Einrichten des Astra Control Center
Nachdem Sie Astra Control Center installiert haben, sich bei der UI einloggen und Ihr Passwort ändern, sollten Sie eine Lizenz einrichten, Cluster hinzufügen, die Authentifizierung aktivieren, den Storage managen und Buckets hinzufügen.
Fügen Sie eine Lizenz für Astra Control Center hinzu
Wenn Sie Astra Control Center installieren, ist bereits eine eingebettete Evaluierungslizenz installiert. Wenn Sie Astra Control Center evaluieren, können Sie diesen Schritt überspringen.
Über die Astra Control UI oder können Sie eine neue Lizenz hinzufügen "API".
Astra Control Center Lizenzen messen die CPU-Ressourcen mithilfe von Kubernetes-CPU-Einheiten und berücksichtigen die CPU-Ressourcen, die den Worker-Nodes aller gemanagten Kubernetes-Cluster zugewiesen sind. Lizenzen basieren auf der vCPU-Nutzung. Weitere Informationen zur Berechnung von Lizenzen finden Sie unter "Lizenzierung".
Wenn Ihre Installation die Anzahl der lizenzierten CPU-Einheiten überschreitet, verhindert Astra Control Center die Verwaltung neuer Anwendungen. Bei Überschreitung der Kapazität wird eine Meldung angezeigt. |
Informationen zum Aktualisieren einer vorhandenen Testversion oder einer vollständigen Lizenz finden Sie unter "Aktualisieren einer vorhandenen Lizenz". |
-
Zugriff auf eine neu installierte Astra Control Center-Instanz.
-
Berechtigungen für Administratorrollen.
-
A "NetApp Lizenzdatei" (NLF).
-
Melden Sie sich in der UI des Astra Control Center an.
-
Wählen Sie Konto > Lizenz.
-
Wählen Sie Lizenz Hinzufügen.
-
Rufen Sie die Lizenzdatei (NLF) auf, die Sie heruntergeladen haben.
-
Wählen Sie Lizenz Hinzufügen.
Auf der Seite Konto > Lizenz werden Lizenzinformationen, Ablaufdatum, Lizenzseriennummer, Konto-ID und verwendete CPU-Einheiten angezeigt.
Wenn Sie über eine Evaluierungslizenz verfügen und keine Daten an AutoSupport senden, sollten Sie Ihre Konto-ID speichern, um Datenverlust im Falle eines Astra Control Center-Ausfalls zu vermeiden. |
Bereiten Sie Ihre Umgebung mit Astra Control auf das Cluster-Management vor
Sie sollten sicherstellen, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie ein Cluster hinzufügen. Außerdem sollten Sie Eignungsprüfungen durchführen, um sicherzustellen, dass Ihr Cluster zum Astra Control Center hinzugefügt werden kann und Rollen für das Cluster-Management schafft.
-
Stellen Sie sicher, dass die Worker-Nodes in Ihrem Cluster mit den entsprechenden Storage-Treibern konfiguriert sind, damit die Pods mit dem Back-End Storage interagieren können.
-
Ihre Umgebung erfüllt die Anforderungen "Anforderungen an die Betriebsumgebung" Für Astra Trident und Astra Control Center.
-
Eine Version von Astra Trident ist das "Unterstützt durch Astra Control Center" Installiert:
Das können Sie "Implementieren Sie Astra Trident" Mit dem Astra Trident Operator (manuell oder mit dem Helm Chart) oder tridentctl
. Vor der Installation oder dem Upgrade von Astra Trident sollten Sie sich die "Unterstützte Frontends, Back-Ends und Host-Konfigurationen".-
Astra Trident Storage-Backend konfiguriert: Es muss mindestens ein Astra Trident Storage-Backend sein "Konfiguriert" Auf dem Cluster.
-
Konfigurierte Astra Trident Storage-Klassen: Es muss mindestens eine Astra Trident Storage-Klasse sein "Konfiguriert" Auf dem Cluster. Wenn eine Standard-Storage-Klasse konfiguriert ist, stellen Sie sicher, dass diese die einzige Storage-Klasse mit der Standardbeschriftung ist.
-
Astra Trident Volume Snapshot Controller und Volume Snapshot Klasse installiert und konfiguriert: Der Volume Snapshot Controller muss sein "Installiert" Damit Snapshots in Astra Control erstellt werden können. Mindestens ein Astra Trident
VolumeSnapshotClass
Gewesen "Einrichtung" Durch einen Administrator.
