Resumen técnico

Descubra cómo la arquitectura nativa de la nube única de Qumulo ofrece servicios de datos no estructurados para todas sus cargas de trabajo, ya sea en las instalaciones, en el borde o en la nube pública.

Descargar el Informe Técnico
Icono de marca del logotipo de Qumulo

Índice del contenido

Índice del contenido

 

Corre en cualquier lugar

Servicios de datos y gestión de almacenamiento.

  • Gestión del sistema
    • Interfaz de usuario web
    • Interfaz de línea de comandos
    • REST API
  • Nexo Qumulo
  • Gestión de Acceso
    • Funciones de seguridad de datos
      • Active Directory
      • Cifrado por cable
  • Autenticación y control de acceso
    • seguridad administrativa
      • Usuarios administradores a nivel de dominio
      • Usuarios administradores locales
    • Inicio de sesión único con autenticación multifactor
    • fichas de acceso
    • Control de acceso basado en roles
  • Gestión de acceso a datos
    • Listas de control de acceso
      • Mejoras de Kerberos
    • Soporte de permisos multiprotocolo
      • Permisos de acceso a objetos
    • Restricciones de tráfico de gestión

Servicios de datos

El sistema de archivos Qumulo

La tienda de bloques escalable

Hardware del servidor

Descargar este recurso

Descargar
Descargar PDF
Editar en GitHub

Ejecútelo en cualquier lugar, escálelo en cualquier lugar

Cloud Data Fabric de Qumulo le permite ampliar o integrar fácilmente sus aplicaciones en cualquier entorno, en cualquier ubicación y en cualquier plataforma. Ofrece la única solución de datos no estructurados unificada a nivel mundial e independiente de la plataforma que admite todos sus flujos de trabajo empresariales, de nube híbrida y multinube. El sistema de archivos escalable de Qumulo y las potentes herramientas de interfaz de línea de comandos y de interfaz web hacen que la gestión de datos sea sencilla, ya sea que la necesite para sus flujos de trabajo más exigentes o para un almacenamiento de archivos en la nube rentable. Nuestra arquitectura única y nativa de la nube lo libera de las limitaciones de la plataforma y el lugar, lo que le permite acceder a los datos desde cualquier lugar, ya sea en su centro de datos o en la nube.

Nuestro objetivo en Qumulo es hacer que el almacenamiento de datos no estructurados sea simple, escalable y global para las empresas modernas. Hacemos que sea fácil proteger sus datos. Hacemos que sea fácil ejecutar sus flujos de trabajo más exigentes, ya sea en las instalaciones o en la nube. Hacemos que el almacenamiento en la nube híbrida sea simple.

Arquitectura de software de Qumulo

Hemos diseñado nuestra plataforma de almacenamiento para que sea un servicio escalable y preparado para la nube que admita cualquier flujo de trabajo basado en archivos en cualquier lugar. Hemos creado una plataforma extensible a nivel mundial. También ofrecemos API sólidas para ofrecer gestión automatizada y visibilidad en tiempo real del uso del sistema y de los datos. Nuestras soluciones de almacenamiento cumplen con los requisitos de seguridad y protección de datos de las empresas de Fortune 500.

En esta página se ofrece una descripción general de la arquitectura, los componentes y los servicios de la solución de datos no estructurados de Qumulo. Se muestra cómo nuestro producto admite una amplia gama de casos de uso, desde medios y entretenimiento hasta atención médica y ciencias biológicas, desde computación de alto rendimiento basada en la nube hasta almacenamiento de archivos en la nube rentable a largo plazo. También mostraremos cómo nuestra exclusiva Cloud Data Fabric puede unificar datos críticos en plataformas, sitios y nubes para brindar acceso en tiempo real a datos remotos, optimizar la colaboración entre equipos ampliamente dispersos y acelerar el desarrollo comercial en prácticamente cualquier industria.

Arquitectura Qumulo

La arquitectura modular de Qumulo se puede resumir en una serie de capas, con controles y funciones de servicio específicos agrupados en cada capa. Estas capas trabajan juntas para respaldar la escalabilidad, el rendimiento, la seguridad y la confiabilidad de los datos no estructurados en una instancia de Qumulo, así como del propio sistema Qumulo.

Fundamentos de Qumulo

Antes de sumergirnos en los componentes individuales de la arquitectura de Qumulo, hay varios principios fundamentales que es importante enumerar:

