关于 ONTAP 9 中的 S3 支持

在 ONTAP 中，存储桶的底层架构是 FlexGroup 卷：这是由多个成分卷组成但作为单个卷进行管理的单个名称空间。

存储桶仅受限于底层硬件的物理最大值，架构最大值可能更高。如果存储空间不足，存储桶可以利用 FlexGroup 弹性大小调整功能来自动增大 FlexGroup 卷的成分卷。限制为每个 FlexGroup 卷为 1000 个存储桶，或 FlexGroup 卷容量的 1/3（旨在适应存储桶中的数据增长）。

通过授权的用户和客户端应用程序可以访问存储桶。

客户端访问 ONTAP S3 服务有三种主要用例：

• 用于使用 ONTAP S3 作为远程 FabricPool 容量（云）层的 ONTAP 系统

  包含容量层（用于冷 数据）的 S3 服务器和存储桶与性能层（用于热 数据）位于不同集群。

• 用于使用 ONTAP S3 作为本地 FabricPool 层的 ONTAP 系统

  包含容量层的 S3 服务器和存储桶与性能层位于同一集群，但位于不同的 HA 对中。

• 用于外部 S3 客户端应用程序

  ONTAP S3 服务于在非 Lenovo 系统上运行的 S3 客户端应用程序。

我们将重点介绍对于我们的主系统用作远程 FabricPool（云）层的 ONTAP S3。

最好是使用 HTTPS 提供对 ONTAP S3 存储桶的访问。启用 HTTPS 后，需要安全证书才能与 SSL/TLS 正确集成。然后，还需要客户端用户的访问权限和机密密钥，以便向 ONTAP S3 进行用户认证，并授予用户的访问权限以进行 ONTAP S3 中的操作。客户端应用程序还应该有权访问根 CA 证书（ONTAP S3 服务器的签名证书），以便能够认证服务器并在客户端和服务器之间建立安全连接。

在辅助系统上已启用 S3 的 SVM 中创建用户，并可在存储桶或 SVM 级别控制这些用户的访问权限，也就是可允许用户访问 SVM 中的一个或多个存储桶。

默认情况下会在 ONTAP S3 服务器上启用 HTTPS。可以禁用 HTTPS 并为客户端访问启用 HTTP，在这种情况下，不需要使用 CA 证书进行认证。但是，当启用 HTTP 而禁用 HTTPS 时，与 ONTAP S3 服务器的所有通信均通过网络以明文形式发送。

本文档中将不会介绍此方法。