2016-11-04 09:54:05
来 源
中存储网
网络存储
HP自收购3PAR以来,高端存储全面转向了3PAR. 与过往的EVA、XP系统相较,区别是明显的。截取了一部分HP 3PAR StoreServ Storage Concepts Guide的内容,了解一下。

黄金甲按:HP自收购3PAR以来,高端存储全面转向了3PAR. 与过往的EVA、XP系统相较,区别是明显的。截取了一部分HP 3PAR StoreServ Storage Concepts Guide的内容,了解一下。

概览

HP 3PAR Storage 概念与术语

HP 3PAR存储包括那些物理上存储数据的单元,也包括管理数据的软件。

HP 3PAR存储包含下面的逻辑数据层:

. physical disks物理硬盘

. chunklets小块

. Logical Disks-逻辑硬盘

. Common Provisioning Groups

. Virtual Volumes虚拟卷

HP 3PAR存储的数据层之间的关系如Figure1

hp 3par存储概念

每一层都是由上一层的元素生成的。Chunklets由物理硬盘抽取,逻辑硬盘由成组的 chunklets组成,common provisioning groups (CPGs)是成组的逻辑硬盘,虚拟卷 virtual volumes使用由CPG提供的存储空间。虚拟卷是映射给主机的,也只有这一层是对主机可见的。

Physical Disks

物理硬盘是指安装在HP 3PAR存储的某个drive magazine中的硬盘。

Chunklets

物理硬盘被划分为多个chunklet,每个chunklet在物理硬盘上占据一块连续的空间。在F-Class和T-Class上所有的chunklet是256 MB大小. 在10000和7000型号中,所有的chunklet是1 GB大小. Chunklet是由3PAR OS自动生成的,用来组成逻辑硬盘。每个chunklet被指定给唯一的逻辑硬盘。

Logical Disks

逻辑硬盘是由多个RAID组中的chunklet组成。每个RAID组由不同的物理硬盘中的chunklet组成。Common Provisioning Groups (CPGs)是逻辑硬盘组成的存储池,虚拟卷Virtual Volume在CPG中分配空间。在生成CPG的时候,3PAR OS会自动生成所依赖的逻辑硬盘。RAID级别、空间分配、空间增长的步进值和其他的逻辑硬盘参数可以在生成CPG时设定,或在以后修改。HP 3PAR支持下列的RAID级别:

. RAID 0

. RAID 10 (RAID 1)

. RAID 50 (RAID 5)

. RAID MP (Multi-Parity) or RAID 6

Common Provisioning Groups

CPG是由逻辑硬盘组成的一个虚拟池,按需为虚拟卷virtual volume分配空间。一个CPG允许虚拟卷共享CPG的资源。你可以生成完全预分配的虚拟卷fully provisioned virtual volumes (FPVVs)或是自动精简配置的虚拟卷thinly-provisioned virtual volumes (TPVVs)

Virtual Volumes

虚拟卷由CPG中抽取资源,并且对主机映射为logical unit numbers(LUNs)。虚拟卷是唯一对主机可见的数据层。你可以为虚拟卷生成物理拷贝或是快照,如果原始的虚拟卷不可用时,仍能继续工作。在生成虚拟卷之前,必须先生成CPG来为虚拟卷提供空间。

Fully-provisioned Virtual Volumes

FPVV与TPVV不同,它有指定的用户空间用来存放用户数据。FPVV的大小是固定的,最大不超过16TB.

Thinly-provisioned Virtual Volumes

TPVVs自动从CPG中抽取所需的空间,按照控制器节点的要求小步递增。当一个卷需要额外的存储空间是,HP 3PAR OS自动生成额外的逻辑硬盘并把它们加入到存储池中,直到CPG达到预设的最大空间。TPVV卷的最大空间是16 TB.

NOTE: 生成TPVVs 需要HP 3PAR Thin Provisioning Software license.