-
-
Kubeconfig: Sie haben Zugang zum "Cluster kubeconfig" Das umfasst nur ein Kontextseil.
-
ONTAP-Anmeldeinformationen: Sie benötigen ONTAP-Anmeldeinformationen und eine Superuser- und Benutzer-ID auf dem Backing-ONTAP-System, um Apps mit Astra Control Center zu sichern und wiederherzustellen.
Führen Sie die folgenden Befehle in der ONTAP-Befehlszeile aus:
export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -superuser sys export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -anon 65534
-
Rancher only: Ändern Sie beim Verwalten von Anwendungsclustern in einer Rancher-Umgebung den Standardkontext des Anwendungsclusters in der von Rancher bereitgestellten kubeconfig-Datei, um einen Steuerebenen-Kontext anstelle des Rancher API-Serverkontexts zu verwenden. So wird die Last auf dem Rancher API Server reduziert und die Performance verbessert.
Führen Sie Eignungsprüfungen durch
Führen Sie die folgenden Eignungsprüfungen durch, um sicherzustellen, dass Ihr Cluster zum Astra Control Center hinzugefügt werden kann.
-
Testen Sie die Version von Astra Trident.
kubectl get tridentversions -n trident
Wenn Astra Trident vorhanden ist, wird eine Ausgabe wie die folgende angezeigt:
NAME VERSION trident 22.10.0
Wenn Astra Trident nicht existiert, wird eine Ausgabe wie die folgende angezeigt:
error: the server doesn't have a resource type "tridentversions"
Wenn Astra Trident nicht installiert ist oder die installierte Version nicht die neueste ist, müssen Sie die neueste Version von Astra Trident installieren, bevor Sie fortfahren. Siehe "Astra Trident-Dokumentation" Weitere Anweisungen. -
Stellen Sie sicher, dass die Pods ausgeführt werden:
kubectl get pods -n trident
-
Ermitteln, ob die Storage-Klassen die unterstützten Astra Trident Treiber verwenden. Der bereitstellungsname sollte lauten
csi.trident.netapp.io
. Das folgende Beispiel zeigt:kubectl get sc
Beispielantwort:
NAME PROVISIONER RECLAIMPOLICY VOLUMEBINDINGMODE ALLOWVOLUMEEXPANSION AGE ontap-gold (default) csi.trident.netapp.io Delete Immediate true 5d23h
Erstellen Sie eine begrenzte Cluster-Rolle kubeconfig
Optional können Sie eine eingeschränkte Administratorrolle für Astra Control Center erstellen. Dies ist kein erforderliches Verfahren für die Einrichtung des Astra Control Centers. Dieses Verfahren hilft beim Erstellen eines separaten kubeconfig, das die Astra Control-Berechtigungen auf die von ihm verwalteten Cluster beschränkt.
Stellen Sie sicher, dass Sie für den Cluster, den Sie verwalten möchten, vor dem Ausführen der Schritte des Verfahrens Folgendes haben:
-
Kubectl v1.23 oder höher installiert
-
Kubectl Zugriff auf den Cluster, den Sie mit Astra Control Center hinzufügen und verwalten möchten
Bei diesem Verfahren benötigen Sie keinen kubectl-Zugriff auf den Cluster, auf dem Astra Control Center ausgeführt wird. -
Ein aktiver kubeconfig für den Cluster, den Sie mit Clusteradministratorrechten für den aktiven Kontext verwalten möchten
Schritte
-
Service-Konto erstellen:
-
Erstellen Sie eine Dienstkontendatei mit dem Namen
astracontrol-service-account.yaml
.Passen Sie Namen und Namespace nach Bedarf an. Wenn hier Änderungen vorgenommen werden, sollten Sie die gleichen Änderungen in den folgenden Schritten anwenden.
astracontrol-service-account.yaml
+
apiVersion: v1 kind: ServiceAccount metadata: name: astracontrol-service-account namespace: default
-
Wenden Sie das Servicekonto an:
kubectl apply -f astracontrol-service-account.yaml
-
-
Erstellen Sie eine begrenzte Cluster-Rolle mit den minimalen Berechtigungen, die für das Management eines Clusters durch Astra Control erforderlich sind:
-
Erstellen Sie ein
ClusterRole
Datei aufgerufenastra-admin-account.yaml
.Passen Sie Namen und Namespace nach Bedarf an. Wenn hier Änderungen vorgenommen werden, sollten Sie die gleichen Änderungen in den folgenden Schritten anwenden.
