabajo requiere el uso compartido de datos entre varias clases de clientes o usuarios.

Asigne solamente un proveedor de autenticación de cada tipo para cada zona de acceso.

Una zona de acceso está limitada a un solo proveedor de Active Directory; sin embargo, OneFS permite varios proveedores de autenticación LDAP, NIS y de archivos en cada zona de acceso. Se recomienda asignar solo un tipo de cada proveedor por zona de acceso para simplificar la administración.

Evite la superposición de rangos de UID o GID para los proveedores de autenticación en una misma zona de acceso.

Las probabilidades de que ocurran conflictos en la zona de acceso son escasas, pero pueden surgir si existen UID/GID superpuestos en la misma zona de acceso.

Zonas de acceso en un clúster secundario de SyncIQPuede crear zonas de acceso en un clúster secundario de SyncIQ utilizado para respaldo y recuperación de desastres, con algunas limitaciones.

Si tiene una licencia de SyncIQ activa, puede mantener un clúster Isilon secundario para fines de respaldo y conmutación por error en caso de que el servidor principal quede offline. Cuando ejecuta un trabajo de replicación en el servidor primario, se replican los datos en archivos al servidor de respaldo, incluidas las rutas de directorio y otros metadatos asociados con esos archivos.

80 Zonas de acceso

Sin embargo, los ajustes de configuración del sistema, como las zonas de acceso, no se replican en el servidor secundario. En un escenario de conmutación por error, probablemente sea conveniente que los ajustes de configuración de los clústeres primario y secundario sean similares o idénticos.

En la mayoría de los casos, incluso en las zonas de acceso, se recomienda que configure los ajustes del sistema antes de ejecutar un trabajo de replicación de SyncIQ. El motivo es que un trabajo de replicación coloca los directorios de destino en modo de solo lectura. Si intenta crear una zona de acceso en la que el directorio base ya está en modo de solo lectura, OneFS impide ejecutar esta acción y genera un mensaje de error.

Límites de zonas de accesoLas reglas de límites de zonas de acceso lo pueden ayudar a dimensionar las cargas de trabajo en el sistema OneFS.

Si configura varias zonas de acceso en un clúster Isilon, se recomienda seguir las reglas de límites para lograr el mejor rendimiento del sistema. Los límites que se describen en la publicación Guía de especificaciones técnicas de Isilon OneFS se recomiendan para los flujos de trabajo empresariales de gran actividad en un clúster, en el que se trata cada zona de acceso como un servidor físico independiente. Puede encontrar esta guía de especificaciones técnicas y la documentación relacionada con Isilon en Documentación de OneFS 8.1.0 - Centro de información de Isilon.

Calidad del servicioEs posible establecer límites superiores en la calidad del servicio asignando recursos físicos específicos a cada zona de acceso.

La calidad del servicio aborda las características de rendimiento del hardware físico que se pueden medir, mejorar y, algunas veces, garantizar. Las características que se miden para la calidad del servicio incluyen, entre otras, la velocidad de rendimiento, el uso del CPU y la capacidad del disco. Cuando se comparte hardware físico en un clúster Isilon entre varias instancias virtuales, se compite por los siguientes servicios:

• CPU• Memoria• Ancho de banda de red• I/O del disco• Capacidad del disco

Las zonas de acceso no proporcionan garantías de calidad lógica del servicio para estos recursos, pero los puede particionar entre las zonas de acceso de un solo clúster. La siguiente tabla describe algunas maneras para particionar los recursos con el fin de mejorar la calidad del servicio:

Usar Notas

NIC Puede asignar NIC específicas en nodos específicos a un pool de direcciones IP que esté asociado con una zona de acceso. Si asigna estas NIC, puede determinar los nodos y las interfaces que están asociadas con una zona de acceso. Esto permite la separación de CPU, memoria y ancho de banda de red.

SmartPools Los SmartPools están separados en clases de equivalencia de hardware de nodos, generalmente en varios niveles de rendimiento alto, medio y bajo. Los datos que se escriben en un SmartPool se escriben solamente en los discos de los nodos de ese pool.

Si asocia un pool de direcciones IP únicamente con los nodos de un solo SmartPool, es posible el particionamiento de los recursos de I/O del disco.

SmartQuotas Con SmartQuotas, puede limitar la capacidad del disco mediante un usuario o un grupo, o bien, en un directorio. Si aplica una cuota al directorio base de una zona de acceso, puede limitar la capacidad de disco utilizada en esa zona de acceso.

Zonas de acceso 81



Control de acceso basado en funciones y zonas (zRBAC)Puede asignar funciones y un subconjunto de privilegios a los usuarios en función de la zona de acceso.

El control de acceso basado en funciones (RBAC) admite la concesión de usuarios con privilegios y la posibilidad de ejecutar determinadas tareas. Las tareas se pueden realizar a través de la API de plataforma, como crear, modificar o ver exportaciones de NFS, recursos compartidos de SMB, proveedores de autenticación y varias configuraciones de clúster.

Es posible que los usuarios deseen realizar estas tareas dentro de una sola zona de acceso, lo que permite que un administrador local cree recursos compartidos de SMB para una zona de acceso específica, por ejemplo; sin embargo, no permite que el administrador modifique la configuración que afecta a otras zonas de acceso.

Antes de zRBAC, solo los usuarios de la zona de acceso del sistema recibían privilegios. Estos usuarios podían ver y modificar la configuración en todas las demás zonas de acceso. Por lo tanto, un usuario con un privilegio específico era un administrador global para la configuración a la que se podía acceder a través de ese privilegio.

zRBAC permite asignar funciones y un subconjunto de privilegios que se deben asignar en función de la zona de acceso. Las tareas administrativas que abarcan los privilegios de reconocimiento de zona se pueden delegar a un administrador de una zona de acceso específica. En consecuencia, podrá crear un administrador local que sea responsable de una sola zona de acceso. Un usuario en la zona de acceso del sistema puede afectar a todas las demás zonas de acceso y sigue siendo un administrador global.

Privilegios de zonas de acceso distintas de la zona SystemLos privilegios disponibles en las zonas de acceso distintas de la zona System se muestran en la siguiente tabla.

Privilegio Descripción

ISI_PRIV_AUDIT • Agregar o eliminar la zona de la lista de zonas auditadas• Ver o modificar los ajustes de auditoría específicos de la zona• Ver los ajustes de auditoría globales

ISI_PRIV_AUTH • Ver o editar la zona de acceso• Crear/modificar/ver funciones en la zona de acceso• Ver o modificar los ajustes de mapeo de autenticación de la zona• Ver los ajustes globales relacionados con la autenticación

ISI_PRIV_FILE_FILTER Utilizar todas las funcionalidades asociadas a este privilegio en su propia zona.

ISI_PRIV_HDFS Utilizar todas las funcionalidades asociadas a este privilegio en su propia zona.

ISI_PRIV_NFS • Ver los ajustes globales de NFS, pero no modificarlos.• De lo contrario, usar todas las funcionalidades asociadas a este privilegio en su propia zona.

ISI_PRIV_ROLE Utilizar todas las funcionalidades asociadas a este privilegio, pero solo en su propia zona.

ISI_PRIV_SMB • Ver los ajustes globales de SMB, pero no modificarlos.• De lo contrario, usar todas las funcionalidades asociadas a este privilegio en su propia zona.

ISI_PRIV_SWIFT Utilizar todas las funcionalidades asociadas a este privilegio en su propia zona.

ISI_PRIV_VCENTER Configurar VMware vCenter

ISI_PRIV_LOGIN_PAPI Acceder a la interfaz de usuario web desde una zona de acceso distinta de la zona System

ISI_PRIV_BACKUP Omitir las comprobaciones de permisos de archivos y otorgar todos los permisos de lectura.

ISI_PRIV_RESTORE Omitir las comprobaciones de permisos de archivos y otorgar todos los permisos de escritura.

ISI_PRIV_NS_TRAVERSE Recorrer y ver los metadatos del directorio dentro de la ruta base de la zona.

ISI_PRIV_NS_IFS_ACCESS Acceder a directorios dentro de la ruta base de la zona mediante RAN

82 Zonas de acceso

Funciones integradas en zonas distintas de la zona SystemEn una zona de acceso distinta de la zona System, se proporcionan dos funciones integradas. A continuación, se enumeran las funciones con sus privilegios:

Función Descripción Privilegios

ZoneAdmin Permite administrar los aspectos de configuración que se relacionan con la zona de acceso actual.

• ISI_PRIV_LOGIN_PAPI• ISI_PRIV_AUDIT• ISI_PRIV_FILE_FILTER• ISI_PRIV_HDFS• ISI_PRIV_NFS• ISI_PRIV_SMB• ISI_PRIV_SWIFT• ISI_PRIV_VCENTER• ISI_PRIV_NS_TRAVERSE• ISI_PRIV_NS_IFS_ACCESS

ZoneSecurityAdmin Permite administrar los aspectos de la configuración de seguridad que se relacionan con la zona de acceso actual.

• ISI_PRIV_LOGIN_PAPI• ISI_PRIV_AUTH• ISI_PRIV_ROLE

NOTA: Estas funciones no tienen usuarios predeterminados que se les asignen automáticamente.

Proveedores de autenticación específicos de la zonaInformación acerca de cómo funcionan los proveedores de autenticación con zRBAC.

Los proveedores de autenticación son objetos globales en un clúster OneFS. Sin embargo, como parte de la función zRBAC, un proveedor de autenticación está asociado implícitamente a la zona de acceso en la que se creó y tiene determinados comportamientos que se basan en esa asociación.

• Todas las zonas de acceso pueden ver y utilizar un proveedor de autenticación que se crea a partir de la zona System. Sin embargo, solo una solicitud de la zona de acceso System puede modificarlo o eliminarlo.

• Un proveedor de autenticación que se crea en una zona de acceso distinta de la zona System (o en nombre de ella) solo puede ser visto, modificado o eliminado por esa zona de acceso y la zona System.

• Un proveedor de autenticación local se crea implícitamente cada vez que se crea una zona de acceso, y se asocia a esa zona de acceso.

• Un proveedor de autenticación local para una zona de acceso distinta de la zona System ya no se puede utilizar en otra zona de acceso. Si desea compartir un proveedor de autenticación local entre las zonas de acceso, debe ser el proveedor local de la zona System.

• El nombre de un proveedor de autenticación sigue siendo global. Por lo tanto, los proveedores de autenticación deben tener nombres únicos. De este modo, no puede crear dos proveedores de LDAP denominados ldap5 en zonas de acceso diferentes, por ejemplo.

• El proveedor Kerberos solo se puede crear a partir de la zona de acceso System.• Es posible que, para crear dos proveedores de Active Directory (AD) distintos para el mismo AD, sea necesario el uso de la función de

instancias múltiples de AD. Para asignar un nombre único al proveedor de AD, use --instance.

Administración de zonas de accesoPuede crear zonas de acceso en el clúster Isilon, ver y modificar los ajustes de esas zonas, y eliminarlas.

Crear una zona de accesoPuede crear una zona de acceso para aislar los datos y restringir a los usuarios que pueden acceder a los datos.

Ejecute el comando isi zone zones create.

Zonas de acceso 83

El siguiente comando crea una zona de acceso denominada zone3 y establece el directorio base en /ifs/hr/data:

isi zone zones create zone3 /ifs/hr/data

El siguiente comando crea una zona de acceso denominada zone3, establece el directorio base en /ifs/hr/data y crea el directorio en el clúster, si aún no existe:

isi zone zones create zone3 /ifs/hr/data --create-path

El siguiente comando permite crear una zona de acceso denominada zone3, establecer el directorio base en /ifs/hr/data y asociar la zona de acceso a groupnet2:

isi zone zones create zone3 /ifs/hr/data --groupnet=groupnet2

Asignar un directorio base superpuestoPuede crear directorios base superpuestos entre las zonas de acceso para los casos donde los flujos de trabajo requieren datos compartidos.

Ejecute el comando isi zone zones create.El siguiente comando crea una zona de acceso denominada zone5 y establece el directorio base en /ifs/hr/data, aun cuando se estableció el mismo directorio base para zone3:

isi zone zones create zone5 --path=/ifs/hr/data --force-overlap

Administrar proveedores de autenticación en una zona de accesoPuede modificar una zona de acceso para agregar y eliminar proveedores de autenticación. Cuando agrega un proveedor de autenticación, este debe pertenecer a la misma groupnet a la que hace referencia la zona de acceso. Cuando elimina un proveedor de autenticación de una zona de acceso, el proveedor no se elimina del sistema y se mantiene disponible para uso futuro.

El orden en que los proveedores de autenticación se agregan a la zona de acceso designa el orden en que los proveedores se buscan durante la búsqueda de usuarios y autenticaciones.

1. Para agregar un proveedor de autenticación, ejecute el comando isi zone zones modify con la opción --add-auth-providers.

Debe especificar el nombre del proveedor de autenticación en el siguiente formato: <provider-type>:<provider-name>.

El siguiente comando agrega un proveedor de autenticación de archivos denominado HR-Users a la zona de acceso zone3:

isi zone zones modify zone3 --add-auth-providers=file:hr-users

2. Para eliminar un proveedor de autenticación, ejecute el comando isi zone zones modify con la opción --remove-auth-providers.

Debe especificar el nombre del proveedor de autenticación en el siguiente formato: <provider-type>:<provider-name>.

El siguiente comando elimina al proveedor de autenticación de archivos denominado HR-Users de la zona de acceso zone3:

isi zone zones modify zone3 --remove-auth-providers=file:hr-users

El siguiente comando elimina a todos los proveedores de autenticación de la zona de acceso zone3:

isi zone zones modify zone3 --clear-auth-providers

Asociar un pool de direcciones IP con una zona de accesoPuede asociar un pool de direcciones IP con una zona de acceso para asegurarse de que los clientes se puedan conectar solamente a la zona de acceso a través de las direcciones IP presentes en el pool.

El pool de direcciones IP debe pertenecer a la misma groupnet a la que hace referencia la zona de acceso.

Ejecute el comando isi network pools modify.

84 Zonas de acceso

Especifique el ID del pool que desea modificar en el siguiente formato:

<groupnet_name>.<subnet_name>.<pool_name>

El siguiente comando asocia zone3 con pool1 dentro de groupnet1 y subnet1:

isi network pools modify groupnet1.subnet1.pool1 --access-zone=zone3

Modificar una zona de accesoPuede modificar las propiedades de cualquier zona de acceso, con excepción del nombre de la zona System integrada.

Ejecute el comando isi zone zones modify.El siguiente comando cambia el nombre de la zona de acceso de zone3 a zone5 y elimina todos los proveedores de autenticación actuales de la zona de acceso:

isi zone zones modify zone3 --name=zone5 --clear-auth-providers

Eliminar una zona de accesoPuede eliminar cualquier zona de acceso, excepto la zona System integrada. Cuando elimina una zona de acceso, todos los proveedores de autenticación asociados permanecen disponibles para otras zonas de acceso, pero las direcciones IP no se reasignan a otras zonas de acceso. Los recursos compartidos de SMB, las exportaciones de NFS y las rutas de datos de HDFS se eliminan cuando se borra una zona de acceso; sin embargo, los directorios y los datos siguen existiendo y se pueden asignar nuevos recursos compartidos, exportaciones o rutas en otra zona de acceso.

Ejecute el comando isi zone zones delete.El siguiente comando elimina la zona de acceso zone3:

isi zone zones delete zone3

Ver una lista de las zonas de accesoPuede ver una lista de todas las zonas de acceso en un clúster o los detalles de una zona de acceso específica.

1. Para ver una lista de todas las zonas de acceso en el clúster, ejecute el siguiente comando isi zone zones list:


Name Path------------------------System /ifszone3 /ifs/hr/benefitszone5 /ifs/marketing/collateral------------------------

2. Para ver los detalles de una zona de acceso específica, ejecute el comando isi zone zones view y especifique el nombre de la zona.En el siguiente comando, se muestran los detalles de ajustes de zone5:

isi zone zones view zone5


Name: zone5 Path: /ifs/marketing/collateral Groupnet: groupnet0 Map Untrusted: - Auth Providers: lsa-local-provider:zone5 NetBIOS Name: - User Mapping Rules: -Home Directory Umask: 0077 Skeleton Directory: /usr/share/skel Cache Entry Expiry: 4H Zone ID: 3

Zonas de acceso 85

Creación de una o más zonas de accesoPuede crear una o más zonas de acceso.

1. Ejecute el comando isi zone zones create.Los siguientes comandos permiten crear tres zonas de acceso denominadas zone1, zone2 y zone3, además de establecer el directorio base en /ifs/access-zones/zone1,ifs/access-zones/zone2, and ifs/access-zones/zone3 y crear el directorio en el clúster, si aún no existe:

isi zone zones create zone1 /ifs/access-zones/zone1 --create-pathisi zone zones create zone2 /ifs/access-zones/zone2 --create-pathisi zone zones create zone3 /ifs/access-zones/zone3 --create-path

2. Ejecute el comando isi zone list para ver todas las zonas que ha creado:

isi zone listName Path------------------------------System /ifszone1 /ifs/access-zones/zone1zone2 /ifs/access-zones/zone2zone3 /ifs/access-zones/zone3------------------------------Total: 4

Creación de usuarios locales en una zona de accesoPuede crear usuarios locales para diferentes zonas de acceso.

1. Ejecute el comando isi auth users create.Los siguientes comandos permiten crean tres usuarios en cada zona de acceso.

isi auth users create z1-user1 --enabled yes --password a --zone zone1isi auth users create z1-user2 --enabled yes --password a --zone zone1isi auth users create z1-user3 --enabled yes --password a --zone zone1isi auth users create z2-user1 --enabled yes --password a --zone zone2isi auth users create z2-user2 --enabled yes --password a --zone zone2 isi auth users create z2-user3 --enabled yes --password a --zone zone2isi auth users create z3-user1 --enabled yes --password a --zone zone3isi auth users create z3-user2 --enabled yes --password a --zone zone3isi auth users create z3-user3 --enabled yes --password a --zone zone3

2. Ejecute el comando isi auth users list para ver todos los usuarios creados en zone1:

isi auth users list --zone zone1Name--------Guestz1-user1z1-user2z1-user3rootnobody--------Total: 6

NOTA: Para ver los usuarios en zone2 y zone3, utilice los comandos isi auth users list --zone zone2 y isi auth users list --zone zone3, respectivamente.

86 Zonas de acceso

Acceso a los archivos a través del acceso RESTful al espacio de nombres (RAN) en zonas no pertenecientes al sistemaPuede acceder a los datos en el sistema de archivos de OneFS mediante RAN.

1. Para acceder a un archivo, debe hacer una llamada HTTP a /namespace/<path>.

curl -u user:password -k https://cluster.ip.addr:8080/namespace/ifs/data/file.txt

2. Si accede a los archivos a través de una zona no perteneciente al sistema, el nombre de la ruta debe estar dentro de la ruta base de la zona de acceso mediante la cual se accede a los datos.Por ejemplo, si la dirección IP 1.2.3.4 se encuentra en zone2, que tiene una ruta base de /ifs/data/zone2, y se muestra el siguiente error:

NOTA: The user: password must be a valid user and password in access zone, zone2 in order to access RAN through

zone2.

# curl -u user:password -k 'https://1.2.3.4:8080/namespace/ifs/data/other-zone'

{"errors" : [

{"code" : "AEC_FORBIDDEN","message" : "Cannot access file/directory path outside base path of access zone"}]}

Zonas de acceso 87

https://cluster.ip.addr:8080/namespace/ifs/data/file.txt

AutenticaciónEsta sección contiene los siguientes temas:

Temas:

• Descripción general de la autenticación• Funciones de proveedor de autenticación• Descripción general del historial del identificador de seguridad (SID)• Proveedores de autenticación compatibles• Active Directory• LDAP• NIS• Autenticación Kerberos• Proveedor de archivos• Proveedor local• Autenticación de múltiples factores (MFA)• Active Directory con múltiples instancias• Claves públicas de LDAP• Administración de proveedores de Active Directory• Administración de proveedores de LDAP• Administración de proveedores de NIS• Administrar la autenticación MIT Kerberos• Administración de proveedores de archivos• Administración de usuarios y grupos locales• Autenticación y configuración de SSH

Descripción general de la autenticaciónPuede administrar los ajustes de autenticación del clúster, incluidos los proveedores de autenticación, los dominios de Active Directory, la autenticación de LDAP, NIS y Kerberos, los proveedores locales y de archivos, la autenticación de diversos factores y mucho más.

Funciones de proveedor de autenticaciónPuede configurar proveedores de autenticación para su ambiente.

Los proveedores de autenticación son compatibles con una variedad de funciones descritas en la siguiente tabla.


Autenticación Todos los proveedores de autenticación admiten la autenticación de texto sin formato. Puede configurar algunos proveedores para que admitan también la autenticación de NTLM o Kerberos.

Usuarios y grupos OneFS ofrece la capacidad de administrar usuarios y grupos directamente en el clúster.

Netgroups Específicos de NFS, los netgroups limitan el acceso a las exportaciones de NFS.

Propiedades de grupos y usuarios centradas en UNIX Shell de inicio de sesión, directorio de inicio, UID y GID. La información faltante se complementa con plantillas de configuración o proveedores de autenticación adicionales.

Propiedades de grupos y usuarios centradas en Windows SID y dominio NetBIOS. La información faltante se complementa con plantillas de configuración.

6

88 Autenticación

Descripción general del historial del identificador de seguridad (SID)El historial del SID conserva la membresía y los derechos de acceso de usuarios y grupos durante una migración de dominio de Active Directory.

El historial del identificador de seguridad (SID) conserva la membresía y los derechos de acceso de usuarios y grupos durante una migración de dominio de Active Directory. Cuando un objeto se traslada a un dominio nuevo, este genera a un SID nuevo con un prefijo único y registra la información de SID anterior en un campo LDAP. Este proceso garantiza que los usuarios y grupos conserven en el dominio nuevo los mismos privilegios y derechos de acceso que tenían en el dominio anterior.

Tenga en cuenta lo siguiente cuando trabaje con SID históricos.

• Use los SID históricos solo para mantener los privilegios de acceso y autenticación a archivos históricos.• No utilice SID históricos para agregar nuevos usuarios, grupos ni roles.• Utilice siempre el SID actual según lo definido por el dominio para modificar un usuario o para agregar un usuario a alguna función o

algún grupo.

Proveedores de autenticación compatiblesPuede configurar proveedores de autenticación remota y local para autenticar o denegar el acceso de usuarios a un clúster.

La siguiente tabla compara las funciones disponibles con cada uno de los proveedores de autenticación compatibles con OneFS. En la siguiente tabla, una x indica que una función es completamente compatible con un proveedor; un asterisco (*) indica que se requiere una configuración adicional o soporte de otro proveedor.

Proveedor de autenticación

NTLM Kerberos Administración de usuarios/grupos

Netgroups Propiedades de UNIX (RFC 2307)

Propiedades de Windows

Active Directory x x * x

LDAP * x x x *

NIS x x

Local x x x x

Archivo x x x

MIT Kerberos x * * *

Active DirectoryActive Directory es una implementación de Microsoft de las tecnologías del protocolo LDAP, Kerberos y DNS que puede almacenar información sobre los recursos de red. Active Directory puede desempeñar muchas funciones, pero la razón principal para unir el clúster a un dominio de Active Directory es ejecutar la autenticación de grupos y de usuarios.

Puede unir el clúster con un dominio de Active Directory (AD) mediante la especificación del nombre de dominio calificado, que se puede determinar en una dirección IPv4 o IPv6, y un nombre de usuario con permiso para unirse. Cuando el clúster se une a un dominio de AD, se crea una sola cuenta de máquina de AD. La cuenta de máquina establece una relación de confianza con el dominio y permite que el clúster autentique y autorice a los usuarios en el bosque de Active Directory. De manera predeterminada, la cuenta de máquina se denomina igual que el clúster. Si el nombre del clúster se compone de más de 15 caracteres, el nombre se trunca y se muestra una vez unido al dominio.

OneFS es compatible con NTLM y Microsoft Kerberos para la autenticación de usuarios del dominio de Active Directory. Las credenciales de cliente NTLM se obtienen del proceso de inicio de sesión y luego se presentan en un formato de reto/respuesta cifrado para la autenticación. Las credenciales de cliente de Microsoft Kerberos se obtienen en un centro de distribución de claves (KDC) y se presentan cuando se establecen las conexiones de servidores. Para obtener un mayor grado de seguridad y rendimiento, recomendamos implementar Kerberos, según las reglas de Microsoft, como el protocolo de autenticación primario para Active Directory.

Cada proveedor de Active Directory debe asociarse con una groupnet. La groupnet es un contenedor de redes de nivel superior que administra la resolución de nombre de host con servidores de nombres DNS y que contiene las subredes y los pools de direcciones IP. La groupnet especifica qué propiedades de red usará el proveedor de Active Directory al comunicarse con servidores externos. La groupnet asociada con el proveedor de Active Directory no se puede cambiar. En su lugar, debe eliminar el proveedor de Active Directory y volver a crearlo con la nueva groupnet asociada.

Autenticación 89

Puede agregar un proveedor de Active Directory a una zona de acceso como un método de autenticación para los clientes que se conectan por medio de esta zona. OneFS es compatible con varias instancias de Active Directory en un clúster Isilon; sin embargo, puede asignar solo un proveedor de Active Directory por cada zona de acceso. La zona de acceso y el proveedor de Active Directory deben hacer referencia a la misma groupnet. Configure varias instancias de Active Directory únicamente para otorgar acceso a varios conjuntos de dominios entre los que no existe una relación de confianza. De otro modo, configure una sola instancia de Active Directory si todos los dominios cuentan con una relación de confianza. Para interrumpir la autenticación a través de un proveedor de Active Directory, debe eliminarlo de todas las zonas de acceso asociadas.

LDAPEl protocolo ligero de acceso a directorios (LDAP) es un protocolo de red que le permite definir, consultar y modificar recursos y servicios de directorio.

OneFS puede autenticar usuarios y grupos con un repositorio LDAP a fin de otorgarles acceso al clúster. OneFS es compatible con la autenticación de Kerberos para un proveedor LDAP.

El servicio LDAP es compatible con las siguientes características:

• Usuarios, grupos y netgroups.• Esquemas LDAP que se pueden configurar. Por ejemplo, el esquema ldapsam posibilita la autenticación NTLM en el protocolo SMB

para usuarios con atributos similares a los de Windows.• Autenticación de vínculo simple, con y sin el protocolo TLS.• Redundancia y balanceo de carga en servidores con datos de directorios idénticos.• Varias instancias del proveedor LDAP para acceder a servidores con diferentes datos de usuario.• Contraseñas cifradas.• URI de servidor de IPv4 e IPv6.

Cada proveedor de LDAP debe asociarse con una groupnet. La groupnet es un contenedor de redes de nivel superior que administra la resolución de nombre de host con servidores de nombres DNS y que contiene las subredes y los pools de direcciones IP. La groupnet especifica qué propiedades de red usará el proveedor de LDAP cuando se comunique con servidores externos. La groupnet asociada con el proveedor de LDAP no se puede cambiar. En su lugar, debe eliminar el proveedor de LDAP y volver a crearlo con la nueva groupnet asociada.

Puede agregar un proveedor de LDAP a una zona de acceso como un método de autenticación para los clientes que se conectan por medio de la zona. Una zona de acceso puede incluir un proveedor de LDAP como máximo. La zona de acceso y el proveedor de LDAP deben hacer referencia a la misma groupnet. Para interrumpir la autenticación a través de un proveedor de LDAP, debe quitarlo de todas las zonas de acceso asociadas.

NISEl sistema de información de red (NIS) proporciona autenticación y uniformidad de la identidad en redes de área local. OneFS incluye un proveedor de autenticación NIS que le permite integrar el clúster con su infraestructura NIS.

NIS, diseñado por Sun Microsystems, puede autenticar usuarios y grupos cuando acceden al clúster. El proveedor NIS expone la contraseña, el grupo y los mapas de netgroup desde un servidor NIS. Las búsquedas de nombres de host también son compatibles. Puede especificar varios servidores para obtener redundancia y balanceo de carga.

Cada proveedor de NIS debe estar asociado con una groupnet. La groupnet es un contenedor de redes de nivel superior que administra la resolución de nombres de host según los servidores de nombres DNS y, además, contiene subredes y pools de direcciones IP. La groupnet especifica qué propiedades de red utilizará el proveedor de NIS al comunicarse con servidores externos. No se puede cambiar la groupnet asociada con el proveedor de NIS. En su lugar, debe eliminar el proveedor de NIS y volver a crearlo con la nueva asociación de groupnet.

Puede agregar un proveedor de NIS a una zona de acceso como un método de autenticación para clientes que se conectan a través de la zona de acceso. Una zona de acceso puede incluir un proveedor de NIS como máximo. La zona de acceso y el proveedor de NIS deben hacer referencia a la misma groupnet. Para interrumpir la autenticación a través de un proveedor de NIS, elimínelo de las zonas de acceso asociadas.

NOTA: NIS difiere de NIS+, el cual no es compatible con OneFS.

Autenticación KerberosKerberos es un proveedor de autenticación de redes que negocia el cifrado de vales para proteger una conexión. OneFS es compatible con los proveedores de autenticación Microsoft Kerberos y MIT Kerberos en un clúster. Si configura un proveedor de Active Directory, la compatibilidad con la autenticación de Microsoft Kerberos se brinda automáticamente. MIT Kerberos funciona independientemente de Active Directory.

90 Autenticación

Para la autenticación MIT Kerberos, debe definir un dominio administrativo conocido como realm. En este realm, un servidor de autenticación tiene la autoridad para autenticar un usuario, host o servicio; el servidor puede establecer direcciones IPv4 o IPv6. De manera opcional, puede definir un dominio Kerberos para permitir la asociación de extensiones de dominio adicionales con un realm.

El servidor de autenticación en un ambiente Kerberos se denomina centro de distribución de claves (KDC) y distribuye los vales cifrados. Cuando un usuario se autentica con un proveedor MIT Kerberos en un realm, se crea un vale cifrado con el nombre principal de servicio (SPN) del usuario, el que luego se valida a fin de transmitir de manera segura la identificación del usuario para el servicio solicitado.

Cada proveedor de MIT Kerberos debe asociarse con una groupnet. La groupnet es un contenedor de redes de nivel superior que administra la resolución de nombre de host con servidores de nombres DNS y que contiene las subredes y los pools de direcciones IP. La groupnet especifica qué propiedades de red usará el proveedor de Kerberos cuando se comunique con servidores externos. La groupnet asociada con el proveedor de Kerberos no se puede cambiar. En su lugar, debe eliminar el proveedor de Kerberos y volver a crearlo con la nueva groupnet asociada.

Puede agregar un proveedor de MIT Kerberos a una zona de acceso como un método de autenticación para los clientes que se conectan por medio de la zona. Una zona de acceso puede incluir un proveedor de MIT Kerberos como máximo. La zona de acceso y el proveedor de Kerberos deben hacer referencia a la misma groupnet. Para interrumpir la autenticación a través de un proveedor de MIT Kerberos, debe quitarlo de todas las zonas de acceso asociadas.

Descripción general de keytabs y SPNUn centro de distribución de claves (KDC) es un servidor de autenticación que almacena cuentas y keytabs para los usuarios que se conectan a un servicio de red en un clúster. Un keytab es una tabla de claves que almacena claves para validar y cifrar los vales de Kerberos.

Uno de los campos en una entrada de keytab es un nombre principal de servicio (SPN). Un SPN identifica una instancia de servicio única en un clúster. Cada SPN está asociado con una clave específica en el KDC. Los usuarios pueden usar el SPN y sus claves asociadas para obtener vales de Kerberos, lo que permite el acceso a diferentes servicios en el clúster. Un miembro de la función SecurityAdmin puede crear claves nuevas para los SPN y modificarlas más adelante, según sea necesario. Un SPN de un servicio generalmente aparece como <service>/<fqdn>@<realm>.

NOTA: Los SPN deben coincidir con el nombre de zona SmartConnect y el nombre de host del nombre de dominio

calificado del clúster. Si se modifica la configuración de la zona SmartConnect, debe actualizar los SPN en el clúster

para que coincidan con los cambios.

Compatibilidad con protocolo MIT KerberosMIT Kerberos admite ciertos protocolos de comunicación de red estándares como HTTP, HDFS y NFS. MIT Kerberos no es compatible con los protocolos SMB, SSH ni FTP.

Para la compatibilidad con el protocolo NFS, MIT Kerberos debe estar habilitado para una exportación y el proveedor Kerberos se debe incluir en la zona de acceso.

Proveedor de archivosUn proveedor de archivos le permite suministrar una fuente acreditada de otros fabricantes de información de usuarios y grupos a un clúster Isilon. Una fuente de otros fabricantes es útil en ambientes UNIX y Linux, que sincronizan archivos /etc/passwd, /etc/group y etc/netgroup en varios servidores.

Los archivos de base de datos /etc/spwd.db y /etc/group BSD estándares actúan como el área de almacenamiento de respaldo de proveedores de archivos en un clúster. Para generar el archivo spwd.db, ejecute el comando pwd_mkdb en la interfaz de la línea de comandos (CLI) de OneFS. Puede programar actualizaciones en los archivos de bases de datos.

En un clúster, un proveedor de archivos trunca contraseñas con libcrypt. Para optimizar la seguridad, se recomienda usar el formato de cifrado modular en el archivo de origen /etc/passwd para determinar el algoritmo de hash. OneFS es compatible con los siguientes algoritmos para el formato de cifrado modular:

• MD5• NT-Hash• SHA-256• SHA-512

Para obtener información sobre otros formatos de contraseña disponibles, ejecute el comando man 3 crypt en la CLI. Podrá visualizar las páginas de los manuales de cifrado.

Autenticación 91

NOTA: El proveedor de archivos del sistema integrado incluye servicios que se deben enumerar, administrar y autenticar

según cuentas del sistema, como la cuenta raíz, de administrador o de nadie. Se recomienda que no modifique el

proveedor de archivos del sistema.

Proveedor localEl proveedor local proporciona funcionalidades de búsqueda y de autenticación para las cuentas de usuario que agrega un administrador.

La autenticación local es útil cuando los servicios de directorio de Active Directory, LDAP o NIS no están configurados o cuando una aplicación o un usuario específicos necesitan acceder al clúster. Los grupos locales pueden incluir grupos integrados y grupos de Active Directory como miembros.

Además de configurar orígenes de autenticación basada en la red, puede administrar grupos y usuarios locales mediante la configuración de una política de contraseñas local para cada nodo en el clúster. La configuración de OneFS especifica la complejidad, la antigüedad y la reutilización de las contraseñas, además de las políticas de bloqueo por ingreso de contraseñas incorrectas.

Autenticación de múltiples factores (MFA)La autenticación de múltiples factores (MFA) es un método de control de acceso a la computadora en el que solo se otorga acceso después de presentar correctamente varios elementos de evidencia por separado a un mecanismo de autenticación. Por lo general, la autenticación utiliza al menos dos de las siguientes categorías: conocimientos (algo que conoce), posesión (algo que tiene) e inherencia (algo que usted es).

MFA es una excelente forma de mejorar la seguridad de un clúster. La mejora de la seguridad del acceso de cuenta privilegiado (por ejemplo, los administradores) a un clúster es la mejor forma de evitar el acceso no autorizado.

MFA permite que el demonio LSASS exija y acepte varias formas de credenciales que no sean una combinación de nombre de usuario o contraseña en algunas formas de autenticación. Existen muchas formas de implementar MFA; la más común es la autenticación de clave privada o pública.

La función MFA permite agregar compatibilidad con el sistema PAPI para la configuración de SSH, con claves públicas que se almacenan en el LDAP, y compatibilidad con la autenticación de múltiples factores para SSH a través de la plataforma de seguridad Duo. La MFA de Duo es compatible con la aplicación Duo, SMS y voz.

El uso de Duo requiere una cuenta con el servicio de Duo. Duo proporciona un host, ikey y skey que se utilizarán para la configuración (skey se debe tratar como una credencial segura).

La MFA de Duo es más importante que los requisitos de clave pública o contraseña existentes. Si el tipo de configuración de SSH se establece en Any o Custom, Duo no se puede configurar. Solo usuarios o grupos específicos pueden ser habilitados para omitir la MFA si se expresa en el servidor de Duo. Duo permite la creación de claves limitadas de omisión de una hora o de fechas y horas para un usuario específico. Además, las claves de omisión pueden ser permanentes.

Active Directory con múltiples instanciasSi es un administrador de zona local, puede crear su propia instancia de AD, incluso si la instancia de AD para el mismo dominio ya se creó globalmente o en otra zona de acceso.

Anteriormente, se habilitaba solo una conexión a Active Directory y el nombre del proveedor de Active Directory tenía que ser el mismo que el del dominio al que se estaba conectando. Con la introducción de los proveedores de autenticación de zona local, los administradores de zona local pueden crear su propio proveedor de Active Directory y modificar sus parámetros. Para hacerlo, debe realizar dos acciones:

• Crear un nuevo nombre de instancia para este proveedor• Crear una nueva cuenta de máquina para esta conexión de proveedor

Un proveedor de AD puede tener un nombre diferente del nombre de dominio usando -instance. Los comandos pueden usar el nombre de instancia para buscar el proveedor de AD específico. Cada zona de acceso puede tener solo un proveedor de AD.

Claves públicas de LDAPAhora puede utilizar las claves públicas SSH de LDAP, en lugar de la del directorio principal del usuario en el clúster OneFS.

Los comandos create y modify de LDAP son compatibles con la opción --ssh-public-key-attribute.

Puede ver la clave pública si agrega --show-ssh-key.

92 Autenticación

Se pueden especificar varias claves en la configuración de LDAP. Se utiliza la clave que corresponde a la clave privada presentada en la sesión SSH.

Sin embargo, necesita un directorio principal en el clúster o se puede generar un error cuando inicie sesión.

Administración de proveedores de Active DirectoryPuede ver, configurar, modificar y eliminar proveedores de Active Directory. OneFS incluye un archivo de configuración de Kerberos para Active Directory, además del archivo de configuración de Kerberos global. Ambos se pueden configurar mediante la interfaz de la línea de comandos. Para interrumpir la autenticación en un proveedor de Active Directory, debe eliminarlo de todas las zonas de acceso que lo usan.

Configurar un proveedor de Active DirectoryPuede configurar uno o más proveedores de Active Directory, cada uno de los cuales debe incorporarse a un dominio de Active Directory separado. De forma predeterminada, al configurar un proveedor de Active Directory, este se agrega automáticamente a la zona de acceso del sistema.

NOTA: Tenga en cuenta la siguiente información cuando configure un proveedor de Active Directory (AD):

• Cuando incorpore Active Directory desde OneFS, la hora del clúster se actualiza desde el servidor Active Directory,

siempre que no se haya configurado un servidor NTP para el clúster.

• El proveedor de Active Directory debe asociarse con una groupnet.

• El dominio de Active Directory se puede resolver en una dirección IPv4 o IPv6.

Ejecute el comando isi auth ads create para crear un proveedor de Active Directory mediante la especificación del nombre de dominio del servidor de Active Directory y el nombre de un usuario de AD con autorización para unir máquinas al dominio de AD.El siguiente comando especifica la dirección adserver.company.com como el nombre de dominio calificado del servidor de Active Directory que se creará en el sistema, especifica el administrador como el usuario de AD con autorización para unir el clúster al dominio de AD y asocia al proveedor con groupnet3:

isi auth ads create --name=adserver.company.com \ --user=administrator --groupnet=groupnet3

Modificar un proveedor de Active DirectoryPuede modificar los ajustes avanzados de un proveedor de Active Directory.

Ejecute el siguiente comando para modificar un proveedor de Active Directory, donde <provider-name> es un marcador de posición para el nombre del proveedor que desea modificar.

isi auth ads modify <provider-name>

Eliminar un proveedor de Active DirectoryCuando elimina un proveedor de Active Directory, está desconectando el clúster del dominio de Active Directory que está asociado con el proveedor, lo que interrumpe el servicio para los usuarios que acceden a él. Después de salir de un dominio de Active Directory, los usuarios ya no pueden acceder al dominio desde el clúster.

Ejecute el siguiente comando para eliminar un proveedor Active Directory, donde <name> es un marcador de posición que corresponde al nombre de Active Directory que desea eliminar.

isi auth ads delete <name>

Administración de proveedores de LDAPPuede ver, configurar, modificar y eliminar proveedores LDAP. Para interrumpir la autenticación en un proveedor LDAP, debe eliminarlo de todas las zonas de acceso que lo usan.

Autenticación 93

Configurar un proveedor de LDAPDe forma predeterminada, al configurar un proveedor de LDAP, este se agrega automáticamente a la zona de acceso del sistema.

Ejecute el comando isi auth ldap create para crear un proveedor de LDAP.El siguiente comando crea un proveedor de LDAP denominado test-ldap y lo asocia con groupnet3. El comando también establece un nombre distintivo base que especifica la raíz del árbol en el que se buscarán las identidades y especifica ldap://2001:DB8:170:7cff::c001 como la URI de servidor:

isi auth ldap create test-ldap \ --base-dn="dc=test-ldap,dc=example,dc=com" \ --server-uris="ldap://[2001:DB8:170:7cff::c001]" \ --groupnet=groupnet3

NOTA: El nombre distintivo base se especifica como una secuencia de valores de nombres distintivos relativos separados

por comas. Especifique un nombre distintivo base si el servidor LDAP permite consultas anónimas.

El siguiente comando crea un proveedor de LDAP denominado test-ldap y lo asocia con groupnet3. También especifica un nombre distintivo de vinculación y una contraseña de vinculación que se usan para unirse al servidor LDAP, y especifica ldap://test-ldap.example.com como la URI de servidor:

isi auth ldap create test-ldap \ --base-dn="dc=test-ldap,dc=example,dc=com" \ --bind-dn="cn=test,ou=users,dc=test-ldap,dc=example,dc=com" \ --bind-password="mypasswd" \ --server-uris="ldap://test-ldap.example.com" \ --groupnet=groupnet3

NOTA: El nombre distintivo de vinculación se especifica como una secuencia de valores de nombres distintivos relativos

separados por comas y debe contar con los permisos adecuados para unir el servidor LDAP al clúster. Especifique un

nombre distintivo de vinculación si el servidor LDAP no permite consultas anónimas.

Modificar un proveedor de LDAPPuede modificar cualquier parámetro de un proveedor de LDAP, excepto su nombre. Debe especificar al menos un servidor para poder habilitar el proveedor.

Ejecute el siguiente comando para modificar un proveedor LDAP, donde <provider-name> corresponde a un marcador de posición para el nombre del proveedor que desea modificar:

isi auth ldap modify <provider-name>

Eliminar un proveedor de LDAPCuando elimina un proveedor de LDAP, se elimina de todas las zonas de acceso. Como alternativa, puede dejar de usar un proveedor de LDAP eliminándolo de cada zona de acceso que lo contenga, de modo que el proveedor permanezca disponible para su futuro uso.

Para obtener información sobre los parámetros y las opciones disponibles para este procedimiento, ejecute el comando isi auth ldap delete --help.

Ejecute el siguiente comando para eliminar un proveedor LDAP, donde <name> es un marcador de posición correspondiente al nombre del proveedor LDAP que desea eliminar.

isi auth ldap delete <name>

Administración de proveedores de NISPuede ver, configurar y modificar proveedores de NIS o eliminar proveedores que ya no sean necesarios. Para interrumpir la autenticación en un proveedor de NIS, debe eliminarlo de todas las zonas de acceso que lo usan.

94 Autenticación

Configurar un proveedor de NISPuede configurar varios proveedores de NIS, cada uno con sus propios ajustes, y agregarlos a una o varias zonas de acceso.

Configure un proveedor de NIS mediante la ejecución del comando isi auth nis create.El siguiente ejemplo crea un proveedor de NIS llamado nistest que está asociado con groupnet3 y especifica nistest.company.com como el servidor NIS y company.com como el dominio:

isi auth nis create nistest --groupnet=groupnet3\--servers="nistest.example.com" --nis-domain="example.com"

Modificar un proveedor de NISPuede modificar cualquier parámetro de un proveedor de NIS, excepto su nombre. Debe especificar al menos un servidor para poder habilitar el proveedor.

Ejecute el siguiente comando para modificar un proveedor NIS, donde <provider-name> es un marcador de posición que corresponde al proveedor que desea modificar.

isi auth nis modify <provider-name>

Eliminar un proveedor de NISCuando elimina un proveedor de NIS, se elimina de todas las zonas de acceso. Como alternativa, puede dejar de usar un proveedor de NIS eliminándolo de cada zona de acceso que lo contenga, de modo que el proveedor permanezca disponible para su futuro uso.

Ejecute el siguiente comando para eliminar un proveedor de NIS, donde <name> es un marcador de posición correspondiente al nombre del proveedor de NIS que desea eliminar.

isi auth nis delete <name>

Administrar la autenticación MIT KerberosPuede configurar un proveedor MIT Kerberos para la autenticación sin Active Directory. Configurar un proveedor MIT Kerberos involucra la creación de un realm MIT Kerberos, la creación de un proveedor y la unión a un realm predefinido. De manera opcional, puede configurar un dominio MIT Kerberos para el proveedor. También puede actualizar las claves de cifrado si hay cambios en la configuración del proveedor Kerberos. Puede incluir al proveedor en una o más zonas de acceso.

Administración de realms MIT KerberosUn realm MIT Kerberos es un dominio administrativo que define los límites dentro de los cuales un servidor de autenticación tiene la autoridad de autenticar un usuario o servicio. Puede crear, ver, editar o eliminar un realm. Una mejor práctica consiste en especificar un nombre de realm con caracteres en mayúscula.

Crear un realm MIT KerberosPuede crear un realm MIT Kerberos definiendo un centro de distribución de claves (KDC) y un servidor administrativo.

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para crear un realm MIT Kerberos.

Ejecute el comando isi auth krb5 realm create para crear un realm MIT Kerberos.El siguiente comando crea un realm MIT Kerberos denominado TEST.COMPANY.COM, especifica a admin.test.company.com como el servidor administrativo y especifica keys.test.company.com como el centro de distribución de claves:

isi auth krb5 realm create --realm=TEST.COMPANY.COM \ --kdc=keys.test.company.com --admin-server=admin.test.company.com

El nombre del realm distingue mayúsculas de minúsculas y se debe especificar en letras mayúsculas. El servidor administrativo y el centro de distribución de claves se pueden especificar como una dirección IPv4, una dirección IPv6 o un nombre de host.

Autenticación 95

Modificar un realm MIT KerberosPuede modificar un realm MIT Kerberos modificando el centro de distribución de claves (KDC), el dominio (opcional) y la configuración administrativa del servidor para ese realm.

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para eliminar un proveedor MIT Kerberos.

Ejecute el comando isi auth krb5 realm modify para modificar un realm MIT Kerberos.El siguiente comando modifica el realm MIT Kerberos denominado TEST.COMPANY.COM agregando un KDC especificado como una dirección IPv6:

isi auth krb5 realm modify --realm=TEST.COMPANY.COM \ --kdc=2001:DB8:170:7cff::c001

El nombre del realm distingue mayúsculas de minúsculas y se debe especificar en letras mayúsculas. El centro de distribución de claves se puede especificar como una dirección IPv4, una dirección IPv6 o un nombre de host.

Ver un realm MIT KerberosPuede ver la información relacionada con el nombre, los centros de distribución de claves (KDC) y el servidor administrativo asociado con un realm MIT Kerberos.

1. Para ver una lista de todos los realms Kerberos configurados en el clúster, ejecute el comando isi auth krb5 realm list.


Realm---------------TEST.COMPANY.COMENGKERB.COMPANY.COMOPSKERB.COMPANY.COM---------------Total: 3

2. Para ver los detalles de configuración de un realm Kerberos específico, ejecute el comando isi auth krb5 realm view, seguido por el nombre del realm.

El nombre del realm especificado distingue mayúsculas de minúsculas.

El siguiente comando muestra los detalles de configuración del realm llamado TEST.COMPANY.COM:

isi auth krb realm view TEST.COMPANY.COM

Los sistemas muestran un resultado similar al siguiente ejemplo:

Realm: TEST.COMPANY.COMIs Default Realm: Yes KDC: 2001:DB8:170:7cff::c001, keys.test.company.com Admin Server: admin.test.company.com

NOTA: El KDC y el servidor administrativo se pueden especificar como una dirección IPv4 o IPv6, o como un nombre

de host.

Eliminar un realm MIT KerberosPuede eliminar uno o más realms MIT Kerberos y todos los dominios MIT Kerberos asociados.

Los proveedores de Kerberos hacen referencia a los realms de Kerberos. Antes de poder eliminar un realm para el que ha creado un proveedor, primero debe eliminar a ese proveedor.

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para eliminar un realm MIT Kerberos.

Ejecute el comando isi auth krb5 realm delete para eliminar un realm MIT Kerberos.

Por ejemplo, ejecute el siguiente comando para eliminar un realm:

isi auth krb5 realm delete <realm>

96 Autenticación

Administración de proveedores MIT KerberosPuede crear, ver, eliminar o modificar un proveedor MIT Kerberos. También puede configurar los ajustes del proveedor Kerberos.

Creación de un proveedor MIT KerberosPara crear un proveedor MIT Kerberos, obtenga las credenciales para acceder a un clúster a través del centro de distribución de claves (KDC) del realm Kerberos. Este proceso también se conoce como incorporación a un realm. Así, cuando crea un proveedor Kerberos, también se une a un realm que se ha definido anteriormente.

Dependiendo de la forma en que OneFS administra su ambiente Kerberos, puede crear un proveedor Kerberos a través de uno de los siguientes métodos:

• Acceder al servidor de administración Kerberos y crear claves para los servicios en el clúster OneFS.• Transferir manualmente la información clave de Kerberos en forma de keytabs.

Crear un proveedor MIT Kerberos y unirse a un realm con credenciales de administradorPuede crear un proveedor MIT Kerberos y unirse a un realm MIT Kerberos con las credenciales autorizadas para acceder al servidor de administración de Kerberos. Después de eso, puede crear claves para los diferentes servicios en el clúster. Este es el método recomendado para crear un proveedor Kerberos y unirse a un realm Kerberos.

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para acceder al servidor de administración de Kerberos.

Ejecute el comando isi auth krb5 create para crear un proveedor Kerberos y unirse a un realm Kerberos, donde <realm> es el nombre del realm Kerberos que ya existe o que se crea si no existe:

El nombre del realm distingue mayúsculas de minúsculas y se debe especificar en letras mayúsculas.

En el siguiente comando de ejemplo, se crea el realm Kerberos TEST.COMPANY.COM y se une al proveedor, que está asociado a groupnet3. El comando también especifica admin.test.company.com como el servidor administrativo y keys.test.company.com como el centro de distribución de claves (KDC). También especifica un nombre de usuario y una contraseña que cuentan con autorización para acceder al servidor de administración:

isi auth krb5 create --realm=TEST.COMPANY.COM \--user=administrator --password=secretcode \--kdc=keys.test.company.com \--admin-server=admin.test.company.com \--groupnet=groupnet3

NOTA: El KDC y el servidor administrativo se pueden especificar como una dirección IPv4 o IPv6, o un nombre de host.

Crear un proveedor MIT Kerberos y unirse a un realm con un archivo keytabPuede crear un proveedor MIT Kerberos y unirse a un realm MIT Kerberos a través de un archivo keytab. Siga este método solo si su ambiente Kerberos se administra mediante la transferencia manual de información clave de Kerberos a través de los archivos keytab.

Asegúrese de que se cumplan los siguientes requisitos previos:

• El realm Kerberos ya debe existir en el clúster.• Un archivo keytab debe existir en el clúster.• Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para acceder al servidor de administración de Kerberos.

Ejecute el comando isi auth krb5 create.El siguiente comando crea un proveedor Kerberos que se asocia con groupnet3, se une al realm Kerberos denominado cluster-name.company.com y especifica un archivo keytab ubicado en /tmp/krb5.keytab:

isi auth krb5 create cluster-name.company.com \--keytab-file=/tmp/krb5.keytab --groupnet=groupnet3

Ver un proveedor MIT KerberosPuede ver las propiedades de un proveedor MIT Kerberos después de crearlo.

Ejecute el siguiente comando para ver las propiedades de un proveedor Kerberos:

isi auth krb5 view <provider-name>

Autenticación 97

Enumerar a los proveedores MIT KerberosPuede enumerar a uno o más proveedores MIT Kerberos y mostrar la lista en un formato específico. También puede especificar un límite para la cantidad de proveedores que se mostrarán.

Ejecute el comando isi auth krb5 list para enumerar a uno o más proveedores Kerberos.

Por ejemplo, ejecute el siguiente comando para enumerar los primeros cinco proveedores Kerberos en un formato tabular, sin encabezados ni pies de página:

isi auth krb5 list -l 5 --format table --no-header --no-footer

Eliminar un proveedor MIT KerberosPuede eliminar un proveedor MIT Kerberos y quitarlo de todas las zonas de acceso de referencia. Cuando elimina un proveedor, también sale de un realm MIT Kerberos.

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para eliminar un proveedor Kerberos.

Ejecute el comando isi auth krb5 delete de la siguiente manera para eliminar un proveedor Kerberos.

isi auth krb5 delete <provider-name>

Configurar los ajustes del proveedor MIT KerberosPuede configurar los ajustes de un proveedor Kerberos para permitir que los registros de DNS ubiquen el centro de distribución de claves (KDC), los realms de Kerberos y los servidores de autenticación asociados con un realm Kerberos. Estos ajustes son globales para todos los usuarios Kerberos en todos los nodos, servicios y zonas. Algunos ajustes se aplican solo a Kerberos del lado del cliente y son independientes del proveedor Kerberos.

Debe ser miembro de una función que tenga privilegios ISI_PRIV_AUTH para ver o modificar la configuración de un proveedor Kerberos.

1. Ejecute el comando isi auth settings krb5 con el subcomando view o modify.

2. Especifique los ajustes que se deben modificar.

Administración de los dominios de MIT KerberosDe manera opcional, puede definir dominios MIT Kerberos para permitir que las extensiones de dominio adicionales se asocien a un realm MIT Kerberos. Siempre puede especificar un dominio predeterminado para un realm.

Puede crear, modificar, eliminar y ver un dominio MIT Kerberos. Un nombre de dominio Kerberos es un sufijo de DNS que se suele especificar mediante caracteres en minúscula.

Agregar un dominio MIT Kerberos a un realmDe manera opcional, puede agregar un dominio MIT Kerberos a un realm MIT Kerberos para habilitar extensiones adicionales del dominio Kerberos que se pueden asociar con un realm Kerberos.

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para asociar un dominio Kerberos con un realm Kerberos.

Agregue un dominio Kerberos ejecutando el comando isi auth krb5 domain create.

Por ejemplo, ejecute el siguiente comando para agregar un dominio Kerberos a un realm Kerberos:

isi auth krb5 domain create <domain>

Modificar un dominio MIT KerberosPuede modificar un dominio MIT Kerberos si modifica los ajustes del realm.

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para modificar un dominio MIT Kerberos.

Ejecute el comando isi auth krb5 domain modify para modificar un dominio Kerberos.

Por ejemplo, ejecute el siguiente comando para modificar un dominio Kerberos especificando un realm Kerberos alternativo:

isi auth krb5 domain modify <domain> --realm <realm>

98 Autenticación

Ver un mapeo de dominio MIT KerberosPuede ver las propiedades del mapeo de un dominio MIT Kerberos.

Ejecute el comando isi auth krb5 domain view con un valor especificado para la variable <domain> a fin de ver las propiedades de un mapeo de dominio Kerberos:

isi auth krb5 domain view <domain>

Enumerar los dominios MIT KerberosPuede enumerar uno o más dominios MIT Kerberos y mostrar la lista en un formato tabular, JSON, CSV o de lista. También puede especificar un límite para la cantidad de dominios que se mostrarán.

Ejecute el comando isi auth krb5 domain list para enumerar a uno o más dominios MIT Kerberos.

Por ejemplo, ejecute el siguiente comando para enumerar los primeros diez dominios MIT Kerberos en un formato tabular, sin encabezados ni pies de página:

isi auth krb5 domain list -l=10 --format=table --no-header --no-footer

Eliminar el mapeo de un dominio MIT KerberosPuede eliminar uno o más mapeos del dominio MIT Kerberos.

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para eliminar un mapeo de dominio MIT Kerberos.

Ejecute el comando isi auth krb5 domain delete para eliminar un mapeo de dominio MIT Kerberos.

Por ejemplo, ejecute el siguiente comando para eliminar un mapeo de dominio:

isi auth krb5 domain delete <domain>

Administración de SPN y clavesEl nombre principal de servicio (SPN) es el nombre al que hace referencia un cliente para identificar la instancia de un servicio en un clúster. Un proveedor MIT Kerberos autentica los servicios en un clúster a través de los SPN.

Puede realizar las siguientes operaciones en los SPN y sus claves asociadas:

• Actualizar los SPN si hay modificaciones a la configuración de la zona SmartConnect que está basada en esos SPN• Enumerar los SPN registrados para compararlos con una lista de los SPN descubiertos• Actualizar las claves asociadas con los SPN de forma manual o automática• Importar claves de una tabla keytab• Eliminar versiones de clave específicas o eliminar todas las claves asociadas con un SPN

Ver SPN y clavesPuede ver los nombres principales de servicio (SPN) y sus claves asociadas registrados para un proveedor MIT Kerberos. Los clientes obtienen vales de Kerberos y acceden a los servicios de los clústeres a través de los SPN y sus claves asociadas.

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para ver los SPN y las claves.

Ejecute el comando isi auth krb5 spn list para enumerar uno o más SPN y las claves asociadas, más los números de versión de las claves (Kvnos).

Por ejemplo, ejecute el siguiente comando para enumerar los primeros cinco SPN de un proveedor MIT Kerberos en un formato tabular, sin encabezados ni pies de página:

isi auth krb5 list <provider-name> -l 5 --format table --no-header --no-footer <spn-list>

Eliminar clavesPuede eliminar versiones de clave específicas o todas las claves asociadas con un nombre principal de servicio (SPN).

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para eliminar las claves.

Autenticación 99

Después de crear nuevas claves por motivos de seguridad o para que coincidan los cambios en la configuración, siga este procedimiento para eliminar versiones anteriores de las claves y así evitar completar la tabla keytab con claves redundantes.

Ejecute el comando isi auth krb5 spn delete para eliminar todas las claves de un SPN especificado o la versión específica de una clave.Por ejemplo, ejecute el siguiente comando para eliminar todas las claves asociadas con un SPN para un proveedor MIT Kerberos:

isi auth krb5 spn delete <provider-name> <spn> --all

<provider-name> es el nombre del proveedor MIT Kerberos. Puede eliminar una versión específica de la clave especificando un valor de número de versión de la clave para el argumento kvno e incluir ese valor en la sintaxis del comando.

Agregar o actualizar manualmente una clave para un SPNPuede agregar o actualizar manualmente claves para un nombre principal de servicio (SPN). Este proceso crea una nueva clave para el SPN especificado.

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para agregar o actualizar una clave para un SPN.

Ejecute el comando isi auth krb5 spn create para agregar o actualizar claves para un SPN.

Por ejemplo, ejecute el siguiente comando para agregar o actualizar una clave para un SPN especificando los argumentos posicionales <provider-name>, <user> y <spn>:

isi auth krb5 spn create <provider-name> <user> <spn>

Actualización automática de un SPNPuede actualizar o agregar automáticamente un nombre principal de servicio (SPN) si está registrado con un proveedor MIT Kerberos, pero no aparece en la lista de SPN descubiertos.

Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para actualizar automáticamente un SPN.

1. Ejecute el comando isi auth krb5 spn check para comparar la lista de SPN registrados con respecto a la lista de SPN descubiertos.

Continúe con el siguiente paso si la comparación no muestra resultados similares.

2. Ejecute el comando isi auth krb5 spn fix para reparar los SPN faltantes.

Por ejemplo, ejecute el siguiente comando para agregar SPN faltantes a un proveedor de servicios MIT Kerberos:

isi auth krb5 spn fix <provider-name> <user>

De manera opcional, puede especificar una contraseña para <user>, que es el marcador de posición para un usuario que cuenta con el permiso para unir clientes a un dominio determinado.

Importación de un archivo keytabEs posible que un proveedor MIT Kerberos que se unió a través de un archivo keytab existente no tenga la capacidad para administrar claves con las credenciales de administrador de Kerberos. En ese caso, importe un nuevo archivo keytab y luego agregue las claves del archivo keytab al proveedor.

Asegúrese de cumplir con los siguientes requisitos previos antes de importar un archivo keytab:

• Debe crear y copiar un archivo keytab en un nodo del clúster donde realizará este procedimiento.• Debe ser miembro de una función que tenga los privilegios ISI_PRIV_AUTH para importar un archivo keytab.

Importe las claves de un archivo keytab ejecutando el comando isi auth krb5 spn import.

Por ejemplo, ejecute el siguiente comando para importar las claves de <keytab-file> al proveedor al que se hace referencia como <provider-name>:

isi auth krb5 spn import <provider-name> <keytab-file>

100 Autenticación

Administración de proveedores de archivosPuede configurar uno o más proveedores de archivos, cada uno con su propia combinación de archivos de sustitución, para cada zona de acceso. Los archivos de base de datos de contraseña, que también se denominan archivos de base de datos de usuario, deben estar en formato binario.

Cada proveedor de archivos sustrae directamente hasta tres archivos de base de datos de reemplazo: un archivo de grupo que posea el mismo formato que /etc/group; un archivo netgroup; y un archivo de contraseña binario, spwd.db, que proporciona acceso rápido a los datos de un archivo con el formato /etc/master.passwd. Debe copiar los archivos de reemplazo en el clúster y hacer referencia a estos mediante su ruta de directorio.

NOTA: Si los archivos de reemplazo se ubican fuera del árbol de directorios /ifs, debe distribuirlos manualmente a cada

nodo del clúster. Los cambios que se realizan en los archivos del proveedor del sistema se distribuyen automáticamente

en el clúster.

Configurar un proveedor de archivosPuede especificar archivos de sustitución para cualquier combinación de usuarios, grupos o netgroups.

Ejecute el siguiente comando para configurar un proveedor de archivos, donde <name> es el nombre del proveedor de archivos.

isi auth file create <name>

Generar un archivo de contraseñaLos archivos de base de datos de contraseña, que también se denominan archivos de base de datos de usuario, deben estar en formato binario.

Este procedimiento debe realizarse a través de la interfaz de la línea de comandos (CLI). Para obtener las reglas de uso de comandos, ejecute el comando man pwd_mkdb.

1. Establezca una conexión SSH a cualquier nodo del clúster.

2. Ejecute el comando pwd_mkdb<file>, donde <file> corresponde a la ubicación del archivo de contraseña de origen.

NOTA: De forma predeterminada, el archivo de contraseña binario spwd.db se crea en el directorio /etc. Para

reemplazar la ubicación y almacenar el archivo spwd.db especifique la opción -d con un directorio de destino

diferente.

El siguiente comando genera un archivo spwd.db en el directorio /etc a partir de un archivo de contraseña ubicado en /ifs/test.passwd:

pwd_mkdb /ifs/test.passwd

El siguiente comando genera un archivo spwd.db en el directorio /ifs a partir de un archivo de contraseña ubicado en /ifs/test.passwd:

pwd_mkdb -d /ifs /ifs/test.passwd

Modificar un proveedor de archivosPuede modificar cualquier configuración de un proveedor de archivos, incluido su nombre.

NOTA: Si bien puede cambiar el nombre de un proveedor de archivos, hay dos advertencias: puede cambiar el nombre de

un proveedor de archivos únicamente mediante la interfaz de administración web y no puede cambiar el nombre del

proveedor de archivos System.

Ejecute el siguiente comando para modificar un proveedor de archivos, donde <provider-name> es un marcador de posición correspondiente al nombre que proporcionó para el proveedor.

isi auth file modify <provider-name>

Autenticación 101

Eliminar un proveedor de archivosPara dejar de utilizar un proveedor de archivos, puede eliminar todos los ajustes de su archivo de reemplazo o puede eliminar permanentemente el proveedor.

NOTA: No puede eliminar el proveedor de archivos System.

Ejecute el siguiente comando para eliminar un proveedor de archivos, donde <name> es un marcador de posición correspondiente al nombre del proveedor que desea eliminar.

isi auth file delete <name>

Formato de archivo de contraseñaEl proveedor de archivos utiliza un archivo de contraseña binario de la base de datos, spwd.db. Para generar un archivo de contraseña binario a partir de un archivo con formato master.passwd, ejecute el comando pwd_mkdb.

El archivo master.passwd se compone de 10 campos separados por dos puntos, como se puede ver en el siguiente ejemplo:

admin:*:10:10::0:0:Web UI Administrator:/ifs/home/admin:/bin/zsh

Los campos se definen a continuación en el orden en el que aparecen en el archivo.

NOTA: Los sistemas de UNIX suelen definir el formato passwd como una subred de estos campos y omiten los campos

Class, Change y Expiry. Para convertir un archivo del formato passwd al formato master.passwd, agregue :0:0: entre

los campos GID y Gecos.

Nombre de usuario El nombre de usuario. Este campo distingue entre mayúsculas y minúsculas. OneFS no limita la longitud; sin embargo, muchas aplicaciones truncan el nombre para que se componga de 16 caracteres.

Contraseña La contraseña cifrada del usuario. Si no se requiere la autenticación para el usuario, puede reemplazar la contraseña con un asterisco (*). Está garantizado que el carácter de asterisco no coincidirá con ninguna contraseña.

UID El identificador de usuario de UNIX. Este valor debe ser un número en el rango de 0-4294967294 que no esté reservado ni que ya se haya asignado a un usuario. Los problemas de compatibilidad suceden si este valor entra en conflicto con un UID de cuenta existente.

GID El ID de grupo del grupo primario del usuario. Todos los usuarios son miembros de al menos un grupo, el cual se utiliza para los controles de acceso y en la creación de archivos.

Clase Este campo no es compatible con OneFS y debería quedar en blanco.

Cambio OneFS no es compatible con la modificación de las contraseñas de usuarios en el proveedor de archivos. Este campo se ignora.

Expiry OneFS no es compatible con el vencimiento de cuentas de usuario en el proveedor de archivos. Este campo se ignora.

Gecos Este campo puede almacenar información variada, pero generalmente se utiliza para almacenar el nombre completo del usuario.

Inicio La ruta absoluta al directorio de inicio del usuario; comienza con /ifs.

Shell La ruta absoluta al shell del usuario. Si este campo se configura en /sbin/nologin, al usuario se le deniega el acceso a la línea de comandos.

Formato de archivo de grupoEl proveedor de archivos utiliza un archivo de grupo en el formato del archivo /etc/group que existe en la mayoría de los sistemas UNIX.

El archivo group se compone de una o más líneas que contienen cuatro campos separados por dos puntos, como se muestra en el siguiente ejemplo:

admin:*:10:root,admin

102 Autenticación

Los campos se definen a continuación en el orden en el que aparecen en el archivo.

Nombre del grupo El nombre del grupo. Este campo distingue entre mayúsculas y minúsculas. Si bien OneFS no limita la longitud del nombre del grupo, muchas aplicaciones truncan el nombre para que contenga 16 caracteres.

Contraseña Este campo no es compatible con OneFS y debería contener un asterisco (*).

GID El ID de grupo UNIX. Entre los valores válidos, se incluye cualquier número dentro del rango 0-4294967294 que no esté reservado ni ya asignado a un grupo. Los problemas de compatibilidad ocurren si este valor entra en conflicto con un GID de un grupo existente.

Miembros del grupo

Una lista de nombres de usuario delimitados por comas.

Formato de archivo de netgroupUn archivo de netgroup se compone de uno o más netgroups, y cada uno puede contener miembros. Los hosts, usuarios o dominios, que son miembros de un netgroup, se especifican en un trío de miembros. Un netgroup también puede contener otro netgroup.

Cada entrada en un archivo de netgroup se compone de un nombre de netgroup, seguido de un conjunto de tríos de miembros y nombres de netgroup anidados delimitados por un espacio. Si especifica un netgroup anidado, se debe definir en otra línea en el archivo.

Un trío de miembros adopta el siguiente formato:

(<host>, <user>, <domain>)

Donde <host> es un marcador de posición correspondiente a un nombre de máquina, <user> es un marcador de posición de un nombre de usuario y <domain> es un marcador de posición que corresponde a un nombre de dominio. Cualquier combinación es válida, excepto un trío vacío: (,,).

El siguiente archivo de muestra se compone de dos netgroups. El netgroup rootgrp cuenta con cuatro hosts: dos hosts están definidos en tríos de miembros y dos hosts se encuentran en el netgroup othergrp anidado, definido en la segunda línea.

rootgrp (myserver, root, somedomain.com) (otherserver, root, somedomain.com) othergrpothergrp (other-win,, somedomain.com) (other-linux,, somedomain.com)

NOTA: Una nueva línea implica un nuevo netgroup. Para continuar una entrada de netgroup larga en la siguiente línea,

ingrese un carácter de barra invertida (\) en el extremo derecho de la primera línea.

Administración de usuarios y grupos localesCuando crea una zona de acceso, cada zona incluye un proveedor local que le permite crear y administrar usuarios y grupos locales. Si bien puede ver los usuarios y grupos de cualquier proveedor de autenticación, puede crear, modificar y eliminar usuarios y grupos solamente en el proveedor local.

Ver una lista de usuarios y grupos por proveedorPuede ver usuarios y grupos según el tipo de proveedor.

1. Ejecute el siguiente comando para ver una lista de usuarios y grupos correspondientes a un proveedor específico, donde <provider-type> es un marcador de posición para la cadena de tipo de proveedor y <provider-name> es un marcador de posición para el nombre que le asignó al proveedor específico:

isi auth users list --provider="<provider-type>:<provider-name>"

2. Para enumerar usuarios y grupos para un tipo de proveedor LDAP denominado Unix LDAP, ejecute un comando similar al del siguiente ejemplo:

isi auth users list --provider="lsa-ldap-provider:Unix LDAP"

Autenticación 103

Crear un usuario localCada zona de acceso incluye un proveedor local que le permite crear y administrar usuarios y grupos locales. Al crear una cuenta de usuario local, puede configurar su nombre, contraseña, directorio de inicio, identificador de usuario (UID) de UNIX, shell de inicio de sesión de UNIX y membresías al grupo.

Ejecute el siguiente comando para crear un usuario local, donde <name> corresponde al nombre del usuario, <provider-name> especifica el proveedor para este usuario y <string> es la contraseña para este usuario.

isi auth users create <name> --provider="local:<provider-name>" \ --password="<string>"

NOTA: Una cuenta de usuario se deshabilita si no se especifica ninguna contraseña. Si no crea una contraseña al crear la

cuenta de usuario, puede agregar una contraseña más tarde mediante la ejecución del comando isi auth users modify , donde debe especificar el usuario correspondiente según su nombre de usuario, UID o SID.

Crear un grupo localEn el proveedor local de una zona de acceso, puede crear grupos y asignarles miembros.

Ejecute el siguiente comando para crear un grupo local, donde <name> y <provider-name> corresponden a valores proporcionados para definir el grupo.

isi auth groups create <name> --provider "local:<provider-name>"

Reglas de asignación de nombres para los grupos y usuarios localesLos nombres de usuarios y grupos locales deben cumplir con las siguientes reglas de asignación para garantizar una autenticación apropiada y el acceso al clúster.

Se deben seguir las reglas de asignación de nombres que se presentan a continuación para la creación y modificación de usuarios y grupos locales:

• La longitud máxima del nombre es de 104 caracteres. Se recomienda que los nombres no excedan los 64 caracteres.• Los nombres no pueden incluir los siguientes caracteres no válidos:

" / \ [ ] : ; | = , + * ? < >• Los nombres pueden incluir cualquier carácter especial que no se haya mencionado en la lista de caracteres no válidos. Se recomienda

que los nombres no incluyan espacios.• Los nombres no distinguen mayúsculas de minúsculas.

Configurar o modificar una política de contraseñas localPuede configurar y modificar una política de contraseñas local para un proveedor local.

Este procedimiento debe realizarse a través de la interfaz de la línea de comandos (CLI).NOTA: Las políticas de contraseñas distintas se configuran para cada zona de acceso. Cada zona de acceso en el clúster

contiene una instancia distinta del proveedor local, lo cual permite que cada zona de acceso tenga su propia lista de

usuarios locales que se puedan autenticar. La complejidad de las contraseñas se configura para cada proveedor local, no

para cada usuario.

1. Establezca una conexión de protocolo SSH con cualquier nodo del clúster.

2. Opcional: Ejecute el siguiente comando para ver la configuración de contraseña actual:

isi auth local view system

3. Ejecute el comando isi auth local modify y seleccione los parámetros descritos en la configuración predeterminada de la política de contraseñas local.

104 Autenticación

El parámetro --password-complexity se debe especificar para cada configuración.

isi auth local modify system --password-complexity=lowercase \ --password-complexity=uppercase -–password-complexity=numeric \ --password-complexity=symbol

El siguiente comando configura una política de contraseñas local para un proveedor local:

isi auth local modify <provider-name> \ --min-password-length=20 \ --lockout-duration=20m \ --lockout-window=5m \ --lockout-threshold=5 \ --add-password-complexity=uppercase \ --add-password-complexity=numeric

Configuración de la política de contraseñas localPuede configurar los ajustes de la política de contraseñas local y especificar los valores predeterminados para cada configuración mediante el comando isi auth local modify. La complejidad de las contraseñas aumenta la cantidad de contraseñas posibles que un atacante debe comprobar antes de que adivine la contraseña.

Configuración Descripción Comentarios

min-password-length Longitud mínima de la contraseña en caracteres.

Las contraseñas largas son las más eficaces. La longitud mínima no debe ser tan larga para que los usuarios no tengan dificultades en ingresar o recordar la contraseña.

password-complexity Una lista de casos que debe contener una contraseña nueva. De manera predeterminada, la lista está vacía.

Puede especificar hasta cuatro casos. Los siguientes casos son válidos:

• mayúsculas• minúsculas• numeric• símbolos (se excluyen # y @)

min-password-age La antigüedad mínima de la contraseña. Puede configurar este valor mediante caracteres para unidades. Por ejemplo, 4W para cuatro semanas, 2d para dos días.

La antigüedad mínima de una contraseña garantiza que un usuario no puede ingresar una contraseña temporal y después cambiarla inmediatamente por la contraseña anterior. Se deniegan los intentos de comprobar o establecer una contraseña antes de que venza el plazo.

max-password-age La antigüedad máxima de la contraseña. Puede configurar este valor mediante caracteres para unidades. Por ejemplo, 4W para cuatro semanas, 2d para dos días.

Los intentos de inicio de sesión una vez que expira una contraseña imponen un cambio de contraseña. Si no se puede presentar un cuadro de diálogo de cambio de contraseña, el usuario no puede iniciar sesión.

password-history-length La cantidad de contraseñas históricas que se deben mantener. Las nuevas contraseñas se comprueban con esta lista y se deniegan si ya están presentes. La longitud del historial máxima es 24.

Para evitar reciclar contraseñas, puede especificar la cantidad de contraseñas anteriores que se recordará. Si una contraseña nueva coincide con una contraseña anterior recordada, esta se deniega.

lockout-duration El período en segundos durante el cual una cuenta se encuentra bloqueada después de ingresar una cantidad configurable de contraseñas incorrectas.

Una vez bloqueada una cuenta, no se puede acceder a esta desde ningún origen hasta que se desbloquee. OneFS proporciona dos opciones configurables para evitar la participación del administrador con cada cuenta bloqueada:

• Especifique cuánto tiempo debe transcurrir antes de que se desbloquee la cuenta.

Autenticación 105

Configuración Descripción Comentarios

• Restablezca automáticamente el contador de contraseñas incorrectas después de un período especificado en segundos.

lockout-threshold La cantidad de contraseñas incorrectas ingresadas antes de que se bloquee una cuenta. Un valor de cero desactiva el bloqueo de la cuenta.

Una vez bloqueada una cuenta, no se puede acceder a esta desde ningún origen hasta que se desbloquee.

lockout-window El tiempo que transcurre antes de que se restablezca el conteo de contraseñas incorrectas ingresadas.

Si se alcanza la cantidad configurada de contraseñas incorrectas ingresadas, la cuenta se bloquea y la duración de este bloqueo determina el plazo durante el cual la cuenta permanece bloqueada. Un valor de cero desactiva la ventana.

Modificar un usuario localPuede modificar cualquier parámetro de una cuenta de usuario local, excepto el nombre de usuario.

Ejecute el siguiente comando para modificar un grupo local, donde <name>, <gid> o <sid> son marcadores de posición para los identificadores de usuario, y <provider-name> es un marcador de posición que corresponde al nombre del proveedor local asociado al usuario:

isi auth users modify (<name> or --gid <gid> or --sid <sid>) \ --provider "local:<provider-name>"

Modificar un grupo localPuede agregar o eliminar miembros de un grupo local.

Ejecute el siguiente comando para modificar un grupo local, donde <name>, <gid> o <sid> son marcadores de posición de los identificadores de grupo, y <provider-name> es un marcador de posición correspondiente al nombre del proveedor local asociado con el grupo:

isi auth groups modify (<name> or --gid <gid> or --sid <sid>) \ --provider "local:<provider-name>"

Eliminar un usuario localUn usuario eliminado no puede seguir accediendo al clúster a través de la interfaz de la línea de comandos, la interfaz de administración web o el protocolo de acceso a archivos. Cuando elimina una cuenta de usuario local, se conserva su directorio principal.

Ejecute el siguiente comando para eliminar un usuario local, donde <uid> y <sid> son marcadores de posición para el UID y el SID del usuario que desea eliminar, y <provider-name> es un marcador de posición que corresponde al proveedor local asociado con el usuario.

isi auth users delete <name> --uid <uid> --sid <sid> \ --provider "local:<provider-name>"

Eliminar un grupo localPuede eliminar un grupo local incluso si cuenta con miembros asignados a él. La eliminación de un grupo no afecta a sus miembros.

Ejecute el siguiente comando para eliminar un grupo local, donde <group> es un marcador de posición correspondiente al nombre del grupo que desea eliminar:

isi auth groups delete <group>

NOTA: Puede ejecutar el comando con <gid> o <sid> en lugar de <group>.

106 Autenticación

Autenticación y configuración de SSHLa Autenticación de múltiples factores (MFA) permite agregar compatibilidad con el sistema PAPI para la configuración de SSH con claves públicas que se almacenan en el LDAP, y compatibilidad con autenticación de múltiples factores para SSH a través de la plataforma de seguridad Duo.

Requisitos previos para la autenticación de múltiples factores (MFA)Para que la autenticación se realice correctamente a través de la función de MFA, el usuario de destino debe cumplir con los siguientes requisitos:

• La identidad del usuario en el clúster debe pertenecer a una función que permita el acceso a SSH.• El ajuste auth-settings-template SSH se debe establecer en cualquier valor, excepto any o custom.• Si el ajuste user-auth-method SSH se establece en publickey, todos los usuarios que necesiten acceso a SSH deberán tener un valor

de clave pública válido para sshPublicKey en la entrada de LDAP.• Si el ajuste user-auth-method SSH se establece en password, todos los usuarios que necesiten acceso a SSH deberán tener un valor

de contraseña válido para userPublicKey en la entrada de LDAP.

Además, se debe configurar el host, ikey y skey. Debe configurar la opción enabled en el comando isi auth duo.

NOTA: Esta función operará como se espera si se cumplen las condiciones anteriores. Si no se cumple con ninguna de las

condiciones anteriores, puede correr el riesgo de bloquearse a sí mismo de su nodo.

Configuración de SSH con contraseñaPuede ofrecer compatibilidad con la CLI para configurar SSH con una contraseña.

1. A fin de proporcionar compatibilidad para configurar SSH con una contraseña, ejecute el comando isi ssh settings modify.

isi ssh settings modify --auth-settings-template=password

2. Para configurar la plataforma de seguridad Duo, ejecute el comando isi auth duo modify.

isi auth duo modify --ikey=<key> --host=api-example.duosecurity.com

Se le solicitará ingresar la clave secreta y confirmarla.

Enter skey: Confirm:

3. Para habilitar el proveedor Duo, ejecute el comando isi auth duo modify.

isi auth duo modify --enabled=true

4. Para establecer una conexión SSH a un nodo de clúster, ejecute los siguientes comandos:

$ ssh [email protected] Duo two-factor login for someuser Enter a passcode or select one of the following options: 1. Duo Push to XXX-XXX-XXXX 2. Phone call to XXX-XXX-XXXX 3. SMS passcodes to XXX-XXX-XXXX Passcode or option (1-3): 1

Si se establece la conexión SSH, será registrado y se le solicitará la contraseña.

Success. Logging you in... Password:

Autenticación 107

Configuración de SSH con claves públicasPuede ofrecer compatibilidad con la CLI para la configuración de SSH con claves públicas que se almacenan en LDAP.

1. A fin de admitir la configuración de SSH con una clave pública, ejecute el comando isi ssh settings modify.

isi ssh settings modify --auth-settings-template=publickey

2. Para configurar la plataforma de seguridad Duo, ejecute el comando isi auth duo modify.

isi auth duo modify --ikey=<key> --host=api-example.duosecurity.com

Se le solicitará ingresar la clave secreta y confirmarla.

Enter skey: Confirm:

3. Para habilitar el proveedor Duo, ejecute el comando isi auth duo modify.

isi auth duo modify --enabled=true

4. Para establecer una conexión SSH a un nodo de clúster, ejecute los siguientes comandos:

$ ssh [email protected] -i<location of the public key> Duo two-factor login for someuser Enter a passcode or select one of the following options: 1. Duo Push to XXX-XXX-XXXX 2. Phone call to XXX-XXX-XXXX 3. SMS passcodes to XXX-XXX-XXXX Passcode or option (1-3): 1

Si se establece la conexión SSH, se iniciará la sesión.

Success. Logging you in...

108 Autenticación

Funciones y privilegios administrativosEsta sección contiene los siguientes temas:

Temas:

• Acceso basado en funciones• Funciones• Privilegios• Administración de funciones

Acceso basado en funcionesPuede asignar acceso basado en funciones para delegar tareas administrativas a usuarios específicos.

El control de acceso basado en funciones (RBAC) permite que cualquier usuario que pueda autenticarse en un clúster ejecute ciertas acciones administrativas. A las funciones las crea un administrador de seguridad, se les asignan privilegios y luego miembros. Todos los administradores, incluidos aquellos con privilegios determinados por una función, deben conectarse a la zona System para configurar el clúster. Cuando estos miembros inician sesión en el clúster mediante una interfaz de configuración, cuentan con estos privilegios. Todos los administradores pueden establecer la configuración para zonas de acceso y controlan permanentemente todas las zonas de acceso en el clúster.

Las funciones también le permiten asignar privilegios a los grupos y usuarios miembro. De forma predeterminada, solamente el usuario raíz y el usuario administrador pueden iniciar sesión en la interfaz de administración web a través del protocolo HTTP o en la interfaz de la línea de comandos mediante el protocolo SSH. Con las funciones, los usuarios raíz y administrador pueden asignar otros a funciones integradas o personalizadas que cuenten con privilegios administrativos y de inicio de sesión para que ejecuten tareas administrativas específicas.

NOTA: Como mejor práctica, asigne usuarios a funciones que contengan el conjunto mínimo de privilegios necesarios. A

todos los efectos, la configuración de la política de permisos, la zona de acceso del sistema y las funciones integradas

predeterminadas son suficientes. Puede crear políticas de administración de acceso basado en funciones según sea

necesario para su ambiente en particular.

FuncionesPuede permitir y limitar el acceso a áreas administrativas del clúster, usuario por usuario, mediante las funciones. OneFS incluye varias funciones de administrador integradas en conjuntos de privilegios predefinidos que no se pueden modificar. También puede crear funciones personalizadas y asignar privilegios.

La siguiente lista describe qué puede hacer y qué no por medio de las funciones:

• Puede asignar privilegios a una función.• Puede crear funciones personalizadas y asignar privilegios a esas funciones.• Puede copiar una función existente.• Puede agregar cualquier usuario o grupo de usuarios, incluidos grupos conocidos, a una función, siempre y cuando los usuarios puedan

autenticarse en el clúster.• Puede agregar un usuario o grupo a varias funciones.• No puede asignar privilegios directamente a usuarios o grupos.

NOTA: Cuando OneFS se instala por primera vez, únicamente los usuarios con acceso de nivel administrador o raíz

pueden iniciar sesión y asignar usuarios a funciones.

Funciones personalizadasLas funciones personalizadas complementan las funciones integradas.

Puede crear funciones personalizadas y asignar privilegios mapeados a las áreas administrativas en su ambiente de clúster. Por ejemplo, puede crear distintas funciones de administrador para la seguridad, la auditoría, el aprovisionamiento de almacenamiento y el respaldo.

7

Funciones y privilegios administrativos 109

Puede designar ciertos privilegios como de solo lectura o lectura/escritura al agregar el privilegio a una función. Puede modificar esta opción en cualquier momento para agregar o quitar privilegios, ya que las responsabilidades del usuario aumentan y cambian.

Funciones incorporadasOneFS incluye funciones integradas en las que se configuraron los privilegios que probablemente necesiten los usuarios para ejecutar funciones administrativas comunes. No se puede modificar la lista de privilegios asignados a cada función integrada; sin embargo, sí pueden asignarse usuarios y grupos a funciones integradas.

Función incorporada SecurityAdminLa función incorporada SecurityAdmin permite la configuración de seguridad en el clúster, incluidos los proveedores de autenticación, los grupos y usuarios locales y la membresía de la función.

Privilegios Acceso de lectura/escritura

ISI_PRIV_LOGIN_CONSOLE N/D

ISI_PRIV_LOGIN_PAPI N/D

ISI_PRIV_LOGIN_SSH N/D

ISI_PRIV_AUTH Lectura/escritura

ISI_PRIV_ROLE Lectura/escritura

Función incorporada SystemAdminLa función incorporada SystemAdmin permite la administración de toda la configuración del clúster que no maneja específicamente la función SecurityAdmin.





ISI_PRIV_SYS_SHUTDOWN N/D

ISI_PRIV_SYS_SUPPORT N/D

ISI_PRIV_SYS_TIME Lectura/escritura

ISI_PRIV_SYS_UPGRADE Lectura/escritura

ISI_PRIV_ANTIVIRUS Lectura/escritura

ISI_PRIV_AUDIT Lectura/escritura

ISI_PRIV_CLOUDPOOLS Lectura/escritura

ISI_PRIV_CLUSTER Lectura/escritura

ISI_PRIV_DEVICES Lectura/escritura

ISI_PRIV_EVENT Lectura/escritura

ISI_PRIV_FILE_FILTER Lectura/escritura

ISI_PRIV_FTP Lectura/escritura

ISI_PRIV_HARDENING Lectura/escritura

ISI_PRIV_HDFS Lectura/escritura

ISI_PRIV_HTTP Lectura/escritura

ISI_PRIV_JOB_ENGINE Lectura/escritura

ISI_PRIV_LICENSE Lectura/escritura

ISI_PRIV_MONITORING Lectura/escritura

110 Funciones y privilegios administrativos


ISI_PRIV_NDMP Lectura/escritura

ISI_PRIV_NETWORK Lectura/escritura

ISI_PRIV_NFS Lectura/escritura

ISI_PRIV_NTP Lectura/escritura

ISI_PRIV_QUOTA Lectura/escritura

ISI_PRIV_REMOTE_SUPPORT Lectura/escritura

ISI_PRIV_SMARTPOOLS Lectura/escritura

ISI_PRIV_SMB Lectura/escritura

ISI_PRIV_SNAPSHOT Lectura/escritura

ISI_PRIV_SNMP Lectura/escritura

ISI_PRIV_STATISTICS Lectura/escritura

ISI_PRIV_SWIFT Lectura/escritura

ISI_PRIV_SYNCIQ Lectura/escritura

ISI_PRIV_VCENTER Lectura/escritura

ISI_PRIV_WORM Lectura/escritura

ISI_PRIV_NS_TRAVERSE N/D

ISI_PRIV_NS_IFS_ACCESS N/D

Función AuditAdmin incorporadaLa función AuditAdmin incorporada le permite ver todos los ajustes de configuración del sistema.





ISI_PRIV_SYS_TIME Solo lectura

ISI_PRIV_SYS_UPGRADE Solo lectura

ISI_PRIV_ANTIVIRUS Solo lectura

ISI_PRIV_AUDIT Solo lectura

ISI_PRIV_CLOUDPOOLS Solo lectura

ISI_PRIV_CLUSTER Solo lectura

ISI_PRIV_DEVICES Solo lectura

ISI_PRIV_EVENT Solo lectura

ISI_PRIV_FILE_FILTER Solo lectura

ISI_PRIV_FTP Solo lectura

ISI_PRIV_HARDENING Solo lectura

ISI_PRIV_HDFS Solo lectura

ISI_PRIV_HTTP Solo lectura

ISI_PRIV_JOB_ENGINE Solo lectura

ISI_PRIV_LICENSE Solo lectura

ISI_PRIV_MONITORING Solo lectura



SI_PRIV_NDMP Solo lectura

ISI_PRIV_NETWORK Solo lectura

ISI_PRIV_NFS Solo lectura

ISI_PRIV_NTP Solo lectura

ISI_PRIV_QUOTA Solo lectura

ISI_PRIV_REMOTE_SUPPORT Solo lectura

ISI_PRIV_SMARTPOOLS Solo lectura

ISI_PRIV_SMB Solo lectura

ISI_PRIV_SNAPSHOT Solo lectura

ISI_PRIV_SNMP Solo lectura

ISI_PRIV_STATISTICS Solo lectura

ISI_PRIV_SWIFT Solo lectura

ISI_PRIV_SYNCIQ Solo lectura

ISI_PRIV_VCENTER Solo lectura

ISI_PRIV_WORM Solo lectura

Función incorporada BackupAdminLa función incorporada BackupAdmin permite el respaldo y la restauración de archivos de /ifs.


ISI_PRIV_IFS_BACKUP Solo lectura

ISI_PRIV_IFS_RESTORE Lectura/escritura

Función incorporada VMwareAdminLa función incorporada VMwareAdmin hace posible la administración remota del almacenamiento necesaria para VMware vCenter.



ISI_PRIV_NETWORK Lectura/escritura

ISI_PRIV_SMARTPOOLS Lectura/escritura

ISI_PRIV_SNAPSHOT Lectura/escritura

ISI_PRIV_SYNCIQ Lectura/escritura

ISI_PRIV_VCENTER Lectura/escritura

ISI_PRIV_NS_TRAVERSE N/D

ISI_PRIV_NS_IFS_ACCESS N/D

PrivilegiosLos privilegios permiten a los usuarios completar tareas en un clúster.

Los privilegios están asociados con un área de administración de clústeres, como el motor de trabajos, el SMB o las estadísticas.

Los privilegios tienen una de estas dos formas:

Acción Permite a un usuario realizar una acción específica en un clúster. Por ejemplo, el privilegio ISI_PRIV_LOGIN_SSH permite al usuario iniciar sesión en un clúster a través de un cliente de protocolo SSH.


Lectura/Escritura Permite al usuario ver o modificar un subsistema de configuración, como las estadísticas, las instantáneas o las cuotas. Por ejemplo, el privilegio ISI_PRIV_SNAPSHOT permite a un administrador crear y eliminar instantáneas y calendarios de instantáneas. Un privilegio de lectura/escritura puede otorgar acceso de solo lectura o de lectura/escritura. El acceso de solo lectura permite a un usuario ver la configuración; el acceso de lectura/escritura permite a un usuario ver y modificar la configuración.

Los privilegios se otorgan al usuario cuando inicia sesión en un clúster mediante la API de OneFS, la interfaz de administración web, el protocolo SSH o una sesión de consola. Se genera un token para el usuario, que incluye una lista de todos los privilegios otorgados a dicho usuario. Cada URI, comando y página de interfaz de administración web requiere un privilegio específico para ver o modificar la información disponible mediante cualquiera de estas interfaces.

En algunos casos, no se pueden otorgar privilegios o existen limitaciones de privilegios.

• No se otorgan privilegios a los usuarios que no se conecten a la zona System durante el inicio de sesión, o a los usuarios que se conectan a través del obsoleto servicio de Telnet, aun si son miembros de una función.

• Los privilegios no proporcionan acceso administrativo a las rutas de configuración que estén fuera de la API de OneFS. Por ejemplo, el privilegio ISI_PRIV_SMB no otorga a un usuario el derecho de configurar recursos compartidos de SMB mediante la consola de administración de Microsoft (MMC).

• Los privilegios no proporcionan acceso administrativo a todos los archivos de registro. La mayoría de los archivos de registro requieren acceso raíz.

Privilegios de OneFS compatiblesLos privilegios que OneFS admite se categorizan por el tipo de acción o acceso que se otorga al usuario, como los privilegios de inicio de sesión, seguridad y configuración.

Privilegios de inicio de sesiónLos privilegios de inicio de sesión que se presentan en la tabla siguiente permiten que el usuario realice acciones específicas, o garantizan el acceso de lectura o de escritura a un área de administración en el clúster.

Privilegio Descripción Tipo

ISI_PRIV_LOGIN_CONSOLE Iniciar sesión desde la consola. Acción

ISI_PRIV_LOGIN_PAPI Iniciar sesión en la API de plataforma y la interfaz de administración web.

Acción

ISI_PRIV_LOGIN_SSH Iniciar sesión mediante el protocolo SSH. Acción

Privilegios del sistemaLos privilegios de sistema que se presentan en la tabla siguiente permiten que el usuario realice acciones específicas, o garantizan el acceso de lectura o de escritura a un área de administración en el clúster.


ISI_PRIV_SYS_SHUTDOWN Apague el sistema. Acción

ISI_PRIV_SYS_SUPPORT Ejecutar las herramientas de diagnóstico del clúster.

Acción

ISI_PRIV_SYS_TIME Cambiar la hora del sistema. Lectura/escritura

ISI_PRIV_SYS_UPGRADE Actualiza el sistema OneFS. Lectura/escritura

Privilegios de seguridadLos privilegios de seguridad de sesión que se presentan en la tabla siguiente permiten que el usuario realice acciones específicas o garantizan el acceso de lectura o de escritura a un área de administración en el clúster.


ISI_PRIV_AUTH Configurar proveedores de autenticación externos, incluidas las cuentas de nivel de raíz.

Lectura/escritura



ISI_PRIV_ROLE Crear nuevas funciones y asignar privilegios, incluidas cuentas de nivel de raíz.

Lectura/escritura

Privilegios de configuraciónLos privilegios de configuración que se presentan en la tabla siguiente permiten que el usuario realice acciones específicas, o garantizan el acceso de lectura o de escritura a un área de administración en el clúster.


ISI_PRIV_ANTIVIRUS Configurar el escaneo antivirus. Lectura/escritura

ISI_PRIV_AUDIT Configurar funcionalidades de auditoría. Lectura/escritura

ISI_PRIV_CLOUDPOOLS Configurar CloudPools. Lectura/escritura

ISI_PRIV_CLUSTER Establecer la identidad del clúster y los ajustes generales.

Lectura/escritura

ISI_PRIV_DEVICES Crear nuevas funciones y asignar privilegios. Lectura/escritura

ISI_PRIV_EVENT Ver y modificar eventos del sistema. Lectura/escritura

ISI_PRIV_FILE_FILTER Configurar los ajustes de filtrado del archivo. Lectura/escritura

ISI_PRIV_FTP Configurar el servidor FTP. Lectura/escritura

ISI_PRIV_HDFS Configurar el servidor HDFS. Lectura/escritura

ISI_PRIV_HTTP Configurar el servidor HTTP. Lectura/escritura

ISI_PRIV_JOB_ENGINE Programar trabajos en todo el clúster. Lectura/escritura

ISI_PRIV_LICENSE Activar licencias de software de OneFS. Lectura/escritura

ISI_PRIV_MONITORING Registrar las aplicaciones que monitorean el clúster.

Lectura/escritura

ISI_PRIV_NDMP Configurar el servidor NDMP. Lectura/escritura

ISI_PRIV_NETWORK Configure las interfaces de red. Lectura/escritura

ISI_PRIV_NFS Configurar el servidor NFS. Lectura/escritura

ISI_PRIV_NTP Configurar NTP. Lectura/escritura

ISI_PRIV_QUOTA Configurar cuotas del sistema de archivos. Lectura/escritura

ISI_PRIV_REMOTE_SUPPORT Configurar el soporte remoto. Lectura/escritura

ISI_PRIV_SMARTPOOLS Configurar pools de almacenamiento. Lectura/escritura

ISI_PRIV_SMB Configurar el servidor SMB. Lectura/escritura

ISI_PRIV_SNAPSHOT Programar, tomar y ver instantáneas. Lectura/escritura

ISI_PRIV_SNMP Configurar el servidor SNMP. Lectura/escritura

ISI_PRIV_STATISTICS Ver estadísticas del rendimiento del sistema. Lectura/escritura

ISI_PRIV_SWIFT Configurar Swift. Lectura/escritura

ISI_PRIV_SYNCIQ Configurar SyncIQ. Lectura/escritura

ISI_PRIV_VCENTER Configurar VMware for vCenter. Lectura/escritura

ISI_PRIV_WORM Configurar directorios de SmartLock. Lectura/escritura

Privilegios de acceso a archivosLos privilegios de acceso a archivos que se presentan en la tabla siguiente permiten que el usuario realice acciones específicas, o garantizan el acceso de lectura o de escritura a un área de administración en el clúster.



ISI_PRIV_IFS_BACKUP Respaldar archivos de /ifs.NOTA: Con este privilegio, se omiten los controles de acceso a archivos tradicionales, como los bits de modo o las ACL de NTFS.

Acción

ISI_PRIV_IFS_RESTORE Restaurar archivos de /ifs.NOTA: Con este privilegio, se omiten los controles de acceso a archivos tradicionales, como los bits de modo o las ACL de NTFS.

Acción

ISI_PRIV_IFS_WORM_DELETE Realiza una operación de eliminación con privilegios en los archivos WORM confirmados.

NOTA: Si no inició sesión a través de la cuenta de usuario raíz, también debe tener el privilegio ISI_PRIV_NS_IFS_ACCESS.

Acción

Privilegios de espacio de nombresLos privilegios de espacio de nombres que se presentan en la tabla siguiente permiten que el usuario realice acciones específicas, o garantizan el acceso de lectura o de escritura a un área de administración en el clúster.


ISI_PRIV_NS_TRAVERSE Recorrer y ver metadatos de directorio. Acción

ISI_PRIV_NS_IFS_ACCESS Acceder al directorio /ifs a través de la API de OneFS.

Acción

Privilegios de respaldo y restauración de datosPuede asignar privilegios a un usuario dedicados explícitamente a acciones de respaldo y restauración de datos del clúster.

Dos privilegios permiten que un usuario respalde y restaure datos del clúster en protocolos del lado del cliente compatibles: ISI_PRIV_IFS_BACKUP e ISI_PRIV_IFS_RESTORE.

PRECAUCIÓN: Con estos privilegios, se omiten los controles de acceso a archivos tradicionales, como los bits de modo o

las ACL de NTFS.

En cierto modo, la mayoría de los privilegios de clúster permiten cambios en la configuración de este. Los privilegios de respaldo y restauración permiten el acceso a los datos del clúster desde la zona System, el cruce de todos los directorios y la lectura de todos los metadatos y datos en archivos, independientemente de los permisos de archivos.

Los usuarios que tienen asignados estos privilegios utilizan el protocolo como un protocolo de respaldo de otra máquina, sin generar errores de acceso denegado y sin conectarse como el usuario raíz. Estos dos privilegios se admiten en los siguientes protocolos del lado del cliente:

• SMB• NFS• API de OneFS• FTP• Protocolo SSH

En SMB, los privilegios ISI_PRIV_IFS_BACKUP e ISI_PRIV_IFS_RESTORE emulan los privilegios de Windows SE_BACKUP_NAME y SE_RESTORE_NAME. La emulación implica que los procedimientos normales para abrir un archivo están protegidos mediante permisos del sistema de archivos. Para habilitar los privilegios de respaldo y restauración en el protocolo SMB, debe abrir los archivos con la opción FILE_OPEN_FOR_BACKUP_INTENT, la cual se ejecuta de forma automática mediante el software de respaldo de Windows, como Robocopy. La aplicación de la opción no es automática cuando los archivos se abren por medio de un software de navegación de archivos general, como Windows File Explorer.


Los privilegios ISI_PRIV_IFS_BACKUP y ISI_PRIV_IFS_RESTORE son compatibles principalmente con las herramientas de respaldo de Windows, como Robocopy. Un usuario debe ser miembro de la función integrada BackupAdmin para acceder a todas las funciones de Robocopy, como el copiado de DACL de archivos y metadatos de SACL.

Privilegios de la interfaz de la línea de comandosPuede ejecutar la mayoría de las tareas otorgadas por un privilegio mediante la interfaz de la línea de comandos (CLI). Algunos comandos de OneFS requieren acceso de raíz.

Asignación de comando a privilegioCada comando de la CLI está asociado con un privilegio. Algunos comandos requieren acceso raíz.

Comando isi Privilege

isi antivirus ISI_PRIV_ANTIVIRUS

isi audit ISI_PRIV_AUDIT

isi auth, excepto isi auth roles ISI_PRIV_AUTH

isi auth roles ISI_PRIV_ROLE

isi batterystatus ISI_PRIV_DEVICES

isi cloud ISI_PRIV_CLOUDPOOLS

isi config raíz

isi dedupe, excepto isi dedupe stats ISI_PRIV_JOB_ENGINE

isi dedupe stats ISI_PRIV_STATISTICS

isi devices ISI_PRIV_DEVICES

isi email ISI_PRIV_CLUSTER

isi event ISI_PRIV_EVENT

isi fc ISI_PRIV_NDMP

isi file-filter ISI_PRIV_FILE_FILTER

isi filepool ISI_PRIV_SMARTPOOLS

isi ftp ISI_PRIV_FTP

isi get raíz

isi hardening ISI_PRIV_HARDENING

isi hdfs ISI_PRIV_HDFS

isi http ISI_PRIV_HTTP

isi job ISI_PRIV_JOB_ENGINE

isi license ISI_PRIV_LICENSE

isi ndmp ISI_PRIV_NDMP

isi network ISI_PRIV_NETWORK

isi nfs ISI_PRIV_NFS

ifs ntp ISI_PRIV_NTP

isi quota ISI_PRIV_QUOTA

isi readonly ISI_PRIV_DEVICES

isi remotesupport ISI_PRIV_REMOTE_SUPPORT

isi servicelight ISI_PRIV_DEVICES

isi services raíz


Comando isi Privilege

isi set raíz

isi smb ISI_PRIV_SMB

isi snapshot ISI_PRIV_SNAPSHOT

isi snmp ISI_PRIV_SNMP

isi statistics ISI_PRIV_STATISTICS

isi status ISI_PRIV_EVENT

ISI_PRIV_DEVICES

ISI_PRIV_JOB_ENGINE

ISI_PRIV_NETWORK

ISI_PRIV_SMARTPOOLS

ISI_PRIV_STATISTICS

isi storagepool ISI_PRIV_SMARTPOOLS

isi swift ISI_PRIV_SWIFT

isi sync ISI_PRIV_SYNCIQ

isi tape ISI_PRIV_NDMP

isi time ISI_PRIV_SYS_TIME

isi upgrade ISI_PRIV_SYS_UPGRADE

isi version ISI_PRIV_CLUSTER

isi worm, excepto isi worm files delete ISI_PRIV_WORM

isi worm files delete ISI_PRIV_IFS_WORM_DELETE

isi zone ISI_PRIV_AUTH

Mapeo de privilegios a comandosCada privilegio está asociado a uno o más comandos. Algunos comandos requieren acceso raíz.

Privilege Comandos isi

ISI_PRIV_ANTIVIRUS isi antivirus

ISI_PRIV_AUDIT isi audit

ISI_PRIV_AUTH isi auth - excepto isi auth role

isi zone

ISI_PRIV_CLOUDPOOLS isi cloud

ISI_PRIV_CLUSTER isi email

isi version

ISI_PRIV_DEVICES isi batterystatus

isi devices

isi readonly

isi servicelight

isi status

ISI_PRIV_EVENT isi event

isi status

ISI_PRIV_FILE_FILTER isi file-filter


Privilege Comandos isi

ISI_PRIV_FTP isi ftp

ISI_PRIV_HARDENING isi hardening

ISI_PRIV_HDFS isi hdfs

ISI_PRIV_HTTP isi http

ISI_PRIV_JOB_ENGINE isi job

isi dedupe

isi status

ISI_PRIV_LICENSE isi license

ISI_PRIV_NDMP isi fc

isi tape

isi ndmp

ISI_PRIV_NETWORK isi network

isi status

ISI_PRIV_NFS isi nfs

ISI_PRIV_NTP isi ntp

ISI_PRIV_QUOTA isi quota

ISI_PRIV_REMOTE_SUPPORT isi remotesupport

ISI_PRIV_ROLE isi auth role

ISI_PRIV_SMARTPOOLS isi filepool

isi storagepool

isi status

ISI_PRIV_SMB isi smb

ISI_PRIV_SNAPSHOT isi snapshot

ISI_PRIV_SNMP isi snmp

ISI_PRIV_STATISTICS isi status

isi statistics

isi dedupe stats

ISI_PRIV_SWIFT isi swift

ISI_PRIV_SYNCIQ isi sync

ISI_PRIV_SYS_TIME isi time

ISI_PRIV_SYS_UPGRADE isi upgrade

ISI_PRIV_WORM isi worm, excepto isi worm files delete

ISI_PRIV_IFS_WORM_DELETE isi worm files delete

raíz • isi config• isi get• isi services• isi set

Administración de funcionesPuede ver, agregar o eliminar miembros de cualquier función. A excepción de las funciones integradas, cuyos privilegios no se pueden modificar, es posible agregar o eliminar privilegios de OneFS en cada función.


NOTA: Las funciones adoptan a los usuarios y grupos como miembros. Si se agrega un grupo a una función, a todos los

usuarios que son miembros de ese grupo se les asignan los privilegios relacionados con la función. Asimismo, a los

miembros de varias funciones se les asignan los privilegios combinados de cada función.

Ver funcionesPuede ver información sobre las funciones integradas y personalizadas.

Ejecute uno de los siguientes comandos para ver funciones.

• Para ver una lista básica de todas las funciones en el clúster, ejecute el siguiente comando:

isi auth roles list• Para ver información detallada sobre cada función en el clúster, incluidas las listas de privilegios y miembros, ejecute el siguiente

comando:

isi auth roles list --verbose• Para ver información detallada sobre una sola función, ejecute el siguiente comando, donde <role> corresponde al nombre de la

función:

isi auth roles view <role>

Ver privilegiosPuede ver los privilegios de usuario.

Este procedimiento debe realizarse a través de la interfaz de la línea de comandos (CLI). Puede ver una lista de sus privilegios o los privilegios de otro usuario a través de los siguientes comandos:


2. Para ver los privilegios, ejecute uno de los siguientes comandos.

• Para ver una lista de todos los privilegios, ejecute el siguiente comando:

isi auth privileges --verbose• Para ver una lista de sus privilegios, ejecute el siguiente comando:

isi auth id• Para ver una lista de los privilegios de otro usuario, ejecute el siguiente comando, donde <user> es un marcador de posición para

otro usuario con su nombre:

isi auth mapping token <user>

Crear y modificar una función personalizadaPuede crear una función personalizada vacía y luego agregarle usuarios y privilegios.


2. Ejecute el siguiente comando para crear una función, donde <name> corresponde al nombre que desea asignarle a la función y <string> especifica una descripción opcional:

isi auth roles create <name> [--description <string>]

3. Ejecute el siguiente comando para agregar un usuario a la función, donde <role> corresponde al nombre de la función y <string> es el nombre del usuario:

isi auth roles modify <role> [--add-user <string>]

NOTA: Además, puede modificar la lista de usuarios asignados a una función integrada.


4. Ejecute el siguiente comando para agregar un privilegio con acceso de lectura/escritura a la función, donde <role> es el nombre de la función y <string> es el nombre del privilegio:

isi auth roles modify <role> [--add-priv <string>]

5. Ejecute el siguiente comando para agregar un privilegio con acceso de solo lectura a la función, donde <role> corresponde al nombre de la función y <string> es el nombre del privilegio:

isi auth roles modify <role> [--add-priv-ro <string>]

Eliminar una función personalizadaLa eliminación de una función no afecta los privilegios ni los usuarios que están asignados a ella. Las funciones integradas no se pueden eliminar.

Ejecute el siguiente comando para eliminar una función personalizada, donde <name> corresponde al nombre de la función que desea eliminar:

isi auth roles delete <name>

Agregar un usuario a las funciones integradasPuede asignar una función integrada a un usuario nuevo.

1. Ejecute el comando isi auth roles list para ver la lista de funciones:Se muestra la siguiente lista de funciones de autenticación:

isi auth roles listName---------------AuditAdminBackupAdminSecurityAdminStatisticsAdminSystemAdminVMwareAdmin---------------Total: 6

2. Ejecute el comando isi auth roles list --zone zone1 para ver las funciones disponibles en zone1Se muestran las funciones disponibles en zone1:

isi auth roles list --zone zone1Name-----------------ZoneAdminZoneSecurityAdmin-----------------Total: 2

3. Ejecute el comando isi auth roles view ZoneAdmin --zone zone1 para ver los privilegios asociados con la función ZoneAdmin en zone1.Se muestran los detalles que están asociados a la función ZoneAdmin:

isi auth roles view ZoneAdmin --zone zone1 Name: ZoneAdminDescription: Administer aspects of configuration related to current access zone. Members: - Privileges ID: ISI_PRIV_LOGIN_PAPI Read Only: True

ID: ISI_PRIV_AUDIT Read Only: False

ID: ISI_PRIV_FILE_FILTER Read Only: False


ID: ISI_PRIV_HDFS Read Only: False

ID: ISI_PRIV_NFS Read Only: False

ID: ISI_PRIV_SMB Read Only: False

ID: ISI_PRIV_SWIFT Read Only: False

ID: ISI_PRIV_VCENTER Read Only: False

ID: ISI_PRIV_NS_TRAVERSE Read Only: True

ID: ISI_PRIV_NS_IFS_ACCESS Read Only: True

4. Ejecute el comando isi auth roles view ZoneSecurityAdmin --zone zone1 para ver los privilegios asociados con la función ZoneSecurityAdmin en zone1.Se muestran los detalles que están asociados a la función ZoneSecurityAdmin:

isi auth roles view ZoneSecurityAdmin --zone zone1 Name: ZoneSecurityAdminDescription: Administer aspects of security configuration related to current access zone. Members: - Privileges ID: ISI_PRIV_LOGIN_PAPI Read Only: True

ID: ISI_PRIV_AUTH Read Only: False

ID: ISI_PRIV_ROLE Read Only: False

5. Ejecute el comando isi auth roles modify para agregar un usuario a la función ZoneAdmin.

isi auth roles modify --zone zone1 ZoneAdmin --add-user z1-user1

6. Ejecute el comando isi auth roles view para ver si el nuevo usuario se agregó a la función ZoneAdmin.

isi auth roles view --zone zone1 ZoneAdmin Name: ZoneAdminDescription: Administer aspects of configuration related to current access zone. Members: z1-user1 Privileges ID: ISI_PRIV_LOGIN_PAPI Read Only: True

ID: ISI_PRIV_AUDIT Read Only: False

ID: ISI_PRIV_FILE_FILTER Read Only: False

ID: ISI_PRIV_HDFS Read Only: False

ID: ISI_PRIV_NFS Read Only: False


ID: ISI_PRIV_SWIFT Read Only: False


ID: ISI_PRIV_VCENTER Read Only: False

ID: ISI_PRIV_NS_TRAVERSE Read Only: True

ID: ISI_PRIV_NS_IFS_ACCESS Read Only: True

7. Ejecute el comando isi auth roles modify para agregar un usuario a la función ZoneSecurityAdmin.

isi auth roles modify --zone zone1 ZoneSecurityAdmin --add-user z1-user2

8. Ejecute el comando isi auth roles view para ver si el nuevo usuario se agregó a la función ZoneSecurityAdmin.

isi auth roles view ZoneSecurityAdmin --zone zone1 Name: ZoneSecurityAdminDescription: Administer aspects of security configuration related to current access zone. Members: z1-user2 Privileges ID: ISI_PRIV_LOGIN_PAPI Read Only: True

ID: ISI_PRIV_AUTH Read Only: False

ID: ISI_PRIV_ROLE Read Only: False

Creación de una nueva función e incorporación de un usuarioPuede crear una nueva función y, a continuación, agregar un usuario en ella.

1. Para crear una nueva función, ejecute el comando isi auth roles create en zone1.

isi auth roles create --name Zone1SMBAdmin --zone zone1

2. Para ver la función que acaba de agregar en la lista de autenticación, ejecute el comando isi auth roles list.

isi auth roles list --zone zone1Name-----------------Zone1SMBAdminZoneAdminZoneSecurityAdmin-----------------Total: 3

3. Para ver los detalles asociados a la nueva función, ejecute el comando isi auth roles view.

isi auth roles view Zone1SMBAdmin --zone zone1 Name: Zone1SMBAdminDescription: - Members: - Privileges ID: - Read Only: -

4. Ejecute el comando isi auth roles modify para agregar un privilegio a la nueva función:

isi auth roles modify --zone zone1 Zone1SMBAdmin --add-priv ISI_PRIV_SMB

NOTA: También puede agregar una descripción a la nueva función con el comando isi auth roles modify.

isi auth roles modify --zone zone1 Zone1SMBAdmin --description "Zone1 SMB Admin"


5. Para ver si se agregó el privilegio y la descripción de la nueva función, ejecute el siguiente comando.

isi auth roles view Zone1SMBAdmin --zone zone1 Name: Zone1SMBAdminDescription: Zone1 SMB Admin Members: - Privileges ID: ISI_PRIV_SMB Read Only: False

6. Vuelva a ejecutar el comando isi auth roles modify para agregar un usuario a la nueva función.

isi auth roles modify --zone zone1 SMBAdmin --add-user z1-user3

NOTA: También puede agregar un privilegio de solo lectura al nuevo usuario con el comando isi auth roles modify.

isi auth roles modify --zone zone1 Zone1SMBAdmin --add-priv-ro ISI_PRIV_LOGIN_PAPI

7. Ejecute el siguiente comando para ver si se asignó la nueva función al nuevo usuario junto con el privilegio de solo lectura:

isi auth roles view Zone1SMBAdmin --zone zone1 Name: Zone1SMBAdminDescription: Zone1 SMB Admin Members: - Privileges ID: ISI_PRIV_LOGIN_PAPI Read Only: True



Administración de identidadesEsta sección contiene los siguientes temas:

Temas:

• Descripción general de la administración de VCE• Tipos de identidad• Tokens de acceso• Generación de token de acceso• Administrar mapeos de ID• Administración de las identidades de usuario

Descripción general de la administración de VCEEn ambientes con distintos tipos de servicios de directorio, OneFS mapea los usuarios y grupos de los diferentes servicios a fin de proporcionar una sola identidad unificada en un clúster, y control de acceso uniforme a archivos y directorios, independientemente del protocolo entrante. Este proceso se denomina mapeo de identidad.

