Skip to main content
Hay disponible una nueva versión de este producto.
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configure Astra Control Center

Colaboradores

Después de instalar Astra Control Center, iniciar sesión en la interfaz de usuario y cambiar la contraseña, querrá configurar una licencia, añadir clústeres, habilitar la autenticación, gestionar el almacenamiento y añadir buckets.

Agregue una licencia de Astra Control Center

Al instalar Astra Control Center, ya hay una licencia de evaluación integrada instalada. Si estás evaluando Astra Control Center, puedes omitir este paso.

Puede añadir una nueva licencia con la interfaz de usuario de Astra Control o. "API".

Las licencias de Astra Control Center miden los recursos de CPU mediante unidades de CPU de Kubernetes y representan los recursos de CPU asignados a los nodos de trabajo de todos los clústeres de Kubernetes gestionados. Las licencias se basan en el uso de vCPU. Para obtener más información sobre cómo se calculan las licencias, consulte "Licencia".

Nota Si su instalación crece para superar el número de unidades CPU con licencia, Astra Control Center le impide gestionar nuevas aplicaciones. Se muestra una alerta cuando se supera la capacidad.
Nota Para actualizar una evaluación existente o una licencia completa, consulte "Actualizar una licencia existente".
Antes de empezar
Pasos
  1. Inicie sesión en la interfaz de usuario de Astra Control Center.

  2. Seleccione cuenta > Licencia.

  3. Seleccione Agregar licencia.

  4. Busque el archivo de licencia (NLF) que descargó.

  5. Seleccione Agregar licencia.

La página cuenta > Licencia muestra la información de la licencia, la fecha de caducidad, el número de serie de la licencia, el ID de cuenta y las unidades de CPU utilizadas.

Nota Si tiene una licencia de evaluación y no envía datos a AutoSupport, asegúrese de almacenar su ID de cuenta para evitar la pérdida de datos en caso de un fallo en Astra Control Center.

Prepare su entorno para la gestión de clústeres con Astra Control

Antes de añadir un clúster, debe asegurarse de que se cumplen las siguientes condiciones previas. También debe realizar comprobaciones de cumplimiento de las condiciones para asegurarse de que su clúster esté listo para añadirse a Astra Control Center y crear funciones para la gestión de clústeres.

Antes de empezar
  • Asegúrese de que los nodos de trabajo del clúster estén configurados con los controladores de almacenamiento adecuados para que los pods puedan interactuar con el almacenamiento de back-end.

  • Su entorno cumple con el "requisitos del entorno operativo" Para Astra Trident y Astra Control Center.

  • Una versión de Astra Trident que es "Compatible con Astra Control Center" está instalado:

    Nota Puede hacerlo "Ponga en marcha Astra Trident" Usar el operador Astra Trident (manualmente o mediante un gráfico Helm) o. tridentctl. Antes de instalar o actualizar Astra Trident, revise "compatibles con front-ends, back-ends y configuraciones de host".
    • El backend de almacenamiento Astra Trident configurado: Debe haber al menos un backend de almacenamiento Astra Trident "configurado" en el clúster.

    • Clases de almacenamiento Astra Trident configuradas: Al menos una clase de almacenamiento Astra Trident debe ser "configurado" en el clúster. Si se configura una clase de almacenamiento predeterminada, asegúrese de que es la única clase de almacenamiento que tiene la anotación predeterminada.

    • Astra Trident volume snapshot Controller y volume snapshot class instalado y configurado: La controladora de instantáneas de volumen debe ser "instalado" Para poder crear instantáneas en Astra Control. Al menos un Astra Trident VolumeSnapshotClass ha sido "configuración" por un administrador.

  • Kubeonfig accesible: Usted tiene acceso al "imagen de agrupación" esto incluye sólo un elemento de contexto.

  • Credenciales de ONTAP: Necesita credenciales de ONTAP y un superusuario e ID de usuario establecidos en el sistema ONTAP de respaldo para realizar copias de seguridad y restaurar aplicaciones con Astra Control Center.

