Configurar Oracle Linux 9.5 con NVMe-oF para el almacenamiento ONTAP
Las configuraciones de host SAN de NetApp admiten el protocolo NVMe over Fabrics (NVMe-oF) con acceso asimétrico al espacio de nombres (ANA). En entornos con NVMe-oF, ANA es equivalente a accesos múltiples asimétricos de unidad lógica (ALUA) en entornos iSCSI y FCP. ANA se implementa mediante la función multivía de NVMe interna.
Los siguientes servicios de compatibilidad y funciones están disponibles con la configuración de host de NVMe-oF para Oracle Linux 9,5 con almacenamiento ONTAP.
-
Soporte disponible:
-
Compatibilidad con NVMe sobre TCP (NVMe/TCP), además de NVMe sobre Fibre Channel (NVMe/FC). El plugin de NetApp en el paquete nvme-cli nativo muestra detalles de ONTAP para espacios de nombres NVMe/FC y NVMe/TCP.
-
Ejecutando tráfico NVMe y SCSI en el mismo host. Por ejemplo, puede configurar dm-multipath en dispositivos SCSI mpath para LUN SCSI y usar NVMe multipath para configurar dispositivos de espacio de nombres NVMe-oF en el host.
-
Oracle Linux 9.5 habilita la multiruta NVMe dentro del kernel para espacios de nombres NVMe de manera predeterminada, lo que elimina la necesidad de configuraciones explícitas.
-
A partir de ONTAP 9.12.1, se incorpora la compatibilidad con la autenticación segura en banda para NVMe/TCP. Puede utilizar la autenticación segura en banda para NVMe/TCP con Oracle Linux 9.5.
La NetApp sanlun
La utilidad de host no es compatible con NVMe-oF. En su lugar, puede usar el complemento de NetApp incluido en el entorno nativo.nvme-cli
para todos los transportes NVMe-oF.Si quiere más información sobre las configuraciones compatibles, consulte la "Herramienta de matriz de interoperabilidad".
-
-
Características disponibles:
-
No hay nuevas funciones en esta versión.
-
-
Limitaciones conocidas:
-
Evite emitir el
nvme disconnect-all
comando en sistemas que arrancan desde SAN a través de espacios de nombres NVMe-TCP o NVMe-FC porque desconecta los sistemas de archivos raíz y de datos y podría generar inestabilidad en el sistema.
-
Paso 1: Opcionalmente, habilite el arranque SAN
Puede configurar su host para que utilice el arranque SAN y simplificar la puesta en marcha y mejorar la escalabilidad.
Utilice "Herramienta de matriz de interoperabilidad" para verificar que el sistema operativo Linux, el adaptador de bus de host (HBA), el firmware del HBA, el BIOS de arranque del HBA y la versión de ONTAP admiten el arranque SAN.
-
"Cree un espacio de nombres de arranque SAN y asígnelo al host".
-
Habilite el arranque SAN en el BIOS del servidor para los puertos a los que está asignado el espacio de nombres de arranque SAN.
Para obtener información acerca de cómo activar el BIOS HBA, consulte la documentación específica de su proveedor.
-
Compruebe que la configuración se haya realizado correctamente. Para ello, reinicie el host y verifique que el sistema operativo esté activo y en ejecución.
Paso 2: Validar las versiones del software
Utilice el siguiente procedimiento para validar las versiones mínimas compatibles del software Oracle Linux 9.5.