Physical Copies

一个物理拷贝是卷的全拷贝。物理拷贝中的数据是静态的,当父卷Parent volume的数据在随后更新时,它的内容不会再更改。父卷是数据复制的来源卷。父卷可以是一个base volume, volume set, virtual copy,或是 physical copy. 生成物理拷贝不需要另外的license.一个物理拷贝只能由一个具有充足剩余空间的父卷生成,这样才能在拷贝进行期间继续响应写请求。物理拷贝可以是在线拷贝,也可以是离线拷贝。对于在线拷贝,目标卷自动生成,并且可以马上映射给主机。离线拷贝要求目标卷至少与需要拷贝的卷一样大,离线拷贝不能被映射。

NOTE: 如有HP 3PAR Remote Copy Software license, 物理拷贝可以由一台3PAR存储通过Remote Copy生成到另一台3PAR存储中。

Virtual Copy Snapshots

快照Snapshot是对一个base volume的虚拟拷贝。base volume是被复制的原始卷。与物理拷贝不同,虚拟拷贝不是复制整个卷的内容,而是只记录原始卷更改的信息。这样可以保存原始卷的一个较早时间的拷贝,并恢复到生成虚拟卷的时间点的状态。你可以对 FPVVs, TPVVs, physical copies, 或另一个快照生成快照。快照使用了HP 3PAR 3PAR Virtual Copy Software license 独有的copy-on-write技术。如果有足够的空间,可以为虚拟卷生成数以千记的快照。

NOTE: 需要HP 3PAR Virtual Copy license来生成快照。

Exporting Virtual Volumes

为了让主机访问到一个虚拟卷,这个卷必须被映射成为一个LUN. 通过生成虚拟卷-LUN对Volume-LUN pairings (VLUNs)来进行卷的映射。

HP 3PAR Software

除了HP 3PAR OS,HP单独提供licensed软件套装、可选的软件特性,和一系列基于主机的软件应用。你可以用HP 3PAR命令行接口与HP 3PAR管理终端软件来观察生效的软件部件。

IMPORTANT: 可选的HP 3PAR软件特性不一定enabled,因为它们需要额外的License,也可能需要单独进行安装。当相关的特性因为没有License而不可用时,屏幕上相关的显示可能为灰色,或是在3PAR管理终端或命令行中不可访问。

HP 3PAR Software Products and Features

有下列HP 3PAR软件产品可选:

. HP 3PAR Operating System Software:每个控制器节点上运行的独立实例。

. HP 3PAR Access Guard Software:在逻辑与物理层提供卷级别的安全控制,可以控制对指定虚拟卷的主机与端口的安全控制。

. HP 3PAR Data Encryption: 通过自加密的驱动器对3PAR阵列提供数据加密。

. HP 3PAR Full Copy Software: 可识别自动精简卷,基于时间点的克隆,可与源数据卷快速同步。

. HP 3PAR Rapid Provisioning Software: 即时的基于应用剪裁的卷provisioning。 i

. HP 3PAR Autonomic Rebalance Software:提供分析卷是如何使用磁盘空间的,并在加入新硬件时进行智能化的,自动的调整优化。

. HP 3PAR Thin Copy Reclamation Software: 当快照被删除后回收磁盘空间。快照删除后,快照空间由TPVV或是FPVV返回到CPG中,可用于其他的卷。

. HP 3PAR Persistent Ports Software: 消除在线软件升级过程中对多路径软件的依赖,使升级过程中主机访问一直在线。Persistent Port也叫做虚拟端口Virtual Ports.

. HP 3PAR Persistent Cache Software:允许在节点故障、软硬件升级的情况下保持高性能与高可用性。该特性允许在备份节点不可用时主机继续写数据并收到确认。

Persistent cache自动为同一属主的逻辑硬盘生成多个备份节点。Persistent cache 也通过在cache或控制节点故障时将cache重新镜像到集群中的其他节点来保证服务级别。

. HP 3PAR System Tuner Software:通过确定过度使用的物理硬盘,对它们进行负载均衡来实现无中断地性能优化。

. HP 3PAR Thin Provisioning Software: 实现真正的按需分配容量的模式。

. HP 3PAR Thin Conversion Software: 将FTPP转换为TPPV. 有大量分配了但未使用空间的虚拟卷可以变得比初始时大幅缩小。要使用thin conversion特性,必须是Fan F-Class, T-Class, HP 3PAR StoreServ 10000, 或是HP 3PAR StoreServ 7000 ,还需要HP 3PAR Thin Provisioning license,和HP 3PAR Thin Conversion license.

