Veritas NetBackup™ 安全和加密指南

Last Published:
Product(s): NetBackup & Alta Data Protection (8.1)
  1. 不断提高的 NetBackup 安全
    1.  
      关于 NetBackup 安全和加密
    2.  
      NetBackup 安全实现级别
    3.  
      全球级别安全
    4.  
      企业级别安全
    5.  
      数据中心级别安全概述
    6.  
      NetBackup Access Control (NBAC)
    7.  
      全球、企业和数据中心组合级别
    8.  
      NetBackup 安全实现类型
    9.  
      操作系统安全
    10.  
      NetBackup 安全漏洞
    11.  
      标准 NetBackup 安全
    12.  
      Media Server Encryption Option (MSEO) 安全
    13.  
      客户端加密安全
    14.  
      主服务器、介质服务器和图形用户界面上具备 NBAC 的安全
    15.  
      NBAC 完整安全
    16.  
      所有 NetBackup 安全
  2. 安全部署模型
    1.  
      工作组
    2.  
      单数据中心
    3.  
      多数据中心
    4.  
      采用 NetBackup 的工作组
    5.  
      具备标准 NetBackup 的单数据中心
    6.  
      具备 Media Server Encryption Option (MSEO) 的单数据中心
    7.  
      具备客户端加密的单数据中心
    8.  
      在主服务器和介质服务器上使用 NBAC 的单数据中心
    9.  
      具备 NBAC 完整功能的单数据中心
    10.  
      实现了所有安全的单数据中心
    11.  
      具备标准 NetBackup 的多数据中心
    12.  
      具备 Media Server Encryption Option (MSEO) 的多数据中心
    13.  
      具备客户端加密的多数据中心
    14.  
      在主服务器和介质服务器上使用 NBAC 的多数据中心
    15.  
      具备 NBAC 完整功能的多数据中心
    16.  
      具备所有 NetBackup 安全功能的多数据中心
  3. 端口安全
    1.  
      关于 NetBackup TCP/IP 端口
    2. 关于 NetBackup 后台驻留程序、端口和通信
      1.  
        标准 NetBackup 端口
      2.  
        NetBackup 主服务器传出端口
      3.  
        NetBackup 介质服务器传出端口
      4.  
        NetBackup 企业介质管理 (EMM) 服务器传出端口
      5.  
        客户端传出端口
      6.  
        Java 服务器传出端口
      7.  
        Java 控制台传出端口
      8.  
        关于 MSDP 端口用法
      9.  
        关于云端口用法
      10. 与 NetBackup 互操作的产品的其他端口信息
        1.  
          关于 OpsCenter 中的通信端口和防火墙注意事项
        2.  
          与备份产品通信所需的端口
        3.  
          用于启动 OpsCenter 用户界面的 Web 浏览器
        4.  
          关于 OpsCenter 用户界面与 OpsCenter 服务器软件的通信
        5.  
          关于 OpsCenter 服务器与 NetBackup 主服务器 (NBSL) 的通信
        6.  
          关于 SNMP 陷阱
        7.  
          关于 OpsCenter 和 Sybase 数据库之间的通信
        8.  
          关于 OpsCenter 中的电子邮件通信
    3. 关于配置端口
      1.  
        启用或禁用随机端口分配
      2.  
        编辑配置文件中的端口信息
      3.  
        更新客户端连接选项
      4.  
        在 vm.conf 文件中更新介质管理器的端口设置
    4.  
      NDMP 备份的端口要求
    5.  
      将 NetBackup 与第三方机械手产品一起使用时遇到的已知防火墙问题
  4. 审核 NetBackup 操作
    1.  
      关于 NetBackup 审核
    2.  
      查看当前审核设置
    3.  
      在 NetBackup 主服务器上配置审核
    4.  
      审核报告中的用户身份
    5.  
      关于增强的审核
    6.  
      启用增强的审核
    7. 配置增强的审核
      1.  
        使用增强的审核连接到介质服务器
      2.  
        更改跨 NetBackup 域的服务器
      3.  
        使用带 NBAC 或增强审核的更改服务器时的配置要求