-
Instale Oracle Linux 9.5 en el servidor. Una vez completada la instalación, verifique que esté ejecutando el kernel Oracle Linux 9.5 especificado.
uname -r
El siguiente ejemplo muestra una versión del kernel de Oracle Linux:
5.15.0-302.167.6.el9uek.x86_64
-
Instale el
nvme-cli
paquete:rpm -qa|grep nvme-cli
El siguiente ejemplo muestra un
nvme-cli
versión del paquete:nvme-cli-2.9.1-6.el9.x86_64
-
Instale el
libnvme
paquete:rpm -qa|grep libnvme
El siguiente ejemplo muestra un
libnvme
versión del paquete:libnvme-1.9-3.el9.x86_64
-
En el host Oracle Linux 9,5, compruebe
hostnqn
la cadena en/etc/nvme/hostnqn
:cat /etc/nvme/hostnqn
El siguiente ejemplo muestra un
hostnqn
versión:nqn.2014-08.org.nvmexpress:uuid:4c4c4544-0050-3410-8035-c2c04f4a5933
-
Compruebe que el
hostnqn
la cadena coincide conhostnqn
Cadena para el subsistema correspondiente en la cabina de ONTAP:vserver nvme subsystem host show -vserver vs_213_36002
Muestra el ejemplo
Vserver Subsystem Priority Host NQN ------- --------- -------- ------------------------------------------------ vs_coexistence_LPE36002 nvme1 regular nqn.2014-08.org.nvmexpress:uuid:4c4c4544-0050-3410-8035-c2c04f4a5933 nvme2 regular nqn.2014-08.org.nvmexpress:uuid:4c4c4544-0050-3410-8035-c2c04f4a5933 nvme3 regular nqn.2014-08.org.nvmexpress:uuid:4c4c4544-0050-3410-8035-c2c04f4a5933 nvme4 regular nqn.2014-08.org.nvmexpress:uuid:4c4c4544-0050-3410-8035-c2c04f4a5933 4 entries were displayed.
Si hostnqn
las cadenas no coinciden, puede usarvserver modify
el comando para actualizar lahostnqn
cadena en el subsistema de la cabina ONTAP correspondiente a fin de que coincida con lahostnqn
cadena de/etc/nvme/hostnqn
en el host.
Paso 3: Configurar NVMe/FC
Configure NVMe/FC con adaptadores Broadcom/Emulex FC o Marvell/Qlogic FC.
Configuración de NVMe/FC para un adaptador Broadcom/Emulex.
-
Compruebe que está utilizando el modelo de adaptador compatible:
-
Mostrar los nombres de los modelos:
cat /sys/class/scsi_host/host*/modelname
Debe ver la siguiente salida:
LPe36002-M64 LPe36002-M64
-
Mostrar las descripciones del modelo:
cat /sys/class/scsi_host/host*/modeldesc
Debería ver un resultado similar al siguiente ejemplo:
Emulex LightPulse LPe36002-M64 2-Port 64Gb Fibre Channel Adapter Emulex LightPulse LPe36002-M64 2-Port 64Gb Fibre Channel Adapter
-
-
Compruebe que está utilizando la Broadcom recomendada
lpfc
firmware y controlador de bandeja de entrada:-
Mostrar la versión del firmware:
cat /sys/class/scsi_host/host*/fwrev
El siguiente ejemplo muestra las versiones de firmware:
14.4.393.25, sli-4:6:d 14.4.393.25, sli-4:6:d
-
Mostrar la versión del controlador de la bandeja de entrada:
cat /sys/module/lpfc/version
El siguiente ejemplo muestra una versión del controlador:
0:14.4.0.2
+
Para obtener la lista actual de versiones de firmware y controladores de adaptador compatibles, consulte la "Herramienta de matriz de interoperabilidad". -
-
Compruebe que
lpfc_enable_fc4_type
se establece en3
:cat /sys/module/lpfc/parameters/lpfc_enable_fc4_type
-
Compruebe que puede ver los puertos de iniciador:
cat /sys/class/fc_host/host*/<port_name>
El siguiente ejemplo muestra las identidades del puerto:
0x100000620b3c089c 0x100000620b3c089d
-