astra-admin-account.yaml
+
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: astra-admin-account rules: # Get, List, Create, and Update all resources # Necessary to backup and restore all resources in an app - apiGroups: - '*' resources: - '*' verbs: - get - list - create - patch # Delete Resources # Necessary for in-place restore and AppMirror failover - apiGroups: - "" - apps - autoscaling - batch - crd.projectcalico.org - extensions - networking.k8s.io - policy - rbac.authorization.k8s.io - snapshot.storage.k8s.io - trident.netapp.io resources: - configmaps - cronjobs - daemonsets - deployments - horizontalpodautoscalers - ingresses - jobs - namespaces - networkpolicies - persistentvolumeclaims - poddisruptionbudgets - pods - podtemplates - podsecuritypolicies - replicasets - replicationcontrollers - replicationcontrollers/scale - rolebindings - roles - secrets - serviceaccounts - services - statefulsets - tridentmirrorrelationships - tridentsnapshotinfos - volumesnapshots - volumesnapshotcontents verbs: - delete # Watch resources # Necessary to monitor progress - apiGroups: - "" resources: - pods - replicationcontrollers - replicationcontrollers/scale verbs: - watch # Update resources - apiGroups: - "" - build.openshift.io - image.openshift.io resources: - builds/details - replicationcontrollers - replicationcontrollers/scale - imagestreams/layers - imagestreamtags - imagetags verbs: - update # Use PodSecurityPolicies - apiGroups: - extensions - policy resources: - podsecuritypolicies verbs: - use
-
Wenden Sie die Cluster-Rolle an:
kubectl apply -f astra-admin-account.yaml
-
-
Erstellen Sie die Cluster-Rolle, die für die Cluster-Rolle an das Service-Konto gebunden ist:
-
Erstellen Sie ein
ClusterRoleBinding
Datei aufgerufenastracontrol-clusterrolebinding.yaml
.Passen Sie bei Bedarf alle beim Erstellen des Dienstkontos geänderten Namen und Namespaces an.
astracontrol-clusterrolebinding.yaml
+
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: astracontrol-admin roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: astra-admin-account subjects: - kind: ServiceAccount name: astracontrol-service-account namespace: default
-
Wenden Sie die Bindung der Cluster-Rolle an:
kubectl apply -f astracontrol-clusterrolebinding.yaml
-
-
Listen Sie die Geheimnisse des Dienstkontos auf, ersetzen Sie
<context>
Mit dem richtigen Kontext für Ihre Installation:kubectl get serviceaccount astracontrol-service-account --context <context> --namespace default -o json
Das Ende der Ausgabe sollte wie folgt aussehen:
"secrets": [ { "name": "astracontrol-service-account-dockercfg-vhz87"}, { "name": "astracontrol-service-account-token-r59kr"} ]
Die Indizes für jedes Element im
secrets
Array beginnt mit 0. Im obigen Beispiel der Index fürastracontrol-service-account-dockercfg-vhz87
Wäre 0 und der Index fürastracontrol-service-account-token-r59kr
Sind es 1. Notieren Sie in Ihrer Ausgabe den Index für den Namen des Dienstkontos, der das Wort „Token“ darin enthält. -
Erzeugen Sie den kubeconfig wie folgt:
-
Erstellen Sie ein
create-kubeconfig.sh
Datei: AustauschTOKEN_INDEX
Am Anfang des folgenden Skripts mit dem korrekten Wert.create-kubeconfig.sh
# Update these to match your environment. # Replace TOKEN_INDEX with the correct value # from the output in the previous step. If you # didn't change anything else above, don't change # anything else here. SERVICE_ACCOUNT_NAME=astracontrol-service-account NAMESPACE=default NEW_CONTEXT=astracontrol KUBECONFIG_FILE='kubeconfig-sa' CONTEXT=$(kubectl config current-context) SECRET_NAME=$(kubectl get serviceaccount ${SERVICE_ACCOUNT_NAME} \ --context ${CONTEXT} \ --namespace ${NAMESPACE} \ -o jsonpath='{.secrets[TOKEN_INDEX].name}') TOKEN_DATA=$(kubectl get secret ${SECRET_NAME} \ --context ${CONTEXT} \ --namespace ${NAMESPACE} \ -o jsonpath='{.data.token}') TOKEN=$(echo ${TOKEN_DATA} | base64 -d) # Create dedicated kubeconfig # Create a full copy kubectl config view --raw > ${KUBECONFIG_FILE}.full.tmp # Switch working context to correct context kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp config use-context ${CONTEXT} # Minify kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp \ config view --flatten --minify > ${KUBECONFIG_FILE}.tmp # Rename context kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ rename-context ${CONTEXT} ${NEW_CONTEXT} # Create token user kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-credentials ${CONTEXT}-${NAMESPACE}-token-user \ --token ${TOKEN} # Set context to use token user kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-context ${NEW_CONTEXT} --user ${CONTEXT}-${NAMESPACE}-token-user # Set context to correct namespace kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-context ${NEW_CONTEXT} --namespace ${NAMESPACE} # Flatten/minify kubeconfig kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ view --flatten --minify > ${KUBECONFIG_FILE} # Remove tmp rm ${KUBECONFIG_FILE}.full.tmp rm ${KUBECONFIG_FILE}.tmp
-
Geben Sie die Befehle an, um sie auf Ihren Kubernetes-Cluster anzuwenden.