. HP 3PAR Thin Persistence Software: 通过检测数据传输过程中发现的全空页面(都是0)并且不为这样的全空页面分配空间,维持TPVV和TPVV的可读写快照维持在一个较小的体积。这个特性实时工作,在将数据写入TPVV和TPVV的快照前进行分析处理。需要F-Class, T-Class, HP 3PAR StoreServ 10000, 或HP 3PAR StoreServ storage system, HP 3PAR Thin Provisioning license, 和 HP 3PAR Thin Conversion license. 才能应用这个特性。

. HP 3PAR EVA to 3PAR Online Import Software:管理数据源HP EVA存储到目标存储HP 3PAR的数据迁移。可以在不中断数据访问的情况下,将EVA中VDISK与主机相关配置迁移到HP 3PAR中。

. HP 3PAR Service Processor Software: Service Processor 可以以一台物理服务器或是一个虚拟机的形式实现,它作为一个IP网络的通信接口,管理所有服务相关的通信。

. HP 3PAR Management Console Software: 图形界面用以监控、管理和配置HP 3PAR.

. HP 3PAR Command Line Interface Software: 命令行界面用以监控、管理和配置HP 3PAR

. HP 3PAR Web Services API Software: 编程接口,用以实现服务实现与管理的自动化。

. HP 3PAR SmartStart Software: 简化系统的初始化设置,指导管理员进行HP 3PAR的设置。

. HP 3PAR Host Explorer Software: 自动发现详细的主机配置信息,简化管理。

. HP 3PAR Autonomic Groups Software:允许domains, hosts, 和 volumes组合起来做为一个单独的目标进行管理。也可以简化在新的主机加入,或是新的卷生成时的操作。如果你为这个组合(set)加入一台新的主机,组合中的卷自动provison给新的主机而无需其他干预。如果在这个set中加入新的卷或是domain,卷或是domain自动继承set有的所有权限。

. HP 3PAR mySnapshot Software:为非存储专业人仕如数据库管理员、软件开发者、测试工程师等设计的复制工具,可用来复制数据或provison数据。

. HP 3PAR Policy Manager Software: 控制允许或拒绝外部访问或是服务请求。

. HP 3PAR ODM 3.1 Software for IBM MPIO and Veritas VxDMP: 为AIX平台提供高可用的,健壮的多路径支持 。

. HP 3PAR Multipath IO Software for Microsoft Windows 2003: Windos平台多路径支持 。

. HP 3PAR ODM Software for Veritas VxVM: 为使用Veritas VxVM/DMP软件的用户提供HP 3PAR设备定义与message catalog.

. HP 3PAR NULL INF for SCSI Enclosure Device: 在Windows Server 2003环境下提供一个WHQL签名,这样设备就不会显示为“未识别硬件”。

妺的,太长了,先跳过。

. HP 3PAR Dynamic Optimization Software allows you to improve the performance of virtual volumes without interrupting access. Use this feature to avoid over provisioning for peak system usage by optimizing the layout of your virtual volumes. With HP 3PAR Dynamic Optimization

you can change virtual volume parameters, RAID levels, set sizes, and disk filters by associating the virtual volume with a new CPG. You can also use this feature to analyze your entire system and automatically correct space usage imbalances in the system. Virtual volume and physical disk capacity are analyzed and rebalanced for optimal performance. This feature requires an HP 3PAR Dynamic Optimization license.

. HP 3PAR Adaptive Optimization Software gives you a much higher degree of control over disk usage by reserving your faster and more expensive storage resources for the data that is frequently accessed and relegating your slower and less expensive drives to storing data

that is only occasionally accessed.

. HP 3PAR Peer Motion Software: allows you to load balance I/O workloads across HP 3PAR storage systems at will, perform technology refresh seamlessly, cost-optimize asset lifecycle management, and lower technology refresh capital expenditure.

. HP 3PAR Priority Optimization Software: allows you to set service level targets/guarantees to application workload so that applications are guaranteed the I/O quality of service and any interference between the application can be controlled.

. HP 3PAR Virtual Copy Software: allows you to take instant virtual copy snapshots of existing volumes. It uses copy-on-write technology so that virtual copies consume minimal capacity. Virtual copies are presentable to any host with read and write capabilities. In addition, virtual copies can be made from other virtual copies, providing flexibility for test, backup, and business-intelligence applications.

. HP 3PAR Remote Copy Software: a host-independent, array-based data mirroring solution that enables affordable data distribution and disaster recovery for applications. With this optional utility, you can copy virtual volumes from one system to a second system. HP 3PAR Remote Copy is configured and controlled with the HP 3PAR Command Line Interface.

. HP 3PAR Peer Persistence Software: enables federation of HP 3PAR storage systems present at geographically separated data centers and allows applications to move and fail over from one site to another without any application downtime.

. HP 3PAR GeoCluster Software: simplifies and automates disaster recovery, reducing administration time and improving recovery time objectives (RTOs) in Windows-based environments.

