Über d.ecs storage manager
Voraussetzungen
Lizensierung
Menü der Dokumentation
d.ecs storage manager S3
Mit dem Modul d.ecs storage manager S3 kann d.ecs storage manager Dokumente auf einem S3-kompatiblen Datenspeicher ablegen. Der S3-Datenspeicher selbst kann vom Kunden gestellt werden.
Zurzeit unterstützte Systeme:
Standard S3 (ohne Revisionssicherheit)
DELL EMC/ECS
d.velop cloud storage OTC
S3 Object Lock Governance/Compliance
weitere Systeme auf Anfrage
Die Dokumente können optional mit einer AES256-Verschlüsselung vor unbefugter Einsicht geschützt werden. Bei der Speicherung der Daten bei einem Internet-S3-Anbieter ist die Aktivierung der Verschlüsselung empfohlen.
Der Betrieb von d.ecs storage manager S3 erfordert eine installierte .NET Core Runtime in der Version 3.1.5 oder höher. Diese wird bei der Installation von d.ecs storage manager mit installiert.
Anmerkung
Das Modul d.ecs storage manager S3 ist nur in Verbindung mit OnPrem Speicherlösungen zu verwenden. Für die Verwendung mit Amazon S3 oder Open Telekom Cloud kann d.velop cloud storage (AWS) oder d.velop storage service (OTC) bei der d.velop AG gebucht werden. Wenn Sie das S3-Modul mit weiteren S3-Cloudsystemen verwenden möchten, müssen Sie das Modul d.ecs storage manager S3 for cloud lizenzieren.
Konfiguration
Die Konfiguration eines S3-Systems in d.ecs storage manager besteht aus drei Abschnitten: Zugangsdaten, Verschlüsselung und Proxy-Einstellungen. Die einzelnen Abschnitte werden im Folgenden erläutert.
Zugangsdaten
Zugriffsschlüssel: Geben Sie hier den Access Key an, mit dem der Zugriff auf den S3-Speicher möglich ist.
Geheimer Zugriffsschlüssel: Geben Sie hier den Secret Access Key an, mit dem der Zugriff auf den S3-Speicher möglich ist.
Bucket: Geben Sie hier den Namen des Ziel-Buckets an.
Endpunkt: Geben Sie hier die Service-Endpunkt-Adresse Ihres S3-Speichers an.
Region: Geben Sie die Region an, die zur Verwendung Ihres S3-Speichers genutzt werden soll.
Mandant-ID (optional): Hier kann eine Mandant-ID (max. 32 Zeichen) angegeben werden. Diese Angabe ist optional und nur notwendig, wenn mehrere Mandanten in demselben Bucket gespeichert werden sollen. Die Angabe einer Mandant-ID bewirkt die Unterteilung der Mandantendaten in verschiedene Unterverzeichnisse unterhalb des Wurzelverzeichnisses des Zielbuckets.
Test connection: Testet die Verbindung zu dem angegebenen Serviceendpunkt und gibt Informationen zur eingerichteten Verschlüsselung aus.
Verschlüsselung
Die Einrichtung der Verschlüsselung wird in dem Unterpunkt Verschlüsselung näher beschrieben.
Proxy
Es gibt die Möglichkeit einen Proxyserver zur Kommunikation mit dem S3-Speicher zu verwenden. Geben Sie die Zugangsdaten für den in ihrem Netzwerk verfügbaren Proxyserver in den jeweiligen Eingabefeldern an. Der Benutzername und das Passwort sind optionale Felder und müssen nur gefüllt werden, wenn Sie einen Proxyserver mit Benutzerauthentifizierung verwenden.
Erweiterte Funktionen
Einige S3-Speichersysteme unterstützen erweiterte S3 Funktionen wie z.B. die Verwendung von Aufbewahrungsfristen für Datenobjekte. Diese Funktionen können optional aktiviert werden.
Aktivieren Sie die erweiterten Funktionen und wählen Sie den Typ des angebundenen Speichersystems aus.
Anmerkung
Wenn nur Standard S3 verwendet werden soll, dann muss dies explizit bestätigt werden. In diesem Fall werden Dokumente nicht revisionssicher abgelegt (kein Schutz durch Setzen von Aufbewahrungsfristen).
Verschiedenes
Unter dem Punkt Verschiedenes gibt es diverse Optionen, die für das eine oder andere S3-basierte System von Bedeutung sind.
"Path-Style" erzwingen: Je nachdem wie ein Bucket im angesprochenen System adressiert wird muss Path-Style oder Host-Style (Standard) verwendet werden.
SSL-Prüfung deaktivieren: Deaktiviert die Gültigkeits-Prüfung von SSL-Zertifikaten.
Chunk-Größe in MB: Gibt die Chunk-Größe für den Upload von Daten-Objekten an. Minimum ist 5 MB, Maximum ist 100 MB.
Verbindung-Timeout: Gibt die maximale Zeit in Sekunden für einen Verbindungsversuch an. Der Standardwert ist 5 Sekunden.
Lese/Schreib-Timeout: Gibt die maximale Zeit in Sekunden für einen Lese- oder Schreibversuch an. Der Standardwert ist 300 Sekunden.
Versuchsanzahl: Gibt die maximalen Versuche für einen S3 API Aufruf an. Der Standardwert ist 2.
Verschlüsselung
Auf der Konfigurationsseite Verschlüsselung können Sie die Verschlüsselung der Datenobjekte aktivieren, damit die Objekte verschlüsselt in dem S3-Speicher gespeichert werden.
Je nachdem, inwieweit die Verschlüsselungsfunktion auf Ihrem System bereits konfiguriert und initialisiert ist, werden beim Wechsel auf die Konfigurationsseite verschiedene Konfigurationsansichten angezeigt.