  1.  Qumulo ofrece un sistema de archivos distribuido 100 % definido por software que presenta un único espacio de nombres. Un clúster de Qumulo en las instalaciones consta de una agregación de nodos independientes sin nada compartido, cada uno de los cuales contribuye a la capacidad y el rendimiento generales del clúster. Los nodos individuales se mantienen en constante coordinación entre sí. Cualquier cliente puede conectarse a cualquier nodo y leer y escribir en todo el espacio de nombres.
  2. Las instancias de Qumulo basadas en la nube utilizan almacenamiento de objetos (AWS S3 o Microsoft Azure Blob Storage, según dónde estén implementadas) para la capa de datos, en la que los bloques asociados con cualquier archivo determinado se abstraen y distribuyen en una colección lógica de objetos discretos.
    •  Esta arquitectura nativa de la nube elimina la relación heredada entre computación, almacenamiento y rendimiento, creando un servicio de almacenamiento de archivos totalmente elástico que puede escalar la capacidad a cientos de petabytes y puede escalar el rendimiento más allá de los 100 GBps.
    • Gracias a la completa desagregación de la computación y el almacenamiento que permite la arquitectura nativa de la nube de Qumulo, los clientes tienen la flexibilidad de elegir los niveles específicos de capacidad y rendimiento que necesitan, independientemente unos de otros. Un cliente puede incluso implementar una instancia de Qumulo con una huella de computación inicialmente baja, luego escalar temporalmente la asignación de computación del servicio para aumentar drásticamente el rendimiento durante un breve período de tiempo y luego volver a reducirlo sin necesidad de implementar capacidad adicional en ningún momento.
  3.  Qumulo está diseñado para escalar. Nos aseguramos de que todos los aspectos de nuestro producto puedan soportar cómodamente petabytes a exabytes de datos, billones de archivos, millones de operaciones y miles de usuarios en docenas de sitios, regiones e implementaciones.
  4. Qumulo está diseñado para la distribución geográfica, lo que permite que equipos ampliamente dispersos colaboren en conjuntos de datos compartidos sin riesgo de corrupción o pérdida de datos.
  5. Qumulo se optimiza automáticamente para obtener el máximo rendimiento. Cada instancia de Qumulo realiza un seguimiento del acceso a los datos mediante un mapa de calor para identificar los bloques de datos a los que se accede con frecuencia. Estos bloques se mueven de forma proactiva mediante un algoritmo de precarga interno: los bloques de datos en medios de almacenamiento a largo plazo se mueven al almacenamiento flash a medida que aumenta su puntuación de calor. Si la puntuación de calor continúa aumentando, los datos que ya están en el almacenamiento flash se mueven de forma proactiva a la memoria del sistema para un acceso aún más rápido. A nivel global, en todas las instancias de Qumulo para todos los clientes de Qumulo, la tasa de aciertos de caché es de aproximadamente el 95 % de todas las solicitudes de lectura.
  6. Qumulo es altamente disponible y estrictamente consistente, diseñado para soportar fallas de componentes en la infraestructura y al mismo tiempo brindar un servicio confiable a los clientes. Lo logramos mediante el uso de abstracción de software, codificación de borrado, tecnologías de red avanzadas y pruebas rigurosas. Cuando los datos se escriben en el sistema de archivos de Qumulo, la operación de escritura no se confirma al servicio, usuario o cliente hasta que los datos se hayan escrito en el almacenamiento persistente. Por lo tanto, cualquier solicitud de lectura posterior dará como resultado una vista coherente de los datos (a diferencia de los modelos eventualmente consistentes).
  7. Qumulo ofrece servicios de archivos independientes de la plataforma para la nube pública, privada e híbrida. El software de Qumulo hace pocas suposiciones sobre la plataforma en la que se ejecuta. Abstrae los recursos de hardware físicos o virtuales subyacentes para aprovechar la mejor infraestructura de nube pública y privada. Esto nos permite aprovechar la rápida innovación en tecnologías de computación, redes y almacenamiento impulsadas por los proveedores de la nube y el ecosistema de fabricantes de componentes.
  8. El modelo de gestión de Qumulo es API primero. Cada capacidad creada por Qumulo se desarrolla primero como un punto final API. Luego presentamos un conjunto seleccionado de esos puntos finales en nuestra interfaz de línea de comandos (CLI) y WebUI, nuestra interfaz visual. Esto incluye la creación de sistemas, gestión de datos, análisis de rendimiento y capacidad, autenticación y accesibilidad a los datos.
  9. Qumulo envía nuevo software de forma rápida y regular. Lanzamos nuevas versiones de nuestro software cada pocas semanas. Esto nos permite responder rápidamente a los comentarios de los clientes, impulsar mejoras constantes en nuestro producto e insistir en que nuestros equipos tengan un código de calidad de producción.
  10. La arquitectura basada en contenedores de Qumulo permite un proceso de actualización único que minimiza las interrupciones para los usuarios y los flujos de trabajo. De forma continua, nodo por nodo, el nuevo software operativo se implementa en un contenedor paralelo a la versión anterior. Una vez que se ha inicializado la nueva instancia, el entorno anterior se cierra correctamente y la actualización continúa hasta el siguiente nodo hasta que se haya actualizado todo el clúster.
  11. El equipo de Éxito del Cliente de Qumulo es altamente receptivo, conectado y ágil. Qumulo tiene la capacidad de monitorear cada implementación de Qumulo de forma remota a través de nuestro servicio Mission Qontrol basado en la nube, que nos permite rastrear pasivamente la telemetría del almacenamiento y el servicio (no tenemos la capacidad de ver ni acceder a los datos del sistema de archivos en ninguna implementación de clientes de Qumulo). Nuestro equipo de Éxito del Cliente utiliza esos datos para ayudar a los clientes en caso de incidentes, brindar información sobre el uso del producto y alertar a los clientes cuando sus sistemas experimentan fallas de componentes. Esta combinación de soporte inteligente e innovación rápida de productos impulsa una puntuación NPS líder en la industria de más de 80.

El sistema de archivos Qumulo

Todos los datos no estructurados almacenados en un sistema de archivos Qumulo se organizan en un único espacio de nombres. Este espacio de nombres es compatible con POSIX para admitir clientes NFS3 y, al mismo tiempo, es compatible con el estándar de lista de control de acceso que utilizan los protocolos NFSv4.1 y SMB.

Qumulo se destaca por varias características clave: su capacidad de escalar un solo espacio de nombres a prácticamente cualquier tamaño, la integración perfecta del análisis del sistema y de los datos en las operaciones del sistema de archivos, el soporte para S3 y protocolos tradicionales como NFS y SMB, y su enfoque innovador para gestionar permisos multiprotocolo.