source create-kubeconfig.sh
-
-
(Optional) Umbenennen Sie die kubeconfig auf einen aussagekräftigen Namen für Ihr Cluster.
mv kubeconfig-sa YOUR_CLUSTER_NAME_kubeconfig
Was kommt als Nächstes?
Nachdem Sie nun überprüft haben, ob die Voraussetzungen erfüllt sind, können Sie es jetzt tun Fügen Sie einen Cluster hinzu.
Cluster hinzufügen
Zum Management von Applikationen fügen Sie einen Kubernetes-Cluster hinzu und managen ihn als Computing-Ressource. Um Ihre Kubernetes-Applikationen zu ermitteln, müssen Sie einen Cluster hinzufügen, in dem Astra Control Center ausgeführt werden kann.
Wir empfehlen, dass Astra Control Center den Cluster, der zuerst bereitgestellt wird, verwaltet, bevor Sie zum Management weitere Cluster zum Astra Control Center hinzufügen. Das Management des anfänglichen Clusters ist erforderlich, um Kubemetrics-Daten und Cluster-zugeordnete Daten zur Metriken und Fehlerbehebung zu senden. |
-
Bevor Sie ein Cluster hinzufügen, überprüfen und führen Sie die erforderlichen Maßnahmen durch Erforderliche Aufgaben.
-
Navigieren Sie entweder über das Dashboard oder über das Menü Cluster:
-
Wählen Sie in der Ressourcenübersicht aus Dashboard im Bereich Cluster die Option Hinzufügen aus.
-
Wählen Sie im linken Navigationsbereich Cluster und dann auf der Seite Cluster Cluster hinzufügen aus.
-
-
Laden Sie im Fenster Cluster hinzufügen ein
kubeconfig.yaml
Datei oder fügen Sie den Inhalt eines einkubeconfig.yaml
Datei:Der kubeconfig.yaml
Die Datei sollte nur die Cluster-Anmeldedaten für einen Cluster enthalten.Wenn Sie Ihre eigenen erstellen kubeconfig
Datei, Sie sollten nur ein ein-Kontext-Element darin definieren. Siehe "Kubernetes-Dokumentation" Weitere Informationen zum Erstellenkubeconfig
Dateien: Wenn Sie ein kubeconfig für eine eingeschränkte Clusterrolle erstellt haben, die mit verwendet wird Das oben beschriebene Verfahren, Vergewissern Sie sich, dass in diesem Schritt kubeconfig hochgeladen oder eingefügt wird. -
Geben Sie einen Namen für die Anmeldeinformationen an. Standardmäßig wird der Name der Anmeldeinformationen automatisch als Name des Clusters ausgefüllt.
-
Wählen Sie Weiter.
-
Wählen Sie die Standard-Storage-Klasse, die für diesen Kubernetes-Cluster verwendet werden soll, und wählen Sie Next aus.
Sie sollten eine Astra Trident Storage-Klasse auswählen, die von ONTAP Storage unterstützt wird. -
Überprüfen Sie die Informationen, und wenn alles gut aussieht, wählen Sie Hinzufügen.
Der Cluster wechselt in den Entdeckungs-Zustand und dann in gesund. Sie managen jetzt das Cluster mit dem Astra Control Center.