Compruebe que los puertos de iniciador estén en línea:
cat /sys/class/fc_host/host*/port_state
Debe ver la siguiente salida:
Online Online
-
Compruebe que los puertos de iniciador NVMe/FC estén habilitados y que los puertos de destino estén visibles:
cat /sys/class/scsi_host/host*/nvme_info
Muestra el ejemplo
NVME Initiator Enabled XRI Dist lpfc0 Total 6144 IO 5894 ELS 250 NVME LPORT lpfc0 WWPN x100000620b3c089c WWNN x200000620b3c089c DID x081300 ONLINE NVME RPORT WWPN x2001d039eab0dadc WWNN x2000d039eab0dadc DID x080101 TARGET DISCSRVC ONLINE NVME RPORT WWPN x2003d039eab0dadc WWNN x2000d039eab0dadc DID x080401 TARGET DISCSRVC ONLINE NVME Statistics LS: Xmt 00000002e9 Cmpl 00000002e9 Abort 00000000 LS XMIT: Err 00000000 CMPL: xb 00000000 Err 00000000 Total FCP Cmpl 0000000000078742 Issue 0000000000078740 OutIO fffffffffffffffe abort 000000c2 noxri 00000000 nondlp 00000a23 qdepth 00000000 wqerr 00000000 err 00000000 FCP CMPL: xb 000000c2 Err 00000238 NVME Initiator Enabled XRI Dist lpfc1 Total 6144 IO 5894 ELS 250 NVME LPORT lpfc1 WWPN x100000620b3c089d WWNN x200000620b3c089d DID x081900 ONLINE NVME RPORT WWPN x2002d039eab0dadc WWNN x2000d039eab0dadc DID x080201 TARGET DISCSRVC ONLINE NVME RPORT WWPN x2004d039eab0dadc WWNN x2000d039eab0dadc DID x080301 TARGET DISCSRVC ONLINE NVME Statistics LS: Xmt 00000002d9 Cmpl 00000002d9 Abort 00000000 LS XMIT: Err 00000000 CMPL: xb 00000000 Err 00000000 Total FCP Cmpl 000000000007754f Issue 000000000007754f OutIO 0000000000000000 abort 000000c2 noxri 00000000 nondlp 00000719 qdepth 00000000 wqerr 00000000 err 00000000 FCP CMPL: xb 000000c2 Err 0000023d
Configure NVMe/FC para un adaptador Marvell/QLogic.
-
Compruebe que está ejecutando las versiones de firmware y controlador del adaptador compatibles:
cat /sys/class/fc_host/host*/symbolic_name
El siguiente ejemplo muestra las versiones del controlador y del firmware:
QLE2772 FW:v9.15.03 DVR:v10.02.09.300-k-debug
-
Compruebe que
ql2xnvmeenable
está configurado. Esto permite que el adaptador Marvell funcione como iniciador NVMe/FC:cat /sys/module/qla2xxx/parameters/ql2xnvmeenable
El valor
1
verifica queql2xnvmeenable
está establecido
Paso 4: Opcionalmente, habilite 1 MB de E/S para NVMe/FC
ONTAP informa de un MDT (tamaño de transferencia de MAX Data) de 8 en los datos Identify Controller. Esto significa que el tamaño máximo de solicitud de E/S puede ser de hasta 1MB TB. Para emitir solicitudes de I/O de tamaño 1 MB para un host Broadcom NVMe/FC, debe aumentar lpfc
el valor lpfc_sg_seg_cnt
del parámetro a 256 con respecto al valor predeterminado de 64.
|
Estos pasos no se aplican a los hosts Qlogic NVMe/FC. |
-
Defina el
lpfc_sg_seg_cnt
parámetro en 256:cat /etc/modprobe.d/lpfc.conf
Debería ver un resultado similar al siguiente ejemplo:
options lpfc lpfc_sg_seg_cnt=256
-
Ejecute
dracut -f
el comando y reinicie el host. -
Compruebe que el valor de
lpfc_sg_seg_cnt
es 256:cat /sys/module/lpfc/parameters/lpfc_sg_seg_cnt
Paso 5: Verificar los servicios de arranque NVMe
Con Oracle Linux 9.5, el nvmefc-boot-connections.service
y nvmf-autoconnect.service
Servicios de arranque incluidos en NVMe/FC nvme-cli
Los paquetes se habilitan automáticamente cuando se inicia el sistema.