Operaciones del sistema de archivos

El sistema de archivos de Qumulo fue diseñado desde el principio para escalar sin problemas a una capacidad de más de un exabyte en un único espacio de nombres que puede alojar billones de archivos que se pueden compartir a través de los protocolos NFS y SMB estándar. Además, el sistema de archivos fue diseñado con la capacidad de monitorear de manera eficiente las actualizaciones y acciones del sistema de archivos, y de agregar estadísticas y operaciones basadas en metadatos, lo que permite el análisis de datos y sistemas en tiempo real sin recurrir a recorridos por el árbol que consumen mucho tiempo y recursos.

Escalabilidad del sistema de archivos

Una sola instancia de Qumulo puede escalar a exabytes de capacidad y 264 (~18.4 quintillones) archivos sin ninguno de los problemas comunes a otras plataformas, como agotamiento de inodos, desaceleraciones del rendimiento y largos tiempos de recuperación después de fallas de componentes.

Agregación de metadatos

La arquitectura única de Qumulo rastrea los metadatos en tiempo real a medida que se crean o modifican archivos y directorios. Se resumen los diferentes campos de metadatos para crear un índice virtual. A medida que se producen cambios, se recopilan nuevos metadatos agregados y se propagan desde los archivos individuales a la raíz del sistema de archivos. Se contabiliza cada operación de archivo y directorio, y los cambios resultantes se fusionan inmediatamente en el análisis del sistema. Los resultados, agregados en todo el sistema de archivos, se hacen visibles a través del motor de análisis integrado de Qumulo, lo que brinda visibilidad de datos procesables sin necesidad de costosos recorridos por el árbol de la plataforma de datos de archivos.

La tienda de bloques escalable

Debajo del sistema de archivos de Qumulo hay una capa modular protegida que sirve como interfaz entre miles de millones (o más) de archivos y directorios y el medio de datos físico en el que están almacenados. En la arquitectura modular de Qumulo, la capa de almacenamiento de bloques escalable cumple esta función.

Sistema de transacciones globales

Dado que Qumulo utiliza una arquitectura distribuida y sin uso compartido que garantiza la coherencia inmediata, cada nodo del servicio debe tener una vista globalmente coherente de todos los datos en todo momento. El almacén de bloques escalable aprovecha un enfoque transaccional global para garantizar que, cuando una operación de escritura involucra más de un bloque, la operación escribirá todos los bloques relevantes o ninguno de ellos. Para lograr un rendimiento óptimo, el sistema maximiza el paralelismo y la computación distribuida, al mismo tiempo que mantiene la coherencia transaccional de las operaciones de E/S.

Este enfoque minimiza la cantidad de bloqueo necesario para las operaciones de E/S transaccionales y permite que cualquier implementación de Qumulo se escale a cientos de nodos.

Almacenamiento en caché y captación previa inteligentes

El software de Qumulo incorpora una serie de características inherentes y controles configurables, todos diseñados para proteger los datos del clúster.

  1.  Todos los metadatos, que son los que se leen con mayor frecuencia en cualquier conjunto de datos, residen permanentemente en el nivel flash de la instancia de almacenamiento.
  2. Los bloques virtuales leídos con frecuencia (medidos mediante un “índice de calor” propietario) se almacenan en flash, mientras que los bloques virtuales que se leen con poca frecuencia se mueven a medios más fríos, es decir, el nivel de disco duro del sistema (si está disponible).
  3. A medida que se leen los datos, la instancia de Qumulo monitorea el comportamiento del cliente y captura previamente de manera inteligente nuevos datos en la memoria del sistema en el nodo más cercano al cliente para acelerar los tiempos de acceso.

Implementaciones físicas de Qumulo (clústeres)

En un clúster físico de Qumulo, el almacén de bloques escalable funciona como interfaz entre el sistema de archivos y los medios de almacenamiento subyacentes, que pueden ser dispositivos flash de estado sólido (SSD) o unidades de disco duro (HDD). Esta capa es la principal responsable de garantizar la coherencia de los datos en todos los nodos de un clúster físico, lo que garantiza un rendimiento óptimo tanto para las solicitudes de lectura como de escritura, y de proporcionar seguridad, integridad y resiliencia de los datos frente a fallos de los componentes.

Bloques virtuales protegidos

La capacidad de almacenamiento de un clúster físico de Qumulo está organizada conceptualmente en un espacio de direcciones virtuales protegido. Cada dirección dentro de ese espacio almacena un bloque de datos de 4K o un hash de codificación de borrado de 4K que se puede utilizar para reconstruir cualquier bloque de datos perdido debido a una falla del hardware. La relación entre bloques de datos y bloques de codificación de borrado está determinada por el tamaño del clúster físico: a medida que se agregan más nodos, la relación se ajusta para brindar una mayor eficiencia general y, al mismo tiempo, brindar protección contra fallas de disco y de nodo.

Además de la protección que ofrece la codificación de borrado, el sistema de bloques virtuales también incluye un algoritmo de detección de descomposición de bits para proteger contra la corrupción de datos en el disco.

Instancias de Qumulo basadas en la nube

Para las instancias de Qumulo implementadas en Azure, muchas de las funciones proporcionadas localmente por la capa Scalable Block Storage, como el cifrado en disco, la codificación de borrado, la detección de bit-rot y la administración de bloques, se proporcionan como características principales del Azure subyacente. Servicio de almacenamiento de blobs.

Cifrado en reposo

En los clústeres físicos de Qumulo, Scalable Block Store incluye un algoritmo basado en software AES de 256 bits que cifra todos los datos del sistema de archivos antes de escribirlos en la capa de datos. Este algoritmo se inicializa como parte del proceso inicial de construcción del clúster y abarca todos los datos y metadatos del sistema de archivos a nivel de bloque durante toda la vida útil del clúster.

