Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configure Astra Control Center

Colaboradores
PDF

Después de instalar Astra Control Center, iniciar sesión en la interfaz de usuario y cambiar la contraseña, querrá configurar una licencia, añadir clústeres, habilitar la autenticación, gestionar el almacenamiento y añadir buckets.

Tareas

Agregue una licencia de Astra Control Center

Al instalar Astra Control Center, ya hay una licencia de evaluación integrada instalada. Si estás evaluando Astra Control Center, puedes omitir este paso.

Puede añadir una nueva licencia con la interfaz de usuario de Astra Control o. "API de control Astra".

Las licencias de Astra Control Center miden los recursos de CPU mediante unidades de CPU de Kubernetes y representan los recursos de CPU asignados a los nodos de trabajo de todos los clústeres de Kubernetes gestionados. Las licencias se basan en el uso de vCPU. Para obtener más información sobre cómo se calculan las licencias, consulte "Licencia".

Nota Si su instalación crece para superar el número de unidades CPU con licencia, Astra Control Center le impide gestionar nuevas aplicaciones. Se muestra una alerta cuando se supera la capacidad.
Nota Para actualizar una evaluación existente o una licencia completa, consulte "Actualizar una licencia existente".
Antes de empezar
Pasos

  1. Inicie sesión en la interfaz de usuario de Astra Control Center.

  2. Seleccione cuenta > Licencia.

  3. Seleccione Agregar licencia.

  4. Busque el archivo de licencia (NLF) que descargó.

  5. Seleccione Agregar licencia.

La página cuenta > Licencia muestra la información de la licencia, la fecha de caducidad, el número de serie de la licencia, el ID de cuenta y las unidades de CPU utilizadas.

Nota Si tiene una licencia de evaluación y no envía datos a AutoSupport, asegúrese de almacenar su ID de cuenta para evitar la pérdida de datos en caso de un fallo en Astra Control Center.

Prepare su entorno para la gestión de clústeres con Astra Control

Antes de añadir un clúster, debe asegurarse de que se cumplen las siguientes condiciones previas. También debe realizar comprobaciones de cumplimiento de las condiciones para asegurarse de que su clúster esté listo para añadirse a Astra Control Center y crear funciones para la gestión de clústeres.

Antes de empezar

  • Cumplir con los requisitos ambientales: Su entorno cumple con el "requisitos del entorno operativo" Para Astra Trident y Astra Control Center.

  • Configurar nodos de trabajador: Asegúrese de configurar los nodos de trabajador en su clúster con los controladores de almacenamiento adecuados para que los pods puedan interactuar con el almacenamiento de backend.

  • Hacer kubeconfig accesible: Usted tiene acceso a la "kubeconfig de cluster por defecto" eso "ha configurado durante la instalación".

  • Consideraciones de la autoridad de certificación: Si está agregando el clúster usando un archivo kubeconfig que hace referencia a una autoridad de certificación (CA) privada, agregue la siguiente línea a la cluster sección del archivo kubeconfig. Esto permite a Astra Control añadir el clúster:

    insecure-skip-tls-verify: true

  • Habilitar restricciones PSA: Si su clúster tiene activada la aplicación de admisión de seguridad de pod, que es estándar para los clústeres de Kubernetes 1,25 y posteriores, debe habilitar las restricciones PSA en estos espacios de nombres:

    • netapp-acc-operator espacio de nombres:

      kubectl label --overwrite ns netapp-acc-operator pod-security.kubernetes.io/enforce=privileged

    • netapp monitoring espacio de nombres:

      kubectl label --overwrite ns netapp-monitoring pod-security.kubernetes.io/enforce=privileged

  • Requisitos de Astra Trident:

    • Instalar una versión soportada: Una versión de Astra Trident que es "Compatible con Astra Control Center" está instalado:

      Nota Puede hacerlo "Ponga en marcha Astra Trident" Usar el operador Astra Trident (manualmente o mediante un gráfico Helm) o. tridentctl. Antes de instalar o actualizar Astra Trident, revise "compatibles con front-ends, back-ends y configuraciones de host".

    • Configure un backend de almacenamiento Astra Trident: Debe haber al menos un backend de almacenamiento Astra Trident "configurado" en el clúster.

    • Configure una clase de almacenamiento de Astra Trident: Al menos una clase de almacenamiento de Astra Trident debe ser "configurado" en el clúster. Si se configura una clase de almacenamiento predeterminada, asegúrese de que es la única clase de almacenamiento que tiene la anotación predeterminada.