Una vez finalizado el arranque, verifique que nvmefc-boot-connections.service
y nvmf-autoconnect.service
Los servicios de arranque están habilitados.
-
Compruebe que
nvmf-autoconnect.service
está activado:systemctl status nvmf-autoconnect.service
Muestra el resultado de ejemplo
nvmf-autoconnect.service - Connect NVMe-oF subsystems automatically during boot Loaded: loaded (/usr/lib/systemd/system/nvmf-autoconnect.service; enabled; preset: disabled) Active: inactive (dead) since Wed 2025-07-02 16:46:37 IST; 1 day 3h ago Main PID: 2129 (code=exited, status=0/SUCCESS) CPU: 121ms Jul 02 16:46:37 interop-13-175 nvme[2129]: Failed to write to /dev/nvme-fabrics: Invalid argument Jul 02 16:46:37 interop-13-175 nvme[2129]: Failed to write to /dev/nvme-fabrics: Invalid argument Jul 02 16:46:37 interop-13-175 nvme[2129]: Failed to write to /dev/nvme-fabrics: Invalid argument Jul 02 16:46:37 interop-13-175 nvme[2129]: Failed to write to /dev/nvme-fabrics: Invalid argument Jul 02 16:46:37 interop-13-175 nvme[2129]: Failed to write to /dev/nvme-fabrics: Invalid argument Jul 02 16:46:37 interop-13-175 nvme[2129]: Failed to write to /dev/nvme-fabrics: Invalid argument Jul 02 16:46:37 interop-13-175 nvme[2129]: Failed to open ctrl nvme0, errno 2 Jul 02 16:46:37 interop-13-175 nvme[2129]: failed to get discovery log: Bad file descriptor Jul 02 16:46:37 interop-13-175 systemd[1]: nvmf-autoconnect.service: Deactivated successfully. Jul 02 16:46:37 interop-13-175 systemd[1]: Finished Connect NVMe-oF subsystems automatically during boot.
-
Compruebe que
nvmefc-boot-connections.service
está activado:systemctl status nvmefc-boot-connections.service
Muestra el resultado de ejemplo
nvmefc-boot-connections.service - Auto-connect to subsystems on FC-NVME devices found during boot Loaded: loaded (/usr/lib/systemd/system/nvmefc-boot-connections.service; enabled; preset: enabled) Active: inactive (dead) since Wed 2025-07-02 16:45:46 IST; 1 day 3h ago Main PID: 1604 (code=exited, status=0/SUCCESS) CPU: 32ms Jul 02 16:45:46 interop-13-175 systemd[1]: Starting Auto-connect to subsystems on FC-NVME devices found during boot... Jul 02 16:45:46 interop-13-175 systemd[1]: nvmefc-boot-connections.service: Deactivated successfully. Jul 02 16:45:46 interop-13-175 systemd[1]: Finished Auto-connect to subsystems on FC-NVME devices found during boot.
Paso 6: Configurar NVMe/TCP
El protocolo NVMe/TCP no admite auto-connect
la operación. En su lugar, puede detectar los subsistemas y los espacios de nombres NVMe/TCP ejecutando manualmente las operaciones o connect-all
NVMe/TCP connect
.