    8.  
      禁用增强的审核
    9.  
      审核主机属性更改
    10.  
      保留和备份审核跟踪记录
    11.  
      查看审核报告
    12.  
      使用命令行 -reason 或 -r 选项
    13.  
      nbaudit 日志行为
    14.  
      审核失败的审核警报通知
  5. 访问控制安全
    1.  
      关于 NetBackup 中的访问控制
    2.  
      用户管理
    3.  
      用户身份验证
    4.  
      增强审核的访问控制对 Java 界面授权的影响
  6. NetBackup Access Control (NBAC) 安全
    1.  
      关于使用 NetBackup Access Control (NBAC)
    2.  
      对 NetBackup 访问管理的管理
    3.  
      关于 NetBackup Access Control (NBAC) 配置
    4. 配置 NetBackup Access Control (NBAC)
      1.  
        NBAC 配置概述
      2.  
        在独立主服务器上配置 NetBackup Access Control (NBAC)
      3.  
        安装在群集中具有高可用性的 NetBackup 主服务器
      4.  
        在群集主服务器上配置 NetBackup Access Control (NBAC)
      5.  
        在介质服务器上配置 NetBackup Access Control (NBAC)
      6.  
        在客户端上安装和配置访问控制
      7.  
        关于在 NetBackup 目录库热备份中包括身份验证和授权数据库
      8.  
        NBAC 配置命令汇总
      9.  
        使用 setuptrust 命令统一 NetBackup 管理基础架构
      10.  
        使用 setuptrust 命令
    5. 配置主服务器和介质服务器的“访问控制”主机属性
      1.  
        “身份验证域”选项卡
      2.  
        “授权服务”选项卡
      3.  
        “网络属性”选项卡
    6. 客户端的访问控制主机属性对话框
      1.  
        客户端的“身份验证域”选项卡
      2.  
        客户端的“网络属性”选项卡
    7. 故障排除访问管理
      1.  
        对 NBAC 问题进行故障排除
      2.  
        NetBackup Authentication and Authorization 的配置和故障排除主题
      3. Windows 验证点
        1.  
          Windows 的主服务器验证点
        2.  
          Windows 的介质服务器验证点
        3.  
          Windows 的客户端验证点
      4. UNIX 验证点
        1.  
          UNIX 主服务器验证
        2.  
          UNIX 介质服务器验证
        3.  
          UNIX 客户端验证
      5. 在包含 UNIX 主服务器的混合环境中的验证点
        1.  
          混合 UNIX 主服务器的主服务器验证点
        2.  
          混合 UNIX 主服务器的介质服务器验证点
        3.  
          混合 UNIX 主服务器的客户端验证点
      6. 在包含 Windows 主服务器的混合环境中的验证点
        1.  
          混合 Windows 主服务器的主服务器验证点
        2.  
          混合 Windows 主服务器的介质服务器验证点
        3.  
          混合 Windows 主服务器的客户端验证点
      7.  
        关于 nbac_cron 实用程序
      8.  
        使用 nbac_cron 实用程序
    8.  
      使用访问管理实用程序
    9. 关于确定谁可以访问 NetBackup
      1.  
        单个用户
      2.  
        用户组
      3.  
        NetBackup 默认用户组
      4. 配置用户组
        1.  
          创建新用户组
        2.  
          通过复制现有用户组创建新用户组
        3.  
          重命名用户组
        4.  
          向用户组添加新用户
      5. 关于定义用户组和用户
        1.  
          以新用户身份登录
        2.  
          将用户分配给用户组
        3.  
          关于授权对象和权限
    10. 查看 NetBackup 用户组的特定用户权限
      1.  
        授予权限
      2.  
        授权对象
      3.  
        介质授权对象权限
      4.  
        策略授权对象权限
      5.  
        驱动器授权对象权限