    Ejecute los siguientes comandos en la línea de comandos de la ONTAP:

    export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -superuser sys
    export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -anon 65534
  • Sólo rancher: Al administrar clústeres de aplicaciones en un entorno Rancher, modifique el contexto predeterminado del clúster de aplicaciones en el archivo kubeconfig proporcionado por Rancher para utilizar un contexto de plano de control en lugar del contexto del servidor API Rancher. Esto reduce la carga en el servidor API de Rancher y mejora el rendimiento.

Ejecutar las comprobaciones de elegibilidad

Ejecute las siguientes comprobaciones de elegibilidad para asegurarse de que su clúster esté listo para ser agregado a Astra Control Center.

Pasos
  1. Compruebe la versión de Astra Trident.

    kubectl get tridentversions -n trident

    Si existe Astra Trident, obtendrá un resultado similar al siguiente:

    NAME      VERSION
    trident   22.10.0

    Si Astra Trident no existe, obtendrá un resultado similar al siguiente:

    error: the server doesn't have a resource type "tridentversions"
    Nota Si Astra Trident no está instalado o la versión instalada no es la más reciente, debe instalar la versión más reciente de Astra Trident antes de continuar. Consulte la "Documentación de Astra Trident" si desea obtener instrucciones.
  2. Asegúrese de que los pods estén ejecutando:

    kubectl get pods -n trident
  3. Determine si las clases de almacenamiento están utilizando los controladores Astra Trident compatibles. El nombre del aprovisionador debe ser csi.trident.netapp.io. Consulte el siguiente ejemplo:

    kubectl get sc

    Respuesta de ejemplo:

    NAME                  PROVISIONER            RECLAIMPOLICY  VOLUMEBINDINGMODE  ALLOWVOLUMEEXPANSION  AGE
    ontap-gold (default)  csi.trident.netapp.io  Delete         Immediate          true                  5d23h

Cree una imagen de rol de clúster limitada

Opcionalmente, puede crear una función de administrador limitada para Astra Control Center. Este procedimiento no es obligatorio para la configuración de Astra Control Center. Este procedimiento ayuda a crear una imagen de kubeconfig independiente que limita los permisos de control de Astra en los clústeres que gestiona.

Antes de empezar

Asegúrese de que tiene lo siguiente para el clúster que tiene intención de administrar antes de completar los pasos del procedimiento:

  • kubectl v1,23 o posterior instalado

  • Acceda con atención al clúster que pretende añadir y gestionar con Astra Control Center

    Nota Para este procedimiento, no necesita acceso kubectl al clúster que ejecuta Astra Control Center.
  • Una imagen de referencia activa para el clúster que pretende gestionar con derechos de administrador del clúster para el contexto activo

Pasos
  1. Cree una cuenta de servicio:

    1. Cree un archivo de cuenta de servicio llamado astracontrol-service-account.yaml.

      Ajuste el nombre y el espacio de nombres según sea necesario. Si se realizan cambios aquí, debe aplicar los mismos cambios en los pasos siguientes.

    astracontrol-service-account.yaml

    +

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: astracontrol-service-account
      namespace: default
    1. Aplicar la cuenta de servicio:

      kubectl apply -f astracontrol-service-account.yaml
  2. Cree una función de clúster limitada con los permisos mínimos necesarios para que un clúster sea gestionado por Astra Control:

    1. Cree un ClusterRole archivo llamado astra-admin-account.yaml.

      Ajuste el nombre y el espacio de nombres según sea necesario. Si se realizan cambios aquí, debe aplicar los mismos cambios en los pasos siguientes.

    astra-admin-account.yaml

    +

    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRole
    metadata:
      name: astra-admin-account
    rules:
    
    # Get, List, Create, and Update all resources
    # Necessary to backup and restore all resources in an app
    - apiGroups:
      - '*'
      resources:
      - '*'
      verbs:
      - get
      - list
      - create
      - patch
    