Los clústeres de Qumulo en la nube dependen del cifrado a nivel de bloque en la capa de almacenamiento de objetos subyacente, implementado y mantenido por el proveedor de servicios en la nube. Esto garantiza que todos los datos en reposo en cualquier instancia de Qumulo basada en la nube estén completamente cifrados.

Para las empresas que lo requieren, el algoritmo de cifrado Qumulo integrado que se utiliza en cada clúster físico cumple con los estándares FIPS 140-2, al igual que los servicios de cifrado que brindan el almacenamiento de objetos de Azure y AWS.

Servicios de datos

La capa de Servicios de datos incluye cinco funciones de gestión: instantáneas, replicación, cuotas, registro de acceso y auditoría, así como análisis de datos y sistemas.

Snapshots

Las instantáneas en un clúster Qumulo se pueden utilizar de varias maneras para proteger los datos del clúster:

  •  Se pueden utilizar localmente para una protección y recuperación de datos rápida y eficiente.
  • Una instantánea de los datos en vivo en un clúster de Qumulo se puede replicar en una instancia secundaria de Qumulo, como una instancia de servicio Azure Native Qumulo Cold, que podría admitir una conmutación por error inmediata de los servicios de datos de archivos en caso de una interrupción del sistema en la ubicación principal. .
  • Las instantáneas de Qumulo también se pueden combinar con software de respaldo de terceros para brindar una protección efectiva a largo plazo (con un control de versiones más sólido para archivos modificados) contra la pérdida de datos.
Las instantáneas se pueden tomar en cualquier momento, ya sea de acuerdo con un cronograma fijo o a pedido, según sea necesario. Cada instantánea conserva todo lo que hay en el sistema de archivos: datos de archivos, entradas de directorio, tiempos de creación y modificación, permisos, etc. Una vez tomada, una instantánea inicialmente no consume espacio. A medida que los archivos dentro de la instantánea cambian con el tiempo, se escriben nuevos datos junto con la versión original y se escriben nuevas entradas en el sistema de archivos que identifican cada versión del mismo archivo.

Bloqueo de instantáneas

Para brindar protección adicional contra ataques de ransomware o eliminación prematura de instantáneas críticas a través de una cuenta de administrador comprometida, las instantáneas se pueden "bloquear" criptográficamente, evitando la alteración o eliminación prematura de una instantánea incluso por parte de un usuario administrativo.

El uso de instantáneas bloqueadas requiere un par de claves criptográficas asimétricas, con la clave pública instalada directamente en la instancia de Qumulo y la clave privada almacenada externamente de acuerdo con las prácticas de administración de claves establecidas por la propia organización.

Cuotas

Las cuotas permiten a los usuarios controlar el crecimiento de cualquier subconjunto de un espacio de nombres Qumulo. Las cuotas actúan como límites independientes en el tamaño de cualquier directorio, evitando el crecimiento de datos cuando se alcanza el límite de capacidad. A diferencia de otras plataformas y servicios, las cuotas de Qumulo entran en vigor instantáneamente, lo que permite a los administradores identificar cargas de trabajo no autorizadas a través de nuestro análisis de capacidad en tiempo real y detener instantáneamente el uso desmedido de la capacidad. Las cuotas incluso siguen la parte del espacio de nombres que cubren cuando se mueven o se renombran directorios.

Registro de acceso y auditoría

El registro de auditoría proporciona un mecanismo para realizar un seguimiento de los eventos del sistema de archivos y las operaciones de administración de Qumulo. A medida que los clientes conectados envían solicitudes al clúster, los mensajes del registro de eventos describen cada operación intentada. Estos mensajes de registro se envían a través de la red a una instancia de syslog remota designada, por ejemplo, una plataforma de administración de eventos e información de seguridad (SIEM) estándar de la industria como Splunk.

Detección de intrusiones y ransomware en tiempo real

Qumulo se ha asociado con proveedores externos Superna y Varonis para permitir el monitoreo en tiempo real de eventos y registros de acceso para identificar y responder a los ciberataques. Para obtener más información sobre Varonis con nuestra solución Azure Native Qumulo, visite nuestro Integración de Varonis con ANQ página. Hay información disponible sobre Superna Ransomware Defender aquí.

Replicación

El servicio de replicación integrado de Qumulo puede copiar datos a gran escala entre dos instancias de almacenamiento de Qumulo. Además de proteger los datos contra ciberataques, una ubicación secundaria con otro clúster de Qumulo también puede servir como almacenamiento de conmutación por error en caso de una interrupción a nivel de sitio.

Dado que todas las instancias de Qumulo admiten las mismas características de replicación y brindan los mismos servicios independientemente de la ubicación, la replicación se puede configurar para que se ejecute en cualquier dirección entre dos puntos finales de Qumulo, ya sea en las instalaciones, en AWS o en Azure.

Replicación continua

Esta forma de replicación simplemente toma una instantánea de los datos en el clúster de origen de Qumulo y la copia en un directorio en un clúster de destino. Mientras la relación de replicación esté activa, el sistema escanea los archivos modificados para identificar y copiar solo los cambios específicos en el destino, sobrescribiendo las versiones anteriores de los datos.

Replicación basada en instantáneas

Con la replicación basada en instantáneas, también se toman instantáneas del directorio de destino en el clúster secundario. Una vez que se ha completado un trabajo de replicación, se crea una nueva instantánea del directorio de destino, lo que garantiza la coherencia de los datos en ambos clústeres y, al mismo tiempo, mantiene un registro de cambios y un historial de versiones para cada archivo en el destino.