      6.  
        报告授权对象权限
      7.  
        NBU_Catalog 授权对象权限
      8.  
        机械手授权对象权限
      9.  
        存储单元授权对象权限
      10.  
        磁盘池授权对象权限
      11.  
        备份和还原授权对象权限
      12.  
        作业授权对象权限
      13.  
        服务授权对象权限
      14.  
        主机属性授权对象权限
      15.  
        许可证授权对象权限
      16.  
        卷组授权对象权限
      17.  
        卷池授权对象权限
      18.  
        设备主机授权对象权限
      19.  
        安全授权对象权限
      20.  
        胖服务器授权对象权限
      21.  
        胖客户端授权对象权限
      22.  
        保管库授权对象权限
      23.  
        服务器组授权对象权限
      24.  
        密钥管理系统 (kms) 组授权对象权限
    11.  
      升级 NetBackup Access Control (NBAC)
    12.  
      当较早版本的 NetBackup 使用安装在远程计算机上的根代理时升级 NetBackup
  7. NetBackup 中的安全管理
    1.  
      NetBackup 中的安全证书概述
    2.  
      关于 NetBackup 中的安全通信
    3. 关于安全管理实用程序
      1.  
        关于登录活动
    4. 关于审核事件
      1.  
        查看审核事件
      2.  
        “审核事件”选项卡
      3.  
        查看审核事件详细信息
      4.  
        “审核事件详细信息”对话框
      5.  
        查看审核事件状态
      6.  
        与“访问历史记录”选项卡相关的审核问题故障排除
    5. 关于主机管理
      1.  
        “主机”选项卡
      2.  
        添加主机 ID-主机名映射
      3.  
        “添加或删除主机映射”对话框
      4.  
        删除主机 ID-主机名映射
      5.  
        “待批准映射”选项卡
      6.  
        查看自动发现的映射
      7.  
        “映射详细信息”对话框
      8.  
        批准主机 ID-主机名映射
      9.  
        拒绝主机 ID-主机名映射
      10. 添加共享或群集映射
        1.  
          关于共享或群集映射场景
      11.  
        “添加共享或群集映射”对话框
      12.  
        重置 NetBackup 主机属性
      13.  
        添加或删除主机的注释
    6. 关于全局安全设置
      1.  
        关于安全通信设置
      2.  
        禁用不安全通信
      3.  
        关于与 8.0 及早期版本主机的不安全通信
      4.  
        关于与多个 NetBackup 域中的 8.0 或更低版本主机进行通信
      5.  
        自动将主机 ID 映射到主机名称和 IP 地址
      6.  
        关于灾难恢复设置
      7.  
        设置密码以加密灾难恢复软件包
      8.  
        灾难恢复软件包
    7. 关于基于主机名的证书
      1.  
        部署基于主机名的证书
    8. 关于基于主机 ID 的证书
      1.  
        nbcertcmd 命令选项的 Web 登录要求
      2. 使用证书管理实用程序发布并部署基于主机 ID 的证书
        1.  
          查看基于主机 ID 的证书的详细信息
      3. 关于证书部署安全级别
        1.  
          配置证书部署安全级别
      4.  
        自动部署基于主机 ID 的证书
      5.  
        部署基于主机 ID 的证书
      6.  
        证书有效期时钟偏差的含义
      7. 建立与主服务器(证书颁发机构)的信任关系
        1.  
          查找和传递证书颁发机构的指纹
      8.  
        强制或重写证书部署
      9.  
        在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
      10.  
        在未连接主服务器的客户端上部署证书
      11.  
        关于基于主机 ID 的证书截止日期和续订
      12.  
        从介质服务器和客户端删除敏感证书和密钥
      13.  
        从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
      14. 关于重新颁发基于主机 ID 的证书
        1.  
          创建重新发布令牌
        2.  
          更改主机密钥对