Los clústeres Isilon se implementan frecuentemente en ambientes multiprotocolo con varios tipos de servicios de directorio, como Active Directory y LDAP. Cuando un usuario con cuentas en varios servicios de directorio inicia sesión en un clúster, OneFS combina los privilegios e identidades del usuario de todos los servicios de directorio para formar un token de acceso nativo.

Puede configurar OneFS para que incluya una lista de reglas para la manipulación de tokens de acceso a fin de controlar los privilegios e identidad del usuario. Por ejemplo, puede configurar una regla de mapeo de usuario de modo que fusione una identidad de Active Directory y una de LDAP para formar un solo token que se encargue del acceso a los archivos almacenados en SMB y NFS. El token puede incluir grupos de Active Directory y LDAP. Las reglas de mapeo que cree pueden resolver problemas de identidad mediante la manipulación de tokens de acceso de diversas formas, incluidos los siguientes ejemplos:

• Autenticar un usuario con Active Directory, pero con una identidad de UNIX.• Seleccionar un grupo primario entre distintas alternativas en Active Directory o LDAP.• Anular el inicio de sesión de usuarios que no existen ni en Active Directory ni en LDAP.

Para obtener más información sobre la administración de identidades, consulte la documentación técnica Administración de identidades con el servicio de mapeo de usuarios de OneFS de Isilon en .

Tipos de identidadOneFS es compatible con tres tipos de identidad principales, los cuales se pueden almacenar directamente en el sistema de archivos. Los tipos de identidad son el identificador de usuario y de grupo para UNIX y el identificador de seguridad para Windows.

Cuando inicia sesión en un clúster, el mapeador de usuarios amplía su identidad para incluir sus otras identidades de todos los servicios de directorio, incluidos Active Directory, LDAP y NIS. Después de que OneFS mapea sus identidades a los servicios de directorio, genera un token de acceso que incluye la información de identidad asociada con sus cuentas. Un token incluye los siguientes identificadores:

• Un identificador de usuario (UID) de UNIX y un identificador de grupo (GID). Un UID o GID es un número de 32 bits con un valor máximo de 4,294,967,295.

• Un identificador de seguridad (SID) para una cuenta de usuario de Windows. Un SID es una serie de autoridades y subautoridades que finalizan con un identificador relativo (RID) de 32 bits. La mayoría de los SID tienen la forma S-1-5-21-<A>-<B>-<C>-<RID>, donde <A>, <B> y <C> son específicos de un dominio o de una computadora, y <RID> indica el objeto en el dominio.

• Un SID de grupo primario para una cuenta de grupo de Windows.• Una lista de identidades adicionales, incluidos todos los grupos a los que pertenece el usuario.

El token también contiene privilegios que derivan del control de acceso basado en la función administrativa.

En un clúster Isilon, los archivos contienen permisos, los cuales aparecen como una lista de control de acceso (ACL). La ACL controla el acceso a los directorios, a los archivos y a otros objetos del sistema que se deben proteger.

Cuando un usuario intenta acceder a un archivo, OneFS compara las identidades en el token de acceso del usuario con la ACL del archivo. OneFS otorga acceso cuando la ACL del archivo incluye una entrada de control de acceso (ACE) que permite que la identidad del token

8

124 Administración de identidades

acceda al archivo y que no incluye una ACE que deniegue el acceso de la identidad. OneFS compara el token de acceso de un usuario con la ACL de un archivo.

NOTA: Para obtener más información sobre las listas de control de acceso, incluida una descripción de los permisos y la

manera en que estos corresponden a los bits de modo POSIX, consulte el informe técnico titulado Acceso multiprotocolo a datos de EMC Isilon con un modelo de seguridad unificado en el sitio web de Dell EMC Isilon Technical Support.

Cuando se proporciona un nombre como identificador, se convierte en el objeto correspondiente del usuario o del grupo y en el tipo de identidad correcto. Puede ingresar o mostrar un nombre de diferentes maneras:

• UNIX adopta espacios de nombres únicos que distinguen mayúsculas de minúsculas para usuarios y grupos. Por ejemplo, Name y name representan objetos diferentes.

• Windows proporciona un solo espacio de nombres que distingue mayúsculas de minúsculas para todos los objetos, además de especificar un prefijo destinado a un dominio de Active Directory, como domain\name.

• Kerberos y NFSv4 definen entidades de seguridad, las cuales requieren que los nombres presenten el mismo formato que las direcciones de correo electrónico, como [email protected].

Varios nombres pueden hacer referencia al mismo objeto. Por ejemplo, si el nombre es support y el dominio es example.com, support, EXAMPLE\support y [email protected] son todos nombres de un solo objeto en Active Directory.

Tokens de accesoSe crea un token de acceso cuando el usuario solicita acceso por primera vez.

Los tokens de acceso representan la identidad del usuario cuando realiza acciones en el clúster y proporcionan las identidades de grupo y del propietario principal durante la creación de archivos. Los tokens de acceso también se comparan con la ACL o con los bits de modo durante las comprobaciones de autorización.

Durante la autorización del usuario, OneFS compara el token de acceso que se genera durante la conexión inicial con los datos de autorización en el archivo. Todos los mapeos de usuario e identidad ocurren durante la generación del token; no se realizan mapeos durante la evaluación de los permisos.

Un token de acceso incluye todos los UID, GID y SID para una identidad, además de todos los privilegios de OneFS. OneFS lee la información del token para determinar si un usuario ha accedido a un recurso. Es importante que el token contenga la lista correcta de UID, GID y SID. Un token de acceso se crea a partir de uno de los siguientes orígenes:

Origen Autenticación

Nombre de usuario • Usuario suplantado por SMB• NFSv3 kerberizado• NFSv4 kerberizado• Mapeo de usuarios de la exportación de NFS• HTTP• FTP• HDFS

Certificado de atributos de privilegios (PAC) • SMB NTLM• Kerberos de Active Directory

Identificador de usuario (UID) • Mapeo de NFS AUTH_SYS

Generación de token de accesoEn el caso de la mayoría de los protocolos, el token de acceso se genera a partir del nombre de usuario o de los datos de autorización que se recuperan durante la autenticación.

Los siguientes pasos presentan una descripción general simplificada del complejo proceso por medio del cual se genera el token de acceso:

Paso 1: Búsqueda de identidad de usuario

Con la identidad inicial, se busca al usuario en todos los proveedores de autenticación configurados en la zona de acceso, en el orden en que se muestran. La identidad del usuario y la lista de grupos se recuperan del proveedor que realiza la autenticación. Posteriormente, se buscan membresías asociadas con otros grupos que indican el usuario y el grupo para los demás proveedores de autenticación. Todos estos SID, UID o GID se agregan al token inicial.

Administración de identidades 125

NOTA: Ocurre una excepción a este comportamiento si el proveedor de Active Directory está

configurado para llamar a otros proveedores, como LDAP o NIS.

Paso 2: Mapeo de ID

Los identificadores del usuario están asociados en servicios de directorio. Todos los SID se convierten en su UID/GID equivalente y viceversa. Estos mapeos de ID también se añaden al token de acceso.

Paso 3: Mapeo de usuarios

Los tokens de acceso de otros servicios de directorio están combinados. Si el nombre de usuario coincide con alguna de las reglas de mapeo de usuarios, las reglas se procesan en orden y se actualiza el token correspondiente.

Paso 4: Cálculo de identidad en disco

La identidad en disco predeterminada se calcula con el token final y con la configuración global. Estas identidades se utilizan para los archivos creados recientemente.

Mapeo de IDEl servicio de mapeo de identidades (ID) mantiene la información de las relaciones entre los identificadores de Windows y UNIX mapeados a fin de brindar un control de acceso uniforme a los protocolos de uso compartido de archivos dentro una zona de acceso.

NOTA: El mapeo de ID y el mapeo de usuarios son servicios diferentes, a pesar de la similitud en sus nombres.

Durante la autenticación, el demonio de autenticación requiere los mapeos de identidad del servicio de mapeo de ID para crear tokens de acceso. A pedido, el servicio de mapeo de ID arroja identificadores de Windows mapeados a identificadores de UNIX o identificadores de UNIX mapeados a identificadores de Windows. Cuando un usuario se autentica en un clúster mediante NFS con un UID o GID, el servicio de mapeo de ID arroja el SID de Windows mapeado, lo cual otorga acceso a los archivos que otro usuario almacenó mediante SMB. Cuando un usuario se autentica en un clúster mediante SMB con un SID, el servicio de mapeo de ID arroja el UID y GID de UNIX mapeado, lo cual otorga acceso a los archivos que un cliente UNIX almacenó mediante NFS.

Los mapeos entre UID o GID y SID se almacenan según la zona de acceso en una base de datos distribuida en clústeres denominada mapeo de ID. Cada mapeo del mapeo de ID se almacena como una relación unidireccional desde el tipo de identidad de origen hasta el de destino. Los mapeos bidireccionales se almacenan como mapeos unidireccionales complementarios.

Mapeo de ID de Windows a ID de UNIXCuando un usuario de Windows se autentica con un SID, el demonio de autenticación busca en el proveedor Active Directory externo al usuario o grupo asociado con el SID. Si el usuario o grupo solo tiene un SID en Active Directory, el demonio de autenticación solicita un mapeo del servicio de mapeo de ID.

NOTA: Es posible que las búsquedas de usuarios o grupos se encuentren deshabilitadas o limitadas, dependiendo de la

configuración de Active Directory. Puede habilitar la configuración de búsquedas de usuarios y grupos mediante el

comando isi auth ads modify.

Si el servicio de mapeo de ID no ubica ni arroja un mapeo de UID o GID en el mapa de ID, el demonio de autenticación busca en otros proveedores de autenticación externos configurados en la misma zona de acceso a un usuario que coincida con el nombre del usuario de Active Directory.

Si se encuentra un nombre de usuario coincidente en otro proveedor externo, el demonio de autenticación agrega el UID o el GID del usuario coincidente al token de acceso del usuario de Active Directory, y el servicio de mapeo de ID crea un mapeo entre el UID o GID y el SID del usuario de Active Directory en el mapa de ID. Esto se conoce como mapeo externo.

NOTA: Cuando un mapeo externo se almacena en el mapa de ID, el UID se especifica como la identidad en disco de ese

usuario. Cuando el servicio de mapeo de ID almacena un mapeo generado, el SID se especifica como la identidad en

disco.

Si no se encuentra un nombre de usuario coincidente en otro proveedor externo, el demonio de autenticación asigna un UID o GID del rango de mapeo de ID al SID del usuario de Active Directory, y el servicio de mapeo de ID almacena el mapeo en el mapa de ID. Esto se conoce como mapeo generado. El rango de mapeo de ID es un pool de UID y GID asignado en la configuración del mapeo.

Después de la creación de un mapeo de un usuario, el demonio de autenticación recupera el UID o el GID almacenado en el mapa de ID tras búsquedas subsiguientes del usuario.

Mapeo de ID de UNIX a ID de WindowsEl servicio de mapeo de ID crea mapeos temporales de UID a SID y de GID a SID solamente si no existen mapeos. Los SID de UNIX generados a partir de estos mapeos nunca se almacenan en el disco.

Los UID y GID tienen un conjunto de mapeos predefinidos desde y hacia los SID.

Si se solicita un mapeo de UID a SID o de GID a SID durante la autenticación, el servicio de mapeo de ID genera un SID de UNIX temporal en el formato S-1-22-1-<UID> o S-1-22-2-<GID> mediante la aplicación de las siguientes reglas:


• Para los UID, el servicio de mapeo de ID genera un SID de UNIX con un dominio de S-1-22-1 y un ID de recurso (RID) que coincide con el UID. Por ejemplo, el SID de UNIX para el UID 600 es S-1-22-1-600.

• Para los GID, el servicio de mapeo de ID genera un SID de UNIX con un dominio de S-1-22-2 y un RID que coincide con el GID. Por ejemplo, el SID de UNIX para el GID 800 es S-1-22-2-800.

Rangos de mapeo de IDEn las zonas de acceso con varios proveedores de autenticación externos, como Active Directory y LDAP, es importante que los UID y GID de diferentes proveedores configurados en la misma zona de acceso no se superpongan. La superposición de UID y GID entre proveedores dentro de una zona de acceso puede provocar que algunos usuarios obtengan acceso a los directorios y archivos de otros usuarios.

El rango de UID y GID que se puede asignar a mapeos generados se puede configurar en cada zona de acceso mediante el comando isi auth settings mappings modify. El rango predeterminado de UID y GID es 1000000-2000000 en cada zona de acceso.

No incluya UID y GID que se usen frecuentemente en sus rangos de ID. Por ejemplo, los UID y GID inferiores a 1,000 están reservados para cuentas del sistema y no deben asignarse a usuarios ni a grupos.

Mapeo de usuariosEl mapeo de usuarios ofrece una manera de controlar los permisos especificando los identificadores de seguridad, los identificadores de usuario y los identificadores de grupo de un usuario. OneFS usa los identificadores para comprobar la propiedad de los archivos o grupos.

Con la función de mapeo de usuarios, puede aplicar reglas para modificar la identidad de usuario que usa OneFS, agregar identidades de usuario adicionales y modificar la membresía de grupo de un usuario. El servicio de mapeo de usuarios combina las identidades de un usuario provenientes de diferentes servicios de directorio en un solo token de acceso y luego lo modifica según las reglas creadas.

NOTA: Puede configurar las reglas de mapeo por zona. Las reglas de mapeo se deben configurar de forma independiente

en cada zona de acceso que las use. OneFS mapea a los usuarios únicamente durante el acceso por medio del inicio de

sesión o a través de protocolos.

Mapeos de usuarios predeterminadosLos mapeos de usuarios predeterminados determinan el acceso si no se crean reglas explícitas de mapeo de usuarios.

Si no configura ninguna regla, un usuario que se autentique con un servicio de directorio recibe la información de identidad en otros servicios de directorio cuando los nombres de cuentas son los mismos. Por ejemplo, un usuario que se autentique con un dominio de Active Directory como Desktop\jane recibirá automáticamente identidades en el token de acceso final para la cuenta de usuario de UNIX para jane desde LDAP o NIS.

En el escenario más habitual, OneFS está conectado a dos servicios de directorio: Active Directory y LDAP. En tal caso, el mapeo predeterminado proporciona un usuario con los siguientes atributos de identidad:

• Un UID desde LDAP• El SID de usuario desde Active Directory• Un SID desde el grupo predeterminado de Active Directory

Los grupos del usuario provienen de Active Directory y LDAP, con el GID de grupo autogenerado y los grupos de LDAP agregados a la lista. Para extraer los grupos de LDAP, el servicio de mapeo consulta el atributo memberUid. El directorio principal del usuario, GECOS y el shell provienen de Active Directory.

Elementos de las reglas de mapeo de usuariosPuede combinar operadores con nombres de usuarios para crear una regla de mapeo de usuarios.

Los siguientes elementos afectan cómo el mapeador de usuarios aplica una regla:

• El operador, que determina la operación que realiza una regla• Los campos para nombres de usuario• Opciones• Parámetro de instancia• Comodines

Mejores prácticas de mapeo de usuariosPuede seguir las mejores prácticas para simplificar el mapeo de usuarios.


Use Active Directory con RFC 2307 y Windows Services para UNIX

Use Microsoft Active Directory con Windows Services para UNIX y los atributos de RFC 2307 a fin de administrar los sistemas Linux, UNIX y Windows. La integración de los sistemas UNIX y Linux con Active Directory centraliza la administración de identidades y facilita la interoperabilidad, lo cual reduce la necesidad de contar con reglas de mapeo de usuarios. Verifique que sus controladores de dominio ejecuten Windows Server 2003 o versiones posteriores.

Implemente una estrategia de nombre de usuario coherente

Las configuraciones más simples nombran a los usuarios de forma coherente, de modo que cada usuario de UNIX se corresponda con un usuario de Windows con un nombre similar. Esta convención permite que las reglas con caracteres comodín coincidan con los nombres y los asignen sin especificar explícitamente cada par de cuentas.

No utilice rangos de ID que se superpongan

En redes con varios orígenes de identidad, como LDAP y Active Directory con los atributos de RFC 2307, debe verificar que los rangos de UID y GID no se superpongan. También es importante que el rango desde el cual OneFS automáticamente asigna UID y GID no se superponga con cualquier otro rango de ID. OneFS automáticamente asigna UID y GID del rango 1,000,000-2,000,000. Si los UID y GID se superponen con varios servicios de directorio, es posible que algunos usuarios obtengan acceso a los archivos y directorios de otros usuarios.

Evite UID y GID comunes

No incluya UID y GID que se usen frecuentemente en sus rangos de ID. Por ejemplo, los UID y GID inferiores a 1,000 están reservados para cuentas de sistema; no los asigne a usuarios o grupos.

No use UPN en reglas de mapeo

No puede usar un nombre principal de usuario (UPN) en una regla de mapeo de usuario. Un UPN es un nombre de usuario y dominio de Active Directory combinados para formar un nombre con el formato de Internet y un símbolo @, como una dirección de correo electrónico: juan@ejemplo. Si incluye un UPN en una regla, el servicio de mapeo lo ignora y puede generar un error. En su lugar, especifique los nombres en el formato DOMAIN\user.com.

Agrupe las reglas según el tipo y ordénelas

El sistema procesa cada regla de mapeo de forma predeterminada, lo cual puede presentar problemas al aplicar una regla de denegación total, como por ejemplo, para denegar el acceso a todos los usuarios desconocidos. Además, las reglas de reemplazo pueden interactuar con reglas que contengan caracteres comodín. Para minimizar la complejidad, se recomienda agrupar las reglas según el tipo y organizarlas en el siguiente orden:

1. Reglas de reemplazo: Primero especifique todas las reglas que reemplazan una identidad para garantizar que OneFS reemplace todas las instancias de la identidad.

2. Reglas de unión, adición e inserción: Una vez establecidos los nombres mediante operaciones de reemplazo, especifique las reglas de unión, adición e inserción para agregar identificadores adicionales.

3. Reglas de autorización y denegación: Por último, especifique las reglas que permiten o deniegan el acceso.NOTA: Detenga todo el procesamiento antes de aplicar una regla de denegación

predeterminada. Para hacerlo, cree una regla que se corresponda con los usuarios autorizados,

pero que no haga nada, como un operador de adición sin opciones de campo, y que cuente con

la opción break. Después de enumerar los usuarios autorizados, puede ejecutar una denegación

genérica al final para reemplazar los usuarios sin par con un usuario en blanco.

Para evitar que se omitan reglas explícitas, en cada grupo de reglas, coloque las reglas explícitas antes de las reglas que contienen caracteres comodín.

Agregue el grupo primario NIS o LDAP a los grupos complementarios

Cuando un clúster Isilon se conecta a Active Directory y LDAP, una de las mejores prácticas es agregar el grupo primario LDAP a la lista de grupos complementarios. Esto permite que OneFS respete los permisos de grupo en archivos creados en NFS o que hayan migrado de otros sistemas de almacenamiento UNIX. Se recomienda esta misma práctica cuando un clúster Isilon se conecta tanto a Active Directory como a NIS.

Identidad en discoUna vez que el mapeador de usuarios resuelve las identidades de un usuario, OneFS le asigna un identificador dominante, que corresponde a la identidad en disco recomendada.

OneFS almacena identidades UNIX o Windows en metadatos de archivos en el disco. Los tipos de identidad en disco son UNIX, SID y nativa. Las identidades se definen cuando se crea un archivo o cuando se modifican los datos de control de acceso de un archivo. Casi todos los protocolos requieren algún nivel de mapeo para funcionar de manera adecuada, por lo cual es importante elegir la identidad recomendada que se almacenará en el disco. Puede configurar OneFS para almacenar la identidad de UNIX o de Windows. También puede permitir que OneFS determine la identidad óptima que se almacenará.

Los tipos de identidad en disco son UNIX, SID y nativa. Aunque puede cambiar el tipo de identidad en disco, la identidad nativa es la mejor opción para una red con sistemas UNIX y Windows. En el modo de identidad en disco nativa, se puede configurar el UID como la identidad en disco para mejorar el rendimiento de NFS.

NOTA: La identidad en disco SID se aplica a una red homogénea de sistemas de Windows administrada únicamente por

Active Directory. Al realizar una actualización de una versión anterior a OneFS 6.5, la identidad en disco se establece


como UNIX. Al realizar una actualización de la versión 6.5 o una superior, se conserva la configuración de la identidad en

disco. En las instalaciones nuevas, la identidad en disco se establece como nativa.

El tipo de identidad en disco nativa permite que el demonio de autenticación de OneFS seleccione la identidad correcta que se almacenará en el disco mediante la comprobación de los tipos de mapeo de identidades en el siguiente orden:

Pedido Tipo de mapeo Descripción

1 Mapeo algorítmico Un SID que coincide con S-1-22-1-UID o S-1-22-2-GID en la base de datos de mapeo de ID interna se vuelve a convertir en la identidad UNIX correspondiente, y el UID y el GID se establecen como la identidad en disco.

2 Mapeo externo Un usuario con un UID explícito y un GID definido en un servicio de directorio (como Active Directory con atributos de RFC 2307, LDAP, NIS, el proveedor de archivos OneFS o el proveedor local) tiene la identidad UNIX establecida como la identidad en disco.

3 Mapeo persistente Los mapeos se almacenan continuamente en la base de datos del mapeador de identidades. Una identidad con mapeo persistente en la base de datos del mapeador de identidades usa el destino de ese mapeo como la identidad en disco, lo que ocurre principalmente con los mapeos manuales de ID. Por ejemplo, si se mapeara GID:10000 a S-1-5-32-545, una solicitud de almacenamiento en disco de GID:10000 arrojaría S-1-5-32-545.

4 Sin mapeo Si un usuario carece de un UID o un GID incluso después de consultar los otros servicios de directorio y bases de datos de identidades, su SID se establece como la identidad en disco. Además, para asegurarse de que un usuario pueda acceder a los archivos mediante NFS, OneFS asigna un UID y un GID de un rango preestablecido de entre 1,000,000 y 2,000,000. En el modo de identidad en disco nativo, un UID o un GID que OneFS genere nunca se establecerá como la identidad en disco.

NOTA: Si cambia el tipo de identidad en disco, debería ejecutar el trabajo PermissionRepair con el tipo de reparación

Convert seleccionado para asegurarse de que la representación del disco de todos los archivos sea coherente con la

configuración modificada. Para obtener más información, consulte la sección Ejecutar el trabajo PermissionRepair.

Administrar mapeos de IDPuede crear, modificar y eliminar mapeos de identidad y configurar los ajustes del mapeo de ID.

Crear un mapeo de identidadPuede crear un mapeo de identidad manual entre las identidades de origen y de destino o generar automáticamente un mapeo para una identidad de origen.



2. Ejecute el comando isi auth mapping create.


El siguiente comando especifica los ID de origen e identidades de destino en la zona de acceso zone3 para crear un mapeo bidireccional entre las identidades:

isi auth mapping create --2way --source-sid=S-1-5-21-12345 \--target-uid=5211 --zone=zone3

Modificar un mapeo de identidadPuede modificar la configuración de un mapeo de identidad.



2. Ejecute el comando isi auth mapping modify.El siguiente comando modifica el mapeo del usuario con el UID 4236 en la zona de acceso zone3 para incluir un mapeo bidireccional e inverso entre las identidades de origen y de destino:

isi auth mapping modify --source-uid=4236 \--target-sid=S-1-5-21-12345 --zone=zone3 --2way

Eliminar un mapeo de identidadPuede eliminar uno o más mapeos de identidad.



2. Ejecute el comando isi auth mapping delete.El siguiente comando elimina todos los mapeos de identidad en la zona de acceso zone3:

isi auth mapping delete --all --zone=zone3

El siguiente comando elimina todos los mapeos de identidad en la zona de acceso zone3 que se hayan creado de forma automática y que incluyan un UID o GID de una fuente de autenticación externa:

isi auth mapping delete --all --only-external --zone=zone3

El siguiente comando elimina el mapeo de identidad del usuario con el UID 4236 en la zona de acceso zone3:

isi auth mapping delete --source-uid=4236 --zone=zone3

Ver un mapeo de identidadPuede mostrar la información de mapeo de una identidad específica.



2. Ejecute el comando isi auth mapping view.El siguiente comando muestra los mapeos de un usuario con el UID 4236 en la zona de acceso zone3:

isi auth mapping view --uid=4236 --zone=zone3


Name: user_36 On-disk: UID: 4236Unix uid: 4236Unix gid: -100000 SMB: S-1-22-1-4236


Vaciar la caché de mapeo de identidadesPuede vaciar la caché de mapeo de ID para eliminar las copias en memoria de todos los mapeos de identidad o de uno específico.

La modificación de los mapeos de ID puede causar la desincronización de la caché, y los usuarios podrían experimentar lentitud o estancamientos durante la autenticación. Es posible vaciar la caché para sincronizar las asignaciones.



2. Ejecute el comando isi auth mapping flush.El siguiente comando vacía todos los mapeos de identidad del clúster:

isi auth mapping flush --all

El siguiente comando vacía el mapeo de un usuario con el UID 4236 en la zona de acceso zone3:

isi auth mapping flush --source-uid-4236 --zone=zone3

Ver un token de usuarioPuede ver los contenidos de un token de acceso generado para un usuario durante la autenticación.



2. Ejecute el comando isi auth mapping token.El siguiente comando muestra el token de acceso de un usuario con el UID 4236 en la zona de acceso zone3:

isi auth mapping token --uid=4236 --zone=zone3


User Name: user_36 UID: 4236 SID: S-1-22-1-4236 On Disk: 4236ZID: 3Zone: zone3Privileges: -Primary Group Name: user_36 GID: 4236 SID: S-1-22-2-4236 On Disk: 4236

Configurar los ajustes del mapeo de identidadesPuede habilitar o deshabilitar la asignación automática de UID y GID y personalizar el rango de los valores de ID en cada zona de acceso. El rango predeterminado es 1000000-2000000.



2. Ejecute el comando isi auth settings mapping modify.El siguiente comando habilita la asignación automática de UID y GID en la zona de acceso zone3 y establece sus rangos de asignación de 25000 a 50000:

isi auth settings mapping modify --gid-range-enabled=yes \--gid-range-min=25000 --gid-range-max=50000 --uid-range-enabled=yes \--uid-range-min=25000 --uid-range-max=50000 --zone=zone3


Ver la configuración del mapeo de identidadesPuede ver la configuración actual de los ajustes de mapeo de identidades en cada zona.



2. Ejecute el comando isi auth settings mapping view.El siguiente comando muestra la configuración actual de la zona de acceso zone3:

isi auth settings mapping view --zone=zone3


GID Range Enabled: Yes GID Range Min: 25000 GID Range Max: 50000UID Range Enabled: Yes UID Range Min: 25000 UID Range Max: 50000

Administración de las identidades de usuarioPuede administrar identidades de usuario creando reglas de asignación de usuarios.

Al crear reglas de asignación de usuarios, es importante recordar la siguiente información:

• Solo puede crear reglas de asignación de usuarios si está conectado al clúster a través de la zona System; sin embargo, puede aplicar reglas de asignación de usuarios a zonas de acceso específicas. Si crea una regla de asignación de usuarios para una zona de acceso específica, la regla se aplica solamente en el contexto de su zona.

• Al cambiar la asignación de usuarios en un nodo, OneFS propaga el cambio a los demás nodos.• Después de realizar un cambio en la asignación de usuarios, el servicio de autenticación de OneFS vuelve a cargar la configuración.

Ver la identidad de usuariosPuede ver las identidades y la membresía a grupos que posee un usuario determinado en los servicios Active Directory y de directorio LDAP, lo que incluye el historial del identificador de seguridad (SID) del usuario.

Este procedimiento debe realizarse a través de la interfaz de la línea de comandos (CLI).

NOTA: El token de acceso del usuario de OneFS contiene una combinación de identidades de Active Directory y LDAP si

ambos servicios de directorio están configurados. Puede ejecutar los siguientes comandos para descubrir las

identidades que se encuentran en cada servicio de directorio específico.


2. Vea una identidad de usuario de Active Directory simplemente ejecutando el comando isi auth users view.El siguiente comando muestra la identidad de un usuario llamado stand en el dominio de Active Directory denominado YORK:

isi auth users view --user=YORK\\stand --show-groups


Name: YORK\stand DN: CN=stand,CN=Users,DC=york,DC=hull,DC=example,DC=com DNS Domain: york.hull.example.com Domain: YORK Provider: lsa-activedirectory-provider:YORK.HULL.EXAMPLE.COMSam Account Name: stand UID: 4326 SID: S-1-5-21-1195855716-1269722693-1240286574-591111 Primary Group ID : GID:1000000 Name : YORK\york_sh_udg Additional Groups: YORK\sd-york space group YORK\york_sh_udg YORK\sd-york-group YORK\sd-group YORK\domain users


3. Para ver una identidad de usuario de LDAP, simplemente ejecute el comando isi auth users view.El siguiente comando muestra la identidad de un usuario de LDAP llamado stand:

isi auth user view --user=stand --show-groups


Name: stand DN: uid=stand,ou=People,dc=colorado4,dc=hull,dc=example,dc=comDNS Domain: - Domain: LDAP_USERS Provider: lsa-ldap-provider:Unix LDAPSam Account Name: stand UID: 4326 SID: S-1-22-1-4326 Primary Group ID : GID:7222 Name : stand Additional Groups: stand sd-group sd-group2

Crear una regla nueva o de pruebaPuede crear reglas de mapeo de usuarios para administrar identidades de usuario en el clúster.

Puede crear la primera regla de mapeo con la opción --user-mapping-rules para el comando isi zone zones modify System. Sin embargo, si trata de agregar otra regla con el comando anterior, reemplazará la regla existente en lugar de agregar la regla nueva a la lista de reglas. Para agregar más reglas a la lista de reglas, debe usar la opción --add-user-mapping-rules con el comando isi zone zones modify System.

NOTA: Si no especifica una zona de acceso, las reglas de mapeo de usuarios se crearán en la zona System.

1. Para crear una regla para fusionar el usuario de Active Directory con un usuario de LDAP, ejecute el siguiente comando, donde <user-a> y <user-b> son marcadores de posición para las identidades que se fusionarán; por ejemplo, user_9440 y lduser_010, respectivamente:

isi zone zones modify System --add-user-mapping-rules \ "<DOMAIN> <user-a> &= <user-b>"

Ejecute el siguiente comando para ver la regla:

isi zone zones view System

Si el comando se ejecuta correctamente, el sistema mostrará la regla de mapeo, la cual se puede ver en la línea User Mapping Rules del resultado:

Name: System Cache Size: 4.77M Map Untrusted: SMB Shares: - Auth Providers: - Local Provider: Yes NetBIOS Name: All SMB Shares: Yes All Auth Providers: Yes User Mapping Rules: <DOMAIN>\<user_a> &= <user_b>Home Directory Umask: 0077 Skeleton Directory: /usr/share/skel Zone ID: 1

2. Para verificar los cambios en el token, ejecute un comando similar al siguiente ejemplo:

isi auth mapping token <DOMAIN>\\<user-a>

Si el comando se ejecuta correctamente, el sistema mostrará un resultado similar al siguiente ejemplo:

User Name : <DOMAIN>\<user-a> UID : 1000201 SID : S-1-5-21-1195855716-1269722693-1240286574-11547


ZID: 1 Zone: System Privileges: -Primary Group Name : <DOMAIN>\domain users GID : 1000000 SID : S-1-5-21-1195855716-1269722693-1240286574-513Supplemental Identities Name : Users GID : 1545 SID : S-1-5-32-545

Name : lduser_010 UID : 10010 SID : S-1-22-1-10010

Name : example GID : 10000 SID : S-1-22-2-10000

Name : ldgroup_20user GID : 10026 SID : S-1-22-2-10026

Fusionar tokens de Windows y UNIXPuede usar el operador de unión o adición para fusionar dos nombres de usuario y formar un solo token.

Cuando los nombres de usuario de Windows y UNIX no coinciden en los servicios de directorio, puede escribir reglas de mapeo de usuarios que utilicen el operador de unión o adición para fusionar dos nombres de usuario en un único token. Por ejemplo, si el nombre de usuario de Windows de un usuario es win_bob y el nombre de usuario de UNIX es UNIX_bob, puede unirlos o anexarlos.

Cuando anexa una cuenta a otra cuenta, el operador de adición agrega la información de una identidad a otra. OneFS anexa los campos que las opciones especifiquen desde la identidad de origen a la identidad de destino. OneFS anexa los identificadores a la lista de grupos adicional.


2. Escriba una regla similar al siguiente ejemplo para unir los nombres de usuario de Windows y UNIX, donde <win-username> y <UNIX-username> son marcadores de posición que corresponden a las cuentas de Windows y UNIX del usuario:

MYDOMAIN\<win-username> &= <UNIX-username> []

3. Escriba una regla similar a la del siguiente ejemplo para anexar la cuenta de UNIX a la de Windows con la opción de grupos:

MYDOMAIN\<win-username> ++ <UNIX-username> [groups]

Recuperar el grupo primario de LDAPPuede crear una regla de asignación de usuarios para insertar información de grupo primario de LDAP en el token de acceso de un usuario o anexarla a este.

De forma predeterminada, el servicio de asignación de usuarios combina información de AD y LDAP, pero otorga prioridad a la información de AD. Las reglas de mapeo controlan cómo OneFS combina la información. Puede recuperar la información de grupo primario a partir de LDAP en lugar de AD.


2. Escriba una regla similar a la del siguiente ejemplo para insertar información de LDAP en el token de acceso de un usuario:

*\* += * [group]

3. Escriba una regla similar a la del siguiente ejemplo para anexar otra información de LDAP al token de acceso de un usuario:

*\* ++ * [user,groups]


Opciones de I/OLas reglas de mapeo pueden contener opciones orientadas a los campos de un token de acceso.

Un campo representa un aspecto de un token de acceso entre dominios, como el UID primario y el SID primario de usuario de un usuario que selecciona. Puede ver algunos de los campos en la interfaz de administración web de OneFS. User en la interfaz de administración web equivale al nombre de usuario. Además, puede ver campos en un token de acceso por medio del comando isi auth mapping token.

Cuando crea una regla, puede agregar una opción para manipular cómo OneFS combina los aspectos de dos identidades en un solo token. Por ejemplo, una opción puede exigirle a OneFS que anexe los grupos suplementarios a un token.

Un token incluye los siguientes campos que puede manipular según las reglas de mapeo de usuario:

• nombre de usuario• unix_name• primary_uid• primary_user_sid• primary_gid• primary_group_sid• additional_ids (incluye grupos suplementarios)

Las opciones controlan cómo una regla combina información de identidad en un token. La opción break es la excepción: Evita que OneFS procese reglas adicionales.

Si bien varias opciones se pueden aplicar a una regla, no todas las opciones se aplican a todos los operadores. La siguiente tabla describe el efecto de cada opción y los operadores involucrados.

Opción Operador Descripción

usuario insert, append En caso de que existan, copia el UID primario y el SID de usuario primario en el token.

groups insert, append En caso de que existan, copia el GID primario y el SID de grupo primario en el token.

groups insert, append Copia todos los identificadores adicionales en el token. Los identificadores adicionales excluyen el UID y el GID primarios, y el SID de usuario y el de grupo primarios.

default_user todos los operadores, excepto remove groups

Si el servicio de mapeo no puede encontrar el segundo usuario en una regla, el servicio trata de encontrar el nombre de usuario del usuario predeterminado. El nombre del usuario predeterminado no puede incluir comodines. Cuando configura la opción correspondiente al usuario predeterminado en una regla con la interfaz de la línea de comandos, debe hacerlo con un guion bajo: default_user.

break todos los operadores Evita que el servicio de mapeo aplique reglas que siguen el punto de inserción de la opción break. El servicio de mapeo genera el token final en el momento en el que se ejecuta esta opción.

Operadores de reglas de mapeoEl operador determina la función de una regla de mapeo.

Puede crear reglas de mapeo de usuario mediante la interfaz de administración web, en la que los operadores están detallados en una lista, o por medio de la interfaz de la línea de comandos.


Cuando crea una regla de mapeo con la interfaz de la línea de comandos (CLI) de OneFS, debe especificar un operador con un símbolo. El operador afecta la dirección con la que el servicio de mapeo procesa una regla. Para obtener más información sobre cómo crear una regla de mapeo, consulte el informe técnico Administración de identidades con el servicio de mapeo de usuarios de OneFS de Isilon. La siguiente tabla describe los operadores que puede usar en una regla de mapeo.

Una regla de mapeo puede contener solamente un operador.

Operador Interfaz web CLI Dirección Descripción

append Append fields from a user

++ De izquierda a derecha Modifica un token de acceso agregando campos al mismo. El servicio de mapeo anexa los campos especificados en la lista de opciones (user, group, groups) a la primera identidad en la regla. Los campos se copian de la segunda identidad en la regla. Todos los identificadores anexados pasan a ser miembros de la lista de grupos adicional. Una regla de append sin una opción ejecuta únicamente una operación de búsqueda; debe incluir una opción para modificar un token.

insert Insert fields from a user

+= De izquierda a derecha Modifica un token de acceso existente mediante la adición de campos. Los campos especificados en la lista de opciones (user, group, groups) se copian de la nueva identidad y se insertan en la identidad del token. Cuando la regla inserta un usuario primario o un grupo primario, se convierte en los nuevos usuario primario y grupo primario del token. El usuario primario y grupo primario anteriores se transfieren a la lista de identificadores adicionales. La modificación del usuario primario no cambia el nombre de usuario del token. Al insertar los grupos adicionales de una identidad, el servicio agrega los grupos nuevos a los grupos existentes.

replace Replace one user with a different user

=> De izquierda a derecha Elimina el token y lo reemplaza con el nuevo token identificado por el segundo nombre de usuario. Si el segundo nombre de usuario está


Operador Interfaz web CLI Dirección Descripción

vacío, el servicio de mapeo elimina el primer nombre de usuario del token y no quedará ninguno. Si un token no cuenta con ningún nombre de usuario, OneFS deniega el acceso con un error no such user.

remove groups Remove supplemental groups from a user

-- Unaria Modifica un token eliminando los grupos suplementarios.

join Join two users together

&= Bidireccional Inserta la nueva identidad en el token. Si la nueva identidad es el segundo usuario, el servicio de mapeo la inserta después de la identidad existente; de lo contrario, el servicio la inserta antes de la identidad existente. La ubicación del punto de inserción es relevante cuando la identidad existente ya ocupa el primer lugar en la lista, puesto que OneFS usa la primera identidad para determinar la propiedad de nuevos objetos del sistema de archivos.


Directorios principalesEsta sección contiene los siguientes temas:

Temas:

• Descripción general de los directorios principales• Permisos del directorio principal• Autenticación de usuarios SMB• Creación del directorio principal a través de SMB• Creación de directorios principales mediante los protocolos SSH y FTP• Creación del directorio principal en un ambiente mixto• Interacciones entre ACL y bits de modo• Configuración predeterminada del directorio principal en los proveedores de autenticación• Variables de expansión compatibles• Variables de dominio en el aprovisionamiento de directorios de inicio

Descripción general de los directorios principalesCuando se crea un usuario local, OneFS crea automáticamente un directorio principal para ese usuario. OneFS también es compatible con el aprovisionamiento dinámico del directorio principal para los usuarios que acceden al clúster mediante una conexión a un recurso compartido de SMB o iniciando sesión a través de FTP o SSH.

Independientemente del método con el que se crea un directorio principal, es posible configurar el acceso a este a través de una combinación de SMB, SSH y FTP.

Permisos del directorio principalPuede configurar el directorio principal de un usuario con una ACL de Windows o con bits de modo POSIX, que luego se convierten en una ACL sintética. El método con el cual se crea un directorio principal determina los permisos iniciales que se establecen en el directorio.

Cuando crea un usuario local, el directorio principal del usuario se crea con bits de modo de manera predeterminada.

Para los usuarios que implementan la autenticación con fuentes externas, puede especificar la configuración para crear directorios principales de manera dinámica durante el inicio de sesión. Si se crea un directorio principal durante el inicio de sesión a través de SSH o FTP, se configura con bits de modo; si se crea un directorio principal durante una conexión de SMB, recibe bits de modo o una ACL. Por ejemplo, si un usuario de LDAP primero inicia sesión a través de SSH o FTP, el directorio principal del usuario se crea con bits de modo. Si el mismo usuario se conecta primero a través de un recurso compartido de SMB, el directorio principal se crea con los permisos indicados en la configuración de SMB. Si se habilita la opción --inheritable-path-acl, se genera una ACL; de lo contrario, se usan los bits de modo.

Autenticación de usuarios SMBPuede autenticar usuarios SMB de proveedores de autenticación que puedan manejar hashes NT.

SMB envía un hash de contraseña NT para autenticar usuarios SMB, de modo que únicamente usuarios de proveedores de autenticación capaces de manejar hashes NT puedan iniciar sesión mediante SMB. Los siguientes proveedores de autenticación compatibles con OneFS pueden manejar hashes NT:

• Active Directory• Ubicación• LDAPSAM (LDAP con extensiones de Samba habilitadas)

9

138 Directorios principales

Creación del directorio principal a través de SMBPuede crear recursos compartidos de SMB mediante la inclusión de variables de expansión en la ruta del recurso compartido. Las variables de expansión permiten que los usuarios se conecten al recurso compartido para acceder a sus directorios principales. También puede habilitar el aprovisionamiento dinámico de directorios principales que no existen durante el tiempo de conexión de SMB.

NOTA: Los permisos del recurso compartido se revisan cuando se accede a los archivos, antes de que se revisen los

permisos subyacentes del sistema de archivos. Cualquiera de estos permisos puede evitar el acceso al archivo o al

directorio.

Crear directorios principales con variables de expansiónPuede configurar parámetros con variables de expansión para crear directorios principales de recursos compartidos de SMB.

Cuando los usuarios acceden al clúster a través de SMB, el acceso al directorio principal se hace mediante los recursos compartidos de SMB. Puede configurar parámetros con una ruta que utilice una sintaxis de expansión variable para permitir que un usuario se conecte con su recurso compartido de directorio principal.

NOTA: Las rutas de los recursos compartidos del directorio principal deben comenzar con /ifs/ y encontrarse en la

ruta raíz de la zona de acceso en la que se crea el recurso compartido de SMB del directorio principal.

En los siguientes comandos, la opción --allow-variable-expansion se habilita para indicar que %U debe expandirse al nombre de usuario, que es user411 en este ejemplo. La opción --auto-create-directory se habilita para crear el directorio en caso de que no exista:

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full isi smb shares view HOMEDIR


Share Name: HOMEDIR Path: /ifs/home/%U Description: Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...Cuando user411 se conecta al recurso compartido con el comando net use, el directorio principal del usuario se crea en /ifs/home/user411. En el cliente Windows de user411, el comando net usem: se conecta a /ifs/home/user411 a través del recurso compartido HOMEDIR:

net use m: \\cluster.company.com\HOMEDIR /u:user4111. Ejecute los siguientes comandos en el clúster con la opción --allow-variable-expansion habilitada. La variable de expansión %U se

expande al nombre de usuario y la opción --auto-create-directory se habilita para crear el directorio, si este no existe:

isi smb shares create HOMEDIR --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full

2. Ejecute el siguiente comando para ver los ajustes del directorio principal:

isi smb shares view HOMEDIR


Share Name: HOMEDIR Path: /ifs/home/%U Description:

Directorios principales 139

Client-side Caching Policy: manualAutomatically expand user names or domain names: TrueAutomatically create home directories for users: True Browsable: TruePermissions:Account Account Type Run as Root Permission Type Permission------------------------------------------------------------Everyone wellknown False allow full ------------------------------------------------------------Total: 1...Si user411 se conecta al recurso compartido con el comando net use, el directorio principal de user411 se crea en /ifs/home/user411. En el cliente Windows de user411, el comando net usem: se conecta a /ifs/home/user411 a través del recurso compartido HOMEDIR, y se asigna la conexión similar al siguiente ejemplo:

net use m: \\cluster.company.com\HOMEDIR /u:user411

Create home directories with the --inheritable-path-acl optionPuede habilitar la opción --inheritable-path-acl en un recurso compartido para especificar que se heredará en la ruta del recurso compartido si el directorio principal cuenta con una ACL heredable.

Para realizar la mayoría de las tareas de configuración, debe iniciar sesión como miembro de la función SecurityAdmin.

De forma predeterminada, se crea una ruta de directorio del recurso compartido de SMB con una ACL sintética basada en bits de modo. Puede habilitar la opción --inheritable-path-acl para utilizar la ACL heredable en todos los directorios creados, ya sea en el momento de creación del recurso compartido o en aquellos provisionados dinámicamente al establecerse la conexión con dicho recurso compartido.

1. Ejecute comandos similares a los siguientes ejemplos para habilitar la opción --inheritable-path-acl en el clúster para provisionar dinámicamente un directorio principal de usuario en la primera conexión con un recurso compartido del clúster:

isi smb shares create HOMEDIR_ACL --path=/ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes \ --inheritable-path-acl=yes

isi smb shares permission modify HOMEDIR_ACL \ --wellknown Everyone \ --permission-type allow --permission full

2. Ejecute un comando net use similar al del siguiente ejemplo en un cliente Windows para mapear el directorio principal para user411:

net use q: \\cluster.company.com\HOMEDIR_ACL /u:user411

3. Ejecute un comando como el del siguiente ejemplo en el clúster para ver los permisos de ACL heredada para el recurso compartido user411:

cd /ifs/home/user411ls -lde .


drwx------ + 2 user411 Isilon Users 0 Oct 19 16:23 ./ OWNER: user:user411 GROUP: group:Isilon Users CONTROL:dacl_auto_inherited,dacl_protected 0: user:user411 allow dir_gen_all,object_inherit,container_inherit

Crear directorios principales especiales con la variable %U de recursos compartidos de SMBLa variable %U en el nombre de recursos compartidos de SMB especiales le permite crear un recurso compartido de SMB de directorio principal que aparece igual que el nombre de un usuario.


Generalmente, se configura un recurso compartido de SMB %U con una ruta de recurso compartido que incluye la variable de expansión %U. Si un usuario intenta conectarse con un recurso compartido que coincida con el nombre de inicio de sesión y este no existe, el usuario se conectará al recurso compartido %U en su lugar y será dirigido a la ruta expandida para el recurso compartido %U.

NOTA: Si hay otro recurso compartido de SMB que coincida con el nombre del usuario, el usuario se conectará con el

recurso compartido nombrado explícitamente en lugar de con el recurso compartido %U.

Ejecute el siguiente comando para crear un recurso compartido que coincida con el nombre de inicio de sesión del usuario autenticado cuando el usuario se conecte con el recurso compartido:

isi smb share create %U /ifs/home/%U \ --allow-variable-expansion=yes --auto-create-directory=yes \ --zone=System

Después de ejecutar este comando, el usuario Zachary verá un recurso compartido denominado “zachary” en vez de “%U”, y cuando Zachary intente conectarse al recurso compartido “zachary”, se le redirigirá a /ifs/home/zachary. En un cliente Windows, si Zachary ejecuta los siguientes comandos, verá el contenido de su directorio /ifs/home/zachary:

net use m: \\cluster.ip\zachary /u:zachary cd m:dir

De igual modo, si la usuaria Claudia ejecuta los siguientes comandos en un cliente Windows, verá el contenido del directorio /ifs/home/claudia:

net use m: \\cluster.ip\claudia /u:claudia cd m: dir

Zachary y Claudia no pueden acceder al directorio principal del otro porque el recurso compartido “zachary” solo existe para Zachary y el recurso compartido “claudia” solo existe para Claudia.

Creación de directorios principales mediante los protocolos SSH y FTPEs posible configurar la compatibilidad con directorios principales para aquellos usuarios que acceden al clúster mediante el protocolo SSH o FTP a través de la modificación de la configuración del proveedor de autenticación.

Configuración del shell de inicio de sesión de protocolo SSH o FTPPuede utilizar la opción --login-shell para establecer el shell de inicio de sesión predeterminado para el usuario.

De forma predeterminada, la opción --login-shell, si se especifica, reemplaza cualquier información de shell de inicio de sesión proporcionada por el proveedor de autenticación, excepto con Active Directory. Si la opción --login-shell se especifica con Active Directory, representará el shell de inicio de sesión predeterminado solamente en caso de que el servidor Active Directory no proporcione la información del shell de inicio de sesión.

NOTA: Los siguientes ejemplos hacen referencia a establecer el shell de inicio de sesión en /bin/bash. También lo

puede establecer en /bin/rbash.

1. Ejecute el siguiente comando para establecer el shell de inicio de sesión para todos los usuarios locales en /bin/bash:

isi auth local modify System --login-shell /bin/bash

2. Ejecute el siguiente comando para establecer el shell de inicio de sesión para todos los usuarios de Active Directory de su dominio en /bin/bash:

isi auth ads modify YOUR.DOMAIN.NAME.COM --login-shell /bin/bash


Establecer los permisos del directorio principal de protocolo SSH/FTPPuede especificar permisos para un directorio principal al que se accede mediante protocolo SSH o FTP con la definición de un valor umask.


Cuando el directorio principal de un usuario se crea durante el inicio de sesión mediante protocolo SSH o FTP, se genera utilizando bits de modo de POSIX. El parámetro de permisos del directorio principal de un usuario se establece en 0755 y luego se enmascara de acuerdo con el ajuste de umask de la zona de acceso del usuario para limitar adicionalmente los permisos. Puede modificar el ajuste de umask de una zona mediante la opción --home-directory-umask, con la que debe especificar un número octal como valor de umask.

1. Ejecute el siguiente comando para crear un DAG:



Name: System Path: /ifs Groupnet: groupnet0 Map Untrusted: - Auth Providers: lsa-local-provider:System, lsa-file-provider:System NetBIOS Name: - User Mapping Rules: - Home Directory Umask: 0077 Skeleton Directory: /usr/share/skel Cache Entry Expiry: 4H Negative Cache Entry Expiry: 1m Zone ID: 1En el resultado del comando, puede ver que el valor predeterminado de Home Directory Umask para el directorio principal creado es 0700, lo que equivale a (0755 y ~(077)). Puede modificar los ajustes de Home Directory Umask de una zona mediante la opción --home-directory-umask, con la que debe especificar un número octal como valor de umask. Este valor indica que los permisos se van a deshabilitar, de modo que unos valores de umask más elevados implican menores permisos. Por ejemplo, un valor de umask de 000 o 022 brinda los permisos del directorio principal creado de 0755, mientras que un valor de umask de 077 brinda los permisos del directorio principal creado de 0700.

2. Ejecute un comando similar al del siguiente ejemplo para permitir que un grupo u otros usuarios tengan un permiso de escritura/ejecución en un directorio principal:

isi zone zones modify System --home-directory-umask=022

En este ejemplo, los directorios principales de usuario se crearán con los bits de modo 0755 enmascarados por el campo umask, que está definido en un valor de 022. Por lo tanto, los directorios principales de usuario se crearán con los bits de modo 0755, lo que equivale a (0755 y ~(022)).

Establecer opciones de creación del directorio principal de protocolo SSH/FTPPuede configurar el soporte de directorio principal para un usuario que accede al clúster mediante protocolo SSH o FTP especificando las opciones del proveedor de autenticación.

1. Ejecute el siguiente comando para ver los ajustes para un proveedor de autenticación de Active Directory en el clúster:

isi auth ads list


Name Authentication Status DC Name Site ---------------------------------------------------------YOUR.DOMAIN.NAME.COM Yes online - SEA---------------------------------------------------------Total: 1


2. Ejecute el comando isi auth ads modify con las opciones --home-directory-template y--create-home-directory.

isi auth ads modify YOUR.DOMAIN.NAME.COM \--home-directory-template=/ifs/home/ADS/%D/%U \--create-home-directory=yes

3. Ejecute el comando isi auth ads view con la opción --verbose.El sistema muestra un resultado similar al siguiente ejemplo:

Name: YOUR.DOMAIN.NAME.COM NetBIOS Domain: YOUR ... Create Home Directory: Yes Home Directory Template: /ifs/home/ADS/%D/%U Login Shell: /bin/sh

4. Ejecute el comando id.El sistema muestra un resultado similar al siguiente ejemplo:

uid=1000008(<your-domain>\user_100) gid=1000000(<your-domain>\domain users) groups=1000000(<your-domain>\domain users),1000024(<your-domain>\c1t),1545(Users)

5. Opcional: Para verificar esta información desde un nodo UNIX externo, ejecute el comando ssh desde un nodo UNIX externo.Por ejemplo, el siguiente comando crearía /ifs/home/ADS/<your-domain>/user_100 si no existiera previamente:

ssh <your-domain>\\[email protected]

Provisionar directorios principales con archivos dotPuede provisionar directorios principales con archivos dot.


El directorio skeleton, que se ubica en /usr/share/skel de forma predeterminada, contiene un conjunto de archivos que se copian en el directorio principal del usuario cuando se crea un usuario local o cuando el directorio principal de un usuario se crea dinámicamente durante el inicio de sesión. Los archivos del directorio skeleton que comienzan con dot. cambian su nombre para eliminar el prefijo dot cuando se copian en el directorio principal del usuario. Por ejemplo, dot.cshrc se copia en el directorio principal del usuario como .cshrc. Este formato permite que los archivos dot del directorio skeleton se puedan ver a través de la interfaz de la línea de comandos sin necesidad del comando ls-a.

Para los recursos compartidos de SMB que pudieran utilizar los directorios principales a los que se provisionaron archivos dot, puede definir una opción para impedir que los usuarios que se conectan al recurso compartido a través de SMB puedan ver los archivos dot.

1. Ejecute el siguiente comando para mostrar el directorio skeleton predeterminado en la zona de acceso del sistema:



Nombre: System... Skeleton Directory: /usr/share/skel

2. Ejecute el comando isi zone zones modify para modificar el directorio skeleton predeterminado.El siguiente comando modifica el directorio skeleton predeterminado /usr/share/skel en una zona de acceso, donde System es el valor para la opción <zone> y /usr/share/skel2 es el valor para la opción <path>:

isi zone zones modify System --skeleton-directory=/usr/share/skel2

Creación del directorio principal en un ambiente mixtoSi un usuario inicia sesión a través de SMB y SSH, se recomienda que configure los ajustes del directorio principal de forma que la plantilla de ruta sea la misma para el recurso compartido de SMB y para cada proveedor de autenticación que el usuario utilice para autenticarse a través de SSH.


Interacciones entre ACL y bits de modoLa configuración del directorio principal se determina mediante varios factores, incluida la forma de autenticación de los usuarios y las opciones que especifican la creación del directorio principal.

El directorio principal de un usuario puede configurarse con ACL o bits de modo de POSIX, que se convierten en una ACL sintética. El directorio de un usuario local se crea a la vez que se crea ese usuario local, y el directorio está configurado con bits de modo de POSIX de forma predeterminada. Los directorios se pueden provisionar dinámicamente en el inicio de sesión para usuarios que se autentiquen en orígenes externos y, en algunos casos, para usuarios que se autentiquen en el proveedor de archivos. En esta situación, el directorio principal del usuario se crea de acuerdo con la forma en que el usuario inicia sesión por primera vez.

Por ejemplo, si un usuario de LDAP inicia sesión por primera vez a través de los protocolos SSH o FTP y se crea el directorio principal del usuario, se creará con bits de modo de POSIX. Si ese mismo usuario se conecta por primera vez a través de un recurso compartido de directorio principal de SMB, el directorio principal se creará según se haya especificado en las opciones de SMB. Si la opción --inherited-path-acl está habilitada, se generarán ACL. De lo contrario, se usarán bits de modo de POSIX.

Configuración predeterminada del directorio principal en los proveedores de autenticaciónLa configuración predeterminada que afecta la forma en que se configuran los directorios principales varía según el proveedor de autenticación elegido por el usuario para realizar la autenticación.

Proveedor de autenticación Directorio principal Creación del directorio principal

Shell de inicio de sesión de UNIX

Ubicación • --home-directory-template=/ifs/home/%U

• --create-home-directory=yes

• --login-shell=/bin/sh

Activado /bin/sh

Archivo • --home-directory-template=""

• --create-home-directory=no

Desactivado Ninguno

Active Directory • --home-directory-template=/ifs/home/%D/%U

• --create-home-directory=no• --login-shell=/bin/sh

NOTA: Si la información del proveedor está disponible, reemplaza a este valor.

Desactivado /bin/sh

LDAP • --home-directory-template=""


Desactivado Ninguno

NIS • --home-directory-template=""


Desactivado Ninguno

Referencia relacionada

Variables de expansión compatibles


Variables de expansión compatiblesPuede incluir variables de expansión en una ruta de recursos compartidos de SMB o en la plantilla del directorio principal de un proveedor de autenticación.

OneFS es compatible con las siguientes variables de expansión. Puede mejorar el rendimiento y disminuir la cantidad de recursos compartidos que se administran cuando los configura con variables de expansión. Por ejemplo, puede incluir la variable %U para un recurso compartido en lugar de crear un recurso compartido para cada usuario. Cuando se incluye un %U en el nombre para que cada ruta de usuario sea diferente, la seguridad sigue estando garantizada debido a que cada usuario únicamente puede ver su directorio principal y acceder a este.

NOTA: Cuando crea un recurso compartido de SMB a través de la interfaz de administración web, debe seleccionar la

casilla de verificación Allow Variable Expansion o el sistema interpretará la cadena literalmente.

Variable Valor Descripción

%U Nombre de usuario (por ejemplo, user_001) Se extiende al nombre de usuario para permitir que diferentes usuarios usen distintos directorios principales. Por lo general, esta variable se incluye al final de la ruta. Por ejemplo, para un usuario denominado user1, la ruta /ifs/home/%U se mapea a /ifs/home/user1.

%D Nombre de dominio NetBIOS (por ejemplo, YORK para YORK.EAST.EXAMPLE.COM)

Se extiende al nombre de dominio del usuario, según el proveedor de autenticación:

• Para los usuarios de Active Directory, %D se extiende al nombre Active Directory NetBIOS.

• Para los usuarios locales, %D se extiende al nombre del clúster con caracteres en mayúscula. Por ejemplo, para un clúster denominado cluster1, %D se extiende a CLUSTER1.

• Para los usuarios en el proveedor de archivos del sistema, %D se extiende a UNIX_USERS.

• Para los usuarios en otros proveedores de archivos, %D se extiende a FILE_USERS.

• Para los usuarios de LDAP, %D se extiende a LDAP_USERS.

• Para los usuarios de NIS, %D se extiende a NIS_USERS.

%Z Nombre de zona (por ejemplo, ZoneABC) Se extiende al nombre de la zona de acceso. Si hay varias zonas habilitadas, esta variable es útil para diferenciar a los usuarios en zonas distintas. Por ejemplo, para un usuario denominado user1 en la zona System, la ruta /ifs/home/%Z/%U se mapea a /ifs/home/System/user1.

%L Nombre de host (nombre de host del clúster en minúscula)

Se extiende al nombre de host del clúster, normalizado a minúscula. Uso limitado.

%0 Primer carácter del nombre de usuario Se extiende al primer carácter del nombre de usuario.

%1 Segundo carácter del nombre de usuario Se extiende al segundo carácter del nombre de usuario.

%2 Tercer carácter del nombre de usuario Se extiende al tercer carácter del nombre de usuario.


NOTA: Si el nombre de usuario incluye menos de tres caracteres, las variables %0, %1 y %2 se ajustan automáticamente.

Por ejemplo, para un usuario denominado “ab”, las variables se mapean a “a”, “b” y “a”, respectivamente. Para un

usuario denominado “a”, las tres variables se mapean a “a”.

Variables de dominio en el aprovisionamiento de directorios de inicioPuede usar variables de dominio para especificar proveedores de autenticación al provisionar directorios de inicio.

Por lo general, la variable de dominio (%D) se utiliza para los usuarios de Active Directory, pero cuenta con un valor establecido que se puede usar para otros proveedores de autenticación. La expansión de %D está descrita en la siguiente tabla para los diversos proveedores de autenticación.

Usuario autenticado Expansión de %D

Usuario de Active Directory Nombre de Active Directory NetBIOS; por ejemplo, YORK para el proveedor YORK.EAST.EXAMPLE.COM.

Usuario local El nombre del clúster con todos los caracteres en mayúsculas; por ejemplo, si el clúster se denomina MyCluster, %D se expande a MYCLUSTER.

Usuario de archivo • UNIX_USERS (para el proveedor de archivos del sistema)• FILE_USERS (para los demás proveedores de archivos)

Usuario de LDAP LDAP_USERS (para todos los proveedores de autenticación LDAP)

Usuario de NIS NIS_USERS (para rodos los proveedores de autenticación NIS)


Variables de expansión compatibles


Control de acceso a los datosEsta sección contiene los siguientes temas:

Temas:

• Descripción general del control de acceso a datos• ACL• Permisos de UNIX• Ambientes de permisos mixtos• Administración de permisos de acceso

Descripción general del control de acceso a datosOneFS admite dos tipos de datos de permisos en archivos y directorios que controlan los entes que tienen acceso: listas de control de acceso (ACL) de Windows y bits de modo POSIX (permisos UNIX). Es posible configurar políticas globales que le permiten personalizar los permisos de ACL y UNIX predeterminados para brindar el mejor apoyo a su ambiente.

El sistema de archivos de OneFS se instala con permisos de UNIX de forma predeterminada. Puede otorgar una ACL a un archivo o directorio mediante el uso de las herramientas administrativas de OneFS o del Explorador de Windows. Comúnmente, los archivos que se crean mediante SMB o en un directorio que tiene una ACL reciben una ACL. Si un archivo recibe una ACL, OneFS deja de aplicar los bits de modo del archivo; los bits de modo se proporcionan solo para la compatibilidad de protocolos, no para el control de acceso.

OneFS admite el acceso multiprotocolo a los datos mediante Network File System (NFS) y el bloque de mensajes del servidor (SMB) con un modelo de seguridad unificado. A un usuario se le otorga o se le niega el mismo acceso a un archivo cuando se usa SMB para el archivo compartido en Windows, tal como sucede con NFS para el uso compartido de archivos en UNIX.

NFS permite que los clientes Linux y UNIX monten de manera remota cualquier subdirectorio, incluidos los subdirectorios creados por los usuarios de Windows o SMB. Los clientes de Linux y UNIX también pueden montar subdirectorios protegidos por ACL creados por un administrador de OneFS. SMB otorga a los usuarios de Windows acceso a los archivos, directorios y otros recursos del sistema de archivos almacenados por los sistemas UNIX y Linux. Las ACL pueden afectar tanto a los usuarios de Windows como a los usuarios locales, de NIS y de LDAP.

De forma predeterminada, OneFS mantiene los mismos permisos de archivos sin importar el sistema operativo del cliente, el sistema de administración de identidades ni el protocolo de uso compartido de archivos. Cuando OneFS debe transformar los permisos de un archivo de ACL a bits de modo, o viceversa, fusiona los permisos y da lugar a una representación óptima que equilibra excepcionalmente las expectativas del usuario y la seguridad del archivo.

ACLEn ambientes de Windows, los permisos de directorio y archivo, conocidos como derechos de acceso, se definen en las listas de control de acceso (ACL). Si bien las ACL son más complejas que los bits de modo, pueden expresar conjuntos de reglas de acceso mucho más granulares. OneFS comprueba las reglas de procesamiento de ACL comúnmente asociadas a las ACL de Windows.

Una ACL de Windows puede incluir o no entradas de control de acceso (ACE); cada una de estas representa el identificador de seguridad (SID) de un usuario o grupo como administrador de confianza. En OneFS, una ACL puede contener ACE con un UID, GID, o SID como el administrador de confianza. Cada ACE contiene un conjunto de derechos que permiten o deniegan acceso a un archivo o carpeta. De forma opcional, una ACE puede incluir una marca de herencia para especificar si los archivos y carpetas secundarios deben heredar la ACE.

NOTA: En lugar de los tres permisos estándares disponibles para bits de modo, las ACL tienen 32 bits de derechos de

acceso detallados. De estos, los 16 bits superiores son generales y se aplican a todos los tipos de objeto. Los 16 bits

inferiores varían entre archivos y directorios, pero se definen de manera tal que la mayoría de las aplicaciones puedan

aplicar los mismos bits para archivos y directorios.

Los derechos otorgan o deniegan acceso para un administrador de confianza determinado. Puede bloquear el acceso de usuarios explícitamente mediante una ACE de denegación. Para hacerlo implícitamente, verifique que un usuario no aparezca en una ACE que otorgue el derecho, ya sea directamente o indirectamente por medio de un grupo.

10

Control de acceso a los datos 147

Permisos de UNIXEn un ambiente UNIX, los bits de modo POSIX controlan el acceso a archivos y directorios y otorgan permisos de lectura, escritura y ejecución al usuario propietario, al grupo propietario y a cualquier otro.

OneFS admite las herramientas estándar de UNIX para la visualización y la modificación de permisos: ls, chmody chown. Para obtener más información, ejecute los comandos man ls, man chmod y man chown.

Todos los archivos contienen 16 bits de permisos, los cuales brindan información sobre el tipo de archivo o directorio y los permisos. Los nueve bits inferiores se agrupan en tres conjuntos de tres bits, denominados tríos, que incluyen los permisos de lectura, escritura y ejecución (rwx) para cada clase de usuario: propietario, grupo y otros. Puede configurar marcas de permisos para otorgar permisos a cada una de estas clases.

A menos que el usuario sea raíz, OneFS comprueba la clase para determinar si se debe otorgar o denegar el acceso al archivo. Las clases no son acumulativas: se aplica la primera clase que coincida. Por lo tanto, es común otorgar permisos en orden decreciente.

Ambientes de permisos mixtosCuando una operación de archivos solicita datos de autorización de un objeto, por ejemplo, con el comando ls-l mediante NFS o con la pestaña Security del cuadro de diálogo Properties en el Explorador de Windows mediante SMB, OneFS trata de proporcionar esos datos en el formato solicitado. En un ambiente que combina los sistemas UNIX y Windows, es posible que se necesite de la traducción al ejecutar las operaciones create file, set security, get security o access.

Acceso NFS de archivos creados por WindowsSi un archivo contiene un grupo o usuario propietario que es un SID, el sistema intenta mapearlo a un UID o GID correspondiente antes de devolvérselo al llamador.

En UNIX, para recuperar los datos de autorización, se debe llamar a stat(2) en un archivo y analizar el propietario, el grupo y los bits de modo. En NFSv3, el comando GETATTR funciona de manera similar. El sistema aproxima los bits de modo y los configura en el archivo cada vez que se modifica la ACL. Las aproximaciones de bits de modo se deben recuperar solamente para que se efectúen estas llamadas.

NOTA:

Los mapeos de SID a UID y de SID a GID se almacenan en caché en el mapeador de ID de OneFS y la caché stat. Si un

mapeo cambió recientemente, el archivo podría proporcionar información incorrecta hasta que se actualice el archivo o

se despeje la caché.

Acceso SMB de archivos creados por UNIXNo se ejecutan mapeos de UID a SID o de GID a SID al crear una ACL para un archivo; todos los UID y GID se convierten en SID o principales cuando se devuelve la ACL.

OneFS inicia un proceso de dos pasos para devolver un descriptor de seguridad, el cual contiene SID para el grupo primario y propietario de un objeto:

1. El descriptor de seguridad actual se recupera a partir del archivo. Si el archivo no posee una lista de control de acceso discrecional (DACL), se construye una ACL sintética a partir de los nueve bits de modo inferiores del archivo, separados en tres conjuntos de tríos de permisos, uno para cada propietario, grupo y para cada uno. Para obtener detalles sobre los bits de modo, consulte el tema permisos de UNIX.

2. Se crean dos entradas de control de acceso (ACE) para cada trío: la ACE de autorización contiene los derechos correspondientes que se otorgan según los permisos; la ACE de denegación incluye los derechos correspondientes que se deniegan. En ambos casos, el administrador de confianza de la ACE corresponde al propietario del archivo, grupo o a todos. Una vez generadas todas las ACE, las que no se necesitan se eliminan antes de que se devuelva la ACL sintética.

Administración de permisos de accesoLa representación interna de identidades y permisos pueden contener información de orígenes de UNIX, de Windows o de ambos. Puesto que los protocolos de acceso pueden procesar la información desde solamente uno de estos orígenes, es posible que el sistema necesite realizar estimaciones aproximadas para presentar la información en un formato que el protocolo pueda procesar.

148 Control de acceso a los datos

Ver permisos de usuario esperadosPuede ver los permisos esperados para el acceso del usuario a un archivo o directorio.

Este procedimiento debe realizarse a través de la interfaz de la línea de comandos (CLI).


2. Para ver los permisos de usuario esperados, ejecute el comando isi auth access.El siguiente comando muestra los permisos en /ifs/ para el usuario que especifica en el lugar de <username>:

isi auth access <username> /ifs/


User Name : <username> UID : 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<username> \ allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

3. Para ver los permisos de bits de modo correspondientes a un usuario, ejecute el comando isi auth access.El siguiente comando muestra información sobre permisos de archivos en modo detallado en /ifs/ para el usuario que especifique en el lugar de <username>:

isi auth access <username> /ifs/ -v


User Name : <username> UID \: 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018 File Owner : user:root Group : group:wheel Mode : drwxrwxrwx Relevant Mode : d---rwx--- Permissions Expected : user:<username>allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child

4. Para ver los permisos de usuario de la ACL esperados en un archivo para un usuario, ejecute el comando isi auth access.El siguiente comando muestra los permisos de archivos de la ACL en modo detallado para el archivo file_with_acl.tx en /ifs/data/ correspondiente al usuario que especifique en el lugar de <username>:

isi auth access <username> /ifs/data/file_with_acl.tx -v


User Name : <username> \UID : 2097 SID : SID:S-1-7-21-2141457107-1614332578-1691322789-1018 File Owner : user:<username> Group : group:wheel Permissions Expected : user:<username> allow file_gen_read,file_gen_write,std_write_dac Relevant Acl: group:<group-name> Users allow file_gen_read user:<username> allow std_write_dac,file_write,append,file_write_ext_attr,file_write_attr group:wheel allow file_gen_read,file_gen_write

Configurar los ajustes de administración de accesoEntre los ajustes de acceso predeterminados se incluyen la necesidad de envío de respuestas NTLMv2 para conexiones SMB, el tipo de identidad para almacenar en disco, el nombre de grupo de trabajo de Windows para ejecutar en modo local y la sustitución de caracteres para los espacios encontrados en los nombres de usuarios y grupos.

Configure los ajustes de administración de acceso ejecutando el comando isi auth settings global modify.

Control de acceso a los datos 149

El siguiente comando modifica la configuración global de un grupo de trabajo:

isi auth settings global modify \ --send-ntlmv2=false --on-disk-identity=native \ --space-replacement="_" --workgroup=WORKGROUP

Modificar los ajustes de políticas de ACLPuede modificar los ajustes de políticas de ACL, pero los ajustes de políticas de ACL predeterminados son suficientes para la mayoría de implementaciones de clúster.

PRECAUCIÓN: Debido a que las políticas de ACL cambian el comportamiento de los permisos en todo el sistema,

deberían modificarse solo lo necesario por parte de administradores experimentados con conocimientos avanzados en

ACL de Windows. Esto se hace verdaderamente patente con los ajustes avanzados, que se aplican independientemente

del ambiente del clúster.

Para ambientes UNIX, Windows o balanceados, la configuración óptima de la política de permisos está seleccionada y no puede modificarse. Sin embargo, de ser necesario, puede optar por establecer manualmente la configuración de permisos predeterminada del clúster para admitir su ambiente en particular.

Ejecute el siguiente comando para modificar la configuración de la política de ACL:

isi auth settings acls modify

Ejecutar el trabajo PermissionsRepairPuede actualizar los permisos o la propiedad de archivos y directorios ejecutando el trabajo Repair Permissions. Para evitar que se produzcan problemas con los permisos, como los que pueden ocurrir después de cambiar la identidad en disco, ejecute esta tarea con el trabajo Convert Permissions para asegurarse de que los cambios se propaguen completamente por todo el clúster.

Para evitar que ocurran problemas de permisos después de cambiar la identidad en disco, ejecute este trabajo de control de acceso y autenticación con el modo convert especificado a fin de garantizar que los cambios se propaguen completamente en todo el clúster.

Actualice los permisos del clúster mediante el comando isi job jobs start con la siguiente sintaxis.El siguiente comando actualiza los permisos del clúster, donde permissionrepair especifica el tipo de trabajo y las variables entre paréntesis angulares son marcadores de posición para valores específicos de su ambiente:

isi job start permissionrepair --priority <1-10> \ --policy <policy> --mode <clone | inherit | convert > \ --mapping-type=<system | sid | unix | native> --zone <zone-name>

NOTA: No puede combinar el parámetro --template con la opción de modo convert, pero puede combinar el parámetro

con las opciones de modo clone y inherit. Por el contrario, no puede combinar los parámetros --mapping-type y --zone

con las opciones de modo clone y inherit, pero puede combinar los parámetros con la opción de modo convert.

El siguiente ejemplo actualiza los permisos del clúster, donde permissionrepair especifica el tipo de trabajo, la prioridad es 3, el modo elegido es convert y el tipo de mapeo es unix:

isi job jobs start permissionrepair --priority=3 \ --policy myPolicy --mode=convert --mapping-type=unix \ --template <isi path> --path </ifs directory> --zone zone2

150 Control de acceso a los datos

Uso compartido de archivosEsta sección contiene los siguientes temas:

Temas:

• Descripción general del uso compartido de archivos• SMB• NFS• FTP• HTTP y HTTPS

Descripción general del uso compartido de archivosLa compatibilidad multiprotocolo de OneFS permite el acceso a los archivos y directorios en el clúster Isilon a través de SMB para el uso compartido de archivos en Windows, NFS para el uso compartido de archivos en UNIX, el protocolo SSH, FTP y HTTP. De manera predeterminada, solo se habilitan los protocolos SMB y NFS.

OneFS crea el directorio /ifs, que es el directorio raíz para todos los datos del sistema de archivos en el clúster. De manera predeterminada, el directorio /ifs se configura como un recurso compartido SMB y como una exportación de NFS. Puede crear recursos compartidos y exportaciones adicionales en el árbol de directorios /ifs.

NOTA: Se recomienda no guardar datos en la ruta de archivos /ifs raíz, sino en los directorios que se encuentran

debajo de /ifs. El diseño de la estructura de almacenamiento de datos se debe planear cuidadosamente. Una estructura

de directorio bien diseñada optimiza la administración y el rendimiento del clúster.

Puede establecer permisos basados en Windows y en UNIX en los archivos y directorios de OneFS. Los usuarios que cuenten con los permisos y privilegios administrativos necesarios pueden crear, modificar y leer los datos del clúster a través de uno o más protocolos compatibles de uso compartido de archivos.

• SMB. Permite a los clientes de Microsoft Windows y Mac OS X acceder a los archivos que se encuentran almacenados en el clúster.• NFS. Permite a los clientes Linux y UNIX que cumplen con las especificaciones RFC1813 (NFSv3) y RFC3530 (NFSv4) el acceso a los

archivos que se encuentran almacenados en el clúster.• HTTP y HTTPS (con DAV opcional). Permite a los clientes acceder a los archivos que se encuentran almacenados en el clúster a

través de un navegador web.• FTP. Permite a cualquier cliente que tenga un programa de cliente FTP acceder a los archivos que se encuentran almacenados en el

clúster a través del protocolo FTP.

Ambientes de protocolos mixtosEl directorio /ifs es el directorio raíz para todos los datos del sistema de archivos en el clúster y funciona como un recurso compartido de SMB, una exportación de NFS y un directorio raíz de documentos. Puede crear recursos compartidos y exportaciones adicionales en el árbol de directorios /ifs. Puede configurar su clúster OneFS para que use tanto SMB como NFS o solo uno de ellos. También puede habilitar los protocolos HTTP, FTP y SSH.

Los derechos de acceso se implementan de manera coherente en los protocolos de acceso de todos los modelos de seguridad. Al usuario se le otorgan o se le deniegan los mismos derechos a un archivo, utilice SMB o NFS. Los clústeres que ejecutan OneFS admiten un conjunto de ajustes de políticas globales que le permiten personalizar la lista de control de acceso (ACL) predeterminada y la configuración de permisos de UNIX.

OneFS se configura con permisos estándares de UNIX en el árbol de archivos. A través del Explorador de Windows o de las herramientas administrativas de OneFS, puede otorgar una ACL a cualquier archivo o directorio. Además de los usuarios y grupos del dominio de Windows, las ACL en OneFS pueden incluir usuarios y grupos locales, de NIS y de LDAP. Después de que se le otorga una ACL a un archivo, se dejan de aplicar los bits de modos, los cuales existen solo como un estimado de los permisos reales.

11

Uso compartido de archivos 151

NOTA: Se recomienda configurar permisos de ACL y UNIX solo si comprende plenamente la forma en que interactúan

entre sí.

Almacenamiento en caché de escritura con SmartCacheEl caché de escritura acelera el proceso de escribir datos en el clúster. OneFS incluye una función de caché de escritura denominada SmartCache, que está habilitada de manera predeterminada para todos los archivos y directorios.

Si se habilita la caché de escritura, OneFS escribe los datos en una caché con reescritura en lugar de escribir los datos inmediatamente en el disco. OneFS puede escribir los datos en el disco en un momento más conveniente.

NOTA: Se recomienda que mantenga habilitada la caché de escritura. También debería habilitar la caché de escritura

para todas las políticas de pool de archivos.

OneFS interpreta las escrituras en el clúster como síncronas o asíncronas, según las especificaciones del cliente. Los impactos y riesgos de la caché de escritura dependen de los protocolos que usan los clientes para realizar escrituras en el clúster y de si las escrituras se interpretan como síncronas o asíncronas. Si se deshabilita la caché de escritura, se ignoran las especificaciones del cliente y todas las escrituras se realizan de manera síncrona.

La siguiente tabla explica cómo se interpretan las especificaciones del cliente, según el protocolo.

Protocolo Síncrona asíncrona

NFS El campo estable se configura en data_sync o en file_sync.

El campo estable se configura en unstable.

SMB Se aplicó la marca write-through. No se aplicó la marca write-through.

Almacenamiento en caché de escritura de escrituras asíncronasLa escritura asíncrona en el clúster con la caché de escritura es el método más rápido de escribir datos en su clúster.

La caché de escritura para escrituras asíncronas requiere menos recursos del clúster que la caché de escritura para escrituras síncronas y mejorará el rendimiento general del clúster para la mayoría de los flujos de trabajo. Sin embargo, las escrituras asíncronas suponen algunos riesgos de pérdida de datos.

La siguiente tabla describe el riesgo de pérdida de datos de cada protocolo cuando la caché de escritura para escrituras asíncronas se encuentra habilitada:

Protocolo Riesgo

NFS Si un nodo falla, no se perderán datos, excepto en el caso improbable de que un cliente de ese nodo también sufra una falla general antes de poder restablecer la conexión al clúster. Ante dicha situación, se perderán las escrituras asíncronas que no se hayan confirmado en el disco.

SMB Si un nodo falla, se perderán las escrituras asíncronas que no se hayan confirmado en el disco.

Se recomienda no deshabilitar la caché de escritura, independientemente del protocolo con el cual realice escrituras. Si realiza escrituras asíncronas en el clúster y decide que los riesgos de pérdida de datos son demasiado grandes, recomendamos configurar los clientes para que usen las escrituras síncronas, en vez de deshabilitar la caché de escritura.

Almacenamiento en caché de escritura de escrituras síncronasLa caché de escritura para escrituras síncronas utiliza recursos del clúster, incluida una cantidad insignificante de espacio de almacenamiento. A pesar de que la caché de escritura con escrituras síncronas no es tan rápida como la de escrituras asíncronas, a menos que los recursos del clúster sean extremadamente limitados, es más rápida que las escrituras en el clúster sin la caché de escritura.

La caché de escritura no afecta la integridad de las escrituras síncronas; si un clúster o nodo falla, no se pierde ningún dato de la caché de reescritura para las escrituras síncronas.

152 Uso compartido de archivos

SMBOneFS incluye un servicio de SMB configurable para crear y administrar recursos compartidos de SMB. Los recursos compartidos de SMB ofrecen a los clientes Windows acceso de red a los recursos del sistema de archivos en el clúster. Puede otorgar permisos a usuarios y grupos para llevar a cabo operaciones tales como lectura, escritura y configuración de permisos de acceso en los recursos compartidos de SMB.

El directorio /ifs está configurado como un recurso compartido de SMB y está habilitado de manera predeterminada. OneFS admite los modos de seguridad de usuario y anónima. Si se habilita el modo de seguridad de usuario, los usuarios que se conecten a un recurso compartido desde un cliente SMB deben proporcionar un nombre de usuario válido con las credenciales adecuadas.

Los recursos compartidos de SMB funcionan como puntos de comprobación y los usuarios deben contar con acceso a un recurso compartido para acceder a los objetos en el sistema de archivos de un recurso compartido. Si a un usuario se le otorga acceso al sistema de archivos, pero no al recurso compartido en el que reside, ese usuario no podrá acceder al sistema de archivos, independientemente de los privilegios. Por ejemplo, suponga que un recurso compartido denominado ABCDocs contiene un archivo llamado file1.txt en una ruta como: /ifs/data/ABCDocs/file1.txt. Si el usuario que intenta acceder a file1.txt no tiene privilegios de recurso compartido en ABCDocs, no podrá acceder al archivo, aun si originalmente se le otorgaron privilegios de lectura o escritura para el archivo.

El protocolo SMB usa identificadores de seguridad (SID) para los datos de autorización. Todas las identidades se convierten en SID durante la recuperación y luego se vuelven a convertir en su representación en disco, antes de almacenarse en el clúster.

Cuando se crea un directorio o un archivo, OneFS verifica la lista de control de acceso (ACL) de su directorio principal. Si la ACL contiene entradas de control de acceso (ACE) heredables, se genera una nueva ACL a partir de esas ACE. De otra manera, OneFS crea una ACL a partir de la combinación de las configuraciones de creación de máscaras y de creación de modos de archivos y directorios.

OneFS admite los siguientes clientes SMB:

Versión de SMB Sistemas operativos admitidos.

3.0, solamente Multichannel Windows 8 o superior

Windows Server 2012 o superior

2.1 Windows 7 o posterior

Windows Server 2008 R2 o superior

2.0 Windows Vista o superior

Windows Server 2008 o posterior

Mac OS X 10.9 o superior

1.0 Windows 2000 o superior

Windows XP o superior

Mac OS X 10.5 o superior

Recursos compartidos de SMB en zonas de accesoPuede crear y administrar recursos compartidos de SMB dentro de zonas de acceso.

Puede crear zonas de acceso que particionen el almacenamiento en el clúster en varios contenedores virtuales. Las zonas de acceso son compatibles con todos los ajustes de configuración para la autenticación y los servicios de administración de identidades en el clúster, de modo que pueda configurar proveedores de autenticación y aprovisionar recursos compartidos de SMB a las zonas de forma individual. Al crear una zona de acceso, un proveedor local se crea automáticamente, lo que le permite configurar cada zona de acceso con una lista de usuarios y grupos locales. También puede llevar a cabo la autenticación por medio de un proveedor de Active Directory diferente en cada zona de acceso. Para controlar el acceso a los datos, dirija las conexiones entrantes a la zona de acceso desde una dirección IP específica en un pool. La asociación de una zona de acceso con un pool de dirección IP restringe la autenticación a la zona de acceso asociada y reduce el número de recursos compartidos de SMB disponibles y accesibles.

Estas son algunas maneras de simplificar la administración de SMB con zonas de acceso:

• Migre múltiples servidores SMB, como los servidores de archivos de Windows o los filers de NetApp, a un solo clúster Isilon y luego configure una zona de acceso independiente para cada servidor SMB.

• Configure cada zona de acceso con un conjunto único de nombres de recursos compartidos de SMB que no estén en conflicto con los nombres de recursos compartidos de otras zonas de acceso, e incorpore cada zona de acceso a un dominio de Active Directory diferente.


• Para reducir la cantidad de recursos compartidos disponibles y accesibles que han de administrarse, asocie un pool de direcciones IP con una zona de acceso a fin de limitar la autenticación a la zona.

• Establezca la configuración de recursos compartidos de SMB predeterminada que se aplica a todos los recursos compartidos en una zona de acceso.

El clúster incluye una zona de acceso integrada denominada System, en la que se administran todos los aspectos del clúster y otras zonas de acceso. Si no especifica una zona de acceso al administrar recursos compartidos de SMB, OneFS establecerá la zona System como predeterminada.

SMB MultichannelSMB Multichannel admite el establecimiento de una sola sesión SMB en varias conexiones de red.

SMB Multichannel es una función del protocolo SMB 3.0 que ofrece las siguientes funcionalidades:

Aumento de rendimiento

OneFS puede transmitir más datos a un cliente mediante varias conexiones por medio de adaptadores de red de alta velocidad o varios adaptadores de red.

Tolerancia a fallas de conexión

Cuando se establece una sesión SMB Multichannel en varias conexiones de red, no se pierde la sesión si una de las conexiones tiene una falla de red, por lo que el cliente podrá continuar trabajando.

Descubrimiento automático

SMB Multichannel automáticamente descubre configuraciones de hardware compatibles en el cliente que contiene varias rutas de red disponibles; luego negocia y establece una sesión con varias conexiones de red. No es obligatorio instalar componentes, funciones, servicios de funciones o funcionalidades.

Requisitos de SMB MultichannelDebe cumplir con los requisitos de configuración de la NIC y de software para admitir SMB Multichannel en un clúster.

OneFS solamente es compatible con SMB Multichannel cuando se cumplen los siguientes requisitos de software:

• Clientes Windows Server 2012 y 2012 R2 o Windows 8 y 8.1• SMB Multichannel debe estar habilitado tanto en el clúster como en la computadora cliente de Windows. Está habilitado en el clúster

de forma predeterminada.

SMB Multichannel establece una sola sesión SMB en varias conexiones de red únicamente en configuraciones de la tarjeta de interfaz de red (NIC) compatibles. SMB Multichannel requiere al menos una de las siguientes configuraciones de la NIC en la computadora cliente:

• Dos o más tarjetas de interfaz de red.• Una o más tarjetas de interfaz de red compatibles con Receive Side Scaling (RSS).• Una o más tarjetas de interfaz de red configuradas con la agregación de vínculos. La agregación de vínculos le permite combinar el

ancho de banda de varias NIC en un nodo para formar una sola interfaz lógica.

Configuraciones de NIC del lado del cliente compatibles con SMB MultichannelSMB Multichannel automáticamente descubre configuraciones de hardware compatibles en el cliente que cuenten con varias rutas de red disponibles.

Cada nodo en el clúster presenta al menos una tarjeta de interfaz de red (NIC) que puede usar el canal de RSS. La configuración de la NIC del lado del cliente determina cómo SMB Multichannel establece conexiones de red simultáneas por sesión SMB.

Configuración de la NIC del lado del cliente

Descripción

Una sola NIC que puede usar el canal de RSS

SMB Multichannel establece un máximo de cuatro conexiones de red con el clúster Isilon en la NIC. Lo más probable es que las conexiones se distribuyan en varios cores del CPU, lo cual reduce la posibilidad de que se produzcan cuellos de botella en el rendimiento y permite que se alcance la velocidad máxima de la NIC.

Múltiples NIC Si las NIC pueden utilizar el canal de RSS, SMB Multichannel establece un máximo de cuatro conexiones de red con el clúster Isilon en cada NIC. Si las NIC en el cliente no pueden utilizar el canal de RSS, SMB Multichannel establece una sola conexión de red con el clúster Isilon en cada NIC. Ambas configuraciones permiten que SMB Multichannel aproveche el ancho de banda combinado de varias NIC y proporcione una tolerancia a fallas si una conexión o una NIC fallan.

NOTA: SMB Multichannel no puede establecer más de ocho conexiones de red simultáneas por sesión. En una configuración de NIC múltiples, esto podría limitar la cantidad de


Configuración de la NIC del lado del cliente

Descripción

conexiones permitidas por NIC. Por ejemplo, si la configuración contiene tres NIC que pueden usar el canal de RSS, SMB Multichannel podría establecer tres conexiones en la primera tarjeta NIC, tres en la segunda tarjeta y dos en la tercera.

NIC agregadas SMB Multichannel establece varias conexiones de red con el clúster Isilon en NIC agregadas, lo que da como resultado conexiones equilibradas en los cores del CPU, un uso eficaz del ancho de banda combinado y tolerancia a fallas de conexión.

NOTA: La configuración de la NIC agregada proporciona inherentemente tolerancia a fallas de NIC que no depende del protocolo SMB.

Administración de recursos compartidos de SMB mediante MMCOneFS es compatible con el snap-in de carpetas compartidas para Microsoft Management Console (MMC), que permite que los recursos compartidos de SMB en el clúster se administren con la herramienta MMC.

Por lo general, se conecta a la zona System global mediante la interfaz de administración web o la interfaz de la línea de comandos para administrar y configurar recursos compartidos. Si configura zonas de acceso, puede conectarse a una zona mediante el snap-in de carpetas compartidas para MMC a fin de administrar directamente todos los recursos compartidos en esa zona.

Puede establecer una conexión mediante el snap-in de carpetas compartidas para MMC a un nodo Isilon y ejecutar las siguientes tareas de administración de recursos compartidos de SMB:

• Crear y eliminar carpetas compartidas• Configurar el permiso de acceso a un recurso compartido de SMB• Ver una lista de sesiones activas de SMB• Cerrar sesiones de SMB abiertas• Ver una lista de archivos abiertos• Cerrar archivos abiertos

Cuando se conecta a una zona mediante el snap-in de carpetas compartidas para MMC, puede ver y administrar todos los recursos compartidos de SMB asignados a esa zona. Sin embargo, solamente puede ver sesiones activas de SMB y abrir archivos en el nodo específico con el que está conectado en esa zona. Los cambios que realiza en los recursos compartidos mediante el snap-in de carpetas compartidas para MMC se propagan a lo largo del clúster.

Requisitos de conexión con MMCPuede conectarse a un clúster mediante el snap-in de carpetas compartidas de MMC si cumple con los requisitos de acceso.

Se requieren las siguientes condiciones para establecer una conexión mediante el snap-in de carpetas compartidas de MMC:

• Debe ejecutar Microsoft Management Console (MMC) desde una estación de trabajo de Windows unida al dominio de un proveedor de Active Directory (AD) configurado en el clúster.

• Debe ser miembro del grupo <cluster>\Administrators local.NOTA: Los privilegios de control de acceso basado en funciones (RBAC) no se aplican a MMC. Una función con

privilegios de SMB no alcanza para obtener acceso.

• Debe iniciar sesión en una estación de trabajo de Windows como un usuario de Active Directory que forme parte del grupo <cluster>\Administrators local.

Cifrado de SMBv3Determinadas combinaciones de cliente/servidor de Microsoft Windows y Apple Mac pueden admitir el cifrado de datos en entornos SMBv3.

Puede configurar el cifrado de SMBv3 por recurso compartido, por zona o en todo el clúster. Puede permitir el acceso de clientes cifrados y no cifrados. De manera global y para las zonas de acceso, también puede requerir que se cifren todas las conexiones de clientes.

Si establece los ajustes de cifrado por zona, estos ajustes reemplazarán a los del servidor global.

NOTA: El ajuste de cifrado por zona y por recurso compartido solo se puede configurar a través de la interfaz de la línea

de comandos de OneFS.


Habilitación del cifrado de SMBv3 para un recurso compartido de SMBPuede habilitar o deshabilitar el cifrado de SMBv3 en un recurso compartido.

Realice lo siguiente para habilitar el cifrado de SMBv3 en un recurso compartido:

• isi smb settings shares modify --support-smb3-encryption yesEl cifrado de SMBv3 está habilitado. Para deshabilitar el cifrado de SMBv3, use la opción --revert-support-smb3-encryption.

Habilitación del cifrado de SMBv3 para una zona de accesoPuede habilitar el cifrado de SMBv3 según la zona de acceso. Los ajustes de cifrado específicos de la zona permiten reemplazar los ajustes de cifrado globales.

Realice lo siguiente para habilitar el cifrado de SMBv3 en una zona de acceso:

• isi smb settings zone modify --zone=<zone> --support-smb3-encryption yes El cifrado de SMBv3 está habilitado en la zona de acceso específica. Para deshabilitar el cifrado de SMBv3, use la opción --revert-support-smb3-encryption.

Habilitación del cifrado de SMBv3 de manera globalPuede habilitar el cifrado de SMBv3 de manera global. Sin embargo, si después establece o modifica los ajustes de cifrado en un nivel de zona de acceso, estos ajustes anularán los ajustes globales.

Para habilitar el cifrado de SMBv3 de manera global:

• isi smb settings global modify --support-smb3-encryption yesEl cifrado de SMBv3 está habilitado de manera global en el clúster. Para deshabilitar el cifrado de SMBv3, use la opción --revert-support-smb3-encryption.

Aplicación del cifrado de SMBv3Puede necesitar que todas las conexiones de cliente a un clúster o una zona de acceso estén cifradas para SMBv3.

Por ejemplo, realice lo siguiente para exigir que todas las conexiones a una zona de acceso estén cifradas:

• isi smb settings zone modify --zone=<zone> --reject-unencrypted-access yesEl cifrado de SMBv3 es necesario para que un cliente se conecte a la zona de acceso específica. Para deshabilitar el requisito de cifrado de SMBv3, utilice la opción --revert-reject-unencrypted access.

Copia del lado del servidor de SMBA fin de aumentar el rendimiento del sistema, SMB 2 y los clientes posteriores pueden utilizar la función de copia del lado del servidor en OneFS.

Los clientes de Windows que hacen uso del servicio de soporte de la copia del lado del servidor pueden experimentar mejoras de rendimiento para las operaciones de copia de archivos, puesto que los datos en archivos ya no necesitan atravesar la red. La función de copia del lado del servidor lee y escribe archivos solamente en el servidor, lo que evita el ciclo de ida y vuelta de la red y la duplicación de datos en archivos. Esta función solo afecta las operaciones de copia de archivos o copia parcial en las que los identificadores de archivos de origen y de destino están abiertos en el mismo recurso compartido, y no funciona para las operaciones de recurso compartido cruzado.

Esta función está habilitada de manera predeterminada en clústeres de OneFS y solo se puede desactivar en todas las zonas del sistema completo. Además, la copia del lado del servidor en OneFS no es compatible con la función de disponibilidad continua de SMB. Si la disponibilidad continua está habilitada para un recurso compartido y el cliente abre un identificador de archivo persistente, la copia del lado del servidor se desactiva automáticamente para ese archivo.

NOTA: Únicamente puede deshabilitar o habilitar la copia del lado del servidor SMB para OneFS mediante la interfaz de

la línea de comandos (CLI).

Habilitación o deshabilitación de la copia del servidor SMBPuede habilitar o deshabilitar la función de copia del servidor SMB.

La función de copia del servidor SMB está habilitada en OneFS de forma predeterminada.


1. Abra una conexión SSH en el clúster.

2. Ejecute el comando isi smb settings global modify.

3. Modifique la opción --server-side-copy según sea necesario.

Esta función está habilitada de manera predeterminada.

Por ejemplo, el siguiente comando deshabilita la copia del servidor SMB:

isi smb settings global modify --server-side-copy=no

Disponibilidad continua de SMBSi está ejecutando OneFS en un ambiente SMB 3.0, está permitiendo que ciertos clientes de Windows abran archivos en un servidor con la disponibilidad continua habilitada.

Si un servidor está usando Windows 8 o Windows Server 2012, los clientes pueden crear identificadores de archivos persistentes que pueden recuperarse después de una interrupción, como una desconexión relacionada con la red o una falla del servidor. Puede especificar cuánto tiempo se conserva el identificador persistente después de una falla de servidor o de una desconexión, así como forzar bloqueos estrictos a los usuarios que intenten abrir un archivo que pertenece a otro identificador. Además, a través de la interfaz de la línea de comandos (CLI) de OneFS, puede configurar los ajustes de la integridad de escritura para controlar la estabilidad de las escrituras en el recurso compartido.

Si la disponibilidad continua está habilitada para un recurso compartido y el cliente abre un identificador de archivo persistente, la copia del lado del servidor se desactiva automáticamente para ese archivo.

NOTA: Únicamente puede habilitar la disponibilidad continua al crear un recurso compartido, pero puede actualizar la

configuración de la integridad de escritura, del tiempo de espera agotado y del bloqueo al crear o modificar un recurso

compartido.

Habilitar la disponibilidad continua de SMBPuede habilitar la disponibilidad continua de SMB 3.0 y configurar los ajustes al crear un recurso compartido.

También puede actualizar el tiempo de espera agotado, el bloqueo y la configuración de la integridad de escritura de la disponibilidad continua al modificar un recurso compartido.

• Ejecute isi smb shares create para habilitar esta función y configurar los ajustes, y isi smb shares modify o isi smb settings shares modify para cambiar la configuración.El siguiente comando permite una disponibilidad continua en un nuevo recurso compartido llamado Share4, establece el tiempo de espera agotado para el indicador en tres minutos (180 segundos), aplica un bloqueo estricto y cambia la configuración de la integridad de escritura a full:

isi smb shares create --name=Share4 --path=/ifs/data/Share4 \--continuously-available=yes --ca-timeout=180 \--strict-ca-lockout=yes --ca-write-integrity=full

Filtrado de archivos SMBPuede usar el filtrado de archivos SMB para permitir o denegar las escrituras de archivos en una zona de acceso o en un recurso compartido.

Esta función le permite denegar ciertos tipos de archivos que podrían causar problemas de rendimiento, problemas de seguridad, desorden de almacenamiento o interrupciones en la productividad. Puede restringir las escrituras permitiendo que las escrituras de ciertos tipos de archivos se efectúen en un recurso compartido.

• Si elige denegar las escrituras de archivos, puede especificar los tipos de archivos cuya escritura no se permite según su extensión. OneFS permite la escritura en el resto de los tipos de archivos del recurso compartido.

• Si elige permitir las escrituras de archivos, puede especificar los tipos de archivos por extensión que se pueden escribir. OneFS deniega la escritura en el resto de los tipos de archivos del recurso compartido.

Puede agregar o eliminar extensiones de archivo si las políticas de restricción cambian.

Habilitar el filtrado de archivos SMBPuede habilitar o deshabilitar el filtrado de archivos SMB al crear o modificar un recurso compartido.


• Ejecute isi smb shares create o isi smb shares modify.El siguiente comando habilita el filtrado de archivos en un recurso compartido llamado Share2 y rechaza las escrituras de los tipos de archivos .wav y .mpg:

isi smb shares modify Share2 --file-filtering-enabled=yes \file-filter-extensions=.wav,.mpg

El siguiente comando habilita el filtrado de archivos en un recurso compartido llamado Share3, especifica el tipo de archivo .xml y especifica el permiso de escritura para ese tipo de archivo:

isi smb shares modify Share3 --file-filtering-enabled=yes \file-filter-extensions=.xml --file-filter-type=allow

Vínculos simbólicos y clientes SMBOneFS permite que los clientes SMB2 accedan a vínculos simbólicos sin ningún inconveniente. Muchos administradores implementan vínculos simbólicos para prácticamente volver a ordenar las jerarquías del sistema de archivos, en especial cuando los archivos o directorios fundamentales están dispersos en un ambiente.

En un recurso compartido SMB, un vínculo simbólico (también conocido como symlink o vínculo lógico) es un tipo de archivo que contiene una ruta a un directorio o archivo de destino. Los vínculos simbólicos son transparentes para las aplicaciones que se ejecutan en clientes SMB y actúan como directorios y archivos típicos. El cliente SMB habilita la compatibilidad para los vínculos relativos y absolutos. La configuración específica depende de la versión y el tipo de cliente.

Un vínculo simbólico que señala un directorio o archivo de red que no se encuentra en la ruta de la sesión SMB activa se denomina vínculo absoluto (o remoto). Los vínculos absolutos siempre apuntan a la misma ubicación en un sistema de archivos, sin importar el directorio de trabajo actual, y generalmente contienen el directorio raíz como parte de la ruta. Por el contrario, un vínculo relativo es un vínculo simbólico que apunta directamente al directorio de trabajo de un usuario o una aplicación, de modo que no es necesario especificar la ruta absoluta completa en la creación del vínculo.

OneFS expone vínculos simbólicos mediante el protocolo SMB2, lo que les permite a los clientes SMB2 resolver los vínculos en lugar de depender de OneFS para que este los resuelva en nombre de los clientes. Para cambiar un vínculo relativo o absoluto, el cliente SMB debe estar autenticado en los recursos compartidos SMB a través de los cuales se puede seguir el vínculo. Sin embargo, si el cliente SMB no está autorizado a acceder al recurso compartido, se deniega el acceso y Windows no le solicitará al usuario su información de identificación.

Los vínculos SMB2 y NFS son interoperables solo para los vínculos relativos. Para lograr la máxima compatibilidad, cree estos vínculos desde un cliente POSIX.

NOTA: Los clientes SMB1 (como Windows XP o 2002) pueden seguir utilizando vínculos relativos, pero estos se recorren

del lado del servidor y se denominan “archivos de acceso directo”. Los vínculos absolutos no funcionan en estos

ambientes.

Habilitación de vínculos simbólicosAntes de poder utilizar completamente los vínculos simbólicos en un ambiente SMB, es necesario habilitarlos.

Para que los clientes Windows SMB recorran cada tipo de vínculo simbólico, debe habilitarlos en el cliente. Windows es compatible con los siguientes tipos de vínculos:

• local a local• remoto a remoto• local a remoto• remoto a local

Debe ejecutar el siguiente comando de Windows para habilitar los cuatro tipos de vínculos:

fsutil behavior set SymlinkEvaluation L2L:1 R2R:1 L2R:1 R2L:1

Para los clientes POSIX que utilizan Samba, debe establecer las siguientes opciones en la sección [global] de su archivo de configuración Samba (smb.conf) para que los clientes Samba puedan cambiar vínculos relativos o absolutos:

follow symlinks=yes wide links=yes


En este caso, los “vínculos amplios” en el archivo smb.conf se refieren a vínculos absolutos. La configuración predeterminada en este archivo es no.

Administración de vínculos simbólicosDespués de habilitar vínculos simbólicos, puede crearlos o eliminarlos desde la línea de comandos de Windows o desde una línea de comandos POSIX.

Cree vínculos simbólicos con el comando de Windows mklink en un cliente SMB2 o el comando ln desde una interfaz de la línea de comandos POSIX. Por ejemplo, es posible que un administrador desee otorgar a un usuario denominado User1 el acceso a un archivo llamado File1.doc en el directorio /ifs/data/ sin brindar acceso específico a ese directorio mediante la creación de un vínculo denominado Link1:

mklink \ifs\home\users\User1\Link1 \ifs\data\Share1\File1.doc

Cuando crea un vínculo simbólico, se designa como un vínculo de archivo o un vínculo de directorio. Una vez establecido el vínculo, no se puede modificar la designación. Puede dar formato a las rutas de vínculos simbólicos para que sean relativas o absolutas.

Para eliminar vínculos simbólicos, use el comando del en Windows o el comando rm en un ambiente POSIX.

Tenga en cuenta que cuando elimina un vínculo simbólico, el archivo o el directorio de destino permanece. Sin embargo, cuando elimina un archivo o directorio de destino, el vínculo simbólico no se elimina y sigue enlazando al antiguo destino, convirtiéndose así en un vínculo roto.

Acceso anónimo a los recursos compartidos de SMBPuede configurar el acceso anónimo a los recursos compartidos de SMB mediante la habilitación del usuario Invitado local y permitiendo la suplantación del usuario invitado.

Por ejemplo, si almacena archivos como archivos ejecutables del navegador u otros datos que sean públicos en Internet, el acceso anónimo permite que cualquier usuario acceda al recurso compartido de SMB sin autenticación.

Administración de ajustes de SMBPuede habilitar o deshabilitar el servicio SMB, configurar los ajustes globales de ese servicio y configurar los ajustes predeterminados del recurso compartido de SMB que son específicos de cada zona de acceso.

Ver la configuración de SMB globalPuede ver los ajustes globales de SMB que se aplican a todos los nodos del clúster. Esta tarea solo se puede realizar desde la interfaz de la línea de comandos de OneFS.


2. Ejecute el comando isi smb settings global view.El sistema muestra un resultado similar al siguiente ejemplo:

Access Based Share Enum: No Dot Snap Accessible Child: Yes Dot Snap Accessible Root: Yes Dot Snap Visible Child: No Dot Snap Visible Root: Yes Enable Security Signatures: No Guest User: nobody Ignore Eas: No Onefs Cpu Multiplier: 4 Onefs Num Workers: 0Require Security Signatures: No Server Side Copy: Yes Server String: Isilon Server Srv Cpu Multiplier: 4 Srv Num Workers: 0 Support Multichannel: Yes Support NetBIOS: No Support Smb2: Yes Support Smb3 Encryption: No


Configurar los ajustes globales de SMBPuede configurar los ajustes globales del uso compartido de archivos SMB. Esta tarea solo se puede realizar mediante la interfaz de la línea de comandos de OneFS.

PRECAUCIÓN: Modificar la configuración global del uso compartido de archivos SMB puede causar fallas operacionales.

Considere las consecuencias potenciales antes de modificar esta configuración.


2. Ejecute el comando isi smb settings global modify.El siguiente comando de ejemplo deshabilita la copia del lado del servidor SMB:

isi smb settings global modify --server-side-copy=no

Habilitar o deshabilitar el servicio SMBEl servicio SMB está habilitado de manera predeterminada.

NOTA: Puede determinar la habilitación o deshabilitación del servicio mediante el comando isi services -l.

• Ejecute el comando isi services.El siguiente comando deshabilita el servicio SMB:

isi services smb disable

El siguiente comando habilita el servicio SMB:

isi services smb enable

Habilitar o deshabilitar SMB MultichannelSe requiere SMB Multichannel para varias sesiones SMB simultáneas desde la computadora de un cliente Windows hasta un nodo en un clúster. SMB Multichannel está habilitado en el clúster de forma predeterminada.

Puede habilitar o deshabilitar SMB Multichannel únicamente mediante la interfaz de la línea de comandos.


2. Ejecute el comando isi smb settings global modify.El siguiente comando habilita SMB Multichannel en el clúster:

isi smb settings global modify –-support-multichannel=yes

El siguiente comando deshabilita SMB Multichannel en el clúster:

isi smb settings global modify –-support-multichannel=no

Ver la configuración de recurso compartido SMB predeterminadaPuede ver la configuración de recurso compartido SMB predeterminada específica de una zona de acceso.

• Ejecute el comando isi smb settings shares view.El siguiente comando de ejemplo muestra la configuración de recurso compartido SMB predeterminada establecida para zone5:

isi smb settings shares view --zone=zone5


Access Based Enumeration: NoAccess Based Enumeration Root Only: No Allow Delete Readonly: No Allow Execute Always: No Ca Timeout: 120 Strict Ca Lockout: No Change Notify: norecurse Create Permissions: default acl Directory Create Mask: 0700


Directory Create Mode: 0000 File Create Mask: 0700 File Create Mode: 0100 File Filtering Enabled: Yes File Filter Extensions: .wav File Filter Type: deny Hide Dot Files: No Host ACL: - Impersonate Guest: never Impersonate User: - Mangle Byte Start: 0XED00 Mangle Map: 0x01-0x1F:-1, 0x22:-1, 0x2A:-1, 0x3A:-1, 0x3C:-1, 0x3E:-1, 0x3F:-1, 0x5C:-1 Ntfs ACL Support: Yes Oplocks: Yes Strict Flush: Yes Strict Locking: No

Configurar los ajustes predeterminados de recursos compartidos de SMBEs posible configurar los ajustes de recursos compartidos de SMB específicos de cada zona de acceso.

Los ajustes predeterminados se aplican a todos los recursos compartidos nuevos que se agreguen a la zona de acceso.PRECAUCIÓN: Si modifica la configuración predeterminada, los cambios se aplican a todos los recursos compartidos

existentes en la zona de acceso.

Ejecute el comando isi smb settings shares modify.El siguiente comando especifica que los huéspedes nunca podrán acceder a los recursos compartidos en zone5:

isi smb settings global modify --zone=zone5 --impersonate-guest=never

Administración de recursos compartidos de SMBPuede configurar las reglas y otros ajustes que rigen la interacción entre su red de Windows y los recursos compartidos de SMB individuales en el clúster.

OneFS admite la expansión de las variables %U, %D, %Z, %L, %0, %1, %2 y %3 y el aprovisionamiento automático de los directorios principales del usuario.

Puede configurar los usuarios y grupos asociados con un recurso compartido de SMB y ver o modificar sus permisos en el nivel de recurso compartido.

NOTA: Se recomienda que configure los ajustes avanzados del recurso compartido de SMB únicamente si cuenta con un

profundo conocimiento del protocolo SMB.

Crear un recurso compartido de SMBCuando crea un recurso compartido de SMB, puede reemplazar los ajustes predeterminados de permisos, rendimiento y acceso. Puede configurar el aprovisionamiento del directorio principal de SMB mediante la inclusión de las variables de expansión en la ruta del recurso compartido para crear y redirigir automáticamente a los usuarios a sus propios directorios principales.

Debe especificar la ruta que se utilizará como recurso compartido de SMB. Los recursos compartidos son específicos de las zonas de acceso, y la ruta del recurso compartido debe existir bajo la ruta de la zona. Puede especificar una ruta existente o crearla cuando cree el recurso compartido. Cree las zonas de acceso antes de crear los recursos compartidos de SMB.

Puede especificar una o más variables de expansión en la ruta de directorio, pero debe configurar las marcas con el valor true en los parámetros --allow-variable-expansion y --auto-create-directory. Si no especifica esta configuración, el sistema interpretará de manera literal la cadena de expansión de la variable.

1. Ejecute el comando isi smb shares create.


El siguiente comando crea un directorio en /ifs/zone5/data/share1 y un recurso compartido denominado share1 con esa ruta; además, agrega el recurso compartido a la zona de acceso existente, denominada zone5:

mkdir /ifs/data/share1 isi smb shares create --name=share1 \--path=/ifs/data/share1 --zone=zone5 --browsable=true \--description="Example Share 1"

NOTA: Los nombres de recursos compartidos pueden contener hasta 80 caracteres, excepto los siguientes: " \ / [ ] : |<>+ = ; , * ?

Además, si la codificación de caracteres del clúster no se establece en UTF-8, los nombres de los recursos

compartidos de SMB distinguen mayúsculas de minúsculas.

El siguiente comando crea un directorio en /ifs/data/share2, lo convierte en un recurso compartido de SMB y lo agrega a la zona System predeterminada, ya que no se especificó ninguna zona:

isi smb shares create share2 --path=/ifs/data/share2 \--create-path --browsable=true --description="Example Share 2"

El siguiente comando crea un directorio en /ifs/data/share3 y lo convierte en un recurso compartido de SMB. El comando también aplica una ACL al recurso compartido:

isi smb shares create share3 --path=/ifs/data/share3 \--create-path --browsable=true --description="Example Share 3" \ --inheritable-path-acl=true --create-permissions="default acl"

NOTA: Si no hay una ACL predeterminada configurada y el directorio principal no tiene una ACL heredable, se crea

una para el recurso compartido con las configuraciones directory-create-mask y directory-create-mode.

El siguiente comando crea el directorio /ifs/data/share4 y lo convierte en un recurso compartido de SMB en el que no se puede navegar. El comando también configura el uso de bits de modo para el control de permisos:

isi smb shares create --name=share4 --path=/ifs/data/share4 \--create-path --browsable=false --description="Example Share 4" \--inheritable-path-acl=true --create-permissions="use create \mask and mode"

2. El siguiente comando crea directorios principales para cada usuario que se conecte al recurso compartido, según el dominio NetBIOS y el nombre de usuario del usuario.En este ejemplo, si un usuario se encuentra en un dominio llamado DOMAIN y su nombre de usuario es user_1, la ruta /ifs/home/%D/%U se expande a/ifs/home/DOMAIN/user_1.

isi smb shares modify HOMEDIR --path=/ifs/home/%D/%U \--allow-variable-expansion=yes --auto-create-directory=yes

El siguiente comando crea un recurso compartido denominado HOMEDIR con la ruta existente /ifs/share/home:

isi smb shares create HOMEDIR /ifs/share/home

3. Ejecute el comando isi smb shares permission modify para permitir el acceso al recurso compartido.El siguiente comando concede permisos completos al conocido usuario Everyone para el recurso compartido HOMEDIR:

isi smb shares permission modify HOMEDIR --wellknown Everyone \ --permission-type allow --permission full

Modificar un recurso compartido de SMBPuede modificar la configuración de recursos compartidos de SMB individuales.

Los recursos compartidos de SMB se ubican en zonas específicas. Al modificar un recurso compartido, debe identificar la zona de acceso a la que pertenece dicho recurso. Si no identifica la zona de acceso, OneFS recurre de manera predeterminada a la zona System. Si el recurso compartido que desea modificar tiene el mismo nombre que un recurso compartido de la zona System, dicho recurso se modifica en esta zona.

Ejecute el comando isi smb shares modify.


En el siguiente ejemplo, la ruta de archivo para share1 en zone5 apunta a /ifs/zone5/data. Los siguientes comandos modifican la ruta de archivo de share1 a /ifs/zone5/etc, que es otro directorio en la ruta de zone5:

isi smb shares modify share1 --zone=zone5 \ --path=/ifs/zone5/etc

NOTA: Si la codificación de caracteres del clúster no se establece en UTF-8, los nombres de los recursos compartidos de

SMB distinguen mayúsculas de minúsculas.

