NetBackup™ for Cloud Object Store 管理指南

要添加云对象存储帐户，请执行以下操作：

1. 在左侧，单击“工作负载”下的“云对象存储”。
2. 在“云对象存储帐户”选项卡中，单击“添加”。在“云对象存储名称”字段中输入帐户名称，然后从“选择云对象存储提供商”列表中选择提供商。
3. 要选择备份主机或横向扩展服务器，请单击“选择要验证的主机”。对于支持云对象存储凭据验证、备份和恢复的 RHEL 介质服务器，其主机应为 NetBackup 10.1 或更高版本。

   • 要选择备份主机，请选择“备份主机”选项，然后从列表中选择主机。

   • 要使用横向扩展服务器，请选择“横向扩展服务器”选项，然后从列表中选择服务器。NetBackup Snapshot Manager 服务器 10.3 或更高版本，用作横向扩展服务器。

     在 NetBackup 10.3 或更高版本中，如果有非常大量的存储桶，还可以将 NetBackup Snapshot Manager 用作备份主机。选择“横向扩展服务器”选项，然后从列表中选择 NetBackup Snapshot Manager。

     注意:

     必须已为现有 NetBackup 主服务器配置此 NetBackup Snapshot Manager 实例。

     注意:

     在 Cloud Scale 环境中，不能将主服务器用作备份主机。有关 Cloud Scale 环境的更多信息，请参见《NetBackup for Kubernetes 管理指南》。

4. 从可用区域列表中选择一个区域。单击“区域”表上方的“添加”以添加新区域。

   添加新区域。区域不可用于某些云对象存储提供商。

   对于支持双区域存储桶的 GCP，请在帐户创建期间选择基本区域。例如，如果双区域存储桶位于 US-CENTRAL1 和 US-WEST1 区域，则在创建帐户期间选择 US 作为区域以列出存储桶。

5. 在“访问设置”页面中：为帐户选择一种访问方法：

   • 访问凭据 - 在此方法中，NetBackup 使用访问密钥 ID 和机密访问密钥来访问和保护云对象存储帐户。如果选择此方法，请根据需要执行后续步骤 6 到 10 创建帐户。

   • IAM 角色 (EC2) - NetBackup 检索与 EC2 实例关联的 IAM 角色名称和凭据。选定的备份主机或横向扩展服务器必须托管在 EC2 实例上。确保与 EC2 实例关联的 IAM 角色具有所需权限，可访问保护云对象存储所需的云资源。使用此选项配置云对象存储帐户时，请确保根据与 EC2 实例关联的权限选择正确的区域。如果选择此选项，请根据需要执行可选步骤 7 和 8，然后执行步骤 9 和 10。

   • 扮演角色 - NetBackup 使用提供的密钥、机密访问密钥和角色 ARN 来检索相同帐户和跨帐户的临时凭据。请根据需要执行步骤 6 到 10 创建帐户。

     请参见在 AWS 中创建跨帐户访问 。

   • 扮演角色 (EC2) - NetBackup 检索与托管在 EC2 实例上的选定备份主机或横向扩展服务器关联的 AWS IAM 角色凭据。此后，NetBackup 将扮演角色 ARN 中提到的角色，以访问云对象存储保护所需的云资源。

   • 凭据代理 - NetBackup 检索凭据，以访问云对象存储保护所需的云资源。

   • 服务主体 - NetBackup 使用与服务主体关联的租户 ID、客户端 ID 和客户端密钥来访问云对象存储保护所需的云资源。由 Azure 支持。

   • 托管标识 - NetBackup 使用与所选备份主机、横向扩展服务器或用户关联的托管标识检索 Azure AD 令牌。NetBackup 使用这些 Azure AD 令牌访问云对象存储保护所需的云资源。可以使用系统或用户分配的托管标识。

