加密卷的复制制造技术

一种技术包括设立第一存储节点与第二存储节点之间的复制伙伴关系。所述复制伙伴关系包括使用远程因特网协议地址、基本端口和识别密钥对来建立所述第一存储节点与所述第二存储节点之间的安全连接。对于一组一个或多个预先建立的端口偏移中的第一端口偏移，然后可以部分地通过相对于基本端口(例如，公知的TCP/IP端口)添加预先建立的端口偏移来创建端口转发配置。对于所述一个或多个预先建立的端口偏移中的每个剩余实例，可以重复这个过程。可以使用所述基本端口或所述预先建立的端口偏移中的至少一者在所述第一存储节点与所述第二存储节点之间交换加密密钥。可以使用所建立的通信信道安全地执行所述第一存储节点与所述第二存储节点之间的复制。

Replication of encrypted volumes

【技术实现步骤摘要】
加密卷的复制
本公开总体上涉及数据备份和恢复，更具体，涉及加密卷的复制。
技术介绍
计算机网络可以具有备份和恢复系统，以便在网络上的数据变得损坏、被重写、受到病毒攻击等时将数据恢复到先前的一致状态。备份数据可以存储在与源数据不同的地理位置处。例如，计算机网络的给定一组存储节点的备份数据可以存储在地理上远程的基于云的一组或一群存储节点中。将备份存储在地理上不同的位置可能涉及建立数据的来源与存储数据的副本以用于备份目的的每个位置之间的信任关系。
技术实现思路
在一个方面，本公开提供一种方法，包括：设立第一存储节点与第二存储节点之间的复制伙伴关系，其中，设立所述复制伙伴关系包括：使用远程因特网协议地址、基本端口号和识别密钥对来建立所述第一存储节点与所述第二存储节点之间的安全连接；部分地通过将一组预先建立的端口偏移之一添加到所述基本端口号来创建相对于所述安全连接的端口转发配置；使用所述端口转发配置在所述第一存储节点与所述第二存储节点之间交换加密密钥；以及对于所述一组预先建立的端口偏移中的每个剩余实例，重复所述端口转发配置的创建。在另一个方面，本公开提供一种设备，包括：至少一个处理器；以及存储器，所述存储器存储指令，所述指令在被所述至少一个处理器执行时使所述至少一个处理器：设立第一存储节点与第二存储节点之间的复制伙伴关系，其中，用于使所述至少一个处理器设立所述复制伙伴关系的所述指令包括使所述至少一个处理器进行以下操作的指令：使用远程因特网协议地址、基本端口号和识别密钥对来建立所述第一存储节点与所述第二存储节点之间的安全连接；对于一组预先建立的端口偏移，部分地通过添加预先建立的端口偏移来创建相对于所述安全连接的端口转发配置；对于所述一组预先建立的端口偏移中的每个剩余实例，重复所述端口转发配置的创建；以及使用与至少一个预先建立的端口偏移相关联的至少一个通信信道在所述第一存储节点与所述第二存储节点之间交换加密密钥。在再一个方面，本公开提供一种非暂时性存储介质，所述非暂时性存储介质存储指令，所述指令在被机器执行时使所述机器：设立第一存储节点与第二存储节点之间的复制伙伴关系，其中，用于设立所述复制伙伴关系的所述指令包括用于以下操作的指令：使用远程因特网协议地址、基本端口号和识别密钥对来建立所述第一存储节点与所述第二存储节点之间的安全连接；对于一组一个或多个预先建立的端口偏移，部分地通过相对于所述基本端口添加预先建立的端口偏移来创建端口转发配置；对于所述组中的每个剩余实例，重复所述端口转发配置的创建；以及使用所述端口转发配置在所述第一存储节点与所述第二存储节点之间交换加密密钥。附图说明当结合附图阅读以下详细描述时，可以更好地理解本公开。应强调，根据行业中的标准惯例，各种特征并未按比例绘制。实际上，可以基于设计、安全性、性能或计算机系统领域中已知的其他因素来重新定位或组合功能属性的尺寸或位置。此外，可以针对某些功能在内部以及关于彼此改变处理顺序。即，一些功能可能不需要串行处理，并且因此可以按不同于所示出的顺序执行或可能彼此并行地执行。