. HP 3PAR Virtual Domains Software: is used for access control. Virtual Domains allow you to limit the access of users to only subsets of volumes and hosts in an HP Storage System and ensures that virtual volumes associated with a specific domain are not exported to hosts outside

of that domain.

. HP 3PAR Virtual Lock Software: enforces the retention period of any volume or copy of a volume.

. HP 3PAR System Reporter Software: allows you to monitor performance, create charge back reports, and plan storage resources for systems using either a standard Web browser or the HP 3PAR System Reporter Excel client.

. HP 3PARInfo Software: a command line utility that provides useful information on the volume mapping between the host and the array.

. HP 3PAR Management Plug-in for VMware: a Web application that is deployed as a VI Client plug-in. A VI Client plug-in is an external Web application that is configured with the vCenter Server in such a way that VI Clients are able to display their pages. HP 3PAR Management

Plug-In for VMware vCenter displays virtual volume mapping for easy identification of HP 3PAR volumes used by virtual machines and datastores.

. HP 3PAR Recovery Manager for VMware vSphere Software: provides virtual copy management of HP 3PAR virtual copies and recovery of virtual machines and datastores.

. HP 3PAR VASA Provider Software: enables VMware vCenter to see the capabilities of HP 3PAR storage LUNs and their properties such as RAID level, Thinly Provisioned or fully provisioned virtual volumes, and replication state automatically.

. HP 3PAR VAAI Plug-in Software for VMware vSphere Software: enables SCSI primitives that allow HP 3PAR storage systems to take advantage of several VMware virtual machine operations at the meta data level to improve performance.

. HP 3PAR VMware Site Replication Manager (SRM) Adapter Software: Site Replication Adapter integrated with VMware SRM and HP 3PAR Remote Copy Software provides organizations the ability to build resilient virtual and cloud computing infrastructures, protect applications

at a lower cost, and recover data more quickly and efficiently than with traditional disaster recovery solutions.

. HP 3PAR Recovery Manager for Oracle Software: a highly efficient solution for automatically creating and managing hundreds of application-consistent, reservationless, point-in-time

snapshots of Oracle and Oracle RAC databases for rapid online recovery.

. HP 3PAR Recovery Manager for SQL Server Software: is specifically designed to integrate with Microsoft VSS to provide a simple, efficient and highly scalable solution for backup and recovery of SQL Server environments. HP 3PAR Recovery Manager Software intelligently

creates, manages, and presents time-consistent snapshot images of SQL Server databases for non-disruptive backup, rapid application recovery, and data sharing.

. HP 3PAR VSS Provider for Microsoft Windows Software is a server application bundled with HP 3PAR Recovery Manager for Microsoft SQL Software. VSS coordinates the actions of database readers like the HP 3PAR Recovery Manager backup application, database writers like Microsoft Exchange and SQL Server, and providers that create shadow copies.

. HP 3PAR Recovery Manager for Microsoft Exchange Software: is specifically designed to integrate with Microsoft VSS to provide a simple, efficient and highly scalable solution for backup and recovery of Microsoft Exchange environments. HP 3PAR Recovery Manager intelligently creates, manages, and presents time-consistent snapshot images of Microsoft Exchange databases for non-disruptive backup, rapid application recovery, and data sharing.

HP 3PAR Software Licensing Requirements

hpe 3par 存储概念
惠普存储概念
hp存储概念技术
hp 3par存储技术

 HP 3PAR Storage System Users

User Accounts

为了访问HP 3PAR存储必须有一个user account. 每个HP 3PAR OS的用户都被指定了一个角色,每个角色都有一系列相应的权限,权限确定了用户可以执行哪些操作。

HP 3PAR OS中定义了8种角色.

4个标准角色:

. Browse

. Edit

. Super

. Service

4个扩展角色:

. Create

. Basic Edit

. 3PAR AO

. 3PAR RM

标准角色与扩展角色之间没有功能上的区别。扩展角色定义了一系列的权限方便完成一些特定的或限制性的任务。

例如,给一个用户指定create角色,允许这个用户生成虚拟卷和其他目标,但不允许他删除虚拟卷。为了更好地控制,就给用户授予所需的最小权限集。要检查角色的列表及其相对应的权限,参考HP 3PAR命令行接口的手册和管理控制台软件的手册。 

hp存储技术

Local User Authentication and Authorization

通过HP 3PAR命令行客户端或是SSH来访问HP 3PAR存储的用户由存储直接认证与授权。这些用户被称为本地用户。用来对用户进行认证与授权的信息保存在存储中。

生成一个本地用户的步骤,请参考HP 3PAR命令行接口管理手册和HP 3PAR管理控制台的在线帮助。

LDAP User Authentication and Authorization

LDAP用户通过Lightweight Directory Access Protocol (LDAP)服务器进行认证与授权。如果多个3PAR存储配置到同一台LDAP服务器,用户可以以设置给LDAP组的独角色与权限访问全部的3PAR存储。