Initialisierung und Aktivierung der Verschlüsselungsfunktion
Um die Verschlüsselung der Datenobjekte zu aktivieren, muss zuerst eine Sicherheits-ID generiert werden.
Die Bewegung der Maus wird während der Generierung mit einbezogen, sodass ein noch zufälligerer Schlüssel entsteht.
Klicken Sie zum Start der Generierung auf die Schaltfläche Starten.
Klicken Sie nach ein paar Sekunden erneut auf die Schaltfläche, um die Generierung zu stoppen. Damit sich die Maus nicht zwingend an der Stelle der Schaltfläche befindet, kann die Schaltfläche auch durch die Betätigung der Leertaste bedient werden.
Als nächstes müssen Sie die generierte Sicherheits-ID ausdrucken. Auf dem Ausdruck befindet sich ein Bestätigungs-Code, den Sie in dem Bereich Bestätigung eingeben müssen.
Erst nach erfolgreicher Eingabe kann die Verschlüsselung aktiviert werden.
Die Aktivierung der Verschlüsselung kann einige Zeit in Anspruch nehmen (ca. 15-20 Sekunden).
Nach der erfolgreichen Aktivierung der Verschlüsselung erscheint die Meldung "Die Verschlüsselung ist aktiv".
Die Verschlüsselung wurde nun aktiviert und d.ecs storage manager kann die Dokumente/Datenobjekte verschlüsselt in dem angebundenen S3-Speicher ablegen.
Aktivieren der Verschlüsselung bei bereits initialisierter Verschlüsselungsfunktion
Wurde die Verschlüsselung bereits initialisiert, kann sie für einen weiteren Bucket einfach aktiviert werden.
Klicken Sie zur Aktivierung auf die Schaltfläche Aktivieren.
Die Aktivierung der Verschlüsselung kann einige Zeit in Anspruch nehmen (ca. 2-5 Sekunden).
Nach der erfolgreichen Aktivierung der Verschlüsselung erscheint die Meldung "Die Verschlüsselung ist aktiv".
Die Verschlüsselung wurde nun aktiviert und d.ecs storage manager kann die Dokumente/Datenobjekte verschlüsselt in dem angebundenen S3-Speicher ablegen.
Erneute Initialisierung der Verschlüsselungsfunktion bei verloren gegangenem Master-Key
Wenn die Initialisierung der Verschlüsselungsfunktion verloren gehen sollte (z.B. durch eine Neuinstallation des Betriebsystems, einen Serverumzug oder die Änderung der Hardware), muss die Verschlüsselungsfunktion reaktiviert werden.
Dies geschieht mit dem Sicherheitsschlüssel, der sich auf dem Ausdruck befindet, der zum Zeitpunkt der Verschlüsselungsinitialisierung erstellt wurde.
Geben Sie den Sicherheitsschlüssel an, der sich auf dem Ausdruck befindet.
Klicken Sie auf Reaktivieren.
Die Aktivierung der Verschlüsselung kann einige Zeit in Anspruch nehmen (ca. 15-20 Sekunden).
Nach der erfolgreichen Aktivierung der Verschlüsselung erscheint die Meldung "Die Verschlüsselung ist aktiv".
Die Verschlüsselung wurde nun aktiviert und d.ecs storage manager kann die Dokumente/Datenobjekte verschlüsselt in dem angebundenen S3-Speicher ablegen.
Weitere Informationen zu unterstützten Speichersystemen
d.velop cloud storage OTC
Hinweise zur Aufbewahrung und Löschung von Datenobjekten
Die Datenobjekte, die in d.velop cloud storage OTC gespeichert sind, verfügen jeweils über eine Aufbewahrungsfrist. Diese Aufbewahrungsfrist wird bei der Auslagerung der Datenobjekte von dem führenden System mitgegeben. Die Aufbewahrungsfrist wird bei einem Löschvorgang berücksichtigt und das Löschen ggf. unterbunden, wenn die Aufbewahrungsfrist noch nicht abgelaufen ist.
Dokumente, die aufgrund einer abgelaufenen Aufbewahrungsfrist gelöscht werden können, werden bei einem Löschvorgang direkt gelöscht. Dieser Löschvorgang kann nicht rückgängig gemacht werden. Eine Wiederherstellung von gelöschten Datenobjekten ist nicht möglich.
Bei der Konfiguration ist zu beachten, dass der Endpunkt auf "https://obs.eu-de.otc.t-systems.com " und die Region auf "eu-de" gesetzt wird. Die Erreichbarkeit des Endpunkts muss ggf. in der vorhandenen Firewall freigeschaltet werden. Weiterhin muss die Erreichbarkeit des Endpunkts " https://otc-storage.service.d-velop.cloud" gewährleistet sein.
DELL/EMC ECS
Wenn Sie d.ecs storage manager S3 in Verbindung mit einem ECS (Elastic Cloud Storage) verwenden, dann müssen Sie auf der Registerkarte Verschiedenes die Option Path-Style erzwingen aktivieren.
S3 Object Lock
Die folgenden S3-kompatiblen Systeme wurden erfolgreich mit aktivierter Object Lock-Option getestet:
System | Version | Object Lock-Modus | Getestet am |
|---|---|---|---|
Hitachi Content Platform (HCP) | 9.6.0.214 | Governance | 13.10.2023 |
Hitachi Content Platform (HCP) | 9.6.0.214 | Compliance | 13.10.2023 |
iTernity iCAS FS | 1.14.0 | Governance | 11.01.1024 |
iTernity iCAS FS | 1.14.0 | Compliance | 11.01.2024 |
NetApp Storage Grid | 11.6.0 | Compliance | 06.01.2023 |