Nachdem Sie einen Cluster hinzugefügt haben, der im Astra Control Center verwaltet werden soll, kann es in einigen Minuten dauern, bis der Monitoring-Operator implementiert ist. Bis dahin wird das Benachrichtigungssymbol rot und ein Ereignis Überwachung Agent-Status-Prüfung fehlgeschlagen protokolliert. Sie können dies ignorieren, da das Problem gelöst wird, wenn Astra Control Center den richtigen Status erhält. Wenn sich das Problem in wenigen Minuten nicht beheben lässt, wechseln Sie zum Cluster und führen Sie aus oc get pods -n netapp-monitoring Als Ausgangspunkt. Um das Problem zu beheben, müssen Sie sich die Protokolle des Überwachungsperbers ansehen.
|
Aktivieren Sie die Authentifizierung auf dem ONTAP Storage Back-End
Astra Control Center bietet zwei Arten der Authentifizierung eines ONTAP-Backends:
-
Credential-basierte Authentifizierung: Der Benutzername und das Passwort an einen ONTAP-Benutzer mit den erforderlichen Berechtigungen. Sie sollten eine vordefinierte Sicherheits-Login-Rolle wie admin oder vsadmin verwenden, um maximale Kompatibilität mit ONTAP-Versionen zu gewährleisten.
-
Zertifikatbasierte Authentifizierung: Astra Control Center kann auch mit einem ONTAP-Cluster kommunizieren, indem ein auf dem Backend installiertes Zertifikat verwendet wird. Verwenden Sie gegebenenfalls das Clientzertifikat, den Schlüssel und das Zertifikat der vertrauenswürdigen Zertifizierungsstelle (empfohlen).
Sie können später vorhandene Back-Ends aktualisieren, um von einem Authentifizierungstyp zu einer anderen zu wechseln. Es wird jeweils nur eine Authentifizierungsmethode unterstützt.
Aktivieren Sie die Anmeldeinformationsbasierte Authentifizierung
Astra Control Center erfordert die Anmeldeinformationen für einen Cluster-Scoped admin
Zur Kommunikation mit dem ONTAP-Backend. Sie sollten standardmäßige, vordefinierte Rollen wie verwenden admin
. So wird die Kompatibilität mit zukünftigen ONTAP Versionen sichergestellt, für die Funktionskompatibilität für zukünftige Astra Control Center Versionen zur Verfügung stehen könnte.
Eine benutzerdefinierte Sicherheits-Login-Rolle kann erstellt und mit Astra Control Center verwendet werden, wird aber nicht empfohlen. |
Eine Beispiel-Backend-Definition sieht so aus:
{ "version": 1, "backendName": "ExampleBackend", "storageDriverName": "ontap-nas", "managementLIF": "10.0.0.1", "dataLIF": "10.0.0.2", "svm": "svm_nfs", "username": "admin", "password": "secret" }
Die Backend-Definition ist der einzige Ort, an dem die Anmeldeinformationen im Klartext gespeichert werden. Die Erstellung oder Aktualisierung eines Backend ist der einzige Schritt, der Kenntnisse über die Anmeldeinformationen erfordert. Daher handelt es sich um einen reinen Admin-Vorgang, der vom Kubernetes- oder Storage-Administrator ausgeführt werden kann.
Aktivieren Sie die zertifikatbasierte Authentifizierung
Astra Control Center kann mithilfe von Zertifikaten mit neuen und vorhandenen ONTAP Back-Ends kommunizieren. Geben Sie die folgenden Informationen in die Backend-Definition ein.
-
clientCertificate
: Kundenzertifikat. -
clientPrivateKey
: Zugehöriger privater Schlüssel. -
trustedCACertificate
: Trusted CA-Zertifikat. Bei Verwendung einer vertrauenswürdigen CA muss dieser Parameter angegeben werden. Dies kann ignoriert werden, wenn keine vertrauenswürdige CA verwendet wird.
Sie können einen der folgenden Zertifikatstypen verwenden:
-
Selbstsigniertes Zertifikat
-
Drittanbieter-Zertifikat
Aktivieren Sie die Authentifizierung mit einem selbstsignierten Zertifikat
Ein typischer Workflow umfasst die folgenden Schritte.