为了详细地描述各种示例，现在将参考附图，在附图中：图1是根据示例实施方式的与复制伙伴关系相关联的环境的示意图；图2是根据示例实施方式的本地和远程端口转发的图示；图3A描绘了根据示例实施方式的由用户经由浏览器执行以设立复制伙伴关系的技术的流程图，其中，复制数据通过公用网络通信传送。图3B描绘了根据示例实施方式的由代理方执行以设立复制伙伴关系的技术的流程图。图3C描绘了根据示例实施方式的由代理服务器执行以启动复制伙伴关系的技术的流程图。图4是描绘根据示例实施方式的用于设置复制伙伴关系的代理服务器的技术的流程图，其中，复制数据通过公用网络通信传送。图5是根据示例实施方式的提供用于复制伙伴关系的存储阵列的代理的设备的示意图。图6是根据示例实施方式的存储在非暂时性存储介质上的指令的图示，所述指令可由机器执行以设置用于在存储节点之间通信传送复制数据的安全网络隧道。图7A是表示根据示例实施方式的当在两个复制伙伴之间建立了隧道连接时将预先建立的端口偏移用于这两个复制伙伴之间的端口转发配置的详细示例的功能框图；图7B是进一步示出根据示例实施方式的使用预先建立的端口偏移的示例值的图7A的示例的功能框图。图8是示出根据示例实施方式的建立复制伙伴之间的安全通信信道并且在开始协商其他端口转发配置之前用预先建立的端口偏移来配置端口转发的示例流程图；图9是根据示例实施方式的具有硬件处理器和可访问的机器可读指令的示例计算装置，所述可访问的机器可读指令可以用来建立复制伙伴之间的安全通信信道；图10表示根据一个或多个公开的实施方式的可以用来实施所公开的复制技术的全部或一部分的计算机网络基础设施；并且图11示出了可以用来实施本公开的功能、模块、处理平台、执行平台、通信装置以及其他方法和过程的计算机处理装置。具体实施方式现在将公开下文要求的主题的示例，并且然后将参考附图解释具体的非限制性实施方式。为清晰起见，并非本说明书的每个示例中都描述实际实施方式的所有特征。应了解，在任何此类实际示例的开发中，可以作出许多实施方式特定的决定，以实现在不同实施方式之间将不同的开发人员的具体目标，诸如遵守系统相关和业务相关约束。此外，应了解，此类开发工作虽然复杂且耗时，但对于受益于本公开的普通技术人员而言将是常规任务。上述信任关系可以允许具有源数据的计算机确保它们将备份数据发送到被信任能安全地存储数据的远程计算机。允许数据在地理上分散的位置之间移动通常包括数据通过公用因特网的至少一部分行进。当在网络的因特网部分上时，数据可能会受到未知方的拦截。此外，在这些公用网络上移动的数据可能含有机密信息。为了避免可能含有机密信息的数据被拦截，有时通过加密通信信道来执行数据传输。可以在数据的来源与存储数据的副本以便备份的每个位置之间创建了信任关系时建立并启用这个加密通信信道。除了上述传输加密之外，还可以向存储在来源处的数据应用更多的加密级别。商业应用通常期望存储在计算机上的数据在它被写到存储介质时加密。结果就是，数据的复制副本也必须存储为加密数据。数据的复制副本可以是源数据的精确副本，并且因此在这种情形下，必须以使用相同加密的相同加密形式存储。所公开的技术为与维持复制的加密卷相关联的安全性、可靠性、性能和整体系统管理任务提供灵活性和改进。计算机网络的一组一个或多个存储节点可以被配置成具有地理上远程的一组一个或多个存储节点的复制伙伴。归因于这个伙伴关系，复制数据可以在复制伙伴之间通信传送，使得一般来说，每个复制伙伴存储相同的数据。作为示例，计算机网络的一组存储节点可以与一组或一群基于云的存储节点具有复制伙伴关系。以此方式，计算机网络的存储节点组可以是本地复制伙伴，并且在数据在本地复制伙伴上改变时，本地复制伙伴可以将复制数据通信传送到基于云的存储节点，所述基于云的存储节点是远程复制伙伴。一般来说，复制本文档来自技高网...