Análisis de sistemas y datos.

La pila de software de Qumulo está diseñada para ofrecer información en tiempo real sobre las métricas del sistema y del servicio, incluida la capacidad y el rendimiento, en cada instancia de Qumulo. Esto permite a los clientes solucionar problemas de aplicaciones, gestionar el consumo de capacidad y planificar estrategias de expansión (o archivado). Los análisis de Qumulo se basan en la agregación de cambios de metadatos en todo el sistema de archivos a medida que ocurren.

La interfaz web incluye herramientas de monitoreo en tiempo real para rastrear el rendimiento del sistema, el uso de la capacidad y la actividad actual en la instancia local de Qumulo. Para las empresas que deseen exportar esta información a una solución de monitoreo externa, Qumulo admite el estándar API OpenMetrics para exportar y compilar datos de syslog.

Gestión de instancias y servicios de datos

Como servicio de almacenamiento de datos de archivos estándar de la industria, Qumulo admite todos los protocolos de acceso a datos no estructurados: SMB, NFS y NFSv4.1. También admite el acceso a objetos mediante el protocolo estándar S3. Qumulo también admite el acceso a FTP y API REST para seleccionar tipos de datos.

Gestión del sistema

Cualquier instancia de Qumulo, ya sea local o en la nube, se puede administrar utilizando las mismas herramientas estándar: una interfaz de usuario web integrada para almacenamiento interactivo y administración de datos, una biblioteca de comandos basada en CLI o un conjunto de API. herramientas administrativas.

Interfaz de usuario web

Qumulo ofrece una interfaz de administración basada en navegador, a la que se accede desde la propia instancia de almacenamiento sin necesidad de una máquina virtual o servicio independiente. La interfaz de usuario web intuitiva está organizada en torno a seis secciones de navegación de nivel superior: Panel de control, Análisis, Uso compartido, Clúster, API y herramientas, y Soporte.

Interfaz de línea de comandos (CLI)

La CLI de Qumulo es compatible con la mayoría (pero no con toda) de la biblioteca API y está enfocada en la administración del sistema. La CLI ofrece un método de interacción programable para trabajar con una instancia de Qumulo. Puede encontrar una lista completa de comandos en nuestra Base de conocimientos (care.qumulo.com).

REST API

La API REST es un superconjunto de todas las capacidades de la plataforma de datos Qumulo. Desde la API, los administradores pueden:

  •  Crear un espacio de nombres
  • Configurar todos los aspectos de un sistema (desde la seguridad, como los servicios de identidad y los roles de administración del sistema, hasta la administración y protección de datos, incluidas las cuotas, las políticas de instantáneas y/o la replicación de datos)
  • Recopilar información sobre la instancia de destino de Qumulo (incluidos los puntos críticos de rendimiento y utilización de la capacidad)
  • Acceso a datos (incluidas operaciones de lectura y escritura)
  • La API se “autodocumenta”, lo que facilita a los desarrolladores y administradores explorar cada punto final (y ver ejemplos de resultados). Qumulo mantiene una colección de ejemplos de uso de nuestra API en GitHub (https://qumulo.github.io/).
Para obtener más información sobre el uso de la biblioteca API de Qumulo, la CLI y el portal de administración web, visite el portal de documentación de Qumulo (https://docs.qumulo.com).

Nexo Qumulo

A medida que los clientes de Qumulo pasan cada vez más a operaciones empresariales multicloud y multisitio, necesitan reducir la complejidad de monitorear la disponibilidad y las métricas de servicio de cada instancia de Qumulo a través de interfaces de administración independientes. Con Qumulo Nexus, los clientes pueden consolidar las operaciones de monitoreo para todas sus instancias de Qumulo, ya sea en las instalaciones, en el borde o en la nube, en un único portal de administración que ofrece los mismos análisis en tiempo real y la misma visibilidad de datos que la interfaz web local.

Seguridad y gestión de acceso

El software de Qumulo incorpora varias características inherentes y controles configurables, todos diseñados para proteger el acceso a los datos del clúster.

Funciones de seguridad de datos de Qumulo

Cada instancia de Qumulo, ya sea local o en la nube, aprovecha un par de controles que garantizan que todos los datos dentro del sistema de archivos estén protegidos contra corrupción, pérdida o intrusión en el nivel de almacenamiento de datos.

integración de Active Directory

El modelo de acceso de seguridad de Qumulo fue diseñado para aprovechar Microsoft Active Directory (AD) tanto para los derechos y permisos administrativos como para los de usuario. Además de los beneficios obvios de tener una única fuente de registro para todas las cuentas de usuario, el uso de AD para la administración de privilegios y permisos respalda las mejores prácticas de la industria para lo siguiente:

  •  Integración perfecta con protocolos de gestión de identidad y autenticación basados ​​en Kerberos
  • Integración con proveedores de acceso SSO y MFA
  • El uso de permisos basados ​​en listas de control de acceso para clientes SMB y NFSv4.1 para datos del sistema de archivos

Cifrado de datos a través de la red

Incluso con las configuraciones adecuadas de seguridad a nivel de datos y recursos compartidos implementadas, algunas empresas necesitan una capa adicional de seguridad de datos para protegerlos del acceso no autorizado. Para esos entornos, Qumulo también admite el cifrado de datos por cable hacia y desde clientes compatibles.

Para los recursos compartidos SMB3, Qumulo admite el cifrado tanto a nivel de clúster como por recurso compartido cuando sea necesario. Las exportaciones NFSv4.1 que requieren seguridad mejorada se pueden configurar para utilizar firmas de paquetes krb5i que garantizan la integridad de los datos o cifrado de paquetes basado en krb5p para evitar la intercepción durante el tránsito.