-
Compruebe que el puerto del iniciador pueda recuperar los datos de la página de registro de detección en las LIF NVMe/TCP admitidas:
nvme discover -t tcp -w host-traddr -a traddr
Muestra el ejemplo
nvme discover -t tcp -w 192.168.165.3 -a 192.168.165.8 Discovery Log Number of Records 8, Generation counter 8 =====Discovery Log Entry 0====== trtype: tcp adrfam: ipv4 subtype: current discovery subsystem treq: not specified portid: 4 trsvcid: 8009 subnqn: nqn.1992-08.com.netapp:sn.4f7af2bd221811f0afadd039eab0dadd:discovery traddr: 192.168.166.9 eflags: explicit discovery connections, duplicate discovery information sectype: none =====Discovery Log Entry 1====== trtype: tcp adrfam: ipv4 subtype: current discovery subsystem treq: not specified portid: 2 trsvcid: 8009 subnqn: nqn.1992-08.com.netapp:sn.4f7af2bd221811f0afadd039eab0dadd:discovery traddr: 192.168.165.9 eflags: explicit discovery connections, duplicate discovery information sectype: none =====Discovery Log Entry 2====== trtype: tcp adrfam: ipv4 subtype: current discovery subsystem treq: not specified portid: 3 trsvcid: 8009 subnqn: nqn.1992-08.com.netapp:sn.4f7af2bd221811f0afadd039eab0dadd:discovery traddr: 192.168.166.8 eflags: explicit discovery connections, duplicate discovery information sectype: none =====Discovery Log Entry 3====== trtype: tcp adrfam: ipv4 subtype: current discovery subsystem treq: not specified portid: 1 trsvcid: 8009 subnqn: nqn.1992-08.com.netapp:sn.4f7af2bd221811f0afadd039eab0dadd:discovery traddr: 192.168.165.8 eflags: explicit discovery connections, duplicate discovery information sectype: none =====Discovery Log Entry 4====== trtype: tcp adrfam: ipv4 subtype: nvme subsystem treq: not specified portid: 4 trsvcid: 4420 subnqn: nqn.1992-08.com.netapp:sn.4f7af2bd221811f0afadd039eab0dadd:subsystem.nvme traddr: 192.168.166.9 eflags: none sectype: none =====Discovery Log Entry 5====== trtype: tcp adrfam: ipv4 subtype: nvme subsystem treq: not specified portid: 2 trsvcid: 4420 subnqn: nqn.1992-08.com.netapp:sn.4f7af2bd221811f0afadd039eab0dadd:subsystem.nvme traddr: 192.168.165.9 eflags: none sectype: none =====Discovery Log Entry 6====== trtype: tcp adrfam: ipv4 subtype: nvme subsystem treq: not specified portid: 3 trsvcid: 4420 subnqn: nqn.1992-08.com.netapp:sn.4f7af2bd221811f0afadd039eab0dadd:subsystem.nvme traddr: 192.168.166.8 eflags: none sectype: none =====Discovery Log Entry 7====== trtype: tcp adrfam: ipv4 subtype: nvme subsystem treq: not specified portid: 1 trsvcid: 4420 subnqn: nqn.1992-08.com.netapp:sn.4f7af2bd221811f0afadd039eab0dadd:subsystem.nvme traddr: 192.168.165.8 eflags: none sectype: none
-
Compruebe que las otras combinaciones de LIF iniciador-objetivo NVMe/TCP puedan recuperar correctamente los datos de la página del registro de detección:
nvme discover -t tcp -w host-traddr -a traddr
Debería ver un resultado similar al siguiente ejemplo:
nvme discover -t tcp -w 192.168.166.4 -a 192.168.166.8 nvme discover -t tcp -w 192.168.165.3 -a 192.168.165.8 nvme discover -t tcp -w 192.168.166.4 -a 192.168.166.9 nvme discover -t tcp -w 192.168.165.3 -a 192.168.165.9
-
Ejecute el
nvme connect-all
Comando en todos los LIF objetivo iniciador NVMe/TCP admitidos entre los nodos:nvme connect-all -t tcp -w host-traddr -a traddr
Debería ver un resultado similar al siguiente ejemplo:
nvme connect-all -t tcp -w 192.168.165.3 -a 192.168.165.8 nvme connect-all -t tcp -w 192.168.165.3 -a 192.168.165.9 nvme connect-all -t tcp -w 192.168.166.4 -a 192.168.166.8 nvme connect-all -t tcp -w 192.168.166.4 -a 192.168.166.9
A partir de Oracle Linux 9.4, la configuración para NVMe/TCP
ctrl_loss_tmo timeout
se establece automáticamente en "apagado". Como resultado:-
No hay límites en el número de reintentos (reintento indefinido).