Eliminar un recurso compartido de SMBPuede eliminar recursos compartidos de SMB que ya no son necesarios.

Los recursos compartidos de SMB se ubican en zonas específicas. Al eliminar un recurso compartido, debe identificar la zona de acceso a la que pertenece dicho recurso. Si no identifica la zona de acceso, OneFS recurre de manera predeterminada a la zona System. Si el recurso compartido que desea eliminar tiene el mismo nombre que un recurso compartido de la zona System, dicho recurso se elimina de esta zona.

Si elimina un recurso compartido de SMB, se elimina la ruta del recurso, pero el directorio al que se hace referencia permanece intacto. Si crea un nuevo recurso compartido con la misma ruta que el recurso eliminado, se podrá acceder nuevamente al directorio al que hace referencia el recurso anterior a través del nuevo recurso.

1. Ejecute el comando isi smb shares delete.El siguiente comando elimina un recurso compartido denominado Share1 de la zona de acceso llamada zone-5:

isi smb shares delete Share1 --zone=zone-5

2. Escriba yes en el indicador de confirmación.

Limitar el acceso al recurso compartido /ifs para la cuenta EveryoneDe forma predeterminada, el directorio raíz /ifs está configurado como un recurso compartido de SMB en la zona de acceso System. Es recomendable restringir la cuenta Everyone en este recurso compartido para que tenga acceso de solo lectura.

1. Ejecute el comando isi smb shares permission modify.

El siguiente ejemplo cambia los permisos de la cuenta Everyone de modo que sean de solo lectura en el recurso compartido SMB configurado para el directorio /ifs:

isi smb shares permission modify ifs --wellknown=Everyone \ -d allow -p read

2. Opcional: Para verificar el cambio, ejecute el siguiente comando para enumerar los permisos en el recurso compartido:

isi smb shares permission list ifs

Configurar el acceso anónimo para un recurso compartido de SMBPuede configurar el acceso anónimo a los datos almacenados en un solo recurso compartido mediante la suplantación de identidad del usuario Invitado.

1. Habilite la cuenta de usuario Invitado en la zona de acceso que contiene el recurso compartido deseado mediante la ejecución del comando isi auth users modify.El siguiente comando habilita al usuario invitado en la zona de acceso denominada zone3:

isi auth users modify Guest --enabled=yes --zone=zone3

2. Configure la suplantación de invitado en el recurso compartido para el que desea permitir el acceso anónimo ejecutando el comando isi smb share modify.El siguiente comando configura la suplantación de invitado en un recurso compartido denominado share1 en zone3:

isi smb share modify share1 --zone=zone3 \--impersonate-guest=always

3. Verifique que la cuenta de usuario Invitado tenga permisos para acceder al recurso compartido ejecutando el comando isi smb share permission list.


El siguiente comando enumera los permisos para share1 en zone3:

isi smb share permission list share1 --zone=zone3

El sistema muestra un resultado similar al siguiente ejemplo

Account Account Type Run as Root Permission Type Permission----------------------------------------------------------------Everyone wellknown False allow readGuest user False allow full----------------------------------------------------------------

Configurar el acceso anónimo a todos los recursos compartidos de SMB en una zona de accesoPuede configurar el acceso anónimo a los datos almacenados en una zona de acceso mediante la suplantación de identidad del usuario Invitado.

1. Habilite la cuenta de usuario Invitado en la zona de acceso que contiene el recurso compartido deseado mediante la ejecución del comando isi auth users modify.El siguiente comando habilita al usuario invitado en la zona de acceso denominada zone3:

isi auth users modify Guest --enabled=yes --zone=zone3

2. Configure la suplantación de invitado como el valor predeterminado para todos los recursos compartidos en la zona de acceso ejecutando el comando isi smb settings share modify.El siguiente comando configura la suplantación de invitado para todos los recursos compartidos de la zone3:

isi smb settings share modify --zone=zone3 \--impersonate-guest=always

3. Verifique que la cuenta de usuario Invitado tenga permisos para cada recurso compartido en la zona de acceso ejecutando el comando isi smb share permission list.El siguiente comando enumera los permisos para share1 en zone3:

isi smb share permission list share1 --zone=zone3

El sistema muestra un resultado similar al siguiente ejemplo

Account Account Type Run as Root Permission Type Permission----------------------------------------------------------------Everyone wellknown False allow readGuest user False allow full----------------------------------------------------------------

Configurar el acceso al directorio principal multiprotocoloPuede garantizar a los usuarios que accederán a este recurso compartido a través de los protocolos FTP o SSH que su ruta de directorio principal será la misma, independientemente de si se conectan a través de SMB o si inician sesión mediante los protocolos FTP o SSH. Esta tarea solo se puede realizar desde la interfaz de la línea de comandos de OneFS.

Este comando hace que el recurso compartido de SMB use la plantilla del directorio principal que se especifica en el proveedor de autenticación del usuario. Este procedimiento está disponible solamente a través de la interfaz de la línea de comandos.


2. Ejecute el siguiente comando, donde <share> es el nombre del recurso compartido SMB y --path es la ruta del directorio de la plantilla del directorio de inicio especificada por el proveedor de autenticación del usuario:

isi smb shares modify <share> --path=""

Variables de expansión compatiblesPuede incluir variables de expansión en una ruta de recursos compartidos de SMB o en la plantilla del directorio principal de un proveedor de autenticación.

OneFS es compatible con las siguientes variables de expansión. Puede mejorar el rendimiento y disminuir la cantidad de recursos compartidos que se administran cuando los configura con variables de expansión. Por ejemplo, puede incluir la variable %U para un recurso


compartido en lugar de crear un recurso compartido para cada usuario. Cuando se incluye un %U en el nombre para que cada ruta de usuario sea diferente, la seguridad sigue estando garantizada debido a que cada usuario únicamente puede ver su directorio principal y acceder a este.

NOTA: Cuando crea un recurso compartido de SMB a través de la interfaz de administración web, debe seleccionar la

casilla de verificación Allow Variable Expansion o el sistema interpretará la cadena literalmente.

Variable Valor Descripción

%U Nombre de usuario (por ejemplo, user_001) Se extiende al nombre de usuario para permitir que diferentes usuarios usen distintos directorios principales. Por lo general, esta variable se incluye al final de la ruta. Por ejemplo, para un usuario denominado user1, la ruta /ifs/home/%U se mapea a /ifs/home/user1.

%D Nombre de dominio NetBIOS (por ejemplo, YORK para YORK.EAST.EXAMPLE.COM)

Se extiende al nombre de dominio del usuario, según el proveedor de autenticación:

• Para los usuarios de Active Directory, %D se extiende al nombre Active Directory NetBIOS.

• Para los usuarios locales, %D se extiende al nombre del clúster con caracteres en mayúscula. Por ejemplo, para un clúster denominado cluster1, %D se extiende a CLUSTER1.

• Para los usuarios en el proveedor de archivos del sistema, %D se extiende a UNIX_USERS.

• Para los usuarios en otros proveedores de archivos, %D se extiende a FILE_USERS.

• Para los usuarios de LDAP, %D se extiende a LDAP_USERS.

• Para los usuarios de NIS, %D se extiende a NIS_USERS.

%Z Nombre de zona (por ejemplo, ZoneABC) Se extiende al nombre de la zona de acceso. Si hay varias zonas habilitadas, esta variable es útil para diferenciar a los usuarios en zonas distintas. Por ejemplo, para un usuario denominado user1 en la zona System, la ruta /ifs/home/%Z/%U se mapea a /ifs/home/System/user1.

%L Nombre de host (nombre de host del clúster en minúscula)

Se extiende al nombre de host del clúster, normalizado a minúscula. Uso limitado.

%0 Primer carácter del nombre de usuario Se extiende al primer carácter del nombre de usuario.

%1 Segundo carácter del nombre de usuario Se extiende al segundo carácter del nombre de usuario.

%2 Tercer carácter del nombre de usuario Se extiende al tercer carácter del nombre de usuario.

NOTA: Si el nombre de usuario incluye menos de tres caracteres, las variables %0, %1 y %2 se ajustan automáticamente.

Por ejemplo, para un usuario denominado “ab”, las variables se mapean a “a”, “b” y “a”, respectivamente. Para un

usuario denominado “a”, las tres variables se mapean a “a”.


NFSOneFS proporciona un servidor NFS para que pueda compartir archivos en el clúster con los clientes NFS que cumplen con las especificaciones RFC1813 (NFSv3) y RFC3530 (NFSv4).

En OneFS, el servidor NFS se optimiza completamente como un servicio multithread que se ejecuta en el espacio del usuario, en lugar de hacerlo en el kernel. Esta arquitectura realiza un balanceo de carga del servicio NFS en todos los nodos del clúster, lo cual brinda la estabilidad y la escalabilidad necesarias para administrar hasta miles de conexiones en varios clientes NFS.

Los montajes de NFS se ejecutan y se actualizan rápidamente, y el servidor monitorea constantemente las fluctuantes exigencias en los servicios de NFS y realiza ajustes en todos los nodos para garantizar un rendimiento continuo y confiable. Mediante el uso de un programador de procesos incorporado, OneFS ayuda a garantizar la asignación justa de los recursos del nodo, de forma que ningún cliente pueda apoderarse de más recursos que los razonables de los servicios de NFS.

El servidor NFS también es compatible con las zonas de acceso definidas en OneFS, por lo que los clientes pueden acceder solo a las exportaciones que corresponden a su zona. Por ejemplo, si las exportaciones de NFS se especifican para la zona 2, solo los clientes asignados a la zona 2 pueden acceder a estas exportaciones.

Para simplificar las conexiones cliente, en especial para las exportaciones con nombres de ruta extensos, el servidor NFS también es compatible con los alias, que son accesos directos a los puntos de montaje que los clientes pueden especificar directamente.

Para un uso compartido de archivos NFS seguro, OneFS es compatible con los proveedores de autenticación NIS y LDAP.

Exportaciones NFSPuede administrar reglas de exportación de NFS individuales que definen los puntos de montaje (rutas) disponibles para los clientes de NFS y la forma en que el servidor se debe comportar con estos clientes.

En OneFS, puede crear, eliminar, enumerar, ver, modificar y recargar exportaciones de NFS.

Las reglas de exportación de NFS están basadas en zonas. Cada exportación está asociada a una zona, que solo los clientes de esa zona pueden montarla, y solo puede exponer rutas bajo la raíz de la zona. De manera predeterminada, cualquier comando de exportación se aplica a la zona actual del cliente.

Cada regla debe tener al menos una ruta (punto de montaje) y puede incluir rutas adicionales. También puede especificar que todos los subdirectorios de la ruta o rutas otorgadas se pueden montar. De otra manera, solo se exportarán las rutas especificadas y los directorios secundarios no se podrán montar.

Una regla de exportación puede especificar un conjunto especial de clientes, lo que le permite restringir el acceso a ciertos puntos de montaje o aplicar un conjunto único de opciones para estos clientes. Si la regla no especifica ningún cliente, se aplica a todos los clientes que se conectan al servidor. Si la regla especifica clientes, entonces se aplica solamente a esos clientes.

Alias de NFSPuede crear y administrar alias como accesos directos para los nombres de rutas de directorio en OneFS. Si esos nombres de ruta se definen como exportaciones de NFS, los clientes de NFS pueden especificar los alias como puntos de montaje de NFS.

Los alias de NFS se designan para brindar una paridad funcional con los nombres de los recursos compartidos de SMB en el contexto de NFS. Cada alias mapea un nombre único a una ruta en el sistema de archivos. Luego, los clientes de NFS pueden usar el nombre del alias en lugar de la ruta durante el montaje.

Los alias se deben formar como nombres de ruta de UNIX de nivel superior, con una barra diagonal seguida por el nombre. Por ejemplo, puede crear un alias denominado /q4 que se mapea a /ifs/data/finance/accounting/winter2015 (una ruta en OneFS). Un cliente de NFS puede montar ese directorio a través de:

mount cluster_ip:/q4

mount cluster_ip:/ifs/data/finance/accounting/winter2015

Los alias y las exportaciones son completamente independientes. Puede crear un alias sin asociarlo con una exportación de NFS. De manera similar, una exportación de NFS no requiere un alias.

Cada alias debe apuntar a una ruta válida en el sistema de archivos. Si bien esta ruta es absoluta, debe apuntar a una ubicación debajo de la raíz de la zona (/ifs en la zona System). Si el alias apunta a una ruta que no existe en el sistema de archivos, el cliente que intente montar el alias no podrá hacerlo, de la misma forma en que no podrá montar un nombre de ruta completo no válido.

Los alias de NFS están basados en zonas. De manera predeterminada, un alias se aplica a la zona de acceso actual del cliente. Para cambiar esto, puede especificar una zona de acceso alternativa como parte de la creación o modificación de un alias.


Solo los clientes de esa zona pueden usar los alias, y estos se pueden aplicar solo a las rutas bajo la raíz de la zona. Los nombres de los alias son únicos por zona, pero se puede usar el mismo nombre en zonas diferentes, por ejemplo, /home.

Cuando crea un alias en la interfaz de administración web, la lista de alias muestra el estado del alias. De manera similar, mediante la opción --check del comando isi nfs aliases, puede comprobar el estado de un alias de NFS (el estado puede ser: good, illegal path, name conflict, not exported o path not found).

Archivos de log de NFSOneFS escribe mensajes de registro asociados con eventos de NFS en un conjunto de archivos en /var/log.

Con la opción del nivel de registro, ahora puede especificar el nivel de detalle con que los mensajes de registro se disponen en los archivos de registro. La siguiente tabla describe los archivos de registro asociados con NFS.

Archivo de log Descripción

nfs.log Funcionalidad del servidor NFS principal (v3, v4, montaje)

rpc_lockd.log Eventos de bloqueo de NFS v3 a través del protocolo NLM

rpc_statd.log Detección de reinicio de NFS v3 a través del protocolo NSM

isi_netgroup_d.log Solución y almacenamiento en caché de netgroups

Administración del servicio de NFSEs posible habilitar o deshabilitar el servicio de NFS y especificar las versiones de NFS compatibles, entre las que se incluyen NFSv3 y NFSv4. La configuración de NFS se aplica a todos los nodos del clúster.

NOTA: NFSv4 se puede habilitar en forma no disruptiva en un clúster OneFS y se puede ejecutar simultáneamente con

NFSv3. Los clientes NFSv3 existentes no se verán afectados por la habilitación de NFSv4.

Ver ajustes de NFSPuede ver la configuración global de NFS que se aplica a todos los nodos del clúster.

• Ejecute el comando isi nfs settings global view.El sistema muestra un resultado similar al siguiente ejemplo:

NFSv3 Enabled: Yes NFSv4 Enabled: No NFS Service Enabled: Yes

Configurar el uso compartido de archivos NFSEs posible habilitar o deshabilitar el servicio NFS, establecer el nivel de protección de bloqueo y establecer el tipo de seguridad. Esta configuración se aplica en todos los nodos del clúster. Puede cambiar los ajustes para las exportaciones de NFS individuales que defina.

• Ejecute el comando isi nfs settings global modify.El siguiente comando habilita la compatibilidad con NFSv4:

isi nfs settings global modify --nfsv4-enabled=yes

Habilitar o deshabilitar el servicio NFSEn OneFS, el servicio de NFSv3 está habilitado de manera predeterminada. También puede habilitar NFSv4.

NOTA: Puede determinar la habilitación o deshabilitación de los servicios de NFS mediante el comando isi nfs settings global view.

• Ejecute el comando isi nfs settings global modify.El siguiente comando deshabilita el servicio NFSv3:

isi nfs settings global modify --nfsv3-enabled=no


El siguiente comando habilita el servicio NFSv4:

isi nfs settings global modify --nfsv4-enabled=yes

Managing NFS exportsPuede crear exportaciones de NFS, ver y modificar la configuración de las exportaciones y eliminar exportaciones que ya no son necesarias.

El directorio /ifs es el directorio de nivel superior para el almacenamiento de datos en OneFS; además, es la ruta definida en la exportación predeterminada. De manera predeterminada, la exportación de /ifs anula el acceso raíz, pero permite que otros clientes de UNIX monten este directorio junto con todos sus subdirectorios.

NOTA: Se recomienda que modifique la exportación predeterminada para limitar el acceso solo a los clientes de

confianza o para restringir el acceso por completo. Para ayudar a garantizar que los datos confidenciales no se vean

comprometidos, otras exportaciones que cree deben estar en un nivel inferior de la jerarquía de archivos de OneFS, y

pueden estar bajo la protección de las zonas de acceso o se pueden limitar a clientes específicos con acceso raíz, de

lectura y escritura o de solo lectura, según corresponda.

Configurar la exportación NFS predeterminadaLa configuración de exportación de NFS predeterminada se aplica a las nuevas exportaciones de NFS. Puede reemplazar estas configuraciones cuando crea o modifica una exportación.

Puede ver la configuración predeterminada de las exportaciones actuales mediante la ejecución del comando isi nfs settings export view.

PRECAUCIÓN: Se recomienda no modificar la configuración predeterminada de las exportaciones, a menos que esté

seguro del resultado.

• Ejecute el comando isi nfs settings export modify.El siguiente comando especifica un tamaño máximo de archivo de exportación de un terabyte:

isi nfs settings export modify --max-file-size 1099511627776

El siguiente comando restaura el tamaño máximo del archivo de exportación al valor predeterminado del sistema:

isi nfs settings export modify --revert-max-file-size

Crear una regla de root squashing para una exportaciónPor defecto, el servicio NFS implementa una regla de root squashing para la exportación de NFS predeterminada. Esto evita que los usuarios raíz de los clientes NFS ejecuten privilegios de administrador en el servidor NFS.

En OneFS, la exportación de NFS predeterminada es /ifs, el directorio de nivel superior donde se almacenan los datos del clúster.

1. Use el comando isi nfs exports view para ver la configuración actual de la exportación predeterminada.El siguiente comando muestra la configuración de la exportación predeterminada:

isi nfs exports view 1

2. Confirme los siguientes valores predeterminados para esta configuración, que muestran que el valor de la raíz se estableció en nobody, lo cual restringe el acceso raíz:

Map Root Enabled: True User: Nobody Primary Group: -Secondary Groups: -

3. Si la regla de root squashing no entra en vigor, por el motivo que sea, puede implementarla para la exportación de NFS predeterminada ejecutando el comando isi nfs export modify de la siguiente manera:

isi nfs exports modify 1 --map-root-enabled true --map-root nobody


Independientemente de las credenciales que tengan en el cliente NFS, con estos ajustes, los usuarios no podrán obtener privilegios de administrador en el servidor NFS.

Crear una exportación de NFSPuede crear exportaciones de NFS a los archivos compartidos en OneFS con clientes basados en UNIX.

Cada ruta de directorio que designe para una exportación debe existir con anterioridad en el árbol de directorios /ifs. Una ruta de directorio puede ser utilizada por más de una exportación, siempre que esas exportaciones no tengan los mismos clientes explícitos.

El servicio NFS se ejecuta en un espacio de usuario y distribuye la carga entre todos los nodos del clúster. Esto habilita la alta escalabilidad del servicio y apoya miles de exportaciones. Sin embargo, una mejor práctica consiste en evitar la creación de una exportación distinta para cada cliente de la red. Es más eficiente crear pocas exportaciones y usar zonas de acceso y mapeos de usuario para controlar el acceso.

1. Ejecute el comando isi nfs exports create.El siguiente comando crea una exportación que permite el acceso de clientes a múltiples rutas y sus subdirectorios:

isi nfs exports create /ifs/data/projects,/ifs/home --all-dirs=yes

2. Opcional: Para ver el ID de la exportación, el cual es necesario para modificarla o eliminarla, ejecute el comando isi nfs exports list.

Verificar que las exportaciones NFS no contengan erroresPuede comprobar si hay errores en las exportaciones de NFS, como reglas de exportación en conflicto, rutas no válidas y nombres de hosts y netgroups que no se pueden resolver. Esta tarea solo se puede realizar desde la interfaz de la línea de comandos de OneFS.


2. Ejecute el comando isi nfs exports check.

En el resultado del siguiente ejemplo, no se encontraron errores:

ID Message--------------------Total: 0En el resultado del siguiente ejemplo, la exportación 1 contiene una ruta de directorio que por el momento no existe:

ID Message-----------------------------------1 '/ifs/test' does not exist-----------------------------------Total: 1

Modificar una exportación NFSEs posible modificar los ajustes para una exportación de NFS existente.

PRECAUCIÓN: La modificación de la configuración de exportación puede causar problemas de rendimiento. Asegúrese

de comprender el impacto potencial de cualquier modificación de la configuración antes de confirmar los cambios.

Ejecute el comando isi nfs exports modify.Por ejemplo, el siguiente comando añade un cliente con acceso de lectura y escritura a la exportación 2 de NFS:

isi nfs exports modify 2 --add-read-write-clients 10.1.249.137

Este comando puede reemplazar la configuración de restricción de acceso de la exportación, en caso de conflicto. Por ejemplo, si la exportación se creó con el acceso de lectura y escritura deshabilitado, el cliente 10.1.249.137 seguiría contando con permisos de lectura y escritura en la exportación.

Eliminar una exportación de NFSPuede eliminar las exportaciones de NFS innecesarias. Todas las conexiones de clientes NFS establecidas actualmente con estas exportaciones dejarán de ser válidas.

Necesita el número de ID de la exportación para eliminarla. Ejecute el comando isi nfs exports list para mostrar una lista de exportaciones y sus números de ID.

1. Ejecute el comando isi nfs exports delete.


En el siguiente ejemplo, el comando elimina una exportación cuyo ID es 2:

isi nfs exports delete 2

En el siguiente ejemplo, el comando isi nfs exports delete elimina una exportación cuyo ID es 3 sin mostrar un indicador de confirmación. Tenga cuidado cuando utilice la opción --force.

isi nfs exports delete 3 --force

2. Si no especificó la opción --force, ingrese yes en el indicador de confirmación.

Administrar alias de NFSPuede crear alias de NFS para simplificar las exportaciones a las que se conectan los clientes. Un alias de NFS mapea una ruta de directorio absoluta a una ruta de directorio simple.

Por ejemplo, suponga que creó una exportación de NFS en /ifs/data/hq/home/archive/first-quarter/finance. Puede crear el alias /finance1 para mapearlo a esa ruta de directorio.

Los alias de NFS se pueden crear en cualquier zona de acceso, incluida la zona System.

Crear un alias de NFSPuede crear un alias de NFS para asignar una ruta de directorio larga a un nombre de ruta simple.

Los alias deben formarse como una ruta simple de directorio al estilo de UNIX, por ejemplo, /home.

Ejecute el comando isi nfs aliases create.El siguiente comando crea un alias para un nombre de ruta completo en OneFS, en una zona de acceso denominada hq-home:

isi nfs aliases create /home /ifs/data/offices/hq/home --zone hq-home

Cuando crea un alias de NFS, OneFS realiza una evaluación del estado. Si, por ejemplo, la ruta completa que especifica no es una ruta válida, OneFS emite una advertencia:

Warning: health check on alias '/home' returned 'path not found'Sin embargo, se crea el alias y puede crear el directorio al que este apunta más adelante.

Modificar un alias de NFSPuede modificar un alias de NFS, por ejemplo, si se ha modificado la ruta de directorio de una exportación.

Los alias se deben formar como una ruta de directorio simple y con estilo UNIX, por ejemplo /home.

Ejecute el comando isi nfs aliases modify.El siguiente comando cambia el nombre de un alias en la zona de acceso hq-home:

isi nfs aliases modify /home --zone hq-home --name /home1

Cuando modifica un alias de NFS, OneFS realiza una evaluación del estado. Si, por ejemplo, la ruta al alias no es válida, OneFS emite una advertencia:

Advertencia: health check on alias '/home' returned 'not exported'Sin embargo, el alias se modifica y es posible crear la exportación más adelante.

Eliminar un alias de NFSPuede eliminar un alias de NFS.

Si se asigna un alias de NFS a una exportación de NFS, la eliminación del alias puede desconectar a los clientes que lo usen para conectarse a la exportación.

1. Ejecute el comando isi nfs aliases delete.El siguiente comando elimina el alias /home en una zona de acceso denominada hq-home:

isi nfs aliases delete /home --zone hq-home


Cuando elimina un alias de NFS, OneFS le solicita confirmar la operación:

Are you sure you want to delete NFS alias /home? (yes/[no])2. Escriba yes y luego presione INTRO.

El alias se elimina, a menos que se encuentre una condición de error, por ejemplo, si escribió mal el nombre del alias.

Enumerar los alias de NFSPuede ver una lista de los alias NFS que ya se han definido para una zona determinada. Los alias en la zona del sistema se enumeran de forma predeterminada.

Ejecute el comando isi nfs aliases list.En el siguiente ejemplo, el comando enumera los alias que se crearon en la zona del sistema (predeterminada):

isi nfs aliases list

En el siguiente ejemplo, el comando isi nfs aliases list enumera los alias que se crearon en una zona de acceso denominada hq-home:

isi nfs aliases list --zone hq-home

El resultado de isi nfs aliases list es similar al que se presenta en este ejemplo:

Zone Name Path -------------------------------------------------hq-home /home /ifs/data/offices/newyorkhq-home /root_alias /ifs/data/officeshq-home /project /ifs/data/offices/project-------------------------------------------------Total: 3

Ver un alias de NFSPuede ver la configuración de un alias de NFS en la zona de acceso especificada.

Ejecute el comando isi nfs aliases view.El siguiente comando proporciona información sobre un alias en la zona de acceso, hq-home, incluido el estado del alias:

isi nfs aliases view /projects --zone hq-home --check

El resultado de este comando es similar al que se presenta en este ejemplo:

Zone Name Path Health--------------------------------------------------------hq-home /projects /ifs/data/offices/project good--------------------------------------------------------Total: 1

FTPOneFS incluye un servicio FTP seguro denominado vsftpd, que significa Very Secure FTP Daemon, y que se puede configurar para las transferencias estándares de archivos FTP y FTPS.

Ver ajustes de FTPPuede ver una lista de los ajustes de configuración de FTP actuales.

• Ejecute el comando isi ftp settings view.


Accept Timeout: 1m Allow Anon Access: No Allow Anon Upload: Yes Allow Dirlists: Yes Allow Downloads: Yes Allow Local Access: Yes Allow Writes: Yes


Always Chdir Homedir: Yes Anon Chown Username: root Anon Password List: - Anon Root Path: /ifs/home/ftp Anon Umask: 0077 Ascii Mode: offChroot Exception List: - Chroot Local Mode: none Connect Timeout: 1m Data Timeout: 5m Denied User List: - Dirlist Localtime: No Dirlist Names: hide File Create Perm: 0666 Limit Anon Passwords: Yes Local Root Path: - Local Umask: 0077 Server To Server: No Session Support: Yes Session Timeout: 5m User Config Dir: - FTP Service Enabled: Yes

Habilitar el uso compartido de archivos en FTPEl servicio FTP, vsftpd, está deshabilitado de manera predeterminada.

NOTA: Puede determinar si dejar el servicio habilitado o deshabilitado mediante el comando isi services -l.


isi services vsftpd enable

El sistema muestra el siguiente mensaje de confirmación:

The service 'vsftpd' has been enabled.Puede establecer la configuración de FTP con el comando isi ftp.

Configurar el uso compartido de archivos por FTPPuede configurar el servicio FTP para permitir que cualquier nodo del clúster responda a las solicitudes de FTP mediante una cuenta de usuario estándar.

Debe habilitar el servicio FTP para poder usarlo.

Puede habilitar la transferencia de archivos entre servidores FTP remotos y el servicio FTP anónimo en la raíz creando un usuario local denominado anónimo o ftp.

Al configurar el acceso al FTP, asegúrese de que la raíz especificada del FTP sea el directorio principal del usuario que inicia sesión. Por ejemplo, la raíz del FTP para el usuario local jsmith debería ser ifs/home/jsmith.

• Ejecute el comando isi ftp settings modify.

Debe ejecutar este comando para cada acción de forma independiente.

El siguiente comando habilita las transferencias entre servidores:

isi ftp settings modify --server-to-server=yes

El siguiente comando deshabilita las cargas anónimas:

isi ftp settings modify --allow-anon-upload=no

Debe ejecutar este comando para cada acción de forma independiente.


HTTP y HTTPSOneFS incluye un servicio de protocolo de transferencia de hipertexto (HTTP) configurable que se usa para solicitar archivos almacenados en el clúster e interactuar con la interfaz de administración web.

OneFS admite HTTP y su variante segura, HTTPS. Cada nodo del clúster ejecuta una instancia del servidor Apache HTTP para brindar acceso HTTP. Puede configurar el servicio HTTP para que se ejecute en diferentes modos.

HTTP y HTTPS son compatibles con la transferencia de archivos, pero solo HTTPS es compatible con las llamadas de API. El requisito exclusivo de HTTPS incluye la interfaz de administración web. Además, OneFS admite una forma del protocolo web DAV (WebDAV), que permite a los usuarios modificar y administrar los archivos en servidores web remotos. OneFS ejecuta una autoría distribuida, pero no admite la creación de versiones ni ejecuta verificaciones de seguridad. Puede habilitar DAV en la interfaz de administración web.

Habilitar y configurar HTTPPuede configurar HTTP y WebDAV para permitir que los usuarios editen y administren los archivos de manera colaborativa entre servidores web remotos.

Puede usar el comando isi http settings modify para configurar los ajustes relacionados con HTTP.

• Ejecute el comando isi http settings modify.

El siguiente comando habilita el servicio de HTTP, WebDAV y la autenticación básica:

isi http settings modify --service=enabled --dav=yes \basic-authentication=yes

Habilitar el protocolo HTTPS a través del servicio ApachePuede acceder a un clúster Isilon a través del servicio de Apache mediante el protocolo HTTPS.

• Para habilitar el protocolo HTTPS, ejecute el siguiente comando:

isi_gconfig -t http-config https_enabled=true

El servicio HTTPS queda habilitado.NOTA: Es posible que el cambio de la configuración tarde hasta unos 10 segundos en aplicarse. En consecuencia, es

posible que se interrumpan las transferencias de datos mediante HTTP en curso.

Deshabilitar el protocolo HTTPS a través del servicio ApachePuede deshabilitar el acceso a un clúster Isilon a través del servicio de Apache mediante el protocolo HTTPS.

• Para deshabilitar el protocolo HTTPS, ejecute el siguiente comando:

isi_gconfig -t http-config https_enabled=false

El servicio HTTPS queda deshabilitado.NOTA: Es posible que el cambio de la configuración tarde hasta unos 10 segundos en aplicarse. En consecuencia, es

posible que se interrumpan las transferencias de datos mediante HTTP en curso.


Filtrado de archivosEsta sección contiene los siguientes temas:

Temas:

• Filtrado de archivos en una zona de acceso• Habilitar y configurar el filtrado de archivos en una zona de acceso• Deshabilitar el filtrado de archivos en una zona de acceso• Ver ajustes de filtrado de archivos

Filtrado de archivos en una zona de accesoEn una zona de acceso, puede usar el filtrado de archivos para permitir o denegar las operaciones de escritura de archivos en función del tipo de archivo.

Si algunos tipos de archivos pudieran causar problemas de rendimiento, problemas de seguridad, desorden de almacenamiento o interrupciones en la productividad en el clúster, o si las organizaciones deben adherirse a políticas de archivo específicas, puede restringir las operaciones de escritura según tipos de archivo especificados o solo permitir escrituras en función de una lista especificada de tipos de archivo. Cuando habilita el filtrado de archivos en una zona de acceso, OneFS aplica reglas de filtrado de archivos solo a archivos en esa zona de acceso.

• Si decide denegar las operaciones de escritura de archivos, puede especificar los tipos de archivo que no se podrán escribir por extensión. OneFS permitirá que se escriban todos los demás tipos de archivos.

• Si decide permitir las operaciones de escritura de archivos, puede especificar los tipos de archivo que se pueden escribir por extensión. OneFS impedirá que se escriban todos los demás tipos de archivos.

OneFS no toma en cuenta qué protocolo de uso compartido de archivos se utilizó para conectarse a la zona de acceso al aplicar las reglas de filtrado de archivos; sin embargo, puede aplicar un filtrado de archivos adicional en el nivel de recursos compartidos de SMB. Consulte “Filtrado de archivos de SMB” en el capítulo Uso compartido de archivos de esta guía.

Habilitar y configurar el filtrado de archivos en una zona de accesoPuede activar el filtrado de archivos por zona de acceso y especificar a qué usuarios de tipos de archivos se les rechaza u otorga el acceso de escritura dentro de la zona de acceso.

Ejecute el comando isi file-filter settings modify.El siguiente comando habilita el filtrado de archivos en la zona de acceso zone3 y permite que los usuarios escriban solo en los tipos de archivos específicos:

isi file-filter settings modify --zone=zone3 \ file-filtering-enabled=yes file-filter-type=allow \ file-filter-extensions=.xml,.html,.txt

Los tipos de archivos están designados por su extensión y deben comenzar con un “.”, como .txt.

El siguiente comando habilita el filtrado de archivos en zone3 y no les permite a los usuarios tener acceso de escritura solamente a tipos de archivos específicos:

isi file-filter settings modify --zone=zone3 \ file-filtering-enabled=yes file-filter-type=deny \ file-filter-extensions=.xml,.html,.txt

12

174 Filtrado de archivos

Deshabilitar el filtrado de archivos en una zona de accesoPuede deshabilitar el filtrado de archivos por zona de acceso. Los ajustes anteriores que especifican las extensiones de los tipos de archivos y filtros se conservan, pero ya no se aplican.

Ejecute el comando isi file-filter settings modify.El siguiente comando deshabilita el filtrado de archivos en la zona de acceso zone3:

isi file-filter settings modify --zone=zone3 \ file-filtering-enabled=no

Ver ajustes de filtrado de archivosPuede ver los ajustes de filtrado de archivos en una zona de acceso.

Ejecute el comando isi file-filter settings view.El siguiente comando muestra la configuración del filtrado de archivos en la zona de acceso zone3:

isi file-filter settings view --zone=zone3


File Filtering Enabled: YesFile Filter Extensions: xml, html, txt File Filter Type: deny

Filtrado de archivos 175

Auditoría y registroEsta sección contiene los siguientes temas:

Temas:

• Descripción general de la auditoría• Syslog• Eventos de auditoría de protocolo• Herramientas de auditoría compatibles• Entrega de eventos de auditoría de protocolo a varios servidores CEE• Tipos de evento compatibles• Ejemplo de registro de auditoría• Administración de configuraciones de auditoría• Integración de Common Event Enabler• Seguimiento de la entrega de eventos de auditoría de protocolo

Descripción general de la auditoríaPuede auditar los cambios en la configuración del sistema y la actividad del protocolo en un clúster Isilon. Todos los datos de auditoría están almacenados y protegidos en el sistema de archivos del clúster y organizados según temas de auditoría.

Las auditorías pueden detectar muchas fuentes potenciales de pérdida de datos, incluidas actividades fraudulentas, autorizaciones inapropiadas e intentos de acceso no autorizado. Los clientes en sectores tales como los servicios financieros, los servicios de salud, las ciencias biológicas y los medios de comunicación y entretenimiento, así como en las dependencias gubernamentales, deben cumplir con estrictos requisitos normativos desarrollados para protegerlos contra estas fuentes de pérdida de datos.

La auditoría de la configuración de sistema rastrea y registra todos los eventos de configuración manejados por la API de HTTP de OneFS. El proceso implica la auditoría de la interfaz de la línea de comandos (CLI), la interfaz de administración web y las API de OneFS. Cuando se habilita el proceso de auditoría de la configuración del sistema, no se necesita ninguna configuración adicional. Los eventos de auditoría de configuración del sistema se almacenan en los directorios config de temas de auditoría.

La auditoría de protocolos rastrea y almacena la actividad que realiza a través de las conexiones de protocolo SMB, NFS y HDFS . Puede habilitar y configurar la auditoría de protocolo para una o más zonas de acceso en un clúster. Si habilita la auditoría de protocolos en una zona de acceso, los eventos de acceso a archivos mediante los protocolos SMB, NFS y HDFS se registran en los directorios de temas de auditoría de protocolos. Puede especificar los eventos que desea registrar en cada zona de acceso. Por ejemplo, puede auditar el conjunto predeterminado de eventos protocol en la zona de acceso System, pero solamente los intentos exitosos de eliminación de archivos en una zona de acceso diferente.

Los eventos de auditoría se registran en los nodos individuales donde el cliente SMB, NFS o HDFS inició la actividad. A continuación, los eventos se almacenan en un archivo binario en /ifs/.ifsvar/audit/logs. Los registros se transfieren de forma automática a un nuevo archivo después de que el tamaño alcance el valor de 1 GB. A continuación, los registros se comprimen para reducir el espacio.

Las aplicaciones de auditoría compatibles con Common Event Enabler (CEE) pueden utilizar el archivo de registro de auditoría protocol.

SyslogSyslog es un protocolo que se utiliza para comunicar los mensajes de notificación de eventos. Puede configurar un clúster Isilon para que registre los eventos de auditoría y los reenvíe a syslog mediante el reenviador de syslog.

De manera predeterminada, todos los eventos de protocolos que ocurren en un nodo determinado se reenvían al archivo /var/log/audit_protocol.log, independientemente de la zona de acceso en la que se originó el evento. Todos los eventos de auditoría de configuración se registran en /var/log/audit_config.log de forma predeterminada.

Syslog está configurado con una identidad que depende del tipo de evento de auditoría que se envía. Utiliza la función daemon y el nivel de prioridad info. Los eventos de auditoría de protocolo se registran en syslog con la identidad audit_protocol. Los eventos de auditoría de configuración se registran en syslog con la identidad audit_config.

13

176 Auditoría y registro

Para configurar la auditoría en un clúster Isilon, debe ser un usuario raíz o se debe asignar a una función administrativa que incluya privilegios de auditoría (ISI_PRIV_AUDIT).

Reenvío de syslogEl reenviador de syslog es un demonio que, cuando se encuentra habilitado, recupera cambios en la configuración y eventos de auditoría de protocolos en una zona de acceso y reenvía los eventos al syslog. Solo los eventos de éxito y falla en las auditorías definidas por el usuario son aptos para su reenvío a syslog.

En cada nodo hay un demonio reenviador de auditorías de syslog en ejecución que registrará los eventos de auditoría en el demonio de syslog del mismo nodo.

Eventos de auditoría de protocoloDe forma predeterminada, las zonas de acceso auditadas rastrean solo determinados eventos en el clúster Isilon, incluidos los intentos fallidos y exitosos de acceso a archivos y directorios.

Los eventos rastreados de manera predeterminada son create, close, delete, rename y set_security.

Los nombres de eventos generados están basados a grandes rasgos en el modelo de paquete de solicitudes de I/O (IRP) de Windows, en el cual todas las operaciones comienzan con un evento create para obtener un identificador de archivo. Se requiere un evento de tipo create antes de todas las operaciones de I/O, entre las que se incluyen las siguientes: close, create, delete, get_security, read, rename, set_security y write. Un evento close determina el momento en el que el cliente ya no necesita el identificador de archivo generado por un evento create.

NOTA: Para los protocolos NFS y HDFS, puede que los eventos rename y delete no se incluyan en los eventos create y

close.

Estos eventos almacenados internamente se convierten en eventos que se reenvían mediante CEE a la aplicación de auditoría. Las funcionalidades de exportación de CEE en OneFS ejecutan este mapeo. CEE se puede usar para conectarse a cualquier aplicación de otros fabricantes que admita CEE.

NOTA: CEE no es compatible con el reenvío de eventos de protocolo HDFS a una aplicación de otros fabricantes.

Diversos clientes SMB, NFS y HDFS envían diferentes solicitudes, y una versión determinada de una plataforma que utiliza SMB, como Windows o Mac OS X, podría diferir de otras que utilizan NFS. De manera similar, diferentes versiones de una aplicación como Microsoft Word o el Explorador de Windows podrían realizar diferentes solicitudes de protocolo. Por ejemplo, es posible que un cliente con una ventana del Explorador de Windows abierta genere muchos eventos si esa ventana se actualiza de forma automática o manual. Las aplicaciones emiten solicitudes con las credenciales del usuario que ya inició sesión, pero no se debe suponer que todas las solicitudes corresponden a acciones intencionales del usuario.

Si se habilita esta opción, la auditoría de OneFS hará un seguimiento de todos los cambios realizados en archivos y directorios de recursos compartidos de SMB, exportaciones de NFS y datos HDFS.

Herramientas de auditoría compatiblesPuede configurar OneFS para que envíe registros de auditoría de protocolos a servidores compatibles con Common Event Enabler (CEE).

El funcionamiento de CEE se probó y se verificó en varios proveedores de software de otros fabricantes.NOTA: Se recomienda instalar y configurar las aplicaciones de auditoría de otros fabricantes antes de habilitar la función

de auditoría de OneFS. De lo contrario, todos los eventos que se registran se envían a la aplicación de auditoría y se

produce una gran acumulación de trabajo por procesar que genera un retraso en la recepción de los eventos más

recientes.

Entrega de eventos de auditoría de protocolo a varios servidores CEEOneFS es compatible con la entrega simultánea de eventos de auditoría de protocolo a varios servidores CEE que ejecutan el servicio CEE.

Puede establecer un máximo de 20 conexiones HTTP 1.1 a través de un subconjunto de servidores CEE. Cada nodo en un clúster Isilon puede seleccionar hasta cinco servidores CEE para la entrega. Los servidores CEE se comparten en una configuración global y se configuran con OneFS agregando el URI de cada servidor a la configuración de OneFS.

Auditoría y registro 177

Después de configurar los servidores CEE, un nodo en un clúster Isilon selecciona automáticamente los servidores CEE en una lista ordenada de URI de CEE. Se seleccionan los servidores a partir del número de nodo lógico del nodo, compensado dentro de la lista ordenada. Cuando un servidor CEE no está disponible, se selecciona el siguiente servidor disponible. Todas las conexiones se distribuyen uniformemente entre los servidores seleccionados. Cuando un nodo se transfiere debido a que un servidor CEE no estaba disponible anteriormente, se realizan comprobaciones cada 15 minutos para determinar si el servidor CEE está disponible. El nodo se transfiere de vuelta tan pronto como el servidor CEE está disponible.

Siga algunas de estas mejores prácticas antes de configurar los servidores CEE:

• Se recomienda que proporcione un solo servidor CEE por nodo. Puede usar servidores CEE adicionales más allá del tamaño del clúster Isilon solo cuando el servidor CEE seleccionado quede offline.

NOTA: En una configuración global, debe haber un servidor CEE por nodo.

• Configure el servidor CEE y habilite la auditoría de protocolos al mismo tiempo. De lo contrario, es posible que se acumule una lista de eventos pendientes y que esto cause una entrega de elementos obsoletos durante un tiempo.

Puede obtener una vista global del progreso del envío de los eventos de auditoría de protocolo o puede obtener una vista de número de nodo lógico del progreso ejecutando el comando isi audit progress view.

Tipos de evento compatiblesEs posible ver o modificar los tipos de eventos que se auditan en una zona de acceso.

Nombre del evento

Ejemplo de actividad de protocolo

Auditado de manera predeterminada

Se puede exportar mediante CEE

No se puede exportar mediante CEE

create • Creación de un archivo o directorio

• Apertura de un archivo, directorio o recurso compartido

• Montaje de un recurso compartido

• Eliminar un archivoNOTA: Si bien el protocolo SMB permite preparar un archivo para su eliminación con la operación de creación, debe habilitarse el evento de eliminación para que la herramienta de auditoría registre el evento.

X X

cerrar • Cierre de un directorio• Cierre de un archivo

modificado o no modificado

X X

rename Cambio de nombre de un archivo o directorio

X X

eliminación Eliminación de un archivo o directorio

X X

set_security Intento de modificar permisos de archivos o directorios

X X

read La primera solicitud de lectura en un identificador de archivo abierto

X

escritura La primera solicitud de escritura en un identificador de archivo abierto

X


Nombre del evento

Ejemplo de actividad de protocolo

Auditado de manera predeterminada

Se puede exportar mediante CEE

No se puede exportar mediante CEE

get_security El cliente lee información de seguridad de un identificador de archivo abierto

X

Iniciar sesión Solicitud de creación de sesión de SMB por parte de un cliente

X

logoff Cierre de sesión de SMB X

tree_connect Primer intento de SMB de acceder a un recurso compartido

X

Ejemplo de registro de auditoríaPuede ver los registros de auditoría de configuraciones y protocolos ejecutando el comando isi_audit_viewer en cualquier nodo del clúster Isilon.

Para ver los registros de auditoría de acceso de protocolo, ejecute isi_audit_viewer -t protocol. Para ver los registros de configuración del sistema, ejecute isi_audit_viewer -t config. La siguiente salida es un ejemplo de un registro de configuración del sistema:

[0: Fri Jan 23 16:17:03 2015] {"id":"524e0928-a35e-11e4-9d0c-005056302134","timestamp":1422058623106323,"payload":"PAPI config logging started."}

[1: Fri Jan 23 16:17:03 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058623112992,"payload":{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/protocols/smb/shares","method":"POST","args":"","body":{"path": "/ifs/data", "name": "Test"}}}

[2: Fri Jan 23 16:17:05 2015] {"id":"5249b99d-a35e-11e4-9d0c-005056302134","timestamp":1422058625144567,"payload":{"status":201,"statusmsg":"Created","body":{"id":"Test"}}}

[3: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659345539,"payload":{"user":{"token": {"UID":0, "GID":0, "SID": "SID:S-1-22-1-0", "GSID": "SID:S-1-22-2-0", "GROUPS": ["SID:S-1-5-11", "GID:5", "GID:20", "GID:70", "GID:10"], "protocol": 17, "zone id": 1, "client": "10.7.220.97", "local": "10.7.177.176" }},"uri":"/1/audit/settings","method":"PUT","args":"","body":{"config_syslog_enabled": true}}}

[4: Fri Jan 23 16:17:39 2015] {"id":"67e7ca62-a35e-11e4-9d0c-005056302134","timestamp":1422058659387928,"payload":{"status":204,"statusmsg":"No Content","body":{}}}Los eventos de auditoría de configuraciones se presentan en pares; se registra un pre event antes de ejecutar el comando y se registra un post event después de la activación del evento. Los eventos de auditoría de protocolo se registran como post event después de que se realiza una operación. Las auditorías de configuraciones se pueden correlacionar haciendo coincidir el campo id.

El evento previo (pre event) siempre va primero y contiene información sobre el token del usuario, la ruta PAPI y los argumentos que se hayan pasado a la llamada PAPI. En el evento 1, se envió una solicitud POST a /1/protocols/smb/shares con los argumentos path=/ifs/data y name=Test. El evento posterior (post event) contiene el estado de retorno de HTTP y cualquier resultado que se haya obtenido del servidor.

Administración de configuraciones de auditoríaEs posible habilitar y deshabilitar la configuración del sistema y de la auditoría de acceso de protocolo, además de configurar la integración en Common Event Enabler.

Enable protocol access auditingPuede auditar el acceso de los protocolos SMB, NFS y HDFS para generar eventos por zona de acceso y reenviarlos a Common Event Enabler (CEE) para que se exporten a productos de otros fabricantes.


NOTA: Debido a que cada evento auditado consume recursos del sistema, se recomienda que configure zonas

únicamente para aquellos eventos que necesite su aplicación de auditoría. Además, se recomienda instalar y configurar

aplicaciones de auditoría de otros fabricantes antes de habilitar la función de auditoría de OneFS. De lo contrario, la gran

cantidad de trabajos pendientes realizados por esta función puede impedir la actualización de los resultados durante un

período considerable. De manera adicional, puede configurar manualmente el momento en el que desea reenviar los

eventos de auditoría con el comando isi audit settings global modify --cee-log-time.

Ejecute el comando isi audit settings global modify.El siguiente comando habilita la auditoría de los eventos de acceso a protocolos en las zonas de acceso zone3 y zone5, y envía los eventos registrados a un servidor CEE:

isi audit settings global modify --protocol-auditing-enabled=yes \ --cee-server-uris=http://sample.com:12228/cee \ --hostname=cluster.domain.com --audited-zones=zone3,zone5

OneFS registra eventos de protocolo auditados en un archivo binario dentro de /ifs/.ifsvar/audit/logs. El servicio de CEE reenvía los eventos registrados a través de una operación PUT de HTTP a una terminal definida.

Puede modificar los tipos de eventos de acceso de protocolo que deben auditarse con el comando isi audit settings modify. También puede habilitar el envío de los eventos de acceso de protocolo a syslog con el comando isi audit settings modify, con la opción --syslog-forwarding-enabled.

Enviar eventos de acceso de protocolos a syslogPuede habilitar o deshabilitar el envío de eventos de acceso de protocolos auditados a syslog en cada zona de acceso. El envío no se habilita de forma predeterminada cuando se habilita la auditoría de acceso de protocolo. Este procedimiento está disponible solamente a través de la interfaz de la línea de comandos.

Para habilitar el envío de eventos de acceso de protocolo en una zona de acceso, primero debe habilitar la auditoría de acceso de protocolo en la zona de acceso.

Las opciones --audit-success y --audit-failure definen los tipos de eventos que se auditan, mientras que la opción --syslog-audit-events define los tipos de eventos que se envían a syslog. Solo los tipos de evento auditados son adecuados para su envío a syslog. Si se habilita el envío a syslog, los eventos de acceso de protocolo se escriben en el archivo /var/log/audit_protocol.log.


2. Ejecute el comando isi audit settings modify con la opción --syslog-forwarding-enabled para habilitar o deshabilitar el syslog de auditoría.El siguiente comando habilita el envío de los eventos de acceso de protocolos auditados en la zona de acceso zone3 y especifica que los únicos tipos de eventos que se envían son los eventos close, create y delete:

isi audit settings modify --syslog-forwarding-enabled=yes --syslog-audit-events=close,create,delete --zone=zone3

El siguiente comando deshabilita el envío de eventos de acceso de protocolos auditados de la zona de acceso zone3:

isi audit settings modify --syslog-forwarding-enabled=no --zone=zone3

Habilitar auditorías del sistema de configuraciónOneFS puede auditar eventos de configuración del sistema en su clúster Isilon. Cuando se habilita esta opción, OneFS registra todos los eventos de configuración del sistema controlados por la API de plataforma, como las escrituras, las modificaciones y las eliminaciones. Los registros de cambios en la configuración del sistema se completan en el tema de configuración del almacén de back-end de auditoría en /ifs/.ifsvar/audit.

NOTA: Los eventos de configuración no se envían a Common Event Enabler (CEE).


2. Ejecute el comando isi audit settings global modify.El siguiente comando habilita la auditoría de la configuración del sistema en el clúster:

isi audit settings global modify --config-auditing-enabled=yes


Puede habilitar el envío de cambios de la configuración del sistema a syslog ejecutando el comando isi audit settings global modify con la opción --config-syslog-enabled.

Configurar el nombre de host de auditoríaDe manera opcional, puede establecer el nombre de host de auditoría para algunas de las aplicaciones de auditorías de otros fabricantes que requieren un nombre de host unificado. Si no configura un nombre de host para estas aplicaciones, cada nodo de un clúster Isilon envía su nombre de host como el nombre del servidor en el servidor CEE. De lo contrario, el nombre de host de auditoría configurado se utiliza como nombre de servidor global.


2. Ejecute el comando isi audit settings global modify con la opción --hostname para establecer el nombre de host de auditoría.El siguiente comando establece mycluster como nombre de host de auditoría:

isi audit settings global modify --hostname=mycluster

Configurar las zonas de protocolo auditadoSolo los eventos de auditoría de protocolo dentro de una zona auditada se capturan y se envían al servidor CEE. Por lo tanto, debe configurarse una zona de auditoría de protocolo para enviar eventos de auditoría.


2. Ejecute el comando isi audit settings global modify con la opción --audited-zones para configurar las zonas de auditoría de protocolo.El siguiente comando configura HomeDirectory y Misc como zonas de auditoría de protocolo:

isi audit settings global modify --audited-zones=HomeDirectory,Misc

Reenvío de los cambios en la configuración del sistema a syslogPuede habilitar o deshabilitar el reenvío de cambios en la configuración del sistema en el clúster Isilon a syslog, que se guarda en /var/log/audit_config.log. Este procedimiento está disponible solamente a través de la interfaz de la línea de comandos.

El reenvío no se habilita de forma predeterminada cuando se habilita la auditoría de configuración del sistema. Para habilitar el reenvío de cambios en la configuración del sistema a syslog, primero debe habilitar la auditoría de configuración del sistema en el clúster.


2. Ejecute el comando isi audit settings global modify con la opción --config-syslog-enabled para habilitar o deshabilitar el reenvío de cambios en la configuración del sistema.El siguiente comando habilita el reenvío de cambios en la configuración del sistema a syslog.

isi audit settings global modify --config-syslog-enabled=yes

El siguiente comando deshabilita el reenvío de cambios en la configuración del sistema a syslog.

isi audit settings global modify --config-syslog-enabled=no

Configurar filtros de eventos de protocoloPuede filtrar los tipos de eventos de acceso de protocolo que se auditan en una zona de acceso. Puede crear filtros para los eventos exitosos y fallidos. Los siguientes eventos de protocolo se recopilan para las zonas de acceso auditadas de manera predeterminada: create, delete, rename, close y set_security. Este procedimiento está disponible solamente a través de la interfaz de la línea de comandos.

Para crear filtros de eventos de protocolo, primero debe habilitar la auditoría de acceso de protocolo en la zona de acceso.


2. Ejecute el comando isi audit settings modify


El siguiente comando crea un filtro que audita la falla de eventos create, close y delete en la zona de acceso zone3:

isi audit settings modify --audit-failure=create,close,delete --zone=zone3

El siguiente comando crea un filtro que audita la realización satisfactoria de eventos create, close y delete en la zona de acceso zone5:

isi audit settings modify --audit-success=create,close,delete --zone=zone5

Integración de Common Event EnablerOneFS se integra en Common Event Enabler (CEE) para permitir que aplicaciones de auditoría de otros fabricantes recopilen y analicen los registros de auditoría de los protocolos.

OneFS es compatible con el componente Common Event Publishing Agent (CEPA) de CEE para Windows. Para integrar OneFS, debe instalar y configurar CEE para Windows en un cliente Windows compatible.

NOTA: Se recomienda instalar y configurar las aplicaciones de auditoría de otros fabricantes antes de habilitar la función

de auditoría de OneFS. De lo contrario, la gran cantidad de trabajos pendientes realizados por esta función puede

impedir la actualización de los resultados durante un período considerable.

Instalar CEE para WindowsPara integrar CEE en OneFS, primero debe instalar CEE en una computadora que ejecute el sistema operativo Windows.

Prepárese para extraer archivos del archivo .iso, como se describe en los pasos a continuación. Si no está familiarizado con el proceso, considere optar por uno de los siguientes métodos:

1. Instale WinRAR u otro programa de archivado apropiado que pueda abrir archivos .iso como carpetas, y copie los archivos.

2. Grabe la imagen en un CD-ROM y copie los archivos.3. Instale SlySoft Virtual CloneDrive, el cual permite montar una imagen ISO como una unidad desde la que puede copiar archivos.

NOTA: Debe instalar un mínimo de dos servidores. Se recomienda instalar CEE 6.6.0 o superior.

1. Descargue el software de la plataforma CEE desde el servicio de soporte en línea:

a) Vaya a Online Support.b) En el campo de búsqueda, ingrese Common Event Enabler for Windows y haga clic en el ícono Search.

c) Haga clic en Common Event Enabler <Version> for Windows, donde <Version> es 6.2 o superior, y siga las instrucciones para abrir o guardar el archivo .iso.

2. Desde el archivo .iso, extraiga el archivo ejecutable EMC_CEE_Pack de 32 o 64 bits que necesita.Cuando se complete la extracción, se abrirá el asistente de instalación de CEE.

3. Haga clic en Next para ir a la página License Agreement.

4. Seleccione la opción I accept… para aceptar las condiciones del acuerdo de licencia y haga clic en Next.

5. En la página Customer Information, escriba su nombre de usuario y organización, seleccione la preferencia de instalación y haga clic en Next.

6. En la página Setup Type, seleccione Complete y haga clic en Next.

7. Haga clic en Install para comenzar la instalación.Aparecerá el progreso de la instalación. Cuando se complete la instalación, aparecerá la página InstallShield Wizard Completed.

8. Haga clic en Finish para salir del asistente.

9. Reinicie el sistema.

Configurar CEE para WindowsDespués de instalar CEE para Windows en una computadora cliente, debe configurar ajustes adicionales a través del editor del registro de Windows (regedit.exe).

1. Abra el editor del registro de Windows.

2. Configure las siguientes claves del registro, si son compatibles con su aplicación de auditoría:



Configuración Ubicación del registro Clave Valor

CEE HTTP listen port

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\Configuration] HttpPort 12228

Enable audit remote endpoints

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

Habilitado 1

Audit remote endpoints

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]

Terminal <EndPoint>

NOTA:

• El valor de HttpPort debe coincidir con el puerto en los URI de CEE que se especifican durante la configuración de

auditoría de protocolo de OneFS.

• El valor de EndPoint debe estar en el formato <EndPoint_Name>@<IP_Address>. Puede especificar varios

terminales si separa cada valor con un punto y coma (;).

La siguiente clave especifica un terminal remoto único:

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint = [email protected] siguiente clave especifica varios terminales remotos:

[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint = [email protected];[email protected]

3. Cierre el editor del registro de Windows.

Configurar los servidores CEE para proporcionar eventos de auditoría de protocoloPuede configurar servidores CEE con OneFS para brindar los eventos de auditoría de protocolo agregando el URI de cada servidor a la configuración de OneFS.

• Ejecute el comando isi audit settings global modify con la opción --cee-server-uris para agregar los URI de los servidores CEE a la configuración de OneFS.El siguiente comando agrega los URI de tres servidores CEE a la configuración de OneFS:

isi audit settings global modify --cee-server-uris=http://server1.example.com:12228/vee,http://server2.example.com:12228/vee,http://server3.example.com:12228/vee

Seguimiento de la entrega de eventos de auditoría de protocoloLos procesos de captura de eventos de auditoría de protocolo y su entrega al servidor CEE no ocurren simultáneamente. Por lo tanto, incluso cuando no hay servidores CEE disponibles, los eventos de auditoría de protocolo se capturan de todas formas y se almacenan para entregarlos al servidor CEE en un momento posterior.

Puede ver la hora del último evento de auditoría de protocolo capturado y la hora del evento del último evento que se envió al servidor CEE. También puede mover la posición de registro del reenviador de CEE a un tiempo deseado.

Ver las horas de registro de la entrega de eventos al servidor de CEE y syslogPuede ver las horas de registro de la entrega de eventos al servidor de CEE y syslog en el nodo en el que se ejecuta el comando isi audit progress view.

Esta configuración está disponible solamente a través de la interfaz de la línea de comandos.

• Ejecute el comando isi audit progress view para ver las horas de registro de la entrega de eventos al servidor de CEE y syslog en el nodo en el que se ejecuta el comando.


Este es un ejemplo de la salida del comando isi audit progress view:

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016Puede ejecutar el comando isi audit progress view con la opción --lnn para ver las horas de registro de la entrega de los eventos de auditoría en un nodo especificado a través de su número de nodo lógico.

A través del siguiente comando, se muestra el progreso de entrega de los eventos de auditoría en un nodo con el número de nodo lógico 2:

isi audit progress view --lnn=2

El resultado aparece como se muestra:

Protocol Audit Log Time: Tue Mar 29 13:32:38 2016Protocol Audit Cee Time: Tue Mar 29 13:32:38 2016Protocol Audit Syslog Time: Fri Mar 25 17:00:28 2016

Ver globalmente la entrega de eventos de auditoría de protocolo en el servidor de CEE y syslogPuede ver la última hora de registro de eventos de auditoría de protocolo para un clúster. También puede ver la hora de registro del evento de auditoría de protocolo más antiguo sin enviar al servidor CEE y la hora de registro del evento de auditoría de protocolo más antiguo sin reenviar a syslog en el clúster.

Esta configuración está disponible solamente a través de la interfaz de la línea de comandos.

• Ejecute el comando isi audit progress global view para ver las horas de registro de la entrega de los eventos más antiguos de auditoría de protocolo no enviados al servidor CEE y el syslog más antiguo no enviado en el clúster.Este es un ejemplo de la salida del comando isi audit progress global view:

Protocol Audit Latest Log Time: Fri Sep 2 10:06:36 2016Protocol Audit Oldest Cee Time: Fri Sep 2 10:02:28 2016Protocol Audit Oldest Syslog Time: Fri Sep 2 10:02:28 2016

Mover la posición en el registro del reenviador de CEEPuede mover manualmente la posición en el registro del reenviador de CEE si la hora del evento que figura en el registro de auditoría tiene un retraso con respecto a la hora actual. A nivel global, esta acción pasa la hora del evento en todos los registros del reenviador de CEE dentro de un clúster Isilon a la hora más cercana.

NOTA: Los eventos omitidos no se reenviarán al servidor CEE, a pesar de que aún podrían estar disponibles en el clúster.

• Ejecute el comando isi audit settings global modify con la opción --cee-log-time para mover la posición en el registro del reenviador de CEE.El siguiente comando mueve la posición en el registro del reenviador de CEE manualmente:

isi audit settings global modify --cee-log-time='protocol@2016-01-27 01:03:02'

Ver la velocidad de entrega de eventos de auditoría de protocolo en el servidor de CEEPuede ver la velocidad de entrega de eventos de auditoría de protocolo en el servidor de CEE.

• Ejecute el comando isi statistics query para ver la velocidad actual de entrega de los eventos de auditoría de protocolo al servidor de CEE en un nodo.A través del siguiente comando, se muestra la velocidad actual de entrega de los eventos de auditoría de protocolo al servidor de CEE:

isi statistics query current list --keys=node.audit.cee.export.rate

El resultado aparece como se muestra:


Node node.audit.cee.export.rate--------------------------------- 1 3904.600000---------------------------------Total: 1


SnapshotsEsta sección contiene los siguientes temas:

Temas:

• Descripción general de snapshots• Protección de datos con SnapshotIQ• Uso del espacio en disco para snapshots• Calendarios de snapshots• Alias de snapshots• Restauración de archivos y directorios• Mejores prácticas para crear snapshots• Mejores prácticas para crear calendarios de instantáneas• Clones de archivos• Bloqueos de snapshots• Reserva de snapshots• Funcionalidad de licencia de SnapshotIQ• Creación de snapshots con SnapshotIQ• Administración de snapshots • Restauración de datos de snapshots• Administración de calendarios de snapshots• Administración de alias de snapshots• Administración con bloqueos de snapshots• Configuración de ajustes de SnapshotIQ • Establecimiento de una reserva de snapshot• Administración de listas de cambios

Descripción general de snapshotsUn snapshot de OneFS es un indicador lógico de los datos almacenados en un clúster en un momento específico.

Un snapshot hace referencia a un directorio en un clúster, incluidos todos los datos almacenados en el directorio y sus subdirectorios. Si se modifican los datos a los que hace referencia un snapshot, este almacena una copia física de los datos que se modificaron. Los snapshots se crean según las especificaciones del usuario o se generan automáticamente por medio de OneFS para facilitar las operaciones del sistema.

Para crear y administrar snapshots, deberá habilitar una licencia de SnapshotIQ en el clúster. Algunas aplicaciones deben generar snapshots para que funcionen, pero exigen la activación de una licencia de SnapshotIQ. De forma predeterminada, estos snapshots se eliminan automáticamente cuando OneFS ya no los necesita. Sin embargo, si activa una licencia de SnapshotIQ, puede conservar estos snapshots. Puede ver snapshots generados por otros módulos sin activar una licencia de SnapshotIQ.

Puede identificar y ubicar snapshots mediante el nombre o el ID. Al nombre de un snapshot lo especifica un usuario y se asigna al directorio virtual que contiene el snapshot. Un ID de snapshot es un identificador numérico que OneFS asigna automáticamente a un snapshot.

Protección de datos con SnapshotIQPuede crear snapshots para proteger los datos con el módulo de software SnapShotIQ. Los snapshots protegen los datos frente a la eliminación y la modificación accidentales dándole la posibilidad de restaurar archivos eliminados y modificados. Para poder utilizar SnapshotIQ, debe habilitar una licencia de SnapshotIQ en el clúster.

Los snapshots son menos costosos que los respaldos de sus datos en un dispositivo de almacenamiento físico separado en términos de tiempo y de consumo de almacenamiento. El tiempo necesario para transferir datos a otro dispositivo físico depende de la cantidad de datos que se transfieren, mientras que los snapshots siempre se crean instantáneamente, independientemente de la cantidad de datos a los que haga referencia el snapshot. Además, debido a que los snapshots están disponibles a nivel local, los usuarios finales normalmente

14

186 Snapshots

pueden restaurar sus datos sin necesitar la ayuda de un administrador de sistemas. Los snapshots requieren menos espacio que un respaldo remoto debido a que los datos no alterados se referencian, y así no tienen que volver a crearse.

Los snapshots no protegen contra los problemas de hardware o del sistema de archivos. Los snapshots hacen referencia a datos que están almacenados en un clúster, de modo que si los datos del clúster dejan de estar disponibles, los snapshots tampoco lo estarán. Debido a esto, además de crear los snapshots, se recomienda respaldar los datos en dispositivos físicos separados.

Uso del espacio en disco para snapshotsLa cantidad de espacio en disco que consume un snapshot depende de la cantidad de datos almacenada mediante el snapshot y la cantidad de datos a la que el snapshot hace referencia desde otros snapshots.

Inmediatamente después de que OneFS crea un snapshot, este consume una cantidad insignificante de espacio en disco. El snapshot no consume espacio adicional en disco a menos que se modifiquen los datos a los que hace referencia dicho snapshot. Si los datos a los que un snapshot hace referencia se modifican, el snapshot almacena copias de solo lectura de los datos originales. Un snapshot consume solo el espacio que es necesario para restaurar el contenido de un directorio al estado en que se encontraba cuando se tomó el snapshot.

Para reducir el uso de espacio en disco, los snapshots que hacen referencia al mismo directorio se hacen referencia entre sí, de modo que los snapshots más antiguos hacen referencia a los snapshots más nuevos. Si se elimina un archivo y varios snapshots hacen referencia a ese archivo, un solo snapshot almacena una copia del archivo y los demás snapshots hacen referencia al archivo desde el snapshot que almacena la copia. El tamaño registrado de un snapshot refleja solamente la cantidad de datos almacenados por el snapshot y no incluye la cantidad de datos referenciados por el snapshot.

Debido a que los snapshots no consumen un volumen definido de espacio de almacenamiento, no hay ningún requisito de espacio disponible para crear un snapshot. El tamaño de un snapshot crece en función de cómo se modifiquen los datos referenciados por el snapshot. Un clúster no puede contener más de 20,000 snapshots.

Calendarios de snapshotsPuede generar automáticamente snapshots de acuerdo con el calendario de snapshots.

Con los calendarios de snapshots, puede generar periódicamente snapshots de un directorio sin tener que crear manualmente un snapshot en cada ocasión. También puede asignar un período de vencimiento para determinar la fecha en que SnapshotIQ eliminará automáticamente el snapshot generado.

Alias de snapshotsUn alias de snapshot es un puntero lógico a un snapshot. Si especifica un alias para un calendario de snapshots, el alias siempre apuntará al snapshot generado más recientemente mediante ese calendario. La asignación de un alias de snapshot le permite identificar y acceder rápidamente al snapshot generado más recientemente de acuerdo con un calendario de snapshots.

Si permite que los clientes accedan a snapshots a través de un alias, puede volver a asignar el alias para redirigir los clientes a otros snapshots. Además de asignar alias a snapshots, también puede asignar alias de snapshots a la versión activa del sistema de archivos. Esto puede resultar útil si los clientes acceden a los snapshots a través de un alias de snapshot y desea redirigir los clientes a la versión activa del sistema de archivos.

Restauración de archivos y directoriosPuede restaurar los archivos y directorios a los que hace referencia un alias de snapshot mediante la copia de los datos del snapshot, la clonación de un archivo a partir del snapshot o la reversión del snapshot completo.

La copia de un archivo a partir de un snapshot duplica el archivo, lo que aproximadamente duplica la cantidad de espacio de almacenamiento consumido. Incluso si elimina el archivo original del directorio ajeno al snapshot, la copia del archivo permanece en el snapshot.

La clonación de un archivo a partir de un snapshot también duplica el archivo. Sin embargo, a diferencia de la copia, que inmediatamente consume espacio adicional en el clúster, un clon no consume ningún espacio adicional en el clúster a menos que se modifiquen el clon o el archivo clonado.

La reversión de un snapshot sustituye el contenido de un directorio por los datos almacenados en el snapshot. Antes de revertir un snapshot, SnapshotIQ crea un snapshot del directorio que se está sustituyendo, lo que le permite deshacer la reversión del snapshot más adelante. La reversión de un snapshot puede ser útil si desea deshacer un gran número de cambios realizados en archivos y directorios. Si desde que se creó el snapshot de un directorio se han creado nuevos archivos o directorios en ese directorio, esos archivos y directorios se eliminarán cuando se revierta el snapshot.

Snapshots 187

NOTA: Si transfiere un directorio, no puede revertir los snapshots del directorio que se tomaron antes de la

transferencia.

Mejores prácticas para crear snapshotsCuando trabaje con una gran cantidad de snapshots, tenga en cuenta las siguientes mejores prácticas de snapshots.

Se recomienda no crear más de 1,000 snapshots de un solo directorio para evitar la degradación del rendimiento. Si crea un snapshot de un directorio raíz, ese snapshot cuenta para el número total de snapshots de todos los subdirectorios del directorio raíz. Por ejemplo, si crea 500 instantáneas de /ifs/data y 500 instantáneas de /ifs/data/media, habrá creado 1,000 instantáneas de /ifs/data/media. Evite crear instantáneas de directorios a los que ya hacen referencia otras instantáneas.

Se recomienda no crear más de 1,000 vínculos físicos por archivo en una instantánea, para evitar la degradación del rendimiento. Intente siempre mantener las rutas de directorio con la menor profundidad posible. Cuanto mayor sea la profundidad de los directorios referenciados por snapshots, mayor será la degradación del rendimiento.

La creación de snapshots de directorios en un nivel más elevado de un árbol de directorios aumentará la cantidad de tiempo que se tarda en modificar los datos a los que hace referencia el snapshot y necesitará más recursos del clúster para administrar el snapshot y el directorio. Sin embargo, la creación de snapshots de directorios en un nivel más bajo de los árboles de directorios necesitará más calendarios de snapshots, lo que puede resultar difícil de administrar. Se recomienda no crear snapshots de /ifs ni de /ifs/data.

Puede crear hasta 20,000 snapshots de un clúster en un momento. Si su flujo de trabajo requiere constantemente una gran cantidad de instantáneas, tal vez prefiera administrar las instantáneas a través de la interfaz de la línea de comandos de OneFS en lugar de usar la interfaz de administración web de OneFS. En la CLI, puede aplicar una amplia variedad de opciones de clasificación y filtrado, así como redirigir listas a archivos de texto.

Cuando ya no necesite una o más instantáneas, márquelas para su eliminación y asegúrese de que esté habilitado el trabajo de sistema SnapshotDelete. Si el trabajo SnapshotDelete está inhabilitado, no se puede liberar el espacio en disco no utilizado y también es posible que se degrade el rendimiento con el paso del tiempo.

Si el reloj del sistema está establecido en una zona horaria diferente al Tiempo Universal Coordinado (UTC), SnapshotIQ modifica los períodos de duración de las instantáneas para que coincidan con el horario de verano (DST). Tras el comienzo del DST, las duraciones de los snapshots aumentan en una hora para adherirse al DST; cuando finaliza el DST, las duraciones de los snapshots disminuyen en una hora para adherirse a la hora estándar.

Mejores prácticas para crear calendarios de instantáneasLa configuración de calendarios de instantáneas puede categorizarse según la forma en que eliminan las instantáneas: eliminaciones ordenadas y eliminaciones no ordenadas.

Una eliminación ordenada es aquella eliminación de la instantánea más antigua de un directorio. Una eliminación no ordenada es aquella eliminación de una instantánea que no es el más antiguo de un directorio. Las eliminaciones no ordenadas tardan aproximadamente el doble de tiempo en completarse y consumen más recursos del clúster que las eliminaciones ordenadas. Sin embargo, las eliminaciones no ordenadas pueden ahorrar espacio gracias a que se conserva un número total de instantáneas inferior.

Las ventajas de las eliminaciones no ordenadas frente a las ordenadas dependen de la frecuencia con que se modifiquen los datos a los que hacen referencia las instantáneas. Si los datos se modifican con frecuencia, las eliminaciones no ordenadas ahorrarán espacio. Sin embargo, si los datos permanecen sin modificar, las eliminaciones no ordenadas probablemente no ahorrarán espacio, y se recomienda que realice eliminaciones ordenadas para liberar recursos del clúster.

Para implementar eliminaciones ordenadas, asigne el mismo período de duración para todas las instantáneas de un directorio. Las instantáneas se pueden crear mediante uno o varios calendarios de instantáneas. Asegúrese siempre de que no se creen más de 1,000 instantáneas de un directorio.

Para implementar eliminaciones de instantáneas no ordenadas, cree varios calendarios de instantáneas para un solo directorio y, a continuación, asigne diferentes períodos de duración de instantánea para cada calendario. Asegúrese de que todas las instantáneas se creen al mismo tiempo, si es posible.

NOTA: No se recomienda el uso de los calendarios de instantáneas con la frecuencia de “Every Minute” y se deben

evitar.

La siguiente tabla describe los calendarios de instantáneas que siguen las mejores prácticas de instantáneas:

188 Snapshots

Tabla 6. Configuraciones de calendarios de instantáneas

Tipo de eliminación

Frecuencia de instantáneas

Tiempo de instantáneas vencimiento de instantáneas

Máx. de instantáneas conservadas

Eliminación ordenada (para datos mayormente estáticos)

Cada hora Inicio a las 00:00 h y fin a las 11:59 h

Un mes 720

Eliminación no ordenada (para datos modificados frecuentemente)

Cada dos horas Inicio a las 00:00 h y término a las 23:59 h

1 día 27

Todos los días A las 00:00 h 1 semana

Cada semana Sábado a las 00:00 h Un mes

Cada mes El primer sábado del mes a las 00:00 h

3 meses

Clones de archivosSnapshotIQ le permite crear clones de archivos que comparten bloques con archivos existentes para ahorrar espacio en el clúster. El clon de un archivo normalmente consume menos espacio y tarda menos tiempo en crearse que la copia de un archivo. Aunque puede clonar archivos a partir de snapshots, OneFS utiliza los clones, sobre todo, de forma interna.

Los bloques que se comparten entre un clon y un archivo clonado se incluyen en un archivo oculto llamado área de almacenamiento oculta. Inmediatamente después de crear un clon, todos los datos incluidos originalmente en el archivo clonado se transfieren a un área de almacenamiento oculta. Debido a que ambos archivos hacen referencia a todos los bloques del área de almacenamiento oculta, los dos archivos no consumirán más espacio que el archivo original; el clon no consume espacio adicional del clúster. Sin embargo, si el archivo clonado o el clon se modifican, el archivo y el clon compartirán únicamente los bloques que son comunes a ambos, y los bloques modificados que no comparten ocuparán espacio adicional en el clúster.

En el transcurso del tiempo, los bloques compartidos que están incluidos en el área de almacenamiento oculta podrían resultar inservibles si ni el archivo ni el clon hacen referencia a ellos. El clúster elimina de manera rutinaria los bloques que ya no se necesitan. Puede forzar en cualquier momento el clúster para que elimine los bloques no usados ejecutando el trabajo ShadowStoreDelete.

Los clones no pueden contener flujos de datos alternativos (ADS). Si clona un archivo que contiene flujos de datos alternativos, el clon no contendrá los flujos de datos alternativos.

Consideraciones sobre las áreas de almacenamiento ocultasLas áreas de almacenamiento ocultas son archivos ocultos a los que hacen referencia archivos clonados y deduplicados. Los archivos que hacen referencia a áreas de almacenamiento ocultas se comportan de forma distinta al resto de archivos.

• La lectura de referencias a áreas de almacenamiento ocultas puede resultar más lenta que la lectura directa de los datos. En concreto, la lectura de referencias a áreas de almacenamiento ocultas no almacenadas en caché es más lenta que la lectura de los datos no almacenados en caché. La lectura de referencias a áreas de almacenamiento ocultas almacenadas en caché no tarda más tiempo que la lectura de datos almacenados en caché.

• Cuando los archivos que hacen referencia a áreas de almacenamiento ocultas se replican en otro clúster Isilon o se respaldan en un dispositivo de respaldo de tipo NDMP, las áreas de almacenamiento ocultas no se transfieren al clúster Isilon ni al dispositivo de respaldo de destino. Los archivos se transfieren como si contuvieran los datos a los que hacen referencia desde las áreas de almacenamiento ocultas. En el clúster Isilon o el dispositivo de respaldo de destino, los archivos consumen la misma cantidad de espacio que si no tuvieran áreas de almacenamiento ocultas referenciadas.

• Cuando OneFS crea un área de almacenamiento oculta, OneFS asigna el área de almacenamiento oculta a un pool de almacenamiento de un archivo que hace referencia al área de almacenamiento oculta. Si elimina el pool de almacenamiento en el que reside el área de almacenamiento oculta, el área de almacenamiento oculta se transfiere a un pool ocupado por otro archivo que hace referencia al área de almacenamiento oculta.

• Después de eliminar la última referencia al bloque, OneFS no elimina ningún bloque de área de almacenamiento oculta inmediatamente. En su lugar, OneFS espera a que se ejecute el trabajo ShadowStoreDelete para eliminar el bloque no referenciado. Si hay un gran número de bloques no referenciados en el clúster, OneFS puede registrar un ahorro de deduplicación negativo hasta que se ejecute el trabajo ShadowStoreDelete.

Snapshots 189

• Las áreas de almacenamiento ocultas están protegidas como mínimo tanto como el archivo más protegido que haga referencia a ellas. Por ejemplo, si un archivo que hace referencia a un área de almacenamiento oculta reside en un pool de almacenamiento con +2 de protección y otro archivo que hace referencia a un área de almacenamiento oculta reside en un pool de almacenamiento con +3 de protección, el área de almacenamiento oculta está protegida a +3.

• Las cuotas representan archivos que hacen referencia a áreas de almacenamiento ocultas como si los archivos contuvieran los datos referenciados desde áreas de almacenamiento ocultas; desde la perspectiva de una cuota, las referencias a áreas de almacenamiento ocultas no existen. Sin embargo, si una cuota incluye sobrecarga de protección de datos, la cuota no representa la sobrecarga de protección de datos de las áreas de almacenamiento ocultas.

Bloqueos de snapshotsUn bloqueo de snapshot impide que se elimine un snapshot. Si un snapshot tiene uno o más bloqueos aplicados, el snapshot no puede eliminarse y se denomina snapshot bloqueado. Si expira el período de duración de un snapshot bloqueado, OneFS no eliminará el snapshot hasta que se hayan quitado todos los bloqueos del mismo.

OneFS aplica bloqueos de snapshot para asegurarse de que los snapshots generados por aplicaciones OneFS no se eliminen de forma prematura. Por este motivo, se recomienda que no elimine los bloqueos de snapshots ni modifique el período de duración de los bloqueos de snapshots.

Es posible aplicar un número limitado de bloqueos a un snapshot en un momento dado. Si crea bloqueos de snapshots, podría alcanzar el límite de un snapshot y podría darse el caso de que OneFS no pudiera aplicar un bloqueo de snapshot cuando fuera necesario. Por este motivo, se recomienda que no cree bloqueos de snapshots.

Reserva de snapshotsLa reserva para snapshots le permite apartar un porcentaje mínimo de capacidad de almacenamiento del clúster específicamente para los snapshots. Si se especifica, el resto de operaciones de OneFS no podrá acceder al porcentaje de capacidad del clúster que está reservado a los snapshots.

NOTA: La reserva para snapshots no limita la cantidad de espacio que los snapshots pueden consumir en el clúster. Los

snapshots pueden consumir un mayor porcentaje de capacidad de almacenamiento especificada por la reserva para

snapshots. Se recomienda que no especifique una reserva para snapshots.

Funcionalidad de licencia de SnapshotIQSolamente puede crear snapshots si habilita una licencia de SnapshotIQ en un clúster. Sin embargo, puede ver snapshots y bloqueos de snapshots creados para uso interno por OneFS sin habilitar ninguna licencia de SnapshotIQ.

La siguiente tabla describe qué funcionalidad de snapshot está disponible en función de si la licencia de SnapshotIQ está activa:

Funcionalidad Inactivo Activo

Crear snapshots y calendarios de snapshots

No Sí

Configurar ajustes de SnapshotIQ No Sí

Ver calendarios de snapshots Sí Sí

Eliminar un snapshot Sí Sí

Acceder a datos de snapshots Sí Sí

Ver snapshots Sí Sí

Si una licencia de SnapshotIQ se deshabilita, no podrá crear nuevos snapshots, todos los calendarios de snapshots se deshabilitarán y no será capaz de modificar los snapshots ni los ajustes de snapshots. Sin embargo, podrá eliminar los snapshots y acceder a los datos incluidos en los mismos.

Creación de snapshots con SnapshotIQPara crear snapshots, debe configurar la licencia de SnapshotIQ en el clúster. Puede crear snapshots creando un calendario de snapshots o generando manualmente un snapshot individual.

190 Snapshots

Los snapshots manuales son útiles si desea crear un snapshot inmediatamente o en un momento en que no esté programado en ningún calendario de snapshots. Por ejemplo, si planea realizar cambios en su sistema de archivos, pero no está seguro de las consecuencias, puede capturar el estado actual del sistema de archivos en un snapshot antes de realizar el cambio.

Antes de crear snapshots, tenga en cuenta que para revertir un snapshot es necesario que exista un dominio de SnapRevert para el directorio que se desea revertir. Si intenta revertir snapshots para un directorio, se recomienda crear dominios de SnapRevert para esos directorios mientras se encuentran vacíos. Crear un dominio para un directorio que contiene menos datos lleva menos tiempo.

Crear un dominio SnapRevertAntes de que pueda revertir un snapshot que contiene un directorio, debe crear un dominio SnapRevert para el directorio. Se recomienda que cree dominios SnapRevert para un directorio cuando este último se encuentre vacío.

La ruta raíz del dominio SnapRevert debe ser la misma que la del snapshot. Por ejemplo, un dominio con una ruta raíz /ifs/data/media no se puede usar para revertir un snapshot con una ruta raíz /ifs/data/media/archive. Para revertir /ifs/data/media/archive, debe crear un dominio SnapRevert con una ruta raíz /ifs/data/media/archive.

Ejecute el comando isi job jobs start.El siguiente comando crea un dominio SnapRevert para /ifs/data/media:

isi job jobs start domainmark --root /ifs/data/media \--dm-type SnapRevert

Crear un calendario de snapshotsPuede crear un calendario de snapshots para generar continuamente snapshots de directorios.

Ejecute el comando isi snapshot schedules create.El siguiente comando crea un calendario de snapshots para /ifs/data/media:

isi snapshot schedules create hourly /ifs/data/media \HourlyBackup_%m-%d-%Y_%H:%M "Every day every hour" \--duration 1M

Los siguientes comandos crean varios calendarios de snapshots para /ifs/data/media que generan snapshots y provocan su vencimiento a diferentes ritmos:

isi snapshot schedules create every-other-hour \/ifs/data/media EveryOtherHourBackup_%m-%d-%Y_%H:%M \"Every day every 2 hours" --duration 1Disi snapshot schedules create daily /ifs/data/media \Daily_%m-%d-%Y_%H:%M "Every day at 12:00 AM" --duration 1Wisi snapshot schedules create weekly /ifs/data/media \Weekly_%m-%d-%Y_%H:%M "Every Saturday at 12:00 AM" --duration 1M isi snapshot schedules create monthly /ifs/data/media \Monthly_%m-%d-%Y_%H:%M \"The 1 Saturday of every month at 12:00 AM" --duration 3M

Cree un snapshotEs posible crear calendarios de snapshots adicionales, si es necesario.

Ejecute el comando isi snapshot snapshots create.El siguiente comando crea un snapshot para /ifs/data/media:

isi snapshot snapshots create /ifs/data/media --name media-snap

Perfiles de asignación de nombres de snapshotsSi calendariza los snapshots para que se generen automáticamente, ya sea mediante un calendario de snapshots o una política de replicación, debe establecer un patrón de asignación de nombres de snapshots que determine la manera en que estos se nombran. Los patrones de asignación de nombres de snapshots contienen variables que incluyen información sobre el momento y la manera en que el snapshot se creó.

Snapshots 191

Las siguientes variables se pueden incluir en un patrón de asignación de nombres:

Variable Descripción

%A El día de la semana.

%a El día de la semana abreviado. Por ejemplo, si el snapshot se generó un domingo (Sunday), %a se reemplaza por Sun.

%B El nombre del mes.

%b El nombre del mes abreviado. Por ejemplo, si el snapshot se generó en septiembre (September), %b se reemplaza por Sep.

%C Las primeras dos cifras del año. Por ejemplo, si el snapshot se creó en 2014, %C se reemplaza por 20.

%c El día y la hora. Esta variable es equivalente a especificar %a %b %e %T %Y.

%d El día del mes de dos cifras.

%e El día del mes. Si el día tiene una cifra, esta va precedida por un espacio en blanco.

%F La fecha. Esta variable es equivalente a especificar %Y-%m-%d.

%G El año. Esta variable es equivalente a especificar %Y. Sin embargo, si el snapshot se crea en una semana con menos de cuatro días en el año actual, se muestra el año que contiene la mayoría de días de la semana. El primer día de la semana se calcula como lunes. Por ejemplo, si el snapshot se crea el domingo 1 de enero de 2017, %G se reemplaza por 2016, ya que solo un día de la semana corresponde a 2017.

%g El año abreviado. Esta variable es equivalente a especificar %y. Sin embargo, si el snapshot se creó en una semana con menos de cuatro días en el año actual, se muestra el año que contiene la mayoría de días de la semana. El primer día de la semana se calcula como lunes. Por ejemplo, si el snapshot se crea el domingo 1 de enero de 2017, %g se reemplaza por 16, ya que solo un día de la semana corresponde a 2017.

%H La hora. La hora se expresa con el formato de 24 horas. Las horas de una cifra van precedidas por un cero. Por ejemplo, si un snapshot se crea a las 13:45 h, %H se reemplaza por 01.

%h El nombre del mes abreviado. Esta variable es equivalente a especificar %b.

%I La hora se expresa con el formato de 12 horas. Las horas de una cifra van precedidas por un cero. Por ejemplo, si un snapshot se crea a las 13:45 h, %I se reemplaza por 1.

%j El día numérico del año. Por ejemplo, si un snapshot se crea el 1 de febrero, %j se reemplaza por 32.

%k La hora se expresa con el formato de 24 horas. Las horas de una cifra van precedidas por un espacio en blanco.

%l La hora se expresa con el formato de 12 horas. Las horas de una cifra van precedidas por un espacio en blanco. Por ejemplo, si un snapshot se crea a las 13:45 h, %I se reemplaza por 1.

%M El minuto de dos cifras.

%m El mes de dos cifras.

%p AM o PM.

%{PolicyName} El nombre de la política de replicación para la que fue creada el snapshot. Esta variable es válida únicamente si especifica un patrón

192 Snapshots

Variable Descripción

de asignación de nombres de snapshots para una política de replicación.

%R La hora. Esta variable es equivalente a especificar %H:%M.

%r La hora. Esta variable es equivalente a especificar %I:%M:%S %p.

%S El segundo de dos cifras.

%s El segundo representado en tiempo UNIX o POSIX.

%{SrcCluster} El nombre del clúster de origen de la política de replicación para la que fue creado el snapshot. Esta variable es válida únicamente si especifica un patrón de asignación de nombres de snapshots para una política de replicación.

%T La hora. Esta variable es equivalente a especificar %H:%M:%S%U La semana numérica de dos cifras del año. Rango de números de

00 a 53. El primer día de la semana se calcula como domingo.

%u El día numérico de la semana. Rango de números de 1 a 7. El primer día de la semana se calcula como lunes. Por ejemplo, si un snapshot se crea un domingo, %u se reemplaza por 7.

%V La semana numérica de dos dígitos del año en que se creó el snapshot. Rango de números de 01 a 53. El primer día de la semana se calcula como lunes. Si la semana del 1 de enero tiene cuatro o más días, entonces esa semana se calcula como la primera semana del año.

%v El día en que se creó el snapshot. Esta variable es equivalente a especificar %e-%b-%Y.

%W La semana numérica de dos dígitos del año en que se creó el snapshot. Rango de números de 00 a 53. El primer día de la semana se calcula como lunes.

%w El día numérico de la semana en que se creó el snapshot. Rango de números de 0 a 6. El primer día de la semana se calcula como domingo. Por ejemplo, si el snapshot se creó un domingo, %w se reemplaza por 0.

%X La hora en que se creó el snapshot. Esta variable es equivalente a especificar %H:%M:%S.

%Y El año en que se creó el snapshot.

%y Los dos últimos dígitos del año en que se creó el snapshot. Por ejemplo, si el snapshot se creó en 2014, %y se reemplaza por 14.

%Z La zona horaria en que se creó el snapshot.

%z La compensación del Tiempo Universal Coordinado (UTC) de la zona horaria en que se creó el snapshot. Si está precedido por un signo más, la zona horaria corresponde al UTC del este. Si está precedido por un signo menos, la zona horaria corresponde al UTC del oeste.

%+ La fecha y hora en que se creó el snapshot. Esta variable es equivalente a especificar %a %b %e %X %Z %Y.

%% Evita un signo de porcentaje. Por ejemplo, 100%% se reemplaza por 100%.

Administración de snapshotsEs posible eliminar y ver snapshots. También puede modificar el nombre, la duración y el alias de un snapshot existente. Sin embargo, no puede modificar los datos contenidos en un snapshot, ya que estos datos son de solo lectura.

Snapshots 193

Reducción del uso del espacio en disco para snapshotsSi varios snapshots contienen los mismos directorios, puede que la eliminación de uno de los snapshots no libere la cantidad de espacio total que el sistema registra como el tamaño del snapshot. El tamaño de un snapshot es la cantidad máxima de datos que podrían liberarse si se eliminara el snapshot.

La eliminación de un snapshot libera únicamente el espacio que ocupa exclusivamente ese snapshot. Si dos snapshots hacen referencia a los mismos datos almacenados, esos datos no se liberan hasta que se eliminen ambos snapshots. Recuerde que los snapshots almacenan datos contenidos en todos los subdirectorios del directorio raíz; si snapshot_one contiene /ifs/data/ y snapshot_two contiene /ifs/data/dir, lo más probable es que los dos snapshots compartan datos.

Si elimina un directorio y luego lo vuelve a crear, un snapshot que contenga el directorio almacenará el directorio completo recién vuelto a crear, incluso si los archivos del directorio no se modifican nunca.

Es más probable que con la eliminación de varios snapshots que contienen los mismos directorios se liberen más datos que con la eliminación de varios snapshots que contienen distintos directorios.

Si varios snapshots contienen los mismos directorios, la eliminación de snapshots más antiguos probablemente liberará más espacio en disco que la eliminación de snapshots más recientes.

Los snapshots con fechas de vencimiento asignadas se marcan automáticamente para su eliminación mediante el demonio de snapshot. Si el demonio se deshabilita, el sistema no eliminará automáticamente los snapshots. Se recomienda que no deshabilite el demonio de snapshot.

Eliminar un snapshot creadoPuede eliminar un snapshot si ya no desea acceder a los datos que contiene.

Cuando se ejecuta el trabajo SnapshotDelete, OneFS libera el espacio en disco que ocupan los snapshots eliminados. Además, si elimina un snapshot que contiene clones o archivos clonados, es posible que los archivos en el clúster no hagan referencia a los datos que se encuentran en un área de almacenamiento oculta; OneFS elimina estos datos de un área de almacenamiento oculta cuando se ejecuta el trabajo ShadowStoreDelete. OneFS ejecuta de manera rutinaria los trabajos ShadowStoreDelete y SnapshotDelete. Sin embargo, puede ejecutar los trabajos manualmente y en cualquier momento.

1. Elimine un snapshot mediante la ejecución del comando isi snapshot snapshots delete.El siguiente comando elimina el snapshot denominado OldSnapshot:

isi snapshot snapshots delete OldSnapshot

2. Opcional: Para aumentar la velocidad a la que se borran los datos del snapshot eliminado en el clúster, inicie el trabajo SnapshotDelete mediante la ejecución del siguiente comando:

isi job jobs start snapshotdelete

3. Para aumentar la velocidad a la que se borran los datos compartidos entre archivos deduplicados y clonados en el clúster, inicie el trabajo ShadowStoreDelete mediante la ejecución del siguiente comando:

isi job jobs start shadowstoredelete

Modificar atributos de snapshotsPuede modificar el nombre y la fecha de vencimiento de un snapshot.

Ejecute el comando isi snapshot snapshots modify.El siguiente comando provoca el vencimiento de HourlyBackup_07-15-2014_22:00 a las 13:30 h del 25 de julio de 2014:

isi snapshot snapshots modify HourlyBackup_07-15-2014_22:00 \--expires 2014-07-25T01:30

Modificar un alias de snapshotPuede modificar el alias de un snapshot para asignar un nombre alternativo al snapshot.

Ejecute el comando isi snapshot snapshots modify.

194 Snapshots

El siguiente comando asigna un alias de LastKnownGood a HourlyBackup_07-15-2013_22:00:

isi snapshot snapshots modify HourlyBackup_07-15-2013_22:00 \--alias LastKnownGood

Ver snapshotsPuede ver una lista de snapshots o información detallada sobre un snapshot específico.

1. Vea todos los snapshots mediante la ejecución del siguiente comando:

isi snapshot snapshots list


ID Name Path-------------------------------------------------------------------2 SIQ-c68839394a547b3fbc5c4c4b4c5673f9-latest /ifs/data/source6 SIQ-c68839394a547b3fbc5c4c4b4c5673f9-restore /ifs/data/target8 SIQ-Failover-newPol-2013-07-11_18-47-08 /ifs/data/target12 HourlyBackup_07-15-2013_21:00 /ifs/data/media14 HourlyBackup_07-15-2013_22:00 /ifs/data/media16 EveryOtherHourBackup_07-15-2013_22:00 /ifs/data/media18 HourlyBackup_07-15-2013_23:00 /ifs/data/media20 HourlyBackup_07-16-2013_15:00 /ifs/data/media22 EveryOtherHourBackup_07-16-2013_14:00 /ifs/data/media-------------------------------------------------------------------

2. Opcional: Para ver información detallada sobre un snapshot específico, ejecute el comando isi snapshot snapshots view.El siguiente comando muestra información detallada sobre HourlyBackup_07-15-2013_22:00:

isi snapshot snapshots view HourlyBackup_07-15-2013_22:00


ID: 14 Name: HourlyBackup_07-15-2013_22:00 Path: /ifs/data/media Has Locks: No Schedule: hourly Alias: - Created: 2013-07-15T22:00:10 Expires: 2013-08-14T22:00:00 Size: 0bShadow Bytes: 0b % Reserve: 0.00%% Filesystem: 0.00% State: active

Información del snapshotPuede ver información sobre los snapshots en el resultado del comando isi snapshot snapshots list.

ID El ID del snapshot.

Nombre El nombre del snapshot.

Ruta La ruta del directorio que contiene el snapshot.

Restauración de datos de snapshotsPuede restaurar los datos de snapshots mediante varios métodos. Puede revertir un snapshot o acceder a los datos del mismo a través del directorio de snapshots.

En el directorio de snapshots, puede clonar un archivo o copiar un directorio o un archivo. Al directorio de snapshots se puede acceder a través del Explorador de Windows o una línea de comandos de UNIX. Puede deshabilitar y habilitar el acceso al directorio de snapshots con cualquiera de estos métodos en los ajustes de snapshots.

Snapshots 195

Revertir un snapshotPuede revertir un directorio al estado en que estaba cuando se tomó un snapshot.

• Cree un dominio SnapRevert para el directorio.• Cree un snapshot de un directorio.

1. Opcional: Para identificar el ID del snapshot que desea revertir, ejecute el comando isi snapshot snapshots view.El siguiente comando muestra el ID de HourlyBackup_07-15-2014_23:00:

isi snapshot snapshots view HourlyBackup_07-15-2014_23:00


ID: 18 Name: HourlyBackup_07-15-2014_23:00 Path: /ifs/data/media Has Locks: No Schedule: hourly Alias: - Created: 2014-07-15T23:00:05 Expires: 2014-08-14T23:00:00 Size: 0bShadow Bytes: 0b % Reserve: 0.00%% Filesystem: 0.00% State: active

2. Revierta un snapshot mediante la ejecución del comando isi job jobs start.El siguiente comando revierte HourlyBackup_07-15-2014_23:00:

isi job jobs start snaprevert --snapid 18

Restaurar un archivo o directorio con el Explorador de WindowsSi Microsoft Shadow Copy Client está instalado en su computadora, puede utilizarlo para restaurar archivos y directorios que se encuentran almacenados en snapshots.

Este método de restauración de archivos y directorios no conserva los permisos originales. En lugar de eso, este método asigna al archivo o directorio los mismos permisos que el directorio al que se copia dicho archivo o directorio. Para conservar los permisos mientras los datos se restauran a partir de un snapshot, ejecute el comando cp con la opción -a en una línea de comandos UNIX.

NOTA: You can access up to 64 snapshots of a directory through Windows explorer, starting with the most recent

snapshot. Para acceder a más de 64 snapshots de un directorio, acceda al clúster a través de una línea de comandos de

UNIX.

1. En el Explorador de Windows, navegue al directorio que desea restaurar o al directorio que contiene el archivo que desea restaurar.

Si el directorio se eliminó, debe volver a crearlo.

2. Haga clic con el botón secundario en la carpeta y seleccione Properties.

3. En el cuadro de dialogo Propiedades, seleccione la pestaña Versiones anteriores.

4. Seleccione la versión de la carpeta que desea restaurar o la versión de la carpeta que contiene la versión del archivo que desea restaurar.

5. Restaure la versión del archivo o el directorio.

• Para restaurar todos los archivos del directorio seleccionado, haga clic en Restore.• Para copiar el directorio seleccionado en otra ubicación, haga clic en Copy y especifique una ubicación en la que se copiará el

directorio.• Para restaurar un archivo específico, haga clic en Open y copie el archivo en el directorio original para reemplazar la copia existente

por la versión de snapshot.

196 Snapshots

Restaurar un archivo o directorio mediante una línea de comandos de UNIXPuede restaurar un archivo o directorio a partir de un snapshot mediante una línea de comandos de UNIX.

1. Abra una conexión al clúster a través de una línea de comandos UNIX.

2. Opcional: Para ver el contenido del snapshot a partir del cual desea restaurar un archivo o directorio, ejecute el comando ls en un directorio dentro del directorio raíz de snapshots.Por ejemplo, el siguiente comando muestra el contenido del directorio /archive dentro de Snapshot2014Jun04:

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. Copie el archivo o directorio mediante el uso del comando cp.Por ejemplo, el siguiente comando crea una copia del archivo file1:

cp -a /ifs/.snapshot/Snapshot2014Jun04/archive/file1 \ /ifs/archive/file1_copy

Clonar una archivo desde un snapshotPuede clonar un archivo a partir de un snapshot.


2. Para ver el contenido del snapshot a partir del cual desea restaurar un archivo o directorio, ejecute el comando ls en un subdirectorio del directorio raíz del snapshot.

Por ejemplo, el siguiente comando muestra el contenido del directorio /archive dentro de Snapshot2014Jun04:

ls /ifs/.snapshot/Snapshot2014Jun04/archive

3. Clone un archivo del snapshot ejecutando el comando cp con la opción -c.

Por ejemplo, el siguiente comando clona test.txt de Snapshot2014Jun04:

cp -c /ifs/.snapshot/Snapshot2014Jun04/archive/test.txt \/ifs/archive/test_clone.text

Administración de calendarios de snapshotsPuede modificar, eliminar y ver calendarios de snapshots.

Modificar un calendario de snapshotsPuede modificar un calendario de snapshots. Los cambios realizados a un calendario de snapshots se aplican solo a los snapshots que se generan después de que se hacen las modificaciones. Los snapshots existentes no se ven afectados por las modificaciones del calendario.

Si modifica el alias de un calendario de snapshots, el alias se asigna al siguiente snapshot generado de acuerdo con el calendario. Sin embargo, si hace esto, el alias antiguo no se elimina del último snapshot al que se asignó. A menos que elimine manualmente el alias antiguo, este permanecerá vinculado al último snapshot al que se asignó.

Ejecute el comando isi snapshot schedules modify.El siguiente comando hace que se creen snapshots de acuerdo con el calendario de snapshots hourly_media_snap, los cuales se eliminarán 15 días después de su creación:

isi snapshot schedules modify hourly_media_snap --duration 15D

Eliminar un calendario de snapshotsPuede eliminar un calendario de snapshots. La eliminación de un calendario de snapshots no eliminará los snapshots que se generaron anteriormente de acuerdo con el calendario.

Snapshots 197

Ejecute el comando isi snapshot schedules delete.El siguiente comando elimina un calendario de snapshots denominado hourly_media_snap:

isi snapshot schedules delete hourly_media_snap

Ver calendarios de instantáneasPuede ver calendarios de instantáneas.

1. Vea calendarios de instantáneas mediante la ejecución del siguiente comando:

isi snapshot schedules list


ID Name---------------------1 every-other-hour2 daily3 weekly4 monthly---------------------

2. Opcional: Vea información detallada sobre un calendario de instantáneas específico mediante la ejecución del comando isi snapshot schedules view.El siguiente comando muestra información detallada sobre el calendario de instantáneas every-other-hour:

isi snapshot schedules view every-other-hour


ID: 1 Name: every-other-hour Path: /ifs/data/media Pattern: EveryOtherHourBackup_%m-%d-%Y_%H:%M Schedule: Every day every 2 hours Duration: 1D Alias: - Next Run: 2013-07-16T18:00:00Next Snapshot: EveryOtherHourBackup_07-16-2013_18:00

Administración de alias de snapshotsPuede configurar calendarios de snapshots para asignar un alias al snapshot creado más recientemente mediante un calendario de snapshots. También puede asignar manualmente alias a snapshots específicos o a la versión activa del sistema de archivos.

Configurar un alias de snapshot para un calendario de snapshotsPuede configurar un calendario de snapshots de modo que asigne un alias de snapshot al snapshot más reciente que creó el calendario.

Si configura un alias para un calendario de snapshots, el alias se asigna al snapshot siguiente que se genera de acuerdo con el calendario. Sin embargo, si hace esto, el alias antiguo no se elimina del último snapshot al cual se asignó. A menos que el alias antiguo se elimine manualmente, este permanece asociado al último snapshot al cual se asignó.

Ejecute el comando isi snapshot schedules modify.El siguiente comando configura el alias LatestWeekly para el calendario de snapshots WeeklySnapshot:

isi snapshot schedules modify WeeklySnapshot --alias LatestWeekly

Asignar un alias de snapshot a un snapshotPuede asignar un alias de snapshot a un snapshot.

198 Snapshots

Ejecute el comando isi snapshot aliases create.El siguiente comando crea un alias de snapshot para Weekly-01-30-2015:

isi snapshot aliases create latestWeekly Weekly-01-30-2015

Reasignar un alias de snapshot al sistema de archivos activoPuede reasignar un alias de snapshot para redirigir clientes desde un snapshot hasta un sistema de archivos activo.

Este procedimiento está disponible solo a través de la interfaz de la línea de comandos (CLI).


2. Ejecute el comando isi snapshot aliases modify.El siguiente comando reasigna el alias latestWeekly al sistema de archivos activo:

isi snapshot aliases modify latestWeekly --target LIVE

Ver recursos compartidos de snapshotPuede ver una lista de inicios de sesión de un usuario.



2. Para consultar una lista de todos los alias de snapshots, ejecute el siguiente comando:

isi snapshot aliases list

Si un alias de snapshot hace referencia a la versión activa del sistema de archivos, el valor de Target ID es -1.

3. Opcional: Vea información sobre un snapshot específico mediante la ejecución del comando isi snapshot aliases view.El siguiente comando muestra información sobre latestWeekly:

isi snapshot aliases view latestWeekly

Información del snapshotEs posible ver información sobre los alias de snapshots en el resultado del comando isi snapshot aliases view.

ID El ID numérico del alias de snapshot.

Nombre Permite escribir el nombre del snapshot.

ID del destino El ID numérico del snapshot al que hace referencia el alias.

Nombre de destino

El nombre del snapshot al que hace referencia el alias.

Created La fecha y hora en que se creó el snapshot.

Administración con bloqueos de snapshotsPuede eliminar, crear y modificar la fecha de vencimiento de los bloqueos de snapshots.

PRECAUCIÓN:

Se recomienda no crear, eliminar ni modificar los bloqueos de snapshots a menos que el servicio de soporte técnico de

Isilon se lo solicite.

La eliminación de un bloqueo de snapshot creado por OneFS podría causar una pérdida de datos. Si elimina un bloqueo de snapshot creado mediante OneFS, es posible que el snapshot correspondiente pueda eliminarse mientras está en uso en OneFS. Si OneFS no puede acceder a un snapshot necesario para una operación, esta se realizará de forma incorrecta y podrían perderse algunos datos. La

Snapshots 199

modificación de la fecha de vencimiento de un bloqueo de snapshot creado mediante OneFS también puede causar la pérdida de datos porque el snapshot correspondiente puede eliminarse prematuramente.

Crear un bloqueo de snapshotPuede crear bloqueos de snapshots para evitar que estos se eliminen.

Aunque puede evitar que un snapshot se elimine automáticamente con la creación de un bloqueo de snapshot, se recomienda no crear estos bloqueos. Para evitar que un snapshot se elimine automáticamente, se recomienda que amplíe el período de duración de un snapshot.



2. Cree un bloqueo de snapshots mediante la ejecución del comando isi snapshot locks create.Por ejemplo, el siguiente comando aplica un bloqueo de snapshot a SnapshotApril2016, establece el vencimiento del bloqueo en un mes y agrega una descripción de “Maintenance Lock”:

isi snapshot locks create SnapshotApril2016 --expires 1M \--comment "Maintenance Lock"

Modificar una fecha de vencimiento de bloqueo de snapshotPuede modificar la fecha de vencimiento de un bloqueo de snapshot.

PRECAUCIÓN: Se recomienda que no modifique las fechas de vencimiento de los bloqueos de snapshots.



2. Ejecute el comando isi snapshot locks modify.El siguiente comando define la fecha de vencimiento dos días a partir de la fecha actual para un bloqueo de snapshot con un ID de 1 que se aplica a un snapshot llamado SnapshotApril2014:

isi snapshot locks modify SnapshotApril2014 1 --expires 2D

Eliminar un bloqueo de snapshotPuede eliminar un bloqueo de snapshot.

PRECAUCIÓN: Se recomienda que no elimine ningún bloqueo de snapshot.



2. Elimine un bloqueo de snapshot mediante la ejecución del comando isi snapshot locks delete.El siguiente comando elimina un bloqueo de snapshot aplicado a SnapshotApril2014 con un ID de bloqueo de 1:

isi snapshot locks delete Snapshot2014Apr16 1

El sistema le solicita que confirme que desea eliminar el bloqueo de snapshot.

3. Ingrese yes y pulse INTRO.

Información de un bloqueo de snapshotPuede ver información sobre los bloqueos de snapshots mediante los comandos isi snapshot locks view y isi snapshot locks list.

ID Número de identificación del bloqueo de snapshot.

200 Snapshots

Comentario Descripción del bloqueo de snapshot. Esto puede ser cualquier cadena especificada por un usuario.

Expira Fecha en la que OneFS eliminará automáticamente el bloqueo de snapshot.

Conteo Número de veces que se mantiene el bloqueo de snapshot.

La operación de clonación de archivos puede mantener un solo bloqueo de snapshot varias veces. Si se crean a la vez varios clones de archivos, la operación de clonación de archivos mantiene el mismo bloqueo varias veces, en lugar de crear varios bloqueos. Si elimina un bloqueo de snapshot que se mantiene más de una vez, eliminará solo una de las instancias en que se mantiene el bloqueo. A fin de eliminar un bloqueo de snapshot que se mantiene varias veces, debe eliminar el bloqueo de snapshot la misma cantidad de veces que se muestra en el campo Count.

Configuración de ajustes de SnapshotIQPuede configurar los ajustes de SnapshotIQ que determinan la forma en que se pueden crear snapshots y los métodos mediante los cuales los usuarios pueden acceder a los datos de los snapshots.

1. Opcional: Vea la configuración actual de SnapshotIQ mediante la ejecución del siguiente comando:

isi snapshot settings view


Servicio: Yes Autocreate: Yes Autodelete: Yes Reserve: 0.00%Global Visible Accessible: Yes NFS Root Accessible: Yes NFS Root Visible: Yes NFS Subdir Accessible: Yes SMB Root Accessible: Yes SMB Root Visible: Yes SMB Subdir Accessible: Yes Local Root Accessible: Yes Local Root Visible: Yes Local Subdir Accessible: Yes

2. Configure los ajustes de SnapshotIQ mediante la ejecución del comando isi snapshot settings modify:El siguiente comando impide la creación de snapshots en el clúster:

isi snapshot settings modify --service disable

Configuración SnapshotIQLa configuración de SnapshotIQ determina cómo se comportan los snapshots y cómo se puede acceder a ellos.

Los siguientes ajustes se muestran en el resultado del comando isi snapshot settings view:

Servicio Determina si SnapshotIQ está habilitado en el clúster.

Autocreate Determina si los snapshots se generan automáticamente de acuerdo con calendarios de snapshots.NOTA: Si se deshabilita la generación de snapshots, algunas operaciones de OneFS podrían fallar.

Se recomienda no deshabilitar esta configuración.

Autodelete Determina si los snapshots se eliminan automáticamente de acuerdo con sus fechas de vencimiento.

Reservado Especifica el porcentaje de espacio en disco en el clúster que se reserva para los snapshots.

NFS Root Accessible

Determina si se puede acceder a los directorios de snapshots a través de NFS.

NFS Root Visible Determina si los directorios de snapshots se pueden ver a través de NFS.

NFS Subdir Accessible

Determina si se puede acceder a los subdirectorios de snapshots a través de NFS.

SMB Root Accessible

Determina si se puede acceder a los directorios de snapshots a través de SMB.

Snapshots 201

SMB Root Visible Determina si los directorios de snapshots se pueden ver a través de SMB.

SMB Subdir Accessible

Determina si se puede acceder a los subdirectorios de snapshots a través de SMB.

Local Root Accessible

Determina si se puede acceder a los directorios de snapshots a través de una conexión SSH o de la consola local.

Local Root Visible Determina si los directorios de snapshots se pueden ver a través de una conexión SSH o de la consola local.

Local Subdir Accessible

Determina si se puede acceder a los subdirectorios de snapshots a través de una conexión SSH o de la consola local.

Establecimiento de una reserva de snapshotPuede especificar un porcentaje mínimo de la capacidad de almacenamiento en el clúster que desea reservar para snapshots.

La reserva para snapshots no limita la cantidad de espacio que se permite a los snapshots consumir en el clúster. Los snapshots pueden consumir más que el porcentaje de capacidad especificada por la reserva para snapshots. Se recomienda que no especifique una reserva para snapshots.



2. Establezca la reserva para snapshots mediante la ejecución del comando isi snapshot settings modify con la opción --reserve.Por ejemplo, el siguiente comando ajusta la reserva para snapshots al 20 %:

isi snapshot settings modify --reserve 20

Administración de listas de cambiosPuede crear y ver listas de cambios que describen las diferencias entre dos snapshots. Puede crear una lista de cambios para cualquier par de snapshots que tengan un directorio raíz en común.

Las aplicaciones suelen acceder a las listas de cambios a través de la API de la plataforma OneFS. Por ejemplo, una aplicación personalizada pudo comparar regularmente los dos snapshots más recientes de una ruta de directorio crítica para determinar si se debe respaldar el directorio o para desencadenar otras acciones.

Crear una lista de cambiosPuede crear un lista de cambios que muestra los datos modificados entre snapshots.

1. Opcional: A fin de ver los ID de los snapshots para los que desea crear una lista de cambios, ejecute el siguiente comando:

isi snapshot snapshots list

2. Cree una lista de cambios mediante la ejecución del comando isi job jobs start con la opción ChangelistCreate.El siguiente comando crea una lista de cambios:

isi job jobs start ChangelistCreate --older-snapid 2 --newer-snapid 6

Eliminar una lista de cambiosEs posible eliminar una lista de cambios.

Ejecute el comando isi_changelist_mod con la opción -k.

El siguiente comando elimina la lista de cambios 22_24:

isi_changelist_mod -k 22_24

202 Snapshots

Ver una lista de cambiosEs posible ver una lista de cambios que describe las diferencias entre dos snapshots. Este procedimiento está disponible solo a través de la interfaz de la línea de comandos (CLI).

1. Vea los ID de listas de cambios mediante la ejecución del siguiente comando:

isi_changelist_mod -l

Los ID de listas de cambios incluyen los ID de ambos snapshots que se usan para crear la lista de cambios. Si OneFS aún está en el proceso de creación de una lista de cambios, se agrega inprog al ID de la lista de cambios.

2. Opcional: Vea todo el contenido de una lista de cambios mediante la ejecución del comando isi_changelist_mod con la opción -a.El siguiente comando muestra el contenido de una lista de cambios denominada 2_6:

isi_changelist_mod -a 2_6

Información de listas de cambiosPuede ver la información que se incluye en las listas de cambios.

NOTA: Las aplicaciones consumen esta información mediante la API de la plataforma OneFS.

La siguiente información se muestra para cada elemento en la lista de cambios cuando se ejecuta el comando isi_changelist_mod:

st_ino Muestra la cantidad de inodos del elemento especificado.

st_mode Muestra el tipo de archivo y los permisos para el elemento especificado.

st_size Muestra el tamaño total del elemento en bytes.

st_atime Muestra el registro de fecha y hora POSIX del momento en que se accedió por última vez al elemento.

st_mtime Muestra el registro de fecha y hora POSIX del momento en que se modificó por última vez el elemento.

st_ctime Muestra el registro de fecha y hora POSIX del momento en que se cambió por última vez el elemento.

cl_flags Muestra información sobre el elemento y los tipos de cambios que se realizaron en este.