    9. 关于基于主机 ID 的证书的令牌管理
      1.  
        创建授权令牌
      2.  
        删除授权令牌
      3.  
        查看授权令牌详细信息
      4.  
        关于过期授权令牌和清理
    10. 关于基于主机 ID 的证书吊销列表
      1.  
        在 NetBackup 主机上刷新 CRL
    11. 关于吊销基于主机 ID 的证书
      1.  
        删除主机与主服务器之间的信任关系
      2.  
        吊销基于主机 ID 的证书
      3.  
        确定 NetBackup 主机的证书状态
      4.  
        获取已吊销证书的 NetBackup 主机的列表
    12.  
      删除基于主机 ID 的证书
    13. 在群集 NetBackup 设置中执行安全证书部署
      1. 关于在群集 NetBackup 主机上部署基于主机 ID 的证书
        1.  
          在活动主服务器节点上部署基于主机 ID 的证书
        2.  
          在非活动主服务器节点上部署基于主机 ID 的证书
      2.  
        在群集节点上部署基于主机 ID 的证书
      3.  
        吊销群集 NetBackup 设置的基于主机 ID 的证书
      4.  
        使用重新发布令牌在群集 NetBackup 设置上部署基于主机 ID 的证书
      5.  
        为群集 NetBackup 设置创建重新发布令牌
      6.  
        在群集 NetBackup 设置上续订基于主机 ID 的证书
      7.  
        查看群集 NetBackup 设置的证书详细信息
      8.  
        从群集 NetBackup 设置中删除认证机构证书
      9.  
        灾难恢复安装后在群集主服务器上生成证书
    14.  
      关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
  8. 静态数据加密安全
    1.  
      静态数据加密术语
    2.  
      静态数据加密注意事项
    3.  
      要考虑的加密安全问题
    4.  
      比较加密选项
    5. 关于 NetBackup 客户端加密
      1.  
        加密安全的安装前提条件
      2. 关于运行加密备份
        1.  
          关于为备份选择加密
        2.  
          标准加密备份过程
        3.  
          旧式加密备份过程
      3.  
        NetBackup 标准加密还原过程
      4.  
        NetBackup 旧式加密还原进程
    6. 在客户端上配置标准加密
      1.  
        管理标准加密配置选项
      2.  
        管理 NetBackup Encryption 密钥文件
      3. 关于从服务器配置标准加密
        1.  
          关于在客户端上创建加密密钥文件
        2.  
          创建密钥文件
        3.  
          密钥文件还原的最佳做法
        4.  
          手动保留以保护密钥文件密码
        5.  
          自动备份密钥文件
      4.  
        将加密的备份文件还原到其他客户端
      5.  
        关于直接在客户端上配置标准加密
      6.  
        在策略中设置标准加密属性
      7.  
        从 NetBackup 服务器更改客户端加密设置
    7. 在客户端上配置旧式加密
      1. 关于从客户端配置旧式加密
        1.  
          管理旧式加密密钥文件
      2. 关于从服务器配置旧式加密
        1.  
          关于将旧式加密配置推送到客户端
        2.  
          关于将旧式加密密码推送到客户端
      3.  
        还原其他客户端上创建的旧式加密备份
      4.  
        关于在策略中设置旧式加密属性
      5.  
        从服务器更改客户端旧式加密设置
      6. 适用于 UNIX 客户端的附加旧式密钥文件安全
        1.  
          运行 bpcd -keyfile 命令
        2.  
          在 UNIX 客户端上终止 bpcd
    8.  
      介质服务器加密
  9. 静态数据密钥管理
    1.  
      联邦信息处理标准 (FIPS)
    2.  
      关于已启用 FIPS 的 KMS
    3. 关于密钥管理服务 (KMS)
      1.  
        KMS 注意事项
      2.  
        KMS 操作原理
      3.  
        关于写入加密磁带
      4.  
        关于读取加密磁带
      5.  
        KMS 术语
    4. 安装 KMS
      1.  
        将 KMS 与 NBAC 一起使用
      2.  
        关于将 KMS 与 HA 群集一起安装
      3.  
        允许在群集上使用 KMS 服务
