Diese Seite ist eine lose Sammlung an diversen Notizen, die Thomas zur IT gesammelt hat.

Riesiger Haufen Scheiße. Einige Sachen, insbesondere Kubernetes, werden über den Umweg von unserem S3 gesichert. Dafür muss der S3-User commvault die nötigen Rechte haben:

cat << EOF > policy.json
{"Version":"2012-10-17","Id":"CVBackupReaderPolicy","Statement":[{"Sid":"CVBackupReaderPolicyStatement","Effect":"Allow","Principal":{"AWS":"arn:aws:iam:::user/commvault"},"Action":["s3:GetObject","s3:GetBucketLocation","s3:ListBucket","s3:GetObjectAcl","s3:GetObject","s3:GetObjectVersion"],"Resource":["arn:aws:s3:::*"]}]}
EOF
s3cmd setpolicy policy.json s3://BUCKET

… wobei s3cmd schon passend konfiguriert zu sein hat. Eventuell auch:

s3cmd setacl --acl-grant=read_acp:commvault s3://BUCKET
s3cmd setacl --acl-grant=read:commvault s3://BUCKET

Ich bin mir nicht so ganz sicher ob das auch nötig ist.

Außerdem muss man den Bucket noch in CommVault eintragen, weil äh ja irgendwie hat das zwar die Rechte, die Buckets zu lesen, aber kann nicht enumerieren welche es gibt. Der Backup-Knoten sollte für die ganze FSMPI-Gruppe sichtbar sein, ansonsten scheißt man dem RZ auf den Tisch.