    # Delete Resources
    # Necessary for in-place restore and AppMirror failover
    - apiGroups:
      - ""
      - apps
      - autoscaling
      - batch
      - crd.projectcalico.org
      - extensions
      - networking.k8s.io
      - policy
      - rbac.authorization.k8s.io
      - snapshot.storage.k8s.io
      - trident.netapp.io
      resources:
      - configmaps
      - cronjobs
      - daemonsets
      - deployments
      - horizontalpodautoscalers
      - ingresses
      - jobs
      - namespaces
      - networkpolicies
      - persistentvolumeclaims
      - poddisruptionbudgets
      - pods
      - podtemplates
      - podsecuritypolicies
      - replicasets
      - replicationcontrollers
      - replicationcontrollers/scale
      - rolebindings
      - roles
      - secrets
      - serviceaccounts
      - services
      - statefulsets
      - tridentmirrorrelationships
      - tridentsnapshotinfos
      - volumesnapshots
      - volumesnapshotcontents
      verbs:
      - delete
    
    # Watch resources
    # Necessary to monitor progress
    - apiGroups:
      - ""
      resources:
      - pods
      - replicationcontrollers
      - replicationcontrollers/scale
      verbs:
      - watch
    
    # Update resources
    - apiGroups:
      - ""
      - build.openshift.io
      - image.openshift.io
      resources:
      - builds/details
      - replicationcontrollers
      - replicationcontrollers/scale
      - imagestreams/layers
      - imagestreamtags
      - imagetags
      verbs:
      - update
    
    # Use PodSecurityPolicies
    - apiGroups:
      - extensions
      - policy
      resources:
      - podsecuritypolicies
      verbs:
      - use
    1. Aplique el rol de clúster:

      kubectl apply -f astra-admin-account.yaml
  3. Cree el enlace de rol de clúster para el rol del clúster a la cuenta de servicio:

    1. Cree un ClusterRoleBinding archivo llamado astracontrol-clusterrolebinding.yaml.

      Ajuste los nombres y espacios de nombres modificados al crear la cuenta de servicio según sea necesario.

    astracontrol-clusterrolebinding.yaml

    +

    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRoleBinding
    metadata:
      name: astracontrol-admin
    roleRef:
      apiGroup: rbac.authorization.k8s.io
      kind: ClusterRole
      name: astra-admin-account
    subjects:
    - kind: ServiceAccount
      name: astracontrol-service-account
      namespace: default
    1. Aplique el enlace de roles del clúster:

      kubectl apply -f astracontrol-clusterrolebinding.yaml
  4. Enumere los secretos de la cuenta de servicio, reemplazando <context> con el contexto correcto para su instalación:

    kubectl get serviceaccount astracontrol-service-account --context <context> --namespace default -o json

    El final de la salida debe ser similar a lo siguiente:

    "secrets": [
    { "name": "astracontrol-service-account-dockercfg-vhz87"},
    { "name": "astracontrol-service-account-token-r59kr"}
    ]

    Los índices de cada elemento de la secrets la matriz comienza con 0. En el ejemplo anterior, el índice para astracontrol-service-account-dockercfg-vhz87 sería 0 y el índice para astracontrol-service-account-token-r59kr sería 1. En la salida, anote el índice del nombre de la cuenta de servicio que contiene la palabra "token".

  5. Genere la kubeconfig de la siguiente manera:

    1. Cree un create-kubeconfig.sh archivo. Sustituya TOKEN_INDEX al principio de la secuencia de comandos siguiente con el valor correcto.

      create-kubeconfig.sh
      # Update these to match your environment.
      # Replace TOKEN_INDEX with the correct value
      # from the output in the previous step. If you
      # didn't change anything else above, don't change
      # anything else here.
      