Todo el tráfico basado en objetos se cifra automáticamente utilizando los estándares de cifrado TLS/HTTPS estándar.

Autenticación y control de acceso

El acceso a los datos en el sistema de archivos Qumulo, así como el acceso al sistema de almacenamiento Qumulo, utiliza protocolos de acceso y autenticación estándar de la industria, lo que garantiza una gestión de acceso de nivel empresarial, control de identidad y auditabilidad.

Seguridad Administrativa

Los derechos y privilegios a nivel del sistema se otorgan según la membresía en uno o más grupos locales en la instancia individual de Qumulo. Los derechos administrativos se otorgan a todas las cuentas locales y de dominio que son miembros del grupo de administradores integrado del clúster.

Usuarios administrativos a nivel de dominio

La mayoría de las políticas de seguridad empresarial requieren que la administración y gestión de los sistemas empresariales críticos sigan una política de un solo usuario y una sola cuenta para garantizar registros precisos del acceso al sistema y el uso de privilegios. El método más sencillo para cumplir con esta política es agregar las cuentas de usuario de Active Directory relevantes al grupo de administradores local del clúster.

Usuarios administrativos locales

Cada instancia de Qumulo viene con una cuenta predeterminada, llamada Admin, al que se le asigna automáticamente la membresía en el grupo de administradores local y tiene todos los derechos y privilegios administrativos en el clúster.

Inicio de sesión único con autenticación multifactor

El inicio de sesión único (SSO) elimina la necesidad de que un administrador vuelva a ingresar sus credenciales de inicio de sesión para obtener acceso al sistema. Las empresas quieren SSO no sólo porque agiliza el proceso de inicio de sesión, haciendo que sea más conveniente para los administradores autenticarse, sino también porque reduce el riesgo de robo de cuentas a través de registradores de pulsaciones de teclas o interceptación cuando el intento de inicio de sesión atraviesa la red.

La autenticación de múltiples factores (MFA) agrega otra capa de seguridad al proceso de inicio de sesión. Requiere que los usuarios administradores recuperen un código de un solo uso a partir de un token de clave o de una solicitud de desafío en un dispositivo independiente, ninguno de los cuales estaría en posesión de un intruso.

La solución SSO de Qumulo se integra con Active Directory a través del Lenguaje de marcado de afirmación de seguridad (SAML) 2.0. Para MFA, los clientes pueden aprovechar cualquier proveedor de identidad (IdP) que se integre con el dominio de AD registrado en el clúster, incluidos, entre otros, OneLogin, Okta, Duo y Azure AD.

fichas de acceso

Para simplificar el proceso de almacenamiento automatizado y administración de datos a través de la funcionalidad API de Qumulo, Qumulo ofrece a los administradores la opción de generar un token API de larga duración que puede ser utilizado indefinidamente por flujos de trabajo automatizados hasta que la clave sea revocada o eliminada. El token es generado por un administrador a través de CLI y puede adjuntarse a cada flujo de trabajo basado en API, que ahora puede realizar llamadas API autenticadas sin tener que iniciar sesión.

Para fines de auditoría, cada token se asigna a una cuenta de AD o clúster específica. Si se elimina o desactiva la cuenta de usuario asociada, el token de acceso dejará de funcionar.

Control de acceso basado en roles

El control de acceso basado en roles (RBAC) permite a los administradores asignar privilegios específicos a usuarios o grupos no administrativos que requieren derechos elevados en el clúster para tareas de administración específicas. El uso del modelo RBAC permite la delegación segura de privilegios según sea necesario sin necesidad de otorgar derechos administrativos completos. También permite a las empresas otorgar los privilegios necesarios del sistema al tiempo que garantiza un registro de auditoría verificable del acceso y el uso de privilegios.

Gestión de acceso a datos

Qumulo utiliza el mismo modelo de seguridad para administrar el acceso a los datos del sistema de archivos, utilizando prácticas, protocolos y herramientas estándar de la empresa para administrar y rastrear el acceso a todos los archivos y directorios del sistema.

Listas de control de acceso

Para cargas de trabajo compartidas a través de SMB y NFSv4, Qumulo admite la autenticación a través de Active Directory y listas de control de acceso (ACL) de estilo Windows que se pueden compartir entre ambos protocolos.

Mejoras de Kerberos

Todas las solicitudes de datos SMB y NFSv4.1, si se originan en un cliente Windows o Linux que está unido al mismo dominio que el clúster Qumulo (o unido a un dominio confiable), se autentican mediante la administración de identidades de usuario basada en Kerberos.

Soporte de permisos multiprotocolo

Qumulo admite que los mismos datos en el sistema de archivos estén disponibles a través de múltiples protocolos simultáneamente. En muchos casos, un recurso compartido SMB en el clúster también se puede configurar como una exportación NFSv3, una exportación NFSv4.1 y un contenedor de almacenamiento de objetos. Si bien esto maximiza la flexibilidad del clúster, hay algunas consideraciones que deben tenerse en cuenta cuando se trata de administrar permisos.

SMB y NFSv4.1 utilizan el mismo modelo de permisos basado en ACL, en el que el acceso se otorga o deniega al usuario en virtud de la membresía de la cuenta de Active Directory del usuario en uno o más grupos cuyo acceso se ha configurado en el nivel de datos.

