Habilita el acceso S3 a los volúmenes NAS FlexCache
Sugerir cambios
PDF
A partir de ONTAP 9.18.1, puedes habilitar el acceso S3 a los volúmenes NAS FlexCache, también conocido como "dualidad". Esto permite que los clientes accedan a los datos almacenados en un volumen FlexCache usando el protocolo S3, además de los protocolos NAS tradicionales como NFS y SMB. Puedes usar la siguiente información para configurar la dualidad de FlexCache.
Requisitos previos
Antes de empezar, debes asegurarte de completar los siguientes requisitos previos:
-
Asegúrate de que el protocolo S3 y los protocolos NAS que quieras (NFS, SMB o ambos) tengan licencia y estén configurados en la SVM.
-
Verifica que DNS y cualquier otro servicio necesario estén configurados.
-
Clúster y SVM emparejados
-
Crear volumen FlexCache
-
Data-lif creado
|
Para una documentación más completa sobre la dualidad de FlexCache, consulta "Soporte multiprotocolo de ONTAP S3". |
Paso 1: crear y firmar certificados
Para habilitar el acceso S3 a un volumen FlexCache, necesitas instalar certificados para la SVM que aloja el volumen FlexCache. Este ejemplo usa certificados autofirmados, pero en un entorno de producción deberías usar certificados firmados por una autoridad de certificación (CA) de confianza.
-
security certificate create -vserver <svm> -type root-ca -common-name <arbitrary_name> -
Genera una solicitud de firma de certificado:
security certificate generate-csr -common-name <dns_name_of_data_lif> -dns-name <dns_name_of_data_lif> -ipaddr <data_lif_ip>Ejemplo de salida:
-----BEGIN CERTIFICATE REQUEST----- MIICzjCCAbYCAQAwHzEdMBsGA1UEAxMUY2FjaGUxZy1kYXRhLm5hcy5sYWIwggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCusJk075O8Uh329cHI6x+BaRS2 w5wrqvzoYlidXtYmdCH3m1DDprBiAyfIwBC0/iU3Xd5NpB7nc1wK1CI2VEkrXGUg ... vMIGN351+FgzLQ4X5lKfoMXCV70NqIakxzEmkTIUDKv7n9EVZ4b5DTTlrL03X/nK +Bim2y2y180PaFB3NauZHTnIIzIc8zCp2IEqmFWyMDcdBjP9KS0+jNm4QhuXiM8F D7gm3g/O70qa5OxbAEal5o4NbOl95U0T0rwqTaSzFG0XQnK2PmA1OIwS5ET35p3Z dLU= -----END CERTIFICATE REQUEST-----
Ejemplo de clave privada:
-----BEGIN PRIVATE KEY----- MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQCusJk075O8Uh32 9cHI6x+BaRS2w5wrqvzoYlidXtYmdCH3m1DDprBiAyfIwBC0/iU3Xd5NpB7nc1wK 1CI2VEkrXGUgwBtx1K4IlrCTB829Q1aLGAQXVyWnzhQc4tS5PW/DsQ8t7olZ9zEI ... rXGEdDaqp7jQGNXUGlbxO3zcBil1/A9Hc6oalNECgYBKwe3PeZamiwhIHLy9ph7w dJfFCshsPalMuAp2OuKIAnNa9l6fT9y5kf9tIbskT+t5Dth8bmV9pwe8UZaK5eC4 Svxm19jHT5QqloDaZVUmMXFKyKoqPDdfvcDk2Eb5gMfIIb0a3TPC/jqqpDn9BzuH TO02fuRvRR/G/HUz2yRd+A== -----END PRIVATE KEY-----
Guarda una copia de tu solicitud de certificado y de tu clave privada para futuras consultas. -
El
root-caes el que creaste en Crear una CA raíz de SVM.certificate sign -ca <svm_root_ca> -ca-serial <svm_root_ca_sn> -expire-days 364 -format PEM -vserver <svm> -
Pega la solicitud de firma de certificado (CSR) generada en Genera una solicitud de firma de certificado.
Ejemplo:
-----BEGIN CERTIFICATE REQUEST----- MIICzjCCAbYCAQAwHzEdMBsGA1UEAxMUY2FjaGUxZy1kYXRhLm5hcy5sYWIwggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCusJk075O8Uh329cHI6x+BaRS2 w5wrqvzoYlidXtYmdCH3m1DDprBiAyfIwBC0/iU3Xd5NpB7nc1wK1CI2VEkrXGUg ... vMIGN351+FgzLQ4X5lKfoMXCV70NqIakxzEmkTIUDKv7n9EVZ4b5DTTlrL03X/nK +Bim2y2y180PaFB3NauZHTnIIzIc8zCp2IEqmFWyMDcdBjP9KS0+jNm4QhuXiM8F D7gm3g/O70qa5OxbAEal5o4NbOl95U0T0rwqTaSzFG0XQnK2PmA1OIwS5ET35p3Z dLU= -----END CERTIFICATE REQUEST-----
Esto imprime un certificado firmado en la consola, similar al siguiente ejemplo.
