經驗技巧 ：NBU加密備份實施技巧（二）

加密備份的設定

在策略中，可以選擇加密還是不加密。同時，還有一個CRYPT_OPTION參數在起作用。

當CRYPT_OPTION的值為allow的時候，策略選擇加密或者不加密都可以通過

當CRYPT_OPTION的值為required的時候，策略必須選擇加密才能通過

當CRYPT_OPTION的值為denied的時候，策略則不能進行加密備份

恢復的過程

服務器首先根據映像確認該備份是否被加密。然后，服務器連接客戶端的bpcd啟動恢復。

加密與解密過程都是在客戶端上完成的，服務器本身不參與數據的加密與解密。因此，不管是備份還是恢復，其數據流都是被加密的。

加密備份與恢復的理論過程

當主服務器根據日程表發起備份后，bpcd接受備份發起指令后，利用密碼文件為即將發送的數據加密。因此，從客戶端到服務器的數據流是已經加密的。而服務器端則完全按照標準的方法來保存加密數據流。而當得到恢復請求后，服務器端不會進行解密處理，而是直接將數據發送給客戶端。當客戶端收到數據后，再通過密碼文件對數據進行解密。因此，恢復的數據流也同樣是加密的。

安裝

必須在主服務器上安裝ENCRYPTION組件。這個組件存在于DB Option光盤上。屬于Add ON軟件。

ENCRYPTION組件需要單獨License，沒有Tier級別限制

標準安裝過程

1。以root身份登錄主服務器

2。確認License

3。將DB Option光盤放入光驅

4。切換至光盤目錄

5。執行安裝腳本

./install

在提示版本時，回答y

6。集群環境必須在每個節點上各自執行

7。在客戶端安裝ENCRYPTION軟件

推送軟件的過程

bpinst命令并不是一個專門用于加密的安裝命令。他適用于幾乎所有的NetBackup軟件的安裝。

-ENCRYPTION指示bpinst命令去推送加密軟件。

而其實在windows客戶端，這一步是不需要的。因為Windows版本的NetBackup一旦安裝，就包括了所有DB Agent和AddON軟件。

推送軟件的同時，可以設定密碼。但我個人不推薦這樣做。因為這樣做不僅命令非常長，且并不是非常有利于保護密碼。

欲想了解更多，請閱讀：

經驗技巧 ：NBU加密備份實施技巧（一）

經驗技巧 ：NBU加密備份實施技巧（三）