      4.  
        启用对 KMS 服务的监视
      5.  
        禁用对 KMS 服务的监视
      6.  
        从监视列表中删除 KMS 服务
    5. 配置 KMS
      1.  
        创建密钥数据库
      2. 关于密钥组和密钥记录
        1.  
          关于创建密钥组
        2.  
          关于创建密钥记录
      3. 密钥记录状态概述
        1.  
          密钥记录状态注意事项
        2.  
          活动前密钥记录状态
        3.  
          活动密钥记录状态
        4.  
          不活动密钥记录状态
        5.  
          已过时密钥记录状态
        6.  
          已终止密钥记录状态
      4.  
        关于备份 KMS 数据库文件
      5.  
        关于通过还原所有数据文件来恢复 KMS
      6.  
        通过仅还原 KMS 数据文件来恢复 KMS
      7.  
        通过重新生成数据加密密钥来恢复 KMS
      8.  
        备份 KMS 数据文件时的问题
      9.  
        备份 KMS 数据文件的解决方案
      10.  
        创建密钥记录
      11.  
        列出密钥组中的密钥
      12. 配置 NetBackup 以与 KMS 一起使用
        1.  
          NetBackup 和 KMS 中的密钥记录
        2.  
          将 NetBackup 设置为使用磁带加密的示例
    6. 关于使用 KMS 进行加密
      1.  
        关于导入 KMS 加密的映像
      2.  
        运行已加密磁带备份的示例
      3.  
        验证加密备份的示例
    7. KMS 数据库组成部分
      1.  
        创建空 KMS 数据库
      2.  
        KPK ID 和 HMK ID 的重要性
      3.  
        关于定期更新 HMK 和 KPK
      4.  
        备份 KMS 密钥存储和管理员密钥
    8. 命令行界面 (CLI) 命令
      1.  
        CLI 使用帮助
      2.  
        创建新密钥组
      3.  
        创建新密钥
      4.  
        修改密钥组属性
      5.  
        修改密钥属性
      6.  
        获取密钥组详细信息
      7.  
        获取密钥详细信息
      8.  
        删除密钥组
      9.  
        删除密钥
      10.  
        恢复密钥
      11. 关于从 KMS 数据库中导出和导入密钥
        1. 导出密钥
          1.  
            对导出过程中的常见错误进行故障排除
        2. 导入密钥
          1.  
            对导入过程中的常见错误进行故障排除
      12.  
        修改主机主密钥 (HMK)
      13.  
        获取主机主密钥 (HMK) ID
      14.  
        获取密钥保护密钥 (KPK) ID
      15.  
        修改密钥保护密钥 (KPK)
      16.  
        获取密钥存储统计数据
      17.  
        静默 KMS 数据库
      18.  
        取消静默 KMS 数据库
      19.  
        密钥创建选项
    9. KMS 故障排除
      1.  
        备份不进行加密的解决方案
      2.  
        还原不进行解密的解决方案
      3.  
        故障排除示例 - 无活动密钥记录的情况下进行的备份
      4.  
        故障排除示例 - 使用不正确的密钥记录状态进行的还原
  10. 重新生成 密钥和证书
    1.  
      关于重新生成密钥和证书
    2.  
      重新生成 NetBackup Authentication Broker 密钥和证书
    3.  
      重新生成主机标识密钥和证书
    4.  
      重新生成 Web 服务密钥和证书
    5.  
      重新生成 nbcertservice 密钥和证书
    6.  
      重新生成 Tomcat 密钥和证书
    7.  
      重新生成 JWT 密钥
    8.  
      重新生成 NetBackup 网关证书
    9.  
      重新生成 Web 信任存储区证书
    10.  
      重新生成 VMware vCenter 插件证书
    11.  
      重新生成 OpsCenter 管理器控制台会话证书
    12.  
      重新生成 OpsCenter 密钥和证书
    13.  
      重新生成 NetBackup 加密密钥文件pacteracontextmathced
  11. NetBackup Web 服务帐户
    1.  
      关于 NetBackup Web 服务帐户
    2.  
      更改 Web 服务用户帐户