-
Erzeugen eines Clientzertifikats und eines Schlüssels. Legen Sie beim Generieren den allgemeinen Namen (Common Name, CN) auf den ONTAP-Benutzer fest, der sich als authentifizieren soll.
openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout k8senv.key -out k8senv.pem -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=<common-name>"
-
Installieren Sie das Clientzertifikat des Typs
client-ca
Und drücken Sie auf dem ONTAP-Cluster.security certificate install -type client-ca -cert-name <certificate-name> -vserver <vserver-name> security ssl modify -vserver <vserver-name> -client-enabled true
-
Vergewissern Sie sich, dass die ONTAP-Sicherheits-Anmeldungsrolle die Zertifikatauthentifizierung unterstützt.
security login create -user-or-group-name vsadmin -application ontapi -authentication-method cert -vserver <vserver-name> security login create -user-or-group-name vsadmin -application http -authentication-method cert -vserver <vserver-name>
-
Testen Sie die Authentifizierung mithilfe des generierten Zertifikats. Ersetzen Sie <ONTAP Management LIF> und <vserver name> durch die Management-LIF-IP und den SVM-Namen. Sie müssen sicherstellen, dass die Service-Richtlinie für das LIF auf festgelegt ist
default-data-management
.curl -X POST -Lk https://<ONTAP-Management-LIF>/servlets/netapp.servlets.admin.XMLrequest_filer --key k8senv.key --cert ~/k8senv.pem -d '<?xml version="1.0" encoding="UTF-8"?><netapp xmlns=http://www.netapp.com/filer/admin version="1.21" vfiler="<vserver-name>"><vserver-get></vserver-get></netapp>
-
Fügen Sie mithilfe der Werte aus dem vorherigen Schritt das Speicher-Backend in der Astra Control Center-Benutzeroberfläche hinzu.
Aktivieren Sie die Authentifizierung mit einem Zertifikat eines Drittanbieters
Wenn Sie über ein Zertifikat eines Drittanbieters verfügen, können Sie mit diesen Schritten eine zertifikatbasierte Authentifizierung einrichten.
-
Privaten Schlüssel und CSR generieren:
openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/" -outform pem -out ontap_cert_request.csr -keyout ontap_cert_request.key -addext "subjectAltName = DNS:<ONTAP_CLUSTER_FQDN_NAME>,IP:<ONTAP_MGMT_IP>”
-
Leiten Sie die CSR an die Windows-Zertifizierungsstelle (Drittanbieter-CA) weiter, und stellen Sie das signierte Zertifikat aus.
-
Laden Sie das signierte Zertifikat herunter und benennen Sie es mit `ontap_signed_cert.crt'.
-
Exportieren Sie das Stammzertifikat aus der Windows-CA (Drittanbieter-CA).
-
Benennen Sie diese Datei
ca_root.crt
Sie haben nun die folgenden drei Dateien:
-
Privatschlüssel:
ontap_signed_request.key
(Dies ist der entsprechende Schlüssel für das Serverzertifikat in ONTAP. Sie wird bei der Installation des Serverzertifikats benötigt.) -
Signiertes Zertifikat:
ontap_signed_cert.crt
(Dies wird in ONTAP auch als Server-Zertifikat bezeichnet.) -
Stammzertifizierungsstelle:
ca_root.crt
(In ONTAP wird dies auch als Server-CA-Zertifikat bezeichnet.)
-
-
Installieren Sie diese Zertifikate in ONTAP. Generieren und installieren
server
Undserver-ca
Zertifikate auf ONTAP.Details in Beispiel.yaml
Details
# Copy the contents of ca_root.crt and use it here. security certificate install -type server-ca Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate details> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: serial: The certificate's generated name for reference: === # Copy the contents of ontap_signed_cert.crt and use it here. For key, use the contents of ontap_cert_request.key file. security certificate install -type server Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate details> -----END CERTIFICATE----- Please enter Private Key: Press <Enter> when done -----BEGIN PRIVATE KEY----- <private key details> -----END PRIVATE KEY----- Enter certificates of certification authorities (CA) which form the certificate chain of the server certificate. This starts with the issuing CA certificate of the server certificate and can range up to the root CA certificate. Do you want to continue entering root and/or intermediate certificates {y|n}: n The provided certificate does not have a common name in the subject field. Enter a valid common name to continue installation of the certificate: <ONTAP_CLUSTER_FQDN_NAME> You should keep a copy of the private key and the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: serial: The certificate's generated name for reference: == # Modify the vserver settings to enable SSL for the installed certificate ssl modify -vserver <vserver_name> -ca <CA> -server-enabled true -serial <serial number> (security ssl modify) == # Verify if the certificate works fine: openssl s_client -CAfile ca_root.crt -showcerts -servername server -connect <ONTAP_CLUSTER_FQDN_NAME>:443 CONNECTED(00000005) depth=1 DC = local, DC = umca, CN = <CA> verify return:1 depth=0 verify return:1 write W BLOCK --- Certificate chain 0 s: i:/DC=local/DC=umca/<CA> -----BEGIN CERTIFICATE----- <Certificate details>
-
Erstellen Sie das Clientzertifikat für denselben Host für die passwortlose Kommunikation. Astra Control Center kommuniziert anhand dieses Verfahrens mit ONTAP.