01 El elemento se agregó o se transfirió al directorio raíz de los snapshots.

02 El elemento se eliminó o transfirió fuera del directorio raíz de los snapshots.

04 Se cambió la ruta del elemento sin eliminarlo del directorio raíz del snapshot.

10 El elemento contiene actualmente o alguna vez contuvo flujos de datos alternativos (ADS).

20 El elemento es un ADS.

40 El elemento tiene vínculos físicos.

NOTA: Estos valores se agregan juntos al resultado. Por ejemplo, si se agregó un ADS, el código

sería cl_flags=021.

path La ruta absoluta del directorio o archivo especificado.

Snapshots 203

Administración de deduplicación con SmartDedupe

Esta sección contiene los siguientes temas:

Temas:

• Descripción general de la deduplicación• Trabajos de deduplicación• Replicación de datos y respaldo con deduplicación• Snapshots con deduplicación• CUATRO CONSIDERACIONES• Consideraciones sobre las áreas de almacenamiento ocultas• Funcionalidad clave de SmartDedupe• Administración de deduplicación

Descripción general de la deduplicaciónSmartDedupe le permite ahorrar espacio de almacenamiento en el clúster mediante la reducción de datos redundantes. La deduplicación maximiza la eficiencia del clúster, ya que disminuye la cantidad necesaria de almacenamiento para varios archivos con bloques idénticos.

Para deduplicar datos, el módulo de software SmartDedupe escanea un clúster Isilon en busca de bloques de datos idénticos. Cada bloque es de 8 kB. Si SmartDedupe encuentra bloques duplicados, mueve una única copia de los bloques a un archivo escondido denominado área de almacenamiento oculta. A continuación, SmartDedupe elimina los bloques duplicados de los archivos originales y reemplaza los bloques con indicadores que apuntan al área de almacenamiento oculta.

La deduplicación se aplica a nivel de directorios y apunta a todos los archivos y directorios que se encuentran dentro de uno o más directorios raíz. SmartDedupe deduplica no solo los bloques idénticos en distintos archivos, también deduplica los bloques idénticos dentro de un solo archivo.

En primer lugar, puede evaluar un directorio para ver su potencial de deduplicación y determinar la cantidad de espacio aproximada que podría ahorrarse. Después, puede decidir si desea deduplicar el directorio. Una vez que comienza la deduplicación de un directorio, es posible monitorear en tiempo real la cantidad de espacio que ahorra este proceso.

Para que dos o más archivos se dedupliquen, los archivos deben tener el mismo ID de política de pools de discos y la misma política de protección. Si uno o ambos de estos atributos difieren entre dos o más archivos idénticos, o archivos con bloques de 8 K idénticos, no se deduplicarán los archivos.

Debido a que es posible especificar políticas de protección archivo por archivo o directorio por directorio, la deduplicación se puede ver afectada aún más. Considere el ejemplo de dos archivos, /ifs/data/projects/alpha/logo.jpg y /ifs/data/projects/beta/logo.jpg. Aunque los archivos logo.jpg en ambos directorios son idénticos, si uno tiene una política de protección diferente de la otra, los dos archivos no se deduplicarán.

Además, si activó una licencia de SmartPools en su clúster, puede especificar políticas de pools de archivos personalizadas. Estas políticas de pools de archivos podrían causar que archivos idénticos o con bloques de 8 KB idénticos se almacenen en pools de nodos diferentes. En consecuencia, esos archivos tendrían distintos ID de política de pools de discos y no se deduplicarían.

SmartDedupe tampoco deduplica archivos de 32 kB o más pequeños, ya que utilizaría más recursos de clúster y el ahorro de almacenamiento no valdría la pena. El tamaño predeterminado de un área de almacenamiento oculta es de 2 GB. Cada área de almacenamiento oculta puede contener hasta 256,000 bloques. Cada bloque de un área de almacenamiento oculta se puede referenciar hasta 32,000 veces.

Trabajos de deduplicaciónLa deduplicación se ejecuta mediante un trabajo de mantenimiento del sistema que se conoce como un trabajo de deduplicación. Puede monitorear y controlar los trabajos de deduplicación como lo haría con cualquier otro trabajo de mantenimiento del clúster. Aunque el impacto de la deduplicación en el rendimiento general es mínimo, el trabajo de deduplicación consume 400 MB de memoria por nodo.

15

204 Administración de deduplicación con SmartDedupe

Cuando un trabajo de deduplicación se ejecuta por primera vez en un clúster, SmartDedupe recopila muestras de bloques de cada archivo y crea entradas de índice para esos bloques. Si las entradas de índice de dos bloques coinciden, SmartDedupe escanea los bloques adyacentes al par coincidente y, a continuación, deduplica todos los bloques duplicados. Una vez que un trabajo de deduplicación toma muestras de un archivo, los trabajos de deduplicación posteriores no volverán a tomar muestras de ese archivo hasta que el archivo se modifique.

El primer trabajo de deduplicación que ejecute podría requerir bastante más tiempo que los trabajos de deduplicación posteriores. El primer trabajo de deduplicación debe escanear todos los archivos de los directorios especificados para generar el índice inicial. Si los trabajos de deduplicación posteriores tardan mucho tiempo en completarse, esto indicará probablemente que se está deduplicando una gran cantidad de datos. Sin embargo, también puede indicar que los usuarios están almacenando una gran cantidad de datos nuevos en el clúster. Si un trabajo de deduplicación se interrumpe durante el proceso de deduplicación, el trabajo reiniciará automáticamente el proceso de escaneo desde el punto en que se interrumpió el trabajo.

NOTA: Debe ejecutar los trabajos de deduplicación cuando los usuarios no estén modificando datos en el clúster. Si los

usuarios están continuamente modificando archivos en el clúster, la cantidad de espacio ahorrado mediante la

deduplicación será mínima, ya que los bloques deduplicados se eliminan constantemente del área de almacenamiento

oculta.

La frecuencia con la que debe ejecutar un trabajo de deduplicación en el clúster Isilon varía según el tamaño del conjunto de datos, la tasa de cambios y la oportunidad. Para la mayoría de los clústeres, se recomienda iniciar un trabajo de deduplicación cada 7-10 días. Puede iniciar un trabajo de deduplicación manualmente o calendarizar un trabajo recurrente en intervalos específicos. De forma predeterminada, el trabajo de deduplicación está configurado para ejecutarse con baja prioridad. Sin embargo, puede especificar los controles de trabajo, como la prioridad y el impacto, de los trabajos de deduplicación que se ejecutan manualmente o según el calendario.

Los permisos necesarios para modificar ajustes de deduplicación no son iguales que los necesarios para ejecutar un trabajo de deduplicación. Aunque un usuario debe tener el permiso del trabajo de mantenimiento para ejecutar un trabajo de deduplicación, el usuario debe tener permiso de deduplicación para modificar los ajustes de deduplicación. De forma predeterminada, el usuario raíz y el usuario SystemAdmin tienen los permisos necesarios para todas las operaciones de deduplicación.

Replicación de datos y respaldo con deduplicaciónCuando los archivos deduplicados se replican en otro clúster Isilon o se respaldan en un dispositivo de cinta, los archivos deduplicados dejan de compartir bloques en el clúster Isilon o el dispositivo de respaldo de destino. Sin embargo, aunque pueda deduplicar datos en un clúster Isilon de destino, no puede deduplicar datos en un dispositivo de respaldo de tipo NDMP.

Las áreas de almacenamiento ocultas no se transfieren a clústeres ni dispositivos de respaldo de destino. Debido a esto, los archivos deduplicados no consumen menos espacio que los archivos no deduplicados cuando se replican o respaldan. Para evitar quedarse sin espacio, debe asegurarse de que los clústeres y dispositivos de cinta de destino tengan suficiente espacio libre para almacenar datos deduplicados como si los datos no se hubieran deduplicado. Para reducir la cantidad de espacio de almacenamiento consumido en un clúster Isilon de destino, puede configurar la deduplicación para los directorios de destino de sus políticas de replicación. Aunque esto deduplicará datos en el directorio de destino, no permitirá que SyncIQ transfiera áreas de almacenamiento ocultas. La deduplicación sigue realizándose por medio de trabajos de deduplicación que se ejecutan en el clúster de destino.

La cantidad de recursos del clúster necesaria para respaldar y replicar los datos deduplicados es la misma que para datos no deduplicados. Puede deduplicar datos mientras se están replicando o respaldando.

Snapshots con deduplicaciónNo es posible deduplicar los datos almacenados en un snapshot. Sin embargo, puede crear snapshots de datos deduplicados.

Si crea un snapshot para un directorio deduplicado y, a continuación, modifica el contenido de ese directorio, las referencias a las áreas de almacenamiento ocultas se irán transfiriendo al snapshot en el transcurso del tiempo. Por lo tanto, si habilita la deduplicación antes de crear snapshots, ahorrará más espacio en el clúster. Si implementa la deduplicación en un clúster que ya cuenta con una cantidad significativa de datos almacenados en snapshots, se demorará un tiempo hasta que los datos del snapshot se vean afectados por la deduplicación. Los snapshots creados recientemente pueden contener datos deduplicados, pero los snapshots creados antes de implementar la deduplicación no pueden.

Si planea revertir un snapshot, se recomienda revertirlo antes de ejecutar un trabajo de deduplicación. La restauración de un snapshot puede sobrescribir muchos de los archivos del clúster. Cualquier archivo deduplicado se revierte a un archivo normal si se sobrescribe mediante la reversión de un snapshot. No obstante, una vez completa la reversión del snapshot, podrá deduplicar el directorio y mantener el ahorro de espacio en el clúster.

Administración de deduplicación con SmartDedupe 205

CUATRO CONSIDERACIONESLa deduplicación puede aumentar notablemente su eficiencia de almacenamiento de datos. No obstante, el efecto de la deduplicación varía en función del clúster.

Puede reducir la redundancia de un clúster mediante la ejecución de SmartDedupe. La deduplicación crea vínculos que pueden afectar la velocidad de lectura y escritura de archivos. En particular, la lectura secuencial de fragmentos inferiores a 512 KB de un archivo deduplicado puede resultar considerablemente más lenta que la lectura de los mismos fragmentos pequeños y secuenciales de un archivo no deduplicado. Esta degradación del rendimiento se aplica solamente si está leyendo datos no almacenados en caché. Para datos almacenados en caché, el rendimiento con archivos deduplicados es potencialmente mayor que con archivos no deduplicados. Si transmite fragmentos superiores a 512 KB, la deduplicación no tiene un impacto significativo en el rendimiento de lectura del archivo. Si intenta transmitir 8 KB o menos de cada archivo en un momento determinado y no planea transmitir simultáneamente los archivos, se recomienda que no deduplique los archivos.

La deduplicación es más eficaz cuando se aplica a archivos y directorios estáticos o archivados. Cuanto menor sea el número de archivos modificados, menos negativo será el efecto que tendrá la deduplicación en el clúster. Por ejemplo, las máquinas virtuales suelen contener varias copias de archivos idénticos que rara vez se modifican. La deduplicación de un gran número de máquinas virtuales puede reducir enormemente el espacio de almacenamiento consumido.

Consideraciones sobre las áreas de almacenamiento ocultasLas áreas de almacenamiento ocultas son archivos ocultos a los que hacen referencia archivos clonados y deduplicados. Los archivos que hacen referencia a áreas de almacenamiento ocultas se comportan de forma distinta al resto de archivos.

• La lectura de referencias a áreas de almacenamiento ocultas puede resultar más lenta que la lectura directa de los datos. En concreto, la lectura de referencias a áreas de almacenamiento ocultas no almacenadas en caché es más lenta que la lectura de los datos no almacenados en caché. La lectura de referencias a áreas de almacenamiento ocultas almacenadas en caché no tarda más tiempo que la lectura de datos almacenados en caché.

• Cuando los archivos que hacen referencia a áreas de almacenamiento ocultas se replican en otro clúster Isilon o se respaldan en un dispositivo de respaldo de tipo NDMP, las áreas de almacenamiento ocultas no se transfieren al clúster Isilon ni al dispositivo de respaldo de destino. Los archivos se transfieren como si contuvieran los datos a los que hacen referencia desde las áreas de almacenamiento ocultas. En el clúster Isilon o el dispositivo de respaldo de destino, los archivos consumen la misma cantidad de espacio que si no tuvieran áreas de almacenamiento ocultas referenciadas.

• Cuando OneFS crea un área de almacenamiento oculta, OneFS asigna el área de almacenamiento oculta a un pool de almacenamiento de un archivo que hace referencia al área de almacenamiento oculta. Si elimina el pool de almacenamiento en el que reside el área de almacenamiento oculta, el área de almacenamiento oculta se transfiere a un pool ocupado por otro archivo que hace referencia al área de almacenamiento oculta.

• Después de eliminar la última referencia al bloque, OneFS no elimina ningún bloque de área de almacenamiento oculta inmediatamente. En su lugar, OneFS espera a que se ejecute el trabajo ShadowStoreDelete para eliminar el bloque no referenciado. Si hay un gran número de bloques no referenciados en el clúster, OneFS puede registrar un ahorro de deduplicación negativo hasta que se ejecute el trabajo ShadowStoreDelete.

• Las áreas de almacenamiento ocultas están protegidas como mínimo tanto como el archivo más protegido que haga referencia a ellas. Por ejemplo, si un archivo que hace referencia a un área de almacenamiento oculta reside en un pool de almacenamiento con +2 de protección y otro archivo que hace referencia a un área de almacenamiento oculta reside en un pool de almacenamiento con +3 de protección, el área de almacenamiento oculta está protegida a +3.

• Las cuotas representan archivos que hacen referencia a áreas de almacenamiento ocultas como si los archivos contuvieran los datos referenciados desde áreas de almacenamiento ocultas; desde la perspectiva de una cuota, las referencias a áreas de almacenamiento ocultas no existen. Sin embargo, si una cuota incluye sobrecarga de protección de datos, la cuota no representa la sobrecarga de protección de datos de las áreas de almacenamiento ocultas.

Funcionalidad clave de SmartDedupeEs posible deduplicar datos solamente si se habilita una licencia de SmartDedupe en un clúster. Sin embargo, se puede realizar una evaluación de los ahorros de la deduplicación sin activar una licencia de SmartDedupe.

Si habilita una licencia de SmartDedupe y, a continuación, deduplica datos, el ahorro de espacio no se pierde si la licencia queda deshabilitada. También puede ver el ahorro de deduplicación mientras la licencia está deshabilitada. No obstante, no podrá deduplicar datos adicionales hasta que vuelva a habilitar la licencia de SmartDedupe.


Administración de deduplicaciónPuede administrar la deduplicación en un clúster evaluando en primer lugar la cantidad de espacio que puede ahorrar deduplicando directorios individuales. Después de determinar qué directorios merece la pena deduplicar, puede configurar SmartDedupe para deduplicar esos directorios específicamente. A continuación, puede monitorear la cantidad real de espacio en disco que está ahorrando.

Evaluar el ahorro de espacio con la deduplicaciónPuede evaluar la cantidad de espacio en disco que ahorrará mediante la deduplicación de un directorio.

1. Especifique el directorio que desea evaluar mediante la ejecución del comando isi dedupe settings modify.

El siguiente comando configura SmartDedupe para evaluar el ahorro gracias a la deduplicación en /ifs/data/archive:

isi dedupe settings modify --assess-paths /ifs/data/archive

Si evalúa varios directorios, el ahorro en el disco no se diferenciará por directorio en el informe de deduplicación.

2. Inicie el trabajo de evaluación mediante la ejecución del siguiente comando:

isi job jobs start DedupeAssessment

3. Identifique el ID del informe de evaluación mediante la ejecución del siguiente comando:

isi dedupe reports list

4. Vea el ahorro de espacio esperado mediante la ejecución del comando isi dedupe reports view:

El siguiente comando muestra el posible ahorro registrado en un informe de deduplicación con un ID de 46:

isi dedupe reports view 46

Especificar la configuración de la deduplicaciónPuede especificar los directorios que desea deduplicar.

1. Especifique los directorios que desea deduplicar mediante la ejecución del comando isi dedupe settings modify.

El siguiente comando deduplica /ifs/data/archive y /ifs/data/media:

isi dedupe settings modify --paths /ifs/data/media,/ifs/data/archive

2. Opcional: Para modificar la configuración del trabajo de deduplicación, ejecute el comando isi job types modify.

El siguiente comando configura el trabajo de deduplicación para que se ejecute cada viernes a las 22:00 h:

isi job types modify Dedupe --schedule "Every Friday at 10:00 PM"

Ver el ahorro de espacio con la deduplicaciónEs posible ver la cantidad de espacio en disco que se ahorra actualmente con la deduplicación.


isi dedupe stats

Ver un informe de deduplicaciónCuando se completa un trabajo de deduplicación, puede ver información sobre el trabajo en un informe de deduplicación.

1. Opcional: Para identificar el ID del informe de deduplicación que desea ver, ejecute el siguiente comando:

isi dedupe reports list


2. Vea un informe de deduplicación mediante la ejecución del comando isi dedupe reports view.

El siguiente comando muestra un informe de deduplicación con un ID de 44:

isi dedupe reports view 44

Información sobre el informe de trabajo de deduplicaciónPuede ver la siguiente información específica sobre la deduplicación en los informes de trabajos de deduplicación:

Start time La hora a la que comenzó el trabajo de deduplicación.

End time La hora a la que terminó el trabajo de deduplicación.

Iteration Count La cantidad de veces que SmartDedupe interrumpió el proceso de muestreo. Si SmartDedupe está muestreando una gran cantidad de datos, SmartDedupe podría interrumpir el muestreo a fin de iniciar la deduplicación de los datos. Después de que SmartDedupe finalice la deduplicación de los datos muestreados, SmartDedupe continuará muestreando los datos restantes.

Scanned blocks La cantidad total de bloques ubicados debajo de los directorios deduplicados especificados.

Sampled blocks El número de bloques para el que SmartDedupe creó entradas de índice.

Deduped blocks El número de bloques que se deduplicaron.

Dedupe percent El porcentaje de bloques escaneados que se deduplicaron.

Created dedupe requests

La cantidad total de solicitudes de deduplicación creadas. Una solicitud de deduplicación se crea por cada par de bloques de datos coincidente. Por ejemplo, si tiene tres bloques de datos que coinciden, SmartDedupe creará dos solicitudes. Una de las solicitudes podría emparejar file1 y file2, y la otra solicitud podría emparejar file2 y file3.

Successful dedupe requests

El número de solicitudes de deduplicación que se completó correctamente.

Failed dedupe requests

El número de solicitudes de deduplicación que falló. Si una solicitud de deduplicación falla, no significa que el trabajo también haya fallado. Una solicitud de deduplicación puede fallar por una serie de motivos. Por ejemplo, el archivo podría haberse modificado desde que se muestreó.

Archivos omitidos La cantidad de archivos que no se escanearon mediante el trabajo de deduplicación. SmartDedupe omite archivos por una serie de motivos. Por ejemplo, SmartDedupe omite archivos que ya se han escaneado, pero aún no se han modificado. SmartDedupe también omite todos los archivos cuyo tamaño es menor de 4 KB.

Index entries El número de entradas que existen actualmente en el índice.

Index lookup attempts

El número total de búsquedas que realizaron los trabajos de deduplicación anteriores, además del número de búsquedas realizado con este trabajo de deduplicación. Una búsqueda se realiza cuando el trabajo de deduplicación intenta hacer coincidir un bloque que se indexó con un bloque se no se ha indexado.

Index lookup hits El número de bloques con entradas de índice coincidentes.

Información sobre la deduplicaciónPuede ver información sobre cuánto espacio en disco se está ahorrando con la deduplicación.

La siguiente información se muestra en el resultado del comando isi dedupe stats:

Tamaño físico del clúster

La cantidad total de espacio en disco físico del clúster.

Tamaño utilizado en el clúster

La cantidad total de espacio en disco que ocupan actualmente los datos en el clúster.

Tamaño lógico deduplicado

La cantidad de espacio en disco que se deduplicó con respecto a los tamaños de archivo informados. Por ejemplo, si tiene tres archivos idénticos con un tamaño de 5 GB cada uno, el tamaño lógico deduplicado es de 15 GB.

Ahorro lógico La cantidad de espacio en disco que se ahorró con la deduplicación con respecto a los tamaños de archivo informados. Por ejemplo, si tiene tres archivos idénticos con un tamaño de 5 GB cada uno, el ahorro lógico es 10 GB.

Tamaño estimado deduplicado

La cantidad total de espacio en disco físico que se deduplicó, incluidos la sobrecarga de protección y los metadatos. Por ejemplo, si tiene tres archivos idénticos con un tamaño de 5 GB cada uno, el tamaño estimado


deduplicado sería mayor que 15 GB debido al espacio en disco que consumen los metadatos de archivos y la sobrecarga de protección.

Ahorro físico estimado

La cantidad total de espacio en disco físico que se ahorró con la deduplicación, incluidos la sobrecarga de protección y los metadatos. Por ejemplo, si tiene tres archivos idénticos con un tamaño de 5 GB cada uno, el ahorro físico estimado sería mayor que 10 GB debido a que la deduplicación permitió ahorrar el espacio que habrían ocupado los metadatos de archivos y la sobrecarga de protección.


Replicación de datos con SyncIQEsta sección contiene los siguientes temas:

Temas:

• Descripción general de la replicación de datos de SyncIQ• Políticas y trabajos de replicación• Snapshots de replicación• Conmutación por error y conmutación por recuperación de datos con SyncIQ• Tiempos y objetivos de recuperación de SyncIQ• Prioridad de las políticas de replicación• Funcionalidad de licencia de SyncIQ• Creación de políticas de replicación• Administración de la replicación en clústeres remotos• Inicio de failover y failback de datos con SyncIQ• Realizar recuperación ante desastres para directorios de SmartLock más antiguos• Administración de políticas de replicación• Administración de replicación en el clúster local• Administración de reglas de rendimiento de la replicación• Administración de informes de replicación• Administración de trabajos de replicación fallidos

Descripción general de la replicación de datos de SyncIQOneFS permite replicar datos de un clúster Isilon a otro mediante el módulo de software SyncIQ. Debe activar una licencia de SyncIQ en ambos clústeres Isilon antes de poder replicar los datos de uno en otro.

Puede replicar datos a nivel de un directorio y excluir opcionalmente archivos y subdirectorios específicos para que no se repliquen. SyncIQ crea y consulta instantáneas para replicar una imagen coherente de un momento específico de un directorio raíz. Los metadatos, tales como las listas de control de acceso (ACL) y los flujos de datos alternativos (ADS), se replican junto con los datos.

SyncIQ permite mantener una réplica coherente de los datos en otro clúster Isilon y controlar la frecuencia de la replicación de datos. Por ejemplo, puede configurar SyncIQ para respaldar datos desde su clúster primario a un clúster secundario una vez al día a las 22 h. Según el tamaño de su conjunto de datos, la primera operación de replicación puede tardar un tiempo considerable. Después de eso, sin embargo, las operaciones de replicación suelen completarse más rápidamente.

SyncIQ ofrece funcionalidades automatizadas de conmutación por error y conmutación por recuperación que le permiten continuar las operaciones en otro clúster Isilon si un clúster primario deja de estar disponible.

Políticas y trabajos de replicaciónLa replicación de datos se coordina según las políticas y los trabajos de replicación. Las políticas de replicación especifican cuáles son los datos que se replicarán, dónde y con qué frecuencia. Los trabajos de replicación son las operaciones que replican datos de un clúster Isilon a otro. SyncIQ genera trabajos de replicación según las políticas de replicación.

Una política de replicación especifica dos clústeres: el de origen y el de destino. El clúster donde reside la política de replicación es el clúster de origen. El clúster al cual se replican los datos es el clúster de destino. Cuando comienza una política de replicación, SyncIQ genera un trabajo de replicación para la política. Cuando se ejecuta un trabajo de replicación, los archivos de un directorio en el clúster de origen se replican en un directorio en el clúster de destino; esos directorios se denominan directorios de origen y de destino.

Una vez finalizado el primer trabajo de replicación creado por una política de replicación, el directorio de destino y todos los archivos que este contiene se establecen en un estado de solo lectura, y solo los trabajos de replicación que pertenecen a la misma política de replicación los pueden modificar. Le sugerimos no crear más de mil políticas en un clúster.

16

210 Replicación de datos con SyncIQ

NOTA: Para evitar errores con los permisos, asegúrese de que la configuración de la política de ACL sea la misma tanto

en los clústeres de origen como en los de destino.

Puede crear dos tipos de políticas de replicación: las políticas de sincronización y las políticas de copia. Una política de sincronización mantiene una réplica exacta del directorio de origen en el clúster de destino. Si se elimina un archivo o un subdirectorio del directorio de origen, se eliminará del clúster de destino cuando se vuelva a ejecutar la política.

Puede usar las políticas de sincronización para realizar failovers y failbacks de datos entre los clústeres de origen y de destino. Cuando un clúster de origen deja de estar disponible, puede realizar una conmutación por error de datos en un clúster de destino y hacer que los datos estén a disposición de los clientes. Cuando el clúster de origen vuelve a estar disponible, puede realizar una conmutación por recuperación de datos al clúster de origen.

Una política de copia mantiene las versiones recientes de los archivos que están almacenados en el clúster de origen. Sin embargo, los archivos que se eliminan del clúster de origen no se eliminan del clúster de destino. Las políticas de copia no admiten la conmutación por recuperación. Se usan principalmente para fines de archiving.

Las políticas de copia le permiten eliminar archivos del clúster de origen sin perderlos en el clúster de destino. La eliminación de archivos en el clúster de origen mejora el rendimiento en ese clúster, a la vez que mantiene los archivos eliminados en el clúster de destino. Esto puede ser útil si, por ejemplo, el clúster de origen se utiliza con propósitos de producción y el clúster de destino únicamente se usa para el archiving.

Después de crear un trabajo para una política de replicación, SyncIQ debe esperar hasta que se complete el trabajo antes de poder crear otro trabajo para la política. Puede existir una cantidad indefinida de trabajos de replicación en un clúster en un momento determinado, pero solo se pueden ejecutar cincuenta trabajos de replicación a la vez en un clúster de origen. Si hay más de cincuenta trabajos de replicación en un clúster, los primeros cincuenta trabajos se ejecutan, mientras que el resto queda en línea de espera para ejecutarse.

No hay ningún límite en la cantidad de trabajos de replicación que un clúster de destino puede admitir simultáneamente. Sin embargo, debido a que los trabajos de replicación utilizan recursos del clúster, la replicación se ralentizará más a medida que se agregan más trabajos simultáneos.

Cuando se ejecuta un trabajo de replicación, OneFS genera trabajadores en los clústeres de origen y de destino. Los trabajadores en el clúster de origen leen y envían datos, y los trabajadores en el clúster de destino escriben datos.

Puede replicar varios archivos y directorios con un solo trabajo de replicación. Puede impedir que un trabajo de replicación de gran tamaño sobrecargue el sistema. Para ello, puede limitar la cantidad de recursos de clúster y ancho de banda de red que puede consumir la sincronización de datos. Dado que cada nodo de un clúster puede enviar y recibir datos, la velocidad a la que se replican los datos aumenta para los clústeres de mayor tamaño.

Políticas de replicación automatizadaPuede iniciar manualmente una política de replicación en cualquier momento, pero también puede configurar políticas de replicación para que se inicien de manera automática según las modificaciones realizadas en el directorio de origen o de acuerdo con los calendarios.

Es posible configurar una política de replicación para que se ejecute según un calendario y así poder controlar el momento en que se lleva a cabo la replicación. También puede configurar políticas para replicar los datos capturados en los snapshots de un directorio. También se puede configurar una política de replicación para que se inicie cuando SyncIQ detecta una modificación en el directorio de origen. Así, SyncIQ mantendrá una versión más reciente de los datos en el clúster de destino.

La calendarización de una política puede ser útil bajo las siguientes condiciones:

• Si desea replicar los datos cuando la actividad del usuario sea mínima• Si puede predecir con exactitud cuándo se realizarán modificaciones en los datos

Si una política está configurada para ejecutarse según un calendario, puede configurarla para que no se ejecute si no se ha modificado el contenido del directorio de origen desde que el trabajo se ejecutó por última vez. Sin embargo, si se realizan cambios en el directorio principal del directorio de origen o en un directorio del mismo nivel del directorio de origen y, a continuación, se toma un snapshot del directorio principal, SyncIQ creará un trabajo para la política, incluso si no se han realizado cambios en el directorio de origen. Además, si monitorea el clúster mediante la función File System Analytics (FSA) de InsightIQ, el trabajo FSA creará snapshots de /ifs, lo que probablemente hará que un trabajo de replicación se inicie cada vez que se ejecute el trabajo FSA.

La replicación de datos contenidos en los snapshots de un directorio puede ser útil en las siguientes condiciones:

• Si desea replicar datos en función de un calendario y ya está generando los snapshots del directorio de origen a través de un calendario de snapshots

• Si desea mantener snapshots idénticos en los clústeres de origen y objetivo• Si desea replicar snapshots existentes en el clúster objetivo

Para hacer esto, debe habilitar los snapshots de archiving en el clúster objetivo. Esta configuración solo se puede habilitar cuando se crea la política.

Replicación de datos con SyncIQ 211

Si una política está configurada para replicar snapshots, puede configurar SyncIQ para que replique solamente los snapshots que coinciden con un patrón de nomenclatura especificado.

La configuración de una política para que se inicie cuando se realizan cambios en el directorio de origen puede ser útil bajo las siguientes condiciones:

• Si desea conservar una copia actualizada de sus datos en todo momento• Si espera muchos cambios a intervalos impredecibles

En cuanto a las políticas que están configuradas para iniciarse en cualquier momento que se realicen cambios en el directorio de origen, SyncIQ verifica los directorios de origen cada diez segundos. SyncIQ verifica todos los archivos y directorios debajo del directorio de origen, independientemente de si esos archivos o directorios se excluyen de la replicación, por lo que de vez en cuando SyncIQ podría ejecutar un trabajo de replicación innecesariamente. Por ejemplo, suponga que newPolicy replica /ifs/data/media, pero excluye /ifs/data/media/temp. Si se modifica /ifs/data/media/temp/file.txt, SyncIQ ejecutará newPolicy, aunque /ifs/data/media/temp/file.txt no se replique.

Si una política está configurada para iniciarse en cualquier momento que se realicen cambios en el directorio de origen, y un trabajo de replicación falla, SyncIQ esperará un minuto antes de intentar ejecutar la política nuevamente. SyncIQ aumenta esta demora exponencialmente para cada falla hasta alcanzar un máximo de ocho horas. Puede reemplazar la demora ejecutando la política de forma manual en cualquier momento. Después de que un trabajo de la política finaliza correctamente, SyncIQ reanudará la verificación del directorio de origen cada diez segundos.

Si una política está configurada para iniciarse cada vez que se realizan cambios en el directorio de origen, puede configurar SyncIQ para que espere un período especificado de tiempo después de la modificación del directorio de origen antes de iniciar un trabajo.

NOTA: Para evitar la sincronización frecuente de conjuntos mínimos de cambios y la sobrecarga de los recursos del

sistema, recomendamos enfáticamente no configurar la replicación continua cuando el directorio de origen presenta una

actividad alta. En tales casos, suele ser mejor configurar la replicación continua con un retraso impulsado por los

cambios de varias horas para consolidar los grupos de cambios.

Asociación de clústeres de origen y destinoPara asociar una política de replicación con un clúster de destino, SyncIQ marca este clúster cuando el trabajo se ejecuta por primera vez. Aun si modifica el nombre o la dirección IP del clúster de destino, la marca persiste. Cuando se ejecuta una política de replicación, SyncIQ verifica la marca para asegurarse de que los datos se estén replicando en la ubicación correcta.

En el clúster de destino, puede cancelar manualmente la asociación entre una política de replicación y el directorio de destino. Romper la asociación entre el clúster de origen y el clúster de destino provoca la eliminación de la marca del clúster de destino. Es recomendable cancelar manualmente una asociación de destino si se encuentra obsoleta. Si cancela la asociación de una política, esta se deshabilita en el clúster de origen y no podrá ejecutarla. Si desea volver a ejecutar la política deshabilitada, debe restablecer la política de replicación.

Cancelar la asociación de una política provoca una replicación completa o diferencial la próxima vez que ejecuta la política de replicación. Durante una replicación completa o diferencial, SyncIQ crea una nueva asociación entre los clústeres de origen y de destino. Según la cantidad de datos que se repliquen, una replicación completa o diferencial puede tardar bastante.

PRECAUCIÓN: Los cambios en la configuración del clúster de destino fuera de SyncIQ pueden presentar una condición

de error que efectivamente rompe la asociación entre el clúster de origen y el de destino. Por ejemplo, cambiar el

registro DNS del clúster de destino podría ocasionar este problema. Si necesita realizar cambios de configuración

significativos en el clúster de destino fuera de SyncIQ, asegúrese de que sus políticas de SyncIQ aún se puedan conectar

con el clúster de destino.

Configuración de clústeres de origen y destino de SyncIQ con NATLos clústeres de origen y destino pueden usar NAT (traducción de direcciones de red) para las conmutaciones por error y recuperación de SyncIQ, pero se deben configurar adecuadamente.

En este escenario, los clústeres de origen y destino están, generalmente, en distintas ubicaciones físicas, usan un espacio de direcciones privada y no enrutable y no tienen conexiones directas a Internet. Generalmente, cada clúster recibe un rango de direcciones IP privadas. Por ejemplo, un clúster de 12 nodos podría recibir direcciones IP de 192.168.10.11 a 192.168.10.22.

Para comunicarse a través de la Internet pública, es necesario que un enrutador o firewall habilitado para NAT traduzcan y redirijan adecuadamente todos los paquetes de datos entrantes y salientes de los clústeres de origen y de destino.


PRECAUCIÓN: Los datos de SyncIQ no se cifran. Si los trabajos de SyncIQ se ejecutan a través de la Internet pública, no

se cuenta con protección contra el robo de datos.

SyncIQ le permite limitar los trabajos de replicación a algunos nodos específicos dentro de su clúster. Por ejemplo, si su clúster consta de 12 nodos, podría limitar los trabajos de replicación a tres de ellos. Para habilitar la compatibilidad con NAT, se debe establecer una asociación de uno a uno entre los clústeres de origen y destino. Si limita los trabajos de replicación a tres nodos en su clúster de origen, debe asociar tres nodos en el clúster de destino.

En esta instancia, se debe configurar una NAT estática, a veces denominada mapeo entrante. En los clústeres de origen y destino, para la dirección privada asignada a cada nodo, puede asociar una dirección NAT estática. Por ejemplo:

Clúster de origen Clúster de destino

Nombre de nodo Dirección privada Dirección NAT Nombre de nodo Dirección privada Dirección NAT

source-1 192.168.10.11 10.8.8.201 target-1 192.168.55.101 10.1.2.11

source-2 192.168.10.12 10.8.8.202 target-2 192.168.55.102 10.1.2.12

source-3 192.168.10.13 10.8.8.203 target-3 192.168.55.103 10.1.2.13

Para configurar una NAT estática, necesitaría editar el archivo /etc/local/hosts en los seis nodos y asociarlos con sus contrapartes mediante la adición del nombre de nodo y dirección NAT correspondientes. Por ejemplo, en el archivo /etc/local/hosts en los tres nodos del clúster de origen, las entradas se verían así:

10.1.2.11 target-1

10.1.2.12 target-2

10.1.2.13 target-3De manera similar, en los tres nodos del clúster de destino, se editaría el archivo /etc/local/hosts y se agregaría la dirección NAT y el nombre del nodo del clúster de origen asociado. Por ejemplo, en los tres nodos del clúster de destino, las entradas se verían así:

10.8.8.201 source-1

10.8.8.202 source-2

10.8.8.203 source-3Cuando el servidor NAT recibe los paquetes de datos de SyncIQ desde un nodo del clúster de origen, el servidor NAT reemplaza los encabezados del paquete, el número de puerto y la dirección IP del nodo con el número de puerto y la dirección IP externa del puerto del servidor NAT. A continuación, el servidor NAT en la red de origen envía los paquetes a través de la Internet a la red de destino, donde otro servidor NAT lleva a cabo un proceso similar para transmitir los datos al nodo de destino. Cuando se produce una conmutación por recuperación, el proceso se revierte.

Con este tipo de configuración, SyncIQ puede determinar las direcciones correctas con las cuales conectarse, para que SyncIQ pueda enviar y recibir datos. En este escenario, no se requiere ninguna configuración de zona de SmartConnect.

Para obtener información acerca de los puertos utilizados por SyncIQ, consulte la Guía de configuración de seguridad de OneFS para su versión de OneFS.

Replicación completa y diferencialSi una política de replicación encuentra un problema que no se puede solucionar (por ejemplo, si se cancela la asociación en el clúster de destino), es posible que tenga que restablecer la política de replicación. Si restablece una política de replicación, SyncIQ ejecuta una replicación completa o diferencial la próxima vez que se ejecuta esa política. Puede especificar el tipo de replicación que realiza SyncIQ.

Durante una replicación completa, SyncIQ transfiere todos los datos desde el clúster de origen, sin importar los datos que existen en el clúster de destino. Una replicación completa utiliza grandes cantidades de ancho de banda de red y puede tardar mucho tiempo. Sin embargo, una replicación completa utiliza menos recursos de CPU que una replicación diferencial.

Durante una replicación diferencial, SyncIQ primero comprueba si ya existe un archivo en el clúster de destino y luego transfiere solamente los datos que no existen en el clúster de destino. Una replicación diferencial utiliza menos ancho de banda de red que una replicación completa; sin embargo, las replicaciones diferenciales utilizan más recursos de CPU. La replicación diferencial puede ser mucho más rápida que una replicación completa si el trabajo de replicación cuenta con una cantidad suficiente de recursos de CPU disponibles para su uso.


Control del uso de recursos de los trabajos de replicaciónPuede crear reglas que limiten el tráfico de red creado por trabajos de replicación, la tasa a la que se envían archivos por trabajos de replicación, el porcentaje de CPU utilizado por los trabajos de replicación y la cantidad de trabajadores que se creó para los trabajos de replicación.

Si limita el porcentaje de trabajadores totales que SyncIQ puede crear, el límite se aplica a la cantidad total de los trabajadores que podría crear SyncIQ, la cual está determinada por el hardware del clúster. Los trabajadores del clúster de origen leen y envían datos, mientras que los trabajadores del clúster de destino reciben y escriben datos.

NOTA: Las reglas de operación de archivos podrían no funcionar con precisión para los archivos que pueden tardar más

de un segundo en transferirse, así como para los archivos cuyos tamaños no sean predeciblemente similares.

Prioridad de las políticas de replicaciónAl crear una política de replicación, puede configurar una política para que tenga prioridad sobre otros trabajos.

Si hay varios trabajos de replicación en línea de espera para ejecutarse, puesto que ya se está ejecutando la cantidad máxima de trabajos, los trabajos creados por políticas con prioridad se ejecutarán antes que los trabajos sin prioridades. Por ejemplo, suponga que actualmente se están ejecutando 50 trabajos. Se crea un trabajo sin prioridad y se agrega a la línea de espera para ejecutarse. A continuación, se crea un trabajo con prioridad y se agrega a la línea de espera para ejecutarse. El trabajo con prioridad se ejecutará primero, a pesar de que el trabajo sin prioridad haya estado en la línea de espera por un período de tiempo mayor.

SyncIQ también pausará los trabajos de replicación sin prioridad para permitir que se ejecuten los trabajos con prioridad. Por ejemplo, suponga que ya se están ejecutando 50 trabajos, y uno de ellos no tiene prioridad. Si se crea un trabajo de replicación con prioridad, SyncIQ pausa el trabajo de replicación sin prioridad y ejecuta el trabajo con prioridad.

Informes de replicaciónUna vez finalizado un trabajo de replicación, SyncIQ genera un informe de replicación que contiene información detallada acerca del trabajo, incluidos el tiempo de ejecución, la cantidad de datos transferidos y los errores que se produjeron.

Si se interrumpe un trabajo de replicación, SyncIQ puede generar un subinforme relativo al progreso del trabajo hasta ese momento. Si después se reinicia el trabajo, SyncIQ crea otro subinforme acerca del progreso del trabajo hasta que este finaliza o se interrumpe nuevamente. SyncIQ crea un subinforme cada vez que el trabajo se interrumpe hasta que finaliza correctamente. Si se crean varios subinformes de un trabajo, SyncIQ combina la información de estos en un solo informe.

SyncIQ elimina periódicamente los informes de replicación. Es posible especificar la cantidad máxima de informes de replicación que SyncIQ puede conservar y el período de tiempo que los retiene. Si se excede la cantidad máxima de informes de replicación en un clúster, SyncIQ elimina el informe más antiguo cada vez que se crea un nuevo informe.

No se puede personalizar el contenido de un informe de replicación.

NOTA: Si se elimina una política de replicación, SyncIQ automáticamente elimina cualquier informe generado por dicha

política.

Snapshots de replicaciónSyncIQ genera snapshots para facilitar la replicación y los procesos de failover y failback entre clústeres Isilon. Los snapshots que genera SyncIQ también se pueden usar para fines de archiving en el clúster de destino.

Snapshots de clústeres de origenSyncIQ genera snapshots en el clúster de origen para garantizar la replicación de una imagen coherente de un momento específico y que los datos sin modificaciones no se envíen al clúster de destino.

Antes de ejecutar un trabajo de replicación, SyncIQ crea un snapshot del directorio de origen. Luego, SyncIQ replica los datos según el snapshot en lugar de hacerlo según el estado actual del clúster, lo cual permite a los usuarios modificar los archivos del directorio de origen y garantizar la replicación de una imagen exacta de un momento específico en el directorio de origen.

Por ejemplo, si un trabajo de replicación de /ifs/data/dir/ se inicia a las 13:00 h y finaliza a las 13:20 h, y /ifs/data/dir/file se modifica a las 13:10 h, las modificaciones no se verán reflejadas en el clúster objetivo, ni siquiera cuando no se replique /ifs/data/dir/file hasta las 13:15 h.


Puede replicar los datos según el snapshot que se genera con el módulo de software de SnapshotIQ. Si replica los datos según un snapshot SnapshotIQ, SyncIQ no genera otro snapshot del directorio de origen. Este método puede resultar útil si desea replicar copias idénticas de los datos en varios clústeres Isilon.

SyncIQ genera snapshots de origen para garantizar que los trabajos de replicación no transfieran datos sin modificaciones. Cuando se crea un trabajo para una política de replicación, SyncIQ comprueba si es el primer trabajo creado para la política. Si no lo es, SyncIQ compara el snapshot generado para el trabajo anterior con el snapshot generado para el trabajo nuevo.

SyncIQ replica únicamente los datos que se han modificado desde la última vez que se generó un snapshot para la política de replicación. Cuando un trabajo de replicación finaliza, SyncIQ elimina el snapshot anterior del clúster de origen y conserva el snapshot más reciente hasta que se ejecute el próximo trabajo.

Snapshots de clústeres de destinoCuando se ejecuta un trabajo de replicación, SyncIQ genera un snapshot en el clúster de destino para facilitar las operaciones de failover. Cuando se crea el próximo trabajo de replicación para la política de replicación, el trabajo crea un nuevo snapshot y elimina el antiguo.

Si se activó una licencia de SnapshotIQ en el clúster de destino, puede configurar una política de replicación para generar snapshots adicionales que permanezcan en el clúster de destino incluso cuando se ejecuten trabajos de replicación posteriores.

SyncIQ genera snapshots de destino para facilitar el failover en el clúster de destino, independientemente de si se ha configurado o no una licencia de SnapshotIQ en el clúster de destino. Los snapshots de failover se generan cuando se completa un trabajo de replicación. SyncIQ conserva únicamente un snapshot de failover por política de replicación y elimina el snapshot antiguo después de la creación del nuevo.

Si se activó una licencia de SnapshotIQ en el clúster de destino, puede configurar SyncIQ para que genere snapshots de archiving en el clúster de destino que no se eliminen automáticamente cuando se ejecuten los trabajos de replicación posteriores. Los snapshots de archiving contienen los mismos datos que los snapshots que se generan para fines de failover. Sin embargo, puede configurar la cantidad de tiempo durante la cual se conservarán los snapshots de archiving en el clúster de destino. Puede acceder a los snapshots de archiving de la misma forma en que accede a otros snapshots generados en un clúster.

Conmutación por error y conmutación por recuperación de datos con SyncIQSyncIQ le permite realizar operaciones automatizadas de conmutación por error y conmutación por recuperación de datos entre clústeres Isilon. Si su clúster primario queda offline, puede realizar una conmutación por error a un clúster secundario Isilon, lo que permite a los clientes seguir teniendo acceso a los datos. Si el clúster primario vuelve a estar disponible, puede realizar una conmutación por recuperación hacia él.

En el contexto de las conmutaciones por error y recuperación en SyncIQ, el clúster al que los clientes accedieron originalmente se denomina clúster primario. El clúster en el que se replicaron los datos del cliente se conoce como clúster secundario.

La conmutación por error es el proceso que permite a los clientes consultar, ver, modificar y eliminar datos en un clúster secundario. La conmutación por recuperación es el proceso que permite a los clientes reanudar sus flujos de trabajo en el clúster primario. Durante la conmutación por recuperación, los cambios realizados a los datos en el clúster secundario se copian nuevamente al clúster primario por medio de un trabajo de replicación que utiliza una política de espejeado.

Las operaciones de conmutación por error y conmutación por recuperación pueden resultar útiles en escenarios de recuperación ante desastres. Por ejemplo, si un clúster primario sufre daños debido a un desastre natural, se puede migrar a los clientes a un clúster secundario, donde pueden continuar sus operaciones normales. Cuando el clúster primario se haya reparado y esté nuevamente en línea, las operaciones de los clientes pueden volver a migrar al clúster primario.

También puede realizar conmutaciones por error y recuperación para facilitar el mantenimiento programado de los clústeres. Por ejemplo, si está actualizando el clúster primario, es recomendable migrar los clientes a un clúster secundario hasta que finalice la actualización y luego migrarlos de regreso al clúster primario.

NOTA: Los directorios de cumplimiento de normas de SmartLock son compatibles con las conmutaciones por error y

recuperación. Los directorios de cumplimiento de normas de SmartLock cumplen con la regla 17a-4(f) de la Comisión de

Bolsa y Valores de Estados Unidos, según la cual los agentes y corredores bursátiles deben conservar sus registros en un

formato que no se pueda borrar ni sobrescribir. SyncIQ cumple con la normativa 17a-4(f) durante las conmutaciones por

error y por recuperación.


Failover de datosLa conmutación por error es el proceso de preparar los datos de un clúster secundario y pasar al clúster secundario para continuar con las operaciones normales del cliente. Después de realizar una conmutación por error a un clúster secundario, puede redirigir a los clientes para que consulten, vean y modifiquen sus datos en el clúster secundario.

Antes de realizar la conmutación por error, es necesario crear y ejecutar una política de replicación de SyncIQ en el clúster primario. Inicie el proceso de failover en el clúster secundario. Para migrar datos desde un clúster primario repartido en varias políticas de replicación, debe iniciar la conmutación por error para cada política de replicación.

Si la acción de una política de replicación se estableció en copiar, cualquier archivo que se haya eliminado del clúster primario seguirá estando presente en el clúster secundario. Cuando el cliente se conecte al clúster secundario, estarán disponibles todos los archivos que se eliminaron del clúster primario.

Si inicia el failover de una política de replicación cuando un trabajo de replicación asociado se encuentra en ejecución, la operación de failover se completa, pero el trabajo falla. Dado que es posible que los datos se encuentren en un estado incoherente, SyncIQ usa el snapshot generado por el último trabajo de replicación completado correctamente para revertir los datos en el clúster secundario al último punto de recuperación.

Si ocurre un desastre en el clúster primario, cualquier modificación a los datos que se haya realizado después del inicio del último trabajo de replicación completado correctamente no se verá reflejada en el clúster secundario. Cuando un cliente se conecta al clúster secundario, sus datos aparecen como estaban cuando se inició el último trabajo de replicación completado correctamente.

Failback de datosLa conmutación por recuperación se refiere al proceso de restaurar los clústeres principal y secundario de modo que desempeñen las funciones que ocupaban antes de la operación de conmutación por error. Una vez completada la conmutación por recuperación, el clúster primario contiene el conjunto de datos más reciente y reanuda sus operaciones normales, lo que incluye el alojamiento de clientes y la replicación de los datos al clúster secundario mediante las políticas de replicación de SyncIQ que estén vigentes.

El primer paso en el proceso de failback es actualizar el clúster primario con todas las modificaciones que se realizaron a los datos en el clúster secundario. El siguiente paso es preparar el clúster primario para que los clientes accedan a él. El paso final es reanudar la replicación de datos desde el clúster primario al clúster secundario. Al finalizar el proceso de conmutación por recuperación, puede redireccionar a los usuarios para que reanuden el acceso a datos en el clúster primario.

Para actualizar el clúster primario con las modificaciones que se realizaron en el clúster secundario, SyncIQ debe crear un dominio de SyncIQ para el directorio de origen.

Puede realizar un failback de los datos mediante cualquier política de replicación que cumpla con los siguientes criterios:

• Se ha realizado failover a la política.• La política es una política de sincronización (no de copia).• La política no excluye archivos o directorios de la replicación.

Conmutaciones por error y por recuperación en el modo de cumplimiento de normas de SmartLockCon OneFS 8.0.1 y versiones posteriores, puede replicar los dominios del modo de cumplimiento de normas de SmartLock en un clúster de destino. Esta compatibilidad incluye la conmutación por error y la conmutación por recuperación de estos dominios de SmartLock.

Debido a que el modo de cumplimiento de normas de SmartLock cumple la normativa 17a-4(f) de la Comisión de Bolsa y Valores de Estados Unidos (SEC), la conmutación por error y la conmutación por recuperación de un dominio WORM en modo de cumplimiento de normas requiere planificación y preparación.

Primero y principal, los clústeres primario (de origen) y secundario (de destino) se deben configurar inicialmente como clústeres en modo de cumplimiento de normas. Este proceso se describe en la Guía de instalación de Isilon correspondiente a su modelo de nodo (por ejemplo, la Guía de instalación de Isilon S210).

Además, ambos clústeres deben tener directorios definidos como dominios WORM con el tipo de cumplimiento de normas. Por ejemplo, si almacena sus archivos WORM en el dominio de cumplimiento de normas de SmartLock /ifs/financial-records/locked en el clúster primario, debe tener un dominio de cumplimiento de normas de SmartLock en el clúster de destino hacia el cual realizar una conmutación por error. Si bien los dominios de cumplimiento de normas de SmartLock de origen y destino pueden tener el mismo nombre de ruta, esto no es necesario.

Además, es necesario iniciar el reloj de cumplimiento de normas en ambos clústeres.


SyncIQ maneja conflictos durante las operaciones de conmutación por error/conmutación por recuperación en un dominio en modo de cumplimiento de normas de SmartLock; para ello, se desvinculan los archivos confirmados del área de almacenamiento del usuario y se deja un enlace del archivo en el almacén de cumplimiento de normas. El trabajo ComplianceStoreDelete rastrea y elimina automáticamente los archivos vencidos del almacén de cumplimiento si se colocaron allí como resultado de la resolución de conflictos de SyncIQ. El trabajo se ejecuta automáticamente una vez al mes o cuando se inicia manualmente. Para obtener información sobre cómo iniciar el trabajo ComplianceStoreDelete, consulte Ejecución del trabajo ComplianceStoreDelete en un dominio en modo de cumplimiento de normas de SmartLock.

Limitaciones de la replicación de SmartLockTenga en cuenta las limitaciones de la replicación y de la conmutación por recuperación de los directorios de SmartLock con SyncIQ.

Si el directorio de origen o el directorio de destino de una política SyncIQ es un directorio de SmartLock, es posible que no se permita la replicación ni la conmutación por recuperación. Para obtener más información, consulte la siguiente tabla:

Tipo de directorio de origen

Tipo de directorio de destino Se permite la replicación

Se permite la conmutación por recuperación

No es SmartLock No es SmartLock Sí Sí

No es SmartLock empresa de SmartLock Sí Sí, a menos que los archivos estén en un estado WORM en el clúster de destino

No es SmartLock Cumplimiento de los SmartLock No No

empresa de SmartLock No es SmartLock Sí; sin embargo, se perderán las fechas de retención y el estado de confirmación de archivos.

Sí; sin embargo, los archivos no tendrán el estado WORM

empresa de SmartLock empresa de SmartLock Sí Sí, se incluirán todos los archivos WORM confirmados recientemente

empresa de SmartLock Cumplimiento de los SmartLock No No

Cumplimiento de los SmartLock

No es SmartLock No No


empresa de SmartLock No No


Cumplimiento de los SmartLock Sí Sí, se incluirán todos los archivos WORM confirmados recientemente

Si está replicando un directorio de SmartLock a otro directorio de SmartLock, debe crear el directorio de destino de SmartLock antes de ejecutar la política de replicación. Si bien OneFS creará un directorio de destino automáticamente si no existe uno, OneFS no creará un directorio de destino SmartLock de manera automática. Si intenta replicar un directorio empresarial antes de la creación del directorio de destino, OneFS creará un directorio de destino no perteneciente a SmartLock y el trabajo de replicación finalizará correctamente. Si replica un directorio de cumplimiento de normas antes de la creación del directorio de destino, el trabajo de replicación fallará.

Si replica directorios de SmartLock en otro clúster Isilon con SyncIQ, se replica el estado WORM de los archivos. Sin embargo, los ajustes de configuración del directorio de SmartLock no se transfieren al directorio de destino.

Por ejemplo, si replica un directorio que contiene un archivo confirmado con fecha de vencimiento del 4 de marzo, el archivo seguirá configurado para que expire en esa fecha en el clúster de destino. Sin embargo, si el directorio en el clúster de origen se configura para que impida que los archivos se confirmen durante más de un año, el directorio de destino no se configura automáticamente con la misma restricción.

En el caso de que se haya creado un dominio de exclusión de WORM en un directorio en modo empresarial o de cumplimiento de normas, la replicación de la exclusión de SmartLock en el directorio se producirá solo si la política de SyncIQ se basa en el dominio SmartLock que contiene la exclusión. Si no se cumple esta condición, solo se replicarán los datos y no se creará la exclusión de SmartLock en el directorio de destino.

Tiempos y objetivos de recuperación de SyncIQEl objetivo de punto de recuperación (RPO) y el objetivo de tiempo de recuperación (RTO) son medidas del impacto que un desastre puede tener en las operaciones del negocio. Puede calcular su RPO y RTO para una recuperación de desastres con las políticas de replicación.


RPO es la cantidad máxima de tiempo en que se pierden datos si un clúster repentinamente deja de estar disponible. Para un clúster Isilon, el RPO es la cantidad de tiempo transcurrido desde que se inició el último trabajo de replicación finalizado. El RPO nunca es mayor que el tiempo que demoran dos trabajos de replicación consecutivos en ejecutarse y completarse.

Si ocurre un desastre mientras se ejecuta un trabajo de replicación, los datos del clúster secundario se revierten al estado en que estaban cuando finalizó el último trabajo de replicación. Por ejemplo, considere un ambiente donde una política de replicación se calendariza para ejecutarse cada tres horas y los trabajos de replicación tardan dos horas en finalizar. Si ocurre un desastre transcurrida una hora del inicio de un trabajo de replicación, el RPO es de cuatro horas, puesto que han pasado cuatro horas desde que un trabajo finalizado comenzó a replicar datos.

RTO es la cantidad de tiempo máxima que se necesita para poner los datos de respaldo a disposición de los clientes tras un desastre. Este RTO siempre es inferior o aproximadamente igual al RPO, según la velocidad a la que se crean trabajos de replicación para una política determinada.

Si los trabajos de replicación se ejecutan continuamente, lo cual implica la creación de otro trabajo de replicación para la política antes de que el trabajo de replicación previo finalice, el RTO es aproximadamente igual al RPO. Cuando se realiza un failover del clúster secundario, los datos del clúster se restablecen al estado en que estaban cuando finalizó el último trabajo. El restablecimiento de los datos tarda un período de tiempo proporcional al tiempo que demoran los usuarios en modificar los datos.

Si los trabajos de replicación se ejecutan a intervalos, es decir, con un período de tiempo después de la finalización del trabajo de replicación y antes del inicio del próximo trabajo de replicación de la política, las relaciones entre el RTO y el RPO dependen de si hay trabajos de replicación en ejecución cuando ocurre el desastre. Si hay trabajos en ejecución, el RTO es apenas igual al RPO. Sin embargo, si no hay trabajos en ejecución, el RTO es insignificante, ya que el clúster secundario no se modificó desde la última ejecución del trabajo de replicación y el proceso de failover es casi instantáneo.

Alertas de RPOPuede configurar SyncIQ para crear eventos de OneFS que lo alertarán en el caso de que se supere un objetivo de punto de recuperación (RPO) especificado. Estos eventos se pueden ver a través de la misma interfaz que utilizan otros eventos de OneFS.

Los eventos tienen un ID de evento de 400040020. El mensaje de evento para estas alertas sigue el siguiente formato:

SW_SIQ_RPO_EXCEEDED: SyncIQ RPO exceeded for policy <replication_policy>Por ejemplo, supongamos que establece un RPO de cinco horas; un trabajo comienza a las 13:00 h y finaliza a las 15:00 h; un segundo trabajo comienza a las 15:30 h; si este último no se completa para las 18:00 h, SyncIQ creará un evento de OneFS.

Prioridad de las políticas de replicaciónAl crear una política de replicación, puede configurar una política para que tenga prioridad sobre otros trabajos.

Si hay varios trabajos de replicación en línea de espera para ejecutarse, puesto que ya se está ejecutando la cantidad máxima de trabajos, los trabajos creados por políticas con prioridad se ejecutarán antes que los trabajos sin prioridades. Por ejemplo, suponga que actualmente se están ejecutando 50 trabajos. Se crea un trabajo sin prioridad y se agrega a la línea de espera para ejecutarse. A continuación, se crea un trabajo con prioridad y se agrega a la línea de espera para ejecutarse. El trabajo con prioridad se ejecutará primero, a pesar de que el trabajo sin prioridad haya estado en la línea de espera por un período de tiempo mayor.

SyncIQ también pausará los trabajos de replicación sin prioridad para permitir que se ejecuten los trabajos con prioridad. Por ejemplo, suponga que ya se están ejecutando 50 trabajos, y uno de ellos no tiene prioridad. Si se crea un trabajo de replicación con prioridad, SyncIQ pausa el trabajo de replicación sin prioridad y ejecuta el trabajo con prioridad.

Funcionalidad de licencia de SyncIQPuede replicar datos a otro clúster Isilon únicamente si activa la licencia de SyncIQ en el clúster local y en el clúster de destino.

Si una licencia de SyncIQ se torna inactiva, no puede crear, ejecutar o administrar políticas de replicación. Además, se deshabilitan todas las políticas de replicación creadas anteriormente. También se deshabilitan las políticas de replicación que se aplican al clúster local. Sin embargo, los datos que se replicaron anteriormente en el clúster local aún están disponibles.

Creación de políticas de replicaciónEs posible crear políticas de replicación que determinan cuándo los datos se replican con SyncIQ.


Exclusión de directorios en la replicaciónPuede excluir ciertos directorios para que las políticas de replicación no los repliquen, aun si los directorios se encuentran en el directorio de origen especificado.

NOTA: El failback no es compatible con las políticas de replicación que excluyen directorios.

De manera predeterminada, todos los archivos y directorios que se encuentran en el directorio de origen de una política de replicación se replican al clúster de destino. Sin embargo, puede evitar la replicación de los directorios que se encuentran en el directorio de origen.

Si especifica un directorio que se debe excluir, los archivos y directorios que se encuentran en el directorio excluido no se replicarán al clúster de destino. Si especifica un directorio que se debe incluir, solo los archivos y directorios que se encuentran en el directorio incluido se replican al clúster de destino; se excluye cualquier directorio que no se encuentre en un directorio incluido.

Si incluye y excluye directorios, todos los directorios excluidos se deben encontrar en uno de los directorios incluidos; de manera contraria, la configuración de exclusión de directorios no tendrá efecto. Por ejemplo, considere una política con la siguiente configuración:

• El directorio raíz es /ifs/data• Los directorios incluidos son /ifs/data/media/music y /ifs/data/media/movies• Los directorios excluidos son /ifs/data/archive y /ifs/data/media/music/workingEn este ejemplo, la configuración que excluye el directorio /ifs/data/archive no tiene efecto, ya que el directorio /ifs/data/archive no se encuentra en ninguno de los directorios incluidos. El directorio /ifs/data/archive no se replica, independientemente de si el directorio se excluyó explícitamente. Sin embargo, la configuración que excluye el directorio /ifs/data/media/music/working sí tiene efecto, ya que el directorio se replicaría si esta no estuviera especificada.

Además, si excluye un directorio que contiene el directorio de origen, la configuración de exclusión de directorios no tendrá efecto. Por ejemplo, si el directorio raíz de una política es /ifs/data, la exclusión explícita del directorio /ifs no evita la replicación de /ifs/data.

Cualquier directorio incluido o excluido explícitamente se debe encontrar en el directorio raíz especificado. Por ejemplo, considere una política en la que el directorio raíz especificado sea /ifs/data. En este ejemplo, puede incluir los directorios /ifs/data/media y /ifs/data/users/, ya que se encuentran en /ifs/data.

La exclusión de directorios de una política de sincronización no causa la eliminación de los directorios en el clúster de destino. Por ejemplo, considere una política de replicación que sincronice /ifs/data en el clúster de origen con /ifs/data en el clúster objetivo. Si la política excluye /ifs/data/media de la replicación y /ifs/data/media/file existe en el clúster objetivo, la ejecución de la política no causa la eliminación de /ifs/data/media/file del clúster objetivo.

Exclusión de archivos en la replicaciónSi no desea que la política de replicación replique ciertos archivos, puede excluirlos del proceso de replicación mediante las declaraciones de criterios de coincidencia de archivos. Puede configurar declaraciones de criterios de coincidencia de archivos durante el proceso de creación de la política de replicación.

NOTA: No es posible realizar failbacks de las políticas de replicación que excluyan archivos.

Una declaración de criterios de archivos puede incluir uno o más elementos. Cada declaración de criterios de archivos contiene un atributo de archivo, un operador de comparación y un valor de comparación. Puede combinar varios elementos de criterios en una declaración de criterios con los operadores booleanos “AND” y “OR”. Puede configurar una cantidad ilimitada de definiciones de criterios de archivos.

La configuración de declaraciones de criterios de archivos puede provocar la ralentización de los trabajos asociados. Se recomienda especificar las declaraciones de criterios de archivos en una política de replicación, solo si es necesario.

La modificación de una declaración de criterios de archivos puede ocasionar una replicación completa la próxima vez que se inicia una política de replicación. Según la cantidad de datos que se replican, una replicación completa puede tardar mucho tiempo.

En cuanto a las políticas de sincronización, si se modifican los operadores o los valores de comparación de un atributo de archivo, y un archivo ya no coincide con el criterio de coincidencia de archivos especificado, el archivo se elimina del destino la próxima vez que se ejecuta el trabajo. Esta regla no se aplica a las políticas de copia.

Opciones de criterios de archivosPuede configurar una política de replicación para excluir los archivos que cumplan o no con los criterios específicos.

Puede especificar criterios de archivos según los siguientes atributos de archivos:


Fecha de creación Incluye o excluye archivos según el momento en que fueron creados. Esta opción está disponible solo para las políticas de copia.

Puede especificar una fecha y hora relativas, como “hace dos semanas”, o una fecha y hora específicas, como “1 de enero de 2012”. Los ajustes de hora se basan en un formato de 24 horas.

Fecha de acceso Incluye o excluye archivos según el momento en que se accedió a ellos por última vez. Esta opción está disponible solo para las políticas de copia y solo si está habilitada la opción de rastreo global del momento de acceso del clúster.


Fecha de modificación

Incluye o excluye archivos según el momento en que se modificaron por última vez. Esta opción está disponible solo para las políticas de copia.


Nombre de archivo Incluye o excluye archivos según su nombre. Puede especificar si desea incluir o excluir nombres completos o parciales que contengan un texto específico.

Se aceptan los siguientes caracteres comodín:

NOTA: Alternativamente, puede filtrar los nombres de archivos con expresiones regulares (regex)

de POSIX. Los clústeres Isilon admiten las expresiones regulares IEEE Std 1003.2 (POSIX.2). Para

obtener más información sobre las expresiones regulares de POSIX, consulte las páginas de los

manuales BSD.

Tabla 7. Comodines de coincidencia de archivos de replicación

Carácter comodín Descripción

* Hace coincidir cualquier cadena en lugar del asterisco.

Por ejemplo, m* coincide con movies y m123.

[ ] Hace coincidir cualquier carácter entre paréntesis o rango de caracteres separados por un guion.

Por ejemplo, b[aei]t coincide con bat, bet y bit.

Por ejemplo, 1[4-7]2 coincide con 142, 152, 162 y 172.

Puede excluir los caracteres entre paréntesis insertando un signo de exclamación después del primer paréntesis.

Por ejemplo, b[!ie] coincide con bat, pero no con bit ni bet.

Puede hacer coincidir un paréntesis dentro de otro paréntesis si se trata del primer o último carácter.

Por ejemplo, [[c]at coincide con cat y [at.

Puede hacer coincidir un guion dentro de un paréntesis si se trata del primer o último carácter.

Por ejemplo, car[-s] coincide con cars y car-.

? Hace coincidir cualquier carácter en lugar del signo de interrogación.

Por ejemplo, t?p coincide con tap, tip y top.

Ruta Incluye o excluye archivos según la ruta de archivo. Esta opción está disponible solo para las políticas de copia.

Puede especificar si desea incluir o excluir rutas completas o parciales que contengan un texto específico. También puede incluir los caracteres comodín *, ? y [ ].


Tamaño Incluye o excluye archivos según su tamaño.

NOTA: Los tamaños de los archivos se representan en múltiplos de 1,024, no de 1,000.

Tipo Incluye o excluye archivos según uno de los siguientes tipos de objetos del sistema de archivos:

• Vínculo simbólico• Archivo regular• Directorio

Configurar los ajustes predeterminados de la política de replicaciónPuede configurar los ajustes predeterminados de las políticas de replicación. Si no modifica estos ajustes al crear una política de replicación, se aplicará la configuración predeterminada especificada.

Ejecute el comando isi sync settings modify.El siguiente comando configura SyncIQ para que elimine los informes de replicación que tengan más de dos años:

isi sync settings modify --report-max-age 2Y

Crear una política de replicaciónCon SyncIQ, puede crear una política de replicación que defina cómo y cuándo se replican los datos en otro clúster Isilon. Una política de replicación especifica el clúster de destino, los directorios de origen y destino, y los directorios y archivos que se deben excluir durante la replicación.

PRECAUCIÓN: En una política de replicación de SyncIQ, OneFS le permite especificar un directorio de origen que sea un

directorio de destino o se encuentre dentro de un directorio de destino de otra política de replicación. Este caso de uso

se denomina replicación en cascada y es específicamente para fines de respaldo. Es importante configurarlo con

cuidado. OneFS no admite el failback en estos casos.

Si modifica alguno de los siguientes ajustes de configuración después de ejecutar una política, OneFS realiza una replicación completa o diferencial la próxima vez que se ejecute la política.

• Directorio de origen• Directorios incluidos o excluidos• Declaración de los criterios de archivos• Nombre o dirección del clúster de destino

Esto se aplica solo si se modifica una política de replicación para especificar un clúster de destino diferente. Si modifica la IP o el nombre de dominio de un clúster de destino y luego modifica la política de replicación en el clúster de origen para que se corresponda con la nueva IP o el nombre de dominio, no se podrá realizar la replicación completa. Tenga en cuenta que SyncIQ no es compatible con la asignación dinámica de pools de direcciones IP. Si un trabajo de replicación se conecta a una dirección IP asignada dinámicamente, es posible que SmartConnect reasigne la dirección durante la ejecución de un trabajo de replicación, lo cual tendría la consecuencia de que el trabajo falle.

• Directorio de destinoNOTA: Si crea una política de replicación para un directorio de cumplimiento de normas de SmartLock, se deben

configurar los dominios de cumplimiento de normas de SyncIQ y SmartLock en el mismo nivel de directorio raíz. Un

directorio de cumplimiento de normas de SmartLock no se puede anidar dentro de un directorio de SyncIQ.

Ejecute el comando isi sync policies create.

El siguiente comando crea una política que replica el directorio /ifs/data/source del clúster de origen /ifs/data/target al clúster de destino 10.1.99.36 todas las semanas. El comando también crea snapshots de archiving en el clúster de destino:

isi sync policies create mypolicy sync /ifs/data/source 10.1.99.36 /ifs/data/target --schedule "Every Sunday at 12:00 AM" --target-snapshot-archive on --target-snapshot-expiration 1Y--target-snapshot-pattern "%{PolicyName}-%{SrcCluster}-%Y-%m-%d


Crear un dominio de SyncIQPuede crear un dominio de SyncIQ para aumentar la velocidad con la que se realiza la conmutación por recuperación de una política de replicación. Debido a que solo puede realizar failbacks de las políticas de sincronización, no es necesario crear dominios de SyncIQ para las políticas de copia.

Realizar una conmutación por recuperación de una política de replicación requiere la creación de un dominio de SyncIQ para el directorio de origen. OneFS crea automáticamente un dominio de SyncIQ durante el proceso de conmutación por recuperación. Sin embargo, si pretende realizar una conmutación por recuperación de una política de replicación, se recomienda que cree un dominio de SyncIQ para el directorio de origen de la política de replicación mientras el directorio está vacío. Crear un dominio para un directorio que contiene menos datos lleva menos tiempo.

Ejecute el comando isi job jobs start.El siguiente comando crea un dominio de SyncIQ para /ifs/data/source:

isi job jobs start DomainMark --root /ifs/data/media \--dm-type SyncIQ

Configuración de la política de replicaciónAntes de ejecutar una política de replicación por primera vez, puede ver las estadísticas de los archivos que se verán afectados por la replicación sin transferir ningún archivo. Esto puede ser útil si desea obtener una vista previa del tamaño del conjunto de datos que se transferirá si ejecuta la política.

Puede evaluar únicamente las políticas de replicación que no se han ejecutado nunca.

1. Ejecute el comando isi sync jobs start con la opción --test.El siguiente comando crea un informe sobre la cantidad de datos que se transferirán cuando se ejecute un trabajo de sincronización llamado weeklySync:

isi sync jobs start weeklySync --test

2. Para ver el informe de evaluación, ejecute el comando isi sync reports view.El siguiente comando muestra el informe de evaluación de weeklySync:

isi sync reports view weeklySync 1

Administración de la replicación en clústeres remotosPuede ejecutar, ver, evaluar, pausar, reanudar, cancelar, resolver y restablecer manualmente los trabajos de replicación que se aplican a otros clústeres.

Después del inicio de un trabajo de política, puede pausarlo para suspender las actividades de replicación. Luego, puede reanudar el trabajo y continuar la replicación desde el punto en que se interrumpió el trabajo. También puede cancelar un trabajo de replicación en ejecución o pausado si desea liberar los recursos de clúster asignados al trabajo. Un trabajo pausado reserva recursos de clúster independientemente de si estos están o no en uso. Un trabajo cancelado libera sus recursos de clúster y permite que otro trabajo de replicación los utilice. No pueden existir más de cinco trabajos de replicación en ejecución y pausados en un clúster a la vez. Sin embargo, en un clúster puede existir una cantidad ilimitada de trabajos de replicación cancelados. Si un trabajo de replicación se mantiene pausado por más de una semana, SyncIQ lo cancela automáticamente.

Iniciar un trabajo de replicaciónPuede iniciar manualmente un trabajo de replicación para una política de replicación en cualquier momento. También puede replicar datos a partir de un snapshot creado por SnapshotIQ. No puede replicar datos a partir de un snapshot generado por SyncIQ.

Ejecute el comando isi sync jobs start.El siguiente comando inicia weeklySync:

isi sync jobs start weeklySync


El siguiente comando replica el directorio de origen de weeklySync a partir del snapshot HourlyBackup_07-15-2013_23:00:

isi sync jobs start weeklySync \--source-snapshot HourlyBackup_07-15-2013_23:00

Pausar un trabajo de replicaciónPuede pausar un trabajo de replicación en ejecución y luego reanudarlo más adelante. Pausar una tarea de replicación suspende temporalmente la replicación de los datos, pero no libera los recursos del clúster que está replicando los datos.

Ejecute el comando isi sync jobs pause.El siguiente comando pausa weeklySync:

isi sync jobs pause weeklySync

Reanudar un trabajo de replicaciónPuede intentar reanudar una sesión de replicación en pausa.

Ejecute el comando isi sync jobs resume.El siguiente comando reanuda weeklySync:

isi sync jobs resume weeklySync

Cancelar un trabajo de replicaciónPuede cancelar un trabajo de replicación que se encuentra en ejecución o pausado. La cancelación de un trabajo de replicación detiene la replicación de datos y libera los recursos del clúster que replicaban los datos. No puede reanudar un trabajo de replicación cancelado; para reiniciar la replicación, debe volver a iniciar la política de replicación.

Ejecute el comando isi sync jobs cancel.El siguiente comando cancela weeklySync:

isi sync jobs cancel weeklySync

Ver trabajos de replicación activosPuede ver la información relacionada con los trabajos de replicación que se están ejecutando en ese momento o que se encuentran pausados.

1. Vea todos los trabajos de replicación activos mediante el siguiente comando:

isi sync jobs list

2. Para ver la información detallada sobre un trabajo de replicación específico, ejecute el comando isi sync jobs view.El siguiente comando muestra información detallada sobre un trabajo de replicación creado por weeklySync:

isi sync jobs view weeklySync


Nombre de la política: weeklySync ID: 3 State: running Action: run Duration: 5s Start Time: 2013-07-16T23:12:00

Información sobre el trabajo de replicaciónPuede ver información sobre los trabajos de replicación.


La siguiente información se muestra en el resultado del comando isi snapshot settings view:

Nombre de política El nombre de la política de replicación asociada.

ID El ID del trabajo de replicación.

Condición El estado del trabajo.

Acción El tipo de política de replicación.

Inicio de failover y failback de datos con SyncIQPuede realizar una conmutación por error desde un clúster Isilon a otro si, por ejemplo, el clúster principal deja de estar disponible. Puede realizar una conmutación por recuperación cuando el clúster primario vuelve a estar disponible. Puede revertir un failover si decide que era innecesario o si realizó un failover con fines de prueba.

NOTA: Ahora, las conmutaciones por error y por recuperación son compatibles con los directorios de cumplimiento de

normas y los directorios empresariales de SmartLock. Los directorios de cumplimiento de normas de SmartLock pueden

crearse solo en los clústeres que se han configurado como clústeres de modo de cumplimiento de normas durante la

configuración inicial.

Realizar failover de los datos a un clúster secundarioPuede realizar una conmutación por error a un clúster Isilon secundario si, por ejemplo, el clúster primario deja de estar disponible.

Debe haber creado y ejecutado correctamente una política de replicación en el clúster primario. Esta acción replicó los datos en el clúster secundario.

NOTA: Los directorios empresariales y de cumplimiento de normas de SmartLock son compatibles con la conmutación

por error de datos. Los directorios de cumplimiento de normas de SmartLock requieren sus propias políticas de

replicación. Dichos directorios no se pueden anidar en directorios que no cumplen las normas ni replicar como parte de

una política general.

Complete el siguiente procedimiento para cada política de replicación a la cual desee realizarle un failover.

1. Si su clúster primario está aún en línea, siga estos pasos:

a) Detenga todas las escrituras en la ruta de la política de replicación, incluso la actividad local y de cliente.

Esta acción garantiza que no se escriban nuevos datos a la ruta de la política mientras se prepara para la conmutación por error al clúster secundario.

b) Modifique la política de replicación para que se ejecute solo manualmente.

Esta acción impedirá que la política del clúster primario ejecute un trabajo de replicación de forma automática. Si la política del clúster primario ejecuta un trabajo de replicación mientras se permiten las escrituras en el directorio objetivo, el trabajo fallará y la política de replicación quedará desactivada. Si ocurre esto, modifique la política para que se ejecute solo de manera manual, resuelva la política y complete el proceso de conmutación por recuperación. Tras completar el proceso de failback, puede modificar la política para que se ejecute nuevamente según un calendario.

El siguiente comando garantiza que la política weeklySync solo se ejecute manualmente:

isi sync policies modify weeklySync --schedule ""

2. En el clúster secundario, ejecute el comando isi sync recovery allow-write.El siguiente comando habilita la escritura en los directorios y archivos replicados especificados en la política de weeklySync:

isi sync recovery allow-write weeklySync

NOTA: Los archivos WORM en modo de cumplimiento de normas de SmartLock, a pesar de que replican, se

almacenan en un formato sin capacidad de escritura ni eliminación.

3. Dirija a los usuarios al clúster secundario para acceder a los datos y realizar sus operaciones normales.


Revertir una operación de failoverLa reversión de failover deshace una operación de failover en un clúster secundario, lo cual le permite volver a replicar datos desde un clúster primario hacia un clúster secundario. La reversión de failover es útil cuando el clúster primario queda disponible antes de que se modifiquen los datos en el clúster secundario, o si realizó un failover a un clúster secundario con fines de prueba.

Realice un failover de una política de replicación.

La reversión de una operación de failover no migra los datos modificados de regreso al clúster primario. Para migrar los datos que han modificado los clientes en el clúster secundario, debe realizar un failback al clúster primario.

NOTA:

La reversión de failover no es compatible con los directorios de SmartLock.

Complete el siguiente procedimiento para cada política de replicación a la cual desee realizarle un failover.

Ejecute el comando isi sync recovery allow-write con la opción --revert.Por ejemplo, el siguiente comando revierte una operación de failover para newPolicy:

isi sync recovery allow-write newPolicy --revert

Fail back data to a primary clusterDespués de realizar una conmutación por error a un clúster secundario, puede realizar una conmutación por recuperación al clúster primario.

Antes de realizar una conmutación por recuperación al clúster primario, debe haber realizado una conmutación por error al clúster secundario. Además, debe asegurarse de que el clúster primario esté nuevamente en línea.

1. Cree políticas de espejeado en el clúster secundario ejecutando el comando isi sync recovery resync-prep en el clúster primario.El siguiente comando crea una política de espejeado para weeklySync:

isi sync recovery resync-prep weeklySync

SyncIQ nombra las políticas de espejeado según el siguiente patrón:

<replication-policy-name>_mirror

2. Antes de comenzar el proceso de conmutación por recuperación, impida que los clientes accedan al clúster secundario.

Esta acción garantiza que SyncIQ realice una conmutación por recuperación con el conjunto de datos más reciente, donde se incluyen todos los cambios realizados por los usuarios a los datos en el clúster secundario mientras el clúster primario estaba fuera de servicio. Le recomendamos que espere hasta que los clientes estén inactivos antes de impedir el acceso al clúster secundario.

3. En el clúster secundario, use el comando isi sync jobs start para ejecutar la política de espejeado y replicar los datos al clúster primario.El siguiente comando ejecuta inmediatamente una política de espejeado llamada weeklySync_mirror:

isi sync jobs start weeklySync_mirror

Si lo desea, también puede modificar la política de espejeado para que se ejecute según un programa específico. El siguiente comando programa una política de espejeado con el nombre weeklySync_mirror que se ejecutará todos los días a las 00:01 h:

isi sync policies modify weeklySync_mirror --enabled yes --schedule "every day at 12:01 AM"

Si se especifica un programa para la política de espejeado, solo necesita permitir que la política de espejeado se ejecute una vez a la hora programada. Después de eso, debe regresar la política de espejeado a un programa manual.

4. En el clúster primario, permita las escrituras en los directorios de destino de la política de espejeado mediante el comando isi sync recovery allow-write.El siguiente comando permite escrituras en los directorios especificados en la política weeklySync_mirror:

isi sync recovery allow-write weeklySync_mirror


5. En el clúster secundario, complete el proceso de conmutación por recuperación mediante el comando isi sync recovery resync-prep para la política de espejeado.El siguiente comando completa el proceso de conmutación por recuperación para weeklySync_mirror regresando el clúster secundario a un modo de solo lectura y garantizando que los conjuntos de datos sean coherentes entre los clústeres primario y secundario:

isi sync recovery resync-prep weeklySync_mirror

Dirija a los clientes al clúster primario para realizar operaciones normales. A pesar de que no es necesario, es seguro quitar una política de espejeado después de que la conmutación por recuperación se complete correctamente.

Ejecución del trabajo ComplianceStoreDelete en un dominio en modo de cumplimiento de normas de SmartLockSyncIQ maneja conflictos durante las operaciones de conmutación por error/conmutación por recuperación en un dominio en modo de cumplimiento de normas de SmartLock; para ello, se desvinculan los archivos confirmados del área de almacenamiento del usuario y se deja un enlace del archivo en el almacén de cumplimiento de normas. El trabajo ComplianceStoreDelete rastrea y elimina automáticamente los archivos vencidos del almacén de cumplimiento si se colocaron allí como resultado de la resolución de conflictos de SyncIQ.

Por ejemplo, puede realizar una conmutación por error o conmutación por recuperación de SyncIQ en un dominio en modo de cumplimiento de normas de SmartLock. La operación genera un archivo confirmado que se revierte a un estado no confirmado. Para la resolución de conflictos, se almacena una copia del archivo confirmado en el almacén de cumplimiento. El archivo confirmado en el almacén de cumplimiento de normas finalmente vence. El trabajo ComplianceStoreDelete se ejecuta automáticamente una vez al mes y elimina el archivo vencido. No se eliminarán los archivos vencidos que estén en uso (a los cuales se hace referencia desde fuera del almacén de cumplimiento).

El trabajo ComplianceStoreDelete se ejecuta automáticamente una vez al mes o cuando se inicia de forma manual. Puede ejecutar el trabajo manualmente desde la CLI.

Ejecute el comando isi job jobs start ComplianceStoreDelete .

Realizar recuperación ante desastres para directorios de SmartLock más antiguosSi replicó un directorio de cumplimiento de normas de SmartLock en un clúster secundario en el que se ejecuta OneFS 7.2.1 u otra versión anterior, no puede realizar una conmutación por recuperación del directorio de cumplimiento de normas de SmartLock en un clúster primario en el que se ejecuta OneFS 8.0.1 o versiones posteriores. Sin embargo, puede recuperar el directorio de cumplimiento de normas de SmartLock almacenado en el clúster secundario y migrarlo de vuelta al clúster primario.

NOTA: Los directorios empresariales de SmartLock son compatibles con las conmutaciones por error y recuperación de

los datos con versiones anteriores de OneFS.

Recuperar directorios de cumplimiento de normas de SmartLock en un clúster de destinoPuede recuperar los directorios de cumplimiento de normas de SmartLock que haya replicado a un clúster secundario en el que ejecuta OneFS 7.2.1 o alguna versión anterior.

Complete el siguiente procedimiento para cada directorio de SmartLock que desee recuperar.

1. En el clúster secundario, habilita las escrituras en los directorios de SmartLock que desea recuperar.

• Si el último trabajo de replicación se completó correctamente y no hay un trabajo de replicación en curso, ejecute el comando isi sync recovery allow-write en el clúster secundario.

Por ejemplo, el siguiente comando habilita las escrituras en el directorio de destino de SmartLockSync:

isi sync recovery allow-write SmartLockSync


• Si hay un trabajo de replicación en curso, espere a que se complete y luego ejecute el comando isi sync recovery allow-write.

• Si el clúster primario dejó de estar disponible mientras se ejecutaba un trabajo de replicación, ejecute el comando isi sync target break. Tenga en cuenta que debe cancelar la asociación solo si el clúster primario se ha desconectado en forma permanente.

Por ejemplo, el siguiente comando finaliza la asociación del directorio de destino de SmartLockSync:

isi sync target break SmartLockSync

2. Si ejecutó isi sync target break, restaure cualquier archivo que haya quedado en un estado incoherente.

a) Elimine todos los archivos que no estén confirmados en un estado WORM del directorio de destino.b) Copie todos los archivos del snapshot de failover en el directorio de destino.

Los snapshots de failover se nombran según el siguiente patrón de asignación de nombres:

SIQ-Failover-<policy-name>-<año>-<mes>-<día>_<hora>-<minuto>-<segundo>Los snapshots se ubican dentro del directorio oculto /ifs/.snapshot.

3. Si se especificó algún ajuste de configuración de los directorios SmartLock para el directorio de origen de la política de replicación, como un período de tiempo de confirmación automática, aplique dichos ajustes al directorio de destino.Dado que la información de confirmación automática no se transfiere al clúster de destino, los archivos programados para confirmarse a un estado WORM en el clúster de origen no se programarán para confirmarse al mismo tiempo en el clúster de destino. Para garantizar que todos los archivos se conserven por el período de tiempo correcto, puede confirmar todos los archivos de los directorios de SmartLock de destino en un estado WORM. Por ejemplo, el siguiente comando confirma automáticamente todos los archivos en /ifs/data/smartlock en un estado WORM después de un minuto.

isi worm domains modify --domain /ifs/data/smartlock--autocommit-offset 1m

Migrar directorios de cumplimiento de normas de SmartLockPuede migrar directorios de cumplimiento de normas de SmartLock de un clúster de recuperación, ya sea mediante la replicación de los directorios de vuelta al clúster de origen original o a un clúster nuevo. La migración es necesaria solamente si el clúster de recuperación ejecuta OneFS 7.2.1 o una versión anterior. Estas versiones de OneFS no son compatibles con las conmutaciones por error o por recuperación de los directorios de cumplimiento de normas de SmartLock.

1. En el clúster de recuperación, cree una política de replicación para cada directorio de cumplimiento de normas de SmartLock que desee migrar a otro clúster (el clúster primario original o un nuevo clúster).

Las políticas deben cumplir con los siguientes requisitos:

• El directorio de origen en el clúster de recuperación es el directorio de cumplimiento de normas de SmartLock que está migrando.• El directorio de destino es un directorio de cumplimiento de normas de SmartLock vacío en el clúster al que se migrarán los datos.

Los directorios de origen y destino deben ser directorios de cumplimiento de normas de SmartLock.

2. Para replicar los datos de recuperación al directorio de destino, ejecute las políticas que creó.

Puede replicar datos ya sea iniciando manualmente la política o especificando un programa de políticas.

3. Opcional: Para garantizar que la protección de SmartLock se aplique a todos los archivos, confirme todos los archivos migrados en el directorio de SmartLock de destino en un estado WORM.

Debido a que la información de confirmación automática no se transfiere desde el clúster de recuperación, confirme todos los archivos migrados en los directorios de SmartLock de destino a un estado WORM.

Por ejemplo, el siguiente comando confirma automáticamente todos los archivos en /ifs/data/smartlock en un estado WORM después de un minuto:

isi worm domains modify --domain /ifs/data/smartlock \--autocommit-offset 1m

Este paso es necesario solo si no configuró un período de tiempo de confirmación automática para el directorio de SmartLock.

4. En el clúster de destino, habilite las escrituras en los directorios de destino de replicación mediante el comando isi sync recovery allow-writes.


Por ejemplo, el siguiente comando habilita las escrituras en el directorio de destino de SmartLockSync:

isi sync recovery allow-writes SmartLockSync

5. Si se especificó algún ajuste de configuración de los directorios de SmartLock, como un período de tiempo de confirmación automática, para los directorios de origen de las políticas de replicación, aplique dichos ajustes a los directorios de destino.

6. Elimine la copia de los datos de SmartLock en el clúster de recuperación.

No se puede recuperar el espacio consumido por los directorios de SmartLock de origen hasta que todos los archivos abandonen el estado WORM. Si desea liberar el espacio antes de que los archivos abandonen el estado WORM, comuníquese con el soporte técnico de Isilon para obtener información sobre cómo cambiar el formato de su clúster de recuperación.

Administración de políticas de replicaciónEs posible modificar, ver, habilitar y deshabilitar políticas de replicación.

Modificar una política de replicaciónPuede modificar la configuración de una política de replicación.

Si modifica alguno de los siguientes elementos de la configuración de la política después de ejecutarla, OneFS realiza una replicación completa o diferencial la próxima vez que se ejecuta la política:

• Directorio de origen• Directorios incluidos o excluidos• Declaración de los criterios de archivos• Clúster de destino

Esto se aplica solamente si tiene como objetivo un clúster diferente. Si modifica la IP o el nombre de dominio de un clúster de destino y luego modifica la política de replicación en el clúster de origen para que se corresponda con la nueva IP o el nombre de dominio, no se podrá realizar la replicación completa.

• Directorio de destino

Ejecute el comando isi sync policies modify.Si suponemos que se ha restablecido weeklySync y que no se ha ejecutado desde entonces, el siguiente comando provoca una replicación diferencial la próxima vez que se ejecuta weeklySync:

isi sync policies modify weeklySync--target-compare-initial-sync=true

Eliminar política de autenticaciónPuede eliminar una política de replicación. Cuando se elimina una política, SyncIQ deja de crear trabajos de replicación para la política. Cuando se elimina una política de replicación, se cancela la asociación de destino en el clúster de destino y se permiten escrituras en el directorio de destino.

Si desea evitar temporalmente que una política de replicación cree trabajos de replicación, puede deshabilitarla y luego volver a habilitarla.

Ejecute el comando isi sync policies delete.El siguiente comando elimina weeklySync del clúster de origen y cancela la asociación de destino en el clúster de destino:

isi sync policies delete weeklySync

NOTA: La operación no finalizará correctamente hasta que SyncIQ pueda comunicarse con el clúster de destino; hasta

que eso no suceda, la política seguirá apareciendo en el resultado del comandoisi sync policies list. Después de

restablecer la conexión entre el clúster de origen y el clúster objetivo, SyncIQ eliminará la política la próxima vez que el

trabajo esté programado para ejecutarse; si la política está configurada para ejecutarse solo de forma manual, debe

volver a ejecutarla de forma manual. Si SyncIQ no puede comunicarse con el clúster objetivo de forma permanente,

ejecute el comando isi sync policies delete con la opción --local-only . Esto eliminará la política del clúster local

únicamente y no romperá la asociación de destino en el clúster objetivo.


Activar o desactivar frames jumbo:Puede suspender temporalmente una política de replicación para evitar que cree trabajos de replicación y luego volver a habilitarla más adelante.

NOTA: Si deshabilita una política de replicación mientras se ejecuta un trabajo de replicación asociado, ese trabajo no se

verá interrumpido. Sin embargo, la política no creará otro trabajo hasta que se habilite la política.

Ejecute el comando isi sync policies enable o isi sync policies disable.El siguiente comando habilita weeklySync:

isi sync policies enable weeklySync

El siguiente comando deshabilita weeklySync:

isi sync policies disable weeklySync

Ver ahora »Puede ver información sobre las políticas de replicación.

1. Vea información sobre todas las políticas de replicación ejecutando el siguiente comando:

isi sync policies list

2. Opcional: Para ver la información detallada sobre una política de replicación específica, ejecute el comando isi sync policies view.El siguiente comando muestra información detallada sobre weeklySync:

isi sync policies view weeklySync


ID: dd16d277ff995a78e9affbba6f6e2919 Name: weeklySync Path: /ifs/data/archive Action: sync Enabled: No Target: localhost Description: Check Integrity: Yes Source Include Directories: - Source Exclude Directories: - Source Subnet: - Source Pool: - Source Match Criteria: Target Path: /ifs/data/sometarget Target Snapshot Archive: No Target Snapshot Pattern: SIQ-%{SrcCluster}-%{PolicyName}-%Y-%m-%d_%H-%M-%S Target Snapshot Expiration: Never Target Snapshot Alias: SIQ-%{SrcCluster}-%{PolicyName}-latestTarget Detect Modifications: Yes Source Snapshot Archive: No Source Snapshot Pattern: Source Snapshot Expiration: Never Schedule: Manually scheduled Log Level: notice Log Removed Files: No Workers Per Node: 3 Report Max Age: 2Y Report Max Count: 2000 Force Interface: No Restrict Target Network: NoTarget Compare Initial Sync: No Disable Stf: No Disable Fofb: No Resolve: - Last Job State: finished


Last Started: 2013-07-17T15:39:49 Last Success: 2013-07-17T15:39:49 Password Set: No Conflicted: No Has Sync State: Yes

Información de la política de replicaciónEs posible ver la información relacionada con las políticas de replicación en el resultado del comando isi sync policies list.

Nombre El nombre de la política.

Ruta La ruta del directorio de origen en el clúster de origen.

Acción El tipo de política de replicación.

Activado Si la política está habilitada o deshabilitada.

Destino La dirección IP o el nombre de dominio calificado del clúster de destino.

Administración de replicación en el clúster localPuede interrumpir trabajos de replicación destinados al clúster local.

Puede cancelar un trabajo en ejecución destinado al clúster local o puede cancelar la asociación entre una política y su destino especificado. Cancelar la asociación entre un clúster de origen y otro de destino hace que SyncIQ realice una replicación completa la próxima vez que se ejecuta la política.

Cancelar la replicación en el clúster localPuede cancelar un trabajo de replicación destinado al clúster local.

Ejecute el comando isi sync target cancel.

• Para cancelar un trabajo, especifique una política de replicación. Por ejemplo, el siguiente comando cancela un trabajo de replicación creado según weeklySync:

isi sync target cancel weeklySync• Para cancelar todos los trabajos destinados al clúster local, ejecute el siguiente comando:

isi sync target cancel --all

Cancelar la asociación de destino localPuede cancelar la asociación entre una política de replicación y el clúster local. Para cancelar esta asociación, necesita restablecer la política de replicación antes de volver a ejecutar la política.

NOTA: Después de restablecer la política de replicación, SyncIQ realiza una replicación completa o diferencial la próxima

vez que se ejecuta esa política. Según la cantidad de datos que se replican, una replicación completa o diferencial puede

tardar mucho tiempo.

Ejecute el comando isi sync target break.El siguiente comando cancela la asociación entre weeklySync y el clúster local:

isi sync target break weeklySync

Ver las políticas de replicación destinadas al clúster localEs posible ver información sobre las políticas de replicación que replican actualmente datos en el clúster local.


1. Vea información sobre todas las políticas de replicación destinadas actualmente al clúster local mediante la ejecución del siguiente comando:

isi sync target list

2. Para ver la información detallada sobre una política de replicación específica, ejecute el comando isi sync target view.El siguiente comando muestra información detallada sobre weeklySync:

isi sync target view weeklySync


Name: weeklySync Source: cluster Target Path: /ifs/data/sometarget Last Job State: finished FOFB State: writes_disabled Source Cluster GUID: 000c295159ae74fcde517c1b85adc03daff9Last Source Coordinator IP: 127.0.0.1 Legacy Policy: No Last Update: 2013-07-17T15:39:51

Información sobre la política de replicación remotaEs posible ver información sobre las políticas de replicación que actualmente se destinan al clúster local en el resultado del comando isi sync target list.

Nombre El nombre de la política de replicación.

Origen El nombre del clúster de origen.

Ruta de destino La ruta del directorio de destino en el clúster de destino.

Last Job State El estado del trabajo de replicación más reciente para la política.

Estado del FOFB Los estados de failover y failback del directorio de destino.

Administración de reglas de rendimiento de la replicaciónPuede administrar el impacto de la replicación en el rendimiento del clúster mediante la creación de reglas que limiten el tráfico de red creado y la velocidad a la que se envían archivos mediante los trabajos de replicación.

Crear una regla nueva o de pruebaPuede crear una regla de tráfico de red que limite la cantidad de tráfico de red que se permite generar a las políticas de replicación durante un período especificado.

Ejecute el comando isi sync rules create.El siguiente comando crea una regla de tráfico de red que limita el consumo de ancho de banda a 100 kB/s desde las 9:00 h hasta las 17:00 h todos los días hábiles:

isi sync rules create bandwidth 9:00-17:00 M-F 100

Crear una regla para las operaciones de archivosPuede crear una regla para las operaciones de archivos que limite la cantidad de archivos que los trabajos de replicación pueden enviar por segundo.

Ejecute el comando isi sync rules create.


El siguiente comando crea una regla de operaciones de archivos que limita la velocidad del envío de a tres archivos por segundo desde las 9:00 h a las 17:00 h todos los días hábiles: :

isi sync rules create file_count 9:00-17:00 M-F 3

Modificar una reglaPuede modificar una regla de rendimiento.

1. Opcional: Para identificar el ID de la regla de rendimiento que desea modificar, ejecute el siguiente comando:

isi sync rules list

2. Modifique una regla de rendimiento mediante la ejecución del comando isi sync rules modify.El siguiente comando hace que una regla de rendimiento con un ID de bw-0 se aplique solo los días sábado y domingo:

isi sync rules modify bw-0 --days X,S

Eliminación de una regla de pruebaPuede eliminar una regla de rendimiento.

1. Opcional: Para identificar el ID de la regla de rendimiento que desea modificar, ejecute el siguiente comando:

isi sync rules list

2. Elimine una regla de rendimiento mediante la ejecución del comando isi sync rules delete.El siguiente comando elimina una regla de rendimiento con un ID de bw-0:

isi sync rules delete bw-0

Habilitar o deshabilitar una regla de rendimientoPuede deshabilitar una regla de rendimiento para evitar su aplicación temporalmente. También puede habilitar una regla de rendimiento después de su deshabilitación.

1. Opcional: Para identificar el ID de la regla de rendimiento que desea habilitar o deshabilitar, ejecute el siguiente comando:

isi sync rules list

2. Ejecute el comando isi sync rules modify.El siguiente comando habilita una regla de rendimiento con un ID de bw-0:

isi sync rules modify bw-0 --enabled true

El siguiente comando deshabilita una regla de rendimiento con un ID de bw-0:

isi sync rules modify bw-0 --enabled false

Ver las reglas de rendimientoPuede ver las reglas de rendimiento.

1. Consulte la información sobre las reglas de rendimiento ejecutando el siguiente comando:

isi sync rules list

2. Opcional: Para ver la información detallada sobre una regla de rendimiento específica, ejecute el comando isi sync rules view.El siguiente comando muestra información detallada sobre una regla de rendimiento con un ID de bw-0:

isi sync rules view --id bw-0



ID: bw-0 Enabled: Yes Type: bandwidth Limit: 100 kbps Days: Sun,Sat Schedule Begin : 09:00 End : 17:00Description: Bandwidth rule for weekdays

Administración de informes de replicaciónAdemás de ver los informes de replicación, puede configurar el tiempo durante el cual se conservan los informes en el clúster. También puede eliminar cualquier informe que haya sobrepasado el período de vencimiento.

Configurar ajustes predeterminados de informes de replicaciónPuede configurar la cantidad predeterminada de tiempo durante el cual SyncIQ conserva informes de replicación. También puede configurar la cantidad máxima de informes que SyncIQ conserva para cada política de replicación.

Ejecute el comando isi sync settings modify.El siguiente comando hace que OneFS elimine informes de replicación que tienen más de 2 años:

isi sync settings modify --report-max-age 2Y

Eliminar informes de replicaciónSyncIQ elimina los informes de replicación de manera rutinaria una vez expirados. SyncIQ también elimina informes cuando se excede la cantidad límite de informes especificada. SyncIQ elimina periódicamente los informes sobrantes; sin embargo, puede eliminar manualmente todos los informes de replicación sobrantes en cualquier momento. Este procedimiento está disponible solo a través de la interfaz de la línea de comandos (CLI).


2. Elimine los informes de replicación sobrantes por medio del siguiente comando:

isi sync reports rotate

Ver todos los informesPuede ver informes y subinformes de replicación.

1. Vea una lista de todos los informes de replicación mediante la ejecución del siguiente comando:

isi sync reports list

2. Vea un informe de replicación mediante la ejecución del comando isi sync reports view.El siguiente comando muestra un informe de replicación para weeklySync:

isi sync reports view weeklySync 2

3. Opcional: Para ver una lista de subinformes de un informe, ejecute el comando isi sync reports subreports list.El siguiente comando muestra subinformes de weeklySync:

isi sync reports subreports list weeklySync 1

4. Opcional: Para ver un subinforme, ejecute el comando isi sync reports subreports view.


El siguiente comando muestra un subinforme de weeklySync:

isi sync reports subreports view weeklySync 1 2


Nombre de la política: weeklySync Job ID: 1 Subreport ID: 2 Start Time: 2013-07-17T21:59:10 End Time: 2013-07-17T21:59:15 Action: run State: finished Policy ID: a358db8b248bf432c71543e0f02df64e Sync Type: initial Duration: 5s Errors: - Source Directories Visited: 0 Source Directories Deleted: 0 Target Directories Deleted: 0 Source Directories Created: 0 Target Directories Created: 0 Source Directories Linked: 0 Target Directories Linked: 0 Source Directories Unlinked: 0 Target Directories Unlinked: 0 Num Retransmitted Files: 0 Retransmitted Files: - Total Files: 0 Files New: 0 Source Files Deleted: 0 Files Changed: 0 Target Files Deleted: 0 Up To Date Files Skipped: 0 User Conflict Files Skipped: 0 Error Io Files Skipped: 0 Error Net Files Skipped: 0Error Checksum Files Skipped: 0 Bytes Transferred: 245 Total Network Bytes: 245 Total Data Bytes: 20 File Data Bytes: 20 Sparse Data Bytes: 0 Target Snapshots: SIQ-Failover-newPol123-2013-07-17_21-59-15, newPol123-Archive-cluster-17 Total Phases: 2 Phases Phase : STF_PHASE_IDMAP_SEND Start Time : 2013-07-17T21:59:11 End Time : 2013-07-17T21:59:13

Información de los informes de replicaciónPuede ver información sobre los trabajos de replicación mediante la tabla Reports.

Nombre de la política

El nombre de la política asociada para el trabajo. Puede ver o editar la configuración de la política con un clic en el nombre de la política.

Status Muestra el estado del trabajo. Una tarea puede tener los siguientes estados:

Started Indica cuándo se inició el trabajo.

Listo Indica cuándo finalizó el trabajo.

Duración Indica la cantidad de tiempo que se requirió para completar el trabajo.

Transferred La cantidad total de archivos que se transfirieron durante la ejecución del trabajo y el tamaño total de todos los archivos transferidos. Para las políticas evaluadas, aparece Assessment.


Source Directory La ruta del directorio de origen en el clúster de origen.

Target Host La dirección IP o el nombre de dominio calificado del clúster de destino.

Acción Muestra cualquier acción relacionada con el informe que se pueda realizar.

Administración de trabajos de replicación fallidosSi un trabajo de replicación falla debido a un error, SyncIQ podría deshabilitar la política de replicación correspondiente. Por ejemplo, SyncIQ podría deshabilitar una política de replicación si se modifica la IP o el nombre de host del clúster de destino. Si se deshabilita una política de replicación, esta no se podrá ejecutar.

Para reanudar la replicación de una política deshabilitada, debe reparar el error que deshabilitó la política o restablecer la política de replicación. Se recomienda que intente reparar el problema, en lugar de restablecer la política. Si piensa que ha corregido el error, puede hacer que la política de replicación regrese a un estado habilitado mediante su resolución. Luego, puede volver a ejecutar la política para comprobar si se reparó el problema. Si no consigue reparar el problema, puede restablecer la política de replicación. Sin embargo, el restablecimiento de la política provoca una replicación completa o diferencial la próxima vez que se ejecuta.

NOTA: Según la cantidad de datos que se sincronizan o se copian, la replicación completa y la diferencial podrían tardar

mucho tiempo.

Configuración de la política de replicaciónSi SyncIQ deshabilita una política de replicación debido a un error de replicación y se corrige el problema que causó el error, es posible resolver la política de replicación. Resolver una política de replicación le permite ejecutar la política nuevamente. Si no puede resolver el problema que ocasionó el error, puede restablecer la política de replicación.

Ejecute el comando isi sync policies resolve.El siguiente comando resuelve weeklySync:

isi sync policies resolve weeklySync

Configuración de la política de replicaciónSi en un trabajo de replicación se encuentra un error que no se puede resolver, puede restablecer la política de replicación correspondiente. El restablecimiento de una política hace que OneFS realice una replicación completa o diferencial en la siguiente ejecución de la política.

El restablecimiento de una política de replicación elimina el snapshot del clúster de origen.

NOTA: Según la cantidad de datos que se repliquen, una replicación completa o diferencial puede tardar bastante.

Restablezca una política de replicación solo si no puede corregir el problema que causó el error en la replicación. Si

corrige el problema que causó el error, resuelva la política en lugar de restablecerla.

Ejecute el comando isi sync policies reset.El siguiente comando restablece weeklySync:

isi sync policies reset weeklySync

Realizar una replicación completa o diferencialDespués de restablecer una política de replicación, se debe realizar una replicación completa o diferencial. Esto solo puede hacerse desde la CLI.

Restablecer una política de replicación.

1. Abra una conexión Secure Shell (SSH) a cualquier nodo del clúster e inicie sesión a través de la cuenta raíz o la cuenta de administrador de cumplimiento de normas.

2. Especifique el tipo de replicación que desea realizar ejecutando el comando isi sync policies modify.

• Para realizar una replicación completa, deshabilite la opción --target-compare-initial-sync.


Por ejemplo, el siguiente comando deshabilita la sincronización diferencial para newPolicy:

isi sync policies modify newPolicy \--target-compare-initial-sync false

• Para realizar una replicación diferencial, habilite la opción --target-compare-initial-sync.

Por ejemplo, el siguiente comando habilita la sincronización diferencial para newPolicy:

isi sync policies modify newPolicy \--target-compare-initial-sync true

3. Ejecute la política mediante la ejecución del comando isi sync jobs start.Por ejemplo, el siguiente comando ejecuta newPolicy:

isi sync jobs start newPolicy


Cifrado de datos con SyncIQEsta sección contiene los siguientes temas:

Temas:

• Descripción general del cifrado de datos de SyncIQ• Cifrado del tráfico de SyncIQ• Descripción general de la regulación por política• Solución de problemas de cifrado de SyncIQ

Descripción general del cifrado de datos de SyncIQOneFS ahora le permite cifrar los datos de SyncIQ de un clúster Isilon a otro.

Puede utilizar las funcionalidades integradas de SyncIQ para cifrar los datos durante la transferencia entre los clústeres Isilon y proteger los datos en transferencia durante las replicaciones entre clústeres.

Las políticas de SyncIQ ahora son compatibles con el cifrado integral para las comunicaciones entre clústeres.

Puede administrar los certificados fácilmente con la ayuda del nuevo almacén de SyncIQ. La revocación de certificación es compatible a través de un servicio de respuesta de Online Certificate Status Protocol (OCSP) externo.

Es posible que los clústeres Isilon requieran que todas las políticas de SyncIQ entrantes y salientes se cifren a través de un simple cambio en el ajuste global de SyncIQ.

Cifrado del tráfico de SyncIQLos datos de SyncIQ que se transmiten entre los clústeres de origen y destino están cifrados.

SyncIQ proporciona protección adicional contra los ataques de intermediario y evita relaciones de origen o destino no autorizadas. La configuración de certificados estándar del cifrado de políticas de SyncIQ requiere seis archivos:

• SourceClusterCert.pem: un certificado de entidad final único que identifica el clúster de origen• SourceClusterKey.pem: el archivo de clave privada asociado que se envía con el certificado de identidad del clúster de origen• SourceClusterCA.pem: un archivo de CA raíz autofirmado que emitió el certificado de identidad del clúster de origen• TargetClusterCert.pem: un certificado de entidad final único que identifica el clúster de destino• TargetClusterKey.pem: el archivo de clave privada asociado que se envía con el certificado de identidad del clúster de destino• TargetClusterCA.pem: un archivo de CA raíz autofirmado que emitió el certificado de identidad del clúster de destino (puede ser el

mismo que 3)

Dado que el cifrado de SyncIQ requiere protocolos de enlace SSL de autenticación mutua, cada clúster debe especificar su propio certificado de identidad y el certificado de CA del par.

Configurar certificadosPuede configurar certificados para el cifrado de políticas de SyncIQ.

1. En el clúster de origen, instale el certificado de identidad y el par de clave privada en el almacén de certificados del servidor.

isi sync cert server import SourceClusterCert.pem SourceClusterKey.pem --certificate-key-password <string> --name myClusterCertID

2. En el clúster de origen, configure el ID recientemente instalado desde el almacén del servidor como su certificado del clúster SyncIQ. El ID completo del certificado se muestra cuando se utiliza la opción -v en el comando de lista de almacenes de servidores.

isi sync cert server list -v isi sync setting mod –cluster-certificate-id=<fullID>

17

Cifrado de datos con SyncIQ 237

3. En el clúster de origen, instale la autoridad de certificación (CA) del clúster de origen en el almacén de CA del clúster global. Esta CA se utilizó para emitir TargetClusterCert.pem.

isi cert auth import TargetClusterCA.pem --name SyncIQTargetCA

4. En el clúster de origen, agregue el certificado de destino al almacén de certificados de pares de la lista blanca.

isi sync cert peer import TargetClusterCert.pem --name SyncIQTargetClusterCert

NOTA: En este paso, es necesario compartir el certificado de la entidad final de cada par SyncIQ con el par. Esta

acción no es un requisito de SSL. Se trata de un requisito específico de implementación para agregar una capa de

seguridad de la lista blanca en las políticas de cifrado de SyncIQ. La clave privada asociada para los certificados de

pares no se debe compartir cuando se intercambian los certificados de la entidad final con los pares.

5. En el clúster de destino, instale el certificado de identidad y el par de clave privada en el almacén de certificados del servidor.

isi sync cert server import TargetClusterCert.pem TargetClusterKey.pem --certificate-key-password<string> --name myClusterCertID

6. En el clúster de destino, configure el ID recientemente instalado desde el almacén del servidor como su certificado del clúster SyncIQ. El ID completo del certificado se muestra cuando se utiliza la opción -v en el comando de lista de almacenes de servidores.

isi sync cert server list -v isi sync setting mod –cluster-certificate-id=<fullID>

7. En el clúster de destino, instale la autoridad de certificación (CA) del clúster de origen en el almacén de CA del clúster global. Esta CA se utilizó para emitir SourceClusterCert.pem.

isi cert auth import SourceClusterCA.pem --name SyncIQSourceCA

8. En el clúster de destino, agregue el certificado de origen al almacén de certificados de pares de la lista blanca.

isi sync cert peer import SourceClusterCert.pem --name SyncIQSourceClusterCert

NOTA: En este paso, es necesario compartir el certificado de la entidad final de cada par SyncIQ con el par. Esta

acción no es un requisito de SSL. Se trata de un requisito específico de implementación para agregar una capa de

seguridad de la lista blanca en las políticas de cifrado de SyncIQ. La clave privada asociada para los certificados de

pares no se debe compartir cuando se intercambian los certificados de la entidad final con los pares.

Creación de políticas de SyncIQ cifradasPuede crear políticas de SyncIQ cifradas.

1. Para habilitar el cifrado, asocie el ID del certificado de destino a la política. El certificado designado se utiliza como la comprobación de la lista blanca durante el trabajo de sincronización. Puede ver el ID completo de un certificado cuando se utiliza la opción -v en el comando de lista de certificados.

isi sync cert peer list -v isi sync pol create foo sync /ifs/syncDir <targetIP> /ifs/syncDir –target-certificate-id=<targetFullID>

2. De manera opcional, imponga que todas las políticas de SyncIQ exijan cifrado.

isi sync setting mod --encryption-required=True

Descripción general de la regulación por políticaOneFS ahora permite establecer reglas de regulación por política.

Las versiones existentes de OneFS permiten configurar reglas de regulación de ancho de banda global que se aplican de manera equitativa en las políticas en ejecución. Ahora puede configurar reservas de ancho de banda por política, en lugar del nivel global.

238 Cifrado de datos con SyncIQ

Creación de una regla de ancho de bandaPuede crear una regla de ancho de banda para SyncIQ y configurar la reserva de nivel de política.

1. Otorgue una licencia a SyncIQ y cree una o más políticas.

2. Cree una regla de ancho de banda para SyncIQ.

isi sync rules create bandwidth --limit=1000 00:00-23:59 M-F

3. Configure la reserva de nivel de política.

isi sync policies modify test --bandwidth-reservation=500

Solución de problemas de cifrado de SyncIQSi no puede configurar el cifrado de SyncIQ, compruebe el informe de la política de SyncIQ pertinente y siga los consejos que se indican a continuación para solucionar el problema.

• Si la falla se debe a un error en la autenticación de seguridad de capa de transporte (TLS), puede encontrar el mensaje de error de la biblioteca TLS del informe.

• Si se trata de una falla de autenticación de TLS, puede encontrar información detallada en /var/log/messages en los clústeres de origen y de destino. La información detallada incluye los siguientes elementos:

• El ID del certificado que causó la falla• El nombre del tema del certificado que causó la falla• La profundidad en la que se produjo la falla en la cadena de certificación• El código de error y el motivo de la falla

Cifrado de datos con SyncIQ 239

Disposición de datos con FlexProtectEsta sección contiene los siguientes temas:

Temas:

• Descripción general de la FlexProtect• Fraccionado de archivos• « Protección de datos• Recuperación de datos de FlexProtect• Solicitar protección de datos• Configuración de la protección requerida• Uso del espacio en disco para la protección requerida

Descripción general de la FlexProtectUn clúster Isilon está diseñado para suministrar datos continuamente, incluso cuando uno o varios componentes fallan a la vez. OneFS garantiza la disponibilidad de los datos mediante el fraccionado o el espejeado en todo el clúster. Si un componente del clúster falla, los datos almacenados en el componente fallido están disponibles en otro componente. Después de la falla de un componente, el sistema FlexProtect de propiedad restaura los datos perdidos en componentes que funcionen correctamente.

La protección de datos se especifica en el nivel de archivos, no de bloques, lo que permite que el sistema recupere los datos rápidamente. Puesto que todos los datos, metadatos e información de paridad se distribuyen en todos los nodos, el clúster no requiere una unidad o nodo de paridad exclusivos. Esto garantiza que ningún nodo limite la velocidad del proceso de reconstrucción.

