規劃透通雲端分層
透通雲端分層的規劃包括購買授權功能,然後在系統上啟動並啟用該功能。
透通雲端分層是一項授權功能,可將磁區資料複製和傳送至雲端儲存體。系統支援對雲端服務供應商建立連線,以便將磁區資料的副本儲存在專用或公用雲端儲存體。
透通雲端分層可讓管理者將較舊的資料移至雲端儲存體,以釋出系統的容量。系統上可以建立資料的復原點 Snapshot,再複製並儲存到雲端儲存體。有外部雲端服務供應商會管理雲端儲存體,可降低系統的儲存體成本。必須先建立從系統到雲端服務供應商的連線,才能將資料複製到雲端儲存體。
雲端帳戶是系統上的一個物件,代表使用一組認證來連接至雲端服務供應商。根據指定的雲端服務供應商類型而定,這些認證都不相同。大部分雲端服務供應商都需要雲端服務供應商的主機名稱及相關密碼,某些雲端服務供應商還需要憑證來鑑別雲端儲存體的使用者。公用雲端使用知名憑證管理中心所簽章的憑證。專用雲端服務提供者可以使用自簽憑證或者由授信憑證管理中心簽署的憑證。這些認證定義於雲端服務供應商,然後由雲端服務供應商的管理者傳給系統。
系統通過鑑別後,就能存取雲端儲存體,以將資料複製到雲端儲存體,或將已複製到雲端儲存體的資料還原到系統。系統支援一個雲端帳戶只能連接一個雲端服務供應商。不支援在供應商之間移轉。
每一個雲端服務供應商會將雲端儲存體分成區段,供每一個使用雲端儲存體的用戶端專用。這些物件只儲存該用戶端特有的資料。物件名稱以您為系統建立帳戶時可以指定的字首開始。字首定義物件儲存的系統特定內容,且支援多個獨立系統將資料儲存至單一雲端帳戶。每一個雲端服務供應商以不同的術語來稱呼這些儲存體物件。
- 確保您與支援的雲端服務供應商已簽訂服務合約。
- 為您的系統取得透通雲端分層的授權。
- 確保系統上已配置 DNS 伺服器。在配置雲端帳戶期間,如果尚未配置 DNS 伺服器,精靈會提示您建立 DNS 伺服器。網域名稱系統 (DNS) 將 IP 位址轉換為主機名稱,以供雲端服務提供商使用。系統需要「網域名稱系統 (DNS)」才能將這些主機名稱轉換為 IP 位址,以建立雲端帳戶或連接至雲端型儲存體。
在建立雲端服務供應商的連線或連接至雲端儲存體之前,請確定您至少指定一個 DNS 伺服器來管理主機名稱。系統上最多可以配置兩部 DNS 伺服器。若要為系統配置 DNS,請輸入每一個伺服器的有效 IP 位址和名稱。系統同時支援 IPv4 與 IPv6 位址格式。
- 決定雲端帳戶的連線是否需要加密。如果您存取公用雲端解決方案,在資料傳送至外部雲端服務供應商期間,加密可避免資料遭受攻擊。若要對傳送到雲端服務提供商的資料進行加密,必須在系統上啟用加密。
雲端帳戶的安全考量
每當系統存取外部網路時,有意或無意曝光機密資料會帶來風險。當您將系統透過公用網路連接至雲端服務供應商時,您可以使用加密來保護傳送到雲端服務供應商的資料。
第一層加密型安全提供系統與雲端服務供應商之間的安全通訊。標準通訊協定「傳輸層安全 (TLS)」會將系統與雲端服務供應商之間傳送的資料加密,以保護這些連線。安全通訊在這些連線中不可或缺,需要在雲端服務供應商與系統之間交換公開憑證。如果要在管理 GUI 中配置安全通訊的憑證,跳至。您也可以使用 chsystemcert 指令來建立系統憑證。 在安全通訊之下,資料傳送至雲端時會加密,但可能解密之後才儲存在雲端。每一個雲端服務供應商有其自己的安全措施來保護放在雲端儲存體的資料,但仍可能遭受攻擊而致資料受損。使用雲端服務供應商的用戶端可以增加額外加密方法,以保護儲存在雲端的資料。
由於系統支援加密靜態資料,您可以選擇性地配置加密金鑰管理,進一步保護儲存在雲端儲存體的資料。如果系統上已配置金鑰管理,資料在離開系統之前會先加密,然後儲存在雲端。系統支援透過 USB 快閃磁碟機或加密金鑰伺服器來管理金鑰。配置加密時會建立主要加密金鑰,並另外儲存在 USB 快閃記憶體隨身碟或金鑰伺服器上。當您建立資料 Snapshot 來傳送至已配置的雲端服務供應商時,每一個磁區和每一個雲端帳戶都有個別的加密金鑰。雲端帳戶使用的加密金鑰會保護磁區的加密金鑰。主要加密金鑰會保護雲端帳戶使用的加密金鑰。因為主要加密金鑰實際上存在於 USB 快閃記憶體隨身碟或金鑰伺服器上,請務必採取安全措施,避免主要加密金鑰遭竊或遺失。當資料在系統和雲端服務供應商之間傳輸時,安全通訊所配置的憑證也能加密資料。主要加密金鑰也能保護傳輸中的資料,且資料儲存在雲端儲存體時仍然加密。在還原作業期間,當資料從雲端移回到系統時,也仍然會以加密主要金鑰來加密資料。最後,資料抵達系統時就能解密,也可能儲存在系統上已加密的磁區。
配置雲端服務供應商的連線時,您必須決定是否對此帳戶加密雲端中的靜態資料。決定之後,就無法變更帳戶的加密設定,除非從雲端還原所有資料、重新配置帳戶,並重建資料的雲端 Snapshot。