    • Configure un controlador de instantáneas de volumen Astra Trident e instale una clase de instantáneas de volumen: El controlador de instantáneas de volumen debe ser "instalado" Para poder crear instantáneas en Astra Control. Al menos un Astra Trident VolumeSnapshotClass ha sido "configuración" por un administrador.

  • Astra Control Provisionador: Para utilizar las funciones avanzadas de gestión y aprovisionamiento de almacenamiento de Astra Control Provisionador que solo son accesibles para los usuarios de Astra Control, debes instalar Astra Trident 23,10 o posterior y habilitar "Funcionalidad de aprovisionamiento Astra Control".

  • Credenciales de ONTAP: Necesita credenciales de ONTAP y un superusuario e ID de usuario establecidos en el sistema ONTAP de respaldo para realizar copias de seguridad y restaurar aplicaciones con Astra Control Center.

    Ejecute los siguientes comandos en la línea de comandos de la ONTAP:

    export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -superuser sys
export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -anon 65534

  • Sólo rancher: Al administrar clústeres de aplicaciones en un entorno Rancher, modifique el contexto predeterminado del clúster de aplicaciones en el archivo kubeconfig proporcionado por Rancher para utilizar un contexto de plano de control en lugar del contexto del servidor API Rancher. Esto reduce la carga en el servidor API de Rancher y mejora el rendimiento.

Ejecutar las comprobaciones de elegibilidad

Ejecute las siguientes comprobaciones de elegibilidad para asegurarse de que su clúster esté listo para ser agregado a Astra Control Center.

Pasos

  1. Compruebe la versión de Astra Trident.

    kubectl get tridentversions -n trident

    Si existe Astra Trident, obtendrá un resultado similar al siguiente:

    NAME      VERSION
trident   23.XX.X

    Si Astra Trident no existe, obtendrá un resultado similar al siguiente:

    error: the server doesn't have a resource type "tridentversions"
    Nota Si Astra Trident no está instalado o la versión instalada no es la más reciente, debe instalar la versión más reciente de Astra Trident antes de continuar. Consulte la "Documentación de Astra Trident" si desea obtener instrucciones.

  2. Asegúrese de que los pods estén ejecutando:

    kubectl get pods -n trident

  3. Determine si las clases de almacenamiento están utilizando los controladores Astra Trident compatibles. El nombre del aprovisionador debe ser csi.trident.netapp.io. Consulte el siguiente ejemplo:

    kubectl get sc

    Respuesta de ejemplo:

    NAME                  PROVISIONER            RECLAIMPOLICY  VOLUMEBINDINGMODE  ALLOWVOLUMEEXPANSION  AGE
ontap-gold (default)  csi.trident.netapp.io  Delete         Immediate          true                  5d23h

Crear un rol de cluster kubeconfig

Opcionalmente, puede crear un rol de administrador de permiso limitado o permiso ampliado para Astra Control Center. Este no es un procedimiento obligatorio para la configuración de Astra Control Center, ya que ya configuró un kubeconfig como parte de la "proceso de instalación".

Este procedimiento le ayuda a crear un kubeconfig independiente si cualquiera de los siguientes escenarios se aplica a su entorno:

  • Deseas limitar los permisos de Astra Control a los clústeres que gestiona

  • Usas varios contextos y no puedes usar el comando predeterminado de Astra Control configurado durante la instalación o un rol limitado con un solo contexto no funcionará en tu entorno

Antes de empezar

Asegúrese de que tiene lo siguiente para el clúster que tiene intención de administrar antes de completar los pasos del procedimiento:

  • kubectl v1,23 o posterior instalado

  • Acceda con atención al clúster que pretende añadir y gestionar con Astra Control Center

    Nota Para este procedimiento, no necesita acceso kubectl al clúster que ejecuta Astra Control Center.

  • Una imagen de referencia activa para el clúster que pretende gestionar con derechos de administrador del clúster para el contexto activo

Pasos

  1. Cree una cuenta de servicio:

    1. Cree un archivo de cuenta de servicio llamado astracontrol-service-account.yaml.

      Ajuste el nombre y el espacio de nombres según sea necesario. Si se realizan cambios aquí, debe aplicar los mismos cambios en los pasos siguientes.

    astracontrol-service-account.yaml

    +

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: astracontrol-service-account
  namespace: default

    1. Aplicar la cuenta de servicio:

      kubectl apply -f astracontrol-service-account.yaml

  2. Cree uno de los siguientes roles de clúster con permisos suficientes para que Astra Control gestione un clúster:

    • Rol de clúster limitado: Esta función contiene los permisos mínimos necesarios para que un clúster sea gestionado por Astra Control:

