5.2. 通过 S3 导出存储¶

5.2.1. S3 存储基础架构概述¶

对象存储基础架构由以下实体组成：对象服务器 (OS)、名称服务器 (NS)、S3 网关 (GW) 和块级后端。

这些实体作为服务在 Acronis Cyber Infrastructure 节点上运行。每个服务都应部署在多个 Acronis Cyber Infrastructure 节点上以实现高可用性。

• 对象服务器存储从 S3 网关接收到的实际对象数据。数据打包到特殊容器中，以实现高性能。容器是冗余的，可以在配置对象存储时指定冗余模式。对象服务器也会将其自己的数据存储在具有内置高可用性的块存储中。

• 名称服务器会存储从 S3 网关接受到的对象元数据。元数据包括对象名称、大小、ACL（访问控制列表）、位置、所有者等。名称服务器 (NS) 也会将其自己的数据存储在具有内置高可用性的块存储中。

• S3 网关是对象存储服务和最终用户之间的数据代理。它接收并处理 Amazon S3 协议请求以及 S3 用户身份验证和 ACL 检查。S3 网关将 NGINX Web 服务器用于外部连接，并且没有自己的数据（即无状态）。

• 块级后端是具有服务和数据的高可用性的块存储。由于所有对象存储服务都在主机上运行，因此对象存储不需要虚拟环境（也不需要许可）。

5.2.2. 计划 S3 簇¶

在创建 S3 簇之前，请执行以下操作：

1. 定义存储簇的哪些节点将运行 S3 存储访问点服务。建议让 Acronis Cyber Infrastructure 中可用的所有节点都运行这些服务。

2. 配置网络，以实现以下目的：

   • S3 簇的所有组件都通过 S3 专用网络相互通信。S3 簇的所有节点都必须连接至 S3 专用网络。Acronis Cyber Infrastructure 内部网络可用于实现此目的。

   • 运行 S3 网关的节点必须有权访问公用网络。

   • S3 网关的公用网络必须由外部 DNS 负载平衡器进行平衡。

   有关网络配置的更多详细信息，请参阅 Installation Guide。

3. S3 簇的所有组件都应在多个节点上运行，以实现高可用性。S3 簇中的名称服务器和对象服务器组件会自动进行平衡并在 S3 节点之间迁移。S3 网关不会自动进行迁移；它们的高可用性基于 DNS 记录。添加或删除 S3 网关时，您需要手动维护 DNS 记录。

5.2.3. S3 存储示例¶

本部分显示的对象存储示例基于由运行各种服务的五个节点组成的存储簇进行部署。最终设置如下图所示。

5.2.4. 创建 S3 簇¶

要在群集节点上设置对象存储服务，请执行以下操作：

1. 在基础架构 > 网络屏幕上，确保将 OSTOR 专用和 S3 公用流量类型添加至网络。

2. 在左侧菜单中，依次单击存储服务 > S3。

3. 选择一个或多个节点，然后在右侧菜单中单击创建 S3 簇。要创建高可用性的 S3 簇，请选择至少三个节点。此外，建议在创建 S3 簇之前为管理节点启用 HA。有关更多详细信息，请参阅 启用高可用性。

4. 确保在下拉列表中选择了正确的网络接口。

   如果需要，请单击齿轮图标，并在网络配置屏幕上配置节点的网络接口。

   

   单击继续。

5. 在卷参数选项卡上，选择所需的层、故障域和数据冗余模式。有关详细信息，请参阅 Understanding Storage Tiers、Understanding Failure Domains 和 Understanding Data Redundancy。

   

   对于复制，可以以后在 S3 > 概述 > 设置面板上更改冗余方案。对于擦除编码，更改冗余方案已遭禁用，因为这可能会降低簇性能。原因是重新编码会长时间占用大量簇资源。如果仍要更改冗余方案，请联系技术支持。

   单击继续。

6. 为将由最终用户用于访问对象存储的 S3 端点指定外部（公共可解析）DNS 名称。例如，s3.example.com。单击继续。

   重要

   根据在管理面板中建议的示例配置 DNS 服务器。

7. 在下拉列表中，选择 S3 端点协议：HTTP、HTTPS 或两者。

   