      SERVICE_ACCOUNT_NAME=astracontrol-service-account
      NAMESPACE=default
      NEW_CONTEXT=astracontrol
      KUBECONFIG_FILE='kubeconfig-sa'
      
      CONTEXT=$(kubectl config current-context)
      
      SECRET_NAME=$(kubectl get serviceaccount ${SERVICE_ACCOUNT_NAME} \
        --context ${CONTEXT} \
        --namespace ${NAMESPACE} \
        -o jsonpath='{.secrets[TOKEN_INDEX].name}')
      TOKEN_DATA=$(kubectl get secret ${SECRET_NAME} \
        --context ${CONTEXT} \
        --namespace ${NAMESPACE} \
        -o jsonpath='{.data.token}')
      
      TOKEN=$(echo ${TOKEN_DATA} | base64 -d)
      
      # Create dedicated kubeconfig
      # Create a full copy
      kubectl config view --raw > ${KUBECONFIG_FILE}.full.tmp
      
      # Switch working context to correct context
      kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp config use-context ${CONTEXT}
      
      # Minify
      kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp \
        config view --flatten --minify > ${KUBECONFIG_FILE}.tmp
      
      # Rename context
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        rename-context ${CONTEXT} ${NEW_CONTEXT}
      
      # Create token user
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        set-credentials ${CONTEXT}-${NAMESPACE}-token-user \
        --token ${TOKEN}
      
      # Set context to use token user
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        set-context ${NEW_CONTEXT} --user ${CONTEXT}-${NAMESPACE}-token-user
      
      # Set context to correct namespace
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        set-context ${NEW_CONTEXT} --namespace ${NAMESPACE}
      
      # Flatten/minify kubeconfig
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        view --flatten --minify > ${KUBECONFIG_FILE}
      
      # Remove tmp
      rm ${KUBECONFIG_FILE}.full.tmp
      rm ${KUBECONFIG_FILE}.tmp
    2. Origen de los comandos para aplicarlos al clúster de Kubernetes.

      source create-kubeconfig.sh
  6. (Opcional) cambie el nombre de la Marca de prestigio por un nombre significativo para el clúster.

    mv kubeconfig-sa YOUR_CLUSTER_NAME_kubeconfig

El futuro

Ahora que ha comprobado que se cumplen los requisitos previos, está listo añadir un clúster.

Añada el clúster

Para comenzar a gestionar las aplicaciones, añada un clúster de Kubernetes y gestiónelo como un recurso de computación. Es necesario añadir un clúster para Astra Control Center para descubrir sus aplicaciones Kubernetes.

Consejo Le recomendamos que Astra Control Center gestione el clúster en el que se implementa primero antes de añadir otros clústeres a Astra Control Center para su gestión. Disponer del cluster inicial en administración es necesario para enviar datos Kubemetrics y datos asociados al cluster para mediciones y resolución de problemas.
Antes de empezar
  • Antes de añadir un clúster, revise y realice la operación necesaria requisitos previos.

Pasos
  1. Acceda desde el menú Dashboard o Clusters:

    • En Panel en Resumen de recursos, seleccione Agregar en el panel Clusters.

    • En el área de navegación de la izquierda, seleccione Clusters y, a continuación, seleccione Add Cluster en la página Clusters.

  2. En la ventana Agregar clúster que se abre, cargue un kubeconfig.yaml archivar o pegar el contenido de un kubeconfig.yaml archivo.

    Nota La kubeconfig.yaml el archivo debe incluir sólo la credencial de cluster para un cluster.
    Importante Si crea el suyo propio kubeconfig file, debe definir sólo un elemento de contexto uno en él. Consulte "Documentación de Kubernetes" para obtener información acerca de cómo crear kubeconfig archivos. Si creó una imagen de kubeconfig para una función de clúster limitada mediante el proceso anterior, asegúrese de cargar o pegar esa kubeconfig en este paso.
  3. Introduzca un nombre de credencial. De forma predeterminada, el nombre de las credenciales se completa automáticamente como nombre del clúster.

  4. Seleccione Siguiente.

  5. Seleccione la clase de almacenamiento predeterminada que se utilizará para este clúster de Kubernetes y seleccione Siguiente.

    Nota Debe seleccionar una clase de almacenamiento de Astra Trident respaldada por almacenamiento de ONTAP.
  6. Revise la información y si todo parece bien, seleccione Agregar.

Resultado

El clúster entra en el estado descubriendo y luego cambia a saludable. Ahora está gestionando el clúster con Astra Control Center.

