Go to main content

Oracle® ZFS Storage Appliance 管理指南,发行版 OS8.8.x

退出打印视图

更新时间: 2021 年 8 月
 
 

复制目标

复制目标可以为:

  • 源设备上的其他池。

  • 用于脱机复制的单独 NFS 服务器。

创建复制目标时,首先输入目标的名称。此名称用于在源设备的 BUI 和 CLI 中标识目标。

建立安全的连接

复制目标与源设备建立连接,以在源和目标之间实现安全的通信。请提供以下信息来建立连接:

  • 目标设备的全限定域名或 IPv4 地址-建议使用的值为目标的域名。

  • 复制目标的 root 用户密码-授权管理员在复制目标上设置连接。

源和目标交换密钥,用于在随后的通信中安全识别对方。这些密钥将作为设备配置的一部分存储,并且在重新引导和升级后也一直保留。如果设备恢复了出厂设置或进行了重新安装,将丢失这些密钥。

root 用户密码从不会永久保存。在目标或源上更改 root 用户密码不需要对复制配置进行任何更改。密码从不会以明文形式传输。初始身份交换以及所有其他复制操作均受 SSL 保护。

如果您需要确保复制通信通过特定的网络接口,请为目标设置一个静态路由,以指定该接口,如“设置网络接口和静态路由”中所示-BUICLI

验证目标证书

创建复制目标时,将会执行证书验证。证书验证包括以下步骤:

  1. 证书主机名检查

  2. 证书信任检查

如果主机名检查或信任检查失败,则不会创建目标。

主机名检查

hostname 属性的值可以为全限定域名或 IPv4 地址。建议使用的值为目标的全限定域名。

主机名检查验证为目标指定的主机名是否与证书中指定的主机匹配。如果您为 hostname 指定 IP 地址或非限定域名,而证书只有全限定域名,则主机名检查会失败,并且不会创建目标。

如果目标使用的是基于 ASN 的证书,请为 hostname 属性的值指定目标的全限定域名。

默认情况下执行主机名检查。可以通过禁用 "host match"(主机匹配)选项来绕过主机名检查。

为了提高安全性,请将 hostname 属性的值设置为目标的全限定域名,并确保 "host match"(主机匹配)选项处于启用状态。

证书信任检查

证书信任检查验证以下证书之一是否已添加到源的可信证书列表,以及是否可供对等设备使用:

  • 目标设备的证书。

  • 颁发目标设备证书的证书颁发机构的证书。

创建或编辑目标时,以及每当源和目标尝试连接时,都会对证书进行验证。您也可以随时自己检查连接。

  • 创建目标。添加目标时,如果源不信任该证书,则会显示该证书供您查看,然后提示您接受或拒绝该证书。如果您接受该证书,则该证书将添加到源的信任列表中,并且会创建目标。如果您拒绝该证书,则该证书不会添加到源的信任列表中,并且不会创建目标。如果该证书已受信任,则会创建目标,不会提示您接受证书。

    创建目标后,其证书可能会变得不可信。例如,源的管理员可能从可信证书列表中删除证书,或者目标的管理员可能替换证书。

  • 编辑目标。应用更改时,如果源不信任该证书,则会显示该证书供您查看,然后提示您接受或拒绝该证书。如果您接受该证书,则该证书将添加到源的信任列表中。如果您拒绝该证书,则该证书不会添加到源的信任列表中。

  • 连接测试。您可以随时检查证书是否可信。如果源不信任该证书,则会显示该证书供您查看,然后提示您接受或拒绝该证书。请参见“测试连接”-BUICLI

  • 对等设备和复制连接。将会对每个对等设备和复制连接执行证书信任检查。如果证书不可信,则源将拒绝建立连接。

相关主题

其他复制目标注意事项

如果复制源使用 NIS 或 LDAP 并直接在共享资源配置中映射这些服务的用户或组,则复制目标上必须存在对应的设置。否则,复制断开连接和反转操作可能失败。

默认情况下,复制目标连接不是双向的。例如,如果管理员配置了从源 S 到目标 T 的复制,则 T 无法自动将 S 用作目标。不过,系统支持反转复制方向,这将自动在 T 上为 S 创建一个目标(如果尚未存在),以便 T 可以复制回 S。有关更多信息,请参见反转复制方向

相关主题