      Expanda para obtener los pasos

      1. Cree un ClusterRole archivo llamado, por ejemplo, astra-admin-account.yaml.

        Ajuste el nombre y el espacio de nombres según sea necesario. Si se realizan cambios aquí, debe aplicar los mismos cambios en los pasos siguientes.

        astra-admin-account.yaml
        apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: astra-admin-account
rules:

# Get, List, Create, and Update all resources
# Necessary to backup and restore all resources in an app
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - get
  - list
  - create
  - patch

# Delete Resources
# Necessary for in-place restore and AppMirror failover
- apiGroups:
  - ""
  - apps
  - autoscaling
  - batch
  - crd.projectcalico.org
  - extensions
  - networking.k8s.io
  - policy
  - rbac.authorization.k8s.io
  - snapshot.storage.k8s.io
  - trident.netapp.io
  resources:
  - configmaps
  - cronjobs
  - daemonsets
  - deployments
  - horizontalpodautoscalers
  - ingresses
  - jobs
  - namespaces
  - networkpolicies
  - persistentvolumeclaims
  - poddisruptionbudgets
  - pods
  - podtemplates
  - podsecuritypolicies
  - replicasets
  - replicationcontrollers
  - replicationcontrollers/scale
  - rolebindings
  - roles
  - secrets
  - serviceaccounts
  - services
  - statefulsets
  - tridentmirrorrelationships
  - tridentsnapshotinfos
  - volumesnapshots
  - volumesnapshotcontents
  verbs:
  - delete

# Watch resources
# Necessary to monitor progress
- apiGroups:
  - ""
  resources:
  - pods
  - replicationcontrollers
  - replicationcontrollers/scale
  verbs:
  - watch

# Update resources
- apiGroups:
  - ""
  - build.openshift.io
  - image.openshift.io
  resources:
  - builds/details
  - replicationcontrollers
  - replicationcontrollers/scale
  - imagestreams/layers
  - imagestreamtags
  - imagetags
  verbs:
  - update

# Use PodSecurityPolicies
- apiGroups:
  - extensions
  - policy
  resources:
  - podsecuritypolicies
  verbs:
  - use

      2. (Solo para clústeres de OpenShift) Añada lo siguiente al final del astra-admin-account.yaml archivo o después del # Use PodSecurityPolicies sección:

        # OpenShift security
- apiGroups:
  - security.openshift.io
  resources:
  - securitycontextconstraints
  verbs:
  - use

      3. Aplique el rol de clúster:

        kubectl apply -f astra-admin-account.yaml

    • Rol de clúster ampliado: Esta función contiene permisos ampliados para que un clúster sea gestionado por Astra Control. Puedes usar este rol si utilizas varios contextos y no puedes utilizar el comando kubeconfig predeterminado de Astra Control configurado durante la instalación o un rol limitado con un único contexto no funcionará en tu entorno:

      Nota Lo siguiente ClusterRole Los pasos son un ejemplo general de Kubernetes. Consulte la documentación de la distribución de Kubernetes para obtener instrucciones específicas de su entorno.
    Expanda para obtener los pasos

    1. Cree un ClusterRole archivo llamado, por ejemplo, astra-admin-account.yaml.

      Ajuste el nombre y el espacio de nombres según sea necesario. Si se realizan cambios aquí, debe aplicar los mismos cambios en los pasos siguientes.

      astra-admin-account.yaml
      apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: astra-admin-account
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
- nonResourceURLs:
  - '*'
  verbs:
  - '*'

    2. Aplique el rol de clúster:

      kubectl apply -f astra-admin-account.yaml

  3. Cree el enlace de rol de clúster para el rol del clúster a la cuenta de servicio:

    1. Cree un ClusterRoleBinding archivo llamado astracontrol-clusterrolebinding.yaml.

      Ajuste los nombres y espacios de nombres modificados al crear la cuenta de servicio según sea necesario.

    astracontrol-clusterrolebinding.yaml

    +

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: astracontrol-admin
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: astra-admin-account
subjects:
- kind: ServiceAccount
  name: astracontrol-service-account
  namespace: default

    1. Aplique el enlace de roles del clúster:

      kubectl apply -f astracontrol-clusterrolebinding.yaml

  4. Crear y aplicar el secreto de token:

    1. Cree un archivo secreto de token llamado secret-astracontrol-service-account.yaml.

      secret-astracontrol-service-account.yaml
      apiVersion: v1
kind: Secret
metadata:
  name: secret-astracontrol-service-account
  namespace: default
  annotations:
    kubernetes.io/service-account.name: "astracontrol-service-account"
type: kubernetes.io/service-account-token