Importante Después de agregar un clúster para administrarlo en Astra Control Center, puede que el operador de supervisión tarde unos minutos en implementar. Hasta entonces, el icono de notificación se vuelve rojo y registra un evento Comprobación de estado del agente de supervisión fallida. Puede ignorar esto porque el problema se resuelve cuando Astra Control Center obtiene el estado correcto. Si el problema no se resuelve en unos minutos, vaya al clúster y ejecute oc get pods -n netapp-monitoring como punto de partida. Deberá consultar los registros del operador de supervisión para depurar el problema.

Habilite la autenticación en el back-end de almacenamiento de ONTAP

El Centro de control de Astra ofrece dos modos de autenticación de un back-end de ONTAP:

  • Autenticación basada en credenciales: El nombre de usuario y la contraseña de un usuario de ONTAP con los permisos requeridos. Debe utilizar un rol de inicio de sesión de seguridad predefinido, como admin o vsadmin, para garantizar la máxima compatibilidad con las versiones de ONTAP.

  • Autenticación basada en certificados: Astra Control Center también puede comunicarse con un clúster de ONTAP utilizando un certificado instalado en el backend. Debe usar el certificado de cliente, la clave y el certificado de CA de confianza si se utilizan (recomendado).

Más adelante, puede actualizar los back-ends existentes para pasar de un tipo de autenticación a otro método. Solo se admite un método de autenticación a la vez.

Habilite la autenticación basada en credenciales

Astra Control Center requiere las credenciales para un ámbito del clúster admin Para comunicarse con el backend de ONTAP. Debe utilizar roles estándar predefinidos como admin. Esto garantiza la compatibilidad con futuras versiones de ONTAP que podrían exponer API de funciones para que las utilicen en futuras versiones del Centro de control de Astra.

Nota Puede crearse y utilizarse un rol de inicio de sesión de seguridad personalizado con Astra Control Center, pero no es recomendable.

Una definición de backend de ejemplo tiene el siguiente aspecto:

{
  "version": 1,
  "backendName": "ExampleBackend",
  "storageDriverName": "ontap-nas",
  "managementLIF": "10.0.0.1",
  "dataLIF": "10.0.0.2",
  "svm": "svm_nfs",
  "username": "admin",
  "password": "secret"
}

La definición de backend es el único lugar en el que las credenciales se almacenan en texto sin formato. La creación o actualización de un backend es el único paso que requiere conocimiento de las credenciales. De este modo, se trata de una operación exclusiva para administrador que realiza el administrador de Kubernetes o de almacenamiento.

Habilite la autenticación basada en certificados

Astra Control Center puede utilizar certificados para comunicarse con back-ends de ONTAP nuevos y existentes. Debe introducir la siguiente información en la definición de backend.

  • clientCertificate: Certificado de cliente.

  • clientPrivateKey: Clave privada asociada.

  • trustedCACertificate: Certificado de CA de confianza. Si se utiliza una CA de confianza, se debe proporcionar este parámetro. Esto se puede ignorar si no se utiliza ninguna CA de confianza.

Es posible usar uno de los siguientes tipos de certificados:

  • Certificado autofirmado

  • Certificado de terceros

Habilite la autenticación con un certificado autofirmado

Un flujo de trabajo típico implica los pasos siguientes.

Pasos
  1. Genere una clave y un certificado de cliente. Al generar, defina el nombre común (CN) en el usuario ONTAP para autenticarse como.

    openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout k8senv.key -out k8senv.pem -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=<common-name>"
  2. Instale el certificado de cliente de tipo client-ca Y el clúster de ONTAP.

    security certificate install -type client-ca -cert-name <certificate-name> -vserver <vserver-name>
    security ssl modify -vserver <vserver-name> -client-enabled true
  3. Confirme que el rol de inicio de sesión de seguridad de ONTAP admite el método de autenticación de certificado.