Fraccionado de archivosOneFS utiliza la red interna de un clúster Isilon para distribuir datos automáticamente entre los nodos individuales y los discos del clúster. OneFS protege los archivos mientras se escriben los datos. No se necesita realizar otra operación para proteger los datos.

Antes de escribir los archivos en el almacenamiento, OneFS segmenta los archivos en fragmentos lógicos más pequeños denominados fracciones. El tamaño de cada fragmento de archivo se conoce como el tamaño de unidad de fracción. Cada bloque de OneFS se compone de 8 kB, y la unidad de fracción cuenta con 16 bloques, lo que suma un total de 128 kB por unidad de fracción. Durante una operación de escritura, OneFS segmenta los datos en fracciones y los coloca lógicamente en una unidad de fracción. A medida que OneFS escribe los datos en el clúster, OneFS rellena la unidad de fracción y protege los datos según la cantidad de nodos en los que se puede escribir y la política de protección especificada.

OneFS puede reasignar datos continuamente y hacer que el espacio de almacenamiento sea más útil y eficaz. A medida que aumenta el tamaño del clúster, OneFS almacena grandes archivos con mayor eficiencia.

Para proteger los archivos de 128 kb o menos, OneFS no los segmenta en fragmentos lógicos más pequeños. En lugar de ello, utiliza espejeado con corrección de errores hacia adelante (FEC). Con el espejeado, OneFS crea copias de los datos de cada archivo pequeño (N), agrega un fragmento de paridad FEC (M) y distribuye varias instancias de la unidad de protección completa (N + M) en el clúster.

« Protección de datosLa protección de datos requerida determina la cantidad de datos redundantes creados en el clúster para garantizar que los datos estén protegidos contra fallas en los componentes. Con OneFS, podrá modificar la protección requerida en tiempo real mientras los clientes leen y escriben datos en el clúster.

OneFS proporciona varias configuraciones de protección de datos. Puede modificar esta configuración de datos en cualquier momento sin reiniciar ni desconectar el clúster o el sistema de archivos. Cuando planee su solución de almacenamiento, tenga en cuenta que si aumenta la protección requerida, se reduce el rendimiento de escritura y se necesita espacio de almacenamiento adicional para admitir una cantidad de nodos mayor.

OneFS usa el algoritmo Reed Solomon para la protección N+M. En el modelo de protección de datos N+M, N representa la cantidad de unidades de fracción de datos y M representa la cantidad de fallas de nodos o de unidades simultáneas (o una combinación de fallas de unidades y de nodos) que el clúster puede resistir sin que se pierdan datos. N debe ser mayor que M.

18

240 Disposición de datos con FlexProtect

Además de la protección de datos N+M, OneFS también es compatible con el espejeado de datos de dos a ocho veces, el cual permite entre dos y ocho espejeados de datos. En cuanto al rendimiento del clúster y al uso de recursos generales, la protección N+M es a menudo más eficaz que el espejeado. Sin embargo, puesto que el rendimiento de lectura y escritura se reduce para la protección N+M, el espejeado de datos puede ser más rápido con datos que se actualizan con frecuencia y que ocupan poco espacio. El espejeado de datos requiere una sobrecarga significativa y es posible que no siempre sea el mejor método de protección de datos. Por ejemplo, si habilita el espejeado de tres veces, el contenido especificado se duplica tres veces en el clúster; según la cantidad de contenido en espejo, este puede utilizar una cantidad importante de espacio de almacenamiento.

Conceptos relacionados

Solicitar protección de datos


Configuración de la protección requerida

Uso del espacio en disco para la protección requerida

Recuperación de datos de FlexProtectOneFS utiliza el sistema de propiedad FlexProtect para detectar y reparar archivos y directorios que se encuentran en un estado degradado debido a fallas de unidad o de nodos.

OneFS protege los datos en el clúster según la política de protección configurada. OneFS reconstruye discos fallidos, utiliza espacio libre de almacenamiento en todo el clúster para prevenir aún más la pérdida de datos, monitorea los datos y migra a otro sitio los datos en componentes que corren riesgos.

OneFS distribuye todos los datos y la información de corrección de errores en todo el clúster y garantiza que todos los datos permanezcan intactos y accesibles, incluso en caso de que se produzcan fallas de componentes simultáneas. En condiciones normales de funcionamiento, todos los datos en el clúster están protegidos contra una o más fallas de un nodo o unidad. Sin embargo, si falla un nodo o una unidad, se considera que el estado de protección del clúster está degradado hasta que OneFS vuelva a proteger los datos. OneFS vuelve a proteger los datos mediante la reconstrucción de datos en el espacio libre del clúster. Mientras el estado de protección se encuentra en estado degradado, los datos son más vulnerables a la pérdida de datos.

Puesto que los datos se reconstruyen en el espacio libre del clúster, este no requiere una unidad o nodo de hot-spare exclusivo a fin de recuperarse después de una falla en un componente. Debido a que se requiere una cierta cantidad de espacio libre para reconstruir datos, se recomienda reservar el espacio libre adecuado mediante la función de hot spare virtual.

A medida que agrega más nodos, el clúster obtiene más CPU, memoria y discos para utilizar durante las operaciones de recuperación. Cuando un clúster se agranda, las operaciones de refraccionado de datos se agilizan.

SmartFailOneFS protege los datos almacenados en unidades o nodos fallidos gracias al proceso de SmartFail.

Durante este proceso, OneFS pone un dispositivo en cuarentena. Los datos almacenados en dispositivos en cuarentena son de solo lectura. Mientras un dispositivo se encuentra en cuarentena, OneFS distribuye los datos en el dispositivo a otros dispositivos para reforzar su protección. Una vez completada la migración de todos los datos, OneFS elimina lógicamente el dispositivo del clúster, el clúster cambia lógicamente su ancho según la nueva configuración y el nodo o unidad se pueden reemplazar físicamente.

Únicamente como último recurso, OneFS ejecuta un SmartFail en los dispositivos. Si bien puede ejecutar un SmartFail en los nodos y unidades de forma manual, se recomienda consultar primero con el soporte técnico de Isilon.

En ocasiones, un dispositivo puede fallar antes de que OneFS detecte un problema. Si una unidad falla sin haber recibido un SmartFail, OneFS automáticamente inicia la reconstrucción de los datos en el espacio libre del clúster. Sin embargo, si un nodo falla, OneFS no inicia la reconstrucción de los datos a menos que el nodo se elimine lógicamente del clúster. Esto se debe a que un nodo puede recuperarse de una falla.

Fallas de nodoPuesto que la pérdida de un nodo es, por lo general, un problema temporal, OneFS no inicia automáticamente un refuerzo en la protección de datos cuando un nodo falla o se desconecta. Si un nodo se reinicia, no es necesario reconstruir el sistema de archivos, ya que permanece intacto durante la falla temporal.

Si configura la protección de datos N+1 en un clúster y falla un nodo, aún se puede acceder a todos los datos desde cualquier otro nodo del clúster. Si el nodo vuelve a conectarse, se une nuevamente al clúster de forma automática sin requerir una reconstrucción total.

Disposición de datos con FlexProtect 241

Para garantizar que los datos permanezcan protegidos, si elimina físicamente un nodo del clúster, debe eliminarlo también lógicamente. Después de eliminarlo lógicamente, el nodo automáticamente vuelve a formatear sus propias unidades y se restablece a sí mismo con la configuración predeterminada de fábrica. El restablecimiento ocurre solamente después de que OneFS haya confirmado que todos los datos cuenten con un refuerzo en la protección. Puede eliminar un nodo lógicamente mediante el proceso de SmartFail. Es importante que le realice un SmartFail a los nodos únicamente cuando desee eliminar un nodo de forma permanente del clúster.

Si elimina un nodo fallido antes de agregar uno nuevo, los datos almacenados en el nodo fallido se deben reconstruir en el espacio libre del clúster. Una vez agregado el nuevo nodo, OneFS distribuye los datos al nuevo nodo. Es más eficaz agregar un nodo de reemplazo al clúster antes de que falle el nodo antiguo, ya que OneFS podrá utilizar inmediatamente el nodo de reemplazo para reconstruir los datos almacenados en el nodo fallido.

Solicitar protección de datosPara especificar la protección de un archivo o directorio, debe configurar la protección requerida. Esta flexibilidad le permite proteger distintos conjuntos de datos en niveles superiores a los predeterminados.

OneFS calcula la protección de datos solicitada y la establece automáticamente en los pools de almacenamiento dentro de su clúster. La configuración predeterminada se conoce como "protección sugerida" y proporciona el equilibrio óptimo entre protección de datos y eficiencia del almacenamiento. Por ejemplo, una protección sugerida de N+2:1 significa que pueden fallar dos unidades o un nodo sin causar la pérdida de datos.

Para obtener mejores resultados, se recomienda aceptar, como mínimo, la protección sugerida de datos en su clúster. Siempre puede especificar un nivel de protección mayor que la protección sugerida en los directorios, pools de nodos o archivos imprescindibles.

Con OneFS, puede solicitar una protección que el clúster no pueda igualar en ese momento. Si solicita una protección inigualable, el clúster seguirá intentando igualar la protección solicitada hasta que consiga un equivalente. Por ejemplo, en un clúster de cuatro nodos, puede solicitar una protección en espejo de cinco veces. En este ejemplo, OneFS espejearía los datos cuatro veces hasta que se agregue un quinto nodo al clúster y, en ese punto, OneFS volvería a aplicar una protección de cinco veces.

Si configura la protección solicitada a un nivel inferior a la protección sugerida, OneFS le advertirá al respecto.

NOTA:

Para los nodos de la serie NL y la serie X Isilon IQ 4U, y las plataformas de combinación IQ 12000X/EX 12000, el tamaño

de clúster mínimo de tres nodos requiere una protección mínima de N+2:1.


« Protección de datos

Configuración de la protección requeridaLa configuración de la protección requerida determina el nivel de falla de hardware del que se puede recuperar un clúster sin incurrir en la pérdida de datos.


Cantidad mínima de nodos requeridos

Definición

[+1n] 3 El clúster puede recuperarse de una falla de nodo o de unidad sin incurrir en la pérdida de datos.

[+2d:1n] 3 El clúster se puede recuperar de dos fallas de unidad simultáneas o una falla de nodo sin incurrir en la pérdida de datos.

[+2n] 4 El clúster se puede recuperar de dos fallas de unidad o de nodo simultáneas sin incurrir en la pérdida de datos.

[+3d:1n] 3 El clúster puede recuperarse de tres fallas de unidad simultáneas o una falla de nodo sin incurrir en la pérdida de datos.

[+3d:1n1d] 3 El clúster puede recuperarse de tres fallas de unidad simultáneas o fallas simultáneas de un nodo y una unidad sin incurrir en la pérdida de datos.



Cantidad mínima de nodos requeridos

Definición

[+3n] 6 El clúster se puede recuperar de tres fallas de nodo o de unidad simultáneas sin incurrir en la pérdida de datos.

[+4d:1n] 3 El clúster puede recuperarse de cuatro fallas de unidad simultáneas o una falla de nodo sin incurrir en la pérdida de datos.

[+4d:2n] 4 El clúster se puede recuperar de cuatro fallas de unidad o dos fallas de nodo simultáneas sin incurrir en la pérdida de datos.

[+4n] 8 El clúster se puede recuperar de cuatro fallas de nodo o de unidad simultáneas sin incurrir en la pérdida de datos.

Nx (espejeado de datos) N

Por ejemplo, 5x requiere un mínimo de cinco nodos.

El clúster puede recuperarse de fallas de unidad o nodo N-1 sin incurrir en un pérdida de datos. Por ejemplo, la protección 5x implica que el clúster puede recuperarse de cuatro fallas de unidad o nodo.



Uso del espacio en disco para la protección requeridaSi aumenta la protección de datos requerida, también aumenta la cantidad de espacio utilizado por los datos en el clúster.

La sobrecarga de paridad para la protección N + M depende del tamaño del archivo y de la cantidad de nodos en el clúster. El porcentaje de sobrecarga de paridad disminuye a medida que se agranda el clúster.

En la siguiente tabla se describe la cantidad estimada de sobrecarga, según la protección requerida y el tamaño del clúster o el pool de nodos. Esta tabla no muestra los niveles de protección recomendados basados en el tamaño del clúster.

Cantidad de nodos

[+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]

3 2 + 1 (33 %)

4 + 2 (33 %)

— 6 + 3 (33 %)

3 + 3 (50 %) — 8 + 4 (33 %)

— —

4 3 + 1 (25 %)

6 + 2 (25 %)

2 + 2 (50 %)

9 + 3 (25 %)

5 + 3 (38 %) — 12 + 4 (25 %)

4 + 4 (50 %)

—

5 4 + 1 (20 %)

8 + 2 (20 %)

3 + 2 (40 %)

12 + 3 (20 %)

7 + 3 (30 %) — 16 + 4 (20 %)

6 + 4 (40 %)

—

6 5 + 1 (17 %) 10 + 2 (17 %)

4 + 2 (33 %)

15 + 3 (17 %)

9 + 3 (25 %) 3 + 3 (50 %)

16 + 4 (20 %)

8 + 4 (33 %)

—

7 6 + 1 (14 %) 12 + 2 (14 %)

5 + 2 (29 %)

15 + 3 (17 %)

11 + 3 (21 %) 4 + 3 (43 %)

16 + 4 (20 %)

10 + 4 (29 %)

—

8 7 + 1 (13 %) 14 + 2 (12.5 %)

6 + 2 (25 %)

15 + 3 (17 %)

13 + 3 (19 %) 5 + 3 (38 %)

16 + 4 (20 %)

12 + 4 (25 %)

4 + 4 (50 %)

9 8 + 1 (11 %) 16 + 2 (11 %)

7 + 2 (22 %)

15 + 3 (17 %)

15 + 3 (17 %) 6 + 3 (33 %)

16 + 4 (20 %)

14 + 4 (22 %)

5 + 4 (44 %)

10 9 + 1 (10 %) 16 + 2 (11 %)

8 + 2 (20 %)

15 + 3 (17 %)

15 + 3 (17 %) 7 + 3 (30 %)

16 + 4 (20 %)

16 + 4 (20 %)

6 + 4 (40 %)

12 11 + 1 (8 %) 16 + 2 (11 %)

10 + 2 (17 %)

15 + 3 (17 %)

15 + 3 (17 %) 9 + 3 (25 %)

16 + 4 (20 %)

16 + 4 (20 %)

8 + 4 (33 %)

Disposición de datos con FlexProtect 243

Cantidad de nodos

[+1n] [+2d:1n] [+2n] [+3d:1n] [+3d:1n1d] [+3n] [+4d:1n] [+4d:2n] [+4n]

14 13 + 1 (7 %) 16 + 2 (11 %)

12 + 2 (14 %)

15 + 3 (17 %)

15 + 3 (17 %) 11 + 3 (21 %)

16 + 4 (20 %)

16 + 4 (20 %)

10 + 4 (29 %)

16 15 + 1 (6 %) 16 + 2 (11 %)

14 + 2 (13 %)

15 + 3 (17 %)

15 + 3 (17 %) 13 + 3 (19 %)

16 + 4 (20 %)

16 + 4 (20 %)

12 + 4 (25 %)

18 16 + 1 (6 %) 16 + 2 (11 %)

16 + 2 (11 %)

15 + 3 (17 %)

15 + 3 (17 %) 15 + 3 (17 %)

16 + 4 (20 %)

16 + 4 (20 %)

14 + 4 (22 %)

20 16 + 1 (6 %) 16 + 2 (11 %)

16 + 2 (11 %)

16 + 3 (16 %)

16 + 3 (16 %) 16 + 3 (16 %)

16 + 4 (20 %)

16 + 4 (20 %)

16 + 4 (20 %)

30 16 + 1 (6 %) 16 + 2 (11 %)

16 + 2 (11 %)

16 + 3 (16 %)

16 + 3 (16 %) 16 + 3 (16 %)

16 + 4 (20 %)

16 + 4 (20 %)

16 + 4 (20 %)

La sobrecarga de paridad para la protección de datos en espejo no se ve afectada por la cantidad de nodos en el clúster. La siguiente tabla describe la sobrecarga de paridad para la protección en espejo solicitada.

2 veces 3 veces 4 veces 5 veces 6 veces 7 veces 8 veces

50 % 67 % 75 % 80 % 83 % 86 % 88 %




Administración de NDMPEste capítulo contiene los siguientes temas:

Temas:

• Descripción general de la recuperación y del respaldo de tipo NDMP• Respaldo de tipo NDMP bidireccional• Respaldo de tipo NDMP de tres vías• Compatibilidad de las sesiones de tipo NDMP en hardware de sexta generación• Configuración de direcciones IP recomendadas para las operaciones de tipo NDMP de tres vías• Recuperación y respaldo multi-stream de tipo NDMP• Respaldos incrementales basados en instantáneas• Respaldo y restauración de tipo NDMP para archivos SmartLink• Compatibilidad con protocolo NDMP• DMA compatibles• Compatibilidad con hardware NDMP• Limitaciones de respaldo de NDMP• Recomendaciones de rendimiento de NDMP• Exclusión de archivos y directorios de respaldos de tipo NDMP• Configuración de los ajustes básicos de respaldo de tipo NDMP• Administración de cuentas de usuario de NDMP• Administración de dispositivos de respaldo de tipo NDMP• Administración de puertos Fibre Channel de tipo NDMP• Administración de configuraciones de IP recomendadas NDMP• Administrar sesiones NDMP• Administración de respaldos reiniciables de tipo NDMP• Operaciones de restauración de NDMP• Administrar variables de tipo NDMP predeterminadas• Administración de respaldos incrementales basados en snapshots• Administración del rendimiento del clúster para sesiones de tipo NDMP• Administración del uso de CPU para sesiones de tipo NDMP• Ver registros de respaldo de tipo NDMP

Descripción general de la recuperación y del respaldo de tipo NDMPEn OneFS, puede respaldar y recuperar datos del sistema de archivos a través del protocolo de administración de datos de red (NDMP). Desde un servidor de respaldo, puede dirigir los procesos de respaldo y recuperación entre un clúster de Isilon y dispositivos de respaldo, como dispositivos de cinta, servidores de medios y bibliotecas de cintas virtuales (VTL).

A continuación, se describen algunas de las funciones de NDMP:

• NDMP admite modelos de respaldo bidireccionales y de tres vías.• Con ciertas aplicaciones de administración de datos, NDMP es compatible con la extensión reiniciable de respaldo (BRE). La BRE de

NDMP permite reanudar un trabajo de respaldo fallido desde el último punto de control que se capturó antes de que se produjera la falla. El trabajo fallido se reinicia inmediatamente y no se puede programar ni iniciar manualmente.

• No necesita activar una licencia de SnapshotIQ en el clúster para realizar respaldos de tipo NDMP. Si activó una licencia de SnapshotIQ en el clúster, puede generar una instantánea a través de la herramienta SnapshotIQ y luego respaldar la misma instantánea. Si respalda una instantánea SnapshotIQ, OneFS no crea otra instantánea para el respaldo.

• Los dominios WORM se pueden respaldar por medio de NDMP.

19

Administración de NDMP 245

Respaldo de tipo NDMP bidireccionalEl respaldo de tipo NDMP bidireccional también se conoce como el respaldo de tipo NDMP local o directo. Para realizar respaldos de tipo NDMP bidireccionales, debe conectar el clúster Isilon a un nodo acelerador de respaldo, que es sinónimo de un nodo de almacenamiento con conexión Fibre Channel, y conectar un dispositivo de cinta a ese nodo. A continuación, debe utilizar OneFS para detectar el dispositivo de cinta antes de poder realizar respaldos en ese dispositivo.

Puede conectar dispositivos de cinta compatibles directamente con los puertos Fibre Channel de un nodo de almacenamiento con conexión Fibre Channel. De forma alternativa, puede conectar switches Fibre Channel con los puertos Fibre Channel del nodo de almacenamiento con conexión Fibre Channel, y conectar dispositivos de cinta y cambiador de medios con los switches Fibre Channel. Para obtener más información, consulte la documentación de su switch Fibre Channel sobre la zonificación del switch para permitir la comunicación entre el nodo de almacenamiento con conexión Fibre Channel y los dispositivos de cinta y cargador de medios.

Si conecta dispositivos de cinta con un nodo de almacenamiento con conexión Fibre Channel, el clúster detecta los dispositivos al iniciar o reiniciar el nodo o cuando vuelve a escanear los puertos Fibre Channel para descubrir los dispositivos. Si un clúster detecta dispositivos de cinta, este crea una entrada para la ruta a cada dispositivo detectado.

Si conecta un dispositivo a través de un switch Fibre Channel, pueden existir varias rutas para un solo dispositivo. Por ejemplo, si conecta un dispositivo de cinta con un switch Fibre Channel y después conecta el switch Fibre Channel con dos puertos Fibre Channel, OneFS creará dos entradas para el dispositivo, una para cada ruta.

NOTA: Los nodos de sexta generación que se agregan a una red de back-end InfiniBand son compatibles con el

acelerador de respaldo A100 como parte de una solución de respaldo bidireccional de tipo NDMP. El acelerador de

respaldo A100 no es compatible como parte de una solución de respaldo bidireccional de tipo NDMP con un clúster de

sexta generación con un back-end Ethernet.

Respaldo de tipo NDMP de tres víasEl respaldo de tipo NDMP de tres vías también se conoce como respaldo de tipo NDMP remoto.

Durante una operación de respaldo de tipo NDMP de tres vías, una aplicación de administración de datos (DMA) en el servidor de respaldo indica al clúster que inicie el respaldo de los datos en un servidor de medios de cinta que está conectado a la LAN o conectado directamente a la DMA. El servicio NDMP se ejecuta en un servidor NDMP y el servicio de cintas NDMP se ejecuta en un servidor diferente. Ambos servidores están conectados entre sí a través del límite de la red.

Compatibilidad de las sesiones de tipo NDMP en hardware de sexta generaciónPuede habilitar sesiones de NDMP bidireccionales en nodos de sexta generación mediante su configuración con tarjetas Sheba. Una tarjeta Sheba es un adaptador de bus de host (HBA) híbrido Fibre Channel que permite sesiones bidireccionales de tipo NDMP en el puerto Fibre Channel. Para habilitar la compatibilidad con la tarjeta Sheba, debe comunicarse con los servicios profesionales de Isilon.

NOTA: La tarjeta Sheba no es compatible con nodos F810.

Configuración de direcciones IP recomendadas para las operaciones de tipo NDMP de tres víasSi utiliza Avamar como su aplicación de administración de datos (DMA) para una operación de tipo NDMP de tres vías en un ambiente con varias interfaces de red, puede aplicar un ajuste de IP recomendado en todo un clúster Isilon, o a una o varias subredes definidas en OneFS. Una configuración de IP recomendada es una lista de direcciones IP con prioridad a las que un servidor de datos o un servidor de cintas se conecta durante una operación de tres vías de tipo NDMP.

La dirección IP en el servidor NDMP que recibe la solicitud entrante de la DMA determina el alcance y la prioridad para la configuración de la preferencia. Si la dirección IP entrante se encuentra dentro de un alcance de subred que tiene una recomendación, se aplica la configuración recomendada. Si no existe una recomendación de subred específica, pero sí existe una recomendación de todo el clúster, se aplica la configuración recomendada de todo el clúster. La recomendación de subred específica siempre toma precedencia por sobre la de todo el clúster. Si no existen recomendaciones de todo el clúster ni de la subred, las direcciones IP dentro de la subred de la dirección IP que recibe las solicitudes entrantes desde el DMA se utilizan como direcciones IP recomendadas.

Puede tener una configuración de IP recomendada por clúster o por subred.

246 Administración de NDMP

Puede especificar una lista de direcciones IP recomendadas de tipo NDMP a través del comando isi ndmp settings preferred-ips.

Recuperación y respaldo multi-stream de tipo NDMPPuede usar la función de respaldo multi-stream de tipo NDMP, junto con ciertas aplicaciones de administración de datos (DMA), para acelerar los respaldos.

Con el respaldo multi-stream, puede usar su DMA para especificar múltiples flujos de datos para respaldar simultáneamente. OneFS considera que todos los flujos en una operación de respaldo multi-stream específica forman parte del mismo contexto de respaldo. Si una sesión de respaldo multi-stream se realiza correctamente, se elimina el contexto de respaldo multi-stream. Si se produce un error en un flujo específico, el contexto de respaldo se conserva durante cinco minutos después de que finaliza la operación de respaldo y se puede reintentar la secuencia fallida dentro de ese periodo de tiempo.

Si usó la función de respaldo multi-stream de tipo NDMP para respaldar datos en unidades de cinta, también puede recuperar esos datos en múltiples flujos, según la DMA. En OneFS 8.0.0.0 y versiones posteriores, los respaldos multi-stream son compatibles con CommVault Simpana versión 11.0 Service Pack 3 y NetWorker versión 9.0.1. Si respalda datos mediante CommVault Simpana, se crea un contexto multi-stream, pero los datos se recuperan de un flujo a la vez.

NOTA: OneFS Los respaldos de multi-stream no son compatibles con la función de respaldo de NDMP reiniciable.

Respaldos incrementales basados en instantáneasPuede implementar respaldos incrementales basados en instantáneas para aumentar la velocidad a la que se llevan a cabo estos respaldos.

Durante un respaldo incremental basado en instantáneas, OneFS comprueba la instantánea tomada de la operación anterior de respaldo de tipo NDMP y la compara con una instantánea nueva. OneFS respalda todos los archivos que se modificaron desde que se realizó la última instantánea.

Si el respaldo incremental no implica tomar instantáneas, OneFS debe escanear el directorio para descubrir qué archivos se modificaron. OneFS puede ejecutar respaldos incrementales significativamente más rápido si la tasa de cambio es baja.

Puede efectuar respaldos incrementales sin habilitar una licencia de SnapshotIQ en el clúster. Aunque SnapshotIQ ofrece una serie de funciones útiles, no mejora las funcionalidades de instantánea en el respaldo de tipo NDMP ni en la recuperación.

Establezca la variable BACKUP_MODE del ambiente en SNAPSHOT para habilitar los respaldos incrementales basados en instantáneas. Si habilita los respaldos incrementales basados en instantáneas, OneFS conserva cada instantánea tomada para los respaldos de tipo NDMP hasta que se realice un nuevo respaldo del mismo nivel o uno inferior. Sin embargo, si no habilita respaldos incrementales basados en instantáneas, OneFS eliminará automáticamente cada instantánea generada después de que el respaldo correspondiente se complete o se cancele.

NOTA: Un respaldo incremental basado en instantáneas comparte las entradas de dumpdates en la base de datos de

dumpdates junto con los otros respaldos basados en niveles. Por lo tanto, asegúrese de no ejecutar respaldos basados

en instantáneas y respaldos normales basados en niveles en las mismas rutas de respaldo. Por ejemplo, asegúrese de no

ejecutar un respaldo de nivel 0 y un respaldo incremental basado en instantáneas en la misma ruta de respaldo, o

viceversa.

Después de establecer la variable BACKUP_MODE del ambiente, los respaldos incrementales basados en instantáneas funcionan con determinadas aplicaciones de administración de datos (DMA), como se muestra en la siguiente tabla.

Tabla 8. Compatibilidad de DMA con los respaldos incrementales basados en instantáneas

DMA Con DMA integrada

Symantec NetBackup Solo se habilita a través de una variable de ambiente.

Networker Solo se habilita a través de una variable de ambiente.

Avamar Sí

CommVault Simpana Solo se habilita a través de una variable de ambiente basada en clústeres.

Tivoli Storage Manager Solo se habilita a través de una variable de ambiente basada en clústeres.


DMA Con DMA integrada

Symantec Backup Exec Solo se habilita a través de una variable de ambiente basada en clústeres.

NetVault Solo se habilita a través de una variable de ambiente basada en clústeres.

ASG-Time Navigator Solo se habilita a través de una variable de ambiente basada en clústeres.

Respaldo y restauración de tipo NDMP para archivos SmartLinkPuede realizar operaciones de respaldo y restauración de tipo NDMP con datos archivados en la nube.

Las funcionalidades de respaldo y restauración con datos de CloudPools incluyen lo siguiente:

• Archivar documentos SmartLink cuando se respalda desde un clúster• Restaurar datos, incluidos los archivos SmartLink, al mismo clúster• Restaurar datos, incluidos los archivos SmartLink, a otro clúster• Respalde la información de la versión con cada archivo SmartLink y restaure el archivo SmartLink después de verificar la compatibilidad

de la versión en el clúster de destino.

Para especificar cómo se realiza el respaldo y la restauración de los archivos, configure las variables de ambiente de tipo NDMP BACKUP_OPTIONS y RESTORE_OPTIONS. Consulte Administración de NDMP para obtener detalles acerca de la configuración de los ajustes de respaldo y la administración de variables de ambiente de tipo NDMP.

NOTA: Los respaldos DeepCopy y ComboCopy recuperan datos en archivos de la nube. Los datos no se almacenan en

discos. La recuperación de datos en archivos puede generar cargos por parte de los proveedores de nube.

Con el respaldo de tipo NDMP, de manera predeterminada, CloudPools es compatible con el respaldo de archivos SmartLink que contienen metadatos de nube, como la ubicación del objeto. También se respaldan otros detalles, como la información de la versión, la información de cuenta, el estado de la caché local y los datos de la caché sin sincronizar asociados con el archivo SmartLink.

Para evitar la pérdida de datos durante la recuperación de archivos SmartLink con versiones incompatibles, puede usar la opción de respaldo de copia combinada de tipo NDMP para respaldar archivos SmartLink con datos completos. Los datos completos incluyen metadatos y datos de usuario. Puede utilizar la opción de copia combinada de NDMP ajustando la variable de ambiente BACKUP_OPTIONS.

Cuando realice una operación de restauración de tipo NDMP en los archivos SmartLink respaldados mediante la opción de copia combinada, podrá usar una de las opciones de copia combinada, copia superficial o restauración de copia profunda para recuperar archivos SmartLink. Puede especificar estas opciones si ajusta los valores adecuados en la variable de ambiente RESTORE_OPTIONS:

• La opción de restauración de copia combinada restaura archivos SmartLink a partir del flujo de respaldo solo si su versión es compatible con la versión de OneFS en el clúster de destino. Si la versión del archivo SmartLink no es compatible con la versión de OneFS en el clúster de destino, se restaurará un archivo normal.

• La operación de restauración de copia superficial restaura el archivo SmartLink respaldado como un archivo SmartLink en el clúster de destino si la operación de comprobación de versión en el clúster de destino se realizó correctamente.

• La operación de restauración de copia profunda fuerza la recuperación de los archivos SmartLink como archivos normales en el clúster de destino si se produce un error en la operación de comprobación de versión en el clúster de destino.

• Si no especifica ninguna operación de restauración, NDMP restaurará los archivos SmartLink mediante la operación de restauración de copia combinada de manera predeterminada.

• Cuando especifica varias opciones de restauración, la operación de restauración de copia combinada tiene la prioridad más alta seguida de la operación de restauración de copia superficial. La operación de restauración de copia profunda tiene la prioridad más baja.

En la configuración de CloudPools, puede establecer tres períodos de retención que afectan los archivos SmartLink respaldados y sus datos de nube asociados:

• El período de retención de respaldo completo para NDMP comienza cuando se respalda el archivo SmartLink como parte de un respaldo completo. El valor predeterminado es cinco años.

• El período de retención de respaldo incremental para el respaldo de tipo NDMP incremental y SyncIQ comienza cuando se respalda un archivo SmartLink como parte de un respaldo incremental. El valor predeterminado es cinco años.

• El período de retención de datos de nube define el tiempo que los datos en la nube se conservan cuando se elimina su archivo SmartLink relacionado. El valor predeterminado es una semana.


CloudPools garantiza la validez de un archivo SmartLink respaldado dentro del período de retención de datos de nube. Es importante que los períodos de retención se configuren correctamente, para asegurarse de que cuando se restaure el archivo SmartLink desde la cinta, este siga siendo válido. CloudPools no permite la restauración de archivos SmartLink no válidos.

Para comprobar si un archivo SmartLink respaldado aún es válido, CloudPools comprueba los períodos de retención del archivo que se almacenan en cinta. Si el tiempo de retención es superior al tiempo de ejecución de restauración, CloudPools impide que NDMP restaure el archivo SmartLink.

CloudPools también se asegura de que la cuenta en la que se crearon originalmente los archivos SmartLink no se haya eliminado. Si se eliminó, la restauración y el respaldo de tipo NDMP de archivos SmartLink fallará.

Compatibilidad con protocolo NDMPPuede respaldar los datos del clúster Isilon mediante la versión 3 o 4 del protocolo NDMP.

OneFS es compatible con las siguientes funciones de las versiones 3 y 4 de NDMP:

• Respaldos de tipo NDMP completos (nivel 0)• Respaldos de tipo NDMP incrementales (niveles 1-9) e incrementales eternos (nivel 10)

NOTA: En un respaldo de tipo NDMP de nivel 10, solo se copian los datos modificados desde el respaldo incremental

(niveles 1-9) más reciente o el último respaldo de nivel 10. Mediante la repetición de respaldos de nivel 10, puede

asegurarse de tener respaldadas las versiones más recientes de los archivos de su conjunto de datos sin tener que

realizar un respaldo completo.

• Respaldos de tipo NDMP basados en tokens• Respaldo de tipo NDMP mediante TAR• Tipo de respaldo de volcado• Formato del historial de archivos de dir/node y basado en rutas• Restauración de acceso directo (DAR)• DAR de directorio (DDAR)• Inclusión y exclusión de archivos y directorios específicos del respaldo• Respaldo de atributos de archivos• Respaldo de listas de control de acceso (ACL)• Respaldo de flujos de datos alternativos (ADS)• Extensión reiniciable de respaldo (BRE)• Respaldo y restauración de atributos HDFS

OneFS admite la conexión con los clústeres a través de IPv4 o IPv6.

DMA compatiblesLos respaldos de tipo NDMP se coordinan mediante una aplicación de administración de datos (DMA) que se ejecuta en un servidor de respaldo.

NOTA: Todas las DMA compatibles se pueden conectar a un clúster de Isilon mediante el protocolo IPv4. Sin embargo,

solo algunas de las DMA son compatibles con el protocolo IPv6 para conectarse a un clúster Isilon.

Compatibilidad con hardware NDMPOneFS puede respaldar datos en dispositivos de cinta y bibliotecas de cintas virtuales (VTL), así como recuperar datos de ellos.

Dispositivos de cinta compatibles

Para los respaldos de tipo NDMP de tres vías, la aplicación de administración de datos (DMA) determina los dispositivos de cintas compatibles.

Librerías de cintas compatibles

Para los respaldos de tipo NDMP bidireccionales y de tres vías, OneFS es compatible con todas las bibliotecas de cintas compatibles con la DMA.

Librerías de cintas virtuales compatibles

Para los respaldos de tipo NDMP de tres vías, la DMA determina las librerías de cintas virtuales compatibles.


Limitaciones de respaldo de NDMPLos respaldos de tipo NDMP tienen las siguientes limitaciones:

• Es compatible con tamaños de bloque de hasta 512 KB.• No admite una longitud de ruta de archivo superior a 4 KB.• No respalda los datos de configuración del sistema de archivos, como pueden ser las cuotas y las políticas de nivel de protección de

archivos.• No es compatible con la recuperación de datos desde un sistema de archivos que no sea OneFS. Sin embargo, puede migrar datos

mediante el protocolo NDMP desde un sistema de almacenamiento NetApp o Unity a OneFS a través de las herramientas isi_vol_copy. Para obtener más información sobre estas herramientas, consulte la Guía de las herramientas de migración integradas de OneFS.

• Los nodos de almacenamiento con conexión Fibre Channel no pueden interactuar con más de 4096 rutas de cinta.• La longitud máxima de la variable de ambiente FILESYSTEM compatible para una operación de respaldo es 1024.

Recomendaciones de rendimiento de NDMPA la hora de optimizar los respaldos de tipo NDMP de OneFS, tenga en cuenta las siguientes recomendaciones.

Recomendaciones de rendimiento• Instale los parches más recientes para OneFS y su aplicación de administración de datos (DMA).• Ejecute un máximo de ocho sesiones simultáneas de NDMP en cada nodo de almacenamiento con conexión Fibre Channel y cuatro

sesiones simultáneas de NDMP en cada nodo acelerador de respaldo Isilon IQ a fin de obtener un rendimiento óptimo por sesión.• Los respaldos de tipo NDMP generan objetivos de punto de recuperación (RPO) y objetivos de tiempo de recuperación (RTO) muy

altos. Puede reducir los RPO y RTO si conecta uno o más nodos de almacenamiento con conexión Fibre Channel al clúster y, a continuación, ejecuta respaldos de tipo NDMP bidireccionales.

• El rendimiento de un clúster Isilon durante las operaciones de respaldo y recuperación depende del conjunto de datos, y se reduce considerablemente en los archivos pequeños.

• Si respalda una gran cantidad de archivos pequeños, configure un calendario independiente para cada directorio.• Si va a realizar respaldos de tipo NDMP de tres vías, ejecute varias sesiones de NDMP en varios nodos del clúster Isilon.• Recupere archivos mediante Directory DAR (DDAR) si suele recuperar grandes cantidades de archivos.• Para aumentar el rendimiento, utilice el tamaño máximo de grabación en cintas disponible para su versión de OneFS.• Si es posible, no incluya ni excluya archivos del respaldo. La inclusión o exclusión de archivos pueden afectar el rendimiento, debido a la

sobrecarga de filtrado.• Limite la profundidad de los subdirectorios anidados en su sistema de archivos.

Recomendaciones sobre las SmartConnect• Una sesión de respaldo de tipo NDMP bidireccional con SmartConnect requiere nodos de almacenamiento con conexión Fibre Channel

para las operaciones de respaldo y recuperación. Sin embargo, una sesión de NDMP de tres vías con SmartConnect no requiere nodos de almacenamiento con conexión Fibre Channel para estas operaciones.

• Para una sesión de respaldo de tipo NDMP bidireccional con SmartConnect, conéctese a una sesión de NDMP a través de una zona de SmartConnect exclusiva conformada por un pool de tarjetas de interfaz de red (NIC) en los nodos de almacenamiento con conexión Fibre Channel.

• Para una sesión de respaldo de tipo NDMP bidireccional sin SmartConnect, inicie la sesión de respaldo a través de una dirección IP estática o de un nombre de dominio calificado del nodo de almacenamiento con conexión Fibre Channel.

• Para una operación de respaldo de tipo NDMP de tres vías, se usa la red Ethernet de front-end o las interfaces de los nodos para manejar el tráfico de respaldo. Por lo tanto, se recomienda que configure una DMA para iniciar una sesión de NDMP únicamente mediante los nodos que todavía no estén sobrecargados con otras cargas de trabajo o conexiones.

• Para una operación de respaldo de tipo NDMP de tres vías con o sin SmartConnect, inicie la sesión de respaldo mediante las direcciones IP de los nodos que se identificaron para ejecutar las sesiones NDMP.

Recomendaciones sobre el almacenamiento con conexión Fibre Channel• Asigne direcciones IP estáticas a los nodos de almacenamiento con conexión Fibre Channel.


• Conecte más nodos de almacenamiento con conexión Fibre Channel a clústeres más grandes. El número recomendado de nodos con conexión Fibre Channel se enumera en la siguiente tabla.

Tabla 9. Nodos por nodo de almacenamiento con conexión Fibre Channel

Tipo de nodo Cantidad recomendada de nodos por nodo de almacenamiento con conexión Fibre Channel

Serie X 3

Serie NL 3

Serie S 3

Serie HD 3

• Conecte más nodos con conexión Fibre Channel si va a realizar respaldos en más dispositivos de cinta.

Recomendaciones sobre las DMA-specific• Permita un paralelismo para la DMA si admite esta opción. Eso permitirá que OneFS respalde datos en varios dispositivos de cinta al

mismo tiempo.

Exclusión de archivos y directorios de respaldos de tipo NDMPPuede excluir archivos y directorios de las operaciones de respaldo de tipo NDMP especificando las variables de ambiente de NDMP a través de una aplicación de administración de datos (DMA). Si incluye un archivo o directorio, los demás archivos y directorios se excluyen automáticamente de las operaciones de respaldo. Si excluye un archivo o directorio, se respaldan todos los archivos y directorios excepto el excluido.

Puede incluir o excluir archivos y directorios especificando los siguientes patrones de caracteres. Los ejemplos proporcionados en la tabla son válidos solo si la ruta de respaldo es /ifs/data.

Tabla 10. Comodines para archivos y directorios NDMP

Carácter Descripción Ejemplo Incluye o excluye los siguientes directorios

* Ocupa el lugar de cualquier carácter o conjunto de caracteres

Archivado archive1src/archive42_a/media

[] Ocupa el lugar de un rango de letras o números

data_store_[a-f]

data_store_[0-9]

/ifs/data/data_store_a/ifs/data/data_store_c/ifs/data/data_store_8

? Ocupa el lugar de cualquier carácter individual

user_? /ifs/data/user_1/ifs/data/user_2

\ Incluye un espacio en blanco

guía del usuario /ifs/data/user 1

// Ocupa el lugar de una barra diagonal (/)

ifs//data//archive /ifs/data/archive

*** Ocupa el lugar de un asterisco (*)

.. Ignora el patrón si se encuentra al principio de la ruta

../home/john home/john

NOTA: Se requieren comillas (“ ”) para Symantec NetBackup cuando se especifican varios patrones. Los patrones no se

limitan a los directorios.


Los patrones no anclados, como home o user1, se aplican a una cadena de texto que podría pertenecer a muchos archivos o directorios. Si un patrón contiene “/”, es un patrón anclado. Siempre hay coincidencias con un patrón anclado desde el comienzo de una ruta. No hay coincidencias con un patrón en el medio de una ruta. Los patrones anclados se aplican a nombres de ruta de archivos específicos, como ifs/data/home. Es posible incluir o excluir ambos tipos de patrones.

Si especifica los patrones de inclusión y exclusión, primero se procesa el patrón de inclusión y luego el de exclusión.

Si especifica los patrones de inclusión y exclusión, no se respaldará ningún archivo ni directorio excluidos de los directorios incluidos. Si los directorios excluidos no se encuentran en ninguno de los directorios incluidos, la especificación de exclusión quedará sin efecto.

NOTA: La especificación de patrones no anclados puede degradar el rendimiento de respaldo. Siempre que sea posible,

se recomienda evitar los patrones no anclados.

Configuración de los ajustes básicos de respaldo de tipo NDMPEs posible configurar los ajustes de respaldo de tipo NDMP para controlar cómo se realizan estos respaldos en el clúster Isilon. También es posible configurar OneFS para que interactúe con una aplicación de administración de datos (DMA) específica para los respaldos de tipo NDMP.

Configurar y habilitar el respaldo de tipo NDMPOneFS impide los respaldos de tipo NDMP de manera predeterminada. Antes de que pueda ejecutar respaldos de tipo NDMP, debe habilitarlos y configurar los ajustes de NDMP.

1. Habilite el respaldo de tipo NDMP mediante la ejecución del siguiente comando:

isi ndmp settings global modify --service=true

2. Habilite el respaldo de tipo NDMP ejecutando el comando isi ndmp settings set.

El siguiente comando configura OneFS para que interactúe con NetWorker:

isi ndmp settings global modify --dma=emc

Deshabilitar el respaldo de tipo NDMPPuede deshabilitar el respaldo de tipo NDMP si ya no desea respaldar datos mediante NDMP.


isi ndmp settings global modify service=false

Ajustes de respaldo de tipo NDMPPuede configurar los valores que controlan cómo los respaldos de tipo NDMP se ejecutan en el clúster.

La siguiente información se muestra en el resultado del comando isi ndmp settings global view:

puerto El número del puerto mediante el cual las aplicaciones de administración de datos (DMA) se pueden conectar al clúster.

dma El proveedor de DMA con el cual está configurado para interactuar el clúster.

Ver la configuración del respaldo de tipo NDMPPuede ver la configuración actual del respaldo de tipo NDMP, la cual indica si el servicio está habilitado, el puerto a través del cual las aplicaciones de administración de datos (DMA) se conectan al clúster y el proveedor de DMA con el cual OneFS está configurado para interactuar.

• Ejecute el comando isi ndmp settings global view:


El sistema muestra la configuración de NDMP:

Service: True Port: 10000 Dma: generic Bre Max Num Contexts: 64Msb Context Retention Duration: 300Msr Context Retention Duration: 600

Administración de cuentas de usuario de NDMPEs posible crear, eliminar y modificar las contraseñas de cuentas de usuario de NDMP.

Crear una cuenta de usuario de NDMPAntes de que pueda ejecutar respaldos de tipo NDMP, debe crear una cuenta de usuario de NDMP con la cual una aplicación de administración de datos (DMA) puede acceder al clúster.

• Ejecute el comando isi ndmp users create.

El siguiente comando crea una cuenta de usuario de NDMP denominada NDMPuser con la contraseña 1234:

isi ndmp users create --name=NDMPuser --password=1234

Modificar la contraseña de una cuenta de usuario de NDMPPuede modificar la contraseña de una cuenta de usuario de NDMP.

• Ejecute el comando isi ndmp users modify.

El siguiente comando cambia la contraseña del usuario llamado NDMPuser a 5678:

isi ndmp users modify --name=NDMPuser --password=5678

Eliminar una cuenta de usuario de NDMPPuede eliminar una cuenta de usuario de NDMP.

• Ejecute el comando isi ndmp users delete.

El siguiente comando elimina un usuario denominado NDMPuser después de un mensaje de confirmación:

isi ndmp users delete --name=NDMPuser

Ver las cuentas de usuario de NDMPEs posible ver información acerca de las cuentas de usuario de NDMP.

• Ejecute el comando isi ndmp users viewEl siguiente comando muestra información acerca de la cuenta para un usuario denominado NDMPuser:

isi ndmp users view --name=NDMPuser

Administración de dispositivos de respaldo de tipo NDMPCuando se conecta un dispositivo de cintas o cambiador de medios a un nodo de almacenamiento con conexión Fibre Channel, es necesario configurar OneFS para que detecte el dispositivo y establezca una conexión. Una vez establecida la conexión entre el clúster y el dispositivo de respaldo, puede modificar el nombre que asigna el clúster al dispositivo o desconectar el dispositivo del clúster.


En caso de que el dispositivo de biblioteca de cintas virtuales (VTL) tenga varios LUN, debe configurar LUN0 de modo que todos los LUN se detecten correctamente.

Detectar dispositivos de respaldo de tipo NDMPSi conecta dispositivos a un nodo acelerador de respaldo, debe configurar OneFS para que detecte los dispositivos antes de que OneFS pueda respaldar y restaurar datos desde los dispositivos. Puede analizar un nodo específico, un puerto específico o todos los puertos en todos los nodos.

• Ejecute el comando isi tape rescan.

El siguiente comando permite detectar los dispositivos en el nodo 18:

isi tape rescan --node=18

Modificar el nombre de entrada de un dispositivo de respaldo de tipo NDMPEs posible modificar el nombre de entrada de un dispositivo de NDMP.

• Ejecute el comando isi tape modify.

El siguiente comando cambia el nombre de tape003 a tape005:

isi tape modify --name=tape003 --new-name=tape005

Eliminar una entrada de dispositivo para un dispositivo de respaldo de tipo NDMP desconectadoSi quita de forma física un dispositivo NDMP de un clúster, OneFS conserva una entrada de ese dispositivo. Es posible eliminar la entrada correspondiente a un dispositivo retirado. También es posible eliminar la entrada correspondiente a un dispositivo que todavía está físicamente conectado al clúster; esto hace que OneFS se desconecte del dispositivo.

Si elimina la entrada correspondiente a un dispositivo que está conectado al clúster y no desconecta físicamente el dispositivo, OneFS detectará el dispositivo la próxima vez que escanee los puertos. No puede eliminar una entrada de dispositivo cuando se trata de un dispositivo que en ese momento experimenta un respaldo o una restauración.

• El siguiente comando desconecta tape001 del clúster:

isi tape delete --name=tape001

Ver dispositivos de respaldo de tipo NDMPPuede ver información sobre dispositivos convertidores de medios y cinta actualmente conectados al clúster a través de un nodo acelerador de respaldo.

• Ejecute el siguiente comando para enumerar los dispositivos de cinta en el nodo 18:

isi tape list --node=18 --tape

Administración de puertos Fibre Channel de tipo NDMPEs posible administrar los puertos Fibre Channel que conectan dispositivos de cinta y cambiadores de medios con un nodo de almacenamiento con conexión Fibre Channel. También es posible habilitar, deshabilitar o modificar los ajustes de un puerto Fibre Channel de tipo NDMP.


Modificar ajustes de un puerto de respaldo de tipo NDMPEs posible modificar los ajustes de un puerto de respaldo de tipo NDMP.

• Ejecute el comando isi fc settings modify.

El siguiente comando configura el puerto 1 en el nodo 5 para admitir una topología Fibre Channel de punto a punto:

isi fc settings modify --port=5.1 --topology=ptp

Habilitar o deshabilitar un puerto de respaldo de tipo NDMPLos puertos de respaldo de tipo NDMP pueden habilitarse o deshabilitarse.

• Ejecute el comando isi fc settings modify:

El siguiente comando deshabilita el puerto 1 del nodo 5:

isi fc settings modify --port=5.1 --state=disable

El siguiente comando habilita el puerto 1 del nodo 5:

isi fc settings modify --port=5.1 --state=enable

Ver puertos de respaldo de tipo NDMPEs posible ver información acerca de los puertos Fibre Channel de los nodos aceleradores de respaldo conectados al clúster.

• Ejecute el siguiente comando para ver la configuración del puerto Fibre Channel para el puerto 1 del nodo 5:

isi fc settings view --port=5.1

Ajustes de un puerto de respaldo de tipo NDMPOneFS asigna ajustes predeterminados a cada puerto de cada nodo acelerador de respaldo conectado al clúster. Estos ajustes identifican a cada puerto y especifican cómo interactúa el puerto con los dispositivos de respaldo de tipo NDMP.

La siguiente información se muestra en el resultado del comando isi fc settings list:

Puerto El nombre del nodo acelerador de respaldo y el número de puerto.

WWNN El nombre World Wide Node Name (WWNN) del puerto. Este nombre es el mismo para todos los puertos de un nodo determinado.

WWPN El nombre World Wide Port Name (WWPN) del puerto. Este nombre pertenece al puerto de manera única.

Estado Indica si el puerto está habilitado o deshabilitado.

Topología El tipo de topología Fibre Channel con la cual el puerto está configurado para ser compatible.

Tasa La velocidad con la que se envían datos a través del puerto. La velocidad puede establecerse en 1 Gb/s, 2 Gb/s, 4 Gb/s, 8 Gb/s y Auto. La opción 8 Gb/s está disponible únicamente para los nodos A100. Si se elige Auto, OneFS negocia de forma automática con la DMA para determinar la velocidad. Auto es el ajuste recomendado.

Firmware La versión del firmware para los puertos OCS. En el caso de los puertos QLogic, la versión del firmware aparece en blanco.


Administración de configuraciones de IP recomendadas NDMPSi va a realizar operaciones de NDMP de tres vías mediante Avamar en un ambiente con varias interfaces de red, puede crear, modificar, eliminar, enumerar y ver configuraciones de IP recomendadas de NDMP de todo el clúster o específicas de subredes.

Puede administrar los ajustes de IP recomendados de NDMP solo a través de la interfaz de la línea de comandos de OneFS.

Crear una configuración de IP recomendada de NDMPSi va a realizar una operación de respaldo o restauración de tres vías de tipo NDMP usando Avamar, puede crear un ajuste de IP recomendado para una subred o un clúster.

• Puede crear un ajuste de IP recomendado de NDMP con el comando isi ndmp settings preferred-ips create.Por ejemplo, ejecute el siguiente comando para aplicar una configuración de IP NDMP recomendada para un clúster:

isi ndmp settings preferred-ips create cluster groupnet0.subnet0,10gnet.subnet0

Ejecute el comando tal como se muestra en el siguiente ejemplo para aplicar una configuración de IP recomendada para un grupo de subred:

isi ndmp settings preferred-ips create 10gnet.subnet0 10gnet.subnet0,groupnet0.subnet0

Modificar una configuración de IP recomendada de NDMPSi va a realizar una operación de respaldo o restauración de tres vías de tipo NDMP usando Avamar, puede modificar un ajuste de IP recomendado agregando o eliminando un grupo de subred.

• Para modificar el ajuste de IP recomendado de NDMP, ejecute el comando isi ndmp settings preferred-ips modify.Por ejemplo, ejecute los siguientes comandos para modificar la configuración de IP NDMP recomendada para un clúster:

isi ndmp settings preferred-ips modify 10gnet.subnet0 --add-data-subnets 10gnet.subnet0,groupnet0.subnet0

Ejecute el comando tal como aparece en el siguiente ejemplo para modificar la configuración de IP NDMP recomendada para una subred:

isi ndmp settings preferred-ips modify 10gnet.subnet0 --remove-data-subnets groupnet0.subnet0

Ver las configuraciones de IP recomendadas de NDMPSi va a realizar una operación de respaldo o restauración de tres vías de tipo NDMP usando Avamar, puede ver todas las configuraciones de IP recomendadas de NDMP.

• Para ver los ajustes de IP recomendados de NDMP, ejecute el comando isi ndmp settings preferred-ips list.Por ejemplo, ejecute el siguiente comando para ver las configuraciones de IP recomendada de NDMP:

isi ndmp settings preferred-ips list

Ver la configuración de IP NDMP recomendadaSi va a realizar una operación de respaldo o restauración de tres vías de tipo NDMP con Avamar, puede ver los ajustes de IP recomendados para una subred o un clúster.

• Para ver los ajustes de IP recomendados de NDMP, puede ejecutar el comando isi ndmp settings preferred-ips view.Por ejemplo, ejecute el siguiente comando para ver la configuración de IP recomendada NDMP para una subred:

isi ndmp settings preferred-ips view --scope=10gnet.subnet0


Eliminar la configuración de IP recomendada de NDMPSi va a realizar una operación de respaldo o restauración de tres vías de tipo NDMP con Avamar, puede eliminar un ajuste de IP recomendado para una subred o un clúster.

• Para eliminar los ajustes de IP recomendados de NDMP, ejecute el comando isi ndmp settings preferred-ips delete.Por ejemplo, ejecute el siguiente comando para eliminar la configuración de IP recomendada para una subred:

isi ndmp settings preferred-ips delete --scope=10gnet.subnet0

Administrar sesiones NDMPPuede ver el estado de las sesiones NDMP o finalizar una sesión en curso.

Finalizar una sesión de NDMPPara interrumpir una operación de restauración o respaldo de tipo NDMP, debe finalizar una sesión de NDMP.

1. Para recuperar el ID de la sesión de NDMP que desea finalizar, ejecute el comando isi ndmp sessions list.

2. Ejecute el comando isi ndmp sessions delete.El siguiente comando finaliza una sesión de NDMP con un ID de 4.36339 y omite el indicador de confirmación:

isi ndmp sessions delete --session=4.36339 --force

Ver sesiones de NDMPPuede ver información sobre las sesiones de NDMP que existen entre el clúster y las aplicaciones de administración de datos (DMA).

• Ejecute el comando isi ndmp sessions view. El siguiente comando muestra información acerca de la sesión 4.36339.

isi ndmp sessions view --session=4.36339

Información de sesión de NDMPEs posible ver información acerca de las sesiones de NDMP activas.

La siguiente información se muestra en el resultado del comando isi ndmp sessions list:

Sesión Muestra el número de identificación único que OneFS asignó a la sesión.

Datos Especifica el estado actual del servidor de datos.

Administrador de transferencia de datos

Especifica el estado actual del administrador de transferencia de datos.

OP Especifica el tipo de operación (respaldo o restauración) en curso actualmente. Si no hay ninguna operación en curso, este campo estará en blanco. Una operación de respaldo podría incluir los siguientes detalles:

B({M} {F} [L[0-10] | T0 | Ti | S[0-10]] {r | R})

Donde:

[ a ]: a es obligatorio

{ a }: a es opcional

a | b: a o b, pero no al mismo tiempo

M: respaldo multi-stream

F: lista de archivos

L: basado en el nivel


T: basado en tokens

S: modo de instantánea

s: modo de instantánea y un respaldo completo (cuando el directorio raíz es nuevo)

r: respaldo reiniciable

R: respaldo reiniciado

0 a 10: nivel de volcado

Una operación de restauración podría incluir los siguientes detalles:

R ({M|s}[F | D | S]{h})

Donde:

M: restauración multi-stream

s: restauración de un solo hilo de ejecución (cuando RESTORE_OPTIONS = 1)

F: restauración completa

D: DAR

S: restauración selectiva

h: restaurar vínculos permanentes por tabla

Tiempo transcurrido

Especifica el tiempo que transcurrió desde que inició la sesión.

Bytes Moved Especifica la cantidad de datos en bytes que se transfirieron durante la sesión.

Rendimiento Especifica el rendimiento promedio de la sesión durante los últimos cinco minutos.

Operaciones de respaldo y restauración de tipo NDMP.

Estos son algunos ejemplos de sesiones de respaldo de tipo NDMP activas que se indican a través del ajuste OP que se describió anteriormente:

B(T0): Token based full backup B(Ti): Token based incremental backup B(L0): Level based full backup B(L5): Level 5 incremental backup B(S0): Snapshot based full backup B(S3): Snapshot based level 3 backup B(FT0): Token based full filelist backup B(FL4): Level 4 incremental filelist backup B(L0r): Restartable level based full backup B(S4r): Restartable snapshot based level 4 incremental backup B(L7R): Restarted level 7 backup B(FT1R): Restarted token based incremental filelist backup B(ML0): Multi-stream full backup

Estos son algunos ejemplos de sesiones de restauración de tipo NDMP activas que se indican a través del ajuste OP que se describió anteriormente:

R(F): Full restoreR(D): DARR(S): Selective restoreR(MF): Multi-stream full restoreR(sFh): single threaded full restore with restore hardlinks by table option

Administración de respaldos reiniciables de tipo NDMPUn respaldo reiniciable de tipo NDMP, también conocido como una extensión reiniciable de respaldo (BRE), es un respaldo que se puede habilitar en su aplicación de administración de datos (DMA). Si un respaldo reiniciable falla, por ejemplo, debido a una interrupción en la alimentación, puede reiniciarlo desde un punto de comprobación cercano al punto de falla. Por el contrario, cuando un respaldo no


reiniciable falla, debe respaldar todos los datos desde el principio, independientemente de si fueron transferidos durante el proceso de respaldo inicial.

Después de habilitar respaldos reiniciables desde su DMA, puede administrar contextos de respaldo reiniciable desde OneFS. Estos contextos se componen de los datos que OneFS almacena para facilitar respaldos reiniciables. Cada contexto representa un punto de comprobación al cual el proceso de respaldos reiniciables podrá volver en caso de que falle un respaldo. Puede haber solo un contexto de respaldo reiniciable por sesión de respaldo reiniciable. Un contexto reiniciable de respaldo contiene archivos de trabajo en el estado del punto de comprobación más reciente.

Los respaldos reiniciables son compatibles con NetWorker 8.1 y versiones posteriores, y con las DMA CommVault Simpana.

NOTA: El respaldo multi-stream NDMP no es compatible con los respaldos reiniciables.

Configuración de respaldos reiniciables de tipo NDMP para NetWorkerDebe configurar NetWorker para que NDMP habilite respaldos reiniciables y, de forma opcional, defina el intervalo de punto de comprobación.

Si no especifica un intervalo de punto de comprobación, NetWorker usa el intervalo predeterminado de 5 GB.

1. Configure el cliente y la ruta del directorio que desea respaldar como lo haría normalmente.

2. En el cuadro de diálogo Client Properties, habilite los respaldos reiniciables.

a) En la página General, haga clic en la casilla de verificación Checkpoint enabled.b) En la lista desplegable Checkpoint granularity, seleccione File.

3. En el campo Application information, escriba cualquier variable NDMP que desee especificar.El siguiente ajuste variable permite especificar un intervalo de punto de comprobación de 1 GB: CHECKPOINT_INTERVAL_IN_BYTES=1GB

4. Complete la configuración y haga clic en OK en el cuadro de diálogo Client Properties.

5. Inicie el respaldo.

6. Si el respaldo se interrumpe, por ejemplo, debido a una falla en la energía, reinícielo.

a) En la página Monitoring, busque el proceso de respaldo en la lista Groups.b) Haga clic con el botón secundario en el proceso de respaldo y, a continuación, en el menú contextual, haga clic en Restart.

NetWorker automáticamente reinicia el respaldo a partir del último punto de comprobación.

Ver contextos de respaldo reiniciable de tipo NDMPPuede ver los contextos de respaldo reiniciable de tipo NDMP que se hayan configurado.

1. Enumere todos los contextos de respaldo reiniciable a través del siguiente comando:

isi ndmp contexts list --type=bre

2. Para ver información detallada acerca de un contexto de respaldo reiniciable específico, ejecute el comando isi ndmp contexts view.El siguiente comando muestra información detallada acerca de un contexto de respaldo con un ID de 792eeb8a-8784-11e2-aa70-0025904e91a4:

isi ndmp contexts view bre_792eeb8a-8784-11e2-aa70-0025904e91a4

Eliminar un contexto de respaldo de tipo NDMP reiniciableCuando un contexto de respaldo de tipo NDMP reiniciable ya no se necesita, su aplicación de administración de datos (DMA) automáticamente solicita que OneFS elimine el contexto. Puede eliminar manualmente un contexto de respaldo reiniciable antes de que su DMA lo solicite.

NOTA: Le recomendamos no eliminar manualmente los contextos de respaldo reiniciable. Para eliminar manualmente un

contexto de respaldo reiniciable, debe reiniciar el respaldo de tipo NDMP correspondiente desde el principio.

• Ejecute el comando isi ndmp contexts delete.


El siguiente comando elimina un contexto de respaldo reiniciable con un ID de 792eeb8a-8784-11e2-aa70-0025904e91a4:

isi ndmp contexts delete --id=bre_792eeb8a-8784-11e2-aa70-0025904e91a4

Configurar el respaldo reiniciable de tipo NDMPPuede especificar la cantidad de contextos de respaldo reiniciable que OneFS puede conservar a la vez, hasta un máximo de 1024 contextos. El número predeterminado de contextos de respaldo reiniciable es 64.

• Ejecute el comando isi ndmp settings global modify.El siguiente comando establece la cantidad máxima de contextos de respaldo reiniciables en 128:

isi ndmp settings global modify --bre_max_num_contexts=128

Ver ajustes de respaldo reiniciable de tipo NDMPPuede ver el límite actual de los contextos de respaldo reiniciable que OneFS conserva a la vez.


isi ndmp settings global view

Operaciones de restauración de NDMPNDMP admite los siguientes tipos de operaciones de restauración:

• Restauración NDMP paralela (proceso multithread)• Restauración NDMP en serie (proceso con un solo hilo de ejecución)

Operación de restauración NDMP paralelaLa restauración paralela (multithread) permite operaciones de restauración completas o parciales más rápidas, ya que escribe datos al clúster con la misma velocidad con la que se leen desde las cintas. En OneFS, la restauración paralela es el mecanismo predeterminado de restauración.

Puede restaurar varios archivos simultáneamente mediante el mecanismo de restauración paralela.

Operación de restauración en serie de tipo NDMPPara la solución de problemas u otros fines, puede realizar una operación de restauración en serie, que usa menos recursos del sistema. La operación de restauración en serie se ejecuta como un proceso de un solo hilo de ejecución y restaura un archivo a la vez en la ruta especificada.

Especificar una operación de restauración en serie de tipo NDMPPuede usar la variable de ambiente RESTORE_OPTIONS para especificar una operación de restauración en serie (con un solo hilo subproceso).

1. En su aplicación de administración de datos, configure una operación de restauración como lo haría habitualmente.

2. Asegúrese de que la variable del ambiente RESTORE_OPTIONS esté establecida en 1 en su aplicación de administración de datos.Si la variable de ambiente RESTORE_OPTIONS aún no está establecida en 1, especifique el comando isi ndmp settings variables modify en la línea de comandos de OneFS. El siguiente comando especifica la restauración en serie del directorio /ifs/data/projects:

isi ndmp settings variables modify /ifs/data/projects RESTORE_OPTIONS 1


El valor de la opción path debe coincidir con la variable de ambiente FILESYSTEM establecida durante la operación de respaldo. El valor que se especifica para la opción name distingue mayúsculas de minúsculas.

3. Inicie la operación de restauración.

Administrar variables de tipo NDMP predeterminadasEn OneFS, puede administrar las operaciones de restauración y respaldo de tipo NDMP mediante la especificación de las variables del ambiente NDMP predeterminadas. Puede especificar variables de ambiente NDMP para todas las operaciones de respaldo y restauración o para una ruta específica. Si la ruta es "/BACKUP", las variables de ambiente se aplican a todas las operaciones de respaldo. De manera similar, si la ruta se establece como "/RESTORE", las variables de ambiente se aplican a todas las operaciones de restauración.

Puede reemplazar las variables del ambiente NDMP predeterminadas a través de su aplicación de administración de datos (DMA). Para obtener más información sobre cómo especificar las variables del ambiente NDMP mediante su DMA, consulte la documentación relacionada de la DMA.

Especificar la configuración de variables de tipo NDMP predeterminada para una rutaPuede especificar la configuración de variables de tipo NDMP predeterminada para una ruta

1. Abra una conexión de protocolo SSH a cualquier nodo del clúster Isilon e inicie sesión.

2. Establezca las variables NDMP predeterminadas ejecutando el comando isi ndmp settings variables create.Por ejemplo, el siguiente comando permite habilitar los respaldos incrementales basados en instantáneas para /ifs/data/media:

isi ndmp settings variables create /ifs/data/media BACKUP_MODE SNAPSHOT

Modificar la configuración de variables de tipo NDMP predeterminada para una rutaPuede modificar la configuración de variables de tipo NDMP predeterminada para una ruta.


2. Modifique los ajustes de variables NDMP predeterminados ejecutando el comando isi ndmp settings variables modify.

Por ejemplo, el siguiente comando permite configurar el formato del historial de archivos predeterminado en un formato basado en rutas para /ifs/data/media:

isi ndmp settings variables modify /ifs/data/media HIST F

3. Opcional: Para eliminar un ajuste de variables NDMP predeterminado de una ruta, ejecute el comando isi ndmp settings variables delete:

Por ejemplo, el siguiente comando permite eliminar el formato predeterminado del historial de archivos para /ifs/data/media:

isi ndmp settings variables delete /ifs/data/media --name=HIST

NOTA: Si no especifica la opción --name, todas las variables para la ruta especificada se eliminarán después de una

confirmación.

Ver los ajustes de NDMP predeterminados para una rutaPuede ver los ajustes predeterminados de NDMP para una ruta.



2. Para ver los ajustes de NDMP predeterminados, ejecute el siguiente comando:

isi ndmp settings variables list

Variables de ambiente NDMPPuede especificar la configuración predeterminada de las operaciones de recuperación y respaldo de tipo NDMP mediante las variables del ambiente NDMP. Además, puede especificar estas variables a través de su aplicación de administración de datos (DMA).

Symantec NetBackup y NetWorker son las únicas DMA que le permiten establecer directamente las variables del ambiente y propagarlas a OneFS.

Tabla 11. Variables de ambiente NDMP

Variable de ambiente Valores válidos Opción predeterminada

Descripción

BACKUP_FILE_LIST <file-path> Ninguno Activa un respaldo de la lista de archivos.

Actualmente, solo NetWorker y Symantec NetBackup pueden transferir variables del ambiente a OneFS.

BACKUP_MODE TIMESTAMP

SNAPSHOT

TIMESTAMP Habilita o deshabilita los respaldos incrementales basados en instantáneas. Para habilitar respaldos incrementales basados en instantáneas, especifique SNAPSHOT.

BACKUP_OPTIONS 0x00000400

0x00000200

0x00000100

0x00000001

0x00000002

0x00000004

0 Esta variable de ambiente controla el comportamiento de las operaciones de respaldo.

Los siguientes ajustes se aplican solo a los conjuntos de datos que contienen los archivos SmartLink controlados por CloudPools:

0x00000400 Respalda los archivos SmartLink con datos completos. Esta es la opción de respaldo de copia combinada.

0x00000200 Respalda todos los datos de caché. Esta es la opción de respaldo de copia superficial.

0x00000100 Lee datos en archivos SmartLink desde la nube y respalda los archivos SmartLink como archivos normales. Esta es la opción de copia profunda.



Descripción

0x00000001 Siempre agrega DUMP_DATE a la lista de variables de ambiente al final de una operación de respaldo. El valor DUMP_DATE es la hora en la que se capturó la instantánea de respaldo. Una DMA puede usar el valor DUMP_DATE para establecer la BASE_DATE de la siguiente operación de respaldo.

0x00000002 Conserva la instantánea de respaldo de un respaldo basado en tokens en el archivo dumpdates. Como una copia de seguridad basada en tokens no tiene un valor de LEVEL, su nivel predeterminado es 10. La instantánea permite realizar un respaldo incremental más rápido cuando se realice el siguiente respaldo incremental después de realizar el respaldo basado en tokens.

0x00000004 Conserva la instantánea anterior. Después de un respaldo incremental más rápido, la instantánea anterior se guarda en el nivel 10. Para evitar tener dos instantáneas en el mismo nivel, la instantánea anterior se mantiene en un



Descripción

nivel inferior en el archivo dumpdates. Esto permite que los ajustes BASE_DATE y BACKUP_MODE=snapshot desencadenen un respaldo incremental más rápido en lugar de un respaldo basado en tokens. Los ajustes de variables de ambiente hacen que el servidor NDMP compare el valor BASE_DATE con la hora de registro del archivo dumpdates para buscar el respaldo anterior. Aunque el DMA no cuente con el respaldo incremental más rápido más reciente, OneFS conserva la instantánea anterior. El DMA puede volver a intentar el respaldo incremental más rápido en el siguiente ciclo de respaldo utilizando el valor BASE_DATE del respaldo anterior.

BASE_DATE Permite realizar un respaldo incremental basado en tokens. En este caso, el archivo dumpdates no se actualizará.

DIRECT Y

N

N Habilita o deshabilita Direct Access Restore (DAR) y el directorio DAR (DDAR). Los siguientes valores son válidos:

Y Habilita DAR y DDAR.

N Deshabilita DAR y DDAR.

EXCLUDE <file-matching-pattern> Ninguno Si especifica esta opción, OneFS no respaldará archivos y directorios que respeten el patrón especificado. Separe varios patrones con un espacio.

FILES <file-matching-pattern> Ninguno Si especifica esta opción, OneFS respaldará solamente archivos y directorios que respeten el patrón especificado. Separe varios patrones con un espacio.

NOTA: Como regla, los archivos se asocian primero y, a continuación, se aplica el patrón EXCLUDE.

HIST <file-history-format> Y Especifica el formato del historial de archivos.

Los siguientes valores son válidos:



Descripción

D Especifica el historial de archivos de directorios o nodos.

F Especifica el historial de archivos basado en rutas.

Y Especifica el formato del historial de archivos predeterminado que definió su configuración de respaldo de tipo NDMP.

N Deshabilita el historial de archivos.

LEVEL <integer> 0 Especifica el nivel del respaldo de tipo NDMP que se ejecutará. Los siguientes valores son válidos:

0 Ejecuta un respaldo de tipo NDMP completo.

1 - 9 Ejecuta un respaldo incremental en el nivel especificado.

10 Realiza respaldos incrementales eternos.

MSB_RETENTION_PERIOD Entero 300 s Para una sesión de respaldo multi-stream, especifica el período de retención del contexto de respaldo.

MSR_RETENTION_PERIOD De 0 a 60*60*24 600 s Para una sesión de restauración multi-stream, especifica el período de retención del contexto de recuperación dentro del cual se puede volver a intentar una sesión de recuperación.

RECURSIVE Y

N

Y Solo para sesiones de restauración. Especifica que la sesión de restauración debe recuperar archivos o subdirectorios en un directorio automáticamente.

RESTORE_BIRTHTIME Y

N

N Especifica si se debe recuperar el tiempo de creación de una sesión de recuperación.

RESTORE_HARDLINK _BY_TABLE Y

N

N Para una sesión de restauración de un solo subproceso, determina si OneFS recupera enlaces físicos mediante la



Descripción

creación de una tabla de enlaces físicos durante las operaciones de recuperación. Especifique esta opción si los vínculos físicos se respaldaron de forma incorrecta y las operaciones de recuperación están fallando.

Si una operación de recuperación falla debido al respaldo incorrecto de los vínculos físicos, aparecerá el siguiente mensaje en los registros de respaldo de tipo NDMP:

Bad hardlink path for <path>NOTA: Esta variable no es eficaz para una operación de restauración paralela.

RESTORE_OPTIONS 0x00000001

0x00000002

0x00000004

0x00000100

0x00000200

0 Esta variable de ambiente controla el comportamiento de las operaciones de restauración.

0x00000001 Realiza una operación de restauración de un solo subproceso.

0x00000002 Restaura atributos en los directorios existentes.

0x00000004 Crea directorios intermedios con atributos predeterminados. El comportamiento predeterminado es obtener atributos del primer objeto en un directorio determinado.

Los siguientes ajustes se aplican solo a los conjuntos de datos que se respaldan con la opción de respaldo de copia combinada:

0x00000100 Fuerza la restauración de copia profunda de los archivos SmartLink. Es decir, restaura el archivo SmartLink respaldado como un archivo normal en el



Descripción

clúster de destino.

0x00000200 Fuerza la restauración de copia superficial de los archivos SmartLink. Es decir, restaura el archivo SmartLink respaldado como un archivo SmartLink en el clúster de destino.

UPDATE Y

N

Y Determina si OneFS actualiza el archivo dumpdates. La acción predeterminada es realizar una restauración de copia combinada.

Y OneFS actualiza el archivo dumpdates.

N OneFS no actualiza el archivo dumpdates.

Configuración de variables de ambiente para las operaciones de respaldo y restauraciónPuede establecer variables de ambiente para admitir las operaciones de respaldo y restauración de su sesión NDMP.

Puede establecer variables de ambiente a través de una aplicación de administración de datos (DMA) o de la interfaz de la línea de comandos. Como alternativa, puede establecer variables de ambiente globales. La prioridad para aplicar sus opciones en una operación de respaldo o restauración es la siguiente:

• Las variables de ambiente especificadas a través de una DMA tienen la prioridad más alta.• Las variables del ambiente específicas de la ruta que se indican en isi ndmp settings variables tienen el siguiente nivel de

prioridad.• Los ajustes de variables de ambiente globales de "/BACKUP" o "/RESTORE" tienen la prioridad más baja.

Puede establecer variables de ambiente para admitir diferentes tipos de operaciones de respaldo, tal como se describe en los siguientes escenarios:

• Si la variable de ambiente BASE_DATE se establece en cualquier valor y si establece la variable de ambiente BACKUP_MODE en SNAPSHOT, la variable de ambiente LEVEL se establece automáticamente en 10 y se realiza un respaldo eterno incremental.

• Si la variable de ambiente BASE_DATE se establece en 0, se realiza un respaldo completo.• Si la variable de ambiente BACKUP_MODE se establece en snapshot y la variable de ambiente BASE_DATE no se configura en 0, las

entradas del archivo dumpdates se leen y comparan con la variable de ambiente BASE_DATE. Si se encuentran una entrada y una instantánea anterior válida, se realiza un respaldo incremental con mayor rapidez.

• Si la variable de ambiente BACKUP_MODE se establece en snapshot, la variable de ambiente BASE_DATE no es 0, no hay entradas en el archivo dumpdates y no se encuentran instantáneas válidas anteriores, se realiza un respaldo basado en token utilizando el valor de la variable de ambiente BASE_DATE.

• Si se establece la variable de ambiente BASE_DATE, la variable de ambiente BACKUP_OPTIONS se establece en 0x0001 de forma predeterminada.


• Si la variable de ambiente BACKUP_MODE se establece en snapshot, la variable de ambiente BACKUP_OPTIONS se establece en 0x0002 de forma predeterminada.

• Si la variable de ambiente BACKUP_OPTIONS se establece en 0x0004 , la instantánea se guarda y se mantiene en la aplicación que se utiliza para el proceso de respaldo.

• A fin de ejecutar un respaldo eterno incremental con respaldos incrementales más rápidos, es necesario establecer las siguientes variables de ambiente:

• BASE_DATE=<time>• BACKUP_MODE=snapshot• BACKUP_OPTIONS=7

Administración de respaldos incrementales basados en snapshotsDespués de habilitar respaldos incrementales basados en snapshots, puede ver y eliminar los snapshots creados para estos respaldos.

Habilitar respaldos incrementales basados en instantáneas para un directorioDe forma predeterminada, puede configurar OneFS para que ejecute respaldos incrementales basados en instantáneas para un directorio. También puede reemplazar la configuración predeterminada en su aplicación de administración de datos (DMA).

• Ejecute el comando isi ndmp settings variable create.

El siguiente comando habilita los respaldos incrementales basados en instantáneas para /ifs/data/media:

isi ndmp settings variables create /ifs/data/media BACKUP_MODE SNAPSHOT

Eliminar snapshots para respaldos incrementales basados en snapshotsPuede eliminar snapshots creados para respaldos incrementales basados en snapshots.

NOTA: Se recomienda no eliminar snapshots creados para respaldos incrementales basados en snapshots. Si se eliminan

todas las instantáneas de una ruta, el siguiente respaldo ejecutado para esa ruta será un respaldo completo.

1. Haga clic en Data Protection > NDMP > Environment Settings.

2. En la tabla Dumpdates, haga clic en Delete junto a la entrada que desea eliminar.

3. En el cuadro de diálogo Confirm Delete, haga clic en Delete.

Ver snapshots para respaldos incrementales basados en snapshotsPuede ver snapshots generados para respaldos incrementales basados en snapshots.

1. Haga clic en Data Protection > NDMP > Environment Settings.

2. En la tabla Dumpdates, puede ver la información sobre los respaldos incrementales basados en instantáneas.

Administración del rendimiento del clúster para sesiones de tipo NDMPEl redirector de NDMP distribuye cargas de tipo NDMP automáticamente a través de los nodos con la tarjeta de interfaz de red (NIC) Sheba. Puede habilitar el redirector de NDMP para distribuir automáticamente las sesiones bidireccionales de tipo NDMP a los nodos con cargas más bajas. El redirector de NDMP comprueba el uso de la CPU, la cantidad de operaciones de NDMP que ya están en ejecución y la


disponibilidad de los dispositivos de cinta para la operación en cada nodo antes de redirigir la operación de NDMP. La funcionalidad de distribución de carga da como resultado un mejor rendimiento del clúster cuando se inician varias operaciones de NDMP.

Habilitación del redirector de NDMP para gestionar el rendimiento del clústerDebe habilitar el redirector de NDMP para distribuir automáticamente las sesiones bidireccionales de tipo NDMP a los nodos con cargas más bajas.

Asegúrese de que el clúster esté confirmado antes de habilitar el redirector de NDMP.

1. Ejecute el siguiente comando a través de la interfaz de línea de comandos para habilitar el redirector de NDMP:

isi ndmp settings global modify --enable-redirector true

2. Para ver el cambio de ajuste, ejecute el siguiente comando:

isi ndmp settings global modify

Este es un ejemplo de la salida del comando anterior:

Service: False Port: 10000 DMA: generic Bre Max Num Contexts: 64 Context Retention Duration: 300 Smartlink File Open Timeout: 10 Enable Redirector: True

Administración del uso de CPU para sesiones de tipo NDMPEl regulador de NDMP administra el uso de la CPU durante las sesiones bidireccionales de tipo NDMP en los nodos de sexta generación. Después de esto, los nodos se encuentran disponibles para admitir adecuadamente otras actividades del sistema.

Habilitación del regulador de NDMPDebe habilitar el regulador de NDMP para administrar el uso de CPU de las sesiones de NDMP en los nodos de sexta generación.

1. Ejecute el siguiente comando a través de la interfaz de línea de comandos para habilitar el regulador de NDMP:

isi ndmp settings global modify --enable-throttler true

2. Para ver el cambio de ajuste, ejecute el siguiente comando:

isi ndmp settings global modify

Este es un ejemplo de la salida del comando anterior:

Service: False Port: 10000 DMA: generic Bre Max Num Contexts: 64 Context Retention Duration: 600 Smartlink File Open Timeout: 10 Enable Throttler: TrueThrottler CPU Threshold: 50

3. Si es necesario, cambie el umbral de CPU del regulador, como se muestra en el siguiente ejemplo:

isi ndmp settings global modify –throttler-cpu-threshold 80


Ver registros de respaldo de tipo NDMPEs posible ver información acerca de las operaciones de restauración y respaldo de tipo NDMP mediante los registros de respaldo de tipo NDMP.

Para ver los contenidos del directorio /var/log/isi_ndmp_d, ejecute el siguiente comando:

more /var/log/isi_ndmp_d


Retención de archivos con SmartLockEsta sección contiene los siguientes temas:

Temas:

• Descripción general de SmartLock• Modo de cumplimiento de normas• Modo empresarial• Directorios de SmartLock• Replicación y respaldo con SmartLock• Funcionalidad de licencia de SmartLock• Consideraciones de SmartLock• Eliminación de dominios y directorios WORM• Establecer el reloj de cumplimiento de normas• Ver el reloj de cumplimiento de normas• Creación de un directorio de SmartLock• Administración de directorios SmartLock• Administración de archivos en directorios de SmartLock

Descripción general de SmartLockCon el módulo de software SmartLock, puede proteger los archivos de un clúster Isilon para impedir que se modifiquen, sobrescriban o eliminen. Para proteger los archivos de esta manera, se debe activar una licencia de SmartLock.

Con SmartLock, es posible identificar un directorio en OneFS como un dominio WORM. WORM significa Write Once, Read Many, lo cual implica que los archivos admiten una sola operación de escritura y múltiples operaciones de lectura. Todos los archivos dentro del dominio WORM pueden asignarse a un estado WORM, lo que significa que esos archivos no se pueden sobrescribir, modificar ni eliminar.

El archivo se puede eliminar después de liberarlo del estado WORM. Sin embargo, no podrá modificar un archivo que se haya confirmado en un estado WORM, incluso después de haberlo liberado de ese estado.

En OneFS, SmartLock puede implementarse en uno de estos dos modos: modo de cumplimiento de normas o modo empresarial.

Modo de cumplimiento de normasEl modo SmartLock Compliance le permite proteger sus datos en cumplimiento de las normas definidas por la regla 17a-4 de la Comisión de Bolsa y Valores de Estados Unidos. Esta normativa, destinada a los agentes y corredores bursátiles, especifica que los registros de todas las transacciones de la bolsa deben archivarse sin que sea posible sobrescribirlas ni borrarlas.

NOTA: Un clúster Isilon se puede configurar para el modo de cumplimiento de normas de SmartLock únicamente durante

el proceso de configuración inicial del clúster, antes de activar una licencia de SmartLock. No se puede convertir un

clúster al modo de cumplimiento de normas de SmartLock después de configurar y poner en producción el clúster.

Si configura un clúster para el modo de cumplimiento de normas de SmartLock, el usuario raíz estará deshabilitado y no podrá iniciar sesión en ese clúster mediante la cuenta de usuario raíz. En lugar de ello, puede iniciar sesión en el clúster con la cuenta de administrador de cumplimiento de normas que se establece durante la configuración inicial del modo de cumplimiento de normas de SmartLock.

Tras iniciar sesión con la cuenta de administrador de cumplimiento de normas en el clúster en el modo de cumplimiento de normas de SmartLock, puede realizar tareas administrativas con el comando sudo.

Modo empresarialPuede crear dominios de SmartLock y aplicar el estado WORM a los archivos mediante la activación de una licencia de SmartLock en un clúster en la configuración estándar. Esto se conoce como el modo empresarial de SmartLock.

20

Retención de archivos con SmartLock 271

El modo empresarial de SmartLock no cumple con las normativas de la SEC, pero permite crear directorios de SmartLock y aplicar controles de SmartLock para proteger los archivos, de modo que no se puedan sobrescribir ni borrar. Además, la cuenta de usuario raíz permanece en su sistema.

Directorios de SmartLockEn un directorio de SmartLock, puede confirmar un archivo en un estado WORM manualmente o configurar SmartLock para que confirme el archivo automáticamente. Antes de poder crear directorios de SmartLock, debe activar una licencia de SmartLock en el clúster.

Puede crear dos tipos de directorios de SmartLock: empresarial y de cumplimiento de normas. Sin embargo, puede crear directorios de cumplimiento de normas únicamente si el clúster Isilon se configuró en el modo de cumplimiento de normas de SmartLock durante la configuración inicial.

Los directorios empresariales permiten proteger los datos sin que el clúster deba cumplir con las normativas definidas en la regla 17a-4 de la Comisión de Bolsa y Valores de Estados Unidos. Si confirma un archivo en un estado WORM dentro un directorio empresarial, el archivo no se podrá modificar ni eliminar hasta que pase el período de retención.

Sin embargo, si posee un archivo y recibió el privilegio ISI_PRIV_IFS_WORM_DELETE, o si inició sesión con la cuenta de usuario raíz, puede eliminar el archivo mediante la funcionalidad de eliminación antes de que finalice el período de retención. La función de eliminación con privilegios no está disponible para los directorios de cumplimiento de normas. Los directorios empresariales hacen referencia al reloj del sistema para facilitar las operaciones dependientes del tiempo, incluida la retención de archivos.

Los directorios de cumplimiento de normas permiten proteger los datos en cumplimiento de las normativas definidas por la regla 17a-4 de la Comisión de Bolsa y Valores de Estados Unidos. Si confirma un archivo en un estado WORM dentro un directorio de cumplimiento de normas, el archivo no se podrá modificar ni eliminar hasta que pase el período de retención especificado. No se pueden eliminar los archivos confirmados, aun si inició sesión en la cuenta de administrador de cumplimiento de normas. Los directorios de cumplimiento de normas hacen referencia al reloj de cumplimiento de normas para facilitar las operaciones dependientes del tiempo, como la retención de archivos.

Debe configurar el reloj de cumplimiento de normas antes de crear los directorios de cumplimiento de normas. Después de configurar el reloj de cumplimiento de normas por primera vez, la hora no puede modificarse. El tiempo de retención de los archivos confirmados en WORM puede aumentarse en forma individual, si así lo desea, pero no se puede reducir.

El demonio de reloj de cumplimiento de normas controla el reloj. Los usuarios raíz y administrador de cumplimiento de normas pueden deshabilitar el demonio del reloj de cumplimiento de normas, lo cual aumentaría el período de retención para todos los archivos confirmados en estado WORM. Sin embargo, no se recomienda hacer esto.

NOTA: Mediante el uso de las exclusiones WORM, los archivos que se encuentran dentro de un dominio empresarial o de

cumplimiento de normas WORM se pueden excluir para que no tengan un estado WORM. Todos los archivos dentro del

directorio excluido se comportarán como archivos normales no protegidos con Smartlock. Para obtener más

información, consulte Creación de un directorio de SmartLock.

Replicación y respaldo con SmartLockOneFS permite que los directorios empresariales y de cumplimiento de normas de SmartLock se repliquen o respalden en un clúster de destino.

Si está replicando directorios de SmartLock con SyncIQ, se recomienda que configure todos los nodos de los clústeres de origen y de destino en el modo par de NTP para asegurarse de que los relojes de los nodos estén sincronizados. En el caso de los clústeres de cumplimiento de normas, se recomienda que configure todos los nodos de los clústeres de origen y de destino en el modo par de NTP antes de configurar los relojes de cumplimiento de normas. De esta manera, los clústeres de origen y de destino se establecen inicialmente con la misma hora, lo cual ayuda a garantizar el cumplimiento de la regla 17a-4 de la Comisión de Bolsa y Valores de Estados Unidos.

NOTA: Si replica los datos a un directorio SmartLock, no configure los ajustes de SmartLock de ese directorio hasta que

deje de replicar datos en él. La configuración de un período de tiempo de confirmación automática de un directorio de

SmartLock de destino, por ejemplo, puede hacer que fallen los trabajos de replicación. Si el directorio de destino

confirma un archivo en un estado WORM y luego este se modifica en el clúster de origen, el siguiente trabajo de

replicación fallará, ya que no podrá sobrescribir el archivo confirmado.

Si respalda datos en un dispositivo NDMP, todos los metadatos de SmartLock relacionados con la fecha de retención y el estado de confirmación se transfieren al dispositivo NDMP. Si recupera datos en un directorio de SmartLock del clúster, los metadatos seguirán estando en el clúster. Sin embargo, si el directorio donde recupera los datos no es un directorio de SmartLock, se pierden los metadatos. Puede recuperar datos en un directorio de SmartLock únicamente si este se encuentra vacío.

Para obtener información sobre las limitaciones de la replicación y de la conmutación por recuperación de los directorios de SmartLock con SyncIQ, consulte Limitaciones de la replicación de SmartLock.

272 Retención de archivos con SmartLock

Funcionalidad de licencia de SmartLockDebe activar una licencia de SmartLock en un clúster Isilon antes de poder crear directorios de SmartLock y confirmar archivos en un estado WORM.

Si una licencia de SmartLock se vuelve inactiva, no podrá crear nuevos directorios de SmartLock en el clúster, modificar los ajustes de configuración del directorio de SmartLock ni eliminar archivos que se hayan confirmado en un estado WORM en los directorios empresariales antes de las fechas de vencimiento. Sin embargo, aún puede confirmar los archivos de los directorios de SmartLock existentes en un estado WORM.

Si una licencia de SmartLock se vuelve inactiva en un clúster que se ejecuta en el modo de cumplimiento de normas de SmartLock, no se restaurará el acceso raíz al clúster.

Consideraciones de SmartLock• Si un archivo es propiedad exclusiva de un usuario raíz y se encuentra en un clúster Isilon que está en el modo de cumplimiento de

normas de SmartLock, no se podrá acceder a ese archivo, ya que la cuenta de usuario raíz está deshabilitada en el modo de cumplimiento de normas. Por ejemplo, esto puede suceder si a un archivo se le asigna propiedad de raíz en un clúster que no se ha configurado en el modo de cumplimiento de normas, y luego el archivo se replica en un clúster en el modo de cumplimiento de normas. Esto también puede ocurrir si se restaura un archivo con propiedad de raíz en un clúster de cumplimiento de normas desde una copia de respaldo.

• Se recomienda que cree archivos fuera de los directorios de SmartLock y que luego los transfiera a un directorio de SmartLock después de que haya terminado de trabajar con ellos. Si se encuentra cargando archivos a un clúster, se recomienda que los cargue a un directorio que no sea de SmartLock y que luego los transfiera a un directorio de SmartLock. Si se confirma un archivo en un estado WORM mientras se carga, ese archivo queda atrapado en un estado incoherente.

• Los archivos puede asignarse a un estado WORM mientras estén abiertos. Si se especifica un tiempo de asignación automatizada en un directorio, el período de asignación automatizada se calcula sobre la base del tiempo transcurrido desde la última vez que se modificó el archivo, no desde la última vez que se cerró el archivo. Si se retrasa la escritura a un archivo abierto por un plazo superior al período de confirmación automática, se confirma automáticamente en un estado WORM y ya no se puede escribir en el archivo.

• En un ambiente de Microsoft Windows, si se asigna un archivo a un estado WORM, ya no será posible modificar los atributos Oculto u Archivo. Cualquier intento de modificar los atributos Oculto o Archivo de un archivo asignado a un estado WORM genera un error. Esto puede impedir que aplicaciones de terceros modifiquen los atributos Oculto o Archivo.

• No puede cambiar el nombre de un directorio de cumplimiento de normas de SmartLock. Puede cambiar el nombre de un directorio empresarial de SmartLock solo si está vacío.

• Puede cambiar el nombre de los archivos en los directorios empresariales o de cumplimiento de normas de SmartLock solo si los archivos no están confirmados.

• No puede mover:

• Directorios de SmartLock dentro de un dominio WORM• Directorios de SmartLock en un dominio WORM a un directorio en un dominio que no es WORM.• Directorios en un dominio que no es WORM a un directorio de SmartLock en un dominio WORM.

Eliminación de dominios y directorios WORMPuede configurar un atributo en un dominio WORM mediante la CLI a fin de poder eliminar los directorios y los archivos del dominio, y el dominio mismo. Esto es útil en el caso de que haya creado un dominio WORM que no es necesario, que exista un directorio SmartLock con denominación incorrecta o que haya creado un directorio SmartLock en la ubicación incorrecta.

Para eliminar los directorios SmartLock y el dominio WORM correspondiente, debe configurar la marca de eliminación pendiente en el dominio con el comando de la CLI isi worm domain modify <domain> --set-pending-delete. Para obtener más información, consulte Eliminación de un directorio de SmartLock.

NOTA: No puede establecer la marca de eliminación pendiente en la interfaz de usuario web.

Realice lo siguiente cuando un dominio WORM esté marcado como pendiente de eliminación:

• No se pueden crear, modificar ni vincular de forma física los archivos nuevos en el dominio.• Los archivos existentes no se pueden confirmar y no se pueden extender sus fechas de retención.• SyncIQ no podrá sincronizarse desde y hasta el dominio.


El dominio WORM de cumplimiento de normas está marcado como pendiente de eliminación

El dominio WORM de cumplimiento de normas no está marcado como pendiente de eliminación

¿Desea eliminar un archivo permitido?

Sí, si el archivo no está confirmado o está vencido Sí, si el archivo no está confirmado o está vencido

¿Desea eliminar un directorio permitido?

Sí, si no contiene archivos confirmados y no vencidos

Sí, si no contiene archivos confirmados y no vencidos

¿Desea cambiar el nombre de un archivo permitido?

Sí, si no está confirmado Sí, si no está confirmado

¿Desea cambiar el nombre de un directorio permitido?

No No

¿Desea crear un archivo nuevo permitido?

No Sí

Establecer el reloj de cumplimiento de normasAntes de crear directorios de cumplimiento de normas de SmartLock, es necesario establecer el reloj de cumplimiento de normas.

El establecimiento del reloj de cumplimiento de normas configura el reloj para que tenga la misma hora que el reloj del sistema del clúster. Antes de establecer el reloj de cumplimiento de normas, asegúrese de que el reloj del sistema tenga la hora correcta. Si más adelante el reloj de cumplimiento de normas deja de estar sincronizado con el reloj del sistema, se corregirá lentamente para coincidir con este último. El reloj de cumplimiento de normas se corrige a una velocidad de aproximadamente una semana por año.

1. Abra una conexión Secure Shell (SSH) en cualquier nodo del clúster e inicie sesión con la cuenta de administrador de cumplimiento de normas.

2. Establezca el reloj de cumplimiento de normas ejecutando el siguiente comando:

isi worm cdate set

Ver el reloj de cumplimiento de normasPuede ver la hora actual en el reloj de cumplimiento de normas.

1. Abra una conexión Secure Shell (SSH) en cualquier nodo del clúster e inicie sesión con la cuenta de administrador de cumplimiento de normas.

2. Para ver el reloj de cumplimiento de normas, ejecute el siguiente comando:

isi worm cdate view

Creación de un directorio de SmartLockPuede crear un directorio de SmartLock y establecer los ajustes de configuración que controlan cuánto tiempo se conservan los archivos en un estado WORM y cuándo se confirman automáticamente en un estado WORM. No puede mover ni cambiar el nombre de un directorio que contenga un directorio de SmartLock.

Periodos de retenciónUn período de retención es la cantidad de tiempo que un archivo permanece en un estado WORM antes de abandonar ese estado. Puede configurar los ajustes del directorio de SmartLock para aplicar períodos de retención predeterminados, máximos y mínimos correspondientes al directorio.

Si confirma un archivo manualmente, puede especificar de manera opcional la fecha en la que este abandonará el estado WORM. Puede configurar un período de retención mínimo y uno máximo para un directorio de SmartLock a fin de evitar que los archivos se conserven por un plazo demasiado largo o demasiado corto. Se recomienda especificar un período mínimo de retención para todos los directorios de SmartLock.


Por ejemplo, digamos que tiene un directorio de SmartLock con un período de retención mínimo de dos días. El lunes a las 13:00 h confirma un archivo en un estado WORM y especifica que debe abandonar dicho estado el martes a las 15:00 h. El archivo abandonará el estado WORM dos días después, el miércoles a las 13:00 h, ya que retirarlo antes implicaría una infracción del período mínimo de retención.

También puede configurar un período de retención predeterminado que se asigna cuando confirma un archivo sin especificar la fecha en que este abandonará el estado WORM.

Períodos de tiempo de confirmación automáticaPuede configurar un período de tiempo de confirmación automática para los directorios de SmartLock. Un período de tiempo de confirmación automática provoca la confirmación automática en un estado WORM de los archivos que han estado en un directorio de SmartLock por un plazo determinado sin sufrir modificaciones.

Si modifica el período de tiempo de confirmación automática de un directorio de SmartLock que contiene archivos no confirmados, el nuevo período de tiempo de confirmación automática se aplica inmediatamente a los archivos que existían antes de la modificación. Por ejemplo, considere un directorio de SmartLock con un período de tiempo de confirmación automática de dos horas. Si modifica un archivo del directorio de SmartLock a las 13:00 h, y acorta el período de tiempo de confirmación automática a una hora a las 14:15 h, el archivo se confirma instantáneamente en un estado WORM.

Si un archivo se confirma manualmente en un estado WORM, se modifican los permisos de lectura y escritura del archivo. Sin embargo, si un archivo se confirma automáticamente en un estado WORM, los permisos de lectura y escritura del archivo no se modifican.

Crear un directorio empresarial a partir de un directorio que no está vacíoPuede convertir un directorio no vacío en un directorio empresarial de SmartLock. Este procedimiento está disponible solo a través de la interfaz de la línea de comandos (CLI).

Antes de crear un directorio de SmartLock, considere las siguientes condiciones y requisitos:

• No puede crear un directorio de SmartLock como un subdirectorio de un directorio de SmartLock existente.• Los vínculos físicos no pueden cruzar los límites del directorio de SmartLock.• La creación de un directorio de SmartLock provoca la creación de un dominio de SmartLock correspondiente para ese directorio.

Ejecute el comando isi job jobs start.

El siguiente comando crea un dominio empresarial de SmartLock para /ifs/data/smartlock:

isi job jobs start DomainMark --root /ifs/data/smartlock --dm-type Worm

Crear un directorio de SmartLockPuede crear un directorio de SmartLock y confirmar los archivos de ese directorio en un estado WORM.

Antes de crear un directorio de SmartLock, considere las siguientes condiciones y requisitos:

• No puede crear un directorio de SmartLock como un subdirectorio de un directorio de SmartLock existente.• Los vínculos físicos no pueden cruzar los límites del directorio de SmartLock.• La creación de un directorio de SmartLock provoca la creación de un dominio de SmartLock correspondiente para ese directorio.

Ejecute el comando isi worm domains create.

Si especifica la ruta de un directorio existente, ese directorio debe estar vacío.

El siguiente comando crea un directorio de cumplimiento de normas con un período de retención predeterminado de cuatro años, un período mínimo de tres años y uno máximo de cinco años:

isi worm domains create /ifs/data/SmartLock/directory1 \ --compliance --default-retention 4Y --min-retention 3Y \ --max-retention 5Y --mkdir


El siguiente comando crea un directorio empresarial con un período de tiempo de confirmación automática de treinta minutos y un período de retención mínimo de tres meses:

isi worm domains create /ifs/data/SmartLock/directory2 \ --autocommit-offset 30m --min-retention 3M --mkdir

Administración de directorios SmartLockPuede modificar los ajustes del directorio SmartLock, incluidos el período de retención predeterminado, mínimo y máximo, además del período de confirmación automática.

Se le puede cambiar el nombre a un directorio empresarial de SmartLock solamente si este se encuentra vacío. El nombre de un directorio de cumplimiento de normas de SmartLock no se puede cambiar.

Modificar un directorio de SmartLockPuede modificar los ajustes de configuración de SmartLock para un directorio de SmartLock.

NOTA: Puede modificar los ajustes del directorio de SmartLock únicamente 32 veces por directorio. Se recomienda que

establezca los ajustes de configuración de SmartLock solamente una vez y que no modifique esta configuración después

de que se hayan agregado los archivos al directorio de SmartLock.


2. Modifique los ajustes de configuración de SmartLock mediante el comando isi worm modify.

El siguiente comando establece el período de retención predeterminado en un año:

isi worm domains modify /ifs/data/SmartLock/directory1 \--default-retention 1Y

Creación de un directorio de SmartLockPuede excluir un directorio de SmartLock con modo de cumplimiento de normas o modo empresarial en un dominio WORM para eximir al directorio y sus archivos de la protección y políticas de retención de WORM. Para ello, debe crear un dominio de exclusión WORM en un directorio. Este procedimiento está disponible solo a través de la interfaz de la línea de comandos (CLI).

Para crear un dominio de exclusión WORM en un directorio, este debe cumplir las siguientes condiciones:

• ser miembro de un dominio WORM.• no ser el directorio raíz de un dominio WORM.• no ser el directorio .snapshot virtual.

• no encontrarse en el almacén de cumplimiento de normas de un dominio de cumplimiento de normas WORM.• no estar dentro de otro dominio de exclusión WORM (anidamiento).• estar vacío.

NOTA: No puede crear dominios WORM dentro de los dominios de exclusión WORM.

Ejecute el comando isi worm domain modify /ifs/data/worm_domain --exclude /ifs/data/worm_domain/dir/<excluded_dir>.

Para eliminar un dominio de exclusión existente de un directorio, debe quitar el directorio y todos los archivos que lo componen.

Eliminación de un directorio de SmartLockPuede eliminar un directorio SmartLock con modo de cumplimiento de normas y el dominio WORM con modo de cumplimiento de normas correspondiente (si es necesario). Para ello, debe configurar la marca de eliminación pendiente en el dominio. No puede establecer la marca de eliminación pendiente en un dominio WORM en modo empresarial. Este procedimiento está disponible solamente a través de la CLI.

Antes de marcar un dominio WORM con modo de cumplimiento de normas como pendiente de eliminación, tenga en cuenta las siguientes condiciones:

• No se pueden crear, modificar ni vincular de forma física los archivos nuevos en el dominio.


• Los archivos existentes no se pueden confirmar y no se pueden extender sus fechas de retención.• SyncIQ no podrá sincronizarse desde y hasta el dominio.

Ejecute el comando isi worm domain modify <domain> --set-pending-delete.

Ver los ajustes de directorios SmartLockPuede ver la configuración del directorio SmartLock correspondiente a los directorios SmartLock.


2. Observe todos los dominios de SmartLock por medio del siguiente comando:

isi worm domains list


ID Path Type-----------------------------------------------65536 /ifs/data/SmartLock/directory1 enterprise65537 /ifs/data/SmartLock/directory2 enterprise65538 /ifs/data/SmartLock/directory3 enterprise-----------------------------------------------

3. Opcional: Para ver información detallada sobre un directorio de SmartLock específico, ejecute el comando isi worm domains view.

El siguiente comando muestra información detallada sobre /ifs/data/SmartLock/directory2:

isi worm domains view /ifs/data/SmartLock/directory2


ID: 65537 Path: /ifs/data/SmartLock/directory2 Type: enterprise LIN: 4295426060Autocommit Offset: 30m Override Date: -Privileged Delete: offDefault Retention: 1Y Min Retention: 3M Max Retention: - Total Modifies: 3/32 Max

Ajustes de configuración de directorios de SmartLockEs posible configurar los ajustes de directorios de SmartLock que determinan cuándo los archivos se confirman en un estado WORM y por cuánto tiempo se conservan en dicho estado.

ID El ID numérico del dominio de SmartLock correspondiente.

Ruta La ruta del directorio.

Tipo El tipo de directorio de SmartLock.

LIN El número de inodo del directorio.

Autocommit offset

El período de tiempo de confirmación automática del directorio. Cuando un archivo de este directorio de SmartLock no sufre modificaciones durante el período de tiempo especificado, se confirma automáticamente en un estado WORM.

Los tiempos se expresan en el formato “<integer><time>”, donde <time> corresponde a uno de los siguientes valores:

S Especifica los años

M Especifica los meses

W Especifica las semanas

D Especifica los días


H Especifica las horas

m Especifica los minutos

s Especifica los segundos

Override date La fecha de reemplazo de retenciones del directorio. Los archivos que se confirman en un estado WORM no se liberan de este estado hasta después de la fecha especificada, sin importar el período de retención máximo para el directorio o si un usuario especifica una fecha anterior para liberar un archivo de un estado WORM.

Eliminación con privilegios

Indica si los archivos del directorio confirmados en un estado WORM se pueden eliminar a través de la funcionalidad de eliminación con privilegios. Para acceder a la funcionalidad de eliminación con privilegios, debe tener asignado el privilegio ISI_PRIV_IFS_WORM_DELETE y poseer el archivo que planea eliminar. También puede acceder a la funcionalidad de eliminación de privilegios para cualquier archivo si inició sesión a través de la cuenta de usuario raíz o compadmin.

on Los archivos confirmados en un estado WORM se pueden eliminar con el comando isi worm files delete.

off Los archivos confirmados en un estado WORM no se pueden eliminar, ni siquiera mediante el comando isi worm files delete.

disabled Los archivos confirmados en un estado WORM no se pueden eliminar, ni siquiera mediante el comando isi worm files delete. Después de aplicar esta configuración, no se puede modificar.

Período de retención predeterminado

El período de retención predeterminado del directorio. Si un usuario no especifica una fecha para liberar un archivo de un estado WORM, se asigna el período de retención predeterminado.









Forever indica que los archivos confirmados en WORM se conservan permanentemente de manera predeterminada. Use Min indica que el período de retención predeterminado equivale a la fecha de retención mínima. Use Max indica que el período de retención predeterminado equivale a la fecha de retención máxima.

Período de retención mínimo

El período de retención mínimo del directorio. Los archivos se conservan en un estado WORM por al menos la cantidad de tiempo especificada, aun cuando un usuario especifica una fecha de vencimiento que conlleva un período de retención más breve.









Forever indica que todos los archivos confirmados en WORM se conservan permanentemente.


Periodo de retención máximo

El período de retención máximo del directorio. Los archivos no se pueden conservar en un estado WORM por más tiempo que el período especificado, incluso si un usuario especifica una fecha de vencimiento que da lugar a un período de retención más prolongado.









Forever indica la ausencia de un período de retención máximo.

Administración de archivos en directorios de SmartLockPuede confirmar archivos en directorios de SmartLock en un estado WORM mediante la eliminación de los privilegios de lectura y escritura del archivo. También puede establecer una fecha específica de vencimiento del período de retención del archivo. Una vez que un archivo se confirma en un estado WORM, se puede aumentar el período de retención del archivo, pero no puede acortar dicho período. No se puede mover un archivo que se ha confirmado en un estado WORM, aun cuando haya vencido el período de retención del archivo.

La fecha de vencimiento del período de retención se establece a través de la modificación del tiempo de acceso de un archivo. En una línea de comandos de UNIX, el tiempo de acceso se puede modificar con el comando touch. Aunque no existe un método para modificar el tiempo de acceso a través del Explorador de Windows, puede modificarlo mediante Windows PowerShell. El acceso a un archivo no establece la fecha de vencimiento del período de retención.

Si ejecuta el comando touch en un archivo de un directorio de SmartLock sin especificar una fecha para liberar el archivo de un estado de SmartLock y lo confirma, el período de retención se establece automáticamente en el período predeterminado especificado para el directorio de SmartLock. Si no ha especificado un período de retención predeterminado para el directorio de SmartLock, se asigna al archivo un período de retención de cero segundos. Se recomienda especificar un período mínimo de retención para todos los directorios de SmartLock.

Ajustar un período de retención a través de una línea de comandos de UNIXPuede especificar el momento en que un archivo abandona un estado WORM mediante una línea de comandos UNIX.

1. Abra una conexión a cualquier nodo del clúster Isilon mediante una línea de comandos UNIX e inicie sesión.

2. Configure el período de retención modificando el tiempo de acceso al archivo con el comando touch.El siguiente comando establece como fecha de vencimiento el 1 de junio de 2015 para /ifs/data/test.txt:

touch -at 201506010000 /ifs/data/test.txt

Ajustar un período de retención a través de Windows PowershellPuede especificar el momento en que un archivo abandona un estado WORM mediante Microsoft Windows PowerShell.

1. Abra la línea de comandos de Windows PowerShell.

2. Opcional: Establezca una conexión al clúster Isilon ejecutando el comando net use.


El siguiente comando establece una conexión al directorio /ifs en cluster.ip.address.com:

net use "\\cluster.ip.address.com\ifs" /user:root password

3. Especifique el nombre del archivo para el cual desea establecer un período de retención con la creación de un objeto.

El archivo debe existir en un directorio de SmartLock.

El siguiente comando crea un objeto para /smartlock/file.txt:

$file = Get-Item "\\cluster.ip.address.com\ifs\smartlock\file.txt"

4. Para especificar el período de retención, configure la hora del último acceso correspondiente al archivo.El siguiente comando establece como fecha de vencimiento el 1 de julio de 2015 a las 13:00 h:

$file.LastAccessTime = Get-Date "2015/7/1 1:00 pm"

Confirmar un archivo en un estado WORM mediante una línea de comandos de UNIXPuede confirmar un archivo en un estado WORM mediante una línea de comandos de UNIX.

Para confirmar un archivo en un estado WORM, debe quitar todos los privilegios de escritura del archivo. Si el archivo ya está configurado en un estado de solo lectura, primero debe agregar los privilegios de escritura al archivo y luego volver a ponerlo en dicho estado.

1. Abra una conexión al clúster Isilon mediante una interfaz de la línea de comandos de UNIX e inicie sesión.

2. Quite los privilegios de escritura de un archivo ejecutando el comando chmod.El siguiente comando quita los privilegios de escritura de /ifs/data/smartlock/file.txt:

chmod ugo-w /ifs/data/smartlock/file.txt

Asignar un archivo a un estado WORM a través del Explorador de WindowsEs posible asignar un archivo a un estado WORM a través del Explorador de Windows. Este procedimiento describe cómo asignar un archivo mediante Windows 7.

Para asignar un archivo a un estado WORM, debe aplicar la configuración de solo lectura. Si un archivo ya está configurado en un estado de solo lectura, primero debe quitar el estado de solo lectura del archivo y después volver a aplicárselo.

1. En el Explorador de Windows, navegue al archivo que desea asignar a un estado WORM.

2. Haga clic con el botón secundario en la carpeta y, a continuación, haga clic en Properties.

3. En la ventana Properties, haga clic en la pestaña General.

4. Seleccione la casilla de verificación Read-only y haga clic en OK.

Reemplazar el período de retención de todos los archivos de un directorio de SmartLockPuede reemplazar el período de retención de los archivos que se encuentran en un directorio de SmartLock. Todos los archivos que se confirmen en un estado WORM dentro de un directorio permanecerán en ese estado hasta después del día especificado.

Si los archivos se confirman en un estado WORM después de reemplazar el período de retención, la fecha de reemplazo se considera la fecha mínima de retención. Todos los archivos que se hayan confirmado en un estado WORM no vencerán hasta el día determinado, sin importar las especificaciones del usuario.


2. Reemplace la fecha de vencimiento del período de retención de todos los archivos confirmados en un estado WORM dentro un directorio de SmartLock, para lo cual debe ejecutar el comando isi worm modify.


Por ejemplo, el siguiente comando reemplaza la fecha de vencimiento del período de retención de /ifs/data/SmartLock/directory1 por el 1 de junio del 2014:

isi worm domains modify /ifs/data/SmartLock/directory1 \--override-date 2014-06-01

Eliminar un archivo confirmado en un estado WORMPuede eliminar un archivo WORM confirmado en un dominio WORM empresarial antes de la fecha de vencimiento a través de la funcionalidad de eliminar con privilegios. Este procedimiento está disponible solamente a través de la CLI.

• La funcionalidad de eliminación con privilegios no se debe desactivar permanentemente para el directorio SmartLock que contiene el archivo.

• Debe ser el propietario del archivo y tener los privilegios ISI_PRIV_IFS_WORM_DELETE y ISI_PRIV_NS_IFS_ACCESS o haber iniciado sesión a través de la cuenta de usuario raíz.

1. Abra una conexión al clúster Isilon mediante una línea de comandos de UNIX e inicie sesión.

2. Si se deshabilitó la funcionalidad de eliminación con privilegios para el directorio SmartLock, modifique el directorio ejecutando el comando isi worm domains modify con la opción --privileged-delete.

El siguiente comando habilita la eliminación con privilegios para /ifs/data/SmartLock/directory1:

isi worm domains modify /ifs/data/SmartLock/directory1 \--privileged-delete true

3. Elimine el archivo confirmado en estado WORM ejecutando el comando isi worm files delete.

El siguiente comando elimina /ifs/data/SmartLock/directory1/file:

isi worm files delete /ifs/data/SmartLock/directory1/file

El sistema muestra un resultado similar al siguiente:

Are you sure? (yes, [no]):4. Ingrese yes y presione INTRO.

Ver el estado WORM de un archivoPuede ver el estado WORM de un archivo individual. Este procedimiento está disponible solo a través de la interfaz de la línea de comandos (CLI).

1. Abra una conexión al clúster Isilon a través de una línea de comandos UNIX.

2. Vea el estado WORM de un archivo ejecutando el comando isi worm files view.Por ejemplo, el siguiente comando muestra el estado WORM de un archivo:

isi worm files view /ifs/data/SmartLock/directory1/file

El sistema muestra un resultado similar al siguiente:

WORM DomainsID Root Path------------------------------------65539 /ifs/data/SmartLock/directory1

WORM State: COMMITTED Expires: 2015-06-01T00:00:00


Dominios de protecciónEsta sección contiene los siguientes temas:

Temas:

• Descripción general de los dominios de protección• Consideraciones sobre los dominios de protección• Crear un dominio de protección • Eliminar un dominio de protección

Descripción general de los dominios de protecciónLos dominios de protección son indicadores que impiden la modificación de archivos y directorios. Si un dominio se aplica a un directorio, también se aplicará a todos los archivos y subdirectorios de ese directorio. Puede especificar dominios manualmente; sin embargo, OneFS normalmente crea dominios de manera automática.

