Une cible de réplication peut être :
Un pool différent sur l'appareil source.
Un serveur NFS distinct pour une réplication hors ligne.
Lorsque vous créez une cible de réplication, saisissez d'abord son nom. Ce nom permet d'identifier la cible dans la BUI et dans la CLI de l'appareil source.
La cible de réplication et l'appareil source établissent une connexion qui autorise une communication sécurisée entre la source et la cible. Indiquez les informations suivantes pour établir la connexion :
Nom de domaine complet ou adresse IPv4 de l'appareil cible - Il est recommandé d'utiliser le nom de domaine de la cible.
Mot de passe root de la cible de réplication - Autorise l'administrateur à établir la connexion à la cible de réplication.
La source et la cible échangent des clés utilisées pour s'identifier mutuellement de manière sécurisée lors des communications ultérieures. Ces clés sont stockées dans la configuration de l'appareil et subsistent après les réinitialisations et mises à niveau. Elles sont perdues si l'appareil est réinstallé ou réinitialisé à sa configuration d'usine.
Le mot de passe root n'est jamais stocké de manière permanente. Le remplacement du mot de passe sur la cible ou la source ne nécessite donc pas de modifier la configuration de réplication. Le mot de passe n'est jamais transmis en clair. L'échange initial d'identité, ainsi que toutes les autres opérations de réplication, est protégé par la technologie SSL.
Pour garantir que le trafic de réplication passe sur une interface réseau précise, configurez une route statique pour la cible qui comprend cette interface, comme indiqué dans la section Configuration d'interfaces réseau et de routage statique - BUI, CLI.
Lorsque vous créez une cible de réplication, une vérification de certificat est effectuée. Cette dernière est composée des deux étapes suivantes :
Vérification du nom d'hôte figurant sur le certificat
Vérification de la validité du certificat
Si l'une des deux vérifications échoue, la cible n'est pas créée.
Vérification du nom d'hôte
La valeur de la propriété hostname peut être un nom de domaine complet ou une adresse IPv4. Il est recommandé d'utiliser le nom de domaine complet de la cible.
Cette vérification sert à confirmer que le nom d'hôte indiqué pour la cible correspond à l'hôte figurant sur le certificat. Si vous indiquez une adresse IP ou un nom de domaine non qualifié pour le nom d'hôte, et que le certificat ne comporte que des noms de domaine complets, la vérification du nom d'hôte échoue et la cible n'est pas créée.
Si la cible utilise un certificat ASN, indiquez le nom de domaine complet de la cible comme valeur de la propriété hostname.
La vérification du nom d'hôte est exécutée par défaut. Pour l'ignorer, désactivez l'option de correspondance d'hôte.
Pour renforcer la sécurité, définissez la valeur de la propriété hostname sur le nom de domaine complet de la cible et assurez-vous que l'option de correspondance d'hôte est activée.
Vérification de la validité du certificat
La vérification de la validité du certificat sert à confirmer que l'un des certificats suivants figure dans la liste des certificats sécurisés de la source et que son utilisation par des pairs est autorisée :
Le certificat de l'appareil cible.
Le certificat de l'autorité de certification qui a émis celui de l'appareil cible.
La vérification a lieu lors de la création ou de la modification d'une cible, ou à chaque tentative de connexion de la source et de la cible. Vous pouvez également vérifier vous-même la connexion à tout moment.
Créer la cible. Lorsque vous ajoutez la cible, si le certificat n'est pas validé par la source, il vous est présenté aux fins de vérification, et vous êtes invité à l'accepter ou à le refuser. Si vous acceptez le certificat, il est ajouté à la liste de confiance de la source, et la cible est créée. Si vous le refusez, le certificat n'est pas ajouté à la liste de confiance de la source, et la cible n'est pas créée. Si le certificat est déjà sécurisé, la cible est créée, et vous n'êtes pas invité à accepter le certificat.
Une fois la cible créée, son certificat peut perdre son approbation. Par exemple, l'administrateur de la source a pu retirer le certificat de la liste des certificats sécurisés ou l'administrateur de la cible a pu le remplacer.
Modifier la cible. Lorsque vous effectuez des modifications, si le certificat n'est pas validé par la source, il vous est présenté aux fins de vérification, et vous êtes invité à l'accepter ou à le refuser. Si vous acceptez le certificat, il est ajouté à la liste de confiance de la source. Si vous le refusez, le certificat n'est pas ajouté à la liste de confiance de la source.
Test de connexion. Vous pouvez à tout moment vérifier si le certificat est sécurisé. Si le certificat n'est pas validé par la source, il vous est présenté aux fins de vérification, et vous êtes invité à l'accepter ou à le refuser. Reportez-vous à la section Test de la connexion - BUI, CLI.
Connexion de paire et de réplication. La vérification de la validité du certificat est effectuée pour chaque connexion de paire et de réplication. Si le certificat n'est pas approuvé, la source refuse la connexion.
Rubriques connexes
Si une source de réplication utilise le protocole NIS ou LDAP et mappe directement ces utilisateurs ou groupes de service à la configuration du partage, la configuration de la cible de réplication doit être équivalente. Sinon, les opérations de dissociation et d'inversion de réplication pourraient échouer.
Par défaut, la connexion de la cible de réplication n'est pas bidirectionnelle. Par exemple, si un administrateur configure la réplication à partir d'une source S vers une cible C, C ne peut pas automatiquement utiliser S comme cible. Toutefois, l'inversion du sens de la réplication est prise en charge, ce qui crée automatiquement une cible pour S sur C (si elle n'existe pas encore) afin que T puisse à son tour effectuer une réplication vers S. Pour plus d'informations, reportez-vous à la section Inversion du sens de réplication.
Rubriques connexes