具备所有 NetBackup 安全功能的多数据中心

具备所有 NetBackup 安全的多数据中心是一个中到大型主机组(超过 50 台主机)。这些主机可以跨越两个或更多地理区域,并且可以通过广域网 (WAN) 进行连接。在此示例中,一个数据中心位于伦敦,另一个数据中心位于东京。两个数据中心通过专用 WAN 连接进行连接。

此示例将前面的所有示例都组合在一起。它代表一个非常复杂的环境,在该环境中可以存在对各种客户端的不同要求。某些客户端可能要求使用脱离主机加密(如,供电不足的主机,或数据库备份)。而另一些客户端可能会由于主机上数据的敏感性,要求使用在机加密。将 NBAC 添加到安全混合体中,可以在 NetBackup 内将管理员、操作员和用户分离开来。

具备所有 NetBackup 安全的多数据中心包括以下要点:

  • NetBackup 通过 WAN 跨越两个或更多地理区域

  • 请参见前面有关多数据中心的各节,了解各个选件的要点

  • 最灵活但最复杂的环境

  • 按照类似模型认真设计便可利用每个选件的优点

图:具备所有 NetBackup 安全功能的多数据中心 显示了具备所有 NetBackup 安全功能的多数据中心示例。

图:具备所有 NetBackup 安全功能的多数据中心

具备所有 NetBackup 安全功能的多数据中心

下表介绍实现了所有 NetBackup 安全的多数据中心所使用的 NetBackup 部件。

表:实现了所有 NetBackup 安全的多数据中心所使用的 NetBackup 部件

部件

描述

伦敦数据中心

包含根代理、身份验证代理 1、GUI 1。它还包含授权引擎、主服务器、介质服务器 1、MSEO 1、客户端 1 至 6、运输以及场外保管库。伦敦数据中心还包含客户端 1、2、3、6 和 7 的加密数据磁带,以及客户端 4 和 5 的未加密数据磁带。伦敦数据中心通过专用 WAN 连接连接到东京数据中心。

东京数据中心

包含身份验证代理 2、GUI 2、介质服务器 2、MSEO 2、客户端 7 至 12、运输和场外保管库。东京数据中心还包含客户端 7、8、9 和 12 的加密数据磁带,以及客户端 10 和 11 的未加密数据磁带。东京数据中心通过专用 WAN 连接连接到伦敦数据中心。

广域网 (WAN)

指定专用 WAN 链路将伦敦数据中心和东京数据中心连接起来。WAN 提供了根代理与身份验证代理 1 和身份验证代理 2 之间的连接。此外,WAN 还提供根代理与身份验证代理 1 和 GUI 2,连同介质服务器 2 之间的连接。WAN 还会将授权引擎连接到介质服务器 2。WAN 会将主服务器连接到 GUI 2、介质服务器 2 以及客户端 7 至 12。最终,WAN 会将介质服务器 1 连接到客户端 7。

主服务器

指定位于伦敦数据中心的主服务器与根代理、身份验证代理 1、GUI 1、授权引擎、介质服务器 1 以及客户端 1 至 6 进行通信。主服务器还与东京的 GUI 2、介质服务器 2 以及客户端 7 至 12 进行通信。

介质服务器

指定在此多数据中心示例中可以有两个介质服务器。介质服务器 1 位于伦敦数据中心,介质服务器 2 位于东京数据中心。在伦敦,介质服务器 1 与主服务器、根代理和身份验证代理 1 进行通信。它还与授权引擎、MSEO 1 以及客户端 1 至 6 和 7 进行通信。介质服务器 1 针对客户端 4 和 5 将未加密数据写入磁带,并针对客户端 1 至 6 将加密数据写入磁带。

在东京,介质服务器 2 通过 WAN 与伦敦的主服务器、根代理、身份额验证代理 1 以及授权引擎进行通信。介质服务器 2 还与东京的 MSEO 2、GUI 2 以及客户端 7 至 12 进行通信。介质服务器 2 针对客户端 10 和 11 将未加密数据写入磁带,并针对客户端 7、8、9 和 12 将加密数据写入磁带。

GUI

指定在此多数据中心示例中可以有两个 GUI。GUI 1 在伦敦,GUI 2 在东京。这些远程管理控制台 GUI 从身份验证代理接收凭据。然后,GUI 使用凭据来访问介质服务器和主服务器上的功能。在伦敦,GUI 1 从身份验证代理 1 接收凭据。GUI 1 有权访问主服务器以及介质服务器 1 和 2 上的功能。在东京,GUI 2 从身份验证代理 2 接收凭据。GUI 2 有权访问主服务器以及介质服务器 1 和 2 上的功能。