    2. Aplique el secreto de token:

      kubectl apply -f secret-astracontrol-service-account.yaml

  5. Agregue el secreto de token a la cuenta de servicio agregando su nombre a la secrets array (la última línea del siguiente ejemplo):

    kubectl edit sa astracontrol-service-account
    apiVersion: v1
imagePullSecrets:
- name: astracontrol-service-account-dockercfg-48xhx
kind: ServiceAccount
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","kind":"ServiceAccount","metadata":{"annotations":{},"name":"astracontrol-service-account","namespace":"default"}}
  creationTimestamp: "2023-06-14T15:25:45Z"
  name: astracontrol-service-account
  namespace: default
  resourceVersion: "2767069"
  uid: 2ce068c4-810e-4a96-ada3-49cbf9ec3f89
secrets:
- name: astracontrol-service-account-dockercfg-48xhx
- name: secret-astracontrol-service-account

  6. Enumere los secretos de la cuenta de servicio, reemplazando <context> con el contexto correcto para su instalación:

    kubectl get serviceaccount astracontrol-service-account --context <context> --namespace default -o json

    El final de la salida debe ser similar a lo siguiente:

    "secrets": [
{ "name": "astracontrol-service-account-dockercfg-48xhx"},
{ "name": "secret-astracontrol-service-account"}
]

    Los índices de cada elemento de la secrets la matriz comienza con 0. En el ejemplo anterior, el índice para astracontrol-service-account-dockercfg-48xhx sería 0 y el índice para secret-astracontrol-service-account sería 1. En la salida, anote el número de índice del secreto de la cuenta de servicio. Necesitará este número de índice en el siguiente paso.

  7. Genere la kubeconfig de la siguiente manera:

    1. Cree un create-kubeconfig.sh archivo. Sustituya TOKEN_INDEX al principio de la secuencia de comandos siguiente con el valor correcto.

      create-kubeconfig.sh
      # Update these to match your environment.
# Replace TOKEN_INDEX with the correct value
# from the output in the previous step. If you
# didn't change anything else above, don't change
# anything else here.

SERVICE_ACCOUNT_NAME=astracontrol-service-account
NAMESPACE=default
NEW_CONTEXT=astracontrol
KUBECONFIG_FILE='kubeconfig-sa'

CONTEXT=$(kubectl config current-context)

SECRET_NAME=$(kubectl get serviceaccount ${SERVICE_ACCOUNT_NAME} \
  --context ${CONTEXT} \
  --namespace ${NAMESPACE} \
  -o jsonpath='{.secrets[TOKEN_INDEX].name}')
TOKEN_DATA=$(kubectl get secret ${SECRET_NAME} \
  --context ${CONTEXT} \
  --namespace ${NAMESPACE} \
  -o jsonpath='{.data.token}')

TOKEN=$(echo ${TOKEN_DATA} | base64 -d)

# Create dedicated kubeconfig
# Create a full copy
kubectl config view --raw > ${KUBECONFIG_FILE}.full.tmp

# Switch working context to correct context
kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp config use-context ${CONTEXT}

# Minify
kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp \
  config view --flatten --minify > ${KUBECONFIG_FILE}.tmp

# Rename context
kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
  rename-context ${CONTEXT} ${NEW_CONTEXT}

# Create token user
kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
  set-credentials ${CONTEXT}-${NAMESPACE}-token-user \
  --token ${TOKEN}

# Set context to use token user
kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
  set-context ${NEW_CONTEXT} --user ${CONTEXT}-${NAMESPACE}-token-user

# Set context to correct namespace
kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
  set-context ${NEW_CONTEXT} --namespace ${NAMESPACE}

# Flatten/minify kubeconfig
kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
  view --flatten --minify > ${KUBECONFIG_FILE}

# Remove tmp
rm ${KUBECONFIG_FILE}.full.tmp
rm ${KUBECONFIG_FILE}.tmp

    2. Origen de los comandos para aplicarlos al clúster de Kubernetes.

      source create-kubeconfig.sh

  8. (Opcional) cambie el nombre de la Marca de prestigio por un nombre significativo para el clúster.

    mv kubeconfig-sa YOUR_CLUSTER_NAME_kubeconfig

El futuro

Ahora que ha comprobado que se cumplen los requisitos previos, está listo añadir un clúster.

