# Улучшена безопасность компонента CommCell и введено понятие «безопасность на основе ролей» (Role based security)
Напомним, что CommServe управляет деятельностью компонента CommCell, взаимодействуя со всеми его агентами,запуская операции защиты, восстановления и управления данными.
Безопасность на основе ролей выходит за рамки ограничения традиционных пользователей и групп безопасности. Теперь мы имеем дело со следующими сущностями:
- Пользователь или группа пользователей — может быть как локальный CommCell-пользователь / группа пользователей или доменный пользователь / группа пользователей.
- Роли — определяют набор разрешений без привязки к конкретному пользователю или группе пользователей.
- Объект — компонент, который привязывает пользователя / группу пользователей к соответствующей роли.
Деление на пользователя / группу пользователей (кто?), роли (разрешения) и объекты (что?) позволяет пользователю или группе пользователей иметь различные разрешения в зависимости от того, какова роль для конкретного объекта.
Пример: пользователю необходимы разрешения для выполнения бэкапа и восстановления на файловом сервере. Этому же пользователю необходимо разрешение на восстановление данных почтового сервера. Соответственно, пользователь ассоциируется с объектом файлового сервера и определяется роль «восстановление»/«бэкап». Этот же пользователь привязывается к объекту почтового сервера и назначается роль «восстановление».
Рисунок 1. Безопасность на основе ролей
После апгрейда с предыдущей версии Commvault до 11-й версии все разрешения, формально именуемые «возможностями», ассоциируются с пользовательской группой CommCell. Кроме того, для каждой группы создаются соответствующие роли, а разрешения назначаются путем привязки к ролям в соответствии с возможностями старой пользовательской группы. Для каждой существующей группы автоматически создается роль, в названии которой присутствует префикс <UserGroupName>_Role. После апгрейда до новой версии Commvault автоматически создаются системные роли.
# Индексация нового поколения версии 2
В Commvault v11 вводится понятие «индексация нового поколения» версии 2 (v2). Такая функциональность обеспечивает улучшенную производительность и эластичность, сокращается размер индексируемых файлов, находящихся в кеше и хранилищах. Индексирование v2 работает с использованием постоянно индексируемой базы данных. Во время выполнения резервного копирования, генерируются лог-файлы со всеми защищаемыми объектами. Журналы помещаются в базу данных «индекса».
Рисунок 2. Принцип работы индексирования v2
Индексация v2 работает следующим образом: индексируемые данные помещаются в базу данных индекса. Одна база данных индекса управляет записями всех объектов внутри бэкап-набора. Поэтому все субклиенты, а значит, и все наборы данных для резервного копирования и настроек в пределах одного и того же бэкап-набора записываются в эту же базу данных индекса.
# Дедупликация на основе содержимого
Особенность дедупликации на основе содержимого заключается в определении типа защищаемых данных и того, как она выполняется. Рассмотрим, как работает дедупликация, если данные поступают в виде резервной копии приложения. Изначально аплайнс не может определить, что это — файлы, базы данных или метаданные, генерируемые из бэкапа приложения. Функциональность дедупликации Commvault интегрируется в агенты, которые определяют, что защищено. Это дает преимущество в виде экономии пространства и ускорения резервного копирования и восстановления.
Рисунок 3. Дедупликация на основе БД и содержимого логов
В Commvault поддерживается дедупликация на основе содержимого баз данных и логов. Базы данных приложений часто используют встроенную компрессию, которая сжимает блоки до того, как Commvault генерирует подписи этих блоков. Сжатие на уровне приложений приводит к тому, что непоследовательные блоки дедуплицируются каждый раз, как запускается резервное копирование, что приводит к не очень хорошим результатам.
Используя компрессию Commvault во время резервного копирования вместо сжатия средствами приложения, агент приложения определяет, что запущен процесс резервного копирования базы данных, после чего «подписывает» несжатые данные. После подписи блок данных сжимается. Это приводит к улучшению показателя дедупликации.
Известно, что файлы журналов постоянно пополняются новой информацией, сменяя старые данные новыми. Поскольку этот процесс происходит постоянно, дедупликация не дает выигрыша с точки зрения экономии дискового пространства. Однако во время старта процесса резервного копирования логов агент приложений определяет, что имеет дело с бэкапом файлов-журналов, в связи с чем не выполняет никаких подписей. Это существенно экономит ресурсы памяти и процессора.
# Новые возможности Virtual Server Agent
Изменения связаны с появлением следующих возможностей агента виртуального сервера:
- Проверка достоверности во время создания клиента/экземпляра.
- Опция субклиента для автообнаружения владельца виртуальной машины.
- VMware discovery / возможность фильтрации по состоянию питания, заметкам, кастомизированным атрибутам.
Рисунок 4. Взаимодействие координатора с «прокси-перенаправителями»
Кроме того, существует прокси-агент виртуального сервера (Virtual Server Agent proxy, VSA), который определяется на уровне экземпляра псевдо VSA-клиента. VSA-прокси, находящийся наверху картинки, назначается координатором, а остальные прокси выступают «перенаправителями» данных. Координатор отвечает за связь с гипервизором, чтобы получать информацию о виртуальных машинах и распределять резервные копии виртуальных машин на «прокси-перенаправители» (Data mover proxies).
Data mover proxy связывается с прокси-координатором и предоставляет информацию о доступности ресурсов и статусе выполняемых задач. В случае если прокси-координатор недоступен, следующий прокси по списку берет на себя роль координатора. Если Data mover proxy становится недоступным, прокси-координатор обратится к другим доступным прокси.
И напоследок
Кроме того, изменения коснулись и политик хранилища (Storage Policy), дисковых и ленточных библиотек, а в Commvault v11 Service Pack 2 появился новый интерфейс в виде консоли администрирования (Admin Console) с поддержкой виртуализации. Консоль представляет собой простой пользовательский веб-интерфейс для выполнения задач администрирования: быстрой настройки серверов, хранилищ, запуска резервного копирования и восстановления файлов или виртуальных машин.
Появилась возможность управлять виртуальными машинами на базе гипервизора Microsoft Hyper-V, улучшились возможности Live Sync, а файлы и папки общего доступа можно защищать паролем или устанавливать временные лимиты, по истечении которых доступ к информации приостанавливается. Эти и другие возможности Commvault v11 Service Pack 1 и 2 отражены в официальных мануалах Commvault: Education service v11 Walkthrough Guide и Newsletter for version 11 Service Pack 2 New Fitures.