本地用户的角色与权限授予某个个人,LDAP用户的角色与权限对组内的每个成员都是一样的。如果你想为LDAP用户授予不同的角色和权限,就必须为每个角色生成一个LDAP组。

如何设置一个LDAP连接,可参考HP 3PAR Command Line Interface Administrator’s Manual.

Domain User Access

域用户是可以访问一个特定域(domain)的用户。 在使用HP 3PAR Virtual Domains软件的3PAR存储上的本地用户是域用户。除了用户角色与权限之外,域用户的活动范围被限制在他能访问的域内。

NOTE: Virtual domains需要HP 3PAR Virtual Domains Software license.

 Lightweight Directory Access Protocol

Overview

Lightweight Directory Access Protocol (LDAP)是在 LDAP客户端与LDAP目录服务器之间的标准通讯协议。数据在服务器上以一个目录结构存储,客户端增加、修改、查找或删除数据。数据可以用不同平台的服务器与客户端都可理解的标准的架构进行组织,也可以用特定的供应商与应用才能理解的结构来进行组织。

HP 3PAR OS中包含了LDAP客户端,可被配置用来通过LDAP server对系统用户进行认证与授权。当多台存储都以相同方式配置到同一LDAP服务器时,某一存储上的一个用户就可以用同样的角色访问整个环境。

访问使用了HP 3PAR Virtual Domains Software软件的3PAR存储上的目标需要这些目标所在的域的访问权限。对域的配置可能与下一台安装的存储不同。因为LDAP配置与不同存储的域配置之间映射不同导致了对目标的不同层次的访问。

HP 3PAR LDAP客户端可以适应多种LDAP服务器与数据结构,但是当前支持的只有基于Active Directory LDAP directory的实现。

只能在命令行接口配置HP 3PAR OS使用LDAP。

NOTE:

. 现在,OpenLDAP实现也是可用的,但只在一定程度上。与你当地的HP客户代表确认最新的可行性。

 . 所有LDAP相关的任务都是通过命令行来实现的。

Active Directory

Active Directory是由Microsoft提供的,在Windows环境下的一种 LDAP directory services实现。一个Active Directory服务器同时是LDAP服务器与 Kerberos服务器. 设置SASL绑定时,AD服务器和Kerberos服务器用来做用户的认证与授权。

OpenLDAP

OpenLDAP是由OpenLDAP Project开发的开源的LDAP实现。

OpenLDAP包含服务器、客户端库和适用于多种操作系统的工具。OpenLDAP可以用多种架构。比如说,Posix架构被典型地用于Linux/Unix环境。

LDAP Users

通过HP 3PAR命令行产生的用户,使用命令行客户端或是SSH访问存储,由存储直接认证与授权。这些用户被称为本地用户。LDAP用户与本地用户类似,但是,LDAP用户由LDAP服务器来进行认证授权。

在认证过程中,如果一个用户名未被识别为一个本地用户,用户名与密码被通过LDAP服务器检验。本地用户的认证比LDAP的认证优先。

本地用户认证时,密码必须与用户生成时或修改时的一致。获取的授权与用户角色生成时或修改时指定的角色一致。 更多信息请参看“HP 3PAR Storage System Users”部分。

LDAP用户可以用与本地用户一样的方式来访问存储,但是部分用户account生成和修改的操作不可用。

不要生成相同名字的本地用户和LDAP用户,这样容易造成控制上的困扰。

本地用户与LDAP用户的另一个关键区别在于本地用户的权限是每个用户独立设置的。而LDAP用户的权限取决于用户的分组。 换句话说,不同的分组被指定了相关的权限,一个LDAP用户的权限取决于他属于哪个组。

LDAP Server Data Organization

LDAP服务器数据包含用户信息,如用户的分组等。可以是之前就存在的用户数据,也可以为特定用户生成。在LDAP服务器上数据可以两种不同的方式组织:

. 组的列表,与各个用户关联

. 用户的列表,与各个组关联

数据如何组织取决于LDAP服务器的类型和使用的工具。 像ldp.exe这样的Windows平台下可下载的工具,或是ldapsearch这样在很多Unix和 Linux平台上可用的工具,可以用来查阅LDAP服务器中的记录。 配置 HP 3PAR LDAP客户端时可能有用。

LDAP and Domains

LDAP也可以用于使用virtual domains的存储。如 “HP 3PAR Virtual Domains”章节所讨论的,Domains的设置能提供对系统目标如卷和主机的更好控制。访问配置了Virtual Domains的存储上的目标需要拥有这个目标所有的Domain的访问权限。因为在HP存储上的Domain配置与在其他服务器上domain配置可能不同,一个用户可能在一个独立的存储或多个存储中拥有不同的权限。

如之前在LDAP用户章节处讨论的,LDAP用户必须遵从一个认证与授权的流程来获取对存储的访问权限。 当有Domain时,除了存储的认证,LDAP用户还需要被授权访问domain。

LDAP Authentication and Authorization

像之前说的那样,用户的用户名首先通过存储本地的认证数据来进行检查。 如果找不到这个用户名,就按照下列步骤进行LDAP的认证与授权:

. 通过用户名、密码在LDAP服务器行认证

. 通过LDAP服务器上的数据确认用户的组别。

. 与组列表比较,确定每个组对应的角色。

. 如果使用了virtual domains,用户组被映射到domain.

. 用户被指定一个系统用户的角色,如果存在domain,被指定一个domain.

Authentication 认证

Users通过绑定操作由LDAP服务器进行认证。绑定操作将HP 3PAR OS LDAP 客户端交由LDAP服务器进行认证。对所有使用LDAP的存储,包括使用Domain的存储,这个过程都是需要的。HP 3PAR OS LDAP客户端支持几种绑定机制。

NOTE: 可使用的绑定机制取决于LDAP服务器的配置

Simple Binding

使用simple binding,用户名与密码被明文发送给LDAP服务器,LDAP来检验密码是否正确。不建议使用Simple binding,除非到LDAP服务器的连接是安全的,如采用了 Secure Sockets Layer (SSL)或是Transport Layer Security (TLS)协议.

SASL Binding

除simple binding之外, HP 3PAR OS LDAP客户端还支持PLAIN, DIGEST-MD5,和GSSAPI SASL绑定机制。通常来讲,DIGEST-MD5和GSSAPI更加安全,用户密码没有发送给LDAP服务器。

.PLAIN机制与simple binding类似,用户名与密码直接发送给LDAP服务器进行认证。和simple binding一样,只有在安全连接的情况下(SSL或TLS),才使用PLAIN机制。

. GSSAPI机制由Kerberos服务器获取一个凭证来验证用户身份。这个凭证再发送给LDAP服务器进行认证。

. DIGEST-MD5机制, LDAP服务器向 3PAR OS LDAP客户端发送一个一次性的、加密的数据,客户端以相同方式发送数据给服务器以验证它知道用户密码而无需发送密码。

Authorization 授权

当LDAP用户被认证之后,下一步就是授权authorization. 授权过程决定了用户被允许做什么。如在LDAP Users章节所讨论的,LDAP用户的角色与用户所有的组相关,一个用户可以属于多个组。每个组有一个指定的角色。 HP 3PAR OS LDAP客户端通过4个参数进行一个 group-to-role的映射。

. super-map

. service-map

. edit-map

. browse-map

用户所属的每一个组都与映射参数进行对照。映射顺序发生,每个组都是先与super-map参数对照,如果不匹配,就与service-map参数对照,依些类推。

例如,Group A与 super-map参数匹配成功,那么属于Group A的用户被授予对存储的Super权限。

通过这个过程,一个用户可以被认证,但如果不属于一个组,则不被授权。这样,用户就无法访问存储。

Authorization on Systems Using Virtual Domains

用户所归属的组,决定了在存储中的角色。 在使用virtual domains的存储上,这个过程还要再进一步,用户的组要映射到时存储的domain上。 这样,用户在某一特定组中的角色被应用到映射到这个组的domain中。

group-to-domain映射关系:

. LDAP User 1 属于Group B.

. Group-to-role映射决定了Group B具有Edit角色.

. Group-to-domain映射在Group B和Domain A 之间匹配。

. LDAP User 1 对Domain A中的所有目标具有Edit角色。

声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。