Konfiguration des ONTAP Mediators nach der Installation
Änderungen vorschlagen
PDFs
Nachdem ONTAP Mediator installiert und ausgeführt wird, müssen zusätzliche Konfigurationsaufgaben im ONTAP-Speichersystem ausgeführt werden, um die Funktionen von ONTAP Mediator nutzen zu können:
-
Informationen zur Verwendung von ONTAP Mediator in einer MetroCluster-IP-Konfiguration finden Sie unter "Konfigurieren Sie ONTAP Mediator über eine MetroCluster-IP-Konfiguration" .
-
Informationen zur Verwendung von SnapMirror Active Sync finden Sie unter "Installieren Sie ONTAP Mediator und bestätigen Sie die ONTAP-Clusterkonfiguration".
Konfigurieren Sie die Sicherheitsrichtlinien von ONTAP Mediator
ONTAP Mediator unterstützt mehrere konfigurierbare Sicherheitseinstellungen. Die Standardwerte für alle Einstellungen werden in einer schreibgeschützten Datei angegeben low_space_threshold_mib: 10:
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
Alle Werte, die in das gesetzt ontap_mediator.user_config.yaml werden, überschreiben die Standardwerte und werden bei allen ONTAP Mediator Upgrades beibehalten.
Nach der Änderung ontap_mediator.user_config.yaml , starten Sie ONTAP Mediator neu:
systemctl restart ontap_mediator
Attribute des ONTAP Mediators ändern
Die in diesem Abschnitt beschriebenen Attribute des ONTAP Mediators können bei Bedarf geändert werden.
|
Andere Standardwerte im ontap_mediator.config.yaml sollten nicht geändert werden, da geänderte Werte während der ONTAP Mediator-Upgrades nicht beibehalten werden.
|
Sie ändern die Attribute vonONTAP Mediator, indem Sie die erforderlichen Variablen in die Datei kopieren ontap_mediator.user_config.yaml, um die Standardeinstellungen zu überschreiben.
Installieren Sie SSL-Zertifikate von Drittanbietern
Wenn Sie die selbstsignierten Standardzertifikate durch SSL-Zertifikate von Drittanbietern ersetzen müssen, ändern Sie bestimmte Attribute in den folgenden Dateien:
-
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml -
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
Die Variablen in diesen Dateien werden verwendet, um die von ONTAP Mediator verwendeten Zertifikatsdateien zu steuern.
Die in der folgenden Tabelle aufgeführten Standardvariablen sind in der Datei enthalten /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml.
| Variabel | Pfad |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
cert_valid_daysDient zum Festlegen des Ablaufs von Clientzertifikaten. Der Maximalwert beträgt drei Jahre (1095 Tage). -
x509_passin_pwdIst die Passphrase für das signierte Clientzertifikat.
Die in der folgenden Tabelle aufgeführten Standardvariablen sind in der Datei enthalten /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini.
| Variabel | Pfad |
|---|---|
|
|
|
|
|
|
Die in der folgenden Tabelle aufgeführten Standardvariablen sind in der Datei enthalten /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml.
| Variabel | Pfad |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
cert_valid_daysDient zum Festlegen des Ablaufs von Clientzertifikaten. Der Maximalwert beträgt drei Jahre (1095 Tage). -
x509_passin_pwdIst die Passphrase für das signierte Clientzertifikat.
Die in der folgenden Tabelle aufgeführten Standardvariablen sind in der Datei enthalten /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini.
| Variabel | Pfad |
|---|---|
|
|
|
|
|
|
Wenn Sie diese Attribute ändern, starten Sie ONTAP Mediator neu, um die Änderungen anzuwenden. Ausführliche Anweisungen zum Ersetzen von Standardzertifikaten durch Zertifikate von Drittanbietern finden Sie unter "Ersetzen Sie selbstsignierte Zertifikate durch vertrauenswürdige Zertifikate von Drittanbietern".
Schutz vor Kennwortangriffen
Die folgenden Einstellungen bieten Schutz vor Brute-Force-Passwortraten.
Um die Funktion zu aktivieren, legen Sie einen Wert für die window_seconds und die `retry_limit`fest.
Beispiele:
-
Geben Sie ein 5-Minuten-Fenster für Vermutungen ein, und setzen Sie dann die Anzahl auf Null-Fehler zurück:
authentication_lock_window_seconds: 300 -
Sperren Sie das Konto, wenn innerhalb des Zeitrahmens fünf Fehler auftreten:
authentication_retry_limit: 5 -
Verringern Sie die Auswirkungen von Brute-Force-Passwortraten, indem Sie eine Verzögerung festlegen, die vor der Ablehnung jedes Versuchs auftritt, wodurch die Angriffe verlangsamt werden.
authentication_failure_delay_seconds: 5authentication_failure_delay_seconds: 0 # seconds (float) to delay failed auth attempts prior to response, 0 = no delay authentication_lock_window_seconds: null # seconds (int) since the oldest failure before resetting the retry counter, null = no window authentication_retry_limit: null # number of retries to allow before locking API access, null = unlimited
Regeln zur Passwortkomplexität
Die folgenden Felder steuern die Regeln für die Passwortkomplexität des ONTAP Mediator API-Benutzerkontos.
password_min_length: 8 password_max_length: 64 password_uppercase_chars: 0 # min. uppercase characters password_lowercase_chars: 1 # min. lowercase character password_special_chars: 1 # min. non-letter, non-digit password_nonletter_chars: 2 # min. non-letter characters (digits, specials, anything)
Kontrolle des freien Speicherplatzes
Es gibt Einstellungen, die den erforderlichen freien Speicherplatz auf der Festplatte steuern /opt/netapp/lib/ontap_mediator.
Wenn der Platz unter dem festgelegten Schwellenwert liegt, gibt der Dienst ein Warnungsereignis aus.
low_space_threshold_mib: 10
Kontrolle des reservierten Protokollspeichers
Die RESERVE_LOG_SPACE wird durch bestimmte Einstellungen gesteuert. Standardmäßig erstellt die ONTAP Mediator-Installation einen separaten Speicherplatz für die Protokolle. Das Installationsprogramm erstellt eine neue Datei mit fester Größe und insgesamt 700 MB Speicherplatz, die explizit für die ONTAP Mediator-Protokollierung verwendet wird.
So deaktivieren Sie diese Funktion und verwenden den Standardspeicherplatz:
-
Ändern Sie den Wert von RESERVE_LOG_SPACE in der folgenden Datei von 1 auf 0:
/opt/netapp/lib/ontap_mediator/tools/mediator_env -
Mediator neu starten:
-
cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"RESERVE_LOG_SPACE=0
-
systemctl restart ontap_mediator
-
Um die Funktion wieder zu aktivieren, ändern Sie den Wert von 0 auf 1, und starten Sie den Mediator neu.
|
|
Durch Umschalten zwischen Festplattenspeicherplätzen werden vorhandene Protokolle nicht gelöscht. Alle vorherigen Protokolle werden gesichert und anschließend auf den aktuellen Speicherplatz verschoben, nachdem Mediator gewechselt und neu gestartet wurde. |