【技术保护点】
1.一种方法，包括：/n设立第一存储节点与第二存储节点之间的复制伙伴关系，其中，设立所述复制伙伴关系包括：/n使用远程因特网协议地址、基本端口号和识别密钥对来建立所述第一存储节点与所述第二存储节点之间的安全连接；/n部分地通过将一组预先建立的端口偏移中的一个添加到所述基本端口号来创建相对于所述安全连接的端口转发配置；/n使用所述端口转发配置在所述第一存储节点与所述第二存储节点之间交换加密密钥；以及/n对于所述一组预先建立的端口偏移中的每个剩余实例，重复所述端口转发配置的创建。/n

【技术特征摘要】
20181026 US 16/171,7931.一种方法，包括：
设立第一存储节点与第二存储节点之间的复制伙伴关系，其中，设立所述复制伙伴关系包括：
使用远程因特网协议地址、基本端口号和识别密钥对来建立所述第一存储节点与所述第二存储节点之间的安全连接；
部分地通过将一组预先建立的端口偏移中的一个添加到所述基本端口号来创建相对于所述安全连接的端口转发配置；
使用所述端口转发配置在所述第一存储节点与所述第二存储节点之间交换加密密钥；以及
对于所述一组预先建立的端口偏移中的每个剩余实例，重复所述端口转发配置的创建。


2.如权利要求1所述的方法，其中，先使用具有从所述安全连接转发的所述端口转发配置的一个或多个端口进行密钥交换，然后再允许在所述端口上复制加密卷。


3.如权利要求1所述的方法，进一步包括：协商从所述第一存储节点到第三存储节点的附加端口映射。


4.如权利要求1所述的方法，进一步包括：配置与所述第二存储节点相关联的代理服务器以在公用网络上建立用于所述复制伙伴关系的安全通信信道。


5.如权利要求4所述的方法，其中，配置所述代理服务器包括：
将用于认证所述第一存储节点使用所述安全通信信道的凭证存储在所述代理服务器中；以及
建立要在所述安全通信信道中在所述第一存储节点与所述第二存储节点之间通信传送复制数据时使用的端口转换；以及
将复制伙伴关系信息通信传送到所述第二存储节点。


6.如权利要求4所述的方法，其中，配置所述代理服务器进一步包括：
将与所述第一存储节点相关联的密钥通信传送到所述代理服务器。


7.如权利要求4所述的方法，其中，配置所述代理服务器进一步包括：向所述代理服务器通信传送表示与所述第一存储节点相关联的复制伙伴关系标识和与所述第一存储节点相关联的复制伙伴关系凭证的数据。


8.如权利要求1所述的方法，进一步包括：开始所述第一存储节点与所述第二存储节点之间的针对加密卷的复制。


9.如权利要求1所述的方法，其中，创建所述端口转发配置包括：配置与所述第二存储节点的公用因特网协议(IP)地址相关联的本地隧道端口转换和反向隧道端口转换。


10.如权利要求1所述的方法，进一步包括：提供可通过公用网络访问的门户，以接收表示所述第一存储节点的凭证的数据。


11.一种设备，包括：
至少一个处理器；以及
存储器，所述存储器存储指令，所述指令在被所述至少一个处理器执行时使所述至少一个处理器：
设立第一存储节点与第二存储节点之间的复制伙伴关系，其中，用于使所述至少一个处理器设立所述复制伙伴关系的所述指令包括使所述至少一个处理器进行以下操作的指令：
使用远程因特网协...

【专利技术属性】
技术研发人员：K·考夫曼，N·张，C·梅迪纳阿布卡里安，
申请(专利权)人：慧与发展有限责任合伙企业，
类型：发明
国别省市：美国;US