-
Generieren und installieren Sie die Clientzertifikate auf ONTAP:
Details in Beispiel.yaml
Details
# Use /CN=admin or use some other account which has privileges. openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout ontap_test_client.key -out ontap_test_client.pem -subj "/CN=admin" Copy the content of ontap_test_client.pem file and use it in the below command: security certificate install -type client-ca -vserver <vserver_name> Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <Certificate details> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate’s CA and serial number for reference: CA: serial: The certificate’s generated name for reference: == ssl modify -vserver <vserver_name> -client-enabled true (security ssl modify) # Setting permissions for certificates security login create -user-or-group-name admin -application ontapi -authentication-method cert -role admin -vserver <vserver_name> security login create -user-or-group-name admin -application http -authentication-method cert -role admin -vserver <vserver_name> == #Verify passwordless communication works fine with the use of only certificates: curl --cacert ontap_signed_cert.crt --key ontap_test_client.key --cert ontap_test_client.pem https://<ONTAP_CLUSTER_FQDN_NAME>/api/storage/aggregates { "records": [ { "uuid": "f84e0a9b-e72f-4431-88c4-4bf5378b41bd", "name": "<aggr_name>", "node": { "uuid": "7835876c-3484-11ed-97bb-d039ea50375c", "name": "<node_name>", "_links": { "self": { "href": "/api/cluster/nodes/7835876c-3484-11ed-97bb-d039ea50375c" } } }, "_links": { "self": { "href": "/api/storage/aggregates/f84e0a9b-e72f-4431-88c4-4bf5378b41bd" } } } ], "num_records": 1, "_links": { "self": { "href": "/api/storage/aggregates" } } }%
-
Fügen Sie das Storage-Backend in der Astra Control Center-Benutzeroberfläche hinzu und geben Sie die folgenden Werte an:
-
Client-Zertifikat: ontap_Test_Client.pem
-
Private Key: ontap_test_client.key
-
Vertrauenswürdiges CA-Zertifikat: ontap_Signed_cert.crt
-
Fügen Sie ein Storage-Back-End hinzu
Sie können zum Managen Ihrer Ressourcen ein vorhandenes ONTAP-Storage-Backend zum Astra Control Center hinzufügen.
Durch das Management von Storage-Clustern in Astra Control als Storage-Backend können Sie Verbindungen zwischen persistenten Volumes (PVS) und dem Storage-Backend sowie zusätzliche Storage-Kennzahlen abrufen.
Nachdem Sie die Anmeldeinformationen oder Zertifikatauthentifizierungsinformationen eingerichtet haben, können Sie ein vorhandenes ONTAP-Storage-Back-End zu Astra Control Center hinzufügen, um seine Ressourcen zu managen.
-
Wählen Sie im Dashboard im linken Navigationsbereich Backend aus.
-
Wählen Sie Hinzufügen.
-
Wählen Sie im Bereich vorhandene verwenden auf der Seite Speicher-Backend hinzufügen ONTAP aus.
-
Wählen Sie eine der folgenden Optionen:
-
Administrator-Anmeldeinformationen verwenden: Geben Sie die ONTAP Cluster Management IP-Adresse und die Admin-Anmeldeinformationen ein. Die Anmeldedaten müssen Cluster-weite Anmeldedaten aufweisen.
Der Benutzer, dessen Anmeldeinformationen Sie hier eingeben, muss über den verfügen ontapi
Aktivieren der Zugriffsmethode für die Anmeldung beim Benutzer in ONTAP System Manager auf dem ONTAP Cluster. Wenn Sie Vorhaben, SnapMirror Replizierung zu verwenden, wenden Sie Benutzeranmeldeinformationen auf die Rolle „Admin“ an, die über die Zugriffsmethoden verfügtontapi
Undhttp
, Auf Quell- und Ziel-ONTAP Clustern. Siehe "Managen von Benutzerkonten in der ONTAP Dokumentation" Finden Sie weitere Informationen. -
Ein Zertifikat verwenden: Das Zertifikat hochladen
.pem
Datei, dem Zertifikatschlüssel.key
Datei und optional die Zertifizierungsdatei.
