华为私有云sftp第三方备份服务器配置

1、准备工作

a.linux服务器（centos7.5-1804）

b.putty工具(根据个人习惯选择即可)

2、a.创建用户、目录等信息

#groupadd sftp   #创建sftp组
#useradd -g sftp -s /bin/false sftpuser   #创建用户并加入到sftp组中
#echo 123456 |passwd --stdin sftpuser  #修改密码为123456示例
#mkdir /datas    #创建datas目录（该目录为非根分区目录，非日志分区目录，否则会导致分区空间不足时OS无法使用）

#chmod 755 /datas  #设置目录权限(别问不是乱杀777问题不大)
#mkdir /datas/backup #创建备份目录
#usermod -d /datas/backup sftpuser  #修改用户sftpuser所在的家目录

b.修改sshd_config文件

#cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak  #修改配置文件前一定要备份，一定要备份，一定要备份 ；这非常重要

执行vi /etc/ssh/sshd_config命令，打开sshd_config文件。
按“i”，进入编辑模式。
去掉PasswordAuthentication前的#号并修改为yes
修改前：#PasswordAuthentication no
修改后：PasswordAuthentication yes

去掉MaxSessions前的#号并修改为500
修改前：#MaxSessions 10
修改后：MaxSessions 500  #最大会话数，比如输入账号密码后建立的会话

将MaxStartups配置项的值修改为2000。
修改后：MaxStartups  2000  #最大连接数，例如输入账号等待建立会话时

将Subsystem sftp /usr/libexec/openssh/sftp-server前加上#号，注释该段文字。
修改后：#Subsystem sftp /usr/libexec/openssh/sftp-server

若有PubkeyAcceptedKeyTypes参数，将PubkeyAcceptedKeyTypes前加上#号，注释该段文字。
修改后：#PubkeyAcceptedKeyTypes

若有HostKeyAlgorithms参数，将HostKeyAlgorithms前加上#号，注释该段文字。
修改后：#HostKeyAlgorithms 

将GSSAPIAuthentication配置项的值修改成no。
修改前：GSSAPIAuthentication yes
修改后：GSSAPIAuthentication no

在配置文件的最后面添加如下信息。
Subsystem sftp internal-sftp #指定使用sftp服务使用系统自带的internal-sftp

Match User sftpuser #用来匹配登录的用户

ChrootDirectory /datas/backup  #用chroot将用户的根目录指定到/datas/backup 

AllowTcpForwarding no  

ForceCommand internal-sftp #指定sftp命令

 重启sshd服务

#service sshd restart
或者
#systemctl restart sshd

c.从存储单独给一个LUN做数据备份使用

#fdisk /dev/sdb                 #具体操作就不展示了)
#pvcreate /dev/sdb1          #创建新的PV
#vgcreate sftp /dev/sdb1   #创建新的vg
#lvcreate -n lv_data -L +1023GB /dev/sftp   #创建新的lv并分配空间
#mkfs.xfs /dev/sftp/lv_data                 #做文件系统
#echo "/dev/mapper/sftp-lv_data  /datas     xfs  defaults  0 0"  >> /etc/fstab         #写fstab文件，自动挂载
#mount  -a      #检查挂载情况是否正常
#lsblk             #检查是否挂在好了

3、设定Chroot目录权限

#chown -R root:root /datas/backup
#chmod 755 /datas/backup

4、创建sftpuser用户可写目录

#mkdir /datas/backup/sftpuser
#chown -R sftpuser:sftp /datas/backup/sftpuser/
#chmod 755 /datas/backup/sftpuser/

5、我这里环境是有AI数据中台服务的所以，配置AI数据中台的相关配置，并做如下目录配置处理：

{regionId}参数为导出表的"1.2基本参数"中的"Region_id"行对应的"规划值"列的值:

 

 

#mkdir /datas/backup/{regionId}-backupday-om-clouddb  #创建目录。

#mkdir /datas/backup/{regionId}-backupday-om-middleware  #创建目录。

#chown -R sftpuser:sftp /datas/backup/{regionId}-backupday-om-clouddb/

#chown -R sftpuser:sftp /datas/backup/{regionId}-backupday-om-middleware/

#chmod 755 /datas/backup/{regionId}-backupday-om-clouddb  #为“/datas/backup/{regionId}-backupday-om-clouddb/”赋予权限。

#chmod 755 /datas/backup/{regionId}-backupday-om-middleware/  #为“/datas/backup/{regionId}-backupday-om-middleware/”赋予权限。

6、执行sftp sftpuser@sftp服务器IP地址命令验证是否可以正常登录。

#sftp sftpuser@sftp服务器IP地址

7、使用PuTTY工具以sopuser用户通过SSH方式登录ManageOne所有节点，执行以下命令，切换到ossadm用户。

ManageOne节点列表请参考《ManageOne 8.0.3 产品描述》中的“节点规划”章节。并且不是所有manageone节点都有ossadm账号，需要仔细识别，认真看看密码一览表。

举个例子：图中的部分节点没有标识有ossadm账号。

 

 8、执行sftp -oPort=port user@sftp服务器IP地址命令验证ManageOne节点是否连通成功，出现以下类似回显代表连通成功。

避免数据敏感，此为官方示例：
[ossadm@MOC-ManageOne-Deploy01 ~]$ sftp -oPort=22 sopuser@192.168.42.50
Authorized users only. All activities may be monitored and reported.
sopuser@192.168.42.50's password:请输入密码
Connected to 192.168.42.50.
sftp> exit

 9、如果出现CLOUDDB节点的同步失败可以进入到COP中创建一个新的账号进行查看，将不需要备份的项删掉，否则脚本会判断导致同步失败；这个比较简单；就不赘述了界面点点点或者打华为的400问一下就知道怎么搞了。

10、最重要的******一定要保证各各节点及代理节点到sftp服务器要网络可达，开通相应的端口。我汇总了一个表格剔除了IP地址(不包括CLOUDDB/CLOUDMIDDWARE)；仅供大家参考，祝大家sftp对接时候一次成功。

 

 

COP账号和权限问题：

a.创建新用户需要关联CloudBasic和agent的所有角色以及分配所有的CloudDB和Middleware的资源。