Ejemplo de certificado firmado:
-----BEGIN CERTIFICATE----- MIIDdzCCAl+gAwIBAgIIGHolbgv5DPowDQYJKoZIhvcNAQELBQAwLjEfMB0GA1UE AxMWY2FjaGUtMTY0Zy1zdm0tcm9vdC1jYTELMAkGA1UEBhMCVVMwHhcNMjUxMTIx MjIxNTU4WhcNMjYxMTIwMjIxNTU4WjAfMR0wGwYDVQQDExRjYWNoZTFnLWRhdGEu ... qS7zhj3ikWE3Gp9s+QijKWXx/0HDd1UuGqy0QZNqNm/M0mqVnokJNk5F4fBFxMiR 1o63BxL8xGIRdtTCjjb2Gq2Wj7EClUw6CykEkxAcVk+XrRtArGkNtcYdtHfUsKVE wswvv0rNydrNnWhJLhSl8TW5Tex+OMyTXgk9/3K8kB0mAMrtxxYjt8tm+gztkivf J0eo1uDJhaNxqwEZRzFyGaa4k1+56oFzRfTc -----END CERTIFICATE-----
-
Copia el certificado para el siguiente paso.
-
Instala el certificado del servidor en la SVM:
certificate install -type server -vserver <svm> -cert-name flexcache-duality -
Pega el certificado firmado de Firma el certificado.
Ejemplo:
Please enter Certificate: Press <Enter> [twice] when done -----BEGIN CERTIFICATE----- MIIDdzCCAl+gAwIBAgIIGHolbgv5DPowDQYJKoZIhvcNAQELBQAwLjEfMB0GA1UE AxMWY2FjaGUtMTY0Zy1zdm0tcm9vdC1jYTELMAkGA1UEBhMCVVMwHhcNMjUxMTIx MjIxNTU4WhcNMjYxMTIwMjIxNTU4WjAfMR0wGwYDVQQDExRjYWNoZTFnLWRhdGEu bmFzLmxhYjCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAK6wmTTvk7xS ... qS7zhj3ikWE3Gp9s+QijKWXx/0HDd1UuGqy0QZNqNm/M0mqVnokJNk5F4fBFxMiR 1o63BxL8xGIRdtTCjjb2Gq2Wj7EClUw6CykEkxAcVk+XrRtArGkNtcYdtHfUsKVE wswvv0rNydrNnWhJLhSl8TW5Tex+OMyTXgk9/3K8kB0mAMrtxxYjt8tm+gztkivf J0eo1uDJhaNxqwEZRzFyGaa4k1+56oFzRfTc -----END CERTIFICATE-----
-
Pega la clave privada generada en Genera una solicitud de firma de certificado.
Ejemplo:
Please enter Private Key: Press <Enter> [twice] when done -----BEGIN PRIVATE KEY----- MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQCusJk075O8Uh32 9cHI6x+BaRS2w5wrqvzoYlidXtYmdCH3m1DDprBiAyfIwBC0/iU3Xd5NpB7nc1wK 1CI2VEkrXGUgwBtx1K4IlrCTB829Q1aLGAQXVyWnzhQc4tS5PW/DsQ8t7olZ9zEI W/gaEIajgpXIwGNWZ+weKQK+yoolxC+gy4IUE7WvnEUiezaIdoqzyPhYq5GC4XWf 0johpQugOPe0/w2nVFRWJoFQp3ZP3NZAXc8H0qkRB6SjaM243XV2jnuEzX2joXvT wHHH+IBAQ2JDs7s1TY0I20e49J2Fx2+HvUxDx4BHao7CCHA1+MnmEl+9E38wTaEk NLsU724ZAgMBAAECggEABHUy06wxcIk5hO3S9Ik1FDZV3JWzsu5gGdLSQOHRd5W+ ... rXGEdDaqp7jQGNXUGlbxO3zcBil1/A9Hc6oalNECgYBKwe3PeZamiwhIHLy9ph7w dJfFCshsPalMuAp2OuKIAnNa9l6fT9y5kf9tIbskT+t5Dth8bmV9pwe8UZaK5eC4 Svxm19jHT5QqloDaZVUmMXFKyKoqPDdfvcDk2Eb5gMfIIb0a3TPC/jqqpDn9BzuH TO02fuRvRR/G/HUz2yRd+A== -----END PRIVATE KEY-----
-
Introduce los certificados de las autoridades de certificación (CA) que forman la cadena de certificados del certificado del servidor.