-
-
Wählen Sie Weiter.
-
Bestätigen Sie die Backend-Details und wählen Sie Verwalten.
Das Backend wird im angezeigt online
Status in der Liste mit Zusammenfassungsinformationen.
Möglicherweise müssen Sie die Seite aktualisieren, damit das Backend angezeigt wird. |
Fügen Sie einen Bucket hinzu
Sie können einen Bucket über die Astra Control UI oder hinzufügen "API". Das Hinzufügen von Objektspeicher-Bucket-Providern ist wichtig, wenn Sie Ihre Applikationen und Ihren persistenten Storage sichern möchten oder Applikationen über Cluster hinweg klonen möchten. Astra Control speichert diese Backups oder Klone in den von Ihnen definierten Objektspeicher-Buckets.
Wenn Sie Ihre Applikationskonfiguration und Ihren persistenten Storage im selben Cluster klonen, benötigen Sie in Astra Control keinen Bucket. Für die Funktionalität von Applikations-Snapshots ist kein Bucket erforderlich.
-
Ein Bucket, der von Ihren Clustern erreichbar ist, die von Astra Control Center verwaltet werden.
-
Zugangsdaten für den Bucket.
-
Ein Bucket der folgenden Typen:
-
NetApp ONTAP S3
-
NetApp StorageGRID S3
-
Microsoft Azure
-
Allgemein S3
-
Amazon Web Services (AWS) und Google Cloud Platform (GCP) verwenden den Bucket-Typ Generic S3. |
Obwohl Astra Control Center Amazon S3 als Generic S3 Bucket-Provider unterstützt, unterstützt Astra Control Center unter Umständen nicht alle Objektspeicher-Anbieter, die die Unterstützung von Amazon S3 beanspruchen. |
-
Wählen Sie im linken Navigationsbereich Buckets aus.
-
Wählen Sie Hinzufügen.
-
Wählen Sie den Bucket-Typ aus.
Wenn Sie einen Bucket hinzufügen, wählen Sie den richtigen Bucket-Provider aus und geben die richtigen Anmeldedaten für diesen Provider an. Beispielsweise akzeptiert die UI NetApp ONTAP S3 als Typ und akzeptiert StorageGRID-Anmeldedaten. Dies führt jedoch dazu, dass alle künftigen Applikations-Backups und -Wiederherstellungen, die diesen Bucket verwenden, fehlschlagen. -
Geben Sie einen vorhandenen Bucket-Namen und eine optionale Beschreibung ein.
Der Name und die Beschreibung des Buckets werden als Backupspeicherort angezeigt, den Sie später bei der Erstellung eines Backups auswählen können. Der Name wird auch während der Konfiguration der Schutzrichtlinien angezeigt. -
Geben Sie den Namen oder die IP-Adresse des S3-Endpunkts ein.
-
Wählen Sie unter Anmeldeinformationen auswählen die Registerkarte Hinzufügen oder vorhandene verwenden.
-
Wenn Sie sich für Hinzufügen entschieden haben:
-
Geben Sie einen Namen für die Anmeldedaten ein, der sie von anderen Anmeldeinformationen in Astra Control unterscheidet.
-
Geben Sie die Zugriffs-ID und den geheimen Schlüssel ein, indem Sie den Inhalt aus der Zwischenablage einfügen.
-
-
Wenn Sie sich für vorhandenes verwenden:
-
Wählen Sie die vorhandenen Anmeldedaten aus, die Sie mit dem Bucket verwenden möchten.
-
-
-
Wählen Sie
Add
.Wenn Sie einen Bucket hinzufügen, markiert Astra Control einen Bucket mit der Standard-Bucket-Anzeige. Der erste von Ihnen erstellte Bucket wird der Standard-Bucket. Wenn Sie Buckets hinzufügen, können Sie sich später entscheiden "Legen Sie einen weiteren Standard-Bucket fest".
Was kommt als Nächstes?
Nachdem Sie sich jetzt angemeldet haben und Cluster zum Astra Control Center hinzugefügt haben, können Sie die Applikationsdatenmanagement-Funktionen von Astra Control Center nutzen.