Sin embargo, en el caso de cargas de trabajo SMB/NFSv3 mixtas, puede haber una discrepancia entre los permisos de ACL de un archivo o directorio determinado y sus configuraciones POSIX. Se puede configurar una instancia de Qumulo para operaciones en modo mixto, en las que los permisos SMB y POSIX se mantienen por separado para los archivos y directorios que se comparten entre ambos protocolos.

Para cargas de trabajo de protocolo mixto, el modelo de permisos multiprotocolo (MPP) patentado de Qumulo conserva las ACL y la herencia de SMB incluso si se modifican los permisos de NFS.

Permisos de acceso a objetos

Si un directorio del clúster se comparte a través del protocolo S3, se lo trata como un depósito S3 y todos los subdirectorios y archivos dentro de ese directorio se tratan como objetos dentro del depósito.

Cuando un usuario o flujo de trabajo intenta acceder a un objeto, el sistema utiliza la clave de acceso proporcionada por el cliente para identificar el Active Directory asignado de la clave o el ID de usuario local, y luego verifica ese ID con la lista de control de acceso SMB/NFSv4.1 del objeto.

Restricciones de tráfico de gestión

Además de utilizar la autenticación basada en SSO y MFA de cuentas administrativas designadas, Qumulo también admite políticas de seguridad que requieren la restricción del acceso a nivel de administrador a redes o VLAN específicamente designadas al ofrecer la capacidad de bloquear puertos TCP específicos en un nivel de VLAN individual.

De esta manera, se puede configurar una instancia de Qumulo para segmentar el tráfico de administración (por ejemplo, API, SSH, UI web y tráfico de replicación) del tráfico del cliente (por ejemplo, SMB, NFS y acceso a objetos).

Tejido de datos en la nube

En un mundo interconectado y de múltiples nubes, los equipos, aplicaciones y equipos dispersos geográficamente necesitan la capacidad de colaborar en conjuntos de datos compartidos sin la latencia de una conexión WAN o la larga espera para replicar datos a escala entre sitios.

Cloud Data Fabric (CDF) de Qumulo extiende el sistema de archivos escalable de Qumulo a dos o más instancias de Qumulo, lo que permite que equipos y flujos de trabajo dispersos geográficamente compartan un único conjunto de datos en tiempo real. CDF no solo ofrece acceso de baja latencia a datos críticos entre instancias de Qumulo locales, en el borde y en la nube; en muchos casos, elimina por completo la necesidad de una replicación a gran escala en flujos de trabajo compartidos.

CDF unifica uno o más conjuntos de datos compartidos en sitios, nubes, plataformas y geografías, lo que permite que los datos estén disponibles para equipos, aplicaciones y organizaciones que necesitan colaborar en tiempo real. El uso de CDF permite a las empresas minimizar el tráfico de la WAN y, al mismo tiempo, simplificar la gestión de datos y seguridad entre sitios.

Espacio de nombres global

La estructura de datos en la nube de Qumulo permite un espacio de nombres verdaderamente global en el que se comparten conjuntos de datos críticos entre instancias de Qumulo en todas partes: en el centro de datos, en la nube y en el borde. El espacio de nombres global de Qumulo utiliza características innovadoras únicas que se combinan para permitir la visibilidad de los datos en tiempo real y la colaboración mundial en los datos compartidos.

Sincronización de metadatos

En lugar de sincronizar datos de archivos y carpetas inmediatamente en todas las instancias que comparten un conjunto de datos determinado, la implementación del espacio de nombres global de Qumulo inicialmente replica solo los metadatos entre los puntos finales de Qumulo, lo que permite a los clientes remotos ver la estructura completa de archivos y carpetas de los conjuntos de datos remotos con solo unos pocos milisegundos de retraso.

Bloqueo distribuido

Para garantizar la integridad de los datos en un entorno distribuido donde cualquier usuario o aplicación puede modificar cualquier archivo en múltiples ubicaciones, CDF utiliza un algoritmo de bloqueo que coordina el acceso a los archivos en todos los puntos finales. Esto garantiza que cada transacción de datos esté autorizada, registrada y sea estrictamente coherente con todas las acciones anteriores.

Seguridad de los datos

La replicación de metadatos del sistema de archivos entre puntos finales también replica las listas de control de acceso (SMB y NFSv4.1) y los permisos POSIX. Si todos los usuarios del portal comparten la misma fuente de autenticación, el acceso a los datos se transfiere automáticamente entre puntos finales.

Si se elimina un portal, se cancelan los vínculos a todos los puntos finales de radio y se eliminan todos los datos almacenados en caché localmente de cada radio. A menos que también se elimine el recurso compartido o la exportación subyacente, los datos permanecen en la instancia de Qumulo que funcionó como punto final del concentrador.

Portales de datos

El enfoque exclusivo de Cloud Data Fabric para el acceso unificado a los datos se basa en portales de datos. Los portales se publican a nivel de cada recurso compartido SMB o exportación NFS (o ambos, ya que Qumulo también ofrece el uso compartido de datos multiprotocolo). La creación de un portal CDF hace que los datos dentro de ese recurso compartido o exportación estén disponibles para una o más instancias adicionales de Qumulo.

Los portales CDF pueden admitir casos de uso tanto de solo lectura como bidireccionales.

Puntos finales del portal

Los portales de Cloud Data Fabric se crean utilizando una topología de concentrador y radios, en la que una instancia de Qumulo (el "concentrador") actúa como propietario autorizado de los datos del portal y coordina todas las operaciones de acceso a los datos en todos los puntos finales del portal. Cada portal tiene un único concentrador, con uno o más puntos finales "radiales" que actúan como extensiones del espacio de nombres del portal.