Existen tres tipos de dominios: Dominios de SyncIQ, dominios de SmartLock y dominios de SnapRevert. Los dominios SyncIQ pueden asignarse a directorios de origen y destino de las políticas de replicación. OneFS crea automáticamente un dominio SyncIQ para el directorio de destino de una política de replicación la primera vez que se ejecuta la política. OneFS también crea automáticamente un dominio SyncIQ para el directorio de origen de una política de replicación durante el proceso de failback. Puede crear manualmente un dominio de SyncIQ para un directorio de origen antes de iniciar el proceso de failback mediante la configuración de la política para el failback acelerado, pero no puede eliminar un dominio de SyncIQ que indique el directorio objetivo de una política de replicación.

Los dominios SmartLock se asignan a directorios SmartLock para evitar que los archivos asignados se modifiquen o eliminen. OneFS crea automáticamente un dominio de SmartLock cada vez que se genera un directorio SmartLock. No puede eliminar un dominio de SmartLock. Sin embargo, si elimina un directorio SmartLock, OneFS borra automáticamente el dominio de SmartLock asociado con el directorio.

Los dominios SnapRevert se asignan a directorios que están incluidos en snapshots para evitar que los archivos y directorios se modifiquen mientras se revierte un snapshot. OneFS no crea automáticamente dominios SnapRevert. No puede revertir un snapshot hasta que cree un dominio SnapRevert para el directorio que el snapshot contiene. Puede crear dominios SnapRevert para subdirectorios de directorios que ya cuentan con dominios SnapRevert. Por ejemplo, puede crear dominios de SnapRevert para /ifs/data y /ifs/data/archive. Puede eliminar un dominio de SnapRevert si ya no desea revertir los snapshots de un directorio.

Consideraciones sobre los dominios de protecciónPuede crear manualmente dominios de protección antes de que OneFS los necesite para realizar determinadas acciones. Sin embargo, la creación manual de los dominios de protección puede limitar su capacidad para interaccionar con los datos marcados por el dominio.

• La copia de un gran número de archivos en un dominio de protección podría demorarse mucho tiempo porque cada archivo debe marcarse por separado como perteneciente al dominio de protección.

• No puede transferir directorios a o fuera de los dominios de protección. No obstante, puede transferir un directorio contenido en un dominio de protección a otra ubicación dentro del mismo dominio de protección.

• La creación de un dominio de protección para un directorio que contiene un gran número de archivos tomará más tiempo que la creación de un dominio de protección con menos archivos. Debido a esto, se recomienda crear dominios de protección para directorios mientras estos están vacíos y, una vez creados, agregar archivos al directorio.

• Si un dominio está impidiendo la modificación o eliminación de un archivo, no podrá crear un dominio de protección para ningún directorio que contenga ese archivo. Por ejemplo, si un dominio de SmartLock establece /ifs/data/smartlock/file.txt en un estado WORM, no puede crear un dominio de SnapRevert para /ifs/data/.

NOTA: Si usa SyncIQ para crear una política de replicación para un directorio de cumplimiento de normas de SmartLock,

los dominios de cumplimiento de normas de SyncIQ y SmartLock deben configurarse en el mismo nivel de directorio raíz.

Un dominio de cumplimiento de normas de SmartLock no se puede anidar dentro de un dominio de SyncIQ.

21

282 Dominios de protección

Crear un dominio de protecciónSe pueden crear dominios de replicación o de reversión de snapshots para facilitar las operaciones de failover y reversión de snapshots. No es posible crear un dominio de SmartLock. OneFS crea automáticamente un dominio de SmartLock cuando se crea un directorio de SmartLock.

Ejecute el comando isi job jobs start.El siguiente comando crea un dominio de SyncIQ para /ifs/data/source:

isi job jobs start domainmark --root /ifs/data/media \--dm-type SyncIQ

Eliminar un dominio de protecciónPuede eliminar un dominio de reversión de replicaciones o snapshots si desea sacar directorios del dominio. No es posible eliminar los dominios y . OneFS elimina automáticamente un dominio de SmartLock cuando se elimina un directorio de SmartLock.


El siguiente comando elimina un dominio SyncIQ de /ifs/data/source:

isi job jobs start domainmark --root /ifs/data/media \--dm-type SyncIQ --delete

Dominios de protección 283

Data-at-rest-encryptionEsta sección contiene los siguientes temas:

Temas:

• Descripción general del cifrado de datos en reposo• Unidades con cifrado automático• Seguridad de los datos en unidades con cifrado automático• Migración de datos a un clúster de unidades con cifrado automático• Estados del chasis y las unidades• Estado REPLACE de las unidades con SmartFail• Estado ERASE de las unidades con SmartFail

Descripción general del cifrado de datos en reposoEs posible mejorar la seguridad de los datos en un clúster que contenga solamente nodos de unidades de autocifrado, lo que proporciona protección de datos en reposo.

El sistema OneFS está disponible como un clúster formado por nodos de OneFS que solo contienen unidades con autocifrado (SED). Los requisitos del sistema y la administración de datos en reposo de los nodos con autocifrado son idénticos a los de los nodos que no contienen unidades con autocifrado. Los clústeres de tipos de nodos mixtos no son compatibles.

Unidades con cifrado automáticoLas unidades con cifrado automático almacenan datos en un clúster que está especialmente diseñado para el cifrado de datos en reposo.

El cifrado de datos en reposo de las unidades con cifrado automático tiene lugar cuando los datos que están almacenados en un dispositivo se cifran con el fin de impedir el acceso no autorizado a los datos. Todos los datos que se escriben en el dispositivo de almacenamiento se cifran cuando se almacenan, y todos los datos que se leen desde el dispositivo de almacenamiento se descifran durante la lectura. Los datos almacenados se cifran con una clave de cifrado AES de 256 bits y se descifran de la misma manera. OneFS controla el acceso a los datos con la combinación de la clave de autenticación de la unidad con las claves de cifrado de datos en disco.

NOTA: Todos los nodos de un clúster deben ser del tipo de unidad con autocifrado. Los nodos mixtos no son

compatibles.

Seguridad de los datos en unidades con cifrado automáticoLa aplicación de un smartfail a las unidades con cifrado automático garantiza la seguridad de los datos después de la eliminación.

Los datos de las unidades con cifrado automático se protegen del acceso no autorizado mediante la autenticación de las claves de cifrado. Las claves de cifrado nunca salen de la unidad. Cuando una unidad está bloqueada, la correcta autenticación desbloquea la unidad para el acceso a los datos.

No se podrá acceder a los datos de unidades con cifrado automático en las siguientes condiciones:

• Cuando se aplica un SmartFail a una unidad con autocifrado, las claves de autenticación de la unidad se eliminan del nodo. Los datos de la unidad no pueden descifrarse y, por tanto, tampoco se pueden leer, lo que protege la unidad.

• Cuando se aplica un smartfail a una unidad y se quita de un nodo, la clave de cifrado de la unidad se elimina. Debido a que la clave de cifrado para leer datos de la unidad debe ser la misma clave que se utiliza cuando los datos se escribieron, es imposible descifrar datos que se escribieron previamente en la unidad. Cuando aplica un SmartFail a una unidad y luego la elimina, esta se borra criptográficamente.

NOTA: La aplicación de un smartfail a una unidad es el método recomendado para eliminar una unidad con cifrado

automático. Quitar un nodo al que se le aplicó smartfail garantiza que no se pueda acceder a los datos.

22

284 Data-at-rest-encryption

• Cuando una unidad con autocifrado pierde alimentación, la unidad se bloquea para evitar el acceso no autorizado. Cuando se restaura la alimentación, los datos volverán estar accesibles si se proporciona la clave de autenticación de la unidad.

Migración de datos a un clúster de unidades con cifrado automáticoPuede migrar datos desde su clúster existente a un clúster de nodos de unidades con cifrado automático (SED). Como resultado, se cifrarán todos los datos migrados y futuros en el nuevo clúster.

NOTA: La migración de datos a un clúster con SED deben realizarla los servicios profesionales de Isilon. Para obtener

más información, comuníquese con su representante de Dell EMC.

Estados del chasis y las unidadesPuede ver detalles sobre el estado de las unidades y del chasis.

En un clúster, la combinación de nodos en diferentes estados de degradación determina si las solicitudes de escritura y de lectura funcionan correctamente. Un clúster puede perder quórum de escritura, pero mantener el de lectura. OneFS brinda detalles sobre el estado del chasis y de las unidades en el clúster. La siguiente tabla describe todos los estados posibles con los que se puede encontrar en el clúster.


HEALTHY Todas las unidades del nodo funcionan correctamente.


L3 Se implementó un disco de estado sólido (SSD) como caché de nivel 3 (L3) para aumentar el tamaño de memoria caché y mejorar la velocidad del rendimiento.

Interfaz de la línea de comandos

SMARTFAIL o Smartfail or restripe in progress

La unidad está siendo eliminada de manera segura del sistema de archivos, ya sea debido a un error de I/O o porque el usuario lo solicitó. Los nodos o unidades en estado SmartFail o de solo lectura afectan solamente el quórum de escritura.


NOT AVAILABLE Una unidad no está disponible por diversas razones. Puede hacer clic en la bahía para ver información detallada sobre este estado.

NOTA: En la interfaz de administración web, este estado incluye los estados de la interfaz de la línea de comandos ERASE y

SED_ERROR.


X

SUSPENDED Este estado indica que la actividad en la unidad está temporalmente suspendida y esta no se puede utilizar. El estado se inicia manualmente y no ocurre durante la actividad normal del clúster.


NOT IN USE Un nodo en estado offline afecta tanto el quórum de lectura como el de escritura.


REPLACE Se ejecutó un SmartFail correctamente a la unidad y ya se puede reemplazar.


STALLED La unidad se estancó y está siendo evaluada. La evaluación de estancamiento es el proceso mediante el cual se revisan las unidades que son lentas o presentan otros problemas. Según el resultado de la evaluación, la unidad puede retomar su funcionamiento normal o se le puede ejecutar un SmartFail. Este es un estado transitorio.


Data-at-rest-encryption 285


NEW La unidad es nueva y está vacía. Este es el estado en que se encuentra una unidad al ejecutar el comando isi dev con la opción -aadd.


USED La unidad se agregó y contenía un GUID de Isilon, pero esta no es de este nodo. Es probable que la unidad se formatee en el clúster.


PREPARING La unidad está realizando una operación de formateo. El estado de la unidad cambia a HEALTHY cuando el formateo se realiza correctamente.


EMPTY No hay ninguna unidad en esta bahía. Solamente la interfaz de la línea de comandos

WRONG_TYPE El tipo de unidad no es el correcto para este nodo. Por ejemplo, una unidad que no sea SED en un nodo SED, o un disco SAS en lugar del tipo de disco SATA esperado.


BOOT_DRIVE Exclusivo de la unidad A100, que cuenta con unidades de encendido en sus bahías.


SED_ERROR El sistema OneFS no puede reconocer la unidad.NOTA: En la interfaz de administración web, este estado está incluido en Not available.


X

ERASE Ya se puede eliminar la unidad, pero debe prestarle atención al proceso porque los datos no se eliminaron. Puede eliminar la unidad manualmente para garantizar que los datos se hayan eliminado.

NOTA: En la interfaz de administración web, este estado está incluido en Not available.


INSECURE Personal no autorizado puede acceder a datos en la unidad con cifrado automático. Las unidades con cifrado automático nunca se deben usar cuando se trata de datos no cifrados.

NOTA: En la interfaz de administración web, este estado está etiquetado como Unencrypted SED.


X

UNENCRYPTED Personal no autorizado puede acceder a datos en la unidad con cifrado automático. Las unidades con cifrado automático nunca se deben usar cuando se trata de datos no cifrados.

NOTA: En la interfaz de la línea de comandos, este estado está etiquetado como INSECURE.

Solamente la interfaz de administración web

X

Estado REPLACE de las unidades con SmartFailPuede ver los diferentes estados de las unidades durante el proceso de SmartFail.

Si ejecuta el comando isi dev list mientras se aplica un SmartFail a la unidad de la bahía 1, el sistema mostrará un resultado parecido al siguiente ejemplo:

Node 1, [ATTN] Bay 1 Lnum 11 [SMARTFAIL] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4 00009330EYE03 /dev/da3 Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4

286 Data-at-rest-encryption

Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12Si ejecuta el comando isi dev list tras la correcta finalización de SmartFail, el sistema mostrará un resultado parecido al siguiente ejemplo, en el que se indica que el estado de la unidad es REPLACE:

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [HEALTHY] SN:Z296LBP4 00009330EYE03 /dev/da3 Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12Si ejecuta el comando isi dev list mientras se aplica un SmartFail a la unidad de la bahía 3, el sistema muestra un resultado similar al siguiente ejemplo:

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [SMARTFAIL] SN:Z296LBP4 00009330EYE03 N/A Bay 4 Lnum 8 [HEALTHY] SN:Z296LCJW 00009327BYE03 /dev/da4 Bay 5 Lnum 7 [HEALTHY] SN:Z296M8XB 00009330KYE03 /dev/da5 Bay 6 Lnum 6 [HEALTHY] SN:Z295LXT7 000093172YE03 /dev/da6 Bay 7 Lnum 5 [HEALTHY] SN:Z296M8ZF 00009330KYE03 /dev/da7 Bay 8 Lnum 4 [HEALTHY] SN:Z296M8SD 00009330EYE03 /dev/da8 Bay 9 Lnum 3 [HEALTHY] SN:Z296M8QA 00009330EYE03 /dev/da9 Bay 10 Lnum 2 [HEALTHY] SN:Z296M8Q7 00009330EYE03 /dev/da10 Bay 11 Lnum 1 [HEALTHY] SN:Z296M8SP 00009330EYE04 /dev/da11 Bay 12 Lnum 0 [HEALTHY] SN:Z296M8QZ 00009330JYE03 /dev/da12

Estado ERASE de las unidades con SmartFailAl final de un proceso de SmartFail, OneFS intenta eliminar la clave de autenticación de una unidad si no puede restablecer la clave.

NOTA:

• Para eliminar la clave de autenticación de una unidad de manera segura, realice un SmartFail en la unidad.

• Para eliminar la clave de autenticación de un nodo de manera segura, realice un SmartFail en el nodo.

• Para eliminar las claves de autenticación de todo un clúster de manera segura, realice un SmartFail en cada nodo y

ejecute el comando isi_reformat_node en el último nodo.

Tras ejecutar el comando isi dev list, el sistema muestra un resultado similar al siguiente ejemplo, en el que se indica que el estado de la unidad es ERASE:

Node 1, [ATTN] Bay 1 Lnum 11 [REPLACE] SN:Z296M8HK 000093172YE04 /dev/da1 Bay 2 Lnum 10 [HEALTHY] SN:Z296M8N5 00009330EYE03 /dev/da2 Bay 3 Lnum 9 [ERASE] SN:Z296LBP4 00009330EYE03 /dev/da3 Las unidades que muestran el estado ERASE se pueden retirar, reutilizar o devolver de manera segura.

Cualquier acceso posterior a una unidad que presenta el estado ERASE requiere que la clave de autenticación de la unidad se establezca a su ID de seguridad de fabricación (MSID) predeterminado. Esta acción borra la clave de cifrado de datos (DEK) de la unidad y provoca que cualquier dato existente en la unidad permanezca ilegible.

Data-at-rest-encryption 287

SmartQuotasEsta sección contiene los siguientes temas:

Temas:

• Descripción general de la SmartQuotas• Tipos de cuota• Tipo de cuota predeterminado• Contabilidad y límites de uso• Cálculos del uso de discos• Notificaciones de cuotas• Reglas de notificación de cuotas• Informes de cuotas• Creación de cuotas• Administración de cuotas

Descripción general de la SmartQuotasEl módulo SmartQuotas es una herramienta de administración de cuotas opcional que monitorea e impone límites de almacenamiento definidos por el administrador. Mediante límites de cuotas de contabilidad e imposición, funcionalidades de creación de informes y notificaciones automatizadas, SmartQuotas administra el uso de almacenamiento, monitorea el almacenamiento en disco y envía alertas cuando se superan los límites de almacenamiento en disco.

Las cuotas le ayudan a administrar el uso de almacenamiento de acuerdo con los criterios que defina. Las cuotas se utilizan para el rastreo (y, a veces, para la limitación) de la cantidad de almacenamiento que un usuario, grupo o directorio consume. Las cuotas ayudan a garantizar que un usuario o departamento no infrinjan el almacenamiento que se asigna a otros usuarios o departamentos. En algunas implementaciones de cuotas, se rechazan las escrituras que sobrepasen el espacio definido; en otros casos, se envía una notificación simple.

NOTA: No aplique cuotas a /ifs/.ifsvar/ ni a sus subdirectorios. Si limita el tamaño del directorio /ifs/.ifsvar/ mediante una cuota, y el directorio alcanza dicho límite, los trabajos, tales como el análisis de sistemas de archivos,

fallarán. Una cuota bloquea la eliminación de los informes de trabajos antiguos de los subdirectorios /ifs/.ifsvar/ para liberar espacio para nuevos informes.

El módulo SmartQuotas necesita una licencia independiente. Para obtener más información acerca del módulo SmartQuotas o para activar el módulo, comuníquese con su representante de ventas de Dell EMC.

Tipos de cuotaOneFS utiliza el concepto de tipos de cuota como la unidad organizacional fundamental de las cuotas de almacenamiento. Las cuotas de almacenamiento constan de un conjunto de recursos y un conteo de cada tipo de recursos para dicho conjunto. Las cuotas de almacenamiento también se conocen como dominios de almacenamiento.

Para la creación de cuotas de almacenamiento se necesitan tres identificadores:

• El directorio que se monitoreará• Si las instantáneas se rastrean según el límite de cuota• El tipo de cuota (directorio, usuario o grupo)

NOTA: No cree cuotas de ningún tipo en la raíz de OneFS (/ifs). Una cuota a nivel de raíz puede degradar notablemente

el rendimiento.

Puede elegir un tipo de cuota entre las siguientes entidades:

Directorio Un directorio específico y sus subdirectorios.

23

288 SmartQuotas

NOTA: No puede elegir un tipo de cuota de directorio predeterminado mediante la interfaz de

usuario web. Solo puede crear una cuota de directorio predeterminado con la CLI. Sin embargo,

puede administrar cuotas de directorio predeterminadas mediante la interfaz de usuario (modificar

los ajustes de cuota, vincular y desvincular subdirectorios). Todos los subdirectorios inmediatos en

una cuota de directorio predeterminada heredan los ajustes de cuotas del directorio principal, a

menos que se modifique. Las cuotas de directorios específicos que configure adquirirán prioridad

sobre un directorio predeterminado.

Usuario Un usuario específico o uno predeterminado (cualquier usuario). Las cuotas de usuarios específicos que configure adquieren prioridad sobre las cuotas de usuarios predeterminados.

Grupo Todos los miembros de un grupo específico o todos los miembros de un grupo predeterminado (cualquier grupo). Cualquier cuota de grupo específico que configure adquiere prioridad sobre una cuota de grupo predeterminado. La asociación de una cuota de grupo con una cuota de grupo predeterminado crea una cuota vinculada.

Puede crear varios tipos de cuota en el mismo directorio, pero deben ser de distinto tipo o tener una opción de instantánea diferente. Puede especificar tipos de cuota para cualquier directorio de OneFS y anidarlos entre sí para crear una jerarquía de políticas de uso de almacenamiento complejas.

Las cuotas de almacenamiento anidadas se pueden solapar. Por ejemplo, los siguientes ajustes de cuota garantizan que el directorio finance nunca sobrepase los 5 TB, a la vez que limitan a los usuarios del departamento de financiamiento a 1 TB cada uno:

• Ajuste una cuota máxima de 5 TB en /ifs/data/finance.

• Ajuste de cuotas mínimas de 1 TB en cada usuario del departamento de financiamiento.

Tipo de cuota predeterminadoLas cuotas predeterminadas crean automáticamente otras cuotas para usuarios, grupos o subdirectorios inmediatos en un directorio especificado.

Una cuota predeterminada especifica una política para nuevas entidades que coinciden con un activador. El comando default-user@/ifs/cs se convierte en specific-user@/ifs/cs para cada usuario específico que no se define de otra manera.

Ejemplo de tipo de cuota predeterminada de usuarioPor ejemplo, puede crear una cuota de usuario predeterminado en el directorio /ifs/dir-1, el que pertenece al usuario raíz. El tipo de usuario predeterminado crea automáticamente un dominio en ese directorio para la raíz y agrega el uso:

my-OneFS-1# mkdir /ifs/dir-1my-OneFS-1# isi quota quotas create /ifs/dir-1 default-usermy-OneFS-1# isi quota quotas ls --path=/ifs/dir-1 Type AppliesTo Path Snap Hard Soft Adv Used---------------------------------------------------------------default-user DEFAULT /ifs/dir-1 No - - - 0buser root /ifs/dir-1 No - - - 0b---------------------------------------------------------------Total: 2

Ahora agregue un archivo cuyo propietario sea un usuario diferente (admin):

my-OneFS-1# touch /ifs/dir-1/somefilemy-OneFS-1# chown admin /ifs/dir-1/somefilemy-OneFS-1# isi quota quotas ls --path=/ifs/dir-1Type AppliesTo Path Snap Hard Soft Adv Used---------------------------------------------------------------default-user DEFAULT /ifs/dir-1 No - - - 0buser root /ifs/dir-1 No - - - 26buser admin /ifs/dir-1 No - - - 0b---------------------------------------------------------------Total: 3

En este ejemplo, el tipo de usuario predeterminado creó automáticamente un usuario específico (user:admin) y le agregó el nuevo uso. El usuario predeterminado no tiene ningún uso porque solo se utiliza para generar nuevas cuotas automáticamente. La imposición del usuario

SmartQuotas 289

predeterminado se copia a un usuario específico (user:admin) y la cuota heredada se denomina cuota vinculada. De esta forma, cada cuenta de usuario obtiene su propia contabilidad de uso.

Los usuarios predeterminados se pueden solapar. Por ejemplo, pueden estar definidos tanto default-user@/ifs/dir-1 como default-user@/ifs/cs. Si la imposición predeterminada cambia, las cuotas de almacenamiento de OneFS propagan los cambios a las cuotas vinculadas de manera asíncrona. Debido a que la actualización es asíncrona, existe cierto retardo antes de que las actualizaciones se hagan efectivas. Si se elimina un tipo predeterminado, como todos los usuarios o todos los grupos, OneFS eliminará todos los secundarios que estén marcados como heredados. De forma opcional, puede eliminar el predeterminado sin eliminar el secundario, pero es importante tener en cuenta que esta acción interrumpe la herencia de todos los secundarios heredados.

Siguiendo con el ejemplo, agregue otro archivo cuyo propietario sea el usuario raíz. Debido a que el tipo raíz existe, el nuevo uso se agrega a él.

Files: 0 Ph: 0.00b W/O Overhead: 0.00b

my-OneFS-1# touch /ifs/dir-1/anotherfilemy-OneFS-1# isi quota ls -v --path=/ifs/dir-1 --format=list Type: default-user AppliesTo: DEFAULT Path: /ifs/dir-1 Snap: NoThresholds Hard: - Soft: - Adv: - Grace: - Usage Files: 0 Physical: 0.00b FSLogical: 0.00b AppLogical: 0.00b Over: - Enforced: No Container: No Linked: ----------------------------------------------------------------------- Type: user AppliesTo: root Path: /ifs/dir-1 Snap: NoThresholds Hard: - Soft: - Adv: - Grace: - Usage Files: 2 Physical: 3.50k FSLogical: 55.00b AppLogical: 0.00b Over: - Enforced: No Container: No Linked: Yes----------------------------------------------------------------------- Type: user AppliesTo: admin Path: /ifs/dir-1 Snap: NoThresholds Hard: - Soft: - Adv: - Grace: - Usage Files: 1 Physical: 1.50k FSLogical: 0.00b AppLogical: 0.00b Over: -

290 SmartQuotas

Enforced: No Container: No Linked: Yes

La imposición del usuario predeterminado se copia en el usuario específico cuando este último se asigna dentro del tipo, y el nuevo tipo de cuota heredado es también una cuota vinculada.

NOTA: Los cambios en la configuración de cuotas vinculadas deben realizarse en la cuota principal de la que las cuotas

vinculadas la heredan. Los cambios en la cuota principal se propagan a todas las cuotas secundarias. Para reemplazar la

configuración de la cuota principal, primero desvincule la cuota.

Tipo de ejemplo de cuota predeterminada de directorioSi hay una cuota de directorio predeterminada configurada en la carpeta /ifs/parent, cualquier subdirectorio inmediato creado dentro de esa carpeta heredará la información de configuración de cuotas del dominio predeterminado de forma automática. Solo los subdirectorios inmediatos heredan las cuotas de directorio predeterminadas. Un subdirectorio dentro de un subdirectorio inmediato (un subdirectorio de segundo nivel o mayor) no heredará la cuota de directorio predeterminada. Por ejemplo, se crea un tipo de cuota de directorio predeterminada en el directorio /ifs/parent. A continuación, se crea el subdirectorio /ifs/parent/child. Este subdirectorio hereda los ajustes de la cuota de directorio predeterminada. A continuación, se crea el subdirectorio de segundo nivel /ifs/parent/child/grandchild. Este subdirectorio no hereda los ajustes de la cuota de directorio predeterminada.

Contabilidad y límites de usoLas cuotas de almacenamiento pueden realizar dos funciones: monitorean el espacio de almacenamiento a través de la contabilidad de uso y administran el espacio de almacenamiento a través de los límites de cumplimiento.

Puede configurar cuotas de OneFS por tipo de uso para rastrear o limitar el uso de almacenamiento. La opción de contabilidad, que monitorea el uso de almacenamiento en disco, es útil para auditoría, planificación y facturación. Los límites de cumplimiento establecen los límites de almacenamiento para usuarios, grupos o directorios.

Realizar un seguimiento del consumo de almacenamiento sin especificar un límite de almacenamiento

La opción de contabilidad rastrea, pero no limita el uso de almacenamiento en disco. Mediante la opción de contabilidad para una cuota, puede monitorear el conteo de inodos y los recursos de espacio físico y lógico. “Espacio físico” hace referencia a todo el espacio usado para almacenar archivos y directorios, incluidos datos, metadatos y sobrecarga de protección de datos en el dominio. Hay dos tipos de espacio lógico:

• Tamaño lógico del sistema de archivos: tamaño lógico de los archivos según el sistema de archivos. Suma de todos los tamaños de archivos, sin incluir los metadatos de archivos ni la sobrecarga de protección de datos.

• Tamaño lógico de la aplicación: tamaño lógico del archivo aparente para la aplicación. Capacidad de archivo utilizada desde el punto de vista de la aplicación, que generalmente es igual o menor que el tamaño lógico del sistema de archivos. Sin embargo, en el caso de un archivo disperso, el tamaño lógico de la aplicación puede ser mayor que el tamaño lógico del sistema de archivos. El tamaño lógico de la aplicación incluye el consumo de capacidad en el clúster, así como los datos organizados en niveles en la nube.

El consumo de almacenamiento se rastrea con el tamaño lógico del sistema de archivos de manera predeterminada, lo que no incluye la sobrecarga de protección. A modo de ejemplo, al usar la opción de contabilidad, puede hacer lo siguiente:

• Hacer un seguimiento de la cantidad de espacio en disco que usan diversos usuarios o grupos para facturar a cada usuario, grupo o directorio únicamente por el espacio en disco utilizado.

• Revisar y analizar informes que le ayuden a identificar patrones de uso de almacenamiento y definir políticas de almacenamiento.

• Planear la capacidad y otras necesidades de almacenamiento.

Especifique los límites del almacenamiento

Los límites de cumplimiento incluyen todas las funciones de la opción de contabilidad, además de la capacidad para limitar el almacenamiento en disco y enviar notificaciones. Mediante límites de cumplimiento, puede realizar la partición lógica de un clúster para controlar o restringir la cantidad de almacenamiento que un usuario, grupo o directorio pueden utilizar. Por ejemplo, puede establecer límites máximos o mínimos de capacidad para garantizar que siempre haya disponible un espacio adecuado para proyectos clave y aplicaciones críticas, así como para asegurar que los usuarios del clúster no excedan su capacidad de almacenamiento asignada. De manera opcional, puede enviar notificaciones de cuotas por correo electrónico en tiempo real a usuarios, gerentes de grupos o administradores cuando se estén acercando a un límite de cuota o lo hayan superado.

NOTA:

SmartQuotas 291

Si un tipo de cuota utiliza la opción de solo contabilidad, los límites de cumplimiento no se pueden utilizar para esa

cuota.

Las acciones de un administrador que haya iniciado sesión como raíz pueden provocar que un dominio supere un umbral de cuota. Por ejemplo, cambiar el nivel de protección o tomar una instantánea conllevan la posibilidad de exceder los parámetros de cuota. Las acciones del sistema, como las reparaciones, también pueden hacer que un dominio de cuota supere el límite.

El sistema proporciona tres tipos de umbrales de cumplimiento definidos por el administrador.

Tipo de umbral Descripción

Rígido Limita el uso de los discos a un tamaño que no se pueda superar. Si una operación, como la escritura de archivos, hace que el destino de una cuota supere la cuota máxima, se producirán los siguientes eventos:

• La operación no puede completarse.• Se registra una alerta en el clúster.• Se envía una notificación a los destinatarios especificados.

La escritura se reanuda cuando el uso se reduce por debajo del umbral.

Suave Permite un límite con un período de gracia que puede excederse hasta que venza dicho período. Cuando se excede una cuota mínima, se registra una alerta en el clúster y se envía una notificación a los destinatarios especificados; sin embargo, la escritura de datos se permite durante el período de gracia.

Si el umbral mínimo se sigue superando después de haber vencido el período de gracia, la escritura de datos fallará y se enviará una notificación a los destinatarios que se hayan especificado.

La escritura se reanuda cuando el uso se reduce por debajo del umbral.

Asesoría Un límite informativo que puede superarse. Cuando se supera un umbral de cuota recomendado, se registra una alerta en el clúster y se envía una notificación a los destinatarios especificados. Los umbrales recomendados no impiden la escritura de datos.

Cálculos del uso de discosPara cada cuota que configure, puede especificar si el espacio físico o lógico se incluye en los cálculos futuros de uso del disco.

Puede configurar cuotas para incluir los siguientes tipos de espacio físico o lógico:

Tipo de espacio físico o lógico que se incluirá en la cuota

Descripción

Tamaño físico Espacio total en disco ocupado para almacenar archivos en OneFS. Además de los datos en archivos, se consideran los metadatos del usuario (por ejemplo, las ACL y los atributos extendidos especificados por el usuario) y la sobrecarga de protección de datos. Toma en cuenta el consumo de capacidad en las instalaciones con protección de datos.

Bloques de datos en archivos (regiones no dispersas) + metadatos de IFS (ACL, ExAttr, inodos) + sobrecarga de protección de datos

Tamaño lógico del sistema de archivos

Aproximación del uso del disco en otros sistemas, sin considerar la sobrecarga de protección. El espacio ocupado para almacenar archivos con una protección de 1x. Toma en cuenta el consumo de capacidad en las instalaciones sin protección de datos.

Bloques de datos en archivos (regiones no dispersas) + metadatos de IFS (ACL, ExAttr, inodos)

Tamaño lógico de la aplicación

Tamaño aparente del archivo que observa un usuario o una aplicación. La forma en que una aplicación ve el espacio disponible para el almacenamiento, independientemente de si los archivos están organizados en niveles en la nube, dispersos, deduplicados o comprimidos. Es la compensación del último byte del archivo (final del archivo). El tamaño lógico de la aplicación no se ve afectado por la

El tamaño físico y las métricas de cuota de tamaño lógico del sistema de archivos consideran la cantidad de bloques requeridos para almacenar datos en archivos (con alineación de bloques). La métrica de cuota de tamaño lógico de la aplicación no está alineada en bloques. En general, el tamaño lógico de la aplicación es más pequeño que el tamaño físico o el tamaño lógico del sistema de archivos, ya que el

292 SmartQuotas

Tipo de espacio físico o lógico que se incluirá en la cuota

Descripción

ubicación física de los datos, dentro o fuera del clúster y, por lo tanto, incluye la capacidad de CloudPools en varias ubicaciones. Considera el consumo de capacidad en las instalaciones o fuera de ellas sin protección de datos.

tamaño lógico del sistema de archivos toma en cuenta el tamaño completo del último bloque del archivo, mientras que el tamaño lógico de la aplicación toma en cuenta los datos que se encuentran en el último bloque. Sin embargo, el tamaño lógico de la aplicación será mayor en el caso de los archivos dispersos.

La mayoría de las configuraciones de cuotas no necesitan incluir cálculos de sobrecarga de protección de datos y, por lo tanto, no deben incluir el espacio físico, sino que pueden incluir un espacio lógico (tamaño lógico del sistema de archivos o tamaño lógico de la aplicación). Si no incluye la sobrecarga de protección de datos en los cálculos de uso de una cuota, los futuros cálculos de uso en disco de la cuota incluirán solamente el espacio lógico que sea necesario para almacenar archivos y directorios. El espacio necesario para el ajuste de protección de datos del clúster no se incluye.

Tome en cuenta el ejemplo de un usuario que está limitado por una cuota de 40 GB que no incluye la sobrecarga de protección de datos en sus cálculos de uso del disco. (La cuota de 40 GB incluye el tamaño lógico del sistema de archivos o de la aplicación). Si el clúster está configurado con un nivel de protección de datos de 2x y el usuario escribe un archivo de 10 GB en el clúster, ese archivo consume 20 GB de espacio, pero los 10 GB para la sobrecarga de protección de datos no se incluyen en el cálculo de la cuota. En este ejemplo, el usuario ha alcanzado el 25 % de la cuota de 40 GB escribiendo un archivo de 10 GB en el clúster. Este método de cálculo de uso del disco se recomienda para la mayoría de las configuraciones de cuotas.

Si incluye la sobrecarga de protección de datos en los cálculos de uso de una cuota, los cálculos futuros de uso del disco de esta incluirán la cantidad total de espacio necesario para almacenar los archivos y directorios, además de cualquier espacio necesario para alojar los ajustes de protección de datos, como la paridad o el espejo. Por ejemplo, piense en un usuario que está limitado por una cuota de 40 GB que incluye la sobrecarga de protección de datos en sus cálculos de uso del disco. (La cuota de 40 GB incluye el tamaño físico). Si el clúster está configurado con un nivel de protección de datos de 2x (en espejo) y el usuario escribe un archivo de 10 GB en el clúster, este archivo realmente ocupa 20 GB de espacio: 10 GB para el archivo y 10 GB para la sobrecarga de protección de datos. En este ejemplo, el usuario ha alcanzado el 50 % de la cuota de 40 GB escribiendo un archivo de 10 GB en el clúster.

NOTA: Las cuotas tratan los archivos clonados y deduplicados como archivos comunes. Si la cuota incluye la sobrecarga

de protección de datos, esta sobrecarga para los datos compartidos no se incluye en el cálculo de uso.

Puede configurar cuotas para incluir el espacio que consumen las instantáneas. Una ruta de acceso única puede tener dos cuotas aplicadas: una sin uso de instantáneas, que es el valor predeterminado, y otra con uso de instantáneas. Si incluye instantáneas en la cuota, se incluirán más archivos en el cálculo de los que están en el directorio actual. El uso del disco real es la suma del directorio actual y cualquier instantánea de ese directorio. Para ver las instantáneas que se incluyen en el cálculo, revise el directorio .snapshot en la ruta de la cuota.

NOTA: En el cálculo solo se incluyen las instantáneas creadas después de que haya terminado el trabajo QuotaScan.

Notificaciones de cuotasLas notificaciones de cuotas se generan para las cuotas de imposición y ofrecen a los usuarios información cuando se produce una infracción de una cuota. Periódicamente se envían recordatorios mientras persiste la condición.

Cada regla de notificación define la condición que se impondrá y la acción que se ejecutará cuando la condición sea verdadera. Una cuota de imposición puede definir varias reglas de notificación. Cuando se sobrepasan los umbrales, se pueden enviar notificaciones automáticas por correo electrónico a usuarios específicos, o bien, puede monitorear las notificaciones como alertas del sistema o recibir correos electrónicos por esos eventos.

Las notificaciones se pueden configurar globalmente para aplicarse a todos los dominios de cuotas o se pueden configurar para dominios de cuotas específicos.

Las cuotas de imposición admiten los siguientes ajustes de notificación. Una cuota determinada puede utilizar solamente uno de estos ajustes.

Configuración de notificaciones de límites Descripción

Disable quota notifications Deshabilita todas las notificaciones de la cuota.

Use the system settings for quota notifications Utiliza la notificación predeterminada global para el tipo específico de cuota.

SmartQuotas 293

Configuración de notificaciones de límites Descripción

Creación de reglas personalizadas de notificación Permite la creación de notificaciones avanzadas y personalizadas que se aplican a la cuota específica. Las notificaciones personalizadas se pueden configurar para cualquiera o todos los tipos de umbral (máximo, mínimo o recomendado) para la cuota especificada.

Reglas de notificación de cuotasPuede escribir reglas de notificación de cuotas para generar alertas que se activan mediante umbrales de eventos.

Cuando se produce un evento, se activa una notificación de acuerdo con su regla de notificación. Por ejemplo, puede crear una regla de notificación que envíe un correo electrónico cuando un grupo sobrepase el umbral de asignación de espacio en disco.

Puede configurar reglas de notificación para activar una acción de acuerdo con los umbrales de eventos (una condición de notificación). Una regla puede especificar un calendario, tal como “todos los días a la 1:00 h”, para ejecutar una acción o notificación inmediata de determinadas transiciones de estado. Cuando se produce un evento, la activación de una notificación puede ejecutar una o más acciones, como enviar un correo electrónico o enviar una alerta del clúster a la interfaz. Los siguientes ejemplos demuestran los tipos de criterios que puede utilizar para configurar reglas de notificación.

• Notificar cuando se supere un umbral, como máximo, una vez cada cinco minutos• Notificar cuando se rechaza una asignación, como máximo, una vez cada hora• Notificar siempre que el umbral se haya superado, todos los días a las 2:00 h• Notificar siempre que el período de gracia esté vencido semanalmente, todos los días domingo a las 2:00 h

Las notificaciones se activan por eventos agrupados en las siguientes categorías:

Notificaciones de eventos

Incluye la notificación de rechazo de escritura, que se activa cuando un umbral máximo rechaza una escritura, y la notificación por superación del umbral, que se activa en el momento en que se supera un umbral máximo, mínimo o recomendado. Estas son notificaciones individuales porque representan un evento separado en el tiempo.

Activación de notificaciones

Se generan de forma calendarizada para indicar una condición persistente, como cuando un umbral máximo, mínimo o recomendado se encuentra por encima de un límite o si el período de gracia de un umbral mínimo queda vencido durante un intervalo de tiempo prolongado.

Informes de cuotasEl módulo SmartQuotas de OneFS ofrece opciones de creación de informes que permiten a los administradores administrar recursos del clúster y analizar estadísticas de uso.

Los informes de cuotas de almacenamiento ofrecen una vista resumida del estado pasado o presente de los dominios de cuotas. Después de que OneFS recopile los datos crudos de informes, puede producir resúmenes de datos usando un conjunto de parámetros de filtrado y tipos de clasificación. Los informes de cuotas de almacenamiento incluyen información sobre los infractores, agrupados por tipos de umbral. Puede generar informes a partir de una muestra de datos históricos o de datos actuales. En cualquier caso, los informes son visualizaciones de datos de uso en un momento determinado. OneFS no proporciona informes sobre datos agregados en el transcurso del tiempo, como los informes de tendencias, pero puede utilizar los datos crudos para analizar tendencias. No existe ningún límite de configuración en el número de informes aparte del espacio necesario para almacenarlos.

OneFS ofrece los siguientes métodos de recopilación de datos y creación de informes:

• Los informes calendarizados se generan y guardan en un intervalo regular.• Los informes ad hoc se generan y guardan a petición del usuario.• Los informes en vivo se generan para su visualización inmediata y temporal.

Los informes calendarizados se colocan de forma predeterminada en el directorio /ifs/.isilon/smartquotas/reports, pero la ubicación se puede establecer en cualquier directorio debajo de /ifs. Cada informe generado incluye la definición del dominio de cuota, el estado, el uso y los ajustes de configuración globales. De forma predeterminada, se mantienen diez informes simultáneamente y los informes más antiguos se purgan. Puede crear informes ad hoc en cualquier momento para ver el estado actual del sistema de cuotas de almacenamiento. Estos informes en vivo se pueden guardar manualmente. Los informes ad hoc se guardan en una ubicación que está separada de los informes calendarizados para evitar dividir los conjuntos de informes temporizados.

294 SmartQuotas

Creación de cuotasPuede crear dos tipos de cuotas de almacenamiento para supervisar datos: cuotas de contabilidad y cuotas de imposición. Los límites y las restricciones de las cuotas de almacenamiento se pueden aplicar a usuarios, grupos o directorios específicos.

El tipo de cuota que cree depende de su objetivo.

• Las cuotas de imposición monitorean y limitan el uso de los discos. Puede crear cuotas de imposición para usar cualquier combinación de límites mínimos, máximos y recomendados.

NOTA: Las cuotas de imposición no se recomiendan para los dominios de cuotas de rastreo de instantáneas.

• Las cuotas de contabilidad monitorean, pero no limitan, el uso de los discos.

NOTA: Antes de usar los datos de cuotas para análisis u otros propósitos, verifique que no haya trabajos de QuotaScan

en ejecución.

Crear una cuota de contabilidadPuede crear una cuota de contabilidad para monitorear, pero no limitar, el uso del disco.

Como opción, puede incluir datos de snapshots, la sobrecarga de protección de datos o ambos en la cuota de contabilidad.

Para obtener información sobre los parámetros y las opciones que puede usar para este procedimiento, ejecute el comando isi quota quotas create --help.

Ejecute el comando isi quota quotas create para crear una cuota de contabilidad.El siguiente comando crea una cuota para el directorio /quota_test_1. La cuota configura un umbral de aviso que es de carácter informativo y no impuesto.

isi quota quotas create /ifs/data/quota_test_1 directory \ --advisory-threshold=10M --enforced=false

Antes de usar los datos de cuotas para análisis u otros propósitos, verifique que no haya trabajos de QuotaScan en curso mediante la ejecución del comando isi job events list --job-type quotascan.

Crear una cuota de imposiciónPuede crear una cuota de imposición para monitorear y limitar el uso del disco.

Puede crear cuotas de imposición que establezcan límites máximos, de advertencia y de aviso.

Para obtener información sobre los parámetros y las opciones que puede usar para este procedimiento, ejecute el comando isi quota quotas create --help.

Ejecute el comando isi quota quotas create y establezca el parámetro --enforced en true.El siguiente comando crea una cuota para el directorio /quota_test_2. La cuota configura un umbral de aviso que se impone cuando se supera el umbral especificado.

isi quota quotas create /ifs/data/quota_test_2 directory \ --advisory-threshold=100M --enforced=true


Administración de cuotasPuede modificar los valores configurados de una cuota de almacenamiento y puede habilitar o deshabilitar una cuota. También puede crear límites y restricciones de cuota para aplicarlos a usuarios, grupos o directorios específicos.

La administración de cuotas en OneFS se simplifica gracias a la función de búsqueda de cuotas, que ayuda a localizar una o varias cuotas utilizando filtros. Puede desvincular cuotas que estén asociadas con una cuota principal y configurar notificaciones personalizadas de cuotas. También puede deshabilitar una cuota temporalmente y habilitarla cuando sea necesario.

NOTA: No se admite la transferencia de directorios de cuotas entre dominios de cuotas.

SmartQuotas 295

Buscar cuotasPuede buscar una cuota mediante el uso de diversos parámetros de búsqueda.

Para obtener información sobre los parámetros y las opciones que puede usar para este procedimiento, ejecute el comando isi quota quotas list --help.

Ejecute el comando isi quota quotas list para buscar cuotas.El siguiente comando busca todas las cuotas que monitorean el directorio /ifs/data/quota_test_1:

isi quota quotas list --path=/ifs/data/quota_test_1

Administrar cuotasLas cuotas ayudan a monitorear y analizar el uso actual o histórico del almacenamiento en disco. Puede buscar cuotas y modificarlas, eliminarlas y desvincularlas.

Debe ejecutar un trabajo QuotaScan inicial para las cuotas predeterminadas o calendarizadas a fin de evitar la visualización de datos incompletos.

Antes de modificar una cuota, considere la manera en que los cambios afectarán al sistema de archivos y a los usuarios finales.

Para obtener información sobre los parámetros y las opciones que puede usar para este procedimiento, ejecute el comando isi quota quotas list --help.

NOTA:

• Puede editar o eliminar un informe de cuotas solo si la cuota no está vinculada a una cuota predeterminada.

• Puede desvincular una cuota solo si está vinculada a una cuota predeterminada.

1. Para monitorear y analizar el almacenamiento en disco actual, ejecute el comando isi quota quotas view.En el siguiente ejemplo se proporciona información de uso actual para el usuario raíz en el directorio especificado y se incluyen datos de snapshot. Para obtener más información sobre los parámetros de este comando, ejecute el comando isi quota quotas list --help.

isi quota quotas list -v --path=/ifs/data/quota_test_2 \ --include-snapshots="yes"

2. Para ver toda la información en el informe de cuotas, ejecute el comando isi quota reports list.Para ver información específica en un informe de cuotas, ejecute el comando isi quota quotas list --help para ver los parámetros de filtro. El siguiente comando enumera toda la información en el informe de cuotas:

isi quota reports list -v

3. Opcional: Para eliminar una cuota, ejecute el comando isi quota quotas delete.El siguiente comando elimina la cuota de tipo de directorio especificada. Para obtener información sobre los parámetros para este comando, ejecute el comando isi quota quotas delete --help:

isi quota quotas delete /ifs/data/quota_test_2 directory

4. Para desvincular una cuota, ejecute el comando isi quota quotas modify.En el siguiente comando de ejemplo se desvincula una cuota de usuario:

isi quota quotas modify /ifs/dir-1 user --linked=false --user=admin

NOTA: Los cambios en la configuración de las cuotas vinculadas se deben realizar en la cuota principal (opción

predeterminada) de la cual se hereda la cuota vinculada. Los cambios en la cuota principal se propagan a todas las

cuotas secundarias. Si desea reemplazar la configuración de la cuota principal, primero debe desvincular la cuota.

Exportar un archivo de configuración de cuotasPuede exportar los ajustes de cuotas como un archivo de configuración, que se puede importar para reutilizarlo en otro clúster Isilon. También puede almacenar las configuraciones de cuotas exportadas en una ubicación externa al clúster. Esta tarea solo se puede realizar desde la interfaz de la línea de comandos de OneFS.

296 SmartQuotas

Puede canalizar el informe XML a un archivo o directorio. A continuación, el archivo puede importarse en otro clúster.


2. En la línea de comandos, ejecute el siguiente comando:

isi_classic quota list --export

El archivo de configuración de cuotas se muestra en un formato XML crudo.

Importar un archivo de configuración de cuotaPuede importar ajustes de cuota en forma de archivo de configuración que se exportó desde otro clúster Isilon. Esta tarea solo se puede realizar desde la interfaz de la línea de comandos de OneFS.


2. Navegue a la ubicación del archivo de configuración de cuota exportado.

3. En la línea de comandos, ejecute el siguiente comando, donde <filename> es el nombre de un archivo de configuración exportado:

isi_classic quota import --from-file=<filename>

El sistema analiza el archivo e importa los ajustes de cuota desde el archivo de configuración. Los ajustes de cuota configurados antes de la importación del archivo de configuración de cuota se conservan, y los ajustes de cuota importados entran en vigencia de inmediato.

Administración de notificaciones de cuotasLas notificaciones de cuotas pueden habilitarse o deshabilitarse, modificarse y eliminarse.

De forma predeterminada, ya hay configurada una notificación de cuotas globales y se aplica a todas las cuotas. Puede continuar usando los ajustes de notificación de cuotas globales, modificarlos o deshabilitarlos, así como definir una notificación personalizada de una cuota.

Las cuotas de imposición son compatibles con cuatro tipos de notificaciones y recordatorios:

• Umbral excedido• Recordatorio por exceso de cuota• Período de gracia caducado• Solo acceso de escritura

Si se utiliza un servicio de directorio para autenticar usuarios, puede configurar los mapeos de notificaciones que controlan cómo se resuelven las direcciones de correo electrónico cuando el clúster envía una notificación de cuota. Si es necesario, puede volver a mapear el dominio que se utiliza para las notificaciones de cuotas por correo electrónico, así como volver a mapear los dominios de Active Directory, los dominios locales de UNIX o ambos.

Configurar ajustes de notificación de cuota predeterminadosPuede configurar ajustes de notificación de cuota globales predeterminados que se aplican a todas las cuotas de un tipo de umbral especificado.

Los ajustes de notificación personalizados que configura para una cuota tienen prioridad sobre los ajustes de notificación globales predeterminados.

Para obtener información sobre los parámetros y las opciones que puede usar para este procedimiento, ejecute el comando isi quota settings notifications modify --help.

Ejecute el comando isi quota settings notifications modify.El siguiente comando configura los ajustes de notificación de cuota predeterminados para que se genere una alerta cuando se supere el umbral de aviso:

isi quota settings notifications modify advisory exceeded \ --action-alert=true


SmartQuotas 297

Configurar reglas de notificación de cuota personalizadasPuede configurar reglas personalizadas de notificación de cuotas para aplicarlas solo a una cuota especificada.

Debe existir una cuota de imposición o su creación debe estar en curso. Para configurar notificaciones para una cuota de imposición existente, siga el procedimiento en el cual se modifica una cuota y después use estos pasos.

Se deben configurar reglas de notificación personalizadas específicas de cuotas para esa cuota. Si no hay reglas de notificación configuradas para una cuota, se usa la configuración de notificación de eventos predeterminada.

Para obtener información sobre los parámetros y las opciones que puede usar para este procedimiento, ejecute el comando isi quota quotas notifications create --help.

Para configurar las reglas de notificación de cuotas personalizadas, ejecute el comando isi quota quotas notifications create.El siguiente comando crea una regla de notificación de cuotas de aviso para el directorio /ifs/data/quota_test_2 que usa el parámetro --holdoff con el fin de especificar la cantidad de tiempo que se esperará antes de que se genere una notificación:

isi quota quotas notifications create /ifs/data/quota_test_2 \ directory advisory exceeded --holdoff=10W


Asignar una regla de notificación por correo electrónico a una cuotaLas reglas de mapeo de notificación por correo electrónico controlan cómo se resuelven las direcciones de correo electrónico cuando el clúster envía una notificación de cuotas.

Si es necesario, puede volver a mapear el dominio usado para las notificaciones por correo electrónico de SmartQuotas. Puede volver a mapear dominios de Windows Active Directory, dominios locales de UNIX o dominios de NIS.

NOTA: Para ello, debe iniciar sesión en la interfaz de administración web.

1. Haga clic en File System > SmartQuotas > Settings.

2. Opcional: En el área Email Mapping, haga clic en Add a Mapping Rule.

3. En la lista Type, seleccione el tipo de proveedor de autenticación para esta regla de notificación. El valor predeterminado es Local. Para determinar cuáles son los proveedores de autenticación disponibles en el clúster, vaya a Access > Authentication Providers.

4. En la lista Current Domain, seleccione el dominio que desea usar para la regla de mapeo. Si la lista está en blanco, navegue a Cluster Management > Network Configuration y especifique los dominios que desea usar para el mapeo.

5. En el campo Map to domain, ingrese el nombre del dominio en el que desea mapear notificaciones por correo electrónico. Este puede ser el mismo nombre de dominio que seleccionó en la lista Current Domain. Para especificar varios dominios, separe los nombres de dominios con comas.

6. Haga clic en Create Rule.

Mensajes de notificación de cuotas por correo electrónicoSi se encuentran habilitadas las notificaciones por correo electrónico cuando se superan las cuotas, puede personalizar las plantillas de Isilon para las notificaciones por correo electrónico o puede crear su propia plantilla.

OneFS ofrece tres plantillas de notificación por correo electrónico. Las plantillas se ubican en /etc/ifs y se describen en la siguiente tabla:

Plantilla Descripción

quota_email_template.txt Una notificación que indica la superación de la cuota de disco.

quota_email_grace_template.txt Una notificación que indica la superación de la cuota de disco (también incluye un parámetro para definir un período de gracia en cantidad de días).

quota_email_test_template.txt Un mensaje de notificación de prueba que puede usar para verificar si el usuario recibe las notificaciones por correo electrónico.

Si las plantillas de notificación por correo electrónico predeterminadas no satisfacen sus necesidades, puede configurar sus propias plantillas de notificación por correo electrónico personalizadas mediante una combinación de texto y variables de SmartQuotas. Si elige

298 SmartQuotas

crear sus propias plantillas o modificar las existentes, asegúrese de que la primera línea del archivo de plantilla sea la línea Subject:. Por ejemplo:

Subject: Disk quota exceededSi desea incluir información sobre el remitente del mensaje, incluya una línea From: inmediatamente debajo de la línea Subject. Si usa una dirección de correo electrónico, incluya el nombre de dominio completo para la dirección. Por ejemplo:

From: [email protected] este ejemplo del archivo quota_email_template.txt, se incluye una línea From:. Además, el texto predeterminado “Contact your system administrator for details” al final de la plantilla se cambia por el nombre del administrador:

Subject: Disk quota exceededFrom: [email protected]

The <ISI_QUOTA_DOMAIN_TYPE> quota on path <ISI_QUOTA_PATH> owned by <ISI_QUOTA_OWNER> has exceeded the <ISI_QUOTA_TYPE> limit.The quota limit is <ISI_QUOTA_THRESHOLD>, and <ISI_QUOTA_USAGE>is currently in use. You may be able to free some disk space bydeleting unnecessary files. If your quota includes snapshot usage,your administrator may be able to free some disk space by deletingone or more snapshots. Contact Jane Anderson ([email protected])for details.Este un ejemplo de lo que verá un usuario en una notificación por correo electrónico (tenga en cuenta que las variables de SmartQuotas están resueltas):

Subject: Disk quota exceededFrom: [email protected]

The advisory disk quota on directory /ifs/data/sales_tools/collateralowned by jsmith on production-Boris was exceeded.

The quota limit is 10 GB, and 11 GB is in use. You may be able to free some disk space by deleting unnecessary files. If your quota includes snapshot usage, your administrator may be able to free some disk space by deleting one or more snapshots. Contact Jane Anderson ([email protected]) for details.

Descripciones de las variables de plantillas de notificación por correo electrónico personalizadasUna plantilla de correo electrónico contiene texto y, de forma opcional, variables que representan valores. Puede utilizar cualquiera de las variables de SmartQuotas en las plantillas.

Variable Descripción Ejemplo

ISI_QUOTA_DOMAIN_TYPE Tipo de cuota. Los valores válidos son: directory, user, group, default-directory, default-user, default-group

default-directory

ISI_QUOTA_EXPIRATION Fecha de vencimiento del período de gracia Viernes 22 de mayo de 2015 a las 14:23:19 h PST

ISI_QUOTA_GRACE Período de gracia, en días Cinco días

ISI_QUOTA_HARD_LIMIT Incluye la información del límite máximo de la cuota para que las notificaciones de correo electrónico de aviso/software sean más informativas.

Quedan 30 MB para alcanzar el límite de cuota fija de 50 MB.

ISI_QUOTA_NODE Nombre de host del nodo en el que se produce el evento de la cuota

someHost-prod-wf-1

ISI_QUOTA_OWNER Nombre del propietario del dominio de cuota jsmith

ISI_QUOTA_PATH Para eliminar un dominio: /ifs/dataISI_QUOTA_THRESHOLD Valor de umbral 20 GB

ISI_QUOTA_TYPE Tipo de umbral Asesoría

ISI_QUOTA_USAGE Espacio de disco SSD en uso 10.5 GB

SmartQuotas 299

Personalizar plantillas de notificación de cuotas por correo electrónicoPuede personalizar plantillas de Isilon para las notificaciones por correo electrónico. La personalización de plantillas solo se puede realizar desde la interfaz de la línea de comandos de OneFS.

Este procedimiento supone el uso de las plantillas de Isilon, que se ubican en el directorio /etc/ifs.

NOTA: Se recomienda no editar las plantillas directamente. En lugar de ello, cópielas a otro directorio para editarlas e

implementarlas.


2. Copie una de las plantillas predeterminadas en un directorio donde pueda editar el archivo y al que luego se accederá a través de la interfaz de administración web de OneFS. Por ejemplo:

cp /etc/ifs/quota_email_template.txt /ifs/data/quotanotifiers/quota_email_template_copy.txt

3. Abra el archivo de plantilla en un editor de texto. Por ejemplo:

edit /ifs/data/quotanotifiers/quota_email_template_copy.txt

La plantilla aparece en el editor.

4. Edite la plantilla. Si usa o crea una plantilla personalizada, asegúrese de que tenga una línea de Subject:.

5. Guarde los cambios. Los archivos de plantilla deben guardarse como archivos .txt.

6. En la interfaz de administración web, vaya a File System > SmartQuotas > Settings.

7. En el área Notification Rules, haga clic en Add a Notification Rule.Aparecerá el cuadro de diálogo Create a Notification Rule.

8. En la lista Rule type, seleccione el tipo de regla de notificación que desea usar con la plantilla.

9. En el área Rule Settings, seleccione una opción de tipo de notificación.

10. Según el tipo de regla que se haya seleccionado, es posible que aparezca un formulario de programación. Seleccione las opciones de programación de informes que desee usar.

11. En el campo Message template, escriba la ruta de la plantilla de mensajes o haga clic en Browse para ubicarla.

12. Opcional: Haga clic en Create Rule

Administración de informes de cuotasPuede configurar y calendarizar informes para facilitar el monitoreo, el rastreo y el análisis del uso de almacenamiento en un clúster Isilon.

Puede ver y calendarizar informes y personalizar la configuración de informes para rastrear, monitorear y analizar el uso de almacenamiento en disco. Los informes de cuotas se administran mediante la configuración de parámetros que le proporcionan control sobre cuándo calendarizar informes, cómo generarlos, dónde y cuántos se almacenan, y cómo verlos. El número máximo de informes calendarizados disponibles para su visualización en la interfaz de administración web se puede configurar para cada tipo de informe. Cuando se llega al número máximo de informes almacenados, el sistema va eliminando los informes más antiguos con el fin de hacer espacio para nuevos informes a medida que se generan.

Crear un calendario de informes de cuotasPuede configurar los informes de cuotas con el fin de generar estos informes según un calendario especificado.

La configuración de informes de cuotas determina si se generan informes calendarizados, cuándo se generan y dónde y cómo se almacenan. Si deshabilita un informe calendarizado, puede ejecutar informes no calendarizados en cualquier momento.

Para obtener información sobre los parámetros y las opciones que puede usar para este procedimiento, ejecute el comando isi quota reports list --help.

Para configurar un calendario de informes de cuotas, ejecute el comando isi quota settings reports modify.El siguiente comando crea un calendario de informes de cuotas que se ejecuta cada dos días. Para obtener más información sobre el patrón de fecha u otros parámetros de calendario, consulte man isi-schedule.

isi quota settings reports modify --schedule="Every 2 days"

Los informes se generan según los criterios y se pueden ver mediante la ejecución del comando isi quota reports list.

300 SmartQuotas

Generar un informe de cuotasAdemás de los informes de cuotas calendarizados, es posible generar un informe para capturar estadísticas de uso en cualquier momento.

Para poder generar un informe de cuotas, primero estas deben existir y no puede haber ningún trabajo de QuotaScan en ejecución.

Para obtener información sobre los parámetros y las opciones que puede usar para este procedimiento, ejecute el comando isi quota reports create --help.

Para generar un informe de cuota, ejecute el comando isi quota reports create.El siguiente comando crea un informe de cuotas ad hoc.

isi quota reports create -v

Puede ver el informe de cuotas mediante la ejecución del comando isi quota reports list -v.

Localizar un informe de cuotasPuede localizar informes de cuotas, que se almacenan como archivos XML, y utilizar sus propias herramientas y transformaciones para ver los informes. Esta tarea solo se puede realizar desde la interfaz de la línea de comandos de OneFS.


2. Navegue al directorio donde se almacenan los informes de cuotas. La siguiente ruta es la ubicación predeterminada de los informes de cuotas:

/ifs/.isilon/smartquotas/reportsNOTA: Si los informes de cuotas no están en el directorio predeterminado, puede ejecutar el comando isi quota settings para buscar el directorio donde se almacenan.

3. En la línea de comandos, ejecute el comando ls.

• Para ver una lista de todos los informes de cuotas del directorio, ejecute el siguiente comando:

ls -a *.xml• Para ver un determinado informe de cuotas en el directorio, ejecute el siguiente comando:

ls <filename>.xml

Configuración básica del usuarioAl crear una cuota de almacenamiento, se deben definir, como mínimo, los siguientes atributos. Cuando se especifican límites de uso, aparecen opciones adicionales para definir la cuota.

Opción Descripción

Ruta El directorio en el que se encuentra la cuota.

Directory Quota Establece límites de almacenamiento en un directorio.

User Quota Crea una cuota para todos los usuarios actuales o futuros que almacenen datos en el directorio especificado.

Group Quota Crea una cuota para todos los grupos actuales o futuros que almacenen datos en el directorio especificado.

Include snapshots in the storage quota Cuenta todos los datos de instantáneas en los límites de uso. Esta opción no se puede cambiar una vez creada la cuota.

Aplicar los límites de esta cuota según el tamaño físico Aplicación de la cuota base en el uso del almacenamiento, incluida la protección de datos y metadatos.

Aplicar los límites de esta cuota en función del tamaño lógico del sistema de archivos

Aplicación de la cuota base en el uso del almacenamiento, sin incluir la protección de datos y metadatos.

SmartQuotas 301

Opción Descripción

Aplicar los límites de esta cuota en función del tamaño lógico de la aplicación

Aplicación de la cuota base en el uso del almacenamiento, incluido el consumo de capacidad en el clúster, así como los datos organizados en niveles en la nube.

Track storage without specifying a storage limit Cuenta solamente el uso.

Especifique los límites del almacenamiento Impone límites recomendados, mínimos o absolutos.

Configuración de reglas de notificación de cuotas de límites recomendadosPuede configurar reglas personalizadas de notificación de cuotas para los límites recomendados de una cuota. Cuando selecciona la opción para utilizar reglas de notificación personalizadas, aparecen las siguientes opciones.

Opción Descripción Excedido Permanece excedido

Notify owner Seleccione esta opción para enviar una notificación por correo electrónico al propietario de la entidad.

Sí Sí

Notificar a otro(s) contacto(s) Seleccione esta opción para enviar notificaciones por correo electrónico a otros destinatarios e ingresar la dirección de correo electrónico de esos destinatarios.

NOTA: Puede ingresar una dirección de correo electrónico solamente antes de que se confirme el clúster. Una vez que se confirma el clúster, puede ingresar varias direcciones de correo electrónico separadas por comas. Se identifican las direcciones de correo electrónico duplicadas y solo se almacenan direcciones únicas. Puede ingresar un máximo de 1024 caracteres de direcciones de correo electrónico separadas por comas.

Sí Sí

Message template Escriba la ruta de acceso de la plantilla personalizada o haga clic en Browse para buscarla.

Deje el campo en blanco para usar la plantilla predeterminada.

Sí Sí

Create cluster event Seleccione esta opción para generar una notificación de eventos para la cuota cuando esta se sobrepase.

Sí Sí

302 SmartQuotas


Intervalo de notificación mínimo Especifique el período de espera (horas, días, semanas) antes de generar la notificación. De esta forma se minimizan las notificaciones duplicadas.

Sí No

Calendario Especifique la frecuencia de las notificaciones y alertas: diaria, semanal, mensual o anual. En función de la selección, especifique intervalos, días de envío, hora del día y varios correos electrónicos por regla.

No Sí

Configuración de reglas de notificación de cuotas de límite mínimoPuede configurar reglas personalizadas de notificación del límite mínimo de una cuota. Cuando selecciona la opción para utilizar reglas de notificación personalizadas, aparecen las siguientes opciones.


Período de gracia caducado

Solo acceso de escritura


Sí Sí Sí Sí

Notificar a otro(s) contacto(s)

Seleccione esta opción para enviar notificaciones por correo electrónico a otros destinatarios e ingresar la dirección de correo electrónico de esos destinatarios.

NOTA: Puede ingresar una dirección de correo electrónico solamente antes de que se confirme el clúster. Una vez que se confirma el clúster, puede ingresar varias direcciones de correo electrónico separadas por comas. Se identifican las direcciones de

Sí Sí Sí Sí

SmartQuotas 303


Período de gracia caducado

Solo acceso de escritura

correo electrónico duplicadas y solo se almacenan direcciones únicas. Puede ingresar un máximo de 1024 caracteres de direcciones de correo electrónico separadas por comas.



Sí Sí Sí Sí

Create cluster event Seleccione esta opción para generar una notificación de eventos para la cuota.

Sí Sí Sí Sí

Intervalo de notificación mínimo

Especifique el período de espera (horas, días, semanas) antes de generar la notificación. De esta forma se minimizan las notificaciones duplicadas.

Sí No No Sí


No Sí Sí No

304 SmartQuotas

Configuración de reglas de notificación de cuotas de límites máximosPuede configurar reglas personalizadas de notificación de cuotas para los límites máximos de una cuota. Cuando selecciona la opción para utilizar reglas de notificación personalizadas, aparecen las siguientes opciones.

Opción Descripción Solo acceso de escritura Excedido


Sí Sí

Notificar a otro(s) contacto(s) Seleccione esta opción para enviar notificaciones por correo electrónico a otros destinatarios e ingresar la dirección de correo electrónico de esos destinatarios.

NOTA: Puede ingresar una dirección de correo electrónico solamente antes de que se confirme el clúster. Una vez que se confirma el clúster, puede ingresar varias direcciones de correo electrónico separadas por comas. Se identifican las direcciones de correo electrónico duplicadas y solo se almacenan direcciones únicas. Puede ingresar un máximo de 1024 caracteres de direcciones de correo electrónico separadas por comas.

Sí Sí



Sí Sí

Create cluster event Seleccione esta opción para generar una notificación de eventos para la cuota.

Sí Sí

Intervalo de notificación mínimo Especifique el período de espera (horas, días, semanas) antes de generar la notificación. De esta forma se minimizan las notificaciones duplicadas.

Sí No


No Sí

SmartQuotas 305

Configuración de notificaciones del clienteLas cuotas de imposición son compatibles con los siguientes ajustes de notificación para cada tipo de umbral. Una cuota puede utilizar solamente uno de estos ajustes.

Configuración de notificaciones Descripción

Disable quota notifications Deshabilitar todas las notificaciones de la cuota.

Use the system settings for quota notifications Usar las reglas de notificación predeterminadas que haya configurado para el tipo de umbral especificado.

Create custom notification rules Incluir parámetros para crear notificaciones personalizadas básicas que se apliquen solamente a esta cuota.

Ajustes de informes de cuotasPuede configurar los ajustes de informes de cuotas para rastrear el uso de los discos. Estos ajustes determinan si se generarán o no informes calendarizados y cuándo, así como dónde y cómo se almacenarán dichos informes. Cuando se llega al número máximo de informes almacenados, el sistema va eliminando los informes más antiguos con el fin de hacer espacio para nuevos informes a medida que se generan.

Configuración Descripción

Scheduled reporting Habilita o deshabilita la función de creación de informes calendarizados.

• Off. Los informes generados manualmente según demanda se pueden ejecutar en cualquier momento.

• On. Los informes se ejecutan automáticamente de acuerdo con el calendario que especifique.

Report frequency Especifica el intervalo de ejecución de este informe: diario, semanal, mensual o anual. Puede utilizar las siguientes opciones para refinar aún más el calendario de informes.

Generate report every. Especifique un valor numérico para determinar la frecuencia de generación de informes; por ejemplo, cada dos meses.

Generate reports on. Seleccione el día o varios días para generar informes.

Select report day by. Especifique la fecha o el día de la semana para generar el informe.

Generate one report per specified by. Defina la hora del día para generar este informe.

Generate multiple reports per specified day. Establezca los intervalos y las horas del día para generar el informe durante ese día.

Scheduled report archiving Permite determinar el número máximo de informes calendarizados que están disponibles para su visualización en la página Reports de SmartQuotas.

Limit archive size para informes calendarizados permite limitar el tamaño de archiving a un número concreto de informes. Ingrese un número entero para especificar la cantidad máxima de informes que desea conservar.

Archive Directory. Navegue al directorio en el que desea almacenar informes de cuotas para archiving.

306 SmartQuotas


Manual report archiving Permite determinar el número máximo de informes generados manualmente (según demanda) que están disponibles para su visualización en la página Reports de SmartQuotas.

Limit archive size para informes en vivo permite limitar el tamaño de archiving a un número concreto de informes. Ingrese un número entero para especificar la cantidad máxima de informes que desea conservar.

Archive Directory. Navegue al directorio en el que desea almacenar informes de cuotas para archiving.

SmartQuotas 307

Pools de almacenamientoEsta sección contiene los siguientes temas:

Temas:

• Descripción general del pool de almacenamiento• Funciones del pool de almacenamiento• Aprovisionamiento automatizado• Pools de nodos• Hot spares virtuales• Spillover• Protección sugerida• Políticas de protección• Estrategias de discos SSD• Otros ajustes de espejeado del disco SSD• Aceleración de espacios de nombres globales• Descripción general de la caché L3• Niveles• Políticas de pools de archivos• Administración de pools de nodos mediante la interfaz de la línea de comandos• Administración de la caché L3 desde la interfaz de la línea de comandos• Administración de niveles• Creación de políticas de pools de archivos• Administración de políticas de pool de archivos• Monitoreo de pools de almacenamiento

Descripción general del pool de almacenamientoOneFS organiza los diferentes tipos de nodos en pools de nodos independientes. Además, puede organizar estos pools de nodos en niveles lógicos de almacenamiento. Mediante la activación de una licencia de SmartPools, puede crear políticas de pools de archivos que almacenan archivos en estos niveles de forma automática basadas en criterios de coincidencia de archivos que debe especificar.

Sin una licencia de SmartPools activa, OneFS administra todos los pools de nodos como un solo pool de almacenamiento. Los metadatos y datos en archivos se fraccionan en todo el clúster para proteger los datos y otorgarles disponibilidad inmediata. Todos los archivos pertenecen al pool de archivos predeterminado y están regulados por la política de pools de archivos predeterminada. En este modo, OneFS ofrece funciones tales como aprovisionamiento automático, compatibilidades, hot spare virtual (VHS), estrategias de discos SSD, aceleración de espacios de nombres globales (GNA), caché L3 y niveles de almacenamiento.

Tras activar una licencia de SmartPools, se pondrán a disposición funciones adicionales, incluidas las políticas de pools de archivos personalizadas y la administración de la propagación. Con una licencia de SmartPools, puede administrar su conjunto de datos con más granularidad para mejorar el rendimiento del clúster.

En la siguiente tabla se resumen las funciones del pool de almacenamiento según el estado de la licencia de SmartPools.

Función Licencia de SmartPools inactiva Licencia de SmartPools activa

Aprovisionamiento automatizado del nivel de almacenamiento

Sí Sí

Compatibilidades de clases de nodos (equivalencia de nodos)

Sí Sí

Compatibilidades de las capacidades de discos SSD

Sí Sí

Compatibilidades de conteo de discos SSD Sí Sí

24

308 Pools de almacenamiento

Función Licencia de SmartPools inactiva Licencia de SmartPools activa

Hot spares virtuales Sí Sí

Estrategias de discos SSD Sí Sí

Caché L3 Sí Sí

Niveles Sí Sí

GNA Sí Sí

Políticas de pools de archivos No Sí

Administración de la propagación No Sí

Funciones del pool de almacenamientoCuando se instala un clúster y cada vez que se agregan nodos al clúster, OneFS agrupa automáticamente los nodos en pools de nodos. El autoaprovisionamiento de nodos en pools de nodos permite que OneFS optimice el rendimiento, la confiabilidad y la protección de datos del clúster.

Sin una licencia de SmartPools activa, OneFS aplica una política de pool de archivos predeterminada para organizar todos los datos en un solo pool de archivos. Con esta política, OneFS distribuye los datos en todo el clúster para protegerlos y dejarlos accesibles. Al activar una licencia de SmartPools, se pondrán a disposición las funciones adicionales.

OneFS ofrece las siguientes funciones, con o sin una licencia de SmartPools activa:

Autoaprovisionamiento de pools de nodos

Agrupamiento automático de nodos de clase equivalente en pools de nodos para otorgar eficiencia y protección óptimas al almacenamiento. Se requieren al menos tres nodos de una clase equivalente para que funcione el autoaprovisionamiento.

Compatibilidades de clases de nodos (equivalencia de nodos)

Permite la unión de ciertos nodos cuyas clases no son equivalentes a pools de nodos. OneFS admite compatibilidades de clases de nodos entre los nodos Isilon S200 y S210, X200 y X210, X400 y X410, y NL400 y NL410. La caché L3 debe encontrarse habilitada en los pools de nodos para que funcione la compatibilidad de clases de nodos.

Compatibilidades de las capacidades de discos SSD

Permite que los nodos con diferentes capacidades de discos SSD se provisionen en un pool de nodos compatible existente. De lo contrario, los nodos compatibles con diferentes capacidades de discos SSD no pueden unirse al mismo pool de nodos. Si tiene menos de tres nodos con una capacidad de discos SSD diferente, estos nodos aún quedarán por provisionarse y, por lo tanto, no se encontrarán operativos. La caché L3 debe estar habilitada en los pools de nodos para que funcione la compatibilidad de capacidad de disco SSD.

Compatibilidades de conteo de discos SSD

Permite que los nodos con distintas cantidades de discos SSD se provisionen al mismo pool de nodos. De lo contrario, los nodos compatibles con diferentes conteos de discos SSD no pueden unirse al mismo pool de nodos. Si tiene menos de tres nodos con un conteo de discos SSD en especial, estos nodos aún quedarán por provisionarse y, por lo tanto, no estarán operativos hasta que cree una compatibilidad de conteo de discos SSD. La caché L3 debe estar habilitada en los pools de nodos para que funcione la compatibilidad de conteos de discos SSD.

Niveles Agrupa los pools de nodos en niveles lógicos de almacenamiento. Si activa una licencia de SmartPools para esta función, puede crear políticas de pool de archivos personalizadas y dirigir diferentes pools de archivos a niveles de almacenamiento apropiados.

Política de pool de archivos predeterminada

Administra todos los tipos de archivos y puede almacenar los archivos en cualquier lugar del clúster. Las políticas de pool de archivos personalizadas, que requieren una licencia de SmartPools, tienen prioridad sobre las políticas de pool de archivo predeterminadas.

Protección requerida

Especifica una configuración de protección requerida para el pool de archivos predeterminado, para cada pool de nodos o incluso para archivos individuales. Puede conservar la configuración predeterminada o elegir la protección sugerida que OneFS calcula para una protección de datos óptima.

Hot spares virtuales

Reserva una parte del espacio de almacenamiento disponible para la reparación de datos en caso de una falla de discos.

Estrategias de discos SSD

Define el tipo de datos almacenados en discos SSD en el clúster. Por ejemplo, los metadatos de almacenamiento para la aceleración de lectura/escritura.

Caché L3 Especifica que los discos SSD en los nodos se utilizan para aumentar la memoria caché y para acelerar el rendimiento del sistema de archivos en los conjuntos de archivos de trabajo más grandes.

Pools de almacenamiento 309

Aceleración de espacios de nombres globales

Activa la aceleración de espacios de nombres globales (GNA), la cual permite que los datos que se almacenan en pools de nodos sin discos SSD accedan a estos discos en cualquier otra parte del clúster a fin de almacenar espejeados de metadatos adicionales. Los espejeados de metadatos adicionales aceleran las operaciones de lectura de metadatos.

Si se activa una licencia de SmartPools, OneFS brindará las siguientes funciones adicionales:

Políticas de pool de archivos personalizadas

Crea políticas de pool de archivos personalizadas para identificar las diferentes clases de archivos y almacena estos pools de archivos en niveles de almacenamiento lógicos. Por ejemplo, puede definir un nivel de alto rendimiento para los pools de nodos de la serie S de Isilon y un nivel de archiving de alta capacidad para los pools de nodos Isilon NL400 y HD400. Luego, con las políticas de pool de archivos personalizadas, puede identificar los pools de archivos con base en los criterios de coincidencia y definir las acciones que se realizarán en estos pools. Por ejemplo, una política de pool de archivos puede identificar todos los archivos JPEG con una antigüedad superior a un año y almacenarlos en un nivel de archiving. Otra política puede transferir todos los archivos creados o modificados durante los últimos tres meses a un nivel de rendimiento.

Propagación de pools de almacenamiento

Habilita la administración automatizada del desbordamiento de capacidad en los pools de almacenamiento. La propagación define la forma en que se manejan las operaciones de escritura cuando un pool de almacenamiento no presenta capacidad de escritura. Si se habilita la propagación, los datos se redireccionan a un pool de almacenamiento especificado. Si se deshabilita la propagación, las escrituras de nuevos datos fallan y se envía un mensaje de error al cliente que intenta realizar la operación de escritura.

Aprovisionamiento automatizadoAl agregar un nodo a un clúster Isilon, OneFS intenta asignar el nodo a un pool de nodos. Este proceso se conoce como autoaprovisionamiento, que ayuda a OneFS a brindar un rendimiento óptimo, balanceo de cargas e integridad del sistema de archivos en todo el clúster.

Para que un nodo se autoprovisione a un pool de nodos y obtenga capacidad de escritura, es necesario agregar al clúster al menos tres nodos de la misma clase de equivalencia. Si agregó únicamente dos nodos de una clase equivalente, no se almacenarán datos en los nodos hasta que agregue un tercer nodo de la misma clase de equivalencia.

De manera similar, si un nodo se deshabilita o se extrae del clúster y quedan menos de tres nodos de la misma clase de equivalencia, el pool de nodos pierde su aprovisionamiento. En este caso, los dos nodos restantes mantienen su capacidad de escritura. Sin embargo, si queda un solo nodo de una clase equivalente, este nodo no poseerá capacidad de escritura, pero mantendrá su capacidad de lectura.

Con el tiempo, a medida que agrega nuevos nodos Isilon al clúster, los nuevos nodos probablemente serán diferentes de los nodos anteriores en ciertas maneras. Por ejemplo, los nuevos nodos pueden ser de una generación diferente o tener diferentes configuraciones de unidades. A menos que agregue tres nuevos nodos de la misma clase de equivalencia cada vez que actualiza su clúster, los nuevos nodos no se provisionarán automáticamente.

Para resolver esas restricciones, OneFS le permite crear tres tipos de compatibilidades: clase de nodo, capacidad de disco SSD y conteo de discos SSD. Con el uso de las compatibilidades adecuadas, se pueden provisionar nuevos tipos de nodos para los pools de nodos existentes. Puede agregar nodos al clúster (uno a la vez) y los nodos nuevos pueden convertirse en pares totalmente operativos dentro de pools de nodos existentes.

Por ejemplo, suponga que un clúster tenía un pool de nodos conformado por tres nodos S200 y adquiere un nodo S210. Además de ser una generación de nodo diferente, el nodo S210 podría tener una cantidad y capacidad diferentes de discos SSD. Con las compatibilidades correspondientes, se puede provisionar el nuevo nodo S210 al pool de nodos S200.

Pools de nodosUn pool de nodos es un grupo de tres o más nodos Isilon que forma un solo pool de almacenamiento. A medida que agrega nodos a un clúster Isilon, OneFS intenta aprovisionar automáticamente los nuevos nodos en los grupos de nodos.

Para autoaprovisionar un nodo, OneFS necesita que el nuevo nodo sea de la misma clase de equivalencia que los otros nodos en el grupo de nodos. OneFS utiliza los siguientes criterios para determinar si el nuevo nodo es de la misma clase de equivalencia:

• Código de familia• Código de chasis• Código de generación• Configuración de la unidad• Capacidad de RAM


Si el nuevo nodo coincide con todos los criterios, OneFS aprovisiona el nuevo nodo al grupo de nodos. Todos los nodos de un grupo de nodos son pares y los datos se distribuyen a través de los nodos del grupo. Cada nodo aprovisionado aumenta la capacidad agregada de disco, caché, CPU y red del clúster.

Se recomienda enfáticamente dejar que OneFS maneje el aprovisionamiento de los nodos. Sin embargo, si tiene algún requisito o caso de uso especial, puede transferir los nodos de un pool de nodos autoprovisionado a un pool definido manualmente. La funcionalidad para crear pools de nodos definidos manualmente se encuentra disponible solo a través de la interfaz de la línea de comandos de OneFS y su implementación solo debe realizarse tras consultar al Isilon Technical Support.

Si intenta eliminar un nodo de un grupo de nodos con el fin de agregarlo a un grupo de nodos manual y el resultado dejaría menos de tres nodos en el grupo de nodos original, la extracción arrojará un error. Al eliminar un nodo de un pool de nodos definido manualmente, OneFS intenta autoprovisionar el nodo en un pool de nodos de la misma clase de equivalencia.

Si agrega menos de tres nodos de una clase equivalente al clúster, OneFS no podrá autoprovisionar estos nodos. En estos casos, a menudo puede crear una o más compatibilidades para permitir que OneFS aprovisione los nodos recién agregados a un grupo de nodos compatible.

Entre los tipos de compatibilidades, se incluyen la clase de nodo, la capacidad de SSD y el recuento de SSD.

Compatibilidades de clases de nodosPara su autoaprovisionamiento, el nodo debe poseer la misma clase de equivalencia que los otros nodos del pool. Si un nodo nuevo no posee la misma clase de equivalencia, puede habilitarlo para que se aprovisione en un pool de nodos existente mediante la definición de una compatibilidad de clases de nodos.

NOTA: Los modelos Isilon Infinity no se pueden compatibilizar con nodos de otro tipo.

Si cuenta con pools de nodos S200, X200, X400 o NL400 y agrega menos de tres nodos Isilon S210, X210, X410 o NL410, puede crear compatibilidades de clases de nodos para aprovisionar los nuevos nodos y ponerlos en funcionamiento dentro de clúster. Solo los nodos S210, X210, X410 y NL410 son actualmente idóneos para la compatibilidad de clases de nodos con generaciones de nodos más antiguas.

Para aprovisionarse, los nodos nuevos deberían tener la misma configuración de unidades que sus contrapartes de generaciones anteriores y deben contar con cantidades compatibles de RAM, como se muestra en la siguiente tabla:

Compatibilidad S200/S210 Compatibilidad X200/X210 Compatibilidad X400/X410 Compatibilidad NL400/NL410

RAM de S200 RAM de S210 RAM de X200 RAM de X210 RAM de X400 RAM de X410 RAM de NL400

RAM de NL410

24 GB 32 GB 6 GB No disponible 24 GB 32 GB 12 GB No disponible

48 GB 64 GB 12 GB 48 GB 64 GB 24 GB 24 GB

96 GB 128 GB 24 GB 24 GB 96 GB 128 GB 48 GB 48 GB

256 GB 48 GB 48 GB 192 GB 256 GB – –

Si los nodos nuevos tienen configuraciones de unidades diferentes en virtud de los discos SSD de distintas capacidades o conteos, debe crear compatibilidades de los conteos o de la capacidad de los discos SSD, además de compatibilidades de las distintas clases de nodos.

NOTA: Después de agregar tres o más nodos nuevos de generaciones más recientes de una clase equivalente particular

al clúster, recomendamos quitar las compatibilidades de clases de nodos que haya creado. Este paso permite que OneFS

autoprovisione nodos S210, X210, X410 o NL410 nuevos en sus propios pools de nodos, además de aprovechar las

especificaciones de mayor rendimiento de los tipos de nodos nuevos. Sin embargo, como los pools de nodos más

grandes almacenan los datos de manera más eficiente, la eliminación de las compatibilidades también puede reducir la

cantidad de almacenamiento disponible en su clúster. Si no está seguro acerca de quitar las compatibilidades, se

recomienda que primero consulte con Isilon Technical Support.

Compatibilidades de discos SSDOneFS no puede aprovisionar nodos nuevos de manera automática si tienen discos SSD con capacidades o conteos distintos de los del resto de los nodos del pool. Para permitir que nuevos nodos con discos SSD con capacidades o conteos distintos se unan a un pool de nodos compatible, puede crear compatibilidades de los discos SSD.

Por ejemplo, si su clúster ya tiene un pool de nodos S200 y se agrega un nodo S200 nuevo, OneFS intentará aprovisionar automáticamente el nuevo nodo en el pool de nodos S200. Sin embargo, si el nodo S200 nuevo tiene una capacidad de discos SSD mayor que la de los nodos S200 antiguos o una cantidad distinta de discos SSD, OneFS no puede aprovisionar el nuevo nodo de manera


automática. Para permitir el autoaprovisionamiento del nuevo nodo, puede crear compatibilidades de discos SSD para el tipo de nodo S200.

Tal como las compatibilidades de clases de nodos, las compatibilidades de discos SSD requieren la compatibilidad entre los nodos, como se muestra en la siguiente tabla:

Pool de nodos existente Compatibilidades de discos SSD que se pueden crear

S200 S200, S210*

X200 X200, X210*

X400 X400, X410*

NL400 NL400, NL410*

S210 S210, S200*

X210 X210, X210*

X410 X410, X410*

NL410 NL410, NL400*

Generación 6-F800 Sistema todo flash; no se admiten las compatibilidades de los discos SSD

Generación 6-H600 Gen 6-H600



Generación 6-A2000 Gen 6-A2000

Generación 6-A200 Gen 6-A200

* También requiere una compatibilidad de clases de nodos con la clase de pool de nodos existente.

NOTA: Para crear las compatibilidades de discos SSD, todos los nodos deben tener habilitada la caché L3. Si intenta

crear una compatibilidad de clases de nodos y compatibilidades de discos SSD adecuadas, y el proceso falla con un

mensaje de error, asegúrese de que el pool de nodos existente tenga la caché L3 habilitada. Luego intente crear la

compatibilidad otra vez. La caché L3 solo puede habilitarse en los nodos que tienen menos de 16 discos SSD y una

relación mínima de 2:1 entre discos duros y discos SSD. En los modelos Infinity que admiten las compatibilidades de

discos SSD, se ignora el conteo de discos SSD. Si se utilizan discos SSD para el almacenamiento, los conteos de discos

SSD deben ser idénticos en todos los nodos de un pool de nodos. Si los conteos de discos SSD no coinciden, el

rendimiento y la eficiencia del pool de nodos disminuirán.

Pools de nodos manualesSi los pools de nodos provisionados automáticamente por OneFS no satisfacen sus necesidades, puede configurarlos manualmente. Puede hacerlo mediante la transferencia de nodos desde un pool de nodos existente hasta el pool de nodos manual.

Esta capacidad le permite almacenar datos en nodos específicos según sus propósitos, y se encuentra disponible solo mediante la interfaz de la línea de comandos de OneFS.

PRECAUCIÓN: Se recomienda habilitar OneFS para provisionar los nodos automáticamente. Es posible que los pools de

nodos creados manualmente no ofrezcan el mismo rendimiento y eficiencia que los pools de nodos administrados

automáticamente, en especial si los cambios dan como resultado menos de 20 nodos en el pool de nodos manual.

Hot spares virtualesLa configuración de hot spare virtual (VHS) le permite reservar espacio en disco para reconstruir los datos si falla una unidad.

Puede especificar una cantidad de unidades virtuales para reservar y un porcentaje del espacio de almacenamiento total. Por ejemplo, si especifica dos unidades virtuales y un 15 %, cada pool de nodos reservará un espacio de unidad virtual que equivale a dos unidades o al 15 % de su capacidad total (lo que sea mayor).

Puede reservar espacio en los pools de nodos de todo el clúster para este propósito mediante la especificación de las siguientes opciones:

• Al menos entre una y cuatro unidades virtuales.


• Al menos entre un 0 % y un 20 % de almacenamiento total.

OneFS calcula el número mayor de los dos factores para determinar el espacio asignado. Al configurar los ajustes de VHS, asegúrese de considerar la siguiente información:

• Si deselecciona la opción Ignore reserved space when calculating available free space (predeterminada), los cálculos de espacio libre incluirán el espacio reservado para VHS.

• Si deselecciona la opción Deny data writes to reserved disk space (predeterminada), OneFS puede usar VHS para escrituras normales de datos. Se recomienda dejar esta opción seleccionada; de lo contrario, la reparación de datos se verá comprometida.

• Si se habilita la opción Ignore reserved space when calculating available free space mientras Deny data writes to reserved disk space se encuentra deshabilitada, es posible que el sistema de archivos informe una utilización de más del 100 %.

NOTA: Los ajustes de VHS afectan la propagación. Si se habilita la opción Deny data writes to reserved disk space de

VHS mientras Ignore reserved space when calculating available free space se encuentra deshabilitada, la propagación

ocurre antes de que el sistema de archivos informe una utilización del 100 %.

SpilloverAl activar una licencia de SmartPools, puede designar un pool de nodos o un nivel para que reciba los datos propagados cuando el hardware especificado por una política de pool de archivos esté lleno o no tenga capacidad de escritura.

Si no desea que los datos se propaguen a una ubicación diferente porque el nivel o el pool de nodos especificado está completo o no tiene capacidad de escritura, puede deshabilitar esta función.

NOTA: Las reservas de hot spare virtual afectan la propagación. Si se encuentra habilitado el ajuste de configuración

Deny data writes to reserved disk space y el ajuste Ignore reserved space when calculating available free space está

deshabilitado, la propagación ocurre después de que el sistema de archivos informe una utilización del 100 %.

Protección sugeridaSegún la configuración del clúster Isilon, OneFS calcula automáticamente la cantidad de protección recomendada para mantener los estrictos requisitos de protección de datos de Dell EMC Isilon.

OneFS incluye una función para calcular la protección sugerida de datos a fin de mantener un tiempo promedio de pérdida de datos (MTTDL) teórico de 5,000 años. La protección sugerida brinda el equilibrio óptimo entre protección de datos y eficiencia del almacenamiento en su clúster.

Mediante la configuración de políticas de pool de archivos, puede especificar uno de los múltiples ajustes de protección requeridos para un solo archivo, para subconjuntos de archivos denominados pools de archivos o para todos los archivos del clúster.

Se recomienda no especificar una configuración inferior a la protección sugerida. OneFS verifica periódicamente el nivel de protección del clúster y envía alertas si la protección de datos recomendada disminuye.

Políticas de protecciónOneFS ofrece una variedad de políticas de protección para elegir con el fin de proteger un archivo o especificar una política de pools de archivos.

Cuanto mayor sea la cantidad de nodos en el clúster (hasta 20 nodos), más eficaz será el almacenamiento y la protección de datos de OneFS y mayores serán los niveles de protección requeridos que puede lograr el sistema operativo. Según la configuración de su clúster y la cantidad de datos almacenados, es posible que OneFS no logre el nivel de protección deseado. Por ejemplo, si tiene un clúster de tres nodos que está cerca del límite de capacidad, y se solicita la protección +2n, puede que OneFS no sea capaz de brindar la protección requerida.

La siguiente tabla describe las políticas de protección disponibles en OneFS.

Política de protección Resumen

+1n Tolera la falla de 1 unidad o la falla de 1 nodo

+2d:1n Tolera la falla de 2 unidades o la falla de 1 nodo

+2n Tolera la falla de 2 unidades o la falla de 2 nodos


+3d:1n1d Tolera la falla de 3 unidades o la falla de 1 nodo y 1 unidad


Política de protección Resumen



+4d:2n Tolera la falla de 4 unidades o la falla de 2 nodos


Espejeados:

2 veces

3 veces

4 veces

5 veces

6 veces

7 veces

8 veces

Duplica o espejea datos en la cantidad especificada de nodos. Por ejemplo, 2x genera dos copias de cada bloque de datos.

NOTA: Los espejeados pueden usar más datos que las otras políticas de replicación, pero pueden constituir una manera eficaz de proteger los archivos escritos de manera no secuencial o para brindar un acceso más rápido a archivos importantes.

Estrategias de discos SSDLos clústeres OneFS pueden contener nodos que incluyen discos de estado sólido (discos SSD). OneFS autoprovisiona los nodos de clase equivalente con discos SSD en uno o más pools de nodos. La estrategia de discos SSD definida en la política de pool de archivos predeterminada determina la manera en que los discos SSD se utilizan en el clúster, y se puede configurar para que aumente el rendimiento en una amplia variedad de flujos de trabajo.

Puede configurar las políticas de pool de archivos para aplicar estrategias de SSD específicas, según sea necesario. Al seleccionar las opciones de discos SSD durante la creación de una política de pool de archivos, puede identificar los archivos del clúster OneFS que necesitan un rendimiento más rápido o más lento. Cuando se ejecuta el trabajo de SmartPools, OneFS utiliza las políticas de pool de archivos para transferir estos datos al pool de almacenamiento y al tipo de unidad pertinentes.

Las siguientes opciones de estrategias de discos SSD que puede establecer en una política de pool de archivos se enumeran en orden ascendente según la velocidad de las opciones:

Avoid SSDs Escribe todos los metadatos y datos en archivos asociados solamente en discos duros.PRECAUCIÓN: Use esta opción para liberar espacio en discos SSD únicamente después de

consultar esta operación con el personal del soporte técnico de Isilon. Usar esta estrategia puede

tener un impacto negativo en el rendimiento.

Metadata read acceleration

Escribe tanto metadatos como datos en archivos en los discos duros. Esta es la configuración predeterminada. Si es posible, se escribe un espejeado adicional de los metadatos de archivos en los discos SSD. El espejeado adicional de discos SSD se incluye en la cantidad de espejeados, si los hay, que son necesarios para lograr la protección solicitada.

Metadata read/write acceleration

Escribe datos en archivos en discos duros y metadatos en discos SSD, de estar disponibles. Esta estrategia acelera la escritura de metadatos, además de las lecturas, pero requiere cerca de cuatro a cinco veces más almacenamiento en SSD que la configuración Metadata read acceleration. La habilitación de GNA no afecta la aceleración de lectura/escritura.

Datos en discos SSDs

Usa los pools de nodos de SSD tanto para los datos como para los metadatos, independientemente de si está habilitada o no la aceleración de espacios de nombres globales. Esta estrategia de SSD no crea más espejeados adicionales que los necesarios para la protección común solicitada, pero tiene requisitos de almacenamiento considerablemente mayores en comparación con las otras opciones de estrategia de SSD.

Otros ajustes de espejeado del disco SSDOneFS crea múltiples espejeados para estructuras del sistema de archivos y, de forma predeterminada, almacena un espejeado para cada una de estas estructuras en el disco SSD. Puede especificar que todos los espejeados para estas estructuras del sistema de archivos se almacenen en el disco SSD.

OneFS crea espejeados para las siguientes estructuras del sistema de archivos:

• Árbol del sistema B


• Delta del sistema• QAB (bloque de contabilidad de la cuota)

Para cada estructura, OneFS crea múltiples espejeados en todo el sistema de archivos y almacena al menos uno de estos en un disco SSD. Debido a que los discos SSD proporcionan una I/O más veloz que los discos duros, OneFS puede localizar más rápidamente un espejeado para cada estructura y acceder a este cuando sea necesario.

Opcionalmente, puede especificar que todos los espejeados que se crearon para estas estructuras del sistema de archivos se almacenen en el disco SSD.

NOTA: La funcionalidad de cambiar la configuración predeterminada del espejeado del árbol del sistema B, del delta del

sistema y del QAB solo está disponible en la CLI de OneFS, específicamente en el comando isi storagepool settings.

Aceleración de espacios de nombres globalesLa aceleración de espacios de nombres globales (GNA) permite que los datos en pools de nodos sin discos SSD cuenten con espejeados de metadatos adicionales en discos SSD en otra parte del clúster. Los espejeados de metadatos en discos SSD pueden mejorar el rendimiento del sistema de archivos mediante la aceleración de las operaciones de lectura de metadatos.

Puede habilitar la GNA únicamente si el 20 % o más de los nodos del clúster contienen al menos un disco SSD y si el 1.5 % o más del almacenamiento total del clúster está basado en discos SSD. Para obtener mejores resultados, antes de habilitar la GNA, asegúrese de que al menos el 2.0 % del almacenamiento total del clúster esté basado en discos SSD.

Incluso tras su habilitación, la GNA se torna inactiva si la relación de discos SSD y HDD disminuye bajo el umbral del 1.5 %, o si el porcentaje de nodos que contiene al menos un disco SSD disminuye a menos del 20 %. La GNA se vuelve a activar cuando se cumplen dichos requisitos. En estos casos, mientras la GNA está inactiva, los espejeados existentes de discos SSD tienen capacidad de lectura, pero los metadatos escritos recientemente no incluyen el espejeado de discos SSD adicional.

NOTA: Los pools de nodos con la caché L3 habilitada son invisibles para fines de GNA. Todos los cálculos de tasas para

GNA se realizan exclusivamente para los pools de nodos sin la caché L3 habilitada. Por ejemplo, si hay seis pools de

nodos en el clúster, y tres de ellos tienen la caché L3 habilitada, la GNA se aplica solo a los tres pools de nodos restantes

sin la caché L3 habilitada. En los pools de nodos con la caché L3 habilitada, los metadatos no necesitan un espejeado

adicional de la GNA, ya que la caché L3 ya aceleró el acceso a los metadatos.

Descripción general de la caché L3Puede configurar nodos con discos de estado sólido (discos SSD) para aumentar la memoria de la caché y agilizar el rendimiento del sistema de archivos en conjuntos de archivos de trabajo más grandes.

OneFS almacena en caché los metadatos y datos en archivos en varios niveles. La siguiente tabla describe los tipos de caché del sistema de archivos disponibles en un clúster Isilon.

Nombre Tipo Perfil Alcance Descripción

Caché L1 RAM Volátil Nodo local También conocida como caché de front-end, retiene copias de datos y metadatos del sistema de archivos solicitados por la red de front-end mediante NFS, SMB, HTTP, etc.

Caché L2 RAM Volátil Global También conocida como caché de back-end, retiene copias de datos y metadatos del sistema de archivos en el nodo al cual pertenecen los datos.

SmartCache Variable No volátil Nodo local Retiene cualquier cambio pendiente en archivos de front-end que esperan ser escritos en el almacenamiento. Este tipo de caché protege los datos de reescritura mediante una combinación de RAM y almacenamiento estable.

Caché L3 Disco SSD No volátil Global Retiene metadatos y datos en archivos liberados de la caché L2, lo cual aumenta eficazmente la capacidad de la caché L2.

OneFS almacena en caché los archivos y metadatos a los que se accede frecuentemente en la memoria de acceso aleatorio (RAM) disponible. El almacenamiento en caché permite que OneFS optimice la protección de datos y el rendimiento del sistema de archivos. Cuando se utiliza toda la capacidad de la caché en RAM, OneFS normalmente desecha los datos almacenados en caché más antiguos y procesa nuevas solicitudes de datos mediante el acceso a las unidades de almacenamiento. Este ciclo se repite cada vez que la caché en RAM se completa.


Puede implementar discos SSD como caché L3 para reducir el problema del ciclo de la caché y mejorar aún más el rendimiento del sistema de archivos. La caché L3 contribuye significativamente a la memoria caché disponible y proporciona un acceso más rápido a los datos que los discos duros (HDD).

A medida que la caché L2 alcanza su límite de capacidad, OneFS evalúa los datos que se liberarán y, según su flujo de trabajo, transfiere los datos a la caché L3. De esta forma, se retienen muchos más datos a los que se accede con frecuencia en la caché y se mejora el rendimiento del sistema de archivos general.

Por ejemplo, considere un clúster con 128 GB de RAM. Por lo general, la cantidad de RAM disponible para la caché varía según otros procesos activos. Si el 50 % de la RAM está disponible para la caché, el tamaño de esta sería aproximadamente de 64 GB. Si este mismo clúster contara con tres nodos, cada uno con dos discos SSD de 200 GB, la cantidad de la caché L3 sería de 1.2 TB, aproximadamente 18 veces la cantidad de la caché L2 disponible.

La caché L3 está habilitada de forma predeterminada para nuevos pools de nodos. Un pool de nodos es una recopilación de nodos que pertenecen a la misma clase de equivalencia o para los que se crearon compatibilidades. La caché L3 se aplica solamente a los nodos donde residen los discos SSD. Para el nodo HD400, que se usa principalmente para fines de archiving, la caché L3 se encuentra habilitada de manera predeterminada y no se puede deshabilitar. En el nodo HD400, la caché L3 se usa únicamente para los metadatos.

Si habilita la caché L3 en un pool de nodos, OneFS administra todos los niveles de la caché para proporcionar una protección de datos, disponibilidad y rendimiento óptimos. Además, en caso de que ocurra una falla en la energía, los datos en la caché L3 se conservan y continúan disponibles una vez solucionada la falla.

NOTA: Aunque se obtienen algunos beneficios de la caché L3 en flujos de trabajo con acceso a archivos de streaming y

concurrent, la caché L3 proporciona los máximos beneficios en flujos de trabajo que conllevan acceso a archivos random.

Migración a caché L3La caché L3 está habilitada de forma predeterminada en los nodos nuevos. Si actualiza el clúster a partir de OneFS 7.1.0 o una versión anterior, debe habilitar la caché L3 manualmente en los pools de nodos que contienen discos SSD. Cuando habilita la caché L3, OneFS migra los datos que se almacenan en los discos SSD a discos duros de almacenamiento y, a continuación, comienza a usar los discos SSD como caché.

Puede habilitar la caché L3 como opción predeterminada para todos los pools de nodos nuevos, o bien, de manera manual para un pool de nodos específico, ya sea mediante la línea de comandos o desde la interfaz de administración web. La caché L3 solo se puede habilitar en los pools de nodos con nodos que contienen discos SSD.

Cuando se habilita la caché L3, OneFS muestra el siguiente mensaje:

WARNING: Changes to L3 cache configuration can have a long completion time. If this is a concern, please contact Isilon Technical Support for more information.Debe confirmar si desea que OneFS continúe con el proceso de migración. Después de confirmar la migración, OneFS la maneja como un proceso en segundo plano y, según la cantidad de datos almacenados en los discos SSD, el proceso de migración de datos de los discos SSD a los discos duros puede tardar mucho tiempo.

NOTA: Durante la migración de datos, puede continuar con la administración del clúster.

Caché L3 en pools de nodos de archivosAlgunos nodos de Isilon son unidades de alta capacidad diseñadas principalmente para los flujos de trabajo de archiving, lo cual implica un mayor porcentaje de escrituras de datos en comparación con las lecturas de datos. Los discos SSD se implementan para la caché L3 en estos pools de nodos de archivos, lo que mejora significativamente la velocidad de las actividades transversales del sistema de archivos, como la búsqueda de directorio.

La caché L3 con metadatos almacenada solo en discos SSD proporciona el mejor rendimiento para el archiving de datos en estos nodos de alta capacidad. La caché L3 se encuentra habilitada de forma predeterminada, tal como se describe en la siguiente tabla.

Nodos Comentarios

Serie NL Para los pools de nodos que contienen nodos de la serie NL con unidades de disco duro (HDD) de más de 4 TB de capacidad, la caché L3 almacena datos y metadatos en discos SSD de forma predeterminada. Puede apagar la caché L3 en los nodos serie NL con discos duros de 4 TB o más pequeños. Sin embargo, recomendamos que deje habilitada la caché L3, ya que los pools de nodos de la serie NL generalmente no tienen grandes cantidades de discos SSD. Desde una perspectiva de rendimiento, los beneficios de la caché L3 superan los beneficios de usar discos SSD como unidades de almacenamiento en estos pools de nodos.


Nodos Comentarios

Para los pools de nodos que contienen nodos de la serie NL con unidades de disco duro (HDD) de más de 4 TB de capacidad, la caché L3 almacena metadatos solo en discos SSD y no se puede deshabilitar.

Serie HD Para todos los pools de nodos que contienen nodos de la serie HD, la caché L3 almacena metadatos solo en discos SSD y no se puede deshabilitar.

Serie A Infinity Para todos los pools de nodos que contienen nodos de la serie A Infinity, la caché L3 almacena metadatos solo en discos SSD y no se puede deshabilitar.

NivelesUn nivel es una recopilación de pools de nodos definida por el usuario que se puede especificar como un pool de almacenamiento para los archivos. Un pool de nodos puede pertenecer a un solo nivel.

Puede crear niveles para asignar sus datos a cualquiera de los pools de nodos en el nivel. Por ejemplo, puede asignar una recopilación de pools de nodos a un nivel creado específicamente para almacenar los datos que requieren una alta disponibilidad y acceso rápido. En un sistema de tres niveles, esta clasificación puede ser Nivel 1. Puede clasificar los datos que se usan con menos frecuencia o a los que menos acceden los usuarios como datos de Nivel 2. El Nivel 3 suele incluir datos raramente utilizados que se pueden archivar para fines históricos o normativos.

Políticas de pools de archivosLas políticas de pools de archivos definen los conjuntos de archivos (pool de archivos) y dónde y cuándo se almacenan en su clúster. Puede configurar varias políticas de pools de archivos con reglas de filtrado que identifican los pools de archivos específicos y los ajustes de la protección requerida y de la optimización de I/O de estos pools de archivos. La creación de políticas de pools de archivos personalizadas requiere una licencia de SmartPools activa.

La instalación inicial de OneFS ubica todos los archivos en un solo pool de archivos sujeto a la política de pool de archivos predeterminada. Sin una licencia de SmartPools activa, solo puede configurar la política de pools de archivos predeterminada, que controla todos los archivos y los almacena en algún lugar del clúster.

Con una licencia de SmartPools activa, OneFS aumenta las funciones de almacenamiento básicas, lo cual le permite crear políticas de pools de archivos personalizadas que identifican, protegen y controlan varios pools de archivos. Por ejemplo, con una política de pools de archivos personalizada, es posible definir y almacenar un pool de archivos en un nivel o pool de nodos específico para obtener un acceso rápido o con fines de archiving.

Al crear una política de pools de archivos, los criterios de filtrado flexibles le permiten especificar los atributos basados en el tiempo correspondientes a las fechas en que se modificaron o se crearon los archivos, o en las que se accedió a ellos por última vez. También puede definir atributos de tiempo relativo, como 30 días antes de la fecha actual. Otros criterios de filtrado incluyen el tipo, el nombre, el tamaño y los atributos personalizados de los archivos. Los siguientes ejemplos demuestran algunas maneras en las que puede configurar las políticas de pool de archivos:

• Una política de pools de archivos para establecer una mayor protección en un conjunto específico de archivos importantes.• Una política de pools de archivos para almacenar archivos a los que se accede frecuentemente en un pool de nodos que proporcione

las lecturas o lecturas/escrituras más rápidas.• Una política de pools de archivos para evaluar la última vez que se accedió a los archivos, de manera que los archivos más antiguos se

almacenen en un pool de nodos más idóneo para los propósitos de archiving normativo.

Cuando se ejecuta el trabajo de SmartPools, generalmente una vez al día, este procesa políticas de pool de archivos en orden de prioridad. Puede editar, reorganizar o eliminar políticas de pools de archivos personalizadas en cualquier momento. Sin embargo, la política de pools de archivos predeterminada siempre tiene la prioridad más baja. Si bien puede editar la política de pools de archivos predeterminada, no puede reorganizarla ni eliminarla. Cuando se establecen las políticas de pools de archivos personalizadas, los ajustes de la política de pools de archivos predeterminada se aplican solo a los archivos que no están cubiertos por otra política de pools de archivos.

Cuando se crea un nuevo archivo, OneFS elige un pool de almacenamiento basado en la política de pools de archivos predeterminada o, si existe, una política de pools de archivos personalizada de mayor prioridad que coincida con el archivo. Si un nuevo archivo coincidió originalmente con la política de pools de archivos predeterminada y usted crea después una política de pools de archivos personalizada que coincida con el archivo, este quedará bajo el control de la nueva política personalizada. Como resultado, el archivo se podría ubicar en otro pool de almacenamiento la próxima vez que se ejecute el trabajo de SmartPools.

Trabajo FilePolicyPuede utilizar el trabajo FilePolicy para aplicar políticas de pool de archivos.


El trabajo FilePolicy complementa el trabajo SmartPools mediante el escaneo del índice del sistema de archivos que utiliza el trabajo de análisis de sistemas de archivos (FSA). Puede utilizar este trabajo si ya usa instantáneas (o FSA) y políticas de pool de archivos para administrar los datos en el clúster. El trabajo FilePolicy es una manera eficiente de separar los datos inactivos de los niveles más rápidos. El escaneo se realiza en el índice, lo cual no requiere muchos bloqueos. De esta manera, puede reducir, en gran medida, la cantidad de veces que se visita un archivo antes de que se organice en niveles.

Debe mantener los datos organizados en niveles de la forma en que ya se ha hecho, como las políticas de pools de archivos que transfieren datos en función de una antigüedad fija. Ajuste los datos en función de la totalidad de sus niveles.

Ejecute el trabajo SmartPools para asegurarse de que el clúster esté correctamente distribuido y protegido de manera adecuada. Puede utilizar el trabajo SmartPools después de modificar el clúster, como agregar o quitar nodos. También puede utilizar el trabajo para modificar los ajustes de SmartPools (por ejemplo, los ajustes de protección predeterminados) y si un nodo está inactivo.

Para usar esta función, debe programar el trabajo FilePolicy diariamente y continuar ejecutando el trabajo SmartPools con una frecuencia inferior. Puede ejecutar el trabajo SmartPools después de eventos que puedan afectar la membresía del pool de nodos.

Puede utilizar las siguientes opciones cuando ejecute el trabajo FilePolicy:

• --directory-only: esta opción le permite procesar directorios y se realiza para redirigir la nueva recopilación de archivos.

• --policy-only: esta opción le permite establecer políticas. Asegúrese de no volver a fraccionar.

• --ingest: esta opción ayuda a utilizar -directory-only y -policy-only en conjunto.

• --nop: esta opción le permite calcular e informar el trabajo que haya realizado.

Administración de pools de nodos mediante la interfaz de la línea de comandosLos pools de nodos se pueden administrar a través de la interfaz de la línea de comandos. Puede trabajar con pools de nodos que se provisionan de forma automática, crear y administrar pools de nodos manuales y crear clases de nodos y compatibilidades de discos SSD para los nuevos nodos.

Un pool de nodos, provisionado automáticamente o creado manualmente, debe contener un mínimo de tres nodos equivalentes o compatibles. Los nodos se provisionan cuando se agregan al menos tres nodos equivalentes o compatibles al clúster. Si agregó únicamente dos nodos equivalentes o compatibles al clúster, no podrá almacenar datos en los nodos hasta que agregue un tercero.

OneFS proporciona compatibilidades de clases de nodos y de discos SSD, las que puede crear para permitir que los nodos compatibles se conviertan en miembros de un pool de nodos existente. Una vez que crea una compatibilidad, cada vez que se agregue un nuevo nodo compatible al clúster, OneFS provisiona el nuevo nodo al pool de nodos adecuado.

Puede crear un pool de nodos manualmente únicamente mediante la selección de un subconjunto de nodos de clase de equivalencia o compatibles desde un solo pool de nodos provisionado automáticamente. No puede crear un pool de nodos manual que tome algunos nodos de un pool y otros de otro pool.

Debe tener el privilegio administrativo ISI_PRIV_SMARTPOOLS o superior para administrar los pools de nodos.

Crear una compatibilidad de clase de nodoOneFS intenta agregar nuevos nodos a un pool de nodos existente de la misma clase de equivalencia. Para un nodo nuevo que no es parte de la misma clase de equivalencia, puede crear una compatibilidad de clases de nodo, que permite que un nodo nuevo se aprovisione a un pool de nodos compatible.

Se debe aprovisionar un nuevo nodo para que funcione en un clúster. Actualmente se admiten las siguientes compatibilidades: S200/S210, X200/X210, X400/X410 y NL400/NL410. Por ejemplo, si tiene un pool de nodos conformado por tres o más nodos S200, puede crear una compatibilidad para que los nuevos nodos S210 se aprovisionen en el pool de nodos S200.

NOTA: Los nodos nuevos deben tener una RAM compatible y a esos pools de nodos se les provisionarán las mismas

configuraciones de unidades que a las contrapartes anteriores. Si las configuraciones de unidades no son las mismas

debido a las diferencias de conteo de SSD o capacidad de discos SSD, también puede crear compatibilidades de discos

SSD.

1. Ejecute el comando isi storagepool compatibilities class active create.El siguiente comando crea una compatibilidad entre los nodos Isilon NL400 y NL410. Tenga en cuenta que en los comandos de la CLI, los nodos NL400 y NL410 se deben especificar como N400 y N410.

isi storagepool compatibilities class active create N400 N410

OneFS ofrece un resumen de los resultados de la ejecución del comando y requiere su confirmación de la operación.


2. Para continuar, escriba yes y presione la tecla INTRO.

OneFS intenta agregar cualquier nodo NL410 sin aprovisionar al pool de nodos NL400. Si los nodos nuevos se mantienen sin aprovisionar, es posible que la memoria caché L3 esté desactivada en el pool de nodos de destino o que aún deba crear una compatibilidad de discos SSD para los nuevos nodos.

Fusionar los pools de nodos compatiblesPuede fusionar varios pools de nodos compatibles para optimizar la eficiencia del almacenamiento en su clúster.

Por ejemplo, si tiene seis nodos S200 en un pool de nodos y tres nodos S210 en un segundo pool de nodos, puede crear una compatibilidad para fusionar los dos pools de nodos en un solo pool de nueve nodos. Los pools de nodos más grandes, con un máximo de 20 nodos aproximadamente, permiten que OneFS proteja los datos de una manera más eficaz, lo cual proporciona más espacio de almacenamiento para los datos nuevos.

NOTA: Los tipos de nodo más nuevos, por lo general, tienen mejores especificaciones de rendimiento que los más

antiguos, por lo que fusionar los nuevos con los antiguos puede reducir el rendimiento. Además, cuando se fusionan dos

pools de nodos, OneFS vuelve a fraccionar los datos, lo cual puede llevar bastante tiempo, según el tamaño del conjunto

de datos.

1. Ejecute el comando isi storagepool compatibilities class active create.El siguiente comando crea una compatibilidad entre los pools de nodos Isilon X400 y X410:

isi storagepool compatibilities class active create X400 X410

OneFS proporciona un resumen de los resultados de la ejecución del comando, incluidos los pools de nodos que se fusionarán, y le solicita confirmar la operación.