-
No es necesario configurar manualmente un elemento específico.
ctrl_loss_tmo timeout
Duración al utilizar elnvme connect
onvme connect-all
comandos (opción -l ). -
Los controladores NVMe/TCP no experimentan tiempos de espera en caso de una falla de ruta y permanecen conectados indefinidamente.
-
Paso 7: Validar NVMe-oF
Verifique que el estado de multivía de NVMe en kernel, el estado de ANA y los espacios de nombres de ONTAP sean correctos para la configuración de NVMe-oF.
-
Compruebe que la multivía NVMe en kernel esté habilitada:
cat /sys/module/nvme_core/parameters/multipath
Debe ver la siguiente salida:
Y
-
Compruebe que la configuración NVMe-oF adecuada (como, por ejemplo, el modelo configurado en la controladora NetApp ONTAP y la política de balanceo de carga establecida en round-robin) en los respectivos espacios de nombres de ONTAP se reflejen correctamente en el host:
-
Mostrar los subsistemas:
cat /sys/class/nvme-subsystem/nvme-subsys*/model
Debe ver la siguiente salida:
NetApp ONTAP Controller NetApp ONTAP Controller
-
Mostrar la política:
cat /sys/class/nvme-subsystem/nvme-subsys*/iopolicy
Debe ver la siguiente salida:
round-robin round-robin
-
-
Verifique que los espacios de nombres se hayan creado y detectado correctamente en el host:
nvme list
Muestra el ejemplo
Node Generic SN Model Namespace Usage Format FW Rev ------------- ------------- -------------------- ------------------------- ---------- ----------------------- -------------- -------- /dev/nvme1n1 /dev/ng1n1 81Mc4FXd1tocAAAAAAAC NetApp ONTAP Controller 0x1 0.00 B / 10.74 GB 4 KiB + 0 B 9.16.1
-
Compruebe que el estado de la controladora de cada ruta sea activo y que tenga el estado de ANA correcto:
NVMe/FCnvme list-subsys /dev/nvme4n5
Muestra el ejemplo
nvme-subsys7 - NQN=nqn.1992-08.com.netapp:sn.7d37987be3cb11ef8948d039eab0dadd:subsystem.nvme6 hostnqn=nqn.2014-08.org.nvmexpress:uuid:2831093d-fa7f-4714-a6bf-548796e82053 iopolicy=round-robin \ +- nvme103 fc traddr=nn-0x202cd039eab0dadc:pn-0x202fd039eab0dadc,host_traddr=nn-0x200034800d767bb0:pn-0x210034800d767bb0 live optimized +- nvme153 fc traddr=nn-0x202cd039eab0dadc:pn-0x202ed039eab0dadc,host_traddr=nn-0x200034800d767bb1:pn-0x210034800d767bb1 live non-optimized +- nvme55 fc traddr=nn-0x202cd039eab0dadc:pn-0x202dd039eab0dadc,host_traddr=nn-0x200034800d767bb0:pn-0x210034800d767bb0 live non-optimized +- nvme7 fc traddr=nn-0x202cd039eab0dadc:pn-0x2030d039eab0dadc,host_traddr=nn-0x200034800d767bb1:pn-0x210034800d767bb1 live optimized
NVMe/TCPnvme list-subsys /dev/nvme1n1
Muestra el ejemplo