6. 可以为帐户添加现有凭据或创建新凭据：

   • 要为帐户选择现有凭据，请选择“选择现有凭据”选项，从表中选择所需的凭据，然后单击“下一步”。

   • 对于 Azure，要使用“托管标识”，请选择“系统分配”或“用户分配”。对于用户分配的方法，请输入与用户关联的“客户端 ID”以访问云资源。

   • 要为帐户添加新凭据，请选择“添加新凭据”。为新凭据输入“凭据名称”、“标记”和“描述”。

     对于通过 AWS S3 兼容的 API 支持的云提供商，请使用“与 AWS S3 兼容”的凭据。指定“访问密钥 ID”和“机密访问密钥”。

     对于 Microsoft Azure 云提供商：

     • 对于“访问密钥”方法，请提供“存储帐户”凭据，指定“存储帐户”。

     • 对于“服务主体”方法，请提供“客户端 ID”、“租户 ID”和“密钥”。

   • 如果使用“扮演角色”作为访问方法，请在“角色 ARN”字段中指定帐户要使用的角色的 Amazon 资源名称 (ARN)。

7. （可选）如果要使用 SSL（安全套接字层）协议进行用户身份验证或在 NetBackup 与云存储提供商之间进行数据传输，请选择“使用 SSL”。

   • 仅身份验证：如果要在用户访问云存储时仅使用 SSL 对其进行身份验证，请选择此选项。

   • 身份验证和数据传输：如果要使用 SSL 对用户进行身份验证并将数据从 NetBackup 传输到云存储，请选择此选项。

   • 检查证书吊销 (此选项不支持 IPv6)：对于所有云提供商，NetBackup 提供了通过 OCSP 协议验证 SSL 证书吊销状态的功能。OCSP 协议向证书颁发者发送验证请求，以获取证书当前的吊销状态。如果启用了 SSL 并且启用了检查证书吊销选项，则会通过 OCSP 请求验证每个非自签名 SSL 证书。如果证书已吊销，则 NetBackup 不会连接到云提供商。

   注意:

   NetBackup 在 SSL 模式下与云存储通信时，仅支持证书颁发机构 (CA) 签发的证书。确保云服务器（公用或专用）具有 CA 签名证书。如果不包含 CA 签名证书，可能无法于 SSL 模式下在 NetBackup 与云提供商之间进行数据传输。如果要使用自签名 SSL 证书，必须在 NetBackup 的云存储 CA 信任存储区中添加证书。请参见管理 NetBackup 云的证书颁发机构 (CA) 。

   注意:

   Amazon GovCloud 云提供商的 FIPS 区域（即 s3-fips-us-gov-west-1.amazonaws.com）仅支持安全模式通信。因此，当您在 FIPS 区域配置 Amazon GovCloud 云存储时，如果禁用“使用 SSL”选项，此配置会失败。

8. （可选）选择“使用代理服务器”选项可使用代理服务器并提供代理服务器设置。选择“使用代理服务器”选项后，可以指定以下详细信息：

   • 代理主机 – 指定代理服务器的 IP 地址或名称。

   • 代理端口 – 指定代理服务器的端口号。

   • 代理类型 – 可以选择下列代理类型之一：

     • HTTP

       注意:

       需要为 HTTP 代理类型提供代理凭据。

     • SOCKS

     • SOCKS4

     • SOCKS5

     • SOCKS4A

   为 HTTP 代理类型选择“使用代理隧道”。

   启用“使用代理隧道”后，HTTP CONNECT 请求将从备份或恢复主机发送到 HTTP 代理服务器。TCP 连接直接转发到云后端存储。数据通过代理服务器时不从连接读取标头或数据。

   如果使用 HTTP 代理类型，请选择下列身份验证类型之一。

   • 无 – 未启用身份验证。不需要用户名和密码。

   • 基本 – 需要用户名和密码。

   • NTLM – 需要用户名和密码。

   用户名 – 代理服务器的用户名。

   密码 – 可以为空。最多可以使用 256 个字符。

9. 单击“下一步”。
10. 在“审查”页面中，查看帐户的整个配置，然后单击“完成”以保存帐户。