   建议仅将 HTTPS 用于生产部署。

   如果已选择 HTTPS，请执行以下操作之一：

   • 选中生成自签名证书，以获取用于 HTTPS 评估目的的自签名证书。

     注意以下内容：

     • S3 地理复制需要来自受信任机构的证书。它不使用自签名证书。

     • 要通过浏览器访问 S3 簇中的数据，请将自签名证书添加至浏览器的例外。

   • 获取用于端点底层域的密钥和受信任通配符 SSL 证书。例如，端点 s3.storage.example.com 需要通配符证书用于 *.s3.storage.example.com（替代主题名称 s3.storage.example.com）。

     如果您获得的 SSL 证书来自中间证书颁发机构 (CA)，则应具有最终用户证书以及包含根证书和中间证书的 CA 捆绑包。为了能够使用这些证书，需要先将它们合并到一个链中。证书链包括最终用户证书、中间 CA 的证书以及受信任根 CA 的证书。在这种情况下，仅当链中的每个证书均已正确发行且有效时，SSL 证书才受信任。

     例如，如果您拥有最终用户证书、两个中间 CA 证书和一个根 CA 证书，请创建一个新的证书文件，然后按以下顺序向其中添加所有证书：

     # End-user certificate issued by the intermediate CA 1
     -----BEGIN CERTIFICATE-----
     MIICiDCCAg2gAwIBAgIQNfwmXNmET8k9Jj1X<...>
     -----END CERTIFICATE-----
     # Intermediate CA 1 certificate issued by the intermediate CA 2
     -----BEGIN CERTIFICATE-----
     MIIEIDCCAwigAwIBAgIQNE7VVyDV7exJ9ON9<...>
     -----END CERTIFICATE-----
     # Intermediate CA 2 certificate issued by the root CA
     -----BEGIN CERTIFICATE-----
     MIIC8jCCAdqgAwIBAgICZngwDQYJKoZIhvcN<...>
     -----END CERTIFICATE-----
     # Root CA certificate
     -----BEGIN CERTIFICATE-----
     MIIDODCCAiCgAwIBAgIGIAYFFnACMA0GCSqG<...>
     -----END CERTIFICATE-----
     

     上传准备好的证书，然后（根据其类型）执行以下操作之一：

     • 指定密码（PKCS#12 文件）；

     • 上传 SSL 密钥。

     可以以后在 S3 > 概述 > 协议设置面板上更改冗余模式。单击继续。

8. 如果需要，单击配置 Acronis Notary，然后依次指定 Notary DNS 名称和 Notary 用户密钥。

9. 单击完成，以创建 S3 簇。

在完成创建 S3 簇后，请打开 S3 概述屏幕以查看簇状态、主机名、已用磁盘容量、用户数、I/O 活动和 S3 服务的状态。

要检查 S3 簇是否已成功部署并可供用户访问，请通过浏览器访问 https://<S3_DNS_name> 或 http://<S3_DNS_name>。您应该收到以下 XML 响应：

<Error>
<Code>AccessDenied</Code>
<Message/>
</Error>

要开始使用 S3 存储，还需要创建至少一个 S3 用户。

5.2.5. 管理 S3 用户¶

S3 用户的概念是对象存储以及对象和存储桶（用于存储对象的容器）的基本概念之一。Amazon S3 协议使用基于访问控制列表 (ACL) 的权限模型，其中为每个存储桶和每个对象指派了一个 ACL，该 ACL 列出了有权访问给定资源的所有用户以及此访问的类型（读取、写入、读取 ACL、写入 ACL）。用户列表包括在创建时指派给每个对象和存储桶的实体所有者。相较于其他用户，实体所有者具有额外的权限。例如，存储桶所有者是唯一可以删除该存储桶的人。

在 Acronis Cyber Infrastructure 中实施的用户模型和访问策略遵循 Amazon S3 用户模型和访问策略。

Acronis Cyber Infrastructure 中的用户管理场景主要基于 Amazon Web Services 用户管理，包括以下操作：创建、查询和删除用户以及生成和撤消用户访问密钥对。