Añada el clúster

Para comenzar a gestionar las aplicaciones, añada un clúster de Kubernetes y gestiónelo como un recurso de computación. Es necesario añadir un clúster para Astra Control Center para descubrir sus aplicaciones Kubernetes.

Consejo Le recomendamos que Astra Control Center gestione el clúster en el que se implementa primero antes de añadir otros clústeres a Astra Control Center para su gestión. Disponer del cluster inicial en administración es necesario para enviar datos Kubemetrics y datos asociados al cluster para mediciones y resolución de problemas.
Antes de empezar

  • Antes de añadir un clúster, revise y realice la operación necesaria requisitos previos.

  • Si utiliza un controlador de SAN de ONTAP, asegúrese de que multivía esté habilitado en todos los clústeres de Kubernetes.

Pasos

  1. Acceda desde el menú Dashboard o Clusters:

    • En Panel en Resumen de recursos, seleccione Agregar en el panel Clusters.

    • En el área de navegación de la izquierda, seleccione Clusters y, a continuación, seleccione Add Cluster en la página Clusters.

  2. En la ventana Agregar clúster que se abre, cargue un kubeconfig.yaml archivar o pegar el contenido de un kubeconfig.yaml archivo.

    Nota La kubeconfig.yaml el archivo debe incluir sólo la credencial de cluster para un cluster.
    Importante Si crea el suyo propio kubeconfig file, debe definir sólo un elemento de contexto uno en él. Consulte "Documentación de Kubernetes" para obtener información acerca de cómo crear kubeconfig archivos. Si creó una imagen de kubeconfig para una función de clúster limitada mediante el proceso anterior, asegúrese de cargar o pegar esa kubeconfig en este paso.

  3. Introduzca un nombre de credencial. De forma predeterminada, el nombre de las credenciales se completa automáticamente como nombre del clúster.

  4. Seleccione Siguiente.

  5. Seleccione la clase de almacenamiento predeterminada que se utilizará para este clúster de Kubernetes y seleccione Siguiente.

    Nota Debe seleccionar una clase de almacenamiento de Astra Trident respaldada por almacenamiento de ONTAP.

  6. Revise la información y si todo parece bien, seleccione Agregar.

Resultado

El clúster entra en el estado descubriendo y luego cambia a saludable. Ahora está gestionando el clúster con Astra Control Center.

Importante Después de agregar un clúster para administrarlo en Astra Control Center, puede que el operador de supervisión tarde unos minutos en implementar. Hasta entonces, el icono de notificación se vuelve rojo y registra un evento Comprobación de estado del agente de supervisión fallida. Puede ignorar esto porque el problema se resuelve cuando Astra Control Center obtiene el estado correcto. Si el problema no se resuelve en unos minutos, vaya al clúster y ejecute oc get pods -n netapp-monitoring como punto de partida. Deberá consultar los registros del operador de supervisión para depurar el problema.

Habilite la autenticación en el back-end de almacenamiento de ONTAP

El Centro de control de Astra ofrece dos modos de autenticación de un back-end de ONTAP:

  • Autenticación basada en credenciales: El nombre de usuario y la contraseña de un usuario de ONTAP con los permisos requeridos. Debe utilizar un rol de inicio de sesión de seguridad predefinido, como admin o vsadmin, para garantizar la máxima compatibilidad con las versiones de ONTAP.

  • Autenticación basada en certificados: Astra Control Center también puede comunicarse con un clúster de ONTAP utilizando un certificado instalado en el backend. Debe usar el certificado de cliente, la clave y el certificado de CA de confianza si se utilizan (recomendado).

Más adelante, puede actualizar los back-ends existentes para pasar de un tipo de autenticación a otro método. Solo se admite un método de autenticación a la vez.

Habilite la autenticación basada en credenciales

Astra Control Center requiere las credenciales para un ámbito del clúster admin Para comunicarse con el backend de ONTAP. Debe utilizar roles estándar predefinidos como admin. Esto garantiza la compatibilidad con futuras versiones de ONTAP que podrían exponer API de funciones para que las utilicen en futuras versiones del Centro de control de Astra.

Nota Puede crearse y utilizarse un rol de inicio de sesión de seguridad personalizado con Astra Control Center, pero no es recomendable.

Una definición de backend de ejemplo tiene el siguiente aspecto:

{
  "version": 1,
  "backendName": "ExampleBackend",
  "storageDriverName": "ontap-nas",
  "managementLIF": "10.0.0.1",
  "dataLIF": "10.0.0.2",
  "svm": "svm_nfs",
  "username": "admin",
  "password": "secret"
}

La definición de backend es el único lugar en el que las credenciales se almacenan en texto sin formato. La creación o actualización de un backend es el único paso que requiere conocimiento de las credenciales. De este modo, se trata de una operación exclusiva para administrador que realiza el administrador de Kubernetes o de almacenamiento.