    security login create -user-or-group-name vsadmin -application ontapi -authentication-method cert -vserver <vserver-name>
    security login create -user-or-group-name vsadmin -application http -authentication-method cert -vserver <vserver-name>
  4. Pruebe la autenticación mediante el certificado generado. Sustituya <LIF de gestión de ONTAP> y <vserver name> por la IP de LIF de gestión y el nombre SVM. Debe asegurarse de que la LIF tiene su política de servicio establecida en default-data-management.

    curl -X POST -Lk https://<ONTAP-Management-LIF>/servlets/netapp.servlets.admin.XMLrequest_filer --key k8senv.key --cert ~/k8senv.pem -d '<?xml version="1.0" encoding="UTF-8"?><netapp xmlns=http://www.netapp.com/filer/admin version="1.21" vfiler="<vserver-name>"><vserver-get></vserver-get></netapp>
  5. Con los valores obtenidos del paso anterior, añada el back-end del almacenamiento en la interfaz de usuario de Astra Control Center.

Active la autenticación con un certificado de terceros

Si tiene un certificado de terceros, puede configurar la autenticación basada en certificados con estos pasos.

Pasos
  1. Genere la clave privada y CSR:

    openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/" -outform pem -out ontap_cert_request.csr -keyout ontap_cert_request.key -addext "subjectAltName = DNS:<ONTAP_CLUSTER_FQDN_NAME>,IP:<ONTAP_MGMT_IP>”
  2. Transfiera la CSR a la CA de Windows (CA de terceros) y emita el certificado firmado.

  3. Descargue el certificado firmado y asígnele el nombre `ontap_signed_cert.crt'

  4. Exporte el certificado raíz de Windows CA (CA de terceros).

  5. Asigne un nombre a este archivo ca_root.crt

    Ahora tiene los siguientes tres archivos:

    • Clave privada: ontap_signed_request.key (Esta es la clave correspondiente para el certificado de servidor en ONTAP. Se necesita al instalar el certificado de servidor.)

    • Certificado firmado: ontap_signed_cert.crt (Esto también se denomina server certificate en ONTAP.)

    • Certificado de CA raíz: ca_root.crt (Esto también se denomina server-ca certificate en ONTAP.)

  6. Instale estos certificados en ONTAP. Generar e instalar server y.. server-ca Certificados en ONTAP.

    Detalles en sample.yaml

    Details
    # Copy the contents of ca_root.crt and use it here.
    
    security certificate install -type server-ca
    
    Please enter Certificate: Press <Enter> when done
    
    -----BEGIN CERTIFICATE-----
    <certificate details>
    -----END CERTIFICATE-----
    
    
    You should keep a copy of the CA-signed digital certificate for future reference.
    
    The installed certificate's CA and serial number for reference:
    
    CA:
    serial:
    
    The certificate's generated name for reference:
    
    
    ===
    
    # Copy the contents of ontap_signed_cert.crt and use it here. For key, use the contents of ontap_cert_request.key file.
    security certificate install -type server
    Please enter Certificate: Press <Enter> when done
    
    -----BEGIN CERTIFICATE-----
    <certificate details>
    -----END CERTIFICATE-----
    
    Please enter Private Key: Press <Enter> when done
    
    -----BEGIN PRIVATE KEY-----
    <private key details>
    -----END PRIVATE KEY-----
    
    Enter certificates of certification authorities (CA) which form the certificate chain of the server certificate. This starts with the issuing CA certificate of the server certificate and can range up to the root CA certificate.
    Do you want to continue entering root and/or intermediate certificates {y|n}: n
    
    The provided certificate does not have a common name in the subject field.
    Enter a valid common name to continue installation of the certificate: <ONTAP_CLUSTER_FQDN_NAME>
    
    You should keep a copy of the private key and the CA-signed digital certificate for future reference.
    The installed certificate's CA and serial number for reference:
    CA:
    serial:
    The certificate's generated name for reference:
    
    
    ==
    # Modify the vserver settings to enable SSL for the installed certificate
    
    ssl modify -vserver <vserver_name> -ca <CA>  -server-enabled true -serial <serial number>       (security ssl modify)
    