Los pools de nodos compatibles se fusionan en un solo pool de nodos. Si no se fusionaron los pools de nodos, es posible que la memoria caché L3 esté desactivada para uno de los pools de nodos o que necesite crear una compatibilidad de discos SSD entre los dos pools de nodos.

Eliminar una compatibilidad de clases de nodoPuede eliminar una compatibilidad de clases de nodo. Como resultado, los nodos que se aprovisionaron a un pool de nodos por esta compatibilidad se eliminarán del pool.

PRECAUCIÓN: Eliminar una compatibilidad de clase de nodo podría tener consecuencias no deseadas. Por ejemplo, si

elimina una compatibilidad y, como resultado, se eliminan menos de tres nodos compatibles del pool de nodos, estos

nodos se eliminarán del pool de almacenamiento disponible del clúster. La próxima vez que se ejecute el trabajo

SmartPools, los datos de esos nodos se volverán a fraccionar en otro lugar en el clúster, lo cual podría ser un proceso

muy largo. Si se eliminan tres o más nodos compatibles del pool de nodos, estos nodos formarán su propio pool de

nodos, pero los datos se volverán a fraccionar. Toda política del pool de archivos que se dirija al pool de nodos original se

dirigirá ahora al nivel del pool de nodos, si existiera uno, o de lo contrario, a un nivel nuevo creado por OneFS.

1. Determine el número de ID de la compatibilidad activa que desea eliminar.El siguiente comando enumera las compatibilidades activas y sus números de ID:

isi storagepool compatibilities class active list

2. Ejecute el comando isi storagepool compatibilities class active delete.El siguiente comando elimina una compatibilidad de clases de nodo con un número de ID de 1:

isi storagepool compatibilities class active delete 1

OneFS proporciona un resumen de los resultados de la ejecución del comando, incluidos los pools de nodos que se verán afectados por la eliminación de la compatibilidad, y le solicita confirmar la operación.


OneFS divide cualquier pool de nodos combinado o deja sin aprovisionar nodos anteriores compatibles si son menos de tres.


Crear una compatibilidad de disco SSDPuede crear compatibilidad para la capacidad y el recuento de SSD a fin de permitir que los nodos nuevos se aprovisionen en los pools de nodos con especificaciones de SSD diferentes. Puede crear la compatibilidad de SSD para los siguientes tipos de nodos: S200, S210, X200, X210, X400, X410, NL400 y NL410.

Por ejemplo, si tiene un pool de nodos compuesto de 3 nodos S200 con discos SSD de 100 GB e instala un nodo S200 con la misma cantidad de discos SSD de 200 GB, el nuevo nodo S200 no se aprovisionará de forma automática en el pool de nodos S200 hasta que cree una compatibilidad de clase para los discos SSD. Si los nodos del pool de nodos S200 tienen 6 discos SSD y el nuevo nodo S200 tiene 8 discos SSD, también debe crear una compatibilidad de recuento de discos SSD a fin de permitir que el nuevo nodo S200 se aprovisione en el pool de nodos S200. De manera similar, si tiene nodos de generaciones diferentes que son de clases compatibles, como los nodos S200 y S210, también puede crear compatibilidad de discos SSD entre esos tipos de nodos.

1. Ejecute el comando isi storagepool compatibilities ssd active create.El siguiente comando permite crear una compatibilidad de clase de discos SSD para los nodos Isilon S200 que tienen discos SSD con diferentes capacidades:

isi storagepool compatibilities ssd active create S200

El siguiente comando permite crear una compatibilidad de recuento de discos SSD para los nodos Isilon S200 que tienen discos SSD con diferentes números:

isi storagepool compatibilities ssd active create S200 --count true

El siguiente comando permite crear compatibilidad de clase y recuento de discos SSD entre los nodos NL400 y NL410. Tenga en cuenta que en los comandos de la CLI, los nodos NL400 y NL410 se expresan como N400 y N410.

isi storagepool compatibilities ssd active create N400 --class-2 N410 --count true

OneFS ofrece un resumen de los resultados de la ejecución del comando y requiere su confirmación de la operación.

2. Para continuar con la operación, escriba yes y presione la tecla INTRO.

Se creó la compatibilidad de discos SSD.

Eliminar una compatibilidad de discos SSDPuede eliminar una compatibilidad de discos SSD. Si decide hacerlo, todos los nodos que son parte del pool de nodos gracias a esta compatibilidad se eliminarán del pool de nodos.

PRECAUCIÓN: Eliminar una compatibilidad de disco SSD podría tener consecuencias no deseadas. Por ejemplo, si

elimina una compatibilidad de disco SSD y, como resultado, se eliminan menos de tres nodos compatibles de un pool de

nodos, estos nodos se eliminan del pool de almacenamiento disponible del clúster. La próxima vez que se ejecute el

trabajo SmartPools, los datos de esos nodos se volverán a fraccionar en otro lugar del clúster, lo que podría ser un

proceso muy largo. Si se eliminan tres o más nodos compatibles del pool de nodos, estos nodos forman su propio pool de

nodos, pero los datos se vuelven a fraccionar. Toda política del pool de archivos que se dirija a los puntos del pool de

nodos original en lugar del nivel del pool de nodos, si existiera uno, o de lo contrario, a un nivel nuevo creado por OneFS.

1. Ejecute el comando isi storagepool compatibilities ssd active delete.

Puede ejecutar el comando isi storagepool compatibilities ssd active list para determinar el número de ID de las compatibilidades activas.

El siguiente comando elimina una compatibilidad de discos SSD con un número de ID de 1:

isi storagepool compatibilities ssd active delete 1

El siguiente comando elimina una compatibilidad de discos SSD entre dos modelos de Isilon diferentes:

isi storagepool compatibilities ssd active delete 1 --id-2 2

Antes de ejecutar el comando, OneFS ofrece un resumen de los resultados y le solicita confirmar la operación.

2. Para continuar, escriba yes y presione la tecla INTRO. Para cancelar, escriba no y presione la tecla INTRO.

Si continúa con la operación, OneFS divide cualquier pool de nodos fusionado o deja sin aprovisionar nodos anteriormente compatibles si son menos de tres.


Crear un pool de nodos manualmentePuede crear pools de nodos manualmente si el autoaprovisionamiento no cumple con sus requisitos.

Cuando agrega nuevos nodos a su clúster, OneFS los ubica en pools de nodos. Este proceso se denomina autoaprovisionamiento. Es posible que para algunos flujos de trabajo prefiera crear pools de nodos manualmente. Un pool de nodos creado manualmente debe tener al menos tres nodos, identificados por los números de nodos lógicos (LNN).

PRECAUCIÓN: Se recomienda habilitar OneFS para provisionar los nodos automáticamente. Es posible que los pools de

nodos creados manualmente no ofrezcan el mismo rendimiento y eficiencia que los pools de nodos administrados

automáticamente, en especial si los cambios dan como resultado menos de 20 nodos en el pool de nodos manual.

Ejecute el comando isi storagepool nodepools create.

Puede especificar los nodos que se agregarán a un pool de nodos con una lista de LNN delimitada por comas (por ejemplo, --lnns 1,2,5) o mediante rangos (como --lnns 5-8).

El siguiente comando crea un pool de nodos especificando los LNN de los tres nodos que se deben incluir.

isi storagepool nodepools create PROJECT-1 --lnns 1,2,5

Agregar un nodo a un pool de nodos administrado manualmentePuede agregar un nodo a un pool de nodos administrado manualmente.

Si especifica un nodo que ya es parte de otro pool de nodos, OneFS elimina el nodo del pool de nodos original y lo agrega al pool de nodos administrado manualmente.

Ejecute el comando isi storagepool nodepools modify.El siguiente comando agrega nodos con LNN (números de nodos lógicos) de 3, 4 y 10 a un pool de nodos existente:

isi storagepool nodepools modify PROJECT-1 --lnns 3-4, 10

Cambiar el nombre o la política de protección de un pool de nodosPuede cambiar el nombre o la política de protección de un pool de nodos.

Ejecute el comando isi storagepool nodepools modify.El siguiente comando cambia el nombre y la política de protección de un pool de nodos:

isi storagepool nodepools modify PROJECT-1 --set-name PROJECT-A \--protection-policy +2:1

Eliminar un nodo de un pool de nodos administrado manualmentePuede eliminar un nodo de un pool de nodos administrado manualmente.

Si intenta eliminar nodos de un pool de nodos administrado de forma manual o automática para dejar solo uno o dos, la eliminación fallará. Sin embargo, puede transferir todos los nodos de un pool de nodos provisionado automáticamente a uno administrado manualmente.

Cuando elimina un nodo del pool de nodos administrado manualmente, OneFS provisiona automáticamente el nodo a otro pool de nodos de la misma clase de equivalencia.

Ejecute el comando isi storagepool nodepools modify.El siguiente comando elimina dos nodos que se identifican mediante sus LNN (números de nodos lógicos) de un pool de nodos.

isi storagepool nodepools modify ARCHIVE_1 --remove-lnns 3,6


Los valores LNN se pueden especificar como un rango, por ejemplo, --lnns=1-3, o en una lista de elementos separados por coma, como --lnns=1,2,5,9.

Modificar la configuración predeterminada de pools de almacenamientoPuede modificar la configuración predeterminada de los pools de almacenamiento según la protección solicitada, la optimización de I/O, la aceleración de espacios de nombres globales, hot spare virtual y propagación.

Ejecute el comando isi storagepool settings modify.El siguiente comando especifica la protección de archivos y la optimización de I/O automáticas, deshabilita la aceleración de los espacios de nombres globales, especifica un porcentaje de almacenamiento para un hot spare virtual, habilita el almacenamiento en la caché L3 para los pools de nodos con discos SSD y modifica la configuración de los espejeados para las estructuras de los sistemas de archivos de QAB, de árbol del sistema B y de delta del sistema.

isi storagepool settings modify --automatically-manage-protection files_at_default --automatically-manage-io-optimization files_at_default --global-namespace-acceleration-enabled no --virtual-hot-spare-limit-percent 5 --ssd-l3-cache-default-enabled yes --ssd-qab-mirrors all --ssd-system-btree-mirrors all --ssd-system-delta-mirrors all

OneFS aplica los cambios a cualquier archivo administrado por la política de pool de archivos predeterminada la próxima vez que se ejecuta el trabajo SmartPools.

Configuración de SmartPoolsLa configuración de SmartPools incluye la protección de directorios, la aceleración del espacio de nombres global, la caché L3, el hot spare virtual, la propagación, la administración de la protección requerida y la administración de la optimización de I/O.

Configuración en el administrador web

Configuración en la CLI Descripción Notas

Increase directory protection to a higher level than its contents

--protect-directories-one-level-higher

Aumenta la cantidad de protección para directorios a un nivel más alto que el de los directorios y archivos que contienen, de modo que aún se pueda acceder a los datos que no se perdieron.

Cuando las fallas de un dispositivo causan la pérdida de datos (por ejemplo, tres unidades o dos nodos en una política de +2:1), la habilitación de esta configuración garantiza que aún se pueda acceder a los datos intactos.

Esta configuración debería estar activada (de manera predeterminada).

Cuando esta está deshabilitada, el directorio que contiene un pool de archivos está protegido según su configuración del nivel de protección, pero es posible que los dispositivos utilizados para almacenar el directorio y el archivo no sean los mismos. Existe la posibilidad de que se pierdan nodos con datos en archivos intactos y de que no se pueda acceder a los datos debido a que esos nodos contenían el directorio.

Como ejemplo, considere un clúster que cuente con una configuración de protección del pool de archivos predeterminada +2 y que no posea políticas de pools de archivos adicionales. Los directorios de OneFS siempre se encuentran en espejo y están almacenados en tres veces, lo que equivale al valor de espejeado predeterminado +2.




Esta configuración puede soportar una falla en dos nodos antes de que se produzca la pérdida de datos o que se impida el acceso a estos. Si se habilita esta configuración, todos los directorios recibirán una protección de cuatro veces. Si el clúster experimenta tres fallas de nodos, no se podrá acceder a archivos individuales, pero el árbol de directorios estará disponible y proporcionará acceso a archivos a los que aún se puede acceder.

Además, si otra política de pools de archivos protege algunos archivos a un nivel superior, también se podrá acceder a estos en caso de que se produzca una falla en tres nodos.

Enable global namespace acceleration

--global-namespace-acceleration-enabled

Especifica si se debe permitir que los metadatos por archivo utilicen discos SSD en el pool de nodos.

• Cuando se desactiva, se restringen los metadatos por archivo a la política de pools de almacenamiento del archivo, excepto en el caso de que ocurra una propagación. Esta es la configuración predeterminada.

• Cuando se habilita, permite que los metadatos por archivo utilicen los discos SSD en cualquier pool de nodos.

Esta configuración está disponible solamente si el 20 % o más de los nodos en el clúster contienen discos SSD y si al menos el 1.5 % del almacenamiento total del clúster se basa en discos SSD.

Si se agregan nodos a un clúster o se eliminan de este, y los umbrales de disco SSD ya no se respetan, la GNA se torna inactiva. La GNA permanece activada, de modo que cuando los umbrales de disco SSD se respetan nuevamente, se reactiva la GNA.

NOTA: Los pools de nodos con la caché L3 habilitada son invisibles para fines de GNA. Todos los cálculos de tasas para GNA se realizan exclusivamente para los pools de nodos sin la caché L3 habilitada.

Use SSDs as L3 Cache by default for new node pools

--ssd-l3-cache-default-enabled

Para los pools de nodos que incluyen discos de estado sólido, implemente los discos SSD como caché L3. La caché L3 amplía la caché L2 y agiliza el rendimiento del sistema de archivos en conjuntos de archivos de trabajo más grandes.

La caché L3 está habilitada de forma predeterminada en nuevos pools de nodos. Cuando habilita la caché L3 en un pool de nodos existente, OneFS ejecuta una migración y transfiere todos los datos existentes de los discos SSD a otras ubicaciones en el clúster.

OneFS administra todos los niveles de la caché para ofrecer niveles de protección de datos, de disponibilidad y de rendimiento óptimos. En caso de que ocurra una falla en la energía, los datos en la caché L3 se conservan y seguirán estando disponibles una vez restaurada la energía.




Virtual Hot Spare --virtual-hot-spare-deny-writes

--virtual-hot-spare-hide-spare

--virtual-hot-spare-limit-drives

--virtual-hot-spare-limit-percent

Reserva una cantidad mínima de espacio en el pool de nodos que se puede utilizar para reparar datos en caso de que ocurra una falla en la unidad.

Para reservar espacio en disco a fin de utilizarlo como hot spare virtual, seleccione una de las siguientes opciones:

• Ignore reserved disk space when calculating available free space. Sustrae el espacio reservado para el hot spare virtual al calcular el espacio libre disponible.

• Deny data writes to reserved disk space. Evita que las operaciones de escritura utilicen el espacio en disco reservado.

• VHS Space Reserved. Puede reservar una cantidad mínima de unidades virtuales (1 a 4), así como un porcentaje mínimo de espacio total en disco (del 0 % al 20 %).

Si configura la cantidad mínima de unidades virtuales y un porcentaje mínimo de espacio total en disco al configurar el espacio VHS reservado, el valor mínimo exigido cumple con ambos requisitos.

Si se habilita esta configuración y Deny new data writes se deshabilita, es posible que se informe un uso de más del 100 % del sistema de archivos.

Enable global spillover --spillover-enabled Especifica cómo manejar las operaciones de escritura en un pool de nodos sin capacidad de escritura.

• Cuando se habilita, redirige las operaciones de escritura de un pool de nodos sin capacidad de escritura a otro pool de nodos o a cualquier lugar del clúster (predeterminado).

• Cuando se deshabilita, devuelve un error de espacio en disco para las operaciones de escritura a un pool de nodos sin capacidad de escritura.

Spillover Data Target --spillover-target

--spillover-anywhere

Especifica otro pool de almacenamiento de destino cuando un pool de almacenamiento no posee capacidad de escritura.

Cuando se habilita la propagación, es importante que las escrituras de datos no fallen, por lo que debe seleccionar anywhere para la configuración Spillover Data Target, incluso si las políticas de pool de archivos envían datos a pools específicos.

Manage protection settings

--automatically-manage-protection

Cuando se habilita esta configuración, SmartPools administra los niveles de protección solicitados de manera automática.

Cuando Apply to files with manually-managed protection está habilitada, sobrescribe cualquier configuración de protección establecida mediante File System Explorer o la interfaz de la línea de comandos.

Manage I/O optimization settings

--automatically-manage-io-optimization

Cuando está habilitada, utiliza la tecnología de SmartPools para administrar la optimización de I/O.

Cuando la configuración Apply to files with manually-managed I/O optimization settings está habilitada, sobrescribe cualquier configuración de optimización de I/O




establecida mediante File System Explorer o la interfaz de la línea de comandos

Ninguno --ssd-qab-mirrors Uno o todos los espejeados para el bloqueo de la cuenta de cuota (QAB) se almacenan en discos SSD

Mejorar el rendimiento de la contabilidad de cuotas mediante la colocación de todos los espejos de QAB en los discos SSD para una E/S más rápida. De forma predeterminada, solo se almacena un espejo de QAB en el disco SSD.

Ninguno --ssd-system-btree-mirrors Uno o todos los espejeados para el árbol del sistema B se almacenan en discos SSD

Todos los espejeados del árbol del sistema B se ubican en discos SSD para brindar un acceso más rápido y aumentar el rendimiento del sistema. De lo contrario, solo un espejeado del árbol del sistema B se almacena en el disco SSD.

Ninguno --ssd-system-delta-mirrors Uno o todos los espejeados para el delta del sistema se almacenan en discos SSD

Todos los espejeados del delta del sistema se ubican en discos SSD para brindar un acceso más rápido y aumentar el rendimiento del sistema. De lo contrario, solo un espejeado del delta del sistema se almacena en el disco SSD.

Administración de la caché L3 desde la interfaz de la línea de comandosLa caché L3 se puede administrar a nivel global o en pools de nodos específicos. Si lo desea, también puede hacer que los discos SSD se vuelvan a utilizar como unidades de almacenamiento. En los pools de nodos Isilon HD400, los discos SSD se utilizan de manera exclusiva para los propósitos de la caché L3. En estos nodos, la caché L3 está activada de forma predeterminada y no se puede apagar.

Establecer la caché L3 como la predeterminada para nuevos pools de nodosPuede configurar la caché L3 como la opción predeterminada, de modo que cuando se creen pools de nodos nuevos, la caché L3 se habilite automáticamente.

La caché L3 es eficaz únicamente en nodos que incluyen discos SSD. Si ninguno de sus nodos cuenta con almacenamiento en disco SSD, no es necesario habilitar la caché L3 como la predeterminada.

1. Ejecute el comando isi storagepool settings modify.

El siguiente comando habilita la caché L3 como la predeterminada para los nuevos pools de nodos que se agreguen.

isi storagepool settings modify --ssd-l3-cache-default-enabled yes

2. Ejecute el comando isi storagepool settings view para confirmar que el atributo SSD L3 Cache Default Enabled esté configurado en Yes.

Habilitar la caché L3 en un pool de nodos específicoPuede habilitar la caché L3 en un pool de nodos específico. Esto es útil cuando solamente algunos de sus pools de nodos cuentan con discos SSD.

1. Ejecute el comando isi storagepool nodepools modify en un pool de nodos específico.


El siguiente comando habilita la caché L3 en un pool de nodos denominado hq_datastore:

isi storagepool nodepools modify hq_datastore --l3 true

Si los discos SSD en el pool de nodos especificado se utilizaron previamente como unidades de almacenamiento, aparecerá un mensaje que le solicita que confirme el cambio.

2. Si se le solicita confirmación, escriba yes y luego presione INTRO.

Restaurar discos SSD para almacenar unidades para un pool de nodosPuede deshabilitar la caché L3 para discos SSD en un pool de nodos específico y restaurar esos discos SSD para que se utilicen como unidades de almacenamiento.

NOTA: En los pools de nodos HD400, los discos SSD se utilizan solo para la caché L3, que está activada de forma

predeterminada y no se puede apagar. Si intenta apagar la caché L3 en un pool de nodos HD400 a través de la interfaz de

la línea de comandos, OneFS genera este mensaje de error: Disabling L3 not supported for the given node type.

1. Ejecute el comando isi storagepool nodepools modify en un pool de nodos específico.El siguiente comando deshabilita la caché L3 en un pool de nodos denominado hq_datastore:

isi storagepool nodepools modify hq_datastore --l3 false

2. Cuando se le solicite confirmación, escriba yes y luego presione INTRO.

Administración de nivelesPuede transferir pools de nodos entre niveles para optimizar la administración de almacenamiento y de archivos.

Para administrar los niveles, necesita los privilegios administrativos ISI_PRIV_SMARTPOOLS o superiores.

Crear un nivelPuede crear un nivel para agrupar uno o más pools de nodos destinados a propósitos de almacenamiento específicos.

Según los tipos de nodos en su clúster, puede crear niveles para las diferentes categorías de almacenamiento, como un nivel de archivo, un nivel de rendimiento o un nivel de uso general. Después de crear un nivel, debe agregarle los pools de nodos adecuados.

Ejecute el comando isi storagepool tiers create.El siguiente comando crea un nivel denominado ARCHIVE_1 y agrega los pools de nodos hq_datastore1 y hq_datastore2 al nivel.

isi storagepool tiers create ARCHIVE_1 --children hq_datastore1 --children hq_datastore2

Agregar o transferir pools de nodos dentro de un nivelPuede agrupar pools de nodos en niveles y transferirlos de un nivel a otro.

Ejecute el comando isi storagepool nodepools modify.El siguiente ejemplo agrega un pool de nodos denominado PROJECT-A a un nivel denominado ARCHIVE_1.

isi storagepool nodepools modify PROJECT-A --tier ARCHIVE_1

Si el pool de nodos PROJECT-A se encuentra en otro nivel, se transferirá al nivel ARCHIVE_1.

Cambio de nombre de un nivelEl nombre de un nivel puede contener caracteres alfanuméricos y guiones bajos, pero no puede comenzar con un número.


Ejecute el comando isi storagepool tiers modify.El siguiente comando cambia el nombre de un nivel de ARCHIVE_1 a ARCHIVE_A:

isi storagepool tiers modify ARCHIVE_1 --set-name ARCHIVE_A

Eliminar un nivelAl eliminar un nivel, sus pools de nodos permanecen disponibles y se pueden agregar a otros niveles.

Ejecute el comando isi storagepool tiers delete.El siguiente comando elimina un nivel denominado ARCHIVE_A:

isi storagepool tiers delete ARCHIVE_A

Creación de políticas de pools de archivosPuede configurar las políticas de pool de archivos para identificar grupos lógicos de archivos denominados pools de archivos. También puede especificar las operaciones de almacenamiento de estos archivos.

Antes de poder crear políticas de pool de archivos, debe activar una licencia de SmartPools y contar con el privilegio SmartPools o un privilegio administrativo superior.

Las políticas de pool de archivos tienen dos partes: los criterios de coincidencia de archivos que definen un pool de archivos y las acciones que se aplicarán al pool de archivos. Puede definir pools de archivos según características tales como el tipo, el tamaño, la ruta, la creación y los cambios del archivo, además del registro de fecha y hora de acceso a este. Luego, puede combinar estos criterios con operadores booleanos (AND, OR).

Además de los criterios de coincidencia de archivos, puede identificar una variedad de acciones que se pueden aplicar al pool de archivos. Estas acciones incluyen las siguientes medidas:

• Configurar la protección requerida y los parámetros de optimización del acceso a los datos• Identificar los datos y los destinos de almacenamiento de snapshots• Definir las estrategias del disco SSD para datos y snapshots• Habilitar o deshabilitar SmartCache

Por ejemplo, para liberar espacio en disco en su nivel de rendimiento (pools de nodos de la serie S), puede crear una política de pool de archivos para coordinar con todos los archivos que tengan un tamaño superior a 25 MB, que no hayan sido modificados y a los que no se haya accedido durante más de un mes, y transferirlos a su nivel de archivo (pools de nodos de la serie NL).

Puede configurar y priorizar varias políticas de pool de archivos a fin de optimizar el almacenamiento de archivos para sus flujos de trabajo y su configuración de clúster en especial. Cuando el trabajo SmartPools se ejecuta una vez al día de manera predeterminada, aplica políticas de pool de archivos en orden de prioridad. Cuando un pool de archivos coincide con los criterios definidos en una política, se aplican las acciones de dicha política y se ignoran las políticas personalizadas de menor prioridad en el pool de archivos.

Tras recorrer una lista de políticas de pool de archivos personalizadas, si ninguna de las acciones se aplica a un archivo, se aplican las acciones de la política de pool de archivos predeterminada. De esta manera, la política de pool de archivos predeterminada garantiza que todas las acciones se apliquen a todos los archivos.

NOTA: Puede volver a ordenar la lista de políticas de pool de archivos en cualquier momento, pero la política de pool de

archivos predeterminada siempre es la última de la lista.

OneFS también ofrece políticas con plantillas personalizables que puede copiar para crear sus propias políticas. Sin embargo, estas plantillas están únicamente disponibles en la interfaz de administración web de OneFS.

Crear una política de pools de archivosPuede crear una política de pools de archivos para hacer coincidir archivos específicos. También puede aplicar acciones de SmartPools al pool de archivos coincidente. Las acciones de SmartPools incluyen la transferencia de archivos a determinados niveles de almacenamiento, la modificación de los niveles de protección requeridos y la optimización del rendimiento de escritura y del acceso a los datos.

PRECAUCIÓN: Si las políticas de pool de archivos existentes dirigen los datos a un pool de almacenamiento específico,

no configure otras políticas de pool de archivos que hagan coincidir estos datos con anywhere en la opción --data-

storage-target. Puesto que el pool de almacenamiento especificado se incluye cuando utiliza anywhere, debe enfocarse

en pools de almacenamiento específicos para evitar ubicaciones de almacenamiento de archivos accidentales.


Ejecute el comando isi filepool policies create.El siguiente comando crea una política de pools de archivos que archiva documentos antiguos en un nivel de almacenamiento específico:

isi filepool policies create ARCHIVE_OLD --description "Move older files to archive storage" --data-storage-target ARCHIVE_TIER --data-ssd-strategy metadata --begin-filter --file-type=file --and --birth-time=2013-09-01 --operator=lt --and --accessed-time=2013-12-01 --operator=lt --end-filter

La política de pools de archivos se aplica cuando se ejecuta el próximo trabajo calendarizado de SmartPools. De forma predeterminada, el trabajo de SmartPools se ejecuta una vez por día; sin embargo, también puede iniciar el trabajo de SmartPools manualmente.

Caracteres comodín válidosPuede combinar caracteres comodín con opciones de coincidencia de archivos para definir una política de pool de archivos.

OneFS admite la coincidencia de patrones del tipo shell (glob) de UNIX para los atributos y las rutas de nombres de archivo.

La siguiente tabla muestra los caracteres de comodín válidos que puede combinar con las opciones de coincidencia de archivos para definir una política de pool de archivos.

Comodín Descripción

* Hace coincidir cualquier cadena en lugar del asterisco.

Por ejemplo, m* coincide con movies y m123.

[a-z] Hace coincidir cualquier carácter contenido entre paréntesis o un rango de caracteres separados por un guion. Por ejemplo, b[aei]t coincide con bat, bet y bit, y 1[4-7]2 coincide con 142, 152, 162 y 172.

Puede excluir los caracteres entre paréntesis insertando un signo de exclamación después del primer paréntesis. Por ejemplo, b[!ie] coincide con bat, pero no con bit ni bet.

Puede hacer coincidir un paréntesis dentro de otro paréntesis si se trata del primer o último carácter. Por ejemplo, [[c]at coincide con cat y [at.

Puede hacer coincidir un guion dentro de un paréntesis si se trata del primer o último carácter. Por ejemplo, car[-s] coincide con cars y car-.

? Hace coincidir cualquier carácter en lugar del signo de interrogación. Por ejemplo, t?p coincide con tap, tip y top.

Configuración predeterminada de protección requerida para pools de archivosLa configuración de protección predeterminada incluye la especificación del destino de almacenamiento de datos, el destino de almacenamiento de snapshots, la protección requerida y la estrategia de discos SSD para archivos que se filtran mediante la política de pools de archivos predeterminada.

Configuración (administrador web)

Configuración (CLI) Descripción Notas

Destino de almacenamiento

--data-storage-target

--data-ssd-strategy

Especifica el pool de almacenamiento (nivel o pool de nodos) al que desea aplicar esta política de pools de archivos.

PRECAUCIÓN:

Si las políticas de pools de archivos existentes dirigen los datos a un pool de almacenamiento específico, no configure otras políticas de pools de archivos con anywhere para la opción Data storage target. Debido a que el pool de

NOTA: Si la GNA no está habilitada y el pool de almacenamiento en el cual decida enfocarse no contiene discos SSD, no puede definir una estrategia de discos SSD.




almacenamiento especificado se incluye al usar anywhere, dirija los pools de almacenamiento específicos a fin de evitar ubicaciones de almacenamiento de archivos no deseadas.

Seleccione una de las siguientes opciones para definir su estrategia de discos SSD:

Use SSDs for metadata read acceleration

Opción predeterminada. Escribe metadatos y datos en archivos en discos duros y metadatos en discos SSD. Acelera solamente las lecturas de metadatos. Utiliza menos espacio en disco SSD que la configuración Metadata read/write acceleration.

Use SSDs for metadata read/write acceleration

Escribe metadatos en pools de discos SSD. Ocupa mucho más espacio en disco SSD que la opción Metadata read acceleration, pero acelera las lecturas y escrituras de metadatos.

Use SSDs for data & metadata

Usa discos SSD para datos y metadatos. Independientemente de si la aceleración del espacio de nombres global está habilitada o no, cualquier bloque de disco SSD reside en el destino de almacenamiento si este cuenta con espacio disponible.

Avoid SSDs Escribe todos los metadatos y datos en archivos asociados solamente en discos duros.

PRECAUCIÓN:

Utilice este espacio libre en disco SSD únicamente después de consultarlo con el personal del soporte técnico de Isilon, ya que esta configuración puede afectar negativamente el rendimiento.

Use SSDs for metadata read acceleration escribe metadatos y datos en archivos en pools de almacenamiento con discos duros, pero agrega un espejeado de disco SSD adicional para acelerar el rendimiento de lectura, si es posible. Usa discos duros para ofrecer confiabilidad y un espejeado de metadatos adicional a discos SSD, si está disponible, para mejorar el rendimiento de lectura. Se recomienda para la mayoría de los usos.

Cuando selecciona Use SSDs for metadata read/write acceleration , la estrategia utiliza discos SSD, si están disponibles en el destino de almacenamiento, para mejorar el rendimiento y la confiabilidad. El espejeado adicional puede ser de un pool de almacenamiento diferente que cuenta con la GNA habilitada o del mismo pool de nodos.

Ni la estrategia Use SSDs for data & metadata ni la estrategia Use SSDs for metadata read/write acceleration provocan la creación de espejeados adicionales más allá de la protección normal solicitada. Los metadatos y datos en archivos se almacenan en discos SSD, si están disponibles, según la política de pools de archivos. Esta opción requiere una gran cantidad de almacenamiento en disco SSD.

Destino de almacenamiento de snapshots

--snapshot-storage-target

--snapshot-ssd-strategy

Especifica el pool de almacenamiento en el que desea enfocarse para el almacenamiento de snapshots con esta política de pools de archivos. La configuración es igual a la del destino de almacenamiento de datos, pero corresponde a los datos de snapshots.

Las notas sobre el destino de almacenamiento de datos se aplican al destino de almacenamiento de snapshots




Protección requerida --set-requested-protection

Default of storage pool. Asigna la protección requerida predeterminada del pool de almacenamiento a los archivos filtrados.

Specific level. Asigna una protección requerida especificada a los archivos filtrados.

Para cambiar la protección requerida, seleccione un nuevo valor de la lista.

Configuración de optimización de I/O predeterminada de pools de archivosPuede administrar la configuración de optimización de I/O usada en la política de pool de archivos predeterminada, que puede incluir los archivos con atributos administrados manualmente.

Para permitir que SmartPools sobrescriba la configuración de optimización mediante File System Explorer o el comando isi set, seleccione la opción Including files with manually-managed I/O optimization settings en el grupo Default Protection Settings. En la CLI, use la opción --automatically-manage-io-optimization con el comando isi storagepool settings modify.


Configuración (CLI)

Descripción Notas

Rendimiento de escritura

--enable-coalescer Habilita o deshabilita SmartCache (también denominado como fusionador).

Enable SmartCache es la configuración recomendada para obtener un rendimiento óptimo de escritura. Con escrituras asíncronas, el servidor Isilon coloca las escrituras en memoria en el búfer . Sin embargo, si desea deshabilitar esta colocación en el búfer, le recomendamos configurar sus aplicaciones de modo que utilicen escrituras síncronas. De no ser posible, deshabilite SmartCache.

Patrón de acceso a los datos

--data-access-pattern

Define la configuración de optimización para acceder a tipos de datos simultáneos, de transmisión o aleatorios.

De forma predeterminada, los archivos y directorios utilizan un patrón de acceso simultáneo. Para optimizar el rendimiento, seleccione el patrón que determinó su flujo de trabajo. Por ejemplo, un flujo de trabajo con mucha exigencia en la edición de videos se debería establecer como Optimize for streaming access. Ese flujo de trabajo se verá afectado si el patrón de acceso a los datos se estableció en Optimize for random access.

Administración de políticas de pool de archivosPuede realizar una variedad de tareas de administración de políticas de pool de archivos.

Las tareas de administración de políticas de pool de archivos incluyen:

• Modificación de las políticas de pool de archivos• Modificación de las políticas predeterminadas de pool de archivos• Creación de una política de pool de archivos a partir de una plantilla• Reorganización de las políticas de pool de archivos• Eliminación de políticas de pool de archivos

NOTA: Puede crear una política de pool de archivos a partir de una plantilla solamente en la interfaz de administración

web OneFS.

Modificar una política de pool de archivosPuede modificar el nombre, la descripción, los criterios de filtrado y la configuración de protección y de optimización de I/O que aplica una política de pool de archivos.

PRECAUCIÓN:


Si las políticas de pools de archivos existentes dirigen los datos a un pool de almacenamiento específico, no configure

otras políticas de pools de archivos con anywhere para la opción Data storage target. Debido a que el pool de

almacenamiento especificado se incluye al usar anywhere, dirija los pools de almacenamiento específicos a fin de evitar

ubicaciones de almacenamiento de archivos no deseadas.

1. Ejecute el comando isi filepool policies list para ver una lista de las políticas de pool de archivos disponibles.

Aparece una lista tabular de políticas y sus descripciones.

2. Ejecute el comando isi filepool policies view para ver la configuración actual de una política de pool de archivos.El siguiente ejemplo muestra la configuración de una política de pool de archivos denominada ARCHIVE_OLD.

isi filepool policies view ARCHIVE_OLD

3. Ejecute el comando isi filepool policies modify para modificar una política de pool de archivos.El siguiente ejemplo modifica la configuración de una política de pool de archivos denominada ARCHIVE_OLD.

isi filepool policies modify ARCHIVE_OLD --description "Move older files to archive storage" --data-storage-target TIER_A --data-ssd-strategy metadata-write --begin-filter --file-type=file --and --birth-time=2013-01-01 --operator=lt --and --accessed-time=2013-09-01 --operator=lt --end-filter

Los cambios a la política de pool de archivos se aplican cuando se ejecuta el siguiente trabajo SmartPools. Sin embargo, puede ejecutar de inmediato el trabajo SmartPools de forma manual.

Establecer la configuración predeterminada de la política de pools de archivosLos archivos que no se administran según políticas de pools de archivos personalizadas, lo hacen mediante la política de pools de archivos predeterminada. Puede establecer la configuración de la política de pools de archivos predeterminada.

1. Ejecute el comando isi filepool default-policy view para que aparezca la configuración de la política de pool de archivos predeterminada.Aparecerá un resultado similar al siguiente ejemplo:

Set Requested Protection: default Data Access Pattern: random Enable Coalescer: True Data Storage Target: anywhere Data SSD Strategy: metadata Snapshot Storage Target: anywhere Snapshot SSD Strategy: metadatos

2. Ejecute el comando isi filepool default-policy modify para modificar la configuración predeterminada.El siguiente comando modifica todas las configuraciones predeterminadas:

isi filepool default-policy modify --set-requested-protection +2 \ --data-access-pattern concurrency --enable-coalescer false \ --data-storage-target ARCHIVE_A --data-ssd-strategy avoid \ --snapshot-storage-target ARCHIVE_A --snapshot-ssd-strategy avoid

3. Ejecute nuevamente el comando isi filepool default-policy view para garantizar que la configuración de la política de pool de archivos predeterminada refleje sus intenciones.

OneFS implementa la nueva configuración predeterminada de la política de pools de archivos cuando se ejecuta el próximo trabajo calendarizado de SmartPools y aplica esta configuración a cualquier archivo que no se administre según una política de pools de archivos personalizada.

Priorizar una política de pool de archivosPuede cambiar el orden de prioridad de una política de pool de archivos.

File pool policies are evaluated in descending order according to their position in the file pool policies list. De manera predeterminada, cuando crea una nueva política, esta se inserta inmediatamente sobre la política de pool de archivos predeterminada. Para asignar otra prioridad a una política, muévala hacia arriba o hacia abajo en la lista. La política predeterminada siempre tendrá la última prioridad y se aplica a todos los archivos que no coincidan con otra política de pool de archivos.


1. Ejecute el comando isi filepool policies list para ver la lista de políticas de pool de archivos disponibles y su orden de prioridad.Aparecen mensajes similares a los siguientes:

Name Description -----------------------------------------------ARCHIVE_1 Move older files to archive tier MOVE-LARGE Move large files to archive tier PERFORM_1 Move recent files to perf. tier -----------------------------------------------Total: 3

2. Ejecute el comando isi filepool policies modify para cambiar la prioridad de una política de pool de archivos.El siguiente ejemplo cambia la prioridad de una política de pool de archivos denominada PERFORM_1.

isi filepool policies modify PERFORM_1 --apply-order 1

3. Vuelva a ejecutar el comando isi filepool policies list para asegurarse de que la lista de políticas muestre el orden de prioridad correcto.

Eliminar una política de pool de archivosPuede eliminar una política de pool de archivos.

Elimine una política de pool de archivos solo si está al tanto de las consecuencias o si no le preocupan.

1. Ejecute el comando isi filepool policies delete.El siguiente ejemplo elimina una política de pool de archivos denominada ARCHIVE_1.

isi filepool policies delete ARCHIVE_1

El sistema le solicita confirmar la eliminación.

2. Escriba yes y presione INTRO.

Se elimina la política de pool de archivos. Cuando elimina una política, su pool de archivos quedará bajo el control de otra política o de la política de pool de archivos predeterminada la próxima vez que se ejecute el trabajo SmartPools.

Monitoreo de pools de almacenamientoPuede acceder a la información sobre el uso y el estado del pool de almacenamiento.

Está disponible la siguiente información:

• Estado de la política de pools de archivos• Estado de SmartPools, incluidos los niveles, pools de nodos y pools secundarios• El porcentaje de uso del espacio en disco de los discos duros (HDD) y los discos de estado sólido (SSD) de cada pool de

almacenamiento• Estado del trabajo de SmartPools

Monitorear los pools de almacenamientoPuede ver el estado y los detalles del pool de almacenamiento.

Los detalles incluyen los nombres de los niveles y de los pools de nodos asociados, la protección solicitada y las capacidades y el uso de los discos duros y los discos SSD.

Ejecute el comando isi storagepool list.Aparecerá un resultado similar al siguiente ejemplo:

Name Nodes Protect HDD Total % SSD Total %------------------------------------------------------------------PERF_TIER 1-3 - 12.94T 17.019T 26.99% 0.4T 1.2T 33.00%- s-series 1-3 +2:1 12.94T 17.019T 26.99% 0.4T 1.2T 33.00%HOME_TIER 4-6 - 16.59T 19.940T 77.73% 0b 0b 0.00%- x-series 4-6 +2:1 16.59T 19.940T 77.73% 0b 0b 0.00%ARCHIVE_1 7-9 - 100.8T 200.60T 49.88% 0b 0b 0.00%


- nl-serie 7-9 +2:1 100.8T 200.60T 49.88% 0b 0b 0.00%------------------------------------------------------------------Total: 6 200.5G 17.019G 26.99% 0b 0b 0.00%

Ver el estado de los pools de almacenamientoPuede ver el estado de los pools de almacenamiento.

Ejecute el comando isi storagepool health .El siguiente comando, que utiliza la opción de modo detallado, muestra una descripción tabular del estado del pool de almacenamiento:

isi storagepool health --verbose

Ver los resultados de un trabajo SmartPoolsPuede analizar los resultados detallados desde la última vez que se ejecutó el trabajo SmartPools.

De manera predeterminada, el trabajo SmartPools se ejecuta una vez al día. Procesa las políticas de pool de archivos creadas para administrar el almacenamiento en el clúster.

1. Ejecute el comando isi job events list.Aparece una lista tabular de los trabajos del sistema más recientes. La lista del trabajo SmartPools es similar al siguiente ejemplo:

2014-04-28T02:00:29 SmartPools [105] Succeeded2. Ubique al trabajo SmartPools en la lista y tome nota del número entre corchetes.

Este es el número de ID del trabajo.

3. Ejecute el comando isi job reports view , con el número de ID del trabajo.El siguiente ejemplo muestra el informe para un trabajo SmartPools con el ID de trabajo de 105.

isi job reports view 105

El informe de SmartPools muestra el resultado de todas las políticas de pool de archivos que se ejecutaron, incluidos los resúmenes de cada política, y la información general del trabajo, como el tiempo transcurrido, los LIN recorridos, los archivos y directorios procesados y las estadísticas de memoria e I/O.


Tareas del sistemaEsta sección contiene los siguientes temas:

Temas:

• Descripción general de trabajos del sistema• Biblioteca de trabajos del sistema• Operación del trabajo• Impacto en el rendimiento del trabajo• Prioridades de trabajos• Administración de trabajos del sistema• Administración de una librería de cintas virtuales• Visualización de informes y estadísticas de trabajos

Descripción general de trabajos del sistemaLa función más importante de OneFS es mantener la integridad de los datos en el clúster Isilon. Entre otras funciones de mantenimiento importantes del sistema se incluyen el monitoreo y la optimización del rendimiento, la detección y migración de fallas en unidades y nodos, y la liberación de espacio disponible.

Debido a que las funciones de mantenimiento emplean recursos del sistema y pueden tardar horas en finalizar, OneFS las lleva a cabo en forma de trabajos que se ejecutan en segundo plano a través de un servicio llamado motor de tareas. El tiempo necesario para completar un trabajo puede variar significativamente en función de una serie de factores. Entre estos, se incluyen otros trabajos del sistema que se ejecutan al mismo tiempo; otros procesos que consuman CPU y ciclos de I/O durante la ejecución del trabajo; la configuración de su clúster; el tamaño de su conjunto de datos; y el tiempo transcurrido desde que se ejecutó la última iteración del trabajo.

Es posible ejecutar hasta tres trabajos simultáneamente. Para garantizar que los trabajos de mantenimiento no dificulten su productividad ni entren en conflicto entre sí, el motor de tareas los categoriza, los ejecuta con diferentes prioridades y niveles de impacto, y puede suspenderlos temporalmente (sin pérdida de progreso) para permitir que avancen los trabajos con mayor prioridad y las tareas del administrador.

En el caso de una falla en la energía, el motor de tareas utiliza un sistema de puntos de control para reanudar los trabajos lo más próximo posible al punto en el que se interrumpieron. El sistema de puntos de control ayuda al motor de tareas a mantener el seguimiento de las fases de los trabajos y las tareas que se han completado. Cuando el clúster se respalda y está en ejecución, el motor de tareas reinicia el trabajo al comienzo de la fase o la tarea en las que se encontraba cuando se produjo la falla en la energía.

Como administrador de sistemas, mediante el servicio del motor de tareas puede monitorear, calendarizar, ejecutar, finalizar y aplicar otros controles a los trabajos de mantenimiento del sistema. El motor de tareas ofrece estadísticas y herramientas de creación de informes que puede utilizar para determinar el tiempo que tardan en ejecutarse los diferentes trabajos del sistema en su ambiente de OneFS.

NOTA: Para iniciar cualquier tarea del motor de tareas, debe tener la función de SystemAdmin en el sistema OneFS.

Biblioteca de trabajos del sistemaOneFS contiene una biblioteca de trabajos de sistema que se ejecuta en segundo plano para ayudar a mantener su clúster Isilon. De forma predeterminada, los trabajos del sistema se categorizan como manuales o programados. Sin embargo, puede ejecutar cualquier trabajo manualmente o programar cualquier trabajo para que se ejecute periódicamente según su flujo de trabajo. Además, OneFS inicia algunos trabajos automáticamente cuando surgen condiciones particulares del sistema, por ejemplo, FlexProtect y FlexProtectLin, que se inician cuando se realiza el smartfail de una unidad.

Nombre de tarea Descripción Exclusion Set

Política de impacto

Priority Operation

AutoBalance Equilibra el espacio libre en un clúster y es más eficaz en clústeres que contienen solo discos duros (HDD). Se ejecuta como parte de

Refraccionado

Baja 4 Manual

25

334 Tareas del sistema



Priority Operation

MultiScan, o bien lo ejecuta el sistema de forma automática cuando un dispositivo se incorpora a (o se reincorpora) al clúster.

AutoBalanceLin Equilibra el espacio libre en un clúster y es más eficaz en clústeres cuando los metadatos del sistema de archivos se almacenan en discos de estado sólido (SSD). Se ejecuta como parte de MultiScan, o bien lo ejecuta el sistema de forma automática cuando un dispositivo se incorpora a (o se reincorpora) al clúster.

Refraccionado

Baja 4 Manual

AVScan Ejecuta un escaneo antivirus en todos los archivos.

Ninguno Baja 6 Manual

ChangelistCreate Crea una lista de los cambios entre dos instantáneas con rutas raíz coincidentes. Puede especificar estas instantáneas desde la CLI.


Recopilar Recupera espacio libre que antes no se podía liberar, ya que el nodo o la unidad no estaba disponible. Se ejecuta como parte de MultiScan, o bien lo ejecuta el sistema de forma automática cuando un dispositivo se incorpora a (o se reincorpora) al clúster.

Marcar Baja 4 Manual

Dedupe* Escanea un directorio en busca de bloques de datos redundantes y deduplica todos los datos redundantes que se hayan almacenado en el directorio. Está disponible solo si activa una licencia de SmartDedupe.


DedupeAssessment Analiza un directorio en busca de bloques de datos redundantes e informa un estimado de la cantidad de espacio que se podría ahorrar con la deduplicación del directorio.


DomainMark Asocia una ruta y sus contenidos con un dominio.


FlexProtect Analiza el sistema de archivos después de la falla de un dispositivo para garantizar que todos los archivos permanezcan protegidos. FlexProtect tiene su máxima eficiencia en clústeres que solo contienen discos duros. Mientras haya una falla en un dispositivo en un clúster, solo el trabajo de FlexProtect (o FlexProtectLin) se podrá ejecutar. Según el tamaño de su conjunto de datos, este proceso puede durar bastante tiempo. Se dice que el clúster está en un “estado degradado” hasta que termine el trabajo de FlexProtect (o FlexProtectLin). Si observa que otros trabajos del sistema no se pueden iniciar o están en pausa, puede usar el comando isi job status --verbose para ver si aparece un mensaje “Cluster Is Degraded”.

NOTA: A diferencia de los discos duros y los discos SSD que se usan para el almacenamiento, cuando falla un disco SSD que se utiliza para el almacenamiento en caché L3, el estado de la unidad debería cambiar inmediatamente a REPLACE sin un

Refraccionado

Mediana 1 Manual

Tareas del sistema 335



Priority Operation

trabajo FlexProtect en ejecución. Un disco SSD que se utiliza para el almacenamiento en caché L3 contiene solamente datos de la caché que no necesitan la protección de FlexProtect. Después de que el estado de la unidad cambia a REPLACE, puede retirar y reemplazar el disco SSD fallido.

FlexProtectLin Analiza el sistema de archivos después de la falla de un dispositivo para garantizar que todos los archivos permanezcan protegidos. El comando es más eficiente cuando los metadatos del sistema de archivos se almacenan en discos SSD. En ese caso, ejecute FlexProtectLin en lugar de FlexProtect.

Refraccionado

Mediana 1 Manual

FSAnalyze Recopila y registra información sobre todos los archivos y directorios bajo la ruta /ifs. Este trabajo requiere que active una licencia de InsightIQ. Los usuarios de InsightIQ usan los informes de este trabajo en análisis del sistema. Para obtener más información, consulte la Guía del usuario de Isilon InsightIQ.

Ninguno Baja 1 Programado

IntegrityScan Verifica la integridad del sistema de archivos. Marcar Mediana 1 Manual

MediaScan Ubica y borra los errores a nivel de medios de los discos para garantizar que todos los datos permanezcan protegidos.

Refraccionado

Baja 8 Programado

MultiScan Realiza los trabajos AutoBalance y Collect simultáneamente.

Refraccionado

Marcar

Baja 4 Manual

PermissionRepair Utiliza un archivo de plantilla o un directorio como la base para los permisos que se establecen en un archivo o directorio de destino. El directorio de destino siempre debe estar subordinado a la ruta /ifs. Este trabajo se debe iniciar manualmente.


QuotaScan* Actualiza la contabilidad de las cuotas para los dominios que se crean en un árbol de archivos existente. Está disponible únicamente si activa una licencia de SmartQuotas. Este trabajo se debe ejecutar manualmente después del horario de trabajo y de configurar todas las cuotas, y cada vez que se configuren nuevas cuotas.


SetProtectPlus Aplica una política de archivos predeterminada en el clúster. Se ejecuta únicamente si la licencia de SmartPools no está activa.

Refraccionado

Baja 6 Manual

ShadowStoreDelete Libera el espacio asociado a las áreas de almacenamiento ocultas. Las áreas de almacenamiento ocultas son archivos ocultos a los que hacen referencia archivos clonados y deduplicados.


ShadowStoreProtect Protege las áreas de almacenamiento ocultas a las que hace referencia un nodo i lógico (LIN) con un nivel mayor de protección.





Priority Operation

SmartPools* Aplica las políticas de pools de archivos de SmartPools. Está disponible únicamente si activa una licencia de SmartPools. Este trabajo se ejecuta de manera periódica y programada, y también lo puede iniciar el sistema cuando se realiza un cambio (por ejemplo, crear una compatibilidad que fusiona pools de nodos).

Refraccionado

Baja 6 Programado

SnapRevert Revierte toda una instantánea al cabezal. Ninguno Baja 5 Manual

SnapshotDelete Crea espacio libre asociado con las instantáneas eliminadas. Activado por el sistema cuando el usuario marca instantáneas para la eliminación.

Ninguno Mediana 2 Manual

TreeDelete Elimina una ruta de archivos especificada en el directorio /ifs.

Ninguno Mediana 4 Manual

Actualización Actualiza el sistema de archivos tras la actualización de una versión de software.

NOTA: El trabajo de actualización se debe ejecutar solamente a la hora de actualizar el clúster a una versión superior de software. Para obtener la información completa, consulte la guía Isilon OneFS Upgrade Planning and Process Guide.

Refraccionado

Mediana 3 Manual

WormQueue Procesa la línea de espera WORM, que rastrea los tiempos de confirmación de archivos WORM. Después de confirmar un archivo en el estado WORM, se quita de la línea de espera.


*Disponible únicamente si activa una licencia adicional

Operación del trabajoOneFS incluye trabajos de mantenimiento del sistema que se ejecutan para garantizar que su clúster Isilon funcione en un estado óptimo. A través del motor de trabajos, OneFS ejecuta un subconjunto de estos trabajos automáticamente, según sea necesario, para garantizar la integridad de los archivos y de los datos, comprobar y mitigar fallas de la unidad y del nodo y optimizar el espacio libre. Para otros trabajos, como la deduplicación, puede usar el motor de trabajos para iniciarlos manualmente o calendarizarlos para que se ejecuten de manera automática a intervalos regulares.

El motor de trabajos ejecuta trabajos de mantenimiento del sistema en segundo plano y evita que los trabajos con la misma clasificación (conjunto de exclusiones) se ejecuten de manera simultánea. Se aplican dos conjuntos de exclusión: refraccionado y marca.

Los tipos de trabajo de refraccionado son los siguientes:

• AutoBalance• AutoBalanceLin• FlexProtect• FlexProtectLin• MediaScan• MultiScan• SetProtectPlus• SmartPools

Los tipos de trabajo de marca son los siguientes:

• Recopilar• IntegrityScan• MultiScan


Tenga en cuenta que MultiScan es miembro de ambos conjuntos de exclusiones, es decir, de refraccionado y marca. No puede cambiar el parámetro del conjunto de exclusiones para un tipo de trabajo.

El motor de trabajos también es susceptible a la prioridad del trabajo y puede ejecutar hasta tres trabajos simultáneamente, cualquiera sea su prioridad. La prioridad del trabajo se indica con valores de 1 a 10, donde 1 es la prioridad más alta y 10 es la más baja. El sistema usa la prioridad del trabajo cuando surge un conflicto entre trabajos en ejecución o en la línea de espera. Por ejemplo, si inicia manualmente un trabajo que tiene una prioridad más alta que otros tres trabajos que ya esté ejecutando, el motor de trabajos pausa el trabajo activo con la prioridad más baja, ejecuta el nuevo trabajo y luego reinicia el trabajo antiguo desde el punto en que se pausó. De manera similar, si inicia un trabajo en el conjunto de exclusiones de refraccionado y ya se está ejecutando otro trabajo de refraccionado, el sistema usa la prioridad para determinar cuál se debería ejecutar (o continuar ejecutándose) y cuál se debería pausar (o permanecer pausado).

Otros parámetros de trabajo determinan si los trabajos están habilitados, su impacto en el rendimiento y el calendario. Como administrador del sistema, puede aceptar los valores predeterminados del trabajo o ajustar estos parámetros (excepto el conjunto de exclusiones) según sus requisitos.

Cuando se inicia un trabajo, el motor de trabajos distribuye los segmentos del trabajo (fases y tareas) entre los nodos de su clúster. Un nodo actúa como coordinador del trabajo y funciona continuamente con los otros nodos para lograr el balanceo de carga del trabajo. De esta manera, no se sobrecargan los nodos y los recursos del sistema permanecen disponibles para otro administrador y para otras actividades de I/O del sistema que no se originaron en el motor de trabajos.

Después de completar una tarea, cada nodo informa el estado de la tarea al coordinador del trabajo. El nodo que funciona como coordinador del trabajo guarda esta información sobre el estado de la tarea en un archivo de punto de comprobación. Por lo tanto, en el caso de una interrupción en la alimentación o una pausa, un trabajo siempre se puede volver a iniciar desde el punto en el que se interrumpió. Esto es importante, ya que algunos trabajos tardan horas en ejecutarse y pueden usar una cantidad considerable de recursos del sistema.

Impacto en el rendimiento del trabajoEl servicio del motor de trabajos monitorea el rendimiento del sistema para asegurarse de que los trabajos de mantenimiento no interfieran de manera significativa con la actividad de I/O regular del clúster ni con otras tareas administrativas del sistema. El motor de trabajos usa políticas de impacto que se pueden administrar para controlar el momento en el que un trabajo puede ejecutarse y los recursos del sistema que utiliza.

El motor de trabajos tiene cuatro políticas de impacto predeterminadas que puede usar, pero no modificar. Las políticas de impacto predeterminadas son:

Política de impacto Permiso de ejecución Uso de recursos

LOW En cualquier momento del día. Baja

MEDIUM En cualquier momento del día. Mediano

ALTOS En cualquier momento del día. Alto

OFF_HOURS Fuera del horario laboral. El horario laboral comprende el período desde las 9:00 h a las 17:00 h, de lunes a viernes. OFF_HOURS está en pausa durante el horario laboral.

Baja

Si desea especificar una política de impacto diferente de la predeterminada para un trabajo, puede crear una política personalizada con una configuración nueva.

Los trabajos que tienen una política de impacto bajo son los que menos afectan los recursos disponibles de I/O del CPU y del disco. Los trabajos con una política de impacto alto tienen un impacto considerablemente mayor. Sin embargo, el motor de trabajos usa los algoritmos de regulación del CPU y del disco en todos los casos para garantizar que las tareas que se inician manualmente (además de otras tareas de I/O que no están relacionadas con el motor de trabajos) reciban una prioridad más alta.

Prioridades de trabajosDeterminan el trabajo prevaleciente cuando hay más de tres trabajos de diferentes conjuntos de exclusión que intentan ejecutarse de manera simultánea. El motor de trabajos asigna un valor de prioridad entre 1 y 10 a cada trabajo, donde 1 es lo más importante y 10 lo menos importante.


Como máximo, se pueden ejecutar tres trabajos de manera simultánea. Si se inicia un cuarto trabajo con una prioridad más alta, ya sea de forma manual o a través de un evento del sistema, el motor de trabajos pausa uno de los trabajos en ejecución de menor prioridad. El motor de trabajos coloca al trabajo pausado en una línea de espera de prioridad y lo reanuda automáticamente cuando se completa uno de los otros trabajos.

Si dos trabajos con el mismo nivel de prioridad están programados para ejecutarse simultáneamente, y hay otros dos trabajos de prioridad más alta ejecutándose en ese momento, el trabajo que primero se coloque en la línea de espera se ejecutará primero.

Administración de trabajos del sistemaEl motor de trabajos le permite controlar tareas periódicas de mantenimiento del sistema para garantizar la estabilidad y la integridad del sistema de archivos OneFS. Cuando se ejecutan los trabajos de mantenimiento, el motor de trabajos monitorea y mitiga constantemente los impactos que podrían tener en el rendimiento general del clúster.

Como administrador del sistema, puede adaptar estos trabajos a un flujo de trabajo específico en su clúster Isilon. Puede ver trabajos activos y el historial de trabajos, modificar la configuración de los trabajos e iniciar, pausar, reanudar, cancelar y actualizar instancias de trabajo.

Iniciar un trabajoAunque OneFS ejecuta automáticamente varios trabajos de mantenimiento críticos del sistema cuando es necesario, también es posible iniciar manualmente cualquier trabajo en cualquier momento.

El trabajo Collect, que usamos como ejemplo, recupera espacio libre que antes no se podía liberar debido a que el nodo o la unidad no se encontraba disponible.


El siguiente comando ejecuta el trabajo Collect con una política de impacto más sólida y una prioridad más alta.

isi job jobs start Collect --policy MEDIUM --priority 2

Cuando se inicia el trabajo, aparece un mensaje similar a Started job [7]. En este ejemplo, 7 es el número de ID del trabajo y lo puede usar para ejecutar otros comandos en el trabajo.

Pausar un trabajoPuede pausar un trabajo temporalmente para liberar recursos del sistema.

Para pausar un trabajo, necesita su número de ID. Si no está seguro de cuál es el número de ID del trabajo, puede usar el comando isi job jobs list para ver una lista de los trabajos en ejecución.

Ejecute el comando isi job jobs pause.

El siguiente comando pausa un trabajo con un ID de 7.

isi job jobs pause 7

Si solo hay una instancia de un tipo de trabajo actualmente activa, puede especificar el tipo de trabajo en lugar del ID.

isi job jobs pause Collect

En todas las instrucciones que incluyen el comando isi job jobs, puede omitir la entrada jobs.

isi job pause Collect

Modificar un trabajoPuede cambiar la prioridad y la política de impacto de un trabajo activo, en espera o pausado.

Para modificar un trabajo, necesita el número de ID de ese trabajo. Si no está seguro de cuál es el número de ID del trabajo, puede usar el comando isi job jobs list para ver una lista de los trabajos en ejecución.

Cuando modifica un trabajo, solo la instancia actual del trabajo se ejecuta con la configuración actualizada. La siguiente instancia del trabajo adopta nuevamente la configuración predeterminada para ese tipo de trabajo.


Ejecute el comando isi job jobs modify.

El siguiente comando actualiza la prioridad y la política de impacto de un trabajo activo (ID de trabajo número 7).

isi job jobs modify 7 --priority 3 --policy medium


isi job jobs modify Collect --priority 3 --policy medium

Reanudación de una tareaEs posible reanudar una tarea pausada.

Para reanudar un trabajo, necesita su número de ID. Si no está seguro del número de ID del trabajo, puede usar el comando isi job jobs list.

Ejecute el comando isi job jobs resume.

El siguiente comando reanuda un trabajo con el número de ID 7.

isi job jobs resume 7


isi job jobs resume Collect

Cancelación de una tareaPuede cancelar un trabajo en ejecución, pausado o en espera si desea liberar los recursos del sistema o para cualquier otro propósito.

Para cancelar un trabajo, necesita conocer el número de ID del trabajo. Si no está seguro del número de ID del trabajo, puede usar el comando isi job jobs list.

Ejecute el comando isi job jobs cancel.

El siguiente comando cancela una trabajo con un número de ID de 7.

isi job jobs cancel 7


isi job jobs cancel Collect

Modificar la configuración del tipo de trabajoPuede personalizar los trabajos de mantenimiento del sistema para su flujo de trabajo administrativo con la modificación del nivel de prioridad, el nivel de impacto y el calendario predeterminados para un tipo de trabajo.

El ID del tipo de trabajo es el nombre del trabajo, por ejemplo, MediaScan.

1. Ejecute el comando isi job types modify.

El siguiente comando modifica el nivel de prioridad y el nivel de impacto predeterminados del tipo de trabajo MediaScan.

isi job types modify mediascan --priority 2 --policy medium

Cuando ejecuta este comando, el sistema le solicita confirmar el cambio. Escriba yes o no y luego presione INTRO.

2. Establezca un calendario regular para un tipo de trabajo.

El siguiente comando calendariza el trabajo MediaScan para que se ejecute todos los sábados a las 9:00 h. La opción --force reemplaza al paso de confirmación.

isi job types modify mediascan --schedule 'every Saturday at 09:00' --force

3. Elimine un calendario regular para un tipo de trabajo.


El siguiente comando elimina el calendario para un tipo de trabajo que está calendarizado.

isi job types modify mediascan --clear-schedule --force

Todas las iteraciones posteriores del tipo de trabajo MediaScan se ejecutan con la nueva configuración. Si hay un trabajo MediaScan en ejecución, continúa usando la configuración antigua.

Ver los trabajos activosPuede ver información sobre los trabajos que se están ejecutando actualmente en su clúster Isilon.

Es recomendable que compruebe los trabajos activos si nota una respuesta más lenta del sistema o para ver cuáles son los trabajos activos antes de iniciar un nuevo trabajo.

Ejecute el comando isi job jobs list.

Visualizar el historial de trabajosPuede ver la actividad reciente de los trabajos de mantenimiento del sistema.

Es recomendable comprobar la última ejecución de un trabajo crítico, ver todo el historial de trabajos de un período reciente o generar un historial de trabajos correspondiente a cierto período de tiempo en un archivo con formato delimitado por comas.

1. Ejecute el comando isi job events list para un tipo de trabajo específico.

El siguiente comando muestra la actividad del tipo de trabajo MultiScan.

isi job events list --job-type multiscan

2. Visualizar todos los trabajos correspondientes a un período de tiempo específico.

El siguiente comando muestra todos los trabajos que se ejecutaron desde el 16 de septiembre de 2013.

isi job events list --begin 2013-09-16

3. Para fines de creación de informes, redirija los resultados a un archivo delimitado por comas.

El siguiente comando genera un historial de trabajos para un período de tiempo específico de dos semanas en un nombre de ruta especificado.

isi job events list --begin 2013-09-15 --end 2013-09-16 > /ifs/data/report1.txt

Time Message---------------------------------------------------------------2013-09-15T12:55:55 MultiScan[4] Phase 1: end lin scan and mark2013-09-15T12:55:57 MultiScan[4] Phase 2: begin lin repair scan2013-09-15T12:56:10 MultiScan[4] Phase 2: end lin repair scan2013-09-16T01:47:12 SetProtectPlus[3] System Cancelled2013-09-16T07:00:00 SmartPools[5] Waiting

Administración de una librería de cintas virtualesPara los trabajos de mantenimiento del sistema que se ejecutan a través del servicio del motor de trabajos, puede crear y asignar políticas que lo ayuden a controlar la forma en que los trabajos afectan el rendimiento del sistema.

Como administrador del sistema puede crear, copiar, modificar y eliminar políticas de impacto, además de ver su configuración.

Creación de una política de gruposEl motor de tareas incluye cuatro políticas de impacto predeterminadas que no pueden modificarse ni eliminarse. Sin embargo, puede crear nuevas políticas de impacto.

Puede crear políticas de impacto personalizadas para definir los mejores horarios para la ejecución de los trabajos de mantenimiento del sistema y mitigar su impacto en los recursos del sistema.

1. Ejecute el comando isi job policies create.


El siguiente comando crea una política personalizada y define un rango horario específico y el nivel de impacto. Puede aplicar la política personalizada a cualquier instancia de trabajo para permitir que el trabajo se ejecute con un impacto mayor durante el fin de semana.

isi job policies create MY_POLICY --impact medium --begin 'Saturday 00:00' --end 'Sunday 23:59'

2. Consulte una lista de políticas de impacto disponibles para verificar que su política personalizada se haya creado correctamente.

El comando siguiente muestra una lista de políticas de impacto.

isi job policies list

Esta lista se muestra de la siguiente manera.

ID Description---------------------------------------------------------------HIGH Isilon template: high impact at all timesLOW Isilon template: high impact at all timesMEDIUM Isilon template: high impact at all timesOFF-HOURS Isilon template: Paused M-F 9-5, low impact otherwiseMY_POLICY ---------------------------------------------------------------

3. Agregue una descripción a la política personalizada.El siguiente comando agrega una descripción a la política personalizada:

isi job policies modify MY_POLICY --description 'Custompolicy: medium impact when run on weekends'

Ver ajustes de puertos Fibre ChannelPuede ver la configuración de cualquier política de impacto.

Si busca modificar una política de impacto, puede ver la configuración de la política actual. Además, después de haber modificado una política de impacto, puede ver la configuración de la política para verificar que sea la correcta.

Ejecute el comando isi job policies view.

El siguiente comando muestra la configuración de la política de impacto personalizada MY_POLICY.

isi job policies view MY_POLICY

Para configurar una política:Puede cambiar los intervalos de la política y la descripción de una política de impacto personalizada.

No es posible modificar las políticas de impacto predeterminadas, HIGH, MEDIUM, LOW ni OFF_HOURS. Únicamente puede modificar las políticas que crea.

1. Ejecute el comando isi job policies modify para restablecer la configuración actual con los valores predeterminados.

Los ajustes de configuración de una política se acumulan, por lo que si define un nivel de impacto e intervalo de tiempo nuevos, estos valores se agregan a los ya establecidos en la política personalizada. El siguiente comando restablece la configuración del intervalo de la política para que queden los valores predeterminados: low impact and anytime operation.

isi job policies modify MY_POLICY --reset-intervals

2. Ejecute el comando isi job policies modify para establecer una nueva configuración del nivel de impacto y del intervalo para la política personalizada.

El siguiente comando define el nuevo nivel de impacto y el intervalo de una política personalizada denominada MY_POLICY.

isi job policies modify MY_POLICY --impact high --begin 'Saturday 09:00' --end 'Sunday 11:59'

3. Verifique que la política personalizada esté configurada según sus preferencias.


El siguiente comando muestra la configuración actual de la política personalizada.

isi job policies view MY_POLICY

Eliminar una política de impactoEs posible eliminar políticas de impacto que haya creado.

No es posible eliminar las políticas de impacto predeterminadas, HIGH, MEDIUM, LOW ni OFF_HOURS.

1. Ejecute el comando isi job policies delete.

El siguiente comando elimina una política de impacto personalizada denominada MY_POLICY.

isi job policies delete MY_POLICY

OneFS muestra un mensaje en el que se le solicita confirmar la eliminación de su política personalizada.

2. Escriba yes y luego presione INTRO.

Visualización de informes y estadísticas de trabajosPuede generar informes para trabajos del sistema y ver estadísticas para determinar mejor la cantidad de recursos del sistema en uso.

La mayoría de los trabajos del sistema controlados por el motor de tareas se ejecutan con una prioridad baja y una política de impacto bajo; por lo general, no tienen un impacto notable en el rendimiento del clúster.

Algunos trabajos, debido a las funciones clave que desempeñan, se ejecutan con una prioridad superior y con una política de impacto medio. Estos trabajos incluyen FlexProtect y FlexProtect Lin, FSAnalyze, SnapshotDelete y TreeDelete.

Como administrador del sistema, si le preocupa cómo un trabajo del sistema puede afectar el rendimiento de un clúster, puede ver informes y estadísticas de trabajos. Estas herramientas le permiten ver información detallada sobre la carga de trabajo, como el uso del CPU y de la memoria, y las operaciones de I/O.

Ver estadísticas de una tarea en cursoEs posible ver estadísticas de una tarea en curso.

Debe especificar el ID del trabajo para ver las estadísticas de un trabajo en curso. El comando isi job jobs list muestra una lista de trabajos activos, incluidos los ID de trabajo.

Ejecute el comando isi job statistics view con un ID de trabajo específico.El siguiente comando muestra las estadísticas de un trabajo de recopilación con el ID 857:

isi job statistics view --job-id 857


Job ID: 857 Phase: 1 Nodes Node: 1 PID: 26224 CPU: 7.96% (0.00% min, 28.96% max, 4.60% avg)

Virtual: 187.23M (187.23M min, 187.23M max, 187.23M avg) Physical: 19.01M (18.52M min, 19.33M max, 18.96M avg)

Read: 931043 ops, 7.099G Write: 1610213 ops, 12.269G Workers: 1 (0.00 STW avg.)


Ver un informe de un trabajo completadoDespués de que se completa un trabajo, puede ver un informe sobre este.

Debe especificar el ID de trabajo para ver el informe de un trabajo completado. El comando isi job reports list muestra una lista de todos los trabajos recientes, incluidos los ID de trabajo.

Ejecute el comando isi job reports view con un ID de trabajo específico.El siguiente comando muestra el informe de un trabajo Collect con el ID 857:

isi job reports view 857


Collect[857] phase 1 (2014-03-11T11:39:57)------------------------------------------LIN scanElapsed time: 6506 secondsLINs traversed: 433423Files seen: 396980Directories seen: 36439Errors: 0Total blocks: 27357443452 (13678721726 KB)CPU usage: max 28% (dev 1), min 0% (dev 1), avg 4%Virtual memory size: max 193300K (dev 1), min 191728K (dev 1), avg 1925Resident memory size: max 21304K (dev 1), min 18884K (dev 2), avg 20294KRead: 11637860 ops, 95272875008 bytes (90859.3M)Write: 20717079 ops, 169663891968 bytes (161804.1M)


Eficiencia del almacenamiento de archivos pequeños para cargas de trabajo de archivado

La eficiencia del almacenamiento de archivos pequeños para cargas de trabajo de archivado permite mejorar la eficiencia del almacenamiento general de los clústeres en los que los archivos pequeños consumen la mayor parte del espacio lógico.

Temas:

• Descripción general• Requisitos• Actualizaciones y reversiones• Interoperabilidad• Administración Small Files Storage Efficiency• Funciones de generación de informes• Estructura del sistema de archivos• Descripción general del desfragmentador• Administración del desfragmentador• Comandos de la CLI para Small Files Storage Efficiency• Solución de problemas Small Files Storage Efficiency

Descripción generalLa función de eficiencia del almacenamiento de archivos pequeños permite mejorar esta eficiencia en cargas de archivado de archivos pequeños.

Las cargas de trabajo de archivado son una gran cantidad de archivos pequeños que rara vez se modifican, pero que deben almacenarse a largo plazo y estar disponibles para la recuperación. Los archivos pequeños tienen un tamaño de 1 MB o menos.

La eficiencia del almacenamiento de estos conjuntos de datos se mejora mediante la consolidación de los datos en archivos y la reducción de la sobrecarga general de la protección. Los archivos que satisfacen los criterios especificados se comprimen (almacenan en contenedores) en un contenedor especial llamado ShadowStore. En las políticas de FilePools, se proporcionan los criterios de selección.

NOTA: Existe una relación entre la eficiencia del almacenamiento y el rendimiento. El objetivo de Small Files Storage

Efficiency es mejorar la eficiencia del almacenamiento, lo que puede afectar el rendimiento.

Small Files Storage Efficiency se habilita con la utilidad isi_packing. Después de habilitar la función, configure las políticas de FilePools para especificar los criterios de selección de los archivos que deben comprimirse. El trabajo SmartPools comprime y almacena en contenedores los archivos seleccionados en segundo plano. El trabajo maneja la compresión y la descompresión según una marca de compresión de políticas de FilePools.

El trabajo SmartPools puede tardar mucho tiempo en completar su ejecución inicial en el conjunto de datos. Las ejecuciones posteriores son más rápidas, ya que solo se comprimen los archivos nuevos y modificados.

Herramienta de desfragmentaciónDespués de comprimir los archivos, las sobrescrituras y las eliminaciones de archivos pueden generar la fragmentación de ShadowStore. La fragmentación afecta la eficiencia del almacenamiento. Para admitir cargas de trabajo de archivado con niveles moderados de sobrescrituras y eliminaciones, Small Files Storage Efficiency proporciona un desfragmentador de ShadowStore. Para obtener más información, consulte Descripción general del desfragmentador.

El trabajo ShadowStoreDelete se ejecuta de forma periódica para recuperar bloques vacíos desde ShadowStores. Este trabajo también permite ejecutar el desfragmentador.

26

Eficiencia del almacenamiento de archivos pequeños para cargas de trabajo de archivado 345

Herramienta de evaluaciónHay una herramienta de evaluación disponible para calcular el espacio vacío que podría recuperarse si se habilita Small Files Storage Efficiency. Puede utilizar la herramienta de evaluación sin habilitar Small Files Storage Efficiency.

RequisitosSmall Files Storage Efficiency se diseñó para las siguientes condiciones.

• Una parte significativa del espacio utilizado en un conjunto de datos definido se destina para archivos pequeños. Un archivo pequeño pesa menos que 1 MB.

• Los archivos se utilizan en un flujo de trabajo de archivos, lo que significa que no se modifican con frecuencia. Se admiten niveles moderados de modificaciones al ejecutar la herramienta de desfragmentación.

• Debe haber una licencia de SmartPools activa y una política de SmartPools habilitada en el clúster.

Se recomienda encarecidamente utilizar una licencia de análisis de los sistemas de archivos (FSA). Esa licencia le permite utilizar el trabajo FSAnalyze y la utilidad isi_packing para supervisar la eficiencia del almacenamiento.

Actualizaciones y reversionesExiste una pequeña diferencia en los procedimientos de actualización relacionados con Small Files Storage Efficiency, según si está actualizando desde versiones de OneFS previas a 8.0.1 u 8.0.1 y versiones posteriores.

Actualización desde versiones de OneFS anteriores a 8.0.1Si va a actualizar desde versiones de OneFS anteriores a 8.0.1, Small Files Storage Efficiency está disponible solo después de que se confirme la actualización. La función no se puede revertir, pero se puede deshabilitar si es necesario.

Small Files Storage Efficiency permite implementar nuevos campos y estructuras en el disco. Ya que no puede realizar la reversión de la función, no tiene permitido habilitarla hasta que se confirme la instalación o la actualización.

Esta es la secuencia de pasos para obtener y habilitar Small Files Storage Efficiency:

1. Ejecute la actualización.2. Pruebe la actualización. En este punto, no puede habilitar ni probar Small Files Storage Efficiency.3. Confirme la actualización.4. Habilite Small Files Storage Efficiency.5. Pruebe Small Files Storage Efficiency.6. Puede deshabilitar Small Files Storage Efficiency si es necesario.

Actualización desde OneFS 8.0.1 y versiones posterioresSi todos los nodos se están ejecutando con OneFS 8.0.1 o versiones posteriores, y todos están confirmados, puede seguir los procedimientos normales de actualización, pruebas y confirmación. Puede habilitar Small Files Storage Efficiency antes de confirmar la actualización, la que se puede revertir si es necesario.

InteroperabilidadEn esta sección, se describe cómo Small Files Storage Efficiency interopera con los componentes de OneFS.

Componente de OneFS Descripción

SyncIQ • Los archivos comprimidos se tratan como archivos normales durante las operaciones de conmutación por error y conmutación por recuperación. Los archivos comprimidos se comprimen en el clúster de destino si Small Files Storage Efficiency está habilitado en este clúster, y se puede aplicar la política de pools de archivos correcta.

• SyncIQ no sincroniza las políticas de pools de archivos. Debe crear las políticas de pools de archivos correctas de forma manual en el clúster de destino.

346 Eficiencia del almacenamiento de archivos pequeños para cargas de trabajo de archivado

Componente de OneFS Descripción

• La mejor práctica es habilitar Small Files Storage Efficiency en el clúster de origen y de destino, a fin de conservar los beneficios de la eficiencia del almacenamiento en ambos clústeres.

• Si Small Files Storage Efficiency está habilitado solo en el clúster de origen, corre el riesgo de que el clúster de destino se quede sin espacio. Si ya no tiene espacio, se bloquea la replicación de datos.

NOTA: Los beneficios de Small Files Storage Efficiency no se ven reflejados en el clúster de destino hasta que un trabajo de SmartPools se ejecuta en los datos

replicados.

Clones de archivos y deduplicación

La interoperabilidad es limitada.

• Los archivos clonados no se optimizan.• La deduplicación omite los archivos comprimidos.• La compresión omite los archivos deduplicados.

InsightIQ • La incorporación de referencias ocultas en los archivos no cambia el tamaño de archivo lógico. Esto cambia el uso físico de los bloques de los archivos.

• Las cifras de resumen de clúster de InsightIQ muestran de manera precisa el espacio utilizado y libre.

• Es posible que las cifras de uso por directorio y por archivo no sean precisas.

CloudPools La interoperabilidad es limitada.

• Los archivos SmartLink de CloudPools no se comprimen.• Los archivos comprimidos se pueden descomprimir primero para incluirlos en los archivos

SmartLink.• Los archivos recuperados no se comprimen de inmediato.

SmartLock El proceso de compresión maneja archivos write-once/read-many (WORM) como archivos normales. Los archivos WORM son buenos candidatos para ser comprimidos. Es poco probable que los archivos WORM provoquen la fragmentación debido a la escritura de archivos modificados en el disco, por lo que no se degradará la eficiencia del almacenamiento.

Administración Small Files Storage EfficiencyPuede habilitar y configurar Small Files Storage Efficiency mediante la interfaz de la línea de comandos (CLI) de OneFS. Además, puede ejecutar informes y deshabilitar la función mediante la CLI.

Debe tener una licencia de SmartPools activa y una política de SmartPools habilitada antes de configurar Small Files Storage Efficiency. También se recomienda contar con una licencia de análisis de los sistemas de archivos (FSA).

Descripción general de la implementaciónSiga estos pasos para implementar Small Files Storage Efficiency.

Tarea Instrucciones

1 De manera opcional, genere el informe de eficiencia del almacenamiento para conocer la base de esta eficiencia en su clúster.

Guarde el número del trabajo a fin de poder comparar los resultados de la eficiencia del almacenamiento antes y después de la compresión.

Consulte Supervisión de la eficiencia del almacenamiento con FSAnalyze.

2 Habilite Small Files Storage Efficiency. Consulte Habilitar Small Files Storage Efficiency.

3 Configure las opciones globales que permiten controlar el comportamiento de la compresión de archivos.

Consulte Visualización y configuración de los ajustes globales.

4 Cree políticas de FilePools que permitan definir criterios de selección para los archivos que se deben comprimir.

Consulte Especificación de los criterios de selección para comprimir los archivos.


Cuando se completan todas las tareas anteriores, el trabajo SmartPools se ejecuta en segundo plano, se seleccionan los archivos en función de las políticas de FilePools y se comprimen.

Habilitar Small Files Storage EfficiencySmall Files Storage Efficiency está deshabilitado de manera predeterminada. Utilice este procedimiento para habilitarlo.

Debe tener una licencia de SmartPools activa y al menos una política de SmartPools habilitada.

1. Ejecute el comando isi_packing --enabled=true.

2. Escriba yes para que aparezca el acuerdo de licencia.Aparece el acuerdo de licencia.

3. Ingrese q y, a continuación, acepte el acuerdo de licencia.

Small Files Storage Efficiency está habilitado.

Visualización y configuración de los ajustes globalesUtilice el comando isi_packing para configurar el comportamiento de Small Files Storage Efficiency.

1. Para ver la configuración actual de Small Files Storage Efficiency, ingrese el siguiente comando:

# isi_packing --ls

Por ejemplo:

# isi_packing --lsEnabled: NoEnable ADS: NoEnable snapshots: NoEnable mirror containers: NoEnable mirror translation: NoUnpack recently modified: NoUnpack snapshots: NoAvoid deduped files: YesMaximum file size: 1016.00kSIN cache cutoff size: 8.00MMinimum age before packing: 1DDirectory hint maximum entries: 16Container minimum size: 1016.00kContainer maximum size: 1.00G

2. Para ver las opciones de configuración y la sintaxis, ingrese lo siguiente:

# isi_packing -I --help

Aparece el siguiente uso:

usage: isi_packing [--ls] [--fsa] [--enabled true|false] [--enable-ads true|false] [--enable-snaps true|false] [--enable-mirror-containers true|false] [--enable-mirror-translation true|false] [--unpack-recent true|false] [--unpack-snaps true|false] [--avoid-dedupe true|false] [--max-size bytes] [--sin-cache-cutoff-size bytes] [--min-age seconds] [--dir-hint-entries entries] [--container-min-size bytes] [--container-max-size bytes] [-v]

Además, la información adicional de ayuda aparece debajo de la sintaxis.

3. Para cambiar cualquier ajuste de configuración, utilice el siguiente comando:

# isi_packing <option>=<value>


Por ejemplo:

isi_packing --enabled=false

Para obtener orientación, consulte la ayuda adicional que aparece después de que se muestra el uso o consulte la página de referencia de isi_packing.

Especificación de los criterios de selección para comprimir los archivosPara definir los archivos que se seleccionarán para comprimirlos, cree políticas de FilePools. Las políticas que cree se aplicarán cuando se ejecute el trabajo SmartPools en segundo plano.

Para crear políticas de FilePools, debe activar una licencia de SmartPools y contar con el privilegio de SmartPools o un privilegio administrativo superior.

Debe estar familiarizado con el comando isi filepool policies create.

Consulte la Guía de administración de la CLI de Isilon OneFS para obtener información sobre las políticas de SmartPools y FilePools.

1. Crear políticas de FilePools que permitan definir los conjuntos de datos que se deben comprimir.

La sintaxis representa lo siguiente:

isi filepool policies create <policy_name> --enable_packing=true /--begin_filter --path=<path_name> --changed-time=<time> --operator=<operator> --end-filter

donde:

<policy_name> Permite identificar esta política de FilePool.

--enable_packing=true

Permite realizar compresión en los conjuntos de datos de esta política. Consulte Deshabilitación de la compresión para ver las opciones de deshabilitación.

--path=<path_name>

Permite identificar un conjunto de datos.

--changed-time=<time>

--operator=<operator>

Estos dos parámetros permiten configurar el tiempo que debe transcurrir desde que se modificó un archivo antes de poder seleccionarlo para la compresión. La cantidad predeterminada de tiempo es el valor global establecido por isi packing --min-age. Utilice este parámetro --changed-time específico de la política para aumentar la cantidad de tiempo de espera desde que se realizaron los cambios a un valor mayor que el del ajuste global.

NOTA: El parámetro --changed-time específico de la política no puede disminuir la cantidad de

tiempo de espera antes de seleccionar el archivo para comprimirlo a un valor menor que el

estipulado en el ajuste global. Se ignora cualquier valor menor que el del ajuste global --min-

age. Si desea tener un ajuste inferior que el valor predeterminado global actual, primero debe

cambiar el parámetro global --min-age en el comando isi packing.

En el siguiente ejemplo, se habilita la compresión en el conjunto de datos /ifs/data/pacs.

isi filepool policies create pacs --enable_packing=true /--begin_filter --path=/ifs/data/pacs --end-filter

En el siguiente ejemplo, se especifica que se selecciona un archivo en /ifs/data/pacs para comprimirlo solo si trascurrió una semana desde la última vez que se modificó.

isi filepool policies create pacs --enable_packing=true /--begin_filter --path=/ifs/data/pacs --changed-time=1W /--operator=gt --end-filter

2. Espere a que el trabajo SmartPools se ejecute.El trabajo SmartPools permite comprimir los conjuntos de datos identificados en las políticas de FilePools.


Deshabilitación de la compresiónPuede deshabilitar la compresión de forma global o mediante la edición de las políticas de FilePools individuales.

1. Para deshabilitar la compresión de forma global, ejecute el siguiente comando:

# isi_packing --enable=false

Los archivos comprimidos permanecen en este estado, pero no se comprimirán archivos adicionales.

2. Para deshabilitar la compresión por política, realice los siguientes pasos:

a) Compruebe el espacio disponible en el clúster y asegúrese de que haya suficiente para manejar archivos descomprimidos.b) Ejecute el comando isi filepool policies modify policy-name. Hay dos opciones.

• Incluya el parámetro false --enable-packing=. Con --enable-packing= establecido en false, se descomprimen los archivos comprimidos que coinciden con la política. Por ejemplo, el siguiente comando permite deshabilitar la compresión en la política myfiles y descomprimir todos los archivos comprimidos existentes que coinciden con los criterios de la política:

# isi filepool policies modify myfiles --enable-packing=false

• Excluya el parámetro --enable-packing . Si el parámetro no existe en la política, no se realiza la actividad de compresión ni de descompresión. Los archivos permanecen comprimidos o descomprimidos según el estado. Por ejemplo, el siguiente comando permite deshabilitar la compresión en la política myfiles, pero no cambia el estado de los archivos comprimidos existentes:

# isi filepool policies modify myfiles

Funciones de generación de informesSmall Files Storage Efficiency incluye las siguientes funciones de generación de informes.

Actividad Descripción Más información

Calcule el posible ahorro de almacenamiento con el comando isi_sfse_assess.

El comando isi_sfse_assess escanea un conjunto de archivos y simula el trabajo que Small Files Storage Efficiency realizaría. Los resultados son un estimado del ahorro que se puede lograr comprimiendo archivos.

Consulte Cálculo del posible ahorro de almacenamiento.

Vea los resultados de compresión y descompresión en el informe del trabajo SmartPools.

En el informe del trabajo SmartPools se muestra la cantidad de archivos que se comprimieron, se volvieron a comprimir o descomprimieron durante la ejecución.

Consulte Visualización de la actividad de compresión y descompresión de los trabajos de SmartPools.

Supervise la eficiencia del almacenamiento con el trabajo FSAnalyze.

El trabajo FSAnalyze genera estadísticas detalladas que pueden analizarse más en detalle. El comando isi_packing --fsa utiliza los datos de un trabajo FSAnalyze para generar cifras generales de eficiencia del almacenamiento.

Consulte Supervisión de la eficiencia del almacenamiento con FSAnalyze.

Revise los detalles de ShadowStore con el comando isi_sstore.

El comando isi_sstore permite ver las estadísticas de cada ShadowStore.

Consulte Visualización de la información de ShadowStore.

Supervise la eficiencia del almacenamiento en un conjunto de datos pequeño.

El comando isi_storage_efficiency es un script de depuración que permite calcular la eficiencia del almacenamiento en conjuntos de datos de ejemplo pequeños.

Consulte Supervisión de la eficiencia del almacenamiento en un conjunto de datos pequeño.

Cálculo del posible ahorro de almacenamientoUtilice el comando isi_sfse_assess para generar un cálculo del ahorro de almacenamiento que se podría lograr si se comprimen los archivos.


Este comando permite escanear un conjunto de archivos y simula el trabajo que Small Files Storage Efficiency realizaría. Se genera un cálculo del ahorro que se puede lograr con la compresión sin mover los datos.

Puede ejecutar este comando en todo el sistema de archivos o en un directorio específico. Si cree que un directorio podría beneficiarse de la compresión de archivos, puede confirmar el posible ahorro con este comando y, a continuación, crear una política adecuada de FilePool.

Para obtener información sobre las opciones y la salida de ejemplo, consulte la página de referencia de isi_sfse_assess.

1. Para iniciar la evaluación, utilice el comando isi_sfse_assess de la siguiente manera:

Usage: isi_sfse_assess <assess mode> [process options] [sysctl options]

Assess Modes: -a | --all : assess all files on OneFS -p <path> | --path=<path> : assess <path> and sub-dirs -r | --resume : resume previous assessment

Process Options: -q | --quick : slow mode (better accuracy) -f <fails> | --max-fails=<fails> : max failures before aborting (default: 1000) -v | --verbose : verbose mode

Sysctl Options: --max-size=<bytes> : max file size to pack --avoid-bsin[=on|off] : avoid cloned/dudped files --mirror-translation-enabled[=on|off] : convert mirrored to FEC --mirror-containers-enabled[=on|off] : process mirrored files --snaps-enabled[=on|off] : process snapshots --ads-enabled[=on|off] : process ADS files

Por ejemplo:

root# isi_sfse_assess -a -q -v --mirror-translation-enabled --mirror-containers-enabled

2. Para interrumpir el procesamiento, utilice las teclas Ctrl-C.Se muestra un resumen del progreso del cálculo. El contexto del estado de tiempo de ejecución actual se guarda en segundo plano.

3. Para reanudar el procesamiento, utilice el siguiente comando:

# isi_sfse_assess -r [-v]

El procesamiento de la evaluación continúa en el punto en que se interrumpió y se utilizan las mismas opciones proporcionadas en el comando original. Para obtener una salida más detallada, -v es la única opción adicional permitida junto con la opción Resume. Si se incluyen otras opciones en la opción Resume, se ignorarán.

Visualización de la actividad de compresión y descompresión de los trabajos de SmartPoolsEn el informe de trabajo de SmartPools se muestra la cantidad de archivos que se comprimieron, se volvieron a comprimir o descomprimieron durante la ejecución del trabajo.

1. Consulte el informe de un trabajo de SmartPool.

# isi job reports view -v 12

Como alternativa, realice lo siguiente para ver un informe de trabajo en la interfaz de usuario web:

a) Seleccione Cluster management > Job operations > Job reports > Type=SmartPools, Phase=1.b) Haga clic en View Details.

2. Revise la respuesta del trabajo.Por cada política, se muestra un resultado parecido a este ejemplo:

'pol1': {'Policy Number': 0, 'Files matched': {'head':500, 'snapshot': 0}, 'Directories matched': {'head':1, 'snapshot': 0}, 'ADS containers matched': {'head':0, 'snapshot': 0},


'ADS streams matched': {'head':0, 'snapshot': 0}, 'Access changes skipped': 0, 'Protection changes skipped': 0, 'Packing changes skipped': 0, 'File creation templates matched': 1, 'Skipped packing non-regular files': 1, 'Skipped packing regular files': 0, 'Skipped files already in containers': 0, 'Files packed': 500, 'Files repacked': 0, 'Files unpacked': 0, },

Supervisión de la eficiencia del almacenamiento con FSAnalyzePara supervisar la eficiencia del almacenamiento, ejecute un trabajo FSAnalyze y, a continuación, el comando isi_packing --fsa .

Se requiere una licencia de análisis de los sistema de archivos (FSA) activa.

Este es un procedimiento de dos pasos. Primero, el trabajo de FSAnalyze escanea el sistema de archivos y registra la cantidad total de bloques lógicos y físicos utilizados. Un comando de la CLI utiliza esos datos para calcular la eficiencia del almacenamiento global. La eficiencia del almacenamiento debe mejorar cuando se habilita el paquete.

Le recomendamos utilizar este procedimiento antes y después de habilitar la compresión para observar las mejoras en la eficiencia del almacenamiento. A partir de este momento, utilice este procedimiento de forma periódica para monitorear el estado global actual de la eficiencia del almacenamiento del sistema de archivos.

Si la eficiencia del almacenamiento se degrada, es posible que deba usar políticas de FilePool que coincidan con más datos. También puede usar el comando isi_sfse_assess para identificar árboles de directorios adicionales que podrían beneficiarse de la compresión.

1. Ejecutar el trabajo FSAnalyze u obtener el jobid de un trabajo FSAnalyze ya ejecutado.

Puede ejecutar el trabajo FSAnalyze de forma manual o programarlo, o ambos. Ingrese lo siguiente para ejecutarlo de forma manual:

# isi job start FSAnalyze

2. Genere el informe de eficiencia del almacenamiento mediante el siguiente comando:

# isi_packing --fsa [--fsa-jobid $jobid]

Donde:

--fsa-jobid $jobid Permite especificar un trabajo FSAnalyze que se utilizará para generar el informe. Si no se incluye esta opción, isi_packing --fsa utiliza el trabajo FSAnalyze ejecutado más reciente de manera predeterminada.

Por ejemplo:

# isi_packing --fsa --fsa-jobid 100

El comando isi_packing --fsa produce el informe de eficiencia del almacenamiento de FSA. El informe es parecido al siguiente ejemplo:

# isi_packing --fsaFSAnalyze job: 83 (Wed Jul 27 01:57:41 2016) Logical size: 1.8357T Physical size: 3.7843TEfficiency: 48.51%

Donde:

Trabajo FSAnalyze Muestra el ID del trabajo FSA. En el ejemplo es 83.

Tamaño lógico Muestra el tamaño lógico de todos los archivos escaneados durante la ejecución del trabajo FSA.

Tamaño físico Muestra el tamaño físico de todos los archivos escaneados durante la ejecución del trabajo FSA.


Efficiency Muestra la eficiencia del almacenamiento de archivos calculada como tamaño lógico/físico.

El comando isi_packing --fsa no toma en cuenta los archivos en el directorio /ifs/.ifsvar como datos lógicos. Debido a eso, si ejecuta el trabajo FSA en un clúster vacío, el espacio utilizado por /ifs/.ifsvar puede hacer que FSA informe una baja eficiencia del almacenamiento. A medida que se almacenan más datos, el efecto de /ifs/.ifsvar desaparece.

Visualización de la información de ShadowStoreEl comando isi_sstore permite ver la información sobre ShadowStores:

Por ejemplo, para ver la salida del comando y las explicaciones de cada campo, consulte la página de referencia de isi_sstore.

1. Para enumerar ShadowStores, ejecute el siguiente comando:

# isi_sstore list -l

2. Para obtener más información sobre cada ShadowStore, incluidas las puntuaciones de fragmentación y eficiencia, utilice la opción Verbose.

# isi_sstore list -v

3. Para ver las estadísticas sobre ShadowStores, utilice el siguiente comando:

# isi_sstore stats

Supervisión de la eficiencia del almacenamiento en un conjunto de datos pequeñoEl script de depuración isi_storage_efficiency le permite calcular la eficiencia del almacenamiento en conjuntos de datos de ejemplo pequeños. El script se queda sin memoria si lo ejecuta en conjuntos de datos de gran tamaño.

Este script permite escanear de forma repetida un directorio de archivos y calcular la eficiencia del almacenamiento de archivos en el conjunto de datos de ejemplo; se toma en cuenta el uso de los almacenes ocultos. El comando du de UNIX no muestra el uso preciso de los archivos con referencias de replicación, incluidos los archivos comprimidos.

A fin de obtener una eficiencia del almacenamiento para un conjunto de datos pequeño, escriba el siguiente comando:

isi_storage_efficiency <filepath>

Por ejemplo:

isi_storage_efficiency /ifs/data/my_small_files

Para una salida de ejemplo, consulte la página de referencia de isi_storage_efficiency.

Estructura del sistema de archivosSmall Files Storage Efficiency utiliza una clase específica de ShadowStore de contenedor para contener los datos comprimidos. En los atributos del archivo, se indican el estado del paquete y el tipo de política del paquete.

Puede determinar los tipos de datos que residen en un ShadowStore (SIN) mediante la comprobación del prefijo SIN.

• Los almacenes ocultos básicos (BSIN) con el prefijo 0x40 contienen datos clonados o deduplicados.• Los almacenes ocultos en contenedor (CSIN) con el prefijo 0x41 contienen datos comprimidos.

En los siguientes atributos de archivos, se indica el estado del paquete de un archivo.

Atributo del archivo Descripción Predeterminado original antes de la compresión o descompresión

packing_policy Indica si el archivo satisface los criterios establecidos en las políticas de pool de archivos y es apto para la compresión. El

native


Atributo del archivo Descripción Predeterminado original antes de la compresión o descompresión

trabajo SmartPools actualiza el valor. Los valores son los siguientes:

• container: el archivo es apto para comprimirlo.• native: el archivo no es apto para comprimirlo.

packing_target Describe el estado actual del archivo. Los valores son los siguientes:

• container: el archivo está comprimido.• native: el archivo se descomprimió de forma explícita o nunca

se comprimió.

native

packing_complete Indica si se satisfizo el destino. Los valores son los siguientes:

• complete: se satisface el destino, lo que significa que se completó la compresión o descompresión.

• incomplete: no se conoce con exactitud el estado de compresión del archivo.

complete, lo que indica que el estado de destino de compresión está intacto.

NOTA: Para asegurarse de que haya suficiente espacio para manejar los archivos descomprimidos o archivos

comprimidos en expansión o deduplicados, supervise el espacio físico de manera habitual. En particular, las operaciones

de SyncIQ descomprimen y expanden archivos deduplicados en el clúster de destino. Esos archivos se volverán a

comprimir en el clúster de destino.

Visualización de los atributos de archivosUtilice el comando isi get para ver los atributos del archivo.

1. Escriba el siguiente comando:

# isi get -D <file name>

2. Analice la salida para encontrar los atributos de compresión.Por ejemplo:

# isi get -D /ifs/data/pol1/file.001POLICY W LEVEL PERFORMANCE COAL ENCODING FILE IADDRS+2d:1n 18 4+2/2 concurrency on UTF-8 file.001<1,1,2411008:512>, <2,4,1406976:512>, <3,5,1359360:512> ct: 1554959873 rt: 0************************************************** IFS inode: [ 1,1,2411008:512, 2,4,1406976:512, 3,5,1359360:512 ]*************************************************** Inode Version: 6 . . <output intentionally deleted> .* Packing policy: container* Packing target: container* Packing status: complete . . <output intentionally deleted> .

Descripción general del desfragmentadorEl desfragmentador de Small Files Storage Efficiency permite recuperar espacio en los contenedores de ShadowStore mediante la transferencia de datos a un diseño más óptimo.


El desfragmentador divide cada SIN en fragmentos lógicos y evalúa cada uno para su fragmentación. Si la eficiencia del almacenamiento actual de cada fragmento es menor que una eficiencia de destino, el fragmento se procesa mediante la transferencia de todos los datos externos y entrantes en otra ubicación, en la que se almacena con más eficacia.

La eficiencia predeterminada de destino es del 90 % de la eficiencia del almacenamiento máxima disponible en el nivel de protección que utiliza el almacén oculto. Los tamaños de grupos de protección más grandes pueden tolerar un nivel más alto de fragmentación antes de que la eficiencia del almacenamiento disminuya por debajo de este umbral.

Se pueden configurar los atributos, como el tamaño del fragmento, la eficiencia de destino y los tipos de SIN que se deben examinar. Además, puede configurar el desfragmentador para reducir la cantidad de grupos de protección cuando sea posible.

El desfragmentador se implementa en el trabajo ShadowStoreDelete. Este trabajo se ejecuta de forma periódica para recuperar bloques vacíos de los almacenes ocultos. También hay un comando de la CLI que permite ejecutar el desfragmentador.

La función incluye los siguientes métodos para obtener estadísticas sobre la fragmentación y la eficiencia del almacenamiento. Estos recursos pueden ayudarlo a decidir cuándo y con qué frecuencia ejecutar el desfragmentador.

• La ejecución del desfragmentador en el modo de evaluación genera cálculos de la cantidad de espacio que se puede ahorrar con la desfragmentación.

• El comando isi_sstore list -v permite generar puntuaciones de eficiencia del almacenamiento y de fragmentación.

Administración del desfragmentadorEl desfragmentador está deshabilitado de manera predeterminada. Utilice los comandos de la línea de comandos para habilitarlo y configurarlo. Cuando está habilitado, el desfragmentador se ejecuta como parte del trabajo ShadowStoreDelete. También puede ejecutarlo en la línea de comandos. El modo de evaluación le permite obtener una vista previa del ahorro de espacio antes de ejecutar el desfragmentador.

Habilitación del desfragmentadorEl desfragmentador es una función opcional de Small Files Storage Efficiency y no requiere una licencia independiente. Se debe habilitar de forma explícita.

1. Inicie sesión en cualquier nodo

No es necesario que sea raíz, pero necesita privilegios PRIV_ROOT. Por lo general, sudo es suficiente.

2. Asegúrese de que Small Files Storage Efficiency esté habilitado mediante el siguiente comando:

# isi_packing --ls

3. Habilite el desfragmentador con el siguiente comando:

# isi_gconfig -t defrag-config defrag_enabled=true

Configuración del desfragmentadorUtilice el comando isi_gconfig -t defrag-config para configurar los valores globales de las opciones del desfragmentador.

El desfragmentador se ejecuta como parte del trabajo ShadowStoreDelete. Se utilizan valores de configuración global establecidos en una configuración global. En la siguiente tabla, se describen las opciones globales.

En el siguiente procedimiento, se describe cómo ver los ajustes actuales y cómo cambiarlos.

1. Para ver los ajustes globales actuales, ingrese este comando:

# isi_gconfig -t defrag-config

El resultado es similar a lo siguiente:

# isi_gconfig -t defrag-config [root] {version:1}defrag_enabled (bool) = trueassess_mode (bool) = falsebsins_enabled (bool) = truecsins_enabled (bool) = true


pg_efficiency (bool) = truesnapshots_enabled (bool) = truetarget_efficiency (uint8) = 90chunk_size (uint64) = 33554432log_level (enum defrag_log_level) = notice

2. Ejecute el siguiente comando para cambiar el valor de un ajuste global.

# isi_gconfig -t defrag-config <option>=<value>

Por ejemplo:

# isi_gconfig -t defrag-config target_efficiency=95

Ejecución del desfragmentadorEl trabajo ShadowStoreDelete permite ejecutar el desfragmentador. También hay un comando de la CLI que permite ejecutar el desfragmentador.

En la siguiente tabla, se describen los dos métodos para ejecutar la desfragmentación.

Método Explicación

De forma automática en el trabajo ShadowStoreDelete.

Cuando la función de desfragmentación está habilitada en la configuración global, la desfragmentación se ejecuta de forma automática como parte del trabajo ShadowStoreDelete. En este caso, los ajustes de opciones en la configuración global permiten controlar el comportamiento del desfragmentador.

En la línea de comandos. Puede ejecutar el desfragmentador en la línea de comandos con el comando isi_sstore defrag. En este caso, las opciones se establecen en la línea de comandos. Para obtener más información, consulte isi_sstore defrag.

En el siguiente procedimiento, se describe cómo prepararse para la ejecución automática del desfragmentador como parte del trabajo ShadowStoreDelete.

1. Asegúrese de que la desfragmentación esté habilitada y revise los ajustes de configuración global actuales, como se describe en los procedimientos anteriores.

2. De manera opcional, ejecute el comando isi_sstore list -v para comprobar la puntuación de la fragmentación y la eficiencia del almacenamiento antes de realizar la desfragmentación.El resultado es parecido a lo siguiente:

# isi_sstore list -v SIN lsize psize refs filesize date sin type underfull frag score efficiency4100:0001:0001:0000 66584576 129504K 16256 128128K Sep 20 22:55 container no 0.49 0.50...

3. Ejecute el trabajo ShadowStoreDelete.

# isi job jobs start ShadowStoreDelete [-o HIGH]

Este trabajo recupera bloques vacíos de los almacenes ocultos y ejecuta el desfragmentador si está habilitado.

4. De manera opcional, vuelva a ejecutar el comando isi_sstore list -v para comprobar la puntuación de la fragmentación y la eficiencia del almacenamiento después de realizar la desfragmentación.Se esperan los siguientes resultados:

• La puntuación de fragmentación debe ser menor después de la desfragmentación.

Si no se reduce la puntuación de fragmentación, compruebe si la marca underfull del almacén oculto es true. Cuando el almacén oculto contiene solo una pequeña cantidad de datos, es posible que el desfragmentador no los mueva y la puntuación de fragmentación permanezca sin cambios.

• La puntuación de eficiencia debe ser mayor después de la desfragmentación.

La eficiencia del almacenamiento puede aparecer como baja si el almacén oculto se encuentra en underfull debido a una muestra insuficiente de datos en contenedores.


Visualización del ahorro estimado del almacenamiento antes de la desfragmentaciónEjecute el desfragmentador en el modo de evaluación para generar estadísticas de la cantidad de espacio de disco que se puede recuperar con el proceso de desfragmentación.

El modo de evaluación no permite mover ningún dato ni realizar ningún cambio en el disco. Es una operación rápida, útil para determinar si se debe ejecutar el desfragmentador. Necesita ShadowStores existentes con datos ya almacenados en contenedores.

Para ejecutar la evaluación y ver los resultados, utilice el comando isi_sstore defrag en la línea de comandos con las opciones adecuadas.

NOTA: Aunque puede configurar los ajustes globales para que el trabajo ShadowStoreDelete ejecute el

desfragmentador en el modo de evaluación, en la salida del trabajo no se muestran las estadísticas.

1. Inicie sesión en cualquier nodo del clúster.

No es necesario que sea raíz, pero necesita privilegios PRIV_ROOT. Por lo general, sudo es suficiente.

2. Ejecute el comando isi_sstore defrag con las opciones -d y -a como mínimo.

La opción -d permite habilitar el desfragmentador para ejecutar este comando. El desfragmentador no debe estar habilitado de forma global.

La opción -a permite ejecutar el desfragmentador en el modo de evaluación.

Para obtener descripciones de todas las opciones disponibles, consulte isi_sstore defrag.

Por ejemplo, en el siguiente comando, se muestra el posible ahorro de almacenamiento si se desfragmentan los contenedores de eficiencia del almacenamiento de archivos pequeños y se reducen los grupos de protección.

# isi_sstore defrag -d -a -c -p -v

En el ejemplo anterior, se muestran estadísticas similares a los siguientes ejemplos:

# isi_sstore defrag -d -a -c -p -v…Processed 1 of 1 (100.00%) shadow stores, space reclaimed 31MSummary:Shadows stores total: 1Shadows stores processed: 1Shadows stores skipped: 0Shadows stores with error: 0Chunks needing defrag: 4Estimated space savings: 31M

Comandos de la CLI para Small Files Storage EfficiencyLos comandos de la CLI en esta sección permiten configurar, supervisar y administrar Small Files Storage Efficiency y el desfragmentador pertinente.

isi_sfse_assessPermite generar una estimación del posible ahorro de almacenamiento que se podría lograr mediante la compresión de archivos con Small Files Storage Efficiency.

UsoEl comando isi_sfse_assess escanea un conjunto de archivos y simula el trabajo que Small Files Storage Efficiency realizaría. Este comando genera una estimación del ahorro de espacio de disco sin transferir datos. No requiere una licencia y no necesita que Small Files Storage Efficiency esté habilitado.

Utilice esta herramienta antes de habilitar Small Files Storage Efficiency para ver el posible ahorro de almacenamiento. Utilice la herramienta después de haber realizado la compresión de archivos para identificar el posible ahorro adicional según el estado actual del sistema de archivos.


La evaluación se basa en el cálculo de los bloques guardados cuando se comprimen archivos pequeños en contenedores en el mismo nivel de protección. Un archivo se categoriza como pequeño si el tamaño es menor que el valor de la opción max_size. El valor predeterminado es aproximadamente de 1 MB.

Muchas de las opciones del comando isi_sfse_assess son espejo de las opciones disponibles durante la compresión real. Estas son las opciones de control de nivel del sistema (opciones de sysctl) con valores predeterminados predefinidos. Para que la compresión logre los resultados previstos durante la evaluación, debe usar los mismos ajustes para la compresión y la evaluación.

• Puede cambiar los ajustes predeterminados de las opciones sysctl que se usan durante la compresión con el comando isi_packing.• Puede cambiar los ajustes predeterminados de las opciones sysctl que se usan durante la evaluación con el comando isi_sfse_assess.

En la evaluación, se omiten los siguientes tipos de archivos:

• Archivos no normales (no registrados).• Archivos no vinculados (no registrados).• Archivos ADS, si ads_enabled tiene el valor false.• Ficheros (CloudPools).• Archivos vacíos (no registrados).• Archivos de tamaño cero, en los que todos los bloques no tienen contenido físico, como referencias ocultas, ditto, etcétera.• Archivos de gran tamaño, en los que el tamaño de archivo es mayor que el valor de max_size.• Archivos protegidos contra espejos, si mirror_containers_enabled tiene el valor false.• Archivos de clonación o deduplicación, si avoid_bsin tiene el valor true.

El comando informa el progreso a medida que se ejecuta con la siguiente información:

• Porcentaje completado.• Posible ahorro de espacio estimado en los archivos escaneados hasta ese momento. Este número aumenta de forma continua a

medida que avanza el programa.• Tiempo restante estimado.

Puede interrumpir el procesamiento de forma temporal en cualquier momento mediante CTRL-C. El comando guarda el progreso, lo que le permite reiniciar el procesamiento en otro momento. Utilice la opción --resume (o -r) para reiniciar el procesamiento. Para obtener más información, consulte Ejemplo: detener y reiniciar el procesamiento a continuación.

Sintaxis

Usage: isi_sfse_assess <assess-mode> [process options] [sysctl options]

Assess Modes: -a | --all : assess all files on OneFS -p <path> | --path=<path> : assess <path> and sub-dirs -r | --resume : resume previous assessment

Process Options: -q | --quick : slow mode (better accuracy) -f <fails> | --max-fails=<fails> : max failures before aborting (default: 1000) -v | --verbose : verbose mode

Sysctl Options: --max-size=<bytes> : max file size to pack --avoid-bsin[=on|off] : avoid cloned/deduped files --mirror-translation-enabled[=on|off] : convert mirrored to FEC --mirror-containers-enabled[=on|off] : process mirrored files --snaps-enabled[=on|off] : process snapshots --ads-enabled[=on|off] : process ADS files

Opciones

Ejemplo: iniciar la evaluación en modo lento en todos los archivosEl siguiente comando permite escanear todos los archivos en modo lento.

# isi_sfse_assess -a


Ejemplo: iniciar la evaluación en modo rápido en un directorioEl siguiente comando permite utilizar el modo rápido para generar estimaciones de cálculos de ahorro de espacio precisos en el directorio /ifs/my-data.

# isi_sfse_assess -q -p /ifs/my-data

Ejemplo: detener y reiniciar el procesamiento

# isi_sfse_assess -a --snaps-enabled --mirror-containers-enabled# <CTRL-C> # isi_sfse_assess -r

El proceso se reanuda con las mismas opciones que se ingresaron en un comienzo.

Ejemplo: salida detallada

root# isi_sfse_assess -a -s -v --mirror-translation-enabled --mirror-containers-enabled------------------------------------------------SFSE simulation options: Slow mode: on Max fails: 1000 Verbose output: on Sysctls: efs.sfm.pack.max_size: 1040384 efs.sfm.pack.avoid_bsin: 1 efs.sfm.pack.mirror_translation_enabled: 1 (5 nodes involved in mirror translation) efs.sfm.pack.mirror_containers_enabled: 1 efs.sfm.pack.snaps_enabled: 0 efs.sfm.pack.ads_enabled: 0------------------------------------------------>> Starting LIN scan assessment...>> 1632 files (13.27%) scanned...[ETC: 1 minute, 5 seconds]>> 3014 files (19.51%) scanned...[ETC: 1 minute, 22 seconds]>> 4423 files (22.95%) scanned...[ETC: 1 minute, 40 seconds]>> 5685 files (25.75%) scanned...[ETC: 1 minute, 55 seconds]>> 6960 files (28.87%) scanned...[ETC: 2 minutes, 3 seconds]>> 8367 files (35.34%) scanned...[ETC: 1 minute, 49 seconds]>> 9708 files (38.96%) scanned...[ETC: 1 minute, 49 seconds]>> 11019 files (46.11%) scanned...[ETC: 1 minute, 33 seconds]>> 12307 files (49.25%) scanned...[ETC: 1 minute, 32 seconds]>> 13565 files (52.68%) scanned...[ETC: 1 minute, 29 seconds]>> 14892 files (56.11%) scanned...[ETC: 1 minute, 26 seconds]>> 16289 files (63.05%) scanned...[ETC: 1 minute, 10 seconds]>> 17738 files (66.40%) scanned...[ETC: 1 minute, 5 seconds]>> 19135 files (73.03%) scanned...[ETC: 51 seconds]>> 20455 files (76.86%) scanned...[ETC: 45 seconds]>> 21779 files (80.93%) scanned...[ETC: 37 seconds]>> 22989 files (82.21%) scanned...[ETC: 36 seconds]>> 24309 files (88.52%) scanned...[ETC: 23 seconds]>> 25635 files (100.00%) scanned...[ETC: 0 seconds]>> 25938 files (100.00%) scanned...[ETC: 0 seconds]------------------------------------------------25938 files scanned: * Packable: 23978 * Non-packable: 14 - Oversized: 14 - Cloned/deduled: 0 - Snapshots: 0 - ADS: 0 - Stubbed: 0 - Zero-sized: 0 * Failed: 0 * Skipped: 1946

SFSE estimation summary: * Raw space saving: 1.5 GB * PG reduction: 22298


SFSE estimation details: * prot level: 3x, files: 3995, size: 314857823, data blks: 41090 - effective prot level: 3+2 - prot overhead: 82180 -> 27396 - prot groups: 5666 -> 857 * prot level: 4x, files: 3996, size: 315210935, data blks: 41134 - effective prot level: 4x - prot overhead: 123402 -> 123402 - prot groups: 5669 -> 2571 * prot level: 5x, files: 3995, size: 314857823, data blks: 41090 - effective prot level: 5x - prot overhead: 164360 -> 164360 - prot groups: 5666 -> 2569 * prot level: 8+2/2, files: 4002, size: 314867566, data blks: 41097 - prot overhead: 38374 -> 10290 - prot groups: 4002 -> 322 * prot level: 12+3/3, files: 3995, size: 314857823, data blks: 41090 - prot overhead: 57540 -> 10278 - prot groups: 3995 -> 215 * prot level: 16+4/4, files: 3995, size: 314857823, data blks: 41090 - prot overhead: 76720 -> 10304 - prot groups: 3995 -> 161------------------------------------------------

isi_gconfig -t defrag-configPermite habilitar o deshabilitar la desfragmentación de ShadowStore, y cambiar los ajustes de configuración globales del desfragmentador.