5.2.6. 管理 S3 存储桶¶

类似 Amazon S3 存储中的所有对象都存储在称为“存储桶”的容器中。存储桶按给定对象存储中唯一的名称寻址，因此该对象存储的 S3 用户无法创建名称与同一对象存储中其他存储桶相同的存储桶。存储桶可用于：

• 分组对象并将其与其他存储桶中的对象隔离、

• 为其中的对象提供 ACL 管理机制、

• 设置每个存储桶的访问策略，例如存储桶中的版本控制。

在当前版本的 Acronis Cyber Infrastructure 中，可以为对象存储桶启用和禁用 Acronis Notary，然后在存储服务 > S3 > 存储桶屏幕上对它们所使用的空间进行监控。无法从 Acronis Cyber Infrastructure 管理面板创建和管理对象存储桶。但是，可以通过 Acronis Cyber Infrastructure 用户面板或使用第三方应用程序进行操作。例如，以下所列应用程序让您可以执行以下操作：

• CyberDuck：创建和管理存储桶及其内容。

• MountainDuck：将对象存储加载为磁盘驱动器以及管理存储桶及其内容。

• Backup Exec：将存储桶存储在对象存储中。

5.2.7. 在 Acronis Cyber Infrastructure 中使用 S3 的最佳实践¶

本部分提供了有关如何最佳使用 Acronis Cyber Infrastructure 的 S3 功能的建议。

5.2.8. 在数据中心之间复制 S3 数据¶

Acronis Cyber Infrastructure 可以存储 S3 簇数据的副本，并让它们在地理上分布的多个数据中心中与 S3 簇基于 Acronis Cyber Infrastructure 保持最新。地理复制减少了本地 S3 用户访问远程 S3 簇中数据或远程 S3 用户访问本地 S3 簇中数据的响应时间，因为他们不需要 Internet 连接。

地理复制预定在任何数据被修改后就更新副本。地理复制性能取决于 Internet 连接速度、冗余模式和簇性能。

如果您有多个具有足够可用空间的数据中心，建议在这些数据中心中驻留的 S3 簇之间设置地理复制。

要在 S3 簇之间设置地理复制，请在数据中心之间交换标记，如下所示：

1. 在远程数据中心的管理面板中，打开存储服务 > S3 > 地理复制屏幕。

   

2. 在主 S3 簇的部分中，单击标记，然后在获取标记面板上复制该标记。

3. 在本地数据中心的管理面板中，打开存储服务 > S3 > 地理复制屏幕，然后单击添加数据中心。

   

4. 输入复制的标记，然后单击完成。

5. 以相同方法配置远程 S3 簇。

5.2.9. 监控 S3 访问点¶

S3 监控屏幕使您可以检查每个 S3 组件的可用性以及 NS 和 OS 服务（高度可用）的性能。

如果您发现某些 NS 或 OS 服务处于脱机状态，这意味着 S3 访问点工作不正常。在这种情况下，请联系技术支持或参阅 Administrator’s Command Line Guide。S3 网关可用性不高，但 DNS 负载均衡应足以在该网关发生故障时避免出现停机。

性能图表表示 OS/NS 服务正在执行的操作数。

5.2.10. 从 S3 簇中释放节点¶

在释放某个节点之前，请确保簇中具有足够的节点来运行剩余的名称和对象服务器以及网关。

要从 S3 簇中释放节点，请执行以下操作：

1. 在存储服务 > S3 > 节点屏幕上，选中要释放的节点的相应框。

2. 单击释放。

5.2.11. 支持的 Amazon S3 功能¶

除了基本的 Amazon S3 操作（如 GET、PUT、COPY、DELETE）之外，Amazon S3 协议的 Acronis Cyber Infrastructure 实现还支持以下功能：

• 多段上传

• 访问控制列表 (ACL)

• 版本控制

• 已签名 URL

• 对象锁定

• 地理复制

• 通过 Acronis Notary 进行区块链公证

进一步列出了所有受支持的 Amazon S3 操作、标头和身份验证方案。