    ==
    # Verify if the certificate works fine:
    
    openssl s_client -CAfile ca_root.crt -showcerts -servername server -connect <ONTAP_CLUSTER_FQDN_NAME>:443
    CONNECTED(00000005)
    depth=1 DC = local, DC = umca, CN = <CA>
    verify return:1
    depth=0
    verify return:1
    write W BLOCK
    ---
    Certificate chain
    0 s:
       i:/DC=local/DC=umca/<CA>
    
    -----BEGIN CERTIFICATE-----
    <Certificate details>
  7. Cree el certificado de cliente para el mismo host para la comunicación sin contraseña. Astra Control Center utiliza este proceso para comunicarse con ONTAP.

  8. Genere e instale los certificados de cliente en ONTAP:

    Detalles en sample.yaml

    Details
    # Use /CN=admin or use some other account which has privileges.
    openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout ontap_test_client.key -out ontap_test_client.pem -subj "/CN=admin"
    
    Copy the content of ontap_test_client.pem file and use it in the below command:
    security certificate install -type client-ca -vserver <vserver_name>
    
    Please enter Certificate: Press <Enter> when done
    
    -----BEGIN CERTIFICATE-----
    <Certificate details>
    -----END CERTIFICATE-----
    
    You should keep a copy of the CA-signed digital certificate for future reference.
    The installed certificate’s CA and serial number for reference:
    
    CA:
    serial:
    The certificate’s generated name for reference:
    
    
    ==
    
    ssl modify -vserver <vserver_name> -client-enabled true
    (security ssl modify)
    
    # Setting permissions for certificates
    security login create -user-or-group-name admin -application ontapi -authentication-method cert -role admin -vserver <vserver_name>
    
    security login create -user-or-group-name admin -application http -authentication-method cert -role admin -vserver <vserver_name>
    
    ==
    
    #Verify passwordless communication works fine with the use of only certificates:
    
    curl --cacert ontap_signed_cert.crt  --key ontap_test_client.key --cert ontap_test_client.pem https://<ONTAP_CLUSTER_FQDN_NAME>/api/storage/aggregates
    {
    "records": [
    {
    "uuid": "f84e0a9b-e72f-4431-88c4-4bf5378b41bd",
    "name": "<aggr_name>",
    "node": {
    "uuid": "7835876c-3484-11ed-97bb-d039ea50375c",
    "name": "<node_name>",
    "_links": {
    "self": {
    "href": "/api/cluster/nodes/7835876c-3484-11ed-97bb-d039ea50375c"
    }
    }
    },
    "_links": {
    "self": {
    "href": "/api/storage/aggregates/f84e0a9b-e72f-4431-88c4-4bf5378b41bd"
    }
    }
    }
    ],
    "num_records": 1,
    "_links": {
    "self": {
    "href": "/api/storage/aggregates"
    }
    }
    }%
  9. Añada el back-end de almacenamiento en la interfaz de usuario de Astra Control Center y proporcione los siguientes valores:

    • Certificado de cliente: ontap_test_client.pem

    • Clave privada: ontap_test_client.key

    • Certificado de CA de confianza: ontap_signed_cert.crt

Añada un back-end de almacenamiento

Puede añadir un back-end de almacenamiento de ONTAP existente a Astra Control Center para gestionar sus recursos.

Gestionar los clústeres de almacenamiento en Astra Control como back-end de almacenamiento le permite obtener vínculos entre los volúmenes persistentes (VP) y el back-end de almacenamiento, así como mediciones de almacenamiento adicionales.

Después de configurar las credenciales o la información de autenticación de certificados, puede añadir un back-end de almacenamiento de ONTAP existente a Astra Control Center para gestionar sus recursos.

Pasos
  1. En el panel de control del área de navegación de la izquierda, seleccione Backends.

  2. Seleccione Agregar.

  3. En la sección Usar existente de la página Agregar backend de almacenamiento, seleccione ONTAP.

  4. Seleccione una de las siguientes opciones:

    • Usar credenciales de administrador: Ingrese la dirección IP de administración del clúster de ONTAP y las credenciales de administración. Las credenciales deben ser credenciales para todo el clúster.