根代理

指定在一个多数据中心安装中需要一个根代理。有时根代理会与身份验证代理合二为一。在此示例中,根代理和身份验证代理显示为同一个组件且都位于伦敦数据中心。在伦敦,根代理对同样在伦敦的身份验证代理 1 和在东京的身份验证代理 2 进行身份验证。根代理不会对客户端进行身份验证。

身份验证代理

指定在一个数据中心安装中可以有多个身份验证代理。有时,可以将身份验证代理与根代理组合在一起。在此数据中心安装中,使用两个身份验证代理。身份验证代理通过确认主服务器、介质服务器、GUI 和客户端各自的凭据对其进行身份验证。身份验证代理还会使用命令提示符对用户进行身份验证。在伦敦,身份验证代理 1 会使用主服务器、介质服务器 1、GUI 1 以及客户端 1 至 6 来执行凭据身份验证。东京和伦敦的所有 NetBackup 服务器和客户端都会针对伦敦的身份验证代理 1 进行身份验证。GUI 1 会对伦敦的身份验证代理 1 进行身份验证。GUI 2 会对东京的身份验证代理 2 进行身份验证。

授权引擎

指定在一个多数据中心安装中只需要一个授权引擎。授权引擎与主服务器和介质服务器进行通信,以确定经过身份验证的用户的权限。这些权限决定了功能是否对用户可用。授权引擎还存储用户组和权限。授权引擎驻留在伦敦并与主服务器和介质服务器 1 进行通信。授权引擎还通过 WAN 进行通信,以授予对东京的介质服务器 2 进行访问的权限。

注意:

授权引擎作为后台驻留程序进程驻留在主服务器上。在此图中,它显示为一个单独的图像(仅用于示例)。

磁带

指定在伦敦数据中心和东京数据中心生成未加密和加密的数据磁带。在伦敦,未加密磁带针对客户端 4 和 5 进行写入并在伦敦数据中心进行场内存储。加密磁带针对客户端 1、2、3、6 和 7 进行写入,并在场外传输到伦敦的保管库,从而实现灾难恢复。在东京,未加密磁带针对客户端 10 和 11 进行写入并在东京数据中心进行场内存储。加密磁带针对客户端 7、8、9 和 12 进行写入,并在场外传输到东京的保管库,从而实现灾难恢复保护。即使客户端 7 位于东京并在东京进行备份,它也还是会在伦敦进行备份以实现更好的安全和备份冗余。

注意:

要解密数据,用于加密数据的密钥必须可用。

运输

指定可以有两类运输。一类运输位于伦敦,另一类运输位于东京。伦敦的运输卡车将客户端 1、2、3、6 和 7 的加密磁带场外运送到安全的伦敦保管库设施。东京的运输卡车将客户端 7、8、9 和 12 的加密磁带场外运送到安全的东京保管库设施。请注意,客户端 7 的备份副本在伦敦和东京两地保管。

注意:

即使在运输期间丢失了磁带,数据中心管理员也已通过使用客户端数据加密技术潜在降低了数据泄露的风险。

场外保管库

指定可以有两个场外保管库。一个保管库位于伦敦,另一个保管库位于东京。两个保管库均在不同于数据中心所在位置场外提供安全的加密磁带存储设施。

注意:

将加密磁带存储在数据中心之外的位置可实现良好的灾难恢复保护。

客户端

指定客户端位于伦敦和东京数据中心。在伦敦,客户端 1 至 3 是 MSEO 加密类型。客户端 4 是标准 NetBackup 类型。客户端 5 是位于 DMZ 中的 Web 服务器类型。客户端 6 也是位于 DMZ 中的客户端加密类型。所有客户端类型都可以由主服务器进行管理,并通过介质服务器 1 将其数据备份到磁带。客户端 5 使用仅限于 NetBackup 的端口通过内部防火墙与 NetBackup 进行通信。此外,客户端 5 使用仅限于 HTTP 的端口通过外部防火墙从 Internet 接收连接。