nvme-subsys1 - NQN=nqn.1992-08.com.netapp:sn.4f7af2bd221811f0afadd039eab0dadd:subsystem.nvme hostnqn=nqn.2014-08.org.nvmexpress:uuid:9796c1ec-0d34-11eb-b6b2-3a68dd3bab57 iopolicy=round-robin\ +- nvme1 tcp traddr=192.168.165.8,trsvcid=4420,host_traddr=192.168.165.3, src_addr=192.168.165.3 live optimized +- nvme2 tcp traddr=192.168.165.9,trsvcid=4420,host_traddr=192.168.165.3, src_addr=192.168.165.3 live non-optimized +- nvme3 tcp traddr=192.168.166.8,trsvcid=4420,host_traddr=192.168.166.4, src_addr=192.168.166.4 live optimized +- nvme4 tcp traddr=192.168.166.9,trsvcid=4420,host_traddr=192.168.166.4, src_addr=192.168.166.4 live non-optimized
-
Confirmar que el complemento de NetApp muestra los valores correctos para cada dispositivo de espacio de nombres ONTAP:
Columnanvme netapp ontapdevices -o column
Muestra el ejemplo
Device Vserver Namespace Path NSID UUID Size ---------------- ------------------------- -------------------------------------------------- ---- -------------------------------------- --------- /dev/nvme1n1 vs_tcpinband /vol/volpdc/ns1 1 80eec226-6987-4eb4-bf86-65bf48c5372d 10.74GB
JSONnvme netapp ontapdevices -o json
Muestra el ejemplo
{ "ONTAPdevices":[ { "Device":"/dev/nvme1n1", "Vserver":"vs_tcpinband", "Namespace_Path":"/vol/volpdc/ns1", "NSID":1, "UUID":"80eec226-6987-4eb4-bf86-65bf48c5372d", "Size":"10.74GB", "LBA_Data_Size":4096, "Namespace_Size":2621440 } ] }
Paso 8: Configurar la autenticación segura en banda
A partir de ONTAP 9.12.1, se admite la autenticación segura en banda a través de NVMe/TCP entre un host Oracle Linux 9.5 y un controlador ONTAP.
Para configurar la autenticación segura, cada host o controladora debe estar asociado con a. DH-HMAC-CHAP
Clave, que es una combinación de NQN del host o de la controladora NVMe y un secreto de autenticación configurado por el administrador. Para autenticar su par, un host o una controladora NVMe deben reconocer la clave asociada con el par.
Puede configurar la autenticación segura en banda mediante la interfaz de línea de comandos o un archivo config JSON. Si necesita especificar diferentes claves dhchap para diferentes subsistemas, debe utilizar un archivo JSON de configuración.
Configure la autenticación segura en banda mediante la CLI.
-
Obtenga el NQN del host:
cat /etc/nvme/hostnqn
-
Genere la clave dhchap para el host Linux.
En el siguiente resultado, se describen
gen-dhchap-key
los parámetros de los comandos:nvme gen-dhchap-key -s optional_secret -l key_length {32|48|64} -m HMAC_function {0|1|2|3} -n host_nqn • -s secret key in hexadecimal characters to be used to initialize the host key • -l length of the resulting key in bytes • -m HMAC function to use for key transformation 0 = none, 1- SHA-256, 2 = SHA-384, 3=SHA-512 • -n host NQN to use for key transformation
En el siguiente ejemplo, se genera una clave dhchap aleatoria con HMAC establecido en 3 (SHA-512).