UsoCuando se ejecuta el desfragmentador en el trabajo ShadowStoreDelete, se controla mediante los ajustes de la configuración global.

Cuando se inicia el desfragmentador en la línea de comandos con el comando isi_sstore defrag, este comando utiliza los ajustes globales para target_efficiency, chunk_size y log_level, a menos que reemplace los valores con opciones de la línea de comandos. El comando isi_sstore defrag permite restablecer todos los valores booleanos de la configuración global a false, lo que le permite configurarlos con las opciones de comandos específicas para cada ejecución de la línea de comandos.

Sintaxis

isi_gconfig -t defrag-config[defrag_enabled={true | false}][access_mode={true | false}][bsins_enabled={true | false}][csins_enabled={true | false}][pg_efficiency={true | false}][snapshots_enabled={true | false}][target_efficiency=<efficiency-percent>][chunk_size=<bytes>][log_level=<defrag_log_level>]

Opciones

Ejemplos

Habilitación y deshabilitación de la herramienta de desfragmentaciónEl desfragmentador está deshabilitado de manera predeterminada después de la instalación. En el siguiente ejemplo, se habilita la herramienta de desfragmentación en la configuración global.

# isi_gconfig -t defrag-config defrag_enabled=true


Visualización de la configuración global de la herramienta de desfragmentaciónEl comando isi_gconfig -t defrag-config muestra los ajustes actuales de la herramienta de desfragmentación en la configuración global. En el siguiente ejemplo, se muestra el comando y los ajustes típicos.

# isi_gconfig -t defrag-config [root] {version:1}defrag_enabled (bool) = trueassess_mode (bool) = falsebsins_enabled (bool) = truecsins_enabled (bool) = truepg_efficiency (bool) = truesnapshots_enabled (bool) = truetarget_efficiency (uint8) = 90chunk_size (uint64) = 33554432log_level (enum defrag_log_level) = notice

Cambio de un valor predeterminado en la configuración global de la herramienta de desfragmentaciónEn el siguiente ejemplo, se cambia el valor predeterminado del ajuste de target_efficiency al 95 %.

# isi_gconfig -t defrag-config target_efficiency=95

isi_packingPermite habilitar o deshabilitar la compresión de archivos, y controlar el comportamiento de las operaciones de compresión. Este comando permite configurar las opciones globales que se aplican a la operación de compresión, independientemente de la política de FilePool.

UsoLas políticas de FilePool permiten controlar los archivos que se seleccionan para la compresión. Además, muchas de las opciones del comando isi_packing permiten establecer las opciones de control de nivel del sistema (opciones de sysctl) que también se aplican a la selección de archivos. Las opciones de control de nivel del sistema se preestablecen con valores predeterminados. Con este comando, puede cambiar los ajustes predeterminados.

En la operación de compresión, se omiten los siguientes tipos de archivos.

• Archivos no normales (no registrados).• Archivos no vinculados (no registrados).• Archivos ADS, si ads_enabled tiene el valor false.• Ficheros (CloudPools).• Archivos vacíos (no registrados).• Archivos de tamaño cero, en los que todos los bloques no tienen contenido físico, como referencias ocultas, ditto, etcétera.• Archivos de gran tamaño, en los que el tamaño de archivo es mayor que el valor de max_size.• Archivos protegidos contra espejos, si mirror_containers_enabled tiene el valor false.• Archivos de clonación o deduplicación, si avoid_dedupe es true.

Sintaxis

isi_packing[--ls] [--fsa] [--enabled true|false][--enable-ads true|false] [--enable-snaps true|false][--enable-mirror-containers true|false][--enable-mirror-translation true|false][--unpack-recent true|false] [--unpack-snaps true|false][--avoid-dedupe true|false] [--max-size bytes][--sin-cache-cutoff-size bytes]


[--min-age seconds][--dir-hint-entries entries] [--container-min-size bytes][--container-max-size bytes] [-v]

Opciones

Ejemplos

Resultados del trabajo FSAnalyzeRealice lo siguiente para ver los resultados de FSAnalyze de la tarea 2069:

# isi_packing --fsa --fsa-jobid 2069

Mostrar los ajustes de configuración actuales

# isi_packing --ls

Ayuda de lista

# isi_packing -I --help

isi_sstorePermite ver información acerca de ShadowStores.

En esta sección, se describen los parámetros isi_sstore relacionados con Small Files Storage Efficiency: list y stats.

Sintaxis

isi_sstore[list { -l| -v}][stats]

Opciones

Ejemplos

Por ejemplo: isi_sstore list -lA continuación, se muestra un ejemplo de salida de resumen de isi_sstore list -l.

# isi_sstore list -l SIN lsize psize refs filesize date4000:0001:0000:0001 516096 828928 126 32632K Jul 11 12:224000:0001:0000:0002 368640 681472 90 32632K Jul 11 12:224000:0001:0000:0003 0 26112 0 32632K Jul 11 12:224000:0001:0000:0004 139264 452096 34 32632K Jul 11 12:224000:0001:0000:0005 401408 714240 98 32632K Jul 11 12:224000:0001:0000:0006 8192 50688 2 32632K Jul 11 12:224000:0001:0000:0007 360448 673280 88 32632K Jul 11 12:224000:0001:0000:0008 450560 763392 110 32632K Jul 11 12:22


4000:0001:0000:0009 294912 607744 72 32632K Jul 11 12:224000:0001:0000:000a 516096 828928 126 32632K Jul 11 12:224100:0001:0000:0000 2654208 4081152 648 32632K Jul 11 12:24

En la salida se incluye la siguiente información.

SIN Permite identificar un ShadowStore. El prefijo del número SIN permite identificar el tipo de ShadowStore.

• El prefijo 0x40 permite identificar un ShadowStore de contenedor con datos clonados y deduplicados.• El prefijo 0x41 permite identificar un ShadowStore de contenedor con datos comprimidos.

lsize Es el tamaño lógico de ShadowStore, el que indica la cantidad de datos contenidos.

psize Permite indicar el tamaño físico.

refs Es la cantidad total de referencias en el ShadowStore. Se incluye la cantidad de referencias entrantes a los bloques almacenados en ShadowStore y las referencias desde ShadowStore.

filesize Es el tamaño del archivo de ShadowStore. Debido a que los ShadowStores suelen tener regiones dispersas, en esta métrica no se indica la cantidad de datos contenidos. Consulte lsize, mencionado anteriormente.

• Para los BSIN, el tamaño de archivo se configura en 2 GB cuando se crea el ShadowStore. El espacio se rellena según lo necesario y nunca se extiende.

• Para los CSIN, aumenta el tamaño de archivo a medida que se agregan datos hasta alcanzar un límite. A continuación, se crea un nuevo CSIN.

fecha Corresponde a la fecha de creación del ShadowStore.

Por ejemplo: isi_sstore list -vEn el siguiente ejemplo, se muestra la salida detallada desde el comando isi_sstore list -v:

# isi_sstore list -v SIN lsize psize refs filesize date sin type underfull frag score efficiency4000:0001:0000:0001 1163264 5136384 157 2097152K Apr 11 03:22 block no 0.00 0.234000:0001:0001:0000 2777088 6012928 372 2097152K Apr 11 03:23 block no 0.75 0.464000:0001:0002:0000 1433600 5947392 1055 2097152K Apr 11 03:24 block no 0.00 0.244000:0001:0003:0000 163840 2138112 20 2097152K Apr 11 03:24 block yes 0.00 0.084100:0001:0000:0001 0 24576 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0000:0002 0 32768 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0000:0003 0 40960 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0000:0004 0 32768 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0001:0000 0 24576 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0001:0001 0 32768 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0001:0002 0 40960 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0001:0003 0 40960 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0001:0004 0 24576 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0002:0000 0 24576 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0002:0001 0 32768 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0002:0002 0 40960 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0002:0003 0 32768 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0002:0004 0 24576 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0003:0000 0 32768 0 131072 Apr 11 05:18 container


yes 0.00 0.004100:0001:0004:0000 0 40960 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0005:0000 0 24576 0 131072 Apr 11 05:18 container yes 0.00 0.004100:0001:0005:0001 0 40960 0 131072 Apr 11 05:18 container yes 0.00 0.00

All shadow store summary:Block SINs: 4 shadow stores 5537792 (5408 KB) logical bytes 19234816 (18 MB) physical bytes (including metadata) 928 (928) incoming refsContainer SINs: 18 shadow stores 0 (0 B) logical bytes 589824 (576 KB) physical bytes (including metadata) 0 (0) incoming refs

SStores in CStat summary:Block SINs: 4 shadow stores 5537792 (5408 KB) logical bytes

En la salida se incluye la siguiente información.

Tipo de SIN Una de las siguientes:

• Bloque: se utiliza el almacén oculto en las operaciones de deduplicación o clonación.• Contenedor: se utiliza el almacén oculto para las operaciones de compresión.

underfull flag Si está marcada la opción Yes, el contenedor es demasiado pequeño como para ofrecer beneficios de ahorro de almacenamiento.

frag score Es una medida del nivel de fragmentación en el almacén oculto. Los números más altos significan un mayor grado de fragmentación.

El valor es la relación de los bloques dispersos en las fracciones asignadas de forma parcial al tamaño total de todas las fracciones que contienen datos.

efficiency score Es una relación del tamaño lógico del almacén oculto en comparación con el tamaño físico necesario para almacenarlo (incluida la sobrecarga de protección). Los números más altos son mejores; sin embargo, habrá un límite según el nivel de protección que los almacenes ocultos utilicen.

Ejemplo: isi_sstore statsEn el siguiente ejemplo, se muestra la salida desde el comando isi_sstore stats:

# isi_sstore stats Block SIN stats:6 MB user data takes 3 MB in shadow stores, using 6 MB physical space.280K physical average per shadow store.

2 refs per block.Reference efficiency 50%.Storage efficiency 200%

Container SIN stats:3 MB user data takes 3 MB in shadow stores, using 4 MB physical space.3984K physical average per shadow store.

1 refs per block.Reference efficiency 0%.Storage efficiency 100%Raw counts={ type 0 num_ss=20 lsize=3055616 pblk=715 refs=1119 }{ type 1 num_ss=1 lsize=2654208 pblk=498 refs=648 }

El primer conjunto de estadísticas pertenece a un almacén oculto que contiene datos clonados. El comando Storage efficiency con un 200 % significa que cada 2 archivos se consume 1 espacio de archivo después de la clonación.


El segundo conjunto de estadísticas pertenece a un almacén oculto que contiene datos comprimidos. Ya que los datos comprimidos tienen una sola referencia, el valor de Storage efficiency es 100 % y el de Reference efficiency es 0 % (es decir, no tiene un uso compartido de bloques).

En el campo Raw counts al final de la salida están las siguientes estadísticas:

num_ss Es el número de ShadowStores.

lsize Es el tamaño lógico de los datos contenidos en los ShadowStores.

pblk Es la cantidad de bloques físicos.

refs Es la cantidad de referencias de bloques entrantes en el almacén oculto.

isi_sstore defragPermite ejecutar la desfragmentación de ShadowStore en un nodo.

UsoEste comando se ejecuta en un solo nodo y se repite en todos los almacenes ocultos en serie. El comando se inicia mediante la recuperación de la configuración global de desfragmentación de gconfig y, a continuación, permite restablecer todas las opciones booleanas a false. Utilice las opciones de la línea de comandos para habilitar (volver a habilitar) cada una de las opciones, según sea necesario.

Sintaxis

isi_sstore defrag [-a] [-b] [-c] [-d] [-e percent][-h] [-l level] [-p] [-s] [-v] [-z size][sins]

Opciones

Ejemplos

Ejemplo de isi_sstore defrag -d -bA continuación, se muestra una salida de ejemplo de isi_sstore defrag -d -b . El comando ejecuta el desfragmentador en todos los BSIN sin transferir los archivos en las instantáneas.

# isi_sstore defrag -d -b Summary: Shadows stores total: 1 Shadows stores processed: 1 Shadows stores with error: 0 Chunks needing defrag: 1 Estimated space savings: 8192K Files moved: 2 Files repacked: 0 Files missing: 0 Files skipped: 0 Blocks needed: 3072 Blocks rehydrated: 4096 Blocks deduped: 2048 Blocks freed: 4096 Shadows stores removed: 1


Ejemplo de isi_sstore defrag -d -a -b -vA continuación, se muestra una salida de ejemplo de isi_sstore defrag -d -a -b -v . El comando ejecuta el desfragmentador del almacén oculto en el modo de evaluación. En la salida, se muestra el espacio de disco que se volvería a recuperar mediante la desfragmentación de todos los almacenes ocultos basados en bloques.

# isi_sstore defrag -d -a -b -vConfiguration: Defrag enabled: 1 BSINs enabled: 1 CSINs enabled: 0 Chunk size: 33554432 Target efficiency: 90 PG efficiency: 0 Snapshots enabled: 0 Log level: 5Summary: Shadows stores total: 1 Shadows stores processed: 1 Shadows stores skipped: 0 Shadows stores with error: 0 Chunks needing defrag: 1 Estimated space savings: 8192K

Ejemplo con una lista de SINEl siguiente comando permite solicitar la desfragmentación en una lista de SIN.

# isi_sstore defrag -v -d -a -c -p 4000:0001:0000:0001 4000:0001:0000:0002 4000:0001:0000:0003 4000:0001:0000:0004 4000:0001:0000:0005

isi_storage_efficiencyCalcula la eficiencia del almacenamiento en conjuntos de datos de ejemplo pequeños.

UsoEl script de depuración isi_storage_efficiency escanea de manera recurrente a través de un directorio y calcula la eficiencia del almacenamiento de archivos en el conjunto de datos de ejemplo, considerando el uso de ShadowStores. Este script se queda sin memoria si se ejecuta en conjuntos de datos de gran tamaño.

NOTA: El comando du de UNIX no muestra el uso preciso de los archivos con referencias de replicación, incluidos los

archivos comprimidos.

Sintaxis

isi_storage_efficiency <path>

Opciones


Ejemplo de eficiencia de almacenamientoEn el siguiente ejemplo, se muestra la eficiencia de almacenamiento de un conjunto de datos pequeño, /ifs/data/my_small_files, antes y después de comprimirlo. Antes de comprimir, la eficiencia de almacenamiento es del 33 %. Después de comprimir, la eficiencia de almacenamiento es del 65,5 %.

# isi_storage_efficiency /ifs/data/my_small_files Mode Count Logical data size Size Blocks DIR 1 0 48045 964 REG 2048 134217728 134217728 792576

Storage efficiencyFile data 0.330749354005File logical data 0.330749354005 Overall 0.330465808769Overall logical 0.330347556519

Ahora, suponga que se produjeron las siguientes actividades:

• Se habilita una política de FilePools que selecciona /ifs/data/my_small_files• Se ejecutó un trabajo de SmartPools.

Cuando se vuelve a ejecutar el informe, se muestra una mayor eficiencia de almacenamiento.

# isi_storage_efficiency /ifs/data/my_small_files Mode Count Logical data size Size Blocks DIR 1 0 48045 964 REG 2048 134217728 134217728 6144 SIN 1 134217728 167075840 394227Shadow store usage may be affected by the ShadowStoreDelete job.

Storage efficiencyFile data 0.654752716855File logical data 0.654752716855 Overall 0.653413826082Overall logical 0.653180011711

Solución de problemas Small Files Storage EfficiencyEn general, los posibles problemas se dividen en las siguientes categorías.

Rendimiento La eficiencia de E/S, la fragmentación y la compresión pueden afectar el rendimiento.

Espacio La compresión o la expansión de los clones, los archivos comprimidos y los archivos deduplicados requieren espacio suficiente disponible.

A continuación, se incluyen sugerencias para investigar estos problemas.

Archivos de registroPara localizar los ShadowStores de contenedores que podrían verse afectados por los problemas de eficiencia del almacenamiento, busque los siguientes tipos de información en los registros.

Nombre del módulo

Busque el valor SFM.

Prefijo del ID de SIN

Los almacenes ocultos de contenedores (CSIN) que contienen datos comprimidos tienen el prefijo 0x41.

Estado del paquete de archivos

Los valores son complete o incomplete.


Política y destino de compresión

Los valores son native o container.

Para obtener información sobre los atributos del archivo, consulte Estructura del sistema de archivos.

Problemas de fragmentaciónLa fragmentación afecta el uso del espacio y es el problema más común de eficiencia del almacenamiento.

Si los archivos se sobrescriben o eliminan de forma reiterada, puede haber fragmentación en el contenedor ShadowStores.

Los siguientes comandos proporcionan información sobre la fragmentación:

• isi_sstore defrag -v -d -a -c -p muestra el espacio de fragmentación que la desfragmentación puede recuperar.

• isi_packing --ls muestra la configuración actual de compresión.

• En los informes de trabajos de SmartPools en el modo detallado se muestran estadísticas acerca de los archivos que se comprimieron.• isi_sstore list y isi_sstore stats muestra el grado de fragmentación. Utilice isi_sstore list -v para ver el

puntaje de fragmentación y otros atributos detallados para cada entrada SIN.• isi_storage_efficiency escanea un directorio o archivos, y calcula la eficiencia del almacenamiento de archivos en el conjunto

de datos de ejemplo.• isi get muestra atributos de archivos, incluidos los atributos de compresión.

• isi_cpr Consulte la Referencia de comandos de la CLI de OneFS para obtener información acerca de isi get. Puede encontrar las páginas de referencia de los comandos relacionados con Small Files Storage Efficiency aquí.

El trabajo ShadowStoreDelete permite liberar bloques para el almacén oculto y ejecutar el desfragmentador si está habilitado.

Tenga en cuenta cuánto espacio ha comprimido. Los clones, los archivos comprimidos y los archivos deduplicados se descomprimen o se expanden en el clúster de destino durante las operaciones de SyncIQ, y se deben volver a comprimir o volver a deduplicar en este clúster.


RedesEsta sección contiene los siguientes temas:

Temas:

• Descripción general de la red• Acerca de la red interna• Acerca de la red externa• Administración de la configuración de la red interna• Administración de groupnets• Administración de subredes de red externa• Administración de pools de direcciones IP• Administración de la configuración de SmartConnect• Administración del rebalanceo de conexiones• Administración de miembros de la interfaz de red• Administración de las reglas de aprovisionamiento de nodos• Opciones de administración del enrutamiento• Administración de la configuración de la caché de DNS

Descripción general de la redDespués de determinar la topología de la red, puede configurar y administrar sus redes internas y externas.

Existen dos tipos de redes en un clúster:

Interno Los nodos se comunican entre sí mediante una red InfiniBand de alta velocidad y baja latencia. Opcionalmente, puede configurar una segunda red InfiniBand para habilitar la conmutación por error para obtener redundancia.

Externo Los clientes se conectan al clúster mediante una red externa con Ethernet. El clúster Isilon admite protocolos de comunicación de red estándares, incluidos NFS, SMB, HDFS, HTTP y FTP. El clúster incluye varias conexiones Ethernet externas, lo cual aporta flexibilidad para una amplia variedad de configuraciones de red.

Acerca de la red internaEl clúster se debe conectar con al menos un switch InfiniBand de baja latencia y de alta velocidad para establecer comunicaciones internas y transferir datos. A la conexión con el switch InfiniBand también se la conoce como una red interna. La red interna es distinta de la red externa (Ethernet) por la que los usuarios acceden al clúster.

Cuando se realiza la configuración inicial del clúster, OneFS crea una red interna inicial para el switch InfiniBand. La interfaz correspondiente a la red interna predeterminada es int-a. Se puede agregar una red interna para un segundo switch InfiniBand para que haya redundancia y conmutación por error. La conmutación por error permite una conectividad continua durante las fallas de la ruta. La interfaz correspondiente a la red interna secundaria es la int-b, conocida como int-b/conmutación por error en la interfaz de administración web.

PRECAUCIÓN: Deben conectarse solo nodos Isilon al switch InfiniBand. La información que se intercambia en la red de

back-end no se cifra. El hecho de conectar cualquier otra cosa, aparte de nodos Isilon, al switch InfiniBand crea un

riesgo de seguridad.

Rangos de direcciones IP internasLa cantidad de direcciones IP asignadas a la red interna determina cuántos nodos se pueden unir al clúster.

Cuando configura el clúster por primera vez, especifica uno o más rangos de direcciones IP para el switch InfiniBand primario. Los nodos utilizan este rango de direcciones para comunicarse entre ellos. Se recomienda crear un rango de direcciones lo suficientemente amplio para que admita la adición de nodos al clúster.

27

Redes 369

Aunque todos los clústeres tendrán, como mínimo, una red InfiniBand interna (int-a), puede habilitar una segunda red interna para admitir otro switch Infiniband con conmutación por error de red (int-b/conmutación por error). Debe asignar al menos un rango de dirección IP para la red secundaria y un rango para la conmutación por error.

Si los rangos de dirección IP definidos durante la configuración inicial son demasiado restrictivos para el tamaño de la red interna, puede agregar rangos a las redes int-a o int-b/conmutación por error, lo que podría requerir un reinicio del clúster. Para realizar otros cambios en la configuración, como eliminar una dirección IP asignada a un nodo, es probable que el clúster se deba reiniciar también.

Failover de red internaPuede configurar un switch interno como una red de failover para proporcionar redundancia a comunicaciones entre clústeres.

A fin de admitir una red interna de failover, el puerto int-a en cada nodo del clúster debe estar conectado físicamente a uno de los switches InfiniBand, y el puerto int-b en cada nodo debe estar conectado al otro switch InfiniBand.

Una vez que los puertos estén conectados, debe configurar dos rangos de direcciones IP; un rango de direcciones para admitir las interfaces internas int-b y un rango de direcciones para admitir un failover. Las direcciones de failover permiten un failover impecable en caso de que los switches int-a o int-b fallen.

Acerca de la red externaSe conecta una computadora cliente al clúster mediante la red externa. La configuración de red externa se compone de groupnets, subredes, grupos de direcciones IP y presenta reglas de aprovisionamiento de nodos.

Las groupnets son el nivel de configuración para administrar varios grupos de usuarios en la red externa. Los ajustes del cliente DNS, como los servidores de nombres y una lista de búsqueda de DNS, son propiedades de la groupnet. Las groupnets residen en el nivel superior de la jerarquía de redes. Puede crear una o más subredes dentro de una groupnet.

Las subredes simplifican la administración de redes externas (front-end) y proporcionan flexibilidad en la implementación y el mantenimiento de la red del clúster. Puede crear pools de direcciones IP dentro de subredes para particionar sus interfaces de red según el flujo de trabajo o tipo de nodo.

El grupo de direcciones IP de una subred se compone de uno o más rangos de direcciones IP. Los grupos de direcciones IP se pueden asociar con interfaces de red en nodos de clúster. Los ajustes de conexión del cliente se configuran en el nivel del grupo de direcciones IP.

Se crea una subred de red externa inicial durante la configuración del clúster con la siguiente configuración:

• Una groupnet llamada groupnet0 con los ajustes de DNS saliente y global en la lista de servidores de nombre de dominio y en la lista de búsqueda de DNS, en caso de que se proporcione.

• Una subred inicial denominada subnet0 con la máscara de red, el gateway y la dirección del servicio SmartConnect especificados.• Un grupo de direcciones IP llamado pool0 con el rango de direcciones IP especificado, el nombre de la zona de SmartConnect y la

interfaz de red del primer nodo en el clúster como el único miembro.• Una regla de aprovisionamiento de nodos predeterminada denominada rule0, que asigna la primera interfaz de red de manera

automática para todos los nodos agregados recientemente al pool0.• Agrega subnet0 a groupnet0.• Agrega el pool0 a la subnet0 y configura el pool0 de modo que utilice la IP virtual de la subnet0 como su dirección de servicio de

SmartConnect.

GroupnetsLas groupnets residirán en el nivel superior de la jerarquía de redes y son el nivel de configuración para administrar varios grupos de usuarios en una red externa. Los ajustes del cliente DNS, como los servidores de nombres y una lista de búsqueda de DNS, son propiedades de la groupnet. Puede crear una groupnet por separado para cada espacio de nombres de DNS que desee utilizar, a fin de permitir que algunas partes del clúster Isilon tengan diferentes propiedades de red para la resolución de nombres. Cada groupnet mantiene su propia caché de DNS, la que está habilitada de manera predeterminada.

Una groupnet es un contenedor que incluye subredes, grupos de direcciones IP y reglas de aprovisionamiento. Las groupnets pueden contener una o más subredes, y cada subred se asigna a una groupnet única. Cada clúster contiene una groupnet predeterminada llamada groupnet0, que contiene una subred inicial denominada subnet0, un grupo de direcciones IP inicial denominado pool0 y una regla de aprovisionamiento inicial denominada rule0.

Una o más zonas de acceso hacen referencia a cada groupnet. Cuando crea una zona de acceso, puede especificar una groupnet. Si no se especifica una groupnet, la zona de acceso hará referencia a la groupnet predeterminada. La zona de acceso predeterminada del sistema se asocia automáticamente con la groupnet predeterminada. Los proveedores de autenticación que se comunican con un servidor externo, como Active Directory y LDAP, también deben hacer referencia a una groupnet. Puede especificar el proveedor de autenticación con una groupnet específica. De lo contrario, el proveedor hará referencia a la groupnet predeterminada. Solo puede agregar un proveedor de

370 Redes

autenticación a una zona de acceso si está asociado con la misma groupnet. Los protocolos de cliente como SMB, NFS, HDFS y SWIFT son compatibles con groupnets a través de las zonas de acceso asociadas.

Resolución de nombre DNSPuede designar hasta tres servidores de DNS por groupnet para manejar la resolución de nombres DNS.

Los servidores DNS deben configurarse como una dirección IPv4 o IPv6. Puede especificar un máximo de seis sufijos de búsqueda de DNS por groupnet; la configuración de sufijos se anexa a nombres de dominio que no están completamente calificados.

La configuración adicional del servidor de DNS en el nivel de groupnet incluye la habilitación de la caché de DNS, de la búsqueda del lado del servidor y de la resolución de DNS de manera rotativa.

SubredesLas subredes son contenedores de red que permiten subdividir la red en redes IP lógicas más pequeñas.

En un clúster, las subredes se crean en una groupnet, y cada subred contiene uno o más grupos de direcciones IP. Las direcciones IPv4 e IPv6 son compatibles con OneFS; sin embargo, una subred no puede contener una combinación de ambas. Cuando crea una subred, puede especificar si es compatible con las direcciones IPv4 o IPv6.

Cuando crea una subred, puede configurar las siguientes opciones:

• Los servidores de gateway que enrutan los paquetes salientes y la prioridad de gateway.• La unidad de transmisión máxima (MTU) que utilizarán las interfaces de red de la subred para las comunicaciones de red.• La dirección del servicio SmartConnect, que es la dirección IP en la que el módulo SmartConnect escucha las solicitudes de DNS en

esta subred.• El etiquetado de VLAN para permitir que un clúster participe en varias redes virtuales.• La dirección de retorno de servidor directo (DSR) si el clúster Isilon contiene un switch de equilibrio de carga de hardware externo que

utiliza DSR.

La configuración de las subredes de red externa dependerá de su topología de red. Por ejemplo, en una topología de red básica, en la que toda la comunicación entre el cliente y el nodo se produce mediante conexiones directas, se necesita una sola subred externa. En otro ejemplo, si desea que los clientes se conecten a través de las direcciones IPv4 e IPv6, debe configurar varias subredes.

Soporte para IPv6OneFS admite los formatos de direcciones IPv4 e IPv6 en un clúster.

IPv6 es la próxima generación de direcciones de protocolos de Internet, diseñada para responder a la creciente demanda de direcciones IP. En la siguiente tabla, se describen las diferencias entre IPv4 e IPv6.

IPv4 IPv6

Direcciones de 32 bits Direcciones de 128 bits

Protocolo de resolución de direcciones (ARP) Protocolo de descubrimiento de vecinos (NDP)

Puede configurar el clúster Isilon para direcciones IPv4, IPv6 o ambas (dos pilas) en OneFS. Establezca la familia de IP al crear una subred; todos los pools de direcciones IP asignados a esa subred deben utilizar el formato seleccionado.

VLANEl etiquetado de la red de área local virtual (VLAN) es un ajuste opcional que permite que un clúster participe en varias redes virtuales.

Puede particionar una red física en varios dominios de transmisión o redes de área local virtuales (VLAN). Puede habilitar a un clúster para que participe en una VLAN que admita una subred de varios clústeres sin switches de red múltiples; un switch físico habilita varias subredes virtuales.

El etiquetado de VLAN inserta un ID en encabezados de paquetes. El switch hace referencia al ID para identificar la VLAN de la que surgió el paquete y la interfaz de red a la que se debería enviar un paquete.

Pools de direcciones IPLos grupos de direcciones IP se asignan a una subred y constan de uno o más rangos de direcciones IP. Puede particionar nodos e interfaces de red en grupos de direcciones IP específicos. Los grupos de direcciones IP también se utilizan cuando se configuran las zonas DNS SmartConnect y la administración de conexiones de clientes.

Redes 371

Cada grupo de direcciones IP pertenece a una sola subred. Estarán disponibles varios pools para una sola subred si habilita una licencia de SmartConnect Advanced.

Los rangos de direcciones IP asignados a un grupo deben ser únicos y pertenecer a la familia de direcciones IP (IPv4 o IPv6) que especifica la subred que contiene el grupo.

Puede agregar interfaces de red a grupos de direcciones IP para asociar los rangos de direcciones con un nodo o un grupo de nodos. Por ejemplo, de acuerdo con el tráfico de red que espera, le conviene establecer un grupo de direcciones IP para nodos de almacenamiento y otro para nodos aceleradores.

Los ajustes de SmartConnect que administran las respuestas de consultas DNS y las conexiones de clientes se configuran en el nivel del grupo de direcciones IP.

Agregación de enlacesLa agregación de vínculos, también conocida como la agregación de tarjetas de interfaz de red (NIC), combina las interfaces de red de un nodo físico en una sola conexión lógica para brindar un mejor rendimiento de red.

Puede agregar interfaces de red a un pool de direcciones IP individualmente o como un agregado. El modo de agregación de vínculos se selecciona según el pool y se aplica a todas las interfaces de red agregadas al pool de direcciones IP. El modo de agregación de vínculos determina la manera en que se balancea y se enruta el tráfico entre las interfaces de red agregadas.

Módulo de SmartConnectSmartConnect es un módulo que especifica cómo el servidor DNS en el clúster maneja solicitudes de conexión de clientes y las políticas usadas para asignar direcciones IP a las interfaces de red, incluidos la conmutación por error y el rebalanceo.

Las configuraciones y políticas establecidas para SmartConnect se aplican según el grupo de direcciones IP. Puede establecer configuraciones de SmartConnect básicas y avanzadas.

SmartConnect BasicSmartConnect Basic está incluido con OneFS como una función estándar y no requiere una licencia. SmartConnect Basic es compatible con las siguientes configuraciones:

• Especificación de la zona DNS• Método de balanceo de conexiones round-robin solamente• Subred de servicio para responder las solicitudes DNS

SmartConnect Basic le permite agregar dos direcciones IP de servicio SmartConnect a una subred.

SmartConnect Basic presenta las siguientes limitaciones en la configuración del pool de direcciones IP:

• Puede especificar solamente una política de asignación de direcciones IP estáticas.• No puede especificar una política de conmutación por error de direcciones IP.• No puede especificar una política de rebalanceo de direcciones IP.• Puede asignar dos grupos de direcciones IP por subred de red externa.

SmartConnect AdvancedSmartConnect Advanced extiende la configuración disponible de SmartConnect Basic. Requiere una licencia activa. SmartConnect Advanced es compatible con la siguiente configuración:

• Métodos de balanceo del rendimiento, round-robin, uso de CPU y conteo de conexiones.• Asignación de direcciones IP dinámicas y estáticas.

SmartConnect Advance le permite agregar un máximo de seis direcciones IP de servicio SmartConnect por subred.

Con SmartConnect Advanced, podrá especificar las siguientes opciones de configuración del grupo de direcciones IP:

• Puede definir una política de conmutación por error de direcciones IP para el pool de direcciones IP.• Puede definir una política de rebalanceo de direcciones IP para el pool de direcciones IP.• SmartConnect Advanced es compatible con varios grupos de direcciones IP por subred externa para permitir que haya varias zonas

DNS dentro de una sola subred.

372 Redes

Zonas y alias SmartConnectLos clientes pueden conectarse al clúster a través de una dirección IP específica o a través de un dominio que representa un grupo de direcciones IP.

Puede configurar un nombre de zona DNS SmartConnect para cada grupo de direcciones IP. El nombre de zona debe ser un nombre de dominio calificado. Para SmartConnect, es necesario que agregue un nuevo registro de servidor de nombres (NS), que haga referencia a la dirección IP del servicio SmartConnect en la zona DNS autorizada existente que contiene el clúster. También debe proporcionar una delegación de zona al nombre de dominio calificado (FQDN) de la zona SmartConnect en la infraestructura de DNS.

Si tiene una licencia avanzada de SmartConnect, también puede especificar una lista de nombres de zonas DNS SmartConnect alternativos para el grupo de direcciones IP.

Cuando un cliente se conecta al clúster a través de una zona DNS SmartConnect, SmartConnect maneja las solicitudes de DNS entrantes en nombre del grupo de direcciones IP, y la subred de servicio distribuye las solicitudes de DNS entrantes según la política de equilibrio de conexiones del grupo.

Manejo de solicitudes de DNSSmartConnect maneja todas las solicitudes de DNS entrantes en nombre de un pool de direcciones IP si una subred del servicio de SmartConnect se asoció con el pool.

La subred del servicio de SmartConnect es una configuración del pool de direcciones IP. Puede especificar cualquier subred que se haya configurado con una dirección IP del servicio de SmartConnect y que haga referencia a la misma groupnet que el pool. Como mínimo, debe contar con una subred configurada con una dirección IP del servicio SmartConnect a fin de manejar las solicitudes DNS del cliente. Puede configurar solo una dirección IP del servicio por subred.

Una dirección IP de servicio de SmartConnect debe utilizarse exclusivamente para responder solicitudes de DNS y no puede ser una dirección IP que se encuentre en el rango de direcciones IP de cualquier pool. Las conexiones de clientes a través de la dirección IP del servicio SmartConnect provocan un comportamiento inesperado o una desconexión.

Una vez que una subred del servicio SmartConnect se asoció con un pool de direcciones IP, la subred del servicio distribuye las solicitudes de DNS entrantes según la política de balanceo de conexiones del pool. Si un pool no tiene una subred del servicio designada, la subred que contiene el pool responde las solicitudes DNS entrantes, siempre y cuando la subred esté configurada con una dirección IP del servicio SmartConnect. De lo contrario, se excluyen las solicitudes DNS.

NOTA: SmartConnect requiere la adición de un nuevo registro de servidor de nombres (NS) que haga referencia a la

dirección IP del servicio de SmartConnect en la zona DNA dominante existente que contiene el clúster. También debe

proporcionar una delegación de zona en el nombre de dominio calificado (FQDN) de la zona SmartConnect.

Asignación de direcciones IPLa política de asignación de direcciones IP especifica la manera en que las direcciones IP en el pool se asignan a una interfaz de red disponible.

Puede especificar si desea usar la asignación estática o dinámica.

Estático Asigna una dirección IP a cada interfaz de red agregada al pool de direcciones IP, pero no garantiza la asignación de todas las direcciones IP.

Una vez asignada, la interfaz de red mantiene la dirección IP indefinidamente, incluso si la interfaz de red deja de estar disponible. Para liberar la dirección IP, elimine la interfaz de red del pool o retírela del nodo.

Sin una licencia de SmartConnect Advanced, la asignación estática es el único método disponible para la asignación de direcciones IP.

Dinámico Asigna direcciones IP a cada interfaz de red agregada al pool de direcciones IP hasta que se asignen todas. Esto garantiza una respuesta cuando los clientes se conectan a cualquier dirección IP del pool.

Si una interfaz de red deja de estar disponible, sus direcciones IP se transfieren automáticamente a las otras interfaces de red disponibles en el pool, según lo determinado por la política de failover de direcciones IP.

Este método está disponible solamente con una licencia de SmartConnect Advanced.

Failover de direcciones IPSi una interfaz de red deja de estar disponible, la política de failover de direcciones IP especifica la manera en que se manejan las direcciones IP asignadas a la interfaz de red.

Redes 373

Para definir una política de failover de direcciones IP, debe contar con una licencia de SmartConnect Advanced, y la política de asignación de direcciones IP debe configurarse para que sea dinámica. La asignación de direcciones IP dinámicas garantiza que se asignen todas las direcciones IP en el pool a interfaces de red disponibles.

De acuerdo con la política de failover de direcciones IP, cuando una interfaz de red deja de estar disponible, las direcciones IP que se le habían asignado se redistribuyen a interfaces de red disponibles. Las conexiones del cliente subsiguientes se dirigen a las nuevas interfaces de red.

Puede seleccionar uno de los siguientes métodos de balanceo de conexiones para determinar la manera en que la política de failover de direcciones IP selecciona la interfaz de red que recibirá una dirección IP redistribuida:

• Round-robin• Conteo de conexión• Rendimiento de la red• Uso del CPU

Balanceo de conexionesLa política de equilibrio de conexiones determina cómo el servidor DNS maneja las conexiones de clientes con el clúster.

Puede especificar uno de los siguientes métodos de balanceo:

Round-robin Selecciona la próxima interfaz de red disponible de forma rotativa. Este es el método predeterminado. Sin una licencia de SmartConnect para una configuración avanzada, este es el único método disponible para el balanceo de carga.

Conteo de conexión

Determina la cantidad de conexiones TCP abiertas en cada interfaz de red disponible y selecciona la interfaz de red que cuenta con menos conexiones de clientes.

Rendimiento de la red

Determina el rendimiento promedio en cada interfaz de red disponible y selecciona la interfaz de red con la carga mínima de interfaz de red.

CPU usage Determina el uso de CPU promedio en cada interfaz de red disponible y selecciona la interfaz de red con el menor uso de procesador.

Rebalanceo de direcciones IPLa política de rebalanceo de direcciones IP especifica cuándo se deben redistribuir direcciones IP si una o más interfaces de red que anteriormente no estaban disponibles vuelven a estarlo.

Para definir una política de rebalanceo de direcciones IP, debe contar con una licencia para SmartConnect Advanced y la política de asignación de direcciones IP debe configurarse en modo dinámico. La asignación de direcciones IP dinámica garantiza que todas las direcciones IP del pool estén asignadas a interfaces de red disponibles.

Puede configurar el rebalanceo para que tenga lugar de forma manual o automática:

Manual No redistribuye las direcciones IP hasta que inicie manualmente el proceso de rebalanceo.

Después del rebalanceo, las direcciones IP se redistribuirán según el método de balanceo de conexión especificado por la política de failover de direcciones IP definida para el pool de direcciones IP.

Automatización Redistribuye automáticamente las direcciones IP según el método de balanceo de conexión especificado por la política de failover de direcciones IP definida para el pool de direcciones IP.

El rebalanceo automático también puede activarse debido a cambios en los nodos del clúster, en las interfaces de red o en la configuración de la red externa.

NOTA: El rebalanceo puede interrumpir las conexiones con clientes. Verifique que el flujo de

trabajo del cliente en el pool de direcciones IP sea el adecuado para el rebalanceo automático.

Reglas de aprovisionamiento de nodosLas reglas de aprovisionamiento de nodos especifican la forma en la que se configuran los nuevos nodos cuando se agregan a un clúster.

Si el tipo del nuevo nodo coincide con el tipo especificado en una regla, se agregarán las interfaces de red del nuevo nodo a la subred y al grupo de direcciones IP especificado en la regla.

Por ejemplo, puede crear una regla de aprovisionamiento de nodos que configure los nuevos nodos de almacenamiento Isilon y otra regla que configure los nuevos nodos aceleradores.

374 Redes

Cuando se agregan reglas nuevas, OneFS comprueba automáticamente la existencia de varias reglas de aprovisionamiento para asegurarse de que no haya conflictos.

Opciones de enrutamientoOneFS admite el enrutamiento basado en el origen y las rutas estáticas, lo que permite un control más granular de la dirección del tráfico saliente del cliente en el clúster.

Si no se definen opciones de enrutamiento, de forma predeterminada, el tráfico saliente del cliente en el clúster se enruta a través del gateway predeterminado, que es el gateway con el ajuste de prioridad más baja en el nodo. Si el tráfico se enruta a una subred local y no es necesario enrutarlo a través de un gateway, el tráfico se dirigirá directamente a través de una interfaz de esa subred.

Enrutamiento basado en el origenEl enrutamiento basado en el origen selecciona el gateway que dirigirá el tráfico saliente del cliente según la dirección IP de origen en el encabezado de cada paquete.

Cuando se habilita, el enrutamiento basado en el origen escanea automáticamente la configuración de su red para crear reglas de tráfico de clientes. Si realiza modificaciones en la configuración de red, como cambios en la dirección IP de un servidor de gateway, el enrutamiento basado en el origen se ciñe a las reglas. El enrutamiento basado en el origen se aplica en todo el clúster y no admite el protocolo IPv6.

En el siguiente ejemplo, se habilitó el enrutamiento basado en origen en un clúster Isilon que está conectado a SubnetA y SubnetB. Cada subred está configurada con una zona y un gateway de SmartConnect, también etiquetados como A y B. Cuando un cliente en SubnetA realiza una solicitud a ZoneB de SmartConnect, la respuesta se origina en ZoneB. Esto establece la dirección de la ZoneB como la dirección IP de origen en el encabezado del paquete, y la respuesta se enruta mediante el GatewayB. Sin el enrutamiento basado en el origen, la ruta predeterminada se basa en el destino, por lo que la respuesta se enruta mediante el GatewayA.

En otro ejemplo, un cliente en la SubnetC, que no está conectada al clúster Isilon, realiza una solicitud a la ZoneA y ZoneB de SmartConnect. La respuesta de la ZoneA se enruta mediante el GatewayA y la respuesta de la ZoneB se enruta mediante el GatewayB. En otras palabras, el tráfico se divide entre los gateways. Sin el enrutamiento basado en el origen, ambas respuestas se enrutan mediante el mismo gateway.

El enrutamiento basado en el origen está deshabilitado de manera predeterminada. La habilitación o deshabilitación del enrutamiento basado en el origen se hace efectiva inmediatamente. Los paquetes en tránsito continúan sus cursos originales, y el tráfico subsecuente se enruta según el cambio de estado. Las transacciones compuestas de varios paquetes pueden verse interrumpidas o retrasadas si el estado del enrutamiento basado en el origen cambia durante la transmisión.

El enrutamiento basado en el origen puede tener conflictos con las rutas estáticas. Si ocurre un conflicto de enrutamiento, las reglas de enrutamiento basado en el origen se priorizan sobre la ruta estática.

Puede habilitar el enrutamiento basado en el origen si posee una red de grandes dimensiones con una topología compleja. Por ejemplo, si su red es un ambiente multiusuario con varios gateways, el tráfico se distribuye de manera más eficiente con el enrutamiento basado en el origen.

Enrutamiento estáticoUna ruta estática dirige el tráfico de clientes saliente a un gateway especificado en función de la dirección IP de conexión del cliente.

Puede configurar rutas estáticas según el pool de direcciones IP. Cada ruta se aplica a todos los nodos que tengan interfaces de red como miembros del pool de direcciones IP.

Puede configurar el enrutamiento estático para conectarse a las redes que no estén disponibles a través de las rutas predeterminadas o si tiene una red pequeña que necesite solamente una o dos rutas.

NOTA: Si realizó la actualización a partir de una versión anterior a OneFS 7.0.0, las rutas estáticas existentes que se

agregaron a través de los scripts de rc no funcionarán y deberán crearse nuevamente.

Administración de la configuración de la red internaPuede modificar rangos de direcciones IP internas y configurar un switch InfiniBand para failover.

Redes 375

Agregar o eliminar un rango de direcciones IP internasPuede configurar rangos de direcciones IP para las redes de failover, int-a e int-b.

Cada switch InfiniBand interno requiere un rango de direcciones IP. Los rangos deben incluir una cantidad de direcciones IP suficiente para las condiciones operativas actuales, así como para futuras expansiones y adiciones de nodos.


2. Para modificar los rangos de direcciones IP internas, ejecute el comando iprange.El siguiente comando agrega un rango de direcciones IP a la red interna int-a:

iprange int-a 192.168.206.10-192.168.206.20

El siguiente comando elimina un rango de direcciones IP existentes de la red interna int-a:

deliprange int-a 192.168.206.15-192.168.206.20

3. Ejecute el comando commit para completar los cambios en la configuración y salir de isi config.

Modificar una máscara de red internaPuede modificar el valor de la máscara de subred, o máscara de red, correspondiente a las interfaces de red internas int-a e int-b.

Si la máscara de red es demasiado restrictiva para el tamaño de la red interna, deberá modificar los ajustes de la máscara de red. Se recomienda que especifique una máscara de red de clase C, como 255.255.255.0, para la máscara de red interna que sea lo suficientemente grande como para que se adapte al crecimiento futuro de sus clústeres Isilon.

Se recomienda que especifique los mismos valores de máscara de red para las redes int-a e int-b/red de conmutación por error. Si modifica el valor de la máscara de red de una interfaz, debe modificar también el valor de la otra.

NOTA: Debe reiniciar el clúster para aplicar los cambios en la máscara de red.


2. Para modificar la máscara de red interna, ejecute el comando netmask.El siguiente comando modifica la máscara de red interna int-a:

netmask int-a 255.255.255.0


!! WARNING: The new netmask will not take effect until the nodes are rebooted.3. Ejecute el comando commit para completar los cambios en la configuración y salir de isi config.

Configurar y habilitar conmutación por recuperación de red internaPuede configurar las interfaces internas int-b para proporcionar respaldo en caso de que ocurra una falla en la red int-a.

La configuración de conmutación por error implica la habilitación de la interfaz int-b, la especificación de una máscara de red válida y la adición de rangos de direcciones IP para la interfaz int-b y la red de conmutación por error. De forma predeterminada, la interfaz int-b y la red de conmutación por error están deshabilitadas.

NOTA: Debe reiniciar el clúster para aplicar las modificaciones al conmutación por error de red interna.


2. Configure una máscara de red para la segunda interfaz a través del comando netmask.El siguiente comando modifica la máscara de red interna int-b:

netmask int-b 255.255.255.0


376 Redes

!! WARNING: The new netmask will not take effect until the nodes are rebooted.3. Establezca un rango de direcciones IP para la segunda interfaz con el comando iprange.

El siguiente comando agrega un rango de IP a la red interna int-b:

iprange int-b 192.168.206.21-192.168.206.30

4. Establezca un rango de direcciones IP para la interfaz de conmutación por error a través del comando iprange.El siguiente comando agrega un rango de IP a la red de conmutación por error interna:

iprange failover 192.168.206.31-192.168.206.40

5. Para habilitar una segunda interfaz, ejecute el comando interface.El siguiente comando especifica el nombre de la interfaz como int-b y la habilita:

interface int-b enable


7. Reinicie el clúster para aplicar las modificaciones de la máscara de red.

Deshabilitar la conmutación por error de la red internaPara deshabilitar la conmutación por error de red interna, debe deshabilitar la interfaz int-b.

Debe reiniciar el clúster para aplicar las modificaciones al conmutación por error de red interna.


2. Deshabilite la interfaz int-b por medio del comando de la interfaz.El siguiente comando especifica la interfaz int-b y la desactiva:

interface int-b disable


4. Reinicie el clúster para aplicar las modificaciones de conmutación por error.

Administración de groupnetsPuede crear y administrar groupnets en un clúster.

Crear una groupnetPuede crear una groupnet y establecer la configuración del cliente DNS.

Ejecute el comando isi network groupnet create.El siguiente comando crea una groupnet denominada groupnet1 compatible con dos servidores DNS, especificados por las direcciones IPv6:

isi network groupnet create groupnet1 \--dns-servers=2001:DB8:170:9904::be06,2001:DB8:170:9904::be07

El siguiente comando crea una groupnet denominada groupnet1 compatible con un servidor DNS, especificado por una dirección IPv4, y permite el almacenamiento en caché de DNS:

isi network groupnet create groupnet1 \--dns-servers=192.0.2.0 --dns-cache-enabled=true

Modificar una groupnetPuede modificar los atributos de groupnets, incluidos el nombre, los servidores DNS compatibles y los ajustes de configuración de DNS.

Ejecute el comando isi network groupnet modify.

Redes 377

El comando siguiente modifica groupnet1 para habilitar la búsqueda de DNS en tres sufijos:

isi network groupnet modify groupnet1 \--dns-search=data.company.com,storage.company.com

El comando siguiente modifica groupnet1 para admitir un segundo servidor DNS y para permitir la rotación a través de los solucionadores de DNS configurados:

isi network groupnet modify groupnet1 \--add-dns-servers=192.0.2.1 --dns-options=rotate

Eliminación de una groupnetPuede eliminar una groupnet del sistema, a menos que sea la groupnet predeterminada. Si la groupnet está asociada a una zona de acceso, un proveedor de autenticación, la eliminación del sistema podría afectar a varias áreas de OneFS y se debe realizar con precaución.

En varios casos, la asociación entre una groupnet y otro componente de OneFS, como zonas de acceso o proveedores de autenticación, es absoluta. No puede modificar estos componentes para asociarlos con otra groupnet.

En caso de que necesite eliminar una groupnet, se recomienda realizar estas tareas en el siguiente orden:

1. Eliminar grupos de direcciones IP en subredes asociadas a la groupnet.2. Elimine las subredes asociadas a la groupnet.3. Elimine los proveedores de autenticación asociados a la groupnet.4. Elimine las zonas de acceso asociadas a la groupnet.

1. Ejecute el comando isi network groupnet delete.

2. Cuando aparezca la petición para confirmar la eliminación, escriba yes.El siguiente comando permite eliminar una groupnet denominada groupnet1:

isi network groupnet delete groupnet1

Mediante el siguiente comando, se intenta eliminar groupnet1, que aún está asociada a una zona de acceso:

isi network modify groupnet groupnet1


Groupnet groupnet1 is not deleted; groupnet can't be deleted while pointed at by zone(s) zoneB

Ver groupnetsPuede recuperar y ordenar una lista de todas las groupnets en el sistema y ver los detalles de una groupnet específica.

1. Para recuperar una lista de groupnets en el sistema, ejecute el comando isi network groupnets list.El siguiente comando ordena la lista de groupnets por ID en orden descendente:

isi network groupnets list --sort=id --descending


ID DNS Cache DNS Search DNS Servers Subnets------------------------------------------------------------groupnet2 True data.company.com 192.0.2.75 subnet2 192.0.2.67 subnet4groupnet1 True 192.0.2.92 subnet1 192.0.2.83 subnet3groupnet0 False 192.0.2.11 subnet0 192.0.2.20--------Total: 3

2. Para ver los detalles de una groupnet específica, ejecute el comando isi network groupnets view.El siguiente comando muestra los detalles de una groupnet denominada groupnet1:

isi network groupnets view groupnet1

378 Redes


ID: groupnet1 Name: groupnet1 Description: Data storage groupnet DNS Cache Enabled: True DNS Options: - DNS Search: data.company.com DNS Servers: 192.0.1.75, 10.7.2.67Server Side DNS Search: True Subnets: subnet1, subnet3

Administración de subredes de red externaPuede crear y administrar subredes en un clúster.

Crear una subredPuede agregar una subred a la red externa de un clúster.

Las subredes deben asociarse a una groupnet. Asegúrese de que la groupnet que desea asociar a esta subred esté presente en el sistema.

Cuando se crea una subred, se requiere una designación de la familia de direcciones IP y la longitud del prefijo.

Ejecute el comando isi network subnets create y especifique el ID de la subred, la familia de direcciones IP y la longitud del prefijo.

Especifique el ID de la subred que desea crear con el siguiente formato:

<groupnet_name>.<subnet_name>

El nombre de la subred debe ser único en el sistema.

El siguiente comando permite crear una subred asociada a groupnet1, designar la familia de direcciones IP como IPv4 y especificar una longitud de prefijo de IPv4:

isi network subnets create \ groupnet1.subnet3 ipv4 255.255.255.0

El siguiente comando permite crear una subred con una longitud de prefijo de IPv6 asociada:

isi network subnets create \ groupnet1.subnet3 ipv6 64

Modificar una subredPuede modificar una subred en la red externa.

NOTA: La modificación de una subred de red externa en uso puede desactivar el acceso al clúster.

1. Opcional: Para identificar el ID de la subred externa que desea modificar, ejecute el siguiente comando:

isi network subnets list

2. Ejecute el comando isi networks modify subnetEspecifique el ID de la subred que desea modificar en el siguiente formato:


El siguiente comando cambia el nombre de subnet3 en groupnet1 a subnet5:

isi network subnets modify groupnet1.subnet3 \ --name=subnet5

Redes 379

El siguiente comando establece la MTU en 1,500, especifica la dirección del gateway en 198.162.205.10 y establece la prioridad del gateway en 1:

isi network subnets modify groupnet1.subnet3 --mtu=1500 --gateway=198.162.205.10 --gateway-priority=1

Eliminar una subredEs posible eliminar una subred de la red externa que ya no se necesita.

NOTA: La eliminación de una subred de la red externa también elimina todos los pools de direcciones IP asociados. La

eliminación de una subred que se encuentra en uso puede evitar el acceso al clúster.

1. Opcional: Para identificar el nombre de la subred que desea eliminar, ejecute el siguiente comando:


2. Ejecute el comando isi networks delete subnet.

Especifique el ID de la subnet que desea eliminar en el siguiente formato:


El siguiente comando elimina subnet3 en groupnet1:

isi network subnets delete groupnet1.subnet3

3. Cuando se le solicite confirmación, escriba yes.

Ver subredesPuede ver todas las subredes en la red externa, ordenar las subredes según criterios especificados o ver los detalles de una subred específica.

1. Para ver todas las subredes, ejecute el comando isi network subnets list.


ID Subnet Gateway|Priority Pools SC Service----------------------------------------------------------------------groupnet1.subnet0 203.0.113.10/24 203.0.113.12|1 pool0 198.51.100.10groupnet1.subnet3 192.0.2.20/24 192.0.2.22|2 pool3 198.51.100.15----------------------------------------------------------------------

2. Para ver los detalles de una subred específica, ejecute el comando isi network subnets view y especifique el ID de subred.

Especifique el ID de subred que desea ver en el siguiente formato:


El siguiente comando muestra los detalles de subnet3 en groupnet1:

isi network subnets view groupnet1.subnet3


ID: groupnet1.subnet3 Name: subnet3 Groupnet: groupnet1 Pools: pool3 Addr Family: ipv4 Base Addr: 192.0.2.20 CIDR: 192.0.2.20/24 Description: Sales subnet Dsr Addrs: - Gateway: 192.0.2.22Gateway Priority: 2 MTU: 1500 Prefixlen: 24 Netmask: 255.255.255.0

380 Redes

Sc Service Addr: 198.51.100.15 VLAN Enabled: False VLAN ID: -

Configurar una dirección IP del servicio SmartConnectPuede especificar una dirección IP del servicio SmartConnect en una subred.

1. Opcional: Para identificar el nombre de la subred externa que desea modificar, ejecute el siguiente comando:


2. Ejecute el comando isi networks modify subnetEspecifique el ID de la subred que desea modificar en el siguiente formato:


El siguiente comando especifica la dirección IP del servicio SmartConnect en subnet3 dentro de groupnet1:

isi network subnets modify groupnet1.subnet3 \ --sc-service-addr=198.51.100.15

Asigne esta subred a uno o más pools de direcciones IP a fin de manejar solicitudes DNS para esos pools.

Habilitar o deshabilitar el etiquetado de VLANPuede particionar la red externa en redes de área local virtuales o VLAN.

El etiquetado de VLAN requiere un ID de VLAN que se corresponda con el ID para el conjunto de VLAN en el switch. Los ID de VLAN válidos van del 2 al 4,094.

1. Opcional: Para identificar el nombre de la subred externa que desea modificar para el etiquetado de VLAN, ejecute el siguiente comando:


2. Habilite o deshabilite el etiquetado de VLAN en la subred externa a través del comando isi networks modify subnet.

Especifique el ID de la subred que desea modificar en el siguiente formato:


El siguiente comando habilita el etiquetado de VLAN en subnet3 dentro de groupnet1 y configura el ID de VLAN requerido en 256:

isi network subnets modify groupnet1.subnet3 \ --vlan-enabled=true --vlan-id=256

El siguiente comando deshabilita el etiquetado de VLAN en subnet3 dentro de groupnet1:

isi network subnets modify groupnet1.subnet3 \ --vlan-enabled=false


Agregar o eliminar una dirección de DSRPuede especificar una dirección de retorno de servidor directo (DSR) para una subred si su clúster contiene un switch de balanceo de carga de hardware externo que utiliza DSR.

1. Opcional: Para identificar el nombre de la subred externa que desea modificar para direcciones DRS, ejecute el siguiente comando:


2. Ejecute el comando isi network subnets modify.

Redes 381

Especifique el ID de la subred que desea modificar con el siguiente formato:


El siguiente comando permite agregar una dirección DSR a subnet3 en groupnet1:

isi network subnets modify groupnet1.subnet3 \ --add-dsr-addrs=198.51.100.20

El siguiente comando permite eliminar una dirección DSR de subnet3 en groupnet1:

isi network subnets modify groupnet1.subnet3 \ --remove-dsr-addrs=198.51.100.20

Administración de pools de direcciones IPPuede crear y administrar grupos de direcciones IP en el clúster.

Crear un pool de direcciones IPPuede particionar la interfaz de red externa en grupos o pools de rangos de direcciones IP exclusivos.

NOTA: Si no activa una licencia SmartConnect Advanced, al clúster le corresponde un pool de direcciones IP por subred.

Si activa una licencia SmartConnect Advanced, al clúster le corresponde una cantidad ilimitada de pools de direcciones

IP por subred.

Cuando crea un pool de direcciones, debe asignarlo a una subred. Si la subred no está bajo la groupnet predeterminada, groupnet0, también debe asignar una zona de acceso al pool.

Ejecute el comando isi network pools create.

Especifique el ID del pool que desea crear con el siguiente formato:


El siguiente comando permite crear un pool denominado pool5 y lo asigna a subnet3 en groupnet1:

isi network pools create groupnet1.subnet3.pool5

El siguiente comando permite crear un pool denominado pool5 y lo asigna a groupnet1.subnet3, y especifica zoneB como la zona de acceso:

isi network pools create groupnet1.subnet3.pool5 \ --access-zone=zoneB

Modificar un pool de direcciones IPPuede modificar pools de direcciones IP para actualizar su configuración.

1. Opcional: Para identificar el nombre del pool de direcciones IP que desea modificar, ejecute el siguiente comando:

isi network pools list

2. Ejecute el comando isi networks modify pool.



El siguiente comando cambia el nombre de pool de pool3 a pool5:

isi network pools modify groupnet1.subnet3.pool3 --name=pool5

382 Redes

Eliminar un pool de direcciones IPEs posible eliminar un pool de direcciones IP que ya no necesite.

Cuando se elimina un pool, este y su configuración desaparecen de la subred asignada.

1. Opcional: Para identificar el nombre del pool de direcciones IP que desea eliminar, ejecute el siguiente comando:


2. Ejecute el comando isi networks delete pool.

Especifique el ID del pool que desea eliminar en el siguiente formato:


El siguiente comando elimina el nombre del pool5 de groupnet1.subnet3:

isi network pools delete groupnet1.subnet3.pool5


Ver pools de direcciones IPPuede ver todos los pools de direcciones IP dentro de una groupnet o de una subred, ordenar los pools según criterios especificados o ver los detalles de un pool específico.

1. Para ver todos los pools de direcciones IP dentro de una groupnet o de una subred, ejecute el comando isi network pools list.El siguiente comando muestra todos los pools de direcciones IP en groupnet1.subnet3:

isi network pools list groupnet1.subnet3


ID SC Zone Allocation Method----------------------------------------------------------groupnet1.subnet3.pool5 data.company.com staticgroupnet1.subnet3.pool7 data.company.com dynamic----------------------------------------------------------

2. Para ver los detalles de un pool de direcciones IP específico, ejecute el comando isi network pools view y especifique el ID de pool.

Especifique el ID del pool que desea ver en el siguiente formato:


El siguiente comando muestra los detalles de configuración de pool5 en groupnet1.subnet3:

isi network pools view groupnet1.subnet3.pool5


ID: groupnet0.subnet3.pool5 Groupnet: groupnet1 Subnet: subnet3 Name: pool5 Rules: - Access Zone: zone3 Allocation Method: static Aggregation Mode: lacp SC Suspended Nodes: - Description: - Ifaces: 1:ext-2, 2:ext-2, 3:ext-2 IP Ranges: 203.0.223.12-203.0.223.22 Rebalance Policy: autoSC Auto Unsuspend Delay: 0 SC Connect Policy: round_robin SC Zone: data.company.com SC DNS Zone Aliases: -

Redes 383

SC Failover Policy: round_robin SC Subnet: groupnet0.subnet3 SC Ttl: 0 Static Routes: -

Agregar o eliminar un rango de direcciones IPPuede configurar un rango de direcciones IP para un pool.

Todos los rangos de direcciones IP de un pool deben ser únicos.

1. Opcional: Para identificar el nombre del pool de direcciones IP que desea modificar para los rangos de direcciones IP, ejecute el siguiente comando:


2. Ejecute el comando isi network pools modify.



El siguiente comando agrega un rango de direcciones al pool5 en groupnet1.subnet3:

isi network pools modify groupnet1.subnet3.pool5 \ --add-ranges=203.0.223.12-203.0.223.22

El siguiente comando elimina un rango de direcciones del pool5:

isi network pools modify groupnet1.subnet3.pool5 \ --remove-ranges=203.0.223.12-203.0.223.14

Configurar la asignación de direcciones IPPuede especificar si las direcciones IP en un pool de direcciones IP se asignan a las interfaces de red de forma estática o dinámica.

Para configurar una asignación de direcciones IP dinámica, debe activar una licencia SmartConnect Advanced.






El siguiente comando especifica la distribución dinámica de direcciones IP en el pool5 dentro de groupnet1.subnet 3:

isi network pools modify groupnet1.subnet3.pool5 \ --alloc-method=dynamic

Administración de la configuración de SmartConnectPuede configurar los valores de SmartConnect dentro de cada grupo de direcciones IP en el clúster.

Configurar una zona DNS de SmartConnectPuede especificar una zona DSN de SmartConnect y alternar alias de zonas DNS para un pool de direcciones IP.

384 Redes



2. Para configurar una zona DNS de SmartConnect, ejecute el comando isi networks modify pool:



El siguiente comando especifica una zona DNS de SmartConnect en pool5 dentro de subnet3 y groupnet1:

isi network pools modify groupnet1.subnet3.pool5 \ --sc-dns-zone=www.company.com

Se recomienda que la zona DNS de SmartConnect sea un nombre de dominio calificado (FQDN).

3. Para configurar un alias de la zona DNS de SmartConnect, ejecute el comando isi networks modify pool:El siguiente comando especifica alias DNS de SmartConnect en pool5 dentro de subnet3 y groupnet1:

isi network pools modify groupnet1.subnet3.pool5 \ --add-sc-dns-zone-aliases=data.company.com,storage.company.com

No puede especificar más de tres alias de zona DNS de SmartConnect.

4. Para configurar un alias de zona DNS de SmartConnect, ejecute el comando isi networks modify pool:El siguiente comando elimina alias DNS de SmartConnect de pool5 dentro de subnet3 y groupnet1:

isi network pools modify groupnet1.subnet3.pool5 \ --remove-dns-zone-aliases=data.company.com

SmartConnect requiere la adición de un nuevo registro de servidor de nombres (NS) a la zona DNS dominante existente que contiene el clúster y la delegación del nombre de dominio calificado de la zona DNS de SmartConnect.

Especificar una subred del servicio de SmartConnectPuede designar una subred como la subred del servicio de SmartConnect para un pool de direcciones IP.

La subred que se designa como la subred del servicio de SmartConnect debe tener una dirección IP del servicio de SmartConnect configurada y la subred debe estar en la misma groupnet que el pool de direcciones IP. Por ejemplo, a pesar de que un pool puede pertenecer a subnet3, puede designar subnet5 como la subred del servicio de SmartConnect siempre y cuando ambas subredes estén bajo la misma groupnet.



2. Ejecute el comando isi networks modify pool:



El siguiente comando especifica subnet0 como una subred del servicio de SmartConnect de pool5 en subnet3 y groupnet1:

isi network pools modify groupnet1.subnet3.pool5 \ --sc-subnet=subnet0

Suspender o reanudar un nodoPuede suspender y reanudar las respuestas a consultas de DNS de SmartConnect en un nodo.

1. Para suspender las respuestas a consultas de DNS en un nodo, siga estos pasos:

a) Opcional: Para identificar una lista de nodos y pools de direcciones IP, ejecute el siguiente comando:

isi network interfaces list

Redes 385

b) Ejecute el comando isi network pools sc-suspend-nodes y especifique el ID de pool y el número de nodo lógico (LNN).

Especifique el ID del pool deseado en el siguiente formato:


El siguiente comando suspende las respuestas a consultas de DNS en node3 cuando las consultas llegan a través de direcciones IP de pool5 en groupnet1.subnet 3:

isi network pools sc-suspend-nodes groupnet1.subnet3.pool5 3

2. Para reanudar las respuestas a consultas de DNS en un pool de direcciones IP, ejecute el comando isi network pools sc-resume-nodes y especifique el ID de pool y el número de nodo lógico (LNN).El siguiente comando reanuda las respuestas a consultas de DNS en node3 cuando las consultas llegan a través de direcciones IP de pool5 en groupnet1.subnet 3:

isi network pools sc-resume-nodes groupnet1.subnet3.pool5 3

Configurar una política de balanceo de conexionesPuede especificar una política de balanceo de conexiones para un pool de direcciones IP.

SmartConnect admite los siguientes métodos de balanceo:

• Round-robin

NOTA: Round-robin es el único método disponible sin activar una licencia de SmartConnect Advanced.

• Conteo de conexión• Rendimiento de la red• CPU usage






El siguiente comando especifica una política de balanceo de conexiones basada en el conteo de conexiones en pool5 dentro de la subred 3 y de groupnet1:

isi network pools modify groupnet1.subnet3.pool5 \ --sc-connect-policy=conn_count

Configurar una política de failover de IPPuede definir una política de failover IP para un pool de direcciones IP.

Para configurar una política de failover IP, debe activar una licencia de SmartConnect Advanced.

SmartConnect admite los siguientes métodos de distribución:

• Round-robin• Conteo de conexión• Rendimiento de la red• CPU usage




386 Redes



El siguiente comando especifica una política de failover IP basada en el uso del CPU en pool5 dentro de la subred 3 y el groupnet0:

isi network pools modify groupnet0.subnet3.pool5 \ --sc-failover-policy=cpu_usage

Administración del rebalanceo de conexionesPuede configurar y administrar una política de rebalanceo de conexiones que especifique el momento en que se rebalancearán las direcciones IP después de que un nodo que no estaba disponible vuelva a estarlo.

Configurar una política de rebalanceo de direcciones IPPuede configurar una política de rebalanceo manual o automática para un pool de direcciones IP.

Para configurar una política de rebalanceo de un pool de direcciones IP, debe activar una licencia de SmartConnect Advanced y establecer el método de asignación en dynamic.





<groupnet_id>.<subnet_name>.<pool_name>

El siguiente comando especifica el rebalanceo manual de direcciones IP en el pool5 dentro de groupnet1.subnet 3:

isi network pools modify groupnet1.subnet3.pool5 \ --rebalance-policy=manual

Si configura una política de rebalanceo automático, puede especificar un retraso de rebalanceo, que corresponde a un período (en segundos) que debe transcurrir después de la evaluación de un evento, antes de que se ejecute un rebalanceo automático. El valor predeterminado es 0 segundos. Puede especificar el retraso mediante la ejecución del comando isi network external modify con la opción --sc-balance-delay.

Rebalancear manualmente direcciones IPSe puede rebalancear manualmente un pool de direcciones IP específico o todos los pools en la red externa.

Debe activar una licencia de SmartConnect Advanced.

1. Para volver a balancear manualmente las direcciones IP en un pool, siga estos pasos:

a) Opcional: Para identificar el nombre del pool de direcciones IP que desea rebalancear, ejecute el siguiente comando:

isi network pools listb) Ejecute el comando isi network pools rebalance-ips.


<groupnet_id>.<subnet_name>.<pool_name>

El siguiente comando rebalancea las direcciones IP de pool5 en groupnet1.subnet 3:

isi network pools rebalance-ips groupnet1.subnet3.pool5c) Escriba yes en el indicador de confirmación.

2. Para rebalancear manualmente todos los pools de direcciones IP, siga estos pasos:

Redes 387

a) Ejecute el comando isi network sc-rebalance-all.

b) Escriba yes en el indicador de confirmación.

Administración de miembros de la interfaz de redEs posible agregar y quitar interfaces de red a pools de direcciones IP.

Agregar o eliminar una interfaz de redPuede configurar las interfaces de red que desea asignar a un pool de direcciones IP.

Las interfaces de red se deben especificar en el formato <lnn>:<interface_name>. Ejecute el comando isi network interfaces list para identificar los números de nodo y los nombres de interfaz que necesita.

Si añade una interfaz agregada al pool, no puede agregar individualmente ninguna interfaz que forme parte de la interfaz agregada.






El siguiente comando modifica pool5 en groupnet1.subnet3 para agregar las primeras interfaces de red externa a los nodos 1-3:

isi network pools modify groupnet1.subnet3.pool5 --add-ifaces=1-3:ext-1

El siguiente comando elimina del pool5 la primera interfaz de red en el nodo tres:

isi network pools modify groupnet1.subnet3.pool5 --remove-ifaces=3:ext-1

Especificar un modo agregación de vínculosPuede combinar varias interfaces físicas de red externa en un nodo para formar una única interfaz lógica mediante la agregación de vínculos.

Puede agregar una interfaz agregada a un pool y especificar uno de los siguientes modos de agregación:

• LACP• Round-robin• Failover• FEC






El comando siguiente modifica pool5 en groupnet1.subnet3 para especificar FEC como el modo de agregación de vínculos para todas las interfaces agregadas en el pool:

isi network pools modify groupnet1.subnet3.pool5 --aggregation-mode=fec

388 Redes

El comando siguiente modifica pool5 en groupnet1.subnet3 para agregar ext-agg en el nodo 1. Especifique LACP como el modo de agregación de vínculos:

isi network pools modify groupnet1.subnet3.pool5 --add-ifaces=1:ext-agg --aggregation-mode=lacp

Modos de agregación de enlacesEl modo de agregación de enlaces determina cómo se balancea y se enruta el tráfico entre las interfaces de red agregadas. El modo de agregación se selecciona en función de cada pool y se aplica a todas las interfaces de red agregadas en el grupo de direcciones IP.

OneFS es compatible con los modos de agregación dinámica y estática. Un modo de agregación dinámica permite que los nodos con interfaces agregadas se comuniquen con el switch para que este pueda usar un modo de agregación similar. Los modos estáticos no facilitan la comunicación entre los nodos y el switch.

OneFS es compatible con los siguientes modos de agregación de enlaces:

Protocolo de control de agregación de vínculos (LACP)

El modo de agregación dinámico es compatible con el protocolo de control de agregación de enlaces (LACP) IEEE 802.3ad. Puede configurar el LACP en el nivel de switch, lo que permite que el nodo negocie la agregación de interfaz con el switch. El LACP balancea el tráfico saliente entre las interfaces en función de la información del encabezado del protocolo con hash, que incluye las direcciones de origen y de destino, y la etiqueta VLAN si está disponible. Esta opción es el modo de agregación predeterminado.

Loadbalance (FEC)

Método de agregación estático que acepta todo el tráfico entrante y balancea el tráfico saliente a través de interfaces agregadas en función de la información del encabezado del protocolo con hash, que incluye las direcciones de origen y destino.

Active/Passive Failover

Modo de agregación estático que cambia a la siguiente interfaz activa cuando la interfaz primaria deja de estar disponible. La interfaz primaria maneja el tráfico hasta que se produce una interrupción en la comunicación. En ese punto, una de las interfaces secundarias se hará cargo del trabajo de la interfaz primaria.

Round-robin Modo de agregación estático que rota las conexiones entre los nodos en una secuencia de “primeras conexiones en entrar, primeras en salir” y maneja todos los procesos sin prioridad. Balancea el tráfico saliente entre todos los puertos activos del vínculo agregado y acepta tráfico entrante en cualquier puerto.

NOTA: Este método no se recomienda si el clúster maneja las cargas de trabajo de TCP/IP.

Ver interfaces de redPuede recuperar y ordenar una lista de todas las interfaces de red externas en el clúster.

Ejecute el comando isi network interfaces list.


LNN Name Status Owners IP Addresses--------------------------------------------------------------1 ext-1 Up groupnet0.subnet0.pool0 10.7.144.0 groupnet1.subnet3.pool5 203.0.223.121 ext-2 Not Available2 ext-1 Up groupnet0.subnet0.pool0 10.7.144.0 groupnet1.subnet3.pool5 203.0.223.122 ext-2 Not Available3 ext-1 Up groupnet0.subnet0.pool0 10.7.144.0 groupnet1.subnet3.pool5 203.0.223.123 ext-2 Not AvailableEn el siguiente comando, se muestran las interfaces de los nodos 1 y 3:

isi network interfaces list --nodes=1,3


LNN Name Status Owners IP Addresses--------------------------------------------------------------1 ext-1 Up groupnet0.subnet0.pool0 10.7.144.0 groupnet1.subnet3.pool5 203.0.223.121 ext-2 Not Available

Redes 389

3 ext-1 Up groupnet0.subnet0.pool0 10.7.144.0 groupnet1.subnet3.pool5 203.0.223.123 ext-2 Not Available

Administración de las reglas de aprovisionamiento de nodosPuede crear y administrar reglas de aprovisionamiento de nodos que automaticen la configuración de nuevas interfaces de red.

Crear una regla de aprovisionamiento de nodosPuede crear una regla de aprovisionamiento de nodos para especificar la configuración de las interfaces de red en los nodos nuevos cuando los nodos se agregan al clúster.

Ejecute el comando isi network rules create.

Especifique el ID de la regla que desea crear con el siguiente formato:

<groupnet_name>.<subnet_name>.<pool_name>.<rule_name>

El siguiente comando permite crear una regla denominada rule7, que asigna la primera interfaz de red externa en cada nuevo nodo acelerador a groupnet1.subnet3.pool5:

isi network rules create groupnet1.subnet3.pool5.rule7 \ --iface=ext-1 --node-type=accelerator

Modificar una regla de aprovisionamiento de nodosEs posible modificar los ajustes de las reglas de aprovisionamiento de nodos.

1. Opcional: Para identificar el nombre de la regla de aprovisionamiento que desea modificar, ejecute el siguiente comando:

isi network rules list

2. Ejecute el comando isi network rules modify.

Especifique el ID de la regla que desea modificar en el siguiente formato:


El siguiente comando cambia el nombre de rule7 a rule7accelerator:

isi network rules modify groupnet1.subnet3.pool5.rule7 \ --name=rule7accelerator

El siguiente comando cambia rule7 para que se aplique solamente a nodos aceleradores de respaldo:

isi network rules modify groupnet1.subnet3.pool5.rule7 \ --node-type=backup-accelerator

Eliminar una regla de aprovisionamiento de nodosPuede eliminar una regla de aprovisionamiento de nodos que ya no necesite.

1. Opcional: Para identificar el nombre de la regla de aprovisionamiento que desea eliminar, ejecute el siguiente comando:

isi network rules list

2. Ejecute el comando isi networks delete rule.

390 Redes

Especifique el ID de la regla que desea eliminar en el siguiente formato:


El siguiente comando elimina rule7 de pool5:

isi network rules delete groupnet1.subnet3.pool5.rule7


Ver reglas de aprovisionamiento de nodosPuede recuperar y ordenar una lista de todas las reglas de aprovisionamiento de nodos en la red externa o ver los detalles de una regla específica.

1. Para enumerar todas las reglas de aprovisionamiento en el sistema, ejecute el comando isi network rules list:


ID Node Type Interface---------------------------------------------------groupnet0.subnet0.pool0.rule0 any ext-1groupnet0.subnet1.pool1.rule1 accelerator ext-3groupnet1.subnet3.pool3.rule2 storage ext-3 groupnet1.subnet3.pool5.rule7 storage ext-2---------------------------------------------------El siguiente comando enumera solamente las reglas en groupnet1:

isi network rules list --groupnet=groupnet1


ID Node Type Interface---------------------------------------------------groupnet1.subnet1.pool1.rule1 accelerator ext-3groupnet1.subnet3.pool3.rule2 storage ext-3 ---------------------------------------------------

2. Para ver los detalles de una regla de aprovisionamiento específica, ejecute el comando isi network rules view y especifique el ID de regla.

Especifique el ID de regla que desea ver en el siguiente formato:


El siguiente comando muestra los detalles de configuración de rule7 en groupnet1.subnet3.pool5:

isi network rules view groupnet1.subnet3.pool5.rule7


ID: groupnet1.subnet3.pool5.rule7 Node Type: storage Interface: ext-2Description: - Name: rule7 Groupnet: groupnet1 Subnet: subnet3 Pool: pool5

Opciones de administración del enrutamientoPuede proporcionar un control adicional de la dirección del tráfico saliente del cliente mediante el enrutamiento basado en el origen o la configuración de rutas estáticas.

Si se configuran el enrutamiento basado en el origen y las rutas estáticas, estas tendrán prioridad para el tráfico que coincida con las rutas estáticas.

Redes 391

Habilitar o deshabilitar el enrutamiento basado en el origenPuede habilitar el enrutamiento basado en el origen para garantizar que el tráfico saliente del cliente se enrute al gateway de la dirección IP de origen en el encabezado del paquete. Si deshabilita el enrutamiento basado en el origen, el tráfico saliente se basa en el destino o sigue las rutas estáticas. El enrutamiento basado en origen se habilita o deshabilita globalmente en el clúster.

Las rutas estáticas tienen prioridad sobre las reglas de enrutamiento basado en el origen. Puede verificar si hay rutas estáticas configuradas en algún pool de direcciones IP mediante la ejecución del siguiente comando:

isi networks list pools -v

1. Ejecute el siguiente comando para habilitar en el clúster el enrutamiento basado en el origen:

isi network external modify --sbr=true

2. Ejecute el siguiente comando para deshabilitar en el clúster el enrutamiento basado en el origen:

isi network external modify --sbr=false

Agregar o eliminar una ruta estáticaPuede configurar rutas estáticas para dirigir el tráfico saliente a destinos específicos mediante un gateway específico.

1. Opcional: Ejecute el siguiente comando para identificar el nombre del pool de direcciones IP cuyas rutas estáticas desea modificar:



Especifique la ruta en el formato de notación de enrutamiento entre dominios sin clase (CIDR). Especifique el ID del pool que desea modificar en el siguiente formato:


El siguiente comando agrega una ruta estática IPv4 a pool5 y asigna la ruta a todas las interfaces de red que pertenecen a ese pool:

isi network pools modify groupnet1.subnet3.pool5 --add-static-routes=192.168.100.0/24-192.168.205.2

El siguiente comando elimina una ruta estática IPv6 de pool4:

isi network pools modify groupnet2.subnet2.pool4 --remove-static-routes=2001:DB8:170:7c00::/64-2001:DB8:170:7cff::c008

Administración de la configuración de la caché de DNSEs posible establecer la configuración de la caché de DNS para la red externa.

Configuración de la caché de DNSEs posible configurar los ajustes para la caché de DNS.


TTL No Error Minimum Especifica el límite inferior del período de vida de los aciertos de caché.

El valor predeterminado es de 30 segundos.

392 Redes


TTL No Error Maximum Especifica el límite superior del período de vida de los aciertos de caché.

El valor predeterminado es de 3,600 segundos.

TTL Non-existent Domain Minimum Especifica el límite inferior del período de vida de nxdomain.


TTL Non-existent Domain Maximum Especifica el límite superior del período de vida de nxdomain.


TTL Other Failures Minimum Especifica el límite inferior del período de vida de las fallas no relacionadas con nxdomain.

El valor predeterminado es 0 segundos.

TTL Other Failures Maximum Especifica el límite superior del período de vida de las fallas no relacionadas con nxdomain.


TTL Lower Limit For Server Failures Especifica el límite inferior del período de vida de las fallas del servidor DNS.


TTL Upper Limit For Server Failures Especifica el límite superior del período de vida de las fallas del servidor DNS.


Eager Refresh Especifica el plazo para actualizar las entradas de la caché cuyo vencimiento se aproxima.

El valor predeterminado es 0 segundos.

Cache Entry Limit Especifica la cantidad máxima de entradas que puede contener la caché de DNS.

El valor predeterminado es de 65,536 entradas.

Test Ping Delta Especifica el delta para comprobar el estado del clúster de cbind.


Redes 393

AntivirusEsta sección contiene los siguientes temas:

Temas:

• Descripción general del antivirus• Escaneo de acceso• Escaneo de política antivirus• Escaneo de archivos individuales• Antivirus y archivos WORM• Informes de escaneo antivirus• Servidores ICAP• Respuestas a amenazas antivirus• Configuración de los parámetros globales del antivirus• Administración de servidores ICAP• Crear una política antivirus • Administración de las políticas antivirus• Administración de los escaneos antivirus• Administración de las amenazas antivirus• Administración de los informes de antivirus

Descripción general del antivirusPuede escanear los archivos almacenados en un clúster Isilon para buscar virus de computadora, malware y otras amenazas a la seguridad mediante la integración de servicios de escaneo de otros fabricantes a través del Protocolo de Adaptación de Contenidos de Internet (ICAP).

OneFS envía los archivos a través de ICAP a un servidor que ejecuta software antivirus de otros fabricantes para realizar escaneos. Estos servidores se denominan servidores ICAP. Los servidores ICAP escanean los archivos en busca de virus.

Después de que un servidor ICAP escanea un archivo, informa a OneFS si es una amenaza o no. Si se detecta una amenaza, OneFS la informa a los administradores del sistema mediante la creación de un evento, donde se muestra la información resumida casi en tiempo real, y mediante la documentación de la amenaza en un informe de escaneo antivirus. OneFS puede configurarse para solicitar que los servidores ICAP intenten reparar los archivos infectados. También puede configurar OneFS para proteger a los usuarios contra archivos potencialmente peligrosos truncando los archivos infectados o poniéndolos en cuarentena.

Antes de que OneFS envíe un archivo para su escaneo, se asegura de que el análisis no sea redundante. Si un archivo ya se escaneó y no sufrió modificaciones, OneFS no lo enviará para su escaneo a menos que la base de datos de virus en el servidor ICAP se haya actualizado desde el último escaneo.

NOTA: El escaneo antivirus está disponible únicamente en los nodos del clúster que están conectados a la red externa.

Escaneo de accesoPuede configurar OneFS para enviar archivos para su escaneo antes de que se abran, después de cerrarse o en ambos casos. Esto se puede hacer mediante protocolos de acceso a archivos, como SMB, NFS y SSH. El envío de archivos para su escaneo después de cerrarse es más rápido, pero menos seguro. El envío de archivos para su escaneo antes de que se abran es más lento, pero más seguro.

Si OneFS está configurado para garantizar que los archivos se escaneen después de cerrarse, cuando un usuario crea o modifica un archivo en el clúster, OneFS pone este archivo en la línea de espera para su escaneo. A continuación, OneFS envía el archivo a un servidor ICAP para su escaneo cuando proceda. En esta configuración, los usuarios siempre pueden acceder a los archivos sin ningún retardo. Sin embargo, es posible que después de que un usuario modifique o cree un archivo, un segundo usuario podría acceder al mismo antes de que se escanee. Si un virus se introduce en el archivo del primer usuario, el segundo usuario podrá acceder al archivo infectado. Además, si un servidor ICAP no es capaz de escanear un archivo, este seguirá estando accesible a los usuarios.

28

394 Antivirus

Si OneFS garantiza que los archivos se escaneen antes de abrirse, cuando un usuario intenta descargar un archivo del clúster, OneFS primero envía el archivo a un servidor ICAP para su escaneo. El archivo no se envía al usuario hasta que el escaneo se complete. El escaneo de archivos antes de que se abran es más seguro que el escaneo de archivos después de cerrarse, debido a que los usuarios solo pueden acceder a los archivos escaneados. Sin embargo, el escaneo de archivos antes de abrirse requiere que los usuarios esperen a que los archivos se escaneen. También puede configurar OneFS para que rechace el acceso a los archivos que un servidor ICAP no puede escanear, lo que puede aumentar el retardo. Por ejemplo, si no hay ningún servidor ICAP disponible, los usuarios no podrán acceder a ningún archivo hasta que los servidores ICAP vuelvan a estar disponibles.

Si configura OneFS para garantizar que los archivos se escaneen antes de abrirse, se recomienda que configure también OneFS para asegurar el escaneo de los archivos después de cerrarse. El escaneo de archivos cuando se abren y también cuando se cierran no necesariamente mejora la seguridad, pero normalmente mejora la disponibilidad de datos en comparación con el escaneo de archivos únicamente cuando se abren. Si un usuario desea acceder a un archivo, es posible que este ya se haya escaneado después de su última modificación y no necesitará volver a escanearse si la base de datos del servidor ICAP no se ha actualizado desde el último escaneo.

Escaneo de política antivirusCon el motor de trabajos de OneFS, puede crear políticas de escaneo de antivirus para enviar archivos desde un directorio especificado para su escaneo. Las políticas de antivirus se pueden ejecutar manualmente en cualquier momento o se pueden configurar para ejecutarse de acuerdo con un calendario.

Las políticas de antivirus se dirigen a un directorio específico en el clúster. Puede evitar que una política de antivirus envíe determinados archivos dentro del directorio raíz especificado en función del tamaño, el nombre o la extensión de los archivos. Los escaneos durante el acceso también admiten el filtrado por tamaño, nombre y extensiones, con el comando isi antivirus settings. Las políticas de antivirus no se dirigen a instantáneas. Solamente los escaneos durante el acceso incluyen a las instantáneas.

Escaneo de archivos individualesPuede enviar un archivo específico a un servidor ICAP para su escaneo en cualquier momento.

Si se detecta un virus en un archivo, pero el servidor ICAP no es capaz de repararlo, puede enviar el archivo al servidor ICAP después de actualizar la base de datos de virus para ver si el servidor ICAP es capaz de reparar el archivo. También puede escanear archivos individuales para comprobar la conexión entre el clúster y los servidores ICAP.

Antivirus y archivos WORMEl software antivirus puede analizar y poner en cuarentena los archivos WORM (write-once, read many), pero no puede repararlos ni eliminarlos hasta que transcurra el período de retención.

El módulo de software SmartLock permite identificar un directorio en OneFS como un dominio WORM. Todos los archivos dentro del dominio WORM se asignarán a un estado WORM, lo que significa que esos archivos no se pueden sobrescribir, modificar ni eliminar.

Al igual que con otros archivos en OneFS, los archivos WORM se pueden escanear en busca de virus y otras amenazas de seguridad. Sin embargo, debido a su naturaleza protegida de solo lectura, los archivos WORM no se pueden reparar ni eliminar durante un análisis antivirus. Si se descubre que un archivo WORM es una amenaza, el archivo queda en cuarentena.

Cuando sea conveniente, puede iniciar un análisis antivirus de los archivos antes de que se confirmen en un estado WORM.

Informes de escaneo antivirusOneFS genera informes sobre escaneos antivirus. Cada vez que se ejecuta una política de antivirus, OneFS genera un informe para dicha política. OneFS también genera un informe cada 24 horas que incluye todos los escaneos durante el acceso que se hayan realizado durante el día.

Los informes de escaneos de antivirus contienen la siguiente información:

• La hora a la que el escaneo comenzó.• La hora a la que el escaneo terminó.• La cantidad total de archivos escaneados.• El tamaño total de archivos escaneados.• El tráfico de red total enviado.• El rendimiento de red que se consumió mediante el escaneo de virus.• Si el escaneo se realizó correctamente.• La cantidad total de archivos infectados detectados.

Antivirus 395

• Los nombres de los archivos infectados.• Las amenazas asociadas con los archivos infectados.• Cómo respondió OneFS a las amenazas detectadas.

Servidores ICAPLa cantidad de servidores ICAP necesarios para brindar soporte a un clúster Isilon depende de cómo esté configurado el escaneo de virus, de la cantidad de datos que procese el clúster y de la capacidad de procesamiento de los servidores ICAP.

Si tiene previsto escanear archivos exclusivamente mediante políticas de escaneo antivirus, se recomienda que tenga un mínimo de dos servidores ICAP por cada clúster. Si tiene previsto escanear archivos cuando se accede a ellos, se recomienda que tenga, por lo menos, un servidor ICAP por cada nodo del clúster.

Si configura más de un servidor ICAP para un clúster, es importante que se asegure de que la capacidad de procesamiento de los servidores ICAP sea relativamente igual. OneFS distribuye archivos a los servidores ICAP en forma rotativa, independientemente de su capacidad de procesamiento. Si uno de los servidores tiene una capacidad significativamente superior a otro, OneFS no envía más archivos al servidor con más capacidad.

PRECAUCIÓN: Cuando los archivos se envían desde el clúster a un servidor ICAP, se envían por la red en texto no

cifrado. Asegúrese de que la ruta del clúster al servidor ICAP esté en una red de confianza. Además, la autenticación no

es compatible. Si se requiere autenticación entre un cliente ICAP y un servidor ICAP, se debe usar la autenticación de

proxy de salto por salto.

Respuestas a amenazas antivirusPuede configurar el sistema para reparar, poner en cuarentena o truncar cualquier archivo en el que el servidor ICAP detecte virus.

OneFS y los servidores ICAP reaccionan de una o varias de las siguientes maneras cuando se detectan amenazas:

Alerta Todas las amenazas que se detectan hacen que se genere un evento en OneFS a nivel de advertencia, independientemente de la configuración de la respuesta ante amenazas.

Reparación El servidor ICAP intenta reparar el archivo infectado antes de devolver el archivo a OneFS.

Poner en cuarentena

OneFS pone el archivo infectado en cuarentena. Ningún usuario puede acceder a un archivo en cuarentena. No obstante, el usuario raíz puede quitar un archivo de la cuarentena si se conecta al clúster a través del protocolo SSH. Si respalda su clúster mediante un respaldo de tipo NDMP, los archivos en cuarentena permanecerán en cuarentena cuando se restauren los archivos. Si replica los archivos en cuarentena en otro clúster Isilon, los archivos en cuarentena continuarán en cuarentena en el clúster de destino. Las cuarentenas funcionan de forma independiente de las listas de control de acceso (ACL).

Truncar OneFS trunca el archivo infectado. Cuando un archivo se trunca, OneFS reduce el tamaño del archivo a cero bytes para inocular el archivo.

Puede configurar OneFS y los servidores ICAP para que reaccionen de una de las siguientes maneras cuando detecten amenazas:

Reparación o cuarentena

Intenta reparar los archivos infectados. Si un servidor ICAP no repara un archivo, OneFS pone el archivo en cuarentena. Si el servidor ICAP repara el archivo correctamente, OneFS envía el archivo al usuario. La reparación o la cuarentena pueden resultar útiles si desea proteger a los usuarios del acceso a los archivos infectados, a la vez que conserva todos los datos en un clúster.

Reparación o truncado

Intenta reparar los archivos infectados. Si un servidor ICAP no repara un archivo, OneFS trunca el archivo. Si el servidor ICAP repara el archivo correctamente, OneFS envía el archivo al usuario. La reparación o el truncado pueden resultar útiles si no le importa no conservar todos los datos en su clúster y desea liberar espacio de almacenamiento. No obstante, los datos de los archivos infectados se perderán.

Solo alerta Solo genera un evento por cada archivo infectado. Se recomienda no aplicar este ajuste.

Solo reparación Intenta reparar los archivos infectados. Posteriormente, OneFS envía los archivos al usuario, independientemente de si el servidor ICAP reparó los archivos correctamente. Se recomienda no aplicar este ajuste. Si solo intenta reparar los archivos, los usuarios podrán seguir accediendo a los archivos infectados que no puedan repararse.

Poner en cuarentena

Pone todos los archivos infectados en cuarentena. Se recomienda no aplicar este ajuste. Si pone los archivos en cuarentena sin intentar repararlos, podría denegar el acceso a algunos archivos infectados que podrían repararse.

Truncar Trunca todos los archivos infectados. Se recomienda no aplicar este ajuste. Si trunca los archivos sin intentar repararlos, podría eliminar datos innecesariamente.

396 Antivirus

Configuración de los parámetros globales del antivirusPuede configurar los ajustes de antivirus globales que se aplican a todos los escaneos antivirus de forma predeterminada.

Incluir archivos específicos en los análisis antivirusPuede determinar el análisis de archivos específicos con políticas de antivirus.

Ejecute el comando isi antivirus settings modify.El siguiente comando configura OneFS para que únicamente analice archivos con la extensión .txt:

isi antivirus settings modify --glob-filters-enabled true \--glob-filters .txt

Configurar ajustes del escaneo en el accesoPuede configurar OneFS para que escanee automáticamente los archivos a medida que los usuarios acceden a ellos. Los escaneos en el acceso funcionan de manera independiente de las políticas antivirus.

Ejecute el comando isi antivirus settings modify.El siguiente comando configura OneFS para que escanee los archivos y directorios dentro de /ifs/data/media cuando estén cerrados:

isi antivirus settings modify --scan-on-close true \--path-prefixes /ifs/data/media

Configurar ajustes de respuesta a amenazas antivirusPuede configurar la forma en que OneFS responde a las amenazas detectadas.

Ejecute el comando isi antivirus settings modify.El siguiente comando configura los servidores OneFS e ICAP para que intenten reparar los archivos infectados y poner en cuarentena aquellos que no se pueden reparar:

isi antivirus settings modify --repair true --quarantine true

Configurar los ajustes de conservación de informes de antivirusPuede configurar el tiempo durante el cual OneFS debe conservar informes de antivirus antes de eliminarlos automáticamente.

Ejecute el comando isi antivirus settings modify.El siguiente comando configura OneFS para que elimine los informes de antivirus que tienen más de 12 semanas.

isi antivirus settings modify --report-expiry 12w

Activar o desactivar el escaneo antivirusPuede habilitar o deshabilitar todos los escaneos antivirus. Este procedimiento únicamente está disponible a través de la interfaz de administración web.

Ejecute el comando isi antivirus settings modify.El siguiente comando habilita el análisis antivirus

isi antivirus settings modify --service enable

Antivirus 397

El siguiente comando deshabilita el análisis antivirus

isi antivirus settings modify --service disable

Administración de servidores ICAPAntes de poder enviar archivos para su escaneo en un servidor ICAP, debe configurar OneFS para conectarse al servidor. Puede probar, modificar y eliminar una conexión con el servidor ICAP. También puede cancelar temporalmente la conexión y volver a establecerla con un servidor ICAP.

Falla al conectar con el servidor ICAPPuede agregar un servidor ICAP y conectarse a él. Después de la adición de un servidor, OneFS puede enviarle archivos que se escanearán en busca de virus.

Ejecute el comando isi antivirus servers create.El siguiente comando agrega un servidor ICAP y se conecta a él en 10.7.180.108:

isi antivirus servers create icap://10.7.180.108 --enabled yes

Desconectarse temporalmente de un servidor ICAPSi desea impedir que OneFS envíe archivos a un servidor ICAP, pero desea conservar la configuración de conexión de este servidor, puede desconectarse temporalmente del servidor ICAP.

Ejecute el comando isi antivirus servers modify .El siguiente comando permite desconectarse temporalmente de un servidor ICAP con la URL icap://10.7.180.108:

isi antivirus servers modify icap://10.7.180.108 --enabled yes

Para crear un servidor ICAP:Puede volver a conectarse a un servidor ICAP del cual se desconectó temporalmente.

Ejecute el comando isi antivirus servers modify .Con el siguiente comando, se puede establecer nuevamente una conexión a un servidor ICAP con la URL icap://10.7.180.108:

isi antivirus servers modify icap://10.7.180.108 --enabled no

Eliminar un servidor ICAPPuede desconectarse permanentemente de un servidor ICAP.

1. Ejecute el comando isi antivirus servers delete.El siguiente comando elimina un servidor ICAP con el ID icap://10.7.180.108:

isi antivirus servers delete icap://10.7.180.108

2. Ingrese yes y presione INTRO.

Crear una política antivirusPuede crear una política antivirus que activa el escaneo de archivos específicos en busca de virus cada vez que se ejecuta.

Ejecute el comando isi antivirus policies create.

398 Antivirus

El siguiente comando crea una política antivirus que escanea /ifs/data cada viernes a las 12:00 h:

isi antivirus policies create WeekendVirusScan --paths /ifs/data \--schedule "Every Friday at 12:00 PM"

Administración de las políticas antivirusPuede modificar y eliminar las políticas de antivirus. También puede deshabilitar temporalmente las políticas antivirus si desea conservar la política, pero no quiere escanear archivos.

Modificar una política antivirusPuede modificar una política antivirus.

Ejecute el comando isi antivirus policies modify.El siguiente comando modifica una política denominada WeekendVirusScan que se ejecutará el sábado a las 12:00 h:

isi antivirus policies modify WeekendVirusScan \--schedule "Every Friday at 12:00 PM"

Eliminar una política antivirusPuede eliminar una política antivirus.

Ejecute el comando isi antivirus policies delete.El siguiente comando elimina una política que denominada WeekendVirusScan:

isi antivirus policies delete WeekendVirusScan

Activar o desactivar frames jumbo:Puede deshabilitar temporalmente las políticas antivirus si desea conservar la política, pero no desea escanear archivos.

Ejecute el comando isi antivirus policies modify.El siguiente comando habilita una política que se denomina WeekendVirusScan:

isi antivirus policies modify WeekendVirusScan --enabled yes

El siguiente comando deshabilita una política que se denomina WeekendVirusScan:

isi antivirus policies modify WeekendVirusScan --enabled no

Ver políticas antivirusPuede ver políticas antivirus.


isi antivirus policies list

Administración de los escaneos antivirusPuede escanear varios archivos en busca de virus ejecutando manualmente una política de antivirus, o bien, escanear un archivo individual sin una política de antivirus. También puede detener los escaneos antivirus.

Antivirus 399

Escaneo de un archivoPuede escanear manualmente un archivo individual en busca de virus.

Ejecute el comando isi antivirus scan.El siguiente comando analiza el archivo /ifs/data/virus_file en busca de virus:

isi antivirus scan /ifs/data/virus_file

Ejecutar manualmente una política antivirusPuede ejecutar manualmente una política de antivirus en cualquier momento.

Este procedimiento únicamente está disponible a través de la interfaz de administración web.

1. Haga clic en Data Protection > Antivirus > Policies.

2. En la tabla Antivirus Policies, en la fila de una política, haga clic en More > Run Policy.

Detener un escaneo antivirus en ejecuciónPuede detener un escaneo de antivirus en ejecución. Este procedimiento únicamente está disponible a través de la interfaz de administración web.

1. Haga clic en Cluster Management > Job Operations > Job Summary.

2. En la tabla Active Jobs, en la fila con el texto AVScan, haga clic en More > Cancel Running Job.

Administración de las amenazas antivirusPuede reparar, poner en cuarentena o truncar archivos en los que se hayan detectado amenazas. Si cree que un archivo en cuarentena ya no supone una amenaza, puede volver a escanear el archivo o sacarlo de cuarentena.

Archivo de intercambio de 4 GBPuede poner un archivo en cuarentena para impedir que los usuarios accedan a él.

Ejecute el comando isi antivirus quarantine.El siguiente comando pone en cuarentena el archivo /ifs/data/badFile.txt:

isi antivirus quarantine /ifs/data/badFile.txt

Procesar archivoPuede reexaminar un archivo en busca de virus si, por ejemplo, cree que un archivo ya no es una amenaza.

Ejecute el comando isi antivirus scan.Por ejemplo, el siguiente comando escanea /ifs/data/virus_file:

isi antivirus scan /ifs/data/virus_file

Eliminar un archivo de la cuarentenaPuede eliminar un archivo de la cuarentena si, por ejemplo, cree que ya no constituye una amenaza.

Ejecute el comando isi antivirus release.El siguiente comando elimina /ifs/data/badFile.txt de la cuarentena:

isi antivirus release /ifs/data/newFile

400 Antivirus

Truncado manual de un archivoSi se detecta una amenaza en un archivo, y ese archivo es irreparable y ya no se necesita, puede truncarlo manualmente.

Ejecute el comando truncate en un archivo.El siguiente comando trunca el archivo /ifs/data/virus_file:

truncate -s 0 /ifs/data/virus_file

Consulte .Puede ver los archivos que un servidor ICAP identificó como amenazas.


isi antivirus reports threats list

Información de amenazas antivirusPuede ver la información sobre amenazas antivirus que proporciona un servidor ICAP.

La siguiente información se muestra en el resultado del comando isi antivirus reports threats list:

Analizar El ID del informe de antivirus.

ID: El ID de la política de antivirus que detectó la amenaza. Si la amenaza se detectó como resultado de un escaneo antivirus manual de un archivo individual, se muestra el estado MANUAL.

Medidas correctivas

Cómo respondió OneFS al archivo cuando se detectó la amenaza. Si OneFS no puso el archivo en cuarentena ni lo truncó, se muestra el estado Infected.

Amenaza El nombre de la amenaza detectada tal como lo reconoce el servidor ICAP.

Hora La hora a la cual se detectó la amenaza.

Administración de los informes de antivirusPuede ver los informes de antivirus a través de la interfaz de administración web. También puede ver eventos que están relacionados con la actividad antivirus.

Ver todos los informesPuede ver informes de antivirus.


isi antivirus reports scans list

Ver ahora »Puede ver eventos relacionados con la actividad antivirus.


isi event events list

Todos los eventos relacionados con los escaneos antivirus se clasifican como advertencias. Los siguientes eventos se relacionan con actividades antivirus:

AVScan Infected File Found

Un escaneo antivirus detectó una amenaza. Estos eventos se refieren a informes específicos en la página Antivirus Reports, pero no proporcionan detalles sobre la amenaza.

Antivirus 401

No ICAP Servers available

OneFS no puede comunicarse con ningún servidor ICAP.

Servidor ICAP configurado erróneamente, inaccesible o sin respuesta

OneFS no puede comunicarse con un servidor ICAP.

402 Antivirus

Integración con VMwareEsta sección contiene los siguientes temas:

Temas:

• Descripción general de la integración con VMware• VAAI• VASA• Configuración de soporte para VASA• Deshabilitar o volver a habilitar VASA• Solución de problemas de visibilidad del almacenamiento VASA

Descripción general de la integración con VMwareOneFS se integra con las infraestructuras de VMware, como vSphere, vCenter y ESXi. La integración con VMware le permite ver información sobre clústeres Isilon e interactuar con estos mediante las aplicaciones de VMware.

OneFS interactúa con las infraestructuras de VMware mediante VMware vSphere API for Storage Awareness (VASA) y VMware vSphere API for Array Integration (VAAI). Para obtener más información sobre VAAI consulte Isilon VAAI NAS Plug-in for Isilon Release Notes.

OneFS se integra con VMware vCenter Site Recovery Manager (SRM) a través de Isilon Storage Replication Adapter (SRA). VMware SRM facilita la migración y recuperación de desastres de máquinas virtuales almacenadas en clústeres de Isilon. Isilon SRA permite que VMware vCenter SRM administre automáticamente la configuración, las pruebas y los componentes de la conmutación por error de los procesos de recuperación de desastres para los clústeres Isilon. Para obtener información acerca de Isilon SRA para VMware SRM, consulte Isilon SRA for VMware SRM Release Notes.

VAAIOneFS usa VMware vSphere API for Array Integration (VAAI) para admitir la descarga de operaciones de administración y de almacenamiento de máquina virtual específicas desde hipervisores VMware ESXi a un clúster Isilon.

Con el soporte VAAI, podrá acelerar el proceso de creación de máquinas y discos virtuales. Para que OneFS interactúe con su ambiente vSphere a través de VAAI, su ambiente VMware debe incluir ESXi 5.0 o hipervisores posteriores.

Si habilita funcionalidades VAAI para un clúster Isilon, cuando clona una máquina virtual que reside en el clúster mediante VMware, OneFS clona los archivos relacionados con esa máquina virtual.

Para permitir que OneFS use VMware vSphere API for Array Integration (VAAI), debe instalar el plug-in VAAI NAS para Isilon en el servidor ESXi. Para obtener más información sobre el plug-in VAAI NAS para Isilon, consulte VAAI NAS plug-in for Isilon Release Notes.

VASAOneFS se comunica con VMware vSphere mediante VMware vSphere API for Storage Awareness (VASA).

El soporte de VASA le permite ver información acerca de los clústeres Isilon mediante vSphere, incluidas las alarmas específicas de Isilon en vCenter. También le permite integrarse con el almacenamiento dirigido por perfiles de VMware, ya que proporciona funcionalidades de almacenamiento para los clústeres Isilon en vCenter. Para que OneFS se comunique con vSphere a través de VASA, su ambiente de VMware debe incluir hipervisores ESXi 5.0 o versiones posteriores.


Configuración de soporte para VASA

29

Integración con VMware 403

https://support.emc.com/docu71154_VAAI_NAS_Plug-In_for_Isilon_1.2.2_Release_Notes.pdf

https://support.emc.com/docu50128

Alarmas de Isilon VASASi el servicio VASA está habilitado en un clúster Isilon y este se agrega como un proveedor de VMware vSphere API for Storage Awareness (VASA) en vCenter, OneFS genera alarmas en vSphere.

La siguiente tabla describe la alarma que genera OneFS:

Nombre de la alarma Descripción

Thin-provisioned LUN capacity exceeded No hay espacio disponible suficiente en el clúster para asignar espacio para escribir datos en LUN con aprovisionamiento delgado. Si este estado continúa, no podrá escribir en la máquina virtual en este clúster. Para solucionar este problema, debe liberar espacio de almacenamiento en el clúster.

Funcionalidades del almacenamiento de VASAOneFS se integra a VMware vCenter mediante VMware vSphere API for Storage Awareness (VASA) para mostrar las funcionalidades de almacenamiento de los clústeres Isilon en vCenter.

Las siguientes funcionalidades de almacenamiento se muestran mediante vCenter:

Archivo El clúster Isilon se compone de nodos de la serie NL de Isilon. El clúster está configurado para tener una capacidad máxima.

Rendimiento El clúster Isilon se compone de nodos de las series I, X o S de Isilon. El clúster está configurado para tener un máximo rendimiento.

NOTA: Si un tipo de nodo admite discos SSD, pero no hay ninguno instalado, el clúster se reconoce

como un clúster de capacidad.

Capacidad El clúster Isilon se compone de nodos de la serie X de Isilon que no contienen discos SSD. El clúster está configurado para que haya equilibrio entre el rendimiento y la capacidad.

Hybrid El clúster Isilon se compone de nodos asociados con dos o más funcionalidades de almacenamiento. Por ejemplo, si el clúster incluía tanto nodos de la serie S como de la serie NL, la funcionalidad de almacenamiento del clúster aparece como Hybrid.

Configuración de soporte para VASAPara habilitar el soporte de VMware vSphere API for Storage Awareness (VASA) para un clúster, es necesario habilitar el demonio VASA en el clúster y agregar el certificado de proveedor de Isilon en vCenter.

NOTA: Si está ejecutando vCenter 6.0, debe crear un certificado autofirmado como se describe en la sección Crear un certificado autofirmado antes de agregar el certificado de proveedor de Isilon y de registrar el proveedor de VASA a

través de vCenter.


VASA

Activar VASAPara habilitar un clúster Isilon y comunicarse con VMware vSphere API for Storage Awareness (VASA), habilite el demonio VASA.


2. Ejecute el siguiente comando para habilitar VASA:

isi services isi_vasa_d enable

404 Integración con VMware

Descargar el certificado del proveedor de IsilonPara agregar un proveedor de VASA del clúster Isilon en VMware vCenter, debe utilizar un certificado del proveedor.

1. En un navegador web compatible, conéctese a un clúster Isilon en https://<IPAddress>, donde <IPAddress> corresponde a la dirección IP del clúster Isilon.

2. Agregue una excepción de seguridad y vea el certificado de seguridad para asegurarse de que esté vigente.

3. Descargue el certificado de seguridad y guárdelo en alguna ubicación de su máquina.

Para obtener más información acerca de la exportación de un certificado de seguridad, consulte la documentación de su navegador.

NOTA: Registre la ubicación donde guardó el certificado. Necesitará esta ruta de archivo cuando agregue el

proveedor en vCenter.

Si está ejecutando vCenter 6.0, siga las instrucciones de la sección Create a self-signed certificate. Si está ejecutando alguna de las versiones anteriores de vCenter, omita la sección siguiente y siga las instrucciones de la sección Add the Isilon vendor provider.

Crear un certificado con autofirmaSi está ejecutando VMware vCenter 6.0, debe crear un nuevo certificado autofirmado antes de agregar y registrar un proveedor de VASA a través de vCenter.

Para crear un certificado autofirmado, abra una conexión Secure Shell (SSH) con un nodo del clúster Isilon que se usará como proveedor de VASA. Como alternativa, después de crear un certificado con autofirma en un nodo, puede copiar el certificado a cualquier otro nodo del clúster y registrar ese nodo como un proveedor de VASA en vCenter.

1. Ejecute el siguiente comando para crear una clave RSA:

openssl genrsa -aes128 -out vp.key 1024

2. Ejecute los siguientes comandos en forma secuencial para quitar la frase de contraseña:

cp vp.key vp.key.withpassphraseopenssl rsa -in vp.key.withpassphrase -out vp.key

3. Cree una solicitud de firma de certificado mediante la ejecución del siguiente comando:

openssl req -new -key vp.key -out vp.csr

4. Genere un certificado autofirmado sin capacidad de firma de CA mediante la ejecución de los siguientes comandos de forma secuencial:

echo "basicConstraints=CA:FALSE" > vp.extopenssl x509 -req -days 365 -in vp.csr -sha256 -signkey vp.key -extfile vp.ext -out vp.crt:

NOTA: Con un período de validez de 365 días, puede cambiar el certificado autofirmado si fuera necesario.

5. Para ver el nuevo certificado con la información de las extensiones para la verificación, ejecute el siguiente comando:

openssl x509 -text -noout -purpose -in vp.crt

6. Cree un respaldo del server.key original mediante el siguiente comando:

cp /usr/local/apache2/conf/ssl.key/server.key /usr/local/apache2/conf/ssl.key/server.key.bkp

7. Reemplace la clave anterior del servidor con la nueva clave de servidor mediante el siguiente comando:

cp vp.key /usr/local/apache2/conf/ssl.key/server.key

Donde vp.key es la nueva clave de servidor.

8. Cree una copia de seguridad del certificado original mediante el siguiente comando:

cp /usr/local/apache2/conf/ssl.crt/server.crt /usr/local/apache2/conf/ssl.crt/server.crt.bkp


Donde server.crt es el certificado original.

9. Reemplace el certificado original en el servidor con el nuevo certificado mediante el siguiente comando:

cp vp.crt /usr/local/apache2/conf/ssl.crt/server.crt

Donde vp.crt es el certificado nuevo.

10. Ejecute los siguientes dos comandos en forma secuencial para detener y reiniciar el servicio de apache httpd en /usr/local/apache2/bin/ después de reemplazar el certificado:

killall httpd/usr/local/apache2/bin/httpd -k start

Agregar el proveedor de IsilonDebe agregar un clúster Isilon como proveedor en VMware vCenter antes de que pueda ver la información sobre las funcionalidades de almacenamiento del clúster a través de vCenter.

Descargue un certificado del proveedor. Cree un certificado autofirmado si está ejecutando la versión 6.0 de vCenter.

1. En vCenter, navegue a la ventana Add Vendor Provider.

2. Complete los siguientes campos en la ventana Add Vendor Provider:

Nombre Escriba un nombre para este proveedor VASA. Especifíquelo como si fuese cualquier cadena. Por ejemplo, escriba Isilon System.

URL Escriba https://<IPAddress>:8081/vasaprovider, donde <IPAddress> corresponde a la dirección IP de un nodo en el clúster de Isilon.

Inicio de sesión Escriba root.

Contraseña Escriba la contraseña del usuario raíz.

Certificate location

Escriba la ruta de archivos del certificado del proveedor correspondiente a este clúster.

3. Seleccione el cuadro Use Vendor Provider Certificate.

4. Haga clic en OK.

Deshabilitar o volver a habilitar VASAPuede deshabilitar o volver a habilitar un clúster Isilon para comunicarse con VMware vSphere mediante VMware vSphere API for Storage Awareness (VASA).

Para deshabilitar el soporte para VASA, debe desactivar el demonio VASA y la interfaz de administración web de Isilon. No podrá administrar el clúster mediante un navegador de Internet mientras la interfaz web esté desactivada. Para volver a habilitar el soporte para VASA, debe habilitar el demonio VASA y la interfaz web.


2. Para deshabilitar o habilitar la interfaz web, ejecute uno de los siguientes comandos:

• isi services apache2 disable• isi services apache2 enable

3. Para deshabilitar o habilitar el demonio VASA, ejecute uno de los siguientes comandos:

• isi services isi_vasa_d disable• isi services isi_vasa_d enable

406 Integración con VMware

Solución de problemas de visibilidad del almacenamiento VASASi no puede ver información sobre los clústeres Isilon mediante vSphere, siga los consejos que se muestran a continuación para solucionar el problema.

• Verifique que el certificado del proveedor se encuentre vigente y no vencido.• Verifique que el clúster Isilon pueda comunicarse con VASA mediante el demonio de VASA. Si el demonio de VASA está deshabilitado,

ejecute el siguiente comando para habilitarlo:

isi services isi_vasa_d enable• Verifique que la fecha y la hora del clúster estén establecidas correctamente.• Verifique que los datos se haya sincronizado correctamente desde vCenter.


isilononefs - dell · establecer opciones de creación del directorio principal de protocolo...

Documents