Habilite la autenticación basada en certificados

Astra Control Center puede utilizar certificados para comunicarse con back-ends de ONTAP nuevos y existentes. Debe introducir la siguiente información en la definición de backend.

  • clientCertificate: Certificado de cliente.

  • clientPrivateKey: Clave privada asociada.

  • trustedCACertificate: Certificado de CA de confianza. Si se utiliza una CA de confianza, se debe proporcionar este parámetro. Esto se puede ignorar si no se utiliza ninguna CA de confianza.

Es posible usar uno de los siguientes tipos de certificados:

  • Certificado autofirmado

  • Certificado de terceros

Habilite la autenticación con un certificado autofirmado

Un flujo de trabajo típico implica los pasos siguientes.

Pasos

  1. Genere una clave y un certificado de cliente. Al generar, defina el nombre común (CN) en el usuario ONTAP para autenticarse como.

    openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout k8senv.key -out k8senv.pem -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=<common-name>"

  2. Instale el certificado de cliente de tipo client-ca Y el clúster de ONTAP.

    security certificate install -type client-ca -cert-name <certificate-name> -vserver <vserver-name>
security ssl modify -vserver <vserver-name> -client-enabled true

  3. Confirme que el rol de inicio de sesión de seguridad de ONTAP admite el método de autenticación de certificado.

    security login create -user-or-group-name vsadmin -application ontapi -authentication-method cert -vserver <vserver-name>
security login create -user-or-group-name vsadmin -application http -authentication-method cert -vserver <vserver-name>

  4. Pruebe la autenticación mediante el certificado generado. Sustituya <LIF de gestión de ONTAP> y <vserver name> por la IP de LIF de gestión y el nombre SVM. Debe asegurarse de que la LIF tiene su política de servicio establecida en default-data-management.

    curl -X POST -Lk https://<ONTAP-Management-LIF>/servlets/netapp.servlets.admin.XMLrequest_filer --key k8senv.key --cert ~/k8senv.pem -d '<?xml version="1.0" encoding="UTF-8"?><netapp xmlns=http://www.netapp.com/filer/admin version="1.21" vfiler="<vserver-name>"><vserver-get></vserver-get></netapp>

  5. Con los valores obtenidos del paso anterior, añada el back-end del almacenamiento en la interfaz de usuario de Astra Control Center.

Active la autenticación con un certificado de terceros

Si tiene un certificado de terceros, puede configurar la autenticación basada en certificados con estos pasos.

Pasos

  1. Genere la clave privada y CSR:

    openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/" -outform pem -out ontap_cert_request.csr -keyout ontap_cert_request.key -addext "subjectAltName = DNS:<ONTAP_CLUSTER_FQDN_NAME>,IP:<ONTAP_MGMT_IP>”

  2. Transfiera la CSR a la CA de Windows (CA de terceros) y emita el certificado firmado.

  3. Descargue el certificado firmado y asígnele el nombre `ontap_signed_cert.crt'

  4. Exporte el certificado raíz de Windows CA (CA de terceros).

  5. Asigne un nombre a este archivo ca_root.crt

    Ahora tiene los siguientes tres archivos:

    • Clave privada: ontap_signed_request.key (Esta es la clave correspondiente para el certificado de servidor en ONTAP. Se necesita al instalar el certificado de servidor.)

    • Certificado firmado: ontap_signed_cert.crt (Esto también se denomina server certificate en ONTAP.)

    • Certificado de CA raíz: ca_root.crt (Esto también se denomina server-ca certificate en ONTAP.)

  6. Instale estos certificados en ONTAP. Generar e instalar server y.. server-ca Certificados en ONTAP.

    Expanda para sample.yaml 
    # Copy the contents of ca_root.crt and use it here.

security certificate install -type server-ca

Please enter Certificate: Press <Enter> when done

-----BEGIN CERTIFICATE-----
<certificate details>
-----END CERTIFICATE-----


You should keep a copy of the CA-signed digital certificate for future reference.