      Nota El usuario cuyas credenciales introduzca aquí debe tener la ontapi Método de acceso de inicio de sesión de usuario habilitado en System Manager de ONTAP en el clúster de ONTAP. Si planea utilizar la replicación de SnapMirror, aplique las credenciales de usuario con el rol "admin", que tiene los métodos de acceso ontapi y.. http, En clústeres ONTAP de origen y destino. Consulte "Gestionar cuentas de usuario en la documentación de ONTAP" si quiere más información.
    • Utilice un certificado: Cargue el certificado .pem archivo, la clave de certificado .key archivo y, opcionalmente, el archivo de entidad de certificación.

  5. Seleccione Siguiente.

  6. Confirme los detalles del backend y seleccione Administrar.

Resultado

El back-end aparece en la online estado en la lista con información resumida.

Nota Es posible que deba actualizar la página para que se muestre el back-end.

Añadir un bucket

Puede añadir un bloque con la interfaz de usuario de Astra Control o. "API". Añadir proveedores de bloques de almacenamiento de objetos es esencial si desea realizar backups de sus aplicaciones y del almacenamiento persistente o si desea clonar aplicaciones entre clústeres. Astra Control almacena estas copias de seguridad o clones en los bloques de almacenamiento de objetos que defina.

No necesita un bloque de Astra Control si clona la configuración de sus aplicaciones y el almacenamiento persistente en el mismo clúster. La funcionalidad de snapshots de aplicaciones no requiere un bloque.

Antes de empezar
  • Un cubo al que se puede acceder desde sus clusters gestionados por Astra Control Center.

  • Credenciales para el bloque.

  • Un bloque de los siguientes tipos:

    • NetApp ONTAP S3

    • StorageGRID S3 de NetApp

    • Microsoft Azure

    • Genérico S3

Nota Amazon Web Services (AWS) y Google Cloud Platform (GCP) utilizan el tipo de bloque Generic S3.
Nota Aunque Astra Control Center es compatible con Amazon S3 como proveedor de bloques Generic S3, es posible que Astra Control Center no admita todos los proveedores de almacenes de objetos que afirman que Amazon es compatible con S3.
Pasos
  1. En el área de navegación de la izquierda, seleccione Cuchos.

  2. Seleccione Agregar.

  3. Seleccione el tipo de bloque.

    Nota Cuando agregue un bloque, seleccione el proveedor de segmento correcto y proporcione las credenciales correctas para ese proveedor. Por ejemplo, la interfaz de usuario acepta ONTAP S3 de NetApp como tipo y acepta credenciales de StorageGRID; sin embargo, esto hará que se produzcan errores en todos los futuros backups de aplicaciones y restauraciones usando este bucket.
  4. Introduzca un nombre de bloque existente y una descripción opcional.

    Consejo El nombre y la descripción del bloque aparecen como una ubicación de backup que se puede elegir más adelante al crear un backup. El nombre también aparece durante la configuración de la política de protección.
  5. Introduzca el nombre o la dirección IP del extremo de S3.

  6. En Seleccionar credenciales, elija la ficha Agregar o utilizar existente.

    • Si ha elegido Agregar:

      1. Introduzca un nombre para la credencial que la distingue de otras credenciales en Astra Control.

      2. Escriba el identificador de acceso y la clave secreta pegando el contenido del portapapeles.

    • Si ha elegido utilizar existente:

      1. Seleccione las credenciales existentes que desea utilizar con el bloque.

  7. Seleccione Add.

    Nota Cuando se agrega un bloque, Astra Control Marca un bloque con el indicador de segmento predeterminado. El primer bloque que crea se convierte en el bloque predeterminado. A medida que se añaden bloques, más adelante se puede decidir a. "establecer otro bloque predeterminado".

El futuro

Ahora que ha iniciado sesión y ha añadido clústeres a Astra Control Center, estará listo para empezar a utilizar las funciones de gestión de datos de aplicaciones de Astra Control Center.

Obtenga más información