# nvme gen-dhchap-key -m 3 -n nqn.2014-08.org.nvmexpress:uuid:9796c1ec-0d34-11eb-b6b2-3a68dd3bab57 DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=:
-
En la controladora ONTAP, añada el host y especifique ambas claves dhchap:
vserver nvme subsystem host add -vserver <svm_name> -subsystem <subsystem> -host-nqn <host_nqn> -dhchap-host-secret <authentication_host_secret> -dhchap-controller-secret <authentication_controller_secret> -dhchap-hash-function {sha-256|sha-512} -dhchap-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit}
-
Un host admite dos tipos de métodos de autenticación: Unidireccional y bidireccional. En el host, conéctese a la controladora ONTAP y especifique claves dhchap según el método de autenticación elegido:
nvme connect -t tcp -w <host-traddr> -a <tr-addr> -n <host_nqn> -S <authentication_host_secret> -C <authentication_controller_secret>
-
Valide el
nvme connect authentication
comando mediante la verificación de las claves dhchap de host y controladora:-
Verifique las claves dhchap del host:
cat /sys/class/nvme-subsystem/<nvme-subsysX>/nvme*/dhchap_secret
Mostrar ejemplo de salida para una configuración unidireccional
cat /sys/class/nvme-subsystem/nvme-subsys1/nvme*/dhchap_secret DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=: DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=: DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=: DHHC- 1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=:
-
Compruebe las claves dhchap del controlador:
cat /sys/class/nvme-subsystem/<nvme-subsysX>/nvme*/dhchap_ctrl_secret
Mostrar ejemplo de salida para una configuración bidireccional
cat /sys/class/nvme-subsystem/nvme-subsys6/nvme*/dhchap_ctrl_secret DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=: DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=: DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=: DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=:
-
Cuando hay varios subsistemas NVMe disponibles en la configuración de la controladora ONTAP, se puede utilizar /etc/nvme/config.json
el archivo con nvme connect-all
el comando.
Utilice el -o
Opción para generar el archivo JSON. Consulte las páginas del manual de NVMe connect-all para obtener más opciones de sintaxis.
-
Configure el archivo JSON:
Muestra el ejemplo
cat /etc/nvme/config.json [ { "hostnqn":"nqn.2014-08.org.nvmexpress:uuid:9796c1ec-0d34-11eb-b6b2-3a68dd3bab57", "hostid":"9796c1ec-0d34-11eb-b6b2-3a68dd3bab57", "dhchap_key":"DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=:", "subsystems":[ { "nqn":"nqn.1992-08.com.netapp:sn.4f7af2bd221811f0afadd039eab0dadd:subsystem.nvme", "ports":[ { "transport":"tcp", "traddr":"192.168.165.9", "host_traddr":"192.168.165.3", "trsvcid":"4420", "dhchap_key":"DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=:", "dhchap_ctrl_key":"DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=:" }, { "transport":"tcp", "traddr":"192.168.166.9", "host_traddr":"192.168.166.4", "trsvcid":"4420", "dhchap_key":"DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=:", "dhchap_ctrl_key":"DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=:" }, { "transport":"tcp", "traddr":"192.168.166.8", "host_traddr":"192.168.166.4", "trsvcid":"4420", "dhchap_key":"DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=:", "dhchap_ctrl_key":"DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=:" }, { "transport":"tcp", "traddr":"192.168.165.8", "host_traddr":"192.168.165.3", "trsvcid":"4420", "dhchap_key":"DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=:", "dhchap_ctrl_key":"DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=:" } ] } ] } ]
En el ejemplo anterior, dhchap_key
corresponde adhchap_secret
ydhchap_ctrl_key
corresponde adhchap_ctrl_secret
. -
Conéctese a la controladora ONTAP mediante el archivo JSON de configuración:
nvme connect-all -J /etc/nvme/config.json
-
Verifique que se hayan activado los secretos dhchap para las respectivas controladoras de cada subsistema:
-
Verifique las claves dhchap del host:
cat /sys/class/nvme-subsystem/nvme-subsys0/nvme0/dhchap_secret
El siguiente ejemplo muestra una clave dhchap:
DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=:
-
Compruebe las claves dhchap del controlador:
cat /sys/class/nvme-subsystem/nvme-subsys0/nvme0/dhchap_ctrl_secret
Debería ver un resultado similar al siguiente ejemplo:
DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=:
-
Paso 9: Revise los problemas conocidos
No hay problemas conocidos.