The installed certificate's CA and serial number for reference:

CA:
serial:

The certificate's generated name for reference:


===

# Copy the contents of ontap_signed_cert.crt and use it here. For key, use the contents of ontap_cert_request.key file.
security certificate install -type server
Please enter Certificate: Press <Enter> when done

-----BEGIN CERTIFICATE-----
<certificate details>
-----END CERTIFICATE-----

Please enter Private Key: Press <Enter> when done

-----BEGIN PRIVATE KEY-----
<private key details>
-----END PRIVATE KEY-----

Enter certificates of certification authorities (CA) which form the certificate chain of the server certificate. This starts with the issuing CA certificate of the server certificate and can range up to the root CA certificate.
Do you want to continue entering root and/or intermediate certificates {y|n}: n

The provided certificate does not have a common name in the subject field.
Enter a valid common name to continue installation of the certificate: <ONTAP_CLUSTER_FQDN_NAME>

You should keep a copy of the private key and the CA-signed digital certificate for future reference.
The installed certificate's CA and serial number for reference:
CA:
serial:
The certificate's generated name for reference:


==
# Modify the vserver settings to enable SSL for the installed certificate

ssl modify -vserver <vserver_name> -ca <CA>  -server-enabled true -serial <serial number>       (security ssl modify)

==
# Verify if the certificate works fine:

openssl s_client -CAfile ca_root.crt -showcerts -servername server -connect <ONTAP_CLUSTER_FQDN_NAME>:443
CONNECTED(00000005)
depth=1 DC = local, DC = umca, CN = <CA>
verify return:1
depth=0
verify return:1
write W BLOCK
---
Certificate chain
0 s:
   i:/DC=local/DC=umca/<CA>

-----BEGIN CERTIFICATE-----
<Certificate details>

  7. Cree el certificado de cliente para el mismo host para la comunicación sin contraseña. Astra Control Center utiliza este proceso para comunicarse con ONTAP.

  8. Genere e instale los certificados de cliente en ONTAP:

    Expanda para sample.yaml 
    # Use /CN=admin or use some other account which has privileges.
openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout ontap_test_client.key -out ontap_test_client.pem -subj "/CN=admin"

Copy the content of ontap_test_client.pem file and use it in the below command:
security certificate install -type client-ca -vserver <vserver_name>

Please enter Certificate: Press <Enter> when done

-----BEGIN CERTIFICATE-----
<Certificate details>
-----END CERTIFICATE-----

You should keep a copy of the CA-signed digital certificate for future reference.
The installed certificate's CA and serial number for reference:

CA:
serial:
The certificate's generated name for reference:


==

ssl modify -vserver <vserver_name> -client-enabled true
(security ssl modify)

# Setting permissions for certificates
security login create -user-or-group-name admin -application ontapi -authentication-method cert -role admin -vserver <vserver_name>

security login create -user-or-group-name admin -application http -authentication-method cert -role admin -vserver <vserver_name>

==

#Verify passwordless communication works fine with the use of only certificates:

curl --cacert ontap_signed_cert.crt  --key ontap_test_client.key --cert ontap_test_client.pem https://<ONTAP_CLUSTER_FQDN_NAME>/api/storage/aggregates
{
"records": [
{
"uuid": "f84e0a9b-e72f-4431-88c4-4bf5378b41bd",
"name": "<aggr_name>",
"node": {
"uuid": "7835876c-3484-11ed-97bb-d039ea50375c",
"name": "<node_name>",
"_links": {
"self": {
"href": "/api/cluster/nodes/7835876c-3484-11ed-97bb-d039ea50375c"
}
}
},
"_links": {
"self": {
"href": "/api/storage/aggregates/f84e0a9b-e72f-4431-88c4-4bf5378b41bd"
}
}
}
],
"num_records": 1,
"_links": {
"self": {
"href": "/api/storage/aggregates"
}
}
}%

  9. Añada el back-end de almacenamiento en la interfaz de usuario de Astra Control Center y proporcione los siguientes valores:

    • Certificado de cliente: ontap_test_client.pem

    • Clave privada: ontap_test_client.key

    • Certificado de CA de confianza: ontap_signed_cert.crt

Añada un back-end de almacenamiento

Después de configurar las credenciales o la información de autenticación de certificados, puede añadir un back-end de almacenamiento de ONTAP existente a Astra Control Center para gestionar sus recursos.

Gestionar los clústeres de almacenamiento en Astra Control como back-end de almacenamiento le permite obtener vínculos entre los volúmenes persistentes (VP) y el back-end de almacenamiento, así como mediciones de almacenamiento adicionales.

Solo para el aprovisionador de control de Astra_*: Añadir y gestionar los back-ends de almacenamiento de ONTAP en el Centro de control de Astra es opcional cuando se utiliza la tecnología SnapMirror de NetApp si se ha habilitado el aprovisionador de control de Astra con Centro de control de Astra 23,10 o posterior.