Para crear un nuevo portal, un administrador identifica el recurso compartido o la exportación específicos en el centro que se publicarán, asigna al menos un punto final adicional de Qumulo como radio y designa el nuevo portal como de solo lectura o bidireccional. Se pueden agregar instancias adicionales de Qumulo al portal como radios según corresponda.

Cada punto final de un portal CDF también puede funcionar como una instancia de almacenamiento de Qumulo independiente, que aloja recursos compartidos y/o exportaciones adicionales restringidas al uso exclusivo de clientes locales.

Registro con diario

Todas las operaciones del sistema de archivos dentro de un portal determinado se rastrean a través de un mecanismo de registro distribuido. Cada evento de acceso a datos (creación, lectura, modificación, eliminación, etc.) se registra en el registro compartido y se replica en todos los demás puntos finales del portal.

Seguimiento del tiempo lógico

El uso de un desfase horario lógico compartido para coordinar eventos en todos los puntos finales, en lugar de una marca de tiempo física absoluta, garantiza que las transacciones de datos se apliquen en el orden correcto en todos los nodos de todos los puntos finales sin tener que conciliar las diferencias de zona horaria o los desfases horarios entre las diferentes instancias de Qumulo.

Registro y recuperación lógicos

Si un radio del portal pierde la conectividad con el concentrador, los datos del portal no están disponibles para ninguno de los clientes de ese radio. En el resto de los puntos finales del portal, el archivo de registro distribuido continúa rastreando los cambios en los datos dentro del portal.

Al reconectarse, el radio afectado reproducirá los eventos en el registro en la secuencia adecuada para conciliar sus datos almacenados en caché local con el resto de los puntos finales del portal.

Optimización de transferencia

Cloud Data Fabric se diseñó para aprovechar al máximo el ancho de banda limitado y brindar acceso de alto rendimiento y baja latencia a datos remotos a gran escala, incluso en empresas ampliamente distribuidas. Para lograrlo, espera a que los clientes soliciten los datos específicos del portal que necesitan, almacena en caché solo los datos relevantes de manera local en cada punto final y replica solo los bloques de datos modificados entre puntos finales en lugar de archivos o conjuntos de datos completos.

Almacenamiento en caché local

El primer acceso a los datos desde un punto final remoto hace que el archivo o la carpeta solicitados se "extraigan" a través de la red y se almacenen en caché en el punto final local de Qumulo. Suponiendo que no haya cambios en los datos después del primer acceso, todas las solicitudes de acceso posteriores para los mismos datos se atenderán desde la memoria caché local.

Sistemas de archivos dispersos

Cada radio crea un sistema de archivos de sombra, independiente de cualquier otro dato de archivo que aloje localmente, que contiene los metadatos del portal, así como cualquier dato del portal almacenado en caché local. La instancia local utiliza un mapa de calor, similar pero independiente del sistema de almacenamiento en caché inteligente que optimiza el rendimiento de lectura para el sistema de archivos local, para monitorear la frecuencia con la que se accede a los datos almacenados en caché.

El tamaño de este sistema de archivos dispersos varía según la capacidad de almacenamiento disponible de la instancia específica de Qumulo. A medida que se solicitan nuevos datos del portal y el sistema de archivos dispersos se llena, los datos más antiguos se eliminan de la memoria caché para garantizar un rendimiento óptimo para los nuevos datos entrantes.

Almacenamiento en caché predictivo

A medida que los clientes y las aplicaciones locales acceden a los archivos y las carpetas, cada punto final supervisa qué datos del portal se agregan de forma pasiva a la memoria caché del sistema de archivos disperso a lo largo del tiempo y comienza a identificar patrones en el comportamiento de los clientes y las aplicaciones. CDF utiliza estos patrones de acceso para anticipar qué bloques de datos es probable que se soliciten a continuación y recupera de forma preventiva esos bloques en la memoria caché del sistema de archivos disperso antes de que se soliciten.

Hardware del servidor

El software de Qumulo funciona prácticamente en cualquier hardware estándar de nivel empresarial basado en x86-64, aunque los clientes que buscan disponibilidad y rendimiento óptimos deben consultar directamente con Qumulo antes de elegir la configuración de hardware adecuada.

El sistema operativo Linux subyacente está bloqueado, lo que permite solo las operaciones necesarias para realizar las tareas de soporte requeridas del entorno de software Qumulo. Otros servicios estándar de Linux se han desactivado para reducir aún más la superficie de riesgo de un ataque.

Pila de software totalmente nativa

Aunque Linux incluye componentes de código abierto para proporcionar servicios de servidor y cliente tanto NFS como SMB (por ejemplo, Samba, Ganesha, etc.), estos servicios no están incluidos en la imagen reforzada de Ubuntu que admite el entorno de software Qumulo. Qumulo desarrolla y controla todo el código utilizado para los protocolos de acceso a datos NFS, SMB, FTP y S3, en el entorno operativo Qumulo.

Actualizaciones instantáneas

El proceso de desarrollo iterativo de Qumulo es simple y optimizado, y se lanzan nuevas actualizaciones de software con regularidad. Esto permite una rápida innovación para desarrollar e implementar nuevas funciones y promueve una plataforma de almacenamiento más segura.

Qumulo diseñó el proceso de actualización para que sea rápido y sencillo. La pila de software Qumulo Core está completamente en contenedores, lo que permite la actualización de un clúster completo en 20 segundos, independientemente del tamaño. Se elimina la necesidad de realizar reversiones, ya que la funcionalidad y la estabilidad de la versión actualizada se pueden validar por completo antes de que se desactive la versión anterior.

Ver Qumulo en acción con una demo

Solicitar demo
Ir al Inicio