Esto comienza con el certificado de la CA emisora del certificado del servidor y puede llegar hasta el certificado de la CA raíz.
Do you want to continue entering root and/or intermediate certificates {y|n}: n You should keep a copy of the private key and the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: cache-164g-svm-root-ca serial: 187A256E0BF90CFA -
Obtén la clave pública para la CA raíz de la SVM:
security certificate show -vserver <svm> -common-name <root_ca_cn> -ca <root_ca_cn> -type root-ca -instance -----BEGIN CERTIFICATE----- MIIDgTCCAmmgAwIBAgIIGHokTnbsHKEwDQYJKoZIhvcNAQELBQAwLjEfMB0GA1UE AxMWY2FjaGUtMTY0Zy1zdm0tcm9vdC1jYTELMAkGA1UEBhMCVVMwHhcNMjUxMTIx MjE1NTIzWhcNMjYxMTIxMjE1NTIzWjAuMR8wHQYDVQQDExZjYWNoZS0xNjRnLXN2 bS1yb290LWNhMQswCQYDVQQGEwJVUzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC ... DoOL7vZFFt44xd+rp0DwafhSnLH5HNhdIAfa2JvZW+eJ7rgevH9wmOzyc1vaihl3 Ewtb6cz1a/mtESSYRNBmGkIGM/SFCy5v1ROZXCzF96XPbYQN4cW0AYI3AHYBZP0A HlNzDR8iml4k9IuKf6BHLFA+VwLTJJZKrdf5Jvjgh0trGAbQGI/Hp2Bjuiopkui+ n4aa5Rz0JFQopqQddAYnMuvcq10CyNn7S0vF/XLd3fJaprH8kQ== -----END CERTIFICATE-----
Esto es necesario para configurar el cliente para confiar en los certificados firmados por el SVM root-ca. La clave pública se imprime en la consola. Copia y guarda la clave pública. Los valores de este comando son los mismos que introdujiste en Crear una CA raíz de SVM.
Paso 2: configura el servidor S3
-
Habilita el acceso al protocolo S3:
vserver show -vserver <svm> -fields allowed-protocols
S3 está permitido en el nivel SVM por defecto. -
Clona una política existente:
network interface service-policy clone -vserver <svm> -policy default-data-files -target-vserver <svm> -target-policy <any_name> -
Agrega S3 a la política clonada:
network interface service-policy add-service -vserver <svm> -policy <any_name> -service data-s3-server -
Agrega la nueva política a la data lif:
network interface modify -vserver <svm> -lif <data_lif> -service-policy duality
Modificar la política de servicio de una LIF existente puede ser disruptivo. Requiere que la LIF se apague y se vuelva a encender con un listener para el nuevo servicio. TCP debería recuperarse de esto rápido, pero ten en cuenta el posible impacto. -
Crea el servidor de almacén de objetos S3 en la SVM:
vserver object-store-server create -vserver <svm> -object-store-server <dns_name_of_data_lif> -certificate-name flexcache-duality -
Habilita la capacidad S3 en el volumen FlexCache:
La
flexcache configopción-is-s3-enableddebe establecerse entrueantes de que puedas crear un bucket. También debes establecer la opción-is-writeback-enabledenfalse.El siguiente comando modifica un FlexCache existente:
flexcache config modify -vserver <svm> -volume <fcache_vol> -is-writeback-enabled false -is-s3-enabled true -
Crea un bucket S3:
vserver object-store-server bucket create -vserver <svm> -bucket <bucket_name> -type nas -nas-path <flexcache_junction_path> -
Crea una política de bucket:
vserver object-store-server bucket policy add-statement -vserver <svm> -bucket <bucket_name> -effect allow -
Crea un usuario S3:
vserver object-store-server user create -user <user> -comment ""Ejemplo de salida:
Vserver: <svm>> User: <user>> Access Key: WCOT7...Y7D6U Secret Key: 6143s...pd__P Warning: The secret key won't be displayed again. Save this key for future use. -
Regenera las claves para el usuario raíz:
vserver object-store-server user regenerate-keys -vserver <svm> -user rootEjemplo de salida:
Vserver: <svm>> User: root Access Key: US791...2F1RB Secret Key: tgYmn...8_3o2 Warning: The secret key won't be displayed again. Save this key for future use.
Paso 3: configura el cliente
Hay muchos clientes S3 disponibles. Un buen lugar para empezar es con la AWS CLI. Para más información, consulta "Instalar la AWS CLI".