Pasos

  1. En el panel de control del área de navegación de la izquierda, seleccione Backends.

  2. Seleccione Agregar.

  3. En la sección Usar existente de la página Agregar backend de almacenamiento, seleccione ONTAP.

  4. Seleccione una de las siguientes opciones:

    • Usar credenciales de administrador: Ingrese la dirección IP de administración del clúster de ONTAP y las credenciales de administración. Las credenciales deben ser credenciales para todo el clúster.

      Nota El usuario cuyas credenciales introduzca aquí debe tener la ontapi Método de acceso de inicio de sesión de usuario habilitado en System Manager de ONTAP en el clúster de ONTAP. Si planea utilizar la replicación de SnapMirror, aplique las credenciales de usuario con el rol "admin", que tiene los métodos de acceso ontapi y.. http, En clústeres ONTAP de origen y destino. Consulte "Gestionar cuentas de usuario en la documentación de ONTAP" si quiere más información.

    • Utilice un certificado: Cargue el certificado .pem archivo, la clave de certificado .key archivo y, opcionalmente, el archivo de entidad de certificación.

  5. Seleccione Siguiente.

  6. Confirme los detalles del backend y seleccione Administrar.

Resultado

El back-end aparece en la online estado en la lista con información resumida.

Nota Es posible que deba actualizar la página para que se muestre el back-end.

Añadir un bucket

Puede añadir un bloque con la interfaz de usuario de Astra Control o. "API de control Astra". Añadir proveedores de bloques de almacenamiento de objetos es esencial si desea realizar backups de sus aplicaciones y del almacenamiento persistente o si desea clonar aplicaciones entre clústeres. Astra Control almacena estas copias de seguridad o clones en los bloques de almacenamiento de objetos que defina.

No necesita un bloque de Astra Control si clona la configuración de sus aplicaciones y el almacenamiento persistente en el mismo clúster. La funcionalidad de snapshots de aplicaciones no requiere un bloque.

Antes de empezar

  • Asegúrese de tener un bloque al que se puede acceder desde los clústeres que gestiona Astra Control Center.

  • Asegúrese de tener credenciales para el bloque.

  • Asegúrese de que el cucharón es uno de los siguientes tipos:

    • NetApp ONTAP S3

    • StorageGRID S3 de NetApp

    • Microsoft Azure

    • Genérico S3

Nota Amazon Web Services (AWS) y Google Cloud Platform (GCP) utilizan el tipo de bloque Generic S3.
Nota Aunque Astra Control Center es compatible con Amazon S3 como proveedor de bloques Generic S3, es posible que Astra Control Center no admita todos los proveedores de almacenes de objetos que afirman que Amazon es compatible con S3.
Pasos

  1. En el área de navegación de la izquierda, seleccione Cuchos.

  2. Seleccione Agregar.

  3. Seleccione el tipo de bloque.

    Nota Cuando agregue un bloque, seleccione el proveedor de segmento correcto y proporcione las credenciales correctas para ese proveedor. Por ejemplo, la interfaz de usuario acepta ONTAP S3 de NetApp como tipo y acepta credenciales de StorageGRID; sin embargo, esto hará que se produzcan errores en todos los futuros backups de aplicaciones y restauraciones usando este bucket.

  4. Introduzca un nombre de bloque existente y una descripción opcional.

    Consejo El nombre y la descripción del bloque aparecen como una ubicación de backup que se puede elegir más adelante al crear un backup. El nombre también aparece durante la configuración de la política de protección.

  5. Introduzca el nombre o la dirección IP del extremo de S3.

  6. En Seleccionar credenciales, elija la ficha Agregar o utilizar existente.

    • Si ha elegido Agregar:

      1. Introduzca un nombre para la credencial que la distingue de otras credenciales en Astra Control.

      2. Escriba el identificador de acceso y la clave secreta pegando el contenido del portapapeles.

    • Si ha elegido utilizar existente:

      1. Seleccione las credenciales existentes que desea utilizar con el bloque.

  7. Seleccione Add.

    Nota Cuando se agrega un bloque, Astra Control Marca un bloque con el indicador de segmento predeterminado. El primer bloque que crea se convierte en el bloque predeterminado. A medida que se añaden bloques, más adelante se puede decidir a. "establecer otro bloque predeterminado".

El futuro

Ahora que ha iniciado sesión y ha añadido clústeres a Astra Control Center, estará listo para empezar a utilizar las funciones de gestión de datos de aplicaciones de Astra Control Center.

Obtenga más información