在东京,客户端 7 至 9 是 MSEO 加密类型。客户端 10 是标准 NetBackup 类型。客户端 11 是位于 DMZ 中的 Web 服务器类型。客户端 12 也是位于 DMZ 中的客户端加密类型。所有客户端类型都可以由主服务器进行管理,并通过介质服务器 2 将其数据备份到磁带。请注意,客户端 7 可由介质服务器 1 和 2 进行管理。客户端 11 使用仅限于 NetBackup 的端口通过内部防火墙与 NetBackup 进行通信。此外,客户端 11 使用仅限于 HTTP 的端口通过外部防火墙从 Internet 接收连接。

内部防火墙

指定在此多数据中心示例中可以有两个内部防火墙。一个内部防火墙位于伦敦,另一个内部防火墙位于东京。在伦敦,内部防火墙允许 NetBackup 访问 DMZ 中的 Web 服务器客户端 5 和加密的客户端 6。在东京,内部防火墙允许 NetBackup 访问 DMZ 中的 Web 服务器客户端 11 和加密的客户端 12。仅为通过内部防火墙进出 DMZ 的数据通信启用了选定的 NetBackup 端口和可能的其他应用程序端口。不允许在外部防火墙中打开的 HTTP 端口通过内部防火墙。

隔离区 (DMZ)

指定在此多数据中心示例中可以有两个 DMZ。一个 DMZ 位于伦敦,另一个 DMZ 位于东京。在伦敦,DMZ 为 Web 服务器客户端 5 和加密的客户端 6 提供“安全”操作区域。这些客户端存在于内部防火墙与外部防火墙之间。DMZ 中的 Web 服务器客户端 5 可以使用指定的 NetBackup 端口通过内部防火墙与 NetBackup 通信。Web 服务器客户端 5 还可以仅使用 HTTP 端口通过外部防火墙与 Internet 通信。

在东京,DMZ 为 Web 服务器客户端 11 和加密的客户端 12 提供“安全”操作区域。这些客户端存在于内部防火墙与外部防火墙之间。DMZ 中的 Web 服务器客户端 11 可以使用指定的 NetBackup 端口通过内部防火墙与 NetBackup 通信。Web 服务器客户端 11 还可以仅使用 HTTP 端口通过外部防火墙与 Internet 通信。

外部防火墙

指定在此多数据中心示例中可以有两个外部防火墙。一个外部防火墙位于伦敦,另一个外部防火墙位于东京。在伦敦,外部防火墙允许外部用户通过 HTTP 端口从 Internet 访问位于 DMZ 中的 Web 服务器客户端 5。NetBackup 端口处于打开状态,以便于 Web 服务器客户端 5 通过内部防火墙与 NetBackup 进行通信。不允许 NetBackup 端口通过外部防火墙访问 Internet。只有 Web 服务器客户端 5 的 HTTP 端口可以通过外部防火墙访问 Internet。

在东京,外部防火墙允许外部用户通过 HTTP 端口从 Internet 访问位于 DMZ 中的 Web 服务器客户端 11。NetBackup 端口处于打开状态,以便于 Web 服务器客户端 11 通过内部防火墙与 NetBackup 进行通信。不允许 NetBackup 端口通过外部防火墙访问 Internet。只有 Web 服务器客户端 11 的 HTTP 端口可以通过外部防火墙访问 Internet。

Internet

指定只能有一个 Internet,但是此多数据中心示例中有两个 Internet 连接。一个 Internet 连接位于伦敦,另一个 Internet 连接位于东京。Internet 是通过铜线、光纤电缆和无线连接链接到一起的互连计算机网络集合。在伦敦,Web 服务器客户端 5 可以通过外部防火墙使用 HTTP 端口在 Internet 上进行通信。在东京,Web 服务器客户端 11 可以通过外部防火墙使用 